Upload
nguyenkien
View
224
Download
3
Embed Size (px)
Citation preview
463
Index
AAbhängige Schutzziele 276Abschlussbericht Audit 344Access Control List 129, 134Account 141Act-Phase 408, 430Ad-hoc-Modus 253Administration 125AES 216Aktiengesetz 69, 154Aktiv-Aktiv-Cluster 200Aktiv-Passiv-Cluster 200Alarmierung 57Alleinstehende Schutzziele 276Angriffspfad 271, 356Angriffsvektor 356Annualized Loss Expectancy 386Application-Firewall 239Asset siehe UnternehmenswertAssetmanagement 262, 293, 308Audit 96, 101, 325, 327Auftragsdatenverarbeitung 220, 226Ausfallsicherheit 197Authentisierung 129
what you are 130what you have 129what you know 129
Authentizität 90, 277Autorisierung 129Availability management siehe Verfüg-
barkeitsmanagementAwareness 26, 119, 453
BBackup siehe DatensicherungBalanced Scorecard 389
Bauliche Maßnahmen 199, 203Bedrohung 261, 264, 266, 271, 295
Listen 295Vorsätzliche 273Zufällige 273
Bedrohungslisten 295Bell-LaPaluda-Modell 132Benutzeraccount siehe AccountBereitschaftsregelung 175Betriebliche Grundsätze 121Betriebsübergabe 138Beweissicherung 349Bewertungsmatrix 109Biba-Modell 133Bring your own device 115Browser 245BS 7799 75BSI-Grundschutz 83, 308BSI-Standard 100-1 82BSI-Standard 100-2 82BSI-Standard 100-3 82BSI-Standard 100-4 83Bundesdatenschutzgesetz 69, 88, 125,
208, 219, 220Bürgerliches Gesetzbuch 92Business Continuity Management siehe
IT Business Continuity Manage-ment
Business Impact-Analyse 44, 149, 155, 160, 165, 171, 323, 425
CChain of custody 364Challenge Handshake Authentication
Protocol 134Chance 312
464
INDEX
Change Management 116, 144Check-Phase 408, 430Chiffrierung 223Clean-Desk-Richtlinie 29Cloud 225
Broad network access 227Datenschutz 232Infrastructure-as-a-Service 229Leistungsschein 236On-demand self service 227Platform-as-a-Service 229Resource Pooling 228Software-as-a-Service 228Storage-as-a-Service 229, 230Verschlüsselung 231Zugriffsgeschwindigkeit 227, 233
Cluster 191, 199CoBit 70Common Criteria 87Compliance 38, 68Control siehe MaßnahmeCOSO 70
DData Owner 32, 107, 126, 131Daten 20
Übertragung 216Vernichtung 115
Datenanalyse 348Datenschutz 56, 89, 110, 234, 236Datenschutzbeauftragter 56, 63, 111,
235, 355Datensicherung 199, 221, 383Datensparsamkeit 34Delphi-Methode 296, 299Denial of Service 245Digitale Signatur 225, 248Discretionary Access Control 131
DMZ 206Do-Phase 408, 428Dynamische Redundanz 198
EEinfaktor-Authentisierung 131Eingabekontrolle 218Eintrittswahrscheinlichkeit 308, 387E-Mail 143, 215, 243, 244Ereignisbaumanalyse 299Exceptions 293Excessive privileges 127
FFehlzustandsbaumanalyse 299Fingerabdruck 130Firewall 237, 356Forensik siehe IT-ForensikForensische Analyse 351, 363Forensische Untersuchung 362, 366Fragenkatalog Audit 341Funktionelle Redundanz 200Funktionstrennung 33
GGeheimtext 223Geltungsbereich 290, 413Genehmigungsprozess 145Gesetz gegen den unlauteren Wett-
bewerb 93Gewaltentrennung 55, 62GmbH-Gesetz 69, 124Governance 39Grundschutz 80GSTOOL 436
465
INDEX
HHaftung 124, 125Handelsgesetzbuch 154Hochverfügbarkeit 194Honeypot 252, 352Honeytoken 352Hotline 145HTTP 239, 242
