IT-Risikomanagement Richtlinien, Dokumentation, Massnahmen
Die IT-Compliance gibt vor, welche Tätigkeiten innerhalb der IT-Abteilung aufgrund gesetzlicher, normativer oder internen Vorschriften und Vorgaben durchzuführen sind. Das können z.B. Vorgaben zur Vorratsdatenspeicherung sein oder Vorschriften über die sichere, elektronische Ablage von Buchungsbeleg...
| Other Authors: | |
|---|---|
| Format: | eBook |
| Language: | Alemán |
| Published: |
[Place of publication not identified] :
mitp
[2018]
|
| Edition: | 2. Auflage |
| Series: | mitp Professional
|
| Subjects: | |
| See on Biblioteca Universitat Ramon Llull: | https://discovery.url.edu/permalink/34CSUC_URL/1im36ta/alma991009630365606719 |
Table of Contents:
- Cover
- Titel
- Impressum
- Inhaltsverzeichnis
- Einleitung
- Kapitel 1: Umfang und Aufgabe des IT-Security-Managements
- 1.1 Kapitelzusammenfassung
- 1.2 Einführung
- 1.3 Informationen und Daten
- 1.4 IT-Security-Management ist wichtig
- 1.5 Wie gefährdet sind die Unternehmensdaten
- 1.5.1 Sicht des Verfassungsschutzes
- 1.5.2 Öffentliche Wahrnehmung
- 1.5.3 Die eigene Wahrnehmung
- 1.6 Begrifflichkeiten
- 1.7 Selbstverständnis der IT-Security-Organisation
- 1.8 Grundregeln
- 1.9 Umfang des IT-Security-Managements
- 1.9.1 Pfeiler der IT-Security
- 1.9.2 Aufgaben des IT-Security-Managements
- 1.10 IT-Security zwischen Nutzen und Kosten
- Kapitel 2: Organisation der IT-Security
- 2.1 Kapitelzusammenfassung
- 2.2 Einführung
- 2.3 Rollen innerhalb des IT-Security-Managements
- 2.3.1 Manager IT-Security
- 2.3.2 Unternehmensleitung
- 2.3.3 Weitere Rollen
- 2.4 Verankerung im Unternehmen
- 2.4.1 IT-Security im Organigramm
- 2.4.2 IT-Security und der Datenschutz
- 2.4.3 Zusammenspiel mit anderen Sicherheitsbereichen
- Kapitel 3: IT-Compliance
- 3.1 Kapitelzusammenfassung
- 3.2 Einführung
- 3.3 Standards
- 3.3.1 ISO-2700x-Reihe
- 3.3.2 Standards des Bundesamts für Sicherheit in der Informationstechnik
- 3.3.3 Gegenüberstellung ISO 2700x und BSI-Grundschutz
- 3.3.4 ITIL
- 3.3.5 Weitere Standards
- 3.4 Gesetze
- 3.4.1 EU-Datenschutz-Grundverordnung
- 3.4.2 Weitere Gesetze
- Kapitel 4: Organisation von Richtlinien
- 4.1 Kapitelzusammenfassung
- 4.2 Einführung
- 4.3 Strukturierung von Richtlinien
- 4.4 Beschreibung und Kategorisierung
- 4.5 Pflege und Lenkung von Richtlinien
- 4.6 Richtlinien und Audits
- 4.7 Verschiedene Richtlinien
- 4.7.1 Sicherheitsrichtlinie
- 4.7.2 Klassifizierungsrichtlinie
- 4.7.3 ISMS-Handbuch
- 4.7.4 Richtlinie zum IT-Risikomanagement
- 4.7.5 IT-Sicherheitsrichtlinie.
- 4.7.6 IT-Systemrichtlinien
- 4.8 Von der Theorie in die Praxis
- Kapitel 5: Betrieb der IT-Security
- 5.1 Kapitelzusammenfassung
- 5.2 Einführung
- 5.3 IT-Security und der IT-Betrieb
- 5.4 Betriebliche Grundsätze
- 5.4.1 Ableitung aus gesetzlichen Vorschriften
- 5.4.2 Vertragswesen
- 5.4.3 Administrative Tätigkeiten
- 5.4.4 Trennung von Funktionen
- 5.4.5 Prinzip der geringsten Rechte
- 5.5 IT-Security-Prozesse
- 5.5.1 Zugangs- und Zugriffskontrolle
- 5.5.2 Sicherheit von Software
- 5.5.3 Sichere Softwareentwicklung
- 5.5.4 Identitätsmanagement
- 5.5.5 Genehmigungsprozesse
- 5.5.6 Standardisierung
- 5.5.7 Unterstützung des IT-Betriebs
- Kapitel 6: IT Business Continuity Management
- 6.1 Kapitelzusammenfassung
- 6.2 Einführung
- 6.3 Abgrenzung der Begriffe
- 6.4 IT-Notfallmanagement und Verfügbarkeitsmanagement
- 6.5 Gesetzliche Rahmenbedingungen des IT Business Continuity Managements
- 6.6 Business-Impact-Analyse
- 6.6.1 Erfassung und Priorisierung der Geschäftsprozesse
- 6.6.2 Business-Impact-Analyse in der Praxis
- 6.7 Weitere Einflussfaktoren
- Kapitel 7: IT-Notfallmanagement
- 7.1 Kapitelzusammenfassung
- 7.2 Einführung
- 7.3 IT-Notfallmanagement
- 7.4 Richtlinie zum IT-Notfallmanagement
- 7.5 Ableitung von Notfallstrategien
- 7.6 IT-Notfallkonzepte erstellen
- 7.6.1 Schweregrade
- 7.6.2 Notfallvorsorge
- 7.7 Notfallorganisation
- 7.7.1 Organisationsstruktur
- 7.7.2 Kompetenzen und Zuständigkeiten
- 7.7.3 Notfallhandbuch
- 7.8 Notfallbewältigung
- 7.9 Notfallübungen
- 7.10 Überprüfung des IT-Notfallmanagements
- 7.11 Monitoring im Rahmen des IT Business Continuity Managements
- 7.12 Checklisten IT-Notfallmanagement
- 7.12.1 Checkliste Business-Impact-Analyse
- 7.12.2 Checkliste Notfallorganisation
- 7.12.3 Checkliste Notfallpläne und Wiederanlaufpläne
- 7.12.4 Checkliste Rechenzentrum.
- Kapitel 8: Verfügbarkeitsmanagement
- 8.1 Kapitelzusammenfassung
- 8.2 Einführung
- 8.3 Richtlinie zum Verfügbarkeitsmanagement
- 8.4 Verfügbarkeit
- 8.4.1 Klassifizierung von Verfügbarkeit
- 8.4.2 Vorgehensweise
- 8.4.3 Berechnung der Verfügbarkeit
- 8.5 Ausfallsicherheit
- 8.6 Ausprägungen von Redundanz
- 8.6.1 Strukturelle Redundanz
- 8.6.2 Funktionelle Redundanz oder unterstützende Redundanz
- 8.6.3 Informationsredundanz
- 8.7 Redundante Hard- und Software
- 8.8 Virtualisierung
- 8.9 Bauliche Maßnahmen zur Steigerung der Verfügbarkeit
- Kapitel 9: Technische IT-Security
- 9.1 Kapitelzusammenfassung
- 9.2 Einführung
- 9.3 Technisch-Organisatorische Maßnahmen
- 9.3.1 Zugangskontrolle
- 9.3.2 Zugriffskontrolle
- 9.3.3 Übertragungskontrolle und Transportkontrolle
- 9.3.4 Eingabekontrolle
- 9.3.5 Verfügbarkeitskontrolle, Wiederherstellbarkeit und Zuverlässigkeit
- 9.3.6 Datenintegrität
- 9.4 Verschlüsselung
- 9.4.1 Begriffsbestimmungen
- 9.4.2 Symmetrische Verschlüsselungssysteme
- 9.4.3 Asymmetrische Verschlüsselungsverfahren
- 9.5 Cloud Computing
- 9.5.1 Dienstleistungen in der Cloud
- 9.5.2 Risikofaktoren
- 9.5.3 Datenschutzrechtliche Aspekte
- 9.5.4 Vertragliche Vereinbarungen
- 9.5.5 Sinnvolle Freigabeprozesse
- 9.6 Betrieb von Firewalls
- 9.6.1 Paketfilter und Application-Gateways
- 9.6.2 Firewall-Regelwerk
- 9.6.3 Internet-Proxyserver
- 9.7 Internetzugang und Nutzung von E-Mail
- 9.7.1 Risikofaktor E-Mail
- 9.7.2 Verschlüsselung von E-Mails
- 9.7.3 Risikofaktor Internetbrowser
- 9.8 Penetrationstests
- 9.9 Digitale Signatur
- 9.10 Intrusion-Detection-Systeme
- 9.11 Wireless LAN
- Kapitel 10: IT-Risikomanagement
- 10.1 Kapitelzusammenfassung
- 10.2 Einführung
- 10.3 IT-Risikomanagement im Unternehmenskontext
- 10.4 Akzeptanz des IT-Risikomanagements
- 10.5 Operatives IT-Risikomanagement.
- 10.5.1 Vorgehensweise
- 10.5.2 IT-Risikomanagementprozess
- 10.5.3 Übergeordnete Risikobetrachtung
- 10.5.4 Schwachstellen
- 10.5.5 Bedrohungen
- 10.5.6 Zusammenspiel von Bedrohungen, Schwachstellen und Maßnahmen
- 10.5.7 Verhältnismäßigkeit
- 10.6 Schutzbedarfsfeststellung
- 10.6.1 Schutzziele
- 10.6.2 Schutzstufen
- 10.6.3 Prinzipien
- 10.6.4 Feststellung des Schutzbedarfs
- 10.6.5 Veränderung des Schutzbedarfs
- 10.6.6 Widersprüchliche Schutzziele
- 10.6.7 Schadensklassen
- 10.6.8 Abbildung des Datenflusses
- 10.6.9 Entscheidungsfindung auf Basis des Schutzbedarfs
- 10.7 IT-Risikomanagement Prozess
- 10.7.1 Risiken identifizieren
- 10.7.2 Risikoermittlung
- 10.7.3 Risikobewertung
- 10.8 Quantitative Darstellung von Risiken
- 10.8.1 Grundlagen der Risikoberechnung
- 10.8.2 Risikoberechnung im Beispiel
- 10.8.3 Risikomatrix
- 10.8.4 Risikokatalog
- 10.9 Risikobehandlung
- 10.9.1 Risiko akzeptieren
- 10.9.2 Risiko reduzieren
- 10.9.3 Risiko vermeiden
- 10.9.4 Risiko auf Dritte verlagern
- 10.10 Maßnahmen definieren
- 10.10.1 Maßnahmentypen
- 10.10.2 Individuelle Maßnahmenkataloge
- Kapitel 11: Sicherheitsmonitoring
- 11.1 Kapitelzusammenfassung
- 11.2 Einführung
- 11.3 Ebenen des Monitorings
- 11.4 System-Monitoring
- 11.4.1 Sicherheitsaspekte
- 11.4.2 Auswahl zu überwachender Systeme
- 11.4.3 Implementierung im Netzwerk
- 11.5 Protokoll-Monitoring
- 11.5.1 Unterstützung von Audits
- 11.5.2 Überwachung administrativer Tätigkeiten
- Kapitel 12: IT-Security-Audit
- 12.1 Kapitelzusammenfassung
- 12.2 Einführung
- 12.3 Audits im Kontext des IT-Security-Managements
- 12.4 Audits im Unternehmenskontext
- 12.5 Audits nach Kategorien
- 12.6 Vor-Ort kontra Selbstauskunft
- 12.7 Anforderungen an den Auditor
- 12.8 Ein Audit Schritt für Schritt
- 12.8.1 Vorbereitung
- 12.8.2 Durchführung.
- 12.8.3 Nachbereitung
- 12.8.4 Abschlussbericht
- Kapitel 13: Management von Sicherheitsereignissen und IT-Forensik
- 13.1 Kapitelzusammenfassung
- 13.2 Einführung
- 13.3 Angriffe auf Ihre Daten
- 13.3.1 Durch eigene Mitarbeiter
- 13.3.2 Durch Außenstehende
- 13.3.3 Angriffe und Angriffsvektoren
- 13.3.4 Angriffsarten
- 13.4 Management von Sicherheitsereignissen
- 13.5 IT-Forensik
- 13.5.1 Arten der IT-Forensik-Analyse
- 13.5.2 Einrichtung von Honeypots
- 13.6 Elemente der forensischen Untersuchung
- 13.6.1 Zielsetzung
- 13.6.2 Anforderungen an die Analyse
- 13.6.3 Forensische Methoden
- 13.6.4 Forensische Untersuchung
- Kapitel 14: Kennzahlen
- 14.1 Kapitelzusammenfassung
- 14.2 Einführung
- 14.3 Die Aufgabe von Kennzahlen
- 14.4 Quantifizierbare Kennzahlen
- 14.5 Steuerung mithilfe von Kennzahlen
- 14.6 Qualität von Kennzahlen
- 14.6.1 Gute Kennzahlen
- 14.6.2 Schlechte Kennzahlen
- 14.6.3 Vergleichbarkeit von Kennzahlen
- 14.7 Verschiedene Kennzahlen aus der IT-Security
- 14.8 Kennzahlen im laufenden Verbesserungsprozess
- 14.9 Laufende Auswertung von Kennzahlen
- 14.10 Annualized Loss Expectancy
- 14.11 IT-Security Balanced Scorecard
- 14.11.1 Einführung der IT-Security Balanced Scorecard
- 14.11.2 Maßnahmenziele für den Bereich IT-Security
- Kapitel 15: Praxis: Aufbau eines ISMS
- 15.1 Kapitelzusammenfassung
- 15.2 Einführung
- 15.3 ISMS in Kürze
- 15.4 Herangehensweise
- 15.5 Schritt für Schritt zum ISMS
- 15.5.1 Plan-Do-Check-Act
- 15.5.2 Vorarbeiten
- 15.5.3 Plan: Gestaltung des ISMS
- 15.5.4 Do: Umsetzung der Arbeitspakete
- 15.5.5 Check: Überprüfung des ISMS
- 15.5.6 Act: Umsetzung von erkannten Defiziten
- 15.5.7 Dokumentation
- 15.6 Softwaregestützter Aufbau eines ISMS
- 15.6.1 Auswahl einer ISMS-Lösung
- 15.6.2 Darstellung der Risiken und der Unternehmenswerte.
- 15.6.3 Darstellung von Prozessen.
