Rügen

Was sind Informationen?
• Briefe
• Akten
• Das gesprochene Wort
• Digitale Informationen

Was ist Sicherheit?
Wenn es frei von Risiken & Gefahren ist!

Was ist Informationssicherheit?
• IT-Sicherheit (Schutz von Informationen)
• Datenschutz (DSGVO)
• Datensicherheit (Backups)
• Betriebssicherheit (BG)

Für was benötigt man Informationssicherheit?
• Um negative Folgen zu verhindern
• Um Richtlinien zu haben
• Zur Begrenzung von Risiken

In welcher Form gibt es Werte / Assets?
• In elektronischer Form
• In Papierform
• Fachwissen der Mitarbeiter (HR)

Die ISO27000 beschreibt Richtlinien, um diese Werte / Assets zu schützen.

Was macht der Information Security Officer (ISO)?
Der ISO schützt nicht die Werte, sondern er überprüft Richtlinien und berichtet an die GL

Was ist Risikobehandlung?
• Risikominimierung

Was ist eine Konsequenz?
Ursache + Bedingung

Was macht eine Risikoanalyse aus?
Betrachtung der Gelegenheit

Wie definiert man das Risikoniveau?
Schadenseintrittswahrscheinlichkeit * Schadensauswirkung (Denke an Heatmap)

Was ist ein Standby-Arrangement?
Eine korrigierende Maßnahme (Der Nachtwächter wurde eingestellt, da zu viel zuvor passiert ist)

Was ist eine Risikoanalyse?
• Risikobeurteilung (Identifizieren, Einschätzen, Bewerten) plus Risikobehandlungsplan

Wie geht eine Risikobewertung?
Identifikation + Analyse + Risikobeurteilung = Risikobewertung

Was ist ein Risiko?
Bedrohung + Verwundbarkeit = Risiko

Was ist Autorisierung?
Die Gewährung bestimmter Rechte, wie z. Bsp. selektiver Zugriff für eine Person!

Was ist Identifikation?
Authentisierung + Authentifizierung + Autorisierung

Was ist eine Bedrohung?
Theoretische Möglichkeit, wie wenn ich einen Boxer bedrohe

Nenne 4 Bedrohungen?

  1. Technisches Versagen
  2. Höhere Gewalt
  3. Menschliche Unzulänglichkeit
  4. Vorsätzliche Handlungen

Was ist ein PDCA-Zyklus?
• Plan (Einrichten eines ISMS)
• Do (Implementierung & Verwalten von Ressourcen)
• Check (Laufende Überwachung des ISMS + Erfolgskontrolle)
• Act (Verbesserungen fließen ein)

Wer ist der Risk Owner?
• GL

Wo steht was zum Thema Notfallmanagement / BCM?
• ISO 23301 (BCM)
• BSI-Standard 104

Wo steht was zum Thema Risikomanagement?
• ISO 31000
• ISO 27005
• BSI 200-3

Welche Norm passt zur ISO 27001
• ISO 22301 (BCM)
• ISO 9001 (QM)

Für was betreibt man ein ISMS (Information Security Management System)?
• Analyse und Bewertung

Was macht ein ISMS (Information Security Management System) aus?
• Sicherheitsprozess / Beschreibung (Word & SharePoint
• Managementprinzipien, wie Ziele der Organisation
• Ressourcen & Mitarbeiter

Andere Normen
• BS 7799-2: Vorgänger von ISO 27001
• ISO 9001: Qualitätsmanagementsysteme (QMS)
• ISO 22301: Business continuity plan (BCM) => Risikomanagement
• ISO 27002: Richtlinien zur Umsetzung der Maßnahmen aus ISO 27001
• ISO 27005: Richtlinien für das Risikomanagement

Wie sieht die Betrachtung von Risiken nach ISO 27K aus?
• Mögliche Konsequenzen des Risikoeintritts, wie der eigene Ruf
• Schadenshöhe im Eintrittsfall
• Realistische Eintrittswahrscheinlichkeit
• Risikostufe der Sicherheitsziele (CIA)

Wie sieht Risikomanagement nach ISO27K aus?
Risiko-Minimierung, Akzeptables Restrisiko, Grenzrisiko (Tolerierbares Risiko), Risikomanagement (Steuerung + koordinierte Führung)

Was ist laut ISO 27001 Anhang A. 12.6 eine Schwachstelle / Vulnerability?
Eine Möglichkeit eine Bedrohung auszunutzen
• Unzureichender Schutz von Gebäuden, Türen und Fenstern (Gefahr z.B. durch Diebstahl)
• Unzureichende Zugangskontrollen zu Gebäuden und Räumen bzw. Missachtung der Vorkehrungen (Gefahr z.B. durch mutwillige Beschädigungen)
• Instabiles Stromnetz (Gefahr z.B. von Strom Schwankungen)
• Standort liegt in einem überflutungsgefährdeten Bereich (Gefahr z.B. von Überflutung)

Was sind die äußeren Anforderungen für eine ISO27K-Zertifizierung?
Markt, Verträge & Gesetze

Ist die ISO27001 ein Qualitätsstandard?
• Nein, jede Organisation muss das selbst bestimmen
• ISO 27K (und bei der BSI-Zertifizierung) ist CIA wichtig

Warum betreibt man ISMS?
Betreibt man zum Schutz der Informationen einer Organisation, darin werden Richtlinien, Ziele und Prozesse beschrieben

Was ist nach ISO 27K ein Risiko?
Ereignis + Auswirkung (Denke an Heatmap)

Was ist nach ISO 27K eine Risikoanalyse?
• Identifizieren von Risikoquellen
• Abschätzung der Risiken

Nenne vier Risikobehandlungsoptionen
• Risikovermeidung
• Risikoreduzierung
• Risikoübertragung
• Risikoakzeptanz

Was sind Schutzziele nach BSI?
• Confidential (C)
• Integrität (I)
• Availability (A)
Optional: Verbindlichkeit (Authentizität + Nicht-Abstreitbarkeit)

Was ist eine Gefährdung nach BSI?
• Bedrohung und Schwachstelle oder Ursache

Was sind Kerninhalte das IT-Sicherheitsgesetz (KRITIS)?
• Regelmäßige Nachweise (Alle 2-3 Jahre)
• Mindeststandards
• Meldepflicht

Was ist der IT-Grundschutz des BSI?
• Der Kern bilden die BSI-Standard 200-1 bis 3
• IT-Grundschutz-Kompendium (816 Seiten als PDF)
o Inkl. 47 Elementare Gefährdungen (Feuer, Wasser, usw.)

Welche BSI-Standards zur Informationssicherheit gibt es?
• BSI-Standard 200-1: Anforderungen an ein ISMS=Managementsystem f. Informationssicherheit
• BSI-Standard 200-2: IT-Grundschutz-Methodik
• BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
• BSI-Standard 100-4: Notfallmanagement

Was beschreibt der BSI-Standard 200-1?
• Welche grundlegenden Anforderungen ein ISMS haben muss, welche Komponenten es enthält und welche Aufgaben es zu bewältigen gilt. Immer in Anlehnung an ISO 27001

Was beschreibt den BSI-Standard 200-2?
• Der BSI-Standard 200-2 beinhaltet IT-Grundschutz-Methodik, Hilfestellungen zur schrittweisen Einführung eines ISMS inkl. effiziente Verfahren, um die allgemeinen Anforderungen des BSI-Standards 200-1 und der zugrunde liegenden Norm ISO/IEC 27001 zu konkretisieren.

Was beschreibt den BSI-Standard 200-3?
• Die Risikoanalyse auf der Basis von IT-Grundschutz beschreibt ein eine Methode, wenn Komponenten abzusichern sind, bei denen es fraglich ist, ob die Erfüllung von Basis- und Standard-Anforderungen für eine ausreichende Sicherheit genügt.

Wie sieht die qualitative Risikobehandlungsmethode im IT-Grundschutz nach BSI aus?
• Risikovermeidung durch Umstrukturierung der Geschäftsprozesse
• Risikoreduktion (Risikomodifikation) durch weitere Sicherheitsmaßnahmen
• Risikoübertragung / Risikotransfer an Dritte, wie IT-Dienstleister oder an eine Versicherung
• Risikoakzeptanz, wenn das Restrisiko klein ist

Welche Schutzbedarfsfeststellung nach BSI (200-2) IT-Grundschutz gibt es?
• Prozesse und Anwendungen
• IT-Systeme
• Räume
• Kommunikationsverbindungen