Verzeichnis der Maßnahmen aus Anhang A der ISO 27001

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 Das folgende Verzeichnis verweist auf die Erläuterungen in diesem Buch zu den angegebenen Regelungsbereichen (erste Gliederungsebene), Sicherheitskategorien (zweite Gliederungsebene) und Maßnahmen (dritte Gliederungsebene). A.5 Sicherheitsleitlinie... 132 A.5.1 Informationssicherheitsleitlinie... 132 A.5.1.1 Leitlinie zur Informationssicherheit... 132 A.5.1.2 Überprüfung der Informationssicherheitsleitlinie... 132 A.6 Organisation der Informationssicherheit... 133 A6.1 Interne Organisation... 133 A.6.1.1 Engagement des Managements für Informationssicherheit... 133 A.6.1.2 Koordination der Informationssicherheit... 133 A.6.1.3 Zuweisung der Verantwortlichkeiten für Informationssicherheit... 134 A.6.1.4 Genehmigungsverfahren für informationsverarbeitende Einrichtungen... 134 A.6.1.5 Vertraulichkeitsvereinbarungen... 134 A.6.1.6 Kontakt zu Behörden... 135 A.6.1.7 Kontakt zu speziellen Interessengruppen... 135 A.6.1.8 Unabhängige Überprüfung der Informationssicherheit... 136 A.6.2 Externe Parteien... 136 A.6.2.1 A.6.2.2 A.6.2.3 Identifizierung von Risiken in Zusammenhang mit Externen... 137 Adressieren von Sicherheit im Umgang mit Kunden... 137 Adressieren von Sicherheit in Vereinbarungen mit Dritten... 138 241

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 A.7 Management von organisationseigenen Werten... 138 A.7.1 Verantwortung für organisationseigene Werte... 138 A.7.1.1 Inventar der organisationseigenen Werte... 138 A.7.1.2 Eigentum von organisationseigenen Werten... 139 A.7.1.3 Zulässiger Gebrauch von organisationseigenen Werten... 139 A.7.2 Klassifizierung von Informationen... 139 A.7.2.1 Regelungen für die Klassifizierung... 139 A.7.2.2 Kennzeichnung von und Umgang mit Informationen... 140 A.8 Personalsicherheit... 141 A.8.1 Vor der Anstellung... 141 A.8.1.1 Aufgaben und Verantwortlichkeiten... 142 A.8.1.2 Überprüfung... 142 A.8.1.3 Arbeitsvertragsklauseln... 143 A.8.2 Während der Anstellung... 144 A.8.2.1 Verantwortung des Managements... 144 A.8.2.2 Sensibilisierung, Ausbildung und Schulung für Informationssicherheit... 144 A.8.2.3 Disziplinarverfahren... 145 A.8.3 Beendigung oder Änderung der Anstellung... 145 A.8.3.1 Verantwortlichkeiten bei der Beendigung... 146 A.8.3.2 Rückgabe von organisationseigenen Werten... 146 A.8.3.3 Aufheben von Zugangsrechten... 146 A.9 Physische und umgebungsbezogene Sicherheit... 147 A.9.1 Sicherheitsbereiche... 147 A.9.1.1 Sicherheitszonen... 147 A.9.1.2 Zutrittskontrolle... 148 A.9.1.3 Sicherung von Büros, Räumen und Einrichtungen... 149 A.9.1.4 Schutz vor Bedrohungen von Außen und aus der Umgebung... 149 A.9.1.5 Arbeit in Sicherheitszonen... 149 242

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 A.9.1.6 Öffentlicher Zugang, Anlieferungs- und Ladezonen... 150 A.9.2 Sicherheit von Betriebsmitteln... 150 A.9.2.1 Platzierung und Schutz von Betriebsmitteln... 151 A.9.2.2 Unterstützende Versorgungseinrichtungen... 151 A.9.2.3 Sicherheit der Verkabelung... 152 A.9.2.4 Instandhaltung von Gerätschaften... 152 A.9.2.5 Sicherheit von außerhalb des Standorts befindlicher Ausrüstung... 152 A.9.2.6 Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln... 153 A.9.2.7 Entfernung von Eigentum... 153 A.10 Betriebs- und Kommunikationsmanagement... 154 A.10.1 Verfahren und Verantwortlichkeiten... 154 A.10.1.1 Dokumentierte Betriebsprozesse... 154 A.10.1.2 Änderungsverwaltung... 155 A.10.1.3 Aufteilung von Verantwortlichkeiten... 155 A.10.1.4 Aufteilung von Entwicklungs-, Test- und Produktiveinrichtungen... 156 A.10.2 Management der Dienstleistungs-Erbringung von Dritten... 156 A.10.2.1 Erbringung von Dienstleistungen... 157 A.10.2.2 Überwachung und Überprüfung der Dienstleistungen von Dritten... 157 A.10.2.3 Management von Änderungen an Dienstleistungen von Dritten... 158 A.10.3 Systemplanung und Abnahme... 158 A.10.3.1 Kapazitätsplanung... 158 A.10.3.2 System-Abnahme... 159 A.10.4 Schutz vor Schadsoftware und mobilem Programmcode... 159 A.10.4.1 Maßnahmen gegen Schadsoftware... 159 A.10.4.2 Schutz vor mobiler Software (mobilen Agenten)... 160 A.10.5 Backup... 161 A.10.5.1 Backup von Informationen... 161 243

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 A.10.6 Management der Netzsicherheit... 161 A.10.6.1 Maßnahmen für Netze... 161 A.10.6.2 Sicherheit von Netzdiensten... 162 A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien... 163 A.10.7.1 Verwaltung von Wechselmedien... 163 A.10.7.2 Entsorgung von Medien... 163 A.10.7.3 Umgang mit Informationen... 164 A.10.7.4 Sicherheit der Systemdokumentation... 165 A.10.8 Austausch von Informationen... 165 A.10.8.1 Regelwerke und Verfahren zum Austausch von Informationen... 166 A.10.8.2 Vereinbarungen zum Austausch von Informationen... 167 A.10.8.3 Transport physischer Medien... 167 A.10.8.4 Elektronische Mitteilungen / Nachrichten (Messaging)... 168 A.10.8.5 Geschäftsinformationssysteme... 169 A.10.9 E-Commerce-Anwendungen... 169 A.10.9.1 E-Commerce... 170 A.10.9.2 Online-Transaktionen... 171 A.10.9.3 Öffentlich verfügbare Informationen... 172 A.10.10 Überwachung... 172 A.10.10.1 Auditprotokolle... 172 A.10.10.2 Überwachung der Systemnutzung... 173 A.10.10.3 Schutz von Protokollinformationen... 174 A.10.10.4 Administrator- und Betreiberprotokolle... 174 A.10.10.5 Fehlerprotokolle... 175 A.10.10.6 Zeitsynchronisation... 175 A.11 Zugangskontrolle... 175 A.11.1 Geschäftsanforderungen für Zugangskontrolle... 175 A.11.1.1 Regelwerk zur Zugangskontrolle... 176 A.11.2 Management des Benutzerzugriffs... 177 A.11.2.1 Benutzerregistrierung... 177 244

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 A.11.2.2 Verwaltung von Sonderrechten... 177 A.11.2.3 Verwaltung von Benutzerpasswörtern... 178 A.11.2.4 Überprüfung von Benutzerberechtigungen... 179 A.11.3 Benutzerverantwortung... 179 A.11.3.1 Passwortverwendung... 179 A.11.3.2 Unbeaufsichtigte Benutzerausstattung... 180 A.11.3.3 Der Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms... 180 A.11.4 Zugangskontrolle für Netze... 180 A.11.4.1 Regelwerk zur Nutzung von Netzen... 181 A.11.4.2 Benutzerauthentisierung für externe Verbindungen... 181 A.11.4.3 Geräteidentifikation in Netzen... 182 A.11.4.4 Schutz der Diagnose- und Konfigurationsports... 182 A.11.4.5 Trennung in Netzwerken... 182 A.11.4.6 Kontrolle von Netzverbindungen... 183 A.11.4.7 Routingkontrolle für Netze... 183 A.11.5 Zugriffskontrolle auf Betriebssysteme... 183 A.11.5.1 Verfahren für sichere Anmeldung... 184 A.11.5.2 Benutzeridentifikation und Authentisierung... 184 A.11.5.3 Systeme zur Verwaltung von Passwörtern... 185 A.11.5.4 Verwendung von Systemwerkzeugen... 185 A.11.5.5 Session Time-out... 186 A.11.5.6 Begrenzung der Verbindungszeit... 186 A.11.6 Zugangskontrolle zu Anwendungen und Informationen... 187 A.11.6.1 Einschränkung von Informationszugriff... 187 A.11.6.2 Isolation sensibler Systeme... 187 A.11.7 Mobile Computing und Telearbeit... 187 A.11.7.1 Mobile Computing und Kommunikation... 188 A.11.7.2 Telearbeit... 188 245

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen... 189 A.12.1 Sicherheitsanforderungen von Informationssystemen... 189 A.12.1.1 Analyse und Spezifikation von Sicherheitsanforderungen... 189 A.12.2 Korrekte Verarbeitung in Anwendungen... 190 A.12.2.1 Überprüfung von Eingabedaten... 190 A.12.2.2 Kontrolle der internen Verarbeitung... 190 A.12.2.3 Integrität von Nachrichten... 191 A.12.2.4 Überprüfung von Ausgabedaten... 191 A.12.3 Kryptografische Maßnahmen... 191 A.12.3.1 Leitlinie zur Anwendung von Kryptografie... 192 A.12.3.2 Verwaltung kryptografischer Schlüssel... 192 A.12.4 Sicherheit von Systemdateien... 193 A.12.4.1 Kontrolle von Software im Betrieb... 193 A.12.4.2 Schutz von Test-Daten... 194 A.12.4.3 Zugangskontrolle zu Quellcode... 194 A.12.5 Sicherheit bei Entwicklungs- und Unterstützungsprozessen... 194 A.12.5.1 Änderungskontrollverfahren... 195 A.12.5.2 Technische Kontrolle von Anwendungen nach Änderungen am Betriebssystem... 195 A.12.5.3 Einschränkung von Änderungen an Softwarepaketen... 196 A.12.5.4 Ungewollte Preisgabe von Informationen... 196 A.12.5.5 Ausgelagerte Softwareentwicklung... 197 A.12.6 Schwachstellenmanagement... 197 A.12.6.1 Kontrolle technischer Schwachstellen... 197 A.13 Umgang mit Informationssicherheitsvorfällen... 198 A.13.1 Melden von Informationssicherheitsereignissen und Schwachstellen... 198 A.13.1.1 Melden von Informationssicherheitsereignissen... 198 A.13.1.2 Melden von Sicherheitsschwachstellen... 198 246

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 A.14 A.13.2 Umgang mit Informationssicherheitsvorfällen und Verbesserungen... 199 A.13.2.1 Verantwortlichkeiten und Verfahren... 199 A.13.2.2 Lernen von Informationssicherheitsvorfällen... 199 A.13.2.3 Sammeln von Beweisen... 200 Sicherstellung des Geschäftsbetriebs (Business Continuity Management)... 200 A.14.1 Informationssicherheitsaspekte bei der Sicherstellung des Geschäftsbetriebs... 201 A.14.1.1 A.14.1.2 A.14.1.3 A.14.1.4 A.14.1.5 Einbeziehen von Informationssicherheit in den Prozess zur Sicherstellung des Geschäftsbetriebs... 201 Sicherstellung des Geschäftsbetriebs und Risikoeinschätzung... 202 Entwickeln und Umsetzen von Plänen zur Sicherstellung des Geschäftsbetriebs, die Informationssicherheit enthalten... 202 Rahmenwerk für die Pläne zur Sicherstellung des Geschäftsbetriebs... 202 Testen, Instandhaltung und Neubewertung von Plänen zur Sicherstellung des Geschäftsbetriebs... 203 A.15 Einhaltung von Vorgaben (Compliance)... 204 A.15.1 Einhaltung gesetzlicher Vorgaben... 204 A.15.1.1 Identifikation der anwendbaren Gesetze... 204 A.15.1.2 Rechte an geistigem Eigentum... 205 A.15.1.3 Schutz von organisationseigenen Aufzeichnungen... 205 A.15.1.4 Datenschutz und Vertraulichkeit von personenbezogenen Informationen... 206 A.15.1.5 Verhinderung des Missbrauchs von informationsverarbeitenden Einrichtungen... 207 A.15.1.6 Regelungen zu kryptografischen Maßnahmen... 207 A.15.2 Übereinstimmung mit Sicherheitspolitiken und Standards und technische Übereinstimmung... 208 A.15.2.1 Einhaltung von Sicherheitsregelungen und -standards... 208 247

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 A.15.2.2 Prüfung der Einhaltung technischer Vorgaben... 209 A.15.3 Überlegungen zu Revisionsprüfungen von Informationssystemen... 209 A.15.3.1 Maßnahmen für Revisionen von Informationssystemen... 209 A.15.3.2 Schutz von Revisionswerkzeugen für Informationssysteme... 210 248

Einige Fachbegriffe: deutsch / englisch Die wenigen hier aufgeführten Fachbegriffe dienen ausschließlich dem Vergleich zwischen der englischen und deutschen Fassung des ISO 27001. Akzeptanz des (Rest-)Risikos... risk acceptance Anwendungsbereich... scope Bedrohung... threat Dokumentenlenkung... control of documents Einhaltung von Vorgaben... compliance Erklärung zur Anwendbarkeit... statement of applicability Informationssicherheitsleitlinie... information security policy Integrität... integrity ISMS-Leitlinie... ISMS policy Managementbewertung... management review Maßnahme... control 76 Maßnahmenziele... control objectives Nicht-Abstreitbarkeit... non-repudiation Regelungsbereich... security control clause Restrisiko... residual risk Risikoabschätzung... risk estimation Risikoanalyse... risk analysis Risikobehandlung... risk treatment Risikobewertung... risk evaluation Risikoeinschätzung... risk assessment Risiko-Identifizierung... risk identification Schwachstelle... vulnerability Sensibilisierung(smaßnahmen)... awareness (programme) 76 Diese Übersetzung von control ist nicht gut gelungen: Besser wäre Regel oder Anforderung. 249

Einige Fachbegriffe: deutsch / englisch Sicherheitsvorfall... (security) incident Sicherheitskategorie... (main) security category Sicherstellung des... business continuity Geschäftsbetriebs... management Verfügbarkeit... availability Vertraulichkeit... confidentiality (Informations-)Werte... (information) assets Zuverlässigkeit... reliability Zuweisbarkeit... accountability 250

Verzeichnis der Abbildungen und Tabellen Abbildung 1: Der PDCA-Zyklus... 38 Abbildung 2: Struktur des Anhang A... 90 Tabelle 1: Übersicht über Zertifizierungsmodelle... 11 Tabelle 2: Normen mit Bezug zum Anhang A der ISO 27001... 14 Tabelle 3: Definition des Schutzbedarfs... 27 Tabelle 4: PDCA-Phasen... 38 Tabelle 5: Übersicht über die Regelungsbereiche und Sicherheitskategorien... 91 Tabelle 6: Gruppierung der Regelungsbereiche... 93 Tabelle 7: Maßnahmen der Sicherheitskategorie 11.5... 94 Tabelle 8: Bedrohungsliste... 116 Tabelle 9: Liste von Schwachstellen... 117 Tabelle 10: Bewertung von Risiken... 121 Tabelle 11: Übersicht Schutzbedarf... 124 Tabelle 12: Beispiel Schutzbedarfsanalyse (1)... 125 Tabelle 13: Beispiel Schutzbedarfsanalyse (2)... 126 Tabelle 14: Beispiel Schutzbedarfsanalyse (3)... 127 251

Verwendete Abkürzungen AktG BDSG BGB BNetzA BS BSI CAD CBT CC CD CERT COSO CMM CMMI CSP DATech DFÜ DIN DoS DVD EDI (E)DV EN ETSI EVU Aktiengesetz Bundesdatenschutzgesetz Bürgerliches Gesetzbuch Bundesnetzagentur (früher: RegTP) British Standard Bundesamt für Sicherheit in der Informationstechnik Computer Aided Design Computer Based Training Common Criteria Compact Disc Computer Emergency Response Team Committee of the Sponsoring Organizations of the Treadway Comission Capability Maturity Model Capability Maturity Model Integration Certification Service Provider Deutsche Akkreditierungsstelle Technik e.v. Datenfernübertragung Deutsches Institut für Normung e.v. Denial of Service Digital Versatile Disc Electronic Data Interchange (elektronische) Datenverarbeitung European Norm European Telecommunications Standards Institute Energieversorgungsunternehmen 253

Verwendete Abkürzungen FiBu GdPdU GoBS HGB IDS IEC IEEE IFRS IKS IP ISF ISMS ISO IT ITIL ITSEC ITSEM IV KMU KonTraG LAN MTBF Finanz-Buchhaltung Grundsätze der Prüfung digitaler Unterlagen Grundsätze ordnungsgemäßer DVgestützter Buchführungssysteme Handelsgesetzbuch Intrusion Detection System International Electrotechnical Commission Institute of Electrical and Electronics Engineers Inc. International Financial Reporting Standards Internes Kontrollsystem Internet Protocol Information Security Forum Information Security Management System International Organization for Standardization Informationstechnik, informationstechnisches Information Technology Information Library Information Technology Security Evaluation Criteria Information Technology Security Evaluation Manual Informationsverarbeitung, informationsverarbeitendes Kleine und mittelständische Unternehmen Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Local Area Network Mean Time between Failure 254

Verwendete Abkürzungen NDA PC PCI-DSS PCMCIA PDA PDCA PDF PIN PUK QM ROSI RZ SAK SigG SoA S-OX SQL SSL SüG TCSEC TDDSG TDG TGA TK(-) TKG UrhG USB USV Non Disclosure Agreement Personal Computer Payment Card Industry Data Security Standard Personal Computer Memory Card International Association (Standard für PC-Erweiterungskarten) Personal Digital Assistent Plan-Do-Check-Act Portable Document Format Personal Identification Number Personal Unblocking Key Qualitätsmanagement Return on Security Investment Rechenzentrum Signaturanwendungskomponente Signaturgesetz Statement of Applicability Sarbanes Oxley Act Structured Query Language Secure Sockets Layer Sicherheitsüberprüfungsgesetz Trusted Computer System Evaluation Criteria Teledienstedatenschutzgesetz Teledienstegesetz Trägergemeinschaft für Akkreditierung GmbH Telekommunikation(s-) Telekommunikationsgesetz Urheberrechtsgesetz Universal Serial Bus unterbrechungsfreie Stromversorgung 255

Verwendete Abkürzungen VDE VS VS-A WLAN ZDA Verband der Elektrotechnik, Elektronik und Informationstechnik Verschlusssache(n) Verschlusssachen-Anweisung Wireless LAN Zertifizierungsdiensteanbieter 256

Quellenhinweise Bei den folgenden Internet-Adressen sind ergänzende Informationen zu bekommen, verschiedentlich ist auch ein Download der Standards und Dokumente möglich: British Standard...www.bsi-global.com Common Criteria... www.commoncriteriaportal.com ISO...www.iso.org IT-Grundschutz... www.bsi.de ITSEC...www.t-systems-zert.com 77 ITU...www.itu.int Signaturgesetz... www.bundesnetzagentur.de 78 TCSEC... www.nist.gov 79 /BS 7799-1/ BS 7799-1:1999 Information security management Part l: Code of practice for information security management, www.bsi-global.com /BS 7799-2/ BS 7799-2:2002 Specification for Information Security Management, www.bsi-global.com /BSI100-1/ BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) /BSI100-2/ BSI-Standard 100-2: IT-Grundschutz- Vorgehensweise /BSI100-3/ BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz 77 Menü: Service-Bereich. 78 Menü: Elektronische Signatur/Rechtsvorschriften. 79 Direkter Link: http://csrc.nist.gov/publications/secpubs/rainbow/. 257

Quellenhinweise /CC/ /CEM/ /DIN ISO 27001/ /DIN 45011/ /DIN 45012/ /GSHB/ /ISO 13335/ /ISO 17025/ /ISO 19011/ /ISO 73/ ISO / IEC 15408: Common Criteria for Information Technology Security Evaluation, Version 3.1, 2006 Common Methodology for Information Technology Security Evaluation, Version 3.1, 2006 Informationstechnik IT- Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen (ISO / IEC 27001:2005), deutsche Fassung von /ISO 27001/ DIN EN 45011:1998 Allgemeine Anforderungen an Stellen, die Produktzertifizierungssysteme betreiben (entspricht ISO / IEC Guide 65:1996) DIN EN 45012:1998 Allgemeine Anforderungen an Stellen, die Qualitätsmanagementsysteme begutachten und zertifizieren (entspricht ISO / IEC Guide 62:1996) IT-Grundschutz(handbuch) ISO / IEC IS 13335: Information Technology Security techniques Management of information and communications technology security (Part 1 to 5) ISO / IEC 17025:2005 Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien ISO 19011:2002 Leitfaden für Audits von Qualitätsmanagement- und / oder Umweltmanagementsystemen ISO / IEC Guide 73:2002 Risk management Vocabulary Guidelines for use in standards 258

Quellenhinweise /ISO 17799/ ISO / IEC 17799:2005 Information technology Security techniques Code of practice for information security management /ISO 27001/ ISO / IEC 27001:2005 Information technology Security techniques Information security management systems Requirements /ISO 9000/ ISO 9001:2000, Qualitätsmanagementsystem Anforderungen /ISO 14000/ ISO 14001:2004, Umweltmanagementsystem Anforderungen /ITSEC/ Information Technology Security Evaluation Criteria, Version 1.2, 1991 /ITSEM/ Information Technology Security Evaluation Manual, Version 1.0, 1993 /ITU/ ITU-T Recommendation X.1051: Information security management system Requirements for telecommunications (ISMS-T), Fassung 07-2004 /PCI-DSS/ Payment Card Industry Data Security Standard (PCI DSS), Version 1.1, September 2006 /SigG/ Signaturgesetz vom 16. Mai 2001 (BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179) /SigV/ Signaturverordnung vom 16. November 2001 (BGBl. I S. 3074), geändert durch Artikel 2 des Gesetzes vom 4. Januar 2005 (BGBl. I S. 2)" /TCSEC/ Trusted Computer System Evaluation Criteria, DoD: 5200.28-STD, December 1985 259

Sachwortverzeichnis A Abnahme 158 Abstrahlschutz 151 Allgemeine Geschäftsbedingungen 52 Anforderungsanalyse 204 Angriffe 23 Angriffspotenzial 24 Anmeldeverfahren 94, 95, 184, 185 Anwendungsbereich VIII, 33, 39, 40, 41, 49, 50, 73, 76, 82, 97, 98, 115, 134, 147, 149, 208 Archivierung 118, 163, 206 Auditbericht 66, 84, 219, 225, 231, 232, 233, 234 Auditoren 74, 80, 84, 88, 150, 157, 178, 219, 220, 222, 223, 225, 227, 229, 231, 235, 236, 239 Auditplan 65, 225, 229 Aufbewahrungsfristen 206 Aufsichtsbehörden V, 218 Aufzeichnungen 9, 20, 26, 58, 62, 67, 68, 73, 74, 79, 82, 118, 157, 173, 174, 175, 178, 194, 200, 205, 206, 210 Ausgabedaten 191 Authentizität 22 Autorisierung 171, 181, 183 B Backup 59, 92, 104, 118, 126, 142, 151, 161, 177, 189, 204 Basel II V, 1, 4, 5, 11 Basis-Sicherheits-Check 34 BDSG 5 Bedrohungen 28, 29, 33, 42, 43, 45, 51, 86, 107, 115, 116, 122, 144, 149, 151, 161, 170, 171 Benutzeraktivitäten 173 Benutzeridentifikation 94, 184 Benutzerregistrierung 177 Beschaffungsrecht 6 Beschwerdeverfahren 226 Betriebsmittel 92, 150, 151, 152, 153 Betriebsprozesse 154 Betriebssysteme 12, 92, 164, 179, 183, 185, 195, 238 Beweise 174, 200 Blitzschutz 109, 120, 123 BS 7799-1 VII BS 7799-2 VII BSI-Standard 27, 30, 128 Bundesdatenschutzgesetz 5 Business Continuity Management 91, 93, 200 261

Sachwortverzeichnis C CERT 136, 197 Change Management 195 Clear Desk Policy 180 Client-Server 169 CMM 16 Cobit 7 Common Criteria 12, 15, 58, 238, 239 Compliance 93, 204 Copyright 205 Corporate Governance 1 COSO 3 D DATech 223, 239 Datenschutz V, VII, 63, 206 Defizite 42, 84, 218, 219, 225, 227, 231, 232, 234 Dienstleister 4, 52, 63, 157, 158, 162, 181 Dienstleistung 20 Dienstleistungsvereinbarungen 162 Disziplinarverfahren 145 Dokumentenlenkung 73, 75, 77, 84 E E-Commerce 169, 170, 171 Eigentümer 41, 42, 101, 111, 112, 113, 139 Einführungsphase 48, 66 Eingabedaten 190, 191 Einstufung 113, 124, 139, 140, 175 Einzelmaßnahme (Begriff) 29 elektronische Signatur 167, 170 Elementarereignisse 23, 24, 42, 43, 200 Email 141, 166, 168, 228, 229 Erfolgskontrolle 71, 80, 197 Erklärung zur Anwendbarkeit 33, 34, 48, 49, 54, 55, 75, 123 Eskalation 10, 61, 198 Eskalationswege 61 externe Audits 65, 173, 224, 228, 231 F Fahrlässige Handlungen 23 Fehlbedienung 23 Fehlerprotokolle 175 Fehlerzustände 173 Fernwartung 181 Freigabe 75, 76, 134, 155, 160, 195, 213, 215, 216 G GDPdU 2, 3 Gefährdungen 26 Gefährdungskatalog VIII, 26, 34 Geschäftdaten 196 Geschäftsprozesse 50, 101, 201 262

