information security konzept - ethz.ch · informatikdienste, konzept informationssicherheit,...
TRANSCRIPT
Informatikdienste
Konzept
Informationssicherheit
Strategie für eine durchgängige Informations Security an der ETH Zürich
Released
Für internen Gebrauch
Datum : 15.12.2013
Version : 2.0
Autoren : Dieter Gut Reto Gutmann
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite ii / iv
Zusatzinformationen
Versionskontrolle Version Bemerkung Datum Autoren
1.0 Freigabe 7.11.2012
1.1 Korrektur Chief Information Security Officer 13.11.2012 Dieter Gut
1.2 Rolle des IT-Sicherheitsbeauftragten eingefügt. Abgrenzungen zu CISO dargestellt. Feedback von Frau K. Timmel und Frau B. Schiesser eingearbeitet.
20.11.2012 Dieter Gut
1.3 Feedback Herr Prof. R. Boutellier eingearbeitet
27.11.2012 Dieter Gut
1.4 Feedback Herr Dr. R. Perich und Frau K. Timmel (Kapitel Schulleitung, Risikomanagement Kommission hinzugefügt; Kapitel SGU entfernt)
30.11.2012 Dieter Gut
1.5 Entwurf für die Vernehmlassung 05.02.2013
1.6 Umsetzung des Feedbacks aus Workshop mit ISL
14.08.2013 Dieter Gut
1.7 Überarbeitung/Kürzung durch R. Gutmann 30.08.2013 Reto Gutmann
1.8 Redaktionelle Korrekturen gemäss Rücklauf Workshop Team
17.09.2013 Dieter Gut
1.9 Feedback von SGU und Legal 15.10.2013 Reto Gutmann
2.0 Freigabe zur Vorlage an Schulleitung 15.12.2013 Reto Gutmann
Tabelle 1: Versionskontrolle
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite iii / iv
Freigaben Version Bemerkung Datum Freigegeben durch
1.0 Freigabe 07.11.2012 Reto Gutmann
2.0 Freigabe 15.12.2013 Reto Gutmann
Tabelle 2: Freigaben
Referenzierte Dokumente
Titel Version Autor/in Datum
[1] ISO/IEC 27001 Information Management System
SNV
[2] Informationsschutzverordnung ISchV RS 510.411 Schweizerische Eidgenossenschaft
30.06.2010
[3] ISO/IEC 20000 IT Service Management System
SNV
[4] Benutzerordnung Telematik der ETH Zürich (BOT) RSETHZ 203.21
Teilrevisions- entwurf in Vernehm- lassung
ETH Zürich 15.01.2013
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite iv / iv
Inhaltsverzeichnis
Zusatzinformationen ................................................................................................................. ii
Versionskontrolle .................................................................................................................... ii Freigaben .............................................................................................................................. iii Referenzierte Dokumente ...................................................................................................... iii
Inhaltsverzeichnis .................................................................................................................... iv
Abbildungs- und Tabellenverzeichnis .................................................................................... iv
Abbildungen .......................................................................................................................... iv Tabellen ................................................................................................................................ iv
1. Einführung ........................................................................................................................... 1
1.1. Informationssicherheit (IS) ............................................................................................. 1 1.2. Motivation und Zielsetzungen ........................................................................................ 1 1.3. Grundsatz für die Umsetzung innerhalb der ETH Zürich ................................................ 2 1.4. Risikobeurteilung ........................................................................................................... 2 1.5. Business Risk Management .......................................................................................... 2
2. Das Information Security Management System (ISMS) .................................................... 3
2.1. Die Norm ....................................................................................................................... 3 2.2. Empfehlungen der Norm ................................................................................................ 3 2.3. Ein systematischer und lebbarer Prozess ...................................................................... 3 2.4. Die Steuerung des ISMS ............................................................................................... 3
3. Umsetzung des Informationssicherheits-Konzepts an der ETH Zürich .......................... 5
3.1. Rollen ............................................................................................................................ 5 3.2. Aufgaben und Organisation ........................................................................................... 6
Abkürzungen und Begriffe ....................................................................................................... 8
Abbildungs- und Tabellenverzeichnis
Abbildungen
Abbildung 1: PDCA Zyklus in der Information Security ................................................................ 4
Abbildung 2: Übersicht Rollen ..................................................................................................... 6
Tabellen
Tabelle 1: Versionskontrolle ......................................................................................................... ii
Tabelle 2: Freigaben ................................................................................................................... iii
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite 1 / 8
1. Einführung
1.1. Informationssicherheit (IS)
Die Information Security beschäftigt sich mit
Verfügbarkeit (Availability)
Vertraulichkeit (Confidentiality)
Unversehrtheit (Integrity)
Nachweisbarkeit (Traceability) 1
von Informationen. Informationssicherheit ist die Gesamtheit aller Anforderungen und Massnahmen, mit denen die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Nachweis- bzw. Nachvollziehbarkeit von Informationen sowie die Verfügbarkeit und die Integrität von IT-Mitteln der ETH Zürich geschützt werden.
Die Informationssicherheit richtet sich nach den Vorgaben der Eigentümer oder Ersteller der Daten (vgl. Ziffer 1.5). Jedes Bearbeiten von Informationen an der ETH Zürich, unabhängig von den angewandten Mitteln und Verfahren, unterliegt den gesetzlichen Regelungen und Vorschriften (z.B. Informationsschutzverordnung des Bundes, Datenschutzgesetz) sowie den ETH-internen Bestimmungen. Es gibt den Security Prozess in zwei Ausprägungen.
Governance Prozess2
IT Security Management (ITIL-Prozess)3
Die beiden Ausprägungen unterscheiden sich im Geltungsbereich. Während der ITIL-Prozess sich speziell und ausschliesslich um die Risiken bei den IT-Services kümmert, befasst sich der Governance Prozess mit allen IT-Risiken für die „Geschäftsprozesse“ der ETH.
1.2. Motivation und Zielsetzungen
Informationssicherheit ist ein Thema, dessen Relevanz oft erst ersichtlich wird, wenn etwas Unvorhergesehenes eingetreten ist. Ziel dieses Dokumentes ist, mittels eines systematischen Ansatzes innerhalb der ETH Zürich einen kontinuierlichen Verbesserungsprozess zu etablieren, der folgende Themen stärken soll:
Erhöhen des Bewusstseins und der Sensibilität zur Informationssicherheit allgemein
Einführen einer systematischen Beurteilung der Informationssicherheitsrisiken abgeleitet aus den relevanten Geschäftsprozessen der einzelnen Einheiten (Departemente oder zentrale Organe)
1 Traceability: In diesem Zusammenhang ist die Fähigkeit gemeint, Zugriffe auf Informationen und Veränderungen von Informationen nachzuvollziehen im Sinne von “wer hat was” gelesen oder verändert.
2 Norm ISO 27000 [1]
3 Norm ISO 20000 [3] / Service Design / Information Security Management
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite 2 / 8
Daraus abgeleitet ein bewusstes Entscheiden zu Informationssicherheitsrisiken – und damit Reduktion von Überraschungen
Klare dezentrale Verantwortlichkeiten
Gemeinsames erarbeiten von Best Practices oder Richtlinien
Es ist nicht a priori die Zielsetzung des Konzepts zur Informationssicherheit, diese grundsätzlich einfach zu erhöhen. Es ist zu jeder Veränderung zwingend eine Risikobeurteilung notwendig. Die einzige Ausnahme davon sind gesetzliche Auflagen, die umgesetzt werden müssen.
Das Konzept soll damit gemäss den Zielsetzungen einen direkten Mehrwert für die ETH Zürich bringen und sowohl die Empfehlungen aus dem Bericht vom ETH-Rats-Audit vom 29.9.2011 als auch mögliche zukünftige Auflagen des Bundes zum Thema Informationsschutz berücksichtigen.
