IT-Sicherheit mit System



Ähnliche Dokumente
Inhaltsübersicht XVII

Inhaltsverzeichnis. 3 Zehn Schritte zum Sicherheitsmanagement... 25

IT-Sicherheit mit System


Handbuch Unternehmenssicherheit

IT-Sicherheit mit System

Inhaltsverzeichnis 1 Ausgangssituation und Zielsetzung... 1

Klaus-Rainer Müller. IT-Sicherheit mit System

Referenzmodelle für IT-Governance

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN:

Klaus-Rainer Müller. IT-Sicherheit mit System

Einführung eines ISMS nach ISO 27001:2013

Der IT Security Manager

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Mit einem Geleitwort von Prof. Dr. Helmut Krcmar

Inhaltsverzeichnis / Tabellenverzeichnis. Abbildungsverzeichnis. Abkürzungsverzeichnis. 1 Einleitung Kommunalverwaltung und ITIL 1

MNP: Model zur Implementierung der IT-Prozesse

Inhaltsverzeichnis XIII

Inhaltsverzeichnis. Inhaltsverzeichnis

IT-Sicherheit kompakt und verständlich

Inhaltsverzeichnis. 1 Einleitung 1

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

ITIL Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert,

Optimale Prozessorganisation im IT-Management

IT-Sicherheit mit System

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

2 Begriffliche und theoretische Grundlagen... 9

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

1.1 Historie von FitSM Der Aufbau von FitSM FitSM als leichtgewichtiger Ansatz... 6

Management in gesetzlichen Krankenkassen

Inhaltsverzeichnis. Seite. Abbildungsverzeichnis. Tabellenverzeichnis. Abkürzungs Verzeichnis XXI. Symbolverzeichnis

IT-Service Management mit ITIL

Funktionale Sicherheit in der Praxis

Teil I Überblick... 25

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

ITILkompakt und und verstandlich

Risikomanagement für IT-Projekte


Inhaltsverzeichnis VII

ITIL, eine Einführung DECUS Symposium 2004 in Bonn (1B09)

Basiswissen Software-Projektmanagement

ITIL V3 zwischen Anspruch und Realität

Entwicklung domänenspezifischer Software

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Automotive Software Engineering

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Vorwort. 5 Event Management Das Event Management unter ITIL 39. Bibliografische Informationen digitalisiert durch

Reihe: Supply Chain, Logistics and Operations Management Band 1. Herausgegeben von Prof. Dr. Dr. h. c. Wolfgang Kersten, Hamburg

Unternehmerisches Risikomanagement - Konsequenzen einer integrierten Risikobewältigung für die Versicherung

Volker Johanning. IT-Strategie. Optimale Ausrichtung der IT an das. Business in 7 Schritten. ^ Springer Vieweg

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

Design for Six Sigma - DMADV.

Zertifizierung nach DIN ENIS09000

xiii Inhaltsverzeichnis 1 Einführung 1

INHALTSVERZEICHNIS VORWORT DANKSAGUNG DANKSAGUNG DER CLIB-KOORDINATOREN MITWIRKENDE TEIL 1 ÜBER CMMI FÜR ENTWICKLUNG 1

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

ITIL - Die Einführung im IT-Systemhaus der BA. Rolf Frank - itsmf Jahrestagung Projekt ITIL2010

der Informationssicherheit

Inhaltsverzeichnis. Mobile Device Management 11 Vorwort und Einleitung 11

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

S-5100 PLM/PDM-Lösung erfolgreich auswählen und sicher einführen

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Stefanie Lahn. Der Businessplan in. Theorie und Praxis. Überlegungen zu einem. zentralen Instrument der. deutschen Gründungsförderung

BearingPoint RCS Capability Statement

Angebotsmanagement für hybride IT-Produkte

Corporate Social Responsibility am Beispiel der deutschen Versicherungsbranche und der ARAG SE

Strategische Umsetzung von Corporate. Mittelständigen Unternehmen in Bayern. unter besonderer Berücksichtigung der

IT Service Management und IT Sicherheit

Inhaltsverzeichnis. Hermann J. Schmelzer, Wolfgang Sesselmann. Geschäftsprozessmanagement in der Praxis

Ein datenbankgestütztes. Vertragsmanagementmodell zur. Entscheidungsunterstützung im

2 Einführung und Grundlagen 5

ITIL V3 Basis-Zertifizierung

Lebendige Sicherheit: Entwicklung von Secure Software im dynamischen Umfeld

Leserstimmen zum Buch.. IT-Sicherheit mit System" von Klaus-Rainer Müller:

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Basiswissen Software-Projektmanagement

ITIL einführen und umsetzen

Projektauszüge. Bundesbehörde. Bundesbehörde (Senior Manager Consultant)

T.I.S.P. Community Meeting 2014 Berlin, Wie können wir sichere Systeme entwickeln?

Schriften zu Familienunternehmen Band 9. Herausgegeben vom Wittener Institut für Familienunternehmen

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Das Versicherungskernsystem OPUS Machen Sie Ihr Business vom Back-End bis zum Front-End erfolgreich

Risikomanagement nach ISO und ONR 49000

Vom Geschäftsprozess zum Workflow

Aktuelle aufsichtsrechtliche Fragestellungen des Electronic Banking

Inhaltsverzeichnis. xiii

Teil I: ITIL(v2) 1. Vorwort. 1 ITIL V2 - Einleitung und Überblick 3

Risikomanagement in sozialen Unternehmen

Entwicklung eines Konzeptes zur Spezifikation standardisierter Leistungsparameter im Rahmen einer industrialisierten Software-Bereitstellung

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Projektmanagement als entscheidender Systemteil in Integrierten Management Systemen (IMS) DI Christian Haas Mag. Johann Kohlbacher

1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Management Consulting

Basiswissen Software- Projektmanagement

^ Springer Vieweg. Projektmanagement für technische Projekte. Roland Feikai. Ein prozessorientierter Leitfaden für die Praxis

Modul 1 Modul 2 Modul 3

Transkript:

Klaus-Rainer Müller IT-Sicherheit mit System Sicherheitspyramide und Vorgehensmodelle - Sicherheitsprozess und Katastrophenvorsorge - Die 10 Schritte zum Sicherheitsmanagement Mit 26 Abbildungen vieweg

Inhaltsverzeichnis 1 Ausgangssituation und Zielsetzung 1 1.1 Ausgangssituation 2 1.1.1 Bedrohungen 2 1.1.2 Schwachstellen 2 1.1.3 Schutzbedarf 5 1.2 Zielsetzung des Sicherheits- und Risikomanagements 6 1.3 Lösung 7 1.4 Zusammenfassung 8 2 Kurzfassung und Überblick für Eilige 9 3 10 Schritte zum Sicherheitsmanagement 11 4t Definitionen zum Sicherheits- und Risikomanagement 13 4.1 Sicherheitsmanagement 14 4.2 IuK-Sicherheitsmanagement 15 4.3 Ingenieurmäßige Sicherheit - Safety and Security Engineering 16 4.4 Sicherheitspyramide 17 4.5 Sicherheitspolitik 19 4.5.1... nach IT-Grundschutzhandbuch (IT-GSHB) 19 4.5.2... nach ITSEC 20 4.5.3... nach ISO/IEC TR 13335-1, Part 1 20 4.5.4... nach ISO 15408 (Common Criteria) 21 4.5.5... nach ISO/IEC 17799:2000 21 4.5.6... nach Dr.-Ing. Müller 22 4.5.7 Vergleich 22 4.6 Sicherheit im Lebenszyklus 23 4.7 Ressourcen, Schutzobjekte und -Subjekte sowie -klassen 24 4.8 Sicherheitskriterien 25 4.9 Geschäftseinflussanalyse (Business Impact Analysis) 25 4.10 Geschäftskontinuität (Business Continuity) 26 4.11 Sicherheit und Sicherheitsdreiklang 28 4.12 Risiko und Risikodreiklang 29 4.13 Risikomanagement 31 4.14 Zusammenfassung 31 XIII

