Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1
ITIL –Was hat IT Security mit IT
Service Management zu tun?
Adrian KäserPartner
CLAVIS klw AG
4
• Geburtsdatum: 30. November 1964
• Privat: Schweizer, verheiratet, 3 Kinder
• Mitinhaber der CLAVIS klw AG
• Ingenieurschule Brugg/Windisch, Diplom als Ing. FH in Technischer Informatik, Fachausweis Informatikprojektleiter, Manager‘s Certificate in IT-Service Management, Practitioner‘s Certificate in PRINCE2
Referent – Adrian Käser
Referententätigkeit
Fachexperte in der Beschaffung von Informatikmitteln, Unix Kurse, Fachreferent zu Themen im Bereich IT Security Management
Erfahrung Projekt Management & IT Service Management
Mehr als 15 Jahre Erfahrung als Manager, Projektleiter und Berater für grosse und kleinere Unternehmungen. Spezielle Kenntnisse in den Bereichen Plattformbau und Systemsmanagement (Softwaredistribution, Systemsmonitoring, Backup/Restore & Disaster Recovery, Storagemanagement, Design und Realisierung komplexer IT Infrastrukturen).Autor von Kompetenznachweisen im Bereich Service Management für i-ch.
2
5
Gesamtübersicht CLAVIS Services
6
CLAVIS – Klubschule Migros
+
= ITIL Service Manager Ausbildung
3
7
IT Service Management Elemente
8
ITIL Service Management –Das Prozessmodell
Anwender
Kundenorganisation
Management
Kunde
Anwender
Strategische Prozesse
Taktische Prozesse
Operationelle Prozesse
CustomerRelationship
Management
FinancialManagement
ContinuityManagement für
IT-Services
AvailabilityManagement
CapacityManagement
Incident Management
Change
Management
ProblemManagement
ConfigurationManagement
Release
Management
Secu
rity
Man
ag
em
en
t
Front
Service Level
Management
Service
Desk
Management
Service Organisation
4
9
ITIL Service Management –Das Prozessmodell
Anwender
Kundenorganisation
Management
Kunde
Anwender
Strategische Prozesse
Taktische Prozesse
Operationelle Prozesse
CustomerRelationship
Management
FinancialManagement
ContinuityManagement für
IT-Services
AvailabilityManagement
CapacityManagement
Incident Management
ChangeManagement
ProblemManagement
ConfigurationManagement
ReleaseManagement
Secu
rity
Man
ag
em
en
t
Front
Service Level
Management
Service
Desk
Management
Service Organisation
10
ITIL - Security Management
• Informationen gehören zu den wichtigsten Werten und Wirtschaftsgütern einer Unternehmung.
• Ohne Informationen sind nur die wenigsten Geschäftsprozesse in der Lage bestimmungsgemäss abzulaufen.
• Das Security Management stellt sicher, dass die in den Service Level Vereinbarungen (SLA) festgehaltenen Sicherheitsstufen eingehalten werden.
5
11
Bedeutung & Nutzen von Informationen
• Interne Bedeutung
– Unternehmensprozesse verfügen über die richtigen und
vollständigen Informationen.
• Externe Bedeutung
– Nur mit den richtigen und adäquaten Informationen
können qualitativ hoch stehende Produkte und Dienstleistungen angeboten werden.
� Der Nutzen von Security Management lässt sich nur schwer quantifizieren. Aber Kostenfolgen und Kostenverdeutlichungen sind bei einem Sicherheitsvorfall sofort sehr hoch.
12
Zielsetzung – Confidentiality, Integrity und
Availability
� C I A – Confidentiality – Integrity – Availability
• Vertraulichkeit – Confidentiality
– Schutz der Informationen vor unberechtigter Veröffentlichung, unautorisierter Kenntnisnahme und unbefugter Benutzung.
• Integrität – Integrity
– Zusammenhang der Richtigkeit und Vollständigkeit von Informationen sowie ihrer Übereinstimmung mit den betriebswirtschaftlichen Werten und Erwartungen.
• Verfügbarkeit – Availability
– Gewährleistung des Zugriffs auf die Informationen zu jedem gewünschten Zeitpunkt innerhalb eines vereinbarten Zeitfensters.
6
13
Prozess
SteuerungOrganisieren sie sich!
Legen sie Zielvorgaben und Prinzipen fest!
Ordnen sie Verantworlichkeiten zu!
Umsetzung & ImplementationBewusstsein schaffen (Awareness)
Klassifikation & Registration
Physische Sicherheit
Persönliche Sicherheit
Sicherheitsadministration (Computer,Netzwerke, Anwendungen, …)
Kontrolle und Pflege vonZugriffsberechtigungen
Abwicklung von Sicherheitsvorfällen
Berichtswesengemäss SLA
Auswertungen & EvaluierungenInterne Audits
Externe Audits
Selbsbeurteilungen (Self Assessments)
Sicherheitsvorfälle
PlanungService Level Agreement
Underpinning Contracts
Operational Level Agreements
Sicherheitsgrundsätze /Grundschutz
14
Phasen im Security Management
7
15
Wesentliche Beziehungen zu anderen Prozessen
SLA
Service Requirement
Management
Service Level
Management
Dienstleister rapportiert
über SLA Einhaltung
Kunde ‚kontrolliert’
über das SLA
16
Kritische Erfolgsfaktoren
• Die volle Unterstützung und aktive Beteiligung des obersten Managements.
• Klare Trennung und Regelung der Verantwortlichkeiten
� Funktionstrennung (Prozesse, Organisationen)
� Gewaltentrennung (Legislative, Exekutive, Judikative)
• Einbindung des Kunden und der Anwender bei der Festlegung der Prozesse.
8
17
ITIL referenziert auf Standards
PersonenbezogenProdukt- und
SystembezogenOrganisationsbezogen
BSI Grundschutz- Handbuch (GSHB)
ISO 17799
Datenschutz-gesetz
Strafgesetzbuch
Managementorientiert
technischorientiert
Cobit
ITSec/CC
• Es existieren diverse Organisationen und Vereinigungen, welche Vorgaben und Richtlinien zur Erstellung eines Grundschutzes erlassen. Auch der Gesetzgeber kümmert sich immer mehr um die Art und Weise wie Informationen bearbeitet und aufbewahrt werden.
18
Datenschutzgesetz & Strafgesetzbuch
• Das Datenschutzgesetz (DSG)Regelt den Verwendungszweck von Sammlungen personenbezogener Daten und Informationen und die Vorkehrungen, welche zu deren Schutz getroffen werden müssen. Der Grundgedanke des Datenschutzes liegt im Schutz des Persönlichkeitsrechts.
http://www.admin.ch/ch/d/sr/23.html#235
• Das Strafgesetzbuch (StGB)Ist die Basis für die strafrechtliche Verfolgung von Delikten im IT Bereich. Weiter gibt das Strafgesetzbuch auch Hinweise auf die rechtliche Verantwortung bei der Verarbeitung und
Aufbewahrungen von Informationen (Beweisführung).
http://www.admin.ch/ch/d/sr/31.html#311
Personenbezogen Produkt- undSystembezogen Organisationsbezogen
BSI Grundschutz- Handbuch (GSHB)
ISO 17799
Datenschutz-gesetz
Strafgesetzbuch
Managementorientiert
technischorientiert
Cobit
ITSec/CC
9
19
Bestimmungen aus dem Strafrecht
Strafbestand Artikel Inhalt
Urkundenfälschung StGB 251
Unbefugte Datenbeschaffung / Datenspionage
StGB 143 Datendiebstahl, Datenspionage
Unbefugtes Eindringen in ein Datenverarbeitungssystem
StGB 143bis Hacking
Datenbeschädigung StGB 144bis Sachbeschädigung z.B. durch Viren
Betrügersicher Missbrauch einer Datenverarbeitungsanlage
StGB 147 Computerbetrug, Computermanipulation
Erschleichen einer Leistung StGB 150 Unerlaubte Nutzung eines DV-Systems für eigene Zwecke
• Beispiel:
• StGB 143• 1. Wer in der Absicht, sich oder einen anderen unrechtmässig zu bereichern, sich oder
einem anderen elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Zuchthaus bis zu fünf Jahren oder mit Gefängnis bestraft.
• 2. Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt.
20
ISO/IEC 17799 (BS7799)
• Die Norm ISO/IEC 17799 stellt eine umfassende Sammlung
von Massnahmen bereit, die dem ‚Best-Practice‘ Ansatz der Informationssicherheit genügen.
• Betrachtet werden Aspekte der:Sicherheitspolitik, Organisation der Sicherheit, Einstufung, Kontrolle der Werte, personelle Sicherheit, physische und Umgebungsbezogene Sicherheit, Management der Kommunikation, Zugangskontrollen, Systementwicklung und Wartung, Management des kontinuierlichen Geschäftsbetriebs, Einhaltung von Verpflichtungen.
http://www.iso-17799.com/
Personenbezogen Produkt- undSystembezogen Organisationsbezogen
BSI Grundschutz- Handbuch (GSHB)
ISO 17799
Datenschutz-gesetz
Strafgesetzbuch
Managementorientiert
technischorientiert
Cobit
ITSec/CC
10
21
CobiT - Control Objectives for Information
and Related Technology
• CobiT ist eines der Werkzeuge der IT Revisoren.
• Der intensive Einsatz von IT zur Abwicklung und Unterstützung geschäftsrelevanter Abläufe erfordert die Etablierung eines geeigneten Kontrollumfelds.
• CobiT wurde von der ISACA - Information Systems Audit and Control Association – als Methode für die Kontrolle und Prüfung von IT und der IT nahe liegenden Prozessen entwickelt.
http://www.isaca.org/cobit/
Personenbezogen Produkt- undSystembezogen Organisationsbezogen
BSI Grundschutz- Handbuch (GSHB)
ISO 17799
Datenschutz-gesetz
Strafgesetzbuch
Managementorientiert
technischorientiert
Cobit
ITSec/CC
22
ITSEC und CC
• ITSEC – Information Technology Security Evaluation Criteria- und CC – Common Criteria for Information Technology –definieren Kriterien für die Evaluierung und Bewertung
von IT-Systemen und -Produkten nach unterschiedlichen Evaluierungsstufen.
http://www.bsi.bund.de/zertifiz/itkrit/itkrit.htm
Personenbezogen Produkt- undSystembezogen Organisationsbezogen
BSI Grundschutz- Handbuch (GSHB)
ISO 17799
Datenschutz-gesetz
Strafgesetzbuch
Managementorientiert
technischorientiert
Cobit
ITSec/CC
11
23
BSI – IT-Grundschutz
• Ein Gesamtsystem enthält typische Komponenten(z.B. Server und Clients, Betriebssysteme).
• Pauschalisierte Gefährdungen und Eintrittswahrscheinlichkeiten.
• Empfehlung geeigneter Bündel von Standard-Sicherheitsmassnahmen.
• konkrete Umsetzungshinweise für Massnahmen.
http://www.bsi.de/gshb/
Personenbezogen Produkt- undSystembezogen Organisationsbezogen
BSI Grundschutz- Handbuch (GSHB)
ISO 17799
Datenschutz-gesetz
Strafgesetzbuch
Managementorientiert
technischorientiert
Cobit
ITSec/CC
24
Zusammenfassung
Wichtig für die Geschäftsleitung
• Die volle Unterstützung und aktive Beteiligung des obersten Managements ist zwingend erforderlich.
Wichtig für die IT - Abteilung
• Nur mit den richtigen und adäquaten Informationen können qualitativ hoch stehende Produkte und Dienstleistungen angeboten werden.
Wichtig für den Benutzer
• Sicherheit kann nicht an den Security Officer delegiert werden. Sicherheit muss von jedem Einzelnen gelebt werden.
12
25
Security Management