Set of flashcards 2019 IT-Grundschutz Onlinekurs (Page 1 of 6)

Flashcards	213
Students	23
Language	Deutsch
Category	Computer Science
Level	Other
Created / Updated	09.07.2019 / 06.05.2023
Weblink	https://card2brain.ch/box/20190709_itgrundschutz_onlinekurs
Embed	<iframe src="https://card2brain.ch/box/20190709_itgrundschutz_onlinekurs/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>

Welches Modell liegt dem in BSI-Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?

ein Zyklus aus den Schritten Plan, Do, Check und Act

ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus

ein auf stetige Verbesserung angelegtes Modell

ein Modell aus technischen Sicherheitsmaßnahmen

Was sollte eine Leitlinie zur Informationssicherheit enthalten?

detaillierte technische Vorgaben für die Konfiguration wichtiger IT-Systeme

Aussagen zur Bedeutung der Informationssicherheit für die betroffene Institution

grundlegende Regelungen zur Organisation der Informationssicherheit

konkrete Verhaltensregelungen für den Umgang mit vertraulichen Informationen

Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte?

Die Entwicklung von Sicherheitskonzepten zu koordinieren

Die eingesetzte Sicherheitstechnik zu konfigurieren

Der Leitungsebene über den Stand der Informationssicherheit zu berichten

Presseanfragen zum den Stand der Informationssicherheit im Unternehmen zu beantworten

Wie setzt sich ein IS-Management-Team geeignet zusammen?

Aus jeder Abteilung des Unternehmens oder der Behörde werden Mitarbeiter entsandt, damit alle Bereich gut vertreten sind

Nur der IT-Leiter ordnet einige Mitarbeiter in das Team ab

Die Zusammensetzung sollte auf Freiwilligkeit beruhen. Jeder der Interesse hat, wird aufgenommen.

Die Geschäftsleitung setzt das Team aus Verantwortlichen für bestimmte IT-Systeme, Anwendungen, Datenschutz und IT-Service und (sofern vorhanden) dem ICS-ISB zusammen.

Wer ist für die Freigabe der Leitlinie zur Informationssicherheit verantwortlich?

das IS-Management-Team

der ISB

die Unternehmens- oder Behördenleitung

die Öffentlichkeitsabteilung eines Unternehmens oder einer Behörde

Warum kann es sinnvoll sein, sich für eine Sicherheitskonzeption gemäß der Basis-Absicherung zu entscheiden?

Die Erfüllung der zugehörigen Anforderungen reicht in der Regel für ein normales Unternehmen völlig aus.

Weil schnell Informationssicherheit umgesetzt werden muss und die Basis-Absicherung hierfür einen geeigneten Einstieg bietet.

Weil Informationssicherheit Schritt für Schritt umgesetzt werden soll. Mittelfristig kann das Sicherheitskonzept nach Standard-Absicherung ausgebaut werden.

Weil die hochwertigen Informationen dringend geschützt werden müssen. Die Basis-Absicherung sorgt für den angemessenen Schutz der „Kronjuwelen“ einer Institution.

Welche Ziele verfolgt die Strukturanalyse im Rahmen der IT-Grundschutz-Methodik?

die Identifizierung der Objekte, die besonders stark gefährdet sind

die Ermittlung der Objekte, die in einem Sicherheitskonzept zu berücksichtigen sind

die angemessene Zusammenfassung von Objekten, für die gleiche Sicherheitsmaßnahmen angewendet werden können

die Ermittlung der Objekte, für die es passende Bausteine im IT-Grundschutz-Kompendium gibt

Welche Informationen sollten Netzpläne enthalten, die für die Strukturanalyse benötigt werden?

die bei der Erarbeitung des Sicherheitskonzepts beteiligten Organisationseinheiten

die Art der Vernetzung der IT-Systeme eines Informationsverbundes

die Außenverbindungen des Netzes eines Informationsverbundes

die Art der IT-Systeme eines Informationsverbundes

Wann bietet es sich an, IT-Systeme bei der Strukturanalyse zu gruppieren?

