In Unternehmen gehört IT-gestützte Informationsverarbeitung schon längst zum Alltag. Kritische Wertschöpfungsprozesse und auch Hilfsprozesse werden zum Großteil unterstützend durch Informationstechnologie durchgeführt. Im Zuge der verstärkten Digitalisierung durch Themen wie z.B. Industrie 4.0 rückt dieser Bereich noch stärker in den Vordergrund kritischer Abläufe. Sobald ein Unternehmen personenbezogene Daten elektronisch verarbeitet, spielt der Datenschutz im Bereich der IT eine mindestens genauso große Rolle. Die beiden Themen Datenschutz und Datensicherheit gilt es also als Unternehmen zu wahren und eine Hochverfügbarkeit der Daten zu gewährleisten. Diese Ziele gilt es in einem IT-Sicherheitskonzept zu berücksichtigen, wobei die Wirtschaftlichkeit nicht außer Acht gelassen werden darf. Verantwortliche für das Konzept haben die Aufgabe das Konzept durch entsprechende Maßnahmen zu entwickeln und zu realisieren.
In dieser Ausarbeitung sollen Handlungsoptionen für eine Umsetzung einer IT-Richtlinie aufgezeigt werden. Dabei geht es darum, dem Leser einen Überblick über verwendbare Standards, Maßnahmenkataloge und Zertifizierungen zu bieten. Diese Informationen können bei der Entwicklung eines IT-Sicherheitskonzepts relevant sein. Außerdem sollen dazu technische und organisatorische Maßnahmen dargestellt werden.
Es werden die bekannten Referenzmodelle und Frameworks CobIT und ITIL behandelt. Abschließend werden durch die Bewertungskriterien – TCSEC, „Die deutschen IT-Kriterien“ & ITSEC, sowie Common Criteria weitere Werkzeuge als Grundlage zum Schutz der Datensicherheit und –schutz dargestellt.

Extracto

Inhaltsverzeichnis

1 Einleitung

1.1 Zieldefinition

1.2 Vorgehensweise

2. Referenzmodelle und Frameworks

2.1 CobiT

2.2 ITIL

3 Bewertungskriterien

3.1 TCSEC

3.2 Die deutschen IT-Kriterien und ITSEC

3.3 Common Criteria

4 Bewertung und Fazit

Zielsetzung & Themen

Die vorliegende Ausarbeitung zielt darauf ab, Handlungsoptionen für die Umsetzung von IT-Richtlinien aufzuzeigen, indem sie einen fundierten Überblick über relevante Standards, Maßnahmenkataloge und Zertifizierungen bietet, die für die Entwicklung eines IT-Sicherheitskonzepts entscheidend sind.

Grundlegende Referenzmodelle für die IT-Governance (COBIT 5)
Frameworks für das IT-Service-Management (ITIL)
Historische und aktuelle Bewertungskriterien der IT-Sicherheit (TCSEC, IT-Kriterien, ITSEC)
Internationale Standards für die IT-Sicherheitsevaluation (Common Criteria)
Integration von Governance und Management in die IT-Struktur

Auszug aus dem Buch

3.1 TCSEC

TCSEC steht für Trusted Computer System Evaluation Criteria und wurde als erste Bewertungsmethode für Computersicherheit im Jahr 1983 in den USA (am US National Computer Security Center) entwickelt. 1985 wurde TCSEC um vernetze Systeme (Trusted Network Interpretation) erweitert und bekam durch die Farbe des Katalogumschlages das Synonym Orange Book zugesprochen. Das Orange Book gehörte zu einer Sammlung (Rainbow Series, aufgrund der verschiedenfarbigen Umschläge der Bände) vom US Verteidigungsministerium, die verschiedene Sicherheitsmaßnahmen wie beispielsweise Netzwerke, Datenbanken oder Passworterstellung umfassten. Heute haben die TCSEC keine praktische Relevanz mehr, jedoch bauen weiterführende Konzepte und Ansätze auf diese auf. Wichtige Kritikpunkte an den TCSEC sind die Ausrichtung auf zentrale Betriebssysteme, Sicherheits- und Vertraulichkeitseigenschaften werden für die kommerzielle Ausrichtung unzureichend behandelt und das Vernachlässigen benutzerspezifischen Sicherheitsinteressen seitens der Herstellern/Betreibern von IT-Systemen. Die TCSEC bewerten zudem lediglich ob eine Sicherheitsfunktionalität erzeugt wurde, aber messen nicht die Qualität dieser, inwiefern vor Bedrohungen geschützt wird und wie Wirksam mit welchen Aufwand diese Funktionalität implementiert wurde.

