Security Level Management

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Security Level Management (SLM) ist ein Qualitätssicherungssystem für die elektronische Informationssicherheit. SLM hat zum Ziel, den IT-Sicherheitsstatus jederzeit unternehmensweit transparent darzustellen und IT-Sicherheit zu einer messbaren Größe zu machen. Transparenz und Messbarkeit bilden die Voraussetzungen, damit IT-Sicherheit proaktiv durch ein kontinuierliches Monitoring verbessert werden kann.

SLM orientiert sich an den Phasen des Demingkreises / Plan-Do-Check-Act PDCA-Zyklus: Im Rahmen eines SLM werden abstrakte Security Policies oder IT-Compliance-Richtlinien eines Unternehmens in operative, messbare Vorgaben für die IT-Sicherheitsinfrastruktur überführt. Die operativen Ziele bilden das zu erreichende Security Level. Das Security Level wird permanent gegen den aktuellen Status der eingesetzten Sicherheitssoftware (Malware-Scanner, Update/Patch-Management, Schwachstellen-Scanner etc.) geprüft. Abweichungen können frühzeitig erkannt und Anpassungen an der Sicherheitssoftware vorgenommen werden.

SLM gehört zum Aufgabenspektrum des Chief Security Officer (CSO), des Chief Information Officer (CIO) oder des Chief Information Security Officer (CISO), die direkt an die Geschäftsleitung über die IT-Sicherheit und Datenverfügbarkeit Bericht erstatten.

SLM ist verwandt mit den Disziplinen Security Information Management (SIM) und Security Event Management (SEM), die das Analystenhaus Gartner in seinem Magic Quadrant for Security Information and Event Management zusammenfasst und wie folgt definiert: "[...] SIM provides reporting and analysis of data primarily from host systems and applications, and secondarily from security devices — to support security policy compliance management, internal threat management and regulatory compliance initiatives. SIM supports the monitoring and incident management activities of the IT security organization [...]. SEM improves security incident response capabilities. SEM processes near-real-time data from security devices, network devices and systems to provide real-time event management for security operations.[...]"[1]

SIM und SEM beziehen sich auf die Infrastruktur zur Realisierung übergeordneter Sicherheitsziele, beschreiben aber kein strategisches Management-System mit Zielen, Maßnahmen, Revisionen und daraus abzuleitenden Handlungen. Die zentrale Funktion solcher Systeme ist es, den IT-Betrieb bei der Suche nach Anomalien im Netzwerk zu unterstützen, die durch Auswertungen und Vergleiche von Logdaten gemeldet werden.

SLM lässt sich unter das strategische Dach der IT-Governance einordnen, die durch geeignete Organisationsstrukturen und Prozesse sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. Mit SLM können CSOs, CIOs CISOs nachweisen, dass sie einen ausreichenden Schutz der prozessrelevanten, elektronischen Daten sicherstellen und somit ihren Teil zur IT-Governance beitragen.

Schritte zu einem Security Level Management

[Bearbeiten | Quelltext bearbeiten]

Security Level definieren (Plan): Jedes Unternehmen legt Security Policies fest. Es definiert Ziele in Bezug auf die Integrität, Vertraulichkeit, Verfügbarkeit und Verbindlichkeit klassifizierter Daten. Um die Einhaltung dieser Vorgaben prüfen zu können, müssen aus den abstrakten Security Policies konkrete Ziele für die im Unternehmen eingesetzte Sicherheitssoftware abgeleitet werden. Ein Security Level besteht aus einer Sammlung messbarer Grenz- und Schwellenwerte.

Grenz und Schwellenwerte sind beispielsweise für unterschiedliche Systemklassen des Netzwerkes jeweils gesondert festzulegen, weil die IT-Infrastruktur vor Ort und sonstige Rahmenbedingungen berücksichtigt werden müssen. Aus übergeordneten Security Policies ergeben sich deshalb unterschiedliche operative Ziele, wie "Die sicherheitsrelevanten Softwareupdates sollen spätestens 30 Tage nach dem Erscheinen auf allen Arbeitsstationen unseres Netzwerkes installiert worden sein. Auf bestimmten Server- und Host-Systemen spätestens nach 60 Tagen".

Unter anderem gibt der Leitfaden für die IT-Steuerung COBIT Unternehmen eine Anleitung, wie übergeordnete, abstrakte Ziele über mehrere Schritte auf messbare Ziele überführt werden.

Daten sammeln, analysieren (Do): Informationen zum Ist-Zustand der Systeme eines Netzwerkes können aus den Log-Daten und Statusberichten der einzelnen Management-Konsolen der eingesetzten Sicherheitssoftware gewonnen werden. Herstellerübergreifend arbeitende Monitoring-Lösungen können die Datensammlung vereinfachen und beschleunigen.

Security Level prüfen (Check): SLM sieht einen kontinuierlichen Abgleich des definierten Security Level aus Grenz- und Schwellenwerten mit den eingesammelten Ist-Werten vor. Ein automatisierter Echtzeit-Abgleich liefert Unternehmen ein kontinuierliches Monitoring zur Sicherheitslage des gesamten Unternehmensnetzwerkes.

Schutzstruktur anpassen (Act): Ein effizientes SLM ermöglicht Trendanalysen und langfristige vergleichende Auswertungen. Durch die fortlaufende Beobachtung des Security Level können Schwachpunkte im Netzwerk frühzeitig identifiziert und proaktiv entsprechende Anpassungen an der Sicherheitssoftware zum verbesserten zum Schutz der Systeme vorgenommen werden.

Die Norm ISO/IEC 27001 definiert neben den Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems auch Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen.

ITIL, eine Best-Practice-Sammlung für IT-Steuerungsprozesse, geht weit über den Bereich IT-Sicherheit hinaus. Für diesen liefert sie Anhaltspunkte, wie Sicherheitsverantwortliche IT-Sicherheit als eigenständige, qualitativ messbare Dienstleistung begreifen und in die Gesamtheit der geschäftsprozessorientierten IT-Prozesse eingliedern können. Auch ITIL arbeitet (Top-Down) mit Policies, Prozessen, Vorgängen und Arbeitsanweisungen und geht davon aus, dass sowohl die übergeordneten als auch die operativen Ziele geplant, implementiert, kontrolliert, evaluiert und angepasst werden müssen.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Gartner Research, Magic Quadrant for Security Information and Event Management, ID Number G00139431, 12. Mai 2006.