lec5b_security_management_Z Flashcards
Was sind die drei grundlegenden Schutzziele der Informationssicherheit?
Die drei grundlegenden Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Vertraulichkeit stellt sicher, dass nur befugte Personen Zugang zu Informationen haben. Integrität gewährleistet, dass Informationen korrekt und vollständig sind und nicht unbefugt verändert wurden. Verfügbarkeit bedeutet, dass Informationen und Systeme bei Bedarf zugänglich und nutzbar sind.
Welche Techniken gehören zur Kryptographie?
Zur Kryptographie gehören Verschlüsselungstechniken, digitale Signaturen und Zertifikate. Verschlüsselungstechniken schützen Daten durch Umwandlung in eine unlesbare Form, die nur mit einem Schlüssel wiederhergestellt werden kann. Digitale Signaturen gewährleisten die Authentizität und Integrität von Nachrichten oder Dokumenten. Zertifikate bestätigen die Identität von Personen oder Organisationen und ermöglichen sichere Kommunikation.
Welche Schutzmaßnahmen gehören zur Netzwerksicherheit?
Schutzmaßnahmen zur Netzwerksicherheit umfassen Firewalls, Intrusion Detection Systeme (IDS), Virtual Private Networks (VPNs), und regelmäßige Sicherheitsupdates. Firewalls kontrollieren den Datenverkehr zwischen Netzwerken und blockieren unerwünschten Zugriff. IDS erkennen und melden verdächtige Aktivitäten im Netzwerk. VPNs verschlüsseln Datenübertragungen, um die Vertraulichkeit zu gewährleisten. Sicherheitsupdates beheben bekannte Schwachstellen in Software und Betriebssystemen.
Was versteht man unter differenziellem Datenschutz?
Differenzieller Datenschutz ist eine Technik zum Schutz der Privatsphäre in Datenbanken, die durch das Hinzufügen von statistischem Rauschen sicherstellt, dass einzelne Datensätze nicht aus aggregierten Daten abgeleitet werden können. Diese Methode ermöglicht es, nützliche statistische Analysen durchzuführen, ohne die Privatsphäre einzelner Personen zu gefährden.
Welche Standards sind wichtig im IT-Sicherheitsmanagement?
Wichtige Standards im IT-Sicherheitsmanagement sind ISO 27001 und BSI IT-Grundschutz. ISO 27001 spezifiziert Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS). BSI IT-Grundschutz bietet Methoden und Verfahren zur Initiierung und Steuerung der IT-Sicherheit in Organisationen.
Was sind Common Criteria (CC) und wofür stehen die EAL-Level?
Common Criteria (CC) sind ein internationaler Standard für die Bewertung von Sicherheitsmerkmalen und Vertrauenswürdigkeit von IT-Produkten und -Systemen. Die Evaluation Assurance Levels (EAL) reichen von EAL1 (funktional getestet) bis EAL7 (formal verifiziert) und geben an, wie gründlich ein Produkt getestet und überprüft wurde.
Welche Organisationen sind relevant für die Entwicklung von IT-Sicherheitsstandards?
Relevante Organisationen für die Entwicklung von IT-Sicherheitsstandards sind ISO (Internationale Organisation für Normung), BSI (Bundesamt für Sicherheit in der Informationstechnik), ITGI (IT Governance Institute) und NIST (National Institute of Standards and Technology). Diese Organisationen entwickeln und veröffentlichen Standards, die weltweit für die Gewährleistung der Informationssicherheit angewendet werden.
Was ist ein IT-Sicherheitsmanagementsystem (ISMS) und welcher Standard ist dafür besonders wichtig?
Ein IT-Sicherheitsmanagementsystem (ISMS) ist ein System zur Steuerung und Kontrolle der Informationssicherheit in einer Institution. Der wichtigste Standard für ISMS ist ISO/IEC 27001, der auf dem PDCA-Modell (Plan-Do-Check-Act) basiert und Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS spezifiziert.
Welche Schritte sind bei der Einführung von IT-Sicherheitsstandards zu beachten?
Bei der Einführung von IT-Sicherheitsstandards sind folgende Schritte zu beachten: Auswahl eines geeigneten Standards, Adoption und Anpassung des Standards an das Prozessmodell der Organisation, Etablierung durch Schulungen und Prozessanpassungen, Auditierung zur Überprüfung der Einhaltung des Standards und abschließend die Zertifizierung, um bestandene Audits an Dritte zu kommunizieren.
Welche Standards und Richtlinien gibt es für Netzwerksicherheit und den Umgang mit Sicherheitsvorfällen?
Für Netzwerksicherheit gibt es den Standard ISO/IEC 18028, der Richtlinien für die Sicherung von Netzwerken enthält. Für den Umgang mit Sicherheitsvorfällen existieren die Standards ISO/IEC TR 18044, die systematische Erkennung und Handhabung von Sicherheitsvorfällen beschreiben, und ISO/IEC 18043, die sich auf Intrusion Detection Systeme konzentrieren.
