IT-Sicherheit 4 IT-Sec-Management - Micro Fusion...ITIL v3 Certification Levels ITIL v3 Certification Levels: • Foundation • Intermediate • Expert • Master 04.01.2012 5 WS
Post on 19-Jul-2020
3 Views
Preview:
Transcript
04.01.2012
1
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
1
IT Sicherheit
Teil 4
IT Security Management
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
2
ITIL
IT Infrastructure Library OGC (Office of Governance Commerce) in Norwich (England)
Kernpublikationen:
� ITIL Service Design
� ITIL Service Transition
� ITIL Service Operation
� ITIL Service Strategy
� ITIL Continual Service Improvement
04.01.2012
2
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
3
ITIL Service Strategie
• Service Portfolio Management• Demand Management• IT Financial Management
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
4
ITIL Service Design
• Service Catalogue Management
• Service Level Management
• Risk Management
• Capacity Management
• Availability Management
• IT Service Continuity Management
• Information Security Management
• Compliance Management
• IT Architecture Management
• Supplier Management
04.01.2012
3
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
5
ITIL - Service Transition
• Service Asset and Configuration Management
• Service Validation and Testing• Evaluation• Release Management• Change Management• Knowledge Management
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
6
ITIL – Service Operation
• Event Management• Incident Management• Problem Management• Request Fulfillment• Access Management
04.01.2012
4
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
7
ITIL - Continual Service Improvement
• Service Level Management• Service Measurement and Reporting• Continual Service Improvement
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
8
ITIL v3 Certification Levels
ITIL v3 Certification Levels: • Foundation• Intermediate• Expert • Master
04.01.2012
5
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
9
ITIL (Service Design) Security Management
• Information Security Management System– Framework:
• Policy, Prozesse, Standards, Guidelines und Tools
– Sicherstellen, dass die Organisation die Security Management Ziele erreicht werden
• Information Security Policy– Diese Grundsätze steuern das Vorgehen der
Security Management der Organisation
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
10
ITIL (Service Design) Security Management
• Information Security Management– Prozess sichert
• Vertraulichkeit • Integrität• Verfügbarkeit
– für Assets, Informationen, Daten und IT Services.
– Organisatorischer Ansatz ist weiter zu fassen als ein IT Service: Scope ist u.a. Umgang mit Papieren, Gebäudezutritt, Telefonanrufe
04.01.2012
6
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
11
ITIL Security ManagementZiele
• Umsetzung der Sicherheitsanforderungen– Service Level Agreements (SLAs) – externe Anforderungen
• Verträge / Gesetze / interne und externe Grundsätze (Policies)
• Umsetzung eines Sicherheitsbasislevels– Durchgängigkeit des Managements garantieren– Einführung eines vereinfachten Security Service Level
Management
Beispiel: PC ArbeitsplätzeSicherheitsanforderungen aus SLAs:
– Datenverfügbarkeit: Backup-Zyklus, Recovery Time
– Firewall Betrieb– Verteilung v. Sicherheitsupdates– Physikalischer Schutz (Diebstahl)
externe Anforderungen z.B.:– BDSG– Leasingverträge
Ziel: Umsetzung der AnforderungenVorlesung: IT-Sicherheit
04.01.2012
7
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
13
ITIL Security Management
Ergebnis der Zieledefinition
⇨Inputs für Prozess Initialisierung
Messung der Ziele:
⇨Key Performance Indikatoren (KPI)
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
14
ITIL Security Management
KPIs
= S.M.A.R.T.– Spezifisch
• eindeutig definiert • nicht vage, sondern so präzise wie möglich
– Messbar: Kriterien– Akzeptiert – Realisierbar + Erreichbar– Termin: klare Vorgabe
04.01.2012
8
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
15
ITIL Security Management
Vorgehen: • kontinuierlicher zyklischer Prozess
PDCA Paradigma
• Plan• Do • Check • Act
Vorlesung: IT-Sicherheit
ITIL Security Management
Prozess
04.01.2012
9
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
17
ITIL Security Management
Security Management Prozess:• Control (Steuerung)• Plan (Planung)• Implementation (Umsetzung)• Evaluation (Auswertung)• Maintenance (Pfelge)
Control
Plan
Implement
Evaluate
Maintain
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
18
ITIL Security Management Prozess
Control Aktivitäten
• Security Grundsätze einführen– Anforderungen + Regeln– Ergebnis: „Policy Statement“
