Suchen und Finden
Mehr zum Inhalt
IT-Sicherheit mit System - Sicherheitspyramide - Sicherheits-, Kontinuitäts- und Risikomanagement - Normen und Practices - SOA und Softwareentwicklung
Vorwort
6
Inhaltsübersicht
18
Inhaltsverzeichnis
19
1 Ausgangssituation und Zielsetzung
28
1.1 Ausgangssituation
29
1.1.1 Bedrohungen
29
1.1.2 Schwachstellen
33
1.1.3 Schutzbedarf
36
1.2 Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements
37
1.3 Lösung
37
1.4 Zusammenfassung
39
2 Kurzfassung und Überblick für Eilige
40
3 Zehn Schritte zum Sicherheitsmanagement
42
4 Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement
46
4.1 Unternehmenssicherheitsmanagementsystem
47
4.2 Informationssicherheitsmanagementsystem
48
4.3 Sicherheitsmanagement
49
4.4 ITK-Sicherheitsmanagement
50
4.4.1 ISO/IEC 13335-1:2004
51
4.4.2 ISO/IEC 17799:2005, ISO/IEC 27002:2005
53
4.4.3 ISO/IEC 27001:2005
55
4.4.4 ISO/IEC 27000-Reihe
57
4.4.5 ITIL® Security Management
58
4.4.6 IT-Grundschutzhandbuch, IT-Grundschutzkataloge des BSI
59
4.4.7 COBIT®, Version 4.0
64
4.4.8 BS 25999-1:2006
66
4.4.9 BS 25999-2
69
4.4.10 Fazit: Normen und Practices versus Sicherheitspyramide
70
4.5 Ingenieurmäßige Sicherheit – Safety, Security, Continuity Engineering
74
4.6 Sicherheitspyramide
74
4.7 Sicherheitspolitik
76
4.7.1 ... nach IT-Grundschutzhandbuch/-katalogen (IT-GSHB 2006)
76
4.7.2 ... nach ITSEC
77
4.7.3 ... nach ISO/IEC 13335-1:2004
78
4.7.4 ... nach ISO 15408 (Common Criteria)
79
4.7.6 ... nach ISO/IEC 27001:2005
80
4.7.7 ... nach Dr.-Ing. Müller
80
4.7.8 Vergleich
81
4.8 Sicherheit im Lebenszyklus
82
4.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen
83
4.10 Sicherheitskriterien
84
4.11 Geschäftseinflussanalyse (Business Impact Analysis)
85
4.12 Geschäftskontinuität (Business Continuity)
85
4.13 Sicherheit und Sicherheitsdreiklang
88
4.14 Risiko und Risikodreiklang
90
4.15 Risikomanagement
92
4.16 Zusammenfassung
92
5 Die Sicherheitspyramide – Strategie und Vorgehensmodell
94
5.1 Überblick
95
5.2 Sicherheitshierarchie
99
5.2.1 Sicherheits-, Kontinuitäts- und Risikopolitik
100
5.2.2 Sicherheitsziele / Sicherheitsanforderungen
100
5.2.3 Sicherheitstransformation
100
5.2.4 Sicherheitsarchitektur
101
5.2.5 Sicherheitsrichtlinien
101
5.2.6 Spezifische Sicherheitskonzepte
101
5.2.7 Sicherheitsmaßnahmen
102
5.3 PROSim
102
5.4 Lebenszyklus von Prozessen, Ressourcen, Produkten und Leistungen (Services)
103
5.4.1 Geschäfts-, Support- und Begleitprozess-Lebenszyklus
103
5.4.2 Ressourcen-/Systemlebenszyklus
104
5.4.3 Dienstleistungs- und Produktlebenszyklus
104
5.5 Sicherheitsregelkreis
104
5.6 Sicherheitsmanagementprozess
105
5.7 Zusammenfassung
105
6 Sicherheits-, Kontinuitäts- und Risikopolitik
108
6.1 Zielsetzung
109
6.2 Umsetzung
109
6.3 Inhalte
110
6.4 Checkliste
112
6.5 Praxisbeispiele
114
6.5.1 Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung
114
6.5.2 Sicherheits-, Kontinuitäts- und Risikopolitik
116
6.6 Zusammenfassung
123
7 Sicherheitsziele / Sicherheitsanforderungen
124
7.1 Schutzbedarfsklassen
125
7.2 Schutzbedarfsanalyse
125
7.2.1 Prozessarchitektur und Prozesscharakteristika
126
7.2.2 Externe Sicherheitsanforderungen
127
7.2.3 Geschäftseinflussanalyse (Business Impact Analysis)
135
7.2.4 Betriebseinflussanalyse (Operational Impact Analysis)
137
7.3 Tabelle Schadensszenarien
138
7.4 Praxisbeispiele
140
7.4.1 Schutzbedarf der Geschäftsprozesse
140
7.4.3 Schutzbedarfsklassen
144
7.5 Zusammenfassung
145
8 Sicherheitstransformation
146
8.1 Haus zur Sicherheit – House of Safety, Security and Continuity (HoSSC)
147
8.2 Safety, Security and Continuity Function Deployment (SSCFD)
148
8.2.1 Transformation der Anforderungen auf Sicherheitscharakteristika
148
8.2.2 Detaillierung der Sicherheitscharakteristika
150
8.2.3 Abbildung der Charakteristika auf den Lebenszyklus
150
8.3 Schutzbedarfsklassen
151
8.4 Praxisbeispiele
152
8.5 Zusammenfassung
154
9 Sicherheitsarchitektur
156
9.1 Überblick
157
9.2 Prinzipielle Sicherheitsanforderungen
159
9.3 Prinzipielle Bedrohungen
159
9.4 Strategien und Prinzipien
162
9.4.1 Risikostrategie (Risk Strategy)
164
9.4.2 Sicherheitsstrategie (Safety, Security and Continuity Strategy)
165
9.4.3 Prinzip der Wirtschaftlichkeit
166
9.4.4 Prinzip der Abstraktion
166
9.4.5 Prinzip der Klassenbildung
167
9.4.6 Poka-Yoke-Prinzip
167
9.4.7 Prinzip der Namenskonventionen
169
9.4.8 Prinzip der Redundanz (Principle of Redundancy)
169
9.4.9 Prinzip des „aufgeräumten” Arbeitsplatzes (Clear Desk Policy)
172
9.4.10 Prinzip des „gesperrten” Bildschirms (Clear Screen Policy)
172
9.4.11 Prinzip der Eigenverantwortlichkeit
172
9.4.12 Vier-Augen-Prinzip (Confirmed Double Check Principle)
173
9.4.13 Prinzip der Funktionstrennung (Segregation of Duties)
173
9.4.14 Prinzip der Sicherheitsschalen (Security Shells)
173
9.4.15 Prinzip der Pfadanalyse
174
9.4.16 Prinzip des generellen Verbots (Deny All Principle)
174
9.4.17 Prinzip der minimalen Rechte (Need to Use Principle)
174
9.4.18 Prinzip der minimalen Dienste
174
9.4.19 Prinzip der minimalen Nutzung
175
9.4.20 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit
175
9.4.21 Prinzip des „sachverständigen Dritten“
175
9.4.22 Prinzip des Closed-Shop-Betriebs und der Sicherheitszonen
175
9.4.23 Prinzip der Prozess-, Ressourcen- und Lebenszyklusimmanenz
176
9.4.24 Prinzip der Konsolidierung
177
9.4.25 Prinzip der Standardisierung (Principle of Standardization)
178
9.4.26 Prinzip der Plausibilisierung (Principle of Plausibleness)
178
9.4.27 Prinzip der Konsistenz (Principle of Consistency)
179
9.4.28 Prinzip der Untergliederung (Principle of Compartmentalization)
179
9.4.29 Prinzip der Vielfältigkeit (Principle of Diversity)
180
9.5 Sicherheitselemente
180
9.5.1 Prozesse im Überblick
181
9.5.2 Konformitätsmanagement (Compliance Management)
192
9.5.3 Datenschutzmanagement (Privacy Management)
193
9.5.4 Risikomanagement (Risk Management)
195
9.5.5 Leistungsmanagement (Service Level Management)
199
9.5.6 Finanzmanagement (Financial Management)
203
9.5.7 Projektmanagement (Project Management)
204
9.5.8 Qualitätsmanagement (Quality Management)
204
9.5.9 Ereignismanagement (Incident Management)
205
9.5.10 Problemmanagement (Problem Management)
211
9.5.11 Änderungsmanagement (Change Management)
212
9.5.12 Releasemanagement (Release Management)
215
9.5.13 Konfigurationsmanagement (Configuration Management)
215
9.5.14 Lizenzmanagement (Licence Management)
216
9.5.15 Kapazitätsmanagement (Capacity Management)
217
9.5.16 Wartungsmanagement (Maintenance Management)
219
9.5.17 Kontinuitätsmanagement (Continuity Management)
220
9.5.18 Securitymanagement (Security Management)
238
9.5.19 Architekturmanagement (Architecture Management)
273
9.5.20 Innovationsmanagement (Innovation Management)
286
9.5.21 Personalmanagement (Human Resources Management)
288
9.5.22 Ressourcen im Überblick
292
9.5.23 ITK-Hard- und Software
292
9.5.24 Infrastruktur
322
9.5.25 Dokumente
324
9.5.26 Personal
324
9.5.27 Organisation im Überblick
324
9.5.28 Lebenszyklus im Überblick
325
9.6 Hilfsmittel Sicherheits- und Risikoarchitekturmatrix
325
9.7 Zusammenfassung
327
10 Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte
328
10.1 Übergreifende Richtlinien
329
10.1.1 Sicherheitsregeln
329
10.1.2 Prozessvorlage
330
10.1.3 IT-Benutzerordnung
332
10.1.4 E-Mail-Nutzung
334
10.2 Betriebs- und Begleitprozesse (Managementdisziplinen)
338
10.2.1 Kapazitätsmanagement
338
10.2.2 Kontinuitätsmanagement
340
10.2.3 Securitymanagement
352
10.3 Ressourcen
364
10.3.1 Zutrittskontrollsystem
364
10.3.2 Passwortspezifische Systemanforderungen
364
10.3.3 Wireless LAN
365
10.4 Organisation
366
10.5 Zusammenfassung
367
11 Spezifische Sicherheitskonzepte
368
11.1 Prozesse
369
11.2 Ressourcen
370
11.3 Zusammenfassung
370
12 Sicherheitsmaßnahmen
372
12.1 Ressourcen
372
13 Lebenszyklus
374
13.1 Beantragung
375
13.2 Planung
376
13.3 Fachkonzept, Anforderungsspezifikation
376
13.4 Technisches Grobkonzept
377
13.5 Technisches Feinkonzept
378
13.6 Entwicklung
381
13.7 Integrations- und Systemtest
383
13.8 Freigabe
384
13.9 Software-Evaluation
384
13.10 Auslieferung
385
13.11 Abnahmetest und Abnahme
385
13.12 Software-Verteilung
386
13.13 Inbetriebnahme
387
13.14 Betrieb
387
13.15 Außerbetriebnahme
388
13.16 Hilfsmittel Phasen-Ergebnistypen-Tabelle
389
13.17 Zusammenfassung
390
14 Sicherheitsregelkreis
392
14.1 Sicherheitsprüfungen
393
14.2 Sicherheitscontrolling
399
14.3 Berichtswesen (Safety-Security-Reporting)
401
14.4 Safety-Security-Benchmarks
407
14.5 Hilfsmittel IT-Sicherheitsfragen
407
14.6 Zusammenfassung
408
15 Reifegradmodell des Sicherheitsmanagements – Safety/Security/Continuity Management Maturity Model
410
15.1 Systems Security Engineering – Capability Maturity Model
411
15.2 Information Technology Security Assessment Framework
412
15.3 Security-Maturity-Modell
413
15.4 Reifegradmodell nach Dr.-Ing. Müller
413
15.5 Checkliste Reifegrad
415
15.6 Praxisbeispiel
417
15.7 Zusammenfassung
418
16 Sicherheitsmanagementprozess
420
16.1 Deming- bzw. PDCA-Zyklus
420
16.2 Planung
421
16.3 Durchführung
423
16.4 Prüfung
423
16.5 Verbesserung
424
16.6 Zusammenfassung
424
17 Minimalistische Sicherheit
428
Abbildungsverzeichnis
430
Markenzeichen
431
Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices
432
Deutsche Gesetze und Verordnungen
432
Ausführungsbestimmungen, Grundsätze, Vorschriften
436
Standards, Normen, Leitlinien und Rundschreiben
437
Literatur- und Quellenverzeichnis
446
Glossar und Abkürzungsverzeichnis
452
Sachwortverzeichnis
502
Über den Autor
532
Alle Preise verstehen sich inklusive der gesetzlichen MwSt.