Inhaltsübersicht XVII



Ähnliche Dokumente
IT-Sicherheit mit System

IT-Sicherheit mit System

Inhaltsverzeichnis. 3 Zehn Schritte zum Sicherheitsmanagement... 25


IT-Sicherheit mit System

Handbuch Unternehmenssicherheit

Klaus-Rainer Müller. IT-Sicherheit mit System

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN:

Referenzmodelle für IT-Governance

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

ITIL Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert,

ITIL V3 zwischen Anspruch und Realität

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

Teil I Überblick... 25

IT-Service Management mit ITIL

Inhaltsverzeichnis / Tabellenverzeichnis. Abbildungsverzeichnis. Abkürzungsverzeichnis. 1 Einleitung Kommunalverwaltung und ITIL 1

Klaus-Rainer Müller. IT-Sicherheit mit System

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

1 Die IT Infrastructure Library 1

Optimale Prozessorganisation im IT-Management

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Vorwort. 5 Event Management Das Event Management unter ITIL 39. Bibliografische Informationen digitalisiert durch

ITIL, eine Einführung DECUS Symposium 2004 in Bonn (1B09)

Inhaltsverzeichnis. Inhaltsverzeichnis

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

1.1 Historie von FitSM Der Aufbau von FitSM FitSM als leichtgewichtiger Ansatz... 6

Wissensmanagement. Thema: ITIL

Wissensmanagement. Thema: ITIL

ITIL V3 Basis-Zertifizierung

MNP: Model zur Implementierung der IT-Prozesse

BearingPoint RCS Capability Statement

IT-Sicherheit mit System

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO Consultant. 13. Januar 2011

ITILkompakt und und verstandlich


Der Blindflug in der IT - IT-Prozesse messen und steuern -

Einführung eines ISMS nach ISO 27001:2013

Mit einem Geleitwort von Prof. Dr. Helmut Krcmar

Inhaltsübersicht. Teil I Überblick 25. Teil II Service-Strategie 87. Teil III Service Design 183. Teil IV Service Transition 323

ITIL einführen und umsetzen

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

ISO 27001: ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Maturity Assesment for Processes in IT

Informations- / IT-Sicherheit Standards

2 Begriffliche und theoretische Grundlagen... 9

Der IT Security Manager

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Funktionale Sicherheit in der Praxis

BCM Business Continuity Management

Outsourcing. Projekte. Security. Service Management. Personal

ITIL meets CMMI: Optimierung der IT-Prozesse durch das Zusammenspiel von ITIL und CMMI SQM 2006

Einführung des IT-Service-Managements

Inhaltsverzeichnis. 1 Einleitung 1

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Teil I: ITIL(v2) 1. Vorwort. 1 ITIL V2 - Einleitung und Überblick 3

ITIL - Die Einführung im IT-Systemhaus der BA. Rolf Frank - itsmf Jahrestagung Projekt ITIL2010

IIBA Austria Chapter Meeting

Service Management schrittweise und systematisch umsetzen. Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience

1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Management Consulting

Inhaltsverzeichnis XIII

ITSM Executive Studie 2007

1 Die IT Infrastructure Library 1. 2 ITH. im Überblick ITIL und IT Service Management Service Strategy 133

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Configuration management

CMM Mythos und Realität. Forum Forschungsförderung BITKOM / ViSEK Oktober Tilman Seifert, TU München

ITIL V Was ist neu. Dr. Helmut Steigele

GRC-Modell für die IT Modul GRC-Self Assessment 1

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

Masterkurs IT-Management

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Design for Six Sigma - DMADV.

