IT-Grundschutz Quiz 2023
18 Questions
0 Views

Choose a study mode

Play Quiz
Study Flashcards
Spaced Repetition
Chat to lesson

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

Welches Element dient zur Unterstützung bei der Umsetzung von Sicherheitsmaßnahmen im IT-Grundschutz?

  • Gefährdungskatalog
  • IT-Grundschutz-Kompendium (correct)
  • BSI-Standards
  • IT-Grundschutz-Profile

    • Welcher Standard wurde im Juni 2023 abgelöst?

  • 200-4
  • 200-3
  • 100-4 (correct)
  • 200-1

    • Was umfasst das IT-Grundschutz-Kompendium nicht?

  • Anforderungen zur Umsetzung
  • BSI-Standards
  • Gefährdungskatalog
  • Benutzerdefinierte Module (correct)

    • Welche Funktion erfüllen die IT-Grundschutz-Profile?

    <p>Sie dienen zur Erstellung individueller Sicherheitskonzepte.</p> Signup and view all the answers

    Welcher BSI-Standard ersetzt den IT-Grundschutz-Katalog?

    <p>200-2</p> Signup and view all the answers

    Welche der folgenden Kategorien beschreibt die Sicherheitsanforderungen im BSI IT-Grundschutz 200-2?

    <p>Technische Maßnahmen</p> Signup and view all the answers

    Was ist das Ziel des BSI IT-Grundschutz-Kompendiums?

    <p>Die Gewährleistung von Datenschutz und Datensicherheit</p> Signup and view all the answers

    Welche der folgenden Vorgehensweisen gehört nicht zum BSI IT-Grundschutz 200-2?

    <p>Normative Absicherung</p> Signup and view all the answers

    Was beschreibt die Benutzerdefinierten Module im Kontext des BSI IT-Grundschutzes?

    <p>Spezifische Sicherheitsanforderungen für individuelle Geschäftsprozesse</p> Signup and view all the answers

    Welches dieser IT-Grundschutz-Profile bezieht sich auf die Umsetzung der Sicherheitsanforderungen?

    <p>Hauptprofil</p> Signup and view all the answers

    Was wird in einem IT-Grundschutz-Profil dokumentiert?

    <p>Die Schritte eines Sicherheitsprozesses</p> Signup and view all the answers

    Welche der folgenden Tätigkeiten gehört zur Erstellung eines IT-Grundschutz-Profils?

    <p>Durchführung einer Strukturanalyse</p> Signup and view all the answers

    Was ist ein notwendiger Schritt bei der Modellierung in einem IT-Grundschutz-Profil?

    <p>Anpassung der IT-Grundschutz-Bausteine</p> Signup and view all the answers

    Wer ist der Autor eines IT-Grundschutz-Profils für einen großen IT-Dienstleister?

    <p>Christoph Möhring</p> Signup and view all the answers

    Welche Aussagen beschreibt am besten die Benutzerdefinierten Module im IT-Grundschutz?

    <p>Sie können auf spezifische Anforderungen angepasst werden.</p> Signup and view all the answers

    Was ist der Zweck einer Schutzbedarfsfeststellung?

    <p>Um den Schutzbedarf der Informationen zu ermitteln</p> Signup and view all the answers

    Welche der folgenden Informationen ist in den IT-Grundschutz-Profilen enthalten?

    <p>Spezifische Sicherheitsanforderungen und -maßnahmen</p> Signup and view all the answers

    Wie viele weitere Profile sind über die BSI IT-Grundschutz-Profile Übersicht zu finden?

    <p>10+</p> Signup and view all the answers

    Study Notes

    Modul 2: Einführung in das ISM nach BSI

    • Das BSI-Angebot zum IT-Grundschutz besteht aus Einzelkomponenten.
    • Die Komponenten umfassen BSI-Standards, organisatorischen Rahmen, methodisches Vorgehen, IT-Grundschutz-Kompendium, Bausteine, Gefährdungskatalog und Umsetzungshilfen.
    • Weitere Veröffentlichungen und Hilfsmittel, IT-Grundschutzprofile, Dokumente, Werkzeuge und weitere Hilfsmittel sind ebenfalls enthalten.

