Exam Prep Flashcards
(248 cards)
1
Q
Das IT-Sicherheitsgesetz (IT-SiG) ist ein Artikelgesetz, das folgende Gesetze ändert und ergänzt:
A
BSI-Gesetz
2
Q
Was sind typische Probleme in der Informationssicherheit?
A
Konzepte sind oft eher für Experten geschrieben. Der normale Anwender ist daher häufig nicht in der Lage, diese Konzepte zu verstehen.
Unsystematisches Vorgehen sorgt dafür, dass verschiedene Sicherheitsmechanismen nicht aufeinander abgestimmt sind und nicht ineinander greifen. Dadurch verlieren sie an Wirkung!
3
Q
Was zählt zu den Grundwerten der Informationssicherheit?
A
Integrität
Verfügbarkeit
4
Q
Was zählt zu Informationen im Unternehmens-/Institutsumfeld, die ggf. in Bezug auf Informationssicherheit zu betrachten sind?
A
Ein handschriftlich verfasstes Protokoll von der letzten Besprechung.
Gesprochene Inhalte einer Telefonkonferenz zwischen mehreren Abteilungen.
Die letzten aufbereiteten Quartalszahlen des Unternehmens/der Institution.
5
Q
Welche Arten von Informationen sind zu schützen?
A
U.a. müssen auch analoge Informationen geschützt werden
Auch das gesprochene Wort ist ggf. zu schützen.
6
Q
Welche Aussagen zu den Begriffen “Safety” bzw. “Security” sind korrekt?
A
Bei “Safety” geht es u.a. darum, eine Maschine so zu betreiben, dass niemand verletzt wird.
Klassischerweise befasst sich “Safety” mit der Überwachung und Kontrolle von Geräten, nicht aber mit dem Schutz der Information an sich.
7
Q
Welcher Standard/welche Methode beschreibt die Umsetzung eines Datenschutzmanagementsystems?
A
SDM
8
Q
Die Einrichtung eines Notausganges erfolgt auf Grund …
A
… der Sicherheit von Leib und Leben.
9
Q
Durch das IT-Sicherheitsgesetz (IT-SiG) erhält das BSI u.a. folgende Befugnisse bzw. Aufgaben:
A
Erarbeitung von Mindeststandards für die IT der Bundesverwaltung.
Funktion als zentrale Meldestelle für die Sicherheit Kritischer Infrastrukturen.
10
Q
Welche Gesetze nehmen direkten Einfluss auf die Informationssicherheit?
A
EU-DSGVO
IT-Sicherheitsgesetz
11
Q
Das BSI hat eine Reihe von Standards zur Informationssicherheit herausgegeben. Welcher dieser Standard beschreibt die Risikoanalyse auf der Basis von IT-Grundschutz?
A
BSI Standard 200-3
12
Q
Es gibt eine Reihe von Standards/Normen, die für Aspekte der Informationssicherheit relevant sind. Welche der folgenden Standards gehören neben dem IT-Grundschutz des BSI ebenfalls dazu?
A
COBIT (zumindest in Teilen)
NIST
PCI DSS
13
Q
Nach welcher Norm kann ein ISMS zertifziert werden?
A
ISO 27001
14
Q
Was versteht man unter einer Zertifizierung?
A
Ein festgelegtes Verfahren, mit dessen Hilfe die Einhaltung bestimmter Standards und deren Anforderungen nachgewiesen wird.
15
Q
Welche Aussage(n) bezogen auf die Datenschutz-Grundverordnung (DSGVO) bzw. dem Standard-Datenschutz-Modell (SDM) ist/sind zutreffend?
A
Es gibt sieben Gewährleistungsziele im SDM. Es wird erläutert, wie diese erreicht werden können.
Das Standard-Datenschutz-Modell (SDM) ist eine Methode, mit der die Umsetzung der DSGVO erfolgen kann.
16
Q
Wodurch kann die Informationssicherheit gefährdet werden?
A
Höhere Gewalt
Technisches Versagen
Vorsätzliche Handlungen
17
Q
Welche Aussagen zu den aufgeführten Normen/Standards sind korrekt?
A
IT Infrastructure Library (ITIL) befasst sich mit IT-Service-Management.
Die Payment Card Industry Data Security Standard (PCI DSS) muss von allen Institutionen beachtet werden, die Kreditkartenzahlungen akzeptieren.
Das National Institute of Standards and Technology (NIST) veröffentlicht regelmäßig Dokumente zur Informationssicherheit.
Die Methodik des IT-Grundschutz wurde grundlegend überarbeitet und 2017 mit den neuen BSI-Standards der 200er-Reihe herausgegeben.
18
Q
Auf welcher Norm basiert die ISO 27005 zum Risikomanagement für Informationssicherheit?
A
ISO 31000
19
Q
Die Vorbereitung auf ein Zertifizierungsaudit ist zeit- und kostenintensiv. Welche Gründe kann es geben, Ihre Institution einem Zertifizierungsaudit zu unterziehen, um ein BSI-Zertifikat zu erlangen?
A
Mittelfristig können Einsparungen durch Optimierung interner Prozesse erreicht werden.
Mitarbeitende sind (zumindest teilweise) stolz auf das Erreichte.
Sie können ggf. einen Wettbewerbsvorteil erreichen, wenn bei bestimmten Ausschreibungen eine Zertifizierung gefordert wird.
20
Q
Ist es möglich einen Informationsverbund, der nach IT-Grundschutz zertifiziert ist, ohne größeren Aufwand auch nach ISO 27001 “nativ” zertifizieren zu lassen?
A
Ja, denn das Zertifikat des BSI Grundschutzes erfüllt die Vorgaben der ISO-Norm, allerdings unterscheidet sich teilweise die Dokumentation.
21
Q
Beim Aufbau eines ISMS sind viele Aspekte zu betrachten. Welche Komponenten gehören zu einem ISMS nach BSI-Standard 200-1?
A
Mitarbeitende
Ressourcen
22
Q
Beim Aufbau von Managementsystemen für Informationssicherheit (ISMS) werden verschiedene Komponenten und Aspekte berücksichtigt. Welche Komponenten sind erforderlich, um ein ISMS erfolgreich aufzubauen?
A
Es müssen ausreichend Ressourcen (Zeit, Personal, Geld) zur Verfügung gestellt werden.
Auch die Mitarbeitenden müssen frühzeitig eingebunden werden, damit diese für notwendige Maßnahmen sensibilisiert und ausgebildet werden können.
Die Leitlinie zur Informationssicherheit ist Teil des Sicherheitsprozesses. Es sind aber auch noch weitere Aspekte im Sicherheitsprozess zu berücksichtigen (z.B. der Aufbau der Sicherheitsorganisation)
23
Q
Der IT-Grundschutz existiert nun schon seit vielen Jahren. Wann wurde der IT-Grundschutz zuletzt modernisiert?
A
2017
24
Q
Was gehört zu den grundlegenden Managementprinzipien eines ISMS?
A
Kontinuierliche Verbesserung
Kommunikation und Wissen
Erfolgskontrolle im Sicherheitsprozess
25
Welche Aussage(n) bezogen auf Informationssicherheit ist/sind zutreffend?
Grundwerte der Informationssicherheit sind Verfügbarkeit, Integrität und Vertraulichkeit.
26
Welche Aussage(n) passen zum IT-Grundschutz?
Konzentration auf typische Szenarien.
Ganzheitlicher Ansatz in Bezug auf Organisation, Personal, Technik und Infrastruktur.
27
Welche Ziele verfolgt das BSI mit dem IT-Grundschutz?
Der IT-Grundschutz verfolgt einen ganzheitlichen Ansatz . Es wird ein Standard-Sicherheitsniveau angestrebt. Es gibt zusätzlich aber auch noch Anregungen/Empfehlungen für höheren Schutzbedarf.
Mit Hilfe des IT-Grundschutzes werden typische Komponenten und Prozesse abgesichert. Dafür werden typische Gefährdungen und Einsatzszenarien betrachtet.
28
Wodurch kann die Informationssicherheit in der Institution gefährdet sein?
Durch Diebstahl eines einzelnen IT-Gerätes.
Dadurch, dass Mitarbeiter Ihre Büros verlassen, ohne Ihren Arbeitsplatz-Computer zu sperren oder den Raum zu verschließen.
Durch Ausfall wichtiger Personen ohne Vertretungsregelung (z.B. Administratoren).
29
Die Leitlinie zur Informationssicherheit soll den Rahmen festlegen, wie das Thema im Unternehmen zukünftig gehandhabt werden soll. Dazu sind in der Leitlinie wichtige Eckpunkte mit aufzunehmen. Was sollte auf jeden Fall in eine Leitlinie gem. BSI-Standard 200-1 aufgenommen werden?
Den Stellenwert der Informationssicherheit und Bedeutung der wesentlichen Informationen, Geschäftsprozesse und der IT für die Aufgabenerfüllung.
Die Übernahme der Gesamtverantwortung durch die Leitungsebene (Durch Unterschrift und Herausgabe der Leitlinie).
Eine Beschreibung der für die Umsetzung des Informationssicherheitsprozesses etablierten Organisationsstruktur.
30
Die Leitung hat entschieden, ein ISMS im Unternehmen zu etablieren. Hierzu hat man Sie zum Informationssicherheitsbeauftragten (ISB) bestellt. Was liegt damit in Ihrer Zuständigkeit?
Umsetzung von Maßnahmen zur Informationssicherheit, allerdings verbleibt die Gesamtverantwortung bei der Leitungsebene.
31
Eine Methode in der IT-Grundschutz-Vorgehensweise ist die Basis-Absicherung. Diese verläuft gem. "Leitfaden zur Basis-Absicherung nach IT-Grundschutz" in 3 Schritten ab. Wie werden diese Schritte unterteilt?
Initiierung, Organisation und Durchführung des Sicherheitsprozesses
32
Gem. modernisiertem IT-Grundschutz sind verschiedene Vorgehensweisen vorgesehen. Diese können in einem Informationsverbund auch pallel oder auch nacheinander angewendet werden. Welche der folgenden Aussagen hierzu ist/sind richtig?
Sie können bei einem Informationsverbund zunächst eine Kern-Absicherung durchführen, um Ihre "Kronjuwelen" zu schützen. Im Anschluss sollten Sie die Standard-Absicherung anstreben.
Für jeden Informationsverbund sollte generell immer die Standard-Absicherung das Ziel sein. In manchen Fällen macht es aber durchaus Sinn (z.B. kein ausreichendes Budget), zunächst die Basis- oder Kern-Absicherung durchzuführen, auf deren Grundlage dann später weiter aufgebaut werden kann.
33
Sie haben in Ihrer Institution erfolgreich die Basis-Absicherung durchgeführt. Alle erforderlichen Umsetzungen sind realisiert. Nun möchten Sie für das ISMS den nächsten Schritt gehen. Welche möglichen Vorgehen sind nun sinnvoll und entsprechen dem BSI-Standard 200-2?
Es besteht nun die Möglichkeit, auf Grundlage der Basis-Absicherung eine Kern-Absicherung für einen besonders schützenswerten Bereich durchzuführen. Durch die Basis-Absicherung wurde hierfür eine gute Grundlage gelegt.
Sie können frei wählen, ob Sie zunächst noch eine Kern-Absicherung für einen besonders schützenswerten Bereich (und erst später die Standard-Absicherung), oder ob Sie direkt die Standard-Absicherung durchführen möchten.
34
Welche Aussage(n) bezogen auf die Basis-Absicherung ist/sind korrekt?
Die Basis-Absicherung erfolgt nicht nach dem Plan-Do-Check-Act-Modell (PDCA-Modell). Es handelt sich hierbei lediglich um eine reine Einstiegs-Vorgehensweise.
Für die Basis-Absicherung sind die relevanten Bausteine aus dem IT-Grundschutz-Kompendium anzuwenden. Nach der Priorisierung der Bausteine wird der Umsetzungsstand geprüft und, sofern erforderlich, die Realisierung noch nicht umgesetzter Maßnahmen eingeleitet.
35
Sie bekommen die Aufgabe, möglichst schnell ein ISMS einzuführen. Es soll insbesondere ein eng begrenzter Bereich (die Entwicklungsabteilung) schnell nach ISO 27001 auf Basis von IT-Grundschutz zertifiziert werden soll. Was schlagen Sie der Leitungsebene vor?
Sie schlagen vor, zunächst die Kern-Absicherung für die Entwicklungsabteilung umzusetzen. Dies ermöglicht eine Zertifizierung mit begrenztem Aufwand.
36
Die Struktur der einzelnen Bausteine des IT-Grundschutz-Kompendiums ist vorgegeben. Welche Informationen/Inhalte sind in den Bausteinen enthalten?
Eine Abgrenzung des Bausteins zu weiteren Bausteinen.
Eine Festlegung, wer für den jeweiligen Baustein zuständig ist. Mitunter werden weitere Zuständige aufgeführt.
37
Welche Aussage(n) bezogen auf das IT-Grundschutz-Kompendium ist/sind korrekt?
Die prozess- und systemorientierten Bausteine bestehen teilweise wiederum aus weiteren Teilschichten (z.B. SYS.1 Server, SYS.1.2.2 Windows Server 2012).
Die Bausteine im IT-Grundschutz-Kompendium sind entsprechend ihrem jeweiligen Fokus in prozess- und systemorientierte Bausteine aufgeteilt.
38
Welche Aussage(n) bezogen auf das IT-Grundschutz-Kompendium ist/sind richtig?
Das IT-Grundschutz-Kompendium des modernisierten IT-Grundschutzes löst die bisherigen IT-Grundschutz-Kataloge ab.
Im IT-Grundschutz-Kompendium wurden die Baustein-Schichten gegenüber der bisherigen IT-Grundschutz-Kataloge neu strukturiert und auch die Bausteine selbst haben eine neue Struktur erhalten.
39
Welche Aussage(n) zu "Anforderungen bei erhöhtem Schutzbedarf" ist/sind gem. IT-Grundschutz-Kompendium korrekt?
Anforderungen bei erhöhtem Schutzbedarf sind exemplarische Vorschläge, was bei entsprechendem Schutzbedarf zur Absicherung sinnvoll umzusetzen ist. Die konkrete Festlegung erfolgt allerdings im Rahmen einer Risikoanalyse. Das bedeutet u.a., dass die dort aufgeführten Anforderungen nicht abschließend sind.
40
Sie haben im Rahmen Ihrer Aufgaben als Informationssicherheitsbeauftragter (ISB) von der Leitungsebene den Auftrag erhalten, zunächst ein einfaches ISMS nach der Basis-Absicherung gem. BSI-Standard 200-2 einzuführen. Was müssen Sie bei der Auswahl der Bausteine und deren Inhalte beachten?
bestimmten Reihenfolge
Die Zuordnung von Bausteinen zu Zielobjekten sollte in Form
einer Tabelle dokumentiert werden
41
Bei der Schutzbedarfsfeststellung bestehen verschiedene Möglichkeiten, wie sich der Schutzbedarf eines Objektes (z.B. einer Anwendung) auf den Schutzbedarf eines weiteren Objektes (z.B. Server, auf dem die Anwendung ausgeführt wird) auswirkt. Dies nennt man auch "Vererbung". Welche Prinzipien/Methoden kennen Sie?
Kumulationseffekt: Wenn z.B. auf einem Server mehrere Anwendungen mit "normalem" Schutzbedarf installiert sind, so kann der Schutzbedarf für den Server insgesamt "hoch" sein, da bei einem Ausfall viele Anwendungen gleichzeitig ausfallen. Damit ist der mögliche Schaden insgesamt deutlich höher als wenn nur eine Anwendung ausfällt.
42
Die IT-Grundschutz-Modellierung, also die Zuordnung von Bausteinen zu Zielobjekten, sollte dokumentiert werden. Welche Angaben sollten gem. BSI-Standard 200-2 enthalten sein?
Nummer und Titel des Bausteins
Relevanz für den Informationsverbund
Begründung, falls ein Baustein als nicht relevant angesehen wird
43
Die möglichen Schäden, die entstehen können, lassen sich typischerweise einen oder mehreren der folgenden Schadensszenarien zuordnen. Welche können dies u.a. sein?
Beeinträchtigung des informationellen Selbstbestimmungsrechts
Beeinträchtigung der Aufgabenerfüllung
Finanzielle Auswirkungen
44
Es wird empfohlen, im Rahmen der Strukturanalyse eine Komplexitätsreduktion durch Gruppenbildung zu erreichen. Wann ist eine Gruppenbildung sinnvoll bzw. welche Vorteile werden hierdurch erreicht?
Bei technischen Komponenten hat eine konsequente Gruppenbildung den Vorteil, dass es einheitliche Grundkonfigurationen gibt und dadurch eine hohe Standardisierung erreicht wird.
Aufgrund der Voraussetzungen für die Gruppenbildung kann bezüglich Informationssicherheit davon ausgegangen werden, dass bei einer Prüfung eines Objektes aus dieser Gruppe in der Regel der Sicherheitszustand der Gruppe repräsentiert wird.
Mehrere Objekte können einer Gruppe zugeordnet werden, wenn sie vom gleichen Typ sind, ähnliche Aufgaben haben, ähnlichen Rahmenbedingungen unterliegen und den gleichen Schutzbedarf aufweisen.
45
Für die Ermittlung des Schutzbedarfes sind verschiedene Aspekte zu bewerten. Welche Schadensszenarien werden im BSI-Standard aufgeführt und sollten bewertet werden?
Beeinträchtigung der Aufgabenerfüllung
Negative Innen- und Außenwirkung
Verstoß gegen Gesetze/Vorschriften/Verträge
46
Nach der Festlegung des Geltungsbereiches ist gem. der IT-Grundschutz-Methodik "Standard-Absicherung" die Strukturanalyse durchzuführen. Welche Aspekte werden hier betrachtet?
Es werden IT-, ICS- und IoT-Systeme sowie weitere Objekte erfasst, die zum Geltungsbereich gehören.
Es wird ein Netzplan erstellt bzw. falls bereits vorhanden aktualisiert.
Auch Räume und Gebäude des Geltungsbereiches werden erfasst.
Es werden zugehörige Geschäftsprozesse, Anwendungen und Informationen erfasst.
47
Was versteht man im Rahmen der Schutzbedarfsfeststellung bei der Vererbung des Schutzbedarfs und dem "Verteilungseffekt"?
Zum Beispiel müsste ein Client aufgrund einer genutzen Anwendung (Verfügbarkeit: hoher Schutzbedarf) ebenfalls einen hohen Schutzbedarf bezogen auf die Verfügbarkeit haben. Dadurch, dass aber 50 Clients auf die Anwendung zugreifen können ist der Schutzbedarf an dieser Stelle zu relativieren und es reicht ein normaler Schutzbedarf bezogen auf den einzelnen Client aus.
Der Verteilungseffekt ist eine von mehreren Möglichkeiten gem. BSI-Standard 200-2, um die Vererbung des Schutzbedarfes sinnvoll durchzuführen. Eine bloße Weitergabe des Schutzbedarfes auf betroffene Objekte ist nicht immer sinnvoll.
48
Welche Aussage(n) bezogen auf die Modellierung von Prozess-Bausteinen ist/sind korrekt?
Die Bausteine der Schicht "ISMS (Sicherheitsmanagement)" sowie "ORP (Organisation und Personal)" sind gem. IT-Grundschutz-Kompendium immer anzuwenden. Für die Schichten "CON (Konzepte und Vorgehensweisen)", "OPS (Betrieb)" sowie "DER (Detektion und Reaktion)" kann es ggf. Ausnahmen geben (wenn z.B. keine Telearbeit stattfindet ist dieser Baustein entbehrlich).
49
Welche Aussage(n) ist/sind bezogen auf die Schutzbedarfsfeststellung korrekt?
Es ist zu überlegen, welche Werte in der Institution den Schutzbedarfskategorien „hoch“ bzw. „sehr hoch“ entsprechen. Diese Zuordnung wird zur Überprüfung der Entscheidung benötigt, welche Objekte in die Risikoanalyse aufgenommen werden.
50
Welche Aussage(n), bezogen auf die Strukturanalyse bzw. die spätere Modellierung ist/sind richtig?
Bei der Kern-Absicherung werden nur die Objekte aufgenommen, die zu dem betrachteten Prozess(en) gehören. Hier ist größte Sorgfalt notwendig, denn nicht immer ist auf den ersten Blick erkennbar, ob ein Objekt Anteil am betrachteten Prozess hat oder nicht.
51
Welchem Zweck dient die Modellierung nach BSI-Standard 200-2 für die Standard-Absicherung?
Bei einem bereits realisierten Informationsverbund kann das Ergebnis der Modellierung als ein Prüfplan benutzt werden, um einen Soll-Ist-Vergleich durchzuführen.
Das IT-Grundschutz-Modell eines noch nicht realisierten Informationsverbundes kann das Ergebnis der Modellierung als ein Entwicklungsplan verstanden werden. Es beschreibt dann, welche Sicherheitsanforderungen bei der Realisierung erfüllt werden müssen.
52
Im Rahmen der Modellierung Ihres Informationsverbundes müssen Sie u.a. auch eine Reihe von gleichartigen Clients (Windows 10) modellieren. Welche Aussage(n) treffen in diesem Fall zu?
Sie modellieren für dieses Objekt bzw. diese Objektgruppe sowohl den Baustein "SYS.2.1 Allgemeiner Client" als auch den Baustein "SYS.2.2.3 Clients unter Windows 10", da diese sich ergänzen.
53
Nachdem der Schutzbedarf für die Informationen bzw. Geschäftsprozesse festgelegt wurde, ist zu prüfen, inwieweit der Schutzbedarf von genutzen Objekten (z.B. IT, Räume usw.) davon abhängig ist. Es gibt verschiedene Möglichkeiten, den Schutzbedarf auf andere Objekte zu vererben. Warum wird häufig das Maximum-Prinzip bei der Vererbung des Schutzbedarfs genutzt?
Weil normalerweise der Schaden bzw. die Summe der Schäden mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines Objektes bestimmt.
Weil eine direkte Beziehung zwischen den Objekten besteht, bei denen der Schutzbedarf vererbt wird, ist die Vorgehensweise grundsätzlich sinnvoll. Nur wenn bestimmte Rahmenbedingungen vorhanden sind, ist es sinnvoll von diesem Prinzip abzuweichen.
54
Sie erarbeiten für Ihren Informationsverbund ein IT-Grundschutz-Modell. Was ist bei diesen Arbeiten zu beachten?
Es ist für jeden Baustein aus dem IT-Grundschutz-Kompendium zu prüfen, ob dieser für den Informationsverbund relevant ist oder nicht. Das Ergebnis ist entsprechend zu begründen.
Eine Hilfestellung, in welchem Fall ein Baustein relevant ist, gibt jeweils das Kapitel 1.3 "Abgrenzung und Modellierung" des jeweiligen Bausteins.
55
Sie haben in Ihrer Institution die Strukturanalyse abgeschlossen. Nun geht es im nächsten Schritt darum, den Schutzbedarf für Ihren Informationsverbund festzustellen. Wie gehen Sie hierbei vor?
Im ersten Schritt ist zu prüfen, ob die Schutzbedarfskategorien, die im BSI-Standard 200-2 vorgeschlagen werden, für die Institution sinnvoll und ausreichend sind. Danach wird der Schutzbedarf für die Geschäftsprozesse und dazugehörigen Objekte festgelegt.
56
Ein IT-Grundschutz-Check ist gründlich vorzubereiten, auch um betriebliche Abläufe so wenig wie möglich zu beinträchtigen. Welche Aktionspunkte gehören zur Vorbereitung des IT-Grundschutz-Checks?
Hausinterne Dokumente wie z.B. erstellte Richtlinien und Konfigurationsvorgaben sichten
Terminplan für die Interviews abstimmen
Beteiligung externer Stellen klären
57
Es gibt unterschiedliche Möglichkeiten, die Erfüllung von technischen Anforderungen zu ermitteln. Welches sind sinnvolle Möglichkeiten (es muss jeweils nicht die ausschließliche Möglichkeit darstellen)?
Befragung des zuständigen Administrators
Prüfung der entsprechenden Konfigurationsdaten
58
Im Rahmen des Grundschutz-Checks sind Aussagen zur Erfüllung der Anforderungen zu treffen? Welche Begriffe gibt es hierfür gemäß BSI-Standard 200-2?
entbehrlich
59
Schulungsmaßnahmen sind ein wichtiger Bestandteil der Umsetzungen zur Informationssicherheit. Wie können Sie prüfen, ob diese durchgeführt wurden bzw. zu einer Verbesserung des Kenntnisstandes bei den Mitarbeitern geführt haben.
Dokumentation von durchgeführten Schulungen
Teilnehmerlisten der Schulungen
Befragung der Teilnehmer nach durchgeführten Schulungen
60
Wann dürfen Sie bei den Entscheidungskriterien des IT-Grundschutz-Checks die Aussage "entbehrlich" eintragen?
Wenn die aufgeführte Anforderung auf Ihren Inforamtionsverbund nicht zutrifft (weil z.B. ein betreffender Dienst nicht genutzt wird).
Wenn es Anforderungen für erhöhtem Schutzbedarf sind, Ihr Informationsverbund jedoch nur normale Anforderungen an den Schutzbedarf besitzt.
61
Wann dürfen Sie bei den Entscheidungskriterien des IT-Grundschutz-Checks die Aussage "umgesetzt" eintragen?
Wenn alle (Teil-)Anforderungen dem Sinn entsprechend erfüllt wurden.
62
Was ist die Grundlage für einen ersten IT-Grundschutz-Check gem. Standard 200-2?
Das Ergebnis der Modellierung des betrachteten Geltungsbereiches.
63
Welche Aufgaben sollten bei der Standard-Absicherung vor Durchführung eines IT-Grundschutz-Checks durchgeführt werden?
Schutzbedarfsfeststellung
Strukturanalyse
64
Welche Besonderheiten sind beim IT-Grundschutz-Check zu beachten, wenn die Institution sich zunächst im Rahmen der IT-Grundschutz-Methodik für die Kern-Absicherung entschieden hat?
Von den festgelegten Bausteinen sind in der Regel alle Anforderungen zu betrachten, da bei der Kernabsicherung die "Kronjuwelen" des Unternehmens geschützt werden. Diese haben normalerweise einen erhöhten Schutzbedarf.
65
Welche Unterlagen werden benötigt, um einen IT-Grundschutz-Check sinnvoll durchführen zu können?
Bereits erstellte Richtlinien zur Informationssicherheit der Institution.
66
Wie ist beim IT-Grundschutz-Check die Dokumentation durchzuführen?
Es gibt keine expliziten Vorgaben, wie die Dokumentation erfolgen muss. Es ist jedoch zu dokumentieren.
67
Wie ist mit Anforderungen zu Verfahren, wo im Rahmen des IT-Grundschutz-Checks der Umsetzungsstand mit "nein (nicht erfüllt)" bewertet wurden?
Es ist zu bewerten, welche Risiken bis zur Erfüllung der Anforderung verbleiben.
68
Welche Aussage(n) passt/passen am Besten zum Begriff "IT-Grundschutz-Check" gemäß BSI-Standard 200-2?
Prüfung der Erfüllung/Umsetzung.
69
Wer ist für die Durchführung des IT-Grundschutz-Check zuständig?
Die von der Unternehmensleitung mit der Aufgabe betraute Person.
70
Wie ist mit Anforderungen zu Verfahren, wo im Rahmen des IT-Grundschutz-Checks der Umsetzungsstand mit "ja (erfüllt)" bewertet wurden?
Im Rahmen der Aufrechterhaltung und kontinuierlichen Verbesserung ist zu prüfen, ob die Erfüllung noch dem Stand der Technik entspricht.
Bei späteren Prüfungen oder Übungen sollte geprüft werden, ob z.B. die Mitarbeiter sich auch an die geforderte Umsetzung halten.
71
Der BSI-Standard 200-3 definiert verschiedene Notwendigkeiten für die Durchführung einer Risikoanalyse. Wann muss eine Risikoanalyse explizit durchgeführt werden?
Der Schutzbedarf des Zielobjekts ist in mindestens einem der drei Grundwerte mit "Hoch" oder "Sehr Hoch" kategorisiert worden.
Das Zielobjekt kann mit den existierenden Bausteinen des IT-Grundschutzes nicht ausreichend modelliert werden.
Das Zielobjekt wird in Einsatzszenarien betrieben, die im Rahmen der Bausteinerstellung nicht vorgesehen waren.
72
Die Risikokategorien gem. BSI-Standard 200-3 ergeben sich aus der Eintrittshäufigkeit und der Schadenshöhe. Welche Kategorien schlägt der BSI-Standard dabei vor?
hoch
73
Im modernisierten IT-Grundschutz wird das Risiko mithilfe von elementaren Gefährdungen ermittelt. Was sind gem. des BSI-Standards 200-3 elementare Gefährdungen?
G 0.1 Feuer
G 0.5 Naturkatastrophen
74
Mit welchen Eigenschaften werden elementare Gefährdungen nach Möglichkeit beschrieben?
Produktneutral (immer)
Technikneutral (sofern möglich)
75
Unabhängig davon, welche Maßnahmen sie für die Zielobjekte umsetzen, eine 100-Prozentige Sicherheit gibt es nicht. Welche Risikobehandlungsoptionen werden im BSI-Standard 200-3 genannt?
Risikoakzeptanz
Risikovermeidung (durch Umstrukturierung)
Risikoreduktion durch zusätzliche Maßnahmen
76
Wann ist gem. IT-Grundschutz-Vorgehensweise eine Risikoanalyse erforderlich und wann nicht?
Wenn keine passenden Bausteine für ein Zielobjekt zur Verfügung stehen.
77
Was versteht man bei den Risikobehandlungsoptionen unter dem Begriff "Risikotransfer"?
Absicherung der finanziellen Auswirkungen durch Abschluss einer Versicherung.
Übertragung/Auslagerung der Aufgabe an einen qualifizierten Dienstleister.
78
Was wird gem. BSI-Standard 200-3 unter "Risikoappetit" verstanden?
Gibt den generellen Bereitschaftsgrad an, Risiken zu akzeptieren.
79
Welche Aspekte sind für die Definition des Begriffes Risiko gem. BSI-Standard 200-3 relevant?
Eintrittshäufigkeit
Schadenshöhe
80
Welche Kategorien werden im BSI-Standard 200-3 für die Eintrittshäufigkeiten vorgeschlagen?
häufig
81
Wer entscheidet über den Risikoappetit im Unternehmen/ in der Institution?
Verantwortlich ist immer die Leitungsebene.
82
Wie wird gem. BSI-Standard 200-3 das Risiko "errechnet"?
Risiko = Eintrittshäufigkeit x Schadenshöhe
83
Wie charakterisieren sich relevante Gefährdungen im Rahmen der Risikoanalyse?
Relevant sind Gefährdungen u.a. dann, wenn sie bei Eintritt zu einem nennenswerten Schaden führen.
Relevant sind Gefährdungen u.a. dann, wenn sie im vorliegenden Anwendungsfall und Einsatzumfeld realistisch sind.
84
Im BSI-Standard werden für die Umsetzungsplanung Vorschläge gemacht, welche Bausteine vorrangig bzw. nachrangig umzusetzen sind (Reihenfolge R1, R2 und R3). Welche dieser Bausteine sind nachrangig (nach R1) umzusetzen?
Alle nicht unter R1 genannten Prozessbausteine
85
Im BSI-Standard 200-2 werden für die Umsetzungsplanung Vorschläge gemacht, welche Bausteine vorrangig bzw. nachrangig umzusetzen sind (Reihenfolge R1, R2 und R3). Welche dieser Bausteine sind vorrangig (R1) umzusetzen?
ISMS
Organisation
86
Wenn der Grundschutz-Check abgeschlossen ist, müssen die noch zu realisierenden Maßnahmen geplant werden. Was sind mögliche Kriterien für die Umsetzungsplanung?
Sie können sich an den Angaben zum Lebenszyklus in den Umsetzungshinweise orientieren. Dabei können Sie Erkenntnisse bezüglich der Dringlichkeit der Maßnahmen gewinnen.
Sie können sich u.a. daran orientieren, wie groß der Einfluss einer umzusetzenden Maßnahme auf die Verbesserung des Sicherheitsniveau ist.
87
Was ist bei der Festlegung der Aufgaben und der Verantwortung zu beachten?
Es ist zusätzlich festzulegen, wer für die Überwachung der Realisierung verantwortlich ist.
Es ist festzulegen, an wen der Vollzug der Umsetzung zu melden ist (im Normalfall der ISB).
Sie ist erforderlich, um eine fristgerechte Umsetzung der Maßnahmen sicherzustellen zu können.
88
Was sind bei der Umsetzungsplanung gem. Standard 200-2 notwendige realisierungsbegleitende Maßnahmen?
Frühzeitige Schulungen der Mitarbeiter, damit die Maßnahmen auch umgesetzt werden können.
Information der Mitarbeiter. Sonst kommt es oft zu einer ablehnenden Haltung gegenüber den notwendigen Maßnahmen.
89
Welche Aspekte gehören zur Kosten- und Aufwandsschätzung?
Kosten der einzelnen Maßnahmen
Ermittlung kostengünstigerer Ersatzmaßnahmen bei Budgetengpässen
Personeller Aufwand
90
Welche konkreten Maßnahmen müssen bei der Umsetzungsplanung berücksichtigt werden?
Alle Maßnahmen, die im IT-Grundschutz-Check als nicht oder nur teilweise erfüllt dokumentiert wurden.
91
Welche Schritte gehören zur Umsetzungsplanung gem. BSI Standard 200-2?
Umsetzungsreihenfolge festlegen
92
Welche Voraussetzungen müssen für eine wirkungsvolle Umsetzungsplanung erfüllt sein?
Die Ergebnisse des IT-Grundschutz-Checks sollten so dokumentiert sein, dass sie für alle Beteiligten nachvollziehbar sind (als Grundlage für die Umsetzungsplanung der defizitären Anforderungen und Maßnahmen).
Die zusätzlich umzusetzenden Maßnahmen im Rahmen der Risikoanalyse müssen festgelegt sein, damit sie in der Umsetzungsplanung aufgenommen werden können.
93
Im Rahmen der Umsetzungsplanung machen Sie sich Gedanken darüber, welche realisierungsbegleitenden Maßnahmen sinnvoll umzusetzen sein könnten. Welche sollten dies sein?
Maßnahmen können oft nur dann wirkungsvoll umgesetzt werden, wenn die entsprechenden Mitarbeiter auch geschult sind. Daher sollte dies so früh wie möglich begleitend zur Umsetzung passieren.
Frühzeitige Schulungen sind wichtig, damit die Mitarbeiter den Wert erkennen und keine Abwehrhaltung einnehmen.
94
Welche Schritte müssen gem. BSI-Standard 200-2 bereits erfolgt sein, bevor die Umsetzungsplanung beginnt?
Schutzbedarfsfeststellung
Modellierung
95
Warum ist die Umsetzungsplanung wichtig?
Weil bislang nur der aktuelle Sachstand festgestellt wurde. Nun müssen die defizitären Anforderungen und Maßnahmen umgesetzt werden.
Um den Stand der Informationssicherheit im Informationsverbund weiter zu verbessern.
Um eine fristgerechte Umsetzung der Maßnahmen sicherzustellen.
96
An welchen Stellen sollte der Informationssicherheitsprozess regelmäßig überprüft werden?
Auf allen Ebenen
97
Bei der Informationssicherheitsstrategie gem. Standard 200-2 sollten Leitaussagen zur Messung der Zielerreichung getroffen werden. Was sollte dabei mindestens definiert werden?
Was überwacht oder gemessen werden soll.
Wer für die Überwachung und Messung zuständig ist.
Wann und wie häufig überwacht werden soll.
98
Es gibt verschiedene Möglichkeiten, die Qualität der Informationssicherheitsmaßnahmen zu prüfen und daraus Rückschlüsse für das Verbesserungspotential zu ziehen. Welche könnten dies sein?
Sicherheitsrevision
99
Im BSI-Standard 200-2 werden für die Wirksamkeit des Managementsystems für Informationssicherheit sogenannte Reifegrade vergeben. Welcher Reifegrad gehört zur Beschreibung "ISMS ist voll etabliert und dokumentiert"?
Reifegrad 3
100
Mit den im BSI-Standard 200-2 vergebenen Reifegraden werden ISMS bewertet. Welche(r) der folgenden Aspekte wird/werden durch das Reifegradmodell beurteilt?
Wirksamkeit des ISMS
101
Unter welchen Gesichtspunkten wird der Sicherheitsprozess und die Organisationsstrukturen für Informationssicