Der IT Security Manager (eBook)

Der IT Security Manager (eBook)

Profitieren Sie von den Erfahrungen der Autoren. Mit diesem Buch erhalten Sie das aktuelle und zuverlässige Praxiswissen zum IT-Sicherheitsmanagement. Aufbau und Inhalt des Werks haben sich bereits in der Ausbildung von IT-Sicherheitsbeauftragten bewährt. Ausgehend von grundsätzlichen Überlegungen zum Sicherheitsprozess im Unternehmen werden "heiße Themen" wie ISO 27001 und IT-Grundschutz genauso klar und verständlich behandelt wie Theorie und Praxis von Security Policies und Sicherheitskonzepten, Schwachstellen-Analyse und -Behebung.

Angereichert mit vielen praktischen Beispielen erfahren Sie alles, was Sie über Sicherheitsmaßnahmen wissen müssen: Für die Bereiche Organisation, Personal, Infrastruktur und Technik bis hin zur Durchführung von Awareness-Kampagnen in Ihrem Unternehmen. Die zweite Auflage wurde aktualisiert und um neue technische Themen wie Internet Security, Mobile Security, Next Generation Network Security und RFID erweitert.

---

Ein hochkarätig besetztes Autorenteam:

Dr. Heinrich Kersten - Zertifizierungsstelle der T-Systems.

Dr. Gerhard Klett - Security Solutions und Services bei der BASF.

---

---

Inhaltsangabe

Vorwort ... 6
Inhaltsverzeichnis ... 9
Zur Motivation ... 13
Sicherheitsmanagement — Konzeptionelles ... 17
2.1 Sicherheit als Management-Prozess ... 17
2.2 Das PDCA-Modell ... 18
2.3 Unverzichtbar: Sensibilisierung, Schulung, Training ... 27
2.4 Management der Dokumentation ... 31
Grundstrukturen der IT-Sicherheit ... 35
3.1 Organisation und Personal ... 36
3.2 Information und Daten ... 41
3.3 Datenträger und Datenverarbeitung ... 43
3.4 IT-Systeme und Einsatzumgebung ... 44
3.5 Infrastruktur ... 46
3.6 Software-Anwendungen ... 48
3.7 IT-Verbund ... 50
3.8 Geschäftsprozesse ... 51
Sicherheitsziele auf allen Ebenen ... 54
4.1 Informationen und Daten ... 54
4.2 IT-Systeme und IV-Systeme ... 64
4.3 Geschäftsprozesse ... 67
Analysen ... 70
5.1 Betrachtungsmodell der ISO 27001 ... 70
5.2 Analyse nach IT-Grundschutz ... 72
5.3 Risikoanalyse nach ISO 13335-3 ... 78
5.4 Ein Ansatz auf der Basis der ISO 15408 ... 90
5.5 Ergänzendes zur Schwachstellenanalyse ... 100
5.6 Umgang mit dem Restrisiko ... 103
Die Sicherheitsleitlinie ... 104
6.1 Inhalte der Sicherheitsleitlinie ... 104
6.2 Management der Sicherheitsleitlinie ... 107
Grundsätzliches zu Sicherheitsmaßnahmen ... 109
7.1 Maßnahmenklassen ... 109
7.2 Validierung von Maßnahmen ... 111
Das Sicherheitskonzept ... 114
8.1 Grundsätzliches ... 114
8.2 Gliederung des Sicherheitskonzeptes ... 116
8.3 Vorspann ... 117
8.4 Gegenstand des Sicherheitskonzeptes ... 117
8.5 Ergebnis der Anforderungsanalyse ... 118
8.6 Objekteigenschaften ... 119
8.7 Subjekteigenschaften ... 122
8.8 Bedrohungsanalyse ... 122
8.9 Maßnahmenauswahl ... 125
8.10 Schwachstellenanalyse ... 127
8.11 Validierung der Maßnahmen ... 128
8.12 Restrisiko und seine Behandlung ... 129
8.13 „Sicherheitskonzept“ nach ISO 27001 ... 129
Rechtliche Sicherheit ... 134
9.1 Befolgen von Gesetzen ... 135
9.2 Vermeidung von Strafprozessen ... 138
9.3 Outsourcing ... 139
9.4 Verschiedenes ... 141
Personelle Sicherheit ... 144
10.1 Arbeitsverträge ... 144
10.2 Vertrauliche Personaldaten ... 148
10.3 Verantwortung der Mitarbeiter für die Informationssicher-heit ... 150
10.4 Personalmanagement ... 153
10.5 Ausscheiden von Mitarbeitern ... 153
Technische Sicherheitsmaßnahmen ... 155
11.1 Wahrung der Vertraulichkeit ... 155
11.2 Identifizierung und Authentisierung ... 155
11.3 Zugriffskontrolle ... 160
11.4 Wiederaufbereitung ... 164
11.5 Verschlüsselung ... 165
11.6 Wahrung der Integrität ... 175
11.7 Elektronische Signatur ... 178
11.8 Verfügbarkeit von Daten ... 187
11.9 System-Verfügbarkeit ... 190
11.10 Übertragungssicherung ... 196
11.11 Beweissicherung und Auswertung ... 197
Sicherheit im Internet ... 201
12.1 Gefährdungen ... 202
12.2 Schutzmaßnahmen: Regelwerke für Internet und E-Mail ... 204
12.3 Technische Schutzmaßnahmen: Internet-Firewalls ... 205
12.4 Zusammenfassung ... 208
Infrastruktursicherheit ... 210
13.1 Geltungsbereiche und Schutzziele ... 210
13.2 Gebäude, Fenster, Türen ... 211
13.3 Verkabelung ... 212
13.4 Drahtlose Netzwerke ... 213
13.5 Weitere Infrastrukturprobleme und -maßnahmen ... 217
13.6 Richtlinien zur Zutrittskontrolle ... 220
13.7 Verfahren der Zutrittskontrolle ... 221
Sicherheitsmanagement — die tägliche Praxis ... 225
14.1 Aufrechterhaltung der Sicherheit ... 225
14.2 Management von Sicherheitsvorfällen ... 226
14.3 Berichtswesen ... 229
IT Compliance ... 231
15.1 Unternehmensstrategie ... 231
15.2 Compliance als essentieller Bestandteil der IT-Strategie ... 232
15.3 Compliance und Risikomanagement ... 234
Zum Schluss… ... 236
Abbildungsverzeichnis ... 239
Tabellenverzeichnis ... 240
Verwendete Abkürzungen ... 241
Fachbegriffe deutsch ./. englisch ... 245
Quellenhinweise ... 247
Sachwortverzeichnis ... 249

---

Inhaltsangabe

- Systematik der IT-Sicherheit mit vielen Beispielen

- Sicherheitspolitiken

- Sicherheitskonzept: Theorie und Praxis

- Schwachstellen-Analyse und -Behebung

- Technische, organisatorische, personelle und infrastrukturelle Maßnahmen

- Internet-Sicherheit

- Praxis des täglichen Sicherheitsmanagements inkl. Notfall-Management