IT-Sicherheit mit System

Transkript

1 Klaus-Rainer Müller IT-Sicherheit mit System Integratives IT-Sicherheits-, Kontinuitäts- und Risikomanagement - Sicherheitspyramide - Standards und Practices - SOA und Softwareentwicklung 4., neu bearbeitete und erweiterte Auflage Mit 38 Abbildungen PRAXIS VIEWEG+ TEUBNER

2 Inhaltsübersicht 1 Ausgangssituation und Zielsetzung 1 2 Kurzfassung und Überblick für Eilige 18 3 Zehn Schritte zum Sicherheitsmanagement 24 4 Gesetze, Verordnungen, Vorschriften, Anforderungen 27 5 Standards, Normen, Practices 39 6 Definitionen 95 7 Die Sicherheitspyramide - Strategie und Vorgehensmodell Sicherheits-, Kontinuitäts- und Risikopolitik Sicherheitsziele / Sicherheitsanforderungen Sicherheitsmerkmale Sicherheitsarchitektur Sicherheitsrichtlinien/-standards - Generische Sicherheitskonzepte Spezifische Sicherheitskonzepte Sicherheitsmaßnahmen Lebenszyklus Sicherheitsregelkreis Reifegradmodell des Sicherheits-, Kontinuitäts- und Risikomanagements Sicherheitsmanagementprozess Minimalistische Sicherheit Abbildungsverzeichnis Markenverzeichnis Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices Literatur- und Quellenverzeichnis Glossar und Abkürzungsverzeichnis Sachwortverzeichnis Über den Autor 576

3 Inhaltsverzeichnis 1 Ausgangssituation und Zielsetzung Ausgangssituation Bedrohungen Schwachstellen Schadenshöhen, Schutzbedarfe Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements Lösung Zusammenfassung 16 2 Kurzfassung und Überblick für Eilige 18 3 Zehn Schritte zum Sicherheitsmanagement 24 4 Gesetze, Verordnungen, Vorschriften, Anforderungen 27 5 Standards, Normen, Practices Standards des BSI Überblick BSI-Standard 100-1, ISMS BSI-Standard 100-2, IT-Grundschutz-Vorgehensweise BSI-Standard 100-3, Risikoanalyse BSI-Standard 100-4, Notfallmanagement Vergleich mit der Sicherheitspyramide IT-Grundschutzkataloge des BSI ISO/IEC 27000er-Familie Überblick ISO/IEC 27001:2005, ISMS - Requirements ISO/IEC 27002:2005, ISM - Code of Practice ISO/IEC 27003:2010, ISM - Implementation Guidance ISO/IEC 27004:2009, ISM - Measurement ISO/IEC 27005:2008, IS - Risk Management ISO/IEC 27033, Network Security ISO/IEC 24762:2008, ICT Disaster Recovery Services ISO/IEC 20000, IT Service Management ITIL Überblick ITIL Security Management ITIL IT Service Continuity Management COBIT, Version

4 XVIII Inhaltsverzeichnis 5.8 Zusammenfassender Vergleich mit der Sicherheitspyramide Risikoanalyse mittels OCTAVE Approach Reifegradmodelle Systems Security Engineering - Capability Maturity Model Information Technology Security Assessment Framework Maturity Model nach COBIT Zusammenfassung Federated Identity Management Architekturen Serviceorientierte Architektur (SOA) Open Grid Services Architecture (OGSA ) 94 6 Definitionen Unternehmenssicherheitsmanagementsystem Informationssicherheitsmanagementsystem Sicherheitsmanagement IKT-Sicherheitsmanagement Ingenieurmäßige Sicherheit - Safety, Security, Continuity Engineering Sicherheitspyramide Sicherheitspolitik nach IT-Grundschutzkatalogen nach ISO/IEC : nach ISO/IEC 27001: nach ISO/IEC 27002: nach ISO/IEC 27003: nachlTSEC nach Common Criteria (ISO/IEC 15408) nach Dr.-Ing. Müller Vergleich Sicherheit im Lebenszyklus Ressourcen, Schutzobjekte und -Subjekte sowie -klassen Sicherheitskriterien Geschäftseinflussanalyse (Business Impact Analysis) Geschäftskontinuität (Business Continuity) Sicherheit und Sicherheitsdreiklang Risiko und Risikodreiklang Risikomanagement IT-Sicherheits-, IT-Kontinuitäts- und IT-Risikomanagement Zusammenfassung 117

