Ver-ITIL-t

Aufgaben des Information Security Management

Der Prozess Information Security Management stellt die Daten- und Informationssicherheit im Unternehmen sicher. Die Kernfragen lauten demnach:

1. Welche Daten / Informationen gibt es im Unternehmen?
2. Wer darf auf welche Daten / Informationen zugreifen?
3. Wie kann effektiv verhindert werden, dass unberechtigte Zugriff auf die Daten / Informationen erhalten?

Der Prozess läuft im Einklang mit der Strategie des Unternehmens – das Schlagwort in diesem Zusammenhang heißt Business Security.

Neben den geschäftlichen Anforderungen sind über die letzten Jahre auch gesetzliche Anforderungen in den Fokus gerückt. Die Verabschiedung von SOX und Basel II beispielsweise bringen einige zusätzliche ToDo’s mit.

Grundsätze des Information Security Management

Die effektive Durchführung von Information Security Maßnahmen kann anhand des Security Frameworks geplant werden.

1. Steuerung
   Organisation und Kontrolle des Information Security Prozesses
2. Planung
   Maßnahmenformulierung
3. Implementierung
   Umsetzung der Maßnahmen (Tools, Prozesse, …)
4. Evaluierung
   Prüfung, ob die Maßnahmen wirksam sind
5. Pflege und Wartung
   Ansatz der ständigen Prozessverbesserung (CSI, Deming-Zyklus)

Das Security Management sollte unter der Maßgabe “vorbeugen ist besser als heilen” vorgehen. Ein wichtiges Instrument für die Evaluierung sind Reportingmaßnahmen und Scans. Die Formulierung von KPIs, die den Anteil der Vorgänge ausgeben, die unter Missachtung der Maßnahmen durchgeführt werden, sind wünschenswert. Da sich diese Menge an Vorgängen im unbekannten Bereich befindet, stellt die Planung und Umsetzung eine besondere Herausforderung dar.

Begrifflichkeiten im Information Security Management

Als Vertraulichkeit wird der Grad an Sicherheit bezeichnet, der hinsichtlich des Zugriffs auf die Daten / Informationen notwendig ist.

Die Integrität kennzeichnet die Vollständigkeit und Richtigkeit der Daten.

Die Verfügbarkeit ist ein Maß für den Zeitraum, in dem die Daten zur Verfügung stehen. Dieser Begriff spielt in das Availability Management hinein.

Zielstellung des Availability Managements

Das Availability Management garantiert die Verfügbarkeit der angebotenen Services gemäß den vereinbarten Service Level Agreements. Dies dient einerseits zur Stützung der Geschäftsanforderungen des Kunden und andererseits seiner Zufriedenheit.

Grundsätze des Availability Managements

Die Abrechnung der Verfügbarkeit erfolgt am Punkt der Leistungsübergabe – also im Geschäftsprozess des Kunden (Lieferung eines Business Service gemäß Service Catalogue Managment). Folglich ist es notwendig, einen genauen Überblick über die Leistungserbringung zu haben, um mögliche Verfügbarkeiten zuverlässig ermitteln und garantieren zu können. Gemäß der Methodik aus dem Service Level Management liegen SLAs im Fokus. Diese wiederum sind abhängig von der Zuverlässigkeit und damit Verfügbarkeit von Services, die durch weitere interne (OLA) und externe Zulieferer (UC) erbracht werden und in den entsprechenden Business Service eingehen. Für alle Abhängigkeiten gilt die Berechnung anhand folgender Vorschrift (V steht für Verfügbarkeit):

Serielle Architektur:

V = V(Service A) * V(Service B)

Parallele Architektur:

V = 1-[(1-V(Service A)) * ((1-V(Service B))]

Demzufolge empfehlen sich für hochverfügbare Aufbauten parallele Architekturen (Redundanz), gleichwohl steigen damit die Kosten pro Leistungseinheit.

Ein weiterer entscheidender Punkt sind Kennzahlen (KPIs). Die Vorgaben stammen aus dem Service Level Management (SLA). Kennzahlen mit hoher Relevanz für das Availability Management können die Downtime (MTBR) und die Uptime (MTBF) sein.

Während des Prozess wird das Availability Management System erstellt und gepflegt, dessen Elemente Reports, Kriterien für das Service Design, Verfügbarkeits- und Vulnerability-Tests sowie der Availability-Plan sind. Im Rahmen der Testverfahren werden Untersuchungen über Abhängigkeiten durchgeführt, die neben einer vereinfachten Fehlersuche (im Incident-/ Problemmanagement) die Bewertung des Impacts von Fehlerfällen ermöglichen oder erleichtern.