E-Book, Deutsch, 284 Seiten
Naumann ISO/IEC 27001 ISO/IEC 27002 und IT-Grundschutz
6. Auflage 2022
ISBN: 978-3-7562-9032-1
Verlag: BoD - Books on Demand
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Schnelleinstieg Informationssicherheit 2022 / 2024
E-Book, Deutsch, 284 Seiten
ISBN: 978-3-7562-9032-1
Verlag: BoD - Books on Demand
Format: EPUB
Kopierschutz: 6 - ePub Watermark
Jacqueline Naumann ist studierte Informatikerin und trainiert Erwachsene seit vielen Jahren zur Informationssicherheit. Im Jahr 2015 gründete sie das IT-Beratungsunternehmen iXactly in Dresden. Seit 2017 ist sie berufener Zertifizierungsauditor für ISO/IEC 27001 und wurde im Oktober 2020 vom BSI zum IT-Grundschutz-Berater zertifiziert. Regelmäßig laden Organisationen Frau Naumann ein, um interne Sicherheitsprozesse zu überprüfen, zu verbessern oder zu zertifizieren. Naumann hat bereits einige Bücher zur Informationssicherheit für Erwachsene und Kinder geschrieben. Sie entschied deshalb, ihre Seminare zur ISO/IEC 27001 und ISO/IEC 27002 auch als Buch herauszubringen. Das Ergebnis liegt mit diesem Titel vor. Website: https://www.ixactly.com/ansprechpartner/
Autoren/Hrsg.
Weitere Infos & Material
2 Begriffe zur Informationssicherheit
Im zweiten Kapitel dieses Buches erläutere ich Ihnen anhand von Zeichnungen Begriffe zur Informationssicherheit.
Meine Zeichnungen zeigen fiktive Charaktere und ich möchte an dieser Stelle einmalig erwähnen, das Buch ist für alle vorstellbaren menschlichen Identitäten gedacht.
Da es sich bei diesem Buch um ein Fachbuch handelt, werde ich, wenn ich über Individuen schreibe, immer die kürzest mögliche derzeit gültige Form verwenden.
Damit möchte ich Ihre Aufmerksamkeit beim Lesen besonders auf die fachlichen Inhalte lenken.
Hinweis:
Wenn Sie bereits Grundlagen-Kenntnisse zur Informationssicherheit besitzen, können Sie dieses Kapitel schnell überfliegen oder direkt zum Kapitel »3 ISO/IEC 27001« auf Seite 29 springen.
2.1 Information
Zu Beginn definiere ich den Begriff ›Information‹ mit meinen Worten.
Die Welt besteht aus Objekten. Diese können Lebewesen oder Gegenstände sein. Zu jedem Objekt gibt es unterschiedliche Fakten, also Eigenschaften. Aber nur einige dieser Fakten sind für uns im Unternehmen relevant. Relevante Fakten werden Information genannt. Und wenn diese Informationen zusätzlich dokumentiert sind, können wir von dokumentierten Informationen sprechen.
In Abbildung 1 sehen wir eine Person, die ebenfalls einige Eigenschaften besitzt. Aber für eine Personalabteilung wird lediglich der dokumentierte Nachweis des Abschlusszeugnisses relevant sein.
Achten Sie bei der Dokumentation stets auf relevante Fakten.
Abbildung 2.1: Information
2.2 Vertraulichkeit
Der Begriff ›Vertraulichkeit‹ bedeutet, Informationen oder Werte dürfen nur von Berechtigten eingesehen werden.
Eine Verletzung gegen die Vertraulichkeit wäre beispielsweise die Offenlegung geheimer Informationen oder der Missbrauch personenbezogener Daten.
Beispiel für einen Verstoß: Vorname, Nachname, Geburtsdatum und Geburtsort werden durch Unbefugte für Internetgeschäfte genutzt.
In Abbildung 2.2 zeige ich, Freddy ist nicht befugt, die Informationen von Schnonk zu lesen. Könnte er die Daten dennoch einsehen oder abgreifen, wäre dies eine Verletzung der Vertraulichkeit.
Abbildung 2.2: Vertraulichkeit
2.3 Integrität
Der Begriff ›Integrität‹ bedeutet, Daten und Informationen liegen unverändert vor. Integrität ist der Schutz von Informationen vor Modifikation, Einfügung, Löschung, Umordnung oder Duplikaten.
Eine Verletzung gegen die Integrität wäre zum Beispiel das Einfügen zusätzlicher Angaben in Nachweisdokumenten.
Beispiel für einen Verstoß: Die Änderung von Vornamen, Nachnamen, Geburtsdatum, Geburtsort oder Zensuren auf einem Abschlusszeugnis.
In Abbildung 2.3 zeige ich, Freddy hat das Dokument von Schnonk abgefangen und vor der Weiterleitung manipuliert.
Abbildung 2.3: Integrität
2.4 Verfügbarkeit
Der Begriff ›Verfügbarkeit‹ besagt, Berechtigte können zu jeder Zeit auf Informationen, Daten oder beliebige Systeme zugreifen.
Eine Verletzung der Verfügbarkeitsansprüche bestünde, wenn Berechtigte keine Möglichkeit des Zugreifens oder Ansehens bekämen.
Beispiel für einen Verstoß: Das Abschlusszeugnis ist als verschlüsselte Datei abgelegt und kann nicht eingesehen werden, weil der Schlüssel verloren ging.
Abbildung 2.4 soll darstellen, Schnonk ist berechtigt, auf Dokumente im Tresor permanent zuzugreifen.
Abbildung 2.4: Verfügbarkeit
2.5 Authentizität
Der Begriff ›Authentizität‹ gibt an, die Echtheit von Informationen oder Identitäten ist gewährleistet.
Eine Verletzung der Authentizität wäre beispielsweise die Vortäuschung einer falschen Identität, indem eine Person die EC-Karte einer anderen Person mit dem richtigen Kennwort erfolgreich einsetzt.
Beispiel für einen Verstoß: Ein Angestellter verwendet erfolgreich die Zugangskarte seines Kollegen, um selbst in den Serverraum einzutreten.
- Authentisierung ist der Vorgang zum Nachweis der eigenen Identität durch eine Person oder eine Entität.
- Authentifizierung ist die Prüfung und der Nachweis der Identität einer Person oder einer Entität.
Die Abbildung 2.5 zeigt Ihnen, Freddy gibt sich gegenüber Blonk mit einer gefälschten Identität aus.
Abbildung 2.5: Authentizität
2.6 Verantwortlichkeit (Zurechenbarkeit)
Der Begriff ›Verantwortlichkeit‹ bedeutet, eine Person oder eine Institution hat die Verantwortung, Rechenschaft und/oder Haftung für Informationswerte (»information assets«) übernommen.
Eine Verletzung der Verantwortlichkeit wäre zum Beispiel die fehlende zugewiesene Verantwortung für Räume oder Systeme.
Beispiel für einen Verstoß: Für ein am Drucker liegen gebliebenes Dokument fühlt sich keiner verantwortlich.
Die Abbildung 2.6 zeigt, Schnonk besitzt die Verantwortung für ein Dokument. Wenn in diesem Dokument Fehler entdeckt werden, muss diese Person sich darum kümmern.
Abbildung 2.6: Verantwortlichkeit
2.7 Verbindlichkeit (Nicht-Abstreitbarkeit)
Der Begriff ›Verbindlichkeit‹ drückt aus, niemand kann abstreiten, Informationen versendet oder empfangen zu haben.
Eine Verletzung der Verbindlichkeit ist möglich, wenn Handlungen abgestritten werden können.
Beispiel für einen Verstoß: Ein Stellenangebot geht versehentlich an einen falschen Bewerber. Der Absender streitet den Versand jedoch ab.
Abbildung 7 soll Ihnen zeigen, Schnonk versendet eine Nachricht an Blonk. Blonk kann erkennen, Schnonk war der Absender der Nachricht. Schnonk hingegen erhält eine Lesebestätigung von Blonk.
Abbildung 2.7: Verbindlichkeit
2.8 Verlässlichkeit
Der Begriff ›Verlässlichkeit‹ gibt an, eine Person, ein System oder ein Prozess reagiert immer exakt wie vorgesehen.
Eine Verletzung der Verlässlichkeit wäre, wenn inkonsistente Ergebnisse erreicht würden.
Beispiel für einen Verstoß: Ein Kunde wünscht sich eine Softwareanpassung. Der Projektleiter bestätigt diese Änderung zum nächsten Release. Sein Softwareentwickler setzt den Kundenwunsch jedoch sofort im Alleingang um.
Die Abbildung 2.8 stellt drei System-Anmeldungen dar. Schnonk besitzt die korrekten Anmeldedaten, Freddy versucht das Kennwort zu erraten. Er wird richtigerweise abgelehnt.
Abbildung 2.8: Verlässlichkeit
2.9 Prozesse
Beim Aufbau eines ISMS empfehle ich Ihnen, zu Beginn die Kategorisierung Ihrer Geschäftsprozesse in:
Kernprozesse: Diese Prozesse dienen der Wertschöpfung. Organisationen verdienen nur an diesen Prozessen. Über diese Prozesse entstehen Produkte oder Dienstleistungen.
Beispiel: Softwareentwicklung für Kunden
Führungsprozesse: Diese Prozesse dienen zumeist der internen Organisation.
Beispiele: Finanzcontrolling, Neueinstellungen und Personalführung
Unterstützungsprozesse: Diese Prozesse dienen der Unterstützung unserer Kernprozesse. Sie führen auch zu einem höherem Bekanntheitsgrad oder besserem Verkauf von Produkten und Dienstleistungen.
Beispiele: ISMS, QMS, Marketing und interne IT
Verbesserungsprozesse: Diese Prozesse dienen der Verbesserung von Abläufen, Produkten, Dienstleistungen, Normkonformitäten und Beziehungen.
Beispiele: Interne Audits, Meldeprozess, Dokumentenlenkung, Managementbewertung, Beschwerdemanagement
2.10 System / Managementsystem
Ein System besteht aus mehreren Tätigkeiten und Elementen, die in Wechselwirkung miteinander verbunden sind und ihre Eingaben (Inputs) und Ausgaben (Outputs) gegenseitig nutzen.
Vgl. ISO 9000 (DIN ISO 9000, 2015-11), Kapitel 3.5.1 System
„Ein Satz zusammenhängender und sich gegenseitig beeinflussender Elemente“ wird System bezeichnet.
Unter Management werden Tätigkeiten zur Gestaltung, Lenkung, Steuerung oder Entwicklung eines Systems und seiner Prozesse verstanden.
Vgl. ISO 9000, Kapitel 3.5.3 Managementsystem
„Ist ein Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation (3.2.1), um die Politiken (3.4.8), die Ziele (3.7.1) und die Prozesse (3.6.1) zum Erreichen dieser Ziele festzulegen.“
Im Abschnitt »2.11 Informationssicherheitsmanagementsystem (ISMS)« betrachten wir ein ISMS mit den Zielen:
- die Erhöhung der Informationssicherheit und
- die fortlaufende Verbesserung der Vertraulichkeit, Integrität und Verfügbarkeit.
2.11 Informationssicherheitsmanagementsystem (ISMS)
In Kapitel »0.1...
