Risikoanalyse mit OCTAVE

Transkript

1 Risikoanalyse mit OCTAVE Angebote DFN-CERT November 2012

2 1 Angebote des DFN-CERT 1.1 Einführung / Arbeitsunterlagen Die OCTAVE 1 -Risikoanalysemethode wurde von der Carnegie Mellon Universität in Pittsburgh (USA) entwickelt und durch das DFN-CERT überarbeitet. OCTAVE beschreibt einen grundsätzlich selbst gesteuerten Ansatz, durch den die eigenen Mitarbeiterinnen und Mitarbeiter einer Organisation die konkreten Bedürfnisse und Lücken bezüglich Informationssicherheit richtig einschätzen können. Checklisten und Arbeitsblätter helfen bei dieser Analyse, die auf Basis des Wissens der beteiligten Mitarbeiterinnen und Mitarbeiter im Team durchgeführt wird. Konkret stellt das DFN-CERT für die Durchführung einer Risikoanalyse nach der OCTAVE-Methode registrierten Nutzern folgende Unterlagen zur Verfügung: Arbeitsblätter (PDF oder Softwaretool) Leitfaden zur Umsetzung Benutzerhandbuch zum Softwaretool Bei den Unterlagen handelt es sich um eine den heutigen Ansprüchen angepasste und gekürzte Übertragung des ursprünglichen Konzepts. Insbesondere werden ausschließlich die in Deutschland gebräuchlichen Fachbegriffe verwendet, um dem OCTAVE-Nutzer den Einstieg in das Thema zu erleichtern und einen fließenden Übergang zu den BSI-Standards aufzuzeigen. Im Hinblick auf eine mögliche ISO Zertifizierung wurden ebenso die Themenbereiche neu strukturiert und dieser internationalen Norm angepasst, die auch in Deutschland immer mehr Bedeutung erlangt. Insgesamt wird dadurch vermieden, dass die Erkenntnisse aus dem OCTAVE-Prozess später noch einmal neu strukturiert oder erhoben werden müssen, wenn z.b. externe Berater eingebunden werden sollen oder tatsächlich eine Zertifizierung nach ISO erwogen wird. 1.2 OCTAVE-Tutorium Derzeit ist geplant, zweimal im Jahr ein eintägiges Tutorium Risiko- und Bedrohungsanalyse mit der OCTAVE-Methode anzubieten. Primäre Zielgruppe sind die Verantwortlichen für das Risiko- und IT-Sicherheitsmanagement einer Institution, die entweder selbst oder mit Unterstützung eine solche Analyse durchführen wollen und sich hierbei für die Verwendung von OCTAVE interessieren. Darüber hinaus besteht die Möglichkeit, individuelle Termine in Hamburg oder vor Ort zu vereinbaren, um die Mitglieder von Analyseteams und insbesondere die Leitungspersonen eines solchen Teams mit der Vorgehensweise vertraut zu machen und bei der Aufnahme der Tätigkeiten zu unterstützen. 1.3 Begleitung der Analyse durch das DFN-CERT Die Vorbereitung und Moderation von Workshops vor Ort, Begleitung des Prozesses und die Aufbereitung von Ergebnissen kann durch das DFN-CERT alleine oder im Verbund mit Partnern unterstützt werden. Bei der Begleitung einer Risikoanalyse durch das DFN-CERT ist es uns besonders wichtig, die langfristige und nachhaltige Etablierung von Schlüsselprozessen zu fördern. Hierzu engagieren wir uns nachdrücklich in der Kommunikation mit den 1 OCTAVE steht für Operationally Critical Threat and Vulnerability Evaluation