wenn diese den gleichen Schutzbedarf und ähnliche Eigenschaften (Betriebssystem, Netzanbindung, unterstützte Anwendungen) haben

wenn es für diese Systeme eigene und geeignete Bausteine im IT-Grundschutz-Kompendium gibt

wenn diese in denselben Räumlichkeiten untergebracht sind

wenn die Anzahl der insgesamt erfassten Objekte zu groß zu werden droht

Welche der folgenden Aufgaben gehören gemäß BSI-Standard 200-2 zur Strukturanalyse?

die angemessene Gruppierung der Komponenten eines Informationsverbundes

die Modellierung der Geschäftsprozesse und Fachaufgaben eines Informationsverbundes

die Überprüfung, ob die eingesetzte IT die Geschäftsprozesse und Fachaufgaben angemessen unterstützt

die Erhebung der Informationen, Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und räumlichen Gegebenheiten eines Informationsverbundes

Welche Angaben sind für IT-Systeme bei der Strukturanalyse zu erfassen?

Typ und Einsatzzweck

Lieferant und Preis

Benutzer und Administrator

Standort (Gebäude und Raum)

Welche Anwendungen sind in der Strukturanalyse zu erfassen?

alle Anwendungen, die auf den IT-Systemen im Informationsverbund installiert sind

alle Anwendungen, die für mindestens einen der bereits erfassten Geschäftsprozesse erforderlich sind

alle Anwendungen, für die eine gültige Lizenz vorhanden ist

alle Anwendungen, die von mindestens 20 Prozent der Mitarbeiter genutzt werden

Welche klassischen Schutzziele werden bei der Schutzbedarfsfeststellung gemäß IT-Grundschutz empfohlen?

Authentizität

Verfügbarkeit

Vertraulichkeit

Integrität

In welchen Fällen können Sie gemäß IT-Grundschutz-Methodik auf die Schutzbedarfsfeststellung für ein IT-System verzichten?

wenn das IT-System spätestens innerhalb von 18 Monaten ausgesondert wird

wenn das IT-System nicht eingesetzt wird

wenn die Anwendungen, die es unterstützt, nur einen normalen Schutzbedarf haben

wenn der Schutzbedarf bereits im Rahmen einer vor einem Jahr durchgeführten Revision festgestellt wurde

Welche Kriterien berücksichtigen Sie bei der Bestimmung des Bedarfs an Verfügbarkeit eines IT-Systems?

die maximal tolerierbare Ausfallzeit des IT-Systems

den Aufwand, der erforderlich ist, um das IT-System nach einer Beschädigung wiederherzustellen

die Anzahl der Benutzer des IT-Systems

die Anschaffungskosten des IT-Systems

Was berücksichtigen Sie, wenn Sie den Schutzbedarf einer Anwendung bestimmen?

Die Informationen, die im Zusammenhang mit der Anwendung verwendet werden.

Die Bedeutung der Anwendung für die Geschäftsprozesse oder Fachaufgaben.

Die relevanten Gefährdungen, denen die Anwendung ausgesetzt ist

Die räumliche Umgebung des IT-Systems, das die Anwendung bereitstellt

Für jede Anwendung wird für die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung der Grundwerte der Informationssicherheit (Vertraulichkeit, Integrität oder Verfügbarkeit) entstehen können.

Unter welchen Bedingungen kann der Schutzbedarf eines IT-Systems bezüglich Verfügbarkeit geringer sein als derjenige der Anwendungen, für die es eingesetzt wird?

wenn der Buchwert des IT-Systems einen zuvor definierten Schwellwert unterschreitet

wenn das IT-System nur solche Teile der Anwendungen bedient, die einen geringeren Schutzbedarf haben

wenn mindestens ein weiteres redundantes IT-System in Betrieb ist, das die betreffenden Anwendungen bereitstellen kann

wenn die Anwendungen innerhalb der nächsten drei Monate so umstrukturiert werden sollen, dass das betreffende IT-System nicht mehr benötigt wird

Wenn bei der Schutzbedarfsfeststellung für ein IT-System Kumulationseffekte berücksichtigt werden, bedeutet dies, dass …

… sich der Schutzbedarf des IT-Systems erhöht, weil sich Einzelschäden zu einem höheren Gesamtschaden addieren.

… sich der Schutzbedarf des IT-Systems verringert, weil geeignete, sich gegenseitig verstärkende Sicherheitsmaßnahmen im Einsatz sind.

