Wondershare EdrawMind
Mindmap-Galerie CISSP-Studiennotizen – Domäne 1 (Sicherheit und Risikomanagement)
- 1
CISSP-Studiennotizen – Domäne 1 (Sicherheit und Risikomanagement)
Überprüfung der CISSP-Prüfung, Zusammenfassung der Wissenspunkte und wichtiger Übungen zum Sicherheits- und Risikomanagement der Domäne 1, voller nützlicher Informationen, Freunde in Not beeilen Sie sich und holen Sie sie ab!
Bearbeitet um 2024-02-12 08:29:54
- Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
- Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
- Projektmanagement-Prozess-Vorlage
Projektmanagement ist der Prozess der Anwendung von Fachwissen, Fähigkeiten, Werkzeugen und Methoden auf die Projektaktivitäten, so dass das Projekt die festgelegten Anforderungen und Erwartungen im Rahmen der begrenzten Ressourcen erreichen oder übertreffen kann. Dieses Diagramm bietet einen umfassenden Überblick über die 8 Komponenten des Projektmanagementprozesses und kann als generische Vorlage verwendet werden.
CISSP-Studiennotizen – Domäne 1 (Sicherheit und Risikomanagement)
- Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
- Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
- Projektmanagement-Prozess-Vorlage
Projektmanagement ist der Prozess der Anwendung von Fachwissen, Fähigkeiten, Werkzeugen und Methoden auf die Projektaktivitäten, so dass das Projekt die festgelegten Anforderungen und Erwartungen im Rahmen der begrenzten Ressourcen erreichen oder übertreffen kann. Dieses Diagramm bietet einen umfassenden Überblick über die 8 Komponenten des Projektmanagementprozesses und kann als generische Vorlage verwendet werden.
- Für Sie empfohlen
- Gliederung
CISSP-Studiennotizen – Domäne 1 (Sicherheit und Risikomanagement)
Wissenspunkte
1.2.CIA-Triplett
Vertraulichkeit
Unter Vertraulichkeit versteht man die Verhinderung des Zugriffs unbefugter Personen auf Informationsbestände, seien es Personen oder Prozesse.
Integrität (Intearitv)
Der Integritätsschutz verhindert unbefugte Änderungen an Daten.
Verfügbarkeit
Verfügbarkeit bedeutet, dass investierenden Unternehmen ein zeitnaher und ununterbrochener Zugriff auf Objekte gewährt wird.
Authentizität (Authentizität)
Authentizität ist ein Sicherheitskonzept dafür, dass Daten aus der Quelle, die sie angeblich enthalten, authentisch oder echt sind: Integrität und Nichtabstreitbarkeit.
Nichtabstreitbarkeit
Die Nichtabstreitbarkeit stellt sicher, dass der Gegenstand einer Aktivität oder die Person, die ein Ereignis verursacht hat, nicht leugnen kann, dass das Ereignis stattgefunden hat.
Ausgewogene Sicherheit
Jede Organisation wird aufgrund ihrer eigenen Umstände unterschiedliche Prioritäten bei der Prüfung von CIA haben.
1.3 Sicherheits-Governance-Grundsätze bewerten und anwenden
Sicherheitsfunktionen sind auf Geschäftsstrategien und -ziele ausgerichtet
Beim Aufbau der Sicherheitsfunktion Ihres Unternehmens sollten Sie zunächst eine Sicherheitsstrategie entwerfen, die mit der allgemeinen Geschäftsstrategie und dem Leitbild Ihres Unternehmens übereinstimmt. Sie sollten eine Reihe spezifischer, messbarer, erreichbarer, relevanter und zeitgebundener Ziele und Vorgaben entwickeln, die Ihnen dabei helfen, die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Informationen des Unternehmens effektiv aufrechtzuerhalten, ohne die Fähigkeit der Organisation, ihre Geschäftsziele zu erreichen, zu beeinträchtigen.
Die Durchführung eines wirksamen Sicherheitsprogramms erfordert eine sorgfältige Berücksichtigung der Geschäftsanforderungen und organisatorischen Kampfwege sowie rechtlicher und Compliance-Anforderungen und erfordert eine unternehmensweite Governance, um die Wirksamkeit der Sicherheitsfunktionen zu verwalten.
1.3.1. Organisatorische Prozesse
Sicherheitsgovernance
Governance-Ausschüsse
Der Governance Council setzt sich aus Führungskräften zusammen, die für das Management aller Risiken für die Organisation verantwortlich sind. Das Hauptziel besteht darin, die Sicherheitsfunktion der Organisation zu überwachen und gleichzeitig sicherzustellen, dass die Sicherheitsfunktion weiterhin den Bedürfnissen der Organisation und ihrer Stakeholder gerecht wird. Sie überprüfen laufende und geplante Projekte, Remote-Metriken und alle anderen Sicherheitsangelegenheiten, die das gesamte Unternehmen betreffen könnten.
Fusionen und Übernahmen (M&A)
Jede Akquisition bringt einzigartige Umstände mit sich, und Sicherheitsexperten beider Organisationen sollten zusammenkommen, um die Sicherheitskontrollen jeder Organisation zu bewerten und herauszufinden, wie Redundanzen beseitigt und die Eindämmung des Systems sichergestellt werden können.
Mögliche Risikopunkte:
•Unbekannter Inhalt: Wie werden IT-Einrichtungen, Sicherheitskontrollen und Prozesse in bestehende Systeme integriert?
• Neue Angriffsvektoren: Wenn die aktuelle Organisation nur Windows- und Linux-Systeme verwendet, verwendet die übernommene Organisation MacOS-Systeme.
•Auswirkungen auf Ressourcen: Ob die vorhandenen Arbeitskräfte den normalen Betrieb vorhandener Funktionen gewährleisten können. Können Sie das neue System erfolgreich erhalten?
•Verärgerte Mitarbeiter: Verärgerte Mitarbeiter sind eine ernsthafte Insider-Bedrohung
Gegenmaßnahmen:
•Überprüfen Sie die Informationssicherheitsrichtlinien und -verfahren des Unternehmens
•Überprüfen Sie die Datenbestände des Unternehmens. und identifizieren Sie alle geltenden Regulierungs- oder Compliance-Anforderungen (z. B. PCl, HIPAA, DSGVO usw.)
•Überprüfen Sie die Personalsicherheitsrichtlinie der Organisation
•Identifizieren Sie alle proprietären oder benutzerdefinierten Anwendungen, die vom Unternehmen verwaltet werden, und fordern Sie statische und dynamische Anwendungssicherheitstests an, um deren Sicherheitsstatus nachzuweisen.
•Zhouqiu liefert die Ergebnisse aktueller Penetrationstests (Pentest), einschließlich Netzwerk-, Betriebssystem-, Anwendungs- und Datenbanktests.
•Überprüfen Sie die Verwendung von Drittanbieter- und Open-Source-Software durch die Organisation, um sicherzustellen, dass die Software sicher und ordnungsgemäß lizenziert ist.
1.3.2. Veräußerung
Eine Veräußerung ist die Trennung eines Teils eines Unternehmens in eine unabhängige Organisation
Mögliche Maßnahmen:
•Identifizieren und klassifizieren Sie alle an der Veräußerung beteiligten Vermögenswerte; dazu gehören Hardware, Software und Informationsressourcen.
•Entkoppeln Sie betroffene Systeme von Ihrer verbleibenden Infrastruktur.
•Überprüfen Sie alle Zugriffsrechte.
• Wenden Sie sich an Ihre Rechts- und Compliance-Teams, um sicherzustellen, dass Sie alle notwendigen regulatorischen und Compliance-Anforderungen im Zusammenhang mit der Datenaufbewahrung, -löschung usw. einhalten.
1.3.3. Organisatorische Rollen und Verantwortlichkeiten
1.3.3.1 Chief Information Security Officer (CISO)
Der Chief Information Security Officer ist der leitende Angestellte, der für die Gesamtverwaltung und Überwachung des Informationssicherheitsprogramms innerhalb einer Organisation verantwortlich ist.
Der Chief Information Security Officer treibt die Sicherheitsstrategie und -vision der Organisation voran und ist letztendlich für die Sicherheit der Systeme und Informationen des Unternehmens verantwortlich.
1.3.3.2 Chief Security Officer (CSO)
Der CSO ist ein leitender Angestellter innerhalb einer Organisation und in der Regel für alle Fragen der physischen Sicherheit und der Personalsicherheit verantwortlich.
Viele Organisationen haben die Verantwortlichkeiten des CSO in der Rolle des CISO zusammengefasst
1.3.4. Sicherheitskontrollrahmen
1.3.4.1 Sicherheitskontrollrahmen
Sind technische, betriebliche oder administrative Schutzmaßnahmen, die eine Organisation einsetzt, um Sicherheitsbedrohungen zu verhindern, zu erkennen, zu reduzieren oder abzuwehren.
1.3.4.2 Art der Sicherheitskontrolle:
Technische Kontrollen: Systembasierte Schutzmaßnahmen und Gegenmaßnahmen wie Firewalls, I1DS/PS und Data Loss Prevention (DLP) •
Operative Kontrollen: Schutzmaßnahmen und Gegenmaßnahmen, die hauptsächlich von Menschen durchgeführt werden, beispielsweise durch Sicherheitspersonal.
Managementkontrollen: umfassen Richtlinien, Verfahren und andere Gegenmaßnahmen zur Kontrolle von Informationssicherheitsrisiken.
1.3.4.3 Gemeinsamer Sicherheitskontrollrahmen:
1.3.5. Seien Sie umsichtig und verantwortungsbewusst
1.3.5.1 Sorgfaltspflicht
Der Grundsatz der Vorsicht bezieht sich auf angemessenes und umsichtiges Verhalten zum Schutz der Informationssicherheit, einschließlich der Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, und gilt für alle Personen. Dieser Grundsatz gilt für jede Person oder Organisation, unabhängig von ihrem Fachwissen im Bereich Informationssicherheit.
1.3.5.2 Sorgfaltspflicht
Unter Due Diligence versteht man eine Reihe von Maßnahmen im Bereich der Informationssicherheit, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen umgesetzt wurden und effektiv funktionieren. Dazu gehören die Entwicklung eines formellen Sicherheitsrahmens, die Entwicklung von Sicherheitsrichtlinien, Standards, Grundlinien, Richtlinien und Verfahren und mehr. In diesem Zusammenhang liegt es in der Verantwortung der Geschäftsleitung, sicherzustellen, dass die Sorgfaltspflicht erfüllt wird.
1.4 Bestimmen Sie die Compliance und andere Anforderungen
1.4.1. Vertragliche, gesetzliche, industrielle Standards und behördliche Anforderungen
CISSP definiert Compliance als Einhaltung von Mandaten, einschließlich der Reihe von Aktivitäten, die eine Organisation durchführt, um alle geltenden Gesetze, behördlichen Anforderungen, Industriestandards und vertraglichen Vereinbarungen zu verstehen und einzuhalten. Sicherheitsexperten sollten die unterschiedlichen nationalen, regionalen und staatlichen Gesetze verstehen, die für ihr Unternehmen gelten.
1.4.1.1 „Computersicherheitsrecht“
1987 vom US-Kongress verabschiedet, wurde es entfernt und durch FISMA ersetzt.
1.4.1.2 „FISMA“
Gemäß dem Federal Information Security Management Act sind alle US-Bundesbehörden und Nichtregierungsorganisationen, die Informationsdienste für diese Behörden bereitstellen, verpflichtet, risikobasierte Sicherheitsbewertungen im Einklang mit dem NIST Risk Management Framework (RMF) durchzuführen.
1.4.1.3 „SOX“
Vorschriften im Zusammenhang mit der Finanzierung börsennotierter Unternehmen
1.4.1.4 „PCI DSS“
Vorschriften für die Zahlungskartenbranche
1.4.1.5 „SOC“
Steht für System- und Organisationskontrolle und ist ein Audit-Framework mit drei häufig verwendeten SOC-Audit- und Berichtstypen: SOC1, SOC2 und SOC3.