3 Risikoanalyse mit OCTAVE Seite 3 von 9 Verantwortlichen, so dass die für Informationssicherheit zuständigen Administratoren eine Stärkung ihrer Rolle sowie ein größeres Bewusstsein bei den Entscheidern erfahren. Wie die Erfahrung zeigt, ist dies für eine vertrauenswürdige externe Stelle oft leichter möglich. Natürlich bleiben begrenzende Faktoren zum Beispiel Ressourcen und Budgets weiterhin bestehen. Der Ansatz des DFN-CERT ist wie immer auf die Hilfe zur Selbsthilfe ausgerichtet und konzentriert sich daher auf die Begleitung des eingesetzten Teams und die Zuarbeit in den Bereichen, in denen seine Expertise gefragt ist. Daraus ergibt sich als Konsequenz, dass die beauftragende Einrichtung intensiv das Thema bearbeitet und entsprechendes Knowhow aufbaut. Für die Planung und Durchführung einer Risikoanalyse nach OCTAVE wird ein Zeitraum von mindestens 12 Wochen angesetzt. Auf Grundlage der im Pilotprojekt gemachten Erfahrungen haben wir drei Beratungspakete zusammengestellt, um den unterschiedlichen Anforderungen der Institutionen gerecht zu werden. Darüber hinaus gibt es die Möglichkeit, die Erarbeitung spezieller Inhalte auf individueller Basis zu vereinbaren. Dies ist jedoch nicht Gegenstand der weiteren Darstellung. Die Leistungspakete 1 und 2 beinhalten die Nutzung des OCTAVE-Softwaretools während des Beratungszeitraums Leistungspaket 1: Unterstützung bei der Qualitätssicherung Im Rahmen dieses Leistungspakets wird das Analyseteam bei der Planung und Vorbereitung des Projekts, sowie bei der Aufbereitung der Ergebnisse durch einen Mitarbeiter vom DFN- CERT vor Ort unterstützt. Die Durchführung der Risikoanalyse erfolgt in Eigenregie durch das Analyseteam. Das DFN-CERT übernimmt das Review der in den einzelnen Arbeitsschritten erstellten Dokumente und trägt durch eine Kommentierung, Klärung von offenen Fragestellungen und Bearbeitung von Teilaspekten zu einem erfolgreichen Projektergebnis bei. Darüber hinaus stehen die Mitarbeiter während der Projektlaufzeit telefonisch oder per für Rückfragen zur Verfügung. Leistungsbeschreibung Paket 1 Vorhaben Vorbereitungsphase Analysephase Initiale Projektbesprechung Sign-Off mit dem Management Abstimmung der Sicherheitsziele Bestimmung des OCTAVE Teams Projektplanung vor Ort beim Anwender Review der erstellten Unterlagen in fünf Bearbeitungsschritten: Identifizierung der organisationsspezifischen Informationen Definition von Bedrohungsprofilen Erfassung der IT-Infrastruktur in Bezug auf die kritischen Werte Identifizierung und Analyse der Risiken Entwicklung einer Schutzstrategie

4 Risikoanalyse mit OCTAVE Seite 4 von 9 Leistungsbeschreibung Paket 1 Vorhaben Vorbereitung der Workshops beim Anwender Projektabschluss Auswahl und Priorisierung angemessener Sicherheitsmaßnahmen Kostenabschätzung Aufbereitung der Abschlusspräsentation, Abschlusspräsentation vor Ort beim Anwender Leistungspaket 2: Begleitung bei der Risikoanalyse Dieses Leistungspaket entspricht hinsichtlich der Vorbereitungsphase, Projektabschluss und Support dem Vorgehen beim Leistungspaket 1. Jedoch führt ein Mitarbeiter vom DFN-CERT die eigentliche Risikoanalyse gemeinsam mit den Mitgliedern des Analyseteams in fünf Workshops vor Ort durch. Leistungsbeschreibung Paket 2 Vorhaben Vorbereitungsphase Initiale Projektbesprechung Sign-Off mit dem Management Abstimmung der Sicherheitsziele Bestimmung des OCTAVE Teams Projektplanung Workshop 1 Workshop 2 Workshop 3 Identifizierung der organisationsspezifischen Informationen Aufstellung der Bewertungskriterien Ermitteln der kritischen Werte Bewertung der Sicherheitsmaßnahmen der Organisation Kontrolle der Dokumente und Vorbereitung des folgenden Workshops Definition von Bedrohungsprofilen Auswahl kritischer Werte Identifizierung der Sicherheitsanforderungen für kritische Werte Identifizierung der Bedrohungen Kontrolle der Dokumente und Vorbereitung des folgenden Workshops Erfassung der IT-Infrastruktur in Bezug auf die kritischen Werte Ermittlung der relevanten IT-Systeme und deren Vernetzung Analyse der technischen Prozesse

5 Risikoanalyse mit OCTAVE Seite 5 von 9 Leistungsbeschreibung Paket 2 Vorhaben Workshop 4 Workshop 5 Projektabschluss Kontrolle der Dokumente Vorbereitung des folgenden Workshops Identifizierung und Analyse der Risiken Bewertung der Schadenswirkung von Bedrohungen Aufstellen von Kriterien zur Abschätzung von Eintrittswahrscheinlichkeiten Abschätzung der Eintrittswahrscheinlichkeiten Kontrolle der Dokumente Vorbereitung des folgenden Workshops Entwicklung einer Schutzstrategie der vorhandenen Schutzstrategie Auswahl der Möglichkeiten zur Risikominimierung Entwicklung eines Plans zur Risikominimierung Identifizierung von notwendigen Änderungen der aktuellen Schutzstrategie Festlegung weiterer Schritte Kontrolle der Dokumente Auswahl und Priorisierung angemessener Sicherheitsmaßnahmen Kostenabschätzung Aufbereitung der Abschlusspräsentation, Abschlusspräsentation Leistungspaket 3: Technische Analyse In vielen Fällen ist es sinnvoll, die Evaluation und Verbesserung der eigenen Informationssicherheit in einer Organisation durch standardisierte, technische Prüfverfahren zu erweitern. Das DFN-CERT setzt neben der Hilfe bei der Reaktion auf Sicherheitsvorfälle gerade auf die vorbeugende Unterstützung bei der Durchführung und Verbesserung von Sicherheitsmaßnahmen, bietet aber auch individuelle Beratung und Unterstützung an. Dieses OCTAVE-Leistungspaket beinhaltet eine individuelle Systemanalyse vor Ort inklusive eines lokalen Penetrations-Tests (nur Standard-Systeme, d.h. Laptops, Clients, Server, keine SAP- Systeme, Hosts oder TK-Anlagen). Die dabei gewonnenen Erkenntnisse und Bewertungen ermöglichen es, die OCTAVE-Schritte S2.3 (Identifizierung von Bedrohungen) sowie S3.1 (Ermittlung der Zugangswege zu den kritischen Werten) und insbesondere S3.2 (Analyse der technischen Prozesse) mit fundierten und aktuellen Informationen zu füllen. Zusätzlich wird eine Liste von Adhoc-Maßnahmen erstellt, die von der Organisation zur Aufrechterhaltung der IT-Sicherheit direkt umgesetzt werden muss bzw. es wird ermittelt, ob

6 Risikoanalyse mit OCTAVE Seite 6 von 9 neue, zusätzliche Sicherheitsmaßnahmen eingesetzt werden müssen, um die Ausnutzung von existierenden und bisher nicht ausreichend abgedeckten Schwachstellen zu verhindern. Außerdem wird auf systematische Fehler beim Betrieb der Systeme, soweit diese erkennbar sind, besonders eingegangen, um eine Anpassung der Prozesse vor Ort zu unterstützen. Die technische Analyse beinhaltet ein Kick-Off-Meeting zum Festlegen des Umfangs und der weiteren Vorgehensweise und wird mit einer Ergebnispräsentation und einem Bericht abgeschlossen. Dieses Paket bietet sich vor allem in der Ergänzung zum Paket 2 an, zumal in diesem Fall die Präsentation im Rahmen des Workshops 4 erfolgen kann und hierdurch Aufwände eingespart werden. Der OCTAVE-Anwender erhält somit detaillierte Informationen über den aktuellen Sicherheitszustand seiner IT-Systeme, ohne das hierfür das Expertenwissen über Prüfung und Bewertung vor Ort verfügbar sein müsste. Abgesehen davon, dass die Informationen an sich wertvoll für die Organisation sind, kann sich das OCTAVE-Team mehr auf die anderen Phasen und Schritte konzentrieren und somit effektiver arbeiten. Leistungsbeschreibung Paket 3 Dienst / Vorhaben Kick-Off-Meeting Durchführung der Analyse Abschlussmeeting Festlegen des Umfangs und des Zeitplans der Analyse Schwachstellenprüfung, Anwendung des Netzwerkprüfers und kleiner lokaler Penetrations-Test Im Rahmen der Analyse wird eine Liste von Adhoc-Maßnahmen erstellt, die von der Organisation zur Aufrechterhaltung der IT-Sicherheit direkt umgesetzt werden muss bzw. es wird ermittelt, ob andere Sicherheitsmaßnahmen ergänzend eingesetzt werden müssen, um die Nutzung der Schwachstelle zu verhindern. Außerdem wird auf systematische Fehler beim Betrieb der Systeme, soweit diese erkennbar sind, besonders eingegangen, um eine Anpassung der Prozesse vor Ort zu unterstützen. Präsentation und Besprechung der Evaluationsergebnisse Durch die Kombination von Paket 2 und 3 ergibt sich die Möglichkeit, Aufwände einzusparen. 2 Preisliste und Details Es folgt eine Übersicht über die OCTAVE-Paketpreise. Alle genannten Preise zzgl. der gesetzlich gültigen Mwst..

