Verzeichnis der Maßnahmen aus Anhang A der ISO 27001978-3-8348-9425-0/1.pdf · 241 Verzeichnis der...
Transcript of Verzeichnis der Maßnahmen aus Anhang A der ISO 27001978-3-8348-9425-0/1.pdf · 241 Verzeichnis der...
241
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
Das folgende Verzeichnis verweist auf die Erläuterungen in diesem Buch zu den angegebenen Regelungsbereichen (erste Gliederungsebene), Sicherheitskategorien (zweite Gliederungsebene) und Maßnahmen (dritte Gliederungsebene).
A.5 Sicherheitsleitlinie ......................................................................................... 132 A.5.1 Informationssicherheitsleitlinie ................................................. 132
A.5.1.1 Leitlinie zur Informationssicherheit....................... 132 A.5.1.2 Überprüfung der
Informationssicherheitsleitlinie.............................. 132 A.6 Organisation der Informationssicherheit ..................................................... 133
A6.1 Interne Organisation.................................................................. 133 A.6.1.1 Engagement des Managements für
Informationssicherheit............................................ 133 A.6.1.2 Koordination der Informationssicherheit.............. 133 A.6.1.3 Zuweisung der Verantwortlichkeiten für
Informationssicherheit............................................ 134 A.6.1.4 Genehmigungsverfahren für
informationsverarbeitende Einrichtungen............. 134 A.6.1.5 Vertraulichkeitsvereinbarungen............................. 134 A.6.1.6 Kontakt zu Behörden............................................. 135 A.6.1.7 Kontakt zu speziellen Interessengruppen ............ 135 A.6.1.8 Unabhängige Überprüfung der
Informationssicherheit............................................ 136 A.6.2 Externe Parteien ........................................................................ 136
A.6.2.1 Identifizierung von Risiken in Zusammenhang mit Externen ............................... 137
A.6.2.2 Adressieren von Sicherheit im Umgang mit Kunden ................................................................... 137
A.6.2.3 Adressieren von Sicherheit in Vereinbarungen mit Dritten............................................................... 138
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
242
A.7 Management von organisationseigenen Werten......................................... 138 A.7.1 Verantwortung für organisationseigene Werte........................ 138
A.7.1.1 Inventar der organisationseigenen Werte............. 138 A.7.1.2 Eigentum von organisationseigenen Werten........ 139 A.7.1.3 Zulässiger Gebrauch von
organisationseigenen Werten ................................ 139 A.7.2 Klassifizierung von Informationen ........................................... 139
A.7.2.1 Regelungen für die Klassifizierung ....................... 139 A.7.2.2 Kennzeichnung von und Umgang mit
Informationen......................................................... 140 A.8 Personalsicherheit ......................................................................................... 141
A.8.1 Vor der Anstellung .................................................................... 141 A.8.1.1 Aufgaben und Verantwortlichkeiten ..................... 142 A.8.1.2 Überprüfung ........................................................... 142 A.8.1.3 Arbeitsvertragsklauseln .......................................... 143
A.8.2 Während der Anstellung ........................................................... 144 A.8.2.1 Verantwortung des Managements......................... 144 A.8.2.2 Sensibilisierung, Ausbildung und Schulung
für Informationssicherheit...................................... 144 A.8.2.3 Disziplinarverfahren ............................................... 145
A.8.3 Beendigung oder Änderung der Anstellung............................ 145 A.8.3.1 Verantwortlichkeiten bei der Beendigung............ 146 A.8.3.2 Rückgabe von organisationseigenen Werten ....... 146 A.8.3.3 Aufheben von Zugangsrechten ............................. 146
A.9 Physische und umgebungsbezogene Sicherheit......................................... 147 A.9.1 Sicherheitsbereiche.................................................................... 147
A.9.1.1 Sicherheitszonen..................................................... 147 A.9.1.2 Zutrittskontrolle ...................................................... 148 A.9.1.3 Sicherung von Büros, Räumen und
Einrichtungen ......................................................... 149 A.9.1.4 Schutz vor Bedrohungen von Außen und aus
der Umgebung........................................................ 149 A.9.1.5 Arbeit in Sicherheitszonen..................................... 149
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
243
A.9.1.6 Öffentlicher Zugang, Anlieferungs- und Ladezonen............................................................... 150
A.9.2 Sicherheit von Betriebsmitteln.................................................. 150 A.9.2.1 Platzierung und Schutz von Betriebsmitteln ........ 151 A.9.2.2 Unterstützende Versorgungseinrichtungen........... 151 A.9.2.3 Sicherheit der Verkabelung ................................... 152 A.9.2.4 Instandhaltung von Gerätschaften ........................ 152 A.9.2.5 Sicherheit von außerhalb des Standorts
befindlicher Ausrüstung......................................... 152 A.9.2.6 Sichere Entsorgung oder Weiterverwendung
von Betriebsmitteln ................................................ 153 A.9.2.7 Entfernung von Eigentum...................................... 153
A.10 Betriebs- und Kommunikationsmanagement.............................................. 154 A.10.1 Verfahren und Verantwortlichkeiten........................................ 154
