- PDF Free Download

Transkript

1 Inhaltsverzeichnis 1 Ausgangssituation und Zielsetzung Ausgangssituation Bedrohungen Schwachstellen Schadenshöhen, Schutzbedarfe Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements Lösung Zusammenfassung Kurzfassung und Überblick für Eilige Zehn Schritte zum Sicherheitsmanagement Gesetze, Verordnungen, Vorschriften, Anforderungen Standards, Normen, Practices BSI: Standards Überblick BSI-Standard 100-1, ISMS BSI-Standard 100-2, IT-Grundschutz-Vorgehensweise BSI-Standard 100-3, Risikoanalyse BSI-Standard 100-4, Notfallmanagement Vergleich mit der Sicherheitspyramide BSI-IT-Grundschutzkataloge versus Sicherheitspyramide ISO/IEC 19770, Software asset management (SAM) ISO 22301:2012, Business Continuity Management Systems ISO/IEC 24762:2008, ICT disaster recovery services ISO/IEC Familie zum ISM Überblick ISO/IEC 27001:2013, ISMS Requirements ISO/IEC 27002:2013, ISM Code of practice for IS controls ISO/IEC 27003:2010, ISM Implementation Guidance ISO/IEC 27004:2009, ISM Measurement ISO/IEC 27005:2011, IS Risk Management ISO/IEC 27010:2012, ISM for inter-sector and inter-organizational communications ISO/IEC 27013:2012, Guidance on the integrated implementation of ISO/IEC and ISO/IEC

2 XX Inhaltsverzeichnis ISO/IEC TR 27015:2012, Information security management guidelines for financial services ISO/IEC 27032:2012, Guidelines for cybersecurity ISO/IEC 27033, Network security ISO/IEC 27034, Application security ISO/IEC 27035:2011, Information security incident management ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition and preservation of digital evidence ISO/IEC 20000, IT Service Management ITIL Überblick ITIL Information Security Management ITIL IT Service Continuity Management COBIT, Version PCI Data Security Standard (DSS) Zusammenfassender Vergleich mit der Sicherheitspyramide Risikoanalyse mittels OCTAVE Approach Reifegradmodelle Systems Security Engineering Capability Maturity Model Software Assurance Maturity Model Information Technology Security Assessment Framework Maturity Model nach COBIT Zusammenfassung Federated Identity Management Architekturen Serviceorientierte Architektur (SOA) Open Grid Services Architecture (OGSA ) OSGi Architecture Programmier-/Entwicklungsrichtlinien C, C++ und Java Webanwendungen Schutz vor Insider-Bedrohungen Definitionen Unternehmenssicherheitsmanagementsystem Informationssicherheitsmanagementsystem Sicherheitsmanagement IKT-Sicherheitsmanagement Ingenieurmäßige Sicherheit Safety, Security, Continuity Engineering

3 Inhaltsverzeichnis XXI 6.6 Sicherheitspyramide Sicherheitspolitik nach IT-Grundschutzkatalogen nach ISO/IEC : nach ISO/IEC 27001: nach ISO/IEC 27002: nach ISO/IEC 27003: nach ITSEC nach Common Criteria (ISO/IEC 15408) nach der Sicherheitspyramide Dr.-Ing. Müller Vergleich Sicherheit im Lebenszyklus Ressourcen, Schutzobjekte und -subjekte sowie -klassen Sicherheitskriterien (Grundwerte der IS) Geschäftseinflussanalyse (Business Impact Analysis) Geschäftskontinuität (Business Continuity) Sicherheit und Sicherheitsdreiklang Risiko und Risikodreiklang Risikomanagement IT-Sicherheits-, IT-Kontinuitäts- und IT-Risikomanagement Zusammenfassung Die Sicherheitspyramide Strategie und Vorgehensmodell Überblick Sicherheitshierarchie Sicherheits-, Kontinuitäts- und Risikopolitik Sicherheitsziele / Sicherheitsanforderungen Sicherheitstransformation und Sicherheitsmerkmale Sicherheitsarchitektur Sicherheitsrichtlinien Spezifische Sicherheitskonzepte Sicherheitsmaßnahmen PROSim Lebenszyklus Geschäfts-, Support- und Begleitprozess-Lebenszyklus Ressourcen-/Systemlebenszyklus Organisationslebenszyklus Produkt- und Dienstleistungslebenszyklus Sicherheitsregelkreis Sicherheitsmanagementprozess Zusammenfassung

