IT-Sicherheit mit System

1 Ausgangssituation und Zielsetzung.- 1.1 Ausgangssituation.- 1.1.1 Bedrohungen.- 1.1.2 Schwachstellen.- 1.1.3 Schutzbedarf.- 1.2 Zielsetzung.- 1.3 Lösung.- 1.4 Zusammenfassung.- 2 Kurzfassung und Überblick für Eilige.- 3 Definitionen zum Sicherheitsmanagement.- 3.1 Sicherheitsmanagement.- 3.2 IuK-Sicherheitsmanagement.- 3.3 Sicherheit im Lebenszyklus.- 3.4 Sicherheitspyramide.- 3.5 Sicherheitspolitik.- 3.5.1 ... nach IT-Grundschutzhandbuch.- 3.5.2 ... nach ITSEC.- 3.5.3 ... nach ISO/IEC TR 13335-1, Part 1.- 3.5.4 ... nach ISO 15408 (Common Criteria).- 3.5.5 ... nach ISO/IEC 17799:2000.- 3.5.6 ... nach Dr.-Ing. Müller.- 3.5.7 Vergleich.- 3.6 Sicherheitsziele.- 3.7 Sicherheitstransformation.- 3.8 Sicherheitsarchitektur.- 3.9 Sicherheitsrichtlinien - Generische Sicherheitskonzepte.- 3.10 Spezifische Sicherheitskonzepte.- 3.11 Sicherheitsmaßnahmen.- 3.12 ProTOPSi.- 3.13 Lebenszyklus.- 3.14 Sicherheitskriterien.- 3.15 Sicherheit.- 3.16 Risiko.- 3.17 Risikomanagement.- 3.18 Zusammenfassung.- 4 Die Sicherheitspyramide - Strategie und Vorgehensmodell.- 4.1 Überblick.- 4.2 Sicherheitshierarchie.- 4.2.1 Sicherheitspolitik.- 4.2.2 Sicherheitsziele.- 4.2.3 Sicherheitstransformation.- 4.2.4 Sicherheitsarchitektur.- 4.2.5 Sicherheitsrichtlinien.- 4.2.6 Spezifische Sicherheitskonzepte.- 4.2.7 Sicherheitsmaßnahmen.- 4.3 ProTOPSi.- 4.4 Prozess- und Systemlebenszyklus.- 4.4.1 Geschäfts- und Supportprozess-Lebenszyklus.- 4.4.2 Systemlebenszyklus.- 4.5 Sicherheitsregelkreis.- 4.6 Zusammenfassung.- 5 Sicherheitspolitik.- 5.1 Zielsetzung.- 5.2 Umsetzung.- 5.3 Inhalte.- 5.4 Checkliste.- 5.5 Praxisbeispiele.- 5.5.1 Sicherheitspolitischer Leitsatz Versicherung.- 5.5.2 Sicherheitspolitik.- 5.6 Zusammenfassung.- 6 Sicherheitsziele.- 6.1 Schutzbedarfsanalyse.- 6.2 Schutzbedarfsklassen.- 6.3 Tabelle Schadensszenarien.- 6.4 Praxisbeispiele.- 6.4.1 Schutzbedarf der Geschäftsprozesse.- 6.4.2 IuK-Schutzbedarfsanalyse.- 6.4.3 Schutzbedarfsklassen.- 6.5 Zusammenfassung.- 7 Sicherheitstransformation.- 7.1 Haus der Sicherheit "House of Safety and Security" (HoSS).- 7.2 "Safety and Security Function Deployment" (SSFD).- 7.2.1 Transformation der Anforderungen auf Sicherheitscharakteristika.- 7.2.2 Detaillierung der Sicherheitscharakteristika.- 7.2.3 Abbildung der Charakteristika auf den Lebenszyklus.- 7.3 Schutzbedarfsklassen.- 7.4 Praxisbeispiel.- 7.5 Zusammenfassung.- 8 Sicherheitsarchitektur.- 8.1 Überblick.- 8.2 Prinzipielle Sicherheitsanforderungen.- 8.3 Prinzipielle Bedrohungen.- 8.4 Sicherheitsprinzipien und -strategien.- 8.4.1 Prinzip der Wirtschaftlichkeit.- 8.4.2 Risikostrategie.- 8.4.3 Sicherheitsstrategie.- 8.4.4 Prinzip der Abstraktion.- 8.4.5 Prinzip der Klassenbildung.- 8.4.6 Poka-Yoke-Prinzip.- 8.4.7 Prinzip der Namenskonventionen.- 8.4.8 Prinzip der Redundanz.- 8.4.9 Prinzip des "aufgeräumten" Arbeitsplatzes.- 8.4.10 Vier-Augen-Prinzip.- 8.4.11 Prinzip der Funktionstrennung.- 8.4.12 Prinzip der Sicherheitsschalen.- 8.4.13 Prinzip der Pfadanalyse.- 8.4.14 Prinzip der minimalen Rechte.- 8.4.15 Prinzip der minimalen Dienste.- 8.4.16 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit.- 8.4.17 Prinzip des Closed-Shop-Betriebs und der Sicherheitszonen.- 8.4.18 Prinzip der Prozess- und Lebenszyklusimmanenz.- 8.4.19 Prinzip der Konsolidierung.- 8.4.20 Prinzip der Standardisierung.- 8.5 Sicherheitselemente.- 8.5.1 Betriebs- (Safety) und Angriffssicherheit (security).- 8.5.2 Managementdisziplinen (Prozesse) im Überblick.- 8.5.3 Leistungsmanagement.- 8.5.4 Finanzmanagement.- 8.5.5 Projektmanagement.- 8.5.6 Qualitätsmanagement.- 8.5.7 Problemmanagement.- 8.5.8 Änderungsmanagement.- 8.5.9 Konfigurationsmanagement.- 8.5.10 Releasemanagement.- 8.5.11 Lizenzmanagement.- 8.5.12 Datenschutzmanagement.- 8.5.13 Kapazitätsmanagement.- 8.5.14 Kontinuitätsmanagement.- 8.5.15 Securitymanagement.- 8.5.16 Personalmanagement.- 8.5.17 Technologie im Überblick.- 8.5.18 Organisation im Überblick.- 8.5.19 Personal im Überblick.- 8.5.20 Lebenszyklus.- 8.6 Hilfsmittel Sicherheitsarchitekturmatrix.- 8.7 Zusammenfassung.- 9 Sicherheitsrichtlinien /-standards- Generische Sicherheitskonzepte.- 9.1 Übergreifende Richtlinien.- 9.1.1 Sicherheitsregeln.- 9.1.2 Prozessvorlagen.- 9.1.3 Benutzerordnung.- 9.1.4 E-Mail-Nutzung.- 9.2 Managementdisziplinen.- 9.2.1 Kapazitätsmanagement.- 9.2.2 Kontinuitätsmanagement.- 9.2.3 Securitymanagement.- 9.3 Organisation.- 9.4 Zusammenfassung.- 10 Spezifische Sicherheitskonzepte.- 10.1 Kontinuitätsmanagement.- 10.1.1 Datensicherung.- 10.2 Securitymanagement.- 10.2.1 Systemspezifische Passworteinstellungen.- 10.3 Zusammenfassung.- 11 Sicherheitsmaßnahmen.- 11.1 Securitymanagement.- 11.1.1 Protokoll Passworteinstellungen.- 11.2 Zusammenfassung.- 12 Systemlebenszyklus.- 12.1 Beantragung.- 12.2 Planung.- 12.3 Fachkonzept, Anforderungsspezifikation.- 12.4 Technisches Grobkonzept.- 12.5 Technisches Feinkonzept.- 12.6 Entwicklung.- 12.7 Integrations- und Systemtest.- 12.8 Freigabe.- 12.9 Software-Evaluation.- 12.10 Auslieferung.- 12.11 Abnahmetest und Abnahme.- 12.12 Software-Verteilung.- 12.13 Inbetriebnahme.- 12.14 Betrieb.- 12.15 Außerbetriebnahme.- 12.16 Hilfsmittel.- 12.17 Zusammenfassung.- 13 Sicherheitsregelkreis.- 13.1 Sicherheitsprüfungen.- 13.1.1 Sicherheitsstudie/Risikoanalyse.- 13.1.2 Penetrationstests.- 13.1.3 Security-Scans.- 13.2 Sicherheitscontrolling.- 13.3 Berichtswesen (Safety-/Security-Reporting).- 13.3.1 Anforderungen.- 13.3.2 Inhalte.- 13.4 Safety-/Security-Benchmarks.- 13.5 Hilfsmittel.- 13.6 Zusammenfassung.- 14 Reifegradmodell des Sicherheitsmanagements - Safety/Security Management Maturity Model.- 14.1 Maturity-Modell.- 14.2 Reifegradmodell nach Dr.-Ing. Müller.- 14.2.1 Stufe 0: unbekannt.- 14.2.2 Stufe 1: begonnen.- 14.2.3 Stufe 2: konzipiert.- 14.2.4 Stufe 3: standardisiert.- 14.2.5 Stufe 4: integriert.- 14.2.6 Stufe 5: gesteuert.- 14.2.7 Stufe 6: selbst lernend.- 14.3 Checkliste.- 14.4 Praxisbeispiel.- 14.5 Zusammenfassung.- 15 Glossar.- Verzeichnis über Gesetze, Vorschriften, Standards, Normen.- Gesetze, Verordnungen.- Ausführungsbestimmungen, Grundsätze, Vorschriften.- Standards und Normen.- Literatur- und Quellenverzeichnis.- Abbildungsverzeichnis.- Stichwortverzeichnis.- Markenverzeichnis.- Über den Autor.