Sachwortverzeichnis Geschäftsrisiken 36, 45, 214 Geschäftstätigkeit 20 Gesetzesverstöße 23, 26, 204 GoBS 2, 3 Grundschutz-Audit 235 Grundschutz-Bausteine 29 Grundwerte 22 H Hacker 23, 24, 165, 185, 238 Hashwerte 191, 193 I Incident Management-Plan 60, 61, 67, 202, 203 Information 20 Informationssicherheitsleitlinie 31, 32, 33, 40, 41, 50, 91, 132, 133, 143 Informationswerte 20, 31, 105, 111 Innentäter 23, 100 Integrität 21 internes Audit 65, 68, 83, 218, 222 Inventarverzeichnis 105, 106, 107, 153 ISMS 35 ISMS-Dokumentation 73, 76 ISMS-Leitlinie 25, 31, 32, 40, 41, 44, 48, 50, 55, 59, 63, 72, 73, 75, 76, 80, 82, 85, 87, 99, 132, 133, 142, 158, 229 ISO 14000 9, 72, 75 ISO 17799 VII, 15, 34, 47, 79, 89, 95, 138 ISO 9000 7, 8, 9, 10, 72, 75 Isolation 187 IT-Anwendungen 21 IT-Grundschutz VII, VIII, 7, 10, 19, 21, 22, 26, 27, 29, 30, 31, 32, 34, 110, 124, 128, 217, 218, 235, 236, 237, 239, 257 IT-Grundschutzhandbuch VII ITIL 9, 10, 13 IT-Verbund 21, 29, 30, 235, 238 K Kapazitätsplanung 158, 159, 173 Kennzahlen 173, 214, 215 Kommunikationsverbindungen 110, 111, 113, 118, 124, 127, 149 Konformität VI, VIII, 3, 19, 35, 79, 89, 217, 218, 219, 235, 237, 238 KonTraG 1, 218 Kontrollpflicht 208 Kontrollsystem 2, 3, 98, 103 Korrekturmaßnahmen 86, 88, 89, 233, 234 Kreditwesengesetz 4 Kreditwürdigkeit V Kryptogeräte 192 Kryptografie 14, 191, 192, 193, 207 Kryptokonzept 192 263

Sachwortverzeichnis Kryptotechnik 192 Kumulationseffekt 126 L Laufzettel 68, 146 M Managementbewertung 55, 62, 63, 66, 67, 68, 69, 71, 80, 84, 85, 86, 87, 99, 208 Management-Forum 80, 99, 133 Managementsystem 37 Maßnahme (Begriff) 29 Maßnahmenkatalog 34, 47, 211 Maßnahmenziele 28, 33, 46, 48, 49, 53, 54, 56, 57, 72, 83, 85, 89, 94, 136 Maximumprinzip 112, 125, 126 Mean Time between Failure 24 Medien 70, 72, 77, 78, 116, 118, 153, 161, 163, 164, 165, 167, 168, 175, 180, 206 Missbrauch 207 Mobile Computing 92, 187, 188 Modellierung 11, 29, 34, 128, 211 N Nachrichten 168, 191 Need-To-Know 176 Netzsicherheit 92, 161, 162 Nicht-Abstreitbarkeit 22 Notfallhandbuch 61, 202 Notfallplan 61, 108 O Off-Site Tests 237 On-Site Tests 237 Ordnungsmäßigkeit 21, 154 Organisation 19 Ortsbegehung 232 P Passwörter 94, 95, 178, 179, 184, 185 PCI-DSS 13 PDCA 38, 39, 52, 54, 62, 68, 71, 80, 173, 213, 218 Penetrationstests 12, 162, 210, 237, 238 Perimeterschutz 148 Personal 20 Physische Werte 20 Planungsphase 39, 49, 54, 64, 101, 213 Priorisierung 56 Prozess 37 Q Qualitätsmanagement V Quellcode 194, 196 264