4 XXII Inhaltsverzeichnis 8 Sicherheits-, Kontinuitäts- und Risikopolitik Zielsetzung Umsetzung Inhalte Checkliste Praxisbeispiele Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung Sicherheits-, Kontinuitäts- und Risikopolitik Zusammenfassung Sicherheitsziele / Sicherheitsanforderungen Schutzbedarfsklassen Schutzbedarfsanalyse Prozessarchitektur und Prozesscharakteristika Externe Sicherheitsanforderungen Überblick Geschäftseinflussanalyse (Business Impact Analysis) Betriebseinflussanalyse (Operational Impact Analysis) Akteursanalyse Umgebungs-/Umfeldanalyse Tabelle Schadensszenarien Praxisbeispiele Schutzbedarf der Geschäftsprozesse IKT-Schutzbedarfsanalyse Schutzbedarfsklassen Zusammenfassung Sicherheitsmerkmale Haus zur Sicherheit House of Safety, Security, Continuity (HoSSC) Safety, Security and Continuity Function Deployment (SSCFD) Transformation der Anforderungen auf Sicherheitsmerkmale Detaillierung der Sicherheitsmerkmale Abbildung der Merkmale auf den Lebenszyklus Schutzbedarfsklassen Praxisbeispiele Zusammenfassung Sicherheitsarchitektur Überblick Prinzipielle/generische Sicherheitsanforderungen Prinzipielle/generische Bedrohungen Strategien und Prinzipien

5 Inhaltsverzeichnis XXIII Risikostrategie (Risk Strategy), Risikolandkarte, Risikoklassen Sicherheits- und Kontinuitätsstrategie (Safety, Security and Continuity Strategy) Prinzip der Wirtschaftlichkeit Prinzip der Abstraktion Prinzip der Klassenbildung (Principle of Classification) Poka-Yoke-Prinzip Prinzip der Namenskonventionen (Principle of Naming Conventions) Prinzip der Redundanz (Principle of Redundancy) Prinzip des aufgeräumten Arbeitsplatzes (Clear Desk Policy) Prinzip der Abwesenheitssperre Prinzip der Eigenverantwortlichkeit Vier-Augen-Prinzip (Confirmed Double Check/Dual Control Principle) Prinzip der Funktionstrennung (Segregation of Duties Principle) Prinzip der Sicherheitsschalen (Safety and Security Shell Principle) Prinzip der Pfadanalyse (Path Analysis Principle) Prinzip der Ge- und Verbotsdifferenzierung Prinzip des generellen Verbots (Deny All Principle) Prinzip der Ausschließlichkeit Prinzip des minimalen Bedarfs (Need to Know/Use Principle) Prinzip der minimalen Rechte (Least/Minimum Privileges Principle) Prinzip der minimalen Dienste (Minimum Services Principle) Prinzip der minimalen Nutzung (Minimum Usage Principle) Prinzip der Nachvollziehbarkeit und Nachweisbarkeit Prinzip des sachverständigen Dritten (Principle of Third Party Expert) Prinzip der Sicherheitszonen und des Closed-Shop-Betriebs Prinzip der Sicherheitszonenanalyse Prinzip der Immanenz (Principle of Immanence) Prinzip der Konsolidierung (Principle of Consolidation) Prinzip der Standardisierung (Principle of Standardization) Prinzip der Plausibilisierung (Principle of Plausibleness) Prinzip der Konsistenz (Principle of Consistency)

6 XXIV Inhaltsverzeichnis Prinzip der Untergliederung (Principle of Compartmentalization) Prinzip der Aufteilung Prinzip der Pseudonymisierung bzw. Maskierung Prinzip der Vielfältigkeit (Principle of Diversity) Distanzprinzip (Distance Principle) Prinzip der Vererbung Prinzip der Subjekt-Objekt- / Aktiv-Passiv-Differenzierung Prinzipien versus Sicherheitskriterien Sicherheitselemente Prozesse im Überblick Konformitätsmanagement (Compliance Management) Datenschutzmanagement (Privacy Management) Risikomanagement (Risk Management) Leistungsmanagement (Service / Service Level Management) Finanzmanagement (Financial Management) Projektmanagement (Project Management) Qualitätsmanagement (Quality Management) Ereignismanagement (Incident Management) Problemmanagement (Problem Management) Änderungsmanagement (Change Management) Releasemanagement (Release Management) Konfigurationsmanagement (Configuration Management) Lizenzmanagement (Licence Management) Kapazitätsmanagement (Capacity Management) Wartungsmanagement (Maintenance Management) Kontinuitätsmanagement (Continuity Management) Securitymanagement (Security Management) Architekturmanagement (Architecture Management) Innovationsmanagement (Innovation Management) Vertragsmanagement (Contract Management) Dokumentenmanagement (Document Management) Personalmanagement (Human Resources Management) Ressourcen im Überblick Daten Dokumente IKT-Hardware und Software Infrastruktur Material Methoden und Verfahren

