Integratives IT-Sicherheits-, Kontinuitäts- und Risikomanagement – Sichere Anwendungen – Standards und Practices
E-Book, Deutsch, 898 Seiten, eBook
ISBN: 978-3-658-22065-5
Verlag: Springer
Format: PDF
Kopierschutz: Wasserzeichen (»Systemvoraussetzungen)
Dr.-Ing. Klaus-Rainer Müller verantwortet das Themenfeld Corporate Security Consulting der ACG Automation Consulting Group GmbH in Frankfurt und berät das Management zu den Themenfeldern Informations- und IT-Sicherheits- und -Risiko- sowie -Kontinuitätsmanagement, IT-Governance, IT Service und IT Service Level Management sowie Sourcing.
Zielgruppe
Professional/practitioner
Autoren/Hrsg.
Weitere Infos & Material
1;Vorwort;6
2;Inhaltsübersicht;20
3;Inhaltsverzeichnis;21
4;1 Ausgangssituation und Zielsetzung;33
4.1;1.1 Ausgangssituation;35
4.1.1;1.1.1 Bedrohungen;35
4.1.2;1.1.2 Schwachstellen;49
4.1.3;1.1.3 Schadenshöhen, Schutzbedarfe;52
4.2;1.2 Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements;57
4.3;1.3 Lösung;57
4.4;1.4 Zusammenfassung;59
5;2 Kurzfassung und Überblick für Eilige;61
6;3 Zehn Schritte zum Sicherheitsmanagement;68
7;4 Gesetze, Verordnungen, Vorschriften, Anforderungen;71
7.1;4.1 Persönliche Haftungsrisiken;71
7.2;4.2 Haftungsrisiken von Unternehmen;74
7.3;4.3 Risikomanagement;74
7.4;4.4 Buchführung;75
7.5;4.5 IT-Sicherheit kritischer Infrastrukturen/wesentlicher Dienste;80
7.5.1;4.5.1 Deutschland;80
7.5.2;4.5.2 Europäische Union;85
7.6;4.6 Datenschutz;86
7.6.1;4.6.1 Deutschland;86
7.6.2;4.6.2 Österreich;91
7.6.3;4.6.3 Schweiz;91
7.6.4;4.6.4 Europäische Union;91
7.6.5;4.6.5 USA;94
7.7;4.7 Arbeitsschutz und Arbeitssicherheit;95
7.8;4.8 Verträge;95
7.9;4.9 Mitbestimmung;96
7.10;4.10 Gleichbehandlung;97
7.11;4.11 Weitere gesetzliche Anforderungen in Deutschland;97
7.12;4.12 Energieversorgungsunternehmen;98
7.13;4.13 Finanzinstitute und Versicherungsunternehmen;100
7.13.1;4.13.1 Deutschland;100
7.13.2;4.13.2 Europäische Union;116
7.13.3;4.13.3 Basler Ausschuss für Bankenaufsicht;117
7.14;4.14 Chemische Industrie;119
7.14.1;4.14.1 Deutschland;119
7.14.2;4.14.2 USA;120
7.15;4.15 Behörden;120
8;5 Normen, Standards, Practices;122
8.1;5.1 Informationssicherheitsmanagement (ISM);122
8.1.1;5.1.1 BSI IT-Grundschutz im Überblick;122
8.1.2;5.1.2 BSI-Standard 200-1, ISMS;123
8.1.3;5.1.3 BSI-Standard 200-2, IT-Grundschutz-Methodik;123
8.1.4;5.1.4 BSI-Standard 200-3, Risikoanalyse;125
8.1.5;5.1.5 BSI-Standard 100-4, Notfallmanagement;126
8.1.6;5.1.6 Vergleich der BSI-Standards mit der Sicherheitspyramide;129
8.1.7;5.1.7 BSI IT-Grundschutz-Kompendium;133
8.1.8;5.1.8 BSI-IT-Grundschutz-Kompendium versus Sicherheitspyramide;135
8.1.9;5.1.9 ISO/IEC-27000-Familie zum ISM im Überblick;136
8.1.10;5.1.10 ISO/IEC 27000:2016, Überblick und Vokabular;140
8.1.11;5.1.11 ISO/IEC 27001:2013, ISMS – Requirements;141
8.1.12;5.1.12 ISO/IEC 27002:2013, ISM – Code of practice for IS controls;144