• Security Organisation definieren– Verantwortlichkeiten, etc– Ergebnis: „Security Management
Framework“• Reporting
Control
Plan
Implement
Evaluate
Maintain
04.01.2012
10
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
19
ITIL Security Management Prozess
Plan Aktivitäten
• SLAs um Security Aspekte erweitern• untermauernde Verträge aufsetzen
– Externe Dienstleister– Beratung, Support
• OLAs – Security Planung d. Organisationseinheiten
• Reporting
Control
Plan
Implement
Evaluate
Maintain
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
20
ITIL Security Management Prozess
Implementation Aktivitäten• Klassifizierung und Management
von IT Applikationen einführen– Configuration Items– Change Management / Steuerung
• Personalbezogene Sicherheit einführen
• Sicherheitsmanagement einführen• Zugangskontrollsystem einführen• Reporting
Control
Plan
Implement
Evaluate
Maintain
04.01.2012
11
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
21
ITIL Security Management Prozess
Evaluation Aktivitäten• Selbstbewertung (Self assessment)• Interne Prüfung (Audit)• Externe Prüfung (Audit)• Auswertung von Security Events• Reporting
Control
Plan
Implement
Evaluate
Maintain
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
22
ITIL Security Management Prozess
Maintenance Aktivitäten• Pflege der SLAs • Pflege der OLAs• Change Request (CR)
für SLAs und OLAs• Reporting
Control
Plan
Implement
Evaluate
Maintain
04.01.2012
12
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
23
ITIL Security Management Prozess
• Schnittstellen zu anderen ITIL Prozessen:– IT Customer Relationship Management– Service Level Management– Availability Management– Capacity Management– IT Service Continuity Management– Configuration Management– Release Management– Incident Management & Service Desk– Problem Management– Change Management (ITSM)
Vorlesung: IT-Sicherheit
ITIL Security ManagementWas kann schief gehen?
• Ausrichtung auf Security Audit• Keine Problembewusstsein• Potentielle Schäden werden unterschätzt• Fehlende Verpflichtungen (Nachweis?)• Verantwortung wird weggeschoben• zahnloser Security Officer• Verankerung in den Prozessen fehlt
– Planung (Vertrag, Projekt, Angebot, Service, …)– Einkauf– Q-Gates– Abnahme
04.01.2012
13
Vorlesung: IT-Sicherheit
ITIL Security Management Was kann schief gehen?
• Analyse der Sicherheitsanforderungen und Risikoanalysen werden zurück gestellt
• Sicherheit ist in Projekt-Budgets nicht eingeplant– Verzicht auf Experten
• Clean Desk / Wall Policy wird nicht akzeptiert• Policies / Konzepte:
– Unvollständig– Scheingenau– Verzettelt– ITIL-Sicherheitsaspekte im Betriebskonzept
schriftlich?• Sicherheitsvorfällen werden herunter gespielt
Vorlesung: IT-Sicherheit
ITIL Security Management
CIO
Betrieb,Service Service
Manager
Berater
Zulieferer
Owner, Verantwortung
Doing
Koordination
Verpflichtungen
Assistenz
ITIL Security
04.01.2012
14
IT Security Management: ADV
ADV = Auftragsdatenverarbeitung• Verantwortliche Stelle � Dritte
• Auftragsdatenverarbeitung – §11 BDSG
• Funktionsübertragung – „Übermittlung“– Gesetzlich erlaubt?
BDSG §§ 28 und 32
Vorlesung: IT-Sicherheit
IT Security Management: ADVKriterien Auftragsdatenverarbeitung:
• fehlende Entscheidungsbefugnis des Auftragnehmers
• weisungsgebundene Unterstützung des Auftraggebers
• Keine Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des Auftragnehmers
• fehlende vertragliche Beziehung des Auftragnehmers zum Betroffenen
• Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt
Beispiele: Wartung/Pflege IT, Fehlersuche in Software, Daten-/Systemmigration, Software weiterentwickeln
Vorlesung: IT-Sicherheit
04.01.2012
15
IT Security Management: ADVKriterien Funktionsübertragung:
• Überlassung von Nutzungsrechten an den Daten,
• Eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister,
• Weisungsfreiheit des Dienstleisters bezüglich dessen, was mit den Daten geschieht,
• Sicherstellen der Rechte von Betroffenen, wie Benachrichtigungspflicht und Auskunftsanspruch.
Beispiele: Buchhaltung, HR, Handelsvertreter
Vorlesung: IT-Sicherheit
IT Security Management: ADV§11 BDSG: schriftlicher Vertrag notwendig
1. Gegenstand, Dauer
2. Umfang, Art, Zweck
3. organisatorische u. technische Maßnahmen
4. Berichtigung, Löschung, Sperrung von Daten
5. Pflichten den Auftragnehmers (Kontrolle)
6. Unterauftragnehmer
7. Kontrollrecht, Duldung, Mitwirkung d. Auftaggebers
8. Umgang mit Verstößen zum Datenschutz
9. Daten-Rückgabe, Löschung nach Auftragende
Vorlesung: IT-Sicherheit
04.01.2012
16
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
31
Übung zu ITIL Security Management
Bsp.: HochschuleDie Verwendung von E-Mails beinhalten diverse potentielle Sicherheitsprobleme.