IICMP 186Identifikation 129Identitätsmanagement 141identity management siehe Identitäts-
managementIncident Management 348Incident Response-Prozess 348, 350Information 20, 21Information Security Policy siehe Richt-
linienInfrastrukturmodus 253Initiator 265, 273, 357Integrität 90, 277Internet 243Intrusion Detection System (IDS) 250,
368Intrusion Prevention System (IPS) 252ISMS 75, 103, 385, 399ISO 14000 431ISO 15504 87, 110, 375, 421ISO 17021 450ISO 27001 73, 84, 91, 152, 308, 315, 342,
372, 419, 449ISO 27002 75, 113, 315, 419ISO 27004 375, 380ISO 27005 74, 107, 414ISO 27006 74, 450ISO 31010 87, 299ISO 9000 431ISO 9001 75, 403, 409
IT Business Continuity Management 118, 150
IT-Forensik 347, 365IT-Grundschutz-Kataloge 79, 342ITIL 70, 86, 374, 400IT-Risikomanagement siehe Risikoma-
nagementIT-Security Policy siehe Richtlinien
KKapazitätsmanagement 192Katastrophe 169Kennzahlen 44, 101, 192, 301, 319, 372Klartext 223Klassifizierung 109, 276, 279Klassifizierungsrichtlinie 108Konfigurationsmanagement 192Kontinuitätsmanagement siehe Verfüg-
barkeitsmanagementKonTraG 70Krise 170Kryptographie 223Kumulationsprinzip 280
LLaptopverschlüsselung 218Least privileges 127Leitlinie 96Leitlinie zur Informationssicherheit
siehe RichtlinienLightweight Extensible Authentication
Protocol 134Live-Forensik 351
MMail-Spoofing 244Malware siehe SchadsoftwareMandatory Access Control 131
466
INDEX
Masquerading 359Maßnahme 272, 308, 314, 425Maximum Tolerable Downtime (MTD)
195Maximumprinzip 280Metrics siehe KennzahlenMonitoring 317
Agent 318, 324Betrachtungsebenen 319Logfile-Monitoring 186, 219, 324System-Monitoring 185, 321
NNeed-to-know-Prinzip 33, 143Nichtabstreitbarkeit 278Nine-Steps-Model 391Notfall 169Notfallbewältigung 176, 180, 349Notfallhandbuch 168, 170, 177Notfallkonzept 167Notfallkrisenstab 177Notfallmanagement 150, 153, 164, 165,
349Notfallorganisation 175Notfallplan 138Notfallstrategie 166Notfallübung 164, 183Notfallvorsorge 170, 221
OObfuscation 140Offline-Forensik siehe Post-mortem-
AnalyseOnline-Forensik siehe Live-ForensikOperatives Risiko 265Organisation 47, 54, 60, 107, 114OSI 7-Schichten-Modell 239
PPaketfilter 239Password Authentication Protocol 134Passwort 116, 129, 360Patchmanagement 198PDCA-Regelkreis 74, 147, 404, 408Penetrationstest 136, 246, 334Personal-Firewall 237Personalmanagement 115PGP 245Ping 321PKI 216Plan-Phase 408, 414Poka Yoke 33Port-Scan 248Post-mortem-Analyse 351Pre-shared Key 223, 254Prinzipien 32, 124Proxyserver 237, 242Prozessdefinition 155Prozesserfassung 155Public-Key-Verfahren 223
QQualitätshandbuch 136Quantitative Risikoermittlung 263
RRAID 191, 199Redundante Systeme 150, 192, 198, 201Redundanzeffekt 280Regelwerk Firewall 241Reifegradmodell 285Restrisiko 263, 301, 305, 349Return on Security Investment (ROSI)
373Revisionsfähigkeit 90
467
INDEX
Richtlinien 96, 97, 445Attribute 98Basisrichtlinien 102Geltungsbereich 106, 114IT-Sicherheitsrichtlinie 112IT-Systemrichtlinie 116Kategorisierung 98Klassifizierungsrichtlinie 106, 132,
281, 414Notfallmanagement 165Richtlinien-Pyramide 97Risikomanagement 111, 258, 413Sicherheitsrichtlinie 103Überarbeitungsintervall 113, 117Verfügbarkeitsmanagement 192Versionierung 100
Risiko 259, 265, 273, 425akzeptieren 311reduzieren 312verlagern 313vermeiden 313
Risikoanalyse 80, 261Risikoarten 260, 266, 307Risikobehandlung 261, 306, 308, 414Risikoberechnung 301, 303Risikobewertung 261, 297, 309Risikoerfassung 262Risikokatalog 307Risikomanagement 40, 111, 255Risikomanagementkultur 258Risikomanagementprozess 264Risikomatrix 305Role-Based Access Control 131Rollen 48, 133
Gebäudemanagement 58Interne Revision 58IT-Administrator 59IT-Security Auditor 53Klassifizierungsrichtlinie 22Lokale IT-Security Manager 64
Manager IT-Compliance 53Manager IT-Security 49, 54Sicherheitsingenieur 58Unternehmensleitung 53Werkschutz 57
SS/MIME 245Sabotage 272SANS 269Sarbanes-Oxley Act 23, 70, 103, 325Schaden 260Schadensanalyse 158Schadensklasse 109, 287Schadsoftware 244Schulung 119, 272, 453Schutzbedarf 31, 108, 275, 280Schutzstufe 109, 278Schutzziele 30, 109, 267Schwachstelle 262, 264, 268, 271, 356
Logische 269Physische 271
Schweregrad 169Scope siehe GeltungsbereichScorecard 184Security Awareness Management 455Selbstauskunft 334Self-Assessment siehe Selbstauskunftseparation of duties siehe Gewaltentren-
nungService Delivery Assurance 192Service Level Agreement 101, 174, 187,
193, 320Service-Level Management 192Sicherheitseinstufung 132Sicherheitsklasse 132Sicherheitslandschaft 330Sicherheitsleitlinie siehe RichtlinienSicherheitsniveau 29
468
INDEX
Signator 249Signaturgesetz 249Single Loss Expectancy 387SmartCard 129SMTP 244Social Engineering 272, 358Software 134
Application Service Provider 135Betriebshandbuch 138Eigenentwicklung 135, 138im Auftrag entwickelt 135Implementierung 137Kaufsoftware 135Qualität 135, 140Versionierung 140
Software-Lifecycle 139Softwarequalität 135Sorgfaltspflicht 124, 125, 126, 154SPAM-Mail 245SPICE 285, 376Standardisierung 33, 124, 146Statische Redundanz 198Steuerungsfunktion 43Störung 169Strafgesetzbuch 93Strategie der IT-Security 28Strukturelle Redundanz 199
TTätigkeitsfelder 41Technisch-organisatorische
Maßnahmen 90, 208Telefonliste 170Telekommunikationsgesetz 92Telemediengesetz 92Token 129Transparenz 90, 124Two signatures 127
UUnternehmensstrategie 256Unternehmenswert 109, 159, 439Urheberrechtsgesetz 92USB 215, 354
VVerband der Automobilindustrie 342Verfassungsschutz 24Verfügbarkeit 90, 147, 150, 193, 221,
276Verfügbarkeitsklasse 194Verfügbarkeitskontrolle 221Verfügbarkeitsmanagement 153, 191,
221Verhältnismäßigkeitsprinzip 243, 274Verschlüsselung 126, 222, 231, 270
asymmetrisch 223, 224E-Mail 245Öffentlicher Schlüssel 224Privater Schlüssel 224Schlüssel 223Schlüsselaustausch 223symmetrisch 223
Verteilungseffekt 280Vertraulichkeit 90, 109, 276Vier-Augen-Prinzip 33, 116, 125, 127Virenschutz 221, 244Vor-Ort-Audit 332VPN 217, 224
WWahrscheinlichkeitsvorhersagen 299Weitergabekontrolle 215WEP 254Wireless LAN 252Wirtschaftlichkeit 32Workflow 145, 434, 439WPA 254
469
INDEX
ZZero Day Attack 269Zertifizierung
Grundschutz 82, 85ISO 27001 76, 85, 290, 447
Zivilprozeßordnung 248Zugangskontrolle 57, 115, 211Zugriffskontrolle 116, 131, 134, 213Zutrittskontrolle 209