INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle
![INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle](/img/big/02/34/52/2345205.jpg)
Реклама. ООО «ЛитРес», ИНН: 7719571260.
Оглавление
Jens Libmann. INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle
1.Vorwort
2.Zusammenfassung
3.Einleitung
4.Teil 1 - Strategische Planung, Entwicklung und Umsetzung
4.1.Säule 1 - Bewusstseinsbildung
4.1.1.Bewusstseinsbildung bei Entscheidungsträgern
4.1.1.1.Sorglosigkeit der Chefs
4.1.1.2.Offensive Strategie
4.1.1.3.Gründe für InfSec
4.1.2.Bewusstseinsbildung bei Stakeholdern
4.1.2.1.Schwachstelle Mensch
4.1.2.2.Feedback
4.1.3.InfSec-Politik
4.1.3.1.Aufgaben der InfSec-Politik
4.1.3.2.InfSec-Policy
Zentrale Koordination und Verantwortung
Veröffentlichung
Einhaltungsverpflichtung
Ausnahmeregelungen
Aktualisierungsmethodik
4.1.3.3.Richtlinienpyramide
Erläuterung
 Beispiele für Richtlinientexte
4.1.4.Zusammenfassung
4.2.Säule 2 - Ressourcen
4.2.1.Personelle Ressourcen
4.2.1.1.Organisationsprinzip
Entscheidungsgremium
Information-Security-Committee (InfSecC)
4.2.1.2.Beispielstruktur
Zentrales Sicherheitsmanagement
Datenschutzbeauftragter (DS-Beauftragter)
Revision
InfSecC
Emergency Response Team (ERT)
4.2.1.3.Externes Personal
Kurz- und mittelfristiger Einsatz
Outsourcing
4.2.2.Finanzielle Ressourcen
4.2.2.1.Personalaufwand
4.2.2.2.Sachaufwand
4.2.3.Zeitliche Ressourcen
4.2.4.Zusammenfassung
4.3.Säule 3 - Prozesse
4.3.1.Etablierung
4.3.1.1.Risikoanalyse
Schritte der Risikoanalyse
4.3.1.2.Klassifizierung
Vorgangsweise
Sicherheitsstufen
Zugriffsregelung
4.3.1.3.Konzept
4.3.1.4. Maßnahmen
Maßnahmenplan
Umsetzung
Funktionstests
Konzeptanpassungen
Sensibilisierung und Schulung
4.3.2.Aufrechterhaltung
4.3.2.1.Betreuung, Wartung und Überwachung
4.3.2.2.Reaktion, Berichtwesen und Dokumentation
4.3.2.3.Prozessoptimierung/Controlling
Controlling-Elemente
4.3.3.Zusammenfassung
5. Teil 2 - Operativer Bereich
5.1. Universelle Maßnahmen
5.1.1. Pareto-Prinzip
5.1.2.Internationale Standards
5.1.3.Reale - virtuelle Gefahren
5.1.4.Maßnahmenprinzipien nach Wirkungszeitpunkt
5.1.5.Prinzip Abhalten
5.1.5.1.Sperren
Zutritt
Zugriff
5.1.5.2.Dienste
Lage
Brandschutz
Elektrizität
Zentrale Notstromversorgung
Lokale unterbrechungsfreie Stromversorgung
Blitzschutz
Not-Aus-Schalter
Standardeinstellungen ändern
Nicht benötigte Funktionen deaktivieren
Nutzungsverbot nicht-freigegebener Hard- und Software
Nutzung angebotener Standardsicherheitsfunktionen
Fernwartung
In Stand halten
Weitergabe, Transport und Entsorgung von Informationsträgern
Ausreichende Dimensionierung
Vertrauenswürdige Produkte
Software
Kommunikationseinrichtungen
Firmennetzwerk
Drahtlose Netzverbindungen
Peer to Peer (P2P)
Anwendungs-/Fileserver
Mailsysteme
Instant Messenger (IM)
Internet-Sicherheit
5.1.5.3.Personal. Schulung
Sensibilisierungsprogramm
Vertrauenswürdiges Personal
Mitarbeiter-Check
Verantwortlichkeit
Outsourcing
5.1.6. Prinzip Verzögern
5.1.6.1. Beschilderung
5.1.6.2. Schutzschränke
5.1.6.3. Verschlüsselung (Kryptographie)
Kryptokonzept
Asymmetrische Verschlüsselung
Symmetrische Verschlüsselung
Hybride Verschlüsselung
Digitale Signaturen/Zertifikate
Certification-Authority (CA)
Registration-Authority (RA)
Public-Key-Infrastructure (PKI)
Verschlüsselung im Internet
Verschlüsselung im Geschäftsverkehr
Secure Sockets Layer (SSL)
Secure Hypertext Transfer Protocol (HTTPS)
Virtuelles privates Netzwerk (VPN)
Transport Layer Security (TLS)
5.1.7. Prinzip Alarmieren
5.1.7.1. Leitzentrale
5.1.7.2. Brandmeldeanlagen
5.1.7.3. Wasser/Gasmelder
5.1.7.4. Intrusion-Detection-Systeme (IDS)
5.1.8. Prinzip Erkennen
5.1.8.1.Filterprogramme (Content-Security)
5.1.8.2.Computerviren
5.1.8.3. Checksummen-Prüfprogramme
5.1.8.4. Internes Kontrollsystem (IKS)
5.1.8.5. Audit
Penetrationstests
Taschenkontrollen
Betriebsmittelprüfung
5.1.8.6. Probeübungen
5.1.8.7. Wartung
5.1.8.8. Protokollierung
5.1.9. Prinzip Reagieren
5.1.9.1. Bereitschaftspersonal
5.1.9.2. Dokumentation
5.1.9.3. Business-Continuity-Planung
Katastrophenplan
5.1.9.4. Feuerlöscher
5.1.9.5. Ergreiferprämie
5.1.10. Prinzip Korrigieren
5.1.10.1. Backup/Recovery
5.1.10.2. Rechtliche Vorgehensweise festlegen
5.1.10.3. Versicherungen
5.2. Fallbeispiele
5.2.1. Fallbeispiel 1: E-Commercekonzept
5.2.1.1. Prämissen
5.2.1.2. Realisierung der Technik
5.2.1.3.Bedrohungen
5.2.1.4. Risikoermittlung
5.2.1.5. Analyseergebnisse
5.2.1.6. Maßnahmenauswahl
5.2.1.7. Information-Security-Policy der Firma EXAMPEL
Umgang mit Informationen
Geltungsbereich
Schutzziele
Verantwortlichkeiten
Kontrollaufgaben
Veröffentlichung
Aktualisierungsmethodik
5.2.2. Fallbeispiel 2: Total Cost-of-Ownership-Untersuchung für ein Intrusion-Detection-System
5.2.2.1.Kauf eines Systems
5.2.2.2.Managed Services
5.2.2.3.Berechnung des Nutzens
5.2.3. Fallbeispiel 3: Sensibilisierungsprogramm
5.2.4. Fallbeispiel 4: Denial of Service (DoS) Attacke
5.2.4.1. Bedrohungspotenzial
5.2.4.2. Schutzmaßnahmen
Allgemeine Maßnahmen
Netzübergänge
Internet Server
Intranet
5.2.4.3. Verhalten bei einer DoS/DDoS-Attacke
5.2.5. Fallbeispiel 5: Einmalpasswörter für Fernwartung/Notfalluser
5.2.6. Fallbeispiel 6: Outsourcing
5.2.7.Fallbeispiel 7: Balanced Scorecard (BS)
5.2.7.1. Kunden
5.2.7.2. Schulung
5.2.7.3. Prozess
5.2.7.4. Finanzen
5.2.7.5. Einführungsperspektive
6.Teil 3 – Zukunftsperspektiven
6.1. Flexibilität
6.1.1. Zeit
6.1.2. Raum
6.1.3. Funktion
6.2. Vertrauenswürdigkeit
6.2.1. Regelung
6.2.2. Zusammenarbeit
6.2.3. Kontrolle
6.3. Zusammenfassung
7. Epilog
8. Anhang. 8.1.Weiterführende Literatur
8.2.Abbildungsverzeichnis
8.3.Abkürzungsverzeichnis
Отрывок из книги
Autorenprofil – Jens Libmann
Studium der Betriebswirtschaft und Informatik.
.....
Alle Anforderungen an die InfSec-Politik eines Unternehmens werden in einem Grundsatzdokument niedergeschrieben. Das damit entstandene Elaborat bezeichnet man allgemein als „InfSec-Policy“. Es stellt die schriftliche, verbindliche und rechtswirksame Basis für den Umgang mit InfSec und den damit verbundenen Maßnahmen des Betriebs dar. Würde eine schriftliche Festlegung nicht erfolgen, blieben alle Vorsätze für effiziente InfSec bloß ein Lippenbekenntnis, das schnell verklingt. Individuelle Sicherheitsvorstellungen müssen genau spezifiziert werden. Erst dann lassen sie sich auch überprüfen und steuern.
Die Bestimmungen dieses Schriftstückes sollen grundsätzlich allgemein gehalten sein, weil die InfSec-Politik eher langfristig orientiert ist. Enthaltene Ausführungen stellen lediglich das Fundament für darauf aufbauende weiterführende Dokumente, wie beispielsweise Grundsätze oder Richtlinien dar. Technische Details oder Einzelheiten zu bestimmten Sicherheitsmaßnahmen und deren Umsetzung sind nicht Inhalt dieser Niederschrift. Für technische Realisierung soll genügend Spielraum und Flexibilität für die zum gegebenen Zeitpunkt beste Lösung bestehen. Kurzum: Die InfSec-Policy beschreibt, was geschieht, nicht wie es geschehen soll. In knappen und einfachen Worten stellt sie Aufgaben der InfSec-Politik dar.
.....