A.10.1.1 Dokumentierte Betriebsprozesse .......................... 154 A.10.1.2 Änderungsverwaltung ............................................ 155 A.10.1.3 Aufteilung von Verantwortlichkeiten .................... 155 A.10.1.4 Aufteilung von Entwicklungs-, Test- und
Produktiveinrichtungen.......................................... 156 A.10.2 Management der Dienstleistungs-Erbringung von Dritten ..... 156
A.10.2.1 Erbringung von Dienstleistungen.......................... 157 A.10.2.2 Überwachung und Überprüfung der
Dienstleistungen von Dritten................................. 157 A.10.2.3 Management von Änderungen an
Dienstleistungen von Dritten................................. 158 A.10.3 Systemplanung und Abnahme.................................................. 158
A.10.3.1 Kapazitätsplanung .................................................. 158 A.10.3.2 System-Abnahme.................................................... 159
A.10.4 Schutz vor Schadsoftware und mobilem Programmcode....... 159 A.10.4.1 Maßnahmen gegen Schadsoftware ....................... 159 A.10.4.2 Schutz vor mobiler Software (mobilen
Agenten) ................................................................. 160 A.10.5 Backup ....................................................................................... 161
A.10.5.1 Backup von Informationen.................................... 161
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
244
A.10.6 Management der Netzsicherheit ............................................... 161 A.10.6.1 Maßnahmen für Netze ........................................... 161 A.10.6.2 Sicherheit von Netzdiensten .................................. 162
A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien........ 163 A.10.7.1 Verwaltung von Wechselmedien .......................... 163 A.10.7.2 Entsorgung von Medien......................................... 163 A.10.7.3 Umgang mit Informationen ................................... 164 A.10.7.4 Sicherheit der Systemdokumentation.................... 165
A.10.8 Austausch von Informationen................................................... 165 A.10.8.1 Regelwerke und Verfahren zum Austausch
von Informationen ................................................. 166 A.10.8.2 Vereinbarungen zum Austausch von
Informationen......................................................... 167 A.10.8.3 Transport physischer Medien ................................ 167 A.10.8.4 Elektronische Mitteilungen / Nachrichten
(Messaging)............................................................. 168 A.10.8.5 Geschäftsinformationssysteme............................... 169
A.10.9 E-Commerce-Anwendungen..................................................... 169 A.10.9.1 E-Commerce ........................................................... 170 A.10.9.2 Online-Transaktionen ............................................ 171 A.10.9.3 Öffentlich verfügbare Informationen .................... 172
A.10.10 Überwachung............................................................................. 172 A.10.10.1 Auditprotokolle ...................................................... 172 A.10.10.2 Überwachung der Systemnutzung ........................ 173 A.10.10.3 Schutz von Protokollinformationen ...................... 174 A.10.10.4 Administrator- und Betreiberprotokolle................ 174 A.10.10.5 Fehlerprotokolle ..................................................... 175 A.10.10.6 Zeitsynchronisation ................................................ 175
A.11 Zugangskontrolle .......................................................................................... 175 A.11.1 Geschäftsanforderungen für Zugangskontrolle ....................... 175
A.11.1.1 Regelwerk zur Zugangskontrolle .......................... 176 A.11.2 Management des Benutzerzugriffs ........................................... 177
A.11.2.1 Benutzerregistrierung............................................. 177
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
245
A.11.2.2 Verwaltung von Sonderrechten............................. 177 A.11.2.3 Verwaltung von Benutzerpasswörtern.................. 178 A.11.2.4 Überprüfung von Benutzerberechtigungen.......... 179
A.11.3 Benutzerverantwortung............................................................. 179 A.11.3.1 Passwortverwendung ............................................. 179 A.11.3.2 Unbeaufsichtigte Benutzerausstattung .................. 180 A.11.3.3 Der Grundsatz des aufgeräumten
Schreibtischs und des leeren Bildschirms............. 180 A.11.4 Zugangskontrolle für Netze ...................................................... 180
A.11.4.1 Regelwerk zur Nutzung von Netzen..................... 181 A.11.4.2 Benutzerauthentisierung für externe
Verbindungen......................................................... 181 A.11.4.3 Geräteidentifikation in Netzen .............................. 182 A.11.4.4 Schutz der Diagnose- und
Konfigurationsports................................................ 182 A.11.4.5 Trennung in Netzwerken....................................... 182 A.11.4.6 Kontrolle von Netzverbindungen.......................... 183 A.11.4.7 Routingkontrolle für Netze .................................... 183
A.11.5 Zugriffskontrolle auf Betriebssysteme...................................... 183 A.11.5.1 Verfahren für sichere Anmeldung......................... 184 A.11.5.2 Benutzeridentifikation und Authentisierung......... 184 A.11.5.3 Systeme zur Verwaltung von Passwörtern ........... 185 A.11.5.4 Verwendung von Systemwerkzeugen................... 185 A.11.5.5 Session Time-out .................................................... 186 A.11.5.6 Begrenzung der Verbindungszeit.......................... 186
