Lernkarten

Eva Dettwiler
Karten 21 Karten
Lernende 35 Lernende
Sprache Deutsch
Stufe Andere
Erstellt / Aktualisiert 15.02.2011 / 12.05.2021
Lizenzierung Kein Urheberrechtsschutz (CC0)
Weblink
Einbinden
0 Exakte Antworten 21 Text Antworten 0 Multiple Choice Antworten
Fenster schliessen

(5) Worin unterscheiden sich die Module 166 und 176? Nennen Sie die drei Hauptmerkmale des Moduls 176, die im Modul 166 nicht in dieser Form berücksichtigt werden?

Das M166 bezieht sich auf den Grundschutz, das M176 berücksichtigt den Geschäftsprozess sowie die gesetzlichen Vorgaben zusätzlich. Die drei Haupt-Unterscheidungsmerkale sind:

1. Schutzbedarf über den Grundschutz hinaus (Grundschutz: Basis für weiteren Aufbau des Sicherheitsprozesses)

2. Berücksichtigung betrieblicher und insbesondere gesetzlicher Vorgaben, ganz besonders des Datenschutzgesetzes. Sicherheitsbedarf wird aufgrund der wertschöpfenden Geschäftsprozesses eruiert, nicht fokussiert auf die einzelnen Komponenten des IT-Verbunds.

3. Sicherheitsprozess wird abgeschlossen durch Berücksichtigung des Schrittes "Prüfung der Massnahmen/Audit", welcher in der Grundschutzmethode nur am Rande erwähnt wird.

Fenster schliessen

(1) Datenschutz oder Datensicherhiet? Erläutern Sie die beiden Begriffe kurz.

Datenschutz:

bezieht sich auf Personendaten natürlicher und juristischer Personen, die von privaten Personen oder Bundesorganen bearbeitet werden. Datenschutz leitet sich aus dem Datenschutzgesetz ab.

Datensicherheit:

Gesamtheit aller Massnahmen, um die Sicherheit der Daten zu gewährleisten (Grundschutz CIA sowie aufgrund des Geschäftsprozesses: Verbindlichkeit).

Fenster schliessen

(9) Erklären Sie in Sätzen, warum der Chief Security Officer seiner Verantwortlichkeit am besten nachkommen kann, wenn er auf Stufe Geschäftsleitung positioniert wird?

Der CSO hat auf Stufe GL die nötige Kompetenz, um Entscheidungen und Weisungen mit dem benötigten Gewicht auszustatten, damit diese unternehmensweit ernst genommen und umgesetzt werden.

Fenster schliessen

(13) Welche zwei Hauptgruppen von Sicherheitsanforderungen werden durch den (wertschöpfenden) Geschäftsprozess vorgegeben?

Aus dem Geschäftsprozess ergeben sich die beiden Anforderungsgruppen:

1. Betriebliche Anforderungen

2. Gesetzliche Anforderungen

Fenster schliessen

(17) In welchem Zusammenhang steht der Anspruch auf Integrität und derjenige der Verbindlichkeit von Daten und Informationen?

Die Verbindlichkeit kann unabhängig von der inhaltlichen Integrität von Daten und Informationen gegeben sein (ein falsch eingetragener Preis in einem elektronischen Vertrag ist, soweit beide Parteien unterzeichnet haben, rechtsverbindlich). Jedoch ist neben der Authentizität (z.B. Absender eines Mails) für Daten und Informationen auch die logische Integrität von Bedeutung, d.h., eine falsche oder unvollständige Relation unter den einzelnen Daten kann dazu führen, dass die Verbindlichkeit nicht gewährleistet ist (z.B. formaler Fehler in einem Vertrag)

Fenster schliessen

(21) Das Datenschutzgesetz gilt für private Personen und Bundesorgane, die Personendaten von natürlichen und juristischen Personen bearbeiten. Was bedeutet dies für ein Unternehmen?

Ein Unternehmen kann (da es weder eine private Person noch ein Bundesorgan ist) nicht für Verletzung des Datenschutzgesetzes bestraft werden. Die Verantwortung dafür trägt eine private Person; in einer Aktiengesellschaft somit letztlich der Verwaltungsrat in corpore oder der VR-Präsident.

Fenster schliessen

(2) Welches Hauptmerkmal der Datensicherheit wird durch das Datenschutzgesetz abgedeckt? Wird dieses Merkmal durch Umsetzung der Anforderungen des DSG vollständig abgedeckt?

Das DSG deckt die Ansprüche der Vertraulichkeit für Personendaten ab. Was es nicht macht, ist die Vertraulichkeitsanforderungen an andere Daten (z.B. unternehmenskritische, geheime Daten udn Informationen über ein Produkt) zu definieren, da diese keinen besonderen gesetzlichen Anspruche an Unversertheit haben.

Fenster schliessen

(6) Das Strafgesetzbuch sieht vor, dass ungebetene Eindringlinge in datenverarbeitende Systeme bestraft werden. Welche wichtige Voraussetzung muss dennoch erfüllt sein?

Systeme, die von ungebetenen Gästen heimgesucht werden, müssen gegen diesen Besuch besonders geschützt worden sein, damit der Straftatbestand erfüllt ist. Wie viel Schutz dies genau sein muss, hängt natürlich auch davon ab, inwiefern der Systemverantwortliche (z.B. eine Privatperson ohne Computerkenntnisse) über mögliche Sicherheitsmassnahmen Bescheid wusste. Letzlich entscheidet ein Richter darüber, ob dieser besondere Schutz vorhanden war oder nicht, d.h., nicht jede Sicherheitsmassnahme (je nach Kritikalität der Daten und Informationen) erfüllt diese Anforderung genügend.