Einleitung Flashcards
Definition Informationssicherheit
Hat das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein.
Definition IT-Sicherheit
Teilmenge der Informationssicherheit, konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung
Definition Cybersicherheit
Teilmenge der Informationssicherheit, konzentriert sich auf den Schutz vor Angriffen aus dem Internet (Cyberspace)
Schutzziele Informationssicherheit
Vertraulichkeit, Integrität, Verfügbarkeit
Definition Informationssicherheitsmanagement
Bezeichnet die Umsetzung der Informationssicherheit in einer Organisation und besteht aus einer Menge von Prozessen, Verantwortlichkeiten und Dokumenten.
- Bestandteile:
-> Politik, d.h. Ausrichtung einer Organisation
-> Rollen & Verantwortlichkeiten
-> Managementprozesse in Bezug auf PDCA
-> Dokumentierte Informationen
Definition Asset
Ist ein Element, ein Gegenstand oder eine Einheit, das/der/die einen möglichen oder tatsächlichen Wert für eine Organisation hat (digital oder physisch).
Definition Schwachstelle
Ist eine Schwäche/Sicherheitslücke eines Assets oder einer Maßnahme, die von Dritten ausgenutzt werden kann
Definition Bedrohung
Potentielle Ursache eines unerwünschten Vorfalls, der Schaden zum System oder zur Organisation zufügen könnte
Definition Gefährdung
Ist eine Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt
Maßnahmenklassen
- Präventiv: Identifizierung von Risiken, Veröffentlichung einer Strategie
- Detektiv: Überwachung von Systemressourcen, Alarmauslösung
- Korrigierend: Technische/Juristische Untersuchungen infolge eines Sicherheitsvorfalls
Zyklus ISM
Plan (Planung)
Do (Umsetzung der Planung und Betrieb)
Check (Überpüfung der etablierten Prozesse und Maßnahmen)
Act (Festlegung von Korrekturmaßnahmen zur Verbesserung)
Einteilung Assets
- Primäre Assets
- Sekundäre Assets
Beispiele Primäre Assets
- Prozesse
- Informationen
Beispiele Sekundäre Assets
- Hardware
- Software
- Netzwerk
- Personal
- Standort
Beispiele für Schwachstellen
- Hardware (Asset): Mangelnde Sorgfalt bei der Entsorgung
- Software (Asset): Kein oder unzureichender Softwaretest
- Netzwerk (Asset): Ungeschützte Kommunikationsleitungen
- Mitarbeiter (Asset): Unzureichende Sicherheitsschulung
- Standort (Asset): Lage in einem hochwassergefährdeten Gebiet
- Organisation: Fehlende Zuordnung der Verantwortlichkeiten für die Informationssicherheit
Beispiele Bedrohungen
- Physische Bedrohungen: Feuer, Wasserschäden
- Naturkatastrophen: Erdbeben, Vulkanausbruch
- Ausfälle der Infrastruktur: Ausfall der Stromversorgung
- Technische Ausfälle: Ausfall eines Geräts oder Systems
- Menschliches Handeln: Unbefugtes Betreten von Einrichtungen
- Beeinträchtigung von Funktionen/Diensten: Missbrauch von Rechten oder Befugnissen
Zusammenwirken Bedrohung/Gefährdung/Schwachstelle/Maßnahme/Risiko
- Bedrohung ist ohne Schwachstelle wirkungslos
- Bedrohung nutzt Schwachstelle aus und wird damit zur Gefährdung für ein Asset (Informationssicherheitsrisiko)
- Bedrohung ist wirkungslos, da eine Schwachstelle durch eine Schutzmaßnahme geschützt wird
- Maßnahmen können Schwachstellen haben
- Schwachstellen erhöhen Risiken
Definition Maßnahme
Maßnahmen zur Informationssicherheit umfassen alle Prozesse, Richtlinien, Verfahren, Praktiken oder Organisationsstrukturen, die administrativer, technischer oder rechtlicher Natur sein können und das Risiko der Informationssicherheit verändern
Maßnahmentypen
- Technische Maßnahmen: Alarmsysteme, Überwachungskameras, Firewalls
- Verwaltungsmaßnahmen: Aufgabenteilung, Jobrotation, Genehmigungsverfahren
- Gesetzliche Maßnahmen: Anwendung von Rechtsvorschriften, vertragliche Verpflichtungen
- Führungsmaßnahmen: Schulung von Mitarbeitern, Audits, Managementüberprüfungen
Definition Vertraulichkeit
Informationen und Systeme werden nur von den Personen eingesehen, die dazu entsprechend berechtigt sind
Definition Verfügbarkeit
Autorisierte Benutzer werden nicht an der Verwendung von Systemen oder am Zugriff von Informationen behindert
Definition Integrität
Informationen und Systeme werden nicht von unbefugten Personen oder durch fehlerhafte Verarbeitung verfälscht