Cartes mémoires 2019 IT-Grundschutz Onlinekurs (Seite 3 von 6)

Cartes-fiches	213
Utilisateurs	23
Langue	Deutsch
Catégorie	Informatique
Niveau	Autres
Crée / Actualisé	09.07.2019 / 06.05.2023
Lien de web	https://card2brain.ch/box/20190709_itgrundschutz_onlinekurs
Intégrer	<iframe src="https://card2brain.ch/box/20190709_itgrundschutz_onlinekurs/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>

Notfallmanagement: Welche Anforderungen sollten Mitglieder eines Krisenstabs in jedem Fall erfüllen?

fachliche Kompetenz

umfangreiche IT-Kenntnisse

Belastungsfähigkeit

Nachweis der Ausbildung zum zertifizierten Krisenmanager

Notfallmanagement: Welche Aufgaben hat ein Krisenstab?

Notfallpläne zu erarbeiten

die Umsetzung von Notfallplänen zu veranlassen

die Umsetzung von Notfallplänen zu überwachen

Notfallpläne zu testen

Notfallmanagement: In der Öffentlichkeit wird behauptet, bei einem Brand in einer Lagerhalle hätten sich giftige Gase entwickelt und in der Umgebung verbreitet. Wie reagieren Sie am besten als Pressesprecher auf einer Pressekonferenz des betroffenen Unternehmens?

Sie zitieren detailliert aus einem chemischen Gutachten, demzufolge aufgrund der bei Ihnen lagernden Stoffe, eine Exposition giftiger Dämpfe überhaupt nicht möglich sei.

Sie sagen zu, dass Sie die Sachlage prüfen lassen, und geben Verhaltenstipps für den Fall, dass die Behauptungen zutreffen.

Sie erklären, dass Sie kein Chemiker seien und bitten darum, die Frage auf einer für die kommende Woche angesetzten Pressekonferenz zu wiederholen.

Sie erklären, dass Sie von einem Brand in einer Lagerhalle nichts wüssten.

Notfallmanagement: Was enthält ein Notfallplan (Notfallhandbuch)?

Das Datensicherungskonzept eines Unternehmens

Ddie Adressen und Telefonnummern von Institutionen, die für die Bewältigung einer Krise wichtig werden können

Die Geschäftsfortführungspläne

Die Strategiepapiere eines Unternehmens

Die Sofortmaßnahmen und Handlungsanweisungen

Notfallmanagement: Welche Anforderungen sollte ein Notfallplan erfüllen?

Aktualität

Verständlichkeit

Redundanzfreiheit

leichte Zugänglichkeit (für Berechtigte)

Notfallmanagement: Welche Ziele werden mit Tests und Notfallübungen verfolgt?

das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen

dem internationalen Good Practice Standard (GPS) zu entsprechen

die Notfallvorsorge kontinuierlich zu verbessern

das Notfallvorsorgeteam regelmäßig zu testen

Notfallmanagement: Was ist Aufgabe der Übungsvorbereitung?

Übungskonzepte entwickeln

Ressourcen, die für die Übung erforderlich sind, beschreiben

Logistik dokumentieren

Übungsdrehbuch anfertigen

Notfallmanagement: Welche Test- und Übung sind praktisch orientiert?

Ernstfallübungen

Plan-Review

Funktionstest

Stabsübungen

Notfallmanagement: Sowohl bei der Planung, der Vorbereitung wie auch bei der Durchführung von Übungen fallen umfangreiche Arbeiten an. Daher sind die Rollen für die Übungsvorbereitung und –durchführung mit ihren Aufgaben und Rechten festzulegen. Markieren Sie die die Rollen für die Nofallübungen und Tests.

Die zentrale Rolle bei der Durchführung einer Übung ist die des Übungsleiters oder Moderators. Zu seinen Aufgaben gehört es unter anderem, die Übung zu eröffnen, die Einlagen zu koordinieren, Entscheidungen über Alternativen oder Abweichungen von der Planung zu treffen und die Übung offiziell als beendet zu erklären.

Für die Vorbereitung von Übungen sollte ein Übungsautor benannt werden. Seine Aufgabe umfasst sowohl die Entwicklung des Übungsplans als auch die Konzeption der einzelnen Übungen von der Festlegung des Szenarios und der Auswahl der Teilnehmer bis hin zur Vorbereitung der Umgebung für die Übungsdurchführung.

Geschäftsführer/Leitungsebene die als Überwachungsorgan die Notfallübungen begleiten.

Die Rolle des Protokollant der die die wichtige Aufgabe hat, den Ablauf der Übung detailliert zu erfassen. Und eine Rolle Rahmenleitungsgruppe (Kernteam) die den Übungsleiter unterstützt.

Ein Informationssicherheitsbeauftragter der den Ablauf aus der Sicht der Informationssicherheit bewertet und ein Veto Recht hat.

Grundschutzprofile: Was können Anforderungen im Profil sein?

(In einem IT-Grundschutz-Profil werden die einzelnen Schritte eines Sicherheitsprozesses für einen definierten Anwendungsbereich dokumentiert, dazu gehören:)

Festlegung des Anwendungsbereichs

Durchführung einer verallgemeinerten Strukturanalyse, Schutzbedarfsfeststellung und Modellierung für diesen Bereich

Auswahl und Anpassung von umzusetzenden IT-Grundschutz-Bausteinen

Beschreibung spezifischer Sicherheitsanforderungen und -maßnahmen

Gegebenenfalls eine Risikoanalyse und Risikobehandlung.

Grundschutz-Profile: Welche Aussage über Grundschutz-Profile ist richtig?

IT-Grundschutz-Profile sind besonders für Branchen, Sektoren oder andere große Verbünde von Institutionen mit ähnlichen Bedingungen geeignet.

Anwender, die ähnliche Sicherheitsanforderungen haben, können anhand dieser Vorlage ressourcenschonend das Sicherheitsniveau überprüfen

IT-Grundschutz-Profile sind besonders für Branchen, Sektoren oder andere große Verbünde von Institutionen mit ganz anderen Bedingungen geeignet.

Grundschutz-Profile sind eine lose Sammlung von Dokumenten

Grundschutz-Profile: Für welche Beispielunternehmen gibt es IT-Grundschutz-Profile

Leitstellen

Papierfabriken

Oberste Landesbehörden, Wasserverbände

Handwerksbetriebe

Reedereien

Grundschutz-Profile:Wie ist der Revisionszyklus einen Grundschutz-Profiles?

1 x pro Jahr

alle 2 Jahre

alle 4 Jahre

keine Vorgabe

Auditschema: Was ist ein Auditierungsschema?

Im Auditierungsschema werden die Anforderungen an die Prüfungshandlung des Auditteamleiters und der Mitglieder des Auditteams beschrieben.

Das Dokument gibt insbesondere Informationen zu den am Zertifizierungsverfahren beteiligten Parteien und deren Verantwortlichkeiten, Aufgaben, Aktivitäten und Zusammenwirken.

Das Auditierungsschema beinhaltet die Umsetzungshinweise des Zertifizierungsschema.

Das Auditierungsschema beschreibt wer am Audit nach DIN 27001 am Audit die Prüfhandlung vornimmt.

Im Auditierungsschema werden die Anforderungen an die Prüfungshandlung des Antragsstellers und der Mitglieder des Antragsstellers beschrieben.

Zerifizierungsschema: Was ist ein Zertifizierungsschema?

Für die Bestätigung der Konformität eines Managementsystems für Informationssicherheit (ISMS) gemäß der ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz werden im Auditierungsschema die Anforderungen an die Prüfungshandlung des Auditteamleiters und der Mitglieder des Zertifizierungsschema beschrieben.

Die grundsätzliche Vorgehensweise und die Voraussetzungen für eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz. Das Dokument gibt insbesondere Informationen zu den am Zertifizierungsverfahren beteiligten Parteien und deren Verantwortlichkeiten, Aufgaben, Aktivitäten und Zusammenwirken.

