IT Securtiy
IT Security
IT Security
Kartei Details
| Karten | 61 |
|---|---|
| Sprache | Deutsch |
| Kategorie | Informatik |
| Stufe | Universität |
| Erstellt / Aktualisiert | 20.07.2019 / 18.01.2024 |
| Weblink |
https://card2brain.ch/box/20190720_it_securtiy
|
| Einbinden |
<iframe src="https://card2brain.ch/box/20190720_it_securtiy/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Was ist unter Informationen zu verstehen und in welcher Form können diese vorliegen?
- Informationen sind Wertgegenstände (Assets)
- Informationen gilt es zu schützen
- Informationen können in folgender Form vorliegen:
- Papier
- Elektronisch
- Brief
- Film
- Gesprochen
Welche internen Anforderungen gibt es?
- Schäden und Auswirkungen
- Ereignisse und Vorfälle
- Auditberichte
- Ideen und Vorschläge
Welche externen Erwartungen gibt es?
Neue und bestehende Gesetze, Kundenanforderungen, Technologien, Bedrohungen
Wie können Verbesserungen eingeführt werden?
- Anfangs haben wir eigene Normen und Standards, die durch einen (KVP) Kontinuierlichen Verbesserungsprozess (Plan, Do, Check, Act) die Rahmenbedingungen (Sozial und Technisch) hin zur ISO 27001 verbessern.
Warum sollte ein Information Security Management System (ISMS) eingesetzt werden?
- Gesetzliche Vorgaben werden eingehalten z.B. DSGVO
- Mehr Vertrauen des Kunden
- Organisiert die Informationen im Unternehmen
- Sicherheit, Geheimnisse bewahren
- Kundenanforderungen
- Strukturierte Prozesse und Abläufe
- Wissensvorsprung ist ein Wettbewerbsvorteil
Weshalb sollte die ISO 27001 eingesetzt werden?
- Es ist ein "Rezeptbuch" für die wichtigsten Vorgaben, Technologien, Prozesse der IT-Sicherheit
- Es handelt sich hierbei um geprüfte Standards
- Ist ein Modell für ein sicheres Informationsmanagement
- Spezifiziert die Anforderungen eines ISM unter Berücksichtigung der Risiken eines Unternehmens
Was ist unter IT-Sicherheit zu verstehen?
- Es handelt sich um elektronisch gespeicherte Informationen und IT-Systeme
- Es geht nicht nur um den Schutz der technischen Verarbeitung, sondern auch um ein fehlerfreies Funktionieren und die Zuverlässigkeit der IT-Systeme.
- Es ist ein Teil der Informationssicherheit
Was ist unter Informationssicherheit zu verstehen?
- Zielt auf den Schutz von Informationen ab (analog und digital).
- Hiermit sind alle Informationen (mit und ohne Personenbezug) gemeint.
- Datensicherheit ist Teil der Informationssicherheit
Was ist unter Datensicherheit zu verstehen?
- Bezeichnet den Schutz von Daten jeglicher Art (mit und ohne Personenbezug / digital oder analog)
- Die Daten müssen vor Manipulation, Verlust oder unberechtigter Kenntnisnahme geschützt werden.
Was ist unter Datenschutz zu verstehen?
- Es geht um den Schutz der Privatsphäre eines jeden Menschen (personenbezogene Daten)
- Jeder Mensch hat das Recht selbst zu bestimmen was mit seinen Daten geschieht sowie das Recht auf Schutz vor missbräuchlicher Verwendung der Daten
- Es wird also nachgefragt ob die Daten überhaupt verarbeitet werden dürfen.
Welche Schutzziele gibt es?
- Vertraulichkeit - bedeutet, dass Daten nur befugten zugänglich zu machen sind
- Integrität - bedeutet, dass Daten/Systeme korrekt, unverändert und verlässlich sind
- Authenzität - bedeutet die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung
- Verfügbarkeit - bedeutet, dass Daten und IT-Systeme zur Verfügung stehen und von autorisierten Personen genutzt werden
Was sind Assets?