SOC1: Prüfung im Zusammenhang mit Finanzberichten
SOC2: Detaillierte Audit- und Compliance-Berichte, im Allgemeinen nicht öffentlich zugänglich.
SOC3: Eine vereinfachte Version von SOC2, die der Öffentlichkeit zugänglich ist.
1.4.2. Datenschutzanforderungen
Datenschutzanforderungen beziehen sich auf den Schutz der Sicherheit und Vertraulichkeit personenbezogener Daten während der Informationsverarbeitung und die Beschränkung des Zugriffs auf personenbezogene Daten auf den autorisierten Nutzungsumfang der autorisierten Partei. Im Wesentlichen bezieht sich Datenschutz auf den Schutz personenbezogener Daten, um das Recht einer Person auf Privatsphäre zu schützen.
1.4.2.1PII
Persönlich identifizierbare Informationen (PII), alle Informationen, die eine Person identifizieren können, wie z. B. Ihr Name, Ihre Adresse, Telefonnummer, Bankkartennummer, Führerschein und Sozialversicherungsnummer (Personalausweis) usw.
1.5. Verstehen Sie die rechtlichen und regulatorischen Aspekte im Zusammenhang mit der Informationssicherheit als Ganzes
1.5.1. Cyberkriminalität und Datenschutzverletzungen
1.5.1.1 Cyberkriminalität
Als Cyberkriminalität werden kriminelle Aktivitäten bezeichnet, die direkt am Computer oder im Internet beteiligt sind. Hierzu zählen vor allem:
1. Verbrechen gegen Menschen, wie zum Beispiel Identitätsdiebstahl
2 Verletzung von Eigentum, z. B. Beschädigung von Computern und Diebstahl geistigen Eigentums
3. Verbrechen gegen die Regierung, beispielsweise der Diebstahl geheimer Informationen
1.5.1.2 Datenleck
Datenschutzverletzungen sind eine besondere Form der Cyberkriminalität, bei der Cyberkriminelle unbefugt auf Informationen zugreifen oder diese stehlen. Unternehmen, die von einer Datenschutzverletzung betroffen sind, können durch Diebstahl mit Reputationsschäden, Identitätsdiebstahl, Geldstrafen oder dem Verlust geistigen Eigentums rechnen. Verschlüsselung ist eine einfache Möglichkeit, Ihr Unternehmen vor Datenschutzverletzungen zu schützen.
1.5.1.3 Relevante US-Gesetze:
Computer Fraud and Abuse Act (CFAA): Amerikas erstes Strafgesetz gegen Cyberkriminalität, das viele Arten von Hacking zu einem Bundesverbrechen macht. Die CFAA-Änderungen stießen auf Widerstand.
Electronic Communications Privacy Act (ECPA): Verhindert, dass die US-Regierung Kommunikation abfängt und Informationen speichert, und die Regierung muss strenge Anforderungen erfüllen, um einen Durchsuchungsbefehl für elektronische Kommunikation zu erhalten.
Gesetz über Identitätsdiebstahl und Abschreckungsvermutung: Macht den Diebstahl des Wertes einer Person zu einem Bundesverbrechen.
1.5.2. Anforderungen an Lizenzierung und geistiges Eigentum (IP).
1.5.2.1 Softwarelizenz
Software ist eine wichtige Form des geistigen Eigentums. Unternehmen investieren erhebliche finanzielle und personelle Ressourcen in die Entwicklung von Software und den anschließenden Schutz der Software durch Lizenzvereinbarungen. Es gibt vier gängige Arten von Lizenzvereinbarungen:
1Vertragliche Lizenz: Verwenden Sie einen schriftlichen Vertrag zwischen dem Softwareanbieter und dem Kunden, in dem ihre jeweiligen Verantwortlichkeiten dargelegt sind
2 Wirksam beim Öffnen: Sie werden wirksam, wenn der Benutzer das Siegel der Verpackung bricht.
3. Klicken Sie auf „Zustimmen“: Kunden müssen beim Kauf von Software oder bei der Registrierung für Dienste nur auf die Schaltfläche „Ich stimme zu“ klicken.
4. Cloud-Service-Lizenz: Click-through-Vereinbarung für die Cloud-Migration
1.5.2.2 Geistige Eigentumsrechte
Eine sehr wichtige Verantwortung von Informationssicherheitsexperten besteht darin, das geistige Eigentum ihrer Organisation vor unbefugter Nutzung oder Offenlegung zu schützen.
1. Urheberrechte
Das Urheberrecht schützt kreative Werke vor Missbrauch. Zu diesen Werken können Kategorien wie Bücher, Filme, Lieder, Gedichte, künstlerische Schöpfungen und Computersoftware gehören.
Zum Zeitpunkt der Erstellung erhält der Urheber automatisch Urheberrechtsschutz. Bitte beachten Sie jedoch, dass Kreationen, die während Ihrer Anstellung entstehen, Eigentum des Arbeitgebers sind. Der Urheberrechtsschutz dauert 70 Jahre nach dem Tod des Autors. Das Urheberrecht wird durch das hier abgebildete C-Diagrammsymbol dargestellt.
2. Marken
Marken werden verwendet, um die Wörter und Symbole zu schützen, die Sie zur Kennzeichnung Ihrer Produkte und Dienstleistungen verwenden. Zu den durch eine Marke geschützten Informationen zählen Markennamen, Logos und Slogans. Marken können auf unbestimmte Zeit bestehen bleiben, die Eintragung muss jedoch alle 10 Jahre erneuert werden. Marken werden durch das ™M-Symbol dargestellt, und sobald sie von der Regierung den Registrierungsstatus erhalten haben, können sie durch das eingekreiste R-Symbol dargestellt werden.
3.Patente
Patente schützen Erfindungen und verleihen dem Erfinder das ausschließliche Recht, seine Erfindung für einen bestimmten Zeitraum zu nutzen. Nach der Erteilung bleiben Patentrechte in der Regel 20 Jahre nach dem Anmeldetag bestehen. Um ein Patent zu erhalten, müssen Erfinder nachweisen, dass ihre Idee drei Kriterien erfüllt:
Erstens muss es neu sein;
Zweitens muss es nützlich sein;
Schließlich muss es etwas sein, das nicht offensichtlich ist;
4. Geschäftsgeheimnisse
Bei einem Geschäftsgeheimnis erzählt der Eigentümer niemandem von der Erfindung und hält die Details geheim. Solange die Organisation das Geheimnis schützen kann, genießt sie die ausschließlichen Rechte an der Erfindung. Der Nachteil besteht darin, dass, wenn andere entdecken, wie die Erfindung funktioniert, sie sie frei nutzen können. Beschränken Sie das Wissen derjenigen innerhalb der Organisation, die Geschäftsgeheimnisse kennen, durch eine Geheimhaltungsvereinbarung (NDA).
1.5.3. Import- und Exportkontrollen
Viele Länder haben Anforderungen an die Arten von Informationen und Waren, die internationale Grenzen überschreiten dürfen. Fachleute für Informationssicherheit müssen die verschiedenen Import- und Exportkontrollen verstehen, die für ihre Branche gelten, und sicherstellen, dass ihre Aktivitäten diesen Vorschriften entsprechen.
1.5.3.1 Import-/Exportkontrollen der Vereinigten Staaten
Die Traffic in Arms Regulations (TAR) umfassen alles, was mit Verteidigungsartikeln zu tun hat
Die Export Administration Regulations (EAR) decken viele breite Technologiekategorien ab, darunter sensible Elektronik und Computer, Laser, Navigation, Meerestechnologie und mehr.
1.5.4. Grenzüberschreitender Datenfluss
Beim grenzüberschreitenden Datenverkehr geht es darum, nationale Anforderungen zu umgehen, die die Ein- oder Ausfuhr bestimmter Daten an einen bestimmten geografischen Standort oder eine bestimmte Gerichtsbarkeit einschränken. Beispiel: Chinas „Cybersicherheitsgesetz“ schreibt vor, dass die in China erfassten Daten chinesischer Staatsbürger in China aufbewahrt werden müssen und nicht ohne Genehmigung der chinesischen Regierung ins Ausland übertragen werden dürfen.
1.5.5. Datenschutz
Die beiden häufigsten Elemente privater Informationen sind persönlich identifizierbare Informationen (Pll) und geschützte Gesundheitsinformationen (Phl).
1.5.5.1 Relevante Datenschutzgesetze in den Vereinigten Staaten
1. „Datenschutzgesetz“
Reguliert und regelt in erster Linie die Erhebung, Pflege, Verwendung und Verbreitung personenbezogener Daten durch US-Regierungsbehörden.
2. Health Insurance Portability and Accountability Act (HIPAA)
Verpflichtet Krankenhäuser, Ärzte, Versicherungsgesellschaften und andere Organisationen, die PHI-Informationen verarbeiten oder speichern, strenge Sicherheitsmaßnahmen zu ergreifen.
3.Children’s Online Privacy Protection Act (COPPA)
Für Online-Unternehmen gelten strenge Richtlinien zum Schutz der Privatsphäre von Kindern unter 13 Jahren.
4. Gesetz zur Modernisierung von Finanzdienstleistungen (GLBA)
Schlagen Sie regulatorische Anforderungen für Finanzinstitute zum Austausch von Kundeninformationen vor. Verpflichtet Agenturen, angemessene Sicherheitskontrollen zu implementieren, um die persönlichen Daten ihrer Kunden zu schützen.
5. Gesetz über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (HITECH).
Der Gesetzentwurf erweitert den Datenschutz der HIPAA und sieht härtere Strafen vor. Außerdem wurden Regeln zur Meldung von Verstößen eingeführt, die eine Offenlegung gegenüber den betroffenen Parteien innerhalb von 60 Tagen nach einem Verstoß vorschreiben.
1.5.5.2 Relevante EU-Datenschutzgesetze
1.《Datenschutzrichtlinie (DPD)>
Es regelt die Verarbeitung personenbezogener Daten europäischer Bürger. Es ist das erste wichtige Datenschutzgesetz in der Europäischen Union und gilt europaweit als grundlegende Datenschutzverordnung. Wurde durch die nachfolgende DSGVO ersetzt.
2. Datenschutz-Grundverordnung (DSGVO)
Es legt sieben Grundsätze für die Verarbeitung personenbezogener Daten fest:
1) Rechtmäßigkeit, Fairness und Transparenz: Erfassen und verarbeiten Sie personenbezogene Daten im Einklang mit den geltenden Gesetzen und informieren Sie die Benutzer umfassend darüber, wie ihre Daten verwendet werden.
2) Zweckbindung: Bestimmen Sie den „spezifischen, klaren und legitimen“ Zweck für die Datenerhebung und teilen Sie ihnen diesen Zweck mit
3) Datenminimierung: Erheben und verarbeiten Sie die minimale Datenmenge, die zur Erbringung der vereinbarten Dienste erforderlich ist.
4) Genauigkeit: Stellen Sie sicher, dass personenbezogene Daten „richtig und, wo nötig, aktualisiert“ bleiben.
5) Speicherbegrenzung: Personenbezogene Daten werden nur so lange gespeichert, wie es zur Erbringung der vereinbarten Leistungen erforderlich ist. Das „Recht auf Vergessenwerden“ einhalten
6) Integrität und Vertraulichkeit
7) Rechenschaftspflicht: Datenverantwortliche (d. h. die Partei, die personenbezogene Daten speichert und verarbeitet) müssen in der Lage sein, die Einhaltung aller Anforderungen nachzuweisen.