• Welche Themen sind für eine E-Mails Security Policy relevant.
• Wie wäre der Ablauf eine E-Mail Security Policy für ihre Universität einzuführen?
Vorlesung: IT-Sicherheit
ITIL Sicherheitsberatung
Analysetechniken
04.01.2012
17
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
• Mengen / Prozesse– Bedeutung von Mengengruppen?
• ABC-Analyse / Pareto-Analyse• Priorisierung und Konzentration auf
vielversprechende Maßnahmen
– Vergleichsfragen• Portfolio Analyse• Bewertung anhand weniger Kriterien
– Symptombearbeitung und Fehleranalyse• Ursache-Wirkungs-Analyse• Wirkungskette und Ursachenwurzel
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
• Zusammenhänge und soziale Systeme– Projektstart und Findungsphase
• Umfeldanalyse• Projektpartner und ihre Bedeutung
– Contracting / Audits• Stakeholder und Erwartungen analysieren• Einschätzung von Interessen
– Strategieentwicklung für Kooperationen und Konkurrenzsituationen
• Analyse von Mit- und Gegenspielern• Situationsanalyse des sozialen Systems
04.01.2012
18
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
• Qualitative Zusammenhänge– Bewertung von Ausgangssituation und Status
Quo• Förderliche und verhindernde Faktoren• SWOT Analyse
– Entscheidungsfindung bei Zielalternativen• Kraftfeldanalyse• Bewertung der Erreichbarkeit von Zielen
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
ABC- oder Pareto Analyse
04.01.2012
19
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
• ABC-Analyse / Pareto-Analyse– Eine kleine Anzahl von Elementen trägt viel
zum Gesamtumfang bei– 80% der Ziele können mit 20% der Mittel
erreicht werden– Worauf konzentieren? Welche Prioritäten?– Worauf verzichten?
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
ABC-Analyse / Pareto-Analyse– Vorgehen:
1. Verbrauch ermitteln• Assets, Informationen/Daten, Services
2. Rangreihung• z.B. nach Verwendung, Kunden/Userzahl, Verbreitung,
Nutzungintensität
3. Priorisierung in Klassen• Klasse A bis C
4. Maßnahmen ableiten
04.01.2012
20
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungPareto Analyse
einfaches Beispiel: ISP nach UmsatzService Preis p.m. Kunden Umsatz p.m.
Web Pack S 5 20000 100000Web Pack M 10 500 5000Web Pack L 15 1000 15000Root Server 20 200 40001GB Storage 3 15000 45000E-Mail Box 2 70000 140000
Service Preis p.m. Kunden Umsatz p.m. Ums akk p.m.0E-Mail Box 2,00 € 70000 140.000 € 140.000 €Web Pack S 5,00 € 20000 100.000 € 240.000 €1GB Storage 3,00 € 15000 45.000 € 285.000 €Web Pack L 15,00 € 1000 15.000 € 300.000 €Web Pack M 10,00 € 500 5.000 € 305.000 €Root Server 20,00 € 200 4.000 € 309.000 €
Vorlesung: IT-Sicherheit
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
E-Mai
l Box
Web
Pac
k S
1GB S
tora
ge
Web
Pac
k L
Web
Pac
k M
Root
Ser
ver
ITIL SicherheitsberatungPareto Analyse
Beispiel: ISP nach Umsatz
AServices
BServices
CServices
Kum
ulie
rter
Um
satz
04.01.2012
21
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungPareto Analyse
Beispiel für Maßnahmenableitung:• Security-Policies für A-Services erstellen• für A-Service eigener Security Officer• Sicherheitsanalyse für A-Services
– Risiken / Schadenspotential
• Servicedesk und Trouble Ticket System für A-Services optimieren
• Separates A-Services Reporting
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
SWOT Analyse
04.01.2012
22
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken SWOT
Stärken(Strength)
Probleme(Weaknesses)
Chancen(Opportunities)
Risiken(Threads)
Gegenwart
Zukunft
Positiv Negativ
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken SWOT
Stärken:• Was sind unsere Stärken? Was läuft gut?• Worauf können wir uns verlassen?• Was stellt uns zufrieden? • Was gibt uns Energie? Worauf sind wir stolz?
