Klausur

• Vertraulichkeit

• Integrität

• Verfügbarkeit

  
  

• Authentizität

• Zurechenbarkeit (Verantwortlichkeit)

• Verbindlichkeit (Nicht Abstreitbarkeit)

• Verlässlichkeit

Vertraulichkeit bedeutet, dass Informationen nur einem entsprechend autorisierten Personenkreis zur Kenntnis gelangen.

Integrität bedeutet, dass nur autorisierte Änderungen an Informationen vorgenommen werden dürfen.

Verfügbarkeit bedeutet, dass Informationen für autorisierte Zwecke ausreichend schnell zur Verfügung stehen müssen – genauer: Verzögerungen sind nur in akzeptablen Umfang zulässig.

Authentizität bedeutet, dass die Identität einer Person, eines Systems oder einer Ressource zweifelsfrei überprüft und bestätigt wird, um sicherzustellen, dass sie tatsächlich das ist, was sie vorgibt zu sein.

Das Information Security Management System ist eine Aufstellung

von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu

dienen, die Informationssicherheit dauerhaft zu definieren, zu

steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu

verbessern.

• IS-Leitlinie: Eine IS-Leitlinie definiert die allgemeinen Ziele, Grundsätze und Richtlinien für die Informationssicherheit in einer Organisation.

• IS-Richtlinien: IS-Richtlinien sind spezifische Regeln und Verfahren, die implementiert werden, um die Sicherheit von Informationen in einer Organisation zu gewährleisten.

• Asset (Asset-Inventar): Assets sind alle Vermögenswerte einer Organisation, die einen Wert haben und geschützt werden müssen, wie Daten, Hardware, Software und physische Ressourcen. Ein Asset-Inventar ist eine Liste aller Assets einer Organisation.

• Schwachstellen: Schwachstellen sind potenzielle Sicherheitslücken oder Defizite in einem System, die von Angreifern ausgenutzt werden können, um unbefugten Zugriff oder Schaden zu verursachen.

• Bedrohungen: umfassen beispielsweise Datenverlust, Cyberangriffe und unbefugten Zugriff auf sensible Informationen.

• IS-Risiken: IS-Risiken sind spezifische Risiken, die sich auf die Informationssicherheit einer Organisation beziehen und durch potenzielle Bedrohungen und Schwachstellen entstehen.

• Controls: Controls sind Maßnahmen oder Mechanismen, die implementiert werden, um Risiken zu minimieren oder zu verhindern und die Sicherheit von Informationen zu gewährleisten.

• Risikobehandlungsplan: Ein Risikobehandlungsplan ist ein Dokument, das die identifizierten Risiken einer Organisation beschreibt und Maßnahmen zur Reduzierung oder Kontrolle dieser Risiken festlegt.

• ISMS-Prozesse: ISMS-Prozesse (Information Security Management System) sind strukturierte Methoden und Verfahren, die implementiert werden, um die Informationssicherheit in einer Organisation zu planen, zu implementieren, zu überwachen, zu kontrollieren und kontinuierlich zu verbessern.

• Verfahren: Verfahren sind spezifische Anweisungen oder Schritte, die definiert werden, um bestimmte Aktivitäten im Zusammenhang mit der Informationssicherheit durchzuführen, wie z.B. Zugriffskontrollen, Datensicherung oder Incident Response.

Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit aller informationsverarbeitenden Systeme und Daten des Unternehmens, um den Schutz vor Informationssicherheitsrisiken zu gewährleisten und die Einhaltung relevanter gesetzlicher und regulatorischer Anforderungen zu gewährleisten.

1. Kontext / Scope / Interessierte Parteien: Festlegung des Geltungsbereichs und Berücksichtigung der relevanten Stakeholder und deren Anforderungen.

2. Risikokidentifikation: Identifizierung der Werte (Assets), Schwachstellen und Bedrohungen, die ein Risiko darstellen können.

3. Riskoanalyse: Untersuchung der identifizierten Risiken, um deren Ursache und potenzielle Auswirkungen zu verstehen.

4. Risikoeinschätzung: Bewertung der Risiken basierend auf der Wahrscheinlichkeit ihres Eintretens und der Höhe des möglichen Schadens (Eintritt x Schaden).

5. Risikobewertung: Entscheidung, wie mit den bewerteten Risiken umgegangen werden soll, unter Berücksichtigung der Risikotoleranz des Unternehmens.

6. Akzeptanz: Entscheidung, das Risiko zu akzeptieren, falls es innerhalb der tolerierbaren Grenzen liegt.

7. Maßnahme: Implementierung von Maßnahmen zur Risikominimierung oder -kontrolle. Diese können die Vermeidung oder Verminderung des Risikos beinhalten.

8. Übertragung: Übertragung des Risikos auf eine dritte Partei, z.B. durch Versicherungen oder Outsourcing.

Dieser Prozess ist zyklisch und erfordert kontinuierliche Überprüfung und Anpassung, um neuen Bedrohungen und Veränderungen in der Unternehmensumgebung gerecht zu werden.

• Informationssicherheitsvorfälle sind Ereignisse, bei denen mit hoher Wahrscheinlichkeit Sicherheitsziele des Unternehmens beeinträchtigt werden oder Ereignisse, die bereits Schäden produziert haben.

