IT Sicherheit
IT Sicherheit Abschlussklausur
IT Sicherheit Abschlussklausur
Set of flashcards Details
Flashcards | 52 |
---|---|
Language | Deutsch |
Category | Computer Science |
Level | University |
Created / Updated | 19.07.2019 / 23.07.2019 |
Weblink |
https://card2brain.ch/box/20190719_it_sicherheit
|
Embed |
<iframe src="https://card2brain.ch/box/20190719_it_sicherheit/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Create or copy sets of flashcards
With an upgrade you can create or copy an unlimited number of sets and use many more additional features.
Log in to see all the cards.
Betrieb
ISM Risikobewertung
- In geplanten Abständen oder bei Änderungen eine Informationssicherheitsrisikobewertung vornehmen
- Die unter 6.1.2 festgelegten Kriterien berücksichtigen
Betrieb
ISM Risikobehandlung
- Plan für die Informationssicherheitsrisikobehandlung implementieren
- Dokumentierten Informationen zu den Ergebnissen der Informationssicherheitsrisikobehandlung aufbewahren
Bewertung der Leistung
Überwachung, Messung, Analyse und Auswertung
- Leistung des ISMS und Wirksamkeit auswerten
- Folgendes ermitteln:
- Notwendige zu überwachende/messende Aspekte
- Mess- und Überwachungsprozesse und Maßnahmen
- Die Methoden zur Überwachung, Messung, Analyse und Auswertung
- Den Zeitpunkt der Überwachung/Messung
- Die zuständigen Personen
- Zeitpunkt für die Analyse und Auswertung der Ergebnisse
- Organisation muss angemessene Dokumentation aufbewahren
Bewertung der Leistung
Internes Audit
- In geplanten Abständen durchführen
- Ziele:
- Konformität mit eigenen Anforderungen ISMS und ISO 27001
- Effektive IMplementierung und Aufrechterhaltung
- Planung, Festlegung, Implementierung und Aufrechterhaltung eines Auditprogramms
- Inhalt Auditprogramm:
- Auditmethode
- Häufigkeit
- Verfahren
- Zuständigkeiten
- Planungsanforderungen
- Berichterstattung
- Im Auditprogramm muss:
- Bedeutung der betroffenen Prozesse
- Ergebnisse vorangegangener Audits berücksichtigt werden
- Festlegung Auditkriterien und Geltungsbereich
- Auswahl Auditoren
- Durchführung von Audits zur Sicherstellung der Objektivität und Unparteilichkeit
- Ergebnisse der relevanten Leitung melden
- Dokumentation des Programms und der Ergebnisse
Bewertung der Leistung
Management Review
- Pflicht der obersten Leitung (Vorstand, GF, Top Management,...)
- In planmäßigen Abständen bewerten
- Angemessenheit prüfen
- Wirksamkeit um sicherstellen
- Folgende Aspekte berücksichtigt:
- Maßnahmen aus vorangegangenen Managementbewertungen
- Veränderungen von externen und internen Vorgängen
- Umgang mit Fehlern und deren Korrekturmaßnahmen
- Rückmeldung zu Überwachung und Messergebnissen
- Umgang mit Auditergebnissen
- Status zu Informationssicherheitszielen
- Rückmeldung der interessierten Parteien
- Ergebnisse der Risikobewertung und Status der Risikobehandlung
- Möglichkeiten zur Verbesserung
- Ergebnisse der Managementbewertung müssen Entscheidungen enthalten
- Managementbewertung muss ggf. Aussagen zu erforderlichen Änderungen am ISMS beinhalten
- Dokumentierte Informationen zum Nachweis der Managementbewertung
- Einmal jährlich laut DAkkS
- Risiken und Chancen nicht vergessen!
Verbesserung
Fehler und Korrekturmaßnahmen
- Umgang mit Fehlern regeln
- Auf Fehler reagieren
- Mit Auswirkungen des Fehler auseinandersetzen
- Maßnahmen ergreifen
- Fehler beseitigen
- Fehlerursachen ermitteln
- Fehler zukünftig vermeiden
- Fehler bewerten
- Korrekturmaßnahmen bewerten, Wirksamkeit prüfen
- Ggf. Änderungen am ISMS umsetzen
- Korrekturmaßnahmen müssen geeignet sein
- Dokumentierte Informationen zum Nachweis
- Art der Fehler, ergriffene Maßnahmen, Ergebnisse der Korrekturmaßnahmen
Verbesserung
Laufende Verbesserung
Das Unternehmen muss sein Informationssicherheitsmanagementsystems laufend verbessern, d.h. es muss auch zukünftig geeignet, angemessen und wirksam sein
Anhang Annex A
Physische IT-Sicherheit
- Physische Sicherheit, Umgebungssicherheit
- Zutrittsüberwachung
- Türsensoren
- Kameras
- Bodensensoren
Annhang Annex A
Sicherheitspolitiken
- Muss festgelegt und genehmigt werden
- Für alle zugänglich sein
- Regelmäßig geprüft und bei Änderungen angepasst werden
- Auf Angemessenheit und Wirksamkeit überprüft werden
Annhang Annex A
Organisation der Sicherheit
- Zuständigkeiten festlegen
- Rollen, Befugnisse und Verantwortlichkeiten festlegen und kommunizieren
- Getrennte Verantwortlichkeiten (IT-Leiter darf nicht ISB sein)
- Kontakt zu Behörden (z.B. BSI)
- Kontakt zu Interessengruppen pflegen
- Sicherheitspolitik bei Mobile Devices
- Smartphones, Tablets, Laptop, Smart Watch, externe Festplatte, Wechseldatenträger
- Nutzungspolitik bei Telearbeitsplätzen
- Home Office oder Remote Arbeit
Anhang Annex A
Sicherheit des Personals
- Überprüfung von
- Herkunft
- Einklang mit dem Gesetz (Führungszeugnis)
- Einstufung der Risiken
- Mitarbeiter auf ISM, Geheimhaltung und Datenschutz verpflichten
- Management muss Mitarbeiter und Vertragspartner anhalten ISM-Politik anzuwenden, z.B. über Verträge und Audits
Annhang Annex A
Schulung des Personals
- Schulung
- Richtlinien, Prozesse, Verfahren
- Gestaltung der Schulungen
- Rollenspezifisch
- Motivierend
- Regelmäßig und/oder bei Änderungen (je Unternehmen → 2x oder mehr pro Jahr?, Neue Mitarbeiter → Ersteinweisung)
- Nachweise (Urkunde)
- Interne und externe Schulungen
- Schulungsarten:
- e-Learning
- Workshops
- Lesen
- Mentoring
- Consulting
- Vortrag
- Wie können die Mitarbeiter überprüft werden?
- Stichproben → Besuch am Arbeitsplatz (Audit)
Anhang Annex A
Sicherheit des Personals
- Maßregelungsprozess für ISM-Verstöße
- Verantwortung und Pflicht auch nach dem Arbeitsende hinaus müssen definiert, überwacht und durchgesetzt werden
Anhang Annex A
Assetmanagement
- Assets ermitteln und Inventarverzeichnis erstellen
- Regeln für Gebrauch und Verantwortliche für Assets festlegen und dokumentieren
- z.B. muss ein Mitarbeiter seinen Arbeitslaptop wieder zurückgeben?
- Assets sind nach Ihrem Wert zu klassifizieren:
- Informationen
- Arbeitsplatz Ausstattung
- Warenbestand (Material)
- IT-Infrastruktur
- Know-How der Mitarbeiter
- Gebäude
- Schutzklassen
- Vertraulich
- Intern
- Öffentlich
Anhang Annex A
- Assetmanagement
- Zugriffspolitik
- Zugriffsüberwachungspolitik
- Benutzerrechteverwaltung
- Sonderzugriffsrechte
- z.B. 15 Admins → 1x Super Admin (Sonderzugriffsrechte)
- Zugriffe für Systeme
- Anwendungen, die Systemüberwachungen umgehen können, müssen eingeschränkt und überwacht werden
- Zugriffsbeschränkung auf Software/Quellcode
- Wie kann diese Beschränkung geschützt werden?
- PGP (Public Key und Private
Wie werden Informationen definiert?
- Informationen sind Aktivposten (Asset)
- Gilt es zu schützen
- Formen: Papier, elektronisch, Film, Gesprochen
Wie werden Assets definiert?
- Alles, was für eine Organisation von Wert ist (materiell und immateriell)
Wie werden Audits definiert?
- Bei diesen Gesprächen werden Arbeitsabläufe, Prozesse, Fertigungsverfahren, Richtlinien und Standards betrachtet
- Ziel ist es, Verbesserungspotentiale und Abweichungen zu erkennem
Wie wird ein Nachweis definiert?
- Darlegung eines Sachverhalts auf Richtigkeit einer Behauptung und Bestätigung einer Vermutung
Wie wird die IT-Sicherheit definiert?
- Elektronisch gespeicherte Informationen und IT-Systeme
- Nicht nur Schutz der technischen Verarbeitung
- Fehlerfreies Funktionieren und Zuverlässigkeit der IT-Systeme
Wie wird die Informationssicherheit definiert?
- Ziel: Schutz von Informationen
- Alle Informationen: Digital + Analog (mit und ohne Personenbezug)
Wie wird die Datensicherheit definiert?
- Schutz von Daten aller Art (mit und ohne Personenbezug)
- Digitale und analoge Daten
- Schutz vor Manipulation, Verlust, unberechtigter Kenntnisnahme
Wie wird der Datenschutz definiert?
- Nur personenbezogene Daten
- Jeder Bürger hat das Recht auf informationelle Selbstbestimmung und Schutz vor missbräuchlichen Verwendung seiner Daten
- Dürfen die Daten überhaupt verarbeitet werden?
Warum sollte eine Information Security Management Software (ISMS) eingesetzt werden?
Vorteile für ein Unternehmen, Beweggründe dafür, etc.
- Gesetzliche Vorgaben einhalten: IT Sicherheitsgesetz, DSGVO, TKG, TMG
- Vertrauen gegenüber Kunden
- Sicherheit, Geheimnisse bewahren
- Kundenanforderung
- Strukturierte Prozesse und Abläufe
- Positiver Effekt für das Marketing (damit man nicht negativ auf Heise landet..)
- Sanktionen und Präventionen
- Wissensvorsprung durch Informationen ist ein Wettbewerbsvorteil
Information Security Management Software
Warum ISO 27001 dazu verwenden?
- Vergleichbarkeit
- “Rezeptbuch” für die wichtigsten Vorgaben, Technologien, Prozesse für IT-Sicherheit
- Geprüfte Standards
Information Security Management Software
Warum ISO 27001:2013?
- Sicheres Informationsmanagement
- Spezifiziert Anforderungen eines ISMS unter Berücksichtigung der Risiken des Unternehmens
- Entwickelt, um die Auswahl geeigneter Sicherheitsmechanismen aller Unternehmenswerte in den Geschäftsprozessen sicherzustellen
Nenne die Schutzziele und gib eine kurze Definition ab
- Vertraulichkeit
- Nur befugte Personen haben Zugang zu Daten, Systemen, Konfigurationen, etc.
- Integrität
- Daten und Systeme sind korrekt, unverändert bzw. verlässlich
- Beispiel für einen Angriff auf die Integrität: Empfänger erhält eine andere Nachricht, als die vom Sender versandte
- Authentizität
- Echtzeit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung
- Beispiel für einen Angriff auf die Authentizität: Unbefugte Erzeugung einer Nachricht unter einer falschen Identität
- Verfügbarkeit
- Daten und IT-Systeme müssen bei Bedarf für autorisierte Personen zur Verfügung stehen
- Beispiel für einen Angriff auf die Verfügbarkeit: Unbefugte Unterbrechung, z.B. durch Ausfall von Servern oder Kommunikationsmitteln
Kontext der Organisation
Welche Aspekte fallen unter den Kontext einer Organisation?
- Branche, in der das Unternehmen tätig ist
- Regional/lokal, national, global agierend
- Ermittlung externer und interner Aspekte, welche sich auf Fähigkeiten des Unternehmens im Bezug auf das ISMS auswirken
- Externe Aspekte:
- Marketinganalyse (Märkte, Zielgruppe, Branche, etc.)
- PEST-Analyse (political, economical, social, technological)
- Interne Aspekte:
- Kernkompetenz
- Portfolio
- Kostenstruktur
- Kundenzufriedenheit
- Externe Aspekte:
- Dauerhaftes Überwachen und Überprüfen der Aspekte
Kontext der Organisation
Welche Parteien sind im Hinblick auf das ISMS relevant?
- Externe Parteien
- Kunden
- Lieferanten
- Staat
- Interne Parteien
- Mitarbeiter
- Manager
- Eigentümer
- Anforderungen
- explizit (Angebot, Vertrag, Lastenheft)
- implizit (rechtlich normativ, stillschweigend vorausgesetzt, etc.)
- selbst auferlegt
Kontext der Organisation
Was ist der Anwendungsbereich des ISM?
- Gestaltungsbereich festlegen
- Für wen gilt das ISMS?
- Unternehmen, Abteilung, Organisationseinheit, etc.
- Schnittstellen und Abhängigkeiten definieren
- in dokumentierter Form zusätzlich
- Themen aus “Organisation und ihr Kontext” berücksichtigen
- Anforderungen aus “Interessierte Parteien” berücksichtigen
- Ausschlüsse begründen
- Link zu A.18 Compilance
-
- 1 / 52
-