Unternehmenssicherheit
Repetitionsaufgaben aus dem Buch
Repetitionsaufgaben aus dem Buch
Set of flashcards Details
| Flashcards | 61 |
|---|---|
| Language | Deutsch |
| Category | Computer Science |
| Level | Other |
| Created / Updated | 15.06.2013 / 17.11.2015 |
| Weblink |
https://card2brain.ch/box/unternehmenssicherheit1
|
| Embed |
<iframe src="https://card2brain.ch/box/unternehmenssicherheit1/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Wie wird die Höhe eines Sicherheitsrisikos berechnet?
Aus bewerteten Schaden pro Ereignisfall CHF * Eintrittswahrscheinlichkeit %
Welches sind die 4 Schutzziele der Datensicherheit?
Vertraulichkeit: Schutz vor Einsicht
Integrität: Richtigkeit der Daten
Verfügbarkeit: Wartezeit auf Systemfunktion / Ausfall
Verbindlichkeit: Nachweis Geschäftsfall
Welche Aspekte umfasst der Begriff Integrität im Zusammenhang mit Daten & Informationen?
Realtität: Integere Daten entsprechen der Realität
Aktualität
Authenzität: Quelle vertrauenswürdig
Welche Schäden gibt es?
Direkter Schaden,
Indirekter Schaden,
Folgekosten
Was versteht man unter dem Governance Prinzip?
Beherschbarkeit, Steuerung und Überwachung einer Organisation oder Organisationseinheit
Welche Datenkategorien gelten gemäss DSG als besonders schützenswert?
Religiöse Ansichten / Tätigkeiten
Weltanschauliche Ansichten / Tätigkeiten
Politische Ansichten / Tätigkeiten
Gewerkschaftliche Ansichten / Tätigkeiten
Gesundheit
Intimsphäre
Ethnische Zugehörigkeit
Soziale Unterstützungsmassnahmen
Infos über administrative / strafrechtliche Verfahren
Welche Punkte des OR wirken sich auf die IT Sicherheit aus?
Verschwiegenheit und Berufsgeheimnis
Aufsicht und Kontrolle (Pflicht)
Sorgfaltspflicht
Welche Delikte der IT-Sicherheit werden durch das StGB geahndet?
Unbefugte Datenbeschaffung
Hacking in fremde System
Verletzung der Datenintegrität
Unrechtmässige Bereicherung
Welche Anforderungen gelten für das Aufbewahren von Geschäftsdaten?
Echtheit und Unverfäschtheit
Sorgfaltspglicht
Verfügbarkeit und Zugänglichkeit
Datenträger, die es erlauben, eine Veränderungen der Daten nachzuvollziehen
Was ist CoBit und wie werden die IT-Prozesse unterteilt?
CoBit ist ein Rahmenwerk für die Beherrschung / Strg der Informatik.
Planung & Organisation
Beschaffung & Implementation
Auslieferung & Unterstützung
Überwachung & Optimierung
Wer formuliert externe Sicherheitsanforderungen?
Gesetzgeber & Branchenverbände (Gesetze, Normen & Standards)
Kunden & Lieferanten
Woher werden interne Sicherheitsanforderungen abgeleitet?
Aus der Unternehmens- & Risikostrategie.
Stammen aus dem Qualitäts- & Risikomgmt, der IT und den Systembenutzern
Wie und wozu sollten die erhobenen Sicherheitsanforderungen festegehalten werden?
Mithilfe eines übersichtlichen Anforderungskatalogs . Dieser kann später als Grundlage für die Beurteilung der Risiken und des angestrtebten Sicherheitsniveaus herangezogen werden
Auf welcher Grundlage werden Risiken behandelt und welche Bewältigungsstrategien lassen sich unterscheiden?
Risiken werden gemäss der Risikostrategie behandelt.
Risikoeliminierung: beheben (teuerste)
Risikominimierung: Vorkehrungen
Risikotransfer: auslagern an 3te (Versicherung)
Risikoakzeptanz: In Kauf nehmen
Methoden für die Risikenidentifikation?
Kollektionsmethoden (Checkliste, Befragung, Interview)
Analytische Suchmethoden (Prozessanalyse, Fehlermöglichkeit- & Einflussanalyse, Recherche)
Kreativitätsmethoden (Brainstorming, Mindmapping, Delphi-Methode)
Welche Aspekte sind bei der Auswahl eines Risikobewertungsverfahrens zu berücksichtigen?
Benötigter Detailierungsgrad bei Berechnung Schadenpotenzial
Komplexität der Prozesse
Vergfügbarkeit der Prozesse & Infos
Kosten für die Durchführung des Bewertungsverfahren
Know-how der Mitarbeiter
Durch welche Eigenschaften zeichnet sich eine Unternehmensstrategie aus?
Mittel- & langfristige Entwicklung der GP im Unternehmen
Orientierung an Zukunftschance auf dem Markt
Orientierung an den zu erwartenden Geschäftsrisiken
Hohe Kapitalbildung zur Folge (Investitionen)
Gib eine Richtung vor (Schwer änder- / korrigierbar)
Beinflusst alle anderen Strategien des Unternehmens
Woraus wird die IT-Strategie abgeleitet und was zeigt sie auf?
Aus der Unternehmensstrategie,
den Weg wie die Informations und Kommunikationstechnologien zugunsten des Unternehmenserfolg einzusetzen sind.
Welche Elemente beinhaltet eine brauchbare IT-Sicherheitsstrategie?
Sicherheitsdefinition
Commitment der GL
Anwendungsbereich
Sicherheitsorganisation
Sicherheits- und Schutzziele
Sicherheitskontrolle
Was zeigt das IT Sicherheitskonzept auf?
Wie die SecStrategie umgesetzt werden soll. Welche Risiken mit welchen Massnahmen bekämpft mit welchen organisatorischen Rahmenbedingungen bekämpft werden.
Welches sind die Schritte einer Risikoanalyse?
Risikoanalyse initiieren
System abgrenzen
Datenbestände identifizieren
Verletzbarkeiten identifizieren
Bedorhungen identifizieren
Risiken identifizieren
Risiken bewerten
Wie kann die Verletzbarkeit von Datenbeständen aufgedeckt werden?
Indem sie den Schutzzielen VVIV gegenübergestellt und danach beurteilt wird.
Wo besteht ein Risiko?
Dort wo eine Verletzbarkeit auf eine Bedrohung trifft
Welche Ergebnisse werden im Rahmen des IT Sicherheitsprozess bewirtschaftet?
IT-Sicherheitskonzept
T-Sicherheitsweisungen und -richtlinien
Was beinhaltet eine Sicherheitsrichlinie?
Das Bekenntnis des Managements sowie die Grundsätze des Unternehmens in Bezug auf die IT-Sicherheit
In welche Phasen lässt sich der IT-Sicherheitsprozess gliedern?
Plan: Aktivitäten planen
Do: nach Plan handeln
Check: überprüfen, ob Ziele erreicht wurden
act: Änderungen, Verbesserungen einleiten
Beispielszenarien für Notfallkonzepte?
Totalausfall des Rechenzentrums
Unbenutzbare Büroräume
Angriff über das Internet
Welche Ressourcen sind für das ISMS von zentraler Bedeutung?
Zeitliche Kapazitäten der mitwirkenden Personen
Finanzielle Mittel für die Sicherheitsmassnahmen
Mittel für einen stabilen Systembetrieb (Infrastruktur, Fachmitarbeiter, etc.)
Welches sind mögliche Massnahemn die im Vorfeld eines Notfallkonzeptes ergriffen werden müssen?
Datensicherungskonzept
Redundante Infrastrukturkomponenten
Wartungs- und Reparaturverträge abschliessen
Welches sind mögliche Sicherheitsmassnahmen für Falscheingaben?
Vorbeugend: Plausibilierungscheck
Aufdeckend: Logeinträge bei Fehlermeldungen
Lenkende Massnahme: Gezielte Schulungen
Welche Risiken können mit einem Zugriffkonzept beeinflusst werden?
Unerlaubte Dateneinsicht und -manipulationen
Falscheingaben (nur geschulte MA haben Zugriff)
Fehlmanipulationen (nur geschulte MA haben Zugriff)
Warum sollte Security Awareness Bestandteil von Sicherheitsprogrammen und Realisierungsplänen sein?
Verständnis der MA für Sicherheitsmassnahmen fördern
Regulären Systembetrieb aufrechterhalten (korrekter Umgang mit Risiken)
Abweichungen vom regulären Systembetrieb erkennen
Sicherheitsaspekte bei Realisierungsprojekten berücksichtigen
Welche Risiken können im Rahmen einer Benutzerschulung beeinflusst werden?
Fehlerquellen bei der Bedienung minimieren
Anomalien der Anwendung zu erkennen und melden
Sicherheitsoptionen der Anwendung korrekt einzustellen
Welche Themen können bei der Schulung von IT-Sicherheitsmassnahmen im Vordergrund stehen?
Richtiger Einsatz der Passwörter
Korrekter Umgang mit E-Mails
Mustergültige Reaktion bei Notfällen
Welche Vorteile hat eine schriftliche Quittierung der Sicherheitsweisungen?
MA kennt Sicherheitsanforderungen
MA anerkennt persönliche Verantwortung
IT-Sicherheitsverantwortliche weiss, welche MA über ihre Pflichten informiert wurden.
Welches sind mögliche SecMassnahmen bei einem Austritt eines MA?
Angegebene Unterlagen zur IT-Sicherheit zurückfordern
Zutritts-, Zugangs- & Zugriffsrechte löschen
Notfallpläne überprüfen und ggf. anpassen
Welche Risiken können durch eine sorgfältige Rekrutiereung und ein geordnetes Einstellungsverfahren reduziert werden?
Hohe Fehlerrate bei MA, die am falschen Ort eingesetzt werden
Häufiges Fehlerverhalten
Hohe Fluktuationsrate (= hohe Kosten und Abfluss des Know-how)
Wieso kann ein Entwicklungs- und Beschaffungsprojekt ein Sicherheitsrisiko darstellen? Welche organisatorischen Massnahmen können helfen?
Ein solches Projekt kann den Systembetrieg gefährden (wichtige Dienste / Anwendungen fallen aus) wenn es falsche oder mangelhafte Ergebnisse liefert.
Ebenso kann es zeitlich in Verzug kommen und zu teuer werden.
Es empfiehlt sich ein systematischen Projektmanagement inkl. Anforderungsanalyse und Projektcontrolling
Wieso ist ein Konzept zur Verwaltung elektronischer Schlüssel wichtig?
Es kann dazu beitragen, dass einheitliche elektronische Schlüssel verwendet werden und die Methoden / Verfahren definiert sind. = Zentrale, nachvollziehbare Schlüsselverwaltung
Welches sind die Merkmale der Organisatorischen Massnahmen?
Diese betreffen in der Regel die Stukturen & Prozesse. Betroffen sind Aufbau- und Ablauforganisation sowie die verbundenen Verfahren & Methoden
