Last
Fichier Détails
| Cartes-fiches | 206 |
|---|---|
| Langue | Deutsch |
| Catégorie | Gestion d'entreprise |
| Niveau | Université |
| Crée / Actualisé | 06.06.2022 / 16.06.2022 |
| Lien de web |
https://card2brain.ch/box/20220606_digital_business_value_chain
|
| Intégrer |
<iframe src="https://card2brain.ch/box/20220606_digital_business_value_chain/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Wann ist die ISO 27001 in Bezug auf die Sicherheit von IT-Anwendungen umgesetzt? (Zyklus)
1. Plan (Etablierung von InformationSecuirtyManagementSystem)
2. Act (Testen und Verbesserung vom ISMS)
3. Check (Überwachung und Kontrolle vom ISMS)
4. Do (Implementierung und Ausführung vom ISMS)
Was verseht man unter COBIT?
COBIT richtet sich nicht nur an IT-Fachleute, sondern stellt über die Ausrichtung an die Gschäftsprozesse auch den Geschäftsprozesseigentümern ein Rahmenwerk für das Management der IT sowie dem Topmanagement durch die vorhandenen Prozessmerkmale und -kennzahlen ein ganzheitliches IT-Governance-Modell zur Vefügung.
Was sind die Kerneigenschaften von COBIT?
- Fokussiert auf das Geschäft (Business-focused)
- Orientiert an Prozessen (process-oriented)
- Basierend auf Anforderungen (Controls-based)
- Gestuert durch Messungen (Measurement-driven)
Wozu dient COBIT?
Es handelt sich dabei um ein Rahmenwerk für Management, Überwachung und Steuerung der IT.
Aus welchen Domains setzt sich COBIT zusammen?
- Align, Plan and Organise (APO)
- Build, Acquire and Implement (BAI)
- Deliver, Service and Support (DSS)
- Monitor, Evaluate and Assess (MEA)
Wofür steht der Begriff "RACI" in einer Tabelle?
- Responsible (zuständig für die erfolgreiche Durchführung)
- Accountable (personalverantwortlich für die Prozessaktivität)
- Consulted (Beratende Mitwirkung, liefert Inputs)
- Informed (Informative Einbindung)
Welche Bereiche und Themen werden bei der IT-Risikoanalyse betrachtet?
- Geschäft und IT (Strategie, Innovationsgrad, Abhängigkeit, Verfügbare Mittel)
- Interne Organisation und Kontrolle (Risikomanagement, Kontrollsystem, Stellvertretungsregelung)
- IT-Anwendungen (Software für das Rechnungswesen, Integration Wertefluss, Programmfehler)
- IT-Betrieb (Betriebssicherheit, Abhängigkeit von Externen)
- Letzte IT-Prüfung (Zeitpunkt der letzten Prüfung)
Wie ist die Pyramide von Daten und Informationen aufgebaut? Wie entsteht Wissen?
1. Zeichen werden mittels Syntax zu
2. Daten, welche mittels der Semantik (Aussagen/Daten) zu
3. Informationen werden und diese werden durch Vernetzung
4. zu Wissen
Was sind die Ziele von Standards, wie z.B. ISO 27000?
- beschreiben Modelle, anhand derer ein Sicherheitsmanagementsystem systematisch aufgebaut und weiterentwickelt werden kann
- zeigen auf, welche organisatorischen und technischen Massnahmen für die Informationssicherheit erforderlich sind
- liefern Kriterien, anhand welcher die umgeseetzen Massnahmen überprüft werden können
Wann gilt die ISO 27001 als erfoglreich umgesetzt?
- wenn es eine definierte Leitlinie gibt, Ziele und Massnahmen die an den Geschäftszielen orientiert sind
- wenn für Informationssicherheitsmanagement ein Budget zugeteitl wurde und dieses vom Top-Management gestützt wird
- wenn in der Organisation das Verständnis für Informationssicherheit verbreitet ist und Risikoanalyse durchgeführt werden
- wenn die Benutzer hinreichend für Informationssicherheit sensibilisiert und geschult sind
- wenn ein Sicherheitsprozess mit einer regelmässig wiederholten Beurteilung und Verbesserung abläuft
Wieso benötigt es Access Control?
- Schutz vor unberechtigten Zugriffen
- Schutz vor Schwachstellen
- Zugriffskontrolle erlaubt zu steuern:
--> wer zugreifen kann
--> auf welche Ressourcen wer zugreifen kann
--> welche Befehle wer ausführen kann
Welche drei Schritte werden zur Zugriffskontrolle durchlofen?
