IT-Sicherheit mit System

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit mit System"

Jasper Waldfogel
vor 6 Jahren
Abrufe

1 Klaus-Rainer Muller IT-Sicherheit mit System Sicherheitspyramide - Sicherheits-, Kontinuitats- und Risikomanagement Normen und Practices - SOA und Softwareentwicklung 3., erweiterte und aktualisierte Auflage Mit 36 Abbildungen vieweg

2 1 Ausgangssituation und Zielsetzung Ausgangssituation Bedrohungen Schwachstellen Schutzbedarf Zielsetzung des Sicherheits-, Kontinuitats- und Risikomanagements Losung Zusammenfassung 12 2 Kurzfassung und Uberblick fur Eilige 13 3 Zehn Schritte zum Sicherheitsmanagement 15 4 Definitionen zum Sicherheits-, Kontinuitats- und Risikomanagement Unternehmenssicherheitsmanagementsystem Informationssicherheitsmanagementsystem Sicherheitsmanagement ITK-Sicherheitsmanagement ISO/IEC : ISO/IEC 17799:2005, ISO/IEC 27002: ISO/IEC 27001: ISO/IEC Reihe ITIL Security Management IT-Grundschutzhandbuch, IT-Grundschutzkataloge des BSI COBIT, Version BS : BS Fazit: Normen und Practices versus Sicherheitspyramide Ingenieurmafiige Sicherheit- Safety, Security, Continuity Engineering Sicherheitspyramide Sicherheitspolitik nach IT-Grundschutzhandbuch/-katalogen (IT-GSHB 2006) nachltsec nach ISO/IEC : nach ISO (Common Criteria) nach ISO/IEC 17799:2005 bzw. ISO/IEC 27002: nach ISO/IEC 27001: nach Dr.-Ing. Miiller Vergleich Sicherheit im Lebenszyklus 55 XVIII

3 Inhaltsver/.eichnis 4.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen Sicherheitskriterien Geschaftseinflussanalyse (Business Impact Analysis) Geschaftskontinuitat (Business Continuity) Sicherheit und Sicherheitsdreiklang Risikound Risikodreiklang Risikomanagement Zusammenfassung 65 5 Die Sicherheitspyramide - Strategic und Vorgehensmodell Uberblick Sicherheitshierarchie Sicherheits-, Kontinuitats- und Risikopolitik Sicherheitsziele / Sicherheitsanforderungen Sicherheitstransformation Sicherheitsarchitektur Sicherheitsrichtlinien Spezifische Sicherheitskonzepte Sicherheitsmafinahmen PROSim Lebenszyklus von Prozessen, Ressourcen, Produkten und Leistungen (Services) Geschafts-, Support- und Begleitprozess-Lebenszyklus Ressourcen-/Systemlebenszyklus Dienstleistungs- und Produktlebenszyklus Sicherheitsregelkreis Sicherheitsmanagementprozess Zusammenfassung 78 6 Sicherheits-, Kontinuitats- und Risikopolitik Zielsetzung Umsetzung Inhalte Checkliste Praxisbeispiele Sicherheits-, kontinuitats- und risikopolitische Leitsatze Versicherung Sicherheits-, Kontinuitats- und Risikopolitik Zusammenfassung 96 7 Sicherheitsziele / Sicherheitsanforderungen Schutzbedarfsklassen Schutzbedarfsanalyse Prozessarchitektur und Prozesscharakteristika 99 XIX

4 7.2.2 Externe Sicherheitsanforderungen Geschaftseinflussanalyse (Business Impact Analysis) Betriebseinflussanalyse (Operational Impact Analysis) Tabelle Schadensszenarien Ill 7.4 Praxisbeispiele Schutzbedarf der Geschaftsprozesse ITK-Schutzbedarfsanalyse Schutzbedarfsklassen Zusammenfassung Sicherheitstransformation Haus zur Sicherheit - House of Safety, Security and Continuity (HoSSC) Safety, Security and Continuity Function Deployment (SSCFD) Transformation der Anforderungen auf Sicherheitscharakteristika Detaillierung der Sicherheitscharakteristika Abbildung der Charakteristika auf den Lebenszyklus Schutzbedarfsklassen Praxisbeispiele Zusammenfassung Sicherheitsarchitektur Uberblick Prinzipielle Sicherheitsanforderungen Prinzipielle Bedrohungen Strategien und Prinzipien Risikostrategie (Risk Strategy) Sicherheitsstrategie (Safety, Security and Continuity Strategy) Prinzip der Wirtschaftlichkeit Prinzip der Abstraktion Prinzip der Klassenbildung Poka-Yoke-Prinzip Prinzip der Namenskonventionen Prinzip der Redundanz (Principle of Redundancy) Prinzip des,,aufgeraumten" Arbeitsplatzes (Clear Desk Policy) Prinzip des,,gesperrten" Bildschirms (Clear Screen Policy) Prinzip der Eigenverantwortlichkeit Vier-Augen-Prinzip (Confirmed Double Check Principle) Prinzip der Funktionstrennung (Segregation of Duties) Prinzip der Sicherheitsschalen (Security Shells) Prinzip der Pfadanalyse Prinzip des generellen Verbots (Deny All Principle) Prinzip der minimalen Rechte (Need to Use Principle) Prinzip der minimalen Dienste 147 XX

