20 Abbildungsverzeichnis Abbildung 2-1: dreidimensionale IT- bzw. IKT- bzw. IKT-Sicherheits- (management)pyramide V nach Dr.-Ing. Müller bzw. ISM-PyramideDr.-Ing. Müller .................................................................. 22 Abbildung 5-1: Informationssicherheitsprozess orientiert an BSI ........................ 47 Abbildung 5-2: ISO-27000-Familie (Teil 1/2) ........................................................... 60 Abbildung 5-3: ISO-27000-Familie (Teil 2/2) ........................................................... 60 Abbildung 5-4: ISO 20000-1 Service-Management-System ................................... 79 Abbildung 5-5: ITIL£ Service Life Cycle .................................................................. 83 Abbildung 5-6: Software Assurance Maturity Model ............................................ 99 Abbildung 5-7: Struktur einer SOAP-Nachricht (Beispiel) ................................. 105 Abbildung 6-1: Schutzobjektklassen ...................................................................... 136 Abbildung 6-2: Detaillierter SicherheitsdreiklangDr.-Ing. Müller ................................ 138 Abbildung 6-3: Detaillierter RisikodreiklangDr.-Ing. Müller ........................................ 140 Abbildung 7-1: SicherheitspyramideDr.-Ing. Müller, Version V, bzw. Sicherheitsmanagementpyramide Dr.-Ing. Müller, Version V ........... 148 Abbildung 10-1: House of Safety, Security and Continuity (HoSSC) .................. 201 Abbildung 10-2: Safety, Security and Continuity Function Deployment (SSCFD) ........................................................................................... 202 Abbildung 11-1: Risikolandkarte und Risikoklassen (Beispiel) ............................ 220 Abbildung 11-2: Kern-, Support- und Begleitprozesse im Lebenszyklus ........... 253 Abbildung 11-3: Begleitprozesse (Managementdisziplinen) ................................ 261 Abbildung 11-4: Risiko(management)pyramide V nach Dr.-Ing. Müller ........... 271 Abbildung 11-5: Risikoermittlung auf Basis des RisikodreiklangsDr.-Ing. Müller ...... 273 Abbildung 11-6: Business Continuity Management mit der Sicherheitspyramide V .................................................... 310 Abbildung 11-7: Kontinuitätspyramide V nach Dr.-Ing. Müller bzw. Kontinuitätsmanagementpyramide V nach Dr.-Ing. Müller ... 311 Abbildung 11-8: Business Continuity Pyramid V according to Dr.-Ing. Müller or BCM pyramid V according to Dr.-Ing. Müller .......................... 313 Abbildung 11-9: Datensicherungsmethoden ........................................................... 331 Klaus-Rainer Müller, IT-Sicherheit mit System, DOI 10.1007/978-3-658-04334-6, © Springer Fachmedien Wiesbaden 2014 20 Abbildungsverzeichnis 563 Abbildung 11-10: Über-Kreuz-Sicherung ................................................................... 336 Abbildung 11-11: Allgemeines SicherheitsschalenmodellDr.-Ing. Müller ....................... 340 Abbildung 11-12: Elemente des Securitymanagements gemäß Sicherheitsschalenmodell Dr.-Ing. Müller .................................. 344 Abbildung 11-13: Berechtigungswürfel bzw. -kubus ............................................... 346 Abbildung 11-14: Subjekt-Subjektgruppe-Recht-Objektgruppe-Objekt-Modell ... 347 Abbildung 11-15: Taschenauthentifikator (Prinzipdarstellung) ............................. 353 Abbildung 11-16: Verschlüsselungsverfahren ........................................................... 364 Abbildung 11-17: Speichermedien .............................................................................. 395 Abbildung 11-18: DAS, NAS, SAN ............................................................................. 400 Abbildung 11-19: Firewallebenen (Prinzipdarstellung) ........................................... 405 Abbildung 11-20: Webanwendungen (Prinzip der Sicherheitszonen) ................... 408 Abbildung 11-21: Interdependenznetz (prinzipielles und vereinfachtes Beispiel) ............................................................................................ 433 Abbildung 12-1: Notfallablauf ................................................................................... 465 Abbildung 12-2: EskalationstrichterDr.-Ing. Müller .......................................................... 467 Abbildung 15-1: Rahmenwerk zum sicheren Anwendungslebenszyklus (Beispielextrakt) .............................................................................. 504 Abbildung 16-1: Sicherheits-/RiSiKo-Studie/-Analyse ........................................... 523 Abbildung 16-2: Sicherheitsregelkreis ...................................................................... 529 Abbildung 17-1: ReifegradmodellDr.-Ing. Müller, hier für Sicherheit und RiSiKo ...... 545 Abbildung 18-1: Sicherheits-/RiSiKo-(Management-)prozessDr.-Ing. Müller ............... 553 21 Tabellenverzeichnis Tabelle 3-1: Zehn Schritte zum Sicherheitsmanagement ..................................... 29 Tabelle 6-1: Kategorisierung der Definitionen von Security Policies ............... 133 Tabelle 9-1: Primäre und sekundäre Sicherheitskriterien .................................. 187 Tabelle 9-2: Schadensszenarien ............................................................................. 192 Tabelle 11-1: Bedrohungslandkarte (beispielhafter Auszug) .............................. 216 Tabelle 11-2: Sicherheitszonen-Maßnahmen-Matrix ............................................ 239 Tabelle 11-3: Prinzipien versus Sicherheitskriterien ............................................. 250 Tabelle 11-4: Datenschutzkontrollen ...................................................................... 268 Tabelle 11-5: Risikoinventar (auszugsweises Beispiel) ........................................ 275 Tabelle 11-6: Bruttorisikomatrix .............................................................................. 278 Tabelle 11-7: Prozentuale Verfügbarkeit und maximale Ausfalldauer.............. 315 Tabelle 11-8: Vor- und Nachteile von Datensicherungsmethoden ..................... 332 Tabelle 11-9: Verschlüsselungsverfahren und Standards .................................... 365 Tabelle 11-10: Sicherheitskriterien und Schutzmaßnahmen ................................. 368 Tabelle 11-11: Präventive Datenträgererneuerung ................................................. 396 Tabelle 11-12: Schutzmaßnahmen und Sicherheitsklassen (Gebäude, Räume, Versorgung) ........................................................................................ 430 Tabelle 11-13: RiSiKo-Architekturmatrix ................................................................. 434 Tabelle 12-1: Definitionen für Störung, Notfall, Krise, Katastrophe im Überblick ............................................................................................. 453 Tabelle 15-1: Kompakte Phasen-Ergebnistypen-Tabelle ...................................... 519 Tabelle 16-1: Kennzahlcharakteristika .................................................................... 534 Tabelle 18-1: RiSiKo-Managementprozess (Input, Methoden, Ergebnisse) ...... 559 Klaus-Rainer Müller, IT-Sicherheit mit System, DOI 10.1007/978-3-658-04334-6, © Springer Fachmedien Wiesbaden 2014 22 Verzeichnis der Checklisten Checkliste 8-1: Kontrollen zur Sicherheits-, Kontinuitäts- und Risikopolitik ....... 168 Checkliste 11-1: Kontrollen zum Konformitätsmanagement (Compliance Management) ....................................................................................... 265 Checkliste 11-2: Kontrollen zum Kontinuitätsmanagement ...................................... 337 Checkliste 17-1: Reifegrad .............................................................................................. 551 Checkliste 19-1: Minimalistische Sicherheit ................................................................. 561 23 Verzeichnis der Beispiele Beispiel 8-1: Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung ........................................................................................ 170 Beispiel 8-2: Sicherheits- Kontinuitäts- und Risikopolitik ................................... 178 Beispiel 9-1: Tabelle Schutzbedarf der Geschäftsprozesse .................................. 193 Beispiel 9-2: IKT-Schutzbedarfsanalyse ................................................................. 198 Beispiel 9-3: Schutzbedarfsklassen ......................................................................... 199 Beispiel 10-1: Sicherheitskriterium Verfügbarkeit: Einflussfaktoren (Auszug) .. 207 Beispiel 10-2: Maßnahmen-Klassen-Matrix (MKM) ............................................... 208 Beispiel 12-1: IKT-Benutzerordnung ........................................................................ 443 Beispiel 12-2: Richtlinie E-Mail-Nutzung ................................................................ 446 Beispiel 12-3: Richtlinie Internet-Nutzung .............................................................. 448 Beispiel 12-4: Richtlinie Kapazitätsmanagement .................................................... 450 Beispiel 12-5: Anforderungen an sicherheitsrelevante Räumlichkeiten .............. 458 Beispiel 12-6: Richtlinie Datensicherung .................................................................. 461 Beispiel 12-7: Gliederungsstruktur Notfallhandbuch (Auszug) ........................... 464 Beispiel 12-8: Richtlinie Berichtswesen Kontinuitätsmanagement ...................... 469 Beispiel 12-9: Richtlinie Zugangsschutz ................................................................... 472 Beispiel