Set of flashcards 2019 IT-Grundschutz Onlinekurs (Page 5 of 6)

Flashcards	213
Students	23
Language	Deutsch
Category	Computer Science
Level	Other
Created / Updated	09.07.2019 / 06.05.2023
Weblink	https://card2brain.ch/box/20190709_itgrundschutz_onlinekurs
Embed	<iframe src="https://card2brain.ch/box/20190709_itgrundschutz_onlinekurs/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>

Notfallmanagement: Welche Aussage zur Festlegung von Anlaufparamter nach der Schadensanalyse während der Buisiness Impact Analyse ist richtig?

Die maximal tolerierbare Ausfallzeit MTA eines Prozesses bezeichnet den Zeitrahmen, in der der Wiederanlauf spätestens erfolgen muss, damit die Institution nicht in eine Phase gerät, in der kurz- oder langfristig ihre Überlebensfähigkeit gefährdet ist.

Die Wiederanlaufzeit WAZ ist die angestrebte Zeit, in der der Wiederanlauf des Prozesses erfolgen soll. Die Zeit für den Wiederanlauf WAZ muss kleiner als die maximal tolerierbare Ausfallzeit MTA sein.

Die minimale tolerierbare Ausfallzeit MTA eines Prozesses bezeichnet den Zeitrahmen, in der der Wiederanlauf spätestens erfolgen sollte, damit die Institution nicht in eine Phase gerät, in der kurz- oder langfristig ihre Überlebensfähigkeit gefährdet ist.

Die Wiederanlaufzeit WAZ ist die angestrebte Zeit, in der der Wiederanlauf des Prozesses erfolgen soll. Die Zeit für den Wiederanlauf WAZ muss größer als die maximal tolerierbare Ausfallzeit MTA sein.

Die maximal tolerierbare Ausfallzeit MTA eines Prozesses muss gleich der Wiederanlaufzeit WAZ des Prozesses sein.

Notfallmanagement: Welche Strategieoption wird im Rahmen der Kontinuitätsstrategie,bei der Risikobetrachtung das geringste Restrisiko haben.?

Die kritischen Geschäftsprozesse werden umfassend abgesichert. Die Einhaltung gesetzlicher Auflagen und Verträge sowie die Vorbeugung vom Imageverlust haben hohe Priorität.

Die wichtigsten Kernprozesse werden abgesichert. Bei den Maßnahmen ist darauf zu achten, dass weitestgehend interne Möglichkeiten genutzt werden.

Die Prozesse mit hoher Priorität werden abgesichert. Die Gesamtkosten der Maßnahmen sind auf … zu begrenzen.

Nur die Prozesse mit maximaler Kritikalität werden abgesichert. Die Gesamtkosten der Maßnahmen sind auf … zu begrenzen. Die Absicherung des Schadenspotentials erfolgt weitestgehend über Versicherungen.

Notfallmanagement: Welche Informationen sollen im Notfallvorsorgekonzept beschrieben werden.

Informationen zu alle organisatorischen und konzeptuellen Aspekte sowie alle Maßnahmen und Tätigkeiten des Notfallmanagements

Informationen zu vorbeugende Maßnahmen, die den Schaden oder die Eintrittswahrscheinlichkeit von Risiken reduzieren und die Widerstandsfähigkeit der Institution durch Anheben der Krisenschwelle erhöhen.

Maßnahmen, um ein schnelles und sinnvolles Reagieren auf einen Vorfall zu ermöglichen.

Informationen wie beispielsweise Kontaktinformationen oder Handlungsanweisungen.

Informationen zum Krisenmanagement , Krisenstabsarbeit, Lagebeurteilung, Sofortmaßnahmen.

Notfallmanagement: Bei der Festlegung der Umsetzungsreihenfolge der Maßnahmen ist die festgelegte Priorisierung bei der Absicherung der Geschäftsprozesse zu berücksichtigen. Zusätzlich sollten folgende Aspekte berücksichtigt werden:

Enthält ein Geschäftsprozess einen Single-Point-of-Failure, also eine mögliche Fehlerstelle, die bei einem Ausfall den Komplettausfall des Geschäftsprozesses nach sich zieht, so ist dieser mit höchster Priorität zu beseitigen bzw. abzusichern.

Enthält ein Geschäftsprozess einzelne Teilprozesse, welche wesentlich geringer abgesichert sind als die restlichen Teilprozesse, so sollten diese bevorzugt behandelt werden, um ein einheitliches Niveau innerhalb eines Prozesses zu erhalten.

Bei einigen Maßnahmen ergibt sich durch logische Zusammenhänge eine zwingende zeitliche Reihenfolge.

