IT Securtiy
IT Security
IT Security
61
0.0 (0)
Fichier Détails
| Cartes-fiches | 61 |
|---|---|
| Langue | Deutsch |
| Catégorie | Informatique |
| Niveau | Université |
| Crée / Actualisé | 20.07.2019 / 18.01.2024 |
| Lien de web |
https://card2brain.ch/box/20190720_it_securtiy
|
| Intégrer |
<iframe src="https://card2brain.ch/box/20190720_it_securtiy/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Welche Kriterien muss eine "ISM-Politik" erfüllen bzw. wie wird mit ihr umgegangen?
muss:
- festgelegt und genehmigt werden
- für alle zugänglich sein
- regelmäßig und zu Änderungen überprüft werden
- auf Angemessenheit und Wirksamkeit überprüft werden
Wie muss die Sicherheit organisiert sein? (Organisation der Sicherheit)
- Zuständigkeiten festlegen
- Rollen, Befugnisse und Verantwortlichkeiten festlegen und kommunizieren
- Getrennte Verantwortlichkeiten festlegen
Was muss bei der Schulung des Personals beachtet werden?
- Schulungsbedarf muss ermittelt werden
- sensibilisierung für ISM
- Schuldung entsprechend ihrer Rollen
Was muss bei der "Sicherheit des Personals" beachtet werden?
- Maßregelungsprozess für ISM-Verstöße
- Verantwortungen und Pflichten auch nach dem Arbeitsende hinaus müssen definiert, überwacht und durchgesetzt werden
Was ist beim "Assetmanagement" zu beachten?
- Assets müssen ermittelt werden
- Regeln für gebrauch und rückgabe
- Klassifizierungsschema für Informationen entwickeln und implementieren
- Informationen auf Medien müssen vor Zugriff geschützt werden
Was ist beim Accessmanagement zu beachten?
- Benutzer dürfen nur auf die Netzwerke Zugriff haben für die sie autorisiert sind
- Asset Owner müssen regelmäßig Zugriffsberechtigungen prüfen
- Anpassung bei Änderungen
- Sicheres Anmeldeverfahren/Passwort
Was ist unter Umgebungssicherheit zu verstehen?
- Schutzkonzept und Sicherheitszone muss festgelegt werden
- Sicherheitsbereiche müssen durch angemessene Zugriffsüberwachung geschützt werden
- Es müssen Schutzvorkehrungen gegen Naturkatastrophen, vorsätzliche Angriffe oder Unfälle getoffen werden
Was ist unter Betriebssicherheit zu verstehen?
- Betriebsverfahren müssen dokumentiert und für alle Benutzer zugänglich sein
- Es müssen Schutzmaßnahmen gegen Malware getroffen werden
- Es muss eine Backup policy erstellt werden
- Es sind Ereignissprotokolle anzufertigen, aufzubewahren und regelmäßig zu prüfen
- Logging der Aktivitäten der Benutzer, Ausnahmen, Fehler und security incidents
- Ein Patchmanagement einführen
Was ist unter Netzwerksicherheit zu verstehen?
- Ist die Politik und Verfahren für die Informationsübertragung
- Netzwerke müssen verwaltet und überwacht werden
Was ist unter Entwicklungssicherheit zu verstehen?
- Es sollten Regeln für die Entwicklung von Software und Systemen festgelegt und angewandt werden
Was ist unter Suppliermanagement zu verstehen?
- Es sind Informationssicherheitsanforderungen mit dem Zugriff von Lieferanten auf Assets zu vereinbaren und zu dokumentieren.
Was ist unter Security Incidentmanagement zu verstehen?
- Verantwortlichkeiten und Verfahren für das Managen von Security Incidents sind fetszulegen
Was ist unter Business Continuity Management zu verstehen?
- Es muss ein Notfallmanagement festgelegt werden
- Es muss immer ein erforderliches Maß an Kontinuität der Informationssicherheit in schwierigen Situationen sichergestellt sein
Was ist unter Conformity zu verstehen?
- Alle gesetzlichen, amtlichen, vertraglichen Anforderungen müssen ermittelt und dokumentiert werden.
Nenne alle Punkte der High Level Structure und definiere diese.
- Plan - Kontext der Organisation:
- Plan - Führung
- Plan - Planung
- Plan - Unterstützung
- Do - Betrieb
- Check - Bewertung der Leistung
- Act - Verbesserung
Was ist unter Informationen zu verstehen und in welcher Form können diese vorliegen?
Commandes clavier:
= tourner,
= avant/arrière,
= faire défiler
- Informationen sind Wertgegenstände (Assets)
- Informationen gilt es zu schützen
- Informationen können in folgender Form vorliegen:
- Papier
- Elektronisch
- Brief
- Film
- Gesprochen
Welche internen Anforderungen gibt es?
Commandes clavier:
= tourner,
= avant/arrière,
= faire défiler
- Schäden und Auswirkungen
- Ereignisse und Vorfälle
- Auditberichte
- Ideen und Vorschläge
Welche externen Erwartungen gibt es?
Commandes clavier:
= tourner,
= avant/arrière,
= faire défiler
Neue und bestehende Gesetze, Kundenanforderungen, Technologien, Bedrohungen
Wie können Verbesserungen eingeführt werden?
Commandes clavier:
= tourner,
= avant/arrière,
= faire défiler
- Anfangs haben wir eigene Normen und Standards, die durch einen (KVP) Kontinuierlichen Verbesserungsprozess (Plan, Do, Check, Act) die Rahmenbedingungen (Sozial und Technisch) hin zur ISO 27001 verbessern.
Warum sollte ein Information Security Management System (ISMS) eingesetzt werden?
Commandes clavier:
= tourner,
= avant/arrière,
= faire défiler
- Gesetzliche Vorgaben werden eingehalten z.B. DSGVO
- Mehr Vertrauen des Kunden
- Organisiert die Informationen im Unternehmen
- Sicherheit, Geheimnisse bewahren
- Kundenanforderungen
- Strukturierte Prozesse und Abläufe
- Wissensvorsprung ist ein Wettbewerbsvorteil
Weshalb sollte die ISO 27001 eingesetzt werden?
Commandes clavier:
= tourner,
= avant/arrière,
= faire défiler
- Es ist ein "Rezeptbuch" für die wichtigsten Vorgaben, Technologien, Prozesse der IT-Sicherheit
- Es handelt sich hierbei um geprüfte Standards
- Ist ein Modell für ein sicheres Informationsmanagement
- Spezifiziert die Anforderungen eines ISM unter Berücksichtigung der Risiken eines Unternehmens
Was ist unter IT-Sicherheit zu verstehen?
Commandes clavier:
= tourner,
= avant/arrière,
= faire défiler
- Es handelt sich um elektronisch gespeicherte Informationen und IT-Systeme
- Es geht nicht nur um den Schutz der technischen Verarbeitung, sondern auch um ein fehlerfreies Funktionieren und die Zuverlässigkeit der IT-Systeme.
- Es ist ein Teil der Informationssicherheit
Was ist unter Informationssicherheit zu verstehen?
Commandes clavier:
= tourner,
= avant/arrière,
= faire défiler
- Zielt auf den Schutz von Informationen ab (analog und digital).
- Hiermit sind alle Informationen (mit und ohne Personenbezug) gemeint.
- Datensicherheit ist Teil der Informationssicherheit
Was ist unter Datensicherheit zu verstehen?
Commandes clavier:
= tourner,
= avant/arrière,
= faire défiler
- Bezeichnet den Schutz von Daten jeglicher Art (mit und ohne Personenbezug / digital oder analog)
- Die Daten müssen vor Manipulation, Verlust oder unberechtigter Kenntnisnahme geschützt werden.
Was ist unter Datenschutz zu verstehen?
Commandes clavier:
= tourner,
= avant/arrière,
= faire défiler
- Es geht um den Schutz der Privatsphäre eines jeden Menschen (personenbezogene Daten)
- Jeder Mensch hat das Recht selbst zu bestimmen was mit seinen Daten geschieht sowie das Recht auf Schutz vor missbräuchlicher Verwendung der Daten
- Es wird also nachgefragt ob die Daten überhaupt verarbeitet werden dürfen.
Welche Schutzziele gibt es?
- Vertraulichkeit - bedeutet, dass Daten nur befugten zugänglich zu machen sind
- Integrität - bedeutet, dass Daten/Systeme korrekt, unverändert und verlässlich sind
- Authenzität - bedeutet die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung
- Verfügbarkeit - bedeutet, dass Daten und IT-Systeme zur Verfügung stehen und von autorisierten Personen genutzt werden
Was sind Assets?
- Alles, was für eine Organisation von Wert ist (materiell und immateriell)
Was sind Informationen?
- Ist eine Teilmenge an Wissen die ein Absender einem Empfänger mittels Signalen über ein bestimmtes Medium vermitteln kann.
Was ist unter Audit zu verstehen?
- Bei einem Audit werden Arbeitsabläufe, Prozesse, Fertigungsverfahren, Richtlinien und Standards betrachtet.
- Ziel des Audits ist es, Verbesserungspotenziale und Abweichungen von den Vorgaben zu identifizieren.
Definiere den Begriff Risiko.
- Risiken sind immer nur in direktem Zusammenhang mit der Planung eines Unternehmen zu interpretieren
- Mögliche Abweichungen von Zielen stellen Risiken dar – sowohl negative „Gefahren“ als auch positive Abweichungen „Chancen“
-
- 1 / 61
-
