Inhaltsverzeichnis. Einleitung 15

Größe: px

Ab Seite anzeigen:

Download "Inhaltsverzeichnis. Einleitung 15"

Nadine Kohl
vor 8 Jahren
Abrufe

2 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements Kapitelzusammenfassung Einführung Informationen und Daten IT-Security Management ist wichtig Wie gefährdet sind die Unternehmensdaten Sicht des Verfassungsschutzes Öffentliche Wahrnehmung Die eigene Wahrnehmung Begrifflichkeiten Selbstverständnis der IT-Security-Organisation Grundregeln Umfang des IT-Security Managements Pfeiler der IT-Security Aufgaben des IT-Security Managements IT-Security zwischen Nutzen und Kosten 43 2 Organisation der IT-Security Kapitelzusammenfassung Einführung Rollen innerhalb des IT-Security Managements Manager IT-Security Unternehmensleitung Weitere Rollen 53 5

6 Begrifflichkeiten 28 1.7 Selbstverständnis der IT-Security-Organisation 29 1.8 Grundregeln 32 1.9 Umfang des IT-Security Managements 34 1.9.1 Pfeiler der IT-Security 36 1.9.2 Aufgaben des IT-Security Managements 40 1.

3 2.4 Verankerung im Unternehmen IT-Security und der Datenschutz Zusammenspiel mit anderen Sicherheitsbereichen IT-Security im Organigramm 60 3 IT-Compliance Kapitelzusammenfassung Einführung Standards ISO 2700x-Reihe Standards des Bundesamts für Sicherheit in der Informationstechnik Gegenüberstellung ISO 2700x und BSI-Grundschutz ITIL Weitere Standards Gesetze Bundesdatenschutzgesetz Weitere Gesetze 92 4 Organisation von Richtlinien Kapitelzusammenfassung Einführung Strukturierung von Richtlinien Beschreibung und Kategorisierung Pflege und Lenkung von Richtlinien Richtlinien und Audits Verschiedene Richtlinien Sicherheitsrichtlinie Klassifizierungsrichtlinie Richtlinie zum IT-Risikomanagement IT-Sicherheitsrichtlinie 112 6

3.4 ITIL 86 3.3.5 Weitere Standards 87 3.4 Gesetze 88 3.4.1 Bundesdatenschutzgesetz 88 3.4.2 Weitere Gesetze 92 4 Organisation von Richtlinien 95 4.1 Kapitelzusammenfassung 95 4.2 Einführung 96 4.

4 4.7.5 IT-Systemrichtlinien Von der Theorie in die Praxis Betrieb der IT-Security Kapitelzusammenfassung Einführung IT-Security und der IT-Betrieb Betriebliche Grundsätze Ableitung aus gesetzlichen Vorschriften Vertragswesen Administrative Tätigkeiten Trennung von Funktionen Prinzip der geringsten Rechte IT-Security-Prozesse Zugriffs- und Zugangskontrolle Sicherheit von Kaufsoftware Sichere Softwareentwicklung Identitätsmanagement Genehmigungsprozesse Standardisierung Unterstützung des IT-Betriebs IT Business Continuity Management Kapitelzusammenfassung Einführung Notfallmanagement und Verfügbarkeitsmanagement Gesetzliche Rahmenbedingungen des Business Continuity Managements Business Impact-Analyse Erfassung und Priorisierung der Geschäftsprozesse Business Impact-Analyse in der Praxis 160 7

5 IT-Security-Prozesse 127 5.5.1 Zugriffs- und Zugangskontrolle 128 5.5.2 Sicherheit von Kaufsoftware 134 5.5.3 Sichere Softwareentwicklung 138 5.5.4 Identitätsmanagement 141 5.5.5 Genehmigungsprozesse 145 5.