8.1.13;5.1.13 ISO/IEC 27003:2017, ISMS – Anleitung;147
8.1.14;5.1.14 ISO/IEC 27004:2016, ISM – Measurement;149
8.1.15;5.1.15 ISO/IEC 27005:2011, Information security risk management;150
8.1.16;5.1.16 ISO/IEC 27010:2015, ISM for inter-sector and inter-organizational communications;152
8.1.17;5.1.17 ISO/IEC 27013:2015, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1;153
8.1.18;5.1.18 ISO/IEC 27014:2013, Governance of information security;154
8.1.19;5.1.19 ISO/IEC TR 27016:2014, Wirtschaftlichkeit des ISM;155
8.1.20;5.1.20 ISO/IEC 27017:2015, Leitfaden für Informationssicherheitsmaßnahmen bei Cloud-Services;155
8.1.21;5.1.21 ISO/IEC 27018:2014, Leitfaden zum Schutz personenbezogener Daten in öffentlichen Clouds;156
8.1.22;5.1.22 ISO/IEC 27019:2017, Informationssicherheit für Energieversorger;156
8.1.23;5.1.23 ISO/IEC 27031:2011, Guidelines for ICT readiness for BC (IRBC);158
8.1.24;5.1.24 ISO/IEC 27032:2012, Guidelines for cybersecurity;160
8.1.25;5.1.25 ISO/IEC 27033, Network security;162
8.1.26;5.1.26 ISO/IEC 27034, Application security;163
8.1.27;5.1.27 ISO/IEC 27035, Information security incident management;165
8.1.28;5.1.28 ISO/IEC 27036, Information security for supplier relationships;166
8.1.29;5.1.29 ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition and preservation of digital evidence;167
8.1.30;5.1.30 ISO/IEC 27039:2015, IDPS;167
8.1.31;5.1.31 ISO/IEC 27040:2015, Storage Security;169
8.1.32;5.1.32 IEC 62443, Netzwerk- und Systemsicherheit;170
8.1.33;5.1.33 OECD Digital Security Risk Management;171
8.1.34;5.1.34 PCI Data Security Standard (DSS);172
8.2;5.2 Business Continuity Management (BCM): Teil der ISO-22300-Familie;172
8.2.1;5.2.1 ISO 22301:2012, BCM-System – Anforderungen;172
8.2.2;5.2.2 ISO 22313:2012, BCMS – Anleitung;174
8.3;5.3 Risikomanagement;175
8.3.1;5.3.1 OCTAVE® Approach;175
8.4;5.4 IT Service Management;177
8.4.1;5.4.1 ISO/IEC 20000, IT Service Management;177
8.4.2;5.4.2 ISO/IEC 19770, IT und Software asset management (ITAM, SAM);181
8.4.3;5.4.3 ITIL® im Überblick;183
8.4.4;5.4.4 ITIL® Information Security Management;185
8.4.5;5.4.5 ITIL® IT Service Continuity Management;186
8.4.6;5.4.6 COBIT®, Version 5.0;187
8.5;5.5 Zusammenfassender Vergleich mit der Sicherheitspyramide;190
8.6;5.6 Reifegradmodelle;197
8.6.1;5.6.1 Systems Security Engineering – Capability Maturity Model®;198
8.6.2;5.6.2 Software Assurance Maturity Model;199
8.6.3;5.6.3 Information Technology Security Assessment Framework;200
8.6.4;5.6.4 Maturity Model nach COBIT® 5;201
8.6.5;5.6.5 Zusammenfassung;202
8.7;5.7 Federated Identity Management;202
8.8;5.8 Architekturen;204
8.8.1;5.8.1 Serviceorientierte Architektur (SOA);204
8.8.2;5.8.2 Open Grid Services Architecture® (OGSA®);216
8.8.3;5.8.3 OSGi™ Architecture;217
8.9;5.9 Projektmanagement;217
8.10;5.10 Entwicklungsmethoden;218
