Skip to main content
Top

Hint

Swipe to navigate through the chapters of this book

2017 | OriginalPaper | Chapter

14. Risikomanagement im Lifecycle von Informationen, Systemen und Applikationen

Author : Hans-Peter Königs

Published in: IT-Risikomanagement mit System

Publisher: Springer Fachmedien Wiesbaden

share
SHARE

Überblick

Die mit der Informationssicherheit und IT-RM-Prozessen zu schützenden Güter sind die Informationen und ihre „Gefässe“, namentlich die Systeme. Zu solchen Systemen und ihren Subsystemen gehören Prozesse, Services, Applikationen, Software, Hardware, technische Infrastruktur und Kommunikations-Einrichtungen und nicht zuletzt Menschen. Die Informationen wie auch die Systeme mit ihren Subsystemen gilt es während ihres gesamten Lebenszyklus angemessen zu schützen.
In diesem Kapitel wird gezeigt, wie beim Umgang mit Informationen (z. B. in Arbeitsgeräten) die Informationen in Schutzphasen und Schutzanforderungen eingeteilt und entsprechend der Schutzanforderungen geschützt werden können. Die Risiken und der Schutz von Informationen hängen auch von Situationen, Prozessen, Aktivitäten und Entscheiden im Lebenszyklus ihrer Systeme ab. Das Konzept von Lebenszyklen wird zum einen auf Vorgehens- und Management-Methoden in IT-Projekten und zum anderen auf IT-Services und IT-Applikationen angewandt. Wie das Risikomanagement und die Informationssicherheit beim Projektmanagement berücksichtigt werden kann, wird zunächst an einem pragmatischen Verfahren mittels „First Cut“ und „IT-Sicherheitskonzept“ und sodann anhand der Methoden „V-Modell XT“ und „HERMES 5.1“ gezeigt. Die Berücksichtigung vor allem der Informationen in den Lebenszyklen von Services und Applikationen wird anhand des „ITIL-Applikations-Lifecycle“ sowie dem ISO-Standard ISO/IEC 27034-x für Applikationssicherheit behandelt.
Footnotes
1
Ein System kann in diesem Zusammenhang Prozesse, Services, Software, Hardware, Menschen usw. enthalten, die zum Teil selber wieder als Systeme betrachtet werden können ([Ison15], S. 9, 11–12).
 
2
Im Anhang A.4 dieses Buches befinden sich entsprechende Formulare, mit denen ein „First Cut“-Risiko-Assessment durchgeführt werden kann.
 
3
HERMES [Herm15]: Handbuch der Elektronischen Rechenzentren des Bundes, eine Methode zur Entwicklung von Systemen.
 
4
ITIL® = Information Technology Infrastructure Library.
 
5
ASL® = Application Services Library.
 
Literature
[Isol15]
go back to reference ISO/IEC 27034-1:2015: Application security – Part 1: Overview and concepts. International Organization for Standardization, 2015. ISO/IEC 27034-1:2015: Application security – Part 1: Overview and concepts. International Organization for Standardization, 2015.
[Isom16]
go back to reference ISO/IEC DIS 27034-5: Application security – Part 5: Protocols and application security control data structure (DIS). International Organization for Standardization, 2016. ISO/IEC DIS 27034-5: Application security – Part 5: Protocols and application security control data structure (DIS). International Organization for Standardization, 2016.
[Ison15]
go back to reference ISO/IEC/IEEE 15288:2015: Systems Software Engineering – System life cycle processes. International Organization for Standardization, 2015. ISO/IEC/IEEE 15288:2015: Systems Software Engineering – System life cycle processes. International Organization for Standardization, 2015.
[Isot10]
go back to reference ISO/IEC TR 24748-1:2010: Life cycle management – Part 1: Guidelines for life cycle management. International Organization for Standardization, 2010. ISO/IEC TR 24748-1:2010: Life cycle management – Part 1: Guidelines for life cycle management. International Organization for Standardization, 2010.
[Itss16]
go back to reference Meijer, Machteld, Mark Smalley and Sharon Taylor: ITIL® 2011 and ASL® 2, Sound Guidance for Application Management and Application Development. UK: AXELOS Ltd., 2016. Meijer, Machteld, Mark Smalley and Sharon Taylor: ITIL® 2011 and ASL® 2, Sound Guidance for Application Management and Application Development. UK: AXELOS Ltd., 2016.
[V-Mo06]
go back to reference Weit-Verein: V-Modell XT — Das deutsche Referenzmodell für Systementwicklungsprojekte, Version: 2.0. München: Verein zur Weiterentwicklung des V-Modell XT e.V., 2006. Weit-Verein: V-Modell XT — Das deutsche Referenzmodell für Systementwicklungsprojekte, Version: 2.0. München: Verein zur Weiterentwicklung des V-Modell XT e.V., 2006.
Metadata
Title
Risikomanagement im Lifecycle von Informationen, Systemen und Applikationen
Author
Hans-Peter Königs
Copyright Year
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_14

Premium Partner