1
Q
Kenngroesse
A
ist Zustand (Status)
2
Q
KPI
Leistungskenngroessen
A
Ist Zustand in Bezug auf den soll Zustand
3
Q
Kenngrößen Beispiele
A
- Zeitspanne in der ein Risiko unbehandelt bleibt
- überfällige Dokumenten Reviews
- Anzahl Berichterstattungen.
- Anzahl abgelehnter audit Empfehlungen an allen Empfehlungen
- zeit seit letzter awareness Kampagne
- Anzahl der risikoanalysen für Prozesse pro Monat
4
Q
Kennzahlensteckbriefe
A
Dienen
- Zur Transparenz von Kenngroessen
- Doku der Eigenschaften von KG
- Revision und auditzwcke
5
Q
Strategische Kenngroesse
A
Entscheidungsgrundlagefuer das weiter Vorgehen in der IS
6
Q
Instrumente die KPIs visualisieren
A
Sollen
An den Anforderungen des addresaten angepasst
Einfach und schnell zu lesen
Schnell ins auge springen
7
Q
KPIs werden
A
Durch geeignete Instrumente visualisiert um komplexe Sachverhalten einfach darzustellen. Und vornehmlich an die GF berichtet
8
Q
Risiko
A
R = E x S
E - Eintrittswkt
S - schaden
9
Q
Wesen und Inhalte eines Management Systems
A
Struktur Grundsätze Planungsaktivitaeten Verantwortung Praktiken verfahren Prozesse Resources.
10
Q
ISMS
A
Informations
Sicherheits
Management
System.
Ist ein Prozess und kein Projekt
11
Q
Informationssicherheit
A
Schutz von Informationen vor einer Vielzahl von Bedrohungen.
- Die Aufrechterhaltung des Geschäftsbetriebs
- geschaeftrisiken zu minimieren.
- Gewinn und Geschäftechqncnen zu maximieren
12
Q
Schutzziele
A
Vertraulichkeit
Verfügbarkeit
Integrität
- weitere ..
authenticity
Nicht abstreitnarkeit
13
Q
Beteiligte
A
Organisationsleitung - Verantwortung
IT securty beauftr/Mgr
- kkoedineiert und Verantwortung
Mitarbeiter
- verantworten die Umsetung der IS Vorgaben
14
Q
Aufgaben der Organisationsleitungb
A
- Verantwortung des gesamten sicherheitsprozsss
- imitiert den IS prozess
- gibt IS Ziele und Strategien in from einer Leitlinie
- Vorbild
- sorgt für den Aufbau von Ressourcen
- unterstützt alle mit der IS vernundenen Aktivitäten
15
Q
Führung der OL
A
Festlegung von Info Sec ZIelen
Sicherstellung das Isms Anforderungen integration in Geschäftsprozesse
Bereitstellung
…
16
Q
IT security manager
A
Steuert und koordiniert den IS Prozess
Unterstützt und berät Leitung
Imitiert und koordiniert die Umsetzung von Sicherheitsmaßnahmen und Projekten
Untersucht sicherheitsrelevanten Vorfälle
Innitiert und koorindniert Sensibilisierungs und Schulungsmassnahmen
17
Q
Rolle/Aufgabe Mitarbeiter
A
Setzten IS Vorgaben um
Melden IS Vorfälle
Sind sich Ihrer Rolle im IS Prozess bewusst
18
Q
Weitere Rolle im IS Prozess
A
Info Sec Beauftragter
Notfall Beauftragter
Risiko Mangement Team
Auditor
19
Q
Informationssicherheitsleitlinie
A
Dokumentation der Sicherheitspolitik
Grundregeln zum Umgang mit Informationen
20
Q
IS Leitline
A
Ist ein strategisches Dokument der GF
Verbindliches Dokument für alle Mitarbeiter
Enthält die Anforderungen der Organisation and die Informationssicherheit und beschreibt Werte und Technologien der Organisation
21
Q
Informationssicherhiets leitline
A
Eine Rahmen für den sicheren Umgang mit Infos und IT Systems
Entwicklung und Pflege der Sicherheits Prozesse
Risiko gerechte Bewertung der Sicheheitsmassnahmen
Untenenemsweite Einführung g IS system
22
Q
Informationssicherheitsleitlime
A
Ziele und Plaene des ISMS Kontinuierliche Verbesserung Ausreichende Ressourcen Regelmäßige Audit NC müssen abgestellt werden
