IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz (eBook)

Heinrich Kersten ist IT-Sicherheitsexperte mit langjähriger Erfahrung als Auditor und Zertifizierer beim BSI, bei debis und T-Systems.Jürgen Reuter hat als Lead Auditor in den Bereichen Qualitäts- und Informationssicherheitsmanagement in vielfältigen Projekten Erfahrungen gesammelt.Klaus-Werner Schröder ist lizenzierter BS7799-Auditor sowie Common Criteria Evaluator und Zertifizierer mit langjähriger Praxiserfahrung.

Vorwort 6
Inhaltsverzeichnis 11
1 Gesetze und Standards im Umfeld der Informationssicherheit 14
1.1 Corporate Governance und Risikomanagement 14
1.2 Die Bedeutung des öffentlichen Beschaffungsrechts 20
1.3 Standards zu Management-Systemen 22
1.4 Zertifizierfähige Modelle 29
1.5 Konkrete Standards zur IT-Sicherheit 32
2 Vergleich der Begrifflichkeiten 35
2.1 Organisation, Werte und Sicherheitsziele 36
2.2 Risiken und Analysen 39
2.3 Maßnahmenauswahl und Risikobehandlung 46
2.4 Sicherheitsdokumente 49
2.5 Übersetzungsprobleme bei der deutschen Ausgabe des Standards 53
3 Das ISMS nach ISO 27001 56
3.1 Das Modell des ISMS 56
3.2 PLAN: Das ISMS festlegen und verwalten 60
3.3 DO: Umsetzen und Durchführen des ISMS 78
3.4 CHECK: Überwachen und Überprüfen des ISMS 86
3.5 ACT: Pflegen und Verbessern des ISMS 92
3.6 Anforderungen an die Dokumentation 95
3.7 Dokumentenlenkung 99
3.8 Lenkung der Aufzeichnungen 103
3.9 Verantwortung des Managements 104
3.10 Interne ISMS-Audits 107
3.11 Managementbewertung des ISMS 109
3.12 Verbesserung des ISMS 112
3.13 Maßnahmenziele und Maßnahmen 114
4 Festlegung des Anwendungsbereichs und Überlegungen zum Management 120
4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen 120
4.2 Das Management-Forum für Informationssicherheit 122
4.3 Verantwortlichkeiten für die Informationssicherheit 123
4.4 Integration von Sicherheit in die Geschäftsprozesse 124
4.5 Bestehende Risikomanagementansätze ergänzen 125
4.6 Bürokratische Auswüchse 126
5 Informationswerte bestimmen 127
5.1 Welche Werte sollen berücksichtigt werden? 127
5.2 Wo und wie kann man Werte ermitteln? 129
5.3 Wer ist für die Sicherheit der Werte verantwortlich? 133
5.4 Wer bestimmt, wie wichtig ein Wert ist? 134
6 Risiken einschätzen 136
6.1 Normative Mindestanforderungen aus ISO 27001 137
6.2 Schutzbedarf nach IT-Grundschutz 146
6.3 Erweiterte Analyse nach IT-Grundschutz 151
6.4 Die monetäre Einschätzung von Risiken 152
7 Maßnahmenziele und Maßnahmen bearbeiten 157
A.5 Sicherheitsleitlinie 158
A.6 Organisation der Informationssicherheit 159
A.7 Management von organisationseigenen Werten 169
A.8 Personelle Sicherheit 174
A.9 Physische und umgebungsbezogene Sicherheit 181
A.10 Betriebs- und Kommunikationsmanagement 194
A.11 Zugangskontrolle 226
A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen 250
A.13 Umgang mit Informationssicherheitsvorfällen 263
A.14 Sicherstellung des Geschäftsbetriebs 266
A.15 Einhaltung von Vorgaben 272
8 Maßnahmen: Validieren und Freigeben 284
8.1 Validierung von Maßnahmen 284
8.2 Maßnahmenbeobachtung und -überprüfung 286
8.3 Maßnahmenfreigabe 287
8.4 Alternative Vorgehensweise 287
9 Metriken zu ISMS und Sicherheitsmaßnahmen 290
9.1 Einführung von Metriken 290
9.2 Praktische Empfehlungen zur Einführung von Metriken 295
10 Audits und Zertifizierungen 302
10.1 Ziele und Nutzen 302
10.2 Prinzipielle Vorgehensweise 305
10.3 Vorbereiten eines Audits 313
10.4 Durchführung eines Audits 316
10.5 Erfahrungen aus realen Audits 319
10.6 Auswertung des Audits und Optimierung der Prozesse 323
10.7 Grundschutz-Audit 324
11 Zum Abschluss… 331
Beispiel einer Informationssicherheitsleitlinie 334
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 339
Verzeichnis der Grundschutzmaßnahmen 346
Einige Fachbegriffe: deutsch / englisch 352
Verzeichnis der Abbildungen und Tabellen 354
Verwendete Abkürzungen 355
Quellenhinweise 359
Sachwortverzeichnis 364