IT-Sicherheitsmanagement IT Security Management

ISO 9001 und CMM im Vergleich

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

der Informationssicherheit

SPICE und die Assessment Tool Suite Eine Produktfamilie von HM&S & und Nehfort IT-Consulting

Hamburger Berater Team GmbH

ITIL Trainernachweise

IT Service Management und IT Sicherheit

Projektbegleitendes Qualitätsmanagement

ITIL. Incident- und Problem- Management in der Anwendung. Uli Manschke Technical Consultant HP OpenView

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63

ITSM (BOX & CONSULTING) Christian Hager, MSc

IT-Service Management

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Projektauszüge. Bundesbehörde. Bundesbehörde (Senior Manager Consultant)

ITIL einführen und umsetzen

Transkript:

Inhaltsübersicht 1 Ausgangssituation und Zielsetzung... 1 2 Kurzfassung und Überblick für Eilige... 13 3 Zehn Schritte zum Sicherheitsmanagement... 15 4 Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement... 19 5 Die Sicherheitspyramide Strategie und Vorgehensmodell... 67 6 Sicherheits-, Kontinuitäts- und Risikopolitik... 81 7 Sicherheitsziele / Sicherheitsanforderungen... 97 8 Sicherheitstransformation... 119 9 Sicherheitsarchitektur... 129 10 Sicherheitsrichtlinien/-standards Generische Sicherheitskonzepte... 301 11 Spezifische Sicherheitskonzepte... 341 12 Sicherheitsmaßnahmen... 345 13 Lebenszyklus... 347 14 Sicherheitsregelkreis... 365 15 Reifegradmodell des Sicherheitsmanagements Safety/Security/Continuity Management Maturity Model... 383 16 Sicherheitsmanagementprozess... 393 17 Minimalistische Sicherheit... 401 Abbildungsverzeichnis... 403 Markenverzeichnis... 404 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices... 405 Literatur- und Quellenverzeichnis... 419 Glossar und Abkürzungsverzeichnis... 425 Sachwortverzeichnis... 475 Über den Autor... 505 XVII

1 Ausgangssituation und Zielsetzung...1 1.1 Ausgangssituation...2 1.1.1 Bedrohungen...2 1.1.2 Schwachstellen...6 1.1.3 Schutzbedarf...9 1.2 Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements...10 1.3 Lösung...10 1.4 Zusammenfassung...12 2 Kurzfassung und Überblick für Eilige...13 3 Zehn Schritte zum Sicherheitsmanagement...15 4 Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement...19 4.1 Unternehmenssicherheitsmanagementsystem...20 4.2 Informationssicherheitsmanagementsystem...21 4.3 Sicherheitsmanagement...22 4.4 ITK-Sicherheitsmanagement...23 4.4.1 ISO/IEC 13335-1:2004...24 4.4.2 ISO/IEC 17799:2005, ISO/IEC 27002:2005...26 4.4.3 ISO/IEC 27001:2005...28 4.4.4 ISO/IEC 27000-Reihe...30 4.4.5 ITIL Security Management...31 4.4.6 IT-Grundschutzhandbuch, IT-Grundschutzkataloge des BSI...32 4.4.7 COBIT, Version 4.0...37 4.4.8 BS 25999-1:2006...39 4.4.9 BS 25999-2...42 4.4.10 Fazit: Normen und Practices versus Sicherheitspyramide...43 4.5 Ingenieurmäßige Sicherheit Safety, Security, Continuity Engineering...47 4.6 Sicherheitspyramide...47 4.7 Sicherheitspolitik...49 4.7.1... nach IT-Grundschutzhandbuch/-katalogen (IT-GSHB 2006)...49 4.7.2... nach ITSEC...50 4.7.3... nach ISO/IEC 13335-1:2004...51 4.7.4... nach ISO 15408 (Common Criteria)...52 4.7.5... nach ISO/IEC 17799:2005 bzw. ISO/IEC 27002:2005...52 4.7.6... nach ISO/IEC 27001:2005...53 4.7.7... nach Dr.-Ing. Müller...53 4.7.8 Vergleich...54 4.8 Sicherheit im Lebenszyklus...55 XVIII

