IT Security auf Basis von SLA's am Airport Nürnberg - Jörg Ziegler
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT Security auf Basis von SLA‘s
am Airport Nürnberg
Jörg Ziegler
Agenda
- Sicherheit am Airport Nürnberg
- IT-Security Policy
- Rolle des IT Security Managers
- Gliederung für IT-Sicherheitskonzept
- Maßnahmen zur IT-Sicherheit
- IT-Centerbereichs-/Prozessmatrix Airport Nürnberg
- IT Management Tools - Schnittstellen
- Business Process View‘s
- IT-Security Report
- Zusammenfassung
2
Airport Nürnberg: Fakten & Zahlen
- Jahresumsatz 91 Mio. EUR
- Mitarbeiter/Innen 876
- Flugbewegungen 64.391
- Passagiere insgesamt 3.602.459
davon Linie 2.092.020
davon Touristik 1.451.400
davon Sonstige 59.039
-Gesamtaufkommen Luftfracht (t)
Total Air Cargo 99.355
davon geflogen/flown Air Cargo 9.942
- Betriebszeit 24 Stunden
IT am Airport Nürnberg: Zahlen, Daten, Fakten
- IT ist als Servicecenter im
Konzern tätig, angesiedelt im
kaufmännischen Bereich
- IT hat Kostendeckungsauftrag
- 20 Mitarbeiter in der IT
- Ca. 800 User / 550 Clients
- 2 Rechenzentren
- 105 Serversysteme
- Davon 42 virtuelle Server
- 180 Applikationen
- 1.200 belegte LAN-Ports
Sicherheit am Airport Nürnberg - Risk-Management - Sicherheit im Luftverkehr - Baulicher Brandschutz - Baustellensicherheit - Vorbeugender Brandschutz Brandschutzbeauftragter - Arbeitssicherheit - Datenschutz - Datenschutzbeauftragter - Rechtssicherheit - Versicherungsschutz - IT-Sicherheit
IT-Security Policy
- Zielsetzung der IT-Sicherheitsziele, Bedeutung der Security
Die Kernkompetenz des Konzerns besteht in der schnellen,
sicheren und reibungslosen Abwicklung des Luftverkehrs am
Boden. Unsere IT-Systeme und die dafür erforderlichen
Schutzmaßnahmen müssen deshalb so ausgelegt sein, dass eine
hohe Verfügbarkeit garantiert werden kann. Dies gilt in
besonderem Maße für jene Systeme, welche die operativen
Prozesse unterstützen.“
- Verantwortung aller Mitarbeiter zur Einhaltung
- Anforderungen an das Unternehmen (externe Anforderungen der
Gesetze und Kunden, interne Anforderungen z. B. Qualitätsaspekte)
- Organisationsauftrag (Benennung des IT Security Managers,
Ressourcen)
- Festlegen der Zielgrößen
- Vorgaben zum Reporting
Rolle des IT-Security Managers
- „IT-Security Manager etabliert, koordiniert und überwacht die IT-
Sicherheit“
- IT-Sicherheitskonzept erstellen
- Abstimmung im Unternehmen
- Freigabe bei GF und IT-Leitung einholen
- Umsetzung initiieren
- Umsetzung für LAN selbst vornehmen
- Einhaltung überwachen
- Schnittstellenfunktionen einbinden (z.B. Risk-Management)
- Reports an GF und IT-Leitung
- Permanente Anpassung des Sicherheitskonzeptes
- Schulung und Sensibilisierung aller Beteiligter
Gliederung für IT-Sicherheitskonzept
- Management-Summary
- Szenariobeschreibung; Definition Objekte, Subjekte (Personen) und
Sicherheitsziele
- Festlegung des Schutzbedarfes
- Wert des Sicherheitsziels und Schaden bei Nichteinhaltung (monetär, Image,
Geschäftsforderung, gesetzlich)
- Angriffspotential; Gefährdung, Bedrohung (Subjekt versucht unzulässiges Objekt
mit bestimmten Angriffspotential anzugreifen), Schaden
- Schwachstellenanalyse der Objekte
- Sicherheitsanforderungen
- Auswahl von Sicherheitsmaßnahmen (Vertraglich beim Outsourcing,
organisatorisch, Infrastruktur wie Türen, Verkabelung, RZ, Abstrahlschutz,
Sicherheitsfunktionen bei HW und SW)
- Begründung der Wirtschaftlichkeit, Praktikabilität, Angemessenheit, Akzeptanz
- Bestimmung und weitere Behandlung des Restrisikos
- Glossar; Verweise auf weitere Dokumente
- Organisationsstruktur
Maßnahmen zur IT-Sicherheit
- Physikalischer Zugangsschutz (z.B. Rechnerraum)
- Schreibschutz / Zugriffsschutz / Passwörter
- Betriebskonzepte / Redundanz von Systemen und
Schnittstellen
- Service Level Agreements als Basis auch für IT-
Security Ziele
- IT-Prozessmanagement (z.B. IT-Betrieb, Projekte…)
- Eskalationsprozesse
- Technische Maßnahmen:
Firewall (Dienstefilter), Gateway Security (Viren,
Spam, Url-Filter), Betriebssystemsicherheit (Patch-
Management, Client-Virenschutz), VPN (Tunneling)
IT-Centerbereichs-/Prozessmatrix Airport Nürnberg
IT Management Tools - Schnittstellen
Nagios System
Management
Für Einzelkomponenten-
überwachung
Störungen
Kostenbuchungen
CA Service Desk Tickets ACOSOFT
User Help Desk
ServiceCenter SAP
Asset Management Servicelevel Kosten in SAP
- Kalkulation der Produkte
Für Einzelkomponenten und
- Abrechnung der Produkte
Business Process Views - SLA-Monitoring Kosten / AfA
(technisch / SLA-Sicht)
Asset - Daten
(SLA-Sicht)
Projektdaten
CA Configuration
Management Database - ACOSOFT
CMDB Projektmanagement
Beziehungen der und Zeiterfassung
Configuration Items - Projekte
- BetriebBusiness Process View‘s - Ganzheitliches Prozessverständnis - Komplette Systemdarstellungen – Beispiel Atlas Frachtsystem - SLA-Verfügbarkeitsvereinbarung für kompletten Business Process View
IT Security Report - Kapitel - Einleitung - Serverräume - Datenträgerarchiv - Räume für technische Infrastruktrur - Microsoft Patchmanagement - Netware Patchmanagement - Unix/Linux Patchmanagement - Mailfilter - Firewall - Virenschutz - Datensicherung - Verfügbarkeitsreports strategischer IT-Systeme - Netzwerkinfrastruktur
Zusammenfassung
- IT-Security ist Teil der Gesamtsicherheit am Airport
- Prozess IT-Security Management ist eingeführt und die Rolle des IT-Security
Managers ist besetzt
- Gefahrenbereiche für IT nehmen weiter zu
- Service Center Informationstechnologie (KI) trifft permanent entsprechende
Maßnahmen zur Gefahrenreduzierung
- Report zu IT-Security erfolgt jedes Quartal
- Sensibilisierung aller Mitarbeiter zum Thema IT-Sicherheit ist wichtige Aufgabe
- Ganzheitliche Prozessabbildung mit starker ITIL-Ausrichtung
- Integrierter Tooleinsatz zur Überwachung und Steuerung aller IT-Produkte in
technischer, organisatorischer und kaufmännischer Hinsicht
- Enges Zusammenwirken von SLA-, Availability- und Security-Management
- Alle Mitarbeiter tragen Mitverantwortung für IT-Sicherheit
14Sie können auch lesen
