Preparation Guide Information Security Foundation based on ISO/IEC 27002 Ausgabe April 2011
Inhalt 1. Überblick 3 2. Prüfungsanforderungen und -spezifikationen 6 3. Begriffsglossar 11 4. Literatur 14 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN. 2
1. Überblick Information Security Foundation based on ISO/IEC 27002 Inhalt Das Thema Informationssicherheit gewinnt zunehmend an Bedeutung. Aufgrund der Globalisierung tauschen Unternehmen (ihre Mitarbeiter, Kunden und Lieferanten) immer mehr Daten aus und nutzen zunehmend Netzwerke, wie z. B. unternehmensinterne Intranets,Verbindungen zu den Netzen anderer Unternehmen und das Internet. Das Foundation-Modul Informationssicherheit gemäß DIN ISO/IEC 27002 prüft das Grundwissen der Prüfungsteilnehmer bezüglich der grundlegenden Begriffe der Informationssicherheit und ihrer Beziehungen zueinander. Dieses Grundwissen steigert das Bewusstsein der Prüfungsteilnehmer dafür, dass Informationen schutzbedürftig sind und dass Maßnahmen zum Schutz dieser Informationen ergriffen werden müssen. Das Modul deckt Folgendes ab: Informationen und Sicherheit: Die Begriffe, den Wert und die Bedeutung der Zuverlässigkeit von Informationen Bedrohungen und Risiken: Den Zusammenhang zwischen Bedrohungen und Zuverlässigkeit Ansatz und Organisation: Die Weisungen und Richtlinien zur Informationssicherheit und der Aufbau der Informationssicherheit Sicherheitsmaßnahmen: physische, technische und organisatorische Maßnahmen Gesetze und Vorschriften: Ihre Bedeutung und ihre Anwendung in der Praxis 3
Kontext Aufbauend auf das Foundation-Zertifikat Informationssicherheit nach DIN ISO/IEC 27002 bietet EXIN das Advanced-Zertifikat 'Informationssicherheitsmanagement nach DIN ISO/IEC 27002' und den Abschluss 'Informationssicherheitsexperte nach DIN ISO/IEC 27002' an. Qualifikationsschema EXPERT LEVEL Information Security Management Expert (ISMES) based on ISO/IEC 27002 ADVANCED LEVEL Information Security Management Advanced (ISMAS) based on ISO/IEC 27002 FOUNDATION LEVEL Information Security Foundation (ISFS) based on ISO/IEC 27002 Zielgruppe Die Foundation-Prüfung Informationssicherheit nach DIN ISO/IEC 27002 richtet sich an alle in der Datenverarbeitung tätigen Mitarbeiter einer Organisation. Das Modul eignet sich auch für kleine und mittelständische Unternehmer, die ein gewisses Grundwissen im Bereich der Informationssicherheit benötigen und ist möglicherweise eine gute Grundlage für angehende Informationssicherheitsexperten. Voraussetzungen Keine 4
Prüfungsform Computer-basierte Multiple-Choice-Fragen Indikator Studiendauer 60 Stunden Praktischen Aufgaben Nicht anwendbar Prüfungsdauer 60 Minuten Prüfungseinzelheiten Anzahl der Fragen: 40 Zäsur: 65% (26 von 40) Offenes Buch/Notizen: Nein Elektronische Geräten zugelassen: Nein Musterexamen Zur Prüfungsvorbereitung gibt es die Musterexamen auf unserer Website zum kostenlosen Download. Training Gruppengröße Die maximale Anzahl der Teilnehmer ist 16. (Dies gilt nicht für e-learning bzw. computerbasierte Schulungen) Präsenzstunden Die Mindestzahl der Unterrichtstunden für den Kurs ist 7. Diese Zahl beinhaltet: Gruppenarbeiten, Prüfungsvorbereitung und kurze Kaffeepausen. Nicht inbegriffen sind: Hausaufgaben, die Logistik im Zusammenhang mit dem Prüfungstermin, der Prüfungstermin selbst und Mittagspausen. Traininganbieter Eine Liste der akkreditierten Schulungsanbieter ist auf die EXIN-Website abrufbar http://www.exin-exams.com. 5
