IT-Grundschutz Karteikarten

Klicken Sie auf die Karten, um die Antworten zu sehen

Tipp: Versuchen Sie zuerst die Antwort zu formulieren, bevor Sie die Karte umdrehen!

Steuerung: Leertaste für nächste Karte, Klick zum Umdrehen

Grundlagen & Definitionen

CIA-Triad

Was sind die drei Grundwerte der Informationssicherheit?

CIA-Triad

Confidentiality (Vertraulichkeit)
Integrity (Integrität)
Availability (Verfügbarkeit)

Vertraulichkeit

Definition und Bedeutung?

Vertraulichkeit

Schutz vor unberechtigter Informationsweitergabe oder unberechtigtem Zugriff auf Informationen

Integrität

Definition und Bedeutung?

Integrität

Schutz vor Verfälschung, Manipulation oder Fehlerhaftigkeit von Informationen und Systemen

Verfügbarkeit

Definition und Bedeutung?

Verfügbarkeit

Schutz vor Nichtzugreifbarkeit von Informationen und Systemen zum gewünschten Zeitpunkt

Schutzbedarfskategorien

Welche drei Kategorien gibt es?

Schutzbedarfskategorien

Normal: begrenzte Auswirkungen
Hoch: beträchtlicher Schaden
Sehr hoch: existenzbedrohend

ISMS

Was bedeutet ISMS und wofür steht es?

ISMS

Information Security Management System
Managementsystem für Informationssicherheit mit Prinzipien, Ressourcen und Prozessen

BSI-Standards

BSI-Standard 200-1

Worum geht es in diesem Standard?

BSI-Standard 200-1

Anforderungen und Komponenten für ein ISMS
Orientiert an ISO 27001

BSI-Standard 200-2

Worum geht es in diesem Standard?

BSI-Standard 200-2

Methodik zur Einführung eines ISMS
Schrittweise Umsetzung und Variantenwahl

BSI-Standard 200-3

Worum geht es in diesem Standard?

BSI-Standard 200-3

Vereinfachte Risikoanalyse basierend auf IT-Grundschutz
Für Zielobjekte mit unklarem Basisschutz

PDCA-Zyklus

PLAN

Was passiert in dieser Phase?

PLAN

Planung von Sicherheitsmaßnahmen
Ziele definieren
Strategien entwickeln

DO

Was passiert in dieser Phase?

DO

Umsetzung der geplanten Maßnahmen
Implementierung
Ausführung

CHECK

Was passiert in dieser Phase?

CHECK

Kontrolle und Überwachung
Wirksamkeitsprüfung
Audit und Bewertung

ACT

Was passiert in dieser Phase?

ACT

Defizitbehebung
Verbesserung
Anpassung der Maßnahmen

Drei Vorgehensweisen

Basis-Absicherung

Charakteristika und Zielgruppe?

Basis-Absicherung

• Schneller Einstieg
• Keine differenzierte Schutzbedarfsbewertung
• Empfehlung für KMU
• Basisschutzmaßnahmen

Standard-Absicherung

Charakteristika und Vorgehen?

Standard-Absicherung

• Systematische Erhebung aller Komponenten
• Bewertung des Schutzbedarfs
• Nutzung des Kompendiums
• Ergänzende Risikoanalysen

Kern-Absicherung

Charakteristika und Fokus?

Kern-Absicherung

• Standard-Absicherung mit Fokus
• Konzentration auf "Kronjuwelen"
• Kritische Bereiche im Mittelpunkt
• Priorisierte Umsetzung

Rollen & Verantwortlichkeiten

ISB

Aufgaben des Informationssicherheitsbeauftragten?

ISB Aufgaben

• Koordination des Prozesses
• Berichterstattung
• Untersuchung von Vorfällen
• Sensibilisierung & Schulung

ICS-ISB

Wofür ist der ICS-Informationssicherheitsbeauftragte zuständig?

ICS-ISB

• Industrielle Steuerungen
• Produktionsbereiche
• Umsetzung auf ICS
• Schnittstelle zum ISB

IS-Management-Team

Zusammensetzung und Aufgaben?

IS-Management-Team

• ISB, ICS-ISB, IT-Verantwortliche
• Ziele & Strategien festlegen
• Prozessüberwachung
• Wirksamkeitskontrolle

Leitung

Verantwortung der Leitungsebene?

Leitung

• Gesamtverantwortung
• Risikokenntnis
• Ressourcenbereitstellung
• Vorbildfunktion

Strukturanalyse

Ziel Strukturanalyse

Was soll erreicht werden?

Ziel Strukturanalyse

Identifikation und Beschreibung aller relevanten Schutzobjekte:
• Prozesse • Anwendungen
• IT-Systeme • Räume
• Kommunikationsverbindungen

Objekte gruppieren

Nach welchen Kriterien?

Gruppierungskriterien

• Typ und Konfiguration
• Netzwerk
• Administration
• Schutzbedarf
• Aufgabe

Geschäftsprozesse

Was muss für jeden Prozess erfasst werden?

Prozesserfassung

• Eindeutige Kennung
• Name und Beschreibung
• Informationsarten
• Verantwortliche
• Benötigte Anwendungen

Schutzbedarfsfeststellung

Maximumprinzip

Wie funktioniert dieses Vererbungsprinzip?

Maximumprinzip

Der höchste Schutzbedarf einer abhängigen Komponente bestimmt den Schutzbedarf der übergeordneten Komponente

Kumulationseffekt

Was bedeutet dieser Effekt?

Kumulationseffekt

Viele Systeme mit je normalem Schutzbedarf können gemeinsam einen hohen Bedarf erzeugen, wenn der Ausfall mehrerer gleichzeitig schwer wiegt

Verteilungseffekt

Wann tritt dieser Effekt auf?

Verteilungseffekt

Schutzbedarf kann niedriger sein, wenn eine Anwendung über viele Systeme verteilt ist und ein einzelnes System nur weniger wichtige Teile trägt

Schadensszenarien

Welche Bereiche werden betrachtet?

Schadensszenarien

• Gesetzesverstöße
• Datenschutzverletzungen
• Persönliche Unversehrtheit
• Aufgabenbeeinträchtigung
• Imageschäden
• Finanzielle Auswirkungen

Vererbungsreihenfolge

In welcher Reihenfolge wird der Schutzbedarf vererbt?

Vererbungsreihenfolge

1. Prozesse/Informationen
2. Anwendungen
3. IT-Systeme
4. Räume
5. Kommunikationsverbindungen

Wichtige Dokumente

Sicherheitsleitlinie

Was muss enthalten sein?

Sicherheitsleitlinie

• Geltungsbereich
• Stellenwert der IS
• Verantwortlichkeiten
• Regulatorische Hinweise
• Organisationsstruktur
• Konsequenzen bei Verstößen

Sicherheitskonzept

Hauptbestandteile?

Sicherheitskonzept

• Informationsverbund
• Erstaufnahme aller Objekte
• Grobe Schutzbedarfsklassifikation
• Tabellarische + grafische Darstellung

IT-Grundschutz-Kompendium

Aufbau und Struktur?

Kompendium

• Modulares Nachschlagewerk
• Bausteine in thematischen Schichten
• Basis-, Standard- und zusätzliche Anforderungen
• Gefährdungen und Maßnahmen

Viel Erfolg bei der Klausur!

Vergessen Sie nicht: Verstehen ist wichtiger als Auswendiglernen!

30+
Karteikarten
6
Themenbereiche
100%
Prüfungsrelevant

Weitere Lernmodule

Merkzettel
Kompakte Übersichten
Praxisbeispiele
Fallstudien
Übungsfragen
Mock-Klausur