Sie sind hier
E-Book

Das IT-Gesetz: Compliance in der IT-Sicherheit

Leitfaden für ein Regelwerk zur IT-Sicherheit im Unternehmen

AutorAndreas F. Steinbacher, Peter H.L. Will, Ralf-T. Grünendahl
VerlagSpringer Vieweg
Erscheinungsjahr2017
Seitenanzahl349 Seiten
ISBN9783658182052
FormatPDF
KopierschutzWasserzeichen/DRM
GerätePC/MAC/eReader/Tablet
Preis66,99 EUR
Das Buch richtet sich an Führungskräfte und Sicherheitsbeauftragte, die vor der Aufgabe stehen, Regelungen zur IT-Sicherheit für ihr Unternehmen zu definieren. Dieses Buch liefert dazu eine konkrete Anleitung. Es basiert auf internationalen Standards wie BSI Grundschutz-Handbuch, Cobit und ITIL.

Ralf-T. Grünendahl ist Client Industry Executive bei DXC (entstanden aus dem Merger der Servicesparte von Hewlett Packard Enterprise mit CSC) und dort in internationalen Accounts, vorrangig in der Telekommunikationsindustrie, tätig. 
Andreas F. Steinbacher leitet Beratungsprojekte für die IT Governance Practice der DXC Transformation & Integration Services. 
Peter H. L. Will ist Branchenverantwortlicher für den Public-Bereich bei kobaltblau Management Consultants. Will war zuvor Division Head des Business Technology Management bei Kienbaum und Managing Consultant der Detecon International. 
Die Autoren beschäftigen sich seit vielen Jahren mit IT-Strategie, strategischer Ausrichtung von IT-Organisationen und der digitalen Transformation von Unternehmen sowie mit Regulierungsfragen (SOX, Basel II), Risikomanagement und den daraus folgenden Implikationen für die IT und insbesondere für IT-Sicherheit. 

Kaufen Sie hier:

Horizontale Tabs

Blick ins Buch
Inhaltsverzeichnis
Das IT-Gesetz: ­Compliance in der IT-Sicherheit4
Leitfaden für ein Regelwerk zur IT-­Sicherheit im Unternehmen4
Impressum5
Vorwort der 2. Auflage6
Vorwort der 1. Auflage8
Die Autoren9
Danksagung10
Inhaltsverzeichnis11
1: Einleitung15
1.1 Gesetzliche und regulatorische Vorgaben16
2: Bedeutung der IT-Sicherheit in Unternehmen19
3: COBIT und BSI als Leitschnur der IT-Sicherheit26
4: ‚Grundgesetz‘ der IT-Sicherheit32
4.1 Regelungsziele nach COBIT33
4.1.1 Planung und Organisation33
4.1.2 Monitoring36
4.2 Vorschlag für eine IT-Sicherheitspolicy37
4.2.1 Vorbemerkung und Einführung37
4.2.1.1 Zweck37
4.2.1.2 Gegenstand und Umfang38
4.2.1.3 Verantwortlichkeiten für diese Richtlinie38
4.2.2 Übergeordnete Aspekte38
4.2.2.1 IT-Sicherheitsmanagement38
Aufbau, Struktur und Ablauf des IT-Sicherheitsmanagements38
4.2.2.2 Organisation39
Zutrittsberechtigungen, Zugangsberechtigungen und Zugriffsrechte39
4.2.2.3 Rollen und Verantwortlichkeitn40
Verantwortliche und Rollenbeschreibung41
Verantwortlichkeit von Eigentümern (Owner) & Betreuer (Custodian)41
Vertraulichkeitsvereinbarung42
4.2.2.4 Continuity-Konzept42
Grundlegende Prinzipien42
4.2.2.5 Datensicherungskonzept43
Unternehmenskontinuitätsplanung/Aufrechterhaltungsplanung43
4.2.2.6 Datenschutz44
4.2.2.7 Computer-Viren-Schutzkonzept44
4.2.2.8 Kryptokonzept44
Systemvertraulichkeit44
4.2.2.9 Behandlung von Sicherheitsvorfällen44
Verhalten im Störfall44
Systemintegrität45
4.2.2.10 Hard- und Software-Management45
Grundlegende Prinzipien45
Vereinbarungen mit Dritten, die mit Daten des Unternehmens umgehen46
4.2.2.11 Standardsoftware46
Planung und Konzeption46
Beschaffung47
Umsetzung47
Betrieb47
Aussonderung47
4.2.2.12 Patch- und Änderungsmanagement47
Planung des Patch- und Änderungsmanagement-Prozesses47
Festlegung der Verantwortlichkeiten für das Patch- und Änderungsmanagement48
Sicherheitsrichtlinie zum Einsatz von Patch- und Änderungsmanagement-Werkzeugen48
4.2.2.13 Outsourcing48
4.2.2.14 Archivierung48
4.2.2.15 IT-Sicherheitssensibilisierung und -schulung49
4.2.3 Infrastruktur49
4.2.3.1 Gebäude49
4.2.3.2 Bauliche Zugangskontrolle49
4.2.3.3 Umgang mit Besuchern49
4.2.3.4 Büroraum49
4.2.3.5 Technische Räume50
Server Raum50
Computerraum50
4.2.3.6 Mobiler Arbeitsplatz50
4.2.4 IT-Systeme51
4.2.4.1 Allgemeine Regelungen51
Sichere Entsorgung von Equipment51
4.2.4.2 User Account-Administration51
Erstellung neuer User IDs51
Kennwortübergabe51
Nutzung für Externe51
4.2.4.3 Kennwort-Management52
Kennwortkonventionen52
Individuelle Accounts52
Entfernung von User-Accounts52
Server53
4.2.4.4 Laptop53
4.2.4.5 Clients53
4.2.4.6 Sicherheitsgateway (Firewall)53
4.2.4.7 Verzeichnisdienst54
4.2.4.8 VPN54
4.2.4.9 Router und Switches55
4.2.4.10 Kommunikationseinrichtungen55
TK-Anlage55
Mobiltelefon55
4.2.5 Netze55
4.2.5.1 Heterogene Netze55
4.2.5.2 Netz- und Systemmanagement55
Verletzlichkeitseinstufung56
Zugriffs- und Datenflusskontrollsysteme56
Herstellung von Netzwerkverbindungen56
Ungesicherte Netzwerkverbindungen56
Standard-Netzwerk-Sicherheitsmaßnahmen57
4.2.5.3 Modem57
4.2.5.4 Remote Access57
LAN-Anbindung eines IT-Systems über ISDN58
4.2.6 IT-Anwendungen58
4.2.6.1 System-/Anwendungsentwicklung und -inbetriebnahme58
4.2.6.2 System Logging59
4.2.6.3 Systemzugriff59
4.2.6.4 Peer-to-Peer-Dienste60
Austausch von Informationen und Ressourcen über Peer-to-Peer-Dienste60
4.2.6.5 Datenträgeraustausch60
4.2.6.6 E-Mail61
4.2.6.7 Webserver61
4.2.6.8 Faxserver61
4.2.6.9 Datenbanken62
5: Schutz von Daten63
5.1 Regelungsziele nach COBIT64
5.1.1 Planung und Organisation64
5.1.2 Delivery & Support65
5.1.3 Monitoring66
5.2 Vorschlag für eine Datenschutzrichtlinie67
5.2.1 Geltungsbereich67
5.2.2 Begriffsbestimmung und Eingrenzung67
5.2.3 Ziele des Datenschutzes im Unternehmen68
5.2.4 Verankerung des Datenschutzes in der Organisation68
5.2.4.1 Geschäftsleitung68
5.2.4.2 Datenschutzbeauftragter69
5.2.4.3 Führungskräfte und Fachverantwortliche69
5.2.4.4 Mitarbeiter70
5.2.5 Grundsätze des Datenschutzes70
5.2.5.1 Datenverarbeitung70
5.2.5.2 Datenerhebung71
5.2.5.3 Datenübermittlung71
5.2.5.4 Verpflichtung auf den Datenschutz und das Datengeheimnis71
5.2.5.5 Rechte der Betroffenen72
5.2.5.6 Datenverarbeitung im Auftrag72
5.2.5.7 Sicherheitsmaßnahmen72
5.2.5.8 Einführung, Betrieb und Änderung von Verfahren72
