|
Inhalt |
6 |
|
|
Vorwort |
10 |
|
|
IT-Grundschutz |
12 |
|
|
1 IT-Grundschutz |
13 |
|
|
1.1 Der Grundschutzansatz |
13 |
|
|
1.2 Das Grundschutzhandbuch |
15 |
|
|
1.3 Das IT-Schichtenmodell |
19 |
|
|
1.4 Grundschutz vs. BS 7799 |
21 |
|
|
1.5 Das Grundschutzzertifikat |
22 |
|
|
1.5.1 Stufe A: Die Einstiegsstufe |
23 |
|
|
1.5.2 Stufe B: Die Aufbaustufe |
25 |
|
|
1.5.3 Stufe C: Das Zertifikat |
25 |
|
|
Projektmanagement beim Grundschutz |
29 |
|
|
2 Projektmanagement beim Grundschutz |
30 |
|
|
2.1 Voraussetzungen für das Projektteam |
30 |
|
|
2.2 Unwägbarkeiten bei Grundschutzprojekten |
34 |
|
|
2.3 Verantwortlichkeiten im Projekt |
39 |
|
|
Vorgehensweise nach IT- Grundschutz |
45 |
|
|
3 Vorgehensweise nach IT-Grundschutz |
46 |
|
|
3.1 Strukturerhebung |
46 |
|
|
3.1.1 Den IT-Verbund festlegen |
47 |
|
|
3.1.2 IT-Strukturanalyse |
50 |
|
|
3.2 Feststellung des Schutzbedarfs |
53 |
|
|
3.2.1 Festlegen der Schutzbedarfskategorien |
53 |
|
|
3.2.2 Schutzbedarfsverteilung für Systeme und Räume |
54 |
|
|
3.2.3 Schutzbedarfe für Verbindungen |
56 |
|
|
3.3 Modellierung der IT-Einheiten |
57 |
|
|
3.4 Basis-Sicherheitscheck |
58 |
|
|
3.5 Erweiterte Sicherheitsanalysen |
60 |
|
|
3.5.1 Risikoanalyse |
61 |
|
|
3.5.2 Differenz-Sicherheitsanalyse |
63 |
|
|
3.5.3 Penetrationstest |
64 |
|
|
GSTOOL 3.1 – Quickstart |
67 |
|
|
4 GSTOOL 3.1 – Quickstart |
68 |
|
|
4.1 Technische Basis des GSTOOL 3.1 |
68 |
|
|
4.2 Konfiguration der Datenbank |
68 |
|
|
4.3 Start des GSTOOL 3.1 |
69 |
|
|
4.4 GSTOOL 3.1 einrichten |
72 |
|
|
4.5 Altdatenimport |
77 |
|
|
4.5.1 Import aus GSTOOL 2.0 |
77 |
|
|
4.5.2 Import aus GSTOOL 3.0 |
80 |
|
|
4.6 Metadaten-Update |
81 |
|
|
Funktionen GSTOOL 3.1 |
83 |
|
|
5 Funktionen des GSTOOL 3.1 |
84 |
|
|
5.1 Stammdatenpflege |
84 |
|
|
5.2 Struktur der Zielobjekte |
87 |
|
|
5.3 Verknüpfen von IT-Einheiten |
95 |
|
|
5.4 Schutzbedarfserfassung |
97 |
|
|
5.5 Mitarbeiter |
99 |
|
|
5.6 Modellierung |
101 |
|
|
5.7 Anlegen eigener Metadaten |
105 |
|
|
5.7.1 Konkretisieren eines Bausteins |
106 |
|
|
5.7.2 Neue Bausteine |
109 |
|
|
5.7.3 Benutzerdefinierte Gefährdungen |
110 |
|
|
5.7.4 Benutzerdefinierte Maßnahmen |
112 |
|
|
5.7.5 Benutzerdefinierte Zielobjekte anlegen |
113 |
|
|
5.7.6 Bausteine verknüpfen |
115 |
|
|
5.8 Rollen und Rechtesystem |
117 |
|
|
5.8.1 Anlegen von Rechte-Rollen |
117 |
|
|
5.8.2 Anwenderrollen |
121 |
|
|
5.8.3 Anlegen von Anwendern |
121 |
|
|
5.9 Verteiltes Arbeiten im Team |
125 |
|
|
5.9.1 Entwicklung eines Rollenkonzeptes |
125 |
|
|
5.9.2 Durchführen und Erfassen der Befragungen |
130 |
|
|
5.10 Einbinden nicht vernetzter Mitarbeiter |
131 |
|
|
5.11 Filter anlegen |
138 |
|
|
5.11.1 Funktion der Filter |
138 |
|
|
5.11.2 Anlegen eines Filters |
138 |
|
|
Modellebenen des GSTOOL 3.1 |
143 |
|
|
6 Modellebenen des GSTOOL 3.1 |
144 |
|
|
6.1 Das Schichtenmodell |
144 |
|
|
6.1.1 Schicht 1: Übergreifende Aspekte |
144 |
|
|
6.1.2 Schicht 2: Sicherheit der Infrastruktur |
145 |
|
|
6.1.3 Schicht 3: Sicherheit der IT-Systeme |
146 |
|
|
6.1.4 Schicht 4: Sicherheit im Netz |
147 |
|
|
6.1.5 Schicht 5: Sicherheit in Anwendungen |
147 |
|
|
6.2 Das Objektmodell |
148 |
|
|
6.3 Arbeit mit den Modellen im GSTOOL 3.1 |
148 |
|
|
Projektunterstützung mit dem GSTOOL 3.1 |
152 |
|
|
7 Projektunterstützung mit dem GSTOOL 3.1 |
153 |
|
|
7.1 Kostenrechnung |
153 |
|
|
7.2 Revisionskontrolle |
155 |
|
|
7.3 Protokollierung von Verantwortlichkeiten |
156 |
|
|
7.4 Siegelstufe und Grad der Maßnahmenerfüllung |
160 |
|
|
Berichte ausgeben |
162 |
|
|
8 Berichte ausgeben |
163 |
|
|
8.1 Berichtsarten |
163 |
|
|
8.1.1 Ausgabe in CSV-Datei |
163 |
|
|
8.1.2 IT-Grundschutzerhebung |
164 |
|
|
8.1.3 Kostenaufstellung Bausteine/Zielobjekte/Maßnahmen |
165 |
|
|
8.1.4 IT-Anwendung (lang und kurz) |
166 |
|
|
8.1.5 Revision (Sortierung Revisionsdatum) |
167 |
|
|
8.1.6 Selbsterklärung/Zertifikat |
168 |
|
|
8.1.7 Struktur IT-Verbund |
169 |
|
|
8.1.8 Umsetzungsgrad Maßnahmen (Schichtenmodell) |
169 |
|
|
8.2 Anpassen von Berichten |
170 |
|
|
8.2.1 Ändern des Logos |
170 |
|
|
8.2.2 Anlegen eines eigenen Berichtes |
171 |
|
|
8.2.3 Bearbeiten der Vorlage |
178 |
|
|
8.3 Nutzen der Berichtsfunktion |
181 |
|
|
WURSTL – Eine Fallstudie |
186 |
|
|
9 WURSTL – Eine Fallstudie |
187 |
|
|
9.1 Das Unternehmen |
187 |
|
|
9.2 Allgemeine Informationen |
187 |
|
|
9.2.1 Kurzporträt |
188 |
|
|
9.2.2 Firmenüberblick |
188 |
|
|
9.3 Aufbauorganisation |
189 |
|
|
9.3.1 Bereich Geschäftsführung |
189 |
|
|
9.3.2 Aufgabenverteilung Absatz |
190 |
|
|
9.3.3 Aufgabenverteilung Einkauf |
191 |
|
|
9.3.4 Aufgabenverteilung Produktion |
193 |
|
|
9.3.5 Aufgabenverteilung Personal |
194 |
|
|
9.3.6 Aufgabenverteilung Rechnungswesen |
194 |
|
|
9.4 Der Netzplan |
195 |
|
|
9.5 Die Anwendungen |
202 |
|
|
9.6 Die Kommunikationsschnittstellen |
204 |
|
|
9.7 Ihr Aufgabenbereich |
205 |
|
|
Anhang |
206 |
|
|
Anhang |
206 |
|
|
10 Anhang |
207 |
|
|
10.1 Marktüberblick – sonstige Tools zum ITGrundschutz |
207 |
|
|
10.1.1 Secumax, Firma kronsoft |
207 |
|
|
10.1.2 SAVe – Security Audit and Verification, Firma infodas |
208 |
|
|
10.1.3 Weitere Tools |
209 |
|
|
10.2 Datentags und Attribute zum Erstellen individueller Sicherheitsberichte |
209 |
|
|
10.3 Rollenkonzept der Landesverwaltung „ Musterland“ |
218 |
|
|
Literatur |
244 |
|
|
Index |
246 |
|
|
Mehr eBooks bei www.ciando.com |
0 |
|