5 6.6 Weitere Einflussfaktoren IT-Notfallmanagement Kapitelzusammenfassung Einführung IT-Notfallmanagement Richtlinie zum Notfallmanagement Ableitung von Notfallstrategien IT-Notfallkonzepte erstellen Schweregrade Notfallvorsorge Notfallorganisation Organisationsstruktur Kompetenzen und Zuständigkeiten Notfallhandbuch Notfallbewältigung Notfallübungen Überprüfung des IT-Notfallmanagements Monitoring im Rahmen des IT Business Continuity Managements Checklisten Notfallmanagement Checkliste Business Impact-Analyse Checkliste Notfallorganisation Checkliste Notfallpläne und Wiederanlaufpläne Checkliste Rechenzentrum Verfügbarkeitsmanagement Kapitelzusammenfassung Einführung Richtlinie zum Verfügbarkeitsmanagement 192 8

7.3 Notfallhandbuch 177 7.8 Notfallbewältigung 180 7.9 Notfallübungen 183 7.10 Überprüfung des IT-Notfallmanagements 184 7.11 Monitoring im Rahmen des IT Business Continuity Managements 185 7.

6 8.4 Verfügbarkeit Klassifizierung von Verfügbarkeit Vorgehensweise Berechnung der Verfügbarkeit Ausfallsicherheit Ausprägungen von Redundanz Strukturelle Redundanz Funktionelle Redundanz oder unterstützende Redundanz Informationsredundanz Redundante Hard- und Software Virtualisierung Bauliche Maßnahmen zur Steigerung der Verfügbarkeit Technische IT-Security Kapitelzusammenfassung Einführung Technisch-organisatorische Perspektiven Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Verschlüsselung Begriffsbestimmungen Symmetrische Verschlüsselungssysteme Asymmetrische Verschlüsselungsverfahren Cloud Computing Definition von Cloud Computing Dienstleistungen in der Cloud 228 9

9 Bauliche Maßnahmen zur Steigerung der Verfügbarkeit 203 9 Technische IT-Security 205 9.1 Kapitelzusammenfassung 205 9.2 Einführung 206 9.3 Technisch-organisatorische Perspektiven 208 9.3.1 Zutrittskontrolle 209 9.

7 9.5.3 Risikofaktoren Datenschutzrechtliche Aspekte Vertragliche Vereinbarungen Betrieb von Firewalls Paketfilter und Application-Gateways Firewall-Regelwerk Proxyserver Internetzugang und Nutzung von Risikofaktor Verschlüsselung von s Risikofaktor Internetbrowser Penetrationstests Digitale Signatur Intrusion-Detection-Systeme Wireless LAN IT-Risikomanagement Kapitelzusammenfassung Einführung IT-Risikomanagement im Unternehmenskontext Akzeptanz des IT-Risikomanagements Operatives IT-Risikomanagement Vorgehensweise IT-Risikomanagementprozess Übergeordnete Risikobetrachtung Schwachstellen Bedrohungen Zusammenspiel von Bedrohungen, Schwachstellen und Maßnahmen Verhältnismäßigkeit

8 Penetrationstests 246 9.9 Digitale Signatur 248 9.10 Intrusion-Detection-Systeme 250 9.11 Wireless LAN 252 10 IT-Risikomanagement 255 10.1 Kapitelzusammenfassung 255 10.2 Einführung 256 10.

8 10.6 Schutzbedarfsfeststellung Schutzziele Schutzstufen Prinzipien Feststellung des Schutzbedarfs Veränderung des Schutzbedarfs Widersprüchliche Schutzziele Schadensklassen Abbildung des Datenflusses Entscheidungsfindung auf Basis des Schutzbedarfs Risikoanalyse Kritische Unternehmenswerte erfassen Risikoermittlung Risikobewertung Quantitative Darstellung von Risiken Grundlagen der Risikoberechnung Risikoberechnung im Beispiel Risikomatrix Risikokatalog Risikobehandlung Risiko beurteilen Risiko akzeptieren Risiko reduzieren Risiko vermeiden Risiko auf Dritte verlagern Maßnahmen definieren Maßnahmentypen Individuelle Maßnahmenkataloge Monitoring Kapitelzusammenfassung Einführung Ebenen des Monitorings

7.3 Risikobewertung 297 10.8 Quantitative Darstellung von Risiken 300 10.8.1 Grundlagen der Risikoberechnung 301 10.8.2 Risikoberechnung im Beispiel 303 10.8.3 Risikomatrix 305 10.8.4 Risikokatalog 307 10.

