Inhaltsverzeichnis. 3 Zehn Schritte zum Sicherheitsmanagement... 25

Größe: px

Ab Seite anzeigen:

Download "Inhaltsverzeichnis. 3 Zehn Schritte zum Sicherheitsmanagement... 25"

Kurt Scholz
vor 8 Jahren
Abrufe

1 1 Ausgangssituation und Zielsetzung Ausgangssituation Bedrohungen Schwachstellen Schutzbedarf und Haftung Zielsetzung des Sicherheits, Kontinuitäts und Risikomanagements Lösung Zusammenfassung Kurzfassung und Überblick für Eilige Zehn Schritte zum Sicherheitsmanagement Definitionen zum Sicherheits, Kontinuitäts und Risikomanagement Unternehmenssicherheitsmanagementsystem Informationssicherheitsmanagementsystem Sicherheitsmanagement Ingenieurmäßige Sicherheit (Occupational) Health, Safety, Security and Continuity Engineering Sicherheitspyramide Sicherheitspolitik Sicherheit im Lebenszyklus Ressourcen, Schutzobjekte und subjekte sowie klassen Sicherheitskriterien Geschäftseinflussanalyse (Business Impact Analysis) Geschäftskontinuität (Business Continuity) Sicherheit und Sicherheitsdreiklang Risiko und Risikodreiklang Risikomanagement Sicherheits, Kontinuitäts und Risikomanagement Zusammenfassung Die Sicherheitspyramide Strategie und Vorgehensmodell Überblick Sicherheitshierarchie Sicherheits, Kontinuitäts und Risikopolitik Sicherheitsziele / Sicherheitsanforderungen Sicherheitstransformation und Sicherheitsmerkmale Sicherheitsarchitektur Sicherheitsrichtlinien Generische Sicherheitskonzepte... 54

.. 25 4 Definitionen zum Sicherheits, Kontinuitäts und Risikomanagement... 27 4.1 Unternehmenssicherheitsmanagementsystem... 27 4.2 Informationssicherheitsmanagementsystem... 28 4.

2 XIV Inhaltsverzeichnis Spezifische Sicherheitskonzepte Sicherheitsmaßnahmen PROSim Lebenszyklus von Prozessen, Ressourcen, Organisation, Produkten und (Dienst )Leistungen (Services) Geschäfts, Support und Begleitprozess Lebenszyklus Ressourcenlebenszyklen Organisationslebenszyklus Produkt und Dienstleistungslebenszyklen Sicherheitsregelkreis Sicherheitsmanagementprozess Zusammenfassung Sicherheits, Kontinuitäts und Risikopolitik Zielsetzung Umsetzung Inhalte Checkliste Praxisbeispiel Sicherheits, Kontinuitäts und Risikopolitik Zusammenfassung Sicherheitsziele/Sicherheitsanforderungen Schutzbedarfsklassen Schutzbedarfsanalyse Prozessarchitektur und Prozesscharakteristika Externe Anforderungen an das Unternehmen (Gesetze, Vorschriften, Normen, Practices) Einleitung Persönliche Haftungsrisiken und Strafbarkeit Haftungsrisiken von Unternehmen Risikomanagement Buchführung Verträge Gleichbehandlung Datenschutz Arbeitsschutz und Arbeitssicherheit Weitere gesetzliche Anforderungen in Deutschland Unternehmensführung, Corporate Governance Finanzinstitute und Versicherungsunternehmen Chemische und pharmazeutische Industrie Behörden In USA börsennotierte Unternehmen

.. 57 5.4.3 Organisationslebenszyklus... 58 5.4.4 Produkt und Dienstleistungslebenszyklen... 58 5.5 Sicherheitsregelkreis... 58 5.6 Sicherheitsmanagementprozess... 59 5.7 Zusammenfassung.

3 XV Weitere Anforderungen Normen, Standards, Practices Externe Anforderungen an das Unternehmen Fazit Geschäftseinflussanalyse (Business Impact Analysis) Betriebseinflussanalyse (Operational Impact Analysis) Tabelle Schadensszenarien Praxisbeispiele Schutzbedarf der Prozesse Betriebseinflussanalyse Schutzbedarfsklassen Zusammenfassung Sicherheitsmerkmale Haus zur Sicherheit Occ. Health, Safety, Security and Continuity Function Deployment Transformation der Anforderungen auf Sicherheitsmerkmale Detaillierung der Sicherheitsmerkmale Abbildung der Merkmale auf den Lebenszyklus Schutzbedarfsklassen Praxisbeispiele Zusammenfassung Sicherheitsarchitektur Überblick Prinzipielle Sicherheitsanforderungen Prinzipielle Bedrohungen Strategien und Prinzipien Risikostrategie (Risk Strategy) Sicherheits und Kontinuitätsstrategie (Occ. Health, Safety, Security and Continuity Strategy) Prinzip der Wirtschaftlichkeit Prinzip der Abstraktion Prinzip der Klassenbildung Poka Yoke Prinzip Prinzip der Namenskonventionen Prinzip der Redundanz (Principle of Redundancy) Prinzip des aufgeräumten Arbeitsplatzes (Clear Desk Policy) Prinzip des gesperrten Bildschirms (Clear Screen Policy) Prinzip der Eigenverantwortlichkeit Vier Augen Prinzip (Confirmed Double Check Principle) Prinzip der Funktionstrennung (Segregation of Duties Principle) Prinzip der Sicherheitsschalen (Security Shell Principle) Prinzip der Pfadanalyse (Path Analysis Principle)

.. 139 7.4.3 Schutzbedarfsklassen... 143 7.5 Zusammenfassung... 145 8 Sicherheitsmerkmale... 146 8.1 Haus zur Sicherheit... 147 8.2 Occ. Health, Safety, Security and Continuity Function Deployment.

4 XVI Inhaltsverzeichnis Prinzip der Ge und Verbotsdifferenzierung Prinzip des generellen Verbots (Deny All Principle) Prinzip der Ausschließlichkeit Prinzip der minimalen Rechte (Need to Know/Use Principle) Prinzip der minimalen Dienste (Minimum Services Principle) Prinzip der minimalen Nutzung (Minimum Usage Principle) Prinzip der Nachvollziehbarkeit und Nachweisbarkeit Prinzip des sachverständigen Dritten Prinzip der Sicherheitszonen und des Closed Shop Betriebs Prinzip der Immanenz (Principle of Immanence) Prinzip der Konsolidierung (Principle of Consolidation) Prinzip der Standardisierung (Principle of Standardization) Prinzip der Plausibilisierung (Principle of Plausibleness) Prinzip der Konsistenz (Principle of Consistency) Prinzip der Untergliederung (Principle of Compartmentalization) Prinzip der Vielfältigkeit (Principle of Diversity) Distanzprinzip Prinzip der Vererbung Prinzip der Subjekt Objekt bzw. Aktiv Passiv Differenzierung Sicherheitselemente Prozesse im Überblick Konformitätsmanagement (Compliance Management) Arbeitsschutzmanagement (Occ. Health and Safety Management) Datenschutzmanagement (Privacy Management) Risikomanagement (Risk Management) Leistungsmanagement (Service Level Management) Finanzmanagement (Financial Management) Projektmanagement (Project Management) Qualitätsmanagement (Quality Management) Ereignismanagement (Incident Management) Problemmanagement (Problem Management) Änderungsmanagement (Change Management) Releasemanagement (Release Management) Konfigurationsmanagement (Configuration Management) Lizenzmanagement (Licence Management) Kapazitätsmanagement (Capacity Management) Wartungsmanagement (Maintenance Management) Kontinuitätsmanagement (Continuity Management) Securitymanagement (Security Management) Architekturmanagement (Architecture Management)

.. 177 9.4.23 Prinzip des sachverständigen Dritten... 177 9.4.24 Prinzip der Sicherheitszonen und des Closed Shop Betriebs... 177 9.4.25 Prinzip der Immanenz (Principle of Immanence)... 178 9.4.26 Prinzip der Konsolidierung (Principle of Consolidation).