4.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen... 56 4.10 Sicherheitskriterien... 57 4.11 Geschäftseinflussanalyse (Business Impact Analysis)... 58 4.12 Geschäftskontinuität (Business Continuity)... 58 4.13 Sicherheit und Sicherheitsdreiklang... 61 4.14 Risiko und Risikodreiklang... 63 4.15 Risikomanagement... 65 4.16 Zusammenfassung... 65 5 Die Sicherheitspyramide Strategie und Vorgehensmodell... 67 5.1 Überblick... 68 5.2 Sicherheitshierarchie... 72 5.2.1 Sicherheits-, Kontinuitäts- und Risikopolitik... 73 5.2.2 Sicherheitsziele / Sicherheitsanforderungen... 73 5.2.3 Sicherheitstransformation... 73 5.2.4 Sicherheitsarchitektur... 74 5.2.5 Sicherheitsrichtlinien... 74 5.2.6 Spezifische Sicherheitskonzepte... 74 5.2.7 Sicherheitsmaßnahmen... 75 5.3 PROSim... 75 5.4 Lebenszyklus von Prozessen, Ressourcen, Produkten und Leistungen (Services)... 76 5.4.1 Geschäfts-, Support- und Begleitprozess-Lebenszyklus... 76 5.4.2 Ressourcen-/Systemlebenszyklus... 77 5.4.3 Dienstleistungs- und Produktlebenszyklus... 77 5.5 Sicherheitsregelkreis... 77 5.6 Sicherheitsmanagementprozess... 78 5.7 Zusammenfassung... 78 6 Sicherheits-, Kontinuitäts- und Risikopolitik... 81 6.1 Zielsetzung... 82 6.2 Umsetzung... 82 6.3 Inhalte... 83 6.4 Checkliste... 85 6.5 Praxisbeispiele... 87 6.5.1 Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung... 87 6.5.2 Sicherheits-, Kontinuitäts- und Risikopolitik... 89 6.6 Zusammenfassung... 96 7 Sicherheitsziele / Sicherheitsanforderungen... 97 7.1 Schutzbedarfsklassen... 98 7.2 Schutzbedarfsanalyse... 98 7.2.1 Prozessarchitektur und Prozesscharakteristika... 99 XIX

7.2.2 Externe Sicherheitsanforderungen...100 7.2.3 Geschäftseinflussanalyse (Business Impact Analysis)...108 7.2.4 Betriebseinflussanalyse (Operational Impact Analysis)...110 7.3 Tabelle Schadensszenarien...111 7.4 Praxisbeispiele...113 7.4.1 Schutzbedarf der Geschäftsprozesse...113 7.4.2 ITK-Schutzbedarfsanalyse...113 7.4.3 Schutzbedarfsklassen...117 7.5 Zusammenfassung...118 8 Sicherheitstransformation...119 8.1 Haus zur Sicherheit House of Safety, Security and Continuity (HoSSC)...120 8.2 Safety, Security and Continuity Function Deployment (SSCFD)...121 8.2.1 Transformation der Anforderungen auf Sicherheitscharakteristika...121 8.2.2 Detaillierung der Sicherheitscharakteristika...123 8.2.3 Abbildung der Charakteristika auf den Lebenszyklus...123 8.3 Schutzbedarfsklassen...124 8.4 Praxisbeispiele...125 8.5 Zusammenfassung...127 9 Sicherheitsarchitektur...129 9.1 Überblick...130 9.2 Prinzipielle Sicherheitsanforderungen...132 9.3 Prinzipielle Bedrohungen...132 9.4 Strategien und Prinzipien...135 9.4.1 Risikostrategie (Risk Strategy)...137 9.4.2 Sicherheitsstrategie (Safety, Security and Continuity Strategy)...138 9.4.3 Prinzip der Wirtschaftlichkeit...139 9.4.4 Prinzip der Abstraktion...139 9.4.5 Prinzip der Klassenbildung...140 9.4.6 Poka-Yoke-Prinzip...140 9.4.7 Prinzip der Namenskonventionen...142 9.4.8 Prinzip der Redundanz (Principle of Redundancy)...142 9.4.9 Prinzip des aufgeräumten Arbeitsplatzes (Clear Desk Policy)...145 9.4.10 Prinzip des gesperrten Bildschirms (Clear Screen Policy)...145 9.4.11 Prinzip der Eigenverantwortlichkeit...145 9.4.12 Vier-Augen-Prinzip (Confirmed Double Check Principle)...146 9.4.13 Prinzip der Funktionstrennung (Segregation of Duties)...146 9.4.14 Prinzip der Sicherheitsschalen (Security Shells)...146 9.4.15 Prinzip der Pfadanalyse...147 9.4.16 Prinzip des generellen Verbots (Deny All Principle)...147 9.4.17 Prinzip der minimalen Rechte (Need to Use Principle)...147 9.4.18 Prinzip der minimalen Dienste...147 XX

9.4.19 Prinzip der minimalen Nutzung... 148 9.4.20 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit... 148 9.4.21 Prinzip des sachverständigen Dritten... 148 9.4.22 Prinzip des Closed-Shop-Betriebs und der Sicherheitszonen... 148 9.4.23 Prinzip der Prozess-, Ressourcen- und Lebenszyklusimmanenz... 149 9.4.24 Prinzip der Konsolidierung... 150 9.4.25 Prinzip der Standardisierung (Principle of Standardization)... 151 9.4.26 Prinzip der Plausibilisierung (Principle of Plausibleness)... 151 9.4.27 Prinzip der Konsistenz (Principle of Consistency)... 152 9.4.28 Prinzip der Untergliederung (Principle of Compartmentalization)... 152 9.4.29 Prinzip der Vielfältigkeit (Principle of Diversity)... 153 9.5 Sicherheitselemente... 153 9.5.1 Prozesse im Überblick... 154 9.5.2 Konformitätsmanagement (Compliance Management)... 165 9.5.3 Datenschutzmanagement (Privacy Management)... 166 9.5.4 Risikomanagement (Risk Management)... 168 9.5.5 Leistungsmanagement (Service Level Management)... 172 9.5.6 Finanzmanagement (Financial Management)... 176 9.5.7 Projektmanagement (Project Management)... 177 9.5.8 Qualitätsmanagement (Quality Management)... 177 9.5.9 Ereignismanagement (Incident Management)... 178 9.5.10 Problemmanagement (Problem Management)... 184 9.5.11 Änderungsmanagement (Change Management)... 185 9.5.12 Releasemanagement (Release Management)... 188 9.5.13 Konfigurationsmanagement (Configuration Management)... 188 9.5.14 Lizenzmanagement (Licence Management)... 189 9.5.15 Kapazitätsmanagement (Capacity Management)... 190 9.5.16 Wartungsmanagement (Maintenance Management)... 192 9.5.17 Kontinuitätsmanagement (Continuity Management)... 193 9.5.18 Securitymanagement (Security Management)... 211 9.5.19 Architekturmanagement (Architecture Management)... 246 9.5.20 Innovationsmanagement (Innovation Management)... 259 9.5.21 Personalmanagement (Human Resources Management)... 261 9.5.22 Ressourcen im Überblick... 265 9.5.23 ITK-Hard- und Software... 265 9.5.24 Infrastruktur... 295 9.5.25 Dokumente... 297 9.5.26 Personal... 297 9.5.27 Organisation im Überblick... 297 9.5.28 Lebenszyklus im Überblick... 298 9.6 Hilfsmittel Sicherheits- und Risikoarchitekturmatrix... 298 9.7 Zusammenfassung... 300 XXI

10 Sicherheitsrichtlinien/-standards Generische Sicherheitskonzepte...301 10.1 Übergreifende Richtlinien...302 10.1.1 Sicherheitsregeln...302 10.1.2 Prozessvorlage...303 10.1.3 IT-Benutzerordnung...305 10.1.4 E-Mail-Nutzung...307 10.1.5 Internet-Nutzung...310 10.2 Betriebs- und Begleitprozesse (Managementdisziplinen)...311 10.2.1 Kapazitätsmanagement...311 10.2.2 Kontinuitätsmanagement...313 10.2.3 Securitymanagement...325 10.3 Ressourcen...337 10.3.1 Zutrittskontrollsystem...337 10.3.2 Passwortspezifische Systemanforderungen...337 10.3.3 Wireless LAN...338 10.4 Organisation...339 10.5 Zusammenfassung...340 11 Spezifische Sicherheitskonzepte...341 11.1 Prozesse...342 11.1.1 Kontinuitätsmanagement...342 11.2 Ressourcen...343 11.2.1 Betriebssystem...343 11.3 Zusammenfassung...343 12 Sicherheitsmaßnahmen...345 12.1 Ressourcen...345 12.1.1 Betriebssystem: Protokoll Passworteinstellungen...345 12.2 Zusammenfassung...346 13 Lebenszyklus...347 13.1 Beantragung...348 13.2 Planung...349 13.3 Fachkonzept, Anforderungsspezifikation...349 13.4 Technisches Grobkonzept...350 13.5 Technisches Feinkonzept...351 13.6 Entwicklung...354 13.7 Integrations- und Systemtest...356 13.8 Freigabe...357 13.9 Software-Evaluation...357 13.10 Auslieferung...358 13.11 Abnahmetest und Abnahme...358 XXII

13.12 Software-Verteilung... 359 13.13 Inbetriebnahme... 360 13.14 Betrieb... 360 13.15 Außerbetriebnahme... 361 13.16 Hilfsmittel Phasen-Ergebnistypen-Tabelle... 362 13.17 Zusammenfassung... 363 14 Sicherheitsregelkreis... 365 14.1 Sicherheitsprüfungen... 366 14.1.1 Sicherheitsstudie/Risikoanalyse... 366 14.1.2 Penetrationstests... 370 14.1.3 IT-Security-Scans... 371 14.2 Sicherheitscontrolling... 372 14.3 Berichtswesen (Safety-Security-Reporting)... 374 14.3.1 Anforderungen... 374 14.3.2 Inhalte... 377 14.4 Safety-Security-Benchmarks... 380 14.5 Hilfsmittel IT-Sicherheitsfragen... 380 14.6 Zusammenfassung... 381 15 Reifegradmodell des Sicherheitsmanagements Safety/Security/Continuity Management Maturity Model... 383 15.1 Systems Security Engineering Capability Maturity Model... 384 15.2 Information Technology Security Assessment Framework... 385 15.3 Security-Maturity-Modell... 386 15.4 Reifegradmodell nach Dr.-Ing. Müller... 386 15.4.1 Stufe 0: unbekannt... 386 15.4.2 Stufe 1: begonnen... 387 15.4.3 Stufe 2: konzipiert... 387 15.4.4 Stufe 3: standardisiert... 387 15.4.5 Stufe 4: integriert... 388 15.4.6 Stufe 5: gesteuert... 388 15.4.7 Stufe 6: selbst lernend... 388 15.5 Checkliste Reifegrad... 388 15.6 Praxisbeispiel... 390 15.7 Zusammenfassung... 391 16 Sicherheitsmanagementprozess... 393 16.1 Deming- bzw. PDCA-Zyklus... 393 16.2 Planung... 394 16.3 Durchführung... 396 16.4 Prüfung... 396 16.5 Verbesserung... 397 XXIII

16.6 Zusammenfassung...397 17 Minimalistische Sicherheit...401 Abbildungsverzeichnis...403 Markenverzeichnis...404 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices...405 Deutsche Gesetze und Verordnungen...405 Österreichische Gesetze und Verordnungen...406 Schweizer Gesetze, Verordnungen und Richtlinien...406 Britische Gesetze, Verordnungen und Richtlinien...407 Europäische Richtlinien...407 US-amerikanische Gesetze, Verordnungen und Richtlinien...408 Ausführungsbestimmungen, Grundsätze, Vorschriften...409 Standards, Normen, Leitlinien und Rundschreiben...410 Literatur- und Quellenverzeichnis...419 Glossar und Abkürzungsverzeichnis...425 Sachwortverzeichnis...475 Über den Autor...505 XXIV

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback