IT - Sicherheitsstandards

Slides:



Advertisements
Ähnliche Präsentationen
Liefern HP OpenView ServiceDesk und Alignability ITIL out-of-the-box?
Advertisements

Architektur eines Human-Task-Service
Hilfe, meine IT arbeitet !
Von Stefan Hemeier und Thomas Hille
Rechnernetze und verteilte Systeme (BSRvS II)
Thema: Sicherheitsarchitektur für mobiles Arbeiten
EControl –Identity Lifecycle Management kann so einfach sein Management Erstellung Nutzer-Selbstverwaltung Audit Wolfgang Berger Omni Technology Solutions.
Sicherheit als Geschäftsmodell
Systemverwaltung wie es Ihnen gefällt.
Bewertung des Prozessoptimierungsansatzes 'ITIL' am Beispiel des Projektes PolyWorkPlace bei Bayer Business Services GmbH.
Schwachstellenanalyse in Netzen
Universität Stuttgart Institut für Kernenergetik und Energiesysteme I nstitut für K ernenergetik und E nergiesysteme Rational Unified Process (RUP) - Definitionen.
Risiken und Chancen Risiko Beurteilung: Dazu gehört die Identifikationen von Risiken, ihre Analyse und das Ordnen nach Prioritäten. Risiko Kontrolle: Dazu.
Schulung der Mitarbeiter
ISO - Normen Inhalt Qualität im SE Der ISO 9000-Ansatz
Zertifizierung von Software: CMM oder ISO 9000
Rational Unified Process (RUP) - Definitionen
Aufgaben eines IT-Koordinators
Enterprise Protection Betriebskonzept IT Security –
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
Grundschutztools
Langzeitarchivierung und Metadaten. NAA Preservation Strategy Link: ml.
IT - Sicherheitsstandards
Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am
Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am
Die Umsetzung der ISO/IEC 17020
Portfolio des Competence Center ECS
Projektvorgehen.
Thats IT!. Titelmasterformat durch Klicken bearbeiten Über uns Mit uns bekommen Sie: Beratung – Doing - Betreuung langjährige Erfahrung umfassende Beratung.
System Center Service Manager Status : ‚Beta‘
Cloud-Computing Tomic Josip.
Autor / Thema der Präsentation
Gefahren und Sicherheitsmaßnahmen Vortragsteil von Franzi ;-)
Agenda 13: Begrüßung & Einführung in das Thema
1 Hugo Straumann, CT-SSM 17. Juni 2002 Security Risk Radar Hugo Straumann Methode Pilot Positionierung.
Microsoft Student Partners
NDK Enterprise Technologien Informationen Infrastruktur und Fallstudie Daniel Nydegger Studienleiter Enterprise System Entwicklung.
IT – Governance Einführung.
Präsentation von Lukas Sulzer
Arne Tornieporth Freitag, 31. März 2017 Hannover
Projektmanagement Ziel und Umfang eines Softwareprojektes definieren
Seminar „Standards, Normen und Best-Practice-Modelle für Entwicklung und Betrieb von Softwaresystemen“ (Wintersemester 2008/2009) Vorbesprechung + Themenvergabe:
IT Kosten Reduzierung und effizientere Dienstleistungen Wir optimieren Strukturen und Prozesse und reduzieren dabei Ihre IT Kosten Ihr OPTICONSULT International.
Service Management mit NetIQ Lösungen
xRM1 Pilot Implementierung
Dipl.-Inform. (FH) Mike Bach Unterschiedliche Anwendungen im Unternehmen – Warum, Wer und Wie Best-of-Breed vs. Alles aus einer Hand Dipl.-Inform. Mike.
Application Lifecycle Management Day 25. August 2008 Erfolgreiche Software- Entwicklung in Offshore-Projekten mit Microsoft Team Foundation Server Thomas.
Vorgehen Business Analyse
System Center 2012 Automatisierung von IT-Prozessen Sinja Herbertz Education Support Centre Deutschland.
Vorgehen Business Analyse
Dynamic Threat Protection detect. prevent. respond. Desktop. Server. Netze.
Software Product Line Adoption
Aktuelle Bilanzierungs- und Prüfungsfragen aus der Facharbeit des IDW
ISO in der betrieblichen Praxis
WP/StB Prof. Dr. Klaus-Peter Naumann
Weiterentwicklung des Audit Risk Model durch das IAASB
Projektantrag für die Umsetzung von ITIL
Projektantrag für die Umsetzung von ISO :2011 Untertitel oder Sprecher.
ITK Sicherheitsgesetz – Umsetzung mit verinice.PRO
Dell Lösungsentwürfe Vertraulich – nur zur Verwendung durch Dell Channel-Partner Der Dell Vorteil Dell Lösungsentwurf für Microsoft ® UC&C Umfassende,
Abteilung ST-ESS| Januar 2013 | © Robert Bosch GmbH Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung, Weitergabe.
Technologietag Baugruppentest Wege der Standardisierung im Funktions- und EOL-Test Markus Koetterl National Instruments Germany GmbH.
Systems Requirements & Achitectur ENG 2 & ENG 3 Training Kunde,
5-1 Informations- und Kommunikationssystemarchitektur Sicherheitsarchitektur IT-Sicherheit, Informationssicherheit ISO-Standards
Identity Management.  Zentrale Begriffe und Probleme  Modellbildung  Methoden zur Authentisierung über HTTP  Technische Aspekte  Compliance  Hindernisse,
Willkommen zur Schulung
CAcert und das Audit II Audit Prolog - Ausblick ● Abgebrochen Mitte 2009 ● Fehlende Ressourcen ● Abwälzung der Arbeit auf.
IT QM Part2 Lecture 7 PSE GSC
Devops David Jaroš
 Präsentation transkript:

IT - Sicherheitsstandards warum, wieso, weshalb? und welche taugen wie für was? Überblick über die Standards: BSI Grundschutz, ISO 7799, Common Criteria und ITIL IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

IT Sicherheitsstandards - Inhalt Warum Standards für IT-Sicherheit? Welche IT- Sicherheitsstandards gibt es? Erläuterung und partieller Vergleich der einzelnen Standards: BSI GSHB Common Criteria ITIL BS 7799 Zusammenfassung und Fazit IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Warum Standards für IT- Sicherheit? verschiedene Sicherheitsziele: Verfügbarkeit Vertraulichkeit Integrität Nicht-Abstreitbarkeit /Anonymität Komplexität an Informationen, IT-Systemen, Applikationen, Usern, Rechten etc. --> gesucht: Leitfaden, Checkliste, Anhaltspunkt = Standards als „eingedampfte“ Erfahrungen, wiederverwendbar, allgemein anerkannt für IT-Sicherheit: ISMS = Information Security Management Systems IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Einsatzgebiete von IT- Sicherheitsstandards Design von IT- Systemen und Anwendungen, in denen Sicherheit von Vertraulichkeit bis Verfügbarkeit eine Rolle spielt Prüfung und Bewertung von IT Sicherheit als Eigencheck als Zertifikat gegenüber Dritten Planung, Dokumentation, Kontrolle IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Welche IT- Sicherheitsstandards gibt es? detailliert Technik+Orga: BSI Grundschutzhandbuch technisch abstrakt: Common Criteria Betrieb / best practise: ITIL nur Orga: BS 7799-2 sonst: Technical report 13335, Cobit etc. IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Inhalt von IT- Sicherheitsstandards Technik: Applikationen, Betriebssystemen, Netzwerken, Hardware BSI Grundschutzhandbuch Common Criteria Organisation, Zuständigkeiten, Sicherheitsmanagemet ITIL BS 7799 nicht: Gesetze (TKÜV, RegTP. Basel II, SOX etc.) IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BSI IT-Grundschutzhandbuch detailliert technisch und organisatorisch keine Risikoabschätzung: Gießkannenprinzip in Gefährungskataloge und Maßnahmenkataloge wenig: Prozesse /Ablauf; besser bei ITIL (s.u.) Technik und Orga IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BSI IT-Grundschutzhandbuch 1.Teil Einstieg 2. Teil Bausteine: umfasst die Kapitel: Übergeordnete Komponenten Infrastruktur Nicht vernetzte Systeme und Clients Vernetzte Systeme und Server Datenübertragungseinrichtungen Telekommunikation Sonstige IT-Komponenten http://www.bsi.bund.de/gshb/deutsch/index.htm /home/mirror/ccc2004/vortrag_itsecstandards/standardsitsec/bsi/deutsch/etc/inhalt. htm IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BSI IT-Grundschutzhandbuch Gefährdungskataloge und Maßnahmenkataloge wenig Bezug zwischen Gefährdungen und Maßnahmen Gefährdungskataloge: Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BSI IT-Grundschutzhandbuch Maßnahmenkataloge: Infrastrukturelle Maßnahmen Organisatorische Maßnahmen Personelle Maßnahmen Maßnahmen im Bereich Hard- und Software Maßnahmen im Kommunikationbereich Notfallvorsorgemaßnahmen IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BSI IT-GSHB Beispiel Laptop „Nicht vernetzte IT-Systeme /Client Tragbarer PC“: Beschreibung: tragbarer PC unter DOS? Diskettenlaufwerk? Vernetzung ist extra: Link auf Kapitel 7.2 Modem leicht lesbar kontra teilweise nicht mehr ganz aktuell Gefährdungslage für tragbaren PC Maßnahmenempfehlungen für tragbaren PC /home/mirror/ccc2004/vortrag_itsecstandards/standardsitsec/bsi/deutsch/b/53.htm IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BSI IT-GSHB Beispiel G 4.1 Gefährdung G 4.1 Ausfall der Stromversorgung G = Gefährdung 4 = Technische .1 = erste technische Gefährdung = Ausfall der Stromversorgung: fehlt: passende Maßnahme dazu /home/mirror/ccc2004/vortrag_itsecstandards/standardsitsec/bsi/deutsch/g/g4000.htm IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BSI IT-GSHB Zusammenfassung technisch und organisatorisch detailliert: verständlich, aber nicht immer aktuell keine Risikoabschätzung: Gießkannenprinzip in Gefährungskataloge und Maßnahmenkataloge wenig: Prozesse /Ablauf; besser bei ITIL (s.u.) frei verfügbar IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria Internationaler Standard, der Gemeinsame Kriterien für die Prüfung und Bewertung der Sicherheit in der Informationstechnik beschreibt international. Weiterentw. von ITSEC, Orange Book technisch abstrakt und damit flexibel und technologieunabhängig nicht: Orga und Recht für verschiedenen Schutzbedarf; mit Risikoanalyse für Spezifikation von IT-Sicherheitsanforderungen als Teilmenge der Kriterien Was soll geschützt werden? Security Target / Protection Profile IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria für Spezifikation von IT-Sicherheitsanforderungen als Teilmenge der Kriterien Was soll geschützt werden? Security Target = implementierungsabhänge Menge von Sicherheitsanforderungen (Hersteller) Protection Profile = implementierungsunabhänge Menge von Sicherheitsanforderungen (Anwender) für eine Kategorie von TOE Untersuchungsgegenstand = Target of Evaluation =TOE IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria besteht aus drei Teilen: 1.Teil: Einführung und Begriffe 2.Teil: 11 funktionale Klassen 3.Teil: Klassen der Vertrauenswürdigkeit http://www.commoncriteria.de/it- sicherheit_deutsch/ccinfo.htm IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria - 2.Teil 11 funktionale Klassen mit Abhängigkeiten: Identifikation und Authentisierung FIA Nicht-Abstreitbarkeit FCO Privatheit FPR Kryptographische Unterstützung FCS Schutz der Benutzerdaten FDP : Integrität und.. Betriebsmittelnutzung FRU: .. und Verfügbarkeit Kontrolle Benutzersitzung FTA Trusted Path FTP Schutz der Toe-Sicherheitsfunktionen FPT Sicherheitsmanagement FMT Sicherheitsprotokollierung FAU IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria - 2.Teil- Beispiel Klasse FDP_RIP Funktionale Klasse Data Protection (FDP) unter anderen mit den Familien: Zugriffskontrollpolitik (FDP_ACC) Export nach außerhalb der TSF-Kontrolle (FDP_ETC) Import von außerhalb der TSF_Kontrolle (FDP_ITC) Schutz der Benutzerdatenvertraulichkeit bei Inter-TSF- Transfer (FDP_UCT) Schutz der Benutzerdatenintegrität bei Inter-TSF-Transfer (FDP_UCT) Schutz bei erhalten gebliebene Informationen (FDP_RIP) IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria - 2.Teil- Beispiel Klasse FDP Schutz bei erhalten gebliebene Informationen (FDP_RIP) = gelöschte Daten sollen nicht wiederhergestellt werden „FDP_RIP.1 Teilweiser Schutz bei erhalten gebliebenen Informationen“ „ Die TSF müssen sicherstellen, dass der frühere Informationsgehalt eines Betriebsmittels bei [ Auswahl: Zuteilung eines Betriebsmittels zu, Wiederfreigabe eines Betriebsmittels von] folgenden Objekten: [ Zuweisung: Liste der Objekte] nicht verfügbar ist. oder: Wer malert? Der, der auszieht oder der der in die Wohnung einzieht? Steigerung: FDP_RIP. Vollständiger Schutz bei erhalten gebliebenen Informationen IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria - 2.Teil- Beispiel Klasse FDP Schutz bei erhalten gebliebene Informationen (FDP_RIP) „FDP_RIP.2 Vollständiger Schutz bei erhalten gebliebenen Informationen“ „ Die TSF müssen sicherstellen, dass der frühere Informationsgehalt eines Betriebsmittels bei [ Auswahl: Zuteilung eines Betriebsmittels zu, Wiederfreigabe eines Betriebsmittels von] allen Objekten nicht verfügbar ist. ist hierarchisch zu: FDP_RIP.1 IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria - 3.Teil Vertrauen wird erreicht durch: Analyse und Überprüfung von Prozessen Überprüfung der Anwendung von Prozessen Überprüfung Design – Umsetzung Überprüfung Design – Anforderungen Analyse der Dokumentationen Funktionale Tests Schwachstellentest (Pentests) .. IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria - 3.Teil Vertrauenswürdigkeitsklassen (Vergleiche funktionale Klassen im Teil 2 der Common Criteria) mit Beispielen: Configuration Management (ACM) – Versionshandling Delivery and Operation (ADO) – Integrität bei Auslieferung Development Documentation (ADV)- welche Anforderungen wurden umgesetzt Guidance Documents (AGD) – für User und Admins Life-Cycle Support (ALC)- welche Leute Testing (ATE) – Testen, dass Anforderungen umgesetzt Vulnerability Assessment (AVA) – Test auf Schwachstellen IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria - 3.Teil Es gibt 7 Evaluation Assurance Level (EAL): EAL 1 = wenig getestet -> „etwas“ Vertrauen EAL 7 = viel getestet -> mehr Vertrauen die EAL im einzelnen: EAL 1: functionally tested EAL 2: structurally tested EAL 3: methodically tested and checked EAL 4: methodically designed, tested and reviewed EAL 5: semiformally designed and tested EAL 6: semiformally verified design and tested EAL 7: formally verified design and tested IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria - 3.Teil Vertrauenswürdigkeitsklassen und EAL: Beispiel: Für die Vertrauenswürdigkeitsklasse EAL 1 muss die Anforderungen in ACM_CAP.1 erfüllt sein (CC Teil 3: S.65) ACM = Klasse Configuration Management CAP = Familie (in der Klasse ACM) Configuration management capabilitites .1 heißt: eindeutige Versionsnummer (S.69) = Anforderung zum Vergleich für EAL 3 muss ACM_CAP.3 erfüllt sein (S.45): ACM_CAP.3 = Authorisation Controls (S.70) = eindeutige Versionsnummer Configuration Management system, CM doku, configuration list, eindeutige Bezeichnung aller configuration items, etc. kein unauthorisierter Zugriff (Integrität) IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Common Criteria Zusammenfassung Internationaler Standard technisch abstrakt und damit flexibel und technologieunabhängig nicht: Orga und Recht für verschiedenen Schutzbedarf; mit Risikoanalyse frei verfügbar besteht aus drei Teilen: 1.Teil: Einführung und Begriffe 2.Teil: 11 funktionale Klassen 3.Teil: Klassen der Vertrauenswürdigkeit IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Best practise: ITIL best practise für Administration: „Es soll laufen!“- Verfügbarkeit Einrichtung und Betrieb von IT-Service Management aus Dienstleistersicht: extern oder interne IT-Abteilung Ziel: hohe Qualität IT-Service und Kosteneffizienz ITIL = IT Infrastructure Libary: Hardware, Software, Prozesse, Kommunikation, Dokumentation ITIL Bücher, Training, Zertifizierung, Tools Was, nicht wie, d.h. keine technischen Details für Service Level Agreements (SLA's) und OLA (Organisation Level Agreements (innerhalb einer Firma) www.itil.org IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

ITIL: Beispiel Problem die auftreten können, zum Beispiel: bei 1.,2.,3. Level Support: Kunde: „Aber ich kenn' doch den Menschen vom 3.Level Support, und wenn ich den gleich anrufe, geht das viel schneller.“ ITIL = Erfahrungen IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

ITIL: Sets und Bücher ITIL besteht aus Bänden (sets) mit je einem oder mehreren Büchern: IT Service Provision und IT Infrastructure Management Sets Buch: „Service Support“ Buch: „Service Delivery“ Managers Set: Orga, Quality, Security Mgmt Software Support Set: Sw Lifecycle Support Computer Operations Set: Installation & Acceptance Environmental Set: u.a Strom, Brandschutz Business Perspective Set = f(Unternehmensziele) IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

ITIL: Service Support ITIL Buch: „Service Support“ Incident Management Service Desk: Nutzer, IT-Dienstleister Problem Management für schwerwiegende allg. Fälle > Change Mangement Configuration Management Configuration Items (CI) {Appl., Hw, Doku, Prozess} CI's mit Abhängigkeiten in Configuration Management Database (CMDB) zusammengefaßt Change Mangement aus „Request for Change“ Änderungen testen und in CMDB speichern Release Management Versionierung und Verteilung von Sw (Lizenzen, Roll-out, Rückgängigmachen) IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

ITIL: Service Delivery ITIL Buch: „Service Delivery“ Service Level Management in SLA Sicherheitsanforderungen -> Operation Level Agreements (Unterauftragnehmer) Availability Management Verfügbarkeit als Sicherheitsziel Business Continuity Management Notfallplanung Capacity Management Optimierung von IT Ressourcen Financial Management Kosten, Rechnung, mehr als Grundschutz? IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

ITIL: Managers Set: SecMgmt ITIL besteht aus Bänden (sets) mit je einem oder mehreren Büchern: Managers Set: Orga, Quality, Security Mgmt ITIL Security Management: aus IT-Dienstleistersicht: -> SLA SLA-> Sicherheitsanforderungen -> PLANung von Sicherheitsmaßnahmen -> IMPLEMENT -> EVALUATE durch Audits -> MAINTAIN -Verbesserungen REPORT von Dienstleister an Kunde CONTROL zur Steuerung der Phasen wie BSI GSHB nur Grundschutz an BS 7799 angelehnt IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

ITIL Zusammenfassung best practise für Administration: „Es soll laufen!“- Verfügbarkeit Einrichtung und Betrieb von IT-Service Management aus Dienstleistersicht ITIL = IT Infrastructure Libary Was, nicht wie, d.h. keine technischen Details IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BS 7799 Information security management system (ISMS) – Specification with guidance for use Teil 1: Sicherheitsmaßnahmen = ISO 17799 „Code of practise for security management“ (= best practise“) Teil 2: für die Beurteilung eines ISMS -> Zertifizierung nur Orga IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BS 7799-1 = ISO 17799 BS 7799 Teil 1: Sicherheitsmaßnahmen = ISO 17799 „Code of practise for security management“ Sicherheitspolitik an Unternehmenszielen orientieren an Unternehmenskultur anpassen (Akzeptanz) Unterstützung durch das Top-Management Sicherheitsanforderung, Risk Management Review-Cycle: Messung, Kontrolle und Verbesserung von IT-Sicherheitsmaßnahmen IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BS 7799-1 = ISO 17799 10 Gebiete -1.Teil: Security Policy: Rückendeckung vom Mgmt Organizational Security: Initiierung, Implementierung und Kontrolle von S.maßn. Asset Classification and Control: was schützen? - Inventarisierung Personel Security: Awareness, Schulung Physical and Environmental Security: Sicherheitszonen, Gebäudeschutz Communication and Operations Management: Integrität und Verfügbarkeit von IT-Systemen & Infos IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BS 7799-1 = ISO 17799 10 Gebiete -2.Teil: Access Control: Zugangs- und Zutrittsberechtigung Protokollierung System Development and Maintenance: Sicherheitsanforderungen bereits bei Systementwicklung beachten Kryptographie für Vertraulichkeit und Authentizität Business Continuity Management: Verfügbarkeit vor allem für kritische Geschäftsprozesse Compliance: Einhaltung gesetzlicher Verpflichtungen Einhaltung unternehmenseigener Regelungen IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BS 7799-2 Inhalt BS 7799-2: beschreibt Implementierung, Überwachung, Prüfung, Instandhaltung und Verbesserung eines ISMS Ziel: dokumentiertes ISMS 4 Aspekte: Information security management system Management responsibility Management review of the ISMS ISMS improvement IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BS 7799-2 Inhalt BS 7799-2: beschreibt Implementierung, Überwachung, Prüfung, Instandhaltung und Verbesserung eines ISMS neben den 4 Aspekten: Annex B: Guidance of use of the standard Plan-Do-Check-Act (PDCA) vgl ITIL: Plan-Implement-Evaluate-Maintain Plan including risk treatment Do incl. resources, trainung and awareness Check incl. learning from others and trend analysis IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

BS 7799 Information security management system (ISMS) – Specification with guidance for use Teil 1: Sicherheitsmaßnahmen = ISO 17799 nur Orga IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

andere Ansätze Cobit: Control objectives for information and relates technology ISO/IEC TC 68 „Banking and other financial services“ Technical Report (TR) 13569 „Information security Guidelines“ IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Zusammenfassung BSI GSHB: Orga+Technik detailliert ohne Risikoabschätzung (nur Grundschutz) Common Criteria: technisch, keine Orga abstrakt und allgemein Risikoabschätzung ->mit verschiedenen Schutzbedarf ITIL: de-facto-Standard für Betrieb von IT- Infrastructur Technik (was, nicht wie) + Orga ohne Risikoabschätzung BS 7799-2: nur Orga IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Weitere Infos: BSI: http://www.bsi.de/literat/index.htm Studie zu ISO-Normungsaktivitäten ISO/BPM:http://www.bsi.bund.de/literat/studien/gshb/ISO- BPM-Zertifizierung_040305.pdf BSI Grundschutzhandbuch:http://www.bsi.bund.de/gshb/deutsch /index.htm Common Criteria: http://www.bsi.de/cc/downcc21.htm http://www.commoncriteria.de/it- sicherheit_deutsch/index.php ITIL: www.itil.org BS 7799: http://www.secorvo.de/whitepapers/secorvo- wp10.pdf IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Fazit IT-Sicherheitsstandards sind Nachschlagewerke -> Das Rad nicht neu erfinden! nicht jedes passt für alles: -->überlegen, was bezweckt werden soll! pro: Standards sind „eingedampfte“ Erfahrungen, wiederverwendbar, allgemein anerkannt kontra: viele Standards sind komplexe Werke mit langer Einarbeitungszeit; setzen breites und tiefes IT- Wissen voraus IT Security- und Technologieberatung Dipl.-Inform.Viola Bräuer

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2025 SlidePlayer.org Inc. All rights reserved.