ITIL V3 - Security Management

Transkript

1 ITIL V3 - Security Management Richard Friedl richard.friedl@itsm-partner.com ITIL is a Registered Trade Mark, and Registered Community Trade Mark of the Office of Government Commerce, and is Registered in the U.S. Patent and Trademark Office.

2 Über ITSM Partner Gründung des Unternehmens 2005 Derzeit 13 Mitarbeiter und mehrere externe Berater und Trainer Spezialisiert auf Service Management: Beratung-Training-Implementierung Unsere ITIL Trainings sind offiziell akkreditiert von EXIN Marktführer für ITIL Schulungen in Österreich

3 Die neuen Bücher

4 Wozu eine Version 3 von ITIL Veröffentlichung und Verbreitung der Version 2 seit 2000 Von 7 Büchern sind nur 2 wirklich bekannt (Service Support, Service Delivery) Passagen (z.b. über Technologie ) sind veraltet Struktur und Layout der Bücher sind nicht gelungen Wichtige Themen wie Strategie und Service Design wurden nicht behandelt neue Best Practices seit 2000 wurden nicht in die alten Bücher aufgenommen

5 Warum und wie ITIL geändert wurde Neue Bücher als Kern für Erweiterungen. Offen für aktuelle und zukünftige Anforderungen!

6 Grundlegende Ideen Services müssen NÜTZLICH und BRAUCHBAR sein ( Service Utility ) Services müssen ZUVERLÄSSIG sein und GEWÄHRLEISTET werden ( Service Warranty ) Service Utility nützt den Kunden zur Steigerung ihrer Produktivität und zur unterbrechungslosen Ausführung der Geschäftsprozesse Service Utility dient zur Minimierung der Auswirkung von Störungen und ermöglicht den Kunden Mobilität und Unabhängigkeit von zeitlichen Beschränkungen Service Warranty sorgt für Verfügbarkeit, Kapazität, IT Security und IT Service Continuity

7 Der Servicelebenszyklus Richtlinien und Ziele Service Strategy Änderung und Umsetzung Service Design Service Transition Service Operation Continual Service Improvement Service Transition Lernen und nachhaltig Verbessern Continual Service Improvement Service Design Service Strategy Service operation

8 Der Servicelebenszyklus Service Operation Event Mgm Incident Mgm Request Fulfillment Problem Mgm Access Mgm Service Design Service Catalogue Mgm Capacity Mgm Availability Mgm Service Level Mgm Service Continuity Mgm Information Security Mgm Supplier Mgm Service Strategy Financial Mgm Portfolio Mgm Continual Service Improvement Service Transition Change Mgm Service Asset & Configuration Mgm Release & Deployment Mgm Service Validation & Testing Evaluation Knowledge Mgm

9 Warum ITIL geändert wurde Quelle: APMG, Trainerbriefing 2007

10 Der Status im Refresh Projekt ( ) Die 5 Hauptwerke sind veröffentlicht (dzt. in Englisch) Ergänzende Bücher sind im Entstehen itsmf Deutschland übersetzt derzeit die 5 Bücher Ein deutschsprachiges Glossar ist fertig (59 Seiten) Das neue Schulungs- und Zertifizierungsschema ist nahezu fertig Neue Ausbildungen sind ab Ende 2007 sinnvoll

11 Neues und Anmerkungen Lebenszyklus statt Framework Neue Themen aufgenommen Übersetzung durch itsmf.de Neues Zertifizierungsschema V2 Prozesse wurden aufgeteilt Struktur und Layout sind gelungen Good Practice ergänzend zu Best Practice <- Ergänzende Bücher folgen <- sinnvoll <- klare Begriffswelt, auch in Deutsch <- Anrechnung bestehender Zertifizierung <- Sicherung von Investitionen <- mehr Buch für das viele Geld <- realistischer Ansatz

12 Information Security Management

13 Zweck von Information Security Management Zweck: Gleicht IT Security mit Business-Security ab Gewährleistet Security bei allen Service Mgmt. Aktivitäten gibt die strategische Richtung für Security Aktivitäten vor managed Information Security Risiken managed alle IT Security Aktivitäten Information allgemein, beinhaltet Datenspeicher, Datenbanken, Metadaten

14 Ziele von Information Security Management Verfügbarkeit (Availability) Vertraulichkeit (Confidentiality) Integrität (Integrity) Authentizität Die Definition der Security ist nur im Kontext mit Business-Bedürfnissen und Risiken ausreichend!

15 Umfang ISM muss die gesamte IT und Business Security verstehen: Business Security Policy und Pläne Den Geschäftsbetrieb und seine Security Anforderungen zukünftige Business Pläne und Anforderungen gesetzliche Anforderungen Verpflichtungen und Zuständigkeiten bzgl. Security im SLA Business- und IT Risiken und deren Management

16 Umfang ISM soll als Inhalt haben: Produktion, Wartung, Verteilung und Durchführung einer Information Security Policy und unterstützender Policies Aufbau und Betrieb eines Information Security Management System (ISMS) für die effektive Steuerung der Information Security Security Management Information System (SMIS) Information Security Policy(s) Security reports and information Security controls Security risks and responses

17 Security als Service im Service Katalog SD 4.1.4, p63, SD 6.4.5, p194

18 Auslöser für den Prozess Neue/veränderte Richtlinien der Unternehmensorganisation Neue/veränderte Business Security Policy Neue/veränderte Businessanforderungen Neue/veränderte Anforderungen in Verträgen Review und Revision von Designs und Strategien Requests aus anderen Bereichen, vor allem SLM

