Grundlagen Flashcards
Beschreiben Sie den Unterschied von technischen und organisatorische Maßnahmen sowie zwischen präventiven, detektiven und reaktiven Maßnahmen.
Aufgabe 4: (T)
Kombination aller in einem Szenario eingesetzten präventiven Maßnahmen dient der Erhaltung von CIA.
Detektierende Maßnahmen dienen dem Erkennen von unerwünschten Sicherheitsereignissen, bei denen die präventiven Maßnahmen unzureichend waren
Reagierende Maßnahmen dienen der Wiederherstellung des Soll-Zustands nach dem Erkennen von unerwünschten Sicherheitsereignissen.
Hint: Angriffe kann man oftmals mit diesen Methoden erschweren, jedoch kann es sein dass gekaufte Software gewhitelisted sind aber dennoch Viren enthalten. Deswegen Misstrauisch sein, auch bei zugekaufter Software! Trend: Zero-Trust-Ansatz?
Ordnen Sie folgende Sicherheitsmaßnahmen mindestens einer dieser Kategorien zu, z.B.
technisch-präventiv oder organisatorisch-reaktiv und begründen Sie ihre Zuordnung knapp.
- Patchmanagementworkflow
- Host Intrusion Detection System
- Access Control Lists
- Richtlinie zur Entsorgung von Datenträgern
- Zutrittskontrolle - Backup
Aufgabe 4: (T)
Patchmanagement: Organisatorisch Reaktiv
Richtlinie zur Entsorgung von Datenträgern: Organisatorisch Präventiv
Backup: Technisch präventiv
Host Intrusion Detection System: Technisch Detektierend
Zutrittskontrolle: Organisatorisch und Technisch Präventiv und Detektierend
Access Controll List: technisch präventiv
Ordnen Sie folgende Sicherheitsmaßnahmen mindestens einer dieser Kategorien zu.
Vorlesung
Welche Schutzziele der Informationssicherheit (CIA) werden durch die folgenden Maßnahmen geschützt?
- E-Mail Signatur
- E-Mail Verschlüsselung
- Dokumenten Backup
- Dokumenten Archivierung
Aufgabe 4: (T)
Beschreiben Sie die kontinuierliche Verbesserung des ISMS auf Basis des Deming-Zyklus.
Welche konkreten Aktionen können zur Überprüfung (Check) durchgeführt werden?
Aufgabe 6: (T)
Plan: Ziele festlegen
Do: Umsetzung von Maßnahmen, Check: Überprüfung der Wirksamkeit (interne und externe Audits, Management Review),
Act: Korrekturmaßnahmen ableiten
Welche konkreten Aktionen können zur Überprüfung (Check)
durchgeführt werden?
**Interne Audits: **Von einer unabhängigen Person durchgeführte Überprüfung zur
Feststellung der Konformität, Zielerreichung und Wirksamkeit von Maßnahmen.
Externe Audits: Von einer unabhängigen Organisation durchgeführte Audits zur
Prüfung der Konformität und/oder Zertifizierung.
Management Review: Prüfung von Berichten durch das Top-Management zum
Vergleich von Kennzahlen und Zielwerten im Bezug auf die Unternehmensstrategie.
Beschreiben Sie den grundsätzlichen Ablauf des Risikomanagement gemäß ISO/IEC 27000.
Gehen Sie dabei auf die Teilschritte der Risikoanalyse, Risikobewertung und Risikobehandlung ein.
ODER:
Beschreiben Sie kurz den grundsätzlichen Ablauf der Risikobeurteilung und gehen dabei insbesondere auf die Schritte Risikoanalyse und Risikobewertung ein.
Aufgabe 6: (T) & 2021
ISO/IEC 27001 legt Mindestanforderungen an ein ISMS fest:(Standards), Richtlinien, Prozesse, Verfahren und Maßnahmen, die dazu dienen, die IS in einer Organisation dauerhaft zu definieren (plan), steuern, aufrecht zu erhalten (do), zu kontrollieren (check) und kontinuierlich zu verbessern (act).
Nennen und erläutern Sie kurz mindestens drei Möglichkeiten zur Risikobehandlung. Sieht
ISO/IEC 27001 das Ignorieren existierender Risiken explizit als Behandlungsoption vor? Begründen Sie ihre Entscheidung!
(Risiko-)Verminderung/Reduzierung/Modifikation (z.B. durch Ergreifen von Maßnahmen)
(Risiko-) Vermeidung (z.B. durch Unterlassen risikobehafteter Aktivitäten)
(Risiko-) Transfer/Teilen(z.B. Versicherung, …)
Ignorieren von Risiken? NEIN! Risiken können von der Geschäfts-/Unternehmensführung (wissentlich) akzeptiert und getragen werden.
Erläutern Sie die Sicherheitsziele Vertraulichkeit, Integrität,
Verfügbarkeit und Authentizität in eigenen Worten und geben Sie ein Beispiel für eine Massnahme an, um das jeweilige Ziel zu erreichen.
- Vertraulichkeit: Vertraulichkeit ist gewährleistet, wenn geschützte Daten nur von Berechtigten genutzt werden können. Teilziel gilt als verletzt, wenn geschützte Daten von unautorisierten Subjekten eingesehen werden können. Typische Sicherheitsmaßnahme: Verschlüsselung, Zutritts-, Zugangs- und ZugriffskontrollePrinzipien: „Minimalen Rechte“
- Integrität: Integrität ist gewährleitet, wenn geschützte Daten nicht unautorisiert und unbemerkt modifiziert werden können. Teilziel gilt als verletzt, wenn Daten von unautorisierten Subjekten unbemerkt verändert werden. Typische Sicherheitsmaßnahme: Kryptographische Prüfsumme, Protokollierung, Reports
- Verfügbarkeit: Verfügbarkeit ist gewährleistet, wenn autorisierte Subjekte störungsfrei ihre Berechtigungen wahrnehmen können. Teilziel verletzt, wenn ein Angreifer die Dienst- und Datennutzung durch legitime Anwender einschränkt. Typische Sicherheitsmaßnahme: Redundanz (z.B. Daten-Backups), Overprovisioning (z.B. mehr als genug Server)
- Authentizität (authenticity): Eigenschaft der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit
→Authentifikation des Datenursprungs. Ziel verletzt, wenn Datenursprung nicht eindeutig/zweifelsfrei zuordenbar. Typische Sicherheitsmaßnahme: Digitale Signatur u. symmetrische Verschlüsselung, (Hashed) Message Authentication Codes (MAC)
Erläutern Sie den Unterschied zwischen Security und Safety in
eigenen Worten und geben Sie mindestens zwei Beispiele für die jeweiligen Themen gebiete an.
Aufgabe 7: (H)
Security(Zugangskontrolle, Verschlüsselung) beschreibt eine Teilmenge der Themengebiete von Safety (Glatteiswarnung, Brandmeldeanlage). Security bezieht sich dabei darauf auf Gefährdungen durch Angriffe vorbereitet zu sein und diesen effektiv begegnen zu können. Safety umfasst weitere “Sicherheits”-Themen zur allgemeinen Vermeidung von Gefahren.
Das bekannte Bell LaPadula Modell dient zur Sicherstellung der Vertraulichkeit klassifizierter Informationen. Beschreiben Sie kurz Eckpunkte dieses Modells, insb. die hier geltenden Regeln für Zugriffe auf diese Informationen und das hier angewendete Prinzip der sog. dominance relation.
Aufgabe 7: (H)
Objekte werden Zuständigkeitsbereich Z(O) und Einstufung/Klassifikation E(O) zugeordnet, z.B. geheim, intern
Subjekte werden Zuständigkeitsbereich Z(S) und Ermächtigung (Clearance) E(S) zugeordnet.
Dominance relation: security levelA dominates level B, wenn E(A) > E(B) (z.B. top-secret dominates secret)
Bei der Kategorisierung von Sicherheitsmaßnahmen bedient man sich häufig welcher Schemata
- präventiv, detektierend, proaktiv
- ISO IEC 27000, …
- technisch, organisatorisch
- …
2011
- präventiv, detektierend, proaktiv
- ISO IEC 27000, …
- technisch, organisatorisch
- …
Sicherheitsmaßnahmen lassen sich in unterschiedliche Kategorien einordnen, z.B. werden einerseits technische und organisatorische Maßnahmen unterschieden, andererseits präventive, detektierende und reaktive Maßnahmen. Ordnen Sie die folgenden Maßnahmen in diese Kategorien, z.B. Maßnahme M-X gehört zur Kategorie organisatorisch-präventiv.
* M-A Firewall oder Access Control Listen
* M-B Verfahren zur Handhabung von Sicherheitsvorfällen
* M-C Datensicherung (Backup)
* M-D Logging-Richtlinie
- M-A Firewall oder Access Control Listen: technisch - praeventiv
- M-B Verfahren zur Handhabung von Sicherheitsvorfällen - organisatorisch - reaktiv
- M-C Datensicherung (Backup) - technisch - praeventiv
- M-D Logging-Richtlinie, organisatorisch - detektiv
Was fließt direkt oder indirekt in die Risikobewertung mit ein?
* Schadenshöhe
* mögliche Angriffe
* Ergebnisse der Risikoanalyse
* Evaluation
2015
- Schadenshöhe
- mögliche Angriffe
- Ergebnisse der Risikoanalyse
- Evaluation
Was sind keine Inhalte des Risikomanagements nach ISO IEC 27000?
- Ermitteln von Risikobehandlungsoptionen
- Ignorieren von Risiken
- Schulen von Mitarbeitern und Personal
- Risikoanalyse
2011
- Ermitteln von Risikobehandlungsoptionen
- Ignorieren von Risiken
- Schulen von Mitarbeitern und Personal
- Risikoanalyse
Bei der Risikoeinschätzung wird neben der Einschätzung der Schadenshöhe was noch ermittelt?
2011
Eintrittswahrscheinlichkeit
