E-Book, Deutsch, 506 Seiten, Web PDF
Müller IT-Sicherheit mit System
3.Auflage 2008
ISBN: 978-3-8348-9432-8
Verlag: Vieweg & Teubner
Format: PDF
Kopierschutz: 1 - PDF Watermark
Sicherheitspyramide - Sicherheits-, Kontinuitäts- und Risikomanagement - Normen und Practices - SOA und Softwareentwicklung
E-Book, Deutsch, 506 Seiten, Web PDF
Reihe: Computer Science and Engineering (German Language)
ISBN: 978-3-8348-9432-8
Verlag: Vieweg & Teubner
Format: PDF
Kopierschutz: 1 - PDF Watermark
Der Leser erhält ein strukturiertes, strategisches Top-down-Vorgehensmodell zur systematischen Ausrichtung der IT im Unternehmen auf Sicherheit. Es führt ihn von den geschäftspolitischen Sicherheitsanforderungen des Unternehmens bis zu Sicherheitskonzepten und -maßnahmen.
Ein Buch mit Praxisbezug - von AES über CHAP, Compliance, Fingerprinting, Firewall, RAID, SAN, SOX und Token bis WLAN, erweitert durch einen Online-Service mit News, Links und ergänzenden Beiträgen des Autors.
Zielgruppe
Research
Autoren/Hrsg.
Weitere Infos & Material
Ausgangssituation und Zielsetzung.- Kurzfassung und Überblick für Eilige.- Zehn Schritte zum Sicherheitsmanagement.- Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement.- Die Sicherheitspyramide — Strategie und Vorgehensmodell.- Sicherheits-, Kontinuitäts- und Risikopolitik.- Sicherheitsziele / Sicherheitsanforderungen.- Sicherheitstransformation.- Sicherheitsarchitektur.- Sicherheitsrichtlinien/- standards — Generische Sicherheitskonzepte.- Spezifische Sicherheitskonzepte.- Sicherheitsmaßnahmen.- Lebenszyklus.- Sicherheitsregelkreis.- Reifegradmodell des Sicherheitsmanagements — Safety/Security/Continuity Management Maturity Model.- Sicherheitsmanagementprozess.- Minimalistische Sicherheit.
7 Sicherheitsziele / Sicherheitsanforderungen (S. 97-98)
Die Sicherheits-, Kontinuitäts- und Risikopolitik des vorangegangenen Kapitels legte die generellen Anforderungen und die Ausrichtung des Unternehmens im Hinblick auf Sicherheit fest. Ausgangspunkt waren hierbei der Unternehmenszweck, die Unternehmensziele sowie die erzeugten Produkte und/oder erbrachten Leistungen. Nun gilt es, die Sicherheits- und Kontinuitätsanforderungen zu konkretisieren, um sie später in Form von Richtlinien, Konzepten und Maßnahmen umsetzen zu können.
Ausgangsbasis sind die Kerngeschäfts-, Unterstützungs- und Begleitprozesse des Unternehmens, für die es einen Überblick, z. B. in Form einer Prozessarchitektur geben sollte. In dieser sind die Prozesse und ihre Bedeutung für das Unternehmen sowie ihr Zusammenwirken dargestellt. Für jeden Prozess sind Eckdaten (Prozesscharakteristika bzw. Prozessstammdaten) sowie die von ihm genutzten Ressourcen, wie z. B. Informations- und Kommunikationssysteme und Hilfsmittel, angegeben. Sollte das Unternehmen nicht prozessual organisiert sein, so kann alternativ von den Organisationseinheiten, den dort bearbeiteten Aufgaben und dem Zusammenspiel der verschiedenen Organisationseinheiten ausgegangen werden.
Die Zusammenstellung der Sicherheitsziele bzw. Sicherheitsanforderungen erfolgt anhand der Schutzbedarfsanalyse (Geschäftseinflussanalyse, Business Impact Analysis). Im ersten Schritt erheben die Prozessverantwortlichen den Schutzbedarf des jeweiligen Geschäftsprozesses insgesamt. Anschließend ermitteln sie den Schutzbedarf der einzelnen Prozessschritte, gefolgt von der Erhebung des Schutzbedarfs der genutzten Ressourcen (Schutzobjekte) im Rahmen einer Betriebseinflussanalyse (Operational Impact Analysis). Die folgenden Unterkapitel beschreiben die Erhebung der Sicherheitsziele bzw. –anforderungen:
1. Schutzbedarfsklassen
2. Schutzbedarfsanalyse (Prozessarchitektur, externe Sicherheitsanforderungen, Geschäfts- und Betriebseinflussanalyse
3. Tabelle Schadensszenarien
4. Praxisbeispiel
5. Zusammenfassung
7.1 Schutzbedarfsklassen
Um sich die Arbeit zu erleichtern, die Effizienz zu steigern und Vergleichbarkeit herzustellen, sollten Sie Schutzbedarfsklassen festlegen, bevor Sie mit der Schutzbedarfsanalyse beginnen. Der Schutzbedarf der verschiedenen Geschäfts- und Supportprozesse sowie der Schutzobjekte, wie z. B. der ITK-Systeme, ist üblicherweise unterschiedlich. Dementsprechend wären individuelle Sicherheitskonzepte und -maßnahmen erforderlich. Für jeden Geschäfts- und Supportprozess sowie für jedes ITK-System müssten individuelle Sicherheitskonzepte entwickelt, implementiert, gepflegt und geprüft werden.
Durch die Vielzahl von Konzepten und Maßnahmen entstünde eine kaum mehr überschaubare Vielfalt: die Komplexität würde steigen, die Effizienz sinken. Um diesen Effekten entgegenzusteuern, werden für jedes Sicherheitskriterium Schutzbedarfsklassen geschaffen. Ihre Anzahl und Ausprägung orientiert sich an den unternehmensspezifischen Gegebenheiten, den Sicherheitsanforderungen und an Kosten-Nutzen-Aspekten. In jeder Schutzbedarfsklasse ist festgelegt, welche Sicherheitsanforderungen sie erfüllt bzw. welche Auswirkungen von Sicherheitsverletzungen sie abdeckt. Nun gilt es, Prozesse, Ressourcen, Produkte oder Dienstleistungen einer Schutzbedarfsklasse zuzuordnen. Hierzu konzentrieren wir uns auf die resultierenden Sicherheitsverletzungen, die durch eine der vielfältigen potenziellen Bedrohungen ausgelöst werden, z. B. einen Ausfall oder eine Blockade. Wir ermitteln deren Auswirkungen und leiten daraus die resultierenden Sicherheitsanforderungen ab.
7.2 Schutzbedarfsanalyse
Wie können Sie den Schutzbedarf erheben? Zuerst verschaffen Sie sich einen Überblick, welchen Zweck Ihr Unternehmen hat, welche Ziele es verfolgt, welche Produkte und/oder Leistungen es anbietet und wie es sich hinsichtlich Sicherheit, Kontinuität und Risikobereitschaft positioniert. Die Informationen hierzu finden Sie in der Unternehmensmission (mission statement) sowie in der zuvor behandelten Sicherheits-, Kontinuitäts- und Risikopolitik. Im nächsten Schritt veranschaulichen Sie sich anhand der Prozessarchitektur, wie Ihr Unternehmen funktioniert. Für jeden Geschäftsprozess ermitteln Sie seine Bedeutung, d. h. seine Geschäftskritikalität (mission criticality).
