Der IT Security Manager

Größe: px

Ab Seite anzeigen:

Download "Der IT Security Manager"

Klaudia Morgenstern
vor 8 Jahren
Abrufe

1 Der IT Security Manager Klaus Schmidt ISBN Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter sowie im Buchhandel

2 Vorwort...XI Über den Autor...XII 1 Stellenwert der Informationssicherheit Das Wesen einer Information Informationstechnik als Informationsinfrastruktur Sicherheit als Erfolgsfaktor Sicherheitsfunktionen im Unternehmen Risikomanagement vs. IT-Sicherheit Risiko und Sicherheit Risiko Begriffsbedeutung Risiko und Gefahr Deutungen des Risikobegriffs Erkenntnisse über Risiken Sicherheit Sicherheitskriterien Sicherheitsgrad Sicherheitsstufen Verhältnis zwischen Sicherheitsgrad und Aufwand Entstehung und Auswirkungen von Risiken Schwachstelle Angriffspfad Auslöser Bedrohung Sicherheitsrelevantes Ereignis Risikoszenario Auswirkungen Beispiele für Schadensszenarien V

.. 11 2.1.3 Deutungen des Risikobegriffs... 12 2.1.4 Erkenntnisse über Risiken... 12 2.2 Sicherheit... 14 2.2.1 Sicherheitskriterien... 15 2.2.2 Sicherheitsgrad... 18 2.2.3 Sicherheitsstufen... 19 2.

3 4 Sicherheitsorganisation Sicherheitsbereiche im Unternehmen Physische Sicherheit Arbeitssicherheit Technische Sicherheit Produktionssicherheit Produktsicherheit Informationssicherheit Umweltschutz Datenschutz Revision Finanzielle Sicherheit Patentschutz Sicherheitsrelevante Rollen Information Risk Manager Information Security Manager Informationssicherheits-Beauftragter IT-Sicherheitsbeauftragter Datenschutzbeauftragter IT-Manager IT-Revisor IT-Sicherheitsgremium IT-Benutzersupport Organisationsmodelle Beispiel Beispiel Beispiel Beispiel Beispiel Gestaltung einer Sicherheitsorganisation Methodische Managementgrundlagen Vier-Phasen-Managementkreislauf Der Information Security Circle Zusammenspiel zwischen Statik und Dynamik Fragebogen und Interviews Fragebogentechnik Interviewtechnik Moderation Grundaussagen zur Moderation Der Moderator Vorbereitung einer Moderation Moderationsfragen Moderationsbeispiel Abfrage von Informationen Argumentation und Verhandlung...66 VI

..38 4.2.1 Information Risk Manager...38 4.2.2 Information Security Manager...38 4.2.3 Informationssicherheits-Beauftragter...38 4.2.4 IT-Sicherheitsbeauftragter...39 4.2.5 Datenschutzbeauftragter.

4 5.6.1 Diskussions- und Verhandlungspartner Gesprächsatmosphäre Argumente Verhandlungsvorgehen Vierstufen-Verhandlungsprinzip Projektmanagement Projektorganisation Projektplanung Vorgehensmodelle Projektstadien Projektcontrolling Projekttipps Sicherheit definieren und vorgeben Von der Zielsetzung zur Umsetzung Zielhierarchie Zielformulierung Umsetzungsplanung Sicherheitsstrategien Strategie der chinesischen Mauer Strategie der Prozess-basierten Sicherheit Sicherheit von innen nach außen Sicherheit durch Eigentümerschaft Auswahl der Strategie Sicherheitspolitik Sicherheitspolitik als politische Handlungsweise Sicherheitspolitik als Regelwerk der Sicherheit Vordefinierte Sicherheitsstandards BSI Grundschutzhandbuch BS COBIT Business Impact-Analyse Abhängigkeitsmatrix Schutzbedarfsanalyse Risiken erkennen und bewerten Abgrenzung des Analyseobjekts IST-Aufnahme Sichten von Dokumentationen Führen von Interviews zur IST-Aufnahme Schwachstellenanalyse Bedrohungsanalyse Risikoszenarien Darstellung der Risikosituation Der Risikokorridor Bewerten der Risikosituation und Risikopriorisierung VII

.. 82 6 Sicherheit definieren und vorgeben... 83 6.1 Von der Zielsetzung zur Umsetzung... 83 6.1.1 Zielhierarchie... 84 6.1.2 Zielformulierung... 85 6.1.3 Umsetzungsplanung... 86 6.

5 7.9 Risikoentscheidung und -priorisierung Angemessene Schutzkonzepte Risikoformel Eintrittswahrscheinlichkeit Schadenshöhe Probleme der Risikoformel FMEA Projektbegleitende Risikoanalyse Reporting Strukturmodell des House of Security (HoS) Schichten Dimensionen Betrachtungshorizont Lebenszyklusphasen Tiefe und Schärfe Präsentation Allgemeines zur Präsentation Vorbereitung der Präsentationsinhalte Visualisierung der Inhalte Vorbereitung der Präsentationsveranstaltung Durchführung der Präsentation Risk Reporting mit der Balanced Scorecard Die betriebswirtschaftliche Balanced Scorecard Anwendung der BSC im Sicherheitsmanagement Security Capability Maturity Model Das Capability Maturity Model (CMM) Das Security Capability Maturity Model Reporting mit dem Netzdiagramm Security Landscape Business Continuity Ausgangssituation Klassische Datensicherung Datenspiegelung RAID Moderne Storage-Technologien Replikation Failover Redundanz Outsourcing Fallback Notfallmanagement Notfallvorsorge Erkennen des Notfalls VIII

..139 8.1.4 8.1.5 Lebenszyklusphasen...141 Tiefe und Schärfe...143 8.2 Präsentation...143 8.2.1 Allgemeines zur Präsentation...143 8.2.2 Vorbereitung der Präsentationsinhalte...144 8.2.3 Visualisierung der Inhalte.

6 10.3 Notfallhandbuch Notfallorganisation Notfallverlauf Sofortmaßnahmen Notfallbeherrschung Eskalation Notbetrieb Notfall-Recovery Notfall-Ende und Nachbereitung Der Mensch in der Informationssicherheit Politische Arbeit des Security Managers Formale Macht Die Unternehmensebenen und der Security Manager Informelle Macht Standing Konsequenzen für Sie als Information Security Manager Netzwerke schaffen Change Management Aussagen der offenen Widerständler Verdeckter Widerstand Verhinderungsgründe Verschiedene Reaktionsmuster Ablauf der Veränderung Handlungsstrategien Information Security Awareness Gründe und Argumente für fehlende Awareness Einsichten des Information Security Managers Die Awareness verbessern User Security Standard Incident Handling und IT-Forensik Computerkriminalität Erkennung von sicherheitsrelevanten Ereignissen Angriffsablauf Erkennung über Abweichungen Weiterleiten des sicherheitsrelevanten Ereignisses Beweissicherung Den unveränderten Originalzustand sicherstellen Probleme mit Zeitangaben Forensische Untersuchung Bewertung von sicherheitsrelevanten Ereignissen Umgang mit den Verursachern Innentäter Außentäter Eskalation von sicherheitsrelevanten Ereignissen IX

.. 212 11.1.2 Die Unternehmensebenen und der Security Manager... 213 11.1.3 Informelle Macht... 216 11.1.4 Standing... 217 11.1.5 Konsequenzen für Sie als Information Security Manager... 218 11.1.6 Netzwerke schaffen.

7 Eskalation an das Notfallmanagement Einbeziehung von externen Ermittlungskräften Einbindung sonstiger externer Kräfte Informationssicherheit und externe Partner Externe Partner Informationsrisiken in externen Partnerschaften Sicherheitsanforderungen für externe Partner Security Service Level Agreements Vertraulichkeitserklärungen Datenschutz im Outsourcing Rechtliche Einflüsse KonTraG Stellung des Vorstands Maßnahmen nach KonTraG Geforderte Eigenschaften des Früherkennungssystems Prüfungen nach KonTraG COSO-Framework Combined Code Sarbanes Oxley Act (SOX) Bundesdatenschutzgesetz Die Gesetzesgrundlage zu personenbezogenen Daten Anwendbarkeit des BDSG Der betriebliche Datenschutzbeauftragte Arbeitsrechtliche Haftung Sonstige Haftungsregelungen ITK-Gesetze IuKDG Teledienstegesetz Signaturgesetz TDDSG TKG TDSV TKÜV GoBS Literatur Register X

..255 13.4 Security Service Level Agreements...258 13.5 Vertraulichkeitserklärungen...259 13.6 Datenschutz im Outsourcing...261 14 Rechtliche Einflüsse... 265 14.1 KonTraG...265 14.1.1 Stellung des Vorstands.

Ähnliche Dokumente

Vorwort...XI. Über den Autor...XII

Vorwort...XI. Über den Autor...XII Inhalt Vorwort...XI Über den Autor...XII 1 Stellenwert der Informationssicherheit... 1 1.1 Das Wesen einer Information... 2 1.2 Informationstechnik als Informationsinfrastruktur... 4 1.3 Sicherheit als