c2b_default

IT Sicherheit

IT Sicherheit Abschlussklausur

IT Sicherheit Abschlussklausur

52
0.0 (0)

Kartei Details

Karten 52
Sprache Deutsch
Kategorie Informatik
Stufe Universität
Erstellt / Aktualisiert 19.07.2019 / 23.07.2019
Weblink
https://card2brain.ch/box/20190719_it_sicherheit
Einbinden
<iframe src="https://card2brain.ch/box/20190719_it_sicherheit/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
Lernen

Wie werden Informationen definiert?

  • Informationen sind Aktivposten (Asset)
  • Gilt es zu schützen
  • Formen: Papier, elektronisch, Film, Gesprochen

Wie werden Assets definiert?

  • Alles, was für eine Organisation von Wert ist (materiell und immateriell)

Wie werden Audits definiert?

  • Bei diesen Gesprächen werden Arbeitsabläufe, Prozesse, Fertigungsverfahren, Richtlinien und Standards betrachtet
  • Ziel ist es, Verbesserungspotentiale und Abweichungen zu erkennem

Wie wird ein Nachweis definiert?

  • Darlegung eines Sachverhalts auf Richtigkeit einer Behauptung und Bestätigung einer Vermutung

Wie wird die IT-Sicherheit definiert?

  • Elektronisch gespeicherte Informationen und IT-Systeme
  • Nicht nur Schutz der technischen Verarbeitung
  • Fehlerfreies Funktionieren und Zuverlässigkeit der IT-Systeme

Wie wird die Informationssicherheit definiert?

  • Ziel: Schutz von Informationen
  • Alle Informationen: Digital + Analog (mit und ohne Personenbezug)

Wie wird die Datensicherheit definiert?

  • Schutz von Daten aller Art (mit und ohne Personenbezug)
  • Digitale und analoge Daten
  • Schutz vor Manipulation, Verlust, unberechtigter Kenntnisnahme

Wie wird der Datenschutz definiert?

  • Nur personenbezogene Daten
  • Jeder Bürger hat das Recht auf informationelle Selbstbestimmung und Schutz vor missbräuchlichen Verwendung seiner Daten
  • Dürfen die Daten überhaupt verarbeitet werden?

Warum sollte eine Information Security Management Software (ISMS) eingesetzt werden?

Vorteile für ein Unternehmen, Beweggründe dafür, etc.

  • Gesetzliche Vorgaben einhalten: IT Sicherheitsgesetz, DSGVO, TKG, TMG
  • Vertrauen gegenüber Kunden
  • Sicherheit, Geheimnisse bewahren
  • Kundenanforderung
  • Strukturierte Prozesse und Abläufe
  • Positiver Effekt für das Marketing (damit man nicht negativ auf Heise landet..)
  • Sanktionen und Präventionen
  • Wissensvorsprung durch Informationen ist ein Wettbewerbsvorteil

Information Security Management Software

Warum ISO 27001 dazu verwenden?

  • Vergleichbarkeit
  • “Rezeptbuch” für die wichtigsten Vorgaben, Technologien, Prozesse für IT-Sicherheit
  • Geprüfte Standards

Information Security Management Software

Warum ISO 27001:2013?

  • Sicheres Informationsmanagement
  • Spezifiziert Anforderungen eines ISMS unter Berücksichtigung der Risiken des Unternehmens
  • Entwickelt, um die Auswahl geeigneter Sicherheitsmechanismen aller Unternehmenswerte in den Geschäftsprozessen sicherzustellen

Nenne die Schutzziele und gib eine kurze Definition ab

  • Vertraulichkeit
    • Nur befugte Personen haben Zugang zu Daten, Systemen, Konfigurationen, etc.
  • Integrität
    • Daten und Systeme sind korrekt, unverändert bzw. verlässlich
    • Beispiel für einen Angriff auf die Integrität: Empfänger erhält eine andere Nachricht, als die vom Sender versandte
  • Authentizität
    • Echtzeit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung
    • Beispiel für einen Angriff auf die Authentizität: Unbefugte Erzeugung einer Nachricht unter einer falschen Identität
  • Verfügbarkeit
    • Daten und IT-Systeme müssen bei Bedarf für autorisierte Personen zur Verfügung stehen
    • Beispiel für einen Angriff auf die Verfügbarkeit: Unbefugte Unterbrechung, z.B. durch Ausfall von Servern oder Kommunikationsmitteln

Kontext der Organisation

Welche Aspekte fallen unter den Kontext einer Organisation?

  • Branche, in der das Unternehmen tätig ist
  • Regional/lokal, national, global agierend
  • Ermittlung externer und interner Aspekte, welche sich auf Fähigkeiten des Unternehmens im Bezug auf das ISMS auswirken
    • Externe Aspekte:
      • Marketinganalyse (Märkte, Zielgruppe, Branche, etc.)
      • PEST-Analyse (political, economical, social, technological)
    • Interne Aspekte:
      • Kernkompetenz
      • Portfolio
      • Kostenstruktur
      • Kundenzufriedenheit
  • Dauerhaftes Überwachen und Überprüfen der Aspekte

Kontext der Organisation

Welche Parteien sind im Hinblick auf das ISMS relevant?

  • Externe Parteien
    • Kunden
    • Lieferanten
    • Staat
  • Interne Parteien
    • Mitarbeiter
    • Manager
    • Eigentümer
  • Anforderungen
    • explizit (Angebot, Vertrag, Lastenheft)
    • implizit (rechtlich normativ, stillschweigend vorausgesetzt, etc.)
    • selbst auferlegt

Kontext der Organisation

Was ist der Anwendungsbereich des ISM?

  • Gestaltungsbereich festlegen
    • Für wen gilt das ISMS?
    • Unternehmen, Abteilung, Organisationseinheit, etc.
  • Schnittstellen und Abhängigkeiten definieren
  • in dokumentierter Form zusätzlich
    • Themen aus “Organisation und ihr Kontext” berücksichtigen
    • Anforderungen aus “Interessierte Parteien” berücksichtigen
    • Ausschlüsse begründen
    • Link zu A.18 Compilance

Kontext der Organisation

ISM-System und Prozesse

  • ISMS implemeneren
  • Prozesse implemeneren
  • Risikobetrachtung (siehe 6.1 Risikomanagement)
  • Prozesseingaben und erwartete Ergebnisse
  • Verantwortungen und Befugnisse

Führung

Führung und Verpflichtung

Verantwortlich für

  • Effektivität des ISMS
  • Vermittlung der Bedeutung
  • Auswahl, Anleitung und Unterstützung des ISM-relevanten Personals
  • Ermittlung und Erfüllung der Kunden- und rechtlichen Anforderungen
  • Risikomanagement
  • Link zu A.5.1/A.5.2

Führung

ISMS-Politik

zusätzlich

  • muss für relevante interessierte Parteien verfügbar sein, soweit angemessen (z. B. Webseite, Intranet, Firmenbroschüre, ...)
  • muss die strategische Ausrichtung unterstützen (siehe 4.1)
  • Link zu A.5. ISMS-Policy

Führung

Welche Rolle, Verantwortung und Befugnis gibt es?

  • Oberste Leitung muss
    • sicherstellen, dass zugewiesen
    • sicherstellen, dass bekannt
    • sicherstellen, dass verstanden
    • Link zu A.6.1. Organisation der Sicherheit
  • Rollen
    • Product Owner
    • Scrum Master
    • Kunde
    • HR-Manager
    • IT-Admin
    • Sicherheitsbeauftragter (IT, Arbeitssicherheit, elektr. Sicherheit, etc.)
    • ISB
    • DSB
  • Was braucht man um eine Rolle zu definieren?
    • Aufgaben, Zuständigkeit, Verantwortung, Skills

Planung

Welche Risiken gibt es beim Risikomanagement und welche Maßnahmen kann man jeweils durchführen?

  • Operative Risiken
    • FMEA
    • Pareto-Chart
    • Risikobuchhaltung/-register
  • Strategische Risiken
    • Szenarioanalyse
    • Business Wargaming
    • Delphi-Studien

Planung

Was ist die Definition von Risiko?

Melde dich an, um Bilder anzusehen.

  • Nur in direktem Zusammenhang mit der Planung eines Unternehmens interpretierbar
  • Abweichungen von geplanten Zielen stellen Risiken dar (positiv - Chancen, negativ - Gefahren)
  • Quantifizierbar (Messbar) und Qualifizierbar (Weiche Faktoren)

 

Planung

Was ist ein Risikoeigner?

 

Person oder Stelle mit der Verantwortung und Befugnis hinsichtlich eines Risikos zu handeln

 

Planung

Wie ist das Risikopotential definiert?

Faktor, der sich zusammensetzt aus der Möglichkeit des Eintritts eines Risikos und der zu erwartenden Schadenshöhe

Planung

Wie ist die Risikobewältigung definiert?

  • Vermeidung
  • Überwälzung (Versicherung, Outsourcing, etc.)
  • Reduzierung (4-Augen-Prinzip, etc.)
  • Akzeptanz (Ständige Überwachung)

Nenne und Definiere die Lines of Defence

  • 1st line of defence
    • Operatives Management
    • Risiken bewerten, überwachen, minimieren
  • 2nd line of defence
    • Interne Regularien und Aktivitäten bestimmter Abteilungen (IT, Quality, etc.)
    • Spezialisten unterstützen Risikoeigner in der Risikobehandlung
  • 3rd line of defence
    • Interne Audit und Überprüfungen

Wie sieht die Risiko Wirkungskette aus?

Melde dich an, um Bilder anzusehen.

Was sind die Gründe und Ursachen (interne und externe Faktoren) der Risiko Wirkungskette?

 

  • Kundenanforderungen
  • Neue Geschäftsidee, Produkte, Branchen
  • Aktionen der Wettbewerber
  • Interessen der Stakeholder
  • Maschinendefekt
  • Brandschäden

Nenne die Gefahrenpotentiale sowie ein paar Beispiele

  • Bedrohungskategorien
    • Hacking und Manipulation
    • Terroristische Akte
    • Naturgefahren
    • Identitätsmissbrauch
    • Schadprogramme
  • Schwachstellenkategorien
    • Organisatorische Mängel
    • Technische Schwachstellen (Software, Hardware, Firmware)
    • Menschliches Versagen
    • Infrastrukturelle Mängel

Wie sieht der Risikoprozess aus und welche Methoden können angewendet werden?

Melde dich an, um Bilder anzusehen.

  • FMEA
    • Failure Mode and Effect Analysis
  • FTA
    • Fault Tree Analysis
  • Pareto-Chart
    • Säulendiagramm
    • Dient zur Bewertung von Risiken, welche die höchste Bedeutung haben

Welche Planungsziele gibt es?

  • Detaillierte Angaben, wie Ziele erreicht werden sollen
  • Ressourcen
  • Termin
  • Verantwortung
  • Bewertungskriterien und -verfahren
  • SMART
    • Specific
    • Measurable
    • Accepted
    • Reasonable
    • Time-bound

Unterstützung

Ressourcen

  • Erforderliche Ressourcen ermitteln
  • Erforderliche Ressourcen bereitstellen
  • Ressourcen können sein
    • Finanziell, materiell, personell, immaterielle
  • Beschränkungen und Fähigkeiten der Ressourcen (auch zeitlich, Kapazitätsplanung!)

Unterstützung

Kompetenz

  • Kompetenz = Wissen anwenden können
  • Bedarf ermitteln
  • Angemessen schulen und ausbilden
  • Wirksamkeit der Maßnahmen prüfen
  • Kompetenznachweise sammeln
  • Link zu A.7 Sicherheit des Personals

Unterstützung

Bewusstsein

  • Sensibilisierung für ISMS
  • Mitarbeiter müssen die Richtlinien kennen und anwenden
  • Mitarbeiter müssen die Konsequenzen aus Nichteinhaltung kennen

Unterstützung

Kommunikation

  • Interne und externe Kommunikation regeln
    • worüber, wann, mit wem, wie, wer
  • Kommunikaonsprozess festlegen

Unterstützung

Kommunikation

  • Keine Unterscheidung nach Begriffen (Dokument vs. Aufzeichnung)
  • Dokumentiertes Verfahren – Konfigurationsprozess – Configuration management
    • Muss sicherstellen, dass: Kennzeichnung, Medium, Freigabe, Tauglichkeit
  • Link zu A.8. Assetmanagement und zu A.18.Compliance

Unterstützung

geforderte dokumentierte Informationen

  • Generell
    • Was immer zur Unterstützung der Prozessdurchführung erforderlich ist
    • Was immer für die Wirksamkeit des ISMS als notwendig erachtet wird
  • Speziell
    • Politik
    • Entwicklungsaufzeichnungen
    • Rückverfolgbarkeit
    • Durchführung und Ergebnisse interner Audits
    • Aufzeichnung zur Freigabe

Betrieb

Betrieb, Planung, Steuerung

  • Einhaltung der Informationssicherheit
  • Implementierung der gemäß 6.1 festgelegten Maßnahmen und erforderlichen Prozesse
  • Prozesse zur Erreichung der gemäß 6.2 festgelegten Informationssicherheitsziele implementieren
  • Planmäßige Änderungen überwachen und Auswirkungen ungeplanter Änderungen prüfen, inkl. Risikomanagement
  • Ausgelagerte Prozesse festlegen und überwachen

Betrieb

ISM Risikobewertung

 

  • In geplanten Abständen oder bei Änderungen eine Informationssicherheitsrisikobewertung vornehmen
  • Die unter 6.1.2 festgelegten Kriterien berücksichtigen

Betrieb

ISM Risikobehandlung

  • Plan für die Informationssicherheitsrisikobehandlung implementieren
  • Dokumentierten Informationen zu den Ergebnissen der Informationssicherheitsrisikobehandlung aufbewahren

Bewertung der Leistung

Überwachung, Messung, Analyse und Auswertung

  • Leistung des ISMS und Wirksamkeit auswerten
  • Folgendes ermitteln:
    • Notwendige zu überwachende/messende Aspekte
    • Mess- und Überwachungsprozesse und Maßnahmen
    • Die Methoden zur Überwachung, Messung, Analyse und Auswertung
    • Den Zeitpunkt der Überwachung/Messung
    • Die zuständigen Personen
    • Zeitpunkt für die Analyse und Auswertung der Ergebnisse
  • Organisation muss angemessene Dokumentation aufbewahren

Lernen