Heinrich Kersten Livres

Dieses Buch behandelt das Management der Informationssicherheit auf der Basis der neuen Fassung der Norm ISO/IEC 27001. Die Autoren erläutern kompetent den Standard und seine organisatorisch-technische Umsetzung. Dies betrifft die Anforderungen an das Informationssicherheits-Managementsystem (ISMS) genauso wie die 114 Controls aus dem Anhang der Norm. Die ausführlich kommentierten Controls unterstützen Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen in allen Bereichen. Die Normenreihe ISO 27000 ist ein wichtiges Hilfsmittel für Unternehmen und Behörden, die ein IT-Sicherheitsmanagement in ihrer Organisation einführen und betreiben wollen. Im internationalen Kontext ist die Anwendung der ISO 27001 für viele Organisationen nahezu unverzichtbar. Nicht zuletzt mit dem deutschen IT-Sicherheitsgesetz erhält dieser Standard auch national eine hohe Bedeutung. Mit der Neufassung der Norm im Jahr 2015 (deutsche Version) müssen sich alle Organisationen entsprechend umstellen und ihr ISMS anpassen. Hierfür enthält das Buch einen entsprechenden „Fahrplan“.

Ein Buch, das den Sicherheitsverantwortlichen (und allen Interessierten) den „roten Faden“ liefert, wie man die IT-Sicherheit im Unternehmen angeht, wie man sinnvolle Security Policies und Sicherheitskonzepte schreibt, wie man sukzessive zu einer stetigen Verbesserung der Sicherheit kommt, ist schon eine wesentliche Hilfe für die Praxis. Das hochkarätig besetzte Autoren-Team stellt in dieser Form erstmalig seine Erfahrungen auf dem Gebiet der IT-Sicherheit in Buchform vor. Dabei werden auch „brisante“ Themen wie BS 7799 „contra“ Grundschutz nicht ausgelassen. Aufbau und Inhalt des Werks konnten bereits in vielen Seminaren zur Ausbildung von IT-Sicherheitsbeauftragten erprobt werden.

Der Standard ISO 2700x wird für Unternehmen und Behörden immer wichtiger. Er ist aus dem British Standard 7799 hervorgegangen, der international bereits einen hohen Stellenwert erlangt hatte, und dreht sich um das IT-Sicherheitsmanagement in Organisationen. Das Buch führt den Leser Schritt für Schritt in den Standard ein und legt verständlich dar, wie man ihn für das Sicherheitsmanagement anwendet und Konformität herstellt. Gleichzeitig wird die Schnittstelle zum IT-Grundschutz des BSI erläutert, der sich nahtlos an den Standard anschließt und Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen unterstützt. Zusätzlich erhält der Leser detaillierte Informationen in Sachen Audits und Zertifizierung nach ISO 27001 und IT-Grundschutz

