Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die...
Transcript of Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die...
![Page 1: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/1.jpg)
Prozessorientiertes ITProzessorientiertes IT--Sicherheitsmanagement Sicherheitsmanagement auf der Basis von ITILauf der Basis von ITILFrank Reiländer, Berater IT-Sicherheit/DatenschutzIT Security & Risk Management, INFODAS GmbH
[email protected] www.save-infodas.de(0221) 7 09 12-85
![Page 2: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/2.jpg)
© 2005 INFODAS GmbH 2
ÜberblickÜberblick
ITIL – Motivation– Zielsetzung
– Grundbegriffe
– Struktureller Aufbau
Das drei Ebenen-Prozessmodell– Business Perspective
– Service Delivery
– Service Support
Integration von IT-Sicherheit mit ITIL– Beispiele für einzelne Prozesse
– Security SLAs
– Abbildung auf IT-Grundschutzbausteine
![Page 3: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/3.jpg)
© 2005 INFODAS GmbH 3
Probleme bei der Aufgabenerfüllung Probleme bei der Aufgabenerfüllung von Servicevon Service--DienstleisternDienstleistern
Unklare oder fehlende Zielsetzungen
Unrealistische Erwartungen; unrealistische Versprechen
Unterschätzter Zeit- und Personal-aufwand beim Vertragsmanagement
Unzureichende Definition von Auf-tragsumfang, Servicelevel und Preis
Qualität und Kundenservice schlecht
Geschäft und Technologie ändern sich in unvorhergesehener Weise
Quelle: Gartner Group
![Page 4: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/4.jpg)
© 2005 INFODAS GmbH 4
Intention Intention –– Originäres IT Originäres IT --Denken Denken
Methodische Grundlage für den Aufbau einer prozess- und dienstleistungsorientierten IT–Organisation
Fokus auf den Themen des IT–Service Managements
ITIL beschreibt, was zu tun ist (und nicht wie) !ITIL beschreibt, was zu tun ist (und nicht wie) !
![Page 5: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/5.jpg)
© 2005 INFODAS GmbH 5
ITIL ITIL –– GrundbegriffeGrundbegriffe
ITIL → Information Technologie Infrastructure Library– Prozessmodell für die Gestaltung einer dienstleistungsorientierten
Informationsverarbeitung
– Library (Bibliothek) besteht aus 45 Büchern
– Ziel: Umgestaltung einer produktorientierten IT-Organisation in eine IT-Service-Management-Organisation
– IT Infrastructure beschreibt Räumlichkeiten, elektrische Versorgung, Telefon, Netze, Hardware, Software, IT Services und Dokumentationen
Best Practice for IT → Entwicklung Ende der 80er Jahre durch die CCTA (Central Computer and Telecommunications Agency)– Zunächst Host-basierter Ansatz
– Später Qualitätssicherungsstandard auch für Client-Server-Systeme
![Page 6: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/6.jpg)
© 2005 INFODAS GmbH 6
ITIL ITIL –– MerkmaleMerkmale
De-facto-Standard– Herausgeber: Office of Government Commerce (OGC)
– Rahmenwerk beschreibt in 7 Bänden 10 Kernprozesse
Knowledge Management– Seit Ende der 80er Jahre kontinuierlich aufgebaut
– Seit 1985 in Deutschland, Österreich und der Schweiz eingeführt
– (Hersteller-)Unabhängigkeit
– Basis für viele andere Referenzmodelle
– Fachlich fundiert
Frei verfügbar / nicht proprietär– ITIL ist allerdings Eigentum der britischen Regierung
![Page 7: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/7.jpg)
© 2005 INFODAS GmbH 7
ITIL ITIL -- PublicationPublication FrameworkFramework
Quelle: OGC
![Page 8: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/8.jpg)
© 2005 INFODAS GmbH 8
ÜberblickÜberblick
ITIL – Motivation– Zielsetzung
– Grundbegriffe
– Struktureller Aufbau
Das drei Ebenen-Prozessmodell– Business Perspective
– Service Delivery
– Service Support
Integration von IT-Sicherheit mit ITIL– Beispiele für einzelne Prozesse
– Security SLAs
– Abbildung auf IT-Grundschutzbausteine
![Page 9: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/9.jpg)
© 2005 INFODAS GmbH 9
ITIL ITIL –– die drei Ebenendie drei Ebenen
Management-Ebene (Strategical Layer)– Erfolgspotentiale schaffen (Produkte, Marktpotentiale, Mitarbeiter)
The Business Perspective
Planing to implement Service Management
Führungs-Ebene (Tactical Layer)– Erfolgspotentiale nutzen (Umsetzung der Strategie)
Application Management
Security Management
Service Delivery
Prozess-Ebene (Operational Layer)– Koordination der der Prozesse
ITC Infrastructure Management
Service Support
![Page 10: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/10.jpg)
© 2005 INFODAS GmbH 10
ITIL ITIL -- GliederungsebenenGliederungsebenen
Quelle: BSI-Studie, HiSolutions AG
![Page 11: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/11.jpg)
© 2005 INFODAS GmbH 11
Anforderungen an das IT Management Anforderungen an das IT Management ––TheThe Business Business PerspectivePerspective
Business Continuity Management (Notfallvorsorge und Notfallmanagement)
Partnerschaften und Outsourcing
Änderungsmanagement
Gestaltung der IT-Service-Organisation
Planung und Steuerung von IT-Services
Qualitätsmanagement für IT-Services
Business- und Management-Fähigkeiten
Kundenbeziehungsmanagement
![Page 12: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/12.jpg)
© 2005 INFODAS GmbH 12
