1 / 56
Domino Security mit ITIL
Christian Habermüller
http://news.fuer-IT-Profis.de
2 / 56
Datei-System
Domino-Server
Domino-Client
Domino-Applikation
Betriebs-System
Netzwerk
3 / 56
Schematischer Aufbau einer Domino-
Applikation
4 / 56
Gestaltung Dokumente
Zugriff
5 / 56
Zugriffssteuerung der Domino-Applikation
6 / 56
Gestaltung Dokumente
Zugriff
Gestaltung
verbergen
Autorfeld
Zugriffs-
kontrollliste
Leserfeld
Zugriffs-
kontrolllis...
7 / 56
Webseiten
• IBM Lotus Notes Domino Fix List
– www-10.lotus.com/ldd/r5fixlist.nsf
• IBM Lotus Notes Domino 8.5.1 Fix...
8 / 56
Unterschiede in der Sicherheitsbetrachtung
9 / 56
Domino-Administrator
Verwendet ein vorgegebenes Zugriffskonzept !
10 / 56
Domino-Entwickler
Entwickelt pro Applikation ein vollkommen
neues Zugriffskonzept !
11 / 56
Das Sicherheitsdilemma:
Sicherheits(selbst)verständnis
und
Kommunikation !
12 / 56
Missverstandenes, schlechtes oder gar
fehlendes Sicherheits(selbst)verständnis sowie
eine eben solche Kommunikatio...
13 / 56
Steuern der Sicherheit
• Richtlinien
– Gesamtziele einer Organisation
• Prozesse
• Vorgehensweise
• Arbeitsanweisu...
14 / 56
Was ist ITIL ?
• IT Infrastructure Library
– Internationaler de facto Standard im IT-Service
Management
• Unabhäng...
15 / 56
Definition Service
Ein Service erbringt für einen Kunden einen
Mehrwert, indem er die Kundenziele
unterstützt, ver...
16 / 56
Service aus zwei Perspektiven
betrachtet
• IT-Perspektive
• Versprechen, was
geht
– Stabilität
– Qualität
– Reakti...
17 / 56
Shewhart Deming Cycle
Plan
DoCheck
Act
18 / 56
Requirements
ImplementationMonitoring
SLAReporting
AnalysisImprovment
19 / 56
Definition Service Level
Agreement
Ein Service Level Agreement ist
eine Vereinbarung zwischen einem
Service Provid...
20 / 56
Definition Service Level Target
Ein Service Level Target ist eine
Verpflichtung, die in einem
Service Level Agreem...
21 / 56
Definition SMART
• S-pecific
– Genau & präzise
• M-easurable
– Messbar
• A-ttainable
– Erreichbar
• R-elevant
– Au...
22 / 56
Definition Service Level
Requirement
Ein Service Level Requirement ist eine
Kundenanforderung für einen einzelnen
...
23 / 56
Definition Service Level Package
Ein Service Level Package ist der festgelegte
Grad an Utility und Warranty für ei...
24 / 56
Definition Utility
Utility ist eine Funktionalität, die von einem
Produkt oder Service angeboten wird, um
einem be...
25 / 56
Definition Warranty
Warranty ist eine Zusage oder Garantie, dass
ein Produkt oder Service den vereinbarten
Anforde...
26 / 56
Der Securtity Management Process basiert auf
SLAs mit KPIs.
Nur so ist es möglich, einen Aufschluss über
mögliche ...
27 / 56
Definition Key Performance
Indicator
Ein Key Performance Indicator ist eine als
bedeutsam definierte Messgröße, di...
28 / 56
Effizienz, Effektivität und
Rentabilität
• Effizienz
– Ressourcensparender Einsatz
• Effektivität
– Grad der Leist...
29 / 56
Beispiele für KPIs
• Anzahl sicherheitsbezogener
Serviceanfragen
• Anzahl der Systemausfälle aufgrund von
Sicherhe...
30 / 56
Prozesse & Funktionen
• Prozesse
– Security Mngmt
– Access Mngmt
– Availability Mngmt
• Funktionen
– Technical Mng...
31 / 56
Prozesse
32 / 56
Definition Process
Ein Process ist ein strukturierter Satz von
Aktivitäten, der einen klar definierten Input
zu ei...
