c2b_default

IT Sicherheit

IT Sicherheit Abschlussklausur

IT Sicherheit Abschlussklausur

52
0.0 (0)

Kartei Details

Karten 52
Sprache Deutsch
Kategorie Informatik
Stufe Universität
Erstellt / Aktualisiert 19.07.2019 / 23.07.2019
Weblink
https://card2brain.ch/box/20190719_it_sicherheit
Einbinden
<iframe src="https://card2brain.ch/box/20190719_it_sicherheit/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
Lernen

Bewertung der Leistung

Internes Audit

  • In geplanten Abständen durchführen
  • Ziele:
    • Konformität mit eigenen Anforderungen ISMS und ISO 27001
    • Effektive IMplementierung und Aufrechterhaltung
  • Planung, Festlegung, Implementierung und Aufrechterhaltung eines Auditprogramms
  • Inhalt Auditprogramm:
    • Auditmethode
    • Häufigkeit
    • Verfahren
    • Zuständigkeiten
    • Planungsanforderungen
    • Berichterstattung
  • Im Auditprogramm muss:
    • Bedeutung der betroffenen Prozesse
    • Ergebnisse vorangegangener Audits berücksichtigt werden
    • Festlegung Auditkriterien und Geltungsbereich
    • Auswahl Auditoren
    • Durchführung von Audits zur Sicherstellung der Objektivität und Unparteilichkeit
  • Ergebnisse der relevanten Leitung melden
  • Dokumentation des Programms und der Ergebnisse

Bewertung der Leistung

Management Review

  • Pflicht der obersten Leitung (Vorstand, GF, Top Management,...)
  • In planmäßigen Abständen bewerten
  • Angemessenheit prüfen
  • Wirksamkeit um sicherstellen
  • Folgende Aspekte berücksichtigt:
    • Maßnahmen aus vorangegangenen Managementbewertungen
    • Veränderungen von externen und internen Vorgängen
    • Umgang mit Fehlern und deren Korrekturmaßnahmen
    • Rückmeldung zu Überwachung und Messergebnissen
    • Umgang mit Auditergebnissen
    • Status zu Informationssicherheitszielen
    • Rückmeldung der interessierten Parteien
    • Ergebnisse der Risikobewertung und Status der Risikobehandlung
    • Möglichkeiten zur Verbesserung
  • Ergebnisse der Managementbewertung müssen Entscheidungen enthalten
  • Managementbewertung muss ggf. Aussagen zu erforderlichen Änderungen am ISMS beinhalten
  • Dokumentierte Informationen zum Nachweis der Managementbewertung
  • Einmal jährlich laut DAkkS
  • Risiken und Chancen nicht vergessen!

Verbesserung

Fehler und Korrekturmaßnahmen

  • Umgang mit Fehlern regeln
  • Auf Fehler reagieren
  • Mit Auswirkungen des Fehler auseinandersetzen
  • Maßnahmen ergreifen
  • Fehler beseitigen
  • Fehlerursachen ermitteln
  • Fehler zukünftig vermeiden
  • Fehler bewerten
  • Korrekturmaßnahmen bewerten, Wirksamkeit prüfen
  • Ggf. Änderungen am ISMS umsetzen
  • Korrekturmaßnahmen müssen geeignet sein
  • Dokumentierte Informationen zum Nachweis
    • Art der Fehler, ergriffene Maßnahmen, Ergebnisse der Korrekturmaßnahmen

Verbesserung

Laufende Verbesserung

Das Unternehmen muss sein Informationssicherheitsmanagementsystems laufend verbessern, d.h. es muss auch zukünftig geeignet, angemessen und wirksam sein

Anhang Annex A

Physische IT-Sicherheit

  • Physische Sicherheit, Umgebungssicherheit
  • Zutrittsüberwachung
    • Türsensoren
    • Kameras
    • Bodensensoren

Annhang Annex A

Sicherheitspolitiken

  • Muss festgelegt und genehmigt werden
  • Für alle zugänglich sein
  • Regelmäßig geprüft und bei Änderungen angepasst werden
  • Auf Angemessenheit und Wirksamkeit überprüft werden

Annhang Annex A

Organisation der Sicherheit

  • Zuständigkeiten festlegen
  • Rollen, Befugnisse und Verantwortlichkeiten festlegen und kommunizieren
  • Getrennte Verantwortlichkeiten (IT-Leiter darf nicht ISB sein)
  • Kontakt zu Behörden (z.B. BSI)
  • Kontakt zu Interessengruppen pflegen
  • Sicherheitspolitik bei Mobile Devices
    • Smartphones, Tablets, Laptop, Smart Watch, externe Festplatte, Wechseldatenträger
  • Nutzungspolitik bei Telearbeitsplätzen
    • Home Office oder Remote Arbeit

Anhang Annex A

Sicherheit des Personals

  • Überprüfung von
    • Herkunft
    • Einklang mit dem Gesetz (Führungszeugnis)
  • Einstufung der Risiken
  • Mitarbeiter auf ISM, Geheimhaltung und Datenschutz verpflichten
  • Management muss Mitarbeiter und Vertragspartner anhalten ISM-Politik anzuwenden, z.B. über Verträge und Audits

Annhang Annex A

Schulung des Personals

  • Schulung
    • Richtlinien, Prozesse, Verfahren
  • Gestaltung der Schulungen
    • Rollenspezifisch
    • Motivierend
    • Regelmäßig und/oder bei Änderungen (je Unternehmen → 2x oder mehr pro Jahr?, Neue Mitarbeiter → Ersteinweisung)
    • Nachweise (Urkunde)
    • Interne und externe Schulungen
  • Schulungsarten:
    • e-Learning
    • Workshops
    • Lesen
    • Mentoring
    • Consulting
    • Vortrag
  • Wie können die Mitarbeiter überprüft werden?
    • Stichproben → Besuch am Arbeitsplatz (Audit)

Anhang Annex A

Sicherheit des Personals

  • Maßregelungsprozess für ISM-Verstöße
  • Verantwortung und Pflicht auch nach dem Arbeitsende hinaus müssen definiert, überwacht und durchgesetzt werden

Anhang Annex A

Assetmanagement

  • Assets ermitteln und Inventarverzeichnis erstellen
  • Regeln für Gebrauch und Verantwortliche für Assets festlegen und dokumentieren
    • z.B. muss ein Mitarbeiter seinen Arbeitslaptop wieder zurückgeben?
  • Assets sind nach Ihrem Wert zu klassifizieren:
    • Informationen
    • Arbeitsplatz Ausstattung
    • Warenbestand (Material)
    • IT-Infrastruktur
    • Know-How der Mitarbeiter
    • Gebäude
  • Schutzklassen
    • Vertraulich
    • Intern
    • Öffentlich

Anhang Annex A

  • Assetmanagement

  • Zugriffspolitik
  • Zugriffsüberwachungspolitik
  • Benutzerrechteverwaltung
  • Sonderzugriffsrechte
    • z.B. 15 Admins → 1x Super Admin (Sonderzugriffsrechte)
  • Zugriffe für Systeme
    • Anwendungen, die Systemüberwachungen umgehen können, müssen eingeschränkt und überwacht werden
    • Zugriffsbeschränkung auf Software/Quellcode
    • Wie kann diese Beschränkung geschützt werden?
      • PGP (Public Key und Private

Lernen