Information Security Management System: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
Zeile 81: | Zeile 81: | ||
[[Kategorie:Informationssicherheit/Managementsystem]] | [[Kategorie:Informationssicherheit/Managementsystem]] | ||
= TMP = | |||
'''topic''' - Kurzbeschreibung | |||
== Beschreibung == | |||
Jede Institution benutzt heute Sicherheitstechnik, um sich vor Gefahren aus dem Internet abzusichern. | |||
* Dazu gehören fast immer Virenschutzprogramme und Spamfilter, oft aber auch komplexere Lösungen wie gestaffelte Firewalls und Software zur Angriffserkennung. | |||
* Darüber hinaus ergreifen Behörden und Unternehmen organisatorische Maßnahmen, etwa indem sie Richtlinien für die Benutzung mobiler Systeme erlassen oder die ihre Mitarbeiter über Gefahren im Internet informieren. | |||
* Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle. | |||
Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß allerdings weder effektiv noch effizient. | |||
* Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden. | |||
Ein solches '''Managementsystem für Informationssicherheit (ISMS) '''besteht aus folgenden Komponenten: | |||
* '''Managementprinzipien''',etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen, | |||
* '''Ressourcen und Mitarbeitern''',dies umfasst die Steuerung des Einsatzes von Technik und Personal sowie | |||
* der Beschreibung eines '''Sicherheitsprozesses'''. | |||
; Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten? | |||
Antworten hierzu finden Sie im [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html -Standard 200-1: Managementsysteme für Informationssicherheit ()]. | |||
* Die dort genannten Empfehlungen werden im [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html -Standard 200-2: -Grundschutz-Methodik] konkretisiert. | |||
* In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist. | |||
; Aspekte des Managements von Informationssicherheit gemäß -Grundschutz | |||
{| class="wikitable options" | |||
|- | |||
! Aspekt !! Beschreibung | |||
|- | |||
| [[Grundschutz/Sicherheitsprozess|Sicherheitsprozess]] || | |||
|- | |||
| [[Grundschutz/Managementprinzipien|Managementprinzipien]] || | |||
|- | |||
| [[Grundschutz/Sicherheitsorganisation|Sicherheitsorganisation]] || | |||
|- | |||
| [[Grundschutz/Sicherheitsleitlinie|Sicherheitsleitlinie]] || | |||
|- | |||
| [[Grundschutz/Sicherheitskonzept|Sicherheitskonzept]] || | |||
|- | |||
| [[Grundschutz/Dokumentation|Dokumentation]] || | |||
|} | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/Sicherheitsmanagement}} | |||
==== Dokumentation ==== | |||
==== Links ==== | |||
===== Einzelnachweise ===== | |||
<references /> | |||
===== Projekt ===== | |||
===== Weblinks ===== | |||
<noinclude> | |||
=== Testfragen === | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
Welches Modell liegt dem in -Standard 200-1 beschriebenen Sicherheitsprozess zugrunde? | |||
A ein Zyklus aus den Schritten Plan, Do, Check und Act | |||
B ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus | |||
C ein auf stetige Verbesserung angelegtes Modell | |||
D ein Modell aus technischen Sicherheitsmaßnahmen | |||
<div class="mw-collapsible-content"> '''Die Antworten A und C sind richtig.'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
Was sollte eine Leitlinie zur Informationssicherheit enthalten? | |||
A detaillierte technische Vorgaben für die Konfiguration wichtiger -Systeme | |||
B Aussagen zur Bedeutung der Informationssicherheit für die betroffene Institution | |||
C grundlegende Regelungen zur Organisation der Informationssicherheit | |||
D konkrete Verhaltensregelungen für den Umgang mit vertraulichen Informationen | |||
<div class="mw-collapsible-content">'''Die Antworten B und C sind richtig.'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte? | |||
A die Entwicklung von Sicherheitskonzepten zu koordinieren | |||
B die eingesetzte Sicherheitstechnik zu konfigurieren | |||
C der Leitungsebene über den Stand der Informationssicherheit zu berichten | |||
D Presseanfragen zum Stand der Informationssicherheit im Unternehmen zu beantworten | |||
<div class="mw-collapsible-content">'''Die Antworten A und C sind richtig.'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
Wie setzt sich ein -Management-Team geeignet zusammen? | |||
A Aus jeder Abteilung des Unternehmens oder der Behörde werden Mitarbeiter entsandt, damit alle Bereiche gut vertreten sind. | |||
B Nur der -Leiter ordnet einige Mitarbeiter in das Team ab. | |||
C Die Zusammensetzung sollte auf Freiwilligkeit beruhen. Jeder der Interesse hat, wird aufgenommen. | |||
D Die Geschäftsleitung setzt das Team aus Verantwortlichen für bestimmte -Systeme, Anwendungen, Datenschutz und -Service und (sofern vorhanden) dem - zusammen. | |||
<div class="mw-collapsible-content">'''Die Antwort D ist richtig.'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
Wer ist für die Freigabe der Leitlinie zur Informationssicherheit verantwortlich? | |||
A das -Management-Team | |||
B der | |||
C die Unternehmens- oder Behördenleitung | |||
D die Öffentlichkeitsabteilung eines Unternehmens oder einer Behörde | |||
<div class="mw-collapsible-content">'''Die Antwort C ist richtig.'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
Warum kann es sinnvoll sein, sich für eine Sicherheitskonzeption gemäß der Basis-Absicherung zu entscheiden? | |||
A Die Erfüllung der zugehörigen Anforderungen reicht in der Regel für ein normales Unternehmen völlig aus. | |||
B Weil schnell Informationssicherheit umgesetzt werden muss und die Basis-Absicherung hierfür einen geeigneten Einstieg bietet. | |||
C Weil Informationssicherheit Schritt für Schritt umgesetzt werden soll. Mittelfristig kann das Sicherheitskonzept nach Standard-Absicherung ausgebaut werden. | |||
D Weil die hochwertigen Informationen dringend geschützt werden müssen. Die Basis-Absicherung sorgt für den angemessenen Schutz der „Kronjuwelen“ einer Institution. | |||
<div class="mw-collapsible-content">'''Die Antworten B und C sind richtig.'''</div> | |||
</div> | |||
[[Kategorie:Grundschutz/Management]] | |||
</noinclude> | |||
</noinclude> | </noinclude> |
Version vom 7. Juni 2023, 18:36 Uhr
Ein Information Security Management System (ISMS) ist ein Managementsystem für Informationssicherheit
Beschreibung
Aufgabe des IT-Sicherheitsmanagements
- Systematische Absicherung eines informationsverarbeitenden IT-Verbundes
- Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
- Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.
- Standards des IT-Sicherheitsmanagements sind beispielsweise:
- IT-Grundschutz des BSI
- Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel).
- Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
- Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
- ISO/IEC 27001: Norm für Informationssicherheitsmanagementsysteme (ISMS)
- ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
- Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm.
- Weitere Standards sind zu finden im Vorlage:Hauptartikel
- Verfahren und Regeln innerhalb einer Organisation zur Informationssicherheit
- definieren
- steuern
- kontrollieren
- aufrechterhalten
- fortlaufend verbessern
- Begriff wird im Standard ISO/IEC 27002 definiert
- ISO/IEC 27001 beschreibt ein ISMS
- Deutscher Anteil an dieser Normungsarbeit
Informationssicherheit und Datenschutz
Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) haben teilweise überschneidende Zuständigkeiten, müssen aber personell getrennt wahrgenommen werden.
- Mit der neuen Norm ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert, sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können.
Allgemeine Ansätze
Ansatz | Beschreibung |
---|---|
Verankerung in der Organisation | Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen.
|
Verbindliche Ziele | Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. |
Richtlinien | Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management. |
Personalmanagement | Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. |
Aktualität des Wissens | Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt. |
Qualifikation und Fortbildung | Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. |
Adaptive Sicherheit | Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess). |
Vorbereitung | Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet. |
Zertifizierung
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
- BSI-Standard 200-2: IT-Grundschutz-Methodik
- BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
- VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)
TMP
topic - Kurzbeschreibung
Beschreibung
Jede Institution benutzt heute Sicherheitstechnik, um sich vor Gefahren aus dem Internet abzusichern.