  
  

  Informationssicherheitsvorfälle sind beispielsweise:

  • Fehlkonfigurationen, die zur Offenlegung vertraulicher Daten, zu Verlust der Integrität schutzbedürJiger Daten oder zu Datenverlusten führen,

  • Aufreten von Sicherheitslücken in Hard- oder SoJwarekomponenten durch anhaftender Fehler,

  • Auftreten von Schadsoftware oder kriminelle Handlungen (etwa Hacking von Internet-Servern, Einbruch in IT-Systeme, Diebstahl von Daten, Sabotage oder Erpressung mit IT-Bezug)

  • datenschutzrechtliche Vorfälle, bei denen Kunden- oder Personaldaten gefährdet sind (z.B. Weitergabe von personenbezogenen Daten an Unberech*gte, Offenlegen von personenbezogenen Daten, das Auffinden von Daten mit Personenbezug etc.)

  • Vorfälle in Bezug auf die Gebäudesicherheit

Vertraulichkeit bedeutet, dass Informationen nur einem entsprechend autorisierten Personenkreis zur Kenntnis gelangen.

Verfügbarkeit bedeutet, dass Informationen für autorisierte Zwecke ausreichend schnell zur Verfügung stehen müssen – genauer: Verzögerungen sind nur in akzeptablen Umfang zulässig.

Integrität bedeutet, dass nur autorisierte Änderungen an Informationen vorgenommen werden dürfen.

Die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit aller informationsverarbeitenden Systeme des Unternehmens, ist das Ziel der IT-Sicherheit

1. Bildschirmfilter: Verwendung von Sichtschutzfolien für Laptops, die den Blickwinkel einschränken, sodass der Bildschirm nur direkt von vorne gut sichtbar ist. Dies verhindert, dass Personen von der Seite oder von hinten den Bildschirm einsehen können.

2. Sensibilisierung und Schulung: Schulungen für Mitarbeiter zur Sensibilisierung für das Risiko des Shoulder Surfings. Sie sollten informiert werden, wie sie sich am besten positionieren können und wie sie ihre Bildschirme schützen, wenn sie in öffentlichen Bereichen arbeiten.

3. Sicherheitsrichtlinien: Implementierung von Unternehmensrichtlinien, die vorschreiben, dass vertrauliche und sensible Daten nicht in öffentlichen Bereichen eingesehen oder bearbeitet werden dürfen.

Um das Risiko eines Datenverlusts bei einem Brand im Serverraum zu vermeiden, sollten die Sicherungsbänder in einem anderen, brandsicheren und räumlich getrennten Bereich aufbewahrt werden. Eine gute Maßnahme wäre die Nutzung eines Offsite-Backups, bei dem die Daten an einem entfernten Standort gespeichert werden. Zusätzlich kann der Einsatz von Cloud-Backup-Lösungen in Betracht gezogen werden, um die Daten extern und sicher zu sichern. Regelmäßige Überprüfungen und Tests der Backup- und Wiederherstellungsprozesse sollten ebenfalls durchgeführt werden, um die Zuverlässigkeit sicherzustellen.

Nein, da dies in der Folge die Nicht-Anwendbarkeit einer Reihe von Maßnahmen (Controls) aus ISO/IEC 27001, Anhang A, bedeuten würde, deren Anwendung für die Effektivität eines ISMS allerdings wesentlich ist.

1. Antragstellung für Berechtigungen oder Änderungen

   • Ein Benutzer stellt einen schriftlichen Antrag auf Berechtigungen oder Änderungen, der die Benutzer-ID, das betroffene Asset, die gewünschten Berechtigungen sowie eine Begründung für die Änderung enthält.

2. Genehmigung durch die genehmigende Stelle

   • Der Antrag wird von einer autorisierten genehmigenden Stelle (Führungskraft oder Eigentümer des Assets) überprüft und genehmigt oder abgelehnt.

3. Weiterleitung an die ausführende Stelle

   • Bei Genehmigung leitet die genehmigende Stelle den Antrag an die ausführende Stelle (jeweilige Systemadministration) weiter, die für die Umsetzung der Berechtigungsänderungen verantwortlich ist.

4. Umsetzung der Berechtigungsänderungen

   • Die ausführende Stelle setzt die genehmigten Berechtigungsänderungen gemäß dem Antrag um und aktualisiert die Berechtigungen des Benutzers entsprechend.

5. Archivierung von Genehmigungs- und Erledigungsvermerken

   • Alle Genehmigungs- und Umsetzungsvermerke werden archiviert, um einen Nachweis über die Genehmigung und Umsetzung der Berechtigungsänderungen zu erbringen.

6. Integration in die Personalprozesse

   • Der Prozess der Beantragung und Verwaltung von Benutzerberechtigungen ist eng in die Personalprozesse der Organisation eingebunden. Bei Abteilungs-, Aufgaben- oder Rollenwechsel von Benutzern werden Berechtigungen sofort entzogen und entsprechend der neuen Funktion vergeben, wobei nur so viele Berechtigungen gewährt werden, wie für die jeweilige Tätigkeit erforderlich sind.

• Benutzerantragsformular

• Genehmigungsprotokolle mit Datum, Genehmiger und Begründung

• Umsetzungsprotokolle mit Datum, ausführender Stelle und Art der Berechtigungsänderungen

• Archivierte Kopien der Benutzerberechtigungsprofile vor und nach der Änderung

• Protokolle über Schulungen oder Einweisungen zu Sicherheitsrichtlinien und -verfahren

• Regelmäßige Überprüfungsberichte zur Berechtigungsverwaltung

• Audit- und Compliance-Berichte zur Überprüfung der Einhaltung von Sicherheitsstandards

Die Umsetzungshinweise der 27022 haben informativen Charakter.

1. Vertraulichkeit

2. Integrität

3. Verfügbarkeit

4. Verfügbarkeit

5. Authentizität

6. Zurechenbarkeit