Zusammenfassung/Fokus Flashcards
Methoden zur Erhebung des IST-Zustands
- Interviews
- Selbstauskunft
- Audit
- Vulnerability Scan
- Penetration Test
Reifegradanalyse Definition
Erhebung, wie gut die Fähigkeit einer Organisation ist, Prozesse und Maßnahmen durchzuführen
Gap Analyse vs. Reifegradanalyse
- Gap Analyse: Konkrete Anforderungen und Ja/Nein möglich, aber dafür nur Prüfung der Anwesenheit von Prozessen
- Reifegradanalyse: Genauere Analyse möglich, aber der dahinterliegende Prozess ist identisch
Cyber Security Strategie: Erhebung des Startpunktes
- Geschäftsstrategie (Zielbild, Maßnahmen zur Zielerreichung)
- IST-Zustand (Reifegraderhebung)
- Risiken (Art des Geschäfts, Art der Geschäftsführung, Umgebung)
Inhalte der ISO 27001
- Verfügbarkeit:
-> Führungsverhalten und Verpflichtungen
-> Dokumentation - Integrität:
-> Fähigkeiten und Awareness
-> ISMS-Prozesse
-> Lieferantenbeziehungen
-> Interne Audits - Vertraulichkeit:
-> Leitlinie und Richtlinien
-> Rollen und Verantwortlichkeiten
-> Risikomanagement
-> Performance Monitoring & KPIs
Aufbau der ISO 27001
- PDCA Zyklus
- Klausel 4: Kontext der Organisation
- Klausel 5: Führung
- Klausel 7: Unterstützung
Interner und externer Geltungsbereich (Scope ISMS)
- Intern: Unternehmen, interne Vorgaben, Kultur, Struktur, Standorte, Assets, Geschäftsmodell
- Extern: Gesetzliche Anforderungen, Regulatorische Anforderungen, Vertragliche Anforderungen, Dienstleister, Kunden
Möglichkeiten zur Begrenzung des Geltungsbereiches
- Grenzdefinition über Zutritt
- ” über Zugang und Zugriff
- ” über organisatorische Grenzen
Aufbau einer typischen ISMS-Dokumentation
- Leitlinie: Allgemeine Sicherheitsziele
- Allgemeine Sicherheitskonzeption: Anwendungsorientierte Richtlinien mit Anforderungen und zugehörigen Maßnahmen
- Detaillierte Regelungen: konkrete Arbeitsanweisungen mit technischen Details
Führung eines ISMS
- Top Management
- ISO
- Fachbereich
Typische Schulungsinhalte für Endnutzer
- Sicherheitsrichtlinien
- Nutzung privater Dateien/Systeme
- Verwaltung von Sicherheitsvorfällen
- Sicherheit von Laptops & Handys
- Schutz vor Viren
- Verwendung von Passwörtern
- Richtige Nutzung des Internets
- Datensicherung & -speicherung
- Individuelle Rolle & Verantwortung
Werkzeuge zur Überwachung des ISMS
- Kennzahlensystem
- Interne Audits
- Management Review
Vorgehensweise BSI IT-Grundschutz für ISMS
- Strukturanalyse/Analyse des IST-Zustands
- Schutzbedarfsfeststellung
- Modellierung (Auswahl der Sicherheitsanforderungen)
- IT-Grundschutz-Check 1 (Soll-Ist-Vergleich)
-> Risikoanalyse - Konsolidierung
- IT-Grundschutz-Check 2
- Realisierung der Maßnahmen
–> Aufrechterhaltung und Verbesserung
Asset Register Zusammenstellen
- Interviews mit Fachbereichen
- Netzwerk Scans
- Prozesslandkarte
Schutzbedarfsfeststellung
- Einstufung nach Schutzzielen mit qualitativer Skala
- Frage: Wie schützenswert ist das Asset?
Prinzipien der Schutzbedarfsfeststellung
- Maximumsprinzip
- Kumulationseffekt
- Abhängigkeitseffekt
- Verteilungseffekt
Riskomanagementprozess nach ISO 27005
- Festlegung des Kontexts
- Risikoassessment (Identifikation, -analyse, -bewertung/-priorisierung)
- Risikobehandlung
-> Risikobehandlung & -überwachung und -überprüfung
-> Risikokommunikation - Dokumentatierte Informationen
Ziele des Vulnerability Managements
Ziel des Schwachstellenmanagements ist also, sich über existierende Schwachstellen bewusst zu sein und diese dann so gut es geht abzusichern. Für ein gutes Schwachstellenmanagement ist abermals zu beachten:
* es müssen Rollen und Verantwortlichkeiten festgelegt sein
* die identifizierten Anforderungen und die daraus resultierenden Handlungen müssen sauber dokumentiert werden
* Aufgaben müssen priorisiert werden, denn man kann nicht einfach jede gefundene Schwachstelle gleichbehandeln.