2. Prüfungsanforderungen und - spezifikationen Die Prüfungsanforderungen sind die Themen des Moduls. Es wird erwartet, dass der Kandidat diese gründlich beherrscht. Die Prüfungsanforderungen sind in Prüfungsspezifikationen detailliert. Die folgende Tabelle enthält eine Auflistung der Themen des Moduls (Prüfungsanforderungen). Das Gewicht der verschiedenen Themen in der Prüfung wird als Prozentsatz des Totals ausgedrückt. Prüfungsanforderung Prüfungsspezifikation Gewicht (%) 1 Informationen und Informationssicherheit 10 1.1 Der Begriff Informationen 2.5 1.2 Der Wert von Informationen 2.5 1.3 Aspekte der Zuverlässigkeit 5 2 Bedrohungen und Risiken 30 2.1 Bedrohungen und Risiken 15 2.2 Die Beziehungen zwischen Bedrohungen, 15 Risiken und der Zuverlässigkeit von Informationen. 3 Ansatz und Organisation 10 3.1 Informationssicherheitsleitlinie und 2.5 Organisation der Informationssicherheit 3.2 Komponenten 2.5 3.3 Behandlung von 5 Informationssicherheitsvorfällen 4 Maßnahmen 40 4.1 Bedeutung von 10 Informationssicherheitsmaßnahmen 4.2 Physische Sicherheitsmaßnahmen 10 4.3 Technische Maßnahmen 10 4.4 Organisatorische Maßnahmen 10 5 Gesetze und Vorschriften 10 5.1 Gesetze und Vorschriften 10 Total 100 6
Prüfungsspezifikationen 1. Informationen und Informationssicherheit (10 %) 1.1 Der Begriff Informationen (2.5%) Der Prüfungsteilnehmer versteht den Begriff 'Informationen'. 1.1.1 Den Unterschied zwischen Daten und Informationen erläutern 1.1.2 Das zur Grundinfrastruktur gehörende Speichermedium beschreiben 1.2 Der Wert von Informationen (2.5%) Der Prüfungsteilnehmer versteht, welchen Wert Informationen für Organisationen darstellen. 1.2.1 Den Wert, den Daten und Informationen für Organisationen darstellen, beschreiben 1.2.1 Beschreiben, welchen Einfluss der Wert von Daten und Informationen auf Organisationen haben kann 1.2.3 Erklären, wie Informationssicherheit in der Praxis den Wert von Daten/Informationen schützen kann 1.3 Aspekte der Zuverlässigkeit (5%) Der Prüfungsteilnehmer kennt die verschiedenen Aspekte der Zuverlässigkeit von Informationen (Vertraulichkeit, Integrität, Verfügbarkeit). 1.3.1 Die Aspekte der Zuverlässigkeit von Informationen benennen 1.3.1 Die Aspekte der Zuverlässigkeit von Informationen beschreiben 2. Bedrohungen und Risiken (30 %) 2.1 Bedrohungen und Risiken(15%) Der Prüfungsteilnehmer versteht die Begriffe 'Bedrohung' und 'Risiko'. 2.1.1 Die Begriffe Bedrohung, Risiko und Risikoanalyse erklären 2.1.2 Die Beziehung zwischen einer Bedrohung und einem Risiko erläutern 2.1.3 Verschiedenen Arten von Bedrohung beschreiben 2.1.3 Verschiedene Schadensarten beschreiben 2.1.5 Verschiedene Risikostrategien beschreiben 2.2 Die Beziehungen zwischen Bedrohungen, Risiken und der Zuverlässigkeit von Informationen. (15%) Der Prüfungsteilnehmer versteht die Beziehung zwischen Bedrohungen, Risiken und der Zuverlässigkeit von Informationen. 2.2.1 Beispiele der verschiedenen Arten von Bedrohung erkennen 2.2.2 Beschreiben, wie sich die verschiedenen Arten von Bedrohung auf die Informationen und die Informationsverarbeitung auswirken 7
3. Ansatz und Organisation (10 %) 3.1 Informationssicherheitsleitlinie und Organisation der Informationssicherheit (2.5%) Der Prüfungsteilnehmer kennt die Begriffe 'Informationssicherheitsleitlinie' und 'Organisation der Informationssicherheit'. 3.1.1 Die Ziele und Inhalte einer Informationssicherheitsleitlinie umschreiben 3.1.1 Die Ziele und Inhalte der Organisation der Informationssicherheit umschreiben 3.2 Komponenten (2.5%) Der Prüfungsteilnehmer kennt die verschiedenen Komponenten der Organisation der Informationssicherheit. 3.2.1 Die Bedeutung eines Verhaltenskodex erklären 3.2.2 Die Bedeutung der Verantwortung erklären 3.2.3 Die wichtigsten Rollen in der Organisation der Informationssicherheit benennen 3.3 Behandlung von Informationssicherheitsvorfällen (5 %) Der Prüfungsteilnehmer versteht die Bedeutung der Behandlung von Informationssicherheitsvorfällen und der Eskalation. 3.3.1 Zusammenfassen, wie Informationssicherheitsvorfälle gemeldet werden und welche Angaben erforderlich sind 3.3.2 Beispiele für Informationssicherheitsvorfälle nennen 3.3.3 Erklären, welche Folgen eintreten, wenn Informationssicherheitsvorfälle nicht gemeldet werden 3.3.4 Erläutern, was die (fachliche und hierarchische) Eskalation nach sich zieht 3.3.5 Beschreiben, wie sich die Eskalation innerhalb der Organisation auswirkt 3.3.6 Den Lebenszyklus von Informationssicherheitsvorfällen erklären 4. Maßnahmen (40%) 4.1 Bedeutung von Informationssicherheitsmaßnahmen (10%) Der Prüfungsteilnehmer versteht die Bedeutung von Informationssicherheitsmaßnahmen. 4.1.1 Diverse Möglichkeiten des Aufbaus und der Regelung von Informationssicherheitsmaßnahmen beschreiben 4.1.2 Beispiele für jede Art von Informationssicherheitsmaßnahme nennen 4.1.3 Die Beziehungen zwischen Risiken und Sicherheitsmaßnahmen erläutern 4.1.4 Erläutern, welches Ziel mit der Klassifizierung von Informationen verfolgt wird 4.1.5 Beschreiben, wie sich die Klassifizierung von Informationen auswirkt 8
4.2 Physische Sicherheitsmaßnahmen (10%) Der Prüfungsteilnehmer ist mit dem Aufbau und der Durchführung physischer Sicherheitsmaßnahmen vertraut. 4.2.1 Beispiele für physische Sicherheitsmaßnahmen nennen 4.2.2 Die Risiken beschreiben, die unzureichende physische Sicherheitsmaßnahmen mit sich bringen 4.3 Technische Maßnahmen (10%) Der Prüfungsteilnehmer ist mit dem Aufbau und der Durchführung technischer Sicherheitsmaßnahmen vertraut. 4.3.1 Beispiele für technische Sicherheitsmaßnahmen nennen 4.3.2 Die Risiken beschreiben, die unzureichende technische Sicherheitsmaßnahmen mit sich bringen 4.3.3 Die Begriffe Kryptographie, digitale Unterschrift und Zertifikat definieren 4.3.4 Die drei Schritte des Online-Bankings benennen (PC, Website, Zahlung) 4.3.5 Verschiedene Arten von Schadsoftware benennen 4.3.6 Mögliche Maßnahmen zum Schutz gegen Schadsoftware beschreiben. 4.4 Organisatorische Maßnahmen (10%) Der Prüfungsteilnehmer ist mit dem Aufbau und der Durchführung organisatorischer Sicherheitsmaßnahmen vertraut. 4.4.1 Beispiele für organisatorische Sicherheitsmaßnahmen nennen 4.4.2 Beschreiben, welche Gefahren und Risiken unzureichende organisatorische Sicherheitsmaßnahmen mit sich bringen 4.4.3 Die bezüglich der Zugriffssicherheit zu ergreifenden Maßnahmen beschreiben, wie z.b. die Aufteilung von Verantwortlichkeiten und die Nutzung von Passwörtern 4.4.4 Die Grundsätze des Benutzermanagements beschreiben 4.4.5 Die Begriffe Identifizierung, Authentisierung und Autorisierung definieren 4.4.6 Erläutern, welche Bedeutung die Sicherstellung des Geschäftsbetriebs (Business Continuity Management, BCM) für die Organisation hat 4.4.7 Klarstellen, wie wichtig die Durchführung von Übungen ist 9
5. Gesetze und Vorschriften (10 %) 5.1 Gesetze und Vorschriften (10 %) Der Prüfungsteilnehmer versteht die Bedeutung und die Auswirkungen von Gesetzen und Vorschriften. 5.1.1 Erklären, warum Gesetze und Vorschriften für die Zuverlässigkeit von Informationen wichtig sind 5.1.2 Beispiele für Gesetze nennen, die mit der Informationssicherheit verbunden sind 5.1.2 Beispiele für Vorschriften nennen, die mit der Informationssicherheit verbunden sind 5.1.4 Mögliche Maßnahmen zur Erfüllung der in Gesetzen und Vorschriften festgelegten Anforderungen benennen Auswahlkriterien Die Informationssicherheitsmaßnahmen sind für die meisten Mitarbeiter die ersten Aspekte der Informationssicherheit, mit denen sie konfrontiert werden. Daher sind die Informationssicherheitsmaßnahmen für das Modul von zentraler Bedeutung und haben die höchste Gewichtung, gefolgt von den Bedrohungen und Risiken. Um die Bedeutung der Informationssicherheitsmaßnahmen verstehen zu können, benötigt der Prüfungsteilnehmer aber auch gewisse Kenntnisse der Leitlinien und der Organisation der Informationssicherheit sowie der Gesetzgebung und der Vorschriften in diesem Bereich. 10
3. Begriffsglossar Das Glossar enthält die Begriffe, mit denen die Teilnehmer vertraut sein sollten. Die Begriffe sind in alphabetischer Reihenfolge aufgeführt. Deutsch English Audit Audit Aufteilung der Verantwortlichkeit Segregation of duties Ausschließlichkeit Exclusivity Auswirkung Impact Authentisierung Authentication Authentizität Authenticity Autorisierung Authorization Backup Backup Bedrohung Threat Biometrik Biometrics Botnetz Botnet Bundesarchivgesetz Public records legislation Change Management Change Management Daten Data Datenschutzgesetz Personal data protection legislation Digitale Unterschrift Digital signature Direkter Schaden Direct damage Dringlichkeit Urgency Eingriff Interference Einhaltung von Vorgaben (Compliance) Compliance erkennend Detective Eskalation Escalation Fachliche Eskalation Functional escalation Geheimhaltung Privacy Gesetzgebung zum Urheberschutz Copyright legislation Gesetzgebung zur Computerkriminalität Computer criminality legislation Grundsatz des "aufgeräumten Clear desk policy Schreibtisches" Hacking/Hackerangriff Hacking Hierarchische Eskalation Hierarchical escalation Hintertür Maintenance door Hoax Hoax Identifizierung Identification Indirekter Schaden Indirect damage Information Information Informationsanalyse Information analysis Informationsarchitektur Information architecture Informationsmanagement Information management Informationssicherheitsmaßnahme Security measure Informationssicherheitsorganisation Security Organization Informationssicherheitspolitik Security Policy Informationssicherheitsvorfall Security incident 11