Zusammenfassung der Kapitel

1 Einleitung: Dieses Kapitel erläutert die zunehmende Bedeutung von IT-gestützter Informationsverarbeitung und definiert die Ziele der Ausarbeitung hinsichtlich der Bereitstellung von Informationen für IT-Sicherheitskonzepte.

2. Referenzmodelle und Frameworks: Es werden die Frameworks COBIT und ITIL als methodische Ansätze für die IT-Steuerung und das IT-Service-Management vorgestellt und deren jeweilige Schwerpunkte dargelegt.

3 Bewertungskriterien: Dieses Kapitel bietet einen Überblick über verschiedene nationale und internationale Kriterienkataloge wie TCSEC, ITSEC und Common Criteria zur Evaluierung der Sicherheit von IT-Systemen.

4 Bewertung und Fazit: Das abschließende Kapitel resümiert die Notwendigkeit einer effektiven IT-Governance und fasst zusammen, wie die behandelten Werkzeuge zur nachhaltigen Datensicherheit beitragen.

Schlüsselwörter

IT-Sicherheit, IT-Governance, COBIT 5, ITIL, TCSEC, ITSEC, Common Criteria, Datenschutz, IT-Service-Management, Schutzprofile, Evaluierungsstufen, Sicherheitskonzept, Informationsverarbeitung

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit befasst sich mit den Anforderungen an eine sichere IT-Infrastruktur im Unternehmen und stellt hierfür geeignete Frameworks und Bewertungskriterien vor.

Welche zentralen Themenfelder werden behandelt?

Die zentralen Themen sind IT-Governance, Prozessmodelle für die IT, IT-Service-Management sowie internationale Standards zur Evaluierung der IT-Sicherheit.

Was ist das primäre Ziel dieser Arbeit?

Das Ziel ist es, dem Leser einen Überblick über Standards, Maßnahmenkataloge und Zertifizierungen zu bieten, um ihn bei der Entwicklung eines IT-Sicherheitskonzepts zu unterstützen.

Welche wissenschaftliche Methode wird verwendet?

Es handelt sich um eine strukturierte Literaturanalyse, die etablierte Referenzmodelle und Sicherheitsstandards methodisch aufarbeitet und gegenüberstellt.

Was wird im Hauptteil der Arbeit behandelt?

Der Hauptteil gliedert sich in die Vorstellung der Frameworks COBIT und ITIL sowie in die detaillierte Beschreibung von Bewertungskriterien für die Sicherheit, von TCSEC bis hin zu den Common Criteria.

Welche Schlüsselwörter charakterisieren die Arbeit?

Die Arbeit wird durch Begriffe wie IT-Governance, Sicherheitsevaluation, COBIT, ITIL und Common Criteria charakterisiert.

Was unterscheidet COBIT von ITIL in der Anwendung?

Während COBIT einen Fokus auf die IT-Governance und die unternehmensweite Steuerung legt, konzentriert sich ITIL primär auf das operative IT-Service-Management.

Warum haben die TCSEC heute keine praktische Relevanz mehr?

TCSEC sind veraltet, da sie zu stark auf zentrale Systeme ausgerichtet waren und die spezifischen Sicherheitsinteressen moderner, kommerzieller IT-Umgebungen nicht ausreichend abdeckten.

Welche Rolle spielen Schutzprofile in den Common Criteria?

Schutzprofile ermöglichen es Anwendern, ihre Anforderungen an Sicherheitsfunktionalität und Vertrauenswürdigkeit für eine Klasse von Produkten implementierungsunabhängig zu spezifizieren.

Final del extracto de 25 páginas - subir

Detalles

Título: Enforcing Corporate IT Policies. Referenzmodelle, Frameworks und Bewertungskriterien
Subtítulo: CobiT, ITIL, TCSEC, ITSEC und Common Criteria
Universidad: Leuphana Universität Lüneburg (Wissens- und Informationsmanagement)
Curso: Wissens- und Informationsmanagement
Calificación: 1,3
Autor: B.Sc Kai Pohl (Autor)
Año de publicación: 2015
Páginas: 25
No. de catálogo: V302979
ISBN (Ebook): 9783668014022
ISBN (Libro): 9783668014039
Idioma: Alemán
Etiqueta: enforcing corporate policies referenzmodelle frameworks bewertungskriterien cobit itil tcsec itsec common criteria
Seguridad del producto: GRIN Publishing Ltd.

Citar trabajo: B.Sc Kai Pohl (Autor), 2015, Enforcing Corporate IT Policies. Referenzmodelle, Frameworks und Bewertungskriterien, Múnich, GRIN Verlag, https://www.grin.com/document/302979

Enforcing Corporate IT Policies. Referenzmodelle, Frameworks und Bewertungskriterien

CobiT, ITIL, TCSEC, ITSEC und Common Criteria