- Identifikation (wer ist es) --> z.B. mittels Username, Kontonummer, SmartCards
- Authentisierung (Beweisführung) --> z.B. mittels Passwörter, Passphrases, Kryptographische Schlüssel, PIN-Nummern, Tokens
- Autorisierung (Berechtigung) --> z.B. Zugriflisten, Security Labels, Berechtigungstabellen, User Profile, es wird definiert worauf das Subjekt zugeiffen kann
Was für Authentisierungsmerkmale gibt es?
- Das Subjekt weiss etwas (What you know) z.B. Kennwort
- Das Subjekt besitzt etwas (What you have), z.B. Smartcard
- Das Subjekt hat eine unveränderliche Eigenschaft (What you are), z.B. Fingerabdruck
Welche Massnahmen gibt es um den den Authentifizierungsschritt zu erhöhen?
- Einmalkennwort mittels TAN oder Token
- Biometrisches Kennwort
Welche Eigenschaften besitzen biometrische Erkennungssysteme?
- Aufwendig, teuer, Wartungsaufwand
- bedingt akzeptiert
- oft in Umgebungen mit hohem Sicherheitsbedarf
Was für biometrische Schutzmöglichkeiten gibt es? (die Art)
- Fingerprint
- Gesichtsgeometrie
- Handgeometrie
- Iris
- Venen
Wobei handelt es sich beim Zero Trust Modell?
Beim Zero-Trust-Modell handelt es sich um ein Sicherheitskonzept, das grundsätzlich allen Diensten, Anwendern und Geräten misstraut. Es spielt dabei keine Rollen ob es innerhalb oder ausserhalb des Netzwerkes ist. Sämtlicher Verkehr wird geprüft und alle Anwender oder Dienste müssen sich authentifzieren.
Wofür steht Discretionary access controll (DAC) und was ist deren Charakteristik?
- Erlaubt Eigentümer von Objekten und Ressourcen die zugreifenden Personen und Programme und die Art des Zugriff zu kontrollieren.
- Die Charatertistik ist:
--> Zugriff ausschliesslich auf Anwender oder dessen Gruppe ausgerichtet
--> Datenowner bestimmt, wer auf die Ressourcen zugreifen dar
--> Gewöhnlich durch Zugrifflisten implementiert
Welche Methoden für physikalische Kontrollen gibt es im ICT-Bereich?
- Perimeter-Sicherheit
- Computer-Kontrollen (z.B. Entfernen von CD/DVD und weiteren Laufwerken)
- Trennung des Arbeitsgebietes (z.B. Forschung in einem separaten Gebäude)
- Verkabelung (Verschiedene Medien und Kommunikationswege)
Was versteht man unter Plaintext im Bereich Kryptohgraphie?
Daten die von jedermann gelsen und verstanden werden können.
Was versteht man unter Encryption im Bereich Kryptographie?
verschlüsseln
Was versteht man unter Ciphertext im Bereich Kryptographie?
Darin ist die Botschaft vom "plaintext" verschlüsselt enthalten. Der Inhalt der Botschaft ist nicht ersichtlich, auch nicht für diejenigen, welche den "Ciphertext" sehen können.
Was versteht man unter Decryption im Bereich Kryptographie?
Entschlüsseln - Wiederherstellen des Zustandes vor der Verschlüsselung
Was sind die Eingeschaften von symmetrischer Verschlüsselung?
- ein einziger Schlüssel für die Ver- und Entschlüsselung
- sehr schnell
- ideal, wenn Daten verschlüsselt und nicht übertragen werden müssen
- problematische Schlüsselverteilung
Was sind die Eingeschaften von asymmetrischer Verschlüsselung?
- Aus 2 Primzahlen werden 2 Schlüssel generiert: Private Key und Public Key (RSA)
- Die Stärke ist die Schlüsselverwaltung
- Sicherheit ist von der Primzahlenlänge abhängig
- Beweisführung, dass Absender wirklich der Absender ist, wird mit diesem Verfahren möglich
- langsamer als symetrisches Verfahren
Um was handelt es sich beim Hash-Verfahren?
- Ein Hash ist eine kryptographische Quersumme
- Der Originaltext wird nicht verschlüsselt
- Nutzung für Datenintegrität und kryptographische Unterschrift
- Daten beliebiger Grösse werden eingegeben und eine Ausgabe fester Länge ( 160 Bit)
- Die geringste Änderung der Eingabe produziert eine andere Ausgabe
Welche bekannte Hash-Verfahren gibt es?
- MD5: Message Digest Nr. 5 (berechnet einen 128 Bit Hash-Wert)
- SHA: Secure Hash Algorithm,NIST / NSA (berechnet einen 160 Bit Hash-Wert)
Welche Bedrohungen gibt es in Bezug auf die IT-Sicherheit?
- Hacker
- Phishing
- Spam
- Vulnerabilites
- Erpressung
- Defacements
- Malware
- Mitarbeiter
Wie viel Datenschaden generiert Daten-Diebstahl pro Jahr?
51 Mrd. Euro Schaden pro Jahr
Worum handelt es sich bei Malware und welche Arten gibt es?
- Computerprogramme mit schädlichen Funktionen
- Viren (z.b. in E-Mail Anhängen --> löschen Arbeiten, Urlaubfotos, Steuererklärungen, Rechnungen)
- Würmer (z.B. in E-Mail Anhängen --> löschen Arbeiten, Urlaubfotos, Steuererkläungen, Rechnungen)
- Spyware/Adware (Programme die das Verhalten ausspionieren, Einrichtung unerwünschter Favoriten, unerwünsche Werbung, Falschmeldungen, Marketinginstrument)
- Troj. Pferde (z.B. in harmlosen Anwendungen --> laufen im Hintergrund und zeichnen Passwörter auf, verändern oder löschen Daten, hören ab mittels WebCam oder Mikrofon)
- Bot-Net (z.B. mittels E-Mails, Webseiten auf vielen Computern installieren --> danach gezielter Angriff auf ein Ziel mittels vielen fremden Computern)
Welche bekannten Ransomware gibt es die mediale Aufmerksamkeit erregt haben?
- NotPetya: Pharma Merck hatte 300 Millionen Schaden
- WannaCry: mehrere 100'000 Computer infiziert
Worum handelt es sich bei Scareware?
Internet-Nutzer werden mit vorgetäuschten Schädlingsbefunden zur Installation vorgeblicher Schutzprogramme genötigt.
Was sind Merkmale von Phising-Attacken?
- E-Mail mit einem "plausiblen" Inhalt
- Eingebettete Skripte auf Webseiten oder in E-Mails (html)
- Komplett nachgemachte Seiten
Wie lässt sich Künstliche Intelligenz (KI) definieren?
Teilgebiet der Informatik, dass sich mit der Automatisierung intelligenten Verhaltens und dem maschinellen Lernen befasst.
Welche Daten bezeichnet man als Big Data?
- zu grosse,
- zu komplexe,
- zu schnelllebig oder
- zu schwach strukturiert
um sie mit manuellen oder herkömmlichen Methoden der Datenverarbeitung auszuwerten.
Mit welchen 4 Vs kann Big Data definiert werden
`- Volume (Terabytes, Gigabytes, etc.)
- Variety (Strukturierte Daten = Tabellarisch / Unstrukturiert = Bilder, Text, Videos, etc.)
- Velocity (Geschwindigkeit der Produktion und Verarbeitung)
- Veracity (Echtheit, Integrität)
Was versteht man unter "Scaling up"?
Es wird mehr/stärkere/schnellere Hardware in das bestehende System verbaut.
Dies kann jedoch sehr kostenspielig werden un hat ein hartes Limit.
Was sind die Herausforderungen mit Hadoop?
- kann nicht mit Geschwindigkeit umgehen (keine Echtzeit-Daten)
- Fragementierter Zoo
- Schwierig zu installieren, beinahte unmöglich im Betrieb & Upgrade
Was sind die Vorteile von Apache Spark gegenüber Hadoop?
- Performance ist 100x schneller, da mittels Arbeitsspeicher und nicht auf einer Harddisk
- Spark verarbeiteten Daten in Echtzeit, währed Hadoop in Batches verarbeitet
- Spark nutzt Resilient Distributed Datasets (RDDs), während Hadoop Replicate Data nutzt (beide parallel)
- Spark hat eine benutzerfreundliche API, Hadoop hat keinen interaktive Methode
Was sind die Unterschiede zwischen Artificial Intelligence, Machine Learning und Deep Learning?
- Artificial Intelligence: Die Studie über selbstlernede Computer-Systeme
- Machine Learning: Alogrithmen die Muster in Daten erkennen und sich selbst verbessern, je mehr Daten
- Deep Learning: Unterkategorie von ML in welcher Multi-shichten neuronale Netze bilden, um davon zu lernen