Manche Maßnahmen erzielen eine große Breitenwirkung, manche eine eingeschränkte lokale Wirkung. Oft ist es sinnvoll, zuerst auf die Breitenwirkung zu achten.

Maßnahmen mit einem sehr hohem Schutzbedarf, und eine Priorisierung nach dem First-In- Prinzip / First-Out Prinzip.

Notfallmanagement: Welche Informationen sollten mindestens im Realisierungsplan enthalten sein?

Maßnahmenbeschreibung und die Terminplanung für die Umsetzung, Budget-Rahmen.

Verantwortliche für die Umsetzung und Verantwortliche für die Überwachung der Realisierung.

Der Standort wo die Maßnahme umgesetzt werden soll.

Der Schutzbedarf der mit dieser Maßnahme vollumfänglich erreicht wird.

Die maximale tolerierbare Ausfallzeit die mit dieser Maßnahme erreicht wird.

Notfallmanagement: Da auch durch risiko-reduzierende Maßnahmen nicht alle Risiken vollständig eliminiert werden können, muss für das verbleibende Restrisiko Vorsorge getroffen werden. Was muß getan werden?

Aufbau einer Notfall- und Krisenbewältigung (auch Krisenmanagement genannt), die bei Eintritt eines Notfalls bzw. einer Krise aktiviert werden.

Aufbau eines Informationssicherheitsmanagement (auch ISMS genannt), das bei Eintritt eines Notfalls bzw. einer Krise aktiviert werden.

Das Restrisiko muss durch Maßnahmen und Aufbau einer Notfalleinsatzgruppe reduziert werden.

Das Restrisiko wird durch Risikotransfer minimiert und ist so nicht mehr Relevant für den Geschäftsprozess und es muss keine Vorsorge getroffen werden.

Notfallmanagement: Was sind die Kernaufgaben und wesentliche Teilaufgaben des Krisenstabs?

Entscheidungen zu treffen und Notfallteams zu koordinieren, um den Notfall bzw. die Krise zu bewältigen. Der Krisenstab legt den von der Krise betroffenen Bereich (z. B. Gebäude, Niederlassung, mehrere Standorte) fest. Er ist ausschließlich gegenüber diesem Bereich weisungsbefugt

Informationsbeschaffung, –auswertung und –aufbereitung, Erfassen und Bewerten der aktuellen Lage, Entwickeln von Handlungsoptionen und Bewerten in Bezug auf Erfolgsaussichten, Folgerisiken und Rahmenbedingungen

Festlegung von Maßnahmen, Beauftragung der Notfallteams mit der Durchführung und Kontrolle der einzelnen Notfallmaßnahmen, Überprüfung der Wirksamkeit dieser Maßnahmen und gegebenenfalls Korrekturen, wenn diese nicht den gewünschten Erfolg erzielen.

Kommunikation mit Partnern, Mitarbeitern, Behörden und Medien.

Durchführung der Notfallübungen, Erstellen von Notfallkonzepten und Notfallhandbücher sowie der Ausruf des Notfalls bzw. Krisenfalls.

Notfallmanagement: Was ist der wesentliche Unterschied zwischen einm Notfall und einer Krise?

Das ein Notfall im Wesentlichen mit Hilfe von Notfallplänen gemeistert werden kann.

Eine Krise erfordert weitergehende Kompetenzen. Sie ist einzigartig, kann auf kein vorgedachtes Muster aufsetzen und erfordert schnelle und kompetente Entscheidungen.

Eine Krise ist ein Ereignisse, die den Geschäftsbetrieb stark beeinträchtigt und nicht mehr innerhalb der geforderten Zeit behoben werden können.

Ein Krise ist ein Großschadensereignisse, die nicht auf die Institution beschränkt sind.

Notfallmanagment: Was gehört zum Beweältigungsprozess des Krisentabs?

Informationsbeschaffung, Informationsauswertung und Informationsaufbereitung

Erfassen und Bewerten der aktuellen Lage

Entwicklung von Handlungsoptionen und Maßnahmenfestlegung sowie die Beauftragung der Notfallteams mit der Durchführung und Kontrolle der einzelnen Notfallmaßnahmen

Überprüfung der Wirksamkeit der Maßnahmen und Kontrolle der einzelnen Notfallmaßnahmen

Erfassen und Bewerten der aktuellen Lage in der Krisenbewältigung nach dem PDCA-Zyklus

Notfallmanagement: Was ist das oberste Ziel in der Notfallbewältigung und dem Krisenmanagement?

Die Geschäftsfortführung

Der Notbetrieb kann durch einen mit maximalen Ressourcen arbeitenden „Normalbetrieb“ realisiert werden.

Die Minimierung der Wiederherstellungskosten.

Die Wiederherstellung der Integrität der Geschäftsprozesse.

