Heutzutage gibt es kaum noch Unternehmen, die ganz auf die unterstützenden
Funktionen von Informationstechnologie verzichten. Vielmehr bauen die meisten
Organisationen auf der verwalteten Steuerung der ihnen zur Verfügung stehenden
Informationen auf und sind weitestgehend von ihr abhängig. Somit ergibt sich
zwangsläufig die Notwendigkeit diese Existenzgrundlagen zu erhalten und zu schützen.
Eine Verletzung durch Missbrauch, Manipulation, Zerstörung oder Verlust der
Unternehmensinformationen und -datenbasis kann schnell zu materiellen sowie
immateriellen Schäden führen, die nur schwer wieder zu beheben sind.
Unter diesen Gegebenheiten stellt die Aufgabe der Informationssicherheit eine
strategische Pflichterfüllung für die Unternehmensführung dar. Die
Informationssicherheit ist also eine Managementaufgabe, die geplant, durchgeführt und
überprüft werden muss.
Um das Handling der Informationssicherheit zu vereinfachen, ist es möglich auf bereits
formulierte Sicherheitsstandards oder -normen zurückzugreifen. Methodisches
Vorgehen nach einer erprobten Systematik senkt die Kosten durch die Nutzung
vorhandener und praxisorientierter Vorgehensmodelle, gewährleistet Aktualität durch
die Orientierung am Stand der Technik und der Wissenschaft und erzeugt u. a. auch
neuartige Wettbewerbsvorteile, die sich z.B. aus einer Reputationssteigerung nach einer
erfolgreichen Zertifizierung ergeben können.
Im äußerst begrenzten Rahmen dieser Arbeit werden die Elemente des Managements
der Kommunikation und des Betriebs mit dem höchsten Bedeutungsgrad anhand der
Standards BS 7799-1:2000 des British Standard Institute erläutert und die damit
verbundenen Aspekte der Handhabung bestimmter Maßnahmen in der Implementierung
der Informationssicherheit aus der Fachliteratur beschrieben.
Inhaltsverzeichnis
1 Einleitung
2 British Standard 7799-1:2000
3 Verfahren und Verantwortlichkeiten
3.1 Dokumentation der Verfahren
3.2 Festlegen der Verantwortlichkeiten
3.3 Pflichtentrennung
3.4 Umgebungstrennung
3.5 Sicherheit der Systemdokumentation
4 Schutz vor bösartiger Software
4.1 Motivation und Zielsetzung
4.2 Schutzmaßnahmen
5 Datensicherung und -beseitigung
5.1 Datensicherungsstrategie
5.2 Datensicherungsplan
5.3 Umgang mit Informationen
5.4 Beseitigung von Datenträgern
6 System- und Notfallplanung
6.1 Kapazitätsplanung
6.2 Notfallvorsorge
7 Kommunikation und Informationstransport
7.1 Netzwerksicherheit
7.2 Austausch von Informationen
8 Zusammenfassung
Zielsetzung & Themen
Die Arbeit untersucht das Management der Kommunikation und des Betriebs innerhalb von Unternehmen auf Basis des Sicherheitsstandards BS 7799-1:2000, um die permanente Verfügbarkeit und Sicherheit von IT-Systemen zu gewährleisten.
- Grundlagen und Struktur des BS 7799-1:2000 Standards.
- Prozesse zur Sicherstellung von Betriebsabläufen und Verantwortlichkeiten.
- Strategien zum Schutz vor Schadsoftware und zur Datensicherung.
- Planung von Systemkapazitäten und Notfallvorsorge.
- Anforderungen an die Netzwerksicherheit und den sicheren Informationsaustausch.
Auszug aus dem Buch
3.3 Pflichtentrennung
Die Pflichtentrennung ist ein Konzept zur Vermeidung von Missbrauch und Fehlern. Dabei wird eine umfassende Aufgabe in mehrere Teilaufgaben gesplittet, die von verschiedenen Personen durchgeführt werden. Hierbei werden die von einer Person durchgeführten Aktivitäten von einer anderen kontrolliert. Man spricht in diesem Zusammenhang auch vom Vier-Augen-Prinzip.
Durch die Anwendung der Pflichtentrennung kann das Risiko eines versehentlichen oder absichtlichen Systemmissbrauchs reduziert werden, indem die Gelegenheiten zur unberechtigten Manipulation oder Entwendung von Daten minimiert werden. Somit ist es wichtig die Tätigkeiten nach Möglichkeit zu trennen, bei denen ein Betrug oder Missbrauch durch Absprachen möglich wird, z.B. bei Durchführungen von Warenbestellungen und Warenempfang. Es können mehrere Personen involviert werden, um das Risiko für konspirative Absprachen oder Komplotte zu senken.
Verteilt man beispielsweise die Aufgabe des Patchings (Schließung von Sicherheitslücken und beseitigen von Fehlern mittels Softwareupdates) von Betriebssystemen oder Anwendungsprogrammen auf mehrere Personen, kann die Gefahr des Missbrauchs geschmälert werden. Die Möglichkeit, dass der Zuständige bewusst ihm bekannte Sicherheitslücken offen lässt und sie hinterher selbst ausnutzt, um an Informationen zu kommen, die für ihn versperrt sind, wird fast ausgeschlossen. Denn hier überwacht ebenfalls sein Kollege noch ausstehende bzw. unerledigte Aufgaben und kontrolliert die vollständige Lückenbeseitigung.
Zusammenfassung der Kapitel
1 Einleitung: Beschreibt die zunehmende Abhängigkeit von IT in Unternehmen und die Notwendigkeit, Informationssicherheit als strategische Managementaufgabe zu begreifen.
2 British Standard 7799-1:2000: Führt den BS 7799-1 als international anerkannten Standard für das Management der Informationssicherheit ein und erläutert dessen grundlegende Zielsetzungen.
3 Verfahren und Verantwortlichkeiten: Behandelt die organisatorischen Grundlagen wie die Dokumentation von Verfahren, Rollenverteilung und das Prinzip der Pflichtentrennung zur Risikominimierung.
4 Schutz vor bösartiger Software: Analysiert verschiedene Arten von Malware sowie Strategien zur Prävention und Erkennung durch geeignete Sicherheitsmaßnahmen.
5 Datensicherung und -beseitigung: Erläutert Methoden der Datensicherung, die Erstellung von Sicherungsplänen und den sicheren Umgang mit sensiblen Datenträgern.
6 System- und Notfallplanung: Fokussiert sich auf die Kapazitätsplanung zur Vermeidung von Systemengpässen sowie die Erstellung von Notfallhandbüchern.
7 Kommunikation und Informationstransport: Diskutiert Aspekte der Netzwerksicherheit und die Anforderungen an den sicheren elektronischen Datenaustausch zwischen Organisationen.
8 Zusammenfassung: Zieht ein kritisches Fazit zur Anwendbarkeit des Standards und betont, dass dieser besonders für größere Organisationen geeignet ist.
Schlüsselwörter
Informationssicherheit, BS 7799-1, IT-Management, Pflichtentrennung, Datensicherung, Malware, Netzwerksicherheit, Notfallplanung, Risikomanagement, Sicherheitsstandard, Systemverfügbarkeit, Betriebssicherheit, Datenschutz, Audit, Schutzmaßnahmen.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Seminararbeit befasst sich mit den Anforderungen und Empfehlungen des Sicherheitsstandards BS 7799-1:2000 für das Management der betrieblichen Kommunikation und der IT-Infrastruktur.
Was sind die zentralen Themenfelder?
Zentrale Felder sind die organisatorische Absicherung von Betriebsabläufen, der Schutz vor Schadsoftware, Datensicherungsstrategien, Notfallvorsorge sowie die Sicherheit im Netzwerk.
Was ist das primäre Ziel der Arbeit?
Ziel ist es, die Elemente des Managements der Kommunikation und des Betriebs anhand des BS 7799 Standards praxisorientiert darzustellen und zu erläutern.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer Literaturanalyse, die einschlägige Fachliteratur und den BS 7799-Standard systematisch auswertet und aufbereitet.
Was wird im Hauptteil behandelt?
Im Hauptteil werden konkrete Kontrollmaßnahmen und Empfehlungen des Standards für verschiedene IT-Bereiche, wie etwa Datensicherung, Virenprävention und Notfallplanung, detailliert beschrieben.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit lässt sich primär durch Begriffe wie Informationssicherheit, BS 7799, Risikomanagement und IT-Management charakterisieren.
Warum ist eine Umgebungstrennung zwischen Entwicklung und Betrieb wichtig?
Die Trennung ist essenziell, um zu verhindern, dass fehlerhafte Teständerungen den produktiven Betrieb stören oder Sicherheitslücken in der Entwicklungsebene die produktive Umgebung gefährden.
Welchen Zweck erfüllt die Pflichtentrennung im IT-Betrieb?
Sie minimiert das Risiko von internem Betrug oder versehentlichen Fehlern, indem kritische Aufgaben auf mehrere Personen verteilt werden, die sich gegenseitig kontrollieren.
Was leistet die Kapazitätsplanung zur Systemsicherheit?
Sie hilft dabei, drohende Systemüberlastungen frühzeitig durch Analysen und Skalierungspläne zu identifizieren, bevor ein Ausfall den Geschäftsbetrieb beeinträchtigen kann.
- Quote paper
- Denis Hellwich (Author), 2005, Management der Kommunikation und des Betriebs im Rahmen des Sicherheitsstandards BS 7799-1:2000, Munich, GRIN Verlag, https://www.grin.com/document/126505