Informationssicherheitsvorschriften für Security regulations for the government die Regierung Informationssystem Information system Infrastruktur Infrastructure Integrität Integrity ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27002:2005 Kategorie Category Klassifizierung (Grading) Classification (grading) Kontinuität Continuity korrigierend Corrective Kriminalität im Internet Cyber crime Kryptographie Cryptography Lebenszyklus der Incident cycle Informationssicherheitsvorfälle Leitfaden für das Informationssicherheits-Management Code of practice for Information Security (ISO/IEC 27002:2005) (DIN ISO/IEC 27002:2005) Logische Benutzerverwaltung Logical access management Nichtabstreitbarkeit Non-repudiation Notfall Disaster Notfallwiederherstellungsplan Disaster Recovery Plan (DRP) Patch Patch Persönliche Firewall Personal firewall Phishing Phishing Plan zur Sicherstellung des Business Continuity Plan (BCP) Geschäftsbetriebs (Business Continuity Plan, BCP) Präzision Precision Priorität Priority Produktionsfaktor Production factor Public-Key-Infrastruktur (PKI) Public Key Infrastructure (PKI) Qualitative Risikoanalyse Qualitative risk analysis Quantitative Risikoanalyse Quantitative risk analysis Rechtzeitigkeit Timeliness Richtigkeit Correctness Risiko Risk Risikoanalyse Risk analysis Risikobewertung (Analyse der Abhängigkeit und Schwachstellen) Risikomanagement Risk management Risikomindernd Reductive risikoneutral Risk neutral Risikostrategie Risk strategy risikotragfähig Risk bearing Risikovermeidung Risk avoiding Robustheit Robustness Rootkit Rootkit Schaden Damage Schadsoftware Malware Schlüssel Key Risk assessment (Dependency & Vulnerability analysis) 12
Schwachstelle/Sicherheitslücke Vulnerability Sicherstellung des Geschäftsbetriebs Business Continuity Management (BCM) (Business Continuity Management, BCM) Social Engineering Social engineering Spam Spam Speichermedium Storage medium Spyware Spyware Standby-Arrangement Stand-by arrangement Trojaner Trojan Unterbrechungsfreie Stromversorgung Uninterruptible Power Supply (UPS) (USV) unterdrückend Repressive Validierung Validation Verfügbarkeit Availability Verhaltenskodex Code of conduct Verifizierung Verification Vermögenswert (Asset) Asset Verschlüsselung Encryption Vertraulichkeit Confidentiality Virtuelles Privates Netz (VPN) Virtual Private Network (VPN) Virus Virus Vollständigkeit Completeness vorbeugend Preventive Wurm Worm Zertifikat Certificate Zugangs- und Zugriffskontroll Access control Zuverlässigkeit von Informationen Reliability of information 13
4. Literatur Prüfungsliteratur A Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H. Foundations of Information Security Based on ISO27001 and ISO27002 Van Haren Publishing, 2010 ISBN 978 90 8753 568 1 Literaturübersicht Prüfungsspezifikation 1.1 1.2 1.3 2.1 2.2 3.1 3.2 3.3 4.1 4.2 4.3 4.4 Literaturverweis A: Kapitel 4 A: Kapitel 4 A: Kapitel 4 A: Kapitel 5 A: Kapitel 5 A: Kapitel 9 A: 6.2, 6.4, Kapitel 9 A: Kapitel 6 A: Kapitel 5, Kapitel 6 A: Kapitel 7 A: Kapitel 8, 10 A: Kapitel 9, 10 5.1 A: Kapitel 11 Auswahlkriterien Die Prüfung basiert auf der Prüfungsliteratur. Dieses Buch ist derzeit nur in englischer Sprache verfügbar. 14
Contact EXIN Godebaldkwartier 365 3511 DT Utrecht, The Netherlands Tel: +31 30 234 48 11 www.exin-exams.com