IS-Management-Team

Inhaltsverzeichnis

Was ist ein IS-Management-Team?

Das IS-Management-Team befasst sich mit der Implementierung und Überwachung einer vordefinierten Sicherheitsstufe für die IT-Umgebung. Insbesondere werden Bereiche wie Vertraulichkeit, Integrität und Verfügbarkeit angesprochen. Die Risikoanalyse als Ausgangspunkt hilft bei der Definition von Kundenanforderungen auf Sicherheitsniveau. Eine interne, minimale Sicherheitsanforderung wird als IT-Grundsatz bezeichnet. Zusätzliche Sicherheitsanforderungen des Kunden sind individuell zu definieren.

Ziel des IS-Management-Team’s

Ziel des IS-Management-Team’s ist die Einführung und Aufrechterhaltung eines erforderlichen Sicherheitsniveaus im Sinne von Gesetzen, Verträgen oder anderen Vereinbarungen. Des Weiteren trägt das IS-Management-Team zu einem integrierten Service Management-Ansatz bei, indem die folgenden Aktivitäten ausgeführt werden:

Ermittlung und Definition der internen und externen Sicherheitsanforderungen
Planung von Sichterheitsverfahren
Erstellen eines Sicherheitskapitels und in der Servicebeschreibung
Verwaltung der Implementierung von Sicherheitsmaßnahmen
Bewertung der Sicherheitsverfahren und Sicherheitsmaßnahmen
Verbesserung der Sicherheit

Rollen und Funktionen

Security Process Owner

Er ist der Initiator des Prozesses, verantwortlich für die Festlegung der strategischen Ziele des Prozesses und die Zuweisung aller erforderlichen Prozess-Ressourcen.

Security Process Manager

Das IS-Management-Team wird vom Security Manager gesteuert. Der Security Process Manager kann Aufgaben an Fachpersonal delegieren. Sollte der Einsatz von externem Personal erforderlich sein, ist eine Genehmigung des Budgets durch die verantwortliche Person notwendig.

IT-Management-Team

Dieses Team führt obligatorische Aufgaben für den Security Process Manager aus.

Sicherheits-Auditor

Der Sicherheits-Auditor (Security Auditor) bietet die Überprüfung von Sicherheitsrichtlinien, Prozessen und Tools an. Der Prüfer sollte eine externe und interne Ressource ändern, um eine unabhängige und zuverlässige Prüfung zu ermöglichen.

Informationsartefakte

Sicherheitsrichtlinie
Der Prozess hängt von allgemeinen Sicherheitsregeln ab. Darüber hinaus ist dieser Prozess für die permanente Verbesserung und Anpassung allgemeiner Sicherheitsrichtlinien und -regeln verantwortlich.

Sicherheitsplan-ID
Anforderer des Sicherheitsplans
Beschreibung des Sicherheitsplans
Sicherheitsplan-Agent
Inhaber des Sicherheitsplans
Service, der neu gestaltet werden muss
Dienstintigrität
Diensvertraulichkeit

Sicherheitstransaktions-ID
Anforderer für Sicherheitsübergänge
Beschreibung des Sicherheits-Übergangs
Sicherheitsübergang-Agent
Inhaber des Sicherheitsübergangs
Service: Von der Änderung betroffene Dienste
Konfigurationselemente: Von der Änderung betroffenes Cl

Sicherheits-Audit-ID
Anforderer für die Sicherheits-Audit
Beschreibung der Sicherheits-Audit
Sicherheits-Audit-Agent
Inhaber der Sicherheits-Audits
Auditor zur Sicherheits-Audits
Dienst: Vom Sicherheits-Audit betroffene Dienste
Konfigurationselemente: Vom Sicherheits-Audit betroffenes Cl
Kunde: Kunde, der vom Sicherheits-Audit betroffen ist
Benutzer: Vom Sicherheits-Audit betroffener Benutzer
Experte/Spezialisten: Vom Sicherheits-Audit betroffene Experten/Spezialisten

Key Konzepte

Verfügbarkeit
Informationen und der Dienst müssen für berechtigte Benutzer zugänglich sein.

Integrität
Informationen dürfen nicht von unbefugten Benutzer geändert werden. Folgende Integritätsgrade sind möglich:

0 = Es kann nicht nachgewiesen werden, ob die Integrität verletzt wurde.
1 = Es kann nachgewiesen werden, ob die Integrität verletzt wurde.
2 = Es kann nachgewiesen werden, ob die Integrität verletzt wurde und die Verletzung aufgehoben werden kann.

Vertraulichkeit
Informationen dürfen nicht für unbefugte Benutzer zugänglich sein. Folgende Vertraulichkeitsstufen sind möglich:

öffentlich: Informationen stehen allen zur Verfügung.
vertraulich: Informationen stehen nur autorisiertem Personal und zugewiesenen externen Partnern zur Verfügung.
geheim: nur für den internen Gebrauch. Informationen stehen nur autorisiertem Personal zur Verfügung.
streng geheim: Informationen stehen nur der Geschäftsleitung zur Verfügung.

Die Vertraulichkeitsstufen können erweitert oder angepasst werden.

Authentifizierung
Überprüfung der Identität eines Benutzers oder von Informationen.

Genehmigung
Methoden und Tools, mit denen festgelegt wird, ob Benutzer oder Informationen Zugriff auf andere Geräte oder Informationsquellen haben dürfen.

Schweregrad Levels
Der Schweregrad gibt an, wie wichtig ein Optimierungsvorschlag ist. Folgende Ebenen können definiert werden:

kritisch: Implementierung notwendig, einschließlich Änderungen – sobald wie möglich.
hoch: Implementierung notwendig, einschließlich Änderungen – binnen 2 Tagen.
niedrig: Implementierung notwendig, einschließlich Änderungen – binnen 7 Tagen.

Prozess

Kritische Erfolgsfaktoren definieren eine begrenzte Anzahl von Faktoren, die den Erfolg eines Prozesses beeinflussen. Für das IS-Management-Team können folgende Faktoren definiert werden:

Richtige Dimension der Sicherheit durch Vermeidung zu strenger oder zu lascher Sicherheit.
Managementunterstützung für Sicherheitsfragen.
Sicherheitsbewusstsein im Unternehmen.
Definition der Verantwortlichkeiten zwischen Sicherheitsimplementierung und Aktivitäten und Rollen.

Das IS-Management-Team unterstützt den Sicherheits-Manager die Faktoren zu überprüfen und Maßnahmen festzulegen, um den Prozesserfolg zu erreichen.