8.11;5.11 Programmier-/Entwicklungsrichtlinien;219
8.11.1;5.11.1 C, C++ und Java;219
8.11.2;5.11.2 Webanwendungen;220
8.11.3;5.11.3 AndroidTM;221
8.12;5.12 Schwachstellen (Vulnerabilities);221
8.12.1;5.12.1 Identifikation;221
8.12.2;5.12.2 Bewertung (Scoring);222
8.13;5.13 Schutz vor Insider-Bedrohungen;223
8.14;5.14 Gute Praktiken (GxP);224
8.14.1;5.14.1 OECD: Gute Laborpraxis (GLP);224
8.14.2;5.14.2 PIC: Gute Herstellungspraxis (GMP);225
8.14.3;5.14.3 ISPE: Good Automated Manufacturing Practice, GAMP® 5;226
8.15;5.15 Prüfungsstandards für Dienstleistungsunternehmen;227
9;6 Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement;229
9.1;6.1 Unternehmenssicherheitsmanagementsystem;229
9.2;6.2 Informationssicherheitsmanagementsystem;230
9.3;6.3 Sicherheitsmanagement;232
9.4;6.4 IKT-Sicherheitsmanagement;232
9.5;6.5 Ingenieurmäßige Sicherheit – Safety, Security, Continuity, Risk Engineering;234
9.6;6.6 Sicherheitspyramide;235
9.7;6.7 Sicherheitspolitik;238
9.8;6.8 Sicherheit im Lebenszyklus;240
9.9;6.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen;241
9.10;6.10 Sicherheitskriterien (Grundwerte der Sicherheit);243
9.11;6.11 Geschäftseinflussanalyse (Business Impact Analysis);243
9.12;6.12 Geschäftskontinuität (Business Continuity);244
9.13;6.13 Sicherheit und Sicherheitsdreiklang;244
9.14;6.14 Risiko und Risikodreiklang;246
9.15;6.15 Risikomanagement;248
9.16;6.16 Sicherheits-, Kontinuitäts- und Risikomanagement der IKT;248
9.17;6.17 Zusammenfassung;249
10;7 Die Sicherheitspyramide – Strategie und Vorgehensmodell;252
10.1;7.1 Überblick;253
10.2;7.2 Sicherheitshierarchie;257
10.2.1;7.2.1 Sicherheits-, Kontinuitäts- und Risikopolitik;257
10.2.2;7.2.2 Sicherheitsziele/Sicherheitsanforderungen;257
10.2.3;7.2.3 Sicherheitstransformation und Sicherheitsmerkmale;258
10.2.4;7.2.4 Sicherheitsarchitektur;259
10.2.5;7.2.5 Sicherheitsrichtlinien;259
10.2.6;7.2.6 Spezifische Sicherheitskonzepte;260
10.2.7;7.2.7 Sicherheitsmaßnahmen;261
10.3;7.3 PROSim;261
10.4;7.4 Lebenszyklus von Prozessen, Ressourcen, Organisation, Produkten und (Dienst-)Leistungen (Services);262
10.4.1;7.4.1 Prozesslebenszyklus;263
10.4.2;7.4.2 Ressourcen-/Systemlebenszyklus;263
10.4.3;7.4.3 Organisationslebenszyklus;264
10.4.4;7.4.4 Produkt- und Dienstleistungslebenszyklus;264
10.5;7.5 Sicherheitsregelkreis;264
10.6;7.6 Sicherheitsmanagementprozess;265
10.7;7.7 Zusammenfassung;265
11;8 Sicherheits-, Kontinuitäts- und Risikopolitik;268
11.1;8.1 Zielsetzung;269
11.2;8.2 Umsetzung;270
11.3;8.3 Inhalte;271
11.4;8.4 Praxisbeispiele;274
11.4.1;8.4.1 Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung;274
11.4.2;8.4.2 Sicherheits-, Kontinuitäts- und Risikopolitik;276
11.5;8.5 Zusammenfassung;285
12;9 Sicherheitsziele/Sicherheitsanforderungen;287
12.1;9.1 Sicherheits- und Kontinuitätskriterien;289
12.2;9.2 Interne und externe Schutzanforderungen/Schutzbedarfe;290
12.3;9.3 Schutzbedarfsklassen/Schutzniveaus;290
12.4;9.4 Planungshorizont und zeitliche Staffelung;291
12.5;9.5 Klassifizierung der Informations- und Datenkategorien;292
12.6;9.6 Schutzbedarfsanalyse (SBA);295
12.6.1;9.6.1 Geschäftseinflussanalyse (Business Impact Analysis);296
12.6.2;9.6.2 Betriebseinflussanalyse (Operational Impact Analysis);298
12.7;9.7 Zusammenfassung;299
13;10 Sicherheitsmerkmale;300
13.1;10.1 Haus zur Sicherheit – House of Safety, Security, Continuity (HoSSC);301
13.2;10.2 Safety, Security and Continuity Function Deployment (SSCFD);302
13.2.1;10.2.1 Transformation der Anforderungen auf Sicherheitsmerkmale;303
13.2.2;10.2.2 Detaillierung der Sicherheitsmerkmale;304
13.2.3;10.2.3 Abbildung der Merkmale auf den Lebenszyklus;305
13.3;10.3 Schutzbedarfsklassen;306
13.4;10.4 Praxisbeispiele;307
13.5;10.5 Zusammenfassung;309
14;11 Sicherheitsarchitektur;311
14.1;11.1 Überblick;312
14.2;11.2 Prinzipielle/generische Sicherheitsanforderungen;314
14.3;11.3 Prinzipielle/generische Bedrohungen;314
14.4;11.4 Strategien und Prinzipien;319
14.4.1;11.4.1 Risikostrategie (Risk Strategy), Risikolandkarte, Risikoklassen;320
14.4.2;11.4.2 Sicherheits- und Kontinuitätsstrategie (Safety, Security and Continuity Strategy);322
14.4.3;11.4.3 Prinzip der Wirtschaftlichkeit;323
14.4.4;11.4.4 Prinzip der Abstraktion;323
14.4.5;11.4.5 Prinzip der Klassenbildung (Principle of Classification);324
14.4.6;11.4.6 Poka-Yoke-Prinzip;325
14.4.7;11.4.7 Prinzip der Namenskonventionen (Principle of Naming Conventions);327
14.4.8;11.4.8 Prinzip der Redundanz (Principle of Redundancy);327
14.4.9;11.4.9 Prinzip des „aufgeräumten” Arbeitsplatzes (Clear Desk/Workplace Policy);331
14.4.10;11.4.10 Prinzip der Abwesenheitssperre;331
14.4.11;11.4.11 Prinzip der Eigenverantwortlichkeit;332
14.4.12;11.4.12 Vier-Augen-Prinzip (Confirmed Double Check/Dual Control Principle);332
14.4.13;11.4.13 Prinzip der Funktionstrennung (Segregation of Duties Principle);332
14.4.14;11.4.14 Prinzip der Sicherheitsschalen (Safety and Security Shell Principle);333
14.4.15;11.4.15 Prinzip der Pfadanalyse (Path Analysis Principle);334
14.4.16;11.4.16 Prinzip der gesicherten Identität;335
14.4.17;11.4.17 Prinzip der gesicherten Kommunikation;335
14.4.18;11.4.18 Prinzip der Ge- und Verbotsdifferenzierung;336
14.4.19;11.4.19 Prinzip des generellen Verbots (Deny All Principle);336
14.4.20;11.4.20 Prinzip der Ausschließlichkeit;336
14.4.21;11.4.21 Prinzip des minimalen Bedarfs (Need to Know/Use Principle);337
14.4.22;11.4.22 Prinzip der minimalen Rechte (Least/Minimum Privileges Principle);338
14.4.23;11.4.23 Prinzip der minimalen Dienste (Minimum Services Principle);338
14.4.24;11.4.24 Prinzip der minimalen Nutzung (Minimum Usage Principle);339
14.4.25;11.4.25 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit;339
14.4.26;11.4.26 Prinzip des „sachverständigen Dritten“ (Principle of Third Party Expert);339
14.4.27;11.4.27 Prinzip der Sicherheitszonen und des Closed-Shop-Betriebs;340
14.4.28;11.4.28 Prinzip der Sicherheitszonenanalyse;344
14.4.29;11.4.29 Prinzip des abgesicherten Ausfalls (Principle of Fail Safe and Fail Secure);344
14.4.30;11.4.30 Prinzip der Immanenz (Principle of Immanence);345
14.4.31;11.4.31 Prinzip der Konsolidierung (Principle of Consolidation);346
14.4.32;11.4.32 Prinzip der Standardisierung (Principle of Standardization);349
14.4.33;11.4.33 Prinzip der Plausibilisierung (Principle of Plausibleness);350
14.4.34;11.4.34 Prinzip der Konsistenz (Principle of Consistency);351
14.4.35;11.4.35 Prinzip der Untergliederung (Principle of Compartmentalization);352
14.4.36;11.4.36 Prinzip der Aufteilung;352
14.4.37;11.4.37 Prinzip der Pseudonymisierung bzw. Maskierung;353
14.4.38;11.4.38 Prinzip der Vielfältigkeit (Principle of Diversity);353
14.4.39;11.4.39 Distanzprinzip (Distance Principle);353
14.4.40;11.4.40 Prinzip der Vererbung;355
14.4.41;11.4.41 Prinzip der Subjekt-Objekt-/Aktiv-Passiv-Differenzierung;355
14.4.42;11.4.42 Prinzip der Wachsamkeit;356
14.4.43;11.4.43 Prinzip der Regelschleife;357
14.4.44;11.4.44 Prinzipien versus Sicherheitskriterien (Sicherheitsgrundwerte);357
14.5;11.5 Sicherheitselemente;359
14.5.1;11.5.1 Prozesse im Überblick;361
14.5.2;11.5.2 Konformitätsmanagement (Compliance Management);371
14.5.3;11.5.3 Datenschutzmanagement (Data Protection Management);375
14.5.4;11.5.4 Risikomanagement (Risk Management);380
14.5.5;11.5.5 Leistungsmanagement (Service/Service Level Management);394
14.5.6;11.5.6 Finanzmanagement (Financial Management);399
14.5.7;11.5.7 Projektmanagement (Project Management);400
14.5.8;11.5.8 Qualitätsmanagement (Quality Management);401
14.5.9;11.5.9 Ereignismanagement (Incident Management);402
14.5.10;11.5.10 Problemmanagement (Problem Management);409
14.5.11;11.5.11 Änderungsmanagement (Change Management);411
14.5.12;11.5.12 Releasemanagement (Release Management);415
14.5.13;11.5.13 Konfigurationsmanagement (Configuration Management);415
14.5.14;11.5.14 Lizenzmanagement (Licence Management);418
14.5.15;11.5.15 Kapazitätsmanagement (Capacity Management);420
14.5.16;11.5.16 Wartungsmanagement (Maintenance Management);423
14.5.17;11.5.17 Kontinuitätsmanagement (Continuity Management);424
14.5.18;11.5.18 Securitymanagement (Security Management);458
14.5.19;11.5.19 Architekturmanagement (Architecture Management);499
14.5.20;11.5.20 Innovationsmanagement (Innovation Management);514
14.5.21;11.5.21 Vertragsmanagement (Contract Management);518
14.5.22;11.5.22 Dokumentationsmanagement (Documentation Management);520
14.5.23;11.5.23 Personalmanagement (Human Resources Management);523
14.5.24;11.5.24 Ressourcen im Überblick;530
14.5.25;11.5.25 Prozesse;531
14.5.26;11.5.26 Informationen und Daten;531
14.5.27;11.5.27 Dokumentationen;531
14.5.28;11.5.28 IKT-Hardware und Software;532
14.5.29;11.5.29 Infrastruktur;579
14.5.30;11.5.30 Material;580
14.5.31;11.5.31 Methoden und Verfahren;580
14.5.32;11.5.32 Personal;580
14.5.33;11.5.33 Organisation im Überblick;581
14.5.34;11.5.34 Lebenszyklus im Überblick;582
14.6;11.6 Interdependenznetz;583
14.7;11.7 Hilfsmittel RiSiKo-Architekturmatrix;585
14.8;11.8 Zusammenfassung;586
15;12 Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte;588
15.1;12.1 Übergreifende Richtlinien;589
15.1.1;12.1.1 Sicherheitsregeln;589
15.1.2;12.1.2 Vorlage Prozessbeschreibung;591
15.1.3;12.1.3 Vorlage Ressourcenbeschreibung;594
15.1.4;12.1.4 Faxgeräte und Fax-Nutzung;596
15.1.5;12.1.5 Drucker;596
15.1.6;12.1.6 IKT-Benutzerordnung;596
15.1.7;12.1.7 E-Mail-Nutzung;608
15.1.8;12.1.8 Internet-Nutzung;609
15.1.9;12.1.9 Cloud Computing;610
15.2;12.2 Betriebs- und Begleitprozesse (Managementdisziplinen);613
15.2.1;12.2.1 Konformitätsmanagement;613
15.2.2;12.2.2 Datenschutzmanagement;614
15.2.3;12.2.3 Risikomanagement;618
15.2.4;12.2.4 Kapazitätsmanagement;623
15.2.5;12.2.5 Kontinuitätsmanagement;625
15.2.6;12.2.6 Securitymanagement;645
15.2.7;12.2.7 Architekturmanagement;667
15.3;12.3 Ressourcen;672
15.3.1;12.3.1 Zutrittskontrollsystem;672
15.3.2;12.3.2 Passwortbezogene Systemanforderungen;672
15.3.3;12.3.3 Firewall;674
15.3.4;12.3.4 Wireless LAN (WLAN);675
15.4;12.4 Organisation;676
15.5;12.5 Zusammenfassung;677
16;13 Spezifische Sicherheitskonzepte;679
16.1;13.1 Prozesse;680
16.1.1;13.1.1 Kontinuitätsmanagement;680
16.2;13.2 Ressourcen;681
16.2.1;13.2.1 Betriebssystem;681
16.3;13.3 Zusammenfassung;681
17;14 Sicherheitsmaßnahmen;682
17.1;14.1 Ressourcen;682
17.1.1;14.1.1 Betriebssystem: Protokoll Passworteinstellungen;682
17.2;14.2 Zusammenfassung;683
18;15 Lebenszyklus – mit integrierter Sicherheit;684
18.1;15.1 Übergreifendes;687
18.2;15.2 Sichere Beantragung (Secure Proposal Application);688
18.3;15.3 Sichere Planung (Secure Planning);690
18.4;15.4 Sichere Fachkonzeption, sichere Anforderungsspezifikation (Secure Requirements Specification);690
18.5;15.5 Sichere technische Grobkonzeption (Secure Technical Basic Design);694
18.6;15.6 Sichere technische Feinkonzeption (Secure Technical Design);700
18.7;15.7 Sichere Entwicklung (Secure Development/Coding);702
18.8;15.8 Sichere Integrations- und Systemtest (Secure Integration/System Tests);707
18.9;15.9 Sichere Freigabe (Secure Approval);708
18.10;15.10 Sichere Software-Evaluation (Secure Software Evaluation);708
18.11;15.11 Sichere Auslieferung (Secure Delivery);709
18.12;15.12 Sicherer Abnahmetest und sichere Abnahme (Secure Acceptance);710
18.13;15.13 Sichere Software-Verteilung (Secure Software Deployment);711
18.14;15.14 Sichere Inbetriebnahme (Secure Startup Procedure);711
18.15;15.15 Sicherer Betrieb (Secure Operation);712
18.16;15.16 Sichere Außerbetriebnahme (Secure Decommissioning);713
18.17;15.17 Hilfsmittel erweiterte Phasen-Ergebnistypen-Tabelle (ePET);714
18.18;15.18 Zusammenfassung;716
19;16 Sicherheitsregelkreis;718
19.1;16.1 Sicherheitsprüfungen;719
19.1.1;16.1.1 Sicherheitsstudie/Risikoanalyse;719
19.1.2;16.1.2 Penetrationstests;724
19.1.3;16.1.3 IKT-Security-Scans;725
19.2;16.2 Sicherheitscontrolling;726
19.3;16.3 Berichtswesen (SSCRPC-Reporting);728
19.3.1;16.3.1 Anforderungen;728
19.3.2;16.3.2 Inhalte;730
19.4;16.4 Safety-Security-Continuity-Risk-Privacy-Compliance-Benchmarks;743
19.5;16.5 Hilfsmittel IKT-Sicherheitsfragen;743
19.6;16.6 Zusammenfassung;744
20;17 Reifegradmodell des Sicherheits-, Kontinuitäts- und Risikomanagements;745
20.1;17.1 Reifegradmodell RiSiKo-Management;745
20.1.1;17.1.1 Stufe 0: unbekannt;746
20.1.2;17.1.2 Stufe 1: begonnen;746
20.1.3;17.1.3 Stufe 2: konzipiert;747
20.1.4;17.1.4 Stufe 3: standardisiert;747
20.1.5;17.1.5 Stufe 4: integriert;747
20.1.6;17.1.6 Stufe 5: gesteuert;747
20.1.7;17.1.7 Stufe 6: selbst lernend;748
20.2;17.2 Checkliste Reifegrad;751
20.3;17.3 Praxisbeispiel;753
20.4;17.4 Zusammenfassung;754
21;18 Sicherheitsmanagementprozess;755
21.1;18.1 Deming- bzw. PDCA-Zyklus;755
21.2;18.2 Planung;756
21.3;18.3 Durchführung;758
21.4;18.4 Prüfung;758
21.5;18.5 Verbesserung;759
21.6;18.6 Zusammenfassung;759
22;19 Minimalistische Sicherheit;762
23;20 Verzeichnis der Abbildungen;764
24;21 Verzeichnis der Tabellen;766
25;22 Verzeichnis der Checklisten;766
26;23 Verzeichnis der Beispiele;767
27;24 Verzeichnis der Tipps;769
28;25 Verzeichnis der Informationen;770
29;26 Verzeichnis der Marken;772
30;27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices;774
30.1;27.1 Gesetze, Verordnungen, Richtlinien;774
30.1.1;27.1.1 Deutschland: Gesetze, Verordnungen;774
30.1.2;27.1.2 Österreich: Gesetze, Verordnungen;776
30.1.3;27.1.3 Schweiz: Gesetze, Verordnungen, Rundschreiben;776
30.1.4;27.1.4 Großbritannien: Gesetze;777
30.1.5;27.1.5 Europa: Entscheidungen, Richtlinien, Verordnungen, Practices;777
30.1.6;27.1.6 USA: Gesetze, Practices, Prüfvorschriften;779
30.2;27.2 Bestimmungen, Grundsätze, Vorschriften;780
30.3;27.3 Standards, Normen, Leitlinien;783
31;Literatur- und Quellenverzeichnis;812
32;Glossar und Abkürzungsverzeichnis;817
33;Sachwortverzeichnis;848
34;Über den Autor;896
Integratives IT-Sicherheits-, -Kontinuitäts- und -Risikomanagement – Dreidimensionale IT-Sicherheitspyramide mit IT-Lebenszyklus – Strukturiert und top down von der RiSiKo-Politik über den Schutzbedarf, die Architektur und die Sicherheitsrichtlinien bis zu den Maßnahmen – Gesetze, Standards und Practices – Interdependenznetz – biometrische Systeme – Cloud-Computing – Intrusion Detection – Mobile Devices – Reifegradmodelle – Security Gateway – Sicherheitsprinzipien – Sicherheitsschalenmodell – SOA-Sicherheit – Balanced Pyramid Scorecard® mit Kennzahlen