19 Security im Big Picture des Service Design SD 4.2, p60

20 Design von Services: Change Mgmt. ist der Schlüssel SAC = Service Acceptance Criteria SDP = Service Design Package (Dokumentation des Service) SLR = Service Level Requirement SLA = Service Level Agreement SLM = Service Level Management SD 3.6.1, p31-32

21 Der Input von Information Security Management SAC = Service Acceptance Criteria SDP = Service Design Package (Dokumentation des Service) SLR = Service Level Requirement SLA = Service Level Agreement SLM = Service Level Management SD 3.6.1, p31-32

22 Input Business Information Business Security Policies Service Information Risikoanalyse-Prozesse und Reports Details aller Security Events und Security Breaches Change Informationen CMS (Configuration Management System)

23 Die Bedeutung von Business Continuity Mgm für ISM SD 4.5.4, p , SD 6.4.8, p195

24 Output Information Security Policy Security Management Information System Security Controls Security Audits und Berichte Reviews und Berichte über Security Incidents

25 SD 4.6.4, p , SD , p196

26 Kennzahlen Business geschützt gegen Security-Verletzungen Senkung beim Service Desk gemeldeter Security Breaches (%) Senkung Einfluss von Security Breaches und Incidents (%) klare und akzeptierte Policy Senkung Anzahl Nichtübereinstimmung ISM Prozess mit Business Security Policy und Prozess Security Verfahren Steigerung der Unterstützung und Verbindlichkeit des Senior Management Mechanismus für Verbesserung Anzahl vorgeschlagener Verbesserungen für Security Verfahren und Steuereungen

27 Kennzahlen: Der 7-Step Improvement Process Identify Vision Strategy Tactical Goals Operational Goals 1. Define what you should measure 7. Implement corrective action 2. Define what you can measure 6. Present and use the information, assessment summary, action plans, etc. Goals 3. Gather the data Who? How? When? Integrity of data? 5. Analyse the data Relations? Trends? According to plan? Targets met? Corrective action? 4. Process the data Frequency? Format? System? Accuracy? CSI 4.1, p43-56

28 Zusammenfassung: ISM als gesteuerter Kreislauf MAINTAIN Lernen verbessern umplanen ändern PLAN Service Level Agreements Underpinning contracts Operational Level Agreements Policies EVALUATE Interne Audits Externe Audits Self Assessments Security Incidents auswerten CONTROL Org.Struktur schaffen Framework errichten (ISMS) Verantwortlichkeiten zuteilen Dokumentation erzeugen/steuern IMPLEMENT Awareness schaffen Datenklassifizierung Zuteilung von Asset-Verantwortung Datenschutz Physische Security HW und SW absichern Zugriffsrechte einsetzen Security Incident Prozeduren einführen

29 Access Management

30 Access Management Entsprechend der Sicherheitsrichtlinien und der Vorgaben aus dem Service Level Management wird den Anwendern der Zugriff auf Services ermöglicht. Somit wird das Versprechen der Availability (Verfügbarkeit von Services) eingelöst. Themen Zugang: zu Service-Funktionalitäten oder Daten User-ID: unique, identifiziert die Anwender Rechte: lesen, schreiben, löschen, Services: einzelne Services oder Gruppen von Services Directory Services: spezielle Lösungen zur Verwaltung von Rechten und Zugriff sollen eingesetzt werden SO 4.5.1, p68, SO 4.5.4, p68, SO 4.4.5, p59

31 Wie greifen Anwender auf Services zu? Standard Request aus dem Personalwesen (neuer Mitarbeiter, Mitarbeiter wird versetzt,..) Selbsthilfe-Portale (z.b. Zuteilung eines neuen Passworts) Durch die Unterstützung eines Service Desk Mitarbeiters Durch Erstellung eines Request for Change (für alle Anforderungen, die im SLA nicht abgedeckt sind) Jeder mögliche Zugriff soll sich aus dem Service Katalog ergeben (ansonsten: Request for Change für den Service Katalog nötig!) Jeder Zugriff muss verifiziert werden (meist durch UserID/PW, ansonsten durch Policies, Change Approval, )

32 Kritische Erfolgsfaktoren Die Möglichkeit, die Anwender tatsächlich zu identifizieren Die Möglichkeit, zu erkennen, dass dem Anwender der Zugriff (vertraglich) zugesagt wurde und somit erlaubt ist Die Möglichkeit, multiple Zugriffsrechte an einen Benutzer zu knüpfen Die Möglichkeit, den Status eines Anwenders zeitnah zu erfahren (noch angestellt oder vor 10 Minuten entlassen?) Ein gut etablierter Change Management Prozess Ein gut etablierter Incident Management Prozess Eine aktuelle Datenbank aller User und ihrer Rechte. Zugriff darauf für das gesamte autorisierte Support-Personal

33 Weiterführende Links Die offizielle ITIL Homepage: Benutzervereinigung: Bücher gibt es bei: Wikipedia: Diskussion: Die Foren IT Service Management und ITIL in der Praxis bei Kurse in Wien:

34 Danke!

35 ITIL Ausbildung

36 Das neue Ausbildungsschema V2 Zertifizierungen bleiben weiterhin gültig V2 Zertifizierungen werden angerechnet Es wird Überbrückungskurse geben, die ein Update auf die neuen Inhalte geben (inkl. Zertifizierungsprüfungen) In Zukunft ausschließlich Multiple Choice Zertifizierungsprüfungen ITIL Foundation V2 bis Ende 2008 verfügbar ITIL Service Manager V2 wahrscheinlich bis Ende 2008 verfügbar In Summe heißt V3 : Mehr Kurs(möglichkeiten) Achtung: Das Schema ist noch immer beim Qualification Board in Überarbeitung und daher ohne Gewähr!

37