IT Sicherheit

• Event Managemtn
• Incident Mangement
• Request Fullfillment
• Problem Management
• Access Management

• 7 Step Improvement Process

enge Verbindung/Abhängigkeiten von Prozessen

• Configuration Management
• Problem Management
• Change Managmeent
• Release Management

Alles hängt mit CMDB zusammen

• Incidents
• Problem Known Errors
• Changes
• Releases
• CI (Configuration)

Service ist messbar (z.B. geschlossene Tickets, Zeit für schließung usw)

Auf den einzelnen Vorfall hurunterbrechbar

Introduktion - Scope - Normative references - Terms and definitions - Context of the organisation - Leadership - Planning - Support - Operation - Performance evaluation - Improvement

• Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
• Kosteneffizienten Management von SIcherheitsrisiken
• Sicherstellung der Konformität mit Gesetzen und Regulatorien
• Prozessrahmen für Implementierung + Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
• Definition von neuen Informationssicherheits-Managementprozessen
• Identifikation + Definition von bestehenden Informationssicherheits-Managementprozessen
• Definition von Informationssicherheits-Managementtätigkeiten
• Gebrauch durch interne und externe Auditoren zur Feststellung des Umsezungsgrades von RIchtlinien und Standards

Vermögenswerte:

• Cash
• Equities
• Ficed Income
• Commodities
• Non Traditional
• Foreign Exchange

Aktiva:

• Anlagevermögen
  • Immaterielle Vermögensgegenstände
  • Sachanlagen
  • Finanzanlagen
• Umlaufvermögen
  • Vorräte
  • Forderungen
  • Wertpapiere
  • Kassenbestand, Bankguthaben
• Rechnungsabgrenzungsposten
• Aktiva latente Steuern
• Aktiver Unterschiedsbetrag aus der Vermögensverrechnung

Passiva:

• Eigenkapital
  • Gezeichnetes Kapital
  • Kapitalrücklage
  • Gewinnrücklage
  • Gewinnvortrag
  • Jahresüberschuss
• Rückstellungen
• Verbindlichkeiten
• Rechnungsgrenzungsposten
• Passive latente Steuern

• einheitliches Schema
• Einstufung von Informationen bezüglich Wert, gesetzlichen Anforderungen, Sensibilität, Kritikalität
• Schema im Unternehmen veröffentlicht (für alle Mitarbeiter)
• Für die Klassifikation ist Informationseigentümer verantwortlich

• muss nicht für das gesamte Unternehmen gelten
• Passende Definition des Scopes Herausforderung
• Festlegung des Anwendungsbereich durch IT-technische, geografische und physische Grenzen

ƒWelches (Teil-)Unternehmen oder welche Unternehmenseinheit soll vom
• ISMS abgedeckt werden?
• Was sind die (informationsverarbeitenden) Prozesse und die zugehörigen
Datenflüsse?
• Welche Anforderungen stellen Dritte an das Unternehmen (besonders
auch rechtlicher Natur)?
• Welche Dritte sind zu berücksichtigen (Kunden, Mitarbeiter, Lieferanten,
Aufsichtsbehörden, ...)?
• Welche (impliziten) Erwartungen stellen Dritte an das Unternehmen?

• Festlegung von Sicherheitszielen
• Verabschiedung einer Sicherheitsrichtlinie
• Integration des ISMS in die Prozesse des Unternehmens
• Bereitstellung angemessener Ressourcen
• kontinuierliche Verbesserung des ISMS

• keinerlei Anforderungen an Format/Speichermedium
• Ziemlich mächtige Richtlinie

• Scope des ISMS (4.3)
• Informationssicherheitspolitik (5.2.e)
• Methodik zur Beurteilung von Risiken (6.1.2)
• Statement of Applicability (6.1.3.d)
• Risikobehandlungsplan (6.1.3.e)
• Risikobehandlungsprozess (6.1.3)
• Sicherheitsziele (6.2)
• Nachweise zur Kompetenz (7.2.d)
• Nachweise über die korrekte Ausführung der Prozesse des ISMS (8.1)

Konkrete Inhalte der Richtlinie:

• Nennung der Sicherheitsziele oder einer Methodik, um diese festzulegen,
• die Selbstverpflichtung zur Umsetzung von Informationssicherheit und
• die Selbstverpflichtung zur kontinuierlichen Verbesserung.

Möglichkeit, dass ein Schaden eintritt oder dass jemandem etwas zustößst

Bedrohen: gefährlich sein

Bedrohung: wird meist nur subjektiv wahrgenommen

Mit einem Vorhaben verbundenes Wagnis; mögliche negative Ausgang einer Unternehmung, Möglichkeit eines Verlustes

unter Risiko versteht man die mögliche negative Abweichung von einer erwarteten Entwicklung

• Seien Sie immer skeptisch, wenn Ihnen ein Profi seine Risikobewertung zeigt. Im Zweifelsfall hören sie das "Entschuldigung!" nicht mehr
• Auch Profis haben Probleme Sicherheit realistisch einzuschätzen. Problem der subjektiven Sicht, der individuellen ANgst sorgen für:
  • Leichtsinn + Panik
• Selbst bei konkreter Bedrohung gibt es Schutzmaßnahmen

• Nicht alles steht in einem Katalog oder einer Checkliste
• Sonderbare Ideen haben meistens ihren Wert

Risikobewertung ist die Wahrscheinlichkeit, mit der eine Gafahr zum Schaden führt.

Eintrittswahrscheinlichkeit in %, Schaden in Geldeinheiten

• Indikatoren (Veränderung der Gefahr)
• Überprüfen + Kausalzusammenhänge + Korrelationsanalyse
• Schwellenwerte
• Planung/Maßnahmen in Abhängigkeit der Schwellenwerte
• Dokumentation + Kommunikation

Ist genauer und hat eher Recht als die klassische Wahrscheinlichkeit

\(P (K|T) = {{P(T|K) * P(K) } \over P (T|K) * P(K) + P(T|Kc)*P(Kc) } ~0,0186\)

P(A|B) = Wahrscheinlichkeit Ergebnis A under Bedingung, dass B eingetreten ist

P(A) Wahrscheinlichkeit für Ergebnis A

\(P(A|B) = {{P(B|A) * P(A) } \over P(B)}\)

große Zahl möglicher Grundlagen:

• Sicherheitsstandards i.e.S
• Gesetze
• Prüfungsstandards
• ergänzende Methodik (ISOs)

• BS 7799 - Britisch Standard 7799
• BSI Grundschutz - Sammlung von vier Standards zur Herstellung von IT Sicherheit
• NIST SP 800-12 - National Institute of Standardization and Technology
• OSA - Open Security Architacture

• BDSG - Bundesdatenschutzgesetzt
• EnWG - Energiewirtschaftsgesetz
• SOX/J-SOX - Sarbanes-Oxley Act
• ITSG - IT-Sicherheitsgesetz

• Cobis - Framework für Control Objectives for Information and Related Technology
• IDW PS 951 - Prüfungsstandard des Instituts der Wirtschaftsprüfer
• SAS 70 - Statement on Auditing Standards