Teil 7 Flashcards
Worum geht es bei Informationssicherheit?
- Integrität
- Verfügbarkeit
- Vertraulichkeit
Informationen …
können auf vielfältige Weise gespeichert werden
dürfen auf unterschiedliche Weise übermittelt werden
sind meist von Informations- und Kommunikationstechnologie abhängig
sind Werte, die ähnlich anderer Wirtschaftsgüter für den Geschäftsbetrieb einer Organisation entscheidend und infolgedessen angemessen zu schützen sind.
Was ist ein Informationssicherheitsmanagementsytem -ISMS?
systematisches Modell für die Einführung, die Umsetzung, den Betrieb, die Überwachung, die Überprüfung, die Pflege und die Verbesserung der Informationssicherheit einer Organisation, um Geschäftsziele zu erreichen.
- soll eine strategische Entscheidung für eine Organisation sein, und es ist erforderlich, dass diese Entscheidung in Übereinstimmung mit den Anforderungen der Organisation nahtlos integriert, skaliert und aktualisiert wird
Lenkung von Dokumenten
Umfassendes System des Dokumentenmanagements und der Dokumentenkontrolle, welches sicherstellt, dass alle (Vorgabe-)Dokumente gemäß den Grundsätzen guter Laborpraxis
eineindeutig identifiziert,
gemäß den Vorgaben autorisiert,
an adäquaten Standorten lokalisiert,
periodisch auf Aktualität überprüft,
bei Bedarf als ungültig ausgesondert
für eine festgelegte Zeit unter Wahrung der Dokumentenintegrität aufbewahrt werden.
ISMS - Warum so wichtig?
Schutz von Informationswerten, um:
größere Gewissheit zu erlangen, dass Informationswerte angemessen und beständig gegen Bedrohungen geschützt sind;
ein strukturiertes und umfassendes Rahmenwerk zur Identifizierung und Einschätzung von Informationssicherheitsrisiken, zur Auswahl und Anwendung geeigneter Maßnahmen, sowie zur Messung und Verbesserung der Wirksamkeit dieser Maßnahmen zu unterhalten;
fortlaufend die Maßnahmenumgebung einer Organisation zu verbessern
effektiv die Einhaltung gesetzlicher und behördlicher Regelungen zu erreichen
Wichtige Elemente eines ISMS
Bewusstsein für die Notwendigkeit von Informationssicherheit
Übertragung von Verantwortung für Informationssicherheit
Einbeziehung der Verpflichtung der Geschäftsführung und der Interessen der Stakeholder
Förderung sozialer Werte
Risikobeurteilung zum Bestimmen angemessener Maßnahmen, um ein
akzeptables Risikoniveau zu erreichen
Aufnahme von Sicherheit als grundlegenden Bestandteil von Informationsnetzwerken und -systemen
aktive Prävention gegen und Erkennung von Informationssicherheits- vorfälle(n)
Sicherstellung einer ganzheitlichen Herangehensweise an das Management von Informationssicherheit
fortlaufende Neubeurteilung von Informationssicherheit und Vornahme geeigneter Änderungen.
WICHTIG ISMS
Informationssystem
IST NICHT GLEICH
Informationssicherheit!
Informationssicherheit
WIRD NICHT ALLEIN
durch technische Mittel erreicht!
Einführung, Überwachung, Pflege und Verbesserung eines ISMS
- Identifikation von Informationswerten und damit verbundenen IS- Anforderungen
- Bestimmung und Behandlung von IS- Risiken
- Maßnahmen zur Behebung unakzeptabler Risiken
- Überwachung und Verbesserung der Sicherheitsmaßnahmen
- Identifikation von Informationswerten und der mit ihnen verbundenen Informationssicherheitsanforderungen
Einvernehmen in der Organisation über die folgenden Aspekte:
Informationen und ihr Nutzen für Kunden und weitere interessierte Parteien im internen und externen Kontext;
Geschäftsanforderungen an die Verarbeitung, das Speichern und die Kommunikation von Informationen;
gesetzliche, behördliche und vertragliche Anforderungen an Informationen
2a. Bestimmung und Beurteilung von Informationssicherheits- risiken
Systematische Analyse und Beurteilung folgender Aspekte:
Bedrohungen für Informationswerte;
Schwachstellen von Informationswerten;
Wahrscheinlichkeit, dass eine Bedrohung von Informationswerten
tatsächlich eintritt,
mögliche Auswirkungen eines Informationssicherheitsvorfalls auf die
Informationswerte.
RISIKOMANAGEMENT- PROZESS
- Risikobeherrschung
Risikoidentifizierung
Risikominderung Risiko-Nutzen-Analyse Risikoakzeptanz - Risikokommunikation
Bewertung Gesamt-Risiko
Dokumentation
(Bericht, Akte) - Risikoreview
Bewertung eingehender Informationen
Review-Ereignisse - Risikobeurteilung
Risikoidentifizierung
Risikoanalyse
Risikobewertung
-> Erstellungund Verwendung von Risikokriterien.
Anwendung von RM Werkzeugen wie FMEA
2b. Behandlung von Informationssicherheitsrisiken
Mögliche Optionen für die Risikobehandlung:
Anwenden geeigneter Maßnahmen, um die Risiken zu reduzieren
bewusstes und sachliches Akzeptieren von Risiken, vorausgesetzt, sie erfüllen die Politik der Organisation und die zugehörigen Kriterien zur Risikoakzeptanz;
Vermeiden von Risiken, indem Handlungen, die das Auftreten der Risiken verursachen, untersagt werden;
Teilen der zugehörigen Risiken mit anderen Parteien, z. B. Versicherern oder Lieferanten.
3a. Auswahl und Umsetzung von Maßnahmen
Maßnahmen sollen Risiken auf ein akzeptables Niveau senken und folgendes dabei berücksichtigen:
a) Anforderungen und Beschränkungen durch nationale und internationale Gesetze und Vorschriften;
b) Organisationsziele;
c) betriebliche Anforderungen und Beschränkungen;
d) die Kosten ihrer Umsetzung und ihres Betriebs im Verhältnis zur Verminderung der Risiken, wobei ein angemessenes Verhältnis zu den Anforderungen und Beschränkungen der Organisation gewahrt bleibt;
e) sie sollten umgesetzt werden, um zur Unterstützung der Organisationsziele die Wirtschaftlichkeit und Wirksamkeit der Informationssicherheitsmaßnahmen zu überwachen, zu bewerten und zu verbessern. Die Auswahl und Umsetzung von Maßnahmen sollte in einer Erklärung zur Anwendbarkeit dokumentiert werden, um die Einhaltung von Anforderungen zu unterstützen;
f) die Notwendigkeit, das Gleichgewicht zwischen der Investition für Umsetzung und Betrieb von Maßnahmen einerseits und der Verlusterwartung andererseits, die sich aus Informationssicherheitsvorfällen ergibt, zu wahren.
3b. Auswahl und Umsetzung von Maßnahmen
-> ISO/IEC 27002:
Dort festgelegte Maßnahmen als bewährte Praktiken
- Maßnahmenkatalog, der auf Basis des festgelegten Risikomanagementprozesses ausgewählt und mit Hilfe eines ISMS gesteuert wird
- Maßnahmen müssen festgelegt, umgesetzt, überwacht, überprüft und wo notwendig verbessert werden
4a. Überwachung, Aufrechterhaltung und Verbesserung der Wirksamkeit des ISMS
Überwachung und Bewertung der Leistung gegenüber den IS- Richtlinien und den Zielen der Organisation
Bei dieser ISMS-Bewertung wird untersucht, ob das ISMS angemessene Maßnahmen für eine Risikobehandlung im Rahmen des ISMS-Anwendungsbereichs festlegt
Außerdem wird auf Basis der Aufzeichnungen zu den überwachten Bereichen der Nachweis der Verifizierung und die Nachvollziehbarkeit von Korrektur-, Vorbeugungs- und Verbesserungsmaßnahmen geliefert
4b. Fortlaufende Verbesserung
Ziel der fortlaufenden Verbesserung eines ISMS ist es, die Wahrscheinlichkeit dafür zu erhöhen, dass die Ziele zur Wahrung der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen erreicht werden.
- Mittelpunkt: Suche nach Verbesserungsmöglichkeiten
Security Controls – Zentrales Element der ISO/IEC 27001
Ein Control ist eine konkrete Maßnahme, die von einer Organisation ergriffen wird, um ihre Informationssicherheit in einem bestimmten Bereich zu erhöhen.
Deutsche Übersetzung = “Sicherheitsmaßnahme”.
Informationssicherheitsmanagement – Gesetzliche Anforderungen
- Benennung einer Kontaktstelle zum BSI, um sich im Notfall schnell und einfach mit der Behörde koordinieren und Störungen schnell melden zu können.
- Betreiber kritischer Infrastruktur müssen sich zukünftig regelmäßig prüfen lassen und dabei nachweisen, Sicherheitsvorkehrungen gemäß dem Stand der Technik vorgenommen zu haben.
- Angemessene organisatorische und technische Vorkehrungen sind zu treffen, um Störungen zu vermeiden. Ein entsprechender Nachweis ist alle zwei Jahre zu erbringen.