Security Development Lifecycle
- Training
- Anforderungen
- Design
- Implementierung
- Verifizierung
- Release
- Reaktion
Outsourcing Anforderungen
- Durchführung von Audits
- Weitergabe von Sicherheitsanforderungen
Security Information and Event Management (SIEM)
- zentrale Korrelation von verschiedenen Ereignissen über Systeme hinweg
- Identifizierung von erwarteten, unerwarteten Ereignissen, Behandlung von “Rauschen” (verwirrende/irreführende Daten, die von Logs erzeugt werden)
Anforderungen an Backups
- Aufbewahrungsdauer
- Lagerort
- Umweltkontrollen
- Speichermedium
- Daten
- Häufigkeit
- Schutz
- Berechtigungen
Capacity Management
- Ziel: Sicherstellung und Verbesserung der Verfügbarkeit von Ressourcen und ihre Effizienz
- Maßnahmen: nicht benötigte Daten löschen, Optimierung von Zeitplänen. Einschränkung der Bandbreite, Stilllegung von Anwendungen/Systemen, Optimierung von Datenbankabfragen
- Benötigte Ressourcen: Dokumentation, Prozesse, Verantwortlichkeiten
Berechtigungsmanagement
- Need-to-know, Least Privileges, Funktionstrennung
- Berechtigungskonzept
- Rollenbasierte Berechtigungssteuerung
- Berechtigungsreviews
Patch Management Aspekte
- Tests
- Planung
- Dokumentation
- Prüfung der Softwarepakete
- Informierung über Updates
- Priorisierung
- Rückfalllösungen
- Verantwortlichkeiten
Change Management nach BSI
- Steuer- und kontrollierbarmachung von verändernden Eingriffen in Anwendungen, Infrastruktur, Dokumentationen, Prozesse und Verfahren
Schutz vor Malware nach ISO 27002
- Verwendung unterschiedlicher Malware Protection System Produkte
- Schwachstellenmanagement
- Blacklisting von schädlichen Webseiten
- Awareness-Maßnahmen
- Malware Scans
- Prozesse und Dokumentationen
Ablauf der Bewältigung eines Notfalls
- Eintritt eines Schadensereignisses
- Sofortmaßnahmen
- Alarmierung und Eskalation zu einem Notfall
- Ausrufen des Notfalls
- Wiederanlauf in den Notbetrieb
- Notbetrieb
- Nacharbeiten
- Analyse der Notfallbewältigungen
Information System Contingency Planning Process
- Entwicklung der Notfallplanungspolitik
- Durchführung der BIA
- Identifizierung von Präventivkontrollen
- Entwicklung von Strategien für unvorhergesehene Ereignisse
- Plunge von Tests, Schulungen und Übungen
- Plan-Pflege
Ebenen von Cloudservices
- IaaS
- PaaS
- FaaS
- SaaS
Sicherheitsbedenken bei der Cloud Nutzung
- Kontrollverlust
- Änderungen von Rahmenbedingungen
- Vendor Lock-In
- Verlust der Vertraulichkeit
- Unzureichende Schutzmaßnahmen
- Gefahr durch Identitätsdiebstahl
- Verletzung geltender Vorgaben
- Weitergabe der Daten an Sub-Dienstleistern
Incident Response Life Cycle
- Preparation
- Detection & Analysis
- Containment, Eradication & Recovery
- Post-Incident Activity
Zieldefinition Aspekte
- Strategische Relevanz
- Risikorelevanz
- Nachhaltigkeit
- Effizienz
- Stakeholder-Unterstützung
KPI Aspekte
- Messbarkeit
- Erreichbarkeit
- Aussagekräftige Datenbasis
- Ableitung von Maßnahmen
- Spezifisch
- Wiederspiegelung des Reifegrads
- Ergebnisorientiert
- Angemessener Aufwand zur Erhebung
- Zeitlich gebunden
- Technisch/Organisatorisch
Prinzipien des Cloud Computings
- Broad Network Access
- Resource Pooling
- On Demand Self Service
- Rapid Elasticity
- Measured Service