Eine Zertifizierungs-Richtlinie

Keine Antwort ist richtig

Audit/Zertifizierung: Wer erstellt den Auditplan?

Auditteamleiter

Leitung

Informationssicherheitsbeauftragter

Die Notfallbeauftragte Person

Audit/Zertifizierung: Wer führt ein 1-party-Audit durch?

Die als „1st Party Audits“ bezeichneten Verfahren heißen so, weil sie in der Regel von einem „internen Auditor“ durchgeführt werden, also meist, aber nicht zwingend, von einem dafür geschulten Unternehmensangehörigen. Es ist in diesem Fall nur eine Partei, nämlich das Unternehmen selbst, involviert.

Ein internes ISMS-Audit durch interne, unabhängige IS-Revisoren

Leitung

Notfallbeauftragter

Administrator

Audit/Zertifizierung: Unterscheiden Sie Empfehlung, Geringe Abweichung, Schwere Abweichung.

Empfehlung: Der Auditteamleiter hat die Möglichkeit, Empfehlungen an die Institution auszusprechen. Diese sind nicht bindend, erhöhen aber die Effektivität und Effizienz des ISMS. Empfehlungen sind z. B. Verbesserungsvorschläge, die im Rahmen der kontinuierlichen Verbesserung der Prozesse umgesetzt werden sollten, zumindest jedoch zu prüfen sind. Die Empfehlungen werden mit einer Frist zur Prüfung versehen. Die Nichtbeachtung der Prüfung einer Empfehlung kann nach der Entscheidung des Auditteamleiters oder der Prüfbegleitung der Zertifizierungsstelle des BSI zu einer geringfügigen Abweichung führen.

Geringe-Abweichung: Geringfügige Abweichungen sind Mängel, bei denen IT-Grundschutz-Anforderungen nicht angemessen umgesetzt werden, das ISMS aber insgesamt funktioniert. Eine Abweichung ist also dann geringfügig, wenn einzelne Aspekte einer Anforderung nicht (ausreichend) umgesetzt wurden, aber das wesentliche Ziel der Anforderung realisiert ist. Eine Ausstellung des Zertifikats kann unter Umständen trotzdem erfolgen. Mehrere geringfügige Abweichungen können zusammen eine schwerwiegende Abweichung darstellen. Die Anzahl der geringfügigen Abweichungen für die Erteilung eines Zertifikats muss in jedem Einzelfall bewertet werden.

Schwere Abweichung: Schwerwiegende Abweichungen sind Mängel, ohne deren Behebung nicht sichergestellt werden kann, dass das Informationssicherheitsmanagementsystem effektiv und effizient funktioniert oder die Sicherheit des Informationsverbundes erheblich gefährdet ist. Ein solcher Mangel kann vorliegen, wenn IT-Grundschutz-Anforderungen nicht oder in wesentlichen Teilen nicht umgesetzt sind. Bei Vorliegen von schwerwiegenden Abweichungen ist die Ausstellung oder Aufrechterhaltung eines Zertifikats nicht möglich.

Audit/Zertifizierung: Wer stellt ein Testtat für die Basis-Absicherung aus?

IT-Grundschutz-Auditor

Leitung

Informationssicherheitsbeauftragter

keine Antwort ist richtig

Was beinhaltetet die ISO 27001?

Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Managementsystem für Informationssicherheit festzulegen.

Tabelle mit Maßnahmenzielen und Maßnahmen

Begriffsdefinitionen

Anleitungen zur Umsetzung von Maßnahmen

Bei welcher Vorgehensweise müssen zur Durchführung einer Risikoanalyse konkrete Risikoakzeptanzkriterien festgelegt werden?

Basis-Absicherung

Standard-Absicherung

Absicherung der Steuerungssysteme in industriellen Anlagen (ICS)

Industrie-Absicherung

Grundschutz-Profile: Was beschreibt der Revisionszyklus eines IT-Grundschutz-Profils?

Zeitspanne, in der die Aktualität des Dokuments geprüft werden sollte.

Zeitspanne, in der die Aktualität des Netzplans geprüft werden muss.

Zeitspanne, in der die Aktualität des Dokuments festgelegt wird.