Hinweis: Wenn Ihre Organisation personenbezogene Daten von EU-Bürgern oder Einwohnern speichert oder verarbeitet, gilt die DSGVO für Sie, unabhängig davon, ob Ihr Unternehmen in der EU ansässig ist. Und verlangt von Datenverantwortlichen, dass sie die relevanten Parteien innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen. Für den grenzüberschreitenden Informationsaustausch müssen Standardvertragsklauseln oder verbindliche Unternehmensregeln verwendet werden.
3. „Safe Harbor“ und „Privacy Shield“ sind Datenschutzabkommen zwischen den Vereinigten Staaten und der Europäischen Union, und beide sind abgelaufen.
1.6. Verstehen Sie die Anforderungen des Umfragetyps
1.6.1. Anpassungsart
1.6.1.1 Verwaltungsuntersuchung (Administrativ)
Eine Untersuchung innerhalb einer Organisation, um die Grundursache eines Problems zu finden und zu beheben, damit das Unternehmen den normalen Betrieb wieder aufnehmen kann.
1.6.1.2 Kriminalpolizeiliche Ermittlungen (Criminal)
Eine von einer Regierungsbehörde durchgeführte Untersuchung, die Verstöße gegen das Strafrecht untersucht.
Höchster Beweisstandard: zweifelsfrei.
1.6.1.3 Zivilermittlung (Zivil)
Eine von einer Regierungsbehörde durchgeführte Untersuchung, die Verstöße gegen das Strafrecht untersucht.
Der höchste Beweisstandard: zweifelsfrei.
1.6.1.4 Regulatorisch
Untersuchungen durch Regierungsbehörden zu potenziellen Verstößen gegen das Verwaltungsrecht oder unabhängige Regulierungsbehörden zu Verstößen gegen Industriestandards.
Behördliche Untersuchungen können zivil- oder strafrechtlicher Natur sein.
1.7. Entwickeln, dokumentieren und implementieren Sie Sicherheitsrichtlinien, Standards, Verfahren und Richtlinien
1.7.1. Sicherheitsrichtlinienrahmen
17.1.1 Sicherheitsrichtlinien (Policies)
Eine Sicherheitsrichtlinie besteht aus einer Reihe von Aussagen, die die langfristigen Sicherheitserwartungen einer Organisation sehr sorgfältig beschreiben und die Grundsätze und Regeln festlegen, die den Schutz von Informationssystemen und Daten in der Organisation regeln.
•Die Einhaltung von Richtlinien ist obligatorisch und Richtlinien werden normalerweise von der höchsten Ebene der Organisation genehmigt.
Einige gängige Sicherheitsrichtlinien: Richtlinie zur akzeptablen Nutzung, Zugriffskontrollrichtlinie, Änderungsverwaltungsrichtlinie, Fernzugriffsrichtlinie, Richtlinie zur Notfallwiederherstellung
1.7.1.2Sicherheitsstandards (Standards)
Sicherheitsstandards legen die spezifischen Details der Sicherheitskontrollen fest, die eine Organisation befolgen muss, z. B. von der Organisation genehmigte Verschlüsselungsprotokolle, wo Daten gespeichert werden, Konfigurationsparameter und andere technische und betriebliche Details. Wenn es um komplexe Konfigurationsstandards geht, wird häufig auf Industriestandards zurückgegriffen, beispielsweise auf den Security Configuration Guide des Center for Internet Security.
Die Einhaltung von Sicherheitsstandards ist zwingend erforderlich. Die Sicherheitsgrundlinie bezieht sich auf Standards, die ein Mindestsicherheitsniveau für ein System, ein Netzwerk oder ein Gerät festlegen. Wenn die Grundanforderungen nicht erfüllt sind, kann es nicht online gehen.
1.7.1.3 Sicherheitsverfahren (Prozeduren)
Sicherheitsverfahren sind Schritt-für-Schritt-Anweisungen, die Mitarbeiter bei der Durchführung bestimmter Sicherheitsaufgaben befolgen können.
1.7.1.4Sicherheitsrichtlinien (Richtlinien)
In Leitfäden geben Sicherheitsexperten anderen Mitgliedern der Organisation Ratschläge, einschließlich Best Practices für die Informationssicherheit. Die Einhaltung von Sicherheitsrichtlinien ist optional.
1.8 Identifizieren, analysieren und priorisieren Sie Business Continuity (BC)-Anforderungen
1.8.1. Business-Impact-Analyse (BIA)
Die Geschäftsauswirkungsanalyse hilft einer Organisation, ihre wesentlichen Geschäftsfunktionen mithilfe quantitativer oder qualitativer Risikobewertungen zu identifizieren und die Auswirkungen einer Katastrophe auf jede Funktion zu verstehen. Die Geschäftsauswirkungsanalyse bildet die primäre Grundlage für den Geschäftskontinuitätsplan (BCP) und seine Anforderungen.
Mithilfe von BlA kann ein Unternehmen ermitteln, welche seiner Geschäftsfunktionen widerstandsfähiger und welche anfälliger sind.
1.8.1.1 Prozess:
1. Beginnen Sie mit der Festlegung Ihres BC-Projektteams, -umfangs und -budgets
2. Identifizieren Sie kritische Geschäftsgrundlagen (CBFs) und andere wesentliche Geschäftselemente, einschließlich
Personal
Geschäftsprozess
Informationssysteme und Anwendungen
Sonstige Vermögensgegenstände
3. Führen Sie eine Risikoanalyse für wichtige Unternehmen durch:
Identifizieren Sie alle vorhandenen Schwachstellen
•Potenzial unerwünschter Ereignisse
Einflussniveau
1.8.1.2 Methoden zur Bestimmung des Ausmaßes der Auswirkung
1. Die maximal tolerierbare Ausfallzeit (MTD) oder die maximal akzeptable Ausfallzeit (MAO) stellt die Gesamtdauer dar, während der kritische Geschäftsfunktionen nicht verfügbar sind. Der MTD muss vom Systembesitzer festgelegt werden, der letztendlich für das ordnungsgemäße Funktionieren des CBF der Organisation verantwortlich ist.
2. Das Recovery Time Objective (RTO) ist der maximale Zeitraum, den kritische Unternehmen nach einem Ausfall wieder aufnehmen müssen, um inakzeptable geschäftliche Folgen zu vermeiden. RTO muss kleiner oder gleich MTD sein.
3. Recovery Point Objective (RPO) ist ein Maß für den tolerierbaren Datenverlust, ausgedrückt in Zeiträumen.
1.8.2. Umfang und Plan entwickeln und dokumentieren
1.8.2.1 Geschäftskontinuitätsplan (BCP)
Ein Geschäftskontinuitätsplan soll die kritischen Geschäftsfunktionen und Kunden einer Organisation schützen und sicherstellen, dass die Organisation innerhalb bestimmter Servicelevels und Zeiträume weiterhin effektiv arbeiten kann, um gesetzliche und behördliche Anforderungen sowie die festgelegten MTD-, RTO- und RPO-Werte zu erfüllen durch die Organisation.
BCP-Phase des Geschäftskontinuitätsplans
Projektumfang und -plan
Organisationsanalyse
Identifizieren Sie Abteilungen und Personen, die am BCP-Prozess beteiligt sind
Betriebsabteilung, die für die Bereitstellung des Kerngeschäfts an Kunden verantwortlich ist
Wichtige Unterstützungsdienste wie IT, Anlagen- und Wartungspersonal, andere Teams
Unternehmenssicherheitsteam, verantwortlich für die physische Sicherheit
Leitende Führungskräfte und Personen, die für den laufenden Betrieb der Organisation wichtig sind
Diese Analyse ist die Grundlage für die Auswahl des BCP-Teams und wird nach Bestätigung durch das BCP-Team als Leitfaden für die nachfolgenden Phasen der BCP-Entwicklung verwendet.
Wählen Sie ein BCP-Team
Die technischen Experten der Abteilung, physisches und IT-Sicherheitspersonal mit BCP-Kenntnissen, Rechtsvertreter, die mit den rechtlichen, behördlichen und vertraglichen Verantwortlichkeiten des Unternehmens vertraut sind, und Vertreter der Geschäftsleitung. Andere Teammitglieder hängen von der Struktur und Art der Organisation ab.
Ressourcenbedarf
Gesetzliche und behördliche Anforderungen
Business-Impact-Analyse
BIA ist der Kernbestandteil von BCP und gliedert sich in 5 Schritte
Priorisieren
Prioritätenliste für Geschäftsfunktionen
Bestimmen Sie MTD, die maximal zulässige Unterbrechungszeit
Bestimmen Sie RTO, RTO<MTD
Wiederherstellungspunktziel, RPO
Risiko-Einschätzung
Möglichkeitsbewertung
Bestimmen Sie den ARO für jedes Risiko
Einflussanalyse
Ressourcenpriorisierung
Kontinuitätsplan
Strategieentwicklung
Vorbereitung und Verarbeitung
Personal
Gebäude/Einrichtung
Infrastruktur
Plangenehmigung und Umsetzung
Plangenehmigung
Planen Sie die Umsetzung
Aus-und Weiterbildung
BCP-Dokumentation
1.8.2.2 Allgemeiner Geltungsbereich von BCP
Obwohl es keinen universellen BCP-Standard gibt, beinhalten die meisten Pläne normalerweise Folgendes:
kritische Geschäftsfunktionen
Bedrohungen, Schwachstellen und Risiken
Datensicherungs- und Wiederherstellungsplan
FBCP-bezogenes Personal
Kommunikationsplan
BCP-Testanforderungen
1.8.2.3 Anforderungen und Techniken zum Schutz von Menschen, Prozessen und Technik
1. Personal:
Die Gewährleistung der Sicherheit von Personen innerhalb und außerhalb der Organisation in Notfällen ist das Hauptziel von BCP. Sorgen Sie für angemessene Schulungen und Schulungen, damit die Mitarbeiter wissen, wie sie im Notfall handeln müssen.
2 •Prozess:
Bewerten Sie kritische Geschäftsfunktionen und ermitteln Sie die im Katastrophenfall benötigten Ressourcen. Entwickeln Sie Backup-Standortpläne für wichtige Datenverarbeitungseinrichtungen und -funktionen, um den kontinuierlichen Betrieb sicherzustellen.
3. Technologie:
Antizipieren Sie Software- und Hardwarefehler und entwickeln Sie Kontrollen, um das Risiko zu reduzieren. Implementieren Sie Datensicherung und redundante Systeme, einschließlich Infrastruktur wie Strom, Wasser, Kommunikation und Netzwerkkonnektivität.
1.9 Förderung und Durchsetzung von Personalsicherheitsrichtlinien und -verfahren
1.9.1 Auswahl und Rekrutierung von Kandidaten
Mitarbeiter sind möglicherweise das schwächste Glied in der Sicherheitskette. Es ist wichtig zu beachten, dass nicht alle Mitarbeiter das Wohl der Organisation in den Vordergrund stellen. Insider-Angriffe führen oft zu äußerst schädlichen Sicherheitslücken. Daher sollte die Personalsicherheit eine wichtige Grundlage eines Cybersicherheitsplans sein:
•Einstellende Manager sollten mit der Personalabteilung zusammenarbeiten, um die Verantwortlichkeiten und Beschreibungen der Aufgaben klar und genau zu dokumentieren.
•Bestimmen Sie die Vertraulichkeit oder Klassifizierung von Rollen, um entsprechende Berechtigungen zuzuweisen.
1.9.1.1 Hintergrundüberprüfung
Bildungshintergrund
Arbeitserfahrung
-Staatsbürgerschaft
-Vorstrafenregister
Drogentest
Grad
Kredit- und Finanzgeschichte
Social-Media-Aktivitäten
Hinweis: Ausländische Unternehmen achten im Allgemeinen nicht auf körperliche Untersuchungen (normale körperliche Gesundheitsuntersuchungen).
