Übersicht

Der neue Webkurs des BSI ist zweigeteilt. An Einsteiger in die IT-Sicherheit bzw. den IT-Grundschutz richtet sich der Teil "Webkurs IT-
Grundschutz". Erfahrene Grundschutz-Anwender informiert der Teil “Neues im Grundschutz" über die Änderungen in der Vorgehensweise. Zum kostenfreien Webkurs.

Das IIA hat den GTA Guide 5 “Managing and Auditing Privacy Risks” veröffentlicht.

BITKOM veröffentlicht “Leitfaden IT-Risiko- und Chancenmanagement für kleine und mittlere Unternehmen”. Der Leitfaden beschreibt eine generelle Methodik um Gefahren zu identifizieren und zu bewerten. Außerdem wird anhand von Fallbeispielen erläutert, wie kleinere Unternehmen ein solches aktives Management der IT-Risiken und -Chancen eingeführt haben.

Die ISACA-CH hat eine neue Fassung ihre Broschüre zu “CISA, CISM, COBIT und dem Switzerland Chapter” (pdf 2 mb) veröffentlicht. Die Broschüre enthält umfangreiche Informationen zum Berufsbild und zur Zertifizierung des CISA und CISM, sowie Informationen zu COBIT und dem Switzerland Chapter.

Die DSAG e.V. hat "Empfehlungen zur Anwendung der GDPdU" (pdf 1,57 mb) veröffentlicht. Das Dokument geht auf die rechtlichen Rahmenbedingungen, die Herausforderungen bei der Umsetzung sowie die technische Umsetzung in SAP-Systemen ein.

Das IT Governance Institute (ITGI) hat eine neue Ausgabe des “IT Governance Global Status Report” (englisch, pdf 420 kb) veröffentlicht. Für den Report befragt wurden überwiegend IT-Leiter (CIO) und die Geschäftsleitung (CEO, CFO, COO). Interessante Feststellungen dieses Reports sind (unter anderem):

• die Besetzung von IT-Stellen wird als als grösstes Problem im IT-Bereich wahrgenommen
• gefolgt von Wirtschaftlichkeits und operationellen Problemen
• IT-Sicherheit/Datenschutz-Probleme landen auf dem vorletzten Platz
• Ordnungsmäßigkeit (Compliance) auf dem letzten
• IT-Outsourcing wird nicht mehr als die am besten wirkende Maßnahme angesehen um IT-Probleme zu lösen

Open Information System Security Group (OISSG) hat den zweiten Entwurf des Information System Security Assessment Framework vorgelegt. Das Dokument besteht jetzt aus zwei Teilen. Der erste beschäftigt sich mit der Beauftragung und der Verfahrensweise von Assessments, der zweite Teil mit Penetrationstests.

Die ISACA hat drei neue Allgemeine Standards für die Revision von Informationssystemen veröffentlicht, und zwar:

• S9 Unregelmäßigkeiten und gesetzwidrige Handlungen
• S10 IT-Governance 
• S11 Risikobewertung bei der Prüfungsplanung

Das CSRC des NIST hat von einigen Security Guides und Checklisten neue Versionen veröffentlicht. Aktualisierungen gibt es unter anderem für Mac OS-X, Netzwerkinfrastruktur, OS/390 & z/OS und VoIP.

Auf der Webseite GDPdU-Portal sind Fragebögen der Finanzverwaltung Schleswig-Holstein zur eingesetzten EDV im Zusammenhang mit Betriebsprüfungen verfügbar.

Die Arbeitsgruppe des Arbeitskreises eGovernment der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat eine Orientierungshilfe „Datenschutz bei Dokumentenmanagementsystemen“ (pdf 378) erarbeitet. Die Orientierungshilfe gibt in 11 Kapiteln einen umfassenden Einblick in DMS.

Der Entwurf der zweiten Ausgabe des “IT Control Objectives for Sarbanes-Oxley” vom ITGI ist verfügbar. Das ITGI lädt ein zur Kommentierung bis zum 30.06.2006.

Das BITS veröffentlicht “KEY CONSIDERATIONS FOR SECURING DATA IN STORAGE AND TRANSPORT” (pdf). Die Ausarbeitung gibt einen guten Überblick über die Risiken die mir Transport und Lagerung von Datenträgern verbunden sind und welche Sicherungsmaßnahmen möglich sind.

Die NIST hat den Entwurf eines Security Guides zum Thema “Computer Security Log Management” veröffentlicht. Das Dokument enthält Informationen über die Entwicklung, Einführung und Wartung eines Log-Managements. Dabei geht es auf die Methoden, Prozesse und auf die erforderliche Infrastruktur ein. Ebenso werden Rollen und Verantwortlichkeiten diskutiert.

Beim BITKOM gibt es einen Leitfaden “Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG”.

COBIT Mapping: Overview of International Guidance, 2nd Edition. (pdf 433 kb) - Vergleich von COBIT mit den Standards COSO, ITIL, ISO/IEC 17799:2005, FIPS PUB 200, ISO/IEC 13335, ISO/IEC 15408:2005, PRINCE2, PMBOK, TickIT, CMMI, TOGAF 8.1, IT-Grundschutzhandbuch, NIST 800-14. Download beim ITGI.

Das NIST hat einen Bericht “Cell Phone Forensic Tools - An Overview and Analysis” (pdf 6,23 mb) über die zur Zeit verfügbaren Tools zur forensischen Analyse von “handheld devices” (Handies, PDAs) veröffentlicht.

Das CERT der Carnegie Mellon University stellt eine Methode zur Analyse und Verbesserung der IT-Sicherheit vor. OCTAVE (bzw. OCTAVE-S für kleinere Organisationen) setzt den Schwerpunkt auf die operationellen Risiken und die Sicherheitsmethoden, weniger auf die Sicherheitstechnik. Dadurch wird es möglich, dass ein Team aus dem Fachbereich und der IT-Abteilung die Sicherheitsbedürfnisse der Organistaion erarbeiten kann.