IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler

Größe: px

Ab Seite anzeigen:

Download "IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler"

Angelika Adenauer
vor 8 Jahren
Abrufe

1 IT Security auf Basis von SLA s am Airport Nürnberg Jörg Ziegler

2 Agenda - Sicherheit am Airport Nürnberg - IT-Security Policy - Rolle des IT Security Managers - Gliederung für IT-Sicherheitskonzept - Maßnahmen zur IT-Sicherheit - IT-Centerbereichs-/Prozessmatrix Airport Nürnberg - IT Management Tools - Schnittstellen - Business Process View s - IT-Security Report - Zusammenfassung 2

IT-Sicherheit - IT-Centerbereichs-/Prozessmatrix Airport Nürnberg - IT

3 Airport Nürnberg: Fakten & Zahlen - Jahresumsatz 91 Mio. EUR - Mitarbeiter/Innen Flugbewegungen Passagiere insgesamt davon Linie davon Touristik davon Sonstige Gesamtaufkommen Luftfracht (t) Total Air Cargo davon geflogen/flown Air Cargo Betriebszeit 24 Stunden

$039 -Gesamtaufkommen Luftfracht (t) Total Air Cargo 99.$

4 IT am Airport Nürnberg: Zahlen, Daten, Fakten - IT ist als Servicecenter im Konzern tätig, angesiedelt im kaufmännischen Bereich - IT hat Kostendeckungsauftrag - 20 Mitarbeiter in der IT - Ca. 800 User / 550 Clients - 2 Rechenzentren Serversysteme - Davon 42 virtuelle Server Applikationen belegte LAN-Ports

Kostendeckungsauftrag - 20 Mitarbeiter in der IT - Ca.

5 Sicherheit am Airport Nürnberg - Risk-Management - Sicherheit im Luftverkehr - Baulicher Brandschutz - Baustellensicherheit - Vorbeugender Brandschutz Brandschutzbeauftragter - Arbeitssicherheit - Datenschutz - Datenschutzbeauftragter - Rechtssicherheit - Versicherungsschutz - IT-Sicherheit

Vorbeugender Brandschutz Brandschutzbeauftragter - Arbeitssicherheit -

6 IT-Security Policy - Zielsetzung der IT-Sicherheitsziele, Bedeutung der Security Die Kernkompetenz des Konzerns besteht in der schnellen, sicheren und reibungslosen Abwicklung des Luftverkehrs am Boden. Unsere IT-Systeme und die dafür erforderlichen Schutzmaßnahmen müssen deshalb so ausgelegt sein, dass eine hohe Verfügbarkeit garantiert werden kann. Dies gilt in besonderem Maße für jene Systeme, welche die operativen Prozesse unterstützen. - Verantwortung aller Mitarbeiter zur Einhaltung - Anforderungen an das Unternehmen (externe Anforderungen der Gesetze und Kunden, interne Anforderungen z. B. Qualitätsaspekte) - Organisationsauftrag (Benennung des IT Security Managers, Ressourcen) - Festlegen der Zielgrößen - Vorgaben zum Reporting

Dies gilt in besonderem Maße für jene Systeme, welche die operativen Prozesse unterstützen.

7 Rolle des IT-Security Managers - IT-Security Manager etabliert, koordiniert und überwacht die IT- Sicherheit - IT-Sicherheitskonzept erstellen - Abstimmung im Unternehmen - Freigabe bei GF und IT-Leitung einholen - Umsetzung initiieren - Umsetzung für LAN selbst vornehmen - Einhaltung überwachen - Schnittstellenfunktionen einbinden (z.b. Risk-Management) - Reports an GF und IT-Leitung - Permanente Anpassung des Sicherheitskonzeptes - Schulung und Sensibilisierung aller Beteiligter

8 Gliederung für IT-Sicherheitskonzept - Management-Summary - Szenariobeschreibung; Definition Objekte, Subjekte (Personen) und Sicherheitsziele - Festlegung des Schutzbedarfes - Wert des Sicherheitsziels und Schaden bei Nichteinhaltung (monetär, Image, Geschäftsforderung, gesetzlich) - Angriffspotential; Gefährdung, Bedrohung (Subjekt versucht unzulässiges Objekt mit bestimmten Angriffspotential anzugreifen), Schaden - Schwachstellenanalyse der Objekte - Sicherheitsanforderungen - Auswahl von Sicherheitsmaßnahmen (Vertraglich beim Outsourcing, organisatorisch, Infrastruktur wie Türen, Verkabelung, RZ, Abstrahlschutz, Sicherheitsfunktionen bei HW und SW) - Begründung der Wirtschaftlichkeit, Praktikabilität, Angemessenheit, Akzeptanz - Bestimmung und weitere Behandlung des Restrisikos - Glossar; Verweise auf weitere Dokumente - Organisationsstruktur