1.9.2. Arbeitsverträge und -richtlinien
1.9.2.1 Vertraulichkeitsvereinbarung und Wettbewerbsvereinbarung
Die häufigsten Arbeitnehmervereinbarungen sind Geheimhaltungsvereinbarungen (NDA) und Wettbewerbsverbotsvereinbarungen (NCA).
1• Geheimhaltungsvereinbarung (NDA)
ist eine Vereinbarung, die die Offenlegung vertraulicher Informationen einschränkt, die ein Mitarbeiter oder Auftragnehmer (oder eine andere Person, die möglicherweise vertraulichen Informationen ausgesetzt ist) im Rahmen seiner Beschäftigung oder Beziehung zu einer Organisation erhält. Eine Geheimhaltungsvereinbarung dient der Wahrung der Vertraulichkeit von Unternehmensdaten (z. B. Geschäftsgeheimnissen oder Kundeninformationen) und ist in der Regel eine lebenslange Vereinbarung (auch nach dem Ausscheiden des Mitarbeiters aus dem Unternehmen).
2 • Wettbewerbsverbot (NCA)
Dabei handelt es sich um einen unlauteren Wettbewerb, der den direkten und unlauteren Wettbewerb eines Mitarbeiters mit der Organisation während seiner Anstellung und in den meisten Fällen auch für einen bestimmten Zeitraum nach seinem Ausscheiden aus dem Unternehmen einschränkt. Konkurrierende Vereinbarungen. Ein Wettbewerbsverbot ist eine einseitige Vereinbarung, die eine Organisation vor ehemaligen Mitarbeitern oder Auftragnehmern schützen soll
1.9.2.2 Organisatorische Anforderungen
Zusätzlich zu NDAs und NCAs müssen Mitarbeiter möglicherweise auch andere Anforderungen der Organisation unterzeichnen, beispielsweise eine Richtlinie zur akzeptablen Nutzung (AUP), einen Verhaltenskodex oder eine Richtlinie zu Interessenkonflikten.
1.9.2.3 Onboarding: Arbeitsverträge und Strategien
Nach Ihrem Eintritt in das Unternehmen müssen Sie zunächst einen Arbeitsvertrag unterzeichnen. Abhängig von der Position müssen Sie möglicherweise eine Geheimhaltungsvereinbarung (NDA) und ein Wettbewerbsverbot (NCA) unterzeichnen Position. Bieten Sie anschließend Schulungen für die Mitarbeiter an, einschließlich Organisationskultur, Strategien, Prozessen, Fähigkeiten usw.
1.9.2.4 Mitarbeiteraufsicht
Manager sollten die Stellenbeschreibung, Aufgaben, Befugnisse und Verantwortlichkeiten jedes Mitarbeiters in der gesamten Position eines Mitarbeiters regelmäßig überprüfen oder bewerten, um sicherzustellen, dass er weiterhin die Anforderungen der Position erfüllt.
•Privilegien-Creep (Privilegien-Drift): Mit steigendem Arbeitsinhalt können Mitarbeiter Berechtigungen erhalten, die über die Anforderungen der Position hinausgehen.
• Obligatorischer Urlaub: Um Missbrauch, Betrug oder Fahrlässigkeit aufzudecken, müssen Mitarbeiter für ein bis zwei Wochen von ihrem Arbeitsplatz ferngehalten und durch andere Mitarbeiter ersetzt werden.
•Kollusion: Reduzieren Sie die Wahrscheinlichkeit, dass Mitarbeiter bereit sind, an einem illegalen oder missbräuchlichen Plan mitzuwirken, indem Sie Maßnahmen wie Aufgabentrennung, Zwangsurlaub, Arbeitsplatzrotation und gegenseitige Schulung ergreifen, da das Risiko einer Entdeckung höher ist.
•User and Entity Behavior Analytics (UEBA): Analyse von Benutzern und Entitäten zur Optimierung von Personalmanagementplänen.
1.9.2.5 Rücktritts-, Stellenübertragungs- und Kündigungsprozess
Wenn Mitarbeiter kündigen, sollten sie auf folgende Punkte achten:
•Zu Prüfungszwecken das Benutzerkonto eines Mitarbeiters gleichzeitig oder bevor der Mitarbeiter die Kündigungsmitteilung erhält, sperren, aber nicht löschen.
•Betonung der NDA- und NCA-Verantwortlichkeiten bei Austrittsgesprächen.
. Stellen Sie sicher, dass Mitarbeiter Unternehmensvermögenswerte zurückgeben, einschließlich, aber nicht beschränkt auf Schlüssel, Zugangskarten, Mobiltelefone, Computer usw.
•Beauftragen Sie Sicherheitspersonal damit, die Mitarbeiter in den Arbeitsbereichen zu begleiten und persönliche Gegenstände zu recyceln.
•Benachrichtigen Sie alle relevanten Mitarbeiter über die Trennung des Mitarbeiters.
1.9.2.6 Vereinbarungen und Kontrollen mit Lieferanten, Beratern und Auftragnehmern
Lieferanten-, Berater- und Auftragnehmervereinbarungen und -kontrollen Ein Mehrparteienrisiko besteht, wenn mehrere Einheiten oder Organisationen an einem Projekt beteiligt sind. Das Service Level Agreement (SLA) stellt sicher, dass das Produkt- oder Serviceniveau des Lieferanten den Erwartungen entspricht. Sollte es die Erwartungen nicht erfüllen, ist eine Entschädigung vorgesehen, um die Servicequalität sicherzustellen. Lieferanten, Berater und Auftragnehmer werden manchmal als Outsourcing bezeichnet. Organisationen können auch die Effizienz des Outsourcing-Managements durch ein Vendor-Management-System (VMS) verbessern.
1.9.2.7 Anforderungen der Compliance-Richtlinie
Das Personalsicherheitsmanagement muss rechtliche und behördliche Anforderungen wie PCI DSS erfüllen.
1.9.2.8 Anforderungen an die Datenschutzrichtlinie
Auch das Personalsicherheitsmanagement muss den Anforderungen von Datenschutzrichtlinien wie der DSGVO genügen.
1.9.3. Personal-, Stellenübertragungs- und Kündigungsverfahren
Einstellung, Versetzung und Trennung sind die drei Phasen der Beschäftigung, und jede Phase hat ihre eigenen Sicherheitsaspekte.
1.9.3.1 Onboarding-Schulung
Erinnern Sie die Mitarbeiter an ihre Verpflichtung, Informationen zu schützen und sich vor Bedrohungen zu schützen, und sollten sich darüber im Klaren sein, dass ihre Handlungen möglicherweise überprüft werden.
1.9.3.2 Jobübertragung
Entfernen Sie bei der Neuzuweisung nicht mehr benötigte Zugriffsrechte und befolgen Sie das Prinzip der geringsten Rechte.
1.9.3.3 Rücktritt
Der Rücktritt wird in freiwillige und unfreiwillige unterteilt. Wenn ein Mitarbeiter im guten Einvernehmen ausscheidet, reicht es aus, das Trennungsverfahren der Organisation zu durchlaufen.
Erfolgt die Trennung unfreiwillig, sollten geeignete Maßnahmen zum Schutz der Vermögenswerte der Organisation ergriffen werden
•Austrittsgespräch, Erinnerung an unterzeichnete NDA und andere relevante Vereinbarungen
•Schließen des Zugriffs auf das System, während Mitarbeiter über die Kündigung informiert werden und Überprüfungen der Trennungscheckliste durchgeführt werden
•Informieren Sie die verbleibenden Mitarbeiter darüber, dass der gekündigte Mitarbeiter nicht mehr in die Organisation aufgenommen werden darf
Die Trennungscheckliste umfasst: Widerruf von Zugangsrechten, Wiederherstellung von Schlüsseln, Ausweisen, Geräten und Dokumenten.
1.9.4. Vereinbarungen und Kontrollen mit Lieferanten, Beratern und Auftragnehmern
Unternehmen lagern häufig Funktionen wie das Hosting von Rechenzentren und die Anwendungsentwicklung aus. Durch die Unterzeichnung von NDAs und anderen Vereinbarungen mit diesen Outsourcing- oder Partnerorganisationen kann sich ihre Compliance-Belastung erhöhen und verhindern, dass Dritte vertrauliche Informationen preisgeben. Hier sind einige Vorschläge zu Sicherheitsmaßnahmen:
-Zugriffskontrolle implementieren
Mündliche Überprüfung des Dokumentenaustauschs
Wartungs-Hooks (Hintertüren) verwalten und überwachen
Führen Sie eine Beurteilung vor Ort durch
Überprüfen Sie Prozesse und Richtlinien
Entwickeln Sie eine Service-Level-Vereinbarung
19.5.2 Richtlinienschulung und Bestrafung
•Mitarbeiterschulung: Bieten Sie Mitarbeitern und anderem relevanten Personal Erstschulungen und wiederkehrende Schulungen an, um die Einhaltung der Richtlinien sicherzustellen.
•Sicherheitsbewusstsein: Verbessern Sie die Aufmerksamkeit und das Verständnis für Informationssicherheit.
•Berufsbezogene Schulung: Bieten Sie spezifische Schulungen basierend auf den beruflichen Anforderungen der Mitarbeiter an.
•Machen Sie die Konsequenzen der Richtlinie klar: Geben Sie in der Richtlinie die möglichen Folgen einer Nichteinhaltung an, wie z. B. Disziplinarmaßnahmen, Suspendierung oder Entlassung.
1.9.5. Befolgen Sie die Richtlinienanforderungen
1.9.5.1 Anforderungen an die Organisationspolitik
•Einhaltung von Gesetzen und Vorschriften: Stellt sicher, dass die Unternehmensrichtlinien den geltenden Gesetzen, Vorschriften und anderen gesetzlichen Verpflichtungen entsprechen.
•Richtlinienkonsistenz: Die Anforderungen, Kontrollen und Verfahren der Organisation müssen mit der Richtlinie übereinstimmen.
1.9.6. Anforderungen an die Datenschutzrichtlinie
Unternehmen müssen rechtlichen und ethischen Verpflichtungen nachkommen, um die Privatsphäre ihrer Mitarbeiter beim Umgang mit sensiblen Informationen zu schützen. Zu diesen Informationen können Hintergrundüberprüfungen, Sozialversicherungsnummern (ID-Nummern), Gehaltsinformationen und Gesundheitsinformationen gehören. Um Informationen zu gewährleisten
Aus Sicherheitsgründen sollten Organisationen die folgenden Grundsätze in ihren Datenschutzrichtlinien berücksichtigen:
•Minimierungsprinzip: Sammeln Sie nur Informationen, die für den Abschluss des rechtmäßigen Beschäftigungsprozesses erforderlich sind.
•Eingeschränkter Zugriff: Gewähren Sie den Zugriff nur denjenigen, die diese Informationen kennen müssen.
•Verschlüsselung verwenden: Verwenden Sie so weit wie möglich Verschlüsselungstechnologie, um zu verhindern, dass Informationen über ungewöhnliche Kanäle gelesen werden.
1.10 Risikomanagementkonzepte verstehen und anwenden
1. 10.1 Bedrohungen und Schwachstellen identifizieren
Risiko ist die Wahrscheinlichkeit, dass eine potenzielle Bedrohung eine Schwachstelle ausnutzt, um negative Auswirkungen auf eine Organisation, Ziele oder Vermögenswerte, einschließlich Personen, Systeme und Daten, zu haben.
1.10.1.1 Risikoklassifizierung
•Inhärente Risiken sind solche, die bereits bestehen, bevor Kontrollmaßnahmen umgesetzt werden
•Restrisiko ist der Grad des Risikos, der nach Einführung der Kontrollen verbleibt
1.10.1.2 Bedrohung:
Eine Person oder Organisation, die absichtlich oder unabsichtlich die Sicherheit eines Vermögenswerts verletzen kann, beispielsweise ein Hacker, ein verärgerter Mitarbeiter oder eine Naturkatastrophe.
1.10.1.3 Schwachstellen
Schwächen oder Schwachstellen im System können Risiken bergen, wenn sie von Bedrohungsakteuren ausgenutzt werden.
1.10.1.4 Vermögenswerte
Ein Vermögenswert ist alles von Wert, zu dem Personen, Eigentum und Informationen gehören können.
1.10.2.Risikobewertung und -analyse
1.10.2.1 Definition der Risikobewertung
Risiko ist die Schnittstelle zwischen Bedrohungen, Schwachstellen und Vermögenswerten. Bei der Risikobewertung handelt es sich um eine Reihe von Aktivitäten, die die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Bestimmung der Auswirkungen und der Wahrscheinlichkeit der Ausnutzung der identifizierten Schwachstellen durch diese Bedrohungen umfassen.
1.10.2.2 Schritte zur Risikobewertung:
1. Risikoidentifizierung: Identifizierung von Vermögenswerten und ihrem Wert für die Organisation
2. Risikoanalyse: Bestimmen Sie die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt
3. Risikobewertung: Bestimmen Sie die geschäftlichen Auswirkungen dieser potenziellen Bedrohungen
4. Risikobehandlung: Sorgen Sie für ein wirtschaftliches Gleichgewicht zwischen den Auswirkungen der Bedrohung und den Kosten für Gegenmaßnahmen
1.10.2.3 Risikoidentifizierung
Es beginnt mit der Identifizierung der Vermögenswerte der Organisation und der Bestimmung des Werts dieser Vermögenswerte. Anschließend werden die Schwachstellen und Bedrohungen identifiziert und beschrieben, die Risiken für die Vermögenswerte darstellen.
1.10.2.4 Risikoanalyse
Die Risikoanalyse beginnt mit der Schwachstellenbewertung und Bedrohungsanalyse, wobei die Eintrittswahrscheinlichkeit von Risiken berechnet und diese nach ihrer Auswirkung eingestuft werden.
1.10.2.4.1 Qualitative Risikoanalyse
In vielen Fällen kann der Wert nicht quantifiziert werden, beispielsweise der Ruf der Organisation und der Wert der Daten. Daher kann ich nur anhand meines Gehirns entscheiden. Inhalte wie der Vermögenswert und das Risikoniveau werden anhand von Ebenen wie „hoch“ identifiziert. mittel, niedrig, 0-10, Hundert-Punkte-System usw.
Zu den Techniken der qualitativen Risikoanalyse gehören: Brainstorming, Storyboarding, Fokusgruppen, Umfragen, Fragebögen, Interviews, Szenarien und Delphi-Techniken
1.10.2.4.2 Quantitative Risikoanalyse
Die Hauptprozesse der quantitativen Risikoanalyse:
•Inventurvermögen, Wert zuweisen (AV)
•Verknüpfen Sie Vermögenswerte mit Bedrohungen
•Berechnen Sie den Gefährdungsfaktor (EF) für jedes Asset-Bedrohungs-Paar. Dabei handelt es sich um den Prozentsatz des Verlusts, den ein Asset erleiden würde, wenn eine bestimmte Bedrohung gegen ihn verstößt
• Berechnen Sie die Einzelverlusterwartung (Single Loss Expectation, SLE) für jedes Asset-Bedrohungspaar. Dabei handelt es sich um den Geldbetrag, den eine bestimmte Bedrohung nach der Zerstörung des Assets verliert (SLE=AV*EF).
•Berechnen Sie die jährliche Eintrittsrate (ARO) für jede Bedrohung. Das heißt, die Wahrscheinlichkeit, dass innerhalb eines Jahres eine bestimmte Bedrohung für einen Vermögenswert eintritt
• Berechnen Sie die jährliche Verlusterwartung (Annualized Loss Expectation, ALE) für jedes Vermögenswert-Bedrohungspaar, d. h. den Schaden, der dem Vermögenswert innerhalb eines Jahres durch eine bestimmte Bedrohung zugefügt wird
Geld verloren (ALE=SLE*ARO)
•Entwickeln Sie mögliche Gegenmaßnahmen für jedes Asset-Bedrohungspaar und berechnen Sie Änderungen der jährlichen Schutzkosten (ACS), ARO, EF und ALE
• Führen Sie eine Kosten-Nutzen-Bewertung jeder Gegenmaßnahme durch. Wählen Sie für jede Bedrohung die am besten geeignete Reaktion aus, d. h. ALE_per-ALE_post-ACS. Das Ergebnis ist, dass regelmäßige Schutzmaßnahmen einen Wert haben, und das Ergebnis, dass verantwortungsvolle Schutzmaßnahmen keinen Wert haben.
1.10.3. Risikoreaktion
Es gibt vier Hauptkategorien der Risikobehandlung:
1.10.3.1 Risikovermeidung (Avoid)
Beseitigen Sie identifizierte Risiken, indem Sie die Aktivitäten oder Technologien stoppen oder entfernen, die zum Risiko beitragen.
1.10.3.2 Risikominderung (Mitigate)
Reduzieren Sie den Schaden, den Risiken verursachen können, indem Sie politische und technische Maßnahmen umsetzen.
1.10.3.3 Gefahrenübergang (Transfer)
Es wird auch als Risikozuweisung (Risk Assignment0) bezeichnet und überträgt risikobezogene Verantwortlichkeiten und potenzielle Verluste auf einen Dritten.
Gängiger Weg: Versicherung abschließen.
1.10.3.4 Risikoakzeptanz (Accept)
Die Akzeptanz eines Risikos wird zu einer Option, wenn die Kosten für die Vermeidung, Minderung oder Übertragung des Risikos die erwarteten Verluste aus der realisierten Bedrohung übersteigen.
1.10.4. Auswahl und Umsetzung von Gegenmaßnahmen
1.10.4.1 Überlegungen zu Gegenmaßnahmen:
•Personalbezogen:
Einstellungen (oder Entlassungen), organisatorische Umstrukturierungen und Sensibilisierungsmaßnahmen sind einige häufige Reaktionen im Zusammenhang mit Menschen. Hintergrundüberprüfungen, Beschäftigungspraktiken, Sicherheitsbewusstsein und Schulung usw.
•Managementbezogen
Richtlinien, Verfahren und andere „workflowbasierte“ Schadensbegrenzungsmaßnahmen fallen im Allgemeinen in diese Kategorie. Menge, Verfahren, Datenklassifizierung und -kennzeichnung, Berichterstattung und Überprüfung, Arbeitsüberwachung.
•Technologiebezogen:
Verschlüsselung, Konfigurationsänderungen und andere Hardware- oder Softwareänderungen usw. Authentifizierungsmethoden, Verschlüsselung, eingeschränkte Schnittstellen, Zugriffskontrolllisten, Protokolle, Firewalls, Router, Intrusion-Detection-Systeme und Bereinigungsstufen.
•Physikbezogen:
Wachen, nationale Barrieren, Bewegungsmelder, verschlossene Türen, versiegelte Fenster, Beleuchtung, Kabelschutz, Laptopschlösser, Abzeichen, Magnetkarten, Hunde, Kameras, Zugangskontrolllobby und Alarme.
1.10.42 Wirksamkeit von Gegenmaßnahmen
Untersuchen Sie Wahrnehmungen aus den Perspektiven der Prävention, Erkennung und Korrektur, um die Wirksamkeit von Risikoabwehrmaßnahmen sicherzustellen. Wenn die Verschlüsselung beispielsweise ein bestimmtes Risiko nicht lösen kann, versuchen Sie es mit einem anderen Ansatz, z. B. mit der Überlegung, ein Backup zu erstellen.
1.10.4.3 Kostenwirksamkeit von Gegenmaßnahmen
Stellen Sie sicher, dass die Kosten für Sicherheitsmaßnahmen dem Wert der zu schützenden Vermögenswerte entsprechen.
1.10.4.4 Auswirkungen auf das Geschäft
Überlegen Sie, ob die Umsetzung und Anwendung von Gegenmaßnahmen zu schwierig ist, um steigende Risiken durch falsche Anwendung zu vermeiden.
1.10.5. Anwendbare Steuerungsarten
1.10.5.1 Steuerungstyp
•Prävention: Verhindern Sie das Auftreten von Vorfällen, z. B. durch Firewalls, Systemsicherungen und IPS.
•Erkennung: Identifizieren Sie Ereignisaktivitäten und potenzielle Eindringlinge, z. B. 1DS.
•Korrektur: Reparieren einer Komponente oder eines Systems nach einem Vorfall, z. B. durch Patchen.
•Bedrohungen: Abschreckung potenzieller Angreifer durch Zäune und Polizeihunde.
•Wiederherstellung: Wiederherstellung des normalen Betriebsstatus der Umgebung, z. B. System- und Datensicherungen, Notfallwiederherstellungsstandorte.
•Entschädigung: Bereitstellung alternativer Kontrollmaßnahmen.
1.10.6. Kontrollbewertung (Sicherheit und Datenschutz)
Organisationen sollten regelmäßige Sicherheitskontrollbewertungen (SCA) durchführen, um sicherzustellen, dass Sicherheits- und Datenschutzkontrollen wirksam bleiben.
SCA kann eine Selbstbewertung oder eine externe Bewertung durch Dritte nutzen.
1.10.6.1 SCA-Bewertungsmethode
•Inspektion: Der Gutachter verlangt in der Regel von der Organisation, dass sie eine Liste von Sicherheitsrichtlinien, Konfigurationsdateien usw. zur Überprüfung, Überprüfung, Beobachtung, Recherche oder Analyse bereitstellt und sich eine vorläufige Meinung bildet.
•Interviews: Gutachter treffen sich mit wichtigen Stakeholdern, um mehr über die vorhandenen Sicherheitskontrollen und deren Funktionsweise zu erfahren.
. Tests: Durch Tests wird bestätigt, dass Sicherheitskontrollen wie dokumentiert implementiert sind, wirksam sind und wie erwartet funktionieren.
1.10.7. Überwachung und Messung
•Sicherheitskontrollen sollten kontinuierlich überwacht und quantifiziert werden, um ihre Wirksamkeit zu messen und Verbesserungsvorschläge zu liefern.
- Es sollte eine Reihe von Key Performance Indicators (KPIs) entwickelt werden, um die langfristige Leistung zu quantifizieren und zu steuern.
1.10.8. Berichterstattung
Erstellen Sie formelle Berichte, um wichtige Ergebnisse oder Indikatoren an Führungskräfte, Aufsichtsbehörden und andere Interessengruppen zu melden und die Ergebnisse für jede bewertete Kontrolle detailliert darzustellen. Berichte können Folgendes umfassen:
Internes Audit (z. B. Selbstbewertung)
•Externe Prüfungen (z. B. Prüfungen durch Aufsichtsbehörden oder andere Dritte)
•Erhebliche Änderungen im Risikoprofil der Organisation
•Wesentliche Änderungen an Sicherheits- oder Datenschutzkontrollen
•Verwandte oder bestätigte Sicherheitsverstöße (oder andere Vorfälle)
1.10.9. Kontinuierliche Verbesserung
Wenn sich Bedrohungen und Schwachstellen ändern, sollte das Sicherheitsprogramm kontinuierlich verbessert, die Kontrollen verschärft und die allgemeine Informationssicherheitslage des Unternehmens verbessert werden. Das Enterprise Risk Management (ERM) kann mithilfe des Risk Maturity Model (RMM) bewertet werden, um einen ausgereiften, nachhaltigen und wiederholbaren Risikomanagementprozess zu bewerten.
1.10.9.1 Risiko-Maturitätsmodell (RMM)
Enthält normalerweise fünf Ebenen:
. Ad-hoc: Einsatz von Ad-hoc-Praktiken mit schlechter Kontrolle.
•Vorläufig: Versuchen Sie, dem Risikomanagementprozess zu folgen, aber jede Abteilung kann Risikobewertungen unabhängig durchführen.
•Definiert: Einführung eines gemeinsamen oder standardisierten Risikorahmens im gesamten Unternehmen.
•Integriert: Risikomanagementvorgänge werden in Geschäftsprozesse integriert, wobei Metriken zur Erfassung von Effektivitätsdaten verwendet werden und Risiken als Element strategischer Geschäftsentscheidungen behandelt werden.
•Optimiert: Konzentrieren Sie sich auf das Risikomanagement, um Ziele zu erreichen, und nicht nur, um auf externe Bedrohungen zu reagieren. Verbessern Sie die strategische Planung, um Geschäftserfolg zu erzielen, und nicht nur, um Unfälle zu vermeiden: Integrieren Sie gewonnene Erkenntnisse in den Risikomanagementprozess.
1.10.10.Risikorahmen
1.10.10.1NIST-Risikomanagement-Framework
Die sechs Stufen des Risk Management Framework (RMF) in NIST800-37Rev.2:
•Kategorisieren:
Klassifizieren Sie alle Informationssysteme basierend auf ihren potenziellen Auswirkungen auf die Organisation im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit.
Wählen:
Wählen Sie einen Basissatz von Kontrollen basierend auf Klassifizierung und Auswirkung aus.
•Implementieren
Implementieren Sie ausgewählte Kontrollen.
•Bewerten:
Bewerten Sie, ob die Kontrollen korrekt implementiert sind, wie geplant funktionieren und die erwarteten sicherheitsrelevanten Ergebnisse liefern.
•Autorisieren:
Nach der Bewertung entscheidet die Organisationsleitung, ob die Nutzung des Systems genehmigt wird, basierend auf der Fähigkeit der Kontrollen, das System innerhalb der Risikotoleranz und der Akzeptanz des Restrisikos zu betreiben.
•Monitor:
Überwachen Sie kontinuierlich die Wirksamkeit der Kontrollen, um sicherzustellen, dass das System innerhalb der Risikotoleranz der Organisation funktioniert. Wenn größere Probleme entdeckt werden, beginnt der Zyklus möglicherweise von Schritt eins.
1.11. Konzepte und Methoden zur Bedrohungsmodellierung verstehen und anwenden
1.11.1. Bedrohungsmodellierung
1.11.1.1 Methoden zur Bedrohungsmodellierung
Je früher eine Bedrohungsmodellierung durchgeführt wird, desto kostengünstiger ist sie. Im Allgemeinen aus den folgenden drei Aspekten
•Angreiferorientiert
Bestimmen Sie die Merkmale, Fähigkeiten und Motivationen potenzieller Angreifer und identifizieren Sie Angreifer, die möglicherweise bestimmte Angriffe ausführen. Entwickeln Sie eine Verteidigungsstrategie.
•Asset-orientiert:
Identifizieren Sie Vermögenswerte, die für das Unternehmen und potenzielle Angreifer von Wert sind, und bewerten Sie, wie Angreifer die Vermögenswerte gefährden könnten.
•Softwarezentriert:
Verwenden Sie Architekturdiagramme (z. B. Datenflussdiagramme oder Zusammensetzungsdiagramme), um das System darzustellen, potenzielle Angriffe auf jede Komponente zu bewerten und die Notwendigkeit, Präsenz und Wirksamkeit von Sicherheitskontrollen zu bestimmen.
1.11.1.2 Bedrohungsmodellierungs-Framework
1.
STRIDE (Microsoft)
2.
PASTA (Verfahren zur Angriffssimulation und Bedrohungsanalyse)
3.
NIST 800-154 (Richtlinien für die Bedrohungsmodellierung datenzentrierter Systeme)
4. DREAD (veraltet, quantitative Risikoeinstufung von Schwachstellen aus Schaden, Reproduzierbarkeit, Ausnutzbarkeit, betroffene Benutzer, Auffindbarkeit)
5. Andere Methoden zur Bedrohungsmodellierung
•OCTAVE: Konzentriert sich auf Betriebsrisiken, Sicherheitskontrollen und Sicherheitstechnologie in Organisationen.
•Trike: ist eine Open-Source-Methode und ein Tool zur Bedrohungsmodellierung, die sich auf die Verwendung von Bedrohungsmodellen als Risikomanagementtools konzentrieren.
•CORAS: Ebenfalls Open Source, basiert es hauptsächlich auf der Unified Modeling Language (UML), um Bedrohungen im Frontend zu visualisieren
•VAST: Visuelle, agile und einfache Bedrohungsmodellierung, ein Ansatz, der agile Konzepte nutzt
1.11.1.3 STRIDE ausführliche Erklärung
• Identitätsfälschung
Ein Angreifer verschafft sich unbefugten Zugriff, indem er die Identität einer anderen Person vorgibt, um Zugriff auf eine Anwendung oder ein System zu erhalten
•Manipulation von Daten(Manipulation von Daten)
Ein Angreifer versucht, Daten in einer Anwendung oder einem System zu ändern oder zu beschädigen, um unerwartete oder bösartige Ergebnisse zu erzielen
•Zurückweisung
Der Angreifer verweigert bestimmte im System ausgeführte Vorgänge oder Transaktionen, um sich der Verantwortung zu entziehen oder Streitigkeiten zu verursachen.
•Offenlegung von Informationen
Angreifer können vertrauliche Informationen aus dem System stehlen oder darauf zugreifen, darunter Benutzerkennwörter, Kreditkarteninformationen, Firmengeheimnisse und mehr.
•Denial of Service
Angreifer versuchen, den normalen Benutzerzugriff auf ein System zu verhindern oder zu verlangsamen, indem sie es nicht mehr verfügbar machen oder abstürzen.
•Erhöhung von Privilegien
Ein Angreifer kann sich von einem normalen Benutzer zu einem Administrator oder einem anderen privilegierten Benutzer entwickeln, indem er eine Anwendungs- oder Systemschwachstelle ausnutzt.
1.11.1.4 PASTA ausführliche Erklärung
PASTA ist ein risikobasierter Ansatz zur Bedrohungsmodellierung, der Geschäftsziele mit technischen Anforderungen kombiniert und die Ergebnisse für die Geschäftsleitung verständlicher macht. Im Gegensatz zu STRIDE handelt es sich beim PASTA-Ansatz ausschließlich um ein Framework zur Bedrohungserkennung, das einen leistungsstarken Prozess zur Identifizierung und Eindämmung von Bedrohungen bietet.
Der PASTA-Prozess besteht aus den folgenden sieben Phasen:
1. Setzen Sie sich Ziele
Geschäftsziele und -bedürfnisse werden identifiziert, um die allgemeine Risikotoleranz der Organisation sowie kritische Geschäftsprozesse und Vermögenswerte, die möglicherweise gefährdet sind, besser zu verstehen.
2. Bestimmen Sie den technischen Umfang
Der Umfang der Technologie und die Architektur der Anwendung werden definiert, um die Systeme und Komponenten zu verstehen, die möglicherweise anfällig für Angriffe sind
3. Anwendungszerlegung
Anwendungen werden in kleinere Komponenten unterteilt, um die Funktionalität, den Datenfluss und die einzelnen Komponenten besser zu verstehen
4. Bedrohungsanalyse
und Beziehungen zu anderen Komponenten. Dies hilft, mögliche Angriffspfade und potenzielle Bedrohungen zu identifizieren. Analysieren Sie die Bedrohungen, die sich auf Ihr Unternehmen auswirken können, einschließlich interner und externer Bedrohungen. Dazu kann die Identifizierung potenzieller Angreifer, ihrer Beweggründe und Fähigkeiten sowie möglicher Angriffsmittel gehören.
5. Schwachstellenanalyse
Führen Sie eine Schwachstellenanalyse des Systems durch, um potenzielle Schwachstellen und Sicherheitslücken zu identifizieren. Dazu können Codeüberprüfungen, Penetrationstests und andere Sicherheitsbewertungsmethoden gehören, um Sicherheitsprobleme zu finden und zu beheben.
6. Angriffsaufzählung
Der vorherigen Analyse zufolge könnte Lieyang das System angreifen. Dies hilft, die Angriffsvektoren und -pfade besser zu verstehen, die Angreifer ausnutzen können.
7. Risiko- und Auswirkungsanalyse
Bewerten Sie das Risiko und die Auswirkungen jeder potenziellen Bedrohung, um geeignete Gegenmaßnahmen und Sicherheitsrichtlinien zu priorisieren und zu entwickeln. Dies kann Unternehmen dabei helfen, Ressourcen effektiv zuzuteilen, sich auf Schwerpunktbereiche zu konzentrieren und gleichzeitig Risiken zu mindern
1.12 Anwendung von Supply Chain Risk Management (SCRM)-Konzepten
1.12.1. Risiken im Zusammenhang mit Hardware, Software und Diensten
Lieferanten spielen eine entscheidende Rolle im Informationstechnologiebetrieb eines Unternehmens. Sie sind für die Werksdienstleistungen der Kunden unverzichtbar, indem sie Hardware, Software oder Cloud-Computing-Dienste bereitstellen. Sicherheitsexperten müssen ihren Geschäftspartnern große Aufmerksamkeit schenken, um die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen und Systeme des Unternehmens zu schützen. Dieser Prozess, der als „Vendor Due Diligence“ bezeichnet wird, soll Probleme im Zusammenhang mit der Beschaffung von Hardware vermeiden. Software und Risiken im Zusammenhang mit den Diensten.
1.12.1.1 Mögliche Risiken der Hardware:
Bild von defekten Teilen oder Teilen, die nicht den Standards entsprechen
Gefälschte oder gefälschte Teile
Bild einer elektronischen Komponente, die Malware auf Firmware-Ebene enthält
1.12.1.2 Mögliche Risiken von Software:
Trojanisches Pferd wurde implantiert
Es gibt Schwachstellen in der verwendeten Komponentenbibliothek
1.12.1.3 Mögliche Risiken im Service:
Datenlecks
1.12.2. Bewertung und Überwachung durch Dritte
Governance- und Aufsichtsaktivitäten sollten Sicherheitsuntersuchungen vor Ort, formelle Sicherheitsüberprüfungen von Drittsystemen und Penetrationstests umfassen, sofern dies möglich ist. Für neue Drittpartner ist es von entscheidender Bedeutung, sie anhand der Sicherheitsanforderungen der Organisation zu bewerten. Lücken sollten dokumentiert und genau überwacht werden.
1.12.3. Mindestsicherheitsanforderungen
Ähnlich wie bei Baselines sollten Organisationen Mindestsicherheitsanforderungen (MSRS) festlegen, um die akzeptablen Mindestsicherheitsstandards zu bestimmen, die Lieferanten und andere Teilnehmer in der Lieferkette erfüllen müssen.
MSRS deckt alle geltenden gesetzlichen, vertraglichen oder behördlichen Anforderungen ab. Gleichzeitig ist es von entscheidender Bedeutung, die Leistung Dritter bei der Einhaltung festgelegter und kommunizierter MSRS zu prüfen und zu bewerten.
1.12.4. Service-Level-Anforderungen
Ein Service Level Agreement (SLA) ist eine vertragliche Vereinbarung, die festlegt, dass ein Dienstanbieter ein bestimmtes Serviceniveau garantiert, wie zum Beispiel:
Leistungskennzahlen, Serviceverfügbarkeit, Reaktionszeiten und andere relevante Qualitätskriterien. Wenn Dienstleistungen nicht im vereinbarten Umfang erbracht werden, hat dies Konsequenzen für den Dienstleister (in der Regel finanzieller Natur).
1.12.5. Rahmen
1.12.5.1 Rahmen zur Bewältigung von Lieferkettenrisiken:
1.NIST IR 7622
Dieses Dokument beschreibt 10 Schlüsselpraktiken, die beim Umgang mit Risiken in der Lieferkette berücksichtigt werden sollten.
2.ISO 28000
15028000.2007 basiert stark auf dem Prozessverbesserungsmodell Plan-Do-Check-Act (PDCA), um Sicherheitsmanagementsysteme zu optimieren und die Einhaltung von Sicherheitspraktiken durch die Organisation sicherzustellen.
3. Leitlinien des britischen National Cyber Security Centre (NCSC).
Unterteilt in 4 Phasen (einschließlich 12 Prinzipien)
•Risiko bewerten
•Kontrollen einrichten
•Überprüfen Sie bestehende Vereinbarungen
•weiter verbessern
1.13. Ein Sicherheitsbewusstseins-, Bildungs- und Schulungsprogramm einrichten und aufrechterhalten
1.13.1. Schlagen Sie Sensibilisierungs- und Schulungsmethoden und -techniken vor
Ein Sicherheitsbewusstseinsprogramm ist ein formelles Programm, das dazu dient, Benutzer darin zu schulen, potenzielle Bedrohungen für die Informationen und Systeme einer Organisation zu erkennen und darauf zu reagieren. Dazu gehören in der Regel Schulungen für neue Mitarbeiter, Vorträge, computergestützte Schulungen und gedruckte Materialien sowie durch Social-Engineering-Simulationen Sicherheit Befürworter und Gamifizierung, um die Aufmerksamkeit auf kritische Sicherheitsthemen zu erhöhen.
1.13.1.1 Social Engineering
Social Engineering ist eine Manipulationstaktik, bei der ein Angreifer vorgibt, eine andere Person zu sein, um an vertrauliche Informationen zu gelangen.
Phishing ist die häufigste Form des Social Engineering und eine Hauptquelle für Sicherheitsrisiken.
1.13.1.2 Sicherheitsbeamter
Sicherheitsverfechter sind Befürworter bewährter Sicherheitspraktiken, und das sind Mitarbeiter, die Sicherheit nicht zu ihrer Hauptaufgabe machen.
1.13.1.3 Gamifizierung
Gamification ist die Anwendung von Spielelementen auf Nicht-Spiel-Situationen, um eine Zielgruppe anzusprechen und zu informieren.
1.13.2. Regelmäßige Inhaltsüberprüfung
Informationssicherheit ist ein sich entwickelndes Feld, in dem sich Bedrohungen und Schwachstellen ständig ändern. Um sicherzustellen, dass die Inhalte relevant sind, müssen Sie daher die Inhalte Ihrer Sicherheitsbewusstseins-, Schulungs- und Schulungsprogramme regelmäßig überprüfen und aktualisieren. Es wird empfohlen, dies mindestens einmal jährlich zu überprüfen und zu aktualisieren, um veraltete oder irrelevante Technologie und Terminologie zu vermeiden.
1.13.3. Bewertung der Programmwirksamkeit
1.13.3.1 Trainingsindikatoren
Zum Beispiel die Abschlussquote der Schulung, die Anzahl der Teilnehmer und andere Kurzindikatoren.
1.13.3.2 Quiz
Quizfragen sind eine effektive Möglichkeit, die Wirksamkeit des Trainings zu bewerten.
1.13.3.3 Tag des Sicherheitsbewusstseins
Security Awareness Days dienen dazu, das Sicherheitsbewusstsein zu steigern und gleichzeitig mithilfe anonymer Fragebögen Meinungen und Vorschläge von Mitarbeitern zu Sicherheitsprogrammen zu sammeln.
1.13.3.4 Interne Bewertung
Zu den Bewertungsmethoden gehört das Erfassen von Anstiegen oder Rückgängen bei der Anzahl von Sicherheitsvorfällen oder gemeldeten mutmaßlichen Phishing-Vorfällen im Anschluss an die Schulung.
Schlüsselübungen
Sie sind für das Sicherheitsbewusstseinsprogramm Ihrer Organisation verantwortlich. Welche Kontrollen können eingerichtet werden, um dieses Risiko zu verhindern, da befürchtet wird, dass Änderungen in der Technologie Inhalte überflüssig machen könnten? Eine Gamifizierung B Computerbasiertes Training Überprüfung des C-Inhalts D Führen Sie Schulungen durch
Richtige Antwort: C Lehrbuch Band 1 P76 Wirksamkeitsbewertung
Froneme ist Sicherheitsexperte für einen amerikanischen Online-Dienstleister. Zuletzt erhielt sie Beschwerden von Urheberrechtsinhabern, die auf ihrem Dienst Informationen gespeichert hatten, die Urheberrechte Dritter verletzten. Welches Gesetz bestimmt, welche Maßnahmen Francine ergreifen muss? A. Urheberrecht B. Lambs Gesetz C. Digital Millennium Copyright Act D. Gramm-Leach-Bulley-Gesetz
Richtige Antwort: C P115 Copyright und Digital Millennium Copyright Act müssen Sie sich die detaillierten Namen jedes Gesetzes merken
Im Moment nur eine Frage
FyAway Travel verfügt über Niederlassungen in der Europäischen Union (EU) und den Vereinigten Staaten und überträgt häufig personenbezogene Daten zwischen diesen Niederlassungen. Sie haben kürzlich von einem EU-Kunden eine Anfrage erhalten, sein Konto zu kündigen. Welche Voraussetzung für die Verarbeitung personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO) sieht vor, dass eine Person verlangen kann, dass ihre Daten nicht mehr weitergegeben oder verarbeitet werden? A. Zugriffsrechte B. Datenschutz durch Technikgestaltung C. Recht auf Vergessenwerden D. Recht auf Datenübertragbarkeit
Richtige Antwort: C nicht gefunden
Remee ist im Sitzungssaal und erklärt ihre Verantwortung für die Überprüfung von Cybersicherheitskontrollen, nach deren Regel leitende Führungskräfte persönlich für Fragen der Informationssicherheit verantwortlich sind A. Sorgfaltspflichtregeln B. Regeln zur persönlichen Verantwortung C. Kluger Mann regiert D. Regeln für ein ordnungsgemäßes Verfahren
Richtige Antwort: C nicht gefunden Das Gebot des umsichtigen Mannes verpflichtet Führungskräfte dazu, dafür zu sorgen, dass in ihrer täglichen Arbeit die entsprechende Aufmerksamkeit aufrechterhalten wird.
Zhang San hat kürzlich einen Kollegen bei der Vorbereitung auf die CISSP-Prüfung unterstützt. Während des Prozesses hat Zhang San vertrauliche Informationen über die Prüfung preisgegeben und damit gegen Artikel 4 der Ethischen Standards: Förderung und Schutz des Berufs verstoßen. A Jeder kann Anzeige erstatten. B Jeder Fachmann, der über eine Zertifizierung oder Lizenz verfügt, kann eine Anzeige erstatten. C Nur der Arbeitgeber von Zhang San kann Anklage erheben. D Nur der betroffene Mitarbeiter kann eine Anzeige erstatten.
Richtige Antwort: B nicht gefunden
Yolanda ist Chief Privacy Officer eines Finanzinstituts und untersucht die privaten und öffentlichen Anforderungen im Zusammenhang mit Kundengirokonten. Welches der folgenden Gesetze trifft in dieser Situation am ehesten zu? AGLBA-Gesetz B. SOX Act C.HIPAA-Gesetz D.FERPA-Gesetz
Richtige Antwort: A nicht gefunden Das Gebot des umsichtigen Mannes verpflichtet Führungskräfte dazu, dafür zu sorgen, dass in ihrer täglichen Arbeit die entsprechende Aufmerksamkeit aufrechterhalten wird.
Welche Technologien werden am ehesten exportiert, um Exportkontrollgesetze und -vorschriften auszulösen? A. Speicherchip B. Office-Produktionsanwendungen C-Festplatte D-Verschlüsselungssoftware
Richtige Antwort: D P119
Nachdem Sie Ihre Bemühungen zur Geschäftskontinuitätsplanung abgeschlossen und sich entschieden haben, eines der Risiken zu akzeptieren, sollten Sie als Nächstes Bericht erstatten Was? A Implementieren Sie neue Sicherheitskontrollen, um das Risikoniveau zu reduzieren. B Entwerfen Sie einen Notfallwiederherstellungsplan. C. Führen Sie die Geschäftsfolgenabschätzung erneut durch. D Dokumentieren Sie Ihren Entscheidungsprozess.
Richtige Antwort: D
Wenn Sie eine Überprüfung der von den Medienspeichereinrichtungen Ihrer Organisation verwendeten Kontrollen durchführen, möchten Sie jede derzeit vorhandene Kontrolle richtig kategorisieren. Welche der folgenden Kontrollkategorien beschreibt die Umzäunung einer Anlage genau? (Wählen Sie alle zutreffenden.) A. Körperliche Kontrolle B. Erkennungskontrolle C. Abschreckungskontrolle D. Vorbeugende Kontrolle
Richtige Antwort: ACD
Welcher der folgenden Grundsätze verlangt von Einzelpersonen einen Sorgfaltsstandard, der dem entspricht, was eine vernünftige Person unter den jeweiligen Umständen erwarten würde? A. Sorgfaltspflicht B. Aufgabentrennung C. Sorgfaltspflicht D. Geringstes Privileg
Richtige Antwort: C
Kelly geht davon aus, dass ein Mitarbeiter ohne Genehmigung Computerressourcen für ein Nebenprojekt genutzt hat. mit der Geschäftsführung Was? Nach Beratungen beschloss sie, eine Verwaltungsuntersuchung einzuleiten. Die Beweislast, die sie in dieser Untersuchung erfüllen muss, ist A. Überwiegen der Beweise B. Außerhalb vernünftiger Zweifel C. Zweifellos D. Es gibt keinen Standard
Richtige Antwort: D Verwaltungsermittlungen sind kein Zivil-, Straf- oder Verwaltungsrecht, daher gibt es keine Standards
Keenan Systems hat kürzlich einen neuen Mikroprozessor-Herstellungsprozess entwickelt. Das Unternehmen hofft, die Technologie an andere Unternehmen lizenzieren zu können, möchte jedoch eine unbefugte Nutzung der Technologie verhindern. Welche Art des Schutzes des geistigen Eigentums ist für diese Steuersituation am besten geeignet? Ein Patent B. Geschäftsgeheimnisse C. Urheberrecht D. Warenzeichen
Richtige Antwort: A
Wike hat kürzlich ein Intrusion-Prevention-System implementiert, das dazu beigetragen hat, häufige Cyberangriffe auf sein Unternehmen zu verhindern. Welche Art von Risikomanagementstrategie verfolgt Mike? A. Risikoakzeptanz B. Risikovermeidung C. Risikominderung D. Risikoübertragung
C
Carl ist ein Bundesagent, der ein Computerverbrechen untersucht. Er identifizierte einen Angreifer, der sich rechtswidrig verhielt, und wollte ein Verfahren gegen die Person einleiten, das zu einer Gefängnisstrafe führen könnte. Welchen Beweisstandard muss Carl erfüllen? A. Zweifellos B. Überwiegen der Beweise C. Außerhalb vernünftiger Zweifel D. Überwiegen der Beweise
C
Die folgenden Organisationen, die elektronische Transaktionen durchführen, unterliegen nicht automatisch den Datenschutz- und Sicherheitsanforderungen der HIPAA: Ein Gesundheitsdienstleister B Gesundheits- und Fitness-App-Entwickler C Clearingstelle für Gesundheitsinformationen D-Krankenversicherung
B Erfordert Krankenhäuser, Ärzte, Versicherungsgesellschaften und andere Organisationen, die private medizinische Informationen verarbeiten oder speichern Keine Programmentwickler
Acme Bridges entwickelt neue Kontrollen für seine Buchhaltungsabteilung. Das Management befürchtete, dass eine betrügerische Buchhaltungsfirma einen falschen Lieferanten erstellen und diesem einen Scheck als Bezahlung für nicht erbrachte Leistungen ausstellen könnte. Welche Sicherheitskontrolle würde am besten dazu beitragen, dies zu verhindern? A. Zwangsurlaub B. Aufgabentrennung C. Verteidigung im Detail D. Jobrotation
A P35
Welche der folgenden Personen ist in der Regel für die Wahrnehmung betrieblicher Datenschutzaufgaben verantwortlich, die von der Geschäftsleitung delegiert werden, wie z. B. die Überprüfung der Datenintegrität, das Testen der Bereitstellung und die Verwaltung von Sicherheitsrichtlinien? A. Datenverwalter B. Dateneigentümer C.Benutzer D. Wirtschaftsprüfer
A P157
Alan arbeitet für ein E-Commerce-Unternehmen und kürzlich wurden einige Inhalte von einer anderen Website gestohlen und ohne Erlaubnis erneut veröffentlicht. Der Polyseed-Typ des geistigen Eigentumsschutzes ist die beste Möglichkeit, die Einnahmen von Alens Unternehmen zu schützen. A. Geschäftsgeheimnisse B. Urheberrecht C. Warenzeichen D.Patent
B
Tom hat von seinem Cloud-Infrastrukturdienstanbieter eine Anwendungs-Firewall aktiviert, die viele Arten von Anwendungsangriffen verhindern soll. Welche Kennzahl versucht Tom aus Sicht des Risikomanagements mit dieser Gegenmaßnahme zu reduzieren? A. Einfluss B. RPO C. MTO D. Möglichkeit
D
Beth, eine Personalspezialistin, bereitet sich darauf vor, bei der Kündigung eines Mitarbeiters zu helfen. Hier sind einige Dinge, die normalerweise nicht Teil des Kündigungsprozesses sind: Ein Exit-Interview B Eigentumsrückgewinnung Kündigung des C-Kontos D Unterzeichnen Sie ein NCA (Wettbewerbsverbot)
D
Ein Buchhalter von Doolittle Industries wurde kürzlich wegen seiner Rolle in einem Unterschlagungsplan verhaftet. Der Mitarbeiter überwies Kriegsgelder auf sein Privatkonto und transferierte dann täglich Gelder zwischen anderen Konten, um den digitalen Betrug mehrere Monate lang zu vertuschen. Welche der folgenden Kontrollen könnte diesen Betrug am besten im Voraus erkennen? Eine Aufgabentrennung B. Geringstes Privileg C Verteidigungstiefe D Pflichturlaub
D
Wer in einer Organisation sollte eine Erstschulung zur Geschäftskontinuitätsplanung erhalten? A. Leitender Angestellter B. Personal in bestimmten Business-Continuity-Rollen C. Jeder in der Organisation D. Erste-Hilfe-Personal
C
James führt eine Risikobewertung für sein Unternehmen durch und versucht, den Servern im Rechenzentrum einen Vermögenswert zuzuordnen. Das Hauptanliegen einer Organisation besteht darin, sicherzustellen, dass im Falle einer Beschädigung oder Zerstörung eines Rechenzentrums ausreichend Mittel für den Wiederaufbau zur Verfügung stehen. Welche der folgenden Methoden zur Vermögensbewertung wäre in dieser Situation am besten geeignet? A. Anschaffungskosten B. Abschreibungskosten C. Wiederbeschaffungskosten D. Opportunitätskosten
C
Rogers Organisation erlitt einen Verstoß gegen die Kreditkartendaten von Kunden. Welche der folgenden Organisationen könnte sich dafür entscheiden, diese Angelegenheit im Rahmen der PCIDSS-Bestimmungen zu untersuchen? A. Federal Bureau of Investigation (FBI) B. Lokale Strafverfolgungsbehörden C-Bank D PCI SSC
C
John lud wichtige Mitarbeiter aus jedem Geschäftsbereich ein und bat sie, bei seinem Sicherheitsbewusstseinsprogramm zu helfen. Sie sind dafür verantwortlich, Sicherheitsinformationen mit ihren Kollegen zu teilen und Fragen im Zusammenhang mit Cybersicherheit zu beantworten. Welcher Begriff beschreibt diese Beziehung am besten? Ein Sicherheitschampion B Sicherheitsexperte C. Reiserückstände D. Peer-Review
A
Silanco entdeckte einen Keylogger, der auf dem Laptop des CEO des Unternehmens versteckt war. Welchen Informationssicherheitsgrundsatz soll die Tastatur am ehesten untergraben? Eine Vertraulichkeit B. Vollständigkeit C. Verfügbarkeit D. Leugnen
A
Alice unterstützt ihre Organisation bei der Vorbereitung auf die Evaluierung und Einführung eines neuen cloudbasierten HR-Managements (HRM)) Systemanbieter. Welche Mindestsicherheitsstandards passen am besten zu den Anforderungen möglicher Lieferanten? A Halten Sie alle Gesetze und Vorschriften ein B. Informationen auf die gleiche Weise verarbeiten wie die Organisation C. Beseitigen Sie alle identifizierten Sicherheitsrisiken D. Halten Sie sich an die eigenen Richtlinien des Lieferanten
B
.HAL Systems hat kürzlich beschlossen, die Bereitstellung öffentlicher NTP-Dienste einzustellen, da Bedenken bestehen, dass seine NTP-Server zur Verstärkung groß angelegter DDOS-Angriffe genutzt werden könnten. Welche Art von Risikomanagementansatz hat HAL für seine NTP-Dienste gewählt? A. Risikominderung B. Risikoakzeptanz C. Risikoübertragung D. Risikovermeidung
D Risikovermeidung, eine Methode der Risikoreaktion, bezieht sich auf die Beseitigung von Risiken oder der Bedingungen für den Eintritt von Risiken durch Änderungen in Plänen, um Ziele vor den Auswirkungen von Risiken zu schützen. Risikovermeidung bedeutet nicht die vollständige Beseitigung von Risiken. Was wir vermeiden wollen, sind die Verluste, die uns Risiken verursachen können. Bei der Risikominderung, der Kontrolle von Risikoverlusten, geht es darum, das Ausmaß des Verlusts durch Verringerung der Verlustwahrscheinlichkeit zu verringern. Ergreifen Sie Maßnahmen, um die Wahrscheinlichkeit des Risikoeintritts zu verringern, die Folgen des Risikoeintritts abzumildern und die Schwere des Risikos auf ein akzeptables Maß zu reduzieren
Welche der folgenden Komponenten sollten in den Notfallleitlinien einer Organisation enthalten sein? A. Liste des Notfallpersonals, das benachrichtigt werden sollte B. Langfristige Geschäftskontinuitätsvereinbarung C Starten Sie den Prozess der Organisation des Cold-Standby-Standorts D Kontaktinformationen für die Bestellung von Ausrüstung
A Notfallleitfaden: 1. Entsprechende Verfahren 2. Liste der über den Vorfall informierten Personen (Führungskräfte, BCP-Mitglieder) 3. Sekundäre Reaktionsverfahren für Ersthelfer, während sie auf die Zusammenstellung des BCP-Teams warten
Becka hat kürzlich einen Vertrag mit einer Backup-Datenverarbeitungsanlage unterzeichnet, um im Katastrophenfall Raum für ihr Unternehmen bereitzustellen. Die Anlage umfasst HLK-, Elektro- und Kommunikationskreise, jedoch keine Ersatzteilausrüstung. Welche Art von Einrichtung nutzt Becka? Eine Cold-Standby-Site B. Warm-Standby-Standort C Hot-Standby-Standort D Mobile Backup-Site
A
In Gregs Unternehmen kam es kürzlich zu einem großen Datenverstoß, bei dem es um die personenbezogenen Daten vieler Kunden ging. Welche Verstoßvorschriften sollten sie überprüfen, um sicherzustellen, dass geeignete Maßnahmen ergriffen werden? A Offenlegungsvorschriften in dem Staat, in dem sie ihren Hauptsitz haben. B. Offenlegungsvorschriften der Staaten, in denen sie geschäftlich tätig sind. C. Nur bundesstaatliche Offenlegungsvorschriften. D. Datenschutzbestimmungen gelten nur für Regierungsbehörden, nicht für Privatunternehmen.
B
Ben ist auf der Suche nach einem Rahmenwerk für Kontrollziele, das weltweit breite Akzeptanz findet und sich auf Informationssicherheitskontrollen konzentriert. Welches der folgenden Frameworks ist für seine Bedürfnisse am besten geeignet? A.ITIL B. ISO 27002 C KMG D PMBOK
B Verwechslung zwischen CMM und RMM
Der Ethikkodex von ISC2 gilt für alle cissP-zertifizierten Mitarbeiter. Welches der folgenden Kriterien ist kein Kriterium? Einer der vier Pflichtcodes in ? A. Schutz der Gesellschaft, des öffentlichen Interesses, des notwendigen öffentlichen Vertrauens und der Infrastruktur. B. Offenlegung von Verstößen gegen Privatsphäre, Vertrauen und Ethik. C Bieten Sie dem Kunden sorgfältige und kompetente Dienstleistungen an. D. Den Berufsstand fördern und schützen.
B
Welcher Grundsatz der Informationssicherheit besagt, dass Organisationen nach Möglichkeit überlappende Sicherheitskontrollen implementieren sollten? A Das Prinzip der geringsten Privilegien B Aufgabentrennung C. Verteidigung im Detail D. Sicherheit durch Verschleierung
C
Ryan ist ein CIssP-zertifizierter Cybersicherheitsexperte, der in gemeinnützigen Organisationen arbeitet. Welche der folgenden ethischen Verpflichtungen gelten für seine Arbeit? (Wählen Sie alle zutreffenden) Ethikkodex von A.(SC)2 B. Ethikkodex der Organisation C. Bundesethikkodex D. RFC 1087
AB
Ben ist für den Schutz der Sicherheit der in der Datenbank gespeicherten Zahlungskarteninformationen verantwortlich. Die Richtlinien verlangten von ihm, die Informationen zwangsweise aus der Datenbank zu löschen, doch aus betrieblichen Gründen war er dazu nicht in der Lage. Er erhielt eine Ausnahme von der Richtlinie und sucht nach einer geeigneten Ausgleichskontrolle, um das Risiko zu mindern. Was ist seine beste Option? A. Abschluss einer Versicherung B. Datenbankinhalte verschlüsseln C. Daten löschen D. Ausnahmen ablehnen
B
In ihrer Rolle als Online-Banking-Entwicklerin musste Lisa ihren Code zum Testen und Überprüfen einreichen. Nachdem dieser Prozess durchlaufen und die Genehmigung eingeholt wurde, überträgt ein anderer Mitarbeiter den Code in die Produktion. Welche Art von Sicherheitsmanagement beschreibt diese Abkürzung? A. Regressionstests B. Codeüberprüfung C. Change Management D. Fuzz-Test
C
Welcher der folgenden Punkte ist normalerweise nicht im Screening-Prozess vor der Einstellung enthalten? A. Drogentests B. Hintergrundüberprüfung C. Zensur in sozialen Medien D. Gesundheitsbewertung
D P34 Skills Challenge, Drogentest, Bonitätsprüfung, Überprüfung der Fahrerlaubnis und Persönlichkeitstest/-beurteilung
Welche der folgenden Risiken gelten typischerweise als Lieferkettenrisiken? (Wählen Sie alle zutreffenden.) A. Manipulation der Hardware durch einen Angreifer vor der Auslieferung an den Endkunden B. Ein Angreifer kompromittiert den Webserver einer Organisation, der in einer Laas-Umgebung läuft C Angreifer nutzten Social-Engineering-Angriffe, um Mitarbeiter des Saas-Anbieters ompromisoa ins Visier zu nehmen und sich Zugang zu Kundenkonten zu verschaffen D Angreifer nutzen Botnetze, um Denial-of-Service-Angriffe durchzuführen
Wechselstrom