5 XVII Innovationsmanagement (Innovation Management) Personalmanagement (Human Resources Management) Ressourcen im Überblick Organisation im Überblick Lebenszyklus im Überblick Hilfsmittel Sicherheits und Risikoarchitekturmatrix Zusammenfassung Sicherheitsrichtlinien/ standards Übergreifende Richtlinien Sicherheitsregeln Kommunikation Prozessvorlage Sourcing Fax IKT Benutzerordnung E Mail Nutzung Internet Nutzung Kern, Support, Begleitprozesse (Managementdisziplinen) Datenschutzmanagement Sicherheits, Kontinuitäts und Risikomanagement Kapazitätsmanagement Kontinuitätsmanagement Securitymanagement Ressourcen Organisation Zusammenfassung Spezifische Sicherheitskonzepte Prozesse Kontinuitätsmanagement Ressourcen Betriebssystem Zusammenfassung Sicherheitsmaßnahmen Ressourcen Betriebssystem: Protokoll Passworteinstellungen Zusammenfassung Prozess, Produkt und Dienstleistungslebenszyklen Prozesslebenszyklus Produkt und Dienstleistungslebenszyklus Entscheidungsprozesslebenszyklus Zusammenfassung

1 Übergreifende Richtlinien... 336 10.1.1 Sicherheitsregeln... 336 10.1.2 Kommunikation... 337 10.1.3 Prozessvorlage... 338 10.1.4 Sourcing... 340 10.1.5 Fax... 343 10.1.6 IKT Benutzerordnung... 343 10.1.7 E Mail Nutzung.

6 XVIII Inhaltsverzeichnis 14 Sicherheitsregelkreis Sicherheitsprüfungen Sicherheitsstudie/ analyse Penetrationstests IT Security Scans Sicherheitscontrolling Berichtswesen (Occ. Health, Safety, Security and Continuity Reporting) Anforderungen Inhalte Safety Security Continuity Benchmarks Hilfsmittel IT Sicherheitsfragen Zusammenfassung Reifegradmodell des Sicherheits, Kontinuitäts und Risikomanagements Systems Security Engineering Capability Maturity Model Information Technology Security Assessment Framework Maturity Model nach COBIT Reifegradmodell Unternehmenssicherheit Stufe 0: unbekannt Stufe 1: begonnen Stufe 2: konzipiert Stufe 3: standardisiert Stufe 4: integriert Stufe 5: gesteuert Stufe 6: selbst lernend Checkliste Reifegrad Praxisbeispiel Zusammenfassung Sicherheitsmanagementprozess Deming bzw. PDCA Zyklus Planung Durchführung Prüfung Verbesserung Zusammenfassung Abbildungsverzeichnis Markenverzeichnis

4 Safety Security Continuity Benchmarks... 417 14.5 Hilfsmittel IT Sicherheitsfragen... 417 14.6 Zusammenfassung... 418 15 Reifegradmodell des Sicherheits, Kontinuitäts und Risikomanagements... 419 15.

7 XIX 19 Verzeichnis über Gesetze, Vorschriften, Standards, Normen Gesetze, Verordnungen und Richtlinien Deutschland: Gesetze und Verordnungen Österreich: Gesetze und Verordnungen Schweiz: Gesetze, Verordnungen und Rundschreiben Großbritannien: Gesetze, Vorschriften Europa: Entscheidungen und Richtlinien USA: Gesetze, Practices und Prüfvorschriften Ausführungsbestimmungen, Grundsätze, Vorschriften Standards, Normen, Leitlinien und Rundschreiben Literatur und Quellenverzeichnis Glossar und Abkürzungsverzeichnis Sachwortverzeichnis Über den Autor

.. 439 19.2 Ausführungsbestimmungen, Grundsätze, Vorschriften... 440 19.3 Standards, Normen, Leitlinien und Rundschreiben... 442 20 Literatur und Quellenverzeichnis.

Ähnliche Dokumente

IT-Sicherheit mit System

Klaus-Rainer Müller IT-Sicherheit mit System Sicherheitspyramide und Vorgehensmodelle - Sicherheitsprozess und Katastrophenvorsorge - Die 10 Schritte zum Sicherheitsmanagement Mit 26 Abbildungen vieweg