Donnerstag, 9. März 2023
Leitfaden Basistestat Hochschulen
Dieser Leitfaden beschreibt die nötigen Schritte für ein Testat nach der Basis-Absicherung nach BSI IT-Grundschutz.
Dieser Leitfaden versucht dabei zu folgende Fragen zu beantworten:
- Was bringt ein Basis-Testat?
- Welche Voraussetzungen müssen erfüllen werden?
- Wie lange dauert das?
- Was kostet das?
- Wie geht das?
Dienstag, 21. Februar 2023
Richtlinie Sensibilisierung
Die Sensibilisierung von Mitarbeitenden zur Informationssicherheit ist ein wichtiger Aspekt für die Sicherheit von Unternehmen. Da die meisten Sicherheitsbedrohungen aus menschlichem Versagen resultieren, ist es von entscheidender Bedeutung, dass alle Mitarbeiterinnen und Mitarbeiter eines Unternehmens über die Bedeutung der Informationssicherheit informiert und im Umgang mit potentiellen Bedrohungen geschult werden.
Sonntag, 19. Februar 2023
Richtlinie für Mitarbeitende
Die Richtlinie für Mitarbeitende dient der Anleitung und Sensibilisierung aller Mitarbeitenden eines Unternehmens oder einer Organisation zu grundlegenden Themen der Informationssicherheit und des Datenschutzes. Sie kann auch als IT-Benutzerordnung verwendet werden.
Sie regelt wesentliche Belange zum Umgang mit personenbezogene Daten und zur Nutzung der organisationsinternen IT.
Freitag, 17. Februar 2023
Authentisierung
Das Prinzip von Passwörtern besteht darin, dass ein Benutzer ein Geheimnis (das Passwort) verwendet, um seine Identität zu authentifizieren. Wenn der Benutzer sein Passwort korrekt eingibt, wird er als legitimer Benutzer erkannt und erhält Zugriff auf die angeforderten Ressourcen. Dieses Prinzip wird nahezu unverändert seit Beginn der 1960er Jahre eingesetzt.
Es gibt jedoch einige kritische Betrachtungen in Bezug auf Passwörter. Eine davon ist, dass viele Benutzer schwache oder leicht zu erratende Passwörter wählen, was es Angreifern erleichtert, Zugang zu ihren Konten zu erhalten. Ein weiteres Problem ist, dass Benutzer häufig dasselbe Passwort für verschiedene Konten verwenden, was bedeutet, dass ein Kompromittieren eines Kontos dazu führen kann, dass alle anderen Konten des Benutzers ebenfalls kompromittiert werden.
Eine weitere Herausforderung besteht darin, dass Passwörter von Natur aus schwierig zu merken sind, insbesondere wenn sie lang und komplex sind. Benutzer können dazu neigen, ihre Passwörter aufzuschreiben oder in unsicheren elektronischen Notizen zu speichern, was sie anfällig für Diebstahl oder Verlust macht.
Als Reaktion auf diese Herausforderungen haben viele Unternehmen zusätzliche Sicherheitsmaßnahmen eingeführt, wie zum Beispiel die Verwendung von Zwei-Faktor-Authentifizierung (2FA) oder die Verwendung von biometrischen Daten wie Fingerabdrücken oder Gesichtserkennung.
Für weitere Informationen: Grundlagenartikel Authentisierung
Verinice Betriebskonzept
Verinice ist ein ISMS-Tool für das Management von Informationssicherheit. Alle relevanten Standards sind entweder im Tool vorhanden oder können nachträglich implementiert werden. Alle Daten inkl. aller erstellten Dokumente sind in einer Objekt-Datenbank abgelegt, die an die Anforderungen von IS-Management angepasst und dynamisch erweiterbar ist.
Dieses Muster-Betriebskonzept beschreibt grundsätzliche Regelungen zum Einsatz von Verinice (in der Einzelplatzversion) in einer Organisation und erfüllt damit die Anforderungen an einen geregelten und dokumentierten IT-Betrieb der Anwendung.
Das Betriebskonzept führt über die Anforderungsanalyse, Produktauswahl, Installation, Patchmanagement, Datensicherung, Notfallkonzept, bis zur Außerbetriebnahme.
Richlinien Mustervorlagen
Im ISMS-Ratgeber WiKi stehen Mustervorlagen für verschiedene erforderliche Richtlinien zur Verfügung.
Mustervorlagen beinhalten die Struktur und Formulierungsvorschläge. Diese Mustervorlagen können als Grundlage für die Erstellung eigener Dokumente verwendet werden. Inhalte und Formulierungen müssen jedoch der eigenen Organisation angepasst und bei Bedarf ergänzt werden.
Richtlinie-Dokumentenlenkung
Eine Richtlinie zur Dokumentenlenkung regelt, wie Dokumente innerhalb einer Organisation erstellt, überprüft, genehmigt, aktualisiert und archiviert werden. Eine solche Richtlinie hat das Ziel, sicherzustellen, dass die Dokumentation der Organisation konsistent und qualitativ hochwertig ist und den Anforderungen von Gesetzen, Regulierungen und Standards entspricht.
Richtlinie-InterneAuditierung
Eine interne Auditierungsrichtlinie regelt, wie interne Audits innerhalb einer Organisation durchgeführt werden sollen. Interne Audits sind eine wichtige Methode zur Überwachung und Bewertung von Geschäftsprozessen, um sicherzustellen, dass diese effektiv und effizient sind und den Anforderungen von Gesetzen, Regulierungen und Standards entsprechen.
Richtlinie-KVP
Eine Richtlinie zur Kontinuierlichen Verbesserung (KVP) beschreibt, wie eine Organisation kontinuierliche Verbesserungsprozesse implementieren und aufrechterhalten kann, um die Effektivität und Effizienz der Maßnahmen zur Informationssicherheit zu verbessern. KVP ist auch ein wichtiger Bestandteil von Qualitätsmanagementsystemen.
Richtlinie-Sicherheitsvorfallmanagement
Eine Richtlinie zum Sicherheitsvorfallmanagement regelt, wie eine Organisation auf Sicherheitsvorfälle reagieren sollte. Sicherheitsvorfälle können Cyberangriffe, Datenverluste, Diebstähle, Sabotage oder andere Zwischenfälle sein, die die Sicherheit der Organisation beeinträchtigen können.
Richtlinie-Risikoanalyse
Eine Richtlinie zur Risikoanalyse beschreibt, wie in einer Organisation Risiken identifiziert, bewertet und behandelt werden. Eine Risikoanalyse hilft einer Organisation, potenzielle Risiken zu identifizieren und Maßnahmen zu ergreifen, um diese Risiken zu minimieren oder zu vermeiden.
Richtlinie-Passworte
Eine Passwortrichtlinie ist eine Anleitung, die beschreibt, wie sichere Passwörter erstellt, verwaltet und genutzt werden. Eine starke Passwortrichtlinie ist wichtig, um die Sicherheit von Online-Konten, Computern, Netzwerken und anderen Systemen zu gewährleisten.
Richtlinie-Freigabe
Eine Freigaberichtlinie regelt, wie Freigaben für Aktivitäten, Systeme, Anwendungen oder Dokumente innerhalb einer Organisation erteilt werden. Eine solche Richtlinie ist wichtig, um sicherzustellen, dass Entscheidungen und Aktionen innerhalb der Organisation im Einklang mit den Unternehmenszielen und -strategien stehen.
Richtlinie-Protokollierung
Eine Protokollierungsrichtlinie regelt, welche Aktivitäten in einem System oder einer Anwendung protokolliert werden sollen und wie die Protokolle gespeichert und ausgewertet werden und wann sie gelöscht werden müssen. Eine Protokollierungsrichtlinie ist wichtig, um sicherzustellen, dass relevante Informationen für Sicherheits- und Compliance-Zwecke aufgezeichnet und gleichzeitig Datenschutzbelange berücksichtigt werden.
Richtlinie-Cloudnutzung
Eine Richtlinie für die Nutzung von Cloud-Services beschreibt, wie Mitarbeitende einer Organisation Cloud-Services nutzen dürfen. Die Nutzung von Cloud-Services kann für Unternehmen Vorteile wie Kosteneinsparungen, Skalierbarkeit und Flexibilität bieten. Es ist jedoch wichtig, dass die Nutzung von Cloud-Services mit einer klaren Richtlinie geregelt wird, um Sicherheitsrisiken und Compliance-Verstöße zu vermeiden.
Informationssicherheitsleitlinie
Eine Informationssicherheitsleitlinie beschreibt übergreifende Grundsätze, Ziele und Verantwortlichkeiten der Informationssicherheit eines Unternehmens oder einer Organisation. Die Leitlinie dient als Rahmen für die Entwicklung, Umsetzung und Überwachung eines
Informationssicherheitsmanagements.
Die Informationssicherheitsleitlinie legt die Erwartungen des Managements hinsichtlich der Informationssicherheit fest und gibt den Mitarbeitern, Partnern und Kunden des Unternehmens klare Richtlinien, wie sie sich in Bezug auf die Sicherheit von Informationen verhalten sollen.
Eine Musterleitlinie als Entwurf für eine eigenen Informationssicherheitsleitlinie ist im Wiki zu finden:
ISMS-Ratgeber ist online
Seit Februar ist der ISMS-Ratgeber online.
Der ISMS-Ratgeber ist ein nicht kommerzielles Informationsangebot zu verschiedenen Themen rund um das Information-Security-Management-System (ISMS).
Es besteht zur Zeit aus einem WiKi das verschieden Grundlagenartikel zur Informationssicherheit und zum Datenschutz bereit stellt und einem Workspace auf Basis von HumHub, das eine Zusammenarbeit von Verantwortlichen für Informationssicherheit und Datenschutz aus unterschiedlichen Bereichen und Organisationen ermöglichen soll, sowie diesem Blog der den Entwicklungsstand des ISMS-Ratgebers dokumentiert.
ISMS-Ratgeber WiKi
ISMS-Ratgeber Workspace
Weitere Dienste sind geplant.