23
Q
Geltungsbereich Scope
A
27K Kapitel 4.1 - 3
Interessierte Parteien
Art des Geschäftes
Assets
24
Q
Definition Scope
A
Sollte immer mit einem Blick auf die Organisationsstruktur und die rechtliche Situation beginnen
25
Was soll der Scope Beschreiben
Relevante Prozesse
Und Schnittstellen nach aussen (Grenzen des Anwendungsbereich)
26
Grundregeln asset Management
Alle Werte müssen eindeutig definiert und in einem Iventar dokumentiert werden
Reglungen für Nutzung
Asset owner bestimmen
Rückführung muss geordnete sein
27
Welche Werte Kategorien gibt es im Asset Management
Informationen
Software
Hardware
Services
Weiche werte
Personen
28
Primäre Assets
Geschäftsprozesse
Informationen
29
Sekundäre Assets
```
Physische
Infrastruktur
Kommunikationsmittel asset
Immaterielle
Personen
```
30
3 Säulen eines ISMS
Technische
Organisatorische
Rechtliche
31
ISO 27001 2013
Internationale Norm
Modell für den Einsatz eines ISMS
Prozessorientierter Ansatz - kein Projekt sondern ein Prozess der der kontinuierlichen Verbesserung unterliegt
32
Top Down Ansatz ISO27001
Führungsaufgabe
Leitlinien
Richtlinien
Arbeitsanweisungen
33
Durch die ISO27001 erhält die Lietung Unterstützung
Bei der DEF von neuen Infosec Prozesses
Sowie die Definition von Infosec Managemnet Aktivitäten
34
PDCA
Plan Do Check Act
Alternative
DMAIC Define Measure Analyse Improve Control
Oder
OODA Observe Orient Decide Act
35
PDCA mit Kapiteln
Plan
4 Kontext der ORG 5 Führung 6 Plannung
Do
7. Untertützung 8. Betrieb
Check
9 Leistungsbewertung
Act
10 Verbesserung
36
Struktur 27001 2013
Teil 1 beschreibt organisatorische Anforderungen des Standards
Verlangt das das umgesetzt wird was da dring steht
Wenn ich diese Anforderungen erfülle kann ich zertifiziert werden
Teil2 beschreibt Massnahmenziele und Massnahmen
37
Kapitel der ISO27001
0 Einleitung
1 Anwendungsbereiche
2 Normative Referenzen
3 Definitionen
1 Kapitel 4 - 10
Anhang A - Controls
38
Kapitel 4 Kontext der Organisation
Rahmenbedingungen
Was wollen wir eigentlich erreichen was sind unsere Ziele
Schutzziele Schutzniveau
4. 1 Verständnis der ORG und des Umfeld
4. 2 Verst Anfoderungen an Stakeholder
4. 3. Geltungsbereich unter Berücksichtigung 4.1. und 4.2
4. 4. Betrieb eines ISMS auf Basis der Normanforderungen
39
Kapitel 5
Führung Ziele definiert Möglichkeit Ziele zu erreichen müssen geschaffen werden - Kompetenzen
5. 1. Verantwortung des Management
5. 2. Informstionsec Richtlinien — Leitlinie muss in Kraft gesetzt werden
5. 3 Organisation des ISMS
40
Kapitel 6
Planung
Risikomanagement Massnahmen identfizieren und umsetzen -welche Risiken existieren Wo sind Schwachstellen — Bedrohungen werden zu Gefährdungen
6.1. Konzeption einer Risikoanalyse (inkl Festlegung der Risikokriterien Risikobewertung Rissikobehandlung mit SoA) und Formulierung der Kontrollen für die Behandlung
RISK OWNER
6.2. DEF der Anforderungen and die Kontrollziele und erreichen der Kontrollziele in allen ORG Einheiten und auf allen Management ebenen
41
Kapitel 7
Unterstützung
7. 1 Bereitstellung der Resourcen allgemein (Plan)
7. 2 Anforderngen an die Kompetenzen (Do)
7. 3 IS Sensibilisierung der MItarbeiter (Do)
7. 4. Notwendigkeit der Kommunikation intern/extern
7. 5. Anforderungen and die Erstellung und Kontrolle von Dokumenten
Was nicht dokumentiert ist hat nicht stattgefunden.
42
Kapitel 8
Betrieb
Umsetzung !!!
8. 1 Planen Duchführen und Kontrolle der ISMS Prozesse
8. 2. Durchführen regelmäßiger Risikoberwertzungen nach 6.1
8. 3 Ausführung de Risikobehandlungplanes
43
Kapitel 9
Leistungsbewertung
9. 1. Messung und Überwachung des Erfüllungsgrades und der Wirksamkeit des ISMS
9. 2. Durchführung regelmäßiger unabhängiger interner audits zur Prüfung des ISMS
9. 3. Durchführung der Managementbewertungen
44
Kapitel 10
Verbesserung
10. 1. Nichtknformität des ISMS korrigieren die Auswirkungen überprüfen und bei Bedarf Änderungen am ISMS vornehmen
- Herkunft der Nicht Konformitäten klären
- Ergebnis der Korrekturmassnahmen dokumentieren
10. 2. Kontinuierliche Verbesserug des ISMS
45
Anhang A
Enthält 14 Abschnitte mit 114 Massnahmen /zielen
Code of Practice - branchenübergreifend best practice Ansatz
114 Controls Ratschläge zur Umsetzung
A5 - A18
46
A5
Sicherheitsleitlinien
Regelmäßige Überprüfung der Richtlinien - 7.5. Dokumentation - maximal 1 Jahr
Einmal anfassen muss nicht geändert werden
Regelmäßiger Zyklus
47
A6
Organisation der Informationssicherheit
Informationssicherheit im Projektmanagement
Kap 5
48
A7
Personal und Sicherheit
Sicherstellen das Angestellte Auftragnehmer und Drittnutzer Ihre Verantwortlichkeiten verstehen und geeignet sind
49
A8
Management der Werte
Assets identifizieren und schützen
50
A9
Zugang Zugriff
Schutz vor unerlaubten Zugang/Zugriff zu Informationsverarbeitung Einrichtngen Systemen und Anwendungen
51
A10
Kryptographische
| Sicherstellung und korrekte und wirksame Anwendung von Kryptogrpahie
52
A11
Physische und umweltbezogenen Sicherheit
Schutz vor unerlaubten Zutritt Beschädigung und Störung von ORG Infratsuktur und Information
53
A13
Sicherheit der Kommunikation
Netzwerk Sicherheit
Zonen
FW Regelungen etc
54
A14
Beschaffung Entwicklung und Instandhaltung von Systemen
55
A15
Lieferantenbeziehungen
56
A16
Management von Informtionssicherheitsvorfällen
57
A17
Business Continuity Management
58
A18
Richtlinienkonformität
59
27005 Vorteile
Universal anwendbare
Erfüllt Anforfderungen an ein Risikomanagement nach ISO27001
4 Schritte - Rahmendedingungen Bewertung Behandlung Akzeptnz
60
Risiko Management (Plan)
Rahmenbedingungen
Geltungsbereich
Geltungsbereich abstecken
Risikokriterien definieren
ORG des ISRM
61
Risiko Bewertung
Beinhaltet
Identifikation
Abschätzung
Priorisieren
BIA —- Prozessverantwortlicher
T&VA — Risk owner
62
Risikoakzeptanzgrenze
Abgrenzung zwischen zu behandelnden und nicht zu behandelnden Risiken
63
Behandlungsoptionen
Risikoreduktion Mitigation
Übernahme/Beibehlatung
Vermeidung
Übertrag/Abwälzung
64
Risikoakzeptanz
Nach Ausschöpfung aller Risikobehandlungsoptionen (ink Übernahme) die bewusste Akzeptanz der Restrisiken
65
Massnahmenumsetzung
Die Massnahmen zur Risikoumsetzung müssen auch umgesetzt werden
66
Risikoanalzyse Sprint
Verkürzte Version der Risiko Identfikation
67
Bewertung der Geschäftsrisiken nach IsF
```
A Unternehmensgefährdend
B Hoch
C Erheblich
D Störend
E Vernachlässigbar
...
```
68
Massnahmenplan
Massnahme = BIA + TVA
Pro asset
- Ausmaß BIA
- Eintrittswkt TVA
Massnahmen priorisieren
69
Information Risk Scorcard
Alternative Risikoanalyse zur Bestimmung von IS Risiken dar
Erfüllt Anforderungen der ISO27005 an eine Risikoanalyse
70
Warum ist Awareness notwendig
Positive sicherheitskuktur
Wissen über Sicherheit
Human FW are a Must
Das schwächste Glied in der Kette bestimmt das Sicherheitsniveau
71
Standort Bestimmung awareness
Wissen Kognition
Können Organiation
Wollen Handlungsabsicht
72
Externe Faktoren Awareness
```
Staatlich gesellschaftliche Normen
- Privatssphäre
- Transparenz Verbindlichkeit
- Kritis
Integrativer Bestandteil der ISO27001
Grundlage für die Anforderungen aus Gesetzen
```
73
Rechtlich Anforderungen Awareness
AktG GmbH G Sorgfaltspflicht
Organisatorische Maßnahmen relativieren die unebschränkte Haftung der GF
Internes Kontrollsystem soll Geschäftsrisiken frühzeitig aufdecken
Schutz personenbezogener Daten
74
Internationale Anforderungen Awareness
ISMS nach ISO27
...
...
75
Sicherheitskultur und Awareness
Unternehmenskultur und Awareness zentrale Grundlage
Teil der Security Identity
Verhalten entsprechend der Sicheheitsregeln
Kooperation des Management (alle Level)
76
Planungen Awareness
Ziele
Dauer der Massnahmen
Ressourcen
77
Zielgruppen
```
IT Abteilung
Informationssicherheit
DS Beauftragter
Personalabteilung
Rechtsabteilung
Facility Management
```
78
Aufbau eine Kampagne
Merksatz: Alarme (1), das weiss (2) jeder, verstärken (3) die öffentliche Wahrnehmung (4)
Aufmerksamkeit
Wissen und Einstellungen
Verstärkung
Öffentlichkeit
79
Die Kampagne Handlungsprinzipien
Botschaften definieren, sensibilisieren und rüberbringen
Definiere Security awareness Botschaften
Sensiblere für Pronlem Botschaften rüberbringen
80
Effektivität der Kampagne
Bewerte Effektivität
Überprüfe Program
Führe weitere Kampagnen durch
81
Erfolgsfaktoren für die berufliche Weiterbildung
Unternehmenskultur
Stellenwert der Weiterbildung
Vermittlungstechniken
Verfügbare Resourncen
82
Methoden und Tools
Bewährtes nutzen
Experimente
Direkter und persönlicher Kontakt
83
Awareness Branding
Marke
Unternehmensweit kommuniziert
Gleichwertige Wirkung auf Zielgruppen
84
BSI Grundschutz
Standard Absicherung
| Kernabsicherung - Kronjuwelen besondere Bedeutung
85
Standardabsicherung
7 insgesamt —>. (Merksatz) Globale (1) Strukturen (2) schützen (3) Modelle (4) , checken (5) das Risiko (6) und werden
umgesetzt (7)
Ähnlich ISO27K Vorgehen
1 Geltungsbereich (organisatorische Aspekte) —- „Globale“
2 Strukturanalyse (Ist Analyse) Asset Management —- „Strukturen“
3 Schutzbedarf (Gundlage primäre assets) —— „schützen“
4 Modellierung (Kompendium). Wählen anhand des Schutzbedarfs aus —- „Modelle“
5 IT Grundschutz Check - genügen wir den Anforderungen oder muss nachgebessert werden —- „checken“
6 Risikoanalyse und weiterführende Sicherheitsmaßnahmen (Risiko Management). BSI hat das schon vorgemacht für normalen Schutzbedarf —- „das Risiko“
7 Umsetzung und weitere Schritte — „und werden umgesetzt“
86
Kernabsicherung
Geltungsbereich abgegrenzt und klein
Gleiche Schritte wir zur Standardabsicherung
87
Standarabsicherung Geltungsbereich
Infoverbund IT Verbund
Ausgehend von Geschäftsprozessen
88
Standardabsicherung Strukturanalyse
Assetmanagement
IT, OT, Comms & physical
GP & Infos
Erfassung IT Anwendungen mittles derer Infos verarbeitet werden
Erfassung IT Systeme ICS IOT Systeme
Erfassung Räume und Gebäude
Erfassung Komms Verb
Komplexitätreduktion durch Gruppenbildung
89
Standardabsicherung Netzplanerhebung
IT Systeme
Netzverbindungen
Verbindungen des betrachteten Bereich
Kann nicht so im vorbeigehen erledigt werden
90
Strukturanalyse Komplexitätsreduction durch Gruppenbildung
Von gleichen Typ
Gleich oder nahezu gleich konfiguriert
Gleich oder nahezu gleich in Netz eingebunden
Gleiche Administration und Infrastucture Rahmenbedungungen
Die gleichen Anwendungen bedienen
Ständige Aktualisierung notwendig
91
Erfassung der IT Anwendungen
Höchster Bedard and CIA
92
BSI Grundschutz
Schutzbedarfsfestellung
Für CIA jede erfasste IT Anwendung
Normal - begrenzt und überschaubar
Hoch - beträchtlich
Sehr hoch - Katastrophe
Job
flashcards
Decks in class (7)
# Cards
