Def. Informationssicherheit
Ziel: Schutz von Informationen jeglicher Art
Informationen können auf Papier, in Rechnern oder Köpfen gespeichert sein
Def. IT-Sicherheit
Teilmenge der Informationssicherheit mit Fokus auf Schutz von elektronisch gespeicherten Informationen u. deren Verarbeitung.
Def. Cybersicherheit
Teilmenge der Informationssicherheit mit Fokus auf Schutz vor Angriffen aus dem Internet (Cyberspace).
3 Schutzziele
Vertraulichkeit: Informationen u. Systeme werden nur von berechtigten Personen eingesehen
Integrität: Informationen und Systeme werden nicht von unbefugten Personen oder durch fehlerhafte Verarbeitung verfälscht
Verfügbarkeit: Autorisierte Benutzer können jeder Zeit das System verwenden / auf Informationen zugreifen
Def. Prozess (ISO 9001)
Ein Prozess ist ein Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der Eingaben in Ergebnisse umwandelt
4 Bestandteile Managementsystem
eine Politik (d.h. Absichten oder eine Ausrichtung einer Organisation)
kompetente Personen mit festgelegten Verantwortlichkeiten
Managementprozesse in Bezug auf die Politik, Planung, Umsetzung, Bewertung und fortlaufende Verbesserung
dokumentierte Informationen, die die betriebliche Kontrolle unterstützen und eine Bewerbung der Leistung ermöglichen
PDCA-Zyklus Managementsysteme
Plan: Planung des Mgmtsystems
Do: Umsetzung der Planung und Betrieb des Mgmtsystems
Check: Überprrüfung der etablierten Prozesse und Maßnahmen
Act: Festlegung von Korrekturmaßnahmen zur Verbesserung des Mgmtsystems
Def. Asset (ISO 55001)
Ein Asset ist ein Element, ein Gegenstand oder eine Einheit, das (der) (die) einen möglichen oder tatsächlichen Wert für eine Organisation besitzt
2 Formen von Assets
Physischer Form
Digitale Form
Def. Primäre und Sekundäre Assets
Primär: Assets, die das Unternehmen direkt für den Geschäftsbetrieb benötigt
Senkundär: Assets, die die primären Assets dabei unterstützen
Beispiele für Primäre Assets
Prozesse
Informationen
Beispiele für Sekundäre Assets
HW
SW
Netzwerke
Personal
Standort
Def. Schwachstelle (ISO 27005)
Eine Schwachstelle ist eine Schwäche eines Assets /einer Maßnahme, die ausgenutzt werden kann, sodass ein Ereignis mit negativen Folgen eintritt.
Beispiele für Arten von Schwachstellen unterschieden nach Asset Typ
Asset-Typ
Mögl. Schwachstelle
Hardware
Mangelnde Sorgfalt bei der Entsorgung
Software
Kein oder unzureichende Softwaretests
Netzwerk
Ungeschützte Kommunikationsleitung
Mitarbeiter
Unzureichende Sicherheitsschulung
Lage in einem hochwassergefährdeten Gebiet
Def. Bedrohnung (ISO 27005)
Eine Bedrohung ist eine potenzielle Ursache eines unerwünschten Vorfalls, der zu Schäden an einem System oder einer Organisation führen kann.
Beispiele Bedrühungen für verschiedene Kategorien
Kategorie
Bedrohung
Physische Bedrohung
Feuer, Wasser, Explosion
Naturkatastrophen
Erdbeeben, Fulkanausbruch, Pandemie
Ausfälle der Infrastruktur
Ausfall der Stromversorgung, Ausfall der Kühlung
Technische Ausfälle
Ausfall eines Geräts oder Systems
Menschliches Handeln
Unbefugtes Betreten von Einrichtungen
Organisatorische Bedrohung
Verstoß gegen Gesetze oder Vorschriften
Def. Gefährdung
Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt.
Def. Risiken / Informationssicherheitsrisiko (ISO 27005)
Ist mit dem Potential verbunden, dass Bedrohungen Schwachstellen eines Assets ausnutzen und dadurch einer Organisation Schaden zufügen
Def. Maßnahmen (ISO 27005)
Maßnahmen zur Informationssicherheit umfassen alle Prozesse, Richtlinien, Verfahren, Praktiken oder Organisationsstrukturen, die administrativer, technischer oder rechtlicher Natur sein können und das Risiko der Informationssicherheit verändern.
Unterteilung von Maßnahmentypen (4)
Maßnahmentyp
Bsp
Tech. Maßnahme
Alarmsysteme, Kameras
Verwaltungsmaßnahme
Aufgabenteilung, Genehmigungsverfahren
Führungsmaßnahme
Mitarbeiterschulung, Audits
Gesetzliche Maßnahme
Anwendung von Rechtsvorschriften, vertragliche Verpflichtungen
Unterteilung Maßnahmenklassen (3)
Maßnahmenklasse
Beispiele
Präventiv
Identifizieren von Risiken, Veröffentlichung einer Strategie
Detektiv
Überwafchung von Systemressourcen, Alarmauslösung
Korrigierend
Technische / Juristische Untersuchung infolge eines Sicherheitsvorfalls
Last changed5 months ago