4.3 Sichere Organisation

Question 1

Drei Ansätze zur Bedrohungsabwehr

Answer 1

• Prävention
• Erkennung und Behebung
• Schadensbegrenzung

Question 2

Prävention

Answer 2

Beinhaltet

• Schutzbedarfsermittlung, -Risikoabschätzung und
• Analyse von Schwachstellen.

Thema Sicherheit in der Organisationsstruktur sinnvoll zu verankern und Mitarbeiter zu schulen.

Question 3

Erkennung und Behebung Bedsrohungsabwehr

Answer 3

• insbesondere technische Maßnahmen

- auch Strukturen und Leitlinien, die das Erkennen von Unregelmäßigkeiten unterstützen.

Question 4

Schadensbegrenzung Bedrohungsabwehr

Answer 4

• neben technischen Maßnahmen auch organisatorische getroffen werden, z. B. die Kommunikation mit Mitarbeitern, Kunden oder der Öffentlichkeit.
• zieht bestenfalls auch wieder Maßnahmen der Prävention und zur Erkennung nach sich.

Question 5

Der ISO 27000-Standard

Answer 5

vereint über 20 Standards bzw. Normen und Guidelines zur Informationssicherheit

Question 6

ISO 27002

Answer 6

• stellt allgemeine Richtlinien und Empfehlungen für das Informationssicherheits-Management
• enthält 14 Bereiche: „Sicherheitsrichtlinien“ oder „Beziehungen zu Lieferanten“, auch technikbezogene Empfehlungen z.B. zu „Access Control“ oder „Kryptographie.
• reine Empfehlungen

Question 7

IT-Grundschutz

Answer 7

• ganzheitliches Konzept vom BSI
• IT-Grundschutz-Kompendium als Kern
• kompatibel zum Standard ISO 27001
• enthält Empfehlungen für typische Geschäftsprozesse, Anwendungen und IT-Systeme

Question 8

Schichtenmodell des IT-Grundschutzes

Answer 8

• ORP befasst sich mit organisatorischen und personellen Sicherheitsaspekten. In diese Schicht fallen beispielsweise die Bausteine Organisation und Personal.
• CON enthält Bausteine, die sich mit Konzepten und Vorgehensweisen befassen. Typische Bausteine der Schicht CON sind unter anderem Kryptokonzept und Datenschutz.
• OPS umfasst alle Sicherheitsaspekte betrieblicher Art. Insbesondere sind dies die Sicherheitsaspekte des operativen IT-Betriebs, sowohl bei einem Betrieb im Haus, als auch bei einem IT-Betrieb, der in Teilen oder komplett durch Dritte betrieben wird.
• DER finden sich alle Bausteine, die für die .berprüfung der umgesetzten Sicherheitsmaßnahmen, die Detektion von Sicherheitsvorfällen sowie die geeigneten Reaktionen darauf relevant sind. Typische Bausteine der Schicht DER sind Behandlung von Sicherheitsvorfällen und Vorsorge für IT-Forensik

Question 9

Kontinuierlicher Sicherheitsprozess entsprechend PDCA

Answer 9

• Plan
• Do
• Check
• Act, Verbesserung

Question 10

Informationssicherheitsmanagementsystem

Answer 10

ein Managementsystem, um Informationssicherheit zu gewährleisten.

• Informationen werden als Wert (Asset) verstanden
• Unternehmensziel für die internen Informationen: Vertraulichkeit, Integrität und Verfügbarkeit
• anhand von Prozessen (Mittel) erreicht.

Question 11

Phasen des Sicherheitsprozesses

Answer 11

-Initiierung des Sicherheitsprozesses: organisatorische Verankerung der IT-Sicherheit im Unternehmen.
-Erstellung einer Leitlinie:
Kommunikation der Sicherheitsziele innerhalb der Organisation.
-Organisation des Sicherheitskonzepts: Maßnahmen, um Verantwortlichkeiten zu schaffen sowie Ressourcen, Räumlichkeiten und Budget bereitzustellen, die für die Umsetzung des Sicherheitskonzeptes notwendig sind.
-Erstellung eines Sicherheitskonzepts: Analysen und Bewertungen anhand derer konkrete Maßnahmen abgeleitet werden.
-Umsetzung des Sicherheitskonzepts, konkrete Implementierung der Maßnahmen.
-Aufrechterhaltung der Informationssicherheit im laufenden Betrieb und kontinuierliche Verbesserung.

Question 12

Schritte Zur Erstellung eines Sicherheitskonzept

Answer 12

• Strukturanalyse,
• Schutzbedarfsfeststellung,
• Bedrohungs und- Risikoanalyse

Question 13

Strukturanalyse

Answer 13

dokumentiert das IT-System mit (ggf. vernetzten) Komponenten als auch im Kontext von infrastrukturellen, organisatorischen und personellen Objekten und Rahmenbedingungen

Question 14

Schutzbedarfsfeststellung

Answer 14

anhand möglicher Schäden und Beeinträchtigungen zu entscheiden, 
   welcher Schutz? 
   Welche Informationstechnik  (Assets) ?

ausreichend und angemessen ist

Schutzbedarfskategorien

normal: Die Schadensauswirkungen sind begrenzt und überschaubar.
hoch: Schadensauswirkungen können beträchtlich sein.
sehr hoch: Schadensauswirkungen können existentiell bedrohlich sein bzw. ein katastrophales Ausmaß   annehmen.

Question 15

Bedrohungsanalyse

Answer 15

• einzelne Ursachen werden für Bedrohungen systematisch ermitteln
• ausgehend vomAngriffsziel analysieren, welche potentiellen Auslöser (Akteure oder technische Komponenten) beteiligt sind

welche Angriffsszenarien zum Erreichen von Zwischenzielen mit dem eigentlichen Ziel verbunden sind

Question 16

Risikoanalyse

Answer 16

• Bewertung der identifizierten Bedrohungen

Question 17

Security Development Lifecycle

Answer 17

• auf den Gestaltungsprozess selbst bezogen
• Sicherheit in den Softwareentwicklungsprozess integriert
• hängt sowohl von der Art der Software ab, die entwickelt wird, als auch vom Vorgehensmodell