A.11.6 Zugangskontrolle zu Anwendungen und Informationen ....... 187 A.11.6.1 Einschränkung von Informationszugriff ............... 187 A.11.6.2 Isolation sensibler Systeme.................................... 187
A.11.7 Mobile Computing und Telearbeit ........................................... 187 A.11.7.1 Mobile Computing und Kommunikation.............. 188 A.11.7.2 Telearbeit ................................................................ 188
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
246
A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen ....... 189 A.12.1 Sicherheitsanforderungen von Informationssystemen ............ 189
A.12.1.1 Analyse und Spezifikation von Sicherheitsanforderungen ...................................... 189
A.12.2 Korrekte Verarbeitung in Anwendungen................................. 190 A.12.2.1 Überprüfung von Eingabedaten............................ 190 A.12.2.2 Kontrolle der internen Verarbeitung..................... 190 A.12.2.3 Integrität von Nachrichten ..................................... 191 A.12.2.4 Überprüfung von Ausgabedaten ........................... 191
A.12.3 Kryptografische Maßnahmen.................................................... 191 A.12.3.1 Leitlinie zur Anwendung von Kryptografie .......... 192 A.12.3.2 Verwaltung kryptografischer Schlüssel ................. 192
A.12.4 Sicherheit von Systemdateien ................................................... 193 A.12.4.1 Kontrolle von Software im Betrieb ....................... 193 A.12.4.2 Schutz von Test-Daten ........................................... 194 A.12.4.3 Zugangskontrolle zu Quellcode............................ 194
A.12.5 Sicherheit bei Entwicklungs- und Unterstützungsprozessen .......................................................... 194 A.12.5.1 Änderungskontrollverfahren.................................. 195 A.12.5.2 Technische Kontrolle von Anwendungen
nach Änderungen am Betriebssystem................... 195 A.12.5.3 Einschränkung von Änderungen an
Softwarepaketen..................................................... 196 A.12.5.4 Ungewollte Preisgabe von Informationen............ 196 A.12.5.5 Ausgelagerte Softwareentwicklung ....................... 197
A.12.6 Schwachstellenmanagement ..................................................... 197 A.12.6.1 Kontrolle technischer Schwachstellen .................. 197
A.13 Umgang mit Informationssicherheitsvorfällen ............................................ 198 A.13.1 Melden von Informationssicherheitsereignissen und
Schwachstellen .......................................................................... 198 A.13.1.1 Melden von
Informationssicherheitsereignissen ....................... 198 A.13.1.2 Melden von Sicherheitsschwachstellen................. 198
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
247
A.13.2 Umgang mit Informationssicherheitsvorfällen und Verbesserungen ......................................................................... 199 A.13.2.1 Verantwortlichkeiten und Verfahren..................... 199 A.13.2.2 Lernen von Informationssicherheitsvorfällen ....... 199 A.13.2.3 Sammeln von Beweisen......................................... 200
A.14 Sicherstellung des Geschäftsbetriebs (Business Continuity Management) ................................................................................................ 200
A.14.1 Informationssicherheitsaspekte bei der Sicherstellung des Geschäftsbetriebs....................................................................... 201 A.14.1.1 Einbeziehen von Informationssicherheit in
den Prozess zur Sicherstellung des Geschäftsbetriebs ................................................... 201
A.14.1.2 Sicherstellung des Geschäftsbetriebs und Risikoeinschätzung................................................. 202
A.14.1.3 Entwickeln und Umsetzen von Plänen zur Sicherstellung des Geschäftsbetriebs, die Informationssicherheit enthalten........................... 202
A.14.1.4 Rahmenwerk für die Pläne zur Sicherstellung des Geschäftsbetriebs............................................. 202
A.14.1.5 Testen, Instandhaltung und Neubewertung von Plänen zur Sicherstellung des Geschäftsbetriebs ................................................... 203
A.15 Einhaltung von Vorgaben (Compliance)..................................................... 204 A.15.1 Einhaltung gesetzlicher Vorgaben............................................ 204
A.15.1.1 Identifikation der anwendbaren Gesetze ............. 204 A.15.1.2 Rechte an geistigem Eigentum .............................. 205 A.15.1.3 Schutz von organisationseigenen
Aufzeichnungen ..................................................... 205 A.15.1.4 Datenschutz und Vertraulichkeit von
personenbezogenen Informationen...................... 206 A.15.1.5 Verhinderung des Missbrauchs von
informationsverarbeitenden Einrichtungen .......... 207 A.15.1.6 Regelungen zu kryptografischen Maßnahmen..... 207
A.15.2 Übereinstimmung mit Sicherheitspolitiken und Standards und technische Übereinstimmung............................................ 208 A.15.2.1 Einhaltung von Sicherheitsregelungen und
-standards................................................................ 208
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
248
A.15.2.2 Prüfung der Einhaltung technischer Vorgaben .... 209 A.15.3 Überlegungen zu Revisionsprüfungen von
Informationssystemen ............................................................... 209 A.15.3.1 Maßnahmen für Revisionen von
Informationssystemen ............................................ 209 A.15.3.2 Schutz von Revisionswerkzeugen für
Informationssysteme .............................................. 210
249
Einige Fachbegriffe: deutsch / englisch
Die wenigen hier aufgeführten Fachbegriffe dienen ausschließ-lich dem Vergleich zwischen der englischen und deutschen Fas-sung des ISO 27001.