    BSI Standards: Übersicht

    • Das BSI hat vier Standards zur Informationssicherheit definiert: 200-1, 200-2, 200-3 und 200-4 (ehemals 100-4).
    • Die Standards 200-1, 200-2 und 200-3 haben im Juni 2017 die alten 100-1, 100-2 und 100-3 abgelöst.
    • Der Standard 200-2 ergänzt und ersetzte 2018 den IT-Grundschutz-Katalog, der Begriff kursiert jedoch weiter.
    • Der Standard 200-4 hat im Juni 2023 den Standard 200-4 (BCM) abgelöst.

    BSI-Standards

    • 200-1: Managementsysteme für Informationssicherheit
    • 200-2: IT-Grundschutz-Methodik
    • 200-3: Risikoanalyse auf Basis von IT-Grundschutz
    • 200-4: Business Continuity Management (ehemals 100-4 Notfallmanagement)

    ISO 27001: High Level Struktur

    • Dynamik berücksichtigen
    • Prozessorientierter Ansatz
    • Design und Implementierung nach den Bedürfnissen der Institution
    • Schutz der Informationen (CIA)

    Mapping: BSI auf ISO 27001

    • Die Integration der DIN ISO/IEC-27001-Norm macht die Anwendung und Zertifizierung auf Basis von IT-Grundschutz für international agierende Institutionen interessant.
    • Das BSI hat eine Vergleichstabelle zur ISO/IEC 27001 erstellt und aktualisiert.

    IT-Grundschutz: Anwendung der Standards

    • ISMS nach BSI-Standard 200-1
    • IT-Grundschutz-Methode nach BSI-Standard 200-2
    • Risikoanalyse nach BSI-Standard 200-3

    ISMS Definition und Prozessbeschreibung nach 200-1

    • Der Standard 200-1 definiert allgemeine Anforderungen an ein ISMS.
    • Beschreibung der Methoden zur Informationssicherheit.
    • Vollständig kompatibel mit der Norm ISO/IEC 27001.
    • Berücksichtigt die Begriffe und Empfehlungen der ISO-Normen ISO/IEC 27000 und ISO/IEC 27002.
    • Aufbau eines Managementsystems für Informationssicherheit (ISMS-Definition und Prozessbeschreibung, Management-Prinzipien, Ressourcen für Informationssicherheit, Einbindung der Mitarbeiter in den Sicherheitsprozess, Sicherheitskonzept inkl. Lebenszyklus)

    Lebenszyklus des Sicherheitskonzepts nach 200-1

    • Planung und Konzeption
    • Umsetzung
    • Erfolgskontrolle und Überwachung
    • Optimierung und Verbesserung

    ISMS Definition und Prozessbeschreibung nach 200-1

    • Sicherheitsprozess
    • Ressourcen
    • Mitarbeiter
    • Management-Prinzipien

    Das ISMS

    • Ein Informationssicherheitsmanagementsystem (ISMS) dient dem Schutz von Informationen als Unternehmenswerte.
    • Kombination aus Dokumentenlandschaft, Verhaltensanweisungen und gelebter Praxis.
    • Ein ISMS legt fest, wie das Management Aufgaben und Aktivitäten im Bereich Informationssicherheit nachvollziehbar lenkt.

    Grundsätze bei der Maßnahmenumsetzung

    • Organisatorische Maßnahmen können genauso wirksam sein wie komplexe technische Maßnahmen.

    Kommunikation und Wissen nach BSI 200-1

    • Kommunikation ist ein wesentlicher Eckpfeiler.
    • Berichterstattung an die Leitungsebene
    • Klassifikation von Informationen
    • Informationsfluss innerhalb der Organisation
    • Dokumentation des Sicherheitsprozesses

    Informationssicherheitsmanagement: Ressourcen

    • Einhaltung eines Sicherheitsniveaus erfordert finanzielle, personelle und zeitliche Ressourcen.
    • Einbindung der Mitarbeiter in den Sicherheitsprozess beinhaltet verantwortungsbewusstes Handeln, Verpflichtung auf Regelungen und Sensibilisierung.

    Aufbau einer Sicherheitsorganisation: Vorüberlegung

    • Im Rahmen eines ISMS sind mehrere Rollen und Aufgaben erforderlich.
    • Notwendigkeiten
    • Zuständigkeitsbereich
    • Aufgaben
    • Anforderungsprofil
    • Branche des Unternehmens
    • Anforderungen an das Unternehmen (Größe, geografische Verteilung)

    Aufbau einer Sicherheitsorganisation: Oberste Leitung/Top Management

    • Strategische Verantwortung für Informationssicherheit
    • Verantwortung für alle Risikoentscheidungen
    • Gesamtverantwortung verbleibt bei der obersten Leitung

    Aufbau einer Sicherheitsorganisation: Informationssicherheitsbeauftragter (ISB)

    • Taktische (und zu Teilen strategische) Verantwortung für Informationssicherheit
    • Beratung der obersten Leitung
    • Lenkung/Steuerung des IS-Prozesses
    • Führung der IS-Organisation
    • Verantwortung für das IS-Risikomanagement

    Aufbau einer Sicherheitsorganisation: ICS-Informationssicherheitsbeauftragter (ICS-ISB)

    • Gemeinsame Ziele zwischen dem Bereich der industriellen Steuerung und dem gesamten ISMS
    • Allgemeine Sicherheitsvorgaben und Richtlinien für den ICS-Bereich umsetzen
    • Risikoanalysen für den ICS-Bereich durchführen
    • Sicherheitsmaßnahmen für den ICS-Bereich festlegen und umsetzen.
    • Sicherheitsrichtlinien und Konzepte für den ICS-Bereich unter Berücksichtigung der Funktionssicherheit (Safety) erstellen und die Mitarbeiter schulen

    Aufbau einer Sicherheitsorganisation: Bereichsleiter

    • Operative (und zu Teilen taktische) Verantwortung für Informationssicherheit.
    • Umsetzung der Informationssicherheit nach den Vorgaben des ISB.
    • Beratung der obersten Leitung (je nach organisatorischem Aufbau).
    • Hinwirkung und Mitwirkung für den IS-Prozess.

    Aufbau einer Sicherheitsorganisation: Mitarbeiter*innen

    • Umsetzung von Maßnahmen
    • Meldung von Problemen
    • Hinwirkung und Mitwirkung für den IS-Prozess

    Aufbau einer Sicherheitsorganisation: Datenschutzbeauftragter (DSB)

    • Kontrolle der Einhaltung des Datenschutzes.
    • Schutz des Einzelnen vor unbefugten Umgang von personenbezogenen Daten.
    • Beratung im Rahmen der Umsetzung der Compliance-Anforderungen.
    • Verantwortlichkeit für das Datenschutz-Managementsystem in manchen Unternehmen.

    Aufbau einer Sicherheitsorganisation: Auditor vs. Revisor

    • Auditor: Verantwortung für interne oder externe Audits, Durchführung und Leitung von Audits.
    • Revisor: Verantwortung für die Überprüfung und Einhaltung der Aufgaben, Ansprechpartner bei Verstößen.

    Aufbau einer Sicherheitsorganisation: Personalrat / Betriebsrat

    • Verantwortung für die Interessenvertretung der Mitarbeiter.
    • Hin- und Mitwirkung im Rahmen von Maßnahmen, die die Mitarbeiter betreffen.

    Aufbau einer Sicherheitsorganisation: IS-Management-Team (ISMT)

    • Leitung
    • ISB
    • ICS-ISB
    • IT-Leiter
    • Bereichsleiter
    • DSB
    • Betriebsrat
    • Einbindung unterscheidet sich je nach Organisation

    ISMS-Dokumentations- und Organisationspyramide

    • Strategisch
    • Taktisch
    • Operativ
    • IS-Leitlinie
    • Sicherheitskonzept nach BSI IT-Grundschutz
    • Umsetzungskonzepte und Prozessbeschreibungen
    • Detail- und Handlungsanweisungen, Nachweisdokumente und Hilfsmittel
    • Oberste Leitung, ISB, ICS-ISB, Fachbereich, Mitarbeiter*innen

    Aufbau von IS-Konzepten

    • Leitlinie (strategisches Dokument, zielorientiert, beschreibt Sicherheitsziele, benennt Zweck, Mittel und Organisationsstrukturen)
    • Sicherheitskonzept mit übergreifenden Richtlinien (themenorientiert, beschreibt Verfahren zur Erfüllung der IS-Anforderungen, formuliert Anforderungen)
    • Umsetzungskonzepte (operative IS-Dokumente, fachbereichsbezogen, beschreibt fachliche Konzepte, benennt Maßnahmen zur Umsetzung)
    • Details- und Handlungsanweisungen (Ausarbeitung von Maßnahmen, Nachweisdokumente und Hilfsmittel)

    Initiierung: Leitlinie zur Informationssicherheit

    • Erstellung einer Leitlinie zur Informationssicherheit
    • Verantwortung der Behörden- bzw. Unternehmensleitung
    • Festlegung des Geltungsbereichs
    • Inhalte der Sicherheitsleitlinie
    • Bekanntgabe der Sicherheitsleitlinie
    • Aktualisierung der Sicherheitsleitlinie

    Zielsetzung: BSI-Standard 200-2

    • Methodik für ein effektives Management der Informationssicherheit für Institutionen aller Größen und Arten.
    • Aufwand im Informationssicherheitsprozess reduzieren durch Standard-Sicherheitsmaßnahmen.
    • Basis für hochschutzbedürftige Geschäftsprozesse.
    • Interpretation der Anforderungen aus ISO 27001 und Empfehlungen aus ISO 27002.
    • Hinweise zur Umsetzung mit Hintergrund-Know-how und Beispielen.

    BSI IT-Grundschutz 200-2: Die Drei Vorgehensweisen

    • Anforderungen für erhöhten Schutzbedarf
    • Standard-Anforderungen
    • Basis-Anforderungen
    • Kern-Absicherung
    • Schutzbedarf normal
    • Standard-Absicherung
    • Basis-Absicherung

    BSI IT-Grundschutz 200-2: Bestimmung des Sicherheitsniveaus

    • Entscheidung für eine beschriebene Vorgehensweisen
    • Kern-Absicherung
    • Basis-Absicherung
    • Standard-Absicherung

    BSI IT-Grundschutz 200-2: Struktur der Bausteine

    • Sicherheitsanforderungen für den Schutz des betrachteten Gegenstands.
    • Beschreibung von Aufgaben zur Bewahrung des Schutzes.
    • Anforderungen in drei Kategorien gruppiert (Basis-, Standard-, Kern-Absicherung).

    Vorgehensweise: Basis-Absicherung

    • Vorgehensweise kann angewendet werden, wenn ein Informationssicherheitsprozess initiiert, die Sicherheitsleitlinie und Informationssicherheitsorganisation definiert, eine Übersicht der vorhandenen Assets erstellt und die Basis-Absicherung als IT-Grundschutz-Vorgehensweise ausgewählt wurde.
    • Festlegung des Geltungsbereichs, Organisation, Infrastruktur, IT-Systeme, Anwendungen, Mitarbeiter.
    • Auswahl und Priorisierung relevanter Bausteine, IT-Grundschutz-Check (Basisanforderungen), Realisierung der Maßnahmen.

    Vorgehensweise: Kern-Absicherung

    • Geeignet für Institutionen mit großem Handlungsbedarf im Bereich der Informationssicherheit.
    • Fokus auf der Absicherung kritischer Assets.
    • Basis für umfassende Sicherheitskonzepte (Standard-Absicherung).
    • Festlegung des Geltungsbereichs (abgegrenzt und klein), Identifikation und Festlegung der kritischen Assets, Strukturanalyse, Analyse des Ist-Zustands, Schutzbedarfsfeststellung, Modellierung.

    Vorgehensweise: Standard-Absicherung

    • Ziel ist eine pragmatische und effektive Vorgehensweise für ein normales Sicherheitsniveau.
    • Basis für ein höheres Sicherheitsniveau.
    • Festlegung des Geltungsbereichs, Organisation, Infrastruktur, IT-Systeme, Anwendungen, Mitarbeiter, Strukturanalyse, Analyse des Ist-Zustands, Schutzbedarfsfeststellung.
    • Modellierung, IT-Grundschutz-Check, Risikoanalyse

    Vorarbeiten: Vorgehensweise und Geltungsbereich festlegen

    • Formulierung von Sicherheitszielen und einer Leitlinie zur Informationssicherheit.
    • Ermittlung von Rahmenbedingungen.
    • Aufbau einer Informationssicherheitsorganisation.
    • Festlegung einer Vorgehensweise und Anwendungsbereich für das ISMS.

    Zielsetzung: BSI-Standard 200-3

    • Methodik zur Erstellung einer Risikoanalyse.
    • Beschreibt die notwendigen risikobezogenen Arbeitsschritte.
    • Deutlich reduzierter Aufwand gegenüber ISO 31000 oder ISO 27005.
    • Zielgruppe sind Unternehmen oder Behörden, die die IT-Grundschutz-Methodik bereits anwenden.

    Risikoanalyse nach 200-3: Übersicht der Methodik

    • Initiierung des Sicherheitsprozesses
    • Strukturanalyse
    • Schutzbedarfsfeststellung
    • Modellierung
    • IT-Grundschutz-Check
    • Risikoanalyse
    • Gefährdungsübersicht
    • Behandlung von Risiken
    • Konsolidierung

    Risikoanalyse nach BSI 200-3: Vorarbeiten

    • Fragestellungen und Managemententscheidungen
    • Voraussetzungen für eine Risikoanalyse
    • Methodik/Standard
    • Anpassung der Methodik an die Institution
    • Risikoakzeptanzkriterien
    • Verantwortlichkeiten für Teilaufgaben bei der Risikoanalyse

    Wo finde ich die Standards und wie sehen die aus?

    • Bundesamt für Sicherheit in der Informationstechnik (BSI)

    IT-Grundschutz-Kompendium

    • Verfügbarkeit der BSI-Standards 200-1, 200-2, 200-3
    • Verfügbarkeit des IT-Grundschutz-Kompendiums

    BSI IT-Grundschutz-Kompendium nach 200-2

    • Zusammen mit den Standards bildet das Kompendium die Basis für umfassende Informationen zur Informationssicherheit.
    • Zentrale Bestandteile des Kompendiums und Erläuterung möglicher Gefährdungen und wichtiger Sicherheitsanforderungen.
    • Die -Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt, thematisch von Anwendungen bis zu Sicherheitsmanagement.
    • Jährliche Aktualisierung des Kompendiums im Februar.

    BSI IT-Grundschutz-Kompendium: Struktur (1) und (2)

    • Prozessorientierte Bausteine in Schichten gruppiert (ISMS, ORP, CON, OPS, DER, INF, NET, SYS, APP, IND)
    • Systemorientierte Bausteine in Schichten gruppiert (APP, SYS, IND, NET, INF, DER).

    Benutzerdefinierte Bausteine

    • Anpassung von Modulen an die spezifischen Bedürfnisse und Anforderungen der Organisation, oder System.
    • WORD-Vorlagen vom BSI.

    IT-Grundschutz-Profile: Schablonen für die Informationssicherheit

    • Definitionen von Anwendungsbereichen.
    • Festlegung des Anwendungsbereichs.
    • Verallgemeinerte Strukturanalyse, Schutzbedarfsfeststellung und Modellierung
    • Auswahl und Anpassung von umzusetzenden IT-Grundschutz-Bausteinen.
    • Beschreibung spezifischer Sicherheitsanforderungen und -maßnahmen.

    Wie sieht eigentlich das Kompendium in echt aus?

    • Bild des IT-Grundschutz-Kompendiums.

    Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit

    • Ziel ist die Aufrechterhaltung und Optimierung des Sicherheitsniveaus.
    • Überprüfung des Sicherheitsprozesses und der organisatorischen Strukturen.
    • Bewertung von Maßnahmen hinsichtlich Passgenauigkeit, Praxisorientierung und Korrektheit.
    • Anpassung des Ansatzes an den veränderten Sicherheitsbedrohungen, ggfs. Basis-, Standard- oder Kernabsicherung.

    Leitfragen für die Überprüfung & Kennzahlen

    • Verfahren und Mechanismen zur Überprüfung der Effizienz der Maßnahmen.
    • Ziele und Methoden der Überwachung.
    • Verantwortlichkeiten bei der Überwachung.
    • Frequenz der Auswertung der Daten.
    • Kennzahlen in der Informationssicherheit zur Messbarkeit von Prozessen (z.B. Sicherheitsvorfälle, Systemausfälle, Phishing-Awareness).

    Aufwände richtig schätzen

    • Priorisierung von Aufgaben auf Basis von Wichtigkeit und Dringlichkeit.
    • Effektive Nutzung der Ressourcen.
    • Regelmäßige Überprüfung und Anpassung der Pläne.

    Reifegradmodell

    Überprüfungsverfahren des ISMS und Verbesserung der Informationssicherheit

    • Interne Audits (regelmäßige interne Überprüfungen, Konformitätsprüfung mit IT-Grundschutz, Überprüfung der Realisierungspläne, Wirksamkeitsprüfungen, Sicherheitrevisionen)
    • Externe Audits (unabhängige, externe Prüfung, Konformitätsprüfung mit IT-Grundschutz, Erlangung/Aufrechterhaltung der Zertifizierung).
    • Managementbewertung (regelmäßige Überprüfung des ISMS auf Eignung, Angemessenheit und Wirksamkeit).
    • Reaktion auf Sicherheitsvorfälle (Prozesse zur Identifizierung, Bewertung und Behandlung, Verbesserung des ISMS durch Lernen aus Vorfällen).

    Beispiel für einen kontinuierlichen Verbesserungsprozess (KVP)

    • Planen (Bereiche identifizieren, Ziele festlegen, Maßnahmen planen).
    • Umsetzen (Maßnahmen ausführen)
    • Überprüfen (Bewertung der Ergebnisse, Erfolge messen).
    • Handeln (weitere Verbesserungen, Anpassung/Weiterentwicklung).

    Studying That Suits You

    Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

    Quiz Team

    Related Documents

    Academy Deck Modul 2 PDF

    Description

    Testen Sie Ihr Wissen über den IT-Grundschutz und die neuesten Änderungen in den Standards, insbesondere die abgelösten und aktuellen BSI-Standards. Erfahren Sie mehr über die Sicherheitsmaßnahmen und deren Umsetzung. Dieses Quiz besteht aus Fragen zu grundlegenden Konzepten und Änderungen im Bereich IT-Sicherheit.

    More Like This

    Use Quizgecko on...
    Browser
    Open
    Browser
    Browser