Integriertes ISMS mit i-doit 30. November 2017 Simon Timpner creasec consulting
Inhalt 1 Wieso ISMS Dokumentation mit i-doit 2 Projektvorbereitung und Neuausrichtung 3 Projektverlauf und Hürden 4 Aktueller Stand und Kennzahlen
Wieso ISMS Dokumentation mit i-doit Anforderung: ISMS Dokumentation und Erfassung von CIs Zusammenführung von zwei Projekten: "ISMS Documentation" und "Application Documentation" i-doit wurde bereits als Lösung für ISMS Dokumentation ausgesucht VIVA Modul Erweiterbarkeit / Schnittstellen Erfüllt zusätzlich die Anforderungen aus dem "Application Documentation" Projekt 00/00/2015 Simon Timpner creasec consulting www.creasec-consulting.de mail@creasec-consulting.de 3
Projektstart und Neuausrichtung Vorstellung von Konzept und Produkt Ergebnis: Weitere Anforderungen aufnehmen Ablösung bestehender Lösungen (IT Asset-Management, Service-Management, IP-Adress-Management) Etablierung neuer Funktionen (Lizenz- und Vertragsmanagement, Benachrichtigungen) Schaffung von Schnittstellen (OTRS, icinga2, Nessus) i-doit als Datenbasis für andere Produkte (OTRS, icinga2, Nessus, Raum-GIS) Wachstum zum Informations- und management-system für IT-belange 00/00/2015 Simon Timpner creasec consulting www.creasec-consulting.de mail@creasec-consulting.de 4
Projektverlauf und Hürden 1/2 Alle Anforderungen aufeinander abstimmen Wann wird was wie umgesetzt? Schließen sich Anforderungen gegenseitig aus? Welche mitgeleiferten Funktionen sollen genutzt werden? Welche Add-Ons? Fehlende Schnittstellen OTRS Schnittstelle entsprach Anforderungen nicht Zukauf des it-novum OTRS Sync Add-ons Keine Schnittstelle zu Nessus Schwachstellen-Management Gelöst durch Eigenentwicklung auf API-Basis 00/00/2015 Simon Timpner creasec consulting www.creasec-consulting.de mail@creasec-consulting.de 5
Projektverlauf und Hürden 2/2 Import bestehender Daten Daten wurden aus verschiedenen Quellen importiert sowie vor und nach Import kontrolliert i-doit mit sehr umfangreicher Oberfläche Anforderungen aus verschiedenen Bereichen in einer Oberfläche abbilden Rollen, Berechtigungen und Prozesse definieren Bugs, Bugs, Bugs Einsatz von i-doit, icinga2, OTRS, sowie verschiedenen Schnittstellen Update behebt einen Bug, bringt x neue und Inkompatilität zu Schnittstellen und angebundenen Systemen Update der Schnittstellen sowie angeschlossener Systeme Bugs, Bugs, Bugs 00/00/2015 Simon Timpner creasec consulting www.creasec-consulting.de mail@creasec-consulting.de 6
Praxiseinsatz und Kennzahlen 1/3 i-doit liefert Datenbasis für OTRS Daten werden in die OTRS CMDB Synchronisiert, Ziel: Ticketverknüpfung mit CI, Schaffung einer KB Nessus IP-Adressen werden nach Nessus synchronisiert, Ziel: MA haben Einsicht auf Schwachstellen ihrer Systeme Icinga2 Bereitstellung der Daten für Host Konfiguration, Ziel: Datenpflege für Monitoring in i-doit Raum-GIS Host-Informationen werden ausgelesen, Ziel: Darstellung von Host-Informationen im Raum-GIS i-doit erhält Daten von Icinga2, Ziel: Host-Status-Darstellung i-doit stellt Funktionen bereit ISMS Dokumentation / Dokumentation von Maßnahmen / Reporting Lizenz- und Vertragsmanagement Benachrichtigungen bei Lizenzauslauf, Zertifikatsauslauf, Kündigungsfristen, Ausfallsimulation uvm. 00/00/2015 Simon Timpner creasec Consulting www.creasec-consulting.de mail@creasec-consulting.de 7
Praxiseinsatz und Kennzahlen 2/3 Besonderheit: Projektleiter, Koordinator und Hauptprojektmitarbeiter in einer Person Budget: niedriger fünfstelliger Bereich Projektdauer: ca. 1 Jahr (Simon Timpner: ~2 Tage/Woche, Weitere Personen: ~4h/Woche) 40 Anwender mit Lese-/Schreibberechtigungen, ~1000 potentielle Anwender mit Leseberechtigung ~150 Änderungen/Tag ~11.000 angelegte Objekte, ~4.000 kommen in Q1/2018 dazu 00/00/2015 Simon Timpner creasec Consulting www.creasec-consulting.de mail@creasec-consulting.de 8
Praxiseinsatz und Kennzahlen 3/3 Zusammengefasst: Durch das Zusammenführen der i-doit CMDB, der Dokumentation im VIVA Add-On, des Schwachstellen- Managements, des Monitorings, des Reportings und der Benachrichtigungen sowie i-doit als zentrale Anlaufstelle und Datenbasis, steht ein umfangreiches und integriertes ISMS Management zur Verfügung. 00/00/2015 Simon Timpner creasec Consulting www.creasec-consulting.de mail@creasec-consulting.de 9
Vielen Dank für Ihre Aufmerksamkeit