Sachwortverzeichnis R Realisierungsplanung 34 Redundanzmaßnahmen 128 Regelungsbereich 91, 93 Ressourcenmanagement 60, 81 Restrisiko 28, 30, 31, 33, 45, 47, 48, 53, 82 Revision 209, 222 Revisionsstand 77, 78 Revisionstools 211 Risiko 22, 25, 27, 44, 47 Verlagerung 30, 52 Risikoabschätzung 25, 35, 43, 44, 52, 73 Risiko-Akzeptanz 30 Risikoanalyse VII, VIII, 25, 26, 27, 32, 33, 34, 35, 44, 102, 107, 124, 128, 129, 137, 138, 202, 257 Risikobehandlung 30, 32, 33, 45, 46, 52, 55, 99, 197 Risikobehandlungsplan 30, 54, 55, 56, 73, 74 Risikobewertung 26, 27, 32, 33, 35, 44, 45, 50, 52, 65, 73, 82, 121, 137, 138 Risikoeinschätzung 26, 32, 33, 35, 36, 41, 45, 50, 51, 52, 53, 55, 56, 64, 73, 87, 89, 99, 101, 115, 123, 124, 131, 158, 161, 202 Risiko-Identifizierung 25, 35, 44, 51 Risikoindex 24 Risikoklasse 24, 41, 44, 46, 47, 73, 74, 87 Rollen 55, 59, 100, 112, 134, 147, 154, 176, 177, 179, 229 Routingkontrolle 183 S Sarbanes-Oxley 1, 2, 3, 99, 103 Schadenauswirkung 27 Schadenkategorien 26 Schadsoftware 92, 159, 160 Schlüssel 146, 147, 185, 192, 193, 206, 208, 230 Schlüsselerzeugung 192 Schlüsselverteilung 192 Schlüsselwechsel 192 Schulung 58, 59, 144, 145 Schutzbedarf VII, 27, 29, 30, 34, 110, 111, 123, 124, 125, 126, 127, 128, 134, 135 Schutzbedarfsanalyse 11, 34, 113, 123, 124, 125, 126, 127, 128 Schwachstellen 23, 24, 28, 33, 34, 42, 43, 45, 51, 70, 86, 93, 102, 107, 115, 117, 119, 136, 197, 198, 199, 209, 218, 238 Sensibilisierung 58, 82, 83, 144, 145, 180 Server-Zertifikate 182 Sessions 186 Sicherheitsbereiche 92, 147, 148, 150, 151 Sicherheitskategorie 91, 131 Sicherheitskonzept 31, 33, 34, 153 Sicherheitsnachweise 235 265

Sachwortverzeichnis Sicherheitspläne 67 Sicherheitspolitik 31 Sicherheitsvorfälle 16, 51, 59, 60, 61, 62, 69, 70, 86, 88, 91, 93, 142, 173, 185, 198, 199 Sicherheitsziele 21, 32, 43, 192 Sicherheitszonen 147, 148, 149, 175 Simulationen 201, 213, 214, 215 Software 20, 153, 159, 193, 194, 205 Softwareentwicklung 197 Software-Lizenzen 165 Sollzustand 234 Solvency II V, 4, 5, 11 S-Ox 2, 4, 11 Speichermedien 153, 163, 164 Standards 14 Stärke von Sicherheitsmaßnahmen 24 Strukturanalyse 34, 110 Subjekte 21 Systemdokumentation 165 Systemplanung 158 System-Tools 185 T Tayloring VI Telearbeit 92, 187, 188, 189 TGA 223, 239 Transaktionen 171, 206 Trojaner 159 Trusted Site 12 U Überprüfungsphase 62 Umsetzungsphase 54 Umweltschutz-Management V V Validierung 190, 191, 213, 214 Verantwortlichkeiten 37, 40, 54, 55, 56, 79, 92, 98, 99, 100, 111, 112, 133, 134, 142, 143, 146, 154, 155, 199, 201, 203 Verbindungszeit 94, 186 verdeckter Kanal 196 Verfügbarkeit 21 Verkabelung 109, 110, 152 Verschlüsselung 14, 135, 161, 167, 168, 169, 170 Versicherungen 46 Versiegelung 182 Verteilungseffekt 126 Vertraulichkeit 21, 22, 140 Vier-Augen-Prinzip 100, 156, 186 Viren 159, 193 Vorbeugemaßnahmen 61, 86, 87, 89, 229, 231 W Webtrust 13 Werte 20 Wiederanlauf 61, 67 Wiederaufbereitung 163, 164 266

Sachwortverzeichnis Wiedereinspielen 171 Wiederholungsaudit 228 Wirksamkeit 57, 59, 63, 74, 86 Z Zeitsynchronisation 175 Zertifikate 167 Zertifizierung 219, 220, 237 Grundschutz 7 ISMS VII Produkte 25 Zertifizierungsreport 25, 238 Zertifizierungsstelle 8, 12, 219, 220, 221, 225, 226, 227, 238, 239 Zugangskontrolle 90, 92, 175, 176, 179, 180, 183, 187, 194 Zugriffskontrolle 90, 92, 173, 174, 176, 183 Zutrittskontrolle 117, 148 Zutrittskontrollsystem 146 Zuverlässigkeit 22 Zuweisbarkeit 22 267