Informatiker FA - M166
Fragen aus dem i-CH Modul 166 - IT Grundschutz modellieren
Fragen aus dem i-CH Modul 166 - IT Grundschutz modellieren
Kartei Details
| Karten | 57 |
|---|---|
| Lernende | 33 |
| Sprache | Deutsch |
| Kategorie | Informatik |
| Stufe | Andere |
| Erstellt / Aktualisiert | 04.02.2011 / 26.04.2022 |
| Weblink |
https://card2brain.ch/box/informatiker_fa_m166
|
| Einbinden |
<iframe src="https://card2brain.ch/box/informatiker_fa_m166/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Was zeichnet den IT-Grundschutz gegenüber anderen Methoden für den Auf- und Ausbau der IT-Sicherheit aus?
Der IT-Grundschutz gewährleistet mit geringen Aufwand ein mittleres bis hohes Mass an IT-Sicherheit. (1)
Erklären Sie in einem Satz, was Vertraulichkeit im Rahmen der IT-Sicherheit bedeutet.
Vertraulichkeit im Rahmen der IT-Sicherheit bedeutet sicherzustellen, dass nur berechtigte Personen Zugriff auf vertrauliche Daten und Informationen haben. (7)
Nennen Sie zwei massgebliche Kriterien für die Verfügbarkeit.
Die Wartezeiten auf eine Systemfunktion und die Verarbeitungsgeschwindigkeit der Daten. (13)
Nach einem Brand im Verteilerraum konnte ohne Unterbruch auf ein anderes RZ umgeschaltet werden. Die Netzwerkverkabelung wurde schwer in Mitleidenschaft gezogen. Nennen Sie drei Schadenskategorien und beurteilen Sie, welche Schäden hier vorliegen.
A) Direkte Schäden: Kosten für das Material (Kabel, Verteiler etc.)
B) Indirekte Schäden: Kosten für den Wiederaufbau der Netzwerkverkabelung und Inbetriebnahme des "alten" RZ
C) Folgekosten: Keine.
(19)
Was ist das Ziel des Datenschutzgesetztes (DSG)?
Das DSG will natürliche und juristische Personen vor Persönlichkeitsverletzungen schützen. Das DSG bestimmt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. (25)
Ein MA umgeht Sicherheitssperren. Er kann so auf den firmeneigenen Webserver zugreifen. Es gelingt ihm, anstössige Daten vom WWW auf den Webserver herunterzuladen und unter einer eigenen Homep. zu publizieren. Um welchen Strafbestand handelt es sich?
A) Unbefugtes Eindringen in ein Datenverarbeitungssystem
B) Erschleichung einer Leistung
(41)
Ein MA dringt in das Verrechnungsbüro ein und überträgt ein grösserer Betrag auf eines seiner Konten. Er kennt die Applikation sehr gut und kennt das Passwort eines Kollegen (PW unter Tastatur). Um welchen Strafbestand handelt es sich?
A) Unbefugtes Eindringen in ein Datenverarbeitungssystem
B) Betrügerischer Missbrauch einer Datenverarbeitungsanlage
(47)
Welche Sicherheitsmassnahmen müssen gemäss Datenschutzgesetz bei der Verarbeitung von Informationen gewährleistet sein?
"Durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt."
Der Gesetzgeber gibt zwar keine konkreten Massnahmen vor, erwartet aber diese bis zu einem gewissen Grad. (53)
Welche Sicherheitsmassnahmen müssen im Strafgesetz gegeben sein, damit entsprechende Gesetzestexte angewendet werden können?
"Besonders gesichert".
Dabei gilt das gleiche wie beim Datenschutzgesetz. Jedoch ist gerade dieser Punkt "Besonders gesichert" der Streitfall in einer rechtlichen Auseinandersetzung. (2)
Warum wird eine Risikoanalyse nicht für die gesamte IT-Infrastruktur durchgeführt, d.h., wieso muss eine Systemabgrenzung durchgeführt werden?
