Kategorie B: Integriertes ISMS mit i-doit

Ein Information Security Management System, ISMS, zu errichten ist in manchen Branchen ein verpflichtender Prozess. Verfahren und Regeln müssen auf den Bedarf des jeweiligen Unternehmens  abgestimmt und laufend kontrolliert werden. IT-Sicherheit beginnt, wie wir immer wieder betonen, mit der IT-Dokumentation – so auch bei einem unserer Kunden, der im Energiesektor tätig ist. Für das Unternehmen herrschen strenge Regeln für die Informationssicherheit, die sich insbesondere im Alltag der zuständigen IT-Abteilung niederschlagen. Simon Timpner ist extern bestellter IT-Sicherheitsbeauftragter und für das Konzept des Security Managements sowie dessen Umsetzung verantwortlich. Er hat uns folgende Einblicke gegeben:

i-doit wurde nach und nach zur zentralen Instanz für die IT-Dokumentation  gemacht. Begonnen hat dies mit der Durchführung des  IT-Assetmanagement, das die Aktualität und Vollständigkeit der Infrastruktur-Basisdaten gewährleistet. Der Status von Clients, Servern, Clustern, Speichersystemen, Lizenzen und Verträgen werden an dieser Stelle über deren gesamten Lebenszyklus hinweg dokumentiert. Im weiteren Verlauf wurden auch die Bereiche  Lizenzmanagement, Netzmanagement und Vertragsmanagement an i-doit übertragen.

In einem weiteren Schritt wurde das Monitoringsystem Nagios an i-doit angebunden. Die Mitarbeiter sind dadurch in der Lage, den Status der überwachten Systeme direkt in der CMDB einzusehen, ohne auf eine weitere Anwendung zugreifen zu müssen. Die direkte Auswirkung: Kurze Informationswege.

Anschließend wurde das Ticketsystem OTRS mit der CMDB verbunden, um einfach und schnell auf aktuelle Daten der Dokumentation zugreifen zu können. Aktuell wird am Aufbau einer Knowledge-Base für den Service Desk gearbeitet, auch für dieses Projekt spielen die Informationen aus Ticketsystem und CMDB eine wesentliche Rolle. Parallel dazu wird an einer Integration gearbeitet, die aus der CMDB eine Gesamtsicht auf alle Tickets ermöglicht, was eine weitere Zentralisierung und Verdichtung von Informationen an einer Stelle bedeuten würde.

Ein weiterer Aufgabenbereich liegt im Schwachstellenmanagement durch den Nessus Manager. Die Software ermöglicht das automatisierte Auffinden von Schwachstellen sowie fehlerhaften Konfigurationen in Systemen und das Auditieren für das nötige Compliance Auditing. Die Integration mit i-doit ermöglicht die Pflege der Systeme an einer zentralen Stelle und erfolgte in Eigenentwicklung auf Basis der APIs. Die vorhandenen Daten werden verwendet, um ein vollständiges Schwachstellen-Management zu realisieren.

Durch den Einsatz des i-doit VIVA Add-ons wird der Aufbau und Betrieb des ISMS maßgeblich unterstützt. Daraus resultieren die benötigten Reports für die Geschäftsführung und öffentliche Stellen.

Wir von i-doit meinen: Das umgesetzte Konzept von Herrn Timpner zeigt, was umfassendes und konsequent betriebenes IT-Service-Management bedeutet: Es ist ein Eckpfeiler für ein funktionierendes Security Management.