… sich der für das IT-System festgestellte Schutzbedarf auch auf den Schutzbedarf anderer IT-Systeme auswirkt, die mit dem betreffenden IT-System vernetzt sind.

… der Schutzbedarf des IT-Systems erst festgestellt werden kann, wenn der Schutzbedarf der mit diesem vernetzten IT-Systeme festgestellt ist.

Welche Aufgaben stellen sich Ihnen bei der Modellierung gemäß IT-Grundschutz?

Sie bilden den in der Strukturanalyse dokumentierten Informationsverbund mithilfe der IT-Grundschutz-Bausteine ab.

Sie entwerfen die Sicherheitsarchitektur des betrachteten Informationsverbundes.

Sie merken Zielobjekte, die nicht geeignet modelliert werden können, für eine Risikoanalyse vor.

Sie prüfen, welche IT-Grundschutz-Bausteine für den betrachteten Informationsverbund relevant sind.

Welche Informationen sind Bestandteil eines IT-Grundschutz-Bausteins?

Angaben zur spezifischen Gefährdungslage

Beschreibungen zu Standard-Sicherheitsmaßnahmen

Verweise auf weiterführende Informationen

Sicherheitsanforderungen zu einem gegebenen Sachverhalt

Die Kreuzreferenztabelle, in der den Anforderungen die betreffenden elementaren Gefährdungen zugeordnet werden.

Welche Aufgaben stellen sich Ihnen, nachdem Sie bei der Modellierung festgelegt haben, welche Bausteine für den Informationsverbund und seine einzelnen Zielobjekte anzuwenden sind?

die Festlegung von Maßnahmen, mit denen die Anforderungen erfüllt werden können

die Prüfung, ob für einzelne Anforderungen, deren Umsetzung im gegebenen Anwendungskontext mit vertretbarem Aufwand nicht möglich ist, Alternativen erforderlich sind

die Korrektur der Schutzbedarfsfeststellung für Zielobjekte, bei denen die Erfüllung der Anforderungen unrealistisch erscheint

die Dokumentation der Ergebnisse der Modellierung

Worauf sollten Sie bei der Auswahl und Anpassung der Sicherheitsmaßnahmen auf Basis der Anforderungen achten?

auf die Wirtschaftlichkeit der Maßnahmen

auf die Wirksamkeit der Maßnahmen

auf den Innovationsgrad der Maßnahmen

auf die Benutzerfreundlichkeit der Maßnahmen

Welche Aussagen zur Anwendung von Bausteinen auf Server sind korrekt?

Der Baustein SYS.1.1 Allgemeiner Server ist nur dann anzuwenden, wenn es keinen betriebssystemspezifischen Baustein für einen Server gibt.

Neben dem Baustein SYS.1.1 Allgemeiner Server ist immer auch der zutreffende betriebssystemspezifische Baustein anzuwenden.

Wenn es spezielle Bausteine für Server-Anwendungen (z. B. Web- oder Datenbankserver) gibt, muss der betriebssystemspezifische Baustein nicht angewendet werden.

Für Virtualisierungsserver müssen neben dem Baustein SYS.1.5 sowohl der Baustein SYS.1.1 Allgemeiner Server als auch der zutreffende betriebssystemspezifische Baustein angewendet werden.

Auf welche Zielobjekte ist bei der Modellierung der Baustein ISMS.1 Sicherheitsmanagement anzuwenden?

Er MUSS gesondert auf jeden größeren Standort eines Informationsverbundes angewendet werden.

Er MUSS einmal angewendet werden, und zwar auf den gesamten Informationsverbund.

Er ist nur relevant, wenn der Informationsverbund eine gewisse Mindestgröße hat.

Er MUSS für jedes Teilnetz gesondert angewendet werden, das bei der Strukturanalyse identifiziert wurde.

Welche Aussagen zum IT-Grundschutz-Check sind zutreffend?

Ein IT-Grundschutz-Check ermöglicht, Defizite bei der Erfüllung von Sicherheitsanforderungen zu ermitteln.

Bei einem IT-Grundschutz-Check wird lediglich die Erfüllung der Basis-Anforderungen geprüft.

Ein IT-Grundschutz-Check dient dazu, Sicherheitsprobleme zu identifizieren, die in einer Risikoanalyse genauer untersucht werden müssen.

Ein IT-Grundschutz-Check ist ein Soll-Ist-Vergleich zwischen Sicherheitsanforderungen und tatsächlich umgesetzten Sicherheitsmaßnahmen.

Welche Vorarbeiten erfordert der IT-Grundschutz-Check?

die Festlegung eines Zeitplans

die Auswahl von geeigneten Gesprächspartnern

einen Penetrationstest, um Schwachstellen zu identifizieren, die mit den ausgewählten Gesprächspartnern erörtert werden

die Zusammenstellung und Lektüre der vorhandenen Dokumente zur Informationssicherheit in dem betrachteten Informationsverbund

Welche Verfahren verwenden Sie, um in einem IT-Grundschutz-Check zu prüfen, wie gut eine Gruppe von Clients geschützt ist?

Sie führen Interviews mit den zuständigen Systembetreuern.

Sie versuchen in einem Penetrationstest, Schwachstellen dieser IT-Systeme zu ermitteln, und beziehen dabei sämtliche zur Gruppe gehörenden Clients ein.

Sie untersuchen stichprobenartig vor Ort, wie die Clients konfiguriert sind.

Sie lesen die vorhandene Dokumentation zur Konfiguration der Clients.

Wann bewerten Sie beim IT-Grundschutz-Check eine Anforderung eines IT-Grundschutz-Bausteins als erfüllt?

wenn zu der Anforderung geeignete Maßnahmen vollständig, wirksam und angemessen umgesetzt sind

wenn der Gesprächspartner Ihnen glaubhaft versichert hat, dass es bislang zu keinen Sicherheitsproblemen auf dem betreffenden IT-System gekommen ist

wenn es eine umfangreiche Dokumentation zu den Schutzvorkehrungen für das betreffende IT-System gibt

wenn sowohl im Interview mit einem für das IT-System Zuständigen als auch bei einer stichprobenartigen Überprüfung keine Sicherheitsmängel festgestellt wurden

Wie verfahren Sie beim ersten IT-Grundschutz-Check, also vor der Durchführung von Risikoanalysen, mit Anforderungen für den erhöhten Schutzbedarf?

Sie stufen diese Anforderungen grundsätzlich als entbehrlich ein und verzichten auch dann darauf, diese zu überprüfen, wenn sie in Ihrer Einrichtung umgesetzt sind.

Sie streichen die Anforderungen aus Ihrem Sollkonzept.

Sie betrachten Anforderungen für den hohen und sehr hohen Schutzbedarf erst nach Abschluss der Risikoanalyse.

Sie betrachten im IT-Grundschutz-Check grundsätzlich alle in den IT-Grundschutz-Bausteinen genannten Anforderungen, folglich auch diejenigen für den erhöhten Schutzbedarf.

Sie stellen fest, dass eine Standard-Anforderung für ein IT-System nicht umgesetzt ist, das nur noch kurze Zeit in Betrieb ist. Wie behandeln Sie diese Anforderung beim IT-Grundschutz-Check?

Sie streichen die Anforderung aus dem IT-Grundschutz-Modell.

Sie dokumentieren diese als entbehrlich, da ihre Umsetzung nicht mehr wirtschaftlich ist.

Sie dokumentieren diese als nicht erfüllt, und merken gegebenenfalls an, dass geprüft werden muss, ob Maßnahmen zur Behebung dieses Defizits angesichts der kurzen Einsatzzeit des IT-Systems noch angemessen sind.

Sie dokumentieren diese als nicht erfüllt und merken an, dass geprüft werden muss, ob die daraus resultierenden Risiken in der Restlaufzeit des IT-Systems noch tragbar sind.

Risikoanalyse: Wer trägt die Verantwortung für die bei einer Risikoanalyse getroffenen Entscheidungen zu einem IT-System?

der Administrator des IT-Systems

die Leitung der Institution

der Informationssicherheitsbeauftragte

das IS-Management-Team

Welche Gefährdungen werden bei der Erstellung der Gefährdungsübersicht im ersten Schritt betrachtet?

die im Anhang von BSI-Standard 200-3 enthaltenen Risikokataloge

die relevanten elementaren Gefährdungen aus dem IT-Grundschutz-Kompendium

die im Anhang der Norm ISO 27005 angeführten Gefährdungen

die in den Abschnitten zur Gefährdungslage eines Bausteins angeführten spezifischen Gefährdungen

Risikoanalyse: Was bewerten Sie bei der Risikoeinschätzung/Risikobewertung?

Die Häufigkeit des Eintretens eines Schadenereignisses (Eintrittshäufigkeit)

Die Höhe des Schadens der bei Eintritt eines Schadenereignisses entsteht (Schadenshöhe/Auswirkung)

Welche Schutzziele von einer Gefährdung betroffen sind

Die Wirksamkeit der geplanten und umgesetzten Maßnahmen gegen eine Gefährdung

Die Höhe des Schaden über die Bewertungsperiode

Wodurch verlagern Sie ein Risiko?

durch den Abschluss einer Versicherung

durch Outsourcing des risikobehafteten Geschäftsprozesses an einen externen Dienstleister

durch Umstrukturierung des risikobehafteten Geschäftsprozesses

durch die Entscheidung, risikomindernde Maßnahmen erst dann umzusetzen, wenn die hierzu erforderlichen Finanzmittel bereitstehen

Aus welchen Gründen kann es gerechtfertigt sein, auch ein hohes Risiko zu akzeptieren?

Der Aufwand für mögliche Schutzmaßnahmen ist unangemessen hoch.

Vergleichbare Institutionen akzeptieren das Risiko ebenfalls.

Es gibt keine wirksamen Schutzmaßnahmen gegen das Risiko.

Es ist bislang noch zu keinem nennenswerten Sicherheitsvorfall aufgrund der dem Risiko zugrunde liegenden Gefährdung gekommen.

Wann ist die Risikoakzeptanz grundsätzlich unzulässig?

bei der Nichterfüllung von Basis-Anforderungen

beim Vorhandensein von elementaren Gefährdungen

bei sehr hohem Schutzbedarf

bei Nichterfüllung von Standard-Anforderungen

Was müssen Sie prüfen, wenn Sie die Umsetzung von Sicherheitsmaßnahmen planen?

welche begleitenden Maßnahmen für eine erfolgreiche Umsetzung erforderlich sind

ob die betreffende Maßnahme bereits eingeführt ist

ob die Maßnahme mit anderen Maßnahmen vereinbar ist

in welcher Reihenfolge die verschiedenen Maßnahmen umgesetzt werden sollen

Welche Informationen aus dem IT-Grundschutz-Kompendium unterstützen Sie bei der Festlegung einer sinnvollen Umsetzungsreihenfolge der geplanten Maßnahmen?

die fünfstufige Kennziffer zur Angabe der Priorität einer Anforderung in den IT-Grundschutz-Bausteinen

die Aufteilung der Anforderungen in Basis- und Standard-Anforderungen sowie solchen für den höheren Schutzbedarf

der Vorschlag zur Kennzeichnung einer sinnvollen Bearbeitungsreihenfolge der Bausteine mithilfe der Kürzel R1, R2 und R3

die Darstellung der Gefährdungslage am Beginn eines Bausteins

Was unternehmen Sie als Informationssicherheitsbeauftragter, wenn die Leitung Ihrer Institution nicht bereit ist, den Aufwand für eine bestimmte Sicherheitsmaßnahme zu tragen?

Sie verdeutlichen ihr, welche Risiken mit dem Fehlen der Maßnahme verbunden sind.

Sie bitten die Leitung, durch Unterschrift zu bestätigen, dass sie die damit verbundenen Gefahren kennt und trägt.

Sie ignorieren die Leitung und setzen die Maßnahme trotzdem um.

Sie verzichten auf eine unmittelbare Reaktion, nehmen sich aber vor, nach Ablauf einer gewissen Zeitspanne die Zustimmung der Leitung einzuholen.

Wer sollte in der Regel technische Maßnahmen zur Absicherung eines bestimmten IT-Systems umsetzen?

die Leitung der IT-Abteilung

der Informationssicherheitsbeauftragte

der zuständige Systemadministrator

der Benutzer des IT-Systems

2019 IT-Grundschutz Onlinekurs

Create or copy sets of flashcards

Create or copy sets of flashcards

Log in to see all the cards.

SWITCHaai

Office 365

Edulog

Apple ID

Google