Akzeptanz des (Rest-)Risikos...... risk acceptance
Anwendungsbereich ................... scope
Bedrohung................................... threat
Dokumentenlenkung .................. control of documents
Einhaltung von Vorgaben........... compliance
Erklärung zur Anwendbarkeit .... statement of applicability
Informationssicherheitsleitlinie... information security policy
Integrität....................................... integrity
ISMS-Leitlinie ............................... ISMS policy
Managementbewertung .............. management review
Maßnahme ................................... control76
Maßnahmenziele ......................... control objectives
Nicht-Abstreitbarkeit.................... non-repudiation
Regelungsbereich ........................ security control clause
Restrisiko...................................... residual risk
Risikoabschätzung....................... risk estimation
Risikoanalyse ............................... risk analysis
Risikobehandlung........................ risk treatment
Risikobewertung.......................... risk evaluation
Risikoeinschätzung...................... risk assessment
Risiko-Identifizierung .................. risk identification
Schwachstelle .............................. vulnerability
Sensibilisierung(smaßnahmen)... awareness (programme)
76 Diese Übersetzung von „control“ ist nicht gut gelungen: Besser wäre „Regel“ oder „Anforderung“.
Einige Fachbegriffe: deutsch / englisch
250
Sicherheitsvorfall ......................... (security) incident
Sicherheitskategorie .................... (main) security category
Sicherstellung des........................ business continuity Geschäftsbetriebs ........................ management
Verfügbarkeit ............................... availability
Vertraulichkeit ............................. confidentiality
(Informations-)Werte................... (information) assets
Zuverlässigkeit............................. reliability
Zuweisbarkeit .............................. accountability
251
Verzeichnis der Abbildungen und Tabellen
Abbildung 1: Der PDCA-Zyklus .......................................... 38 Abbildung 2: Struktur des Anhang A.................................. 90
Tabelle 1: Übersicht über Zertifizierungsmodelle......... 11 Tabelle 2: Normen mit Bezug zum Anhang A der
ISO 27001....................................................... 14 Tabelle 3: Definition des Schutzbedarfs........................ 27 Tabelle 4: PDCA-Phasen................................................. 38 Tabelle 5: Übersicht über die Regelungsbereiche
und Sicherheitskategorien ............................ 91 Tabelle 6: Gruppierung der Regelungsbereiche........... 93 Tabelle 7: Maßnahmen der Sicherheitskategorie
11.5................................................................. 94 Tabelle 8: Bedrohungsliste........................................... 116 Tabelle 9: Liste von Schwachstellen ............................ 117 Tabelle 10: Bewertung von Risiken............................... 121 Tabelle 11: Übersicht Schutzbedarf ............................... 124 Tabelle 12: Beispiel Schutzbedarfsanalyse (1).............. 125 Tabelle 13: Beispiel Schutzbedarfsanalyse (2).............. 126 Tabelle 14: Beispiel Schutzbedarfsanalyse (3).............. 127
253
Verwendete Abkürzungen
AktG Aktiengesetz
BDSG Bundesdatenschutzgesetz
BGB Bürgerliches Gesetzbuch
BNetzA Bundesnetzagentur (früher: RegTP)
BS British Standard
BSI Bundesamt für Sicherheit in der Informationstechnik
CAD Computer Aided Design
CBT Computer Based Training
CC Common Criteria
CD Compact Disc
CERT Computer Emergency Response Team
COSO Committee of the Sponsoring Organizations of the Treadway Comission
CMM Capability Maturity Model
CMMI Capability Maturity Model Integration
CSP Certification Service Provider
DATech Deutsche Akkreditierungsstelle Technik e.V.
DFÜ Datenfernübertragung
DIN Deutsches Institut für Normung e.V.
DoS Denial of Service
DVD Digital Versatile Disc
EDI Electronic Data Interchange
(E)DV (elektronische) Datenverarbeitung
EN European Norm
ETSI European Telecommunications Standards Institute
EVU Energieversorgungsunternehmen
Verwendete Abkürzungen
254
FiBu Finanz-Buchhaltung
GdPdU Grundsätze der Prüfung digitaler Unterlagen
GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme
HGB Handelsgesetzbuch
IDS Intrusion Detection System
IEC International Electrotechnical Commission
IEEE Institute of Electrical and Electronics Engineers Inc.
