ISOA
Information Security Organisatorische Aspekte - HSLU
Information Security Organisatorische Aspekte - HSLU
Kartei Details
| Karten | 80 |
|---|---|
| Sprache | Deutsch |
| Kategorie | Informatik |
| Stufe | Universität |
| Erstellt / Aktualisiert | 17.06.2019 / 20.01.2021 |
| Weblink |
https://card2brain.ch/box/20190617_isoa
|
| Einbinden |
<iframe src="https://card2brain.ch/box/20190617_isoa/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
was sind Beispiele für nicht-vorsätzliche Gefärdungen (3)?
- Naturgewalt
- Ausfall vom Strom oder Telekommunikation
- Technische Pannen z.B. Fehler in HW oder SW
Was sind Beispiele für vorsätzliche Gefährdungen / Bedrohungen? (5)
- Maleware
- Informationsdiebstahl
- Angriffe
- Wirtschaftsspionage
- Missbrauch der IT-Struktur
Wer sind mögliche Täter für vorsätzliche Gefährdungen?
- Frustrierte Mitarbeiter
- Geheimdienst
- Industriespionage
- Hacker/Cracker
- Whistleblower
- Administratoren
- Fremdpersonal
- Softwareentwickler
Welche Organisatorische Schwachstellen kann es in der IT-Sec geben? (7)
- Fehlendes Sicherheitsverständnis des Managements
- Unkalre Verantwortlichkeiten
- Ungenaue oder fehlende Abläufe / Prozesse
- Mangelhafte Richtlinien
- Fehelende Strategie oder Konzept
- Mangelhafte Awerness der Mitarbeiter
- Fehlende Kontrolle
Welche Arten Technischen Versagens können zu Incidents führen?
- Ungenügende Wartung
- Nicht funktionierende Überwachungssysteme
- Falsch dimensionierte Systeme
- Fehlerhafte Konfigurationen
- Fehlerhafte Applikationen
Wer ist für den Schutz von Informationen und die IT-Security verantwortlich?
Management
Was passiert, wenn die IT-Security ignoriert wird und nichts gemacht wird?
- Kompletter Datenverlust führt in über 50% der Fälle zum Konkurs innert 24 Monaten
- Die Beschaffung und der Aufbau eines Standard-Ersatzsystemes dauert mind. 36h
- Datendiebstahl
- Kommen vertrauliche Daten an die Öffentlichkeit --> Image-Verlust
- Verletzung rechtlicher Vorgaben --> rechtliche Folgen
- Verletzung der Sogfaltspflicht
Was nützt die Informationssicherheit?
- Geringere Verwundbarkeit
- Keine falsche Sicherheit
- Bewusster Umgang mit Informationen
- Gefahren kennen
- Bewusstes Eingehen von Risiken
- Sorgfaltspflicht ist erfüllt
Wie sollte der Aufbau der IT-Sicherheit angegangen werden?
- Management ins Boot holen
- Prozesse der Informationssicherheit etablieren
- Verantwortlichkeiten festlegen
- Sicherheit umfassend betrachten
- Schrittweise und tetig umsetzen
Was ist ein ISMS?
die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
Was beschreiben die Standards ISO 27000 - 27007
- ISO 27000 - Overview & Vocabulary
- ISO 27001 - Requirements
- ISO 27002 - Code of Practice
- ISO 27003 - Implementation Guidance
- ISO 27004 - Measurement
- ISO 27005 - Risk Management
- ISO 27006 - Certification Body Requirements
- ISO 27007 - Audit Guidlines
Was wird im ISO 27000 abgedeckt?
- Begriffe, welche in der ISO 27000-Reihe verwendet werden
- Was ein ISMS ist
- Erklärt Plan-Do-Check-Act
- Überblick über die ISO 27000 Reihe
Was wird im ISO 27001 abgedeckt?
- Definiert Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten ISMS
- Definiert den Sicherheitsprozess nach Plan-Do-Check-Act
- Definiert Ziele und Massnahmen zur Verbesserung der Informationssicherheit
Was definiert der ISO 27002 Standard?
Steuerungsmassnahmen für den sicheren Umgang mit Informationen. Zur jeder Massnahme sind Umsetzungsanleitungen angegeben
(114 Massnahmen in 14 Gebieten)
Was wird im ISO 27003 definiert?
Anleitung für die Entwicklung eines Implementationsplans für ein ISMS
Wie hoch ist der geschätzte Aufwand für den Aufbau eines ISMS in einer Firma mittlerer Grösse?
12-18 Monate, mehrere tausend Franken
Was ist im ISO 27004 beschrieben?
Eine Anleitung für die Implementation eines Messsystems für die Beurteilung der Effektivität eines ISMS
Was entählt der ISO 27005?
Anleitung für ein Information Security Risk Management
Welche Risikomanagement-Methode kann mit dem 27005 verwendet werden?
Jede
Wofür steht BSI?
Bundesamt für Sicherheit in der Informationstechnik
Was ist der BSI?
Eine unabhängige und neutrale Stelle für Fragen der Informationssicherheit in der Informationsgesellschaft
Was beschreiben/enthält die BSI-Standards?
Die Vorgehensweise nach IT-Grundschutz
Ausführungen zum Informationssicherheitsmanagement und zur Risikoanalyse
Welche BSI Standards gibt es und welche Themen beinhalten diese?
- BSI 200-1
- ISMS
- BSI 200-2
- IT-Grundschutz Methodik
- BSI 200-3
- Risikoanalyse
- BSI 100-4
- Nofallmanagement
Was ist die Idee des IT-Grundschutzes?
Da die Abläufe und IT-Komponenten überall gleich sind, kann darauf ein Gerüst für das Sicherheitsmanagements erstellt werden.
Infrastrukturelle, organisatorische, personelle und technische Standard-Sicherheitsmassnahmen helfen, ein Standard-Sicherheitsniveau aufzubauen, um geschäftsrelevante Informationen zu schützen
Was sind die zentralen Aspekte des IT-Grundschutzes?
- Wiederverwendbarkeit
- Anpassbarkeit
- Erweiterbarkeit
Welche 5 Bausteine beinhaltet der IT-Grundschutz?
- Übergreifende Aspekte
- Infrastruktur
- IT-Systeme
- Netze
- Anwendungen
Nach welchem ISO Standard kann eine Firma sich zertifizieren lassen?
ISO 27001
Was sind die groben Inhalte des IT-Grundschuz Kataloges?
Gefährdungskataloge
IT-Grundschutz Bausteine
Massnahmenkataloge
Was nutzt der IT-Grundschutzkatalog überhaupt?
Aufwand für die Entwicklung eines Sicherheitskonzepts wird reduziert
Was ist der Vorteil vom BSI gegenüber dem ISO?
Didaktisch sehr einfach
Wer ist die Zielgruppe des BSI 200-1?
Das Management
Was definiert der BSI 200-1?
Allgemeine Anforderungen an ein ISMS
Was beschreibt der BSI 200-2?
Den Aufbau und Betrieb eines ISMS in der Praxis
Was beinhaltet der BSI 100-4?
Methodik zur Etablierung und Aufrechterhaltung eines unternehmenweiten, internen Notfallmanagements
Welche 5 Funktionen beinhaltet NIST?
- Identify
- Protect
- Detect
- Respond
- Recover
Was sind wichtige Dokumente in der Informationssicherheit? (11)
- Gesetzliche Grundlagen
- Regulatorische Vorgaben
- Standards
- Frameworks
- Mission Statement der Firma
- Strategie der Firma und IT
- Strategie der Infrmationssicherheit
- Information Security Policy
- Issue Specific Policy
- System Specific Policy
- Guidlines
Warum sollte ein unternehmen eine schriftliche IS-Policy haben?
Um zu demonstrieren dass:
- Die Firma InfSec und Datenschutz ernst nimmt
- Die Firma systeme vorhält, die sie besser schützt
- Es eine klare Abstimmung zwischen IS und Gl gibt
- Eine gezielte Strategie verfolgt wird
- eine Wirkungsvolle Organisation aufgebaut wird
- Genügend Finanzen und Ressourcen vorhanden sein müssen
Welche Punkte sollten bei der korrekten Handhabung der Daten im Information Lifecycle beachtet werden?
Der Wert der Daten ist durch die Kennzeichnung auch in nachgelagerten Prozesschritten des ILC ersichtlich
Die korrekte Handhabung sensibler Daten und Informationen wird technisch unterstützt
Die Sensitivität der Information im ILC wird durch eine Versionshistorie transparent dokuementiert.
Was sind die Funktionen eines Document Classification Tools?
- Definition und Einrichtung der Vertraulichkeitsklassen
- Klassifizierung von Words, Excels und Powerpoints bei der Erstellung
- Kennzeichnung von Dokuementen, Tabellen und Präsentationen bei der Erstellung
- Versionshistorie für die Umstufung von Dokumenten im Information Life Cycle
- Entwurfskennzeichnung in Microsoft Word
- Zweisprachig
- Zentrales Management, Konfiguration über Policy Management
- Optimale Zusammenarbeit mit E-Mail Classification
- Verteilung durch Group Policies über Microsoft Active Directory
Nenne 4 Klassische Vertraulichkeitsstufen
- Public
- Internal
- Vertraulich
- Streng vertraulich