33 / 56
Eine Rolle wird in einem Process definiert
und ist ein Satz von Verantwortlichkeiten,
Aktivitäten und Kompetenzen,...
34 / 56
Prozess Security Management
35 / 56
Ziele in Security Management
• Wahrung von Anonymität & Privatsphäre
– Authentizität
• Echtheit & Glaubwürdigkeit ...
36 / 56
Begriffe in Security Management
• Confidentiality
• Vertraulichkeit
– Schutz vor nicht autorisiertem Zugriff
• Int...
37 / 56
Prozess Access Management
38 / 56
Ziele in Access Management
• Steuern der Rechte & Zugriffe der
Anwender
– Ausführen von Richtlinien & Aktionen
• A...
39 / 56
Begriffe in Access Management
• Access
– Umfang & Stufe des Service, zu deren Nutzung
der Anwender berechtigt ist
...
40 / 56
Funktionen
41 / 56
Eine Function ist ein Team oder eine Gruppe
von Personen und deren Hilfsmittel, die
eingesetzt werden, um einen od...
42 / 56
Funktion Technical Management
43 / 56
Ziele in Technical Management
• Stabile technische Infrastruktur
– Planung, Implementierung & Aufrechterhaltung
• ...
44 / 56
Funktion Applications Management
45 / 56
Ziele Application Management
• Funktionierende, stabile & verwaltbare
Applikationen
– Anforderungen erkennen
– Des...
46 / 56
Funktion IT Operations Management
47 / 56
Ziele in IT Operations
Management
• Stabiler Betrieb des aktuellen Zustandes
– Betriebssteuerung & Anlagenwartung
...
48 / 56
Überlappende Zuständigkeiten
49 / 56
Applications
Management
Technical
Management
IT
Operations
Management
50 / 56
Für den Datenschutz zuständige
BundesministerInnen
Stand Q3 2010
• Bundesinnenminister
– Thomas de Maizière (CDU)
...
51 / 56
Für den Datenschutz zuständige
Beauftragte
Stand Q3 2010
• Europäischer Datenschutzbeauftragter
– Peter Hustinx
• ...
52 / 56
Webseiten
• Europäischer Datenschutzbeauftragter
– www.edps.europa.eu
• Bundesbeauftragter für den Datenschutz
und...
53 / 56
Das ist IBM Lotus Notes Domino!
(1/2)
• Teamfähige Kommunikations-Software
– Informationen werden nicht in Echtzei...
54 / 56
Das ist IBM Lotus Notes Domino!
(2/2)
• Programmierbar
– IBM Lotus Notes Domino verfügt über 4
integrierte Program...
55 / 56
Diese Präsentation ist urheberrechtlich geschützt.
© 2010 Christian Habermüller – http://chabermu.wordpress.com
Al...
56 / 56
Diese Präsentation ist ausschließlich für den informativen Einsatzzweck gedacht und wird
als diese ohne jegliche G...
Upcoming SlideShare
Loading in …5
×

IBM Lotus Notes Domino Security mit ITIL | C.Habermueller

1,020 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,020
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

IBM Lotus Notes Domino Security mit ITIL | C.Habermueller

  1. 1. 1 / 56 Domino Security mit ITIL Christian Habermüller http://news.fuer-IT-Profis.de
  2. 2. 2 / 56 Datei-System Domino-Server Domino-Client Domino-Applikation Betriebs-System Netzwerk
  3. 3. 3 / 56 Schematischer Aufbau einer Domino- Applikation
  4. 4. 4 / 56 Gestaltung Dokumente Zugriff
  5. 5. 5 / 56 Zugriffssteuerung der Domino-Applikation
  6. 6. 6 / 56 Gestaltung Dokumente Zugriff Gestaltung verbergen Autorfeld Zugriffs- kontrollliste Leserfeld Zugriffs- kontrollliste
  7. 7. 7 / 56 Webseiten • IBM Lotus Notes Domino Fix List – www-10.lotus.com/ldd/r5fixlist.nsf • IBM Lotus Notes Domino 8.5.1 Fix Packs – www-01.ibm.com/support/docview.wss? rs=899&uid=swg24025721 • Featured documents for IBM Lotus Notes, Domino, and iNotes – www-01.ibm.com/support/docview.wss? rs=475&uid=swg27017389
  8. 8. 8 / 56 Unterschiede in der Sicherheitsbetrachtung
  9. 9. 9 / 56 Domino-Administrator Verwendet ein vorgegebenes Zugriffskonzept !
  10. 10. 10 / 56 Domino-Entwickler Entwickelt pro Applikation ein vollkommen neues Zugriffskonzept !
  11. 11. 11 / 56 Das Sicherheitsdilemma: Sicherheits(selbst)verständnis und Kommunikation !
  12. 12. 12 / 56 Missverstandenes, schlechtes oder gar fehlendes Sicherheits(selbst)verständnis sowie eine eben solche Kommunikation stellt ein sehr großes Sicherheitsrisiko dar !
  13. 13. 13 / 56 Steuern der Sicherheit • Richtlinien – Gesamtziele einer Organisation • Prozesse • Vorgehensweise • Arbeitsanweisungen
  14. 14. 14 / 56 Was ist ITIL ? • IT Infrastructure Library – Internationaler de facto Standard im IT-Service Management • Unabhängige Betrachtung von IT- Serviceleistungen – Herstellerunabhängig – nicht verbindlich – aber genormt durch ISO/IEC 20000 • Security Management genormt durch ISO/IEC 27001
  15. 15. 15 / 56 Definition Service Ein Service erbringt für einen Kunden einen Mehrwert, indem er die Kundenziele unterstützt, verbessert oder überhaupt erst ermöglicht. Dabei muss der Kunden selbst keine Verantwortung für bestimmte Kosten und Risiken tragen !
  16. 16. 16 / 56 Service aus zwei Perspektiven betrachtet • IT-Perspektive • Versprechen, was geht – Stabilität – Qualität – Reaktives Handeln • Geschäfts-Perspekt' • Liefern, was gebraucht wird – Reaktionsfreudigkeit – Kosten – Proaktives Handeln
  17. 17. 17 / 56 Shewhart Deming Cycle Plan DoCheck Act
  18. 18. 18 / 56 Requirements ImplementationMonitoring SLAReporting AnalysisImprovment
  19. 19. 19 / 56 Definition Service Level Agreement Ein Service Level Agreement ist eine Vereinbarung zwischen einem Service Provider und einem Kunden. Das SLA beschreibt den jeweiligen Service, dokumentiert Service Level Targets und legt die Verantwortlichkeiten des Service Providers und des Kunden fest. Man unterscheidet zwischen Service basiertem und Kunden basiertem SLA.
  20. 20. 20 / 56 Definition Service Level Target Ein Service Level Target ist eine Verpflichtung, die in einem Service Level Agreement dokumentiert ist. Service Level Targets basieren auf Service Level Requirements und sollen die Zweckmäßigkeit eines Service sicherstellen. Service Level Targets sollten SMART sein und basieren in der Regel auf KPIs.
  21. 21. 21 / 56 Definition SMART • S-pecific – Genau & präzise • M-easurable – Messbar • A-ttainable – Erreichbar • R-elevant – Aussagekräftig • T-imly
  22. 22. 22 / 56 Definition Service Level Requirement Ein Service Level Requirement ist eine Kundenanforderung für einen einzelnen Aspekt eines Service. SLRs basieren auf Business-Zielen und werden zur Aushandlung vereinbarter Service Level Targets eingesetzt.
  23. 23. 23 / 56 Definition Service Level Package Ein Service Level Package ist der festgelegte Grad an Utility und Warranty für ein bestimmtes Service Package. Jedes SLP ist darauf ausgerichtet, den Anforderungen eines bestimmten Business-Aktivitätsmusters gerecht zu werden.
  24. 24. 24 / 56 Definition Utility Utility ist eine Funktionalität, die von einem Produkt oder Service angeboten wird, um einem bestimmten Bedürfnis gerecht zu werden. Utility bezeichnet das, was ein Produkt oder Service tut.
  25. 25. 25 / 56 Definition Warranty Warranty ist eine Zusage oder Garantie, dass ein Produkt oder Service den vereinbarten Anforderungen entspricht. Warranty bewertet wie gut ein Produkt oder Service etwas tut.
  26. 26. 26 / 56 Der Securtity Management Process basiert auf SLAs mit KPIs. Nur so ist es möglich, einen Aufschluss über mögliche Abweichungen zu erkennen und entgegen zu wirken.
  27. 27. 27 / 56 Definition Key Performance Indicator Ein Key Performance Indicator ist eine als bedeutsam definierte Messgröße, die einen Process, einen Service oder eine Aktivität bewertet. Bei der Auswahl der KPIs sollte die Sicherstellung von Effizienz, Effektivität und Rentabilität im Vordergrund stehen.
  28. 28. 28 / 56 Effizienz, Effektivität und Rentabilität • Effizienz – Ressourcensparender Einsatz • Effektivität – Grad der Leistungsfähigkeit • Rentabilität – Grad der Wirtschaftlichkeit
  29. 29. 29 / 56 Beispiele für KPIs • Anzahl sicherheitsbezogener Serviceanfragen • Anzahl der Systemausfälle aufgrund von Sicherheitsvorfällen • Zeitspanne zwischen Entdeckung & Behebung eines Sicherheitsvorfalls
  30. 30. 30 / 56 Prozesse & Funktionen • Prozesse – Security Mngmt – Access Mngmt – Availability Mngmt • Funktionen – Technical Mngmt – Applications Mngmt – IT Operations Mngmt
  31. 31. 31 / 56 Prozesse
  32. 32. 32 / 56 Definition Process Ein Process ist ein strukturierter Satz von Aktivitäten, der einen klar definierten Input zu einem oder mehreren klar definierten Outputs umwandelt. Er beinhaltet beliebig viele Rollen, Verantwortlichkeiten und Hilfsmittel und kann Richtlinien, Standards, Leitlinien, Aktivitäten und Arbeitsanweisungen definieren.
  33. 33. 33 / 56 Eine Rolle wird in einem Process definiert und ist ein Satz von Verantwortlichkeiten, Aktivitäten und Kompetenzen, die einem Team oder einer Person zugewiesen sind. Einer Person oder einem Team können mehrere Rollen zugewiesen werden. Definition Rolle
  34. 34. 34 / 56 Prozess Security Management
  35. 35. 35 / 56 Ziele in Security Management • Wahrung von Anonymität & Privatsphäre – Authentizität • Echtheit & Glaubwürdigkeit der Herkunft – Verbindlichkeit & Nachvollziehbarkeit • Urheberangabe & Veränderungshistorie
  36. 36. 36 / 56 Begriffe in Security Management • Confidentiality • Vertraulichkeit – Schutz vor nicht autorisiertem Zugriff • Integrity • Integrität – Schutz vor unbemerkter Veränderung • Availability • Verfügbarkeit – Schutz vor Ausfall
  37. 37. 37 / 56 Prozess Access Management
  38. 38. 38 / 56 Ziele in Access Management • Steuern der Rechte & Zugriffe der Anwender – Ausführen von Richtlinien & Aktionen • Aus dem Security Management • Aus dem Availability Management
  39. 39. 39 / 56 Begriffe in Access Management • Access – Umfang & Stufe des Service, zu deren Nutzung der Anwender berechtigt ist • Identity – Eindeutige Kennung zur Identifikation des Anwenders, d. h. der Person oder Rolle • Authority – Berechtigungen, die einer Identity gegeben werden, um Access zu ermöglichen
  40. 40. 40 / 56 Funktionen
  41. 41. 41 / 56 Eine Function ist ein Team oder eine Gruppe von Personen und deren Hilfsmittel, die eingesetzt werden, um einen oder mehrere Processes oder Aktivitäten durchzuführen. Eine Function ist also eine Einheit einer Organisation ! Definition Function
  42. 42. 42 / 56 Funktion Technical Management
  43. 43. 43 / 56 Ziele in Technical Management • Stabile technische Infrastruktur – Planung, Implementierung & Aufrechterhaltung • Gut gestaltete technische Infarstruktur – Kosteneffizient – Hoch belastbar – unverwüstlich • Optimaler Betriebszustand – Rasche Fehlerdiagnose & -lösung
  44. 44. 44 / 56 Funktion Applications Management
