Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Größe: px

Ab Seite anzeigen:

Download "Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799"

Waltraud Stein
vor 8 Jahren
Abrufe

1 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799

2 8.1 BS 7799 und ISO/IEC BS 7799 = British Standard 7799 des British Standards Institute 1995: BS : ISO/IEC (Information technology Code of practice for information security management) 1998: BS zertifizierbarer Teil (in Beratung als ISO/IEC 27001) Teil1: bewährter Leitfaden zum Management der IT-Sicherheit ( A code of practice for information security management ) Teil 2: Prozess zur Entwicklung eines Managementsystems der IT-Sicherheit ( Information Security Management Systems Specification with guidance for use ) = Umsetzung eine Zertifizierung kann nur anhand konkreter Umsetzungsmaßnahmen erfolgen (d.h.: es braucht was Abprüfbares ) 2

IT-Sicherheit ( A code of practice for information security management ) Teil 2: Prozess zur Entwicklung eines Managementsystems der IT-Sicherheit ( Information

3 8.2 Vorgehensmodell des BS :2002 3

4 8.3 Vergleich BS7799 : GSHB (1) BS 7799 GSHB 1 Scope 2 Terms and definitions 3 Security policy 3.1 Information security policy M M M M Security organization 4.1 Information security infrastructure M Security of third party access M Outsourcing Kap Outsourcing 5 Asset classification and control 5.1 Accountability for assets M Information classification Kap. 2.2 Schutzbedarfsfeststellung 6 Personnel security 6.1 Security in job definition and resourcing M M M User training M Responding to security incidents and malfunctions Kap. 3.8 Behandlung von Sicherheitsvorfällen 4

10 Outsourcing 5 Asset classification and control 5.1 Accountability for assets M 2.194 5.2 Information classification Kap. 2.2 Schutzbedarfsfeststellung 6 Personnel security 6.

5 8.3 Vergleich BS7799 : GSHB (2) BS 7799 GSHB 7 Physical and environmental security 7.1 Secure areas M M M M Equipment security M M General Controls M M Communications and operations management 8.1 Operational procedures and responsibilities M M M M M System planning and acceptance M M M Protection against malicious software Kap. 3.6 Computer-Virenschutzkonzept 8.4 Housekeeping Kap. 3.4 Datensicherungskonzept 8.5 Network management Kap. 6.8 Netz- und Systemmanagement 8.6 Media handling and security M M M Exchanges of information and software Kap. 7.1 Datenträgeraustausch 5

2 System planning and acceptance M 6.4 + M 2.85 + M 2.216 8.3 Protection against malicious software Kap. 3.6 Computer-Virenschutzkonzept 8.4 Housekeeping Kap. 3.4 Datensicherungskonzept 8.

6 8.3 Vergleich BS7799 : GSHB (3) BS 7799 GSHB 9 Access control 9.1 Business requirement for access control M M M User access management M M M User responsibilities M Network access control M M M Operating system access control M M Application access control M M Monitoring system access and use M M M Mobile computing and teleworking Kap. 5.3 Tragbarer PC + Kap. 9.3 Telearbeit 6

32 + M 4.82 + M 5.87 9.5 Operating system access control M 4.16 + M 4.135 9.6 Application access control M 2.8 + M 2.220 9.

7 8.3 Vergleich BS7799 : GSHB (4) BS 7799 GSHB 10 Systems development and maintenance 10.1 Security requirements of systems M Security in application systems M Cryptographic controls Kap. 3.7 Kryptokonzept 10.4 Security of system files M M Security in development and support processes M M M Business continuity management 11.1 Aspects of business continuity management Kap. 3.3 Notfallvorsorge-Konzept 12 Compliance 12.1 Compliance with legal requirements M M Reviews of security policy and technical compliance M M M System audit considerations M M

5 Security in development and support processes M 2.221 + M 2.9 + M 2.224 11 Business continuity management 11.1 Aspects of business continuity management Kap. 3.

8 8.4 Schwerpunkt von BS 7799 Entsprechend der größten Überschneidung mit den aufgeführten und wichtigen Maßnahmen: Baustein 3.0 IT-Sicherheitsmanagement Baustein 3.1 Organisation Baustein 3.9 Hard- und Softwaremanagement Ferner spielen implizit die Bausteine 3.3 Notfallvorsorge- Konzept und 3.8 Behandlung von Sicherheitsvorfällen beim Aufbau eines Managementsystems der IT-Sicherheit eine zentrale Rolle! In erster Linie geht es um Risiko-Management! Also nicht um Gewährleistung eines Grundschutzes. 8

9 Hard- und Softwaremanagement Ferner spielen implizit die Bausteine 3.3 Notfallvorsorge- Konzept und 3.

9 8.5 Fragen an den Dozenten hier kann es keine Musterlösung geben... ;-) zum Abschluss der letzten Grundlagen-Einheit zur IT- Sicherheit werden abermals die Lehrziele des Dozenten angegeben! 9

10 Lehrziele IT-Sicherheit (1) Methoden (lt. Pinnwand-Eintrag): Wissenschaftliches Arbeiten in der Informatik Umgang mit juristischen Texten praktische Anwendung grundlegender Kenntnisse und nützlicher Tools Strukturieren und Analysieren auch umfangreicher Texte Abstrahieren von Sachverhalten selbstständiges Aufarbeiten neuen (und ungewohnten) Stoffes Beherrschen der Nomenklatura und Darstellungstechniken Einübung der für die IT-Sicherheit typischen Fertigkeiten Anwendung von Kenntnissen in praxisrelevanten Fällen Problemlösung in Gruppenarbeit Hinterfragen vermittelten Stoffes bzw. zu lösender Übungsaufgaben 10

nützlicher Tools Strukturieren und Analysieren auch umfangreicher Texte Abstrahieren von Sachverhalten selbstständiges Aufarbeiten neuen (und

11 Lehrziele IT-Sicherheit (2) Inhalte (lt. Pinnwand-Eintrag): Verständnis für IT-Sicherheit Kenntnis der Entwicklungen und zentralen Begriffe von IT-Sicherheit Benennung der Ziele mehrseitiger IT-Sicherheit Anwendung typischer Vorgehensweisen zur IT-Sicherheit: Von der Bedrohungsanalyse zum Sicherheitsmodell und Erstellung eines Sicherheitskonzepts mittels standardisierter Verfahren Anwendung kryptographischer Grundlagen Realisierung von Zugangs- und Zutrittskontrollen Zusammenspiel mit Netzwerk-Sicherheit, Requirements Engineering und Datenbankmanagement Überblick über die Geschichte und Kritik der Sicherheitskriterien Angabe und Anwendung der Ziele mehrseitiger IT-Sicherheit Benennung von Bedrohungen und deren Wirkungen 11

typischer Vorgehensweisen zur IT-Sicherheit: Von der Bedrohungsanalyse zum Sicherheitsmodell und Erstellung eines Sicherheitskonzepts mittels standardisierter Verfahren Anwendung

12 Lehrziele IT-Sicherheit (3) 1. Fortsetzung Inhalte: Konstruktion von Maßnahmen gegen Bedrohungen Gegenüberstellen mehrseitiger IT-Sicherheit zu den Kontrollbereichen der technischen und organisatorischen Datenschutzmaßnahmen Erläuterung des Entwurfs einer Sicherheitsleitlinie Erstellung eines Sicherheitsmodells Angabe gesetzlicher und vertraglicher Verpflichtungen zum Risikomanagement Durchführung von Risikoanalysen unter Anwendung und Kritik verschiedener Methoden zur Risikobewertung Entscheidung über den Umgang mit festgestellten Risiken Benennung von Prinzipien für die Konstruktion sicherer IT-Systeme Vergleich der Funktionsweisen symmetrischer und asymmetrischer Verschlüsselung bzw. Authentifikation 12

Datenschutzmaßnahmen Erläuterung des Entwurfs einer Sicherheitsleitlinie Erstellung eines Sicherheitsmodells Angabe gesetzlicher und vertraglicher Verpflichtungen zum

13 Lehrziele IT-Sicherheit (4) 2. Fortsetzung Inhalte: Benennung und Problematisierung der für Authentisierung einsetzbaren Mittel Umsetzung grundlegender Prinzipien im Rahmen der Zugriffskontrolle Konstruktion einer Demilitarisierten Zone Analyse wichtiger Kommunikationsprotokolle Darstellung mehrseitiger IT-Sicherheit im Rahmen der Softwareerstellung Übertragung der Anforderungen aus dem Risikomanagement bei der Modellierung von IT-Verbunden unter Berücksichtigung der Pflichtbausteine Unterschied zwischen den Vorgehensmodellen nach IT- Grundschutzhandbuch und BS

der Zugriffskontrolle Konstruktion einer Demilitarisierten Zone Analyse wichtiger Kommunikationsprotokolle Darstellung mehrseitiger

14 Ergebnisse: 6. Übungsblatt Schnitt: 2,88 4,00 4,32 4,89 4,57 [20..25] [15..20) [10..15) [05..10) [00..05) Verteilung:

Ähnliche Dokumente

Lösungen die standhalten.

Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen