ITT2 ISMS und Grundschutz Flashcards
was ist ISMS?
Erklärung und “ISMS” ausgeschrieben
Information Security Management System
Management der Informationssicherheit
Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu:
definieren
kontrollieren und aufrecht zu erhalten
und fortlaufend zu verbessern
Welche zwei wesentliche Standards gibt es um ISMS einzuführen?
ISO 27001 und BSI IT-Grundschutz
ISMS nach ISO 27001 und nach BSI IT-Grundschutz. Woran unterscheidet man?
Ein ISMS nach ISO 27001 ist mehr am Management der Informationssicherheit interessiert.
ISMS nach BSI IT-Grundschutz beschreibt detaillierte Vorgehensweisen zur Minimierung von Risiken.
was machen BSI-Standards zum IT-Grundschutz?
- erläutern das Verfahren, wie der IT-Grundschutz anzuwenden ist,
- empfehlen den organisatorischen Rahmen
- liefern systematische Methoden zur Entwicklung von Sicherheitskonzepten
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
- BSI-Standard 200-2: IT-Grundschutz-Methodik
- BSI-Standard 200-3: Risikomanagement
- BSI-Standard 200-4: Business Continuity Management
- BSI-Standard 100-4: Notfallmanagement
was steht im IT-Grundschutz-Kompendium?
-wie, die in den BSI-Standards formulierten Empfehlungen umzusetzen sind
-IT-Grundschutz-Bausteine für alle Bereiche der Informationssicherheit
-konkrete Sicherheitsanforderungen und Umsetzungs-Maßnahmen
Phasen des Informationssicherheitsprozesses
- ISMS einführen
- Leitlinie zur Informationssicherheit erstellen
- Sicherheitsprozess organisieren
- Sicherheitskonzept erstellen <—————————-
| - Sicherheitskonzept umsetzen |
| - ISMS Weiterentwicklung und Verbesserung ——->
Informationssicherheit ist ein ständiger Prozess! (kein statischer Zustand)
Informationssicherheits-Leitlinie (2. Phase) was ist das?
beschreibt Sicherheitsziele
beschreibt das geplante Sicherheitsniveau des Unternehmens
was sollten alle Mitarbeiter kennen und nachvollziehen können?
die Inhalte der Informationssicherheits-Leitlinie ( wird in 2. Phase erstellt)
Sicherheitsprozess organisieren (3. Phase) was wird hier festgelegt?
Personen, Aufgaben, Verantwortlichkeiten und Kompetenzen festlegen.
- Informationssicherheitsbeauftragten (ISB)
evtl. noch:
- Datenschutzbeauftragter (DSB)
- externe Experten
Informationsfluss zur Leitungsebene festlegen
- Meldewege
- Berichte
was muss der Informationssicherheitsbeauftragte machen?
- ist für alle Fragen zur Informationssicherheit zuständig
- steuert und koordiniert den Sicherheitsprozess
Sicherheitskonzept erstellen (4. Phase) was sind die wesentlichen Schritte?
Idee um besser zu lernen: nur die Überbegriffe hier und nochmal jeweils einzelne Karten mit der Definition. dass dann hier nur so ist:
Das Sicherheitskonzept dient dazu, vorhandene IT-Sicherheits-Mängel zu ermitteln:
Die wesentliche Schritte sind:
- Geltungsbereichs des Sicherheitskonzeptes festlegen (Informationsverbund)
- Strukturanalyse: Erfassen und festlegen aller Schutzobjekte (Assets)
bei Kern-Absicherung: nur die kritischen Schutzobjekte (Kronjuwelen) festlegen - Schutzbedarfsfeststellung: für jedes festgelegte Schutzobjekt
die Höhe des benötigten Schutzes (Schutzbedürftigkeit) bestimmen - Modellierung: genau die passenden IT-Grundschutz-Bausteine bestimmen,
die auf die festgelegten Schutzobjekte anzuwenden sind - IT-Grundschutz-Check: “Prüfplan” für einen Soll-Ist-Vergleich um
herauszufinden,
welche Sicherheits-Anforderungen durch die Modellierung bereits erfüllt sind,
und welche noch nicht erfüllt sind - nur bei hohem Schutzbedarf: Risikoanalyse und Festlegung weiterer
Maßnahmen - Umsetzungsplanung: z.B. mit Kosten- und Aufwandsabschätzung, Festlegung
der Umsetzungsreihenfolge der Sicherheitsmaßnahmen sowie Festlegen der
Aufgaben
Geltungsbereich
Strukturanalyse
Schutzbedarfsfeststellung
Modellierung
IT-Grundschutz-Check
Risikoanalyse
Umsetzungsplan
Sicherheitskonzept umsetzen was wird umgesetzt? (5. Phase)
die im Sicherheitskonzept festgelegten Maßnahmen
auch konsequent umsetzen
falls eine Zertifizierung angestrebt wird,
ist diese hier entsprechend vorzubereiten
ISMS weiterentwickeln und verbessern (6. Phase)
was ist das Ziel und was muss regelmäßig gemacht werden?
die Informationssicherheit im Unternehmen muss „leben“ wie kann man dies erreichen?
Ziel: das angestrebte Sicherheitsnieveau
- zu erreichen,
- dauerhaft aufrechtzuerhalten
- weiter verbessern
ISMS-Strukturen müssen regelmäßig überprüft werden:
- ob sie passend,
- wirksam
- und effizient sind
die Informationssicherheit im Unternehmen muss „leben“ wie kann man dies erreichen?
- dies kann über Schulungen und Awareness-Aktivitäten erreicht werden
ISMS einführen
was muss da gemacht werden?
- ISMS einführen
- Leitungsebene übernimmt Verantwortung
- Ressourcen für ISMS-Team bereitstellen (finanzielle, personelle, Zeit)
- über die Vorgehensweise entscheiden (Basis-, Kern- oder
Standardabsicherung)
- Sicherheitsprozess planen
- Geltungsbereich festlegen