IT-SiBE lernen
IT Sicherheitsbeauftragter
IT Sicherheitsbeauftragter
Kartei Details
| Karten | 24 |
|---|---|
| Sprache | Deutsch |
| Kategorie | Informatik |
| Stufe | Andere |
| Erstellt / Aktualisiert | 15.09.2025 / 15.09.2025 |
| Weblink |
https://card2brain.ch/cards/20250915_itsibe_lernen
|
| Einbinden |
<iframe src="https://card2brain.ch/box/20250915_itsibe_lernen/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Schutzziele 2
Neben den in der Regel grundsätzlich sicherzustellenden Schutzzielen können ergänzend die nachfolgenden Schutzziele betrachtet werden
Authentizität
Daten können jederzeit ihrem Ursprung zugeordnet werden
Revisionsfähigkeit
Es kann jederzeit nachvollzogen werden, wer wann welche Daten verarbeitet hat
Transparenz
Verarbeitungstätigkeiten können nach vollzogen, überprüft und bewertet werden
Schutzziele
Datenschutzrecht Schutzziele
Die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen zielt insbesondere auf die Wahrung folgender Schutzziele ab
Vertraulichkeit
Nur berechtigte Personen sind in der Lage schutzwürdige Daten zu nutzen
Integrität
Daten können nicht unbefugt verändert, gelöscht oder hinzugefügt werden
Verfügbarkeit
Daten stehen zu definierten Zeitpunkten im definierten Umfang zur Verfügung
Was beschreibt die IT -Sicherheit / Datensicherheit
IT-SICHERHEIT / DATENSICHERHEIT "^
bezeichnet die Sicherstellung der Umsetzung angemessener technischer und infrastruktureller Maßnahmen, um Risiken, die insbesondere beim Einsatz von IT und TK aufgrund von Bedrohungen und Schwachstellen vorhanden sein können, auf ein angemessenes Maß zu reduzieren
(u. a. Installation einer Firewall, Einrichtung von Zutritts-, Zugangs- und
Zugriffsschutz oder Einrichtung von IDS- oder IPS-Systemen)
Was sind die getroffene Maßnahmen bei
Sicherheit der Verarbeitung
Pseudonymisierung und Verschlüsselung von pb Daten
• Sicherstellung der Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit)
Fähigkeit, Verfügbarkeit von pb Daten und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherstellen zu können (Business Continuity Management)
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit
• Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung f.. J verbunden sind (Risikoana/yse, DSFA
Genehmigte Verhaltensregeln gemäß Artikel 40 oder ein genehmigtes
Zertifizierungsverfahren gemäß Artikel 42 als Nachweis für geeignete TOM
Personenbezogene Daten
PERSONENBEZOGENE DATEN^Artikel 4 Punkt 1) sind alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person
Betroffene Person) beziehen (eine direkte oder indirekte Identifikation
mittels Zuordnung zu einer Kennung)
- Name, Vorname
- Kennnummer
- Standort-Daten
- Online-Kennung
physische physiologische genetische psychische wirtschaftliche kulturelle soziale
^
Was ist die BDSG?
Bundesdatenschutzgesetz neue Fassung (BDSG n. F.)
Anwendbarkeit ab 25. Mai 2018
Ersetzt das derzeit geltende Bundesdatenschutzgesetz alte Fassung (BDSG a. F.)
Zielsetzung:
Sicherstellung eines Zusammenspiels der DSGVO mit dem deutschen Datenschutzrecht (Umsetzung der spezifischen
Bestimmungen aus der DSGVO insbesondere durch das
BDSG n. F. (Öffnungsklauseln))
Was beschreibt der Datenschutz?
DATENSCHUTZ
beschreibt die Einhaltung der Anforderungen zur Sicherstellung der informationellen Selbstbestimmung
(Persönlichkeitsrecht) einer natürlichen Person und umfasst insbesondere die Sicherstellung des datenschutzkonformen Umgangs mit analogen und digitalen personenbezogenen Daten (pb Daten)
IT Compliance
IT COMPLIANCE
stellt die Einhaltung der Standort- und branchenspezifischen Rechtsvorschriften, Normen und Standards sowie des
Vertragswesens sicher und betrachtet deren Wechselbeziehungen mit dem IT-/TK-Betrieb
Risikoakzeptanzkriterien
Risikoakzeptanzkriterien beschreiben die Anforderungen zur Bestimmung der zulässigen Risikoakzeptanz
Die Ermittlung der Risikoakzeptanz auf Basis der
- Bereitschaft der Geschäftsführung (Rest-)risiken einzugehen
- Gesetzlich geforderten Maßnahmen zur Risikofrüherkennung
Regulatorischen Anforderungen zur Transparenz und Ordnungsmäßigkeit
Benennen Sie die 5 Lifecycle Phasen
Service Transition
Service Strategy
Service Operation
Service Design
Continual Service Improvemen
IT Konzept
Das IT-KONZEPT bildet den Rahmen, die IT-Entwicklung, die
IT-Struktur, die IT-Planung und die IT-Betreuung zu steuern und bestimmt die Zuständigkeiten und Verantwortlichkeiten ^
Das Einwirken des Bereichs Informationssicherheit auf das IT-Konzept führt
- zur Festlegung von angemessenen Kriterien bei der Softwareentwicklung wie auch der Beschaffung von Hard- und Software (Security by Design / Default)
- zur Festlegung von angemessenen Standards und Normen für einen wirksamen und widerstandsfähigen IT-Betrieb
- zur Durchsetzung von angemessenen Methoden zur Kontrolle und Steuerung e'ines sicheren Betriebs von Geschäfts- und Produktionsprozessen
Sicherung Maßnahmen Organisation /Personal
Regelmäßige Sensibilisierung und Information der Beschäftigten zu Themen der Informationssicherheit (Awareness)
Das schwächste Glied in der Sicherheitskette erhöht das
Gesamtrisiko (uninformierte Beschäftigte, ungeregelte Prozesse, nicht bewertete technische Komponenten)
Spezifische Ausbildung der am Sicherheitsprozess beteiligten verantwortlichen Personen (Owner, Stakeholder)
Unterweisung Dritter (u. a. Putzdienste, Provider)
Einwirkbereiche von Sicherungsmaßnahmen
Organisation
Personal
Compliance
Governance
Technik
Infrastruktur
SSo
Single Sign-on (SSo)
Benutzer hat nach einmaliger Authentifizierung an einem Arbeitsplatz Zugang und Zugriff auf alle Rechner und Dienste, für die er berechtigt ist
SPoF
Single Point of Failure (SPoF)
Systemkomponente, durch die im Fehlerfall einzelne Anwendungen oder Systeme in ihrer Funktion eingeschränkt oder nicht verfügbar sind
SPoC
Single Point of Contact (SPoC)
Zentrale (einzig mögliche) Anlaufstelle für den IT-Anwender für Anfragen,
Informationen und Anliegen zu einem bestimmten Thema oder Problem
Angriffe auf die Informationssicherheit
Angriffe auf die Informationssicherheit
- Provozieren von Laufzeitfehlern
- Passwortangriffe
- Social Engineering .
- Distributed Denial of Service (DDoS) .
- Destruktive Programme (Malware)
- Sniffing, Spamming, Spear Phishing
Bedrohungen der Informationssicherheit
Konfiguration und Administration der IT- und TK-Systeme • Zunehmende Einbindung der Industrial Control Systems (ICS) in die klassische Unternehmens-IT . (Mangelnde) Sensibilisierung der Mitarbeiter für die Informationssicherheit . (Mangelnde / fehlende) verträgliche Regelungen bei der Nutzung von Cloud Computing
Kategorien der Sicherheitsbedrohung
ISO 27000
Kategorien der Sicherheitsbedrohungen
Höhere Gewalt
u. a. Feuer, Wasser, Blitzschlag, Pandemie
Organisatorische Mängel
u. a. fehlende, veraltete oder uneindeutige Regelungen, fehlende Dokumente und Prozesse
Menschliche Fehlhandlungen
u. a. unbeabsichtigte Datenmanipulation, Sorglosigkeit im Umgang mit Informationen
Technisches Versagen
u. a. Systemabsturz, Plattencrash, unzureichende Medienhaltbarkeit
Vorsätzliche Handlungen
u. a. Hacker, Viren, Trojaner, Social Engineering, Phishing
Folie 112
Informationssicherheitsvorfall
Informationssicherheitsvorfall Ein einzelnes oder eine Reihe von unerwünschten oder unerwarteten Informationssicherheitsereignissen, bei welchen eine erhebliche Wahrscheinlichkeit vorliegt, dass Geschäftsabläufe kompromittiert werden und die Informationssicherheit bedroht wird
Informationssicherheitsereignis
Informationssicherheitsereignis Das erkannte Auftreten eines System-, Service- oder Netzwerkzustands, welcher einen möglichen Verstoß gegen die Leitlinie zur Informationssicherheit, das Versagen von Maßnahmen oder eine vorher unbekannte und möglicherweise sicherheitsrelevante Situation anzeigt
Gefahr
Gefahr Mögliche Ursache eines unerwünschten Informationssicherheitsvorfalfg, ohne / konkreten zeitlichen, räumlichen oder personellen Bezug, der zu einerrf Schaden für die Organisation oder einem System führen kann
INFORMATIONSVERBUND
beschreibt die Gesamtheit aller technischen und infrastrukturellen Komponenten sowie aller organisatorischen und personellen Einflüsse, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen (auch als Scope oder Geltungsbereich bezeichnet)
Informationssicherheit
Bezieht sich auf alle analogen und digitalen Informationen einer Organisation einschließlich der personenbezogenen Daten