9 11.4 System Monitoring Sicherheitsaspekte Auswahl zu überwachender Systeme Implementierung im Netzwerk Protokoll-Monitoring Unterstützung von Audits Überwachung administrativer Tätigkeiten IT-Security Audit Kapitelzusammenfassung Einführung Audits im Kontext des IT-Security Managements Audits im Unternehmenskontext Audits nach Kategorien Vor-Ort kontra Selbstauskunft Anforderungen an den Auditor Ein Audit Schritt für Schritt Vorbereitung Durchführung Nachbereitung Abschlussbericht Incident Response und IT-Forensik Kapitelzusammenfassung Einführung Grundlagen der IT-Forensik Arten der IT-Forensik-Analyse Unterschiedliche Zielsetzungen Angriffe auf Ihre Daten Durch eigene Mitarbeiter

4 Audits im Unternehmenskontext 331 12.5 Audits nach Kategorien 332 12.6 Vor-Ort kontra Selbstauskunft 334 12.7 Anforderungen an den Auditor 335 12.8 Ein Audit Schritt für Schritt 337 12.8.1 Vorbereitung 338 12.

10 Durch Außenstehende Angriffe und Angriffsvektoren Angriffsarten Elemente der forensischen Untersuchung Zielsetzung Anforderungen an die Analyse Forensische Methoden Forensische Untersuchung Kennzahlen Kapitelzusammenfassung Einführung Aufgabe von Kennzahlen Quantifizierbare Kennzahlen Steuerung mithilfe von Kennzahlen Qualität von Kennzahlen Gute Kennzahlen Schlechte Kennzahlen Vergleichbarkeit von Kennzahlen Verschiedene Kennzahlen aus der IT-Security Kennzahlen im laufenden Verbesserungsprozess Laufende Auswertung von Kennzahlen Annualized Loss Expectancy IT-Security Balanced Scorecard Einführung der IT-Security Balanced Scorecard Maßnahmenziele für den Bereich IT-Security Praxis: Aufbau eines ISMS Kapitelzusammenfassung Einführung

4 Quantifizierbare Kennzahlen 375 14.5 Steuerung mithilfe von Kennzahlen 377 14.6 Qualität von Kennzahlen 378 14.6.1 Gute Kennzahlen 378 14.6.2 Schlechte Kennzahlen 379 14.6.3 Vergleichbarkeit von Kennzahlen 379 14.

11 15.3 ISMS in Kürze Herangehensweise Schritt für Schritt zum ISMS Plan-Do-Check-Act Vorarbeiten Plan: Gestaltung des ISMS Do: Umsetzung der Arbeitspakete Check: Überprüfung des ISMS Act: Umsetzung von erkannten Defiziten Dokumentation Softwaregestützter Aufbau eines ISMS Auswahl einer ISMS-Lösung Darstellung der Unternehmenswerte Darstellung von Prozessen IT-Risikomanagement Richtlinienmanagement Arbeitsabläufe abbilden Berichte erstellen Zertifizierung nach ISO Ansprechpartner Prinzipien Awareness und Schulung Verbesserungsprozess Voraussetzungen für eine Sicherheitskultur Erfassung der Sicherheitskultur Top-down-Ansatz Awareness-Projekte 459 Index

6.3 Darstellung von Prozessen 441 15.6.4 IT-Risikomanagement 442 15.6.5 Richtlinienmanagement 445 15.6.6 Arbeitsabläufe abbilden 446 15.6.7 Berichte erstellen 447 15.

Ähnliche Dokumente

Index. C Chain of custody 364 Challenge Handshake Authentication Protocol 134 Chance 312. B Backup siehe Datensicherung Balanced Scorecard 389

Index. C Chain of custody 364 Challenge Handshake Authentication Protocol 134 Chance 312. B Backup siehe Datensicherung Balanced Scorecard 389 Index A Abhängige Schutzziele 276 Abschlussbericht Audit 344 Access Control List 129, 134 Account 141 Act-Phase 408, 430 Ad-hoc-Modus 253 Administration 125 AES 216 Aktiengesetz 69, 154 Aktiv-Aktiv-Cluster