Angriffspotential anzugreifen), Schaden - Schwachstellenanalyse der Objekte - Sicherheitsanforderungen - Auswahl von Sicherheitsmaßnahmen (Vertraglich beim Outsourcing, organisatorisch, Infrastruktur

9 Maßnahmen zur IT-Sicherheit - Physikalischer Zugangsschutz (z.b. Rechnerraum) - Schreibschutz / Zugriffsschutz / Passwörter - Betriebskonzepte / Redundanz von Systemen und Schnittstellen - Service Level Agreements als Basis auch für IT- Security Ziele - IT-Prozessmanagement (z.b. IT-Betrieb, Projekte ) - Eskalationsprozesse - Technische Maßnahmen: Firewall (Dienstefilter), Gateway Security (Viren, Spam, Url-Filter), Betriebssystemsicherheit (Patch- Management, Client-Virenschutz), VPN (Tunneling)

Service Level Agreements als Basis auch für IT- Security Ziele - IT-Prozessmanagement (z.b.

10 IT-Centerbereichs-/Prozessmatrix Airport Nürnberg

11 IT Management Tools - Schnittstellen Nagios System Management Für Einzelkomponentenüberwachung Störungen CA Service Desk User Help Desk Asset Management Für Einzelkomponenten und Business Process Views (technisch / SLA-Sicht) Tickets Servicelevel Asset - Daten (SLA-Sicht) ACOSOFT ServiceCenter - Kalkulation der Produkte - Abrechnung der Produkte - SLA-Monitoring Projektdaten Kostenbuchungen Kosten / AfA SAP Kosten in SAP CA Configuration Management Database - CMDB Beziehungen der Configuration Items ACOSOFT Projektmanagement und Zeiterfassung -Projekte - Betrieb

ServiceCenter - Kalkulation der Produkte - Abrechnung der Produkte - SLA-Monitoring Projektdaten Kostenbuchungen Kosten / AfA SAP Kosten in

12 Business Process View s - Ganzheitliches Prozessverständnis - Komplette Systemdarstellungen Beispiel Atlas Frachtsystem - SLA-Verfügbarkeitsvereinbarung für kompletten Business Process View

13 IT Security Report - Kapitel - Einleitung - Serverräume - Datenträgerarchiv - Räume für technische Infrastruktrur - Microsoft Patchmanagement - Netware Patchmanagement - Unix/Linux Patchmanagement - Mailfilter -Firewall - Virenschutz - Datensicherung - Verfügbarkeitsreports strategischer IT-Systeme - Netzwerkinfrastruktur

Patchmanagement - Unix/Linux Patchmanagement - Mailfilter -Firewall -

14 Zusammenfassung - IT-Security ist Teil der Gesamtsicherheit am Airport - Prozess IT-Security Management ist eingeführt und die Rolle des IT-Security Managers ist besetzt - Gefahrenbereiche für IT nehmen weiter zu - Service Center Informationstechnologie (KI) trifft permanent entsprechende Maßnahmen zur Gefahrenreduzierung - Report zu IT-Security erfolgt jedes Quartal - Sensibilisierung aller Mitarbeiter zum Thema IT-Sicherheit ist wichtige Aufgabe - Ganzheitliche Prozessabbildung mit starker ITIL-Ausrichtung - Integrierter Tooleinsatz zur Überwachung und Steuerung aller IT-Produkte in technischer, organisatorischer und kaufmännischer Hinsicht - Enges Zusammenwirken von SLA-, Availability- und Security-Management - Alle Mitarbeiter tragen Mitverantwortung für IT-Sicherheit 14

aller Mitarbeiter zum Thema IT-Sicherheit ist wichtige Aufgabe - Ganzheitliche Prozessabbildung mit starker ITIL-Ausrichtung - Integrierter Tooleinsatz zur Überwachung und Steuerung aller

Ähnliche Dokumente

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung