ebook img

Information Security Risk Management: Risikomanagement mit ISO/IEC 27001, 27005 und 31010 PDF

207 Pages·2015·102.99 MB·German
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Information Security Risk Management: Risikomanagement mit ISO/IEC 27001, 27005 und 31010

Edition <kes> Herausgegeben von P. Hohl, Ingelheim, Deutschland Mit der allgegenwärtigen Computertechnik ist auch die Bedeutung der Sicherheit von In- formationen und IT-Systemen immens gestiegen. Angesichts der komplexen Materie und des schnellen Fortschritts der Informationstechnik benötigen IT-Profi s dazu fundiertes und gut aufb ereitetes Wissen. Die Buchreihe Edition <kes> liefert das notwendige Know-how, fördert das Risikobe- wusstsein und hilft bei der Entwicklung und Umsetzung von Lösungen zur Sicherheit von IT-Systemen und ihrer Umgebung. Herausgeber der Reihe ist Peter Hohl. Er ist darüber hinaus Herausgeber der <kes> – Die Zeitschrift für Informations-Sicherheit (s. a. www.kes.info), die seit 1985 im SecuMedia Verlag erscheint. Die <kes> behandelt alle sicherheitsrelevanten Th emen von Audits über Sicherheits-Policies bis hin zu Verschlüsselung und Zugangskontrolle. Außerdem liefert sie Informationen über neue Sicherheits-Hard- und -Soft ware sowie die einschlägige Ge- setzgebung zu Multimedia und Datenschutz. Sebastian Klipper Information Security Risk Management Risikomanagement mit ISO/IEC 27001, 27005 und 31010 2., überarbeitete Aufl age Sebastian Klipper Kiel, Deutschland Edition <kes> ISBN 978-3-658-08773-9 ISBN 978-3-658-08774-6 (eBook) DOI 10.1007/978-3-658-08774-6 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliogra(cid:191) e; detail- lierte bibliogra(cid:191) sche Daten sind im Internet über http://dnb.d-nb.de abrufbar. Springer Vieweg © Springer Fachmedien Wiesbaden 2011, 2015 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbeson- dere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikrover(cid:191) lmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Springer Fachmedien Wiesbaden ist Teil der Fachverlagsgruppe Springer Science+Business Media (www.springer.com) Dank ~&gegnd tm:I jemQM, der tm:I D.tn.I; IChKlrlig ut, gltidJ ftJIIt es tm:I tin. Mt oft kc'lImm wir jt1MndtIfI _ wir D.tnk .r:lnIltlig .inII, almt darlll'l ~ ~""","' - IMan WolfKAs _ Goetht Ich möc:hte aIl meinen Mitstreitern und Auftr.Wbem danbn. mit denen ich in den vielen Jahren als IT-Sicherheimbet.uftrapr und Securlty Consultvtt intensiv Vi neuen Ideen und SicherheiislöBun­ ge:n atbeiten lroto:tte. snt Weiterer Dank den LNel'l\ der ersten Auflage. die das Buch., erfolsrt'ich. ~t haben,. da. nun lUch die zweite überarbeitete Auflage vorliegt. Vorwort ~Nidlt. pchitht olme lWilo, fIher DImt Ri.tiko ge­ ~chit1lt JI'fIdIIfidttt. " - WlIlteT Sch«l Die Gesdlkhle..u-Buchs begann vor etwa ftinf Jahren, alJ Ich MCÖ'dI;Il eil lMlht kaufen wollte. Sie hIben ganz Recht. da war es noch gar nicht gnchrieben. Ich war auf der Suche nach eirmn BudI. du !IidI. explizit mit dem Mlnlgement van Sicherheitmsiken auf Bui. d.eII lSO/lEC-Stvuhrds 2700S beadIiftIgL Meine Vontell~ Woll' es. ein Buch zu fi.nde:n, in dem dN 'lbem.a ~t .,. integraler üestlrldteil der ISO/IBC Normenreihe 27000 verstanden und ~ wird. Ich mUMte femteIIen.. dus eil 10 ein Buch noch nicht sibt und beiichlo. daher, ea JIe!b.t zu iidireiben. Hierzu gehörte ~ die Fr. . welche Standarda der Weldle Norm 111 FISOr/.I EC-Normenreihen fIlr die Implementierung eines ~- d. PM"00.'1 :nqemen!ay.teu. . widitig .md und weldul nimt. Will man diesez auf den GNnd gehen,. indem man die Standard. seB.t zu Rate zieht. belaufen Iidt. die lnvesti.tioNko.um. Idmell auf einige vm Vorwort tausend Euro. Das Buch will diese Standards natürlich keinesfalls ersetzen. In der Regel sollten Sie einige davon trotzdem erwerben. Besonders die Standards 27001, 27002 und 27005 dürfen in keiner Grundausstattung fehlen, wenn Sie sich ernsthaft mit ISO/IEC 27000 auseinandersetzen wollen. Von der Theorie Der reine Kauf von Standards und deren Lektüre führt jedoch auch zur Praxis nicht zwangsläufig zum Erfolg. Daher war eine weitere wichtige Frage, die ich mir stellte, wie sich die generischen Formeln eines Standards in die Praxis übertragen lassen und welche Möglichkei­ ten es gibt, auf der ISO-Klaviatur zu improvisieren. Niemandem ist geholfen, wenn man Standards vom Blatt abliest. Die eigentli­ che Kunst ist es, sie im eigenen Unternehmen oder dem Unter­ nehmen des Kunden umzusetzen. Der Mensch Ich werde mich daher nicht nur der Frage widmen, was die steht im Standards vorschlagen, sondern ebenso erörtern, wie sich die Mittelpunkt ... Anforderungen und Vorschläge eines Standards mit den anderen Zwängen, Zielen, Prioritäten und Risiken eines Unternehmens oder einer Behörde in Einklang bringen lassen. Wie schon in meinem ersten Buch "Konfliktmanagement für Sicherlu!itsprojis" [1] steht dabei der Mensch im Mittelpunkt. Spitze Zungen fügen diesem geflügelten Wort gerne folgenden Halbsatz hinzu: " ... und damit allen im Weg". Richtig muss es heißen: Der Mensch steht Im Mittelpunkt ... jeder Sicherheitsbetrachtungl Oder noch besser: Menschliches Handeln und Unterlassen steht im Mittelpunkt jeder Sicherheitsbetrachtung I Wie schwierig es ist, die Frage nach der praktischen Umsetzung ausschließlich anhand des Standards zu beantworten, zeigt sich bei einem kleinen Test: Der gesamte Risikomanagementprozess soll laut Standard durch die Kommunikation von Informationssicher­ heitsrisiken überspannt werden. IX I5O/IEC 27005 11. KomtrKIIJIIrrItl_ bl/Olmatlolls5k:Mrllt.'lbilslhn: Tt!tlGkeöt: ~ Z1I RI$Jbn ..." z~ ." EIftKhei­ ~ lItId CIIJUet' ~ ~ ufIfI/ odB~~. Erliutert wird dieN! Titf8keit Im SWld.ud oluf nur einer SeIte. Du reicht in der PrIxi. kawn w... um vor einer Brndalandtmg bewlhrt -men. zu Mit jedem. Beteiligten wlclmm die untenchiedlichm Intez EIRn und dlIIlit lUch die unlerKhiedlichen Sichtweisen. luf die Risiken. Mit jeder Kommunikation leitet man eine Quui­ EVJIuierung der kommunizlerten Risiken ein und brlnst den. millulliin etlblierten RDikomanagementprozea wieder ein wenig lruI WIlJIken. SeIbsr: hervorr.asend ~ Risiken sind nicht unerheblich V(IIl Ullllir3m.1 ~lKhitzten Gr6ßen. abhingig. Potentielle SchadensMhen oder Elntritl5wlhmo:helnllchkeiten stehen nicht in ir8end einer int:emationll -.er~ten TIIbelle, lrWI der man nur I~ briwil1e. S. iw\delt lidL hierbei um interne oder externe SdiitzgröSen oder ErfIhrungm der Vergangenheit,. zu deren Fli!ltleguns man 1!nIIenchiedlic Meinq .ein kann. Du Buch wird regelmißig 'ftl'IIUChen. die durch. die StandardJI Eingelrlllelle eingetretenen Phde zu verlu!lell und ~ weiteren Wegen PrD"rlalMn 1lUcher!,. auf denen Sie Ihre Ziele erreic:hen kmIIm. Bin eigeneI Kapitel beIchiftigt lieh 10 zum Beispiel mit der Frage. ob man ISOIIEC 27005 in einem. rr- GrundJdwtzprojeld em.etzen kIrm.. in dem. eine ~ Riailcom.IJ.YH notwendig ist. Im Grunde sin! eI bei der Arbeit Ul die8em. Buch darmn. die FNgIn Ihr Fr~ zu buntworten, die sieh mir seIb8t bei meinen Projekten .-ls FIIgeI'I Security-Ccmwltllnt gestellt hatten. Ich hatte bereib erwihnt. duB Ich du Buch ureprtingIich kaufen und rdd'tt telNt sdIreIben. wollte. Erginzt wurden meiDe Fragen durch wei.lIm:, die sich in zahlrekhen Gesprlchen ~ben haben, die ich wlhrend der Recherche zu die8em Buch mit Anweru1em der ISOIIEC 27000 Famili.e geführt habe. Meine HoffNmg jK es, daH die Sdmittmenge mit Ihren Frasen M6g11ch11 !lflla. <Udurclt besonders groß ist und Sie in dem Buch die Arrtworten. Sc:hnltlmlllllgl finden,. die Sie in Ihrem tisJichen Schaffen weiIeEbriDgen. Soll1en x Vorwort trotzdem Fragen offen geblieben sein. möchte ich Sie einladen, direkt mit mir Kontakt aufzunehmen. Eventuell habe ich einen Tipp, der in diesem Buch noch nicht berücksichtigt wurde, oder ich kann Ihnen auf anderem Weg weiterheHen. Besuchen Sie doch einfach meine Webseite: http://psi2.de (W~b2jt~ des AutrJrsl 2. Auflage Die Neuauflage dieses Buches wurde deutlich versch1ankt Viele kompakter der bisherigen Inhalte, wie z.B. die Softwaretipps waren recht im Inhalt schnell veraltet und haben mit der Zeit ihren Wert verloren. Aber auch einige der prozessualen Bestandteile haben das Thema weiter ausgedehnt, als es in der Praxis erforderlich ist. Diese Abschnitte wurden meist entfernt oder entsprechend gekürzt und überarbei­ tet, was das Buch um einiges kompakter und damit nicht zuletzt für Sie kostengünstiger gemacht hat. Ich wiinsche Urnen viel Spaß beim Lesen und viel Erfolg bei der Anwendung in der Praxis. Sebastian Klipper Januar 2015 Zur Bedeutung des grafischen Codes rechts neben dem Hinweis auf die Webseite zum Buch beachten Sie bitte Erklärung zu QR-Codes auf Seite 9.

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.