Was sind Informationen?
• Briefe
• Akten
• Das gesprochene Wort
• Digitale Informationen
Was ist Sicherheit?
Wenn es frei von Risiken & Gefahren ist!
Was ist Informationssicherheit?
• IT-Sicherheit (Schutz von Informationen)
• Datenschutz (DSGVO)
• Datensicherheit (Backups)
• Betriebssicherheit (BG)
Für was benötigt man Informationssicherheit?
• Um negative Folgen zu verhindern
• Um Richtlinien zu haben
• Zur Begrenzung von Risiken
In welcher Form gibt es Werte / Assets?
• In elektronischer Form
• In Papierform
• Fachwissen der Mitarbeiter (HR)
Die ISO27000 beschreibt Richtlinien, um diese Werte / Assets zu schützen.
Was macht der Information Security Officer (ISO)?
Der ISO schützt nicht die Werte, sondern er überprüft Richtlinien und berichtet an die GL
Was ist Risikobehandlung?
• Risikominimierung
Was ist eine Konsequenz?
Ursache + Bedingung
Was macht eine Risikoanalyse aus?
Betrachtung der Gelegenheit
Wie definiert man das Risikoniveau?
Schadenseintrittswahrscheinlichkeit * Schadensauswirkung (Denke an Heatmap)
Was ist ein Standby-Arrangement?
Eine korrigierende Maßnahme (Der Nachtwächter wurde eingestellt, da zu viel zuvor passiert ist)
Was ist eine Risikoanalyse?
• Risikobeurteilung (Identifizieren, Einschätzen, Bewerten) plus Risikobehandlungsplan
Wie geht eine Risikobewertung?
Identifikation + Analyse + Risikobeurteilung = Risikobewertung
Was ist ein Risiko?
Bedrohung + Verwundbarkeit = Risiko
Was ist Autorisierung?
Die Gewährung bestimmter Rechte, wie z. Bsp. selektiver Zugriff für eine Person!
Was ist Identifikation?
Authentisierung + Authentifizierung + Autorisierung
Was ist eine Bedrohung?
Theoretische Möglichkeit, wie wenn ich einen Boxer bedrohe
Nenne 4 Bedrohungen?
- Technisches Versagen
- Höhere Gewalt
- Menschliche Unzulänglichkeit
- Vorsätzliche Handlungen
Was ist ein PDCA-Zyklus?
• Plan (Einrichten eines ISMS)
• Do (Implementierung & Verwalten von Ressourcen)
• Check (Laufende Überwachung des ISMS + Erfolgskontrolle)
• Act (Verbesserungen fließen ein)
Wer ist der Risk Owner?
• GL
Wo steht was zum Thema Notfallmanagement / BCM?
• ISO 23301 (BCM)
• BSI-Standard 104
Wo steht was zum Thema Risikomanagement?
• ISO 31000
• ISO 27005
• BSI 200-3
Welche Norm passt zur ISO 27001
• ISO 22301 (BCM)
• ISO 9001 (QM)
Für was betreibt man ein ISMS (Information Security Management System)?
• Analyse und Bewertung
Was macht ein ISMS (Information Security Management System) aus?
• Sicherheitsprozess / Beschreibung (Word & SharePoint
• Managementprinzipien, wie Ziele der Organisation
• Ressourcen & Mitarbeiter
Andere Normen
• BS 7799-2: Vorgänger von ISO 27001
• ISO 9001: Qualitätsmanagementsysteme (QMS)
• ISO 22301: Business continuity plan (BCM) => Risikomanagement
• ISO 27002: Richtlinien zur Umsetzung der Maßnahmen aus ISO 27001
• ISO 27005: Richtlinien für das Risikomanagement
Wie sieht die Betrachtung von Risiken nach ISO 27K aus?
• Mögliche Konsequenzen des Risikoeintritts, wie der eigene Ruf
• Schadenshöhe im Eintrittsfall
• Realistische Eintrittswahrscheinlichkeit
• Risikostufe der Sicherheitsziele (CIA)
Wie sieht Risikomanagement nach ISO27K aus?
Risiko-Minimierung, Akzeptables Restrisiko, Grenzrisiko (Tolerierbares Risiko), Risikomanagement (Steuerung + koordinierte Führung)
Was ist laut ISO 27001 Anhang A. 12.6 eine Schwachstelle / Vulnerability?
Eine Möglichkeit eine Bedrohung auszunutzen
• Unzureichender Schutz von Gebäuden, Türen und Fenstern (Gefahr z.B. durch Diebstahl)
• Unzureichende Zugangskontrollen zu Gebäuden und Räumen bzw. Missachtung der Vorkehrungen (Gefahr z.B. durch mutwillige Beschädigungen)
• Instabiles Stromnetz (Gefahr z.B. von Strom Schwankungen)
• Standort liegt in einem überflutungsgefährdeten Bereich (Gefahr z.B. von Überflutung)
Was sind die äußeren Anforderungen für eine ISO27K-Zertifizierung?
Markt, Verträge & Gesetze
Ist die ISO27001 ein Qualitätsstandard?
• Nein, jede Organisation muss das selbst bestimmen
• ISO 27K (und bei der BSI-Zertifizierung) ist CIA wichtig
Warum betreibt man ISMS?
Betreibt man zum Schutz der Informationen einer Organisation, darin werden Richtlinien, Ziele und Prozesse beschrieben
Was ist nach ISO 27K ein Risiko?
Ereignis + Auswirkung (Denke an Heatmap)
Was ist nach ISO 27K eine Risikoanalyse?
• Identifizieren von Risikoquellen
• Abschätzung der Risiken
Nenne vier Risikobehandlungsoptionen
• Risikovermeidung
• Risikoreduzierung
• Risikoübertragung
• Risikoakzeptanz
Was sind Schutzziele nach BSI?
• Confidential (C)
• Integrität (I)
• Availability (A)
Optional: Verbindlichkeit (Authentizität + Nicht-Abstreitbarkeit)
Was ist eine Gefährdung nach BSI?
• Bedrohung und Schwachstelle oder Ursache
Was sind Kerninhalte das IT-Sicherheitsgesetz (KRITIS)?
• Regelmäßige Nachweise (Alle 2-3 Jahre)
• Mindeststandards
• Meldepflicht
Was ist der IT-Grundschutz des BSI?
• Der Kern bilden die BSI-Standard 200-1 bis 3
• IT-Grundschutz-Kompendium (816 Seiten als PDF)
o Inkl. 47 Elementare Gefährdungen (Feuer, Wasser, usw.)
Welche BSI-Standards zur Informationssicherheit gibt es?
• BSI-Standard 200-1: Anforderungen an ein ISMS=Managementsystem f. Informationssicherheit
• BSI-Standard 200-2: IT-Grundschutz-Methodik
• BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
• BSI-Standard 100-4: Notfallmanagement
Was beschreibt der BSI-Standard 200-1?
• Welche grundlegenden Anforderungen ein ISMS haben muss, welche Komponenten es enthält und welche Aufgaben es zu bewältigen gilt. Immer in Anlehnung an ISO 27001
Was beschreibt den BSI-Standard 200-2?
• Der BSI-Standard 200-2 beinhaltet IT-Grundschutz-Methodik, Hilfestellungen zur schrittweisen Einführung eines ISMS inkl. effiziente Verfahren, um die allgemeinen Anforderungen des BSI-Standards 200-1 und der zugrunde liegenden Norm ISO/IEC 27001 zu konkretisieren.
Was beschreibt den BSI-Standard 200-3?
• Die Risikoanalyse auf der Basis von IT-Grundschutz beschreibt ein eine Methode, wenn Komponenten abzusichern sind, bei denen es fraglich ist, ob die Erfüllung von Basis- und Standard-Anforderungen für eine ausreichende Sicherheit genügt.
Wie sieht die qualitative Risikobehandlungsmethode im IT-Grundschutz nach BSI aus?
• Risikovermeidung durch Umstrukturierung der Geschäftsprozesse
• Risikoreduktion (Risikomodifikation) durch weitere Sicherheitsmaßnahmen
• Risikoübertragung / Risikotransfer an Dritte, wie IT-Dienstleister oder an eine Versicherung
• Risikoakzeptanz, wenn das Restrisiko klein ist
Welche Schutzbedarfsfeststellung nach BSI (200-2) IT-Grundschutz gibt es?
• Prozesse und Anwendungen
• IT-Systeme
• Räume
• Kommunikationsverbindungen