IT-Sicherheit 4 IT-Sec-Management - Micro Fusion...ITIL v3 Certification Levels ITIL v3 Certification Levels: • Foundation • Intermediate • Expert • Master 04.01.2012 5 WS

04.01.2012

1

WS 2011/12 Vorlesung: IT-SicherheitM. Harms

1

IT Sicherheit

Teil 4

IT Security Management


2

ITIL

IT Infrastructure Library OGC (Office of Governance Commerce) in Norwich (England)

Kernpublikationen:

� ITIL Service Design

� ITIL Service Transition

� ITIL Service Operation

� ITIL Service Strategy

� ITIL Continual Service Improvement

04.01.2012

2


3

ITIL Service Strategie

• Service Portfolio Management• Demand Management• IT Financial Management


4

ITIL Service Design

• Service Catalogue Management

• Service Level Management

• Risk Management

• Capacity Management

• Availability Management

• IT Service Continuity Management

• Information Security Management

• Compliance Management

• IT Architecture Management

• Supplier Management

04.01.2012

3


5

ITIL - Service Transition

• Service Asset and Configuration Management

• Service Validation and Testing• Evaluation• Release Management• Change Management• Knowledge Management


6

ITIL – Service Operation

• Event Management• Incident Management• Problem Management• Request Fulfillment• Access Management

04.01.2012

4


7

ITIL - Continual Service Improvement

• Service Level Management• Service Measurement and Reporting• Continual Service Improvement


8

ITIL v3 Certification Levels

ITIL v3 Certification Levels: • Foundation• Intermediate• Expert • Master

04.01.2012

5


9

ITIL (Service Design) Security Management

• Information Security Management System– Framework:

• Policy, Prozesse, Standards, Guidelines und Tools

– Sicherstellen, dass die Organisation die Security Management Ziele erreicht werden

• Information Security Policy– Diese Grundsätze steuern das Vorgehen der

Security Management der Organisation


10

ITIL (Service Design) Security Management

• Information Security Management– Prozess sichert

• Vertraulichkeit • Integrität• Verfügbarkeit

– für Assets, Informationen, Daten und IT Services.

– Organisatorischer Ansatz ist weiter zu fassen als ein IT Service: Scope ist u.a. Umgang mit Papieren, Gebäudezutritt, Telefonanrufe

04.01.2012

6


11

ITIL Security ManagementZiele

• Umsetzung der Sicherheitsanforderungen– Service Level Agreements (SLAs) – externe Anforderungen

• Verträge / Gesetze / interne und externe Grundsätze (Policies)

• Umsetzung eines Sicherheitsbasislevels– Durchgängigkeit des Managements garantieren– Einführung eines vereinfachten Security Service Level

Management

Beispiel: PC ArbeitsplätzeSicherheitsanforderungen aus SLAs:

– Datenverfügbarkeit: Backup-Zyklus, Recovery Time

– Firewall Betrieb– Verteilung v. Sicherheitsupdates– Physikalischer Schutz (Diebstahl)

externe Anforderungen z.B.:– BDSG– Leasingverträge

Ziel: Umsetzung der AnforderungenVorlesung: IT-Sicherheit

04.01.2012

7


13

ITIL Security Management

Ergebnis der Zieledefinition

⇨Inputs für Prozess Initialisierung

Messung der Ziele:

⇨Key Performance Indikatoren (KPI)


14


KPIs

= S.M.A.R.T.– Spezifisch

• eindeutig definiert • nicht vage, sondern so präzise wie möglich

– Messbar: Kriterien– Akzeptiert – Realisierbar + Erreichbar– Termin: klare Vorgabe

04.01.2012

8


15


Vorgehen: • kontinuierlicher zyklischer Prozess

PDCA Paradigma

• Plan• Do • Check • Act

Vorlesung: IT-Sicherheit


Prozess

04.01.2012

9


17


Security Management Prozess:• Control (Steuerung)• Plan (Planung)• Implementation (Umsetzung)• Evaluation (Auswertung)• Maintenance (Pfelge)

Control

Plan

Implement

Evaluate

Maintain


18

ITIL Security Management Prozess

Control Aktivitäten

• Security Grundsätze einführen– Anforderungen + Regeln– Ergebnis: „Policy Statement“

• Security Organisation definieren– Verantwortlichkeiten, etc– Ergebnis: „Security Management

Framework“• Reporting

Control

Plan

Implement

Evaluate

Maintain

04.01.2012

10


19


Plan Aktivitäten

• SLAs um Security Aspekte erweitern• untermauernde Verträge aufsetzen

– Externe Dienstleister– Beratung, Support

• OLAs – Security Planung d. Organisationseinheiten

• Reporting

Control

Plan

Implement

Evaluate

Maintain


20


Implementation Aktivitäten• Klassifizierung und Management

von IT Applikationen einführen– Configuration Items– Change Management / Steuerung

• Personalbezogene Sicherheit einführen

• Sicherheitsmanagement einführen• Zugangskontrollsystem einführen• Reporting

Control

Plan

Implement

Evaluate

Maintain

04.01.2012

11


21


Evaluation Aktivitäten• Selbstbewertung (Self assessment)• Interne Prüfung (Audit)• Externe Prüfung (Audit)• Auswertung von Security Events• Reporting

Control

Plan

Implement

Evaluate

Maintain


22


Maintenance Aktivitäten• Pflege der SLAs • Pflege der OLAs• Change Request (CR)

für SLAs und OLAs• Reporting

Control

Plan

Implement

Evaluate

Maintain

04.01.2012

12


23


• Schnittstellen zu anderen ITIL Prozessen:– IT Customer Relationship Management– Service Level Management– Availability Management– Capacity Management– IT Service Continuity Management– Configuration Management– Release Management– Incident Management & Service Desk– Problem Management– Change Management (ITSM)


ITIL Security ManagementWas kann schief gehen?

• Ausrichtung auf Security Audit• Keine Problembewusstsein• Potentielle Schäden werden unterschätzt• Fehlende Verpflichtungen (Nachweis?)• Verantwortung wird weggeschoben• zahnloser Security Officer• Verankerung in den Prozessen fehlt

– Planung (Vertrag, Projekt, Angebot, Service, …)– Einkauf– Q-Gates– Abnahme

04.01.2012

13


ITIL Security Management Was kann schief gehen?

• Analyse der Sicherheitsanforderungen und Risikoanalysen werden zurück gestellt

• Sicherheit ist in Projekt-Budgets nicht eingeplant– Verzicht auf Experten

• Clean Desk / Wall Policy wird nicht akzeptiert• Policies / Konzepte:

– Unvollständig– Scheingenau– Verzettelt– ITIL-Sicherheitsaspekte im Betriebskonzept

schriftlich?• Sicherheitsvorfällen werden herunter gespielt



CIO

Betrieb,Service Service

Manager

Berater

Zulieferer

Owner, Verantwortung

Doing

Koordination

Verpflichtungen

Assistenz

ITIL Security

04.01.2012

14

IT Security Management: ADV

ADV = Auftragsdatenverarbeitung• Verantwortliche Stelle � Dritte

• Auftragsdatenverarbeitung – §11 BDSG

• Funktionsübertragung – „Übermittlung“– Gesetzlich erlaubt?

BDSG §§ 28 und 32


IT Security Management: ADVKriterien Auftragsdatenverarbeitung:

• fehlende Entscheidungsbefugnis des Auftragnehmers

• weisungsgebundene Unterstützung des Auftraggebers

• Keine Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des Auftragnehmers

• fehlende vertragliche Beziehung des Auftragnehmers zum Betroffenen

• Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt

Beispiele: Wartung/Pflege IT, Fehlersuche in Software, Daten-/Systemmigration, Software weiterentwickeln


04.01.2012

15

IT Security Management: ADVKriterien Funktionsübertragung:

• Überlassung von Nutzungsrechten an den Daten,

• Eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister,

• Weisungsfreiheit des Dienstleisters bezüglich dessen, was mit den Daten geschieht,

• Sicherstellen der Rechte von Betroffenen, wie Benachrichtigungspflicht und Auskunftsanspruch.

Beispiele: Buchhaltung, HR, Handelsvertreter


IT Security Management: ADV§11 BDSG: schriftlicher Vertrag notwendig

1. Gegenstand, Dauer

2. Umfang, Art, Zweck

3. organisatorische u. technische Maßnahmen

4. Berichtigung, Löschung, Sperrung von Daten

5. Pflichten den Auftragnehmers (Kontrolle)

6. Unterauftragnehmer

7. Kontrollrecht, Duldung, Mitwirkung d. Auftaggebers

8. Umgang mit Verstößen zum Datenschutz

9. Daten-Rückgabe, Löschung nach Auftragende


04.01.2012

16


31

Übung zu ITIL Security Management

Bsp.: HochschuleDie Verwendung von E-Mails beinhalten diverse potentielle Sicherheitsprobleme.

• Welche Themen sind für eine E-Mails Security Policy relevant.

• Wie wäre der Ablauf eine E-Mail Security Policy für ihre Universität einzuführen?


ITIL Sicherheitsberatung

Analysetechniken

04.01.2012

17


ITIL SicherheitsberatungAnalysetechniken

• Mengen / Prozesse– Bedeutung von Mengengruppen?

• ABC-Analyse / Pareto-Analyse• Priorisierung und Konzentration auf

vielversprechende Maßnahmen

– Vergleichsfragen• Portfolio Analyse• Bewertung anhand weniger Kriterien

– Symptombearbeitung und Fehleranalyse• Ursache-Wirkungs-Analyse• Wirkungskette und Ursachenwurzel



• Zusammenhänge und soziale Systeme– Projektstart und Findungsphase

• Umfeldanalyse• Projektpartner und ihre Bedeutung

– Contracting / Audits• Stakeholder und Erwartungen analysieren• Einschätzung von Interessen

– Strategieentwicklung für Kooperationen und Konkurrenzsituationen

• Analyse von Mit- und Gegenspielern• Situationsanalyse des sozialen Systems

04.01.2012

18



• Qualitative Zusammenhänge– Bewertung von Ausgangssituation und Status

Quo• Förderliche und verhindernde Faktoren• SWOT Analyse

– Entscheidungsfindung bei Zielalternativen• Kraftfeldanalyse• Bewertung der Erreichbarkeit von Zielen



ABC- oder Pareto Analyse

04.01.2012

19



• ABC-Analyse / Pareto-Analyse– Eine kleine Anzahl von Elementen trägt viel

zum Gesamtumfang bei– 80% der Ziele können mit 20% der Mittel

erreicht werden– Worauf konzentieren? Welche Prioritäten?– Worauf verzichten?



ABC-Analyse / Pareto-Analyse– Vorgehen:

1. Verbrauch ermitteln• Assets, Informationen/Daten, Services

2. Rangreihung• z.B. nach Verwendung, Kunden/Userzahl, Verbreitung,

Nutzungintensität

3. Priorisierung in Klassen• Klasse A bis C

4. Maßnahmen ableiten

04.01.2012

20


ITIL SicherheitsberatungPareto Analyse

einfaches Beispiel: ISP nach UmsatzService Preis p.m. Kunden Umsatz p.m.

Web Pack S 5 20000 100000Web Pack M 10 500 5000Web Pack L 15 1000 15000Root Server 20 200 40001GB Storage 3 15000 45000E-Mail Box 2 70000 140000

Service Preis p.m. Kunden Umsatz p.m. Ums akk p.m.0E-Mail Box 2,00 € 70000 140.000 € 140.000 €Web Pack S 5,00 € 20000 100.000 € 240.000 €1GB Storage 3,00 € 15000 45.000 € 285.000 €Web Pack L 15,00 € 1000 15.000 € 300.000 €Web Pack M 10,00 € 500 5.000 € 305.000 €Root Server 20,00 € 200 4.000 € 309.000 €


0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

E-Mai

l Box

Web

Pac

k S

1GB S

tora

ge

Web

Pac

k L

Web

Pac

k M

Root

Ser

ver


Beispiel: ISP nach Umsatz

AServices

BServices

CServices

Kum

ulie

rter

Um

satz

04.01.2012

21



Beispiel für Maßnahmenableitung:• Security-Policies für A-Services erstellen• für A-Service eigener Security Officer• Sicherheitsanalyse für A-Services

– Risiken / Schadenspotential

• Servicedesk und Trouble Ticket System für A-Services optimieren

• Separates A-Services Reporting



SWOT Analyse

04.01.2012

22


ITIL SicherheitsberatungAnalysetechniken SWOT

Stärken(Strength)

Probleme(Weaknesses)

Chancen(Opportunities)

Risiken(Threads)

Gegenwart

Zukunft

Positiv Negativ



Stärken:• Was sind unsere Stärken? Was läuft gut?• Worauf können wir uns verlassen?• Was stellt uns zufrieden? • Was gibt uns Energie? Worauf sind wir stolz?

Probleme:• Was ist schwierig? Was fehlt uns?• Welche Störungen behindern uns?• Was fällt uns schwer?• Wo liegen unsere verwundbaren Stellen,• Selbstbehinderungen?

04.01.2012

23



Chancen:• Wozu könnten wir noch fähig sein?• Was sind die Zukunftschancen und neue Trends?• Was können wir im Umfeld nutzen?• Welches Potential haben wir noch?• Was könnten wir ausbauen?• Welche Möglichkeiten stehen noch offen?

Risiken:• Wo lauern künftig Gefahren und Risiken?• Was kommt an Schwierigkeiten auf uns zu?• Was kann uns geschehen?• Welche Fehlentwicklungen befürchten wir?



Stärken(Strength)

Probleme(Weaknesses)

Chancen(Opportunities)

Risiken(Threads)

Gegenwart

ZukunftAnsatz

04.01.2012

24


ITIL SicherheitsberatungSWOT Analyse

• Serviceprozess

Stärken / Schwächenim Vergleich zu Risiken

Kriterium + + + o - - -

Reaktionszeit

Servicegrad

Sicherheit

Security SLAs

Security OLAs

dringender Handlungsbedarf

Mögliche Abwehr?

Unsere Stärken: Anderswo nutzen?

Chancen?

Trends?



Vorgehensweise: 1. Sammeln

• ca. 3 - 5 Aussagen pro Quadrant; ausgeglichenes Bild über alle Quadranten

• bei Konflikten: – vorhandenen Konsens feststellen; – dann Dissens gesondert bearbeiten

2. Priorisierung 3. Aktionspläne für

o W � O o T � O

04.01.2012

25



• Services

Stärken / Schwächen (Security)im Vergleich zu Chancen (Umsatz)

Kriterium + + + o - - -

Root Server

Web Pack M

Web Pack L

Web Pack S

E-Mail

Kann man Ausbauen?

Auswirkungen?

Kosten?

Fehlentwicklung?

Übertragen?

Service Preis p.m. Kunden Umsatz p.m. Ums akk p.m.0E-Mail Box 2,00 € 70000 140.000 € 140.000 €Web Pack S 5,00 € 20000 100.000 € 240.000 €1GB Storage 3,00 € 15000 45.000 € 285.000 €Web Pack L 15,00 € 1000 15.000 € 300.000 €Web Pack M 10,00 € 500 5.000 € 305.000 €Root Server 20,00 € 200 4.000 € 309.000 €



Portfolio Analyse

04.01.2012

26


ITIL SicherheitsberatungPortfolio Analyse

Beispiel:

Wild Cat Star

Poor Dog Cash CowWac

hstu

m

Umsatz (oder Marktanteil) hochniedrig

nied

righo

ch

Root Server

1GBWeb Pack S

Boston Consulting Group: „BCG-Matrix“

EmailBox



• Poor Dogs:– Security Sicht: Reduce & Simplify: Abschaffen?– Schadenspotential vs. Nutzen?

• Cash Cows:– bringen Geld: – Achtung: Da will keiner ran, da kein Wachstum mehr

• Wild Cat:– benötigen Investition und Aufmerksamkeit– offensive Strategie notwendig– hier können auch die größten Fehler gemacht werden

• Stars– wegen Wachstum besteht hoher Investitionsbedarf, – Hohes Risiko und Schadenspotential– ITIL Prozesse darauf abstimmen

04.01.2012

27



• Original BCG Matrix– Relativer Marktanteil vs. – Marktwachstum

• Vorschlag:– Schaden durch Sicherheitsvorfällevs.– Zunahme von Sicherheitsproblemen



Analyse von Ursache und Wirkung„Ishikawa Diagramm“

04.01.2012

28


ITIL SicherheitsberatungIshikawa Diagramm

Ursache Wirkung

Problem

Ausstattung Prozesse Menschen

Material Umgebung Management

HauptursacheNeben-ursache

…geht auch als Mind Map


ITIL SicherheitsberatungIshikawa Diagramm

Ziel: Verbesserung der Servicequalität

� systematisches Qualitätsmanagement

„4 Ss of Service Industry“1. Surroundings2. Suppliers3. Systems4. Skills

04.01.2012

29



Umfeld Analyse


ITIL SicherheitsberatungAnalyse des Umfeldes

Be

tro

ffe

nh

eit

Einfluss

Rechen-zentrum

Controlling

ITIL Projekt

Service Desk

CIO

Service Manager

Einkauf

ext.Berater

SeD

eB

RZ

SeM

EK

kritischbefreundetArbeitsebene

CIO

Joker

Gesetzte

Spielmacher

Unberührte

Co

Stakeholder Management � Plan

Documents

IT-Sicherheit 4 IT-Sec-Management - Micro Fusion...ITIL v3 Certification Levels ITIL v3 Certification Levels: • Foundation • Intermediate • Expert • Master 04.01.2012 5 WS