IT-Sicherheit mit System

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit mit System"

David Ursler
vor 8 Jahren
Abrufe

1 Klaus-Rainer Müller IT-Sicherheit mit System Sicherheitspyramide und Vorgehensmodelle - Sicherheitsprozess und Katastrophenvorsorge - Die 10 Schritte zum Sicherheitsmanagement Mit 26 Abbildungen vieweg

Sicherheitsprozess und Katastrophenvorsorge - Die

2 Inhaltsverzeichnis 1 Ausgangssituation und Zielsetzung Ausgangssituation Bedrohungen Schwachstellen Schutzbedarf Zielsetzung des Sicherheits- und Risikomanagements Lösung Zusammenfassung 8 2 Kurzfassung und Überblick für Eilige Schritte zum Sicherheitsmanagement 11 4t Definitionen zum Sicherheits- und Risikomanagement Sicherheitsmanagement IuK-Sicherheitsmanagement Ingenieurmäßige Sicherheit - Safety and Security Engineering Sicherheitspyramide Sicherheitspolitik nach IT-Grundschutzhandbuch (IT-GSHB) nach ITSEC nach ISO/IEC TR , Part nach ISO (Common Criteria) nach ISO/IEC 17799: nach Dr.-Ing. Müller Vergleich Sicherheit im Lebenszyklus Ressourcen, Schutzobjekte und -Subjekte sowie -klassen Sicherheitskriterien Geschäftseinflussanalyse (Business Impact Analysis) Geschäftskontinuität (Business Continuity) Sicherheit und Sicherheitsdreiklang Risiko und Risikodreiklang Risikomanagement Zusammenfassung 31 XIII

4 Zusammenfassung 8 2 Kurzfassung und Überblick für Eilige 9 3 10 Schritte zum Sicherheitsmanagement 11 4t Definitionen zum Sicherheits- und Risikomanagement 13 4.1 Sicherheitsmanagement 14 4.

3 5 Die Sicherheitspyramide - Strategie und Vorgehensmodell Überblick Sicherheitshierarchie Sicherheits- und Risikopolitik Sicherheitsziele / Sicherheitsanforderungen Sicherheitstransformation Sicherheitsarchitektur Sicherheitsrichtlinien Spezifische Sicherheitskonzepte Sicherheitsmaßnahmen PROSim Prozess-, Ressourcen- und Produktlebenszyklus Geschäfts-, Support- und Begleitprozess-Lebenszyklus Ressourcen-/Systemlebenszyklus Dienstleistungs- und Produktlebenszyklus Sicherheitsregelkreis Sicherheitsmanagementprozess Zusammenfassung 43 6 Sicherheits- und Risikopolitik Zielsetzung Umsetzung Inhalte Checkliste Praxisbeispiele Sicherheits- und risikopolitische Leitsätze Versicherung Sicherheits- und Risikopolitik Zusammenfassung 60 / Sicherheitsziele/Sicherheitsanforderungen Schutzbedarfsklassen Schutzbedarfsanalyse Prozessarchitektur und Prozesscharakteristika Externe Sicherheitsanforderungen Geschäftseinflussanalyse (Business Impact Analysis) Betriebseinflussanalyse (Operational Impact Analysis) Tabelle Schadensszenarien 70 XIV

4 Prozess-, Ressourcen- und Produktlebenszyklus 41 5.4.1 Geschäfts-, Support- und Begleitprozess-Lebenszyklus 41 5.4.2 Ressourcen-/Systemlebenszyklus 42 5.4.3 Dienstleistungs- und Produktlebenszyklus 42 5.

4 7.4 Praxisbeispiele Schutzbedarf der Geschäftsprozesse IuK-Schutzbedarfsanalyse Schutzbedarfsklassen Zusammenfassung 76 8 Sicherheitstransformation Haus zur Sicherheit - House of Safety and Security" (HoSS) Safety and Security Function Deployment" (SSFD) Transformation der Anforderungen auf Sicherheitscharakteristika Detaillierung der Sicherheitscharakteristika Abbildung der Charakteristika auf den Lebenszyklus Schutzbedarfsklassen Praxisbeispiele Zusammenfassung 84 9 Sicherheitsarchitektur Überblick Prinzipielle Sicherheitsanforderungen Prinzipielle Bedrohungen Strategien und Prinzipien Risikostrategie Sicherheitsstrategie Prinzip der Wirtschaftlichkeit Prinzip der Abstraktion Prinzip der Klassenbildung Poka-Yoke-Prinzip Prinzip der Namenskonventionen Prinzip der Redundanz Prinzip des aufgeräumten" Arbeitsplatzes Prinzip des gesperrten" Bildschirms Prinzip der Eigenverantwortlichkeit Vier-Augen-Prinzip Prinzip der Funktionstrennung Prinzip 'der Sicherheitsschalen ' Prinzip der Pfadanalyse Prinzip des generellen Verbots Prinzip der minimalen Rechte Prinzip der minimalen Dienste Prinzip der minimalen Nutzung 102 XV

2.3 Abbildung der Charakteristika auf den Lebenszyklus 81 8.3 Schutzbedarfsklassen 82 8.4 Praxisbeispiele 83 8.5 Zusammenfassung 84 9 Sicherheitsarchitektur 85 9.1 Überblick 86 9.

