Zusammenfassung IT SEC + MAN

Größe: px

Ab Seite anzeigen:

Download "Zusammenfassung IT SEC + MAN"

Leonard Breiner
vor 8 Jahren
Abrufe

1 Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall) o Medienkommunikation Begrifflichkeiten / weiche Wissenschaft Risikoträger / letztendliches Risiko Rechtssituation o Hacking Kulturell- & Zeitbedingte unscharfe Wissenschaft Vorfälle: o Treiben Sicherheit an o Verluste, Schaden Erfasster Bildschirmausschnitt: ; 17:18 -= 1-10 =

weiche Wissenschaft Risikoträger / letztendliches Risiko Rechtssituation o Hacking Kulturell- & Zeitbedingte unscharfe

2 Was ist Sicherheit Sicherheit unterstützt Freiheit Zustand frei von unvertretbaren/unerwarteten Risiken Kataloge von bekannten Risiken bzw. Risikokategorien == Standard o IT Grundschutz Handbuch BSI o COP -> BS7799 -> ISO > ISO o Cobit (Information Security Auditers; Prüft die Verarbeitung) GoB (Grundzüge der ordentlicher Buchführung) GoV (Grundzüge der ordentlicher Verarbeitung) Gegen wirklich (alle Kataloge verarbeitet) unerwartete Risiken o Prozesse definieren o Krisenmanagement o Vorfallmanagment BCP (Business Continuity Planning) DRP (Disaster & Recovery Planning) Erfasster Bildschirmausschnitt: ; 17:18 Sicherheit <-> Vorsorge/Gewissen (Emotionale Angelegenheit) Kollektives Verhalten erzeugt Sicherheitsgefühle! -> Best Practice Ansatz -> Rechtsrelevant Eigenschaften von Sicherheit bzw. IT-Sicherheit Vertraulichkeit Confidentiality Integrität Integrität Verfügbarkeit Availability CIA Faktoren Verbindlichkeit Authentisierung (Nachweis der Akteure) (Identifizierung geschieht durch Köpermerkmale) Revisionsfähigkeit (Audit) Eigenschaften, Werte, Definition Verlässliche Informationssysteme -= 2-10 =

Buchführung) GoV (Grundzüge der ordentlicher Verarbeitung) Gegen wirklich (alle Kataloge verarbeitet) unerwartete Risiken o Prozesse definieren o Krisenmanagement o Vorfallmanagment BCP (Business

3 Risiko potentieller Verlust Risiko Bi (Bedrohung/Verletzlichkeit) = Eintretenswahrscheinlichkeit i * Schadensmass i 3 5 Stufen Eintretenswahrscheinlichkeit (EW) Schadensausmass (SA) Niedrig Mittel Hoch EW 1 / y 1 / M 1 / w SA < > Risiko-Management Vermeiden Vermindern Umwälzen Selber tragen Probleme: Bedrohung/Verletzlichkeiten Vollständigkeit 1) Intuition 2) Rahmenwerke & Listen (ISO 17799, BSI Grundschutz, etc.) Massnahmen BSI Grundschutz Engineering Base Lines -= 3-10 =

- Risiko-Management Vermeiden Vermindern Umwälzen Selber tragen Probleme: Bedrohung/Verletzlichkeiten Vollständigkeit 1) Intuition

4 INFSEC+MAN, Welche Werte haben Informationen? Wie definieren Sie Informationssicherheit? - Abhängig von der Unternehmensgrösse (klein bis sehr gross) - Confident - Integrity - Availabitlity - Authentität - Revisionsfestigkeit Argumentieren Sie Einflussfaktoren für die Wahl zwischen 100% Risiko und 100% Sicherheit - Der Preis spielt eine grosse Rolle (Siehe Kosten / Risiko Zeichnung) - Kompromiss finden Erklären Sie, weshalb Anforderungen an Security in sich widersprülich sein können. - Vertraulichkeit und Verfügbarkeit stören sich o Harddrive Verschlüsselung (Passwort vergessen) Welche Grenzen sind zwischen IT-Sec und Info-Sec? - IT-Sec ist ein Teilbereich von Info-Sec Versuchen Sie eine Definition für folgende Begriffe zu geben: - Verletzlichkeit - Bedrohung - Ereignis - Schaden - Risiko o Schwachstellen in der IT oder Gebäuden (kann vermieden werden) o <tbd> (kann nicht vermieden werden) o Potentieller Schadensfall o Kosten die durch ein Vorfall entstanden sind o Eintretenswahrscheinlichkeit * Schadensmass -= 4-10 =