IFRS International Financial Reporting Standards
IKS Internes Kontrollsystem
IP Internet Protocol
ISF Information Security Forum
ISMS Information Security Management System
ISO International Organization for Standardization
IT Informationstechnik, informationstechnisches…
ITIL Information Technology Information Library
ITSEC Information Technology Security Evaluation Criteria
ITSEM Information Technology Security Evaluation Manual
IV Informationsverarbeitung, informationsverarbeitendes…
KMU Kleine und mittelständische Unternehmen
KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
LAN Local Area Network
MTBF Mean Time between Failure
Verwendete Abkürzungen
255
NDA Non Disclosure Agreement
PC Personal Computer
PCI-DSS Payment Card Industry Data Security Standard
PCMCIA Personal Computer Memory Card International Association (Standard für PC-Erweiterungskarten)
PDA Personal Digital Assistent
PDCA Plan-Do-Check-Act
PDF Portable Document Format
PIN Personal Identification Number
PUK Personal Unblocking Key
QM Qualitätsmanagement
ROSI Return on Security Investment
RZ Rechenzentrum
SAK Signaturanwendungskomponente
SigG Signaturgesetz
SoA Statement of Applicability
S-OX Sarbanes Oxley Act
SQL Structured Query Language
SSL Secure Sockets Layer
SüG Sicherheitsüberprüfungsgesetz
TCSEC Trusted Computer System Evaluation Criteria
TDDSG Teledienstedatenschutzgesetz
TDG Teledienstegesetz
TGA Trägergemeinschaft für Akkreditierung GmbH
TK(-) Telekommunikation(s-)
TKG Telekommunikationsgesetz
UrhG Urheberrechtsgesetz
USB Universal Serial Bus
USV unterbrechungsfreie Stromversorgung
Verwendete Abkürzungen
256
VDE Verband der Elektrotechnik, Elektronik und Informationstechnik
VS Verschlusssache(n)
VS-A Verschlusssachen-Anweisung
WLAN Wireless LAN
ZDA Zertifizierungsdiensteanbieter
257
Quellenhinweise
Bei den folgenden Internet-Adressen sind ergänzende Informa-tionen zu bekommen, verschiedentlich ist auch ein Download der Standards und Dokumente möglich:
British Standard ..........................................www.bsi-global.com
Common Criteria ...................... www.commoncriteriaportal.com
ISO .......................................................www.iso.org
IT-Grundschutz ........................................................ www.bsi.de
ITSEC .................................www.t-systems-zert.com77
ITU .........................................................www.itu.int
Signaturgesetz .......................... www.bundesnetzagentur.de78
TCSEC .................................................. www.nist.gov79
/BS 7799-1/ BS 7799-1:1999 Information security management – Part l: Code of practice for information security management, www.bsi-global.com
/BS 7799-2/ BS 7799-2:2002 Specification for Information Security Management, www.bsi-global.com
/BSI100-1/ BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
/BSI100-2/ BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
/BSI100-3/ BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
77 Menü: „Service-Bereich“.
78 Menü: „Elektronische Signatur/Rechtsvorschriften“.
79 Direkter Link: http://csrc.nist.gov/publications/secpubs/rainbow/.
Quellenhinweise
258
/CC/ ISO / IEC 15408: Common Criteria for Information Technology Security Evaluation, Version 3.1, 2006
/CEM/ Common Methodology for Information Technology Security Evaluation, Version 3.1, 2006
/DIN ISO 27001/ Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Management-systeme – Anforderungen (ISO / IEC 27001:2005), deutsche Fassung von /ISO 27001/