5 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit Prinzip des sachverständigen Dritten" Prinzip des Closed-Shop-Betriebs und der Sicherheitszonen Prinzip der Prozess-, Ressourcen- und Lebenszyklusimmanenz Prinzip der Konsolidierung Prinzip der Standardisierung Sicherheitselemente Prozesse im Überblick Konformitätsmanagement (Compliance Management) Datenschutzmanagement (Privacy Management) Risikomanagement (Risk Management) Leistungsmanagement (Service Level Management) Finanzmanagement (Financial Management) Projektmanagement (Project Management) Qualitätsmanagement (Quality Management) Ereignismanagement (Incident Management) Problemmanagement (Problem Management) Änderungsmanagement (Change Management) Releasemanagement (Release Management) Konfigurationsmanagement (Configuration Management) Lizenzmanagement (Licence Management) Kapazitätsmanagement (Capacity Management) Wartungsmanagement (Maintenance Management) Kontinuitätsmanagement (Continuity Management) Securitymanagement (Security Management) Architekturmanagement (Architecture Management) Innovationsmanagement (Innovation Management) Personalmanagement (Human Resources Management) Ressourcen im Überblick Organisation im Überblick Lebenszyklus Hilfsmittel Sicherheitsarchitekturmatrix Zusammenfassung SicherheitsrichtlinienAstandards Generische Sicherheitskonzepte Übergreifende Richtlinien Sicherheitsregeln Prozessvorlage IT-Benutzerordnung Nutzung 216 XVI

2 Konformitätsmanagement (Compliance Management) 116 9.5.3 Datenschutzmanagement (Privacy Management) 117 9.5.4 Risikomanagement (Risk Management) 117 9-5.

6 10.2 Betriebs- und Begleitprozesse (Managementdisziplinen) Kapazitätsmanagement Kontinuitätsmanagement Securitymanagement Organisation Zusammenfassung Spezifische Sicherheitskonzepte Kontinuitätsmanagement Securitymanagement Zusammenfassung Sicherheitsmaßnahmen Securitymanagement Protokoll Passworteinstellungen Zusammenfassung Lebenszyklus Beantragung Planung Fachkonzept, Anforderungsspezifikation Technisches Grobkonzept Technisches Feinkonzept Entwicklung Integrations- und Systemtest Freigabe Software-Evaluation Auslieferung Abnahmetest und Abnahme Software-Verteilung Inbetriebnahme Betrieb.., Außerbetriebnahme Hilfsmittel Phasen-Ergebnistypen-Tabelle Zusammenfassung 250 XVII

1 Securitymanagement 237 12.1.1 Protokoll Passworteinstellungen 237 12.

7 14 Sicherheitsregelkreis Sicherheitsprüfungen Sicherheitsstudie/Risikoanalyse Penetrationstests Security-Scans Sicherheitscontrolling Berichtswesen (Safety-Security-Reporting) Anforderungen Inhalte Safety-Security-Benchmarks Hilfsmittel IT-Sicherheitsfragen Zusammenfassung Reifegradmodell des Sicherheitsmanagements - Safety/Security Management Maturity ModeL Maturity-Modell Reifegradmodell nach Dr.-Ing. Müller Stufe 0: unbekannt Stufe 1: begonnen Stufe 2: konzipiert Stufe 3: standardisiert Stufe 4: integriert Stufe 5: gesteuert Stufe 6: selbst lernend Checkliste Reifegrad Praxisbeispiel Zusammenfassung 272 IC) Sicherheitsmanagementprozess Deming- bzw. PDCA-Zyklus Planung Durchführung Prüfung Verbesserung Zusammenfassung 277 XVIII

6 Zusammenfassung 266 1 5 Reifegradmodell des Sicherheitsmanagements - Safety/Security Management Maturity ModeL 267 15.1 Maturity-Modell 267 15.2 Reifegradmodell nach Dr.-Ing. Müller 267 15.2.1 Stufe 0: unbekannt 268 15.

8 Abbildungsverzeichnis 279 Markenverzeichnis 280 Verzeichnis über Gesetze, Vorschriften, Standards, Normen 281 Gesetze, Verordnungen 281 Ausführungsbestimmungen, Grundsätze, Vorschriften 282 Standards, Normen, Leitlinien und Rundschreiben 283 Literatur- und Quellenverzeichnis 287 Glossar und Abkürzungsverzeichnis 291 Sachwortverzeichnis 313 Über den Autor 327 XIX

Vorschriften 282 Standards, Normen, Leitlinien und Rundschreiben 283 Literatur- und

Ähnliche Dokumente

Inhaltsübersicht XVII

Inhaltsübersicht XVII Inhaltsübersicht 1 Ausgangssituation und Zielsetzung... 1 2 Kurzfassung und Überblick für Eilige... 13 3 Zehn Schritte zum Sicherheitsmanagement... 15 4 Definitionen zum Sicherheits-, Kontinuitäts- und