c2b_default

MANSEC

MANSEC

MANSEC

83
0.0 (0)
R. S.
R. S.

Kartei Details

Zusammenfassung Diese Lernkarten behandeln auf Universitätsniveau die Themen Sicherheit und Management im Kontext von Unternehmen. Sie decken Bereiche wie Sicherheitssysteme, Risikomanagement, Datenschutz und Sicherheitsrichtlinien ab. Besonders relevant sind die Aspekte der Informationssicherheit, der Schutz von Personendaten und die Implementierung von Sicherheitsstrategien. Die Karteikarten richten sich an Studierende und Fachleute, die sich mit der Verwaltung und dem Schutz von Unternehmensressourcen sowie der Einhaltung von Sicherheitsstandards beschäftigen.
Karten 83
Lernende 1
Sprache Deutsch
Kategorie Informatik
Stufe Universität
Erstellt / Aktualisiert 19.06.2018 / 20.06.2018
Weblink
https://card2brain.ch/cards/20180619_mansec
Einbinden
<iframe src="https://card2brain.ch/box/20180619_mansec/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>

Definieren Sie was ein Plagiat ist und wie wir in unserem Termpaper damit umgehen wollen.

Verwendung einer gewissen Menge an Fremdtext, ohne Zitat und Quellenangabe. Teilweise definert durch: max. 80 Zeichen (oder 80 Wörter) als Zitat. Falls mehr --> Paraphrasieren (umschreiben).

Erklären Sie was die wichtigsten 4 Eckpfeiler bei der Planung einer Arbeit sind.

  1. Ziel
  2. Quellen
  3. Methodik
  4. Inhaltsverzeichnis

Wie ist eine optimale Quelle für ein Termpaper definiert?

Möglichst passend zum eigenen Thema (--> möglichst kleine semantische Distanz).

Beschreiben Sie den Begriff «Leserführung»

  • Kapitel mit Überleitungen versehen, sodass der Lesefluss gefördert wird und der Leser weiss, was Ihn im nächsten Kapitel erwartet.
  • Roter Faden erkennbar
  • Jedes Kapitel mit einer kurten Übersicht versehen (was erwartet den Leser?)

 

Wie kann ein Sicherheitsgefühl geprüft werden, sodass nachhaltig eine Aussage zur Sicherheit gemacht werden kann?

Risikoanalyse

Erklären Sie mindestens drei Dimensionen der Informationssicherheit.

  1. technisch
  2. organisatorisch
  3. rechtlich

Welche zwei Grund-Typen von Managern kennen Sie aus der letzten Vorlesung?

Manager (Administratoren) und Leader (Visionäre)

Weshalb kann aus Sicht des Top-Managements der Eindruck entstehen, dass Information Security der grösste Flopp ist? Was sagen Sei zur Verteidigung?

  • Es ist nie eine 100%-ige Sicherheit gewährleistet.
  • Sicherheit kostet sehr viel Geld
  • Usability kann negativ beeinflusst werden.
  • Immernoch häufige Sicherheitsvorfälle, trotz guten Sicherheitsmassnahmen
  • Verteidigung: Sicherheit ist nötig

Welchen Persönlichkeitscharakter Typ nehmen Sie erstens für einen Information Security Audit und zweitens für die Entwicklung eines neuen Security Produkts?

Information Security Audit: Bureaucratic Character

Entwicklung eines neuen Seucrity Produkts: Inventor

 

Typen:

  • Inventor: Kreativ, akzeptieren keine Limiten und Grenzen. "Happy that we can .. That it works .."
  • Early Adapters and Evangelists: Experten, Personen haben eine "Mission"
  • Orderly Character: Hauptziel: Saubere Entwicklung und Überführung; Immernoch ein wenig Kreativität.
  • Bureaucratic Character: Auditor; Möchte sein Themengebiet beherrschen; Checklisten und Tabellen sind die Hauptwerkzeuge.
  • Purity Character: Don't touch a running system.

Erklären Sie die folgenden Sichten auf die Informationssicherheit:

  1. Der Kryptologe löst das Problem.
  2. Einen Security Officer anstellen ist gut und das Problem ist gelöst.
  3. "Commander in Charge Modell"

  1. Beschreibt die alleinige Sicherung der Kommunikationswege, nicht aber das System selbst. --> Veraltete Ansicht.
  2. Früher war der Security Officer ein "Opfer-Lamm" --> hatte keine Verantwortung und keine Unterstützung des Managements.
  3. Security Officer schlägt Massnahmen vor und der Business-Manager wägt Risiken ab und entscheidet, welche Massnahmen umgesetzt werden (nutzen orientiert)

Beschreiben Sie eine Compliance orientierte Sicht der Security: Ist diese gut?

Compliance = Gesetzliche Forderungen und Standards erfüllen um nicht veruteilt zu werden.

Nur das Mindestmass an Anforderungen an die Security umsetzen. Die eigentlichen Risiken für das Geschäft werden dadurch aber häufig nicht behandelt, da Frameworks und Gesetze teilweise veraltet sind oder nicht 100% auf das Unternehmen angepasst sind.

Erklären Sie, weshalb die Security in verteilten IT-Systemen (mehrere Besitzer so essentiell ist? Welche Aufgaben können nie outgesourced werden?

Essentiell, da Cloud Computing heute alltäglich ist.

Outsourcing nicht möglich:

  • Risiko (bleibt immer beim Benutzer)
  • Kontrolle über das Personal

Was spricht für die Auslagerung der Cybersecurity bei KMU?

Outsourcing Anbieter sind meist spezialisiert auf Security und ein KMU hat häufig nicht die Ressourcen um eine vergleichbar sichere Umgebung aufbauen zu können.

--> IT Security ist aufwendig und teuer.

Was heisst das Wort «SCADA» und weshalb ist dessen Security so wichtig?

SCADA: Supervisory control and data acquisition
"Ein SCADA - System sammelt Daten von unterschiedlichen Sensoren, zum Beispiel in einer Fabrikation, und sendet diese an einen zentralen Rechner, welcher die gesammelten Daten verwaltet und kontrolliert."

--> Leitsysteme (Verkehr, Bahn, etc.)

Sicherheit ist wichtig, da dies zentrale Systeme für die Infrastruktur eines Landes sind.

Weshalb kam der Begriff «Crown Jewel Protection» in 2013 auf und was ist mit dem Begriff gemeint?

Crown Juwel: Kronjuwelen eines Unternehmens --> Die wichtigsten Daten und Systeme, welche dem Unternehmen bei Verlust grossen Schaden zufügen können.

Auslöser: Durch Snowden realisierten die Unternehmen, dass Sie angreifbar sind. Daraus etnstand die Mentalität, die Kronjuwelen so gut wie möglich zu schützen (unter anderem: Resilience, BCM, DRP).

Was ist mit dem Begriff Forensic Readiness gemeint?

Um ideal auf einen Sicherheitsvorfall reagieren zu können, muss bereits im voraus klar sein, wie reagiert werden kann. Z.B. wie die Zusammenarbeit mit der Polizei abläuft.

Was bedeutet «Nationalisation of IT» und weshalb wollen die Nationen das?

Verwendung einheimischer IT-Systeme, da nur bei diesen Systemen sichergestellt werden kann, wer auf die Daten Zugriff hat. --> Versuch, für kritische Systeme vor allem einheimische Systeme zu verwenden.

Erkenntnis durch Snowden: Systeme mit staatlichem Hintergrund haben häufig Hintertüren.

Erklären Sie den Unterschied von GRC und Security Engineering

GRC: Governance, Risk Management and Compliance --> Administrativer Teil: Definierung der Richtlinien, Einhaltung staatlicher Richtlinien (Compliance)

Security Engineering: Technische Umsetzung der GRC

Wenn es um den Wandel der firmeninternen Security geht: Welche Profile werden dazu wichtig sein, und wie unterscheiden Sich diese beiden Profile?

  • Organisatorische Seite (auf der Seite des Kunden) --> Wirtschaftsinformatiker
  • Technische Seite (auf der Seite des Providers) --> Informatiker

Welche Fähigkeiten sind für die Qualität der Information Security Manager besonders wichtig. Können diese Fähigkeiten gemessen werden?

  • Grundvoraussetzung: Zertifizierung und technisches Know-How
  • CISO muss glaubwürdig, authentisch und ein gutes Vorbild sein
  • Kommunikative Fähigkeiten (Vermitteln, verkaufen und Leute ermuntern die Security zu beachten)

Was verstehen Sie unter dem Begriff «Risk Control?»

Quality assurance of Risk Management (Sarbanes Oxley Act --> SOX)

Risk Control Manager als zusätzliche Funktion. Dieser stellt eine unabhängige Aufsichtsperson im Unternehmen dar, welche prüft ob Risiken korrekt behandelt und implementiert werden.

Risk Control zeigt unter anderem auf, wenn z.B. zu wenig Budget für die IT-Security vorhanden ist. 

Jedes Unternehmen, welches an der US-Börse gelistet ist, braucht ein Risk Control bzw. muss nach dem SOX agieren. 

Unterteilung zwischen einem CISO (Sicherheit bereitstellen) und Risk Control (Risiken/Umsetzung überprüfen)

Erklären Sie das «Bull Eye» Modell.

Unterteilung der Verteidigung in Schichten:

  1. Policies (äusserste Schicht) --> Erster Kontaktpunkt mit IT-Sec für die meisten Benutzer.
  2. Networks --> Bedrohungen aus dem Internet treffen hier auf das Unternehmens-Netzwerk.
  3. Systems --> Clients, Server, ..
  4. Applications (innerste Schicht) --> Alle Anwendungen

Erklären sie die vier Begriffe «Standards, Policies, Procedures, Guidelines» und ordnen Sie diese in eine Pyramide (zuoberst das verbindlichste Element)

  1. Policies --> Sanktionierung durch Management; Geben ein bestimmtes Verhalten innerhalb der Organisation vor.
  2. Standards --> Mindestanforderungen für Compliance (Absicherung) zu Policy
  3. Guidelines --> Empfehlungen (Nicht verpflichtend)
  4. Procedures --> Step-By-Step Anleitungen für Compliance (Unterstützt die Arbeitnehmer bei der Erfüllung der Policies, Standards und Guidelines).

Wie häufig müssen Policies überprüft und erneuert werden, und welche Typen von Policies kennen Sie?

Prüfung: Alle 6 - 12 Monate

  • EISP: Enterprise Information Security Program Policy
    • Definiert die strategische Richtung, Umfang und Rahmenbedingungen für alle Security Bestrebungen im Unternehmen
    • Enthält die Verantworlichkeiten für die Teilgebiete der IT-Sicherheit (u.a. die Wartung der IT-Sicherheits-Policies und die Verantwortlichkeiten der Endbenutzer)
  • IISP: Issue-specific Information Security Policy
    • Organisatorische Policy, welche detailierte und gezielte Richtlinien/Instruktionen für die Verwendung einer Ressource (Prozess oder Technologie) liefert.
    • Soll ein grundlegendens Verständnis für den Verwendungszweck einer Ressource liefern --> was darf/kann mit der Ressource gemacht werden und was nicht. (Nicht für die strafrechtliche Verfolgung verwendet)
    • z.B. Verwendung von Internet, E-Mail und Geschäfts-PCs, Massnahmen gegen Malware Angriffe, ..
  • SSISP: Systems specific Policy
    • Vom Management erstellt. Liefert Guidelines, wie Technologien implementiert und konfiguriert werden.
    • Für alle Technologien zutreffend, welche von CIA (Confidentiallity, Integrity, Availability) betroffen sind.
    • Informiert Sys-Admin über Mgmt-Absichten

Wer Unterschreibt die EISP?

Der Verwaltungsratpräsident und der CEO

EISP: An wen richtet sich eine EISP? Und welchen Zweck hat die EISP?

Richtet sich an alle Mitarbeiter.

Zweck: Definiert das rechtlich zulässige Verhalten der Mitarbeiter. Was darf der Mitarbeiter und was nicht.

EISP: Was sind die wesentlichsten Inhalte?

  • Verantwortlichkeiten und Rollen
  • Beschreibt Entwicklung, Implementation und Management des Information Security Programs 
  • Beschreibung spezifischer Sicherheitsfunktionen (z.B. Incident Reporting)

Welchen Bezug hat die Information Security Policy zu Corporate High Level Documents, wie z.B. Mission?

Die EISP unterstützt die Firma in Ihrer Mission.
Es wird aufgezeigt, wie wichtig eine EISP ist, um die Ziele der Mission erreichen zu können.

Weshalb ist es wichtig, dass die Philosophie der Sicherheit erklärt wird?

  • Dadurch können die Benutzer die Wichtigkeit selber einschätzen und haben einen besseren Bezug --> bleibt beim Leser am längsten präsent.
  • Die Anwender handeln eher nach den Vorgaben, wenn Sie wissen wieso dies nötig ist.

Nennen Sie je ein typisches Beispiel für die ISSP und SSISP

ISSP: Verwendung von Email und Internet, Applikations-Secuirty-Policy

SSISP: Windows Access Right Management (ACLs), Firewall Policy --> Für alle Systeme die jeweiligen (generellen) Policies.

IS-Audits können auf der Basis von verschiedenen Standards / Frameworks gemacht werden. Was bedeuten die folgenden Abkürzungen und wo ist der Einsatz dieser Standards / Frameworks v.a. sinnvoll?

  1. InfoSurance
  2. GSHB
  3. Cobit
  4. PCI-DSS

  1. InfoSurance:
    1. Sicherheitsrichtlinien für Privatanwender und KMUs
    2. Awarenesskampagne der Schweiz
  2. GSHB: Grundschutzhandbuch des BSI:
    1. Step für Step Anleitungen um Massnahmen für spezifische Systeme zu implementieren.
  3. CoBit (ISACA):
    1. Framework für IT-Governance
    2. Definiert primär was umzusetzen ist aber nicht wie.
  4. PCI-DSS (Payment Card Industry Data Security Standard):
    1. Kreditkartentransaktionen
    2. Z.B. CVV bei Kreditkarte

Welche Organisation in der Schweiz ist Vorreiterin in der Ausbildung von IT-Auditorinnen und Autoren, und welche 2 Zertifikate werden am häufigsten via Prüfung erlangt?

Organisation: ISACA (Information System Auditor and Control Association)

Zertifizierungen:

  • CISA (Certified Information System Auditor)
  • CISM (Certified Information System Manager)

Was braucht es für ein „Audit“ Start-up Unternehmen?

Eine CISA Zertifizierung der ISACA

Was verstehen Sie unter Enterprise Governance?

  • Governance: Steuerung und Lenkung
  • Verantwortlichkeiten und Aufgaben, welche vom VR und dem Management durchgeführt werden:
    • Definition der strategischen Richtung
    • Sicherstellen, dass Ziele erreicht werden.
    • Sicherstellen, das Risiken entsprechend behandelt werden.
    • Verifizieren, dass Unternehmens-Ressourcen verantwortungsvoll eingesetzt werden.

--> Aufgaben des Managements

Worauf bezieht sich COBIT im Wesentlichen bei den Ressourcen?

Melde dich an, um Bilder anzusehen.

  • Anwendungen
  • Informationen (Daten)
  • Infrastruktur
  • Personal

Was bezeichnet COBIT als Domains?

Melde dich an, um Bilder anzusehen.

  1. Planung und Organisation
  2. Beschaffung und Implementierung
  3. Betrieb und Unterstützung
  4. Überwachung und Beurteilung

--> PDCA Cycle

Was müssen wir unter Controls verstehen?

Controls = Kontrollen --> Massnahmen, welche für die Überprüfung der Geschäftsziele nötig sind.

Definition:
Der Begriff Kontrollen (controls) ist definiert als die Konzepte, Verfahren, Praktiken und Organisationsstrukturen, welche eine angemessene Gewissheit verschaffen, dass die Geschäftsziele erreicht und dass unerwünschte Ereignisse verhindert oder erkannt und korrigiert werden.

Was verstehen Sie unter Kontrollziel?

Kontrollziel = control objective --> Ziel, welches durch die Kontrollen erreicht werden soll.

Definition:
Ein Kontrollziel (control objective) ist eine Aussage zum gewünschten Resultat (Zweck), das mit der Implementierung von Kontroll(verfahr)en in einer bestimmten Aktivität erreicht werden soll.

Objective vs Target:

  • Objective ist ein Teilziel
  • Target ist ein globales Ziel

Nenne Sie 5 Schlüsseldokumente eines Projektzyklus.

Melde dich an, um Bilder anzusehen.

  • Machbarkeitsstudie
  • Pflichtenheft
  • Wirtschaftlichkeitsanalyse
  • Integration
  • Anforderungen
  • IKS-Konzept (internal control system Konzept) (Zugriff, Kontrollen, Archivierung, Notfallplan, usw.)
  • Systemarchitektur
  • Tests (Testplan und Dokumentation)
  • Definitive Abnahme durch die Benutzer
  • Schlussbilanz

Welche IS-Ziele sollen mit einem Unternehmen z.B. erreicht werden?

  • Effektivität (Minimaler Einsatz, maximaler Output)
  • Effizienz (Output möglichst schnell erreichen)
  • Compliance
  • CIA (Confidentiality, Integrity, Availability)

Lernen