Zeitspanne zwischen Beginn und Fertigstellung des Profils.

Audit/Zertifizierung: Was ist das Ziel eines Voraudits?

Der Auditor verschafft sich einen Eindruck, ob das Zertifizierungsaudit prinzipiell zu einem positiven Ergebnis führen könnte.

Die Mitarbeiter des zu auditierenden Bereiches werden fachlich auf das Zertifizierungsaudit vorbereitet.

Die Mitarbeiter des zu auditierenden Bereiches werden auf ihre fachliche Kompetenz geprüft.

Alle relevanten Dokumente, die beim Zertifizierungsaudit vorzulegen sind, werden auf sachliche Richtigkeit geprüft.

Szenarien: Sie sind als IT-Grundschutzexperte in einer Institution tätig und unterstützen den Informationssicherheitsbeauftragten in seiner Arbeit. Für ein geplantes Audit erarbeiten Sie zusammen mit dem Informationssicherheitsbeauftragten den notwendigen Realisierungsplan. Sie erkennen, dass einige Maßnahmen noch nicht und andere Maßnahmen noch nicht vollständig umgesetzt wurden und damit Anforderungen nicht erfüllt sind. Sie teilen Ihre Erkenntnisse dem Informationssicherheitsbeauftragten mit. Der Informationssicherheitsbeauftragte erkennt die Situation und die damit zusammenhängenden Risiken und schlägt vor, dem Management diese Risiken zur Übernahme vorzulegen. Wie argumentieren Sie?

Sie argumentieren, dass die bestehenden Risiken dem Management bis zur vollständigen Umsetzung der Maßnahmen und den damit erfüllten Anforderungen transparent darzustellen sind. Die Risiken, für die das Management eine Risikoübernahme oder einen Risikotransfer beschlossen hat, sind ebenfalls im Risikobehandlungsplan darzustellen.

Sie unterstützen den Vorschlag des Informationssicherheitsbeauftragten und erarbeiten eine weitere Liste zur Risikoübernahme durch das Management.

Auf Grund Ihrer Erfahrungen glauben Sie einschätzen zu können, dass die von Ihnen identifizierten Risiken nicht relevant sind und dass das Management durch Kenntnisnahme der Risiken nur beunruhigt wird. Des Weiteren rechnen Sie mit Mehrarbeit wegen dieses Themas. Sie empfehlen, dass Sie das Risiko selbst übernehmen und schlagen vor, dies intern zu dokumentieren.

Sie sind unsicher, wie Sie mit der Situation umgehen sollen. Auf Grund dieser Unsicherheit schlagen Sie vor, dieses Thema an entsprechende Entscheidungsgremien weiterzugeben, in die Sie nicht integriert sind.

Bausteine: Mit welchen Bausteinen wird eine ICS-Komponente (SPS) modelliert?

IND.2.2 Speicherprogrammierbare Steuerung (SPS) (auf jede SPS-Komponente/Gruppe einmal anwenden)

IND.2.1 Allgemeine ICS-Komponente (für alle Komponenten der industriellen Steuerung einmal anzuwenden.)

IND.1 Betriebs-und Steuerungstechnik (jeden Bereich mit Betriebstechnik innerhalb des Informationsverbunds einmal anzuwenden.)

Nur IND.2.2 Speicherprogrammierbare Steuerung (SPS)

Bausteine: Mit welchen Bausteinen modellieren Sie ein Outsourcing wenn Geschäftsprozesse und Dienstleistungen ganz oder teilweise zu externen Dienstleistern (Outsourcing-Dienstleistern) ausgelagert werden?

OPS.2.1 Outsourcing für Kunden (ist für jeden Outsourcing-Dienstleister, der Dienstleistungen für ein oder mehrere Zielobjekte des Kunden erbringt, aus Sicht des Anwenders separat anzuwenden.

OPS.3.1 Outsourcing für Dienstleister (ist aus Sicht des Dienstleisters auf jeden Outsourcing-Kunden anzuwenden, der Dienstleistungen vom Outsourcing-Dienstleister bezieht.)

ORP.2 Personal

INF.1 Allgemeine Gebäude

Bausteine: Welchen Baustein müssen sie modellieren , wenn Komponenten identifiziert wurden bei denen eine Verarbeitung und sonstige Nutzung personenbezogener oder -beziehbarer Daten erfolgt.

CON.2.2 Datenschutz (Modellierung auf einzelne Informationsverbünde/Verfahren)

CON.2.2 Datenschutz (Modellierung eventuell auf die gesamte Institution anzuwenden)

CON.2.2 Datenschutz (Modellierung auf alle Anwendungen)

CON.2.2 Datenschutz (Modellierung auf alle IT-Systeme)

Bausteine: Ein Linux-Server (VM) wird auf einem Virtualisierungs-Host Betrieben. Welche Bausteine müssen Sie modellieren?

SYS.1.5 Virtueller Server

SYS.1.1 Allgemeiner Server

SYS.1.3 Server unter Linux und Unix

SYS.2.1 Allgemeiner Client

Zertifizierungsschema: In das Zertifizierungsverfahren für die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz sind die folgenden Rollen involviert:

Antragssteller

Auditor bzw. Auditteamleiter

Zertifizierungsstelle

IT-Leiter

Informationssicherheitsbeauftragter (ISB)

Zertifizierungsschema: Aus welchen Auditphasen besteht ein Audit? (Jedes Audit setzt sich grundsätzlich aus getrennten, aufeinander aufbauenden Phasen zusammen:)

Phase 1: Dokumentenprüfung, Vorbereitung des Vor-Ort-Audits, Erstellen Prüfplan für die Umsetzungsprüfung

Phase 2: Umsetzungsprüfung vor Ort, Prüfung von Nachbesserungen, Erstellen Auditbericht

Phase 1: Voraudit, Dokumentenprüfung, Vorbereitung des Vor-Ort-Audits, Erstellen Prüfplan für die Umsetzungsprüfung

Phase 2: Voraudit, Dokumentenprüfung, Vorbereitung des Vor-Ort-Audits, Erstellen Prüfplan für die Umsetzungsprüfung, Übergabe Auditbericht einschl. Referenzdokumente an die Zertifizierungsstelle

Phase1: Voraudit, Umsetzungsprüfung vor Ort, Prüfung von Nachbesserungen

Zertifitierungsschema: Welche verschiedenen Audittypen sind nach der ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz zu unterscheiden (bezogen auf die dreijährige Laufzeit eines Zertifikates)?

Erst-Zertifizierungsaudit betrachtet den gesamten Sicherheitsprozess eines Informationsverbundes sowie die Überprüfung der Umsetzung der Anforderungen im Rahmen einer Stichprobenprüfung auf der Basis von Bausteinen aus dem IT-Grundschutz-Kompendium

Überwachungsaudit: Die Aufrechterhaltung der Sicherheit wird mit einem jährlich durchzuführenden Überwachungsaudit geprüft.

Re-Zertifizierungsaudit kann ein Zertifikat um drei Jahre verlängern. Der Auditteamleiter greift für das Re-Zertifizierungsaudit auf die Ergebnisse der Auditierungen der vorhergehenden Zertifizierung (Audit für das Erst-Zertifizierungsverfahren sowie die Überwachungsaudits) zurück und berücksichtigt bei der Prüfung auch die Veränderungen, die sich innerhalb des Informationsverbundes seit dem letzten Audit ergeben haben.

Vor-Audit :Der Auditteamleiter erhält durch die Dokumentenprüfung einen umfassenden Einblick in die zu auditerende Institution. Nach dieser Prüfung sollte der Auditor prüfen, ob die Fachkenntnisse des Auditteams ausreichend sind.

Auditbegleitung unterscheiden sich grundsätzlich nicht von denen eines Erst-Zertifizierungsaudits

Zertifizierungsschema: Was ist zu Beginn eines ISO 27001-Zertifizierungsverfahrens auf der Basis von IT-Grundschutz und vor jedem Überwachungsaudit zu tun?

Unabhängigkeitserklärung aller am Verfahren beteiligten Auditteammitglieder bei der Zertifizierungsstelle einzureichen

Den Audit-Bericht abzugeben

Die Sicherheitsdokumentation bei der Zertifizierungsstelle abzugeben.

Den alten Audit-Bericht zu überarbeiten

Auditierungsschema: Welche Referenzdokumente bilden die Grundlage für die Zertifizierung und müssen vom Antragsteller dem Auditteamleiter und der Prüfbegleitung des BSI zur Verfügung gestellt werden:

Sicherheitsleitlinie zur Informationssicherheit und Richtlinien zur Informationssicherheit (A.0)

Strukturanalyse (A.1) und Schutzbedarfsfeststellung (A.2)

Modellierung des Informationsverbundes (A.3)

Ergebnis des IT-Grundschutz-Checks (A.4), Risikoanalyse (A.5) und Realisierungsplan (A.6)

Die ISMS Sicherheitsrichtlinie

Auditierungsschema: Was beinhaltet die Phase 1 eines Audits nach ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

Dokumentenprüfung

Vorbereitung des Vor-Ort-Audits

Erstellung Prüfplan für die Umsetzungsprüfung

Umsetzungsprüfung vor Ort

Erstellung Auditbericht

Auditierungsschema: Was beinhaltet die Phase 2 eines Audits nach ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

Umsetzungsprüfung vor Ort

Prüfung von Nachbesserungen

Erstellen Auditbericht

Zertifikatserteilung

Durchführen des IT-Grundschutzcheck

Bausteine: Welche Grundschutzbausteine und Vorgaben (für die Behandlung von Sicherheitsvorfällen) kommen für die Sicherheitsvorfallbehandlung in Frage?

DER.2.1 Behandlung von Sicherheitsvorfällen

DER.2.2 Vorsorge für die IT-Forensik

DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle

ISO/IEC 27001:2015, Anhang A16, "Information security incident management"

DER.4 Notfallmanagement

Bausteine: Mit welchen Bausteinen modellieren Sie elektronisch gesteuerte, halb- oder vollautomatische Maschinen (z. B. CNC-Maschinen).

IND.2.4 Maschine ( ist auf jede Maschine bzw. jede Gruppe von Maschinen einmal anzuwenden)

IND.2.1 Allgemeine ICS-Komponente (ist auf jede im Informationsverbund eingesetzte ICS-Komponente anzuwenden)

IND.1 Betriebs- und Steuerungstechnik ( ist auf jedes IT-System mit Prozessleit- und Automatisierungstechnik innerhalb des Informationsverbunds mindestens einmal anzuwenden)

IND.2.2 Speicherprogrammierbare Steuerung (SPS) ( ist auf jede SPS-Komponente einmal anzuwenen)

Risikoanalyse: Die Risikobeurteilung besteht aus folgenden Schritten

Identifikation von Risiken (Risk Identification)

Analyse von Risiken (Risk Analysis)

Evaluation oder Bewertung von Risiken (Risk Evaluation)

Durchführen Risiko IT-Grundschutz Check ( Risk IT-Check)

Risikoanalyse: Die Risikoanalyse nach BSI-Standard200-3 sieht folgende Schritte vor:

Erstellung einer Gefährdungsübersicht

Risikoeinstufung

Risikobehandlung

Konsolidierung des Sicherheitskonzepts

Initiierung des Sicherheitsprozesses

Risikoanalyse: Welche Zielobjekte sollten bei einer "Standard-Absicherung" mit vielen Zielobjekten vorrangig einer Risikoanalyse unterzogen werden?

Übergeordneten Zielobjekte

Zielobjekte mit dem höchsten Schutzbedarf

Es wird keine Risikoanalyse durchgeführt

Die Zielobjekte der "Kern-Absicherung"

2019 IT-Grundschutz Onlinekurs

Créer ou copier des fichiers d'apprentissage

Créer ou copier des fichiers d'apprentissage

Connecte-toi pour voir toutes les cartes.

SWITCHaai

Office 365

Edulog

Apple ID

Google