5.3 Vorschlag für eine Richtlinie zum Schutz von Unternehmensdaten73
5.3.1 Datenschutz73
5.3.1.1 Regelung der Verantwortlichkeiten im Bereich Datenschutz73
5.3.1.2 Aspekte eines Datenschutzkonzeptes73
5.3.1.3 Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle bei der Verarbeitung personenbezogener Daten74
5.3.1.4 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten74
5.3.1.5 Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personenbezogener Daten75
5.3.1.6 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung personenbezogener Daten75
5.3.1.7 Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten bei der Verarbeitung personenbezogener Daten76
5.3.1.8 Datenschutzrechtliche Freigabe76
5.3.1.9 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten76
5.3.1.10 Aufrechterhaltung des Datenschutzes im laufenden Betrieb76
5.3.1.11 Datenschutzgerechte Löschung/Vernichtung76
5.3.2 Authentikation76
5.3.2.1 Geeignete Auswahl von Authentikationsmechanismen76
5.3.2.2 Administration der Authentikationsdaten77
5.3.2.3 Schutz der Authentikationsdaten gegen Veränderung77
5.3.2.4 Systemunterstützung77
5.3.2.5 Fehlerbehandlung bei der Authentikation77
5.3.2.6 Administration der Benutzerdaten78
5.3.2.7 Definition der Benutzereinträge78
5.3.2.8 Passwortgüte78
5.3.2.9 Anforderungen an Authentikationsmechanismen für Benutzer78
5.3.2.10 Protokollierung der Authentisierungsmechanismen78
5.3.3 Verschlüsselung79
5.3.3.1 Entwicklung eines Kryptokonzepts79
Einsatz von Verschlüsselung, Checksummen oder digitalen Signaturen79
Geeignetes Schlüsselmanagement80
Schlüsselerzeugung80
Schlüsseltrennung80
Schlüsselverteilung/Schlüsselaustausch80
Schlüsselinstallation und -speicherung81
Schlüsselarchivierung81
Zugriffs- und Vertreterregelung82
Schlüsselvernichtung82
5.3.4 Datensicherung und Archivierung82
5.3.4.1 Verpflichtung der Mitarbeiter zur Datensicherung82
5.3.4.2 Regelung des Datenträgeraustausches82
5.3.4.3 Beschaffung eines geeigneten Datensicherungssystems83
5.3.4.4 Regelmäßige Funktions- und Recoverytests bei der Archivierung84
5.3.4.5 Erstellung eines Datensicherungsplans85
5.3.4.6 Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen85
Richtlinie für die Löschung und Vernichtung von Informationen85
Vernichtung von Datenträgern durch externe Dienstleister86
Erstellung von Datensicherungen für Verzeichnisdienste86
Datensicherung für Domänen-Controller86
5.4 Hinweise für ein Datensicherungskonzept87
5.4.1 Definitionen87
5.4.2 Gefährdungslage87
5.4.3 Regelungsbedarfe je IT-System87
5.4.3.1 Spezifikation der zu sichernden Daten87
5.4.3.2 Verfügbarkeitsanforderungen88
5.4.3.3 Rekonstruktionsaufwand88
5.4.3.4 Datenvolumen88
5.4.3.5 Änderungsvolumen88
5.4.3.6 Änderungszeitpunkte der Daten88
5.4.3.7 Fristen88
5.4.3.8 Vertraulichkeitsbedarf89
5.4.3.9 Integritätsbedarf der Daten89
5.4.3.10 Häufigkeit des Datenverlustes89
5.4.3.11 Fähigkeiten der IT-Benutzer89
5.4.4 Datensicherungsplan je IT-System89
5.4.4.1 Festlegungen je Datenart89
5.4.4.2 Festlegung je System90
5.4.4.3 Festlegung der Vorgehensweise bei der Datenrestaurierung90
5.4.4.4 Randbedingungen für das Datensicherungsarchiv90
5.4.4.5 Vorhalten von arbeitsfähigen Lesegeräten90
5.4.4.6 Wiederherstellungsplan90
5.4.5 Minimaldatensicherungskonzept90
5.4.6 Verpflichtung der Mitarbeiter zur Datensicherung90
5.4.7 Sporadische Restaurierungsübungen91
6: Sicherheitsmanagement92
6.1 Regelungsziele nach COBIT92
6.1.1 Prozess und Organisation93
6.1.2 Akquisition und Implementierung97
6.1.3 Delivery & Support97
6.1.4 Monitoring100
6.2 Vorschlag für eine Richtlinie zum Sicherheitsmanagement101
6.2.1 Vorbemerkung und Einführung102
6.2.2 Rollen und Verantwortlichkeiten103
6.2.2.1 Verantwortlichkeiten des Managements103
Übernahme der Gesamtverantwortung für IT-Sicherheit103
IT-Sicherheit integrieren103
IT-Sicherheit steuern und aufrecht erhalten103
Erreichbare Sicherheitsziele setzen104
IT-Sicherheitskosten gegen Nutzen abwägen104
Vorbildfunktion104
6.2.2.2 Verantwortlichkeiten des IT-Sicherheitsbeauftragten104
6.2.3 Änderungsmanagement105
6.2.3.1 Abstimmung von Änderungsanforderungen105
6.2.3.2 Konzeption und Organisation des Anforderungsmanagements105
6.2.4 Notfallmanagement106
6.2.4.1 Qualifizieren und Bewerten von Sicherheitsvorfällen106
6.2.4.2 Dokumentation von Sicherheitsvorfällen106
6.2.4.3 Treuhänderische Hinterlegung (Escrow)106
6.2.5 IT-Sicherheitsziele des Unternehmens107
6.2.5.1 Schutz von IT-Anwendungen, Systemen, Räumen und Kommunikation entsprechend dem jeweiligen Schutzbedarf107
6.2.5.2 Schutzbedarfsfeststellung für Vertraulichkeit, Integrität und Verfügbarkeit von schutzrelevanten Daten107
6.2.5.3 Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung107
6.2.6 IT-Sicherheitskonzept des Unternehmens108
6.2.7 Sicherheitsmanagement-Prozess des Unternehmens111
6.2.8 IT-Strukturanalyse111
6.2.8.1 Dokumentation der Systemkonfiguration113
6.2.8.2 Dokumentation der zugelassenen Benutzer und Rechteprofile114
6.2.9 Schutzbedarfsfeststellung114
6.2.9.1 Analyse der aktuellen Netzsituation114
6.2.9.2 Detaillierte Schutzbedarfsfeststellung115
6.2.9.3 Analyse von Schwachstellen im Netz115
6.2.10 Sicherheitsanalyse und Formulierung zielführender Sicherheitsmaßnahmen119
6.2.11 IT-Sicherheitsreporting an das Management120
6.2.12 Verhaltensweisen zu Sicherheitsvorfällen120
7: IT-Betrieb121
7.1 Regelungsziele nach COBIT121
7.1.1 Planung & Organisation122
7.1.2 Akquisition & Implementierung127
7.1.3 Delivery & Support129
7.1.4 Monitoring134
7.2 Vorschlag für eine Richtlinie zum sicheren IT-Betrieb134
7.2.1 Vorbemerkung und Einführung134
7.2.2 Gebäudesicherheit135
7.2.2.1 Klimatisierung135
7.2.2.2 Lokale und zentrale unterbrechungsfreie Stromversorgung136
7.2.2.3 Brandmeldeanlage136
7.2.2.4 Videoüberwachung137
7.2.2.5 Geeignete Aufstellung von Archivsystemen137
7.2.2.6 Brandschutz von Patchfeldern137
7.2.2.7 Schlüsselverwaltung138
7.2.2.8 Brandschutzbegehungen138
7.2.2.9 Rauchverbot139
7.2.2.10 Beschaffung geeigneter Schutzschränke139
7.2.2.11 Funktionstests der technischen Infrastruktur139
7.2.2.12 Einführung in die Bedrohung durch Schadprogramme140
7.2.3 Organisation und Governance140
7.2.3.1 Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz140
7.2.3.2 Aufgabenverteilung und Funktionstrennung141
7.2.3.3 Ernennung eines Administrators und eines Vertreters142
7.2.3.4 Aufteilung der Administrationstätigkeiten unter Unix142
7.2.3.5 Aufteilung der Administrationstätigkeiten142
7.2.3.6 Einrichtung einer Poststelle143
7.2.3.7 Aufteilung von Administrationstätigkeiten bei Datenbanksystemen143
7.2.3.8 Konzeption des IT-Betriebs144
Konventionen für Namens-, Adress- und Nummernräume145
7.2.3.9 Vertretungsregelungen146
7.2.3.10 Vertraulichkeitsvereinbarungen146
7.2.3.11 Auswahl eines vertrauenswürdigen Administrators und Vertreters147
7.2.3.12 Netzverwaltung147
7.2.3.13 Einrichtung eines zusätzlichen Netzadministrators147
7.2.3.14 Umgang mit Änderungsanforderungen148
7.2.3.15 Konfiguration von Autoupdate-Mechanismen beim Patch- und Änderungsmanagement148
7.2.4 Regelungen zu Zutritt, Zugang, Zugriff148
7.2.4.1 Vergabe von Zutrittsberechtigungen148
7.2.4.2 Schutz eines Rechenzentrums gegen unbefugten Zutritt149
7.2.4.3 Vergabe von Zugangsberechtigungen149
7.2.4.4 Vergabe von Zugriffsrechten149
7.2.4.5 Regelung des Passwortgebrauchs150
7.2.4.6 Zutrittsregelung und -kontrolle152
7.2.4.7 Hinterlegen des Passwortes152
7.2.4.8 Regelung für die Einrichtung von Benutzern/Benutzergruppen153
7.2.4.9 Einrichtung einer eingeschränkten Benutzerumgebung154
7.2.4.10 Einrichten der Zugriffsrechte154
7.2.4.11 Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System154
7.2.4.12 Regelung für die Einrichtung von Datenbankbenutzern/-benutzergruppen154
7.2.4.13 Richtlinien für die Zugriffs- bzw. Zugangskontrolle155
7.2.4.14 Passwortschutz für IT-Systeme156
7.2.4.15 Planung von SAP-Berechtigungen156
7.2.4.16 Absicherung eines SAP-Systems im Portal-Szenario157
7.2.4.17 Zugangsbeschränkungen für Accounts und/oder Terminals157
7.2.4.18 Sicherstellung einer konsistenten Systemverwaltung158
7.2.4.19 Restriktive Vergabe von Zugriffsrechten auf Systemdateien158
7.2.4.20 Restriktive Rechtevergabe159
7.2.4.21 Authentisierung bei Druckern, Kopierern und Multifunktionsgeräten159
7.2.4.22 Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten159
7.2.5 Hardware- und Softwareeinsatz160
7.2.5.1 Nutzungsverbot nicht freigegebener Hard- und Software160
7.2.5.2 Überprüfung des Hard- und Software-Bestandes160
7.2.5.3 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln161
7.2.5.4 Planung des Einsatzes eines WLANs161
7.2.5.5 Sicherstellen der Integrität von Standardsoftware162
7.2.5.6 Installation und Konfiguration von Standardsoftware162
7.2.5.7 Lizenzverwaltung und Versionskontrolle von Standardsoftware163
7.2.5.8 Sicheres Löschen von Datenträgern163
7.2.5.9 Überblick über Methoden zur Löschung und Vernichtung von Daten163
7.2.5.10 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten163
7.2.5.11 Einweisung aller Mitarbeiter über Methoden zur Löschung oder Vernichtung von Daten164
7.2.5.12 Schutz vor unerwünschten Informationsabflüssen164
7.2.5.13 Planung des Servereinsatzes164
7.2.5.14 Planung des Einsatzes von Druckern, Kopierern und Multifunktionsgeräten165
7.2.5.15 Test neuer Hard- und Software166
7.2.5.16 Planung der Administration für Windows Server 2003166
7.2.5.17 Planung des SAP-Einsatzes167
7.2.5.18 Aussonderung von IT-Systemen167
7.2.6 Sichere technische Infrastruktur168
7.2.6.1 Entwicklung eines Konzepts für Sicherheitsgateways168
7.2.6.2 Festlegung einer Policy für ein Sicherheitsgateway169
7.2.6.3 Integration von Servern in das Sicherheitsgateway170
7.2.6.4 Sicherer Betrieb eines Sicherheitsgateways170
7.2.6.5 Entwicklung eines Netzmanagementkonzeptes172
7.2.6.6 Sicherer Betrieb eines Netzmanagementsystems172
7.2.6.7 Planung der Administration von Verzeichnisdiensten173
7.2.6.8 Planung der Migration von Verzeichnisdiensten174
7.2.6.9 Geregelte Außerbetriebnahme eines Verzeichnisdienstes174
7.2.6.10 Trennung der Verwaltung von Diensten und Daten eines Active Directory174
7.2.6.11 Schulung zur Administration von Verzeichnisdiensten174
7.2.6.12 Sichere Installation von Verzeichnisdiensten174
7.2.6.13 Sicherer Betrieb von Verzeichnisdiensten175
7.2.6.14 Überwachung von Verzeichnisdiensten175
7.2.6.15 Bereitstellung von sicheren Domänen-Controllern175
7.2.6.16 Überwachung der Active Directory-Infrastruktur175
7.2.6.17 Umsetzung sicherer Verwaltungsmethoden für Active Directory176
7.2.6.18 Planung des VPN-Einsatzes176
7.2.6.19 Planung der technischen VPN-Realisierung176
7.2.6.20 Sicherer Betrieb eines VPNs177
7.2.6.21 Sperrung nicht mehr benötigter VPN-Zugänge177
7.2.6.22 Sichere Anbindung eines externen Netzes mit OpenVPN177
7.2.6.23 Sichere Anbindung eines externen Netzes mit IPSec178
7.2.6.24 Installation, Konfiguration und Betreuung eines WLANs durch Dritte178
7.2.6.25 Sicherer Betrieb der WLAN-Komponenten179
7.2.6.26 Entwurf eines NDS-Konzeptes180
7.2.6.27 Anforderungen an ein Systemmanagementsystem180
7.2.6.28 Sicherer Betrieb eines WWW-Servers181
7.2.6.29 Schulung der Administratoren eines Samba-Servers182
7.2.6.30 Sichere Grundkonfiguration eines Samba-Servers182
7.2.6.31 MB Message Signing und Samba182
7.2.6.32 Sicherer Betrieb eines Samba-Servers182
7.2.6.33 Verhinderung ungesicherter Netzzugänge182
7.2.6.34 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates183
7.2.6.35 Software-Pflege auf Routern und Switches184
7.2.6.36 Sichere Außerbetriebnahme von Routern und Switches184
7.2.6.37 Sicherheitsgateways und Hochverfügbarkeit185
7.2.6.38 Physikalisches Löschen der Datenträger vor und nach Verwendung185
7.2.6.39 Schutz der Integrität der Index-Datenbank von Archivsystemen185
7.2.6.40 Schadensmindernde Kabelführung186
7.2.6.41 Verkabelung in Serverräumen186
7.2.6.42 Deaktivieren nicht benötigter Netzdienste186
7.2.6.43 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit mobilen Datenträgern und Geräten186
7.2.7 Regelmäßige Kontrollmaßnahmen187
7.2.7.1 Kontrolle bestehender Verbindungen187
7.2.7.2 Kontrolle der Protokolldateien187
7.2.7.3 Kontrolle der Protokolldateien eines Datenbanksystems188
7.2.7.4 Regelmäßige Kontrolle von Routern und Switches188
7.2.7.5 Sicherer Betrieb eines Systemmanagementsystems189
7.2.7.6 Regelmäßige Integritätsprüfung191
7.2.7.7 Einsatz eines Protokollierungsservers in einem ­Sicherheitsgateway192
7.2.7.8 Überwachung und Verwaltung von Speichersystemen193
7.2.7.9 Regelmäßiger Sicherheitscheck des Netzes193
7.2.7.10 Protokollierung am Server194
7.2.7.11 Planung der Systemüberwachung unter Windows Server 2003194
7.2.7.12 Durchführung von Notfallübungen194
7.2.8 Datensicherung und Archivierung195
7.2.8.1 Geeignete Lagerung von Archivmedien195
7.2.8.2 Verwendung geeigneter Archivmedien195
7.2.8.3 Protokollierung der Archivzugriffe196
7.2.9 Schutz gegen Angriffe196
7.2.9.1 Meldung von Computer-Virus-Infektionen196
7.2.9.2 Aktualisierung der eingesetzten Computer-Viren-Suchprogramme197
7.2.9.3 Regelungen zum Computer-Virenschutz197
7.2.9.4 Vorbeugung gegen Trojanische Pferde198
