Risikomanagement mit ISO/IEC 27001, 27005 und 31010
E-Book, Deutsch, 234 Seiten, eBook
Reihe: Edition
ISBN: 978-3-8348-9870-8
Verlag: Vieweg & Teubner
Format: PDF
Kopierschutz: Wasserzeichen (»Systemvoraussetzungen)
Mit einem QR-Code Reader können insgesamt 61 Links ins Internet direkt genutzt werden. Man erhält so an den passenden Stellen des Buchs u.A. direkten Zugriff auf das Forum der Webseite zum Buch. Und kann mit dm Autor und andren Lesern in Kontakt treten.
Sebastian Klipper war 13 Jahre Luftwaffen-Offizier und IT-Sicherheitsbeauftragter auf den unterschiedlichsten Führungsebenen der Bundeswehr. Seit 2009 arbeitet er als freiberuflicher Security Consultant und Fachbuchautor. 2010 erschien ebenfalls im Vieweg+Teubner Verlag sein erstes Buch 'Konfliktmanagement für Sicherheitsprofis'. Sein Security-Blog 'Klipper on Security' erreichen Sie unter http://blog.psi2.de
Zielgruppe
Professional/practitioner
Autoren/Hrsg.
Weitere Infos & Material
1;Dank;5
2;Vorwort;6
3;Inhaltsverzeichnis;9
4;1 Einführung;14
4.1;1.1 Wie wir uns entscheiden;14
4.2;1.2 ISMS – Managementsysteme für Informations-sicherheit;16
4.3;1.3 Schritt für Schritt;19
4.4;1.4 Hinweise zum Buch;21
5;2 Grundlagen;25
5.1;2.1 Sprachgebrauch, Begriffe und Besonderheiten der Übersetzung;26
5.1.1;2.1.1 Begriffe aus ISO/IEC 27001;28
5.1.2;2.1.2 Begriffe aus ISO/IEC 27002;30
5.1.3;2.1.3 Begriffe aus ISO/IEC 27005;31
5.1.4;2.1.4 Übersicht der explizit definierten Begriffe;33
5.2;2.2 Entscheidend ist die Methodik;35
5.3;2.3 Der Ansatz der ISO;37
5.3.1;2.3.1 Die Entwicklung der ISO-Standards;38
5.3.2;2.3.2 Der PDCA-Zyklus;41
5.4;2.4 Die ISO 31000 Familie;43
5.4.1;2.4.1 Risikomanagement mit ISO 31000;43
5.4.1.1;Risikomanagement schafft und beschützt Werte.;43
5.4.1.2;Risikomanagement ist Bestandteil aller Unternehmensprozesse.;44
5.4.1.3;Risikomanagement ist Teil der Entscheidungsfindung.;44
5.4.1.4;Risikomanagement adressiert gezielt Unsicherheiten.;45
5.4.1.5;Risikomanagement ist systematisch, strukturiert und zeitgerecht.;45
5.4.1.6;Risikomanagement basiert auf allen verfügbaren Informationen.;45
5.4.1.7;Risikomanagement ist maßgeschneidert.;45
5.4.1.8;Risikomanagement beachtet soziale und kulturelle Faktoren.;45
5.4.1.9;Risikomanagement ist transparent und einbeziehend.;45
5.4.1.10;Risikomanagement ist dynamisch, iterativ und reagiert gezielt auf Änderungsprozesse.;45
5.4.1.11;Risikomanagement erleichtert die kontinuierliche Verbesserung.;46
5.4.2;2.4.2 Von der Theorie zur Praxis: ISO/IEC 31010;47
5.5;2.5 Die ISO/IEC 27000 Familie;51
5.5.1;2.5.1 Familienübersicht;51
5.5.2;2.5.2 Weitere Security-Standards;55
5.6;2.6 Abgrenzung zum BSI IT-Grundschutz;55
5.7;2.7 Was ist Risikomanagement?;58
5.7.1;2.7.1 Typische Bedrohungen der Informationssicherheit;59
5.7.2;2.7.2 Typische Schwachstellen der Informationssicherheit;62
5.7.3;2.7.3 Ursache und Wirkung;63
5.7.4;2.7.4 SANS Risikoliste;65
5.8;2.8 ExAmple AG - Die Firma für die Fallbeispiele;67
5.9;2.9 Die ISO/IEC 27000 Familie in kleinen Organisa-tionen;71
5.10;2.10 Zusammenfassung;72
6;3 ISO/IEC 27005;74
6.1;3.1 Überblick über den Risikomanagement-Prozess;75
6.2;3.2 Festlegung des Kontexts;77
6.2.1;Anwendungsbereich und Grenzen;78
6.2.2;Rollen und Verantwortlichkeiten;79
6.2.3;Basiskriterien;79
6.3;3.3 Risiko-Assessment;81
6.3.1;3.3.1 Risikoidentifikation;83
6.3.1.1;Identifikation der Assets und Prozesse;83
6.3.1.2;Identifikation von Bedrohungen;85
6.3.1.3;Identifikation bereits umgesetzter Maßnahmen;85
6.3.1.4;Identifikation von Schwachstellen;85
6.3.1.5;Identifikation von Schadensauswirkungen;86
6.3.2;3.3.2 Risikoabschätzung;87
6.3.2.1;Abschätzung der Auswirkungen;88
