BYOD und ISO Sascha Todt. Bremen,

Größe: px

Ab Seite anzeigen:

Download "BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012"

Jörg Färber
vor 8 Jahren
Abrufe

1 BYOD und ISO Sascha Todt Bremen,

2 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele)

3 BYOD Definition (Bring Your Own Device) Bearbeitung von Unternehmensdaten durch Mitarbeiter mit Hilfe ihrer eigenen elektronischen Geräte.

4 BYOD Einige Zahlen Quelle: ESET, Harris Interactive & The SANS Institute Februar 2012; Stichprobe: angestellte, erwachsene US-Bürger

5 BYOD und Sicherheitsmaßnahmen Quelle: ESET, Harris Interactive & The SANS Institute Februar 2012; Stichprobe: angestellte, erwachsene US-Bürger

6 ISO Information Security Management Systems

7 ISO/IEC 27000er-Familie ISO/IEC 27000:2005 Managementsysteme für Informationssicherheit (ISMS): Grundlegende Prinzipien, Konzepte, Begriffe und Definitionen ISO/IEC 27001:2005 (Ursprung: BS :2002) Anforderungen an ein ISMS Empfehlungen zur Einführung, Betrieb und Verbesserung eines ISMS unter Berücksichtigung der Risiken ISO/IEC 27002:2005 (zuvor: ISO 17799:2005, Ursprung BS Code of Practice ) Aufbau und Verankerung eines Sicherheitsmanagements auf abstraktem Niveau ISO 27005:2008 Rahmenempfehlungen zum Risikomanagement

und Verbesserung eines ISMS unter Berücksichtigung der Risiken ISO/IEC 27002:2005 (zuvor: ISO 17799:2005, Ursprung BS 7799-1 Code of

ISMS Demingkreis (PDCA) Planung & Konzeption (Plan) Optimierung & Verbesserung (Act) Umsetzung (Do) Erfolgskontrolle & Überwachung (Check) The organization shall

8 ISMS Demingkreis (PDCA) Planung & Konzeption (Plan) Optimierung & Verbesserung (Act) Umsetzung (Do) Erfolgskontrolle & Überwachung (Check) The organization shall establish, implement, operate, monitor, review, maintain and improve a documented ISMS within the context of the organization s overall business activities and the risks it faces.

establish, implement, operate, monitor, review, maintain and improve a documented

9 Planung & Konzeption (Auszug 1/2) Festlegung des Gültigkeitsbereichs des ISMS Formulierung einer Sicherheitsleitlinie Beschreibung der Risiken Identifizierung der zu schützenden Informationen und Geschäftsprozesse (Assets) Identifizierung aller Bedrohungen für diese Assets Identifizierung der Schwachstellen, über die Bedrohungen wirken können (Gefährdungen) Identifizierung der Folgen, die durch den Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit der Assets verursacht werden können

aller Bedrohungen für diese Assets Identifizierung der Schwachstellen, über die Bedrohungen wirken können (Gefährdungen)

10 Planung & Konzeption (Auszug 2/2) Bewertung der Risiken Auswirkungen auf die Geschäftstätigkeit oder Aufgabenerfüllung Eintrittswahrscheinlichkeit Auswahl von Sicherheitsmaßnahmen

11 Gültigkeitsbereich Unter einem Informationsverbund (oder auch IT-Verbund) ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Objekten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein Informationsverbund kann dabei als Ausprägung die gesamte Institution oder auch einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungen) oder gemeinsame Geschäftsprozesse bzw. Anwendungen (z. B. Personalinformationssystem) gegliedert sind, umfassen. [IT Grundschutz Katalog, ]

Ein Informationsverbund kann dabei als Ausprägung die gesamte Institution oder auch einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungen) oder gemeinsame Geschäftsprozesse bzw.