- Dazu gehören fast immer Virenschutzprogramme und Spamfilter, oft aber auch komplexere Lösungen wie gestaffelte Firewalls und Software zur Angriffserkennung.
- Darüber hinaus ergreifen Behörden und Unternehmen organisatorische Maßnahmen, etwa indem sie Richtlinien für die Benutzung mobiler Systeme erlassen oder die ihre Mitarbeiter über Gefahren im Internet informieren.
- Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle.
Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß allerdings weder effektiv noch effizient.
- Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden.
Ein solches Managementsystem für Informationssicherheit (ISMS) besteht aus folgenden Komponenten:
- Managementprinzipien,etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
- Ressourcen und Mitarbeitern,dies umfasst die Steuerung des Einsatzes von Technik und Personal sowie
- der Beschreibung eines Sicherheitsprozesses.
- Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?
Antworten hierzu finden Sie im -Standard 200-1: Managementsysteme für Informationssicherheit ().
- Die dort genannten Empfehlungen werden im -Standard 200-2: -Grundschutz-Methodik konkretisiert.
- In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist.
- Aspekte des Managements von Informationssicherheit gemäß -Grundschutz
Aspekt | Beschreibung |
---|---|
Sicherheitsprozess | |
Managementprinzipien | |
Sicherheitsorganisation | |
Sicherheitsleitlinie | |
Sicherheitskonzept | |
Dokumentation |
Anhang
Siehe auch
Dokumentation
Links
Einzelnachweise
Projekt
Weblinks
Testfragen
Welches Modell liegt dem in -Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?
A ein Zyklus aus den Schritten Plan, Do, Check und Act B ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus C ein auf stetige Verbesserung angelegtes Modell D ein Modell aus technischen Sicherheitsmaßnahmen
Was sollte eine Leitlinie zur Informationssicherheit enthalten?
A detaillierte technische Vorgaben für die Konfiguration wichtiger -Systeme B Aussagen zur Bedeutung der Informationssicherheit für die betroffene Institution C grundlegende Regelungen zur Organisation der Informationssicherheit D konkrete Verhaltensregelungen für den Umgang mit vertraulichen Informationen
Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte?
A die Entwicklung von Sicherheitskonzepten zu koordinieren B die eingesetzte Sicherheitstechnik zu konfigurieren C der Leitungsebene über den Stand der Informationssicherheit zu berichten D Presseanfragen zum Stand der Informationssicherheit im Unternehmen zu beantworten
Wie setzt sich ein -Management-Team geeignet zusammen?
A Aus jeder Abteilung des Unternehmens oder der Behörde werden Mitarbeiter entsandt, damit alle Bereiche gut vertreten sind. B Nur der -Leiter ordnet einige Mitarbeiter in das Team ab. C Die Zusammensetzung sollte auf Freiwilligkeit beruhen. Jeder der Interesse hat, wird aufgenommen. D Die Geschäftsleitung setzt das Team aus Verantwortlichen für bestimmte -Systeme, Anwendungen, Datenschutz und -Service und (sofern vorhanden) dem - zusammen.
Wer ist für die Freigabe der Leitlinie zur Informationssicherheit verantwortlich?
A das -Management-Team B der C die Unternehmens- oder Behördenleitung D die Öffentlichkeitsabteilung eines Unternehmens oder einer Behörde
Warum kann es sinnvoll sein, sich für eine Sicherheitskonzeption gemäß der Basis-Absicherung zu entscheiden?
A Die Erfüllung der zugehörigen Anforderungen reicht in der Regel für ein normales Unternehmen völlig aus. B Weil schnell Informationssicherheit umgesetzt werden muss und die Basis-Absicherung hierfür einen geeigneten Einstieg bietet. C Weil Informationssicherheit Schritt für Schritt umgesetzt werden soll. Mittelfristig kann das Sicherheitskonzept nach Standard-Absicherung ausgebaut werden. D Weil die hochwertigen Informationen dringend geschützt werden müssen. Die Basis-Absicherung sorgt für den angemessenen Schutz der „Kronjuwelen“ einer Institution.