Risiko und 100% Sicherheit - Der Preis spielt eine grosse Rolle (Siehe Kosten / Risiko Zeichnung) - Kompromiss finden Erklären Sie, weshalb Anforderungen an Security in sich widersprülich sein können.

5 -= 5-10 =

6 Welche Aussage können Sie über Sicherheitswertverluste und deren Aufdeckungszeitpunkt machen? - Verfügbarkeit o sofort - Integrität o Später - Vertraulichkeit/Verbindlichkeit o Spät bis gar nie Wie definieren BPX und die Vorlesung den Begriff Sicherheispolicy - Definition von Schutzzielen und Sicherheitsmassnahmen Nenn Sie einige Sicherheitsstandard - IT Grundschutz Handbuch (BSI) - Code of Practise ISO CobiT - SOX Welche Arten von grundsätzlichen Massnahmen können Sie für ein Risiko ergreifen? 1. Vermeiden (Backup) 2. Vermindern (Antivirus) 3. Überwälzen (Versicherung) 4. Selbst tragen Was verstehen Sie unter Awareness (Sicherheitsbewusstsein) und wie vergrössern Sie diese? - Bewusstsein bezüglich der Sicherheit o Windows Update, Antivirus Update o Nicht öffnen von fragwürdigen s Welche Rolle spielt die Sicherheit in der IT-Architektur? <tbd> -= 6-10 =

Sicherheitsmassnahmen Nenn Sie einige Sicherheitsstandard - IT Grundschutz Handbuch (BSI) - Code of Practise ISO 17799 - CobiT - SOX Welche Arten von grundsätzlichen Massnahmen können Sie für ein

7 Begründen Sie den Unterschied zwischen einen mobilen Gerät und einem Gerät innerhalb der Firma hinsichtlich der Sicherheit. - Mobile Geräte haben besitzen zwar Verschlüsselungssoftware, werden aber oft nicht verwendet o Diebstahl, Verlust - Ohne mobile Geräte bleiben die sicherheitsrelevanten Daten in der Firma (früher) - WLAN / Arbeitsplatz zuhause / kein physikalischer Schutz (Heute) Nennen Sie die Bedeutung von Base Line Methoden und geben Sie ein Beispiel dazu - Typische Massnahme die angeschaut werden (basiert auf Erfahrung) o Mittels BSI - Eine vollständige Risikoanalyse ist zu teuer Erklären Sie Need to Know und Need to Restrict - Need to Know: Nur die Informationen die für die Erfüllung der Arbeit notwendig ist (Militär) - Need to Restrict: Möglichst viele Informationen, nur wenige sind geschützt (Schule) Welches der Beispiele aus dem GS Leitfaden hat Sie besonders angesprochen und weshalb? <tbd> Erklären Sie, wer in einer Firma das Risiko trägt und weshalb? - Die Geldgeber (Aktionäre, Geschäftsleitung), nur sie können Geld verlieren Was ist unter Berücksichtigung von Frage 16 die Aufgabe des Sicherheitsbeauftragten? <tbd> -= 7-10 =

WLAN / Arbeitsplatz zuhause / kein physikalischer Schutz (Heute) Nennen Sie die Bedeutung von Base Line Methoden und geben Sie ein Beispiel dazu - Typische Massnahme die angeschaut werden (basiert

