IT Security Management: ITIL zeigt gangbare Wege auf

Ein grundlegender Aspekt von IT-Sicherheit ist die Informationssicherheit. Sie setzt sich aus Vertraulichkeit, Integrität und Verfügbarkeit zusammen. Was aber versteht ITIL unter diesen drei Begriffen genau?

• Vertraulichkeit (confidentiality): Daten dürfen lediglich von autorisierten Benutzern gelesen beziehungsweise modifiziert werden. Dies gilt sowohl beim Zugriff auf gespeicherte Daten als auch während der Datenübertragung.
• Integrität (integrity): Daten dürfen nicht unbemerkt verändert werden beziehungsweise alle Änderungen müssen nachvollziehbar sein.
• Verfügbarkeit (availability): Verhindern von Systemausfällen. Zugriff auf Daten und unerlässliche IT-Services muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.

Weitere Aspekte der Informationssicherheit sind Privatsphäre beziehungsweise Anonymität (Schutz personenbezogener Daten), Authentizität (Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein) sowie Verbindlichkeit und Nachvollziehbarkeit (Urheber von Veränderungen müssen erkennbar sein und dürfen Veränderung nicht abstreiten können).

Security Management nach ITIL verfolgt grundsätzlich zwei Ziele: zum einen die Realisierung der im Service Level Agreement (SLA) definierten Sicherheitsanforderungen oder von Vorgaben, die in unterstützenden Verträgen, Gesetzen sowie internen oder externen Richtlinien spezifiziert wurden, zum anderen die Realisierung einer Basisstufe von Sicherheit, die für das Fortbestehen der Organisation notwendig ist. Dazu gehören geeignete Sicherheitstechniken (zum Beispiel Firewall, Zugriffschutz, Intrusion Detection) sowie Vorsorgemaßnahmen zur möglichst reibungslosen Wiederaufnahme des Geschäftsbetriebs nach Störungen.

Der Security Management-Prozess basiert auf den in den SLAs beschriebenen Anforderungen. Diese geben als Key-Performance-Indikatoren (KPI) beziehungsweise Schlüsselkennzahlen Aufschluss über die Einhaltung von SLAs sowie Abweichungen von den Anforderungen. Beispiele für KPIs, die gemessen werden können, sind eine (gesunkene) Zahl von sicherheitsbezogenen Serviceanfragen oder Fixes oder eine (geringere) Anzahl von Systemausfällen als Folge von Sicherheitsvorfällen.