Security Level Management (SLM) ist ein Qualitätssicherungssystem für die elektronische Informationssicherheit. SLM hat zum Ziel, den IT-Sicherheitsstatus jederzeit unternehmensweit transparent darzustellen und IT-Sicherheit zu einer messbaren Größe zu machen. Transparenz und Messbarkeit bilden die Voraussetzungen, damit IT-Sicherheit proaktiv überwacht und kontinuierlich verbessert werden kann.
SLM orientiert sich an den Phasen des Demingkreises / Plan-Do-Check-Act PDCA-Zyklus: Im Rahmen eines SLM werden abstrakte Security Policies oder IT-Compliance-Richtlinien eines Unternehmens in operative, messbare Vorgaben für die IT-Sicherheitsinfrastruktur überführt. Die operativen Ziele bilden das zu erreichende Security Level. Das Security Level wird permanent gegen die aktuelle Leistung der Schutzsysteme (Malware-Scanner, Patch-Systeme etc.) geprüft. Abweichungen können frühzeitig erkannt und Anpassungen an den Schutzsystemen vorgenommen werden.
SLM gehört zum Aufgabenspektrum des Chief Security Officer (CSO), des Chief Information Officer (CIO) oder des Chief Information Security Officer (CISO), die direkt an die Geschäftsleitung über die IT-Sicherheit und Datenverfügbarkeit Bericht erstatten.
Einordnung
SLM ist verwandt mit den Disziplinen Security Information Management (SIM) und Security Event Management (SEM), die das Analystenhaus Gartner in seinem "Magic Quadrant for Security Information and Event Management" zusammenfasst und wie folgt definiert: "[...] SIM provides reporting and analysis of data primarily from host systems and applications, and secondarily from security devices — to support security policy compliance management, internal threat management and regulatory compliance initiatives. SIM supports the monitoring and incident management activities of the IT security organization [...]. SEM improves security incident response capabilities. SEM processes near-real-time data from security devices, network devices and systems to provide real-time event management for security operations.[...]"
SIM und SEM beziehen sich auf die Infrastruktur zur Realisierung übergeordneter Sicherheitsziele, beschreiben aber kein strategisches Management-System mit Zielen, Maßnahmen, Revisionen und daraus abzuleitenden Handlungen. Die zentrale Funktion solcher Systeme ist es, den IT-Betrieb bei der Suche nach Anomalien im Netzwerk zu unterstützen, die durch Auswertungen und Vergleiche von Logdaten gemeldet werden.
SLM lässt sich unter das strategische Dach der IT-Governance einordnen, die durch geeignete Organisationsstrukturen und Prozesse sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. Mit SLM können CSOs, CIOs CISOs nachweisen, dass sie einen ausreichenden Schutz der prozessrelevanten, elektronischen Daten sicherstellen und somit ihren Teil zur IT-Governance beitragen.
Schritte zu einem Security Level Management
Security Level definieren (Plan): Jedes Unternehmen legt Security Policies fest. Die Geschäftsführung definiert Ziele in Bezug auf die Integrität, Vertraulichkeit, Verfügbarkeit und Verbindlichkeit klassifizierter Daten. Um die Einhaltung dieser Vorgaben prüfen zu können, müssen aus den abstrakten Security Policies konkrete Ziele für die einzelnen Sicherheitssysteme im Unternehmen abgeleitet werden. Ein Security Level besteht aus einer Sammlung messbarer Grenz- und Schwellenwerte. Beispiel: Aus übergeordneten Security Policies wie "Unsere Mitarbeiter sollen unterbrechungsfrei arbeiten können" müssen operative Ziele wie "Die Antivirensysteme an unseren deutschen Standorten müssen innerhalb von vier Stunden nach Erscheinen der aktuellen Signatur auf dem neuesten Stand sein" abgeleitet werden.
Grenz und Schwellenwerte sind für unterschiedliche Standorte und Länder jeweils gesondert festzulegen, weil die IT-Infrastruktur vor Ort und sonstige lokale Rahmenbedingungen berücksichtigt werden müssen. Beispiel: Bürohäuser im deutschsprachigen Raum sind typischerweise mit schnellen Standleitungen ausgerüstet. Hier ist es durchaus realistisch, die Frist für die Versorgung aller Rechner mit den neuesten Antiviren-Signaturen auf wenige Stunden zu begrenzen. Für ein Werk in Asien mit einer langsamen Modem-Verbindung zum Internet muss ein realistischer Grenzwert etwas höher angesetzt werden.
Der Leitfaden für die IT-Steuerung COBIT gibt Unternehmen eine Anleitung, wie übergeordnete, abstrakte Ziele über mehrere Schritte auf messbare Ziele überführt werden.
Daten sammeln, analysieren (Do): Informationen zum Ist-Zustand der Systeme können aus den Log-Daten und Statusberichten der einzelnen Antiviren-, Antispyware oder Antispam-Konsolen gewonnen werden. Herstellerübergreifend arbeitende Monitoring- und Reporting-Lösungen können die Datensammlung vereinfachen und beschleunigen.
Security Level prüfen (Check): SLM sieht einen kontinuierlichen Abgleich des definierten Security Level mit den gemessenen Ist-Werten vor. Ein automatisierter Echtzeit-Abgleich liefert Unternehmen einen permanent aktuellen Statusbericht zur standortübergreifenden Sicherheitslage.
Schutzstruktur anpassen (Act): Ein effizientes SLM ermöglicht Trendanalysen und langfristige vergleichende Auswertungen. Durch die fortlaufende Beobachtung des Security Level können Schwachstellen im Netzwerk frühzeitig identifiziert und proaktiv entsprechende Anpassungen an den Schutzsystemen vorgenommen werden.
Siehe auch
Die Norm ISO/IEC 27001:2005 definiert neben den Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems auch Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen.
ITIL, eine Best-Practice-Sammlung für IT-Steuerungsprozesse, geht weit über den Bereich IT-Sicherheit hinaus. Für diesen liefert sie Anhaltspunkte, wie Sicherheitsverantwortliche IT-Sicherheit als eigenständige, qualitativ messbare Dienstleistung begreifen und in die Gesamtheit der geschäftsprozessorientierten IT-Prozesse eingliedern können. Auch ITIL arbeitet (Top-Down) mit Policies, Prozessen, Vorgängen und Arbeitsanweisungen und geht davon aus, dass sowohl die übergeordneten als auch die operativen Ziele geplant, implementiert, kontrolliert, evaluiert und angepasst werden müssen.
Weblinks
- COBIT:
Deutsche Zusammenfassung und Material bei ISACA German Chapter
- ISO/IEC 27000
International Organization for Standardization
- ITIL
"ITIL und Informationssicherheit", Bundesamt für Sicherheit in der Informationstechnik, Deutschland
"How ITIL can improve Information Security", securityfocus.com – engl.
- SLM