Verzeichnis der Maßnahmen aus Anhang A der ISO 27001978-3-8348-9425-0/1.pdf · 241 Verzeichnis der...

241

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001

Das folgende Verzeichnis verweist auf die Erläuterungen in diesem Buch zu den angegebenen Regelungsbereichen (erste Gliederungsebene), Sicherheitskategorien (zweite Gliederungsebene) und Maßnahmen (dritte Gliederungsebene).

A.5 Sicherheitsleitlinie ......................................................................................... 132 A.5.1 Informationssicherheitsleitlinie ................................................. 132

A.5.1.1 Leitlinie zur Informationssicherheit....................... 132 A.5.1.2 Überprüfung der

Informationssicherheitsleitlinie.............................. 132 A.6 Organisation der Informationssicherheit ..................................................... 133

A6.1 Interne Organisation.................................................................. 133 A.6.1.1 Engagement des Managements für

Informationssicherheit............................................ 133 A.6.1.2 Koordination der Informationssicherheit.............. 133 A.6.1.3 Zuweisung der Verantwortlichkeiten für

Informationssicherheit............................................ 134 A.6.1.4 Genehmigungsverfahren für

informationsverarbeitende Einrichtungen............. 134 A.6.1.5 Vertraulichkeitsvereinbarungen............................. 134 A.6.1.6 Kontakt zu Behörden............................................. 135 A.6.1.7 Kontakt zu speziellen Interessengruppen ............ 135 A.6.1.8 Unabhängige Überprüfung der

Informationssicherheit............................................ 136 A.6.2 Externe Parteien ........................................................................ 136

A.6.2.1 Identifizierung von Risiken in Zusammenhang mit Externen ............................... 137

A.6.2.2 Adressieren von Sicherheit im Umgang mit Kunden ................................................................... 137

A.6.2.3 Adressieren von Sicherheit in Vereinbarungen mit Dritten............................................................... 138


242

A.7 Management von organisationseigenen Werten......................................... 138 A.7.1 Verantwortung für organisationseigene Werte........................ 138

A.7.1.1 Inventar der organisationseigenen Werte............. 138 A.7.1.2 Eigentum von organisationseigenen Werten........ 139 A.7.1.3 Zulässiger Gebrauch von

organisationseigenen Werten ................................ 139 A.7.2 Klassifizierung von Informationen ........................................... 139

A.7.2.1 Regelungen für die Klassifizierung ....................... 139 A.7.2.2 Kennzeichnung von und Umgang mit

Informationen......................................................... 140 A.8 Personalsicherheit ......................................................................................... 141

A.8.1 Vor der Anstellung .................................................................... 141 A.8.1.1 Aufgaben und Verantwortlichkeiten ..................... 142 A.8.1.2 Überprüfung ........................................................... 142 A.8.1.3 Arbeitsvertragsklauseln .......................................... 143

A.8.2 Während der Anstellung ........................................................... 144 A.8.2.1 Verantwortung des Managements......................... 144 A.8.2.2 Sensibilisierung, Ausbildung und Schulung

für Informationssicherheit...................................... 144 A.8.2.3 Disziplinarverfahren ............................................... 145

A.8.3 Beendigung oder Änderung der Anstellung............................ 145 A.8.3.1 Verantwortlichkeiten bei der Beendigung............ 146 A.8.3.2 Rückgabe von organisationseigenen Werten ....... 146 A.8.3.3 Aufheben von Zugangsrechten ............................. 146

A.9 Physische und umgebungsbezogene Sicherheit......................................... 147 A.9.1 Sicherheitsbereiche.................................................................... 147

A.9.1.1 Sicherheitszonen..................................................... 147 A.9.1.2 Zutrittskontrolle ...................................................... 148 A.9.1.3 Sicherung von Büros, Räumen und

Einrichtungen ......................................................... 149 A.9.1.4 Schutz vor Bedrohungen von Außen und aus

der Umgebung........................................................ 149 A.9.1.5 Arbeit in Sicherheitszonen..................................... 149


243

A.9.1.6 Öffentlicher Zugang, Anlieferungs- und Ladezonen............................................................... 150

A.9.2 Sicherheit von Betriebsmitteln.................................................. 150 A.9.2.1 Platzierung und Schutz von Betriebsmitteln ........ 151 A.9.2.2 Unterstützende Versorgungseinrichtungen........... 151 A.9.2.3 Sicherheit der Verkabelung ................................... 152 A.9.2.4 Instandhaltung von Gerätschaften ........................ 152 A.9.2.5 Sicherheit von außerhalb des Standorts

befindlicher Ausrüstung......................................... 152 A.9.2.6 Sichere Entsorgung oder Weiterverwendung

von Betriebsmitteln ................................................ 153 A.9.2.7 Entfernung von Eigentum...................................... 153

A.10 Betriebs- und Kommunikationsmanagement.............................................. 154 A.10.1 Verfahren und Verantwortlichkeiten........................................ 154

A.10.1.1 Dokumentierte Betriebsprozesse .......................... 154 A.10.1.2 Änderungsverwaltung ............................................ 155 A.10.1.3 Aufteilung von Verantwortlichkeiten .................... 155 A.10.1.4 Aufteilung von Entwicklungs-, Test- und

Produktiveinrichtungen.......................................... 156 A.10.2 Management der Dienstleistungs-Erbringung von Dritten ..... 156

A.10.2.1 Erbringung von Dienstleistungen.......................... 157 A.10.2.2 Überwachung und Überprüfung der

Dienstleistungen von Dritten................................. 157 A.10.2.3 Management von Änderungen an

Dienstleistungen von Dritten................................. 158 A.10.3 Systemplanung und Abnahme.................................................. 158

A.10.3.1 Kapazitätsplanung .................................................. 158 A.10.3.2 System-Abnahme.................................................... 159

A.10.4 Schutz vor Schadsoftware und mobilem Programmcode....... 159 A.10.4.1 Maßnahmen gegen Schadsoftware ....................... 159 A.10.4.2 Schutz vor mobiler Software (mobilen

Agenten) ................................................................. 160 A.10.5 Backup ....................................................................................... 161

A.10.5.1 Backup von Informationen.................................... 161


244

A.10.6 Management der Netzsicherheit ............................................... 161 A.10.6.1 Maßnahmen für Netze ........................................... 161 A.10.6.2 Sicherheit von Netzdiensten .................................. 162

A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien........ 163 A.10.7.1 Verwaltung von Wechselmedien .......................... 163 A.10.7.2 Entsorgung von Medien......................................... 163 A.10.7.3 Umgang mit Informationen ................................... 164 A.10.7.4 Sicherheit der Systemdokumentation.................... 165

A.10.8 Austausch von Informationen................................................... 165 A.10.8.1 Regelwerke und Verfahren zum Austausch

von Informationen ................................................. 166 A.10.8.2 Vereinbarungen zum Austausch von

Informationen......................................................... 167 A.10.8.3 Transport physischer Medien ................................ 167 A.10.8.4 Elektronische Mitteilungen / Nachrichten

(Messaging)............................................................. 168 A.10.8.5 Geschäftsinformationssysteme............................... 169

A.10.9 E-Commerce-Anwendungen..................................................... 169 A.10.9.1 E-Commerce ........................................................... 170 A.10.9.2 Online-Transaktionen ............................................ 171 A.10.9.3 Öffentlich verfügbare Informationen .................... 172

A.10.10 Überwachung............................................................................. 172 A.10.10.1 Auditprotokolle ...................................................... 172 A.10.10.2 Überwachung der Systemnutzung ........................ 173 A.10.10.3 Schutz von Protokollinformationen ...................... 174 A.10.10.4 Administrator- und Betreiberprotokolle................ 174 A.10.10.5 Fehlerprotokolle ..................................................... 175 A.10.10.6 Zeitsynchronisation ................................................ 175

A.11 Zugangskontrolle .......................................................................................... 175 A.11.1 Geschäftsanforderungen für Zugangskontrolle ....................... 175

A.11.1.1 Regelwerk zur Zugangskontrolle .......................... 176 A.11.2 Management des Benutzerzugriffs ........................................... 177

A.11.2.1 Benutzerregistrierung............................................. 177


245

A.11.2.2 Verwaltung von Sonderrechten............................. 177 A.11.2.3 Verwaltung von Benutzerpasswörtern.................. 178 A.11.2.4 Überprüfung von Benutzerberechtigungen.......... 179

A.11.3 Benutzerverantwortung............................................................. 179 A.11.3.1 Passwortverwendung ............................................. 179 A.11.3.2 Unbeaufsichtigte Benutzerausstattung .................. 180 A.11.3.3 Der Grundsatz des aufgeräumten

Schreibtischs und des leeren Bildschirms............. 180 A.11.4 Zugangskontrolle für Netze ...................................................... 180

A.11.4.1 Regelwerk zur Nutzung von Netzen..................... 181 A.11.4.2 Benutzerauthentisierung für externe

Verbindungen......................................................... 181 A.11.4.3 Geräteidentifikation in Netzen .............................. 182 A.11.4.4 Schutz der Diagnose- und

Konfigurationsports................................................ 182 A.11.4.5 Trennung in Netzwerken....................................... 182 A.11.4.6 Kontrolle von Netzverbindungen.......................... 183 A.11.4.7 Routingkontrolle für Netze .................................... 183

A.11.5 Zugriffskontrolle auf Betriebssysteme...................................... 183 A.11.5.1 Verfahren für sichere Anmeldung......................... 184 A.11.5.2 Benutzeridentifikation und Authentisierung......... 184 A.11.5.3 Systeme zur Verwaltung von Passwörtern ........... 185 A.11.5.4 Verwendung von Systemwerkzeugen................... 185 A.11.5.5 Session Time-out .................................................... 186 A.11.5.6 Begrenzung der Verbindungszeit.......................... 186