5 Inhaltsverzeichnis XIX 7 Die Sicherheitspyramide - Strategie und Vorgehensmodell Überblick Sicherheitshierarchie Sicherheits-, Kontinuitäts- und Risikopolitik Sicherheitsziele / Sicherheitsanforderungen Sicherheitstransformation und Sicherheitsmerkmale Sicherheitsarchitektur Sicherheitsrichtlinien Spezifische Sicherheitskonzepte Sicherheitsmaßnahmen PROSim Lebenszyklus Geschäfts-, Support- und Begleitprozess-Lebenszyklus Ressourcen-/Systemlebenszyklus Organisationslebenszyklus Produkt- und Dienstleistungslebenszyklus Sicherheitsregelkreis Sicherheitsmanagementprozess Zusammenfassung Sicherheits-, Kontinuitäts- und Risikopolitik Zielsetzung Umsetzung Inhalte Checkliste Praxisbeispiele Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung Sicherheits-, Kontinuitäts- und Risikopolitik Zusammenfassung Sicherheitsziele / Sicherheitsanforderungen Schutzbedarfsklassen Schutzbedarfsanalyse Prozessarchitektur und Prozesscharakteristika Externe Sicherheitsanforderungen - Überblick 'Geschäftseinflussanalyse (Business Impact Analysis) Betriebseinflussanalyse (Operational Impact Analysis) Tabelle Schadensszenarien 160

6 XX Inhaltsverzeichnis 9.4 Praxisbeispiele Schutzbedarf der Geschäftsprozesse IKT-Schutzbedarfsanalyse Schutzbedarfsklassen Zusammenfassung, Sicherheitsmerkmale Haus zur Sicherheit - House of Safety, Security, Continuity (HoSSC) Safety, Security and Continuity Function Deployment (SSCFD) Transformation der Anforderungen auf Sicherheitsmerkmale Detaillierung der Sicherheitsmerkmale : Abbildung der Merkmale auf den Lebenszyklus Schutzbedarfsklassen Praxisbeispiele Zusammenfassung Sicherheitsarchitektur Überblick Prinzipielle Sicherheitsanforderungen Prinzipielle Bedrohungen Strategien und Prinzipien Risikostrategie (Risk Strategy) Sicherheits- und Kontinuitätsstrategie (Safety, Security and Continuity Strategy) Prinzip der Wirtschaftlichkeit Prinzip der Abstraktion Prinzip der Klassenbildung Poka-Yoke-Prinzip Prinzip der Namenskonventionen Prinzip der Redundanz (Principle of Redundancy) Prinzip des aufgeräumten" Arbeitsplatzes (Clear Desk Policy) Prinzip des gesperrten" Bildschirms (Clear Screen Policy) Prinzip der Eigenverantwortlichkeit Vier-Augen-Prinzip (Confirmed Double Check Principle) Prinzip der Funktionstrennung (Segregation of Duties Principle) Prinzip der Sicherheitsschalen (Safety and Security Shell Principle) Prinzip der Pfadanalyse (Path Analysis Principle) Prinzip der Ge- und Verbotsdifferenzierung 198 ^ Prinzip des generellen Verbots (Deny All Principle) Prinzip der Ausschließlichkeit 198

7 Inhaltsverzeichnis XXI Prinzip des minimalen Bedarfs (Need to Know/Use Principle) Prinzip der minimalen Rechte (Least/Minimum Privileges Principle) Prinzip der minimalen Dienste (Minimum Services Principle) Prinzip der minimalen Nutzung (Minimum Usage Principle) Prinzip der Nachvollziehbarkeit und Nachweisbarkeit Prinzip des sachverständigen Dritten" Prinzip der Sicherheitszonen und des Closed-Shop-Betriebs Prinzip der Immanenz (Principle of Immanence) Prinzip der Konsolidierung Prinzip der Standardisierung (Principle of Standardization) Prinzip der Plausibilisierung (Principle of Plausibleness) Prinzip der Konsistenz (Principle of Consistency) Prinzip der Untergliederung (Principle of Compartmentalization) Prinzip der Vielfältigkeit (Principle of Diversity) Distanzprinzip Prinzip der Vererbung Prinzip der Subjekt-Objekt- / Aktiv-Passiv-Differenzierung Sicherheitselemente Prozesse im Überblick Konformitätsmanagement (Compliance Management) Datenschutzmanagement (Privacy Management) Risikomanagement (Risk Management) Leistungsmanagement (Service / Service Level Management) Finanzmanagement (Financial Management) Projektmanagement (Project Management) Qualitätsmanagement (Quality Management) Ereignismanagement (Incident Management) Problemmanagement (Problem Management) Änderungsmanagement (Change Management) Releasemanagement (Release Management) Konfigurationsmanagement (Configuration Management) Lizenzmanagement (Licence Management) Kapazitätsmanagement (Capacity Management) Wartungsmanagement (Maintenance Management) Kontinuitätsmanagement (Continuity Management) Securitymanagement (Security Management) 288 / Architekturmanagement (Architecture Management) Innovationsmanagement (Innovation Management) 328

8 XXII Inhaltsverzeichnis Vertragsmanagement (Contract Management) Dokumentenmanagement (Document Management) Personalmanagement (Human Resources Management) Ressourcen im Überblick Daten Dokumente IKT-Hardware und Software Infrastruktur Material Methoden und Verfahren Personal Organisation im Überblick Lebenszyklus im Überblick Interdependenznetz Hilfsmittel RiSiKo-Architekturmatrix Zusammenfassung Sicherheitsrichtlinien/-standards - Generische Sicherheitskonzepte Übergreifende Richtlinien Sicherheitsregeln Prozessvorlage IKT-Benutzerordnung Nutzung Internet-Nutzung Betriebs- und Begleitprozesse (Managementdisziplinen) Kapazitätsmanagement Kontinuitätsmanagement Securitymanagement Ressourcen Zutrittskontrollsystem Passwortspezifische Systemanforderungen WirelessLAN Organisation Zusammenfassung Spezifische Sicherheitskonzepte Prozesse Kontinuitätsmanagement Ressourcen Betriebssystem Zusammenfassung 427

9 Inhaltsverzeichnis XXIII 14 Sicherheitsmaßnahmen Ressourcen Betriebssystem: Protokoll Passworteinstellungen Zusammenfassung Lebenszyklus Beantragung Planung Fachkonzept, Anforderungsspezifikation Technisches Grobkonzept Technisches Feinkonzept Entwicklung Integrations-und Systemtest Freigabe Software-Evaluation Auslieferung Abnahmetest und Abnahme Software-Verteilung Inbetriebnahme Betrieb Außerbetriebnahme Hilfsmittel Phasen-Ergebnistypen-Tabelle : Zusammenfassung Sicherheitsregelkreis Sicherheitsprüfungen Sicherheitsstudie/Risikoanalyse Penetrationstests IT Security Scans Sicherheitscontrolling Berichtswesen (Safety-Security-Continuity-Reporting) Anforderungen Inhalte Safety-Security-Continuity-Risk-Benchmarks Hilfsmittel IKT-Sicherheitsfragen Zusammenfassung Reifegradmodell des Sicherheits-, Kontinuitäts- und Risikomanagements Reifegradmodell RiSiKo-Management Stufe 0: unbekannt Stufe 1: begonnen Stufe 2: konzipiert 473

10 XXIV Inhaltsverzeichnis Stufe 3: standardisiert Stufe 4: integriert Stufe 5: gesteuert Stufe 6: selbst lernend Checkliste Reifegrad Praxisbeispiel Zusammenfassung Sicherheitsmanagementprozess Deming- bzw. PDCA-Zyklus Planung Durchführung Prüfung Verbesserung Zusammenfassung Minimalistische Sicherheit Abbildungsverzeichnis Markenverzeichnis Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices Gesetze, Verordnungen und Richtlinien Deutschland: Gesetze und Verordnungen Österreich: Gesetze und Verordnungen Schweiz: Gesetze, Verordnungen und Rundschreiben Großbritannien: Gesetze Europa: Entscheidungen und Richtlinien USA: Gesetze, Practices und Prüfvorschriften Ausführungsbestimmungen, Grundsätze, Vorschriften Standards, Normen, Leitlinien und Rundschreiben Literatur- und Quellenverzeichnis Glossar und Abkürzungsverzeichnis Sachwortverzeichnis Über den Autor 576