7 Risikoanalyse mit OCTAVE Seite 7 von 9 Paket / Dienstleistung Preis DFN- Mitglieder / DFN- Anwender Preis Externe Aktueller Leitfaden und Arbeitsblätter ohne Beratung PDF-Format Basispaket ADORA ohne Beratung Zugang zum OCTAVE-Tool für 6 Monate 2 inklusive Leitfaden, Handbuch, technischen Support und Updates, Zugriff nur aus beschränktem IP-Adressraum, Zugang ist vom Weiterverkauf ausgeschlossen Jahrespaket ADORA ohne Beratung Zugang zum OCTAVE-Tool für 12 Monate inklusive Leitfaden, Handbuch, technischen Support und Updates, Zugriff nur aus beschränktem IP-Adressraum, Zugang ist vom Weiterverkauf ausgeschlossen 100 Euro 500 Euro (Eigengebrauch) Euro (pro Kunde) 750 Euro 1500 Euro 1000 Euro 2000 Euro Ergänzungsmonat ADORA ohne Beratung Zugang zum OCTAVE-Tool inklusive Leitfaden, Handbuch, technischen Support und Updates pro zusätzlichem Monat im direkten Anschluss an ein Basis- oder Jahrespaket, Zugriff nur aus beschränktem IP-Adressraum, Zugang ist vom Weiterverkauf ausgeschlossen 50 Euro 100 Euro Testzugang ADORA ohne Beratung Zugang zum OCTAVE-Tool zu Testzwecken für 1 Monat inklusive technischen Support und Updates, Zugriff nur aus beschränktem IP- Adressraum, Zugang ist vom Weiterverkauf ausgeschlossen 100 Euro 500 Euro 2 Der Zeitraum beginnt mit der Freischaltung des Zugangs durch das DFN-CERT

8 Risikoanalyse mit OCTAVE Seite 8 von 9 Paket / Dienstleistung Beratungspaket 1: Unterstützung bei der Qualitätssicherung inkl. Zugang zu ADORA und inhaltlichen Support während des Beratungszeitraums Preis DFN- Mitglieder / DFN- Anwender Euro zzgl. 600 Euro (6 Personentage x 750 Euro, pauschal 3 x 200 Euro) Preis Externe Euro (6 Personentage x Euro, nach Aufwand, 3 Reisetage) Beratungspaket 2: Begleitung bei der Risikoanalyse inkl. Zugang zu ADORA und inhaltlichen Support während des Beratungszeitraums Euro zzgl Euro (10 Personentage x 750 Euro, pauschal 8 x 200 Euro) Euro (10 Personentage x Euro, nach Aufwand, 8 Reisetage) Beratungspaket 3: Technische Analyse Euro zzgl. 800 Euro (6 Personentage x 750 Euro, pauschal 4 x 200 Euro) Euro (6 Personentage x 1000 Euro nach Aufwand, 4 Reisetage) Beratungspakete 2 und 3 zusammen Euro zzgl Euro (14 Personentage x 750 Euro, pauschal 8 x 200 Euro) Euro (15 Personentage 3 x 1000 Euro nach Aufwand, 10 Reisetage) Individuelle Beratungsprojekte Nach Vereinbarung, Tagessatz bei 750 Euro, ggf. zzgl. Nach Vereinbarung, Tagessatz bei Euro, ggf. 3 Aufgrund der fehlenden Integration in DFN-Dienste ist hier ein erhöhter Aufwand anzusetzen.

9 Risikoanalyse mit OCTAVE Seite 9 von 9 Erläuterungen zu den Preisen: Beratungspaket 1: Unterstützung bei der Qualitätssicherung: 6 Personentage ergeben sich aus 2 Ortsterminen (Vorbereitungsphase mit 2 Mitarbeitern für einen halben Tag und Projektabschluss mit 1 Person) = 2 PT; Review der erstellten Unterlagen, Support sowie Hilfe bei der Vorbereitung der Workshops = 4 PT, macht insgesamt 6 PT : Vorbereitungstag mit 2 Personen, Abschlusstag 1 Person = 3 x RK Beratungspaket 2: Begleitung bei der Risikoanalyse: 10 Personentage ergeben sich aus: 5 Ortsterminen sowie 3 Personentage Review und andere Vor-/Nachbereitungsaufgaben, insgesamt 10 PT : Vorbereitungstag mit 2 Personen, Abschlusstag 1 Person und 5 weitere Termine mit 1 Person = 8 x RK Beratungspaket 3: Technische Analyse: 6 Personentage ergeben sich aus: 4 Personentage Durchführung der Analyse sowie 1 Personentag Erstellen des Berichts / Vorbereitung der Präsentationen und 1 Personentag für Kick-Off (max. 4 Stunden) und Abschlusspräsentation (max. 4 Stunden), macht insgesamt 6 PT : Vorbereitungstag und Abschlusspräsentation mit 2 Personen = 4 x RK Die pauschale enthält alle im Zusammenhang mit An- und Abreise entstehenden Kosten. Damit sind alle Fahrt-, Übernachtungs- und sonstige Reisenebenkosten inkl. dem nicht als Arbeitszeit nutzbaren Zeitaufwand für die Anreise abgegolten. Die Höhe der Pauschale stellt den durchschnittlichen Aufwand für eine Anreise innerhalb Deutschlands dar. Rabatt bei erneuter Buchung eines Basis- oder Jahrespakets für den Zugang zu ADORA: bei 2. Buchung 25 %, danach 50 % auf den Paketpreis Für die Nutzung der OCTAVE-Arbeitsblätter und für den Zugang zu ADORA ist eine Nutzervereinbarung zu unterschreiben