7 Inhaltsverzeichnis XXV Personal Organisation im Überblick Lebenszyklus im Überblick Interdependenznetz Hilfsmittel RiSiKo-Architekturmatrix Zusammenfassung Sicherheitsrichtlinien/-standards Generische Sicherheitskonzepte Übergreifende Richtlinien Sicherheitsregeln Prozessvorlage IKT-Benutzerordnung Nutzung Internet-Nutzung Betriebs- und Begleitprozesse (Managementdisziplinen) Kapazitätsmanagement Kontinuitätsmanagement Securitymanagement Architekturmanagement Ressourcen Zutrittskontrollsystem Passwortbezogene Systemanforderungen Wireless LAN Organisation Zusammenfassung Spezifische Sicherheitskonzepte Prozesse Kontinuitätsmanagement Ressourcen Betriebssystem Zusammenfassung Sicherheitsmaßnahmen Ressourcen Betriebssystem: Protokoll Passworteinstellungen Zusammenfassung Lebenszyklus Sichere Beantragung (Secure Proposal Application) Sichere Planung (Secure Planning)

8 XXVI Inhaltsverzeichnis 15.3 Sicheres Fachkonzept, sichere Anforderungsspezifikation (Secure Requirements Specification) Sicheres technisches Grobkonzept (Secure Technical Basic Design) Sicheres technisches Feinkonzept (Secure Technical Design) Sichere Entwicklung (Secure Development / Coding) Sichere Integrations- und Systemtest (Secure Integration / System Tests) Sichere Freigabe (Secure Approval) Sichere Software-Evaluation (Secure Software Evaluation) Sichere Auslieferung (Secure Delivery) Sicherer Abnahmetest und sichere Abnahme (Secure Acceptance Test and Secure Acceptance) Sichere Software-Verteilung (Secure Software Deployment) Sichere Inbetriebnahme (Secure Startup Procedure) Sicherer Betrieb (Secure Operation) Sichere Außerbetriebnahme (Secure Decommissioning) Hilfsmittel erweiterte Phasen-Ergebnistypen-Tabelle (epet) Zusammenfassung Sicherheitsregelkreis Sicherheitsprüfungen Sicherheitsstudie/Risikoanalyse Penetrationstests IT Security Scans Sicherheitscontrolling Berichtswesen (Safety-Security-Continuity-Reporting) Anforderungen Inhalte Safety-Security-Continuity-Risk-Benchmarks Hilfsmittel IKT-Sicherheitsfragen Zusammenfassung Reifegradmodell des Sicherheits-, Kontinuitäts- und Risikomanagements Reifegradmodell RiSiKo-Management Stufe 0: unbekannt Stufe 1: begonnen Stufe 2: konzipiert Stufe 3: standardisiert Stufe 4: integriert Stufe 5: gesteuert Stufe 6: selbst lernend

9 Inhaltsverzeichnis XXVII 17.2 Checkliste Reifegrad Praxisbeispiel Zusammenfassung Sicherheitsmanagementprozess Deming- bzw. PDCA-Zyklus Planung Durchführung Prüfung Verbesserung Zusammenfassung Minimalistische Sicherheit Abbildungsverzeichnis Tabellenverzeichnis Verzeichnis der Checklisten Verzeichnis der Beispiele Markenverzeichnis Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices Gesetze, Verordnungen und Richtlinien Deutschland: Gesetze und Verordnungen Österreich: Gesetze und Verordnungen Schweiz: Gesetze, Verordnungen und Rundschreiben Großbritannien: Gesetze Europa: Entscheidungen, Richtlinien, Practices USA: Gesetze, Practices und Prüfvorschriften Ausführungsbestimmungen, Grundsätze, Vorschriften Standards, Normen, Leitlinien und Rundschreiben Literatur- und Quellenverzeichnis Glossar und Abkürzungsverzeichnis Sachwortverzeichnis Über den Autor

10