Lektion 3 - Informationssicherheit Flashcards
Definition Kritische Infrastrukturen
Kritische Infrastrukturen sind Einrichtungen, die für das Funktionieren
von Staat und Gesellschaft von großer Bedeutung sind, wie z. B. die Strom- oder Wasserversorgung.
Was ist ein Schutzziel in der IT-Sicherheit?
Unter Schutzzielen versteht man in diesem Zusammenhang Anforderungen an die IT-Systeme, die einen Geschäftsprozess unterstützen und die Informationssicherheit damit überhaupt erst mess- und greifbar machen.
Was sind die primären Schutzziele der Informationssicherheit?
- Vertraulichkeit:
Schutz vor unbefugter Kenntnisnahme (=> Sicherheitsmaßnahme: Verschlüsselung von Daten auf einem Speichermedium und auf dem Übertragungsweg). - Integrität:
Schutz vor unerlaubter Manipulation (=> Sicherheitsmaßnahme: Einsatz von Prüfsummen bzw. Hashes, die Veränderungen von Daten auf einem Speichermedium oder auf dem Transportweg nachvollziehbar machen). - Verfügbarkeit:
Informationen sind dann abrufbar, wenn sie benötigt werden (=> Sicherheitsmaßnahme: Einsatz von Hochverfügbarkeitssystemen, redundanten IT-Systemen und auch redundanten Leitungswegen).
Was sind weitere Schutzziele der Informationssicherheit?
- Authentizität:
Nachweis, dass der Kommunikationspartner (menschlicher Nutzer oder IT-System) auch derjenige ist, der er vorgibt, zu sein (=> Sicherheitsmaßnahme: Einsatz von biometrischen Merkmalen beispielsweise bei der sicheren Anmeldung eines Nutzers an ein IT-System). - Verbindlichkeit/Nichtabstreitbarkeit:
Nachweis, dass die Kommunikation im Nachhinein nicht von einem der beteiligten Kommunikationspartner abgestritten werden kann (=> Sicherheitsmaßnahme: Einsatz elektronischer Sende- und Empfangsbestätigungen mittels digitaler Signaturen).
Abkürzung CISO
Chief Information Security Officer
Was sind die Aufgaben des CISO?
- Sicherheitskonzept erstellen
- Realisierungspläne für die Sicherheitsmaßnahmen erstellen &
Umsetzung initiieren und prüfen - Statusbericht zur Informationssicherheit geben
- Sicherheitsrelevante Projekte koordinieren
- Sicherheitsrelevante Vorfälle untersuchen
- Sensibilisierungen und Schulungen initiieren & koordinieren
Definition Datenschutz
Schutz des Einzelnen vor Beeinträchtigung seines Rechtes auf informationelle Selbstbestimmung
Phasen des Sicherheitsprozesses nach BSI-Standard 200-2
Welchen Zweck hat die Sicherheitsleitlinie (Security Policy)
Die Sicherheitsleitlinie dokumentiert insbesondere die Verantwortung der Unternehmensleitung für das Thema Informationssicherheit. Darüber hinaus dokumentiert diese auch den Stellenwert der Informationssicherheit im Unternehmen und auch die Organisationsstruktur, die genutzt wird, um das Thema Informationssicherheit im Unternehmen umzusetzen.
Welchen Zweck hat das Sicherheitskonzept (Security Concept)
Das Sicherheitskonzept hingegen beschreibt sehr konkret und detailliert (auch technisch), mit welchen Maßnahmen die in der Sicherheitsleitlinie definierten Ziele erreicht werden sollen und welche Rahmenbedingungen dabei auch für die Anwender gesetzt werden (z. B. Zulässigkeit der beruflichen und privaten Nutzung des Internets im Unternehmen oder der Umgang mit mobilen Datenträgern, wie z. B. USB-Sticks).
Definition Schutzbedarf
Kritikalität der in einem Geschäftsprozess verarbeiteten Informationen.
Welche Schutzbedarf Kategorien gibt es?
- normal: Die Schadensauswirkungen sind begrenzt und überschaubar.
- hoch: Die Schadensauswirkungen können beträchtlich sein.
- sehr hoch: Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß erreichen.
Definition Blackout
großflächiger und lang andauernder Stromausfall
Notfallmanagementprozess nach BSI-Standard 100-4
Definition BIA
Business Impact Analyse
Detaillierte Untersuchung aller kritischen Geschäftsprozesse eines Unternehmens im Hinblick auf die im Schutzziel definierte Anforderung: Verfügbarkeit.