Notfallmanagement: Welchen Zeweck hat das Notfallhandbuch?

Das Notfallhandbuch ist die Gesamtheit aller für die Notfallbewältigung benötigter (Teil-)Dokumente und fasst die benötigten Strukturen, Informationen sowie die erforderlichen Maßnahmen und Aktionen nach Eintritt eines Notfalles und zur Wiederaufnahme des Geschäfts zusammen.

Die wesentlichen Teile des Notfallhandbuchs sind der Plan für die Sofortmaßnahmen, der Krisenstabsleitfaden, der Krisenkommunikationsplan, die Geschäftsfortführungspläne und die Wiederanlaufpläne.

Das Notfallhandbuch fasst die grundlegende Position eines Unternehmens oder einer Behörde zu den Zielen und den organisatorischen Rahmenbedingungen für diese Steuerungsaufgabe zusammen

Das Notfallhandbuch beschreibt welche Geschäftsziele geschützt werden, welche Schadensszenarien betrachtet werden, was davon existenzbedrohend ist.

Notfallmanagement: Wie sollte ein Notfallhandbuch aufgebaut werden und welche Grundprinzipien sollten beachtet werden?

Eine Gliederung nach Phasen, die den zeitlichen Ablauf der Notfallbewältigung widerspiegelt, nach Verantwortungsebenen, -bereichen und / oder Rollen, die sich an den Aufgaben von Bearbeitern orientiert oder eine Gliederung nach Prozessen, die auf die einzelnen Geschäftsprozesse oder Gruppen von Prozessen zielt.

Informationen, die sich häufig ändern, sollten an zentraler Stelle der Notfalldokumentation zusammengefasst werden, damit sich die Aktualisierung einfacher gestaltet.

Relevante Informationen müssen durch die verantwortlichen Mitarbeiter schnell und gezielt zu finden sein. Die Dokumentation muss aktuell und präzise gefasst sein.

Das Notfallhandbuch beinhaltet alle bei der Konzeption des Notfallmanagement anfallenden Informationen, die nicht direkt für die Notfallbewältigung benötigt werden.

Das Notfallhandbuch umfasst das Notfallvorsorgekonzept und Notfallkonzept

Notfallmanagement: Welche Notfallübungen sind handlungsorientiert?

Test der technischen Vorsorgemaßnahmen und Funktionstest

Simulation von Szenarien, Ernstfall- oder Vollübungen

Kommunikations- und Alarmierungsübung

Stabsübungen, Stabsrahmenübungen

Plan-Review, Planbesprechungen

Notfallmanagement: Welche Dokumente sind für die verschiedene Notfallübungen und Test anzulegen?

Übungshandbuch in dem grundsätzliche Festlegungen, Rahmenbedingungen und Vereinbarungen für alle durchzuführenden Tests und Übungen zu treffen. sind.

Übungsplan in dem für einen Planungszeitraum über wenige Jahre die Termine, die Reihenfolge und die groben Eckdaten der geplanten Tests und Übungen festgelegt.

Test- und Übungskonzept beinhaltet die Detailplanung für die Durchführung.

Übungsdrehbuch in dem die Ausgangslage, der konkrete zeitliche Ablauf der Übung, die vordefinierten Ereignisse und deren Ablaufreihenfolge so detailliert wie möglich beschrieben werden

Test- und Übungsprotokoll in dem die Durchführung und der Ablauf von Tests und Übungen sorgsam dokumentiert werden.

Notfallmanagement: Wer hat die das Übungskonzept der Notfallübungen in einer Instutition zu genehmigen und freizugeben?

Das Übungskonzept ist von der Leitung der Institution zu genehmigen und freizugeben.

Das Übungskonzept ist von dem Notfallbeauftragten der Institution zu genehmigen und freizugeben.

Das Übungskonzept ist von dem Informationssicherheitsbeauftragten der Institution zu genehmigen und freizugeben.

Das Übungskonzept ist von der Leitung der jeweiligen Organisationseinheit in der die Übung erfolgt zu genehmigen und freizugeben.

Das Übungskonzept ist von dem Notfallmanagement der Institution zu genehmigen und freizugeben.

Notfallmanagement: Welches Ziel hat die Nachberarbeitung der Notfallübungen?

Das erreichte Ergebnis mit den festgelegten Zielen verglichen und die protokollierten Schwachstellen zu analysieren.

Ziel ist es, sowohl für die Notfallvorsorge, die Notfallbewältigung aber auch für die Durchführung von Übungen Verbesserungspotential zu identifizieren.

Die Rahmenbedingungen wie gesetzliche oder sonstige Auflagen, zu erfüllen.

Ziel ist es die Prüfung ob alle Grundschutzbausteine aus der Modellierung angewendet wurden während der Notfallübung.

Notfallmanagement:Durch welche regelmäßige Überprüfungen des Notfallmanagementprozesses und der Notfallvorsorgemaßnahmen kann die Fähigkeit der Institution, Notfälle und Krisen bewältigen zu können, beurteilt werden?

Durch Selbstbewertungen (Self-Assessments), bei denen der Notfallbeauftragte und die Notfallkoordinatoren die korrekte Umsetzung ihrer Vorgaben, den aktuellen Abdeckungsgrad, die Effizienz und den Reifegrad des Notfallmanagements überprüfen oder überprüfen lassen.

Durch die Durchführung von unabhängigen Revisionen durch die unabhängige Innenrevision nach den anerkannten Grundsätzen des Berufsstandes.

Durch eine externe Revisoren. durch Wirtschaftsprüfer oder Beratungsunternehmen.

Durch der Überprüfung nach BSI-200-1 Standard.

Durch den Informationssicherheitsbeauftragten (ISB) im Institut, Firma oder Behörde.

Notfallmanagement: Markieren SIe alle richtige Aussagen.

Notfallhandbuch: Das Notfallhandbuch beinhaltet alle Informationen, die während und für die Notfall- und Krisenbewältigung benötigt werden. Es umfasst somit alle Notfallpläne wie den Krisenkommunikationsplan, den Krisenstabsleitfaden, die Wiederanlauf- und Wiederherstellungpläne.

Notfallkonzept: Das Notfallkonzept umfasst das Notfallvorsorgekonzept und das Notfallhandbuch

Notfallvorsorgekonzept: Das Notfallvorsorgekonzept beinhaltet alle bei der Konzeption des Notfallmanagement anfallenden Informationen, die nicht direkt für die Notfallbewältigung benötigt werden.

RTO (Recovery Time Objective): Die Wiederanlaufzeit eines Prozesses oder der benötigten Ressourcen. Die maximale Zeit für den Wiederanlauf muss kleiner als die maximal tolerierbare Ausfallzeit sein.

WHZ (Wiederherstellungszeit) Die Wiederherstellungszeit ist die Zeitspanne von der Unterbrechung des Prozesses bis zum Start des Normalbetriebs. Die Wiederherstellungszeit muss kleiner oder gleich der festgelegten Wiederanlaufzeit plus dem maximal tolerierbaren Notbetrieb sein (WHZ ≤ WAZ+MTN).

Fallbeispiel: Audietierung beim Dienstleister. Ein externes Rechenzentrum wird beauftragt, die Server des Kunden inklusive Betriebssystem zu betreiben. Das externe Rechenzentrum weist ein gültiges ISO/IEC 27001-Zertifikat einer akkreditierten Zertifizierungsstelle (andere Zertifikate hat der Dienstleister nicht) auf. Die Kundenserver liegen im Geltungsbereich dieses Zertifikates und die Zielobjekte des Kunden samt Schutzbedarf sind vollständig und korrekt umfasst. Wie ist bei einer Auditierung des Informationsverbund des Kunden vorzugehen?

Wenn der Dienstleister ein gültiges ISO/IEC 27001-Zertifikat einer akkreditierten Zertifizierungsstelle vorweist und der Geltungsbereich dieses Zertifikates die Zielobjekte des Kunden samt Schutzbedarf vollständig und korrekt umfasst, ist kein zusätzliches Audit beim Dienstleister vor Ort notwendig. Der Auditor überprüft jedoch die Anforderungen der Outsourcing-Bausteine ob sinnvolle Sicherheitsanforderungen festgelegt sind.

Das ISO/IEC 27001-Zertifikat des Dienstleister ist kein gültiges ISO 27001-Zertifikat auf der Basis IT-Grundschutz und der Geltungsbereich dieses Zertifikates umfasst die Zielobjekte des Kunden samt Schutzbedarf vollständig und korrekt , dann kann dieses Zertifikat im Rahmen der Zertifizierung des Kunden-Informationsverbunds herangezogen werden. In diesem Fall ist kein zusätzliches Audit beim Dienstleister vor Ort notwendig.

Wenn der Dienstleister kein gültiges Zertifikat vorweist, muss der Auditor ein Vor-Ort-Audit bei diesem Dienstleister vornehmen und inhaltlich Maßnahmen aus der Modellierung des Kunden beim Dienstleister prüfen. Den Umfang der Auditierung muss der Auditor im Rahmen der Auditplanung vor der Durchführung des Vor-Ort-Audits nicht mit dem BSI abstimmen.

Wenn der Dienstleister ein gültiges ISO/IEC 27001-Zertifikat einer akkreditierten Zertifizierungsstelle vorweist und der Geltungsbereich dieses Zertifikates die Zielobjekte des Kunden samt Schutzbedarf vollständig und korrekt umfasst, ist kein zusätzliches Audit beim Dienstleister vor Ort notwendig. Weitere Überprüfungen nimmt der Auditor nicht vor.

Wenn der Dienstleister ein gültiges ISO 27001-Zertifikat auf der Basis IT-Grundschutz vorweist und der Geltungsbereich dieses Zertifikates die Zielobjekte des Kunden samt Schutzbedarf vollständig und korrekt umfasst, dann kann dieses Zertifikat im Rahmen der Zertifizierung des Kunden-Informationsverbunds herangezogen werden. In diesem Fall ist kein zusätzliches Audit beim Dienstleister vor Ort notwendig.

Fallbeispiel: Ein externes Rechenzentrum stellt Rechenzentrumsfläche zur Verfügung, in dem die IT-Systeme des Kunden durch den Kunden selber betrieben werden. Das externe Rechenzentrum verfügt über ein gültiges ISO 27001-Zertifikat auf der Basis von IT-Grundschutz. Das externe Rechenzentrum erhält keinen Zugriff auf die IT-Systeme. Wie ist bei einer Auditierung des Informationsverbund des Kunden vorzugehen?

Keine Notwendigkeit eines Vor-Ort-Audits durch den Auditor.

Notwendigkeit eines Vor-Ort-Audits durch den Auditor.

Das ISO 27001-Zertifikat auf der Basis von IT-Grundschutz besagt das nur bei vollständigem Schutzbedarf kein zusätzliches Audit beim Dienstleister vor Ort notwendig ist.

Der Dienstleister muss die IT-Systeme des Kunden durch eine interne Auditierung nach DIN 27001 zertifizieren lassen um den vollständigen Schutz nachzuweisen. Dann besteht keine Notwendigkeit eines Vor-Ort-Audits durch den Auditor.

Fallbeispiel: Ein externer Dienstleister wird von einem Kunden für die Fernwartung von Storage Systemen beauftragt. Die Aufgaben werden in seinem Namen durchgeführt, ohne jedoch die Verantwortung für ein Zielobjekt (Storage-Systeme ) zu übernehmen. Welche Anforderungen sind in zu erfüllen.?

ORP.2.A4 Regelungen für den Einsatz von Fremdpersonal

OPS.1.2.5.A19 Fernwartung durch Dritte

ORP.1.A3 Beaufsichtigung oder Begleitung von Fremdpersonal

OPS.1.1.2.A2 Vertretungsregelungen und Notfallvorsorge

OPS.2.1 Outsourcing für Kunden

Fallbeispiele: Welches Fallbeispiel gehört zum Hosting und welches zum Housing?

Hosting: Ein externes Rechenzentrum wird beauftragt, die Server des Kunden inklusive Betriebssystem zu betreiben.

Housing: Ein externes Rechenzentrum stellt Rechenzentrumsfläche zur Verfügung, in dem die IT-Systeme des Kunden durch den Kunden selber betrieben werden.

Housing: Ein externes Rechenzentrum wird beauftragt, die Server des Kunden inklusive Betriebssystem zu betreiben.

Hosting: Ein externes Rechenzentrum stellt Rechenzentrumsfläche zur Verfügung, in dem die IT-Systeme des Kunden durch den Kunden selber betrieben werden.

Auditierungsschema: Markieren Sie die Prüfgrundlagen einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz.

DIN ISO/IEC 27001: „Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“

BSI-Standard 200-1: „Managementsystem für Informationssicherheit ISMS“ -BSI-Standard 200-2: „IT-Grundschutz-Methodik“ -BSI-Standard 200-3: „Risikoanalyse auf Basis von IT-Grundschutz“

IT-Grundschutz-Kompendium

BSI-Standard 100-4: Notfallmanagement

ITIL „IT Infrastructure Library“ (ITIL)

Audietierungsschema:Der Auditteamleiter erhält durch die Dokumentenprüfung einen umfassenden Einblick in die zu auditerende Institution. Nach dieser Prüfung sollte der Auditor prüfen, ob die Fachkenntnisse des Auditteams ausreichend sind. Beim Audit können Sektor und Baustein spezifische Fachkenntnisse für die Auditierung nötig sein, die das Auditteam zum Zeitpunkt der Anmeldung für die Zertifizierung nicht ausreichend erfüllt. Was muß der Auditteamleiter dann machen?

Der Auditteamleiter muss das Auditteam durch Auditoren oder Fachexperten erweitern.

Die Anpassung des Auditteams muss rechtzeitig der Zertifizierungsstelle des BSI mitgeteilt werden.

Der Auditteamleiter muss den Auditierungsprozess abbrechen

Der Auditteamleiter erkennt das die Institution die Bereitschaft hat sich das Fachwissen anzueignen und beginnt mit dem Vor-Ort Aufit.

Audietierungsschema: Auditierung der Standorte des Informationsverbundes. Die Mindestanzahl an Standorten (Stichprobe), die pro Audit zu begehen sind, berechnet sich wie folgt:

Erst-Zertifizierungsaudit: Quadratwurzel aus der Anzahl der Standorte, gerundet auf die höhere Anzahl.

Überwachungsaudit: Quadratwurzel aus der Anzahl der Standorte, multipliziert mit dem Faktor 0,6, gerundet auf die höhere Anzahl.

Re-Zertifizierungsaudit: Sollte sich das ISMS in den letzten drei Jahren als effektiv erwiesen haben, berechnet sich die Mindestanzahl an Standorten. Die Quadratwurzel aus der Anzahl der Standorte, multipliziert mit dem Faktor 0,8, gerundet auf die höhere Anzahl.

Erst-Zertifizierungsaudit: Die Anzahl der Standorte, gerundet auf die höhere Anzahl.

Überwachungsaudit: Quadratwurzel aus der Anzahl der Standorte, multipliziert mit dem Faktor 0,8, gerundet auf die höhere Anzahl.

Audietierungsschema: Zur Vorbereitung auf die Vor-Ort-Prüfung muss der Auditteamleiter einen Auditplan erstellen. Das bedeutet, dass der Auditteamleiter aus den Ergebnissen der Dokumentenprüfung die erforderlichen Themen benennt, damit die zu auditierende Institution die Interviewpartner rechtzeitig benennen kann. Für die Vorbereitung der Vor-Ort-Prüfung gelten die folgenden Vorgaben. Markieren Sie jede richtige Aussage.

Der Baustein ISMS.1 (Sicherheitsmanagement) wird zwingend bei jedem Audit geprüft.

Über die Zertifikatslaufzeit gilt: Es werden alle modellierten Schichten mit mindestens je einem Baustein überprüft. Es werden mindestens 12 Bausteine auditiert. Es werden mindestens 10% der modellierten Bausteine auditiert. Der Auditteamleiter kann die Stichprobe erweitern. Der Baustein ISMS.1 (Sicherheitsmanagement) wird zwingend bei jedem Audit geprüft. Der Baustein OPS.2.1 Outsourcing für Kunden wird zwingend auditiert, sofern Outsourcing-Dienstleister im Informationsverbund eingebunden sind.

Bei der Erst-/Re-Zertifizierung werden mindestens 6 Bausteine auditiert, darunter zwingend der Baustein ISMS.1 Sicherheitsmanagement. Bei den beiden Überwachungsaudits werden jeweils zwingend der Baustein ISMS.1 Sicherheitsmanagement und mindestens 2 weitere Bausteine auditiert.

Bei den beiden Überwachungsaudits werden jeweils zwingend der Baustein ISMS.1 Sicherheitsmanagement und mindestens 2 weitere Bausteine auditiert.

Es werden 5 Maßnahmen der Risikoanalyse auditiert. Der Auditteamleiter muss seine Auswahl begründen.

Audietierungsschema: Prüfen Sie welche Aussagen richtig sind.

Basis-Anforderungen, also solche Anforderungen, die grundlegend zur Informationssicherheit der gesamten Institution beitragen, dürfen nicht in die Risiko-Übernahme einfließen

Voraussetzungen für eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz ist, dass alle Basis-Anforderungen umgesetzt sind.

Sind zum Zeitpunkt der Auditierung IT-Grundschutz-Anforderungen des Realisierungsplans noch nicht oder nur teilweise umgesetzt, entscheidet der Auditteamleiter, ob eine Zertifizierung zu diesem Zeitpunkt möglich ist. Der Auditteamleiter muss Risiko orientiert den Gesamtkontext des Informationsverbundes und der kritischen Geschäftsprozesse betrachten.

Standard-Anforderungen, also solche Anforderungen, die grundlegend zur Informationssicherheit der gesamten Institution beitragen, dürfen nicht in die Risiko-Übernahme einfließen

Voraussetzungen für eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz ist, dass alle Standard-Anforderungen umgesetzt sind.

Audietierungsschema: Bei welcher Abweichung bzw. Empfhelung ist ist die Ausstellung oder Aufrechterhaltung eines Zertifikats nicht möglich?

Schwerwiegende Abweichungen

Geringfügige Abweichungen

Empfehlungen

Leichte Mängelabweichung

Große Abweichungen

Grundschutzprofile: Was ist das Ziel von IT-Grundschutz-Profile?

Ziel der IT-Grundschutz-Profile ist es, für bestimmte Anwendungsfelder Musterszenarien anzubieten.

Ein IT-Grundschutz-Profil ist eine Schablone für einen ausgewählten Informationsverbund oder Geschäftsprozess, mit dem die IT-Grundschutz Umsetzung für diesen Bereich konkretisiert wird.

Ziel der IT-Grundschutz-Profile ist es, für alle Anwendungsfelder Musterszenarien anzubieten.

Ein IT-Grundschutz-Profil ist eine Schablone für alle Informationsverbünde oder alle Geschäftsprozesse, mit dem die IT-Grundschutz Umsetzung für diese Bereiche konkretisiert wird.

IT-Grundschutz-Profile sollten durch Gremien oder Anwendergruppen einer Branche beziehungsweise durch Vertreter eines Themenbereichs erstellt werden. Unterstützt werden sie dabei durch das IT-Grundschutz-Team des BSI.

Zertifizierungsschema:Definition bzw. Bergriff eines Informationsverbund. Welche Aussage ist richtig?

Ein Informationsverbund stellt nicht nur den Verbund der betrachteten IT-Systeme dar, sondern umfasst auch das damit verbundene Informationssicherheits-Managementsystem

Ein Informationsverbund stellt nur den Verbund der betrachteten Geschäftsprozesse, Anwendungen, IT-Systeme , Netze und Infrastrukturkomponenten dar.

Ein Informationsverbund umfasst nur das damit verbundene Informationssicherheits-Managementsystem

Ein Informationsverbund besteht nur aus den Verbund der betrachteten IT-Systeme.

Zertifizierungsschema: Wer kann ISO 27001-Audits auf der Basis von IT-Grundschutz durchführen?

Audits können von einem oder mehreren Auditoren durchgeführt werden, die vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert sind.

Audits können von einem oder mehreren Auditoren durchgeführt werden auch wenn sie nicht zertifiziert sind.

Audits müssen von nur einem Auditor durchgeführt werden der vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert ist.

Ein Audit kann nur von Fachexperten mit speziellen Branchenkenntnisse oder soliden Kenntnisse und Erfahrungen hinsichtlich der im Informationsverbund eingesetzten Informations- und Kommunikationstechnik besitzen.

Zertifizierungsschema: Welche Rollen und Zuständigkeiten gibt es im Zertifizierungsverfahren für die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz?

Antragsteller

Auditor bzw. Auditteamleiter als befugter Vertreter des Auditteams

Zertifizierungsstelle

ISMS -Team

Informationssicherheitsbeauftragter (ISB)

Zertifizierungsschema: Ein Auditor prüft einen Informationsverbund nach ISO 27001-Audits auf der Basis von IT-Grundschutz und stellt fest ihm fehlt das notwendige Fachwissen und Erfahrung für ein Themengebiet, Wie muß der Auditor vorgehen?

Der Auditteamleiter muss zur Unterstützung der Prüftätigkeiten und zur Absicherung der Prüfaussagen einen oder mehrere Fachexperten hinzuziehen. Die Zertifizierungsstelle des BSI muss dem Einsatz des Auditteams zustimmen.

Der Auditteamleiter beauftragt weitere Auditoren die dann mit ihm zusammen die Prüftätigkeit durchführen.

Der Auditor suchst sich ein anderes Themenfeld aus wo er das notwendige Fachwissen und ausreichend Erfahrung mitbringen

Der Auditor setzt alle Anforderungen im Themengebiet auf Entbehrlich da er das Themengebiet nicht ausreichend prüfen konnte.

Zertifizierungsschema: Welche Mitglieder eines Auditteams müssen vor einer Erst- oder Re-Zertifizierung bzw. einem Überwachungsaudit vor Beginn der Audietierungstätigkeit der Zertifizierungsstelle des BSI gegenüber eine Unabhängigkeitserklärung mit Begründung abgeben. Die Unabhängigkeitserklärung muß mindestens 1 Monat vor der Audietrierungstätigkeit der Zertifizierungsstelle des BSI vorliegen.

Auditteamleiter

Auditoren

Fachexperten

Informationssicherheitsbeauftragter

Notfallbeauftragter

Zertifizierungsschema: Die elektronische Übermittlung des Auditberichts durch den Auditteamleiter an das BSI muss aus Gründen der Vertraulichkeit unbedingt verschlüsselt erfolgen. Welche Verschlüsselungsprogramme sollten eingesetzt werden?

Chiasmus

GnuPG

Pretty Good Privacy (PGP)

BitLocker

Die Übermittlung darf nur mit einem SMIM-Zertifikat erfolgen

Zertifizierungsschema: Wann ist ein Voraudit im Rahmen der Zertifizierung nach ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz zulässig.

Ein Voraudit ist im Rahmen des Erst-Zertifizierungsaudits zulässig.

Im Rahmen eines Re-Zertifizierungsaudits ist ein Voraudit nur bei einer wesentlichen Erweiterung oder Veränderung des Geltungsbereichs der Zertifizierung, also des Informationsverbundes, zulässig.

Ein Voraudit ist im Rahmen des Re-Zertifizierungsaudits zulässig.

Ein Voraudit ist im Rahmen des ersten Überwachungsaudits zulässig.

Ein Voraudit ist im Rahmen des zweiten Überwachungsaudits zulässig.

Risikoanalyse: In der Vorgehensweise nach IT-Grundschutz wird bei der Erstellung der IT-Grundschutz-Bausteine implizit eine Risikobewertung für Bereiche mit normalem Schutzbedarf vom BSI durchgeführt.In welchen bestimmten Fällen muss jedoch explizit eine Risikoanalyse durchgeführt werden?

Wenn die betrachteten Zielobjekte im Informationsverbund einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben

Wenn die betrachteten Zielobjekte im Informationsverbund mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden können

Wenn die betrachteten Zielobjekte im Informationsverbund in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind.

Wenn die betrachteten Zielobjekte im Informationsverbund einen normalen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben

Wenn die betrachteten Zielobjekte im Informationsverbund bei der BIA (Business Impact Analyse) die Maximal tolerierbare Ausfallzeit ( MTA ) überschreiten

Risikoanalyse: Wie wird nach dem BSI Standard 200-2 eine Risikoanalyse durchgeführt?

Schritt 1: Gefährdungsübersicht erstellen und systematisch abarbeiten. Schritt 2: Für jedes Zielobjekt und jede Gefährdung wird eine Bewertung unter der Annahme vorgenommen, dass bereits Sicherheitsmaßnahmen umgesetzt oder geplant worden sind. Schritt 3: Eine erneute Bewertung schließt sich an, bei der die Sicherheitsmaßnahmen zur Risikobehandlung betrachtet werden. Schritt 4: Durcheinen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen

Schritt 1: Für jedes Zielobjekt und jede Gefährdung wird eine Bewertung unter der Annahme vorgenommen, dass bereits Sicherheitsmaßnahmen umgesetzt oder geplant worden sind. Schritt 2: Gefährdungsübersicht erstellen und systematisch abarbeiten. Schritt 3: Eine erneute Bewertung schließt sich an, bei der die Sicherheitsmaßnahmen zur Risikobehandlung betrachtet werden. Schritt 4: Durcheinen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen

Schritt 1: Durcheinen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen Schritt 2: Eine erneute Bewertung an, bei der die Sicherheitsmaßnahmen zur Risikobehandlung betrachtet werden. Schritt 3: Durcheinen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen

Schritt 1: Für jedes Zielobjekt und jede Gefährdung wird eine Bewertung unter der Annahme vorgenommen, dass bereits Sicherheitsmaßnahmen umgesetzt oder geplant worden sind. Schritt 2: Gefährdungsübersicht erstellen und systematisch abarbeiten. Schritt 3: Durch einen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen. Schritt 4: Eine erneute Bewertung schließt sich an, bei der die Sicherheitsmaßnahmen zur Risikobehandlung betrachtet werden.

Kompendium: Bei der Erstellung der Übersicht der elementaren Gefährdungen wurden die im Folgenden beschriebenen Ziele verfolgt. Elementare Gefährdungen sind ....

Für die Verwendung bei der Risikoanalyse optimiert

Produktneutral und technikneutral

Kompatibel mit vergleichbaren internationalen Katalogen und Standards

Nahtlos in den IT-Grundschutz integriert

Immer in einer Schutzbedarfsanalyse zu bewerten und den BSI Bausteinen zu zuordnen

Notfallmanagement: Die Risikoanalyse dient im Kontext des Notfallmanagements dazu.

Gefährdungen zu identifizieren, die eine Unterbrechung von Geschäftsprozessen verursachen können, und die damit verbundenen Risiken zu bewerten.

Die bestehenden Risiken gegenüber den Entscheidungsträgern transparent zu machen.

Gegebenenfalls geeignete Strategien und Gegenmaßnahmen zu entwickeln, um diese Risiken im Vorfeld zu reduzieren und die Robustheit der Institution zu stärken.

Die Szenarien zu identifizieren, für die individuelle Notfallpläne zu entwickeln sind.

Den Schutzbedarf der Geschäftsprozesse und der kritischen Ressourcen zu analysieren.

2019 IT-Grundschutz Onlinekurs

Create or copy sets of flashcards

Create or copy sets of flashcards

Log in to see all the cards.

SWITCHaai

Office 365

Edulog

Apple ID

Google