Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2017 | OriginalPaper | Buchkapitel

14. Risikomanagement im Lifecycle von Informationen, Systemen und Applikationen

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

share
TEILEN

Überblick

Die mit der Informationssicherheit und IT-RM-Prozessen zu schützenden Güter sind die Informationen und ihre „Gefässe“, namentlich die Systeme. Zu solchen Systemen und ihren Subsystemen gehören Prozesse, Services, Applikationen, Software, Hardware, technische Infrastruktur und Kommunikations-Einrichtungen und nicht zuletzt Menschen. Die Informationen wie auch die Systeme mit ihren Subsystemen gilt es während ihres gesamten Lebenszyklus angemessen zu schützen.
In diesem Kapitel wird gezeigt, wie beim Umgang mit Informationen (z. B. in Arbeitsgeräten) die Informationen in Schutzphasen und Schutzanforderungen eingeteilt und entsprechend der Schutzanforderungen geschützt werden können. Die Risiken und der Schutz von Informationen hängen auch von Situationen, Prozessen, Aktivitäten und Entscheiden im Lebenszyklus ihrer Systeme ab. Das Konzept von Lebenszyklen wird zum einen auf Vorgehens- und Management-Methoden in IT-Projekten und zum anderen auf IT-Services und IT-Applikationen angewandt. Wie das Risikomanagement und die Informationssicherheit beim Projektmanagement berücksichtigt werden kann, wird zunächst an einem pragmatischen Verfahren mittels „First Cut“ und „IT-Sicherheitskonzept“ und sodann anhand der Methoden „V-Modell XT“ und „HERMES 5.1“ gezeigt. Die Berücksichtigung vor allem der Informationen in den Lebenszyklen von Services und Applikationen wird anhand des „ITIL-Applikations-Lifecycle“ sowie dem ISO-Standard ISO/IEC 27034-x für Applikationssicherheit behandelt.
Fußnoten
1
Ein System kann in diesem Zusammenhang Prozesse, Services, Software, Hardware, Menschen usw. enthalten, die zum Teil selber wieder als Systeme betrachtet werden können ([Ison15], S. 9, 11–12).
 
2
Im Anhang A.4 dieses Buches befinden sich entsprechende Formulare, mit denen ein „First Cut“-Risiko-Assessment durchgeführt werden kann.
 
3
HERMES [Herm15]: Handbuch der Elektronischen Rechenzentren des Bundes, eine Methode zur Entwicklung von Systemen.
 
4
ITIL® = Information Technology Infrastructure Library.
 
5
ASL® = Application Services Library.
 
Literatur
[Isol15]
Zurück zum Zitat ISO/IEC 27034-1:2015: Application security – Part 1: Overview and concepts. International Organization for Standardization, 2015. ISO/IEC 27034-1:2015: Application security – Part 1: Overview and concepts. International Organization for Standardization, 2015.
[Isom16]
Zurück zum Zitat ISO/IEC DIS 27034-5: Application security – Part 5: Protocols and application security control data structure (DIS). International Organization for Standardization, 2016. ISO/IEC DIS 27034-5: Application security – Part 5: Protocols and application security control data structure (DIS). International Organization for Standardization, 2016.
[Ison15]
Zurück zum Zitat ISO/IEC/IEEE 15288:2015: Systems Software Engineering – System life cycle processes. International Organization for Standardization, 2015. ISO/IEC/IEEE 15288:2015: Systems Software Engineering – System life cycle processes. International Organization for Standardization, 2015.
[Isot10]
Zurück zum Zitat ISO/IEC TR 24748-1:2010: Life cycle management – Part 1: Guidelines for life cycle management. International Organization for Standardization, 2010. ISO/IEC TR 24748-1:2010: Life cycle management – Part 1: Guidelines for life cycle management. International Organization for Standardization, 2010.
[Itss16]
Zurück zum Zitat Meijer, Machteld, Mark Smalley and Sharon Taylor: ITIL® 2011 and ASL® 2, Sound Guidance for Application Management and Application Development. UK: AXELOS Ltd., 2016. Meijer, Machteld, Mark Smalley and Sharon Taylor: ITIL® 2011 and ASL® 2, Sound Guidance for Application Management and Application Development. UK: AXELOS Ltd., 2016.
[V-Mo06]
Zurück zum Zitat Weit-Verein: V-Modell XT — Das deutsche Referenzmodell für Systementwicklungsprojekte, Version: 2.0. München: Verein zur Weiterentwicklung des V-Modell XT e.V., 2006. Weit-Verein: V-Modell XT — Das deutsche Referenzmodell für Systementwicklungsprojekte, Version: 2.0. München: Verein zur Weiterentwicklung des V-Modell XT e.V., 2006.
Metadaten
Titel
Risikomanagement im Lifecycle von Informationen, Systemen und Applikationen
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_14

Premium Partner