/DIN 45011/ DIN EN 45011:1998 Allgemeine Anfor-derungen an Stellen, die Produktzertifizierungssysteme betreiben (entspricht ISO / IEC Guide 65:1996)
/DIN 45012/ DIN EN 45012:1998 Allgemeine Anforderungen an Stellen, die Qualitätsmanagementsysteme begutachten und zertifizieren (entspricht ISO / IEC Guide 62:1996)
/GSHB/ IT-Grundschutz(handbuch)
/ISO 13335/ ISO / IEC IS 13335: Information Technology – Security techniques – Management of information and communications technology security (Part 1 to 5)
/ISO 17025/ ISO / IEC 17025:2005 Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien
/ISO 19011/ ISO 19011:2002 Leitfaden für Audits von Qualitätsmanagement- und / oder Umweltmanagementsystemen
/ISO 73/ ISO / IEC Guide 73:2002 Risk management — Vocabulary — Guidelines for use in standards
Quellenhinweise
259
/ISO 17799/ ISO / IEC 17799:2005 Information technology — Security techniques — Code of practice for information security management
/ISO 27001/ ISO / IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements
/ISO 9000/ ISO 9001:2000, Qualitätsmanagementsystem – Anforderungen
/ISO 14000/ ISO 14001:2004, Umweltmanagementsystem – Anforderungen
/ITSEC/ Information Technology Security Evaluation Criteria, Version 1.2, 1991
/ITSEM/ Information Technology Security Evaluation Manual, Version 1.0, 1993
/ITU/ ITU-T Recommendation X.1051: Information security management system – Requirements for telecommunications (ISMS-T), Fassung 07-2004
/PCI-DSS/ Payment Card Industry Data Security Standard (PCI DSS), Version 1.1, September 2006
/SigG/ Signaturgesetz vom 16. Mai 2001 (BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179)
/SigV/ Signaturverordnung vom 16. November 2001 (BGBl. I S. 3074), geändert durch Artikel 2 des Gesetzes vom 4. Januar 2005 (BGBl. I S. 2)"
/TCSEC/ Trusted Computer System Evaluation Criteria, DoD: 5200.28-STD, December 1985
261
Sachwortverzeichnis
A
Abnahme · 158
Abstrahlschutz · 151
Allgemeine Geschäftsbedingungen · 52
Anforderungsanalyse · 204
Angriffe · 23
Angriffspotenzial · 24
Anmeldeverfahren · 94, 95, 184, 185
Anwendungsbereich · VIII, 33, 39, 40, 41, 49, 50, 73, 76, 82, 97, 98, 115, 134, 147, 149, 208
Archivierung · 118, 163, 206
Auditbericht · 66, 84, 219, 225, 231, 232, 233, 234
Auditoren · 74, 80, 84, 88, 150, 157, 178, 219, 220, 222, 223, 225, 227, 229, 231, 235, 236, 239
Auditplan · 65, 225, 229
Aufbewahrungsfristen · 206
Aufsichtsbehörden · V, 218
Aufzeichnungen · 9, 20, 26, 58, 62, 67, 68, 73, 74, 79, 82, 118, 157, 173, 174, 175, 178, 194, 200, 205, 206, 210
Ausgabedaten · 191
Authentizität · 22
Autorisierung · 171, 181, 183
B
Backup · 59, 92, 104, 118, 126, 142, 151, 161, 177, 189, 204
Basel II · V, 1, 4, 5, 11
Basis-Sicherheits-Check · 34
BDSG · 5
Bedrohungen · 28, 29, 33, 42, 43, 45, 51, 86, 107, 115, 116, 122, 144, 149, 151, 161, 170, 171
Benutzeraktivitäten · 173
Benutzeridentifikation · 94, 184
Benutzerregistrierung · 177
Beschaffungsrecht · 6
Beschwerdeverfahren · 226
Betriebsmittel · 92, 150, 151, 152, 153
Betriebsprozesse · 154
Betriebssysteme · 12, 92, 164, 179, 183, 185, 195, 238
Beweise · 174, 200
Blitzschutz · 109, 120, 123
BS 7799-1 · VII
BS 7799-2 · VII
BSI-Standard · 27, 30, 128
Bundesdatenschutzgesetz · 5
Business Continuity Management · 91, 93, 200
Sachwortverzeichnis
262
C
CERT · 136, 197
Change Management · 195
Clear Desk Policy · 180
Client-Server · 169
CMM · 16
Cobit · 7
Common Criteria · 12, 15, 58, 238, 239
Compliance · 93, 204
Copyright · 205
Corporate Governance · 1
COSO · 3
D
DATech · 223, 239
Datenschutz · V, VII, 63, 206
Defizite · 42, 84, 218, 219, 225, 227, 231, 232, 234
Dienstleister · 4, 52, 63, 157, 158, 162, 181
Dienstleistung · 20
Dienstleistungsvereinbarungen · 162
Disziplinarverfahren · 145
Dokumentenlenkung · 73, 75, 77, 84
E
E-Commerce · 169, 170, 171
Eigentümer · 41, 42, 101, 111, 112, 113, 139
Einführungsphase · 48, 66
Eingabedaten · 190, 191
Einstufung · 113, 124, 139, 140, 175
Einzelmaßnahme (Begriff) · 29
elektronische Signatur · 167, 170
Elementarereignisse · 23, 24, 42, 43, 200
Email · 141, 166, 168, 228, 229
Erfolgskontrolle · 71, 80, 197
Erklärung zur Anwendbarkeit · 33, 34, 48, 49, 54, 55, 75, 123
Eskalation · 10, 61, 198
Eskalationswege · 61
externe Audits · 65, 173, 224, 228, 231
F
Fahrlässige Handlungen · 23
Fehlbedienung · 23
Fehlerprotokolle · 175
Fehlerzustände · 173
Fernwartung · 181
Freigabe · 75, 76, 134, 155, 160, 195, 213, 215, 216
G
GDPdU · 2, 3
Gefährdungen · 26
Gefährdungskatalog · VIII, 26, 34
Geschäftdaten · 196
Geschäftsprozesse · 50, 101, 201
Sachwortverzeichnis
263
Geschäftsrisiken · 36, 45, 214
Geschäftstätigkeit · 20
Gesetzesverstöße · 23, 26, 204
GoBS · 2, 3
Grundschutz-Audit · 235
Grundschutz-Bausteine · 29
Grundwerte · 22
H
Hacker · 23, 24, 165, 185, 238
Hashwerte · 191, 193
I
Incident Management-Plan · 60, 61, 67, 202, 203
Information · 20
Informationssicherheitsleitlinie · 31, 32, 33, 40, 41, 50, 91, 132, 133, 143
Informationswerte · 20, 31, 105, 111
Innentäter · 23, 100
Integrität · 21
internes Audit · 65, 68, 83, 218, 222
Inventarverzeichnis · 105, 106, 107, 153
ISMS · 35
ISMS-Dokumentation · 73, 76
ISMS-Leitlinie · 25, 31, 32, 40, 41, 44, 48, 50, 55, 59, 63, 72, 73, 75, 76, 80, 82, 85, 87, 99, 132, 133, 142, 158, 229
ISO 14000 · 9, 72, 75
ISO 17799 · VII, 15, 34, 47, 79, 89, 95, 138
ISO 9000 · 7, 8, 9, 10, 72, 75
Isolation · 187
IT-Anwendungen · 21
IT-Grundschutz · VII, VIII, 7, 10, 19, 21, 22, 26, 27, 29, 30, 31, 32, 34, 110, 124, 128, 217, 218, 235, 236, 237, 239, 257
IT-Grundschutzhandbuch · VII
ITIL · 9, 10, 13
IT-Verbund · 21, 29, 30, 235, 238
K
Kapazitätsplanung · 158, 159, 173
Kennzahlen · 173, 214, 215
Kommunikationsverbindungen · 110, 111, 113, 118, 124, 127, 149
Konformität · VI, VIII, 3, 19, 35, 79, 89, 217, 218, 219, 235, 237, 238
KonTraG · 1, 218
Kontrollpflicht · 208
Kontrollsystem · 2, 3, 98, 103
Korrekturmaßnahmen · 86, 88, 89, 233, 234
Kreditwesengesetz · 4
Kreditwürdigkeit · V
Kryptogeräte · 192
Kryptografie · 14, 191, 192, 193, 207
Kryptokonzept · 192
Sachwortverzeichnis
264
Kryptotechnik · 192
Kumulationseffekt · 126
L
Laufzettel · 68, 146
M
Managementbewertung · 55, 62, 63, 66, 67, 68, 69, 71, 80, 84, 85, 86, 87, 99, 208
Management-Forum · 80, 99, 133
Managementsystem · 37
Maßnahme (Begriff) · 29
Maßnahmenkatalog · 34, 47, 211
Maßnahmenziele · 28, 33, 46, 48, 49, 53, 54, 56, 57, 72, 83, 85, 89, 94, 136
Maximumprinzip · 112, 125, 126
Mean Time between Failure · 24
Medien · 70, 72, 77, 78, 116, 118, 153, 161, 163, 164, 165, 167, 168, 175, 180, 206
Missbrauch · 207
Mobile Computing · 92, 187, 188
Modellierung · 11, 29, 34, 128, 211
N
Nachrichten · 168, 191
Need-To-Know · 176
Netzsicherheit · 92, 161, 162
Nicht-Abstreitbarkeit · 22
Notfallhandbuch · 61, 202
Notfallplan · 61, 108
O
Off-Site Tests · 237
On-Site Tests · 237
Ordnungsmäßigkeit · 21, 154
Organisation · 19
Ortsbegehung · 232
P
Passwörter · 94, 95, 178, 179, 184, 185
PCI-DSS · 13
PDCA · 38, 39, 52, 54, 62, 68, 71, 80, 173, 213, 218
Penetrationstests · 12, 162, 210, 237, 238
Perimeterschutz · 148
Personal · 20
Physische Werte · 20
Planungsphase · 39, 49, 54, 64, 101, 213
Priorisierung · 56
Prozess · 37
Q
Qualitätsmanagement · V
Quellcode · 194, 196
Sachwortverzeichnis
265
R
Realisierungsplanung · 34