1.3. Grundsatz für die Umsetzung innerhalb der ETH Zürich
Um diese Zielsetzungen innerhalb der ETH Zürich zu erreichen, sollen die bestehenden Strukturen genutzt und eingesetzt werden.
1.4. Risikobeurteilung
Die Risiken für einen Business Prozess1 oder die Reputation der ETH werden mit einer Business Impact Analyse (BIA) bestimmt.
Kennt man die Risiken, kann man sie beurteilen und bewerten. Man ermittelt, wie weit ein Risiko mit welcher Massnahme vermindert werden kann. Darauf wird zwischen Kosten und Nutzen abgewogen. Ziel dieses kontinuierlichen Prozesses ist es, nur noch akzeptierte Restrisiken für die Organisation zu haben, deren Auswirkungen tolerierbar sind. Der Nachweis für dieses Vorgehen wird bei Revisionen eingefordert.
1.5. Business Risk Management
Die meisten Geschäftsprozesse an der ETH haben eine IT-Komponente. Der Ausfall dieser Komponente bewirkt direkt einen Ausfall eines oder mehrerer Geschäftsprozesse. Ein Verfügbarkeitsunterbruch ist definitionsgemäss im Fokus der Information Security.
Weil nur der Eigentümer des Geschäftsprozesses selber in der Lage ist, die Auswirkungen eines Ausfalls auf seinen Prozess zu beurteilen, muss er selber eine sogenannte Business Impact Analyse (BIA) machen. Er bestimmt damit, wie lange er maximal auf seinen Business Prozess verzichten kann. Diese Zeit teilt er seinen Servicelieferanten für die Komponenten in seinem Prozess mit. Insbesondere fixiert er diesen Wert im Service Level Agreement (SLA) mit seinem IT Provider, in der Regel die Informatikdienste. Die Informatikdienste der ETH unterstützen die Geschäftsprozessverantwortliche bei dieser Aufgabe.
Der IT Provider leitet daraus die Anforderung an seine IT-Systeme ab und definiert Massnahmen zur Sicherstellung der Verfügbarkeit und regelt mit seinen Lieferanten die Verträge. Der IT Provider benutzt die Vorgaben seiner Kunden für die Erfassung und Bewertung seiner eigenen Risiken.
1 Geschäftsprozess (Business Process): In diesem Zusammenhang sind Aktivitäten gemeint, die zur erfolgreichen Erledigung der Kernaufgaben einer Einheit gehören.
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite 3 / 8
2. Das Information Security Management System (ISMS)
2.1. Die Norm
Um vergleichbare Verhältnisse zu schaffen, wurde eine international gültige Norm erstellt, nach der viele Firmen und Verwaltungen arbeiten und die auch von Zertifizierungsstellen geprüft wird. Die heute gültige Norm heisst ISO/IEC 27000 [1] und besteht aus mehreren Büchern zu verschiedenen Teilthemen der Informationssicherheit. Im wichtigsten Teil, der Norm ISO 27001, geht es um das Informationssicherheits-Managementsystem. Dieses erlaubt der ETH die nachvollziehbare Steuerung der Informationssicherheit.
2.2. Empfehlungen der Norm
Die Norm gibt Anregungen und Richtlinien, welche Steuerungsgrössen und Prozesse angewendet werden können und wie sie zu implementieren sind. Es ist Sache der ETH, welche Steuerungsgrössen sie auswählt oder wie genau sie die erforderlichen Prozesse implementiert. Sie muss aber ihre Entscheidungen dokumentieren und Kontrollelemente so wählen, dass Fehlfunktionen in den Prozessen erkannt und korrigiert werden können.
2.3. Ein systematischer und lebbarer Prozess
Um die in diesem Dokument formulierten Zielsetzungen zu erreichen, muss die ETH einen ISMS-Prozess betreiben. Entscheidend ist, dass alle Angehörigen, welche sich mit Informationssicherheit beschäftigen, aktiv diesen Prozess leben. Dazu gehört immer auch das oberste Management – die Schulleitung. Sie trägt die Verantwortung und kommuniziert ihre Unterstützung der Informationssicherheit (Commitment).
2.4. Die Steuerung des ISMS
Der internationale Standard wendet das Modell des Plan-Do-Check-Acts (PDCA)1, auch Deming-Cycle genannt, an, um die Prozesse des ISMS zu strukturieren.
Planen: Festlegen, welche Zielsetzungen erreicht werden sollen und Ableiten von Massnahmen
Ausführen: Umsetzen der definierten Massnahmen
Überprüfen: Anhand von Messgrössen verifizieren, ob die Zielsetzungen erreicht wurden
Schlussfolgerung und Verbesserung: Auswerten der Erkenntnisse und Ableiten von Korrekturen
1 Deming Cycle (William Edwards Deming (1900-1993))
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite 4 / 8
PLANFremde Richtlinien, Gesetze
Eigene Richtlinien
Verträge mit Dritten
Verträge mit Angestellten
CHECKInterne Audits
Externe Audits
Self Assessments
Messungen
Analyse von Vorfällen
Risiken
ACTQualitative Aussagen aufbereiten
Management Reviews
Verbesserungsmassnahmen
bestimmen
Risikoreduktionsmassnahmen
bestimmen
DOAwareness sicherstellen
Klassifizieren von Informationen
Berechtigungsvergabe
Prozeduren zur Behandlung von
Vorfällen
Risiken erkennen und festhalten
SteuernProzessrahmen
Rollen
Verantwortungen
Abbildung 1: PDCA Zyklus in der Information Security
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite 5 / 8
3. Umsetzung des Informationssicherheits-Konzepts an der ETH Zürich
3.1. Rollen
Um die in diesem Dokument erwähnten Zielsetzungen zu erreichen, werden an der ETH bereits bestehende Rollen durch Aufgaben im Zusammenhang mit Informationssicherheit ergänzt. Die neue Rolle des ISO (Information Security Officers) ist eine ergänzende Rolle zu der bestehenden Funktionen des ISL (Informatik Support Leiter). Die Pfeile im Diagramm stellen Informationsflüsse dar und nicht organisatorische Unterstellungen.
Schulleitung Die SL trägt die Verantwortung für Information Security. Sie setzt Richtlinien in Kraft, die für die gesamte ETH gültig sind. Die Umsetzung der Richtlinien in den Departementen und den ZO erfolgt über die Departementsvorsteher und die Infrastrukturbereiche.
Risikomanagement Kommission (RMK)
Die Risikomanagement Kommission (RMK) als ständige Kommission der Schulleitung berät den Präsidenten und die Schulleitung in sämtlichen Fragen des Risikomanagements (Organisationsverordnung ETHZ, Art. 28, Abs. 1, Bst. e).
Sie unterstützt die Einheiten bei der Koordination und Organisation der Informationssicherheit als Teil eines umfassenden Risikomanagements.
Departementsvorsteher Der Departemenstvorsteher trägt die Verantwortung für Information Security in seiner Einheit. Er legt bei Bedarf individuelle Richtlinien in seiner Einheit fest.
IT Sicherheitsbeauftragte (SGU)
Die Rolle der IT Sicherheitsbeauftragten wird von der SGU-Leiterin wahrgenommen.
Die IT Sicherheitsbeauftragte ist verantwortlich für die rechtlich zulässige und bestimmungsgemässe Nutzung der ETH-Informatiksysteme durch die Anwender in der Hochschule und durch berechtigte Dritte (z.B. Spinoff-Unternehmen). Sie ist Ansprechstelle bei Missbräuchen. Sie koordiniert die Kontrollen und die Massnahmen zur Vermeidung von Missbräuchen.
Chief Information Security Officer (CISO)
Die Rolle und Verantwortung des CISO liegt an der ETH bei den Informatikdiensten.
Der CISO koordiniert Treffen mit den ISO. Er legt in Absprache mit den ISO und der Schulleitung die Informationssicherheits-Strategie der ETH fest.
Der CISO unterstützt die ISO bei der Durchführung der Business Impact Analyse.
Er erarbeitet zusammen mit den ISO die jährlichen Information Security Ziele im Sinne des PDCA Cycles.
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite 6 / 8
Information Security Officer (ISO)
Die Rolle des Information Security Officer (ISO) ist neu. Diese Rolle wird durch den ISL wahrgenommen.
Der ISO koordiniert die individuellen Information Security Bedürfnisse seiner Einheit. Er ist Ansprechpartner für den CISO. Er berät die Interessensgruppen in seiner Einheit bei der Erkennung und Beurteilung der Sicherheitsrisiken.
Er unterstützt seine Einheit bei der Durchführung der BIA.
Er erarbeitet zusammen mit den anderen ISO’s und dem CISO die jährlichen Information Security Ziele im Sinne des PDCA Cycles.
Er kommuniziert gegenüber den Nutzern seines Bereiches bei IS Systemausfällen.
Endbenutzer/Anwender Ist informiert über Best Practices und Richtlinien. Geht proaktiv auf den ISO/CISO zu, falls Risiken oder Probleme identifiziert werden.
Die folgende Abbildung zeigt das funktionelle Zusammenspiel der Rollen.
Abbildung 2: Übersicht Rollen
3.2. Aufgaben und Organisation
Die ISOs organisieren sich in zwei Gremien, welche vom CISO geleitet werden : Das „ISO Gremium Departemente“ und das „ISO Gremium ZO“. Da die Bedürfnisse der Departemente und der Einheiten der zentralen Organe divergieren können, finden die Koordinationssitzungen der beiden Gremien in der Regel getrennt statt.
Die ISO-Gremien haben keine Weisungsbefugnisse. Ihr Ziel ist es, die Informationssicherheit der ETH zu verbessern.
Entscheide zur Umsetzung werden über den regulären Weg an der ETH, via Schulleitung, angegangen.
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite 7 / 8
Die ISO Gremien treffen sich im Normallfall einmal im Quartal, wobei ein zusätzliches individuelles Meeting zwischen ISO und CISO dazu dient, die BIA im jährlichen Rhythmus zu überarbeiten. Zuständig für die Einladung ist der CISO. Jeder ISO kann bei Bedarf zusätzlich ein entsprechendes Meeting vereinbaren.
Inhalt des jeweiligen Meetings ist im Normalfall:
Zeitpunkt des Meetings: Inhalt
Q1 (optional) Festlegen der Vorgehensweise zur Umsetzung der gestellten Zielsetzungen (DO)
Q2 (optional) Zwischenresultate, neue Erkenntnisse (DO)
Q3 Verifikation des Erreichten. Beurteilung der aktuellen Bedürfnisse und Aufnahme neuer Bedürfnisse (CHECK)
Q4 Festlegen von gemeinsamen IS Massnahmen für das kommende Jahr, basierend auf einer Risikoeinschätzung oder konkreten Aufträgen durch die SL (ACT/PLAN)
Im eingespielten Zustand kann die Zahl der Meetings von 4 auf 2 pro Jahr reduziert werden. Die Verteilung auf das Kalenderjahr ist flexibel und erfolgt sinnvoll.
Informatikdienste, Konzept Informationssicherheit, Version 2.0
Seite 8 / 8
Abkürzungen und Begriffe
Begriff Bedeutung
BIA Business Impact Analysis
BOT Benutzerordnung Telematik
CISO Chief Information Security Officer;
IS Informationssicherheit, Information Security
ISL Informatiksupportleiter
ISO Information Security Officer; Trägt die Verantwortung für die IS eines Teilbereichs; Der ISO berichtet dem obersten Management seiner Organisationseinheit
ITIL IT Infrastructure Library; IT-Prozessbibliothek
SLA Service Level Agreement; Servicevertrag zwischen Leistungserbringer und Leistungsbezüger.