Die verschiedenen Bereiche der IT-Infrastruktur sind verschiedenen Bedrohungen ausgesetzt. Zudem enthalten diese Bereiche unterschiedliche Informationen mit verschiedener Sicherheitsrelevanz. Um diese Komplexität bewältigen zu können, wird die Infrastruktur in logische Teilbereiche unterteilt. (8)
Warum steht am Anfang der Risikoanalyse die Untersuchung von Datenbeständen?
In erster Linie gilt der Schutz Daten und Informationen. Die Sicherung der Infrastrukturmittel hängt von der Bedrohungslagen der Daten ab. (14)
Welche Bedrohungslagen ergeben ein Risiko:
A) Wasser bedroht die Verfügbarkeit von Daten
B) Wasser bedroht die Vertraulichkeit von Daten
C) Wasser bedroht die Integrität von Daten
A) Risiko gegeben: Wasser beeinträchtigt die Funktion der Hradware und somit Verfügbarkeit.
B) Kein Risiko gegeben: Wasser bewirkt nicht, dass Dritte die Daten einsehen können.
C) Risiko gegeben: Bei einem Systemabsturz kann ein teilweiser Datenverlust entstehen was zu Problemen auf dem Filesystem führen kann. Letzte Änderungen gehen verloren.
(20)
Bei einer Risikoanalyse wird u.a. festgestellt, dass
A) Kundendaten bezüglich Verfügbarkeit
B) Geschäftsdaten bezüglich Integrität
verletzbar sind. Beides sind relationale Datenbanken. Bei welchem Risiko ist eine USV für einen Server sinnvoll?
A) USV nicht sinnvoll, da bei einem Stromausfall auch die Mitarbeiter nicht mehr arbeiten können.
B) USV sinnvoll, da die USV ein geordnetes Abschalten des Servers erlaubt. Somit werden die letzten Transaktionen auf der DB ordentlich nachgeschrieben.
(26)
Applikation mit verschlüsselter Übertragung wird von einem Server welche weitere Appl. enthält auf einen anderes System gezügelt. Welche Tätigkeiten rund um die Sicherheitsmassnahmen müssen ergriffen werden?
Die Applikation mit den höchsten Sicherheitsanforderungen dominiert die Sicherheitsmassnahmen auf einer Systemkomponente. Somit muss die Verschlüsselung vom alten Server auf den neuen portiert werden. (31)
Peter Meier möchte von seinem Unternehmen endlich ein neues Notebook. Er beschliesst es "per Zufall" fallen zu lassen. Um welche Form der Bedrohung handelt es sich hierbei?
Vorsätzliche Handlung. (36)
Sachbearbeiter Heinz Eberhard hat aus versehen das Gruppenverzeichnis gelöscht. Um welche Form der Bedrohung handelt es sich hierbei?
Menschliche Fehlhandlung (42)
Ein Drucker hat immer Papierstau. Der herbeigerufene Servicetechniker reinigt das Gerät und macht darauf aufmerksam, dass der Drucker seit zwei Jahren nicht mehr gereinigt wurde. Um welche Form der Bedrohung handelt es sich hierbei?
Organisatorischer Mangel bezüglich schlechter Wartung. (48)
Herr Binder ist es leid, im Geschäft die lange Wartezeiten beim Internetzugang in Kauf zu nehmen. So beschliesst er, sein privates Modem mitzunehmen und an die hausinterne Telefonanlage anzuschliessen. Um welche Form der Bedrohung handelt es sich hierbei?
Organisatorischer Mangel bezüglich Nutzung nicht zugelassener Mittel. (54)
Sandra Schwarz surft am AP im Internet und chattet. Der Vorgesetzte macht sie über eine Weisung bezüglich privater Internetnutzung aufmerksam. Sie sei nie darüber informiert worden, hat nichts unterschrieben. Um welche Form der Bedrohung handelt es sich?
Organisatorischer Mangel, sie wurde nicht ausreichend unterrichtet. (3)
Nennen sie drei mögliche, organisatorische Massnahmen, um die Vertraulichkeit der Daten eines Intel Servers sicherzustellen.
- Datenträgerregelung: Verhindern, dass Datenträger unbeaufsichtigt herumliegen
- Vergabe von Zugriffsrechten: Kontrolliertes Vergeben und deren Gebrauch überprüfen
- Regelung des Passwortgebrauchs: Einhaltung der entsprechenden Regelungen
(9)
In welchen Bereichen müssen Massnahmen eingeleitet werden, um einen Schutz vor Viren sicherzustellen?
- Organisatorisch: Definition eines Virenschutzkonzeptes
- Personal: Weisungen und Schulung für den Umgang mit Viren
- Hardware und Software: Einsatz eines Virenschutzprogramms
- Notfallvorsorge: Datensicherung, falls Daten beschädigt werden
(15)
Mit welchen Hardware- und Software-Massnahmen würden Sie eine Arbeitsplatzstation (Desktop) bezüglich Vertraulichkeit sichern? Nennen Sie mindestens drei Massnahmen.
- Einbau von Passwortschutz
- Einsatz einer Bildschirmsperre
- Einsatz von Virenschutzprogrammen
- Gesichertes Login
- Boot-Reihenfolge im BIOS
- Minimales Betriebssystem (Ausschalten nicht benötigter Funktionen)
(21)
Der Serverraum wird zu warm. In welchem Bereich würden Sie Massnahmen vorschlagen?
Bei der Infrastruktur. Einbau oder Anpassung einer Klimatisierung.
Nennen Sie drei mögliche Massnahmen im Bereich Organisation für ein IT-System unter dem Betriebssystem Linux.
- Regelung der Verantwortlichkeiten
- Betriebsmittelverwaltung
- Regelung des Passwortgebrauchs
(32)
Warum ist der Sicherheitsprozess bzw. das Prozessmanagement so wichtig?
Das Prozessmanagement funktioniert nach dem Prinzip "Plan - Do - Check - Act". Das Prinzip stellt einen geschlossenen Kreislauf dar, der eine Planungsphase (plan), eine Umsetzungsphase (do), eine Überprüfungsphase (check) und eine Korrekturphase (act) beinhaltet. Auf diese Weise wird sichergestellt, dass sich der Prozess laufend weiterentwickelt. (37)
Wie wird ein Prozess initialisiert bzw. in eine bestehende Organisation eingebaut?
Ein Prozess wird initialisiert, indem zunächst die Verantwortlichen bestimmt werden. Danach werden die Phasen Plan - Do - Check - Act ausgearbeitet, d.h., es wird der Prozessablauf definiert (plan), was gemacht werden muss (do), wie und was kontrolliert werden muss (check) und wann Korrekturen (act) am Prozess durchgeführt werden müssen. (43)
Was sind die Haupbestandteile des IT-Sicherheitsprozesses?
- Durchführung Gefährdungsanalyse
- Erstellen Sicherheitskonzept
- Umsetzung Sicherheitskonzept
- Sicherstellung des Betriebes (Überwachung)
(49)
Prozesse werden mit Kennzahlen gemessen. Eine Kennzahl für eine Administrationsabteilung könnte lauten: Anzahl bearbeitete Bestellungen. Nennen Sie drei mögliche Parameter für den IT-Sicherheitsprozess.
- Zeitdauer vom Bekanntwerden einer Sicherheitsschwachstelle bis zur Behebung derselben
- Anzahl zulässiger Sicherheitsschwachstellen bei einer externen Sicherheitsüberprüfung
- Anzahl eingetretener Schadensereignisse pro Zeitabschnitt
(55)
Wofür ist der IT-Sicherheitsbeauftragte verantwortlich?
- Er nimmt alle Belange der IT-Sicherheit innerhalb der Organisation wahr.
- Er koordiniert die Erstellung des IT-Sicherheitskonzepts und des Notfallkonzepts etc.
- Er erstellt den Realisierungsplan für IT-Sicherheitsmassnahmen.
- Er überprüft die Realisierung.
- Er stellt den Informationsfluss zur Leistungsebene und zu den IT-Verantwortlichen sicher
(4)
Was gehört in eine Policy?
- Ziel
- Zweck
- Umfang
- Geltungsbereich
- Datum
- Massnahmen
(10)
Was ist das IT-Sicherheitskonzept?
Das IT-Sicherheitskonzept definiert die nötigen Sicherheitsmassnahmen pro Systemkomponente oder Applikation. Es ist somit die Summe aller Massnahme, die ergriffen werden müssen. (16)
Für was wird eine Strukturanalyse gemacht?
Um die betroffenen Infrastrukturkomponenten, geordnet nach Applikationen und IT-Systemen zu identifizieren. (22)
Wieso ist es wichtig, die Systemkomponenten, Applikationen und die Beziehungen zueinander im IT-Grundschutz zu kennen?
Wenn eine Applikation mit "hoher Schutzbedarf" bezeichnet wird, müssen auch die beteiligten Komponenten entsprechend eingestuft werden. (28)
Die Risikoanalyse geht vom Schutzbedarf der Daten aus. Wieso geht die Strukturanalyse und somit der Grundschutz vom Schutzbedarf der Applikation aus?
Der IT-Grundschutz geht davon aus, dass zur Bearbeitung von Daten Applikationen sind. Gilt ein Datenbestand als "hoch schutzbedürftig", ist es die Applikation ebenfalls. (33)
In einem Unternehmen ist kein Netzplan vorhanden, jedoch eine Datenbank mit allen Komponenten. Muss ein Netzplan erstellt werden?
Der Netzplan hat den Vorteil, dass er eine grafische Übersicht schafft und so in der Lage ist, auch bei einer komplexen Infrastruktur eine verständliche Aussage zu machen. Ist eine Datenbank vorhanden, welche die Abhängigkeiten, die bei der Strukturanalyse erarbeitet werden, im gleichen Masse wiedergibt, so muss kein Netzplan erstellt werden. (38)
Wieso wird versucht, Gruppen von Infratrukturkomponenten zu bilden?
Um die Komplexität zu vermindern und die Aufgabe zu vereinfachen. Komponenten mit gleichem Verwendungszweck und gleichem Sicherheitsbedarf können zusammengefasst werden. Die definierten Sicherheitsmassnahmen sind dann auf alle Komponenten der Gruppe anzuwenden. (44)
Wozu wird der IT-Schutzbedarf festgestellt?
Im Rahmen der Schutzbedarfsfeststellung wird definiert, welche IT-Komponenten bzw. Räume gegen welche Bedrohung wie gesichert werden müssen. (50)
Haben alle Unternehmen die gleichen Schutzbedarfskategorien?
Im wesentlichen ja. Es steht einem Unternehmen jedoch frei, eigene Kategorien zu erstellen. Es ist dabei zu beachten, dass nicht zu viele Kategorien aufgestellt werden, da die Zuordnung schwieriger wird. Die Praxis hat gezeigt, dass eine Einteilung der Kategorien in niedrig, mittel, hoch und sehr hoch das beste Resultat erzielt. (56)
Macht eine Schutzbedarfskategorie "kein Schutzbedarf" Sinn?
Nein, weist eine Komponente keine Schutzbedarf aus, ist sie aus Sicht des Unternehmens auch nicht nötig und kostet unnötig Geld. Jede Komponente, die für den Geschäftsfortgang wichtig ist, erhält mindestens die Kategorie "gering". (5)
Warum ist der IT-Grundschutz nur bis zu den Komponenten mit dem Schtzbedarf "Mittel" (allenfalls "Hoch") genügend?
Der IT-Grundschutz beinhaltet abstrahierte und generalisierte Bedrohungsbilder und entsprechende Massnahmen. Bei Komponenten ab "hohem" Schutzbedarf muss davon ausgegangen werden, dass individuelle Bedrohungen (und entsprechende Massnahmen) bestehen, die durch den Grundschutz nicht erfasst werden. (11)