Service Delivery Service Delivery ––die taktischen Prozessedie taktischen Prozesse
Service Level Management– Service-Kataloge, Vertragsmanagement, Reporting
Finanzmanagement (Financial Management for IT-Services)– Kostentransparenz, Zuordnungen (TCO), Profit Center
Verfügbarkeitsmanagement (Availability Management)– Einhaltung der Zusagen, Abstimmung mit dem Kunden
Kapazitätsmanagement (Capacity Management)– Ökonomische Planung, Prognosen, Konfliktmanagement bei
gemeinsamer Nutzung von Ressourcen
Kontinuitätsmanagement (IT Service Continuity Management)– Identifikation von Risiken, Notfallvorsorge
![Page 13: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/13.jpg)
© 2005 INFODAS GmbH 13
Service Support Service Support ––die operativen Prozessedie operativen Prozesse
Störungsmanagement (Incident Management)– Wiederherstellen des vereinbarten Services
Problemmanagement (Problem Management)– Fehler gering halten
– Wiederholtes Auftreten von Störungen verhindern
Änderungsmanagement (Change Management)– Aufeinander abgestimmte Änderungen mit standardisierten Methoden
Versionsmanagement (Release Management)– Einspielen von getesteter Hard- und Software
Konfigurationsmanagement (Configuration Management)– Erfassung, Kontrolle und Verifikation der IT-Komponenten
![Page 14: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/14.jpg)
© 2005 INFODAS GmbH 14
Service ManagementService Managementund Security Managementund Security Management
![Page 15: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/15.jpg)
© 2005 INFODAS GmbH 15
ÜberblickÜberblick
ITIL – Motivation– Zielsetzung
– Grundbegriffe
– Struktureller Aufbau
Das drei Ebenen-Prozessmodell– Business Perspective
– Service Delivery
– Service Support
Integration von IT-Sicherheit mit ITIL– Beispiele für einzelne Prozesse
– Security SLAs
– Abbildung auf IT-Grundschutzbausteine
![Page 16: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/16.jpg)
© 2005 INFODAS GmbH 16
Beispiele für ein ITBeispiele für ein IT--Sicherheitsmanagement in ITILSicherheitsmanagement in ITIL
Availability Management– Verfügbarkeit der IT-Komponenten als Globalanforderung
Business Continuity Planing– Notfallplanung (in Abhängigkeit der Verfügbarkeitsanforderungen)
Performance and Capacity Management– z.B. Analyse der Monitoring Daten unter Sicherheitsgesichtspunkten
Financial Management– Kosten von Sicherheitsmaßnahmen (Firewalls, Virenschutz, …) [ROSI]
Configuration and Asset Management / Change Management– Sicherheitsbewertung sämtlicher CIs (Configuration Items) [IT-GSHB]
Incident Management
![Page 17: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/17.jpg)
© 2005 INFODAS GmbH 17
SicherheitsanforderungenSicherheitsanforderungendefiniert als Securitydefiniert als Security--SLAsSLAs
Zugriffsmethoden und –management (User-ID, Passwort)Audits und LoggingDokumentation sicherheitsrelevanter EreignisseVerantwortlichkeiten und Pflichten– Einhaltung von Bestimmungen– Datenschutz– Installations- und Wartungsaspekte– Rückgabe von Arbeitsmitteln
Ansprechpartner und Eskalationspfade bei SicherheitsverletzungenReporting und Verfolgung von SicherheitsvorfällenSicherheitsschulungen für Administratoren und Benutzer
![Page 18: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/18.jpg)
© 2005 INFODAS GmbH 18
Abbildung der ITILAbbildung der ITIL--ProzesseProzesseauf die ITauf die IT--GrundschutzbausteineGrundschutzbausteine
Quelle: BSI-Studie
![Page 19: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/19.jpg)
© 2005 INFODAS GmbH 19
FazitFazit
ITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen– Tätigkeiten werden geregelt (statt Ad-hoc) durchgeführt
– Sicherheit kann als Service gegenüber Kunden und Mitarbeitern definiert werden
– SecSLAs beschreiben bspw. die Benutzerverwaltung als Prozess
– Audit-Prozesse können sich ISMS-Überprüfungen abstützen
ITIL kann den Sicherheitsprozess zur Chefsache machen– Strategische Prozesse werden durch das Management überwacht
– ITIL liefert ökonomische Begründungen für IT-Sicherheitsmaßnahmen
![Page 20: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/20.jpg)
© 2005 INFODAS GmbH 20
SAVeSAVe®® Security Services Security Services Leistungsangebot der INFODASLeistungsangebot der INFODAS
Innovative Beratung und LInnovative Beratung und Löösungensungen
Security ManagementSecurity Policies und -konzepteDatenschutzberatung, externer DSBBusiness Continuity PlanningIT-SicherheitsdatenbankSchwachstellen- / PenetrationstestsSicherheitsaudits / ZertifikatsauditsBSI-Grundschutz, Security for Business
®
![Page 21: Prozessorientiertes IT- Sicherheitsmanagement auf der ... · PDF fileITIL bietet die Möglichkeit, den Sicherheitsprozess nachhaltig zu machen – Tätigkeiten werden geregelt (statt](https://reader038.fdocument.pub/reader038/viewer/2022103012/5a9e0aba7f8b9a420a8cd09c/html5/thumbnails/21.jpg)
Prozessorientiertes ITProzessorientiertes IT--Sicherheitsmanagement Sicherheitsmanagement auf der Basis von ITILauf der Basis von ITILVielen Dank für Ihre Aufmerksamkeit!Ihre Fragen sind unsere Herausforderungen…INFODAS GmbH, Rhonestraße 2, D-50765 Kö[email protected] oder www.save-infodas.de