IT-Sicherheit mit System - Integratives IT-Sicherheits-, Kontinuitäts- und Risikomanagement - Sichere Anwendungen - Standards und Practices
von: Klaus-Rainer Müller
Springer Vieweg, 2018
ISBN: 9783658220655
Sprache: Deutsch
898 Seiten, Download: 17016 KB
Format: PDF, auch als Online-Lesen
geeignet für:
Typ: B (paralleler Zugriff)
Mehr zum Inhalt
IT-Sicherheit mit System - Integratives IT-Sicherheits-, Kontinuitäts- und Risikomanagement - Sichere Anwendungen - Standards und Practices
| Vorwort | 6 | ||
| Inhaltsübersicht | 20 | ||
| Inhaltsverzeichnis | 21 | ||
| 1 Ausgangssituation und Zielsetzung | 33 | ||
| 1.1 Ausgangssituation | 35 | ||
| 1.1.1 Bedrohungen | 35 | ||
| 1.1.2 Schwachstellen | 49 | ||
| 1.1.3 Schadenshöhen, Schutzbedarfe | 52 | ||
| 1.2 Zielsetzung des Sicherheits-, Kontinuitäts- und Risikomanagements | 57 | ||
| 1.3 Lösung | 57 | ||
| 1.4 Zusammenfassung | 59 | ||
| 2 Kurzfassung und Überblick für Eilige | 61 | ||
| 3 Zehn Schritte zum Sicherheitsmanagement | 68 | ||
| 4 Gesetze, Verordnungen, Vorschriften, Anforderungen | 71 | ||
| 4.1 Persönliche Haftungsrisiken | 71 | ||
| 4.2 Haftungsrisiken von Unternehmen | 74 | ||
| 4.3 Risikomanagement | 74 | ||
| 4.4 Buchführung | 75 | ||
| 4.5 IT-Sicherheit kritischer Infrastrukturen/wesentlicher Dienste | 80 | ||
| 4.5.1 Deutschland | 80 | ||
| 4.5.2 Europäische Union | 85 | ||
| 4.6 Datenschutz | 86 | ||
| 4.6.1 Deutschland | 86 | ||
| 4.6.2 Österreich | 91 | ||
| 4.6.3 Schweiz | 91 | ||
| 4.6.4 Europäische Union | 91 | ||
| 4.6.5 USA | 94 | ||
| 4.7 Arbeitsschutz und Arbeitssicherheit | 95 | ||
| 4.8 Verträge | 95 | ||
| 4.9 Mitbestimmung | 96 | ||
| 4.10 Gleichbehandlung | 97 | ||
| 4.11 Weitere gesetzliche Anforderungen in Deutschland | 97 | ||
| 4.12 Energieversorgungsunternehmen | 98 | ||
| 4.13 Finanzinstitute und Versicherungsunternehmen | 100 | ||
| 4.13.1 Deutschland | 100 | ||
| 4.13.2 Europäische Union | 116 | ||
| 4.13.3 Basler Ausschuss für Bankenaufsicht | 117 | ||
| 4.14 Chemische Industrie | 119 | ||
| 4.14.1 Deutschland | 119 | ||
| 4.14.2 USA | 120 | ||
| 4.15 Behörden | 120 | ||
| 5 Normen, Standards, Practices | 122 | ||
| 5.1 Informationssicherheitsmanagement (ISM) | 122 | ||
| 5.1.1 BSI IT-Grundschutz im Überblick | 122 | ||
| 5.1.2 BSI-Standard 200-1, ISMS | 123 | ||
| 5.1.3 BSI-Standard 200-2, IT-Grundschutz-Methodik | 123 | ||
| 5.1.4 BSI-Standard 200-3, Risikoanalyse | 125 | ||
| 5.1.5 BSI-Standard 100-4, Notfallmanagement | 126 | ||
| 5.1.6 Vergleich der BSI-Standards mit der Sicherheitspyramide | 129 | ||
| 5.1.7 BSI IT-Grundschutz-Kompendium | 133 | ||
| 5.1.8 BSI-IT-Grundschutz-Kompendium versus Sicherheitspyramide | 135 | ||
| 5.1.9 ISO/IEC-27000-Familie zum ISM im Überblick | 136 | ||
| 5.1.10 ISO/IEC 27000:2016, Überblick und Vokabular | 140 | ||
| 5.1.11 ISO/IEC 27001:2013, ISMS – Requirements | 141 | ||
| 5.1.12 ISO/IEC 27002:2013, ISM – Code of practice for IS controls | 144 | ||
| 5.1.13 ISO/IEC 27003:2017, ISMS – Anleitung | 147 | ||
| 5.1.14 ISO/IEC 27004:2016, ISM – Measurement | 149 | ||
| 5.1.15 ISO/IEC 27005:2011, Information security risk management | 150 | ||
| 5.1.16 ISO/IEC 27010:2015, ISM for inter-sector and inter-organizational communications | 152 | ||
| 5.1.17 ISO/IEC 27013:2015, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 | 153 | ||
| 5.1.18 ISO/IEC 27014:2013, Governance of information security | 154 | ||
| 5.1.19 ISO/IEC TR 27016:2014, Wirtschaftlichkeit des ISM | 155 | ||
| 5.1.20 ISO/IEC 27017:2015, Leitfaden für Informationssicherheitsmaßnahmen bei Cloud-Services | 155 | ||
| 5.1.21 ISO/IEC 27018:2014, Leitfaden zum Schutz personenbezogener Daten in öffentlichen Clouds | 156 | ||
| 5.1.22 ISO/IEC 27019:2017, Informationssicherheit für Energieversorger | 156 | ||
| 5.1.23 ISO/IEC 27031:2011, Guidelines for ICT readiness for BC (IRBC) | 158 | ||
| 5.1.24 ISO/IEC 27032:2012, Guidelines for cybersecurity | 160 | ||
| 5.1.25 ISO/IEC 27033, Network security | 162 | ||
| 5.1.26 ISO/IEC 27034, Application security | 163 | ||
| 5.1.27 ISO/IEC 27035, Information security incident management | 165 | ||
| 5.1.28 ISO/IEC 27036, Information security for supplier relationships | 166 | ||
| 5.1.29 ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition and preservation of digital evidence | 167 | ||
| 5.1.30 ISO/IEC 27039:2015, IDPS | 167 | ||
| 5.1.31 ISO/IEC 27040:2015, Storage Security | 169 | ||
| 5.1.32 IEC 62443, Netzwerk- und Systemsicherheit | 170 | ||
| 5.1.33 OECD Digital Security Risk Management | 171 | ||
| 5.1.34 PCI Data Security Standard (DSS) | 172 | ||
| 5.2 Business Continuity Management (BCM): Teil der ISO-22300-Familie | 172 | ||
| 5.2.1 ISO 22301:2012, BCM-System – Anforderungen | 172 | ||
| 5.2.2 ISO 22313:2012, BCMS – Anleitung | 174 | ||
| 5.3 Risikomanagement | 175 | ||
| 5.3.1 OCTAVE® Approach | 175 | ||
| 5.4 IT Service Management | 177 | ||
| 5.4.1 ISO/IEC 20000, IT Service Management | 177 | ||
| 5.4.2 ISO/IEC 19770, IT und Software asset management (ITAM, SAM) | 181 | ||
| 5.4.3 ITIL® im Überblick | 183 | ||
| 5.4.4 ITIL® Information Security Management | 185 | ||
| 5.4.5 ITIL® IT Service Continuity Management | 186 | ||
| 5.4.6 COBIT®, Version 5.0 | 187 | ||
| 5.5 Zusammenfassender Vergleich mit der Sicherheitspyramide | 190 | ||
| 5.6 Reifegradmodelle | 197 | ||
| 5.6.1 Systems Security Engineering – Capability Maturity Model® | 198 | ||
| 5.6.2 Software Assurance Maturity Model | 199 | ||
| 5.6.3 Information Technology Security Assessment Framework | 200 | ||
| 5.6.4 Maturity Model nach COBIT® 5 | 201 | ||
| 5.6.5 Zusammenfassung | 202 | ||
| 5.7 Federated Identity Management | 202 | ||
| 5.8 Architekturen | 204 | ||
| 5.8.1 Serviceorientierte Architektur (SOA) | 204 | ||
| 5.8.2 Open Grid Services Architecture® (OGSA®) | 216 | ||
| 5.8.3 OSGi™ Architecture | 217 | ||
| 5.9 Projektmanagement | 217 | ||
| 5.10 Entwicklungsmethoden | 218 | ||
| 5.11 Programmier-/Entwicklungsrichtlinien | 219 | ||
| 5.11.1 C, C++ und Java | 219 | ||
| 5.11.2 Webanwendungen | 220 | ||
| 5.11.3 AndroidTM | 221 | ||
| 5.12 Schwachstellen (Vulnerabilities) | 221 | ||
| 5.12.1 Identifikation | 221 | ||
| 5.12.2 Bewertung (Scoring) | 222 | ||
| 5.13 Schutz vor Insider-Bedrohungen | 223 | ||
| 5.14 Gute Praktiken (GxP) | 224 | ||
| 5.14.1 OECD: Gute Laborpraxis (GLP) | 224 | ||
| 5.14.2 PIC: Gute Herstellungspraxis (GMP) | 225 | ||
| 5.14.3 ISPE: Good Automated Manufacturing Practice, GAMP® 5 | 226 | ||
| 5.15 Prüfungsstandards für Dienstleistungsunternehmen | 227 | ||
| 6 Definitionen zum Sicherheits-, Kontinuitäts- und Risikomanagement | 229 | ||
| 6.1 Unternehmenssicherheitsmanagementsystem | 229 | ||
| 6.2 Informationssicherheitsmanagementsystem | 230 | ||
| 6.3 Sicherheitsmanagement | 232 | ||
| 6.4 IKT-Sicherheitsmanagement | 232 | ||
| 6.5 Ingenieurmäßige Sicherheit – Safety, Security, Continuity, Risk Engineering | 234 | ||
| 6.6 Sicherheitspyramide | 235 | ||
| 6.7 Sicherheitspolitik | 238 | ||
| 6.8 Sicherheit im Lebenszyklus | 240 | ||
| 6.9 Ressourcen, Schutzobjekte und -subjekte sowie -klassen | 241 | ||
| 6.10 Sicherheitskriterien (Grundwerte der Sicherheit) | 243 | ||
| 6.11 Geschäftseinflussanalyse (Business Impact Analysis) | 243 | ||
| 6.12 Geschäftskontinuität (Business Continuity) | 244 | ||
| 6.13 Sicherheit und Sicherheitsdreiklang | 244 | ||
| 6.14 Risiko und Risikodreiklang | 246 | ||
| 6.15 Risikomanagement | 248 | ||
| 6.16 Sicherheits-, Kontinuitäts- und Risikomanagement der IKT | 248 | ||
| 6.17 Zusammenfassung | 249 | ||
| 7 Die Sicherheitspyramide – Strategie und Vorgehensmodell | 252 | ||
| 7.1 Überblick | 253 | ||
| 7.2 Sicherheitshierarchie | 257 | ||
| 7.2.1 Sicherheits-, Kontinuitäts- und Risikopolitik | 257 | ||
| 7.2.2 Sicherheitsziele/Sicherheitsanforderungen | 257 | ||
| 7.2.3 Sicherheitstransformation und Sicherheitsmerkmale | 258 | ||
| 7.2.4 Sicherheitsarchitektur | 259 | ||
| 7.2.5 Sicherheitsrichtlinien | 259 | ||
| 7.2.6 Spezifische Sicherheitskonzepte | 260 | ||
| 7.2.7 Sicherheitsmaßnahmen | 261 | ||
| 7.3 PROSim | 261 | ||
| 7.4 Lebenszyklus von Prozessen, Ressourcen, Organisation, Produkten und (Dienst-)Leistungen (Services) | 262 | ||
| 7.4.1 Prozesslebenszyklus | 263 | ||
| 7.4.2 Ressourcen-/Systemlebenszyklus | 263 | ||
| 7.4.3 Organisationslebenszyklus | 264 | ||
| 7.4.4 Produkt- und Dienstleistungslebenszyklus | 264 | ||
| 7.5 Sicherheitsregelkreis | 264 | ||
| 7.6 Sicherheitsmanagementprozess | 265 | ||
| 7.7 Zusammenfassung | 265 | ||
| 8 Sicherheits-, Kontinuitäts- und Risikopolitik | 268 | ||
| 8.1 Zielsetzung | 269 | ||
| 8.2 Umsetzung | 270 | ||
| 8.3 Inhalte | 271 | ||
| 8.4 Praxisbeispiele | 274 | ||
| 8.4.1 Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung | 274 | ||
| 8.4.2 Sicherheits-, Kontinuitäts- und Risikopolitik | 276 | ||
| 8.5 Zusammenfassung | 285 | ||
| 9 Sicherheitsziele/Sicherheitsanforderungen | 287 | ||
| 9.1 Sicherheits- und Kontinuitätskriterien | 289 | ||
| 9.2 Interne und externe Schutzanforderungen/Schutzbedarfe | 290 | ||
| 9.3 Schutzbedarfsklassen/Schutzniveaus | 290 | ||
| 9.4 Planungshorizont und zeitliche Staffelung | 291 | ||
| 9.5 Klassifizierung der Informations- und Datenkategorien | 292 | ||
| 9.6 Schutzbedarfsanalyse (SBA) | 295 | ||
| 9.6.1 Geschäftseinflussanalyse (Business Impact Analysis) | 296 | ||
| 9.6.2 Betriebseinflussanalyse (Operational Impact Analysis) | 298 | ||
| 9.7 Zusammenfassung | 299 | ||
| 10 Sicherheitsmerkmale | 300 | ||
| 10.1 Haus zur Sicherheit – House of Safety, Security, Continuity (HoSSC) | 301 | ||
| 10.2 Safety, Security and Continuity Function Deployment (SSCFD) | 302 | ||
| 10.2.1 Transformation der Anforderungen auf Sicherheitsmerkmale | 303 | ||
| 10.2.2 Detaillierung der Sicherheitsmerkmale | 304 | ||
| 10.2.3 Abbildung der Merkmale auf den Lebenszyklus | 305 | ||
| 10.3 Schutzbedarfsklassen | 306 | ||
| 10.4 Praxisbeispiele | 307 | ||
| 10.5 Zusammenfassung | 309 | ||
| 11 Sicherheitsarchitektur | 311 | ||
| 11.1 Überblick | 312 | ||
| 11.2 Prinzipielle/generische Sicherheitsanforderungen | 314 | ||
| 11.3 Prinzipielle/generische Bedrohungen | 314 | ||
| 11.4 Strategien und Prinzipien | 319 | ||
| 11.4.1 Risikostrategie (Risk Strategy), Risikolandkarte, Risikoklassen | 320 | ||
| 11.4.2 Sicherheits- und Kontinuitätsstrategie (Safety, Security and Continuity Strategy) | 322 | ||
| 11.4.3 Prinzip der Wirtschaftlichkeit | 323 | ||
| 11.4.4 Prinzip der Abstraktion | 323 | ||
| 11.4.5 Prinzip der Klassenbildung (Principle of Classification) | 324 | ||
| 11.4.6 Poka-Yoke-Prinzip | 325 | ||
| 11.4.7 Prinzip der Namenskonventionen (Principle of Naming Conventions) | 327 | ||
| 11.4.8 Prinzip der Redundanz (Principle of Redundancy) | 327 | ||
| 11.4.9 Prinzip des „aufgeräumten” Arbeitsplatzes (Clear Desk/Workplace Policy) | 331 | ||
| 11.4.10 Prinzip der Abwesenheitssperre | 331 | ||
| 11.4.11 Prinzip der Eigenverantwortlichkeit | 332 | ||
| 11.4.12 Vier-Augen-Prinzip (Confirmed Double Check/Dual Control Principle) | 332 | ||
| 11.4.13 Prinzip der Funktionstrennung (Segregation of Duties Principle) | 332 | ||
| 11.4.14 Prinzip der Sicherheitsschalen (Safety and Security Shell Principle) | 333 | ||
| 11.4.15 Prinzip der Pfadanalyse (Path Analysis Principle) | 334 | ||
| 11.4.16 Prinzip der gesicherten Identität | 335 | ||
| 11.4.17 Prinzip der gesicherten Kommunikation | 335 | ||
| 11.4.18 Prinzip der Ge- und Verbotsdifferenzierung | 336 | ||
| 11.4.19 Prinzip des generellen Verbots (Deny All Principle) | 336 | ||
| 11.4.20 Prinzip der Ausschließlichkeit | 336 | ||
| 11.4.21 Prinzip des minimalen Bedarfs (Need to Know/Use Principle) | 337 | ||
| 11.4.22 Prinzip der minimalen Rechte (Least/Minimum Privileges Principle) | 338 | ||
| 11.4.23 Prinzip der minimalen Dienste (Minimum Services Principle) | 338 | ||
| 11.4.24 Prinzip der minimalen Nutzung (Minimum Usage Principle) | 339 | ||
| 11.4.25 Prinzip der Nachvollziehbarkeit und Nachweisbarkeit | 339 | ||
| 11.4.26 Prinzip des „sachverständigen Dritten“ (Principle of Third Party Expert) | 339 | ||
| 11.4.27 Prinzip der Sicherheitszonen und des Closed-Shop-Betriebs | 340 | ||
| 11.4.28 Prinzip der Sicherheitszonenanalyse | 344 | ||
| 11.4.29 Prinzip des abgesicherten Ausfalls (Principle of Fail Safe and Fail Secure) | 344 | ||
| 11.4.30 Prinzip der Immanenz (Principle of Immanence) | 345 | ||
| 11.4.31 Prinzip der Konsolidierung (Principle of Consolidation) | 346 | ||
| 11.4.32 Prinzip der Standardisierung (Principle of Standardization) | 349 | ||
| 11.4.33 Prinzip der Plausibilisierung (Principle of Plausibleness) | 350 | ||
| 11.4.34 Prinzip der Konsistenz (Principle of Consistency) | 351 | ||
| 11.4.35 Prinzip der Untergliederung (Principle of Compartmentalization) | 352 | ||
| 11.4.36 Prinzip der Aufteilung | 352 | ||
| 11.4.37 Prinzip der Pseudonymisierung bzw. Maskierung | 353 | ||
| 11.4.38 Prinzip der Vielfältigkeit (Principle of Diversity) | 353 | ||
| 11.4.39 Distanzprinzip (Distance Principle) | 353 | ||
| 11.4.40 Prinzip der Vererbung | 355 | ||
| 11.4.41 Prinzip der Subjekt-Objekt-/Aktiv-Passiv-Differenzierung | 355 | ||
| 11.4.42 Prinzip der Wachsamkeit | 356 | ||
| 11.4.43 Prinzip der Regelschleife | 357 | ||
| 11.4.44 Prinzipien versus Sicherheitskriterien (Sicherheitsgrundwerte) | 357 | ||
| 11.5 Sicherheitselemente | 359 | ||
| 11.5.1 Prozesse im Überblick | 361 | ||
| 11.5.2 Konformitätsmanagement (Compliance Management) | 371 | ||
| 11.5.3 Datenschutzmanagement (Data Protection Management) | 375 | ||
| 11.5.4 Risikomanagement (Risk Management) | 380 | ||
| 11.5.5 Leistungsmanagement (Service/Service Level Management) | 394 | ||
| 11.5.6 Finanzmanagement (Financial Management) | 399 | ||
| 11.5.7 Projektmanagement (Project Management) | 400 | ||
| 11.5.8 Qualitätsmanagement (Quality Management) | 401 | ||
| 11.5.9 Ereignismanagement (Incident Management) | 402 | ||
| 11.5.10 Problemmanagement (Problem Management) | 409 | ||
| 11.5.11 Änderungsmanagement (Change Management) | 411 | ||
| 11.5.12 Releasemanagement (Release Management) | 415 | ||
| 11.5.13 Konfigurationsmanagement (Configuration Management) | 415 | ||
| 11.5.14 Lizenzmanagement (Licence Management) | 418 | ||
| 11.5.15 Kapazitätsmanagement (Capacity Management) | 420 | ||
| 11.5.16 Wartungsmanagement (Maintenance Management) | 423 | ||
| 11.5.17 Kontinuitätsmanagement (Continuity Management) | 424 | ||
| 11.5.18 Securitymanagement (Security Management) | 458 | ||
| 11.5.19 Architekturmanagement (Architecture Management) | 499 | ||
| 11.5.20 Innovationsmanagement (Innovation Management) | 514 | ||
| 11.5.21 Vertragsmanagement (Contract Management) | 518 | ||
| 11.5.22 Dokumentationsmanagement (Documentation Management) | 520 | ||
| 11.5.23 Personalmanagement (Human Resources Management) | 523 | ||
| 11.5.24 Ressourcen im Überblick | 530 | ||
| 11.5.25 Prozesse | 531 | ||
| 11.5.26 Informationen und Daten | 531 | ||
| 11.5.27 Dokumentationen | 531 | ||
| 11.5.28 IKT-Hardware und Software | 532 | ||
| 11.5.29 Infrastruktur | 579 | ||
| 11.5.30 Material | 580 | ||
| 11.5.31 Methoden und Verfahren | 580 | ||
| 11.5.32 Personal | 580 | ||
| 11.5.33 Organisation im Überblick | 581 | ||
| 11.5.34 Lebenszyklus im Überblick | 582 | ||
| 11.6 Interdependenznetz | 583 | ||
| 11.7 Hilfsmittel RiSiKo-Architekturmatrix | 585 | ||
| 11.8 Zusammenfassung | 586 | ||
| 12 Sicherheitsrichtlinien/-standards – Generische Sicherheitskonzepte | 588 | ||
| 12.1 Übergreifende Richtlinien | 589 | ||
| 12.1.1 Sicherheitsregeln | 589 | ||
| 12.1.2 Vorlage Prozessbeschreibung | 591 | ||
| 12.1.3 Vorlage Ressourcenbeschreibung | 594 | ||
| 12.1.4 Faxgeräte und Fax-Nutzung | 596 | ||
| 12.1.5 Drucker | 596 | ||
| 12.1.6 IKT-Benutzerordnung | 596 | ||
| 12.1.7 E-Mail-Nutzung | 608 | ||
| 12.1.8 Internet-Nutzung | 609 | ||
| 12.1.9 Cloud Computing | 610 | ||
| 12.2 Betriebs- und Begleitprozesse (Managementdisziplinen) | 613 | ||
| 12.2.1 Konformitätsmanagement | 613 | ||
| 12.2.2 Datenschutzmanagement | 614 | ||
| 12.2.3 Risikomanagement | 618 | ||
| 12.2.4 Kapazitätsmanagement | 623 | ||
| 12.2.5 Kontinuitätsmanagement | 625 | ||
| 12.2.6 Securitymanagement | 645 | ||
| 12.2.7 Architekturmanagement | 667 | ||
| 12.3 Ressourcen | 672 | ||
| 12.3.1 Zutrittskontrollsystem | 672 | ||
| 12.3.2 Passwortbezogene Systemanforderungen | 672 | ||
| 12.3.3 Firewall | 674 | ||
| 12.3.4 Wireless LAN (WLAN) | 675 | ||
| 12.4 Organisation | 676 | ||
| 12.5 Zusammenfassung | 677 | ||
| 13 Spezifische Sicherheitskonzepte | 679 | ||
| 13.1 Prozesse | 680 | ||
| 13.1.1 Kontinuitätsmanagement | 680 | ||
| 13.2 Ressourcen | 681 | ||
| 13.2.1 Betriebssystem | 681 | ||
| 13.3 Zusammenfassung | 681 | ||
| 14 Sicherheitsmaßnahmen | 682 | ||
| 14.1 Ressourcen | 682 | ||
| 14.1.1 Betriebssystem: Protokoll Passworteinstellungen | 682 | ||
| 14.2 Zusammenfassung | 683 | ||
| 15 Lebenszyklus – mit integrierter Sicherheit | 684 | ||
| 15.1 Übergreifendes | 687 | ||
| 15.2 Sichere Beantragung (Secure Proposal Application) | 688 | ||
| 15.3 Sichere Planung (Secure Planning) | 690 | ||
| 15.4 Sichere Fachkonzeption, sichere Anforderungsspezifikation (Secure Requirements Specification) | 690 | ||
| 15.5 Sichere technische Grobkonzeption (Secure Technical Basic Design) | 694 | ||
| 15.6 Sichere technische Feinkonzeption (Secure Technical Design) | 700 | ||
| 15.7 Sichere Entwicklung (Secure Development/Coding) | 702 | ||
| 15.8 Sichere Integrations- und Systemtest (Secure Integration/System Tests) | 707 | ||
| 15.9 Sichere Freigabe (Secure Approval) | 708 | ||
| 15.10 Sichere Software-Evaluation (Secure Software Evaluation) | 708 | ||
| 15.11 Sichere Auslieferung (Secure Delivery) | 709 | ||
| 15.12 Sicherer Abnahmetest und sichere Abnahme (Secure Acceptance) | 710 | ||
| 15.13 Sichere Software-Verteilung (Secure Software Deployment) | 711 | ||
| 15.14 Sichere Inbetriebnahme (Secure Startup Procedure) | 711 | ||
| 15.15 Sicherer Betrieb (Secure Operation) | 712 | ||
| 15.16 Sichere Außerbetriebnahme (Secure Decommissioning) | 713 | ||
| 15.17 Hilfsmittel erweiterte Phasen-Ergebnistypen-Tabelle (ePET) | 714 | ||
| 15.18 Zusammenfassung | 716 | ||
| 16 Sicherheitsregelkreis | 718 | ||
| 16.1 Sicherheitsprüfungen | 719 | ||
| 16.1.1 Sicherheitsstudie/Risikoanalyse | 719 | ||
| 16.1.2 Penetrationstests | 724 | ||
| 16.1.3 IKT-Security-Scans | 725 | ||
| 16.2 Sicherheitscontrolling | 726 | ||
| 16.3 Berichtswesen (SSCRPC-Reporting) | 728 | ||
| 16.3.1 Anforderungen | 728 | ||
| 16.3.2 Inhalte | 730 | ||
| 16.4 Safety-Security-Continuity-Risk-Privacy-Compliance-Benchmarks | 743 | ||
| 16.5 Hilfsmittel IKT-Sicherheitsfragen | 743 | ||
| 16.6 Zusammenfassung | 744 | ||
| 17 Reifegradmodell des Sicherheits-, Kontinuitäts- und Risikomanagements | 745 | ||
| 17.1 Reifegradmodell RiSiKo-Management | 745 | ||
| 17.1.1 Stufe 0: unbekannt | 746 | ||
| 17.1.2 Stufe 1: begonnen | 746 | ||
| 17.1.3 Stufe 2: konzipiert | 747 | ||
| 17.1.4 Stufe 3: standardisiert | 747 | ||
| 17.1.5 Stufe 4: integriert | 747 | ||
| 17.1.6 Stufe 5: gesteuert | 747 | ||
| 17.1.7 Stufe 6: selbst lernend | 748 | ||
| 17.2 Checkliste Reifegrad | 751 | ||
| 17.3 Praxisbeispiel | 753 | ||
| 17.4 Zusammenfassung | 754 | ||
| 18 Sicherheitsmanagementprozess | 755 | ||
| 18.1 Deming- bzw. PDCA-Zyklus | 755 | ||
| 18.2 Planung | 756 | ||
| 18.3 Durchführung | 758 | ||
| 18.4 Prüfung | 758 | ||
| 18.5 Verbesserung | 759 | ||
| 18.6 Zusammenfassung | 759 | ||
| 19 Minimalistische Sicherheit | 762 | ||
| 20 Verzeichnis der Abbildungen | 764 | ||
| 21 Verzeichnis der Tabellen | 766 | ||
| 22 Verzeichnis der Checklisten | 766 | ||
| 23 Verzeichnis der Beispiele | 767 | ||
| 24 Verzeichnis der Tipps | 769 | ||
| 25 Verzeichnis der Informationen | 770 | ||
| 26 Verzeichnis der Marken | 772 | ||
| 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices | 774 | ||
| 27.1 Gesetze, Verordnungen, Richtlinien | 774 | ||
| 27.1.1 Deutschland: Gesetze, Verordnungen | 774 | ||
| 27.1.2 Österreich: Gesetze, Verordnungen | 776 | ||
| 27.1.3 Schweiz: Gesetze, Verordnungen, Rundschreiben | 776 | ||
| 27.1.4 Großbritannien: Gesetze | 777 | ||
| 27.1.5 Europa: Entscheidungen, Richtlinien, Verordnungen, Practices | 777 | ||
| 27.1.6 USA: Gesetze, Practices, Prüfvorschriften | 779 | ||
| 27.2 Bestimmungen, Grundsätze, Vorschriften | 780 | ||
| 27.3 Standards, Normen, Leitlinien | 783 | ||
| Literatur- und Quellenverzeichnis | 812 | ||
| Glossar und Abkürzungsverzeichnis | 817 | ||
| Sachwortverzeichnis | 848 | ||
| Über den Autor | 896 |
