Beispiele technische Sicherheitsmaßnahmen?
Usernamen/Passwörter
Firewall, Virenscanner
Kryptographie
Verschlüsselung
Elektronische Signaturen
Hashes
Absicherung (drahtloser) Kommunikationswege (LAN, WLAN, etc.) mittels VPN/TL
Beispiele organisatorische Sicherheitsmaßnahmen?
Schulung von Mitarbeitern (Etablierung eines Sicherheitsbewusstseins)
Sicherung von Daten -> aktive Datensicherung (Backup and Restore)
Sicheres Löschen von Daten
Updates (-> techologischer Fortschritt und Weiterentwicklung von Schadprogrammen)
Dokumentation (Prozesse, Sicherheitsanforderungen, Berechtigungen, etc.
Überprüfung der Wirksamkeit von (organisatorischen) Sicherheitsmaßnahmen
Was wird unter Organisatorischen Sicherheitsapekten verstanden?
-> Aufbau des IT-Sicherheits-Managements
Formulierung einer IT-Sicherheitsleitlinie
Typische Aufgaben:
Defintion von Verantwortlichkeiten
Schulungen für IT-Benutzer
Dokumentation
Audits
Was muss bei der Festlegung der IT-Sicherheitsverantwortlichen-Rollen beachtet werden?
Klare Regelung von Verantwortlichkeiten und Zuständigkeiten
Festlegung von IT-Sicherheitsverantwortlichen (CISO - Chief Information Security Officers)
Ansprechpartner bei auftretenden Sicherheitsproblemen
Typische IT-Sicherheits Rollen?
Information Security Manager: Zentrale Koordination und Ansprechperson für Thema Sicherheit
Information Risk Manger: Erkennung, Bewertung, Management von Risiken
IT-Sicherheitsbeauftragte: Umsetzung von Sicherheitsmaßnahmen
Datenschutzbeauftragte: Schutz personbezogener Daten
Security Policies/ Sicherheitsrichtlinien?
Legt die Menge von technischen und organisatorischen Regeln, Verhaltensrichtlinien, Verantwortlichkeiten und Rollen sowie Maßnahmen fest, um angestregen Schutzziele zu erreichen.
Die Verantwortung für die Security Policy unterliegt der Unternehmens-/Behörden/. . . -leitung
Typische Inhalte von Sicherheitsrichtlinien?
Angestrebte IT-Sicherheitsziele
Verfolgte IT-Sicherheitsstrategie
Beschreibung wie sicher und korrekt mit IT und deren Komponenten umgegangen wird
Datenschutz
Zutritts-, Zugangs- und Zugriffsschutz
Passwort-Policy
Anforderungen an Sicherheitsrichtlinien?
Vollständigkeit
Bekanntheit
Verständnis und aktives “Leben“ der Policies
Laufende Überprügung der Einhaltung der Policies
Sicherheitsmanagementprozess?
Plan: Planung und Installation eines Sicherheitsmanagements
Do: Einführung, Betrieb und Monitoring des Sicherhetsmanagements (z.B. Schulung und Sensibilisierung von Mitarbeitern)
Check: Prüfung des Sicherheitsmanagements in regelmäßigen Abständen
Act: Weiterentwicklung des Sicherheitsmanagements (Adaptierung)
Wie kann man Vertrauen in die IT-Sicherheit einer Organisaiton oder eines Produktes schaffen?
Einhaltung von Standards und Normen: Zertifizierung
Als Nachweis eines bestimmten Levels an IT-Sicherheit
ISO27k-Reihe: Information Security Standards
ISO 27000: Übersicht/ Einführung
ISO 27001: Information Security Management System (ISMS)
ISO 27005: Inforamtion Security Risk Management Standard
Was ist der IT-Grundschutz?
Eine Anleitung für normales Schutzniveau
Herausgegeben vom BSI (Deutschland)
ITIL?
Information Technology Infrastructure Library:
-> Baut auf ISO 27001 auf
Hinweise zu Best-Practices
Was sind Inhalte eines Sicherheitskonzepts?
Erforderliche Maßnahmen zur Realisierung und Aufrechterhaltung eins angemessenen und definierten Sicherheitsniveaus
Was will ich schützen?
Wogegen soll ich mich schützen?
Wie kann ich diesen Schutz erzielen?
Kann ich mir diesen Schutz leisten?
Schritte zur Erstellung eines Sicherheitskonzepts?
BC?
Business Continuity (BC):
Mögliche und erforderliche Verfahren und Konzepte, die bei Einwirkung existenzieller Bedrohungen die Erhaltung der Geschäftstätigkeit ermöglichen
Zuletzt geändertvor 2 Jahren
