Buffl
Buffl
Sicherheitsmanagement

TOMs

RW
by Rebekka W.

Wofür steht TOMs

Technisch organisatorische MAßnahmen

Welches Ziel hat die Zutrittskontrolle?

Kein unbefugter Zutritt zu Datenverarbeitungsanlagen (räumlich)

Welches Ziel hat die Zugangskontrolle?

Keine unbefugte Systembenutzung

Welches Ziel hat die Zugriffskontrolle?

kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten innerhalb des Systems

Welches Maßnahmen hat die Zutrittskontrolle?

o   Zutrittsüberwachungs- und -kontrollsystem

o   Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen, usw.

o   Register von Schlüsselinhabern

o   Vorgaben für externe Personen, Besucherausweise, Anwesenheitslisten

o   Einrichtung von Sicherheitszonen mit Zugangsbeschränkungen

o   Geschlossener RZ-Betrieb

Welches Maßnahmen hat die Zugangskontrolle?

  • Benutzer-Identifikation und Authentifizierung

    • Automatische Sperrmechanismen an Arbeitsplätzen

    • (Sichere) Kennwörter, Zwei Faktor Authentifizierung/U2F (Universal Second Factor), FIDO2 (FasDentificationOnline)

    • Funktionsgebundene Zuweisung von individuellen Arbeitsplatzrechnern, differenzierte Zugangsvorrausetzungen

    • Kontrolle von Zugangsrechten (Mandatory Acess Controlls)

  • Verpflichtung auf das Datengeheimnis

  • Verschlüsselung von Datenträgern und Dateien

  • Kontrollierte Vernichtung von Datenträgern

  • Richtlinien für die Dateiorganisation

  • Arbeitsanweisungen und Verfahren für die Datenerfassung

  • Genehmigungs- und Monitoringsysteme


Welches Maßnahmen hat die Zugriffskontrolle?

o   Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte

o   Protokollierung von Zugriffen, Analysen von Zugriffsprotokollen

o   Arbeitsplätze mit funktionsgebundenen Zugriffsschlüsseln, Karten und Kartenlesern

o   Regelmäßige Prüfung des Berechtigungskonzeptes und der Berechtigungen

o   Dokumentierte Prozesse für ausgeschiedene Mitarbeiter

Nennen Sie mögliche Zugriffskontrollen

- Chinese-Wall-Modell

- Rollenbasierte Zugriffskontrolle (RBAC)

- Wahlfreie oder diskrete Zugriffskontrolle (DAC)

- Regelbasierte Zugriffskontrolle (MAC)


Was ist die regelbasierte Zugriffskontrolle (MAC)

-          Auf Steuerung des Informationsflusses ausgelegt

-          Subjekte (Benutzer) und Objekte (Daten und Programme) erhalten Sicherheitsmarkierung

-          Daran wird entschieden, ob Informationsfluss stattfinden darf

Was ist die wahlfreie oder direkte Zugriffskontrolle (DAC)

-          Beruht auf Annahme, dass der Eigentümer eines Objektes für dessen Schutz

-          Eigentümer kann freie Regeln festlegen, wer (aktive Komponente, Subjekt) auf seine Objekte (passive Komponente) in welche Weise (Operation) zugriefen darf

Was ist eine rollenbasierte Zugriffskontrolle (RBAC)

-          Zugriffsrechte an explizit modellierte Rollen, die das Aufgabenprofil der Rollenträger beschreiben

-          Anschließend werden Benutzer dieser Rollen zugeordnet

-          Benutzer erhalten dadruch implizit Zugriffsrechte ihrer jeweiligen Rollen

-          Administration der Zugriffskontrolle stark vereinfacht

Was ist das Chinese-Wall-Modell?

-          Speziell für beratende Berufe, um Informationsmissbrauch einzuschränken

-          Ein Anwalt (Subjekt) der für die Partei des Klägers (Objekt aus Konfliktklasse 1) arbeitet, darf dann nicht mehr als Vertreter für die Partei (Objekt aus Konfliktklasse 1) des Beklagten arbeiten (selbe Konfliktklasse)

Welches Ziel hat die Datenträgerkontrolle

Unbefugte Lesen, Kopieren, Verändern oder Löschen von Datenträgern ist zu verhindern

Welches Ziel hat die Weitergabe-, Übertragungs- und Transportkontrolle?

