Strategische Info Sec Flashcards
Datenschutz vs Datensicherheit
Schutz personenbezogener Daten vor dem Missbrauch durch Dritte (geregelt durch Gesetze)
Schutz von sensiblen Daten hinsichtlich Anforderungen an CIA (geregelt durch Standards)
Was wird geschützt?
die zu schützende Infrastruktur leitet sich von den strategischen Vorgaben und Geschäftszielen ab. Die IT ist nur Mittel zum Zweck, die Risikopunkte ergeben sich aus den Geschäftsprozessen
E-Business
Die Anwendung von digitalen Techniken zur Ausführung sämtlicher Geschäftsprozesse eines Unternehmens. E-Commerce ist eine Unterkategorie davon (der elektronische Kauf und Verkauf von Waren)
Unterstützung durch Info-Systeme
Jeder Geschäftsbereich (Logistik, Fertigung, Vertrieb, Kundenservice, Personal) arbeitet mit spezifischen Informationssystemen
- automatische Lagersysteme
- computergesteuerte Maschinen
- elektronische Bestellsysteme
- automatisierte Versandplanung
- Personalplanungssysteme
Daten vs Information
Daten repräsentieren Ereignisse in Unternehmen oder deren Umfeld in einer nicht strukturierten oder für den Menschen verständlichen Form
Informationen, sind Daten, die in eine Form gebracht wurden, die nützlich und bedeutungsvoll für den Menschen ist
Ein Informationssystem enthält die dafür notwendige Anwendungssoftware und Daten und ist in die Organisationsstruktur des Unternehmens eingebettet
Ebenen der Informationssicherheit
- Strategische InfoSec
- Security Governance, Risk Management, Standards Regulations Law and Ethics - Taktische InfoSec
.- Contingency Planung - Operative InfoSec
SecOps, NetworkSec, usw
NIST Enterprise Architecture
Business Architecture
- > Information Architecture
- > Information System Architecture
- > Data Architecture
- > Delivery Systems Architecture
Sec Lifecycle
Threat Agent (Einheit, die Verwundbarkeit auslösen kann) gives rise to a
Threat (Gefahr, eine Verwundbarkeit auszunutzen), which exploits a
Vulnerability (Schwäche) that leads to
Risk (Wahrscheinlichkeit und Ausmaß eines Verlustes von CIA)
Risk damages
Assets (Vermögensgegenstand) which causes an Exposure (Existenz einer Verwundbarkeit).
Exposures can be countermeasured by
Safeguards (Gegenmaßnahme). They directly affect Threat Agents
TopDown-Ansatz
Investigation (Planung und Organisation) Analysis Logical Design Physical Design Implementation (Implementierung) Maintenance (Durchführung und Aufrechterhaltung, Beobachtung und Evaluierung)
Managementunterstützung
Vorteilhaft ist: - Ininitative durch Unternehmensleitung - Gesamtverantwortung auf oberster Ebene - Vorbildfunktion der Leitung Bereitstellung von Ressourcen (Kompetenz und Zeit)
Ergebnisse wirkksamer Governance nach ISACA
Strategische Ausrichtung (Ausrichtung der Sicherheitsaktivitäten nach Unternehmensstategie zur Erreichung von Unternehmenszielen)
Risk Management (Maßnahmen zum Management von Risiken und deren Auswirkungen)
Prozessicherheit (Zur Optimierung von Sicherheitsaktivitäten)
Wertschöpfung ( Optimierung von INvestments zur weiteren Zielerreichung)
Ressourcenmanagement (Effektive und effiziente Verwendung)
Performancemessung (Monitoring und Reporting)
Steering Comittee
Steering Comittee (Lenkungsausschuss) bezeichnet im Projektmanagement das oberste beschlussfassende Gremium einer Projektorganisation (in diesem Fall der IT Governance), das die Vertreter möglichst aller Beteiligten am Projekt (stakeholder) umfasst. Von Beginn an werden Aufgaben, Verantwortungsbereiche und Zielsetzungen des Lenkungsausschusses festgesetzt werden, wobei seine zwei wesentlichen Funktionen, nämlich die Überwachung der Projektergebnisse und die Ermittlung von Planabweichungen, regelmäßig im Rahmen von Lenkungsausschusssitzungen und Meilenstein-Sitzungen besprochen werden.
IST-Analyse
Verständnis der Geschäftstätigkeit und Prozesse (BPU) durch
- Strategie und Governance
- Anforderungen von Kunden, Geschäftspartnern
- Prozesse und Strukturen
- Gesetzliche Rahmenbedingungen
- Umwelteinflüsse
- Branchenspezifische Standards
Risk Assessment
Risiko kann vermieden werden (durch Wahl einer Alternative), akzeptiert (wenn sich eine Minimierung nicht lohnt), vermindert (durch Safeguards) oder verlagert (an Versicherungen, Outsourcing)