- Alles, was für eine Organisation von Wert ist (materiell und immateriell)
Was sind Informationen?
- Ist eine Teilmenge an Wissen die ein Absender einem Empfänger mittels Signalen über ein bestimmtes Medium vermitteln kann.
Was ist unter Audit zu verstehen?
- Bei einem Audit werden Arbeitsabläufe, Prozesse, Fertigungsverfahren, Richtlinien und Standards betrachtet.
- Ziel des Audits ist es, Verbesserungspotenziale und Abweichungen von den Vorgaben zu identifizieren.
Definiere den Begriff Risiko.
- Risiken sind immer nur in direktem Zusammenhang mit der Planung eines Unternehmen zu interpretieren
- Mögliche Abweichungen von Zielen stellen Risiken dar – sowohl negative „Gefahren“ als auch positive Abweichungen „Chancen“
Was sind quantifizierte Risiken?
- Führen zu einem messbaren Vermögensschaden
Was sind qualifizierbare Risiken?
- Hierbei handelt es sich um quantifizierbare Risiken wie Mitarbeiter- oder Kundenzufriedenheit
Erkläre die 3 line of defence's
- 1st line of defence - Operatives Management hat Befugnisse Risiken zu bewerten, überwachen und minimieren
- 2nd line of defence - Interne Regelung und Aktivitäten bestimmter Abteilungen (z.B. It, Risiko Management)
- 3rd line of defence - Interne Audits und Überprüfungen
Was sind Risikoeigner?
- Ist eine Person/Stelle mit der Verantworung und Befugnis hinsichtlich eines Risikos zu handeln
Was beschreibt das Risikopotenzial?
- Ist ein Faktor, der sich zusammensetzt aus der Möglichkeit des Eintritts eines Risikos und der zu erwartenden Schadenshöhe (Auswirkung)
Wie sieht die Risiko-Wirkungskette aus?
Was sind Gründe und Ursachen für Risiken?
- Kundenanforderungen
- Aktionen der Wettbewerber
- Neue Ideen
- Interessen der Stakeholder
- Maschinendefekt
- Brandschäden
Welche Gefahrenpotenziale gibt es?
- Bedrohungskategorien
- Hacking und Manipulation
- Terroristische Akte
- Naturgefahren
- Identitätsmissbrauch
- Schwachstellenkategorie
- Organisatorische Mängel
- Technische Schwachstellen
Wie sieht der Risikoprozess aus?
- Risiken identifizieren
- Risiken analysieren
- Risiken bewerten
- Risiken steuern
- Risiken berichten
Alles steht im gegenseitigen Austausch mit "Risiken überwachen"
Wie ist unter "Kontext einer Organisation" zu verstehen?
Die Organisaon muss ermieln, welche externen und internen Aspekte für ihren Zweck relevant sind und sich auf ihre Fähigkeit auswirken, die beabsichgten Ergebnisse ihres Informaonssicherheitsmanagementsystems zu erreichen.
- externe Themen
- Marketinganalyse (Märkte, Zielgruppe, Mitbewerber)
- PEST-Analyse (Political, Economical, Social, Technological)
- Interne Themen
- Kernkompetenz
- Portfolio
- Kostenfaktor
- Kundezufriedenheit
Die Organisation muss Folgendes ermitteln:
a) Interessierte Parteien die im Hinblick auf das ISMS relevant sind und
b) die Forderungen dieser Parteien in Bezug auf die Informationssicherheit.
beantworten Sie a) und b)
Interessierte Parteien und deren Forderungen ermitteln
- Extern
- Kunde
- Lieferant
- Gläubiger
- Staat
- Intern
- Mitarbeiter
- Manager
- Eigentümer
- Anforderungen
- Explizit
- Angebot
- Vertrag
- Lastenheft
- Implizit
- Rechtlich normativ
- stillschweigend vorausgesetzt
- Explizit
Wie setzt sich der Anwendungsbereich des ISM zusammen? (Was sind die Aufgaben?)
- Geltungsbereich festlegen, für wenn (welches Unternehmen, Abteilung, OrgEinheit) gilt das ISMS
- Schnittstellen und Abhängigkeiten definieren
Wie werden die ISM-Systeme und Prozesse eingeführt?
- ISMS implementieren
- Prozesse implementieren
- Risikobetrachtung
- Verantwortung und Befugnisse definieren
Für was ist der Schritt "Führung und Verpflichtung" verantwortlich?
Verantworlich für:
- Effektivität des ISMS
- Vermittlung der Bedeutung
- Auswahl, Anleitung, Unterstützung des ISM-relevanten Personals
- Ermittlung und Erfüllung der Kunden und rechtlichen Anforderungen
- Risikomanagement
Für wen muss die ISMS-Politik verfügbar sein und was muss diese unterstützen?
- muss für relevante interessierte Parteien verfügbar sein
- muss strategische Ausrichtung unterstützen
Wie werden Rolle, Verantworungen und Befugnisse vergeben und aus welchen Aspekten setzt sich eine Rolle zusammen?
- Oberste Leitung muss sicherstellen, dass eben diese zugewiesen, bekannt und verstanden sind
- Rolle hat: Aufgaben, Kompetenzen, Verantwortung
Welche Maßnahmen können zum Umgang mit Risiken (Risikomanagement) durchgeführt werden?
- Gefahren vermindern und Chancen verstärken
- Maßnahmen planen und Wirksamkeit bewerten
- Themen aus 4.1 und Anforderungen aus 4.2 berücksichtigen
Wie werden Ziele definiert und wozu dient die Planung?
- Detaillierte Angaben, wie Ziele erreicht werden sollen
- Planung von Ressourcen, Termin, Verantwortung, Bewertungskriterien und Verfahren
- Specific, Measurable, Accepted, Reasonable, Time-board
Was ist unter Ressourcen zu verstehen bzw. was wird in diesem Schritt getan?
In diesem Schritt werden erforderliche Ressourcen ermittelt und bereitgestellt
- Ressourcen können sein: finanzielle, materielle, personelle und imaterielle Ressourcen
- Beschränkungen und Fähigkeiten der Ressourcen (auch zeitlich, Kapazitätsplanung!)
Was ist unter Kompetenz zu verstehen?
Wissen anwenden können
- Bedarf ermitteln
- angemessen schulen und ausbilden
- Wirksamkeit der Maßnahmen prüfen
- Kompetenznachweise sammeln
Für was muss ein Bewusststein geschaffen werden?
- Sensibilisierung für ISMS
- Mitarbeiter müssen Richtlinien kennen und anwenden
- Mitarbeiter müssen die Konsequenzen aus Nichteinhaltung kennen
Wie wird die Kommunikation festgelegt?
- Interne und externe Kommunikation regeln
- Kommunikationsprozess festlegen
Was für Informationen müssen dokumentiert werden?
- Gefordert - Generell:
- Was zur Unterstützung der Prozessdurchführung erforderlich ist
- Was für die Wirksamkeit des ISMS als notwendig erachtet wird
- Spezifisch: Anwendungsbereich, Politik, Ziele, Entwicklungsaufzeichnungen, Aufzeichnungen zur Freigabe, Audits
Was muss während der "Planung des Betriebs" beachtet werden?
- Einhaltung der Informationssicherheit
- Implementierung der festgelegten (6.1) Maßnahmen und erforderlichen Prozesse
- Prozesse zur Erreichung der Ziele (6.2) implementieren
- planmäßige Änderungen überwachen und Auswirkungen ungeplanter Änderungen prüfen inkl. Risikomanagement
Wann muss eine Risikobewertung durchgeführt werden?
- In geplanten Abständen oder bei einer Änderungen, muss eine Informationssicherheitsrisikobewertung vorgenommen werden