5 Prinzip der minimalen Nutzung Prinzip der Nachvollziehbarkeit und Nachweisbarkeit Prinzip des,,sachverstandigen Dritten" Prinzip des Closed-Shop-Betriebs und der Sicherheitszonen Prinzip der Prozess-, Ressourcen- und Lebenszyklusimmanenz Prinzip der Konsolidierung Prinzip der Standardisierung (Principle of Standardization) Prinzip der Plausibilisierung (Principle of Plausibleness) Prinzip der Konsistenz (Principle of Consistency) Prinzip der Untergliederung (Principle of Compartmentalization) Prinzip der Vielfaltigkeit (Principle of Diversity) Sicherheitselemente Prozesse im Uberblick Konformitatsmanagement (Compliance Management) Datenschutzmanagement (Privacy Management) Risikomanagement (Risk Management) Leistungsmanagement (Service Level Management) Finanzmanagement (Financial Management) Projektmanagement (Project Management) Qualitatsmanagement (Quality Management) Ereignismanagement (Incident Management) Problemmanagement (Problem Management) Anderungsmanagement (Change Management) Releasemanagement (Release Management) Konfigurationsmanagement (Configuration Management) Lizenzmanagement (Licence Management) Kapazitatsmanagement (Capacity Management) Wartungsmanagement (Maintenance Management) Kontinuitatsmanagement (Continuity Management) Securitymanagement (Security Management) Architekturmanagement (Architecture Management) Innovationsmanagement (Innovation Management) Personalmanagement (Human Resources Management) Ressourcen im Uberblick ITK-Hard-und Software Infrastruktur Dokumente Personal Organisation im Uberblick Lebenszyklus im Uberblick Hilfsmittel Sicherheits- und Risikoarchitekturmatrix Zusammenfassung 300 XXI

6 10 Sicherheitsrichtlinien/-standards - Generische Sicherheitskonzepte Ubergreifende Richtlinien Sicherheitsregeln Prozessvorlage IT-Benutzerordnung Nutzung Internet-Nutzung Betriebs- und Begleitprozesse (Managementdisziplinen) Kapazitatsmanagement Kontinuitatsmanagement Securitymanagement Ressourcen Zutrittskontrollsystem Passwortspezifische Systemanforderungen Wireless LAN Organisation Zusammenfassung Spezifische Sicherheitskonzepte Prozesse Kontinuitatsmanagement Ressourcen Betriebssystem Zusammenfassung Sicherheitsmafinahmen Ressourcen Betriebssystem: Protokoll Passworteinstellungen Zusammenfassung Lebenszyklus Beantragung Planung Fachkonzept, Anforderungsspezifikation Technisches Grobkonzept Technisches Feinkonzept Entwicklung Integrations-und Systemtest Freigabe Software-Evaluation Auslieferung Abnahmetest und Abnahme 358 XXII

7 13.12 Software-Verteilung Inbetriebnahme Betrieb AuSerbetriebnahme Hilfsmittel Phasen-Ergebnistypen-Tabelle Zusammenfassung Sicherheitsregelkreis Sicherheitspriifungen Sicherheitsstudie/Risikoanalyse Penetrationstests IT-Security-Scans Sicherheitscontrolling Berichtswesen (Safety-Security-Reporting) Anforderungen Inhalte Safety-Security-Benchmarks Hilfsmittel IT-Sicherheitsfragen Zusammenfassung Reifegradmodell des Sicherheitsmanagements - Safety/Security/Continuity Management Maturity Model Systems Security Engineering - Capability Maturity Model Information Technology Security Assessment Framework Security-Marurity-Modell Reifegradmodell nach Dr.-Ing. Miiller Stufe 0: unbekannt Stufe 1: begonnen Stufe 2: konzipiert Stufe 3: standardisiert Stufe 4: integriert Stufe 5: gesteuert Stufe 6: selbst lernend Checkliste Reifegrad Praxisbeispiel Zusammenfassung Sicherheitsmanagementprozess Deming-bzw. PDCA-Zyklus Planung Durchfuhrung Pruning Verbesserung 397 XXIII

8 16.6 Zusammenfassung Minimalistische Sicherheit 401 Abbildungsverzeichnis 403 Markenverzeichnis 404 Verzeichnis uber Gesetze, Vorschriften, Standards, Normen, Practices 405 Deutsche Gesetze und Verordnungen 405 Osterreichische Gesetze und Verordnungen 406 Schweizer Gesetze, Verordnungen und Richtlinien 406 Britische Gesetze, Verordnungen und Richtlinien 407 Europaische Richtlinien 407 US-amerikanische Gesetze, Verordnungen und Richtlinien 408 Ausfiihrungsbestimmungen, Grundsatze, Vorschriften 409 Standards, Normen, Leitlinien und Rundschreiben 410 Literatur- und Quellenverzeichnis 419 Glossar und Abkiirzungsverzeichnis 425 Sachwortverzeichnis 475 Uber den Autor 505 XXIV

Ähnliche Dokumente

Inhaltsübersicht XVII

Inhaltsübersicht XVII Inhaltsübersicht 1 Ausgangssituation und Zielsetzung... 1 2 Kurzfassung und Überblick für Eilige... 13 3 Zehn Schritte zum Sicherheitsmanagement... 15 4 Definitionen zum Sicherheits-, Kontinuitäts- und