7.2.9.5 Vermeidung gefährlicher Dateiformate199
7.2.9.6 Intrusion Detection- und Intrusion Response-Systeme199
7.2.10 Dokumentation199
7.2.10.1 Aktuelle Infrastruktur- und Baupläne199
7.2.10.2 Neutrale Dokumentation in den Verteilern200
7.2.10.3 Dokumentation der Systemkonfiguration200
7.2.10.4 Dokumentation der zugelassenen Benutzer und Rechteprofile200
7.2.10.5 Dokumentation der Veränderungen an einem bestehenden System201
7.2.10.6 Bereithalten von Handbüchern201
7.2.10.7 Ist-Aufnahme der aktuellen Netzsituation201
7.2.10.8 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen203
7.2.10.9 Dokumentation der Systemkonfiguration von Routern und Switches203
7.2.10.10 Dokumentation und Kennzeichnung der Verkabelung204
7.2.10.11 Laufende Fortschreibung und Revision der Netzdokumentation205
7.2.10.12 Übersicht über Netzdienste205
7.2.11 Schulung und Training205
7.2.11.1 Betreuung und Beratung von IT-Benutzern205
7.2.11.2 Schulung des Wartungs- und Administrationspersonals205
7.2.11.3 Einweisung der Benutzer in die Bedienung des Archivsystems206
7.2.11.4 Schulung der Administratoren des Sicherheitsgateways207
7.2.12 Ergänzende allgemeine Sicherheitsrichtlinien207
7.2.12.1 Der aufgeräumte Arbeitsplatz207
7.2.12.2 Konzeption der sicheren E-Mail-Nutzung207
7.2.12.3 Regelung für den Einsatz von E-Mail208
7.2.12.4 Bildschirmsperre209
8: IT-Systeme210
8.1 Regelungsziele nach COBIT210
8.1.1 Planung & Organisation211
8.1.2 Akquisition & Implementierung213
8.1.3 Delivery & Support216
8.1.4 Monitoring217
8.2 Vorschlag für eine Richtlinie zu IT-Systemen218
8.2.1 Vorbemerkung und Einführung218
8.2.2 Allgemeine Sicherheitsrichtlinien219
8.2.3 User-Management221
8.2.4 Server223
8.2.5 Client225
8.2.6 Mobile Systeme226
8.2.7 Externer Zugang227
8.2.8 Lotus Notes/Domino228
8.2.9 Webserver231
8.2.10 Novell232
8.2.11 Windows XP235
8.2.12 Windows239
8.2.12.1 Geeignete Auswahl einer Windows-Version239
8.2.12.2 Einsatz von Windows auf mobilen Rechnern239
8.2.12.3 Einführung von Windows Service Pack239
8.2.12.4 Einsatz von BitLocker Drive Encryption240
8.2.12.5 Einsatz von Windows Vista File und Registry Virtualization240
8.2.12.6 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista240
8.2.12.7 Einsatz der Windows Vista-Benutzerkontensteuerung – UAC240
8.2.13 Windows Server 2003240
8.2.14 Unix243
8.2.15 Aktive Netzwerkkomponenten245
8.2.16 Paketfilter & Proxy249
8.2.17 Datenbanken252
8.2.18 SAP253
8.2.19 Drucker256
8.2.20 Samba256
8.2.20.1 Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server256
8.2.21 Verzeichnisdienst257
8.2.21.1 Geeignete Auswahl von Komponenten für Verzeichnisdienste257
8.2.21.2 Planung der Partitionierung und Replikation im Verzeichnisdienst257
8.2.21.3 Schutz der Authentisierung beim Einsatz von Active Directory258
8.2.21.4 Sicherer Einsatz von DNS für Active Directory258
8.2.21.5 Computer-Viren-Schutz für Domänen-Controller258
8.2.21.6 Sichere Konfiguration von Verzeichnisdiensten258
8.2.21.7 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste258
8.2.21.8 Sichere Richtlinieneinstellungen für Domänen und Domänen-Controller259
8.2.21.9 Aufrechterhaltung der Betriebssicherheit von Active Directory259
8.2.21.10 Absicherung der Kommunikation mit Verzeichnisdiensten259
8.2.22 VPN259
8.2.22.1 Geeignete Auswahl von VPN-Produkten259
8.2.22.2 Sichere Installation von VPN-Endgeräten260
8.2.22.3 Sichere Konfiguration eines VPNs260
8.3 Vertiefende Detailregelungen in Arbeitsanweisungen260
9: Verankerung der IT-Sicherheit in der Organisation267
9.1 Regelungsziele nach COBIT267
9.1.1 Planung und Organisation268
9.1.2 Delivery & Support270
9.2 Vorschlag für eine Richtlinie zur IT-Organisation270
9.2.1 Schulung und Training270
9.2.1.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter270
9.2.1.2 Schulung vor Programmnutzung271
9.2.1.3 Schulung zu IT-Sicherheitsmaßnahmen271
9.2.1.4 Einweisung des Personals in den sicheren Umgang mit IT271
9.2.1.5 Regelungen für den Einsatz von Fremdpersonal272
9.2.1.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern272
9.2.1.7 Beaufsichtigung oder Begleitung von Fremdpersonen273
10: Service-Management274
10.1 Regelungsziele nach COBIT274
10.1.1 Planung und Organisation275
10.1.2 Akquisition und Implementierung277
10.1.3 Delivery & Support284
10.2 Vorschlag für eine Service-Management-Richtlinie286
10.2.1 Vorbemerkung und Einführung286
10.2.1.1 Zweck286
10.2.1.2 Grundlage287
10.2.1.3 Gegenstand und Umfang287
10.2.1.4 Verantwortlichkeiten für diese Richtlinie287
10.2.2 Incident-Management287
10.2.2.1 Anforderungen288
10.2.2.2 Dokumentation289
10.2.2.3 Kommunikation289
10.2.2.4 Major Incidents und Katastrophenfälle290
10.2.2.5 Rollen290
10.2.3 Problem-Management290
10.2.3.1 Anforderungen290
10.2.3.2 Rollen291
10.2.3.3 Problemaufnahme292
10.2.3.4 Known Errors292
10.2.3.5 Problemlösung292
10.2.3.6 Kommunikation293
10.2.3.7 Problemverfolgung und -eskalation293
10.2.3.8 Schließen von Tickets293
10.2.3.9 Problem-Management-Audit294
10.2.3.10 Problemvermeidung294
10.2.4 Change-Management295
10.2.4.1 Anforderungen295
10.2.4.2 Rollen297
10.2.4.3 Kommunikation298
10.2.4.4 Planung und Implementierung298
10.2.4.5 Changemanagement und Projekte300
10.2.4.6 Schließen von Änderungsanträgen301
10.2.4.7 Emergency Changes301
10.2.4.8 Changemanagement-Audit und Berichtswesen302
10.2.5 Release-Management303
10.2.5.1 Anforderungen303
10.2.5.2 Rollen304
10.2.5.3 Kommunikation304
10.2.5.4 Releaseplanung305
10.2.5.5 Releaseerstellung (design, build, configure)306
10.2.5.6 Freigabe307
10.2.5.7 Verteilung und Installation (roll out, distribution, installation)307
10.2.5.8 Dokumentation308
10.2.5.9 Schließen von Release309
10.2.5.10 Emergency Release309
10.2.6 Configuration-Management309
10.2.6.1 Anforderungen309
10.2.6.2 Rollen311
10.2.6.3 Einrichtung des Configuration-Managements311
10.2.6.4 Objekte des Configuration-Managements312
10.2.6.5 Soll-Ist-Abgleich316
10.2.6.6 Configuration-Management-Revision und Berichtswesen317
11: IT Continuity-Planung319
11.1 Regelungsziele nach COBIT319
11.1.1 Planung und Organisation320
11.1.2 Delivery & Support320
11.2 Vorschlag für eine IT Continuity-Richtlinie322
11.2.1 Grundlegende Maßnahmen zur IT Continuity-Planung322
11.2.1.1 Aufbau einer geeigneten Organisationsstruktur für das Notfallmanagement322
11.2.1.2 Erstellung eines Notfallkonzepts323
11.2.1.3 Integration von Notfallmanagement in organisationsweite Abläufe und Prozesse323
11.2.1.4 Tests und Notfallübungen323
11.2.1.5 Überprüfung und Aufrechterhaltung der Notfallmaßnahmen324
11.2.1.6 Dokumentation im Notfallmanagement-Prozess324
11.2.1.7 Überprüfung und Steuerung des Notfallmanagementsystems325
11.2.1.8 Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen325
11.2.1.9 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen326
11.2.1.10 Einrichtung einer zentralen Kontaktstelle für die Meldung von Sicherheitsvorfällen326
11.2.1.11 Schulung der Mitarbeiter des Service Desks zur Behandlung von Sicherheitsvorfällen326
11.2.1.12 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen327
11.2.1.13 Notfallplan für den Ausfall eines VPNs327
11.2.2 Ziele der IT Continuity-Planung327
11.2.3 Abgrenzung328
11.2.3.1 Business Continuity-Planung328
11.2.3.2 Krisen-Management329
11.2.3.3 Disaster Recovery-Planung329
11.2.3.4 Business Resumption-Planung329
11.2.4 Gegenstand dieser Richtlinie329
11.2.4.1 Kriterien der Planung329
11.2.4.2 Zweck und Ziel330
11.2.4.3 Voraussetzungen330
11.2.5 Planung der IT Continuity331
11.2.5.1 Verantwortlichkeit331
11.2.5.2 Review331
11.2.5.3 Maintenance331
11.2.5.4 Verteilung331
11.2.6 Contingency-Management332
11.2.7 Prozesse der IT Continuity332
11.2.7.1 IT Continuity-Planungsprozess332
11.2.7.2 IT Continuity Change-Prozess332
11.2.7.3 IT Continuity Review-Prozess333
11.2.7.4 IT Continuity Trainings- und Verifikationsprozess333
11.2.7.5 IT Continuity-Wiederherstellungsprozess (Disaster Recovery)333
11.2.8 Organisation der IT Continuity333
11.2.8.1 Disaster Recovery Management-Team333
11.2.8.2 Disaster Recovery Action-Team334
11.2.8.3 Application Recovery-Teams334
11.2.9 Umgebungswiederherstellung335
11.2.9.1 Wiederherstellung von Standorten335
11.2.9.2 Wiederherstellung der Netzwerke336
11.2.9.3 Wiederherstellung der Hardware336
11.2.9.4 Wiederherstellung der Software337
11.2.9.5 Wiederherstellung von Applikationsdaten338
11.2.9.6 Wiederherstellung der Monitoring-Plattformen339
11.2.10 Funktionale Wiederherstellung339
11.2.10.1 Business Resumption Plans339
11.2.10.2 Daten-Synchronisation – Backlog Processing339
11.2.10.3 Wiederaufnahme der Geschäftsfunktionen339
11.2.10.4 Verlegung zum Übergangsstandort339
11.2.10.5 Rückverlegung zum Heimatstandort340
Stichwortverzeichnis342

Weitere E-Books zum Thema: Informatik - Algorithmen - Softwaresysteme

Softwaretechnik

E-Book Softwaretechnik
Format: PDF

Software-Projekte geraten oft in Schwierigkeiten: Zeit und Budget werden überschritten; das Projekt tritt auf der Stelle; im schlimmsten Fall wird es ohne Ergebnis abgebrochen. Manche…

Softwaretechnik

E-Book Softwaretechnik
Format: PDF

Software-Projekte geraten oft in Schwierigkeiten: Zeit und Budget werden überschritten; das Projekt tritt auf der Stelle; im schlimmsten Fall wird es ohne Ergebnis abgebrochen. Manche…

Softwaretechnik

E-Book Softwaretechnik
Format: PDF

Software-Projekte geraten oft in Schwierigkeiten: Zeit und Budget werden überschritten; das Projekt tritt auf der Stelle; im schlimmsten Fall wird es ohne Ergebnis abgebrochen. Manche…

Software Engineering

E-Book Software Engineering
Architektur-Design und Prozessorientierung Format: PDF

Das Lehrbuch behandelt alle Aspekte der Software-Entwicklung, besonders aber Methoden und Richtlinien zur Herstellung großer und qualitativ hochwertiger Softwareprodukte. Es vermittelt das zur…

Software Engineering

E-Book Software Engineering
Architektur-Design und Prozessorientierung Format: PDF

Das Lehrbuch behandelt alle Aspekte der Software-Entwicklung, besonders aber Methoden und Richtlinien zur Herstellung großer und qualitativ hochwertiger Softwareprodukte. Es vermittelt das zur…

Weitere Zeitschriften

Bibel für heute

Bibel für heute

BIBEL FÜR HEUTE ist die Bibellese für alle, die die tägliche Routine durchbrechen wollen: Um sich intensiver mit einem Bibeltext zu beschäftigen. Um beim Bibel lesen Einblicke in Gottes ...

BONSAI ART

BONSAI ART

Auflagenstärkste deutschsprachige Bonsai-Zeitschrift, basierend auf den renommiertesten Bonsai-Zeitschriften Japans mit vielen Beiträgen europäischer Gestalter. Wertvolle Informationen für ...

Card-Forum

Card-Forum

Card-Forum ist das marktführende Magazin im Themenbereich der kartengestützten Systeme für Zahlung und Identifikation, Telekommunikation und Kundenbindung sowie der damit verwandten und ...

crescendo

crescendo

Die Zeitschrift für Blas- und Spielleutemusik in NRW - Informationen aus dem Volksmusikerbund NRW - Berichte aus 23 Kreisverbänden mit über 1000 Blasorchestern, Spielmanns- und Fanfarenzügen - ...

dima

dima

Bau und Einsatz von Werkzeugmaschinen für spangebende und spanlose sowie abtragende und umformende Fertigungsverfahren. dima - die maschine - bietet als Fachzeitschrift die Kommunikationsplattform ...

EineWelt

EineWelt

Lebendige Reportagen, spannende Interviews, interessante Meldungen, informative Hintergrundberichte. Lesen Sie in der Zeitschrift „EineWelt“, was Menschen in Mission und Kirche bewegt Man kann ...