  45. 45. 45 / 56 Ziele Application Management • Funktionierende, stabile & verwaltbare Applikationen – Anforderungen erkennen – Design & Entwicklung unterstützen – Fortlaufenden Support & Verbesserung liefern – Rasche Fehlerdiagnose & -lösung • Gut gestaltete Applikationen – Kosteneffizient – Features, die den Business Process wirklich unterstützen
  46. 46. 46 / 56 Funktion IT Operations Management
  47. 47. 47 / 56 Ziele in IT Operations Management • Stabiler Betrieb des aktuellen Zustandes – Betriebssteuerung & Anlagenwartung • Überwachung der Ausführung von Betriebsaktivitäten & Events • Verwaltung der physischen IT-Umgebung • Regelmäßige Untersuchungen – Stabilität aufrecht erhalten – Kosten senken – Service verbessern • Schnelle Diagnose & Lösung bei Störungen
  48. 48. 48 / 56 Überlappende Zuständigkeiten
  49. 49. 49 / 56 Applications Management Technical Management IT Operations Management
  50. 50. 50 / 56 Für den Datenschutz zuständige BundesministerInnen Stand Q3 2010 • Bundesinnenminister – Thomas de Maizière (CDU) • Bundesverbraucherministerin – Ilse Aigner (CSU) • Bundesjustizministerin – Sabine Leutheusser-Schnarrenberger (FDP)
  51. 51. 51 / 56 Für den Datenschutz zuständige Beauftragte Stand Q3 2010 • Europäischer Datenschutzbeauftragter – Peter Hustinx • Bundesbeauftragter für den Datenschutz und die Informationsfreiheit – Peter Schnaar • Landesbeauftragte für den Datenschutz – Für NRW: Ulrich Lepper
  52. 52. 52 / 56 Webseiten • Europäischer Datenschutzbeauftragter – www.edps.europa.eu • Bundesbeauftragter für den Datenschutz und die Informationsfreiheit – www.bsi.bund.de • Bundesamt für Sicherheit in der Informationstechnik – www.bfdi.bund.de
  53. 53. 53 / 56 Das ist IBM Lotus Notes Domino! (1/2) • Teamfähige Kommunikations-Software – Informationen werden nicht in Echtzeit ausgetauscht – Intra-/Internet-Fähig • Hochsicherheitssystem – Für sensible Daten • Dezentral in der Datenhaltung – Daten können verteilt werden, auch Off-Line
  54. 54. 54 / 56 Das ist IBM Lotus Notes Domino! (2/2) • Programmierbar – IBM Lotus Notes Domino verfügt über 4 integrierte Programmierunterstützungen • Formelsprache • Lotus Script • JavaScript • Java • Dokumentenorientiert – Jeder Datensatz kann eine individuelle Datenstruktur haben
  55. 55. 55 / 56 Diese Präsentation ist urheberrechtlich geschützt. © 2010 Christian Habermüller – http://chabermu.wordpress.com Alle Rechte vorbehalten. Kein Teil dieser Präsentation darf ohne schriftliche Genehmigung des Autors in irgendeiner Form durch Fotokopie, Mikrofilm, Scannen, Download oder andere Verfahren reproduziert, gespeichert, wiedergegeben oder verbreitet werden. Insbesondere die Rechte der Wiedergabe durch Vortrag, Funk, Fernsehen und Internet sind dem Autor vorbehalten. Jede Zuwiderhandlung wird zivil- & strafrechtlich verfolgt.
  56. 56. 56 / 56 Diese Präsentation ist ausschließlich für den informativen Einsatzzweck gedacht und wird als diese ohne jegliche Garantie oder Gewährleistung bereitgestellt. Der Autor ist ausdrücklich nicht haftbar für mögliche Folgen oder mögliche Schäden, die durch die Verwendung des bereitgestellten Materials entstehen können oder könnten. Hinweise, Verweise oder Verknüpfungen bzw. Links in diesem Material unterliegen ebenfalls diesem Haftungsausschluß und sind Eigentum des jeweiligen Rechteinhabers. Die Rechte von geschützten Markennamen, Handelsmarken sowie alle weiteren Rechte unterliegen dem jeweiligen Rechteinhaber und bzw. oder des Eigentümers derselben.

×