ITT2 ISMS und Grundschutz

Question 1

was ist ISMS?
Erklärung und “ISMS” ausgeschrieben

Answer 1

Information Security Management System

Management der Informationssicherheit

Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu:
definieren
kontrollieren und aufrecht zu erhalten
und fortlaufend zu verbessern

Question 2

Welche zwei wesentliche Standards gibt es um ISMS einzuführen?

Answer 2

ISO 27001 und BSI IT-Grundschutz

Question 3

ISMS nach ISO 27001 und nach BSI IT-Grundschutz. Woran unterscheidet man?

Answer 3

Ein ISMS nach ISO 27001 ist mehr am Management der Informationssicherheit interessiert.
ISMS nach BSI IT-Grundschutz beschreibt detaillierte Vorgehensweisen zur Minimierung von Risiken.

Question 4

was machen BSI-Standards zum IT-Grundschutz?

Answer 4

• erläutern das Verfahren, wie der IT-Grundschutz anzuwenden ist,
• empfehlen den organisatorischen Rahmen
• liefern systematische Methoden zur Entwicklung von Sicherheitskonzepten
• BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
• BSI-Standard 200-2: IT-Grundschutz-Methodik
• BSI-Standard 200-3: Risikomanagement
• BSI-Standard 200-4: Business Continuity Management
• BSI-Standard 100-4: Notfallmanagement

Question 5

was steht im IT-Grundschutz-Kompendium?

Answer 5

-wie, die in den BSI-Standards formulierten Empfehlungen umzusetzen sind
-IT-Grundschutz-Bausteine für alle Bereiche der Informationssicherheit
-konkrete Sicherheitsanforderungen und Umsetzungs-Maßnahmen

Question 6

Phasen des Informationssicherheitsprozesses

Answer 6

1. ISMS einführen
2. Leitlinie zur Informationssicherheit erstellen
3. Sicherheitsprozess organisieren
4. Sicherheitskonzept erstellen <—————————-
   |
5. Sicherheitskonzept umsetzen |
   |
6. ISMS Weiterentwicklung und Verbesserung ——->

Informationssicherheit ist ein ständiger Prozess! (kein statischer Zustand)

Question 7

Informationssicherheits-Leitlinie (2. Phase) was ist das?

Answer 7

beschreibt Sicherheitsziele
beschreibt das geplante Sicherheitsniveau des Unternehmens

Question 8

was sollten alle Mitarbeiter kennen und nachvollziehen können?

Answer 8

die Inhalte der Informationssicherheits-Leitlinie ( wird in 2. Phase erstellt)

Question 9

Sicherheitsprozess organisieren (3. Phase) was wird hier festgelegt?

Answer 9

Personen, Aufgaben, Verantwortlichkeiten und Kompetenzen festlegen.
- Informationssicherheitsbeauftragten (ISB)
evtl. noch:
- Datenschutzbeauftragter (DSB)
- externe Experten

Informationsfluss zur Leitungsebene festlegen
- Meldewege
- Berichte

Question 10

was muss der Informationssicherheitsbeauftragte machen?

Answer 10

• ist für alle Fragen zur Informationssicherheit zuständig
• steuert und koordiniert den Sicherheitsprozess

Question 11

Sicherheitskonzept erstellen (4. Phase) was sind die wesentlichen Schritte?

Answer 11

Idee um besser zu lernen: nur die Überbegriffe hier und nochmal jeweils einzelne Karten mit der Definition. dass dann hier nur so ist:

Das Sicherheitskonzept dient dazu, vorhandene IT-Sicherheits-Mängel zu ermitteln:

Die wesentliche Schritte sind:

• Geltungsbereichs des Sicherheitskonzeptes festlegen (Informationsverbund)
• Strukturanalyse: Erfassen und festlegen aller Schutzobjekte (Assets)
  bei Kern-Absicherung: nur die kritischen Schutzobjekte (Kronjuwelen) festlegen
• Schutzbedarfsfeststellung: für jedes festgelegte Schutzobjekt
  die Höhe des benötigten Schutzes (Schutzbedürftigkeit) bestimmen
• Modellierung: genau die passenden IT-Grundschutz-Bausteine bestimmen,
  die auf die festgelegten Schutzobjekte anzuwenden sind
• IT-Grundschutz-Check: “Prüfplan” für einen Soll-Ist-Vergleich um
  herauszufinden,
  welche Sicherheits-Anforderungen durch die Modellierung bereits erfüllt sind,
  und welche noch nicht erfüllt sind
• nur bei hohem Schutzbedarf: Risikoanalyse und Festlegung weiterer
  Maßnahmen
• Umsetzungsplanung: z.B. mit Kosten- und Aufwandsabschätzung, Festlegung
  der Umsetzungsreihenfolge der Sicherheitsmaßnahmen sowie Festlegen der
  Aufgaben

Geltungsbereich
Strukturanalyse
Schutzbedarfsfeststellung
Modellierung
IT-Grundschutz-Check
Risikoanalyse
Umsetzungsplan

Question 12

Sicherheitskonzept umsetzen was wird umgesetzt? (5. Phase)

Answer 12

die im Sicherheitskonzept festgelegten Maßnahmen
auch konsequent umsetzen

falls eine Zertifizierung angestrebt wird,
ist diese hier entsprechend vorzubereiten

Question 13

ISMS weiterentwickeln und verbessern (6. Phase)
was ist das Ziel und was muss regelmäßig gemacht werden?

die Informationssicherheit im Unternehmen muss „leben“ wie kann man dies erreichen?

Answer 13

Ziel: das angestrebte Sicherheitsnieveau
- zu erreichen,
- dauerhaft aufrechtzuerhalten
- weiter verbessern

ISMS-Strukturen müssen regelmäßig überprüft werden:
- ob sie passend,
- wirksam
- und effizient sind

die Informationssicherheit im Unternehmen muss „leben“ wie kann man dies erreichen?
- dies kann über Schulungen und Awareness-Aktivitäten erreicht werden

Question 14

ISMS einführen
was muss da gemacht werden?

Answer 14

1. ISMS einführen
   - Leitungsebene übernimmt Verantwortung
   - Ressourcen für ISMS-Team bereitstellen (finanzielle, personelle, Zeit)
   - über die Vorgehensweise entscheiden (Basis-, Kern- oder
   Standardabsicherung)
   - Sicherheitsprozess planen
   - Geltungsbereich festlegen