6.3.2.2;Abschätzung der Wahrscheinlichkeiten;88
6.3.2.3;Abschätzung des Risiko-Levels;88
6.3.3;3.3.3 Risikobewertung/ Priorisierung;89
6.4;3.4 Risikobehandlung;92
6.4.1;Risikoreduktion;94
6.4.2;Risikoübernahme;96
6.4.3;Risikovermeidung;97
6.4.4;Risikotransfer;97
6.5;3.5 Risikoakzeptanz;100
6.6;3.6 Risikokommunikation;101
6.7;3.7 Risikoüberwachung/ -überprüfung;104
6.8;3.8 Zusammenfassung;107
7;4 ISO 27005 und BSI IT-Grundschutz;109
7.1;4.1 Die Vorgehensweise nach IT-Grundschutz;110
7.2;4.2 BSI-Standard 100-3;112
7.3;4.3 Die IT-Grundschutz-Kataloge;115
7.4;4.4 Zusammenfassung;117
8;5 Risiko-Assessment;118
8.1;5.1 Methodensteckbriefe;119
8.2;5.2 Merkmale;120
8.3;5.3 Gruppierungen;121
8.4;5.4 Brainstorming;123
8.5;5.5 Strukturierte und semistrukturierte Interviews;125
8.6;5.6 Die Delphi-Methode;127
8.7;5.7 Checklisten;129
8.8;5.8 Vorläufige Sicherheitsanalyse (Preliminary Hazard Analysis PHA);131
8.9;5.9 HAZOP-Studie (HAZard and OPerability);133
8.10;5.10 HACCP-Konzept (Hazard Analysis and Critical Control Points);137
8.11;5.11 SWIFT-Technik (Structured "What if");139
8.12;5.12 Szenario-Analysen;141
8.13;5.13 Business Impact Analysen (BIA);143
8.14;5.14 Ursachenanalyse (Root Cause Analysis RCA);145
8.15;5.15 Auswirkungsanalysen (FMEA und FMECA);147
8.16;5.16 Fehler- und Ereignisbaumanalyse (FTA und ETA);149
8.17;5.17 Ursache-Wirkungsanalysen;151
8.18;5.18 Bow Tie Methode;153
8.19;5.19 Zuverlässigkeitsanalyse (Human Reliability Assessment HRA);155
8.20;5.20 Risikoindizes;157
8.21;5.21 Auswirkungs-Wahrscheinlichkeits-Matrix;159
8.22;5.22 Entscheidungsmatrizen;161
8.23;5.23 Zusammenfassung;163
9;6 Risikokommunikation;164
9.1;6.1 Theoretische Grundlagen;165
9.2;6.2 Das besondere an Risiken;170
9.3;6.3 Konfliktpotential;172
9.4;6.4 Kommunikationsmatrix;174
9.5;6.5 Zusammenfassung;178
10;7 Wirtschaftlichkeitsbetrachtung;179
10.1;7.1 Pacta sunt servanda;181
10.2;7.2 Wirtschaftlichkeitsprinzipien;182
10.3;7.3 Kosten-Nutzen-Analysen;184
10.4;7.4 Pareto-Prinzip;185
10.5;7.5 Total Cost/ Benefit of Ownership (TCO/ TBO);187
10.6;7.6 Return on Security Investment (ROSI);190
10.7;7.7 Stochastischer ROSI;191
10.8;7.8 Return on Information Security Invest (ROISI);194
10.9;7.9 Zusammenfassung;197
11;8 Die 10 wichtigsten Tipps;199
11.1;8.1 Hören Sie aufmerksam zu;200
11.2;8.2 Achten Sie auf die Usability;200
11.3;8.3 Reden Sie nicht nur von Risiken;200
11.4;8.4 Denken Sie wirtschaftlich;201
11.5;8.5 Der Weg ist das Ziel;201
11.6;8.6 Schauen Sie über den Tellerrand;202
11.7;8.7 Übernehmen Sie Verantwortung;202
11.8;8.8 Geben Sie Verantwortung ab;202
11.9;8.9 Der Empfänger macht die Nachricht;203
11.10;8.10 Verbeißen Sie sich nicht ;-);20312;Interessante Tools und Frameworks204
12.1;Steckbriefe;205
12.2;Übersicht;206
12.2.1;Security Risk Management Guide (SRMG);206
12.2.2;Security Assessment Tool (MSAT);206
12.2.3;Common Vulnerability Scoring System (CVSS);206
12.2.4;Risk Management Framework (chaRMe);206
12.2.5;Weitere Tools;206
12.3;Security Risk Management Guide (SRMG);207
12.4;Security Assessment Tool (MSAT);209
12.5;Common Vulnerability Scoring System (CVSS);211
12.6;Risk Management Framework chaRMe;213
12.7;Weitere Tools;215
12.7.1;Secricon Risk Management Software;215
12.7.2;Lumension Risk Manager;216
12.7.3;Proteus;216
12.7.4;Modulo Risk Manager (NG);217
12.7.5;STEAM;217
12.7.6;risk2value;218
12.7.7;BPSResolver ERM;218
12.7.8;Risk Watch;219
12.7.9;Risk Management Studio;219
12.7.10;RA2 Art of Risk;220
12.7.11;OCTAVE;220
12.8;Zusammenfassung;221
13;Sachwortverzeichnis;222
14;Abkürzungsverzeichnis;229
15;Literaturverzeichnis;232
16;GNU General Public License;236