Sicherheitsrisiken beim Einsatz mobiler Endgeräte Business Impact-Analyse, Disaster Recovery, Notfallmanagement Praxis: Auswahl eines MDM-Systems, Richtlinien für mobiles Arbeiten Aus dem Inhalt: Smartphones, Pads, Tablet-Computer Betriebssysteme mobiler Endgeräte Kommunikationsmöglichkeiten: GSM, UMTS, LTE, WLAN, Bluetooth, NFC, USB, Speicherkarten, Kamera Mobile Endgeräte und ihre Appstores ISO 27001 und Grundschutz Sicherheits- und Kontrollmaßnahmen Sicherheitsprobleme mobiler Endgeräte Unberechtigter Zugriff durch Verlust und/oder Diebstahl Schadsoftware, Phishing, Shoulder Surfing Schwachstellen drahtloser Kommunikation Inventarisierung, Incident & Problem Management Verteilung von Patches, Updates und Applikationssoftware Überprüfung der Compliance mit Sicherheitsrichtlinien Mobile Managementprotokolle Mobile Device Management über Client Apps Business Continuity: Business Impact Analysis, Präventive Maßnahmen, Reaktive Maßnahmen, Notfallübungen, Messung von Kennzahlen Management einer heterogenen mobilen Infrastruktur BYOD oder unternehmenseigene Geräte? Praxis: Auswahl eines MDM-Systems Evaluierung von MDM-Produkten Szenarien für den Einsatz der MDM-Lösung Richtlinien für mobiles Arbeiten Die in den letzten Jahren zu beobachtende Evolution des Mobile Computing und der rasante Anstieg von mobilen Endgeräten wie Netbooks, Smartphones und Pad-Computer im Unternehmenseinsatz haben unsere Arbeitswelt und die IT-Infrastrukturen nachhaltig verändert. Mitarbeiter können orts- und zeitunabhängig auf Ressourcen im Unternehmensnetzwerk zugreifen, Geschäftsdaten abrufen oder E-Mails lesen. Leichter Zugriff von unterwegs mit den eigenen (BYOD: Bring Your Own Device) oder unternehmenseigenen mobilen Endgeräten auf Informationen und Ressourcen von Unternehmen steigert nachhaltig Produktivität und Motivation der Mitarbeiter. Der Einsatz mobiler Endgeräte erhöht jedoch die Risiken der Verletzung der Informationssicherheit signifikant und erfordert eine umfassende Integrationsstrategie. In dem vorliegenden Werk wird zunächst die Hardware der in der Praxis am häufigsten verwendeten mobilen Endgeräte vorgestellt, anschließend werden die jeweiligen Betriebssysteme und ihre Abstammung diskutiert sowie einige Besonderheiten zu den Administrationsmöglichkeiten und Sicherheitsfunktionen festgehalten. Dazu zählt zum Beispiel die Unterscheidung zwischen dem eigentlichen Betriebssystem und den spezifischen Softwareänderungen durch die Netzbetreiber, dem sogenannten Branding. Weiter ist es für die Geräteverwaltung wichtig, die Versorgungsprozesse (Provisioning) mit Applikationssoftware – den Apps – und Updates oder Patches für die Betriebssysteme zu untersuchen. Mobile Device Management ist natürlich auch ein Thema in den wichtigsten Sicherheitsstandards. Dazu werden in diesem Buch die entsprechenden Controls in der ISO 27001 und im Maßnahmen-Katalog des BSI-Grundschutzes betrachtet. Die Sicherstellung von Compliance und Business Continuity, die BYOD-Problematik sowie die verschiedenen Komponenten eines MDM-Systems sind weitere Schwerpunkte des Buches. Schließlich nennen die Autoren die für die Praxis relevanten Kriterien bei der Auswahl eines MDM-Systems und machen Vorschläge für Unternehmensrichtlinien, die Regeln für den Einsatz mobiler Endgeräte in Unternehmen definieren.

Das Buch behandelt die Themen Business Continuity und IT-Notfallmanagement ganzheitlich – ausgehend von den Geschäftsprozessen einer Organisation, über die ggf. vorhandene IT-Unterstützung bis hin zur Absicherung benötigter personeller, organisatorischer und technischer Ressourcen. Die Autoren stellen das Managementsystem nach den einschlägigen Standards ISO 22301, 27001/27031, BSI 100-4 dar und vertiefen insbesondere die wichtigen Schritte der Risikoanalyse und der Business Impact Analyse. Zudem werden präventive, detektierende und reaktive Maßnahmen aus allen Bereichen erläutert. Praxisrelevante Fallbeispiele unterstützen den Leser bei der Einrichtung von Business Continuity Management (BCM) und IT-Notfallmanagement in der eigenen Organisation. Synergieeffekte zwischen BCM und Informationssicherheit werden dabei besonders hervorgehoben.

Profitieren Sie von den Erfahrungen der Autoren! Mit diesem Buch erhalten Sie das aktuelle und zuverlässige Praxiswissen zum IT-Sicherheitsmanagement in Unternehmen und Behörden – Aufbau und Inhalt des Werkes haben sich in der Aus- und Fortbildung von IT-Sicherheitsbeauftragten bewährt. Die Inventarisierung aller Informationswerte (Assets), die Formulierung von Sicherheitszielen und die Erstellung von Leitlinien und Sicherheitskonzepten werden klar und verständlich dargestellt. Anhand vieler praktischer Beispiele erfahren Sie alles über Risikoanalysen und -bewertungen sowie über wichtige Sicherheitsmaßnahmen aus den Bereichen Organisation, Recht, Personal, Infrastruktur und Technik. In der vierten Auflage wurde neben vielen Aktualisierungen und Erweiterungen (z. B. im Hinblick auf den Einsatz mobiler IT-Systeme) das Kapitel über die Inventarisierung komplett überarbeitet; als neues Kapitel wurde die Verhinderung von Datenlecks (Data Loss / Leakage Prevention) in sensiblen Organisationen aufgenommen.