ITT2 ISMS und Grundschutz Flashcards

1
Q

was ist ISMS?
Erklärung und “ISMS” ausgeschrieben

A

Information Security Management System

Management der Informationssicherheit

Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu:
definieren
kontrollieren und aufrecht zu erhalten
und fortlaufend zu verbessern

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Welche zwei wesentliche Standards gibt es um ISMS einzuführen?

A

ISO 27001 und BSI IT-Grundschutz

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

ISMS nach ISO 27001 und nach BSI IT-Grundschutz. Woran unterscheidet man?

A

Ein ISMS nach ISO 27001 ist mehr am Management der Informationssicherheit interessiert.
ISMS nach BSI IT-Grundschutz beschreibt detaillierte Vorgehensweisen zur Minimierung von Risiken.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

was machen BSI-Standards zum IT-Grundschutz?

A
  • erläutern das Verfahren, wie der IT-Grundschutz anzuwenden ist,
  • empfehlen den organisatorischen Rahmen
  • liefern systematische Methoden zur Entwicklung von Sicherheitskonzepten
  • BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
  • BSI-Standard 200-2: IT-Grundschutz-Methodik
  • BSI-Standard 200-3: Risikomanagement
  • BSI-Standard 200-4: Business Continuity Management
  • BSI-Standard 100-4: Notfallmanagement
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

was steht im IT-Grundschutz-Kompendium?

A

-wie, die in den BSI-Standards formulierten Empfehlungen umzusetzen sind
-IT-Grundschutz-Bausteine für alle Bereiche der Informationssicherheit
-konkrete Sicherheitsanforderungen und Umsetzungs-Maßnahmen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Phasen des Informationssicherheitsprozesses

A
  1. ISMS einführen
  2. Leitlinie zur Informationssicherheit erstellen
  3. Sicherheitsprozess organisieren
  4. Sicherheitskonzept erstellen <—————————-
    |
  5. Sicherheitskonzept umsetzen |
    |
  6. ISMS Weiterentwicklung und Verbesserung ——->

Informationssicherheit ist ein ständiger Prozess! (kein statischer Zustand)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Informationssicherheits-Leitlinie (2. Phase) was ist das?

A

beschreibt Sicherheitsziele
beschreibt das geplante Sicherheitsniveau des Unternehmens

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

was sollten alle Mitarbeiter kennen und nachvollziehen können?

A

die Inhalte der Informationssicherheits-Leitlinie ( wird in 2. Phase erstellt)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Sicherheitsprozess organisieren (3. Phase) was wird hier festgelegt?

A

Personen, Aufgaben, Verantwortlichkeiten und Kompetenzen festlegen.
- Informationssicherheitsbeauftragten (ISB)
evtl. noch:
- Datenschutzbeauftragter (DSB)
- externe Experten

Informationsfluss zur Leitungsebene festlegen
- Meldewege
- Berichte

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

was muss der Informationssicherheitsbeauftragte machen?

A
  • ist für alle Fragen zur Informationssicherheit zuständig
  • steuert und koordiniert den Sicherheitsprozess
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Sicherheitskonzept erstellen (4. Phase) was sind die wesentlichen Schritte?

A

Idee um besser zu lernen: nur die Überbegriffe hier und nochmal jeweils einzelne Karten mit der Definition. dass dann hier nur so ist:

Das Sicherheitskonzept dient dazu, vorhandene IT-Sicherheits-Mängel zu ermitteln:

Die wesentliche Schritte sind:

  • Geltungsbereichs des Sicherheitskonzeptes festlegen (Informationsverbund)
  • Strukturanalyse: Erfassen und festlegen aller Schutzobjekte (Assets)
    bei Kern-Absicherung: nur die kritischen Schutzobjekte (Kronjuwelen) festlegen
  • Schutzbedarfsfeststellung: für jedes festgelegte Schutzobjekt
    die Höhe des benötigten Schutzes (Schutzbedürftigkeit) bestimmen
  • Modellierung: genau die passenden IT-Grundschutz-Bausteine bestimmen,
    die auf die festgelegten Schutzobjekte anzuwenden sind
  • IT-Grundschutz-Check: “Prüfplan” für einen Soll-Ist-Vergleich um
    herauszufinden,
    welche Sicherheits-Anforderungen durch die Modellierung bereits erfüllt sind,
    und welche noch nicht erfüllt sind
  • nur bei hohem Schutzbedarf: Risikoanalyse und Festlegung weiterer
    Maßnahmen
  • Umsetzungsplanung: z.B. mit Kosten- und Aufwandsabschätzung, Festlegung
    der Umsetzungsreihenfolge der Sicherheitsmaßnahmen sowie Festlegen der
    Aufgaben

Geltungsbereich
Strukturanalyse
Schutzbedarfsfeststellung
Modellierung
IT-Grundschutz-Check
Risikoanalyse
Umsetzungsplan

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Sicherheitskonzept umsetzen was wird umgesetzt? (5. Phase)

A

die im Sicherheitskonzept festgelegten Maßnahmen
auch konsequent umsetzen

falls eine Zertifizierung angestrebt wird,
ist diese hier entsprechend vorzubereiten

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

ISMS weiterentwickeln und verbessern (6. Phase)
was ist das Ziel und was muss regelmäßig gemacht werden?

die Informationssicherheit im Unternehmen muss „leben“ wie kann man dies erreichen?

A

Ziel: das angestrebte Sicherheitsnieveau
- zu erreichen,
- dauerhaft aufrechtzuerhalten
- weiter verbessern

ISMS-Strukturen müssen regelmäßig überprüft werden:
- ob sie passend,
- wirksam
- und effizient sind

die Informationssicherheit im Unternehmen muss „leben“ wie kann man dies erreichen?
- dies kann über Schulungen und Awareness-Aktivitäten erreicht werden

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

ISMS einführen
was muss da gemacht werden?

A
  1. ISMS einführen
    - Leitungsebene übernimmt Verantwortung
    - Ressourcen für ISMS-Team bereitstellen (finanzielle, personelle, Zeit)
    - über die Vorgehensweise entscheiden (Basis-, Kern- oder
    Standardabsicherung)
    - Sicherheitsprozess planen
    - Geltungsbereich festlegen
How well did you know this?
1
Not at all
2
3
4
5
Perfectly