Redundanzmaßnahmen · 128
Regelungsbereich · 91, 93
Ressourcenmanagement · 60, 81
Restrisiko · 28, 30, 31, 33, 45, 47, 48, 53, 82
Revision · 209, 222
Revisionsstand · 77, 78
Revisionstools · 211
Risiko · 22, 25, 27, 44, 47
Verlagerung · 30, 52
Risikoabschätzung · 25, 35, 43, 44, 52, 73
Risiko-Akzeptanz · 30
Risikoanalyse · VII, VIII, 25, 26, 27, 32, 33, 34, 35, 44, 102, 107, 124, 128, 129, 137, 138, 202, 257
Risikobehandlung · 30, 32, 33, 45, 46, 52, 55, 99, 197
Risikobehandlungsplan · 30, 54, 55, 56, 73, 74
Risikobewertung · 26, 27, 32, 33, 35, 44, 45, 50, 52, 65, 73, 82, 121, 137, 138
Risikoeinschätzung · 26, 32, 33, 35, 36, 41, 45, 50, 51, 52, 53, 55, 56, 64, 73, 87, 89, 99, 101, 115, 123, 124, 131, 158, 161, 202
Risiko-Identifizierung · 25, 35, 44, 51
Risikoindex · 24
Risikoklasse · 24, 41, 44, 46, 47, 73, 74, 87
Rollen · 55, 59, 100, 112, 134, 147, 154, 176, 177, 179, 229
Routingkontrolle · 183
S
Sarbanes-Oxley · 1, 2, 3, 99, 103
Schadenauswirkung · 27
Schadenkategorien · 26
Schadsoftware · 92, 159, 160
Schlüssel · 146, 147, 185, 192, 193, 206, 208, 230
Schlüsselerzeugung · 192
Schlüsselverteilung · 192
Schlüsselwechsel · 192
Schulung · 58, 59, 144, 145
Schutzbedarf · VII, 27, 29, 30, 34, 110, 111, 123, 124, 125, 126, 127, 128, 134, 135
Schutzbedarfsanalyse · 11, 34, 113, 123, 124, 125, 126, 127, 128
Schwachstellen · 23, 24, 28, 33, 34, 42, 43, 45, 51, 70, 86, 93, 102, 107, 115, 117, 119, 136, 197, 198, 199, 209, 218, 238
Sensibilisierung · 58, 82, 83, 144, 145, 180
Server-Zertifikate · 182
Sessions · 186
Sicherheitsbereiche · 92, 147, 148, 150, 151
Sicherheitskategorie · 91, 131
Sicherheitskonzept · 31, 33, 34, 153
Sicherheitsnachweise · 235
Sachwortverzeichnis
266
Sicherheitspläne · 67
Sicherheitspolitik · 31
Sicherheitsvorfälle · 16, 51, 59, 60, 61, 62, 69, 70, 86, 88, 91, 93, 142, 173, 185, 198, 199
Sicherheitsziele · 21, 32, 43, 192
Sicherheitszonen · 147, 148, 149, 175
Simulationen · 201, 213, 214, 215
Software · 20, 153, 159, 193, 194, 205
Softwareentwicklung · 197
Software-Lizenzen · 165
Sollzustand · 234
Solvency II · V, 4, 5, 11
S-Ox · 2, 4, 11
Speichermedien · 153, 163, 164
Standards · 14
Stärke von Sicherheitsmaßnahmen · 24
Strukturanalyse · 34, 110
Subjekte · 21
Systemdokumentation · 165
Systemplanung · 158
System-Tools · 185
T
Tayloring · VI
Telearbeit · 92, 187, 188, 189
TGA · 223, 239
Transaktionen · 171, 206
Trojaner · 159
Trusted Site · 12
U
Überprüfungsphase · 62
Umsetzungsphase · 54
Umweltschutz-Management · V
V
Validierung · 190, 191, 213, 214
Verantwortlichkeiten · 37, 40, 54, 55, 56, 79, 92, 98, 99, 100, 111, 112, 133, 134, 142, 143, 146, 154, 155, 199, 201, 203
Verbindungszeit · 94, 186
verdeckter Kanal · 196
Verfügbarkeit · 21
Verkabelung · 109, 110, 152
Verschlüsselung · 14, 135, 161, 167, 168, 169, 170
Versicherungen · 46
Versiegelung · 182
Verteilungseffekt · 126
Vertraulichkeit · 21, 22, 140
Vier-Augen-Prinzip · 100, 156, 186
Viren · 159, 193
Vorbeugemaßnahmen · 61, 86, 87, 89, 229, 231
W
Webtrust · 13
Werte · 20
Wiederanlauf · 61, 67
Wiederaufbereitung · 163, 164
Sachwortverzeichnis
267
Wiedereinspielen · 171
Wiederholungsaudit · 228
Wirksamkeit · 57, 59, 63, 74, 86
Z
Zeitsynchronisation · 175
Zertifikate · 167
Zertifizierung · 219, 220, 237
Grundschutz · 7
ISMS · VII
Produkte · 25
Zertifizierungsreport · 25, 238
Zertifizierungsstelle · 8, 12, 219, 220, 221, 225, 226, 227, 238, 239
Zugangskontrolle · 90, 92, 175, 176, 179, 180, 183, 187, 194
Zugriffskontrolle · 90, 92, 173, 174, 176, 183
Zutrittskontrolle · 117, 148
Zutrittskontrollsystem · 146
Zuverlässigkeit · 22
Zuweisbarkeit · 22