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei der elektronischen Übertragung oder beim Transport sowie die nachträgliche Überprüfung

Welches Ziel hat die Eingabekontrolle?

Feststellung und Nachvollziehbarkeit, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind

Welches Ziel hat die Auftragskontrolle?

Weisungsgemäße Auftragsverarbeitung im Sinne Art. 28 DSGVO durch Dritte Maßnahmen zur Abgrenzung der Kompetenz zwischen Auftraggeber und Auftragnehmer

Welches Ziel hat die Verfügbarkeitskontrolle?

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust

Welches Ziel hat die Trennungskontrolle?

Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden

Welches Ziel hat die Wiederherstellbarkeit?

Betrieb von Anwendungen und Systemen könne nach Störungsfall wiederhergestellt werden

Welceh TOMS kennen Sie?

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Datenträgerkontrolle

Weitergabe-, Übertragungs- und Transportkontrolle

Eingabekontrolle

Auftragskontrolle

Verfügbarkeitskontrolle

Trennungskontrolle

Wiederherstellbarkeit

Welche Maßnahmen hat die Datenträgerkontrolle?

o   Verschlüsseln von Datenträgern

o   Verschlossenes Aufbewahren von Datenträgern

o   Protokollierung der Aushändigung bzw. Rückgabe von Datenträgern

Welche Maßnahmen hat die Weitergabe-, Übertragungs- und Transportkontrolle?

o Geeignete Berechtigungsnachweise (Need-to-know-Prinzip)

o Gegenseitige Überwachung (Separation of Duties-, Rotation of Duties-Prinzip)

o Verschlüsselung, VPN

o Elektr. Signatur

o Kontrolle der Anfertigung von Datenkopien

o Dokumentation der Datenübermittlungsvorgänge und der involvierten Programme sowie von Übertragungsorten und -routen

Fernwartungskonzept und Protokollierung von Fernwartungsvorgängen

Welche Maßnahmen hat die Eingabekontrolle?

o   Protokollierung von Zugriffen und Änderungen

o   Nachweis der Quellen von Daten (Authentizität)

o   Versionierung

o   Dokumentation der Verarbeitungsprozesse mittels Protokollen auf der Basis eines Protokollierungs- und Auswertungskonzepts

o   Verantwortung für Daten und Systeme, Arbeitsanweisungen

Welche Maßnahmen hat die Auftragskontrolle?

-          Eindeutige Vertragsgestaltung

-          Formalisiertes Auftragsmanagement

-          Strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht

-          Nachkontrollen

-          Datenschutz und IT-Sicherheitsaudits

Welche Maßnahmen hat die Verfügbarkeitskontrolle?

-          Backup-Strategie und -Verfahren

-          Brandfrüherkennung, Rauchmelder

-          USV

-          Virenschutz

-          Firewall

-          Meldewege & Notfallpläne

-          Erkennen von atypischen Nutzungsmustern

-          Beschränkung der Ressourcenzuweisungen an einzelne Benutzer

Welche Maßnahmen hat die Trennungskontrolle?

-          Mandantenfähigkeit, Gewährleistung der Zweckbindung

-          Trennung von Produktiv-, Test-, und Entwicklungssystemen

-          Getrennte Ordnerstrukturen, getrennte Tabellen, getrennte DB

-          Sandboxing

Welche Maßnahmen hat die Wiederherstellbarkeit?

-          Schutzbedarfsfeststellungen

-          Notfallplan, Desaster Recovery Maßnahmen

-          Business Continuity Management

-          Schulungen und Übungen, Dokumentationen und Ermittlung des Verbesserungsbedarfs

Nennen Sie mögliche Maßnhamen zum Datenzweck Erheben

  • Messen

  • Zählen

  • wiegen


Nennen Sie mögliche Maßnhamen zum Datenzweck Verarbeiteen

  • Speichern

  • Verändern

  • Anonymisiseren

  • Übermitteln

  • Sperren

  • Löschen


Nennen Sie mögliche Maßnhamen zum Datenzweck Nutzen

Analysieren

Lizensieren

verkaufen

Welche Datenzwecke kennen sie?

  • Erheben

  • Verarbeiten

  • Nutzen


Join Course
Preview

Author

Rebekka W.

Information

Last changed

Report course
© 2023 Buffl GmbH