A.11.6 Zugangskontrolle zu Anwendungen und Informationen ....... 187 A.11.6.1 Einschränkung von Informationszugriff ............... 187 A.11.6.2 Isolation sensibler Systeme.................................... 187

A.11.7 Mobile Computing und Telearbeit ........................................... 187 A.11.7.1 Mobile Computing und Kommunikation.............. 188 A.11.7.2 Telearbeit ................................................................ 188


246

A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen ....... 189 A.12.1 Sicherheitsanforderungen von Informationssystemen ............ 189

A.12.1.1 Analyse und Spezifikation von Sicherheitsanforderungen ...................................... 189

A.12.2 Korrekte Verarbeitung in Anwendungen................................. 190 A.12.2.1 Überprüfung von Eingabedaten............................ 190 A.12.2.2 Kontrolle der internen Verarbeitung..................... 190 A.12.2.3 Integrität von Nachrichten ..................................... 191 A.12.2.4 Überprüfung von Ausgabedaten ........................... 191

A.12.3 Kryptografische Maßnahmen.................................................... 191 A.12.3.1 Leitlinie zur Anwendung von Kryptografie .......... 192 A.12.3.2 Verwaltung kryptografischer Schlüssel ................. 192

A.12.4 Sicherheit von Systemdateien ................................................... 193 A.12.4.1 Kontrolle von Software im Betrieb ....................... 193 A.12.4.2 Schutz von Test-Daten ........................................... 194 A.12.4.3 Zugangskontrolle zu Quellcode............................ 194

A.12.5 Sicherheit bei Entwicklungs- und Unterstützungsprozessen .......................................................... 194 A.12.5.1 Änderungskontrollverfahren.................................. 195 A.12.5.2 Technische Kontrolle von Anwendungen

nach Änderungen am Betriebssystem................... 195 A.12.5.3 Einschränkung von Änderungen an

Softwarepaketen..................................................... 196 A.12.5.4 Ungewollte Preisgabe von Informationen............ 196 A.12.5.5 Ausgelagerte Softwareentwicklung ....................... 197

A.12.6 Schwachstellenmanagement ..................................................... 197 A.12.6.1 Kontrolle technischer Schwachstellen .................. 197

A.13 Umgang mit Informationssicherheitsvorfällen ............................................ 198 A.13.1 Melden von Informationssicherheitsereignissen und

Schwachstellen .......................................................................... 198 A.13.1.1 Melden von

Informationssicherheitsereignissen ....................... 198 A.13.1.2 Melden von Sicherheitsschwachstellen................. 198


247

A.13.2 Umgang mit Informationssicherheitsvorfällen und Verbesserungen ......................................................................... 199 A.13.2.1 Verantwortlichkeiten und Verfahren..................... 199 A.13.2.2 Lernen von Informationssicherheitsvorfällen ....... 199 A.13.2.3 Sammeln von Beweisen......................................... 200

A.14 Sicherstellung des Geschäftsbetriebs (Business Continuity Management) ................................................................................................ 200

A.14.1 Informationssicherheitsaspekte bei der Sicherstellung des Geschäftsbetriebs....................................................................... 201 A.14.1.1 Einbeziehen von Informationssicherheit in

den Prozess zur Sicherstellung des Geschäftsbetriebs ................................................... 201

A.14.1.2 Sicherstellung des Geschäftsbetriebs und Risikoeinschätzung................................................. 202

A.14.1.3 Entwickeln und Umsetzen von Plänen zur Sicherstellung des Geschäftsbetriebs, die Informationssicherheit enthalten........................... 202

A.14.1.4 Rahmenwerk für die Pläne zur Sicherstellung des Geschäftsbetriebs............................................. 202

A.14.1.5 Testen, Instandhaltung und Neubewertung von Plänen zur Sicherstellung des Geschäftsbetriebs ................................................... 203

A.15 Einhaltung von Vorgaben (Compliance)..................................................... 204 A.15.1 Einhaltung gesetzlicher Vorgaben............................................ 204

A.15.1.1 Identifikation der anwendbaren Gesetze ............. 204 A.15.1.2 Rechte an geistigem Eigentum .............................. 205 A.15.1.3 Schutz von organisationseigenen

Aufzeichnungen ..................................................... 205 A.15.1.4 Datenschutz und Vertraulichkeit von

personenbezogenen Informationen...................... 206 A.15.1.5 Verhinderung des Missbrauchs von

informationsverarbeitenden Einrichtungen .......... 207 A.15.1.6 Regelungen zu kryptografischen Maßnahmen..... 207

A.15.2 Übereinstimmung mit Sicherheitspolitiken und Standards und technische Übereinstimmung............................................ 208 A.15.2.1 Einhaltung von Sicherheitsregelungen und

-standards................................................................ 208


248

A.15.2.2 Prüfung der Einhaltung technischer Vorgaben .... 209 A.15.3 Überlegungen zu Revisionsprüfungen von

Informationssystemen ............................................................... 209 A.15.3.1 Maßnahmen für Revisionen von

Informationssystemen ............................................ 209 A.15.3.2 Schutz von Revisionswerkzeugen für

Informationssysteme .............................................. 210

249

Einige Fachbegriffe: deutsch / englisch

Die wenigen hier aufgeführten Fachbegriffe dienen ausschließ-lich dem Vergleich zwischen der englischen und deutschen Fas-sung des ISO 27001.

Akzeptanz des (Rest-)Risikos...... risk acceptance

Anwendungsbereich ................... scope

Bedrohung................................... threat

Dokumentenlenkung .................. control of documents

Einhaltung von Vorgaben........... compliance

Erklärung zur Anwendbarkeit .... statement of applicability

Informationssicherheitsleitlinie... information security policy

Integrität....................................... integrity

ISMS-Leitlinie ............................... ISMS policy

Managementbewertung .............. management review

Maßnahme ................................... control76

Maßnahmenziele ......................... control objectives

Nicht-Abstreitbarkeit.................... non-repudiation

Regelungsbereich ........................ security control clause

Restrisiko...................................... residual risk

Risikoabschätzung....................... risk estimation

Risikoanalyse ............................... risk analysis

Risikobehandlung........................ risk treatment

Risikobewertung.......................... risk evaluation

Risikoeinschätzung...................... risk assessment

Risiko-Identifizierung .................. risk identification

Schwachstelle .............................. vulnerability

Sensibilisierung(smaßnahmen)... awareness (programme)

76 Diese Übersetzung von „control“ ist nicht gut gelungen: Besser wäre „Regel“ oder „Anforderung“.

Einige Fachbegriffe: deutsch / englisch

250

Sicherheitsvorfall ......................... (security) incident

Sicherheitskategorie .................... (main) security category

Sicherstellung des........................ business continuity Geschäftsbetriebs ........................ management

Verfügbarkeit ............................... availability

Vertraulichkeit ............................. confidentiality

(Informations-)Werte................... (information) assets

Zuverlässigkeit............................. reliability

Zuweisbarkeit .............................. accountability

251

Verzeichnis der Abbildungen und Tabellen

Abbildung 1: Der PDCA-Zyklus .......................................... 38 Abbildung 2: Struktur des Anhang A.................................. 90

Tabelle 1: Übersicht über Zertifizierungsmodelle......... 11 Tabelle 2: Normen mit Bezug zum Anhang A der

ISO 27001....................................................... 14 Tabelle 3: Definition des Schutzbedarfs........................ 27 Tabelle 4: PDCA-Phasen................................................. 38 Tabelle 5: Übersicht über die Regelungsbereiche

und Sicherheitskategorien ............................ 91 Tabelle 6: Gruppierung der Regelungsbereiche........... 93 Tabelle 7: Maßnahmen der Sicherheitskategorie

11.5................................................................. 94 Tabelle 8: Bedrohungsliste........................................... 116 Tabelle 9: Liste von Schwachstellen ............................ 117 Tabelle 10: Bewertung von Risiken............................... 121 Tabelle 11: Übersicht Schutzbedarf ............................... 124 Tabelle 12: Beispiel Schutzbedarfsanalyse (1).............. 125 Tabelle 13: Beispiel Schutzbedarfsanalyse (2).............. 126 Tabelle 14: Beispiel Schutzbedarfsanalyse (3).............. 127

253

Verwendete Abkürzungen

AktG Aktiengesetz

BDSG Bundesdatenschutzgesetz

BGB Bürgerliches Gesetzbuch

BNetzA Bundesnetzagentur (früher: RegTP)

BS British Standard

BSI Bundesamt für Sicherheit in der Informationstechnik

CAD Computer Aided Design

CBT Computer Based Training

CC Common Criteria

CD Compact Disc

CERT Computer Emergency Response Team

COSO Committee of the Sponsoring Organizations of the Treadway Comission

CMM Capability Maturity Model

CMMI Capability Maturity Model Integration

CSP Certification Service Provider

DATech Deutsche Akkreditierungsstelle Technik e.V.

DFÜ Datenfernübertragung

DIN Deutsches Institut für Normung e.V.

DoS Denial of Service

DVD Digital Versatile Disc

EDI Electronic Data Interchange

(E)DV (elektronische) Datenverarbeitung

EN European Norm

ETSI European Telecommunications Standards Institute

EVU Energieversorgungsunternehmen


254

FiBu Finanz-Buchhaltung

GdPdU Grundsätze der Prüfung digitaler Unterlagen

GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme

HGB Handelsgesetzbuch

IDS Intrusion Detection System

IEC International Electrotechnical Commission

IEEE Institute of Electrical and Electronics Engineers Inc.

IFRS International Financial Reporting Standards

IKS Internes Kontrollsystem

IP Internet Protocol

ISF Information Security Forum

ISMS Information Security Management System

ISO International Organization for Standardization

IT Informationstechnik, informationstechnisches…

ITIL Information Technology Information Library

ITSEC Information Technology Security Evaluation Criteria

ITSEM Information Technology Security Evaluation Manual

IV Informationsverarbeitung, informationsverarbeitendes…

KMU Kleine und mittelständische Unternehmen

KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

LAN Local Area Network

MTBF Mean Time between Failure


255

NDA Non Disclosure Agreement

PC Personal Computer

PCI-DSS Payment Card Industry Data Security Standard

PCMCIA Personal Computer Memory Card International Association (Standard für PC-Erweiterungskarten)

PDA Personal Digital Assistent

PDCA Plan-Do-Check-Act

PDF Portable Document Format

PIN Personal Identification Number

PUK Personal Unblocking Key

QM Qualitätsmanagement

ROSI Return on Security Investment

RZ Rechenzentrum

SAK Signaturanwendungskomponente

SigG Signaturgesetz

SoA Statement of Applicability

S-OX Sarbanes Oxley Act

SQL Structured Query Language

SSL Secure Sockets Layer

SüG Sicherheitsüberprüfungsgesetz

TCSEC Trusted Computer System Evaluation Criteria

TDDSG Teledienstedatenschutzgesetz

TDG Teledienstegesetz

TGA Trägergemeinschaft für Akkreditierung GmbH

TK(-) Telekommunikation(s-)

TKG Telekommunikationsgesetz

UrhG Urheberrechtsgesetz

USB Universal Serial Bus

USV unterbrechungsfreie Stromversorgung


256

VDE Verband der Elektrotechnik, Elektronik und Informationstechnik

VS Verschlusssache(n)

VS-A Verschlusssachen-Anweisung

WLAN Wireless LAN

ZDA Zertifizierungsdiensteanbieter

257

Quellenhinweise

Bei den folgenden Internet-Adressen sind ergänzende Informa-tionen zu bekommen, verschiedentlich ist auch ein Download der Standards und Dokumente möglich:

British Standard ..........................................www.bsi-global.com

Common Criteria ...................... www.commoncriteriaportal.com

ISO .......................................................www.iso.org

IT-Grundschutz ........................................................ www.bsi.de

ITSEC .................................www.t-systems-zert.com77

ITU .........................................................www.itu.int

Signaturgesetz .......................... www.bundesnetzagentur.de78

TCSEC .................................................. www.nist.gov79

/BS 7799-1/ BS 7799-1:1999 Information security management – Part l: Code of practice for information security management, www.bsi-global.com

/BS 7799-2/ BS 7799-2:2002 Specification for Information Security Management, www.bsi-global.com

/BSI100-1/ BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)

/BSI100-2/ BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise

/BSI100-3/ BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

77 Menü: „Service-Bereich“.

78 Menü: „Elektronische Signatur/Rechtsvorschriften“.

79 Direkter Link: http://csrc.nist.gov/publications/secpubs/rainbow/.

Quellenhinweise

258

/CC/ ISO / IEC 15408: Common Criteria for Information Technology Security Evaluation, Version 3.1, 2006

/CEM/ Common Methodology for Information Technology Security Evaluation, Version 3.1, 2006

/DIN ISO 27001/ Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Management-systeme – Anforderungen (ISO / IEC 27001:2005), deutsche Fassung von /ISO 27001/

/DIN 45011/ DIN EN 45011:1998 Allgemeine Anfor-derungen an Stellen, die Produktzertifizierungssysteme betreiben (entspricht ISO / IEC Guide 65:1996)

/DIN 45012/ DIN EN 45012:1998 Allgemeine Anforderungen an Stellen, die Qualitätsmanagementsysteme begutachten und zertifizieren (entspricht ISO / IEC Guide 62:1996)

/GSHB/ IT-Grundschutz(handbuch)

/ISO 13335/ ISO / IEC IS 13335: Information Technology – Security techniques – Management of information and communications technology security (Part 1 to 5)

/ISO 17025/ ISO / IEC 17025:2005 Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien

/ISO 19011/ ISO 19011:2002 Leitfaden für Audits von Qualitätsmanagement- und / oder Umweltmanagementsystemen

/ISO 73/ ISO / IEC Guide 73:2002 Risk management — Vocabulary — Guidelines for use in standards

Quellenhinweise

259

/ISO 17799/ ISO / IEC 17799:2005 Information technology — Security techniques — Code of practice for information security management

/ISO 27001/ ISO / IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements

/ISO 9000/ ISO 9001:2000, Qualitätsmanagementsystem – Anforderungen

/ISO 14000/ ISO 14001:2004, Umweltmanagementsystem – Anforderungen

/ITSEC/ Information Technology Security Evaluation Criteria, Version 1.2, 1991

/ITSEM/ Information Technology Security Evaluation Manual, Version 1.0, 1993

/ITU/ ITU-T Recommendation X.1051: Information security management system – Requirements for telecommunications (ISMS-T), Fassung 07-2004

/PCI-DSS/ Payment Card Industry Data Security Standard (PCI DSS), Version 1.1, September 2006

/SigG/ Signaturgesetz vom 16. Mai 2001 (BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179)

/SigV/ Signaturverordnung vom 16. November 2001 (BGBl. I S. 3074), geändert durch Artikel 2 des Gesetzes vom 4. Januar 2005 (BGBl. I S. 2)"

/TCSEC/ Trusted Computer System Evaluation Criteria, DoD: 5200.28-STD, December 1985

261

Sachwortverzeichnis

A

Abnahme · 158

Abstrahlschutz · 151

Allgemeine Geschäftsbedingungen · 52

Anforderungsanalyse · 204

Angriffe · 23

Angriffspotenzial · 24

Anmeldeverfahren · 94, 95, 184, 185

Anwendungsbereich · VIII, 33, 39, 40, 41, 49, 50, 73, 76, 82, 97, 98, 115, 134, 147, 149, 208

Archivierung · 118, 163, 206

Auditbericht · 66, 84, 219, 225, 231, 232, 233, 234

Auditoren · 74, 80, 84, 88, 150, 157, 178, 219, 220, 222, 223, 225, 227, 229, 231, 235, 236, 239

Auditplan · 65, 225, 229

Aufbewahrungsfristen · 206

Aufsichtsbehörden · V, 218

Aufzeichnungen · 9, 20, 26, 58, 62, 67, 68, 73, 74, 79, 82, 118, 157, 173, 174, 175, 178, 194, 200, 205, 206, 210

Ausgabedaten · 191

Authentizität · 22

Autorisierung · 171, 181, 183

B

Backup · 59, 92, 104, 118, 126, 142, 151, 161, 177, 189, 204

Basel II · V, 1, 4, 5, 11

Basis-Sicherheits-Check · 34

BDSG · 5

Bedrohungen · 28, 29, 33, 42, 43, 45, 51, 86, 107, 115, 116, 122, 144, 149, 151, 161, 170, 171

Benutzeraktivitäten · 173

Benutzeridentifikation · 94, 184

Benutzerregistrierung · 177

Beschaffungsrecht · 6

Beschwerdeverfahren · 226

Betriebsmittel · 92, 150, 151, 152, 153

Betriebsprozesse · 154

Betriebssysteme · 12, 92, 164, 179, 183, 185, 195, 238

Beweise · 174, 200

Blitzschutz · 109, 120, 123

BS 7799-1 · VII

BS 7799-2 · VII

BSI-Standard · 27, 30, 128

Bundesdatenschutzgesetz · 5

Business Continuity Management · 91, 93, 200

Sachwortverzeichnis

262

C

CERT · 136, 197

Change Management · 195

Clear Desk Policy · 180

Client-Server · 169

CMM · 16

Cobit · 7

Common Criteria · 12, 15, 58, 238, 239

Compliance · 93, 204

Copyright · 205

Corporate Governance · 1

COSO · 3

D

DATech · 223, 239

Datenschutz · V, VII, 63, 206

Defizite · 42, 84, 218, 219, 225, 227, 231, 232, 234

Dienstleister · 4, 52, 63, 157, 158, 162, 181

Dienstleistung · 20

Dienstleistungsvereinbarungen · 162

Disziplinarverfahren · 145

Dokumentenlenkung · 73, 75, 77, 84

E

E-Commerce · 169, 170, 171

Eigentümer · 41, 42, 101, 111, 112, 113, 139

Einführungsphase · 48, 66

Eingabedaten · 190, 191

Einstufung · 113, 124, 139, 140, 175

Einzelmaßnahme (Begriff) · 29

elektronische Signatur · 167, 170

Elementarereignisse · 23, 24, 42, 43, 200

Email · 141, 166, 168, 228, 229

Erfolgskontrolle · 71, 80, 197

Erklärung zur Anwendbarkeit · 33, 34, 48, 49, 54, 55, 75, 123

Eskalation · 10, 61, 198

Eskalationswege · 61

externe Audits · 65, 173, 224, 228, 231

F

Fahrlässige Handlungen · 23

Fehlbedienung · 23

Fehlerprotokolle · 175

Fehlerzustände · 173

Fernwartung · 181

Freigabe · 75, 76, 134, 155, 160, 195, 213, 215, 216

G

GDPdU · 2, 3

Gefährdungen · 26

Gefährdungskatalog · VIII, 26, 34

Geschäftdaten · 196

Geschäftsprozesse · 50, 101, 201

Sachwortverzeichnis

263

Geschäftsrisiken · 36, 45, 214

Geschäftstätigkeit · 20

Gesetzesverstöße · 23, 26, 204

GoBS · 2, 3

Grundschutz-Audit · 235

Grundschutz-Bausteine · 29

Grundwerte · 22

H

Hacker · 23, 24, 165, 185, 238

Hashwerte · 191, 193

I

Incident Management-Plan · 60, 61, 67, 202, 203

Information · 20

Informationssicherheitsleitlinie · 31, 32, 33, 40, 41, 50, 91, 132, 133, 143

Informationswerte · 20, 31, 105, 111

Innentäter · 23, 100

Integrität · 21

internes Audit · 65, 68, 83, 218, 222

Inventarverzeichnis · 105, 106, 107, 153

ISMS · 35

ISMS-Dokumentation · 73, 76

ISMS-Leitlinie · 25, 31, 32, 40, 41, 44, 48, 50, 55, 59, 63, 72, 73, 75, 76, 80, 82, 85, 87, 99, 132, 133, 142, 158, 229

ISO 14000 · 9, 72, 75

ISO 17799 · VII, 15, 34, 47, 79, 89, 95, 138

ISO 9000 · 7, 8, 9, 10, 72, 75

Isolation · 187

IT-Anwendungen · 21

IT-Grundschutz · VII, VIII, 7, 10, 19, 21, 22, 26, 27, 29, 30, 31, 32, 34, 110, 124, 128, 217, 218, 235, 236, 237, 239, 257

IT-Grundschutzhandbuch · VII

ITIL · 9, 10, 13

IT-Verbund · 21, 29, 30, 235, 238

K

Kapazitätsplanung · 158, 159, 173

Kennzahlen · 173, 214, 215

Kommunikationsverbindungen · 110, 111, 113, 118, 124, 127, 149

Konformität · VI, VIII, 3, 19, 35, 79, 89, 217, 218, 219, 235, 237, 238

KonTraG · 1, 218

Kontrollpflicht · 208

Kontrollsystem · 2, 3, 98, 103

Korrekturmaßnahmen · 86, 88, 89, 233, 234

Kreditwesengesetz · 4

Kreditwürdigkeit · V

Kryptogeräte · 192

Kryptografie · 14, 191, 192, 193, 207

Kryptokonzept · 192

Sachwortverzeichnis

264

Kryptotechnik · 192

Kumulationseffekt · 126

L

Laufzettel · 68, 146

M

Managementbewertung · 55, 62, 63, 66, 67, 68, 69, 71, 80, 84, 85, 86, 87, 99, 208

Management-Forum · 80, 99, 133

Managementsystem · 37

Maßnahme (Begriff) · 29

Maßnahmenkatalog · 34, 47, 211

Maßnahmenziele · 28, 33, 46, 48, 49, 53, 54, 56, 57, 72, 83, 85, 89, 94, 136

Maximumprinzip · 112, 125, 126

Mean Time between Failure · 24

Medien · 70, 72, 77, 78, 116, 118, 153, 161, 163, 164, 165, 167, 168, 175, 180, 206

Missbrauch · 207

Mobile Computing · 92, 187, 188

Modellierung · 11, 29, 34, 128, 211

N

Nachrichten · 168, 191

Need-To-Know · 176

Netzsicherheit · 92, 161, 162

Nicht-Abstreitbarkeit · 22

Notfallhandbuch · 61, 202

Notfallplan · 61, 108

O

Off-Site Tests · 237

On-Site Tests · 237

Ordnungsmäßigkeit · 21, 154

Organisation · 19

Ortsbegehung · 232

P

Passwörter · 94, 95, 178, 179, 184, 185

PCI-DSS · 13

PDCA · 38, 39, 52, 54, 62, 68, 71, 80, 173, 213, 218

Penetrationstests · 12, 162, 210, 237, 238

Perimeterschutz · 148

Personal · 20

Physische Werte · 20

Planungsphase · 39, 49, 54, 64, 101, 213

Priorisierung · 56

Prozess · 37

Q

Qualitätsmanagement · V

Quellcode · 194, 196

Sachwortverzeichnis

265

R

Realisierungsplanung · 34

Redundanzmaßnahmen · 128

Regelungsbereich · 91, 93

Ressourcenmanagement · 60, 81

Restrisiko · 28, 30, 31, 33, 45, 47, 48, 53, 82

Revision · 209, 222

Revisionsstand · 77, 78

Revisionstools · 211

Risiko · 22, 25, 27, 44, 47

Verlagerung · 30, 52

Risikoabschätzung · 25, 35, 43, 44, 52, 73

Risiko-Akzeptanz · 30

Risikoanalyse · VII, VIII, 25, 26, 27, 32, 33, 34, 35, 44, 102, 107, 124, 128, 129, 137, 138, 202, 257

Risikobehandlung · 30, 32, 33, 45, 46, 52, 55, 99, 197

Risikobehandlungsplan · 30, 54, 55, 56, 73, 74

Risikobewertung · 26, 27, 32, 33, 35, 44, 45, 50, 52, 65, 73, 82, 121, 137, 138

Risikoeinschätzung · 26, 32, 33, 35, 36, 41, 45, 50, 51, 52, 53, 55, 56, 64, 73, 87, 89, 99, 101, 115, 123, 124, 131, 158, 161, 202

Risiko-Identifizierung · 25, 35, 44, 51

Risikoindex · 24

Risikoklasse · 24, 41, 44, 46, 47, 73, 74, 87

Rollen · 55, 59, 100, 112, 134, 147, 154, 176, 177, 179, 229

Routingkontrolle · 183

S

Sarbanes-Oxley · 1, 2, 3, 99, 103

Schadenauswirkung · 27

Schadenkategorien · 26

Schadsoftware · 92, 159, 160

Schlüssel · 146, 147, 185, 192, 193, 206, 208, 230

Schlüsselerzeugung · 192

Schlüsselverteilung · 192

Schlüsselwechsel · 192

Schulung · 58, 59, 144, 145

Schutzbedarf · VII, 27, 29, 30, 34, 110, 111, 123, 124, 125, 126, 127, 128, 134, 135

Schutzbedarfsanalyse · 11, 34, 113, 123, 124, 125, 126, 127, 128

Schwachstellen · 23, 24, 28, 33, 34, 42, 43, 45, 51, 70, 86, 93, 102, 107, 115, 117, 119, 136, 197, 198, 199, 209, 218, 238

Sensibilisierung · 58, 82, 83, 144, 145, 180

Server-Zertifikate · 182

Sessions · 186

Sicherheitsbereiche · 92, 147, 148, 150, 151

Sicherheitskategorie · 91, 131

Sicherheitskonzept · 31, 33, 34, 153

Sicherheitsnachweise · 235

Sachwortverzeichnis

266

Sicherheitspläne · 67

Sicherheitspolitik · 31

Sicherheitsvorfälle · 16, 51, 59, 60, 61, 62, 69, 70, 86, 88, 91, 93, 142, 173, 185, 198, 199

Sicherheitsziele · 21, 32, 43, 192

Sicherheitszonen · 147, 148, 149, 175

Simulationen · 201, 213, 214, 215

Software · 20, 153, 159, 193, 194, 205

Softwareentwicklung · 197

Software-Lizenzen · 165

Sollzustand · 234

Solvency II · V, 4, 5, 11

S-Ox · 2, 4, 11

Speichermedien · 153, 163, 164

Standards · 14

Stärke von Sicherheitsmaßnahmen · 24

Strukturanalyse · 34, 110

Subjekte · 21

Systemdokumentation · 165

Systemplanung · 158

System-Tools · 185

T

Tayloring · VI

Telearbeit · 92, 187, 188, 189

TGA · 223, 239

Transaktionen · 171, 206

Trojaner · 159

Trusted Site · 12

U

Überprüfungsphase · 62

Umsetzungsphase · 54

Umweltschutz-Management · V

V

Validierung · 190, 191, 213, 214

Verantwortlichkeiten · 37, 40, 54, 55, 56, 79, 92, 98, 99, 100, 111, 112, 133, 134, 142, 143, 146, 154, 155, 199, 201, 203

Verbindungszeit · 94, 186

verdeckter Kanal · 196

Verfügbarkeit · 21

Verkabelung · 109, 110, 152

Verschlüsselung · 14, 135, 161, 167, 168, 169, 170

Versicherungen · 46

Versiegelung · 182

Verteilungseffekt · 126

Vertraulichkeit · 21, 22, 140

Vier-Augen-Prinzip · 100, 156, 186

Viren · 159, 193

Vorbeugemaßnahmen · 61, 86, 87, 89, 229, 231

W

Webtrust · 13

Werte · 20

Wiederanlauf · 61, 67

Wiederaufbereitung · 163, 164

Sachwortverzeichnis

267

Wiedereinspielen · 171

Wiederholungsaudit · 228

Wirksamkeit · 57, 59, 63, 74, 86

Z

Zeitsynchronisation · 175

Zertifikate · 167

Zertifizierung · 219, 220, 237

Grundschutz · 7

ISMS · VII

Produkte · 25

Zertifizierungsreport · 25, 238

Zertifizierungsstelle · 8, 12, 219, 220, 221, 225, 226, 227, 238, 239

Zugangskontrolle · 90, 92, 175, 176, 179, 180, 183, 187, 194

Zugriffskontrolle · 90, 92, 173, 174, 176, 183

Zutrittskontrolle · 117, 148

Zutrittskontrollsystem · 146

Zuverlässigkeit · 22

Zuweisbarkeit · 22

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001978-3-8348-9425-0/1.pdf · 241 Verzeichnis der...

Documents

Transcript of Verzeichnis der Maßnahmen aus Anhang A der ISO 27001978-3-8348-9425-0/1.pdf · 241 Verzeichnis der...