12 Beispiel BYOD-Smartphone: Assets Private Nutzung Kontakte Photos Musik Dokumente Anmeldeinformation Heimnetzwerk Soziale Netzwerke Banking Geschäftliche Nutzung Kontakte Photos Musik Dokumente Anmeldeinformation Firmennetzwerk

Heimnetzwerk Soziale Netzwerke Banking Geschäftliche

13 Beispiel BYOD-Smartphone: Bedrohungen der Assets (1/2) Top 10 Risks R1 Data leakage R2 Improper decommissioning R3 Unintentional data disclosure R4 Phishing R5 Spyware R6 Network spoofing attacks R7 Surveillance R8 Diallerware R9 Financial malware R10 Network congestion

disclosure R4 Phishing R5 Spyware R6 Network spoofing attacks R7

14 Beispiel BYOD-Smartphone: Bedrohungen der Assets (2/2)

15 Beispiel BYOD-Smartphone: Schadsoftware

16 Bewertung der Risiken normal hoch sehr hoch Schutzbedarfskategorien aus BSI Standard Die Schadensauswirkungen sind begrenzt und überschaubar. Die Schadensauswirkungen können beträchtlich sein. Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Eintrittswahrscheinlichkeit?

Die Schadensauswirkungen können beträchtlich sein.

17 Umgang mit dem Risiko Verminderung der Risiken durch adäquate Sicherheitsmaßnahmen. Vermeidung, z.b. durch Umstrukturierung oder Aufgabe von Geschäftsbereichen. Übertragung, z.b. durch Outsourcing oder Versicherungen. Bewusstes Akzeptieren von Risiken.

durch Umstrukturierung oder Aufgabe von Geschäftsbereichen.

18 Auswahl von anwendbaren Maßnahmenzielen und Maßnahmen 7. Management von organisationseigenen Werten (Assets) 7.1 Verantwortung für Assets Zulässiger Gebrauch von Assets 9. Physische und umgebungsbezogene Sicherheit 9.2 Sicherheit von Betriebsmitteln Sicherheit von außerhalb des Standorts befindlicher Ausrüstung 11 Zugangskontrolle 11.4 Zugangskontrolle für Netze Kontrolle von Netzverbindungen 11.7 Mobile Computing und Telearbeit Mobile Computing und Kommunikation Quelle: Informationstechnik IT-Sicherheitsverfahren Leitfaden für das Informationssicherheits-ManagementISO/IEC (27002:2005)

4 Zugangskontrolle für Netze 11.4.6 Kontrolle von Netzverbindungen 11.7

19 Lösungsansätze Technisch Zugriffsregelung und Einschränkung von Nutzerrechten Berechtigungskonzept für Unternehmensdaten Installation von Sicherheits-Software Firewall Virenscanner Verschlüsselungssoftware Deinstallation von nicht vertrauenswürdiger Software Organisatorisch Nutzungsvereinbarungen Kennwortrichtlinie Whitelist für Programminstallation Aktivierung der Bildschirmsperre

Virenscanner Verschlüsselungssoftware Deinstallation von nicht vertrauenswürdiger Software

20 Do-Check-Act Umsetzung und Betrieb Priorisierung Ressourcen Umgang mit Sicherheitsvorfällen Schulung und Sensibilisierung Erfolgskontrolle und Überwachung Überprüfung der Eignung getroffener Maßnahmen Überprüfung technischer Maßnahmen Kontrolle organisatorischer Maßnahmen Optimierung und Verbesserung Korrektur von Fehlern Überprüfung der Aktualität

Überprüfung der Eignung getroffener Maßnahmen Überprüfung technischer Maßnahmen

21 Fazit (BYO)Device ist Teil des Unternehmensnetzes. Eine Sicherheitsrichtlinie für BYOD ist dringend erforderlich. Der Schutzbedarf der vorhandenen Informationen und Geschäftsprozesse (Assets) ist festzulegen. Eine individuelle Risikobewertung ist notwendig. Die private Benutzbarkeit des (BYO)Device wird (stark) eingeschränkt.

22 Kontakt Dr. Sascha Todt 0421/

Ähnliche Dokumente

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens