ITIL! Best Practice für IT Security Management

Neben den klassischen Prozessen des Service Management im Support und im Delivery kommt dem IT Security Management (Informationssicherheit) in Zeiten steigender Internet Kriminalität immer größere Bedeutung zu als es das Thema ohnehin schon lange hatte.

Was ist Informationssicherheit?

• Vertraulichkeit (confidentiality)
• Integrität (integrity)
• Verfügbarkeit (availability)

Privatsphäre und Anonymität (Schutz personenbezogener Daten) muß gewährleistet sein.

Authentizität (Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes) muß sichergestellt werden können.

Was bietet ITIL?

Das ITIL Best Practice Framework bietet durch all seine regelnden bzw. fordernden Aspekte bereits ein komplettes Management System für jegliche Art von Thema, also auch für IT Security.

• ITIL verbindet Business und IT Service, was auch für das Thema Sicherheit zutrifft. Gemeinsam werden Ziele und Maßnahmen definiert und durch laufendes Reporting die Transparenz erhöht.
• ITIL bietet Best Practices – man muß nicht alles neu und selbst erfinden.
• ITIL fordert eine ständige Überprüfung der getroffenen Maßnahmen und stellt somit einelaufende Verbesserung bzw. Anpassung an veränderte Rahmenbedingungen dar. Das IT Sicherheits-Management bleibt effektiv.
• ITIL definiert Rollen und Verantwortlichkeiten auch für Informationssicherheit.

Aus ITIL Sicht ist das Thema als zyklischer Prozess entsprechend dem Deming PDCA Cycle definiert. (mit Planung, Durchführung, mit laufender Überprüfung und Verbesserung)

PLAN: IT Sicherheits-Strategie und Risiko-Analyse

Das Thema Sicherheit ist in einer geeigneten IT Sicherheits-Strategie bzw. IT Sicherheits-Policy auf strategischer Ebene zu verankern. Management Commitment muß spürbar sein (Kommunikation, zur Verfügungstellung von Ressourcen). Alle Aktivitäten sind immer auch auf die Kundenanforderungen und Unternehmensziele auszurichten. Es sollen Sicherheitsziele definiert sein, die über eine Risiko-Analyse hergeleitet werden. Die IT Sicherheits-Policy muß allen Mitarbeitern im Unternehmen bekannt sein.Die Sicherheits-Strategie soll neben Zielen auch Richtlinien und Maßnahmen zu sicherheitsrelevanten Fragen beinhalten. Prozesse zum Management der IT Sicherheit sollen definiert sein.

Inhalt und Umfang der Sicherheits-Strategie

• Ziele und zu erfüllende Anforderungen (SLAs)
• auszuführende Prozesse
• Rollen und Zuständigkeiten
• Schnittstellen zwischen den Service Management-Prozessen
• Umgang mit Risiken für das Erreichen der definierten Ziele
• Ressourcen und Budgets festlegen
• Tools und Maßnahmen zur Messung und Verbesserung der Servicequalität
• etc.

Risiko-Analyse

• Identifizieren von relevanten Themenbereichen (Was ist sicherheitsrelevant, Was muß geschützt werden, Wo kann es zu Schäden und Störfällen kommen, etc.), Informationswerte klassifizieren, d. h. die Computer, Telefone, Dokumente etc. auf ihre Bedeutung für die Sicherheit der IT-Services hin untersuchen. Natürlich geht es auch darum, dafür einen Verantwortlichen zu benennen.
• Erheben von potentiellen Risiken (inkl. Einschätzung und Bewertung)
• Abschätzung der Sicherheitsrisiken (z. B. Softwarefehler, Betriebsfehler,Kommunikation unterbrochen, Wahrscheinlichkeit, potenzieller Einfluss auf Business,vergangene Erfahrungen). Dies muss regelmäßig erfolgen sowie dokumentiert werden, um auf Veränderungen reagieren zu können. Informationen sind speziell auf Vertraulichkeit, Integrität und Verfügbarkeit zu prüfen.
• Definition von geeigneten Maßnahmen und Richtlinien

DO: Prozess und Services implementieren.

Hier geht es um die Zuweisung von Budgets, Rollen und Verantwortlichkeiten, die Dokumentation und Pflege der Richtlinien,
das Risikomanagement, Reporting sowie den allgemeinen Betrieb der IT Services einschließlich des Service Desks.

Der Security Management-Prozess steht in Beziehung zu fast allen anderen ITIL-Prozessen, in diesem Zusammenhang aber besonders zum Service Level Management-, zum Incident Management- sowie zum Change Management-Prozess.

CHECK: laufende Kontrolle

Die definierten Maßnahmen sollen laufend kontrolliert und verbessert werden. Dazu ist als Basis ein entsprechendes Reporting zu erstellen. Überwachen und Messen der Prozesse und Services im Vergleich mit Richtlinien, Zielen und Anforderungen; durch den Soll-Ist-Abgleich werden eventuelleAbweichungen identifiziert; Report der Ergebnisse.

ACT: kontinuierlichen Verbesserung

Hier werden die Ursachen der festgestellten Abweichungen abgestellt, der Prozess beginnt wieder von vorne unter Berücksichtigung des PDCA-Zyklus. Es geht dabei darum, die Verbesserungsvorschläge zu erarbeiten, dokumentieren, priorisieren und umzusetzen.
Inbegriffen ist auch die Behandlung von Sicherheitsvorfällen (Security Incident) mit dem Ziel, diese künftig zu vermeiden.

weitere Informationen/Normen:

• ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements)
• ISO 17799 (ISO 27002) (Information technology – Code of practice for information security management)

Ein interessantes WhitePaper der BECK ET AL. SERVICES GMBH zum Thema Security Management ist unter diesem Link abrufbar.

Be Sociable, Share!

•