Informatiker FA - M176
Fragen aus dem i-CH Modul 176 - Datenschutz, Daten- und Verarbeitungs-Sicherheit gewährleisten
Fragen aus dem i-CH Modul 176 - Datenschutz, Daten- und Verarbeitungs-Sicherheit gewährleisten
Fichier Détails
| Cartes-fiches | 21 |
|---|---|
| Utilisateurs | 35 |
| Langue | Deutsch |
| Catégorie | Informatique |
| Niveau | Autres |
| Crée / Actualisé | 15.02.2011 / 18.04.2022 |
| Lien de web |
https://card2brain.ch/box/informatiker_fa_m176
|
| Intégrer |
<iframe src="https://card2brain.ch/box/informatiker_fa_m176/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
(5) Worin unterscheiden sich die Module 166 und 176? Nennen Sie die drei Hauptmerkmale des Moduls 176, die im Modul 166 nicht in dieser Form berücksichtigt werden?
Das M166 bezieht sich auf den Grundschutz, das M176 berücksichtigt den Geschäftsprozess sowie die gesetzlichen Vorgaben zusätzlich. Die drei Haupt-Unterscheidungsmerkale sind:
1. Schutzbedarf über den Grundschutz hinaus (Grundschutz: Basis für weiteren Aufbau des Sicherheitsprozesses)
2. Berücksichtigung betrieblicher und insbesondere gesetzlicher Vorgaben, ganz besonders des Datenschutzgesetzes. Sicherheitsbedarf wird aufgrund der wertschöpfenden Geschäftsprozesses eruiert, nicht fokussiert auf die einzelnen Komponenten des IT-Verbunds.
3. Sicherheitsprozess wird abgeschlossen durch Berücksichtigung des Schrittes "Prüfung der Massnahmen/Audit", welcher in der Grundschutzmethode nur am Rande erwähnt wird.
(1) Datenschutz oder Datensicherhiet? Erläutern Sie die beiden Begriffe kurz.
Datenschutz:
bezieht sich auf Personendaten natürlicher und juristischer Personen, die von privaten Personen oder Bundesorganen bearbeitet werden. Datenschutz leitet sich aus dem Datenschutzgesetz ab.
Datensicherheit:
Gesamtheit aller Massnahmen, um die Sicherheit der Daten zu gewährleisten (Grundschutz CIA sowie aufgrund des Geschäftsprozesses: Verbindlichkeit).
(9) Erklären Sie in Sätzen, warum der Chief Security Officer seiner Verantwortlichkeit am besten nachkommen kann, wenn er auf Stufe Geschäftsleitung positioniert wird?
Der CSO hat auf Stufe GL die nötige Kompetenz, um Entscheidungen und Weisungen mit dem benötigten Gewicht auszustatten, damit diese unternehmensweit ernst genommen und umgesetzt werden.
(13) Welche zwei Hauptgruppen von Sicherheitsanforderungen werden durch den (wertschöpfenden) Geschäftsprozess vorgegeben?
Aus dem Geschäftsprozess ergeben sich die beiden Anforderungsgruppen:
1. Betriebliche Anforderungen
2. Gesetzliche Anforderungen
(17) In welchem Zusammenhang steht der Anspruch auf Integrität und derjenige der Verbindlichkeit von Daten und Informationen?
Die Verbindlichkeit kann unabhängig von der inhaltlichen Integrität von Daten und Informationen gegeben sein (ein falsch eingetragener Preis in einem elektronischen Vertrag ist, soweit beide Parteien unterzeichnet haben, rechtsverbindlich). Jedoch ist neben der Authentizität (z.B. Absender eines Mails) für Daten und Informationen auch die logische Integrität von Bedeutung, d.h., eine falsche oder unvollständige Relation unter den einzelnen Daten kann dazu führen, dass die Verbindlichkeit nicht gewährleistet ist (z.B. formaler Fehler in einem Vertrag)
(21) Das Datenschutzgesetz gilt für private Personen und Bundesorgane, die Personendaten von natürlichen und juristischen Personen bearbeiten. Was bedeutet dies für ein Unternehmen?
Ein Unternehmen kann (da es weder eine private Person noch ein Bundesorgan ist) nicht für Verletzung des Datenschutzgesetzes bestraft werden. Die Verantwortung dafür trägt eine private Person; in einer Aktiengesellschaft somit letztlich der Verwaltungsrat in corpore oder der VR-Präsident.
(2) Welches Hauptmerkmal der Datensicherheit wird durch das Datenschutzgesetz abgedeckt? Wird dieses Merkmal durch Umsetzung der Anforderungen des DSG vollständig abgedeckt?
Das DSG deckt die Ansprüche der Vertraulichkeit für Personendaten ab. Was es nicht macht, ist die Vertraulichkeitsanforderungen an andere Daten (z.B. unternehmenskritische, geheime Daten udn Informationen über ein Produkt) zu definieren, da diese keinen besonderen gesetzlichen Anspruche an Unversertheit haben.
(6) Das Strafgesetzbuch sieht vor, dass ungebetene Eindringlinge in datenverarbeitende Systeme bestraft werden. Welche wichtige Voraussetzung muss dennoch erfüllt sein?
Systeme, die von ungebetenen Gästen heimgesucht werden, müssen gegen diesen Besuch besonders geschützt worden sein, damit der Straftatbestand erfüllt ist. Wie viel Schutz dies genau sein muss, hängt natürlich auch davon ab, inwiefern der Systemverantwortliche (z.B. eine Privatperson ohne Computerkenntnisse) über mögliche Sicherheitsmassnahmen Bescheid wusste. Letzlich entscheidet ein Richter darüber, ob dieser besondere Schutz vorhanden war oder nicht, d.h., nicht jede Sicherheitsmassnahme (je nach Kritikalität der Daten und Informationen) erfüllt diese Anforderung genügend.
(14) Daten müssen nach Schutzbedarskriterien klassiert werden. Wer nimmt diese Klassierung vor und warum?
Die Klassierung nach Schutzbedarfsstufen wird vom Dateninhaber wahrgenommen (data owner). Dieser weiss am besten darüber Bescheid, wie viel Sicherheit die Daten benötigen; der Sicherheitsspezialist ist für die geeigneten Massnahmen zur Erreichung dieses Schutzbedarfs verantwortlich.
(18) Was ist beim Umgang mit Risiken entscheidend, sobald diese einmal identifiziert worden sind?
Ein identifiziertes Risiko muss ständig beobachtet und regelmässig bewertet werden. Nur so kann gewährleistet werden, dass die Risiken ständig unter Kontrolle gehalten werden, auch wenn deren Wert durch geeignete Massnahmen auf 0 gebrachter werden kann; der Risikowert kann mit der zeit wieder zunehmen.
(3) Woher stammt gesetzlich Vorgabe zur Identifikation der Person, die Daten bearbeitet, aber auch zur Nachvollziehbarkeit der Datenbearbeitung und für welche Daten gilt sie besonders?
Das Datenschutzgesetz /VDSG schreibt insbesondere bei der Bearbeitung von besonders schützenswerten Personendaten die Nachvollziehbarkeit der Verarbeitung vor (Protokollierung) sowie eine geregelte Anweisung zur Bearbeitung solcher Daten (Betriebsanweisung), die an die betroffenen Mitarbeiter verteilt bzw. diesen bekannt gemacht werden muss.
(7) Welche logische Authentisierungsmöglichkeit, die am meisten angewendet wird, kann in abgewandelter Form in der Praxis meist nur mithilfe eines physischen Merkmals umgesetzt werden.
Das Passwort, das in der Praxis wohl die meist-umgesetzte logische Authentisierungsmethode ist, kann als so genanntes Einmal-Passwort (wenn repetitiv eingesetzt, als token) in der Praxis mit einer Streichliste oder einem elektronischen token generator eingesetzt werden, da ansonsten der Aufwand dzur Herausgabe eines OTP (one time password) zu hoch wäre.
(15) Weisungen, Reglemente und Richtlinien schränken den Mitarbeiter bei seiner Arbeit ein; dies gilt ganz generell für Sicherheitsmassnahmen. Wie kann diesem Problem entgegengewirkt werden? Nennen Sie zwei Möglichkeiten:
Generell gilt, dass die Mitarbeiter nicht mit Weisungen, Richtlinien und Informationen zugemüllt werden sollen. Die wesentlichen Aussagen/Anforderungen sollen Mitarbeiter erreichen und von ihm umgesetzt werden. Eine entsprechende Konsolidierung der Anforderungen auf kurze, leicht zu merkende Sätze oder Stichwörter erleichtert dies in der Praxis. Zudem hilft es, den Mitarbeiter über den Zweck von Sicherheitsmassnahmen genügend aufzuklären, damit er den Sinn erkennt und nicht nur "Befehle von oben" ausführen muss.
(19) Was gibt es neben den Sicherheitskonzepten,Massnahmen technischer und organisatorischer Art,Sicherheitsbetstrebungen beim Personal,das ebenfalls zur Sicherheit massgeblich beiträgt,aber in der Praxis oft nur mängelhaft oder gar nicht umgesetzt wird?
Dokumentationen werden, nicht nur im Sicherheitsbereich, leider viel zu selten erstellt. Dabei hilft das Dokumentieren einerseits der Nachvollziehbarkeit von Prozessen und Vorfällen, aber auch präventiv, indem anhand der Dokumentation das Sicherheitsniveau bereits analysiert werden kann. Wichtig ist dabei, dass die Dokumentationen auch vollständig und aktuell sind.
(4) Bei der Auslagerung von Geschäftsaktivitäten, insbesondere dem Outsorcing der Sicherheitsmassnahmen, ist neben den Rechten und Pflichten beider Parteien auch das Thema "Transparenz" wichtig. Was soll für Outsorcing transparent aufgezeigt werden?
Der Auftragnehmer soll dem Auftraggeber transparent Unter-Auftragnehmer (Subcontractors) aufzeigen.
Auf der Auftraggeberseite müssen sämtliche umgesetzte und insbesondere die noch nicht umgesetzten Massnahmen aufgedeckt werden, sowie bereits vorgefallene Störungen etc, damit der Auftragnehmer nicht erst Detektiv in seinem künftigen Arbeitsumfeld spielen muss.
(8) Sicherheitsmassnahmen bedeuten zusätzlichen Aufwand (personell und finanziell), der Geschäftsprozess wird langsamer und komplizierter. Komplexität und Sicherheitsanforderungen führen zu neuen Sicherheitsanforderungen. Wie kann dem begegnet werden?
Die Sicherheitsmassnahmen sollen von den eigentlichen Kernprozessen entflechtet werden. Sicherheitsmassnahmen sollen so designed werden, dass diese keine oder nur minimale zusätzliche Komplexität bringen; im idealen Fall die Komplexität eines Prozesses sogar verringern. In diesem Zusammenhang kommt das so genannte Zwiebelschalen-Prinzip zum Einsatz; die Sicherheitsmassnahmen werden so weit möglich vom Prozess abgekoppelt (vor- oder nachgelagert).
(12) Bei der technischen Ueberprüfung werden Schwachstellen aufgedeckt und analysiert, inwiefern ein Sicherheitsloch ausgenutzt werden kann. Was für Probleme können bei solchen technischen Prüfungen auftreten?
Bei der technischen Ueberprüfung werden oft die gleichen Vorgehensweisen und Werkzeuge verwendet, die auch ein böswilliger Angreifer anwenden würde. Dies kann zur Folge haben, dass die geprüften Systeme unter einem solchen "simulierten" Angriff bereits zusammenbrechen oder wesentliche Funktionen behindert werden, mit entsprechenden Konsequenzen für den eigentlichen Geschäftsprozess des geprüften Unternehmens.
(16) Das Audit eines Unternehmens ist für Aktiengesellschaften gesetzlich vorgeschrieben. Unter dem Oberbegriff "Corporate Governance" wird in diesem Zusammenhang das "Im Griff-Haben" des Unternehmens bezeichnet. Was für ein Ziel verfolgt ein Audit?
Ein Audit soll der Geschäftsleitung / dem VR die Gewissheit geben, dass im Unternehmen alles so läuft, wie es vorgesehen und geplant ist. Am Ende des Audits werden die erhobenen Messwerte mit den Sollwerten verglichen und etwaige Abweichungen festgestellt. Die Geschäftsleitung kann nun aufgrund dieser Ergebnisse Massnahmen ergreifen, um den geplanten Pfad weiterhin einhalten zu können.
(20) Wann ist das Audit selber effizient? Welcher Schritt darf beim Audit nicht vergessen werden und warum?
Nach dem Audit darf nicht vergessen werden, die erhobenen Ergebnisse zu analysieren und daraus abzuleiten, wo Anpassungen sinnvoll und nötig sind, damit die Massnahmen im nächsten Durchlauf noch besser den Anforderungen entsprechen. Der Optimierungsschritt ist somit die logische Folge eines erfolgreichen Audits.
(10) Geschäftsrelevante Daten sind zu archivieren. Was noch?
Neben den Daten selber sind auch sämtliche verarbeitungsrelevanten Informationen (Methodendefinitionen, Rechnungslegungs-Standards, Prozessbeschreibungen, Dokumentationen) zwecks Nachvollziehbarkeit der Daten zu archivieren. Dazu kommt die Anforderung, das die Daten auch uzugänglich sein müssen, dies bedingt oft, dass entsprechende Systemkomponenten (Laufwerke für Speichermedien) ebenfalls mit archiviert und in betriebsfähigem Zustand gehalten werden müssen.
Eine Firewall wird sehr oft als DIE Sicherheitsmassnahme schlechthin angepriesen, wer keine Firewall hat ist "selbst schuld", wenn er angegriffen wird. Wovor schützt eine Firewall und wovor nicht?
Eine Firewall schützt ein vertrauenswürdiges Netzwerk (LAN) vor einem unvertrauenswürdigen (Internet), also vor Eindringlingen, die von aussen kommen. Diejenigen Besucher, die sich bereits im Netzwerk befinden (Benutzer, eingeschleppe Schädlinge wie Viren, trojanische Pferde sowie Hintertüren im Netzwerk wie z.B. ein Wireless LAN) , werden grundsätzlich von einer Firewall nicht behindert.