8 Audit Übersicht und Ablauf, Welches ist der Hauptzweck eines Audits? - Überprüfung von Prozessabläufen, ob diese erfüllt werden, gemäss den Anforderungen. Ein Audit wird in der Regel auf der Basis eines Rahmenwerkes der Informationssicherheit durchgeführt. Was ist gemeinsam und welches sind die Hauptunterschiede zwischen CobiT und ISO (COP)? - CobiT - ISO o Aufgabengliederung der IT in Prozesse und Control (Planung, Implementation, Betrieb, Überwachung) o Anforderung für die Implementation von Sicherheitsmassnahmen Was wären mögliche Scopes für sinnvolle Audits in der vergangenen Fallstudie über die Vorfälle der Boeing nach ISO 27001? Begründen Sie ihre Wahl. - Überprüfung der Zielsetzung - Neue Ziele (Überarbeitung) - Kontrolle (Firewall, Accesslists, etc.) überprüfen - Überprüfung des internen/externen Audits Als Projektleiter eines Audits zur Überprüfung der Cybersecurity von Boeing müssen Sie ihr Team zusammenstellen. Welche Spezialisten würden Sie anfordern? - Server Administrator - Penetrations Tester - Anwalt Begründen Sie die Behauptung, dass die Sicherstellung des Management-Supports und die Klärung der Budget-Frage vor der Detailsplanung eines Audits erfolgen soll. - Das Management muss hinter dem Audit stehen - Audits können sehr teuer werden -= 8-10 =

- CobiT - ISO 27001 o Aufgabengliederung der IT in Prozesse und Control (Planung, Implementation, Betrieb, Überwachung) o Anforderung für die Implementation von Sicherheitsmassnahmen Was wären

9 INFSEC+MAN, Definieren Sie den Begriff Risiko - Eintretenswahrscheinlichkeit mal Schadensausmass Nennen Sie mindestens drei Methoden, wie Sie Risiken ermitteln - IT-Grundschutz - Audit - Checkliste - Systematische Feldüberdeckung - Diskussionen - Intuitiv (Durchlesen der Bestimmungen) Welche Vorgehensweisen sind Ihnen bekannt, um Schadensausmass und Eintrittswahrscheinlichkeit zu bestimmen - Qualitative & quantitative Bewertung - Quantitative Bewertung: EW in %, SA in CHF - Qualitative Bewertung: Diskrete Werte - Erfahrungswerte - Intuition - Statistiken Beschreiben Sie alternative Vorgehensweise zum Risikoanalyse - Merhode Marion - BSG-Verfahren - BSI-Verfahren Versuchen Sie abzuschätzen, wann Risikoanalysen in der Praxis angewendet werden - Wenn es um Kundendaten oder für die Firma überlebenswichtige Daten geht - Änderung der Gefährdungssituation -= 9-10 =

Systematische Feldüberdeckung - Diskussionen - Intuitiv (Durchlesen der Bestimmungen) Welche Vorgehensweisen sind Ihnen bekannt, um Schadensausmass und Eintrittswahrscheinlichkeit zu bestimmen -

10 Nennen Sie die ersten Schritte und Voraussetzungen, um den Informationssicherheitsprozess beginnen zu können - Das Management muss dahinter stehen - Das Budget muss stimmen - Pflichtenheft für den Inf.Sec.-Officer - Policies - Risikoanalyse & Grobkonzept Welches sind die Voraussetzungen, um ein Netzwerkkonzept oder ein Konzept physische Sicherheit zu schreiben? - Risikoanalyse - Policie Umsetzungsmöglichkeiten Für ihre anstehende Arbeit: Welche Rahmenwerke wollen Sie wozu einsetzen? - BSI - ISO CobiT Beschreiben Sie einige Aufgaben eines Information-Security-Officers - Erstellen von Policies - Überarbeitung der Sicherheitsvorkehrungen in einer Firma (Policies) - Vorbereitung des Audits - Verwaltung der IT-Prozesse -= =

- Risikoanalyse - Policie Umsetzungsmöglichkeiten Für ihre anstehende Arbeit: Welche Rahmenwerke wollen Sie wozu einsetzen?

Ähnliche Dokumente

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.