ITIL & IT-Sicherheit Michael Storz CN8
Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management
Einleitung - ITIL Outsourcing Vereinbarungen: Was ist im jeweiligen Service enthalten? Wie wird mit Problemen umgegangen? Welche Sicherheitsoptionen beinhaltet der jeweilige Service? Erbringung von IT-Services ist sehr komplex ITIL ITIL beschreibt nicht was gemacht werden soll, sondern wie etwas gemacht werden soll
Einleitung IT-Sicherheit Schutz von IT-Systemen und Informationen Schaden und Risiken minimieren Security-Management sorgt für die Gewährleistung der gewünschten Sicherheit ITIL beinhaltet einen Leitfaden für das Security-Management
Security-Management
Security-Management Ziel: Schutz der Informationen Gewährleistung des Zugriffs auf Informationen und deren Erhaltung Beispiele für Schutzmaßnahmen: physikalische Maßnahmen technische Maßnahmen ablauforganisatorische Festlegungen
Security-Management Risiko-Analyse: aktueller Zustand ermitteln erforderliche Maßnahmen festlegen Kosten mit einbinden Abstimmung der Sicherheitsmaßnahmen Kommunikation zwischen dem Kunden und dem IT-Dienstleister SLA
Security-Management - Ziele Gewährleistung der Informationssicherheit Schutzziele: Vertraulichkeit Integrität Verfügbarkeit
Security-Management - Ziele Bestandteile des Ziels: Erfüllung der Sicherheitsanforderungen in den SLAs Implementierung eines gewissen Grundschutzes INPUT: SLAs, andere Sicherheitsgrundsätze, Informationen aus anderen Prozessen OUTPUT: Planung und Konzeption von Sicherheitsmaßnahmen; Zuteilung der Zuständigkeit
Service-Level-Agreement beinhaltet die Vereinbarungen mit dem Kunden incl. Anforderungen an das Security- Management Sicherheitsbedarf des Kunden (über dem Grundschutz) wird beschrieben Das Service Level Management ist dafür zuständig
Security-Management - Prozess
Prozess - Steuerung Sicherheitsgrundsätze (Security Policies) Entwicklung und Implementierung der Policies Zielvorhaben, allgemeine Prinzipien und Bedeutung Beschreibung der Teilprozesse Zusammenhang mit anderen ITIL- Prozessen Vorgehen bei Sicherheitsstörungen.
Security-Management - Prozess
Prozess Implementierung (1) Personelle Sicherheit Aufgaben und Verantwortlichkeiten in Funktionsbeschreibungen Verpflichtung der Mitarbeiter zur Nichtweitergabe von vertraulichen Informationen Schulung Förderung des Sicherheitsbewusstseins Richtlinien für das Personal über den Umgang mit Sicherheitsstörungen
Prozess Implementierung (2) Zugriffsschutz Implementierung der Grundsätze für die Zugrissteuerung und Zugriffsrechte Pflege der Zugriffsrechte von Anwendern (und Anwendungen) auf Netzwerke, Netzwerkservices, Computer und Anwendungen Pflege von sicherheitsrelevanten Einstellungen und Konfigurationen für die Abschottung von Netzwerken und Netzwerkkomponenten gegen unbefugten externen und internen Zugriff (Firewalls, Verschlüsselung,...) Implementierung von Maßnahmen zur Identifizierung und Authentifizierung von Computersystemen, Workstations und Server im Netzwerk
Security-Management - Prozess
Security-Management und IT Service Management
Security-Management und IT Service Management Service Level Management Sicherheit gehört zu den zentralen Anforderungen Service Level Management und Security- Management: Den Sicherheitsbedarf des Kunden festlegen Festlegen der SLAs im Bereich Sicherheit
Security-Management und IT Service Management Continuity-Management Wiederaufbaupläne Hochverfügbarkeit Incident-Management Sicherheitsvorfälle sind Störungen in IT- Services Störungen können Folgen von Sicherheitsvorfällen sein
Security-Management und IT Service Management Configuration-Management Für die Anforderungen der Verfügbarkeit, Integrität und Vertraulichkeit Für die Dokumentation der Sicherheitsmaßnahmen Change-Management Security-Management fordert Änderungen an (Sicherheitsprobleme) Einbeziehen des Security-Management für Änderungen
ITIL & IT-Sicherheit