Probleme:• Was ist schwierig? Was fehlt uns?• Welche Störungen behindern uns?• Was fällt uns schwer?• Wo liegen unsere verwundbaren Stellen,• Selbstbehinderungen?
04.01.2012
23
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken SWOT
Chancen:• Wozu könnten wir noch fähig sein?• Was sind die Zukunftschancen und neue Trends?• Was können wir im Umfeld nutzen?• Welches Potential haben wir noch?• Was könnten wir ausbauen?• Welche Möglichkeiten stehen noch offen?
Risiken:• Wo lauern künftig Gefahren und Risiken?• Was kommt an Schwierigkeiten auf uns zu?• Was kann uns geschehen?• Welche Fehlentwicklungen befürchten wir?
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken SWOT
Stärken(Strength)
Probleme(Weaknesses)
Chancen(Opportunities)
Risiken(Threads)
Gegenwart
ZukunftAnsatz
04.01.2012
24
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungSWOT Analyse
• Serviceprozess
Stärken / Schwächenim Vergleich zu Risiken
Kriterium + + + o - - -
Reaktionszeit
Servicegrad
Sicherheit
Security SLAs
Security OLAs
dringender Handlungsbedarf
Mögliche Abwehr?
Unsere Stärken: Anderswo nutzen?
Chancen?
Trends?
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungSWOT Analyse
Vorgehensweise: 1. Sammeln
• ca. 3 - 5 Aussagen pro Quadrant; ausgeglichenes Bild über alle Quadranten
• bei Konflikten: – vorhandenen Konsens feststellen; – dann Dissens gesondert bearbeiten
2. Priorisierung 3. Aktionspläne für
o W � O o T � O
04.01.2012
25
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungSWOT Analyse
• Services
Stärken / Schwächen (Security)im Vergleich zu Chancen (Umsatz)
Kriterium + + + o - - -
Root Server
Web Pack M
Web Pack L
Web Pack S
Kann man Ausbauen?
Auswirkungen?
Kosten?
Fehlentwicklung?
Übertragen?
Service Preis p.m. Kunden Umsatz p.m. Ums akk p.m.0E-Mail Box 2,00 € 70000 140.000 € 140.000 €Web Pack S 5,00 € 20000 100.000 € 240.000 €1GB Storage 3,00 € 15000 45.000 € 285.000 €Web Pack L 15,00 € 1000 15.000 € 300.000 €Web Pack M 10,00 € 500 5.000 € 305.000 €Root Server 20,00 € 200 4.000 € 309.000 €
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
Portfolio Analyse
04.01.2012
26
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungPortfolio Analyse
Beispiel:
Wild Cat Star
Poor Dog Cash CowWac
hstu
m
Umsatz (oder Marktanteil) hochniedrig
nied
righo
ch
Root Server
1GBWeb Pack S
Boston Consulting Group: „BCG-Matrix“
EmailBox
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungPortfolio Analyse
• Poor Dogs:– Security Sicht: Reduce & Simplify: Abschaffen?– Schadenspotential vs. Nutzen?
• Cash Cows:– bringen Geld: – Achtung: Da will keiner ran, da kein Wachstum mehr
• Wild Cat:– benötigen Investition und Aufmerksamkeit– offensive Strategie notwendig– hier können auch die größten Fehler gemacht werden
• Stars– wegen Wachstum besteht hoher Investitionsbedarf, – Hohes Risiko und Schadenspotential– ITIL Prozesse darauf abstimmen
04.01.2012
27
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungPortfolio Analyse
• Original BCG Matrix– Relativer Marktanteil vs. – Marktwachstum
• Vorschlag:– Schaden durch Sicherheitsvorfällevs.– Zunahme von Sicherheitsproblemen
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
Analyse von Ursache und Wirkung„Ishikawa Diagramm“
04.01.2012
28
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungIshikawa Diagramm
Ursache Wirkung
Problem
Ausstattung Prozesse Menschen
Material Umgebung Management
HauptursacheNeben-ursache
…geht auch als Mind Map
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungIshikawa Diagramm
Ziel: Verbesserung der Servicequalität
� systematisches Qualitätsmanagement
„4 Ss of Service Industry“1. Surroundings2. Suppliers3. Systems4. Skills
04.01.2012
29
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
Umfeld Analyse
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalyse des Umfeldes
Be
tro
ffe
nh
eit
Einfluss
Rechen-zentrum
Controlling
ITIL Projekt
Service Desk
CIO
Service Manager
Einkauf
ext.Berater
SeD
eB
RZ
SeM
EK
kritischbefreundetArbeitsebene
CIO
Joker
Gesetzte
Spielmacher
Unberührte
Co
Stakeholder Management � Plan
top related