5 Die Sicherheitspyramide - Strategie und Vorgehensmodell33 5.1 Überblick 34 5.2 Sicherheitshierarchie 38 5.2.1 Sicherheits- und Risikopolitik 38 5.2.2 Sicherheitsziele / Sicherheitsanforderungen 38 5.2.3 Sicherheitstransformation 38 5.2.4 Sicherheitsarchitektur 39 5.2.5 Sicherheitsrichtlinien 39 5.2.6 Spezifische Sicherheitskonzepte 39 5.2.7 Sicherheitsmaßnahmen 40 5.3 PROSim 40 5.4 Prozess-, Ressourcen- und Produktlebenszyklus 41 5.4.1 Geschäfts-, Support- und Begleitprozess-Lebenszyklus 41 5.4.2 Ressourcen-/Systemlebenszyklus 42 5.4.3 Dienstleistungs- und Produktlebenszyklus 42 5.5 Sicherheitsregelkreis 42 5.6 Sicherheitsmanagementprozess 43 5.7 Zusammenfassung 43 6 Sicherheits- und Risikopolitik 45 6.1 Zielsetzung 46 6.2 Umsetzung 46 6.3 Inhalte 47 6.4 Checkliste 49 6.5 Praxisbeispiele 50 6.5.1 Sicherheits- und risikopolitische Leitsätze Versicherung 51 6.52 Sicherheits- und Risikopolitik 53 6.6 Zusammenfassung 60 / Sicherheitsziele/Sicherheitsanforderungen 61 7.1 Schutzbedarfsklassen 62 7.2 Schutzbedarfsanalyse 62 7.2.1 Prozessarchitektur und Prozesscharakteristika 63 7.2.2 Externe Sicherheitsanforderungen 64 7.2.3 Geschäftseinflussanalyse (Business Impact Analysis) 66 7.2.4 Betriebseinflussanalyse (Operational Impact Analysis) 69 7.3 Tabelle Schadensszenarien 70 XIV

7.4 Praxisbeispiele 71 7.4.1 Schutzbedarf der Geschäftsprozesse 71 7.4.2 IuK-Schutzbedarfsanalyse 72 7.4.3 Schutzbedarfsklassen 75 7.5 Zusammenfassung 76 8 Sicherheitstransformation 77 8.1 Haus zur Sicherheit - House of Safety and Security" (HoSS) 78 8.2 Safety and Security Function Deployment" (SSFD) 79 8.2.1 Transformation der Anforderungen auf Sicherheitscharakteristika. 79 8.2.2 Detaillierung der Sicherheitscharakteristika 81 8.2.3 Abbildung der Charakteristika auf den Lebenszyklus 81 8.3 Schutzbedarfsklassen 82 8.4 Praxisbeispiele 83 8.5 Zusammenfassung 84 9 Sicherheitsarchitektur 85 9.1 Überblick 86 9.2 Prinzipielle Sicherheitsanforderungen 87 9-3 Prinzipielle Bedrohungen 88 9.4 Strategien und Prinzipien 91 9.4.1 Risikostrategie 92 9.4.2 Sicherheitsstrategie 93 9.4.3 Prinzip der Wirtschaftlichkeit 94 9.4.4 Prinzip der Abstraktion 94 9.4.5 Prinzip der Klassenbildung 95 9.4.6 Poka-Yoke-Prinzip 96 9.4.7 Prinzip der Namenskonventionen 97 9.4.8 Prinzip der Redundanz 97 9.4.9 Prinzip des aufgeräumten" Arbeitsplatzes 100 9.4.10 Prinzip des gesperrten" Bildschirms 100 9-4.11 Prinzip der Eigenverantwortlichkeit 100 9.4.12 Vier-Augen-Prinzip 100 9.4.13 Prinzip der Funktionstrennung 100 9.4.14 Prinzip 'der Sicherheitsschalen 101 9.4.15' Prinzip der Pfadanalyse 101 9.4.16 Prinzip des generellen Verbots 102 9.4.17 Prinzip der minimalen Rechte 102 9.4.18 Prinzip der minimalen Dienste 102 9.4.19 Prinzip der minimalen Nutzung 102 XV

9.4.20 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit 103 9.4.21 Prinzip des sachverständigen Dritten" 103 9.4.22 Prinzip des Closed-Shop-Betriebs und der Sicherheitszonen 103 9.4.23 Prinzip der Prozess-, Ressourcen- und Lebenszyklusimmanenz... 104 9.4.24 Prinzip der Konsolidierung 104 9.4.25 Prinzip der Standardisierung 106 9-5 Sicherheitselemente 106 9.5.1 Prozesse im Überblick 108 9-5.2 Konformitätsmanagement (Compliance Management) 116 9.5.3 Datenschutzmanagement (Privacy Management) 117 9.5.4 Risikomanagement (Risk Management) 117 9-5.5 Leistungsmanagement (Service Level Management) 119 9-5.6 Finanzmanagement (Financial Management) 124 9-5.7 Projektmanagement (Project Management) 124 9.5.8 Qualitätsmanagement (Quality Management) 124 9-5-9 Ereignismanagement (Incident Management) 125 9-5.10 Problemmanagement (Problem Management) 127 9.5.11 Änderungsmanagement (Change Management) 128 9-5.12 Releasemanagement (Release Management) 131 9-5.13 Konfigurationsmanagement (Configuration Management) 131 9-5.14 Lizenzmanagement (Licence Management) 133 9-5.15 Kapazitätsmanagement (Capacity Management) 134 9.5.16 Wartungsmanagement (Maintenance Management) 145 9-5.17 Kontinuitätsmanagement (Continuity Management) 145 9.5.18 Securitymanagement (Security Management) 162 9.5.19 Architekturmanagement (Architecture Management) 200 9.5.20 Innovationsmanagement (Innovation Management) 201 9-5.21 Personalmanagement (Human Resources Management) 201 9-5.22 Ressourcen im Überblick 204 9.5.23 Organisation im Überblick 207 9.5.24 Lebenszyklus 208 9.6 Hilfsmittel Sicherheitsarchitekturmatrix 208 9.7 Zusammenfassung 209 10 SicherheitsrichtlinienAstandards Generische Sicherheitskonzepte. 211 10.1 Übergreifende Richtlinien 212 10.1.1 Sicherheitsregeln 212 10.1.2 Prozessvorlage 213 10.1.3 IT-Benutzerordnung 215 10.1.4 E-Mail-Nutzung 216 XVI

10.2 Betriebs- und Begleitprozesse (Managementdisziplinen) 217 10.2.1 Kapazitätsmanagement 217 10.2.2 Kontinuitätsmanagement 218 10.2.3 Securitymanagement 224 10.3 Organisation 233 10.4 Zusammenfassung 234 1 1 Spezifische Sicherheitskonzepte 235 11.1 Kontinuitätsmanagement 235 11.2 Securitymanagement 236 11.3 Zusammenfassung 236 12 Sicherheitsmaßnahmen 237 12.1 Securitymanagement 237 12.1.1 Protokoll Passworteinstellungen 237 12.2 Zusammenfassung 238 13 Lebenszyklus 239 13-1 Beantragung 240 13-2 Planung 241 13-3 Fachkonzept, Anforderungsspezifikation 241 13.4 Technisches Grobkonzept 242 13-5 Technisches Feinkonzept 242 13.6 Entwicklung 244 13-7 Integrations- und Systemtest 244 13-8 Freigabe 245 13-9 Software-Evaluation 245 13.10 Auslieferung 245 13-11 Abnahmetest und Abnahme 246 13-12 Software-Verteilung 247 13.13 Inbetriebnahme 247 13.14 Betrieb.., 247 13.15 Außerbetriebnahme 248 13-16 Hilfsmittel Phasen-Ergebnistypen-Tabelle 248 13-17 Zusammenfassung 250 XVII

14 Sicherheitsregelkreis 251 14.1 Sicherheitsprüfungen 252 14.1.1 Sicherheitsstudie/Risikoanalyse 252 14.1.2 Penetrationstests 256 14.1.3 Security-Scans 257 14.2 Sicherheitscontrolling 257 14.3 Berichtswesen (Safety-Security-Reporting) 259 14.3.1 Anforderungen 260 14.3.2 Inhalte 262 14.4 Safety-Security-Benchmarks 265 14.5 Hilfsmittel IT-Sicherheitsfragen 265 14.6 Zusammenfassung 266 1 5 Reifegradmodell des Sicherheitsmanagements - Safety/Security Management Maturity ModeL 267 15.1 Maturity-Modell 267 15.2 Reifegradmodell nach Dr.-Ing. Müller 267 15.2.1 Stufe 0: unbekannt 268 15.2.2 Stufe 1: begonnen 269 15.2.3 Stufe 2: konzipiert 269 15.2.4 Stufe 3: standardisiert 269 15.2.5 Stufe 4: integriert 269 15.2.6 Stufe 5: gesteuert 270 15.2.7 Stufe 6: selbst lernend 270 15.3 Checkliste Reifegrad 270 15.4 Praxisbeispiel 272 15.5 Zusammenfassung 272 IC) Sicherheitsmanagementprozess 273 16.1 Deming- bzw. PDCA-Zyklus 273 16.2 Planung 274 16.3 Durchführung 275 16.4 Prüfung 276 16.5 Verbesserung 276 16.6 Zusammenfassung 277 XVIII

Abbildungsverzeichnis 279 Markenverzeichnis 280 Verzeichnis über Gesetze, Vorschriften, Standards, Normen 281 Gesetze, Verordnungen 281 Ausführungsbestimmungen, Grundsätze, Vorschriften 282 Standards, Normen, Leitlinien und Rundschreiben 283 Literatur- und Quellenverzeichnis 287 Glossar und Abkürzungsverzeichnis 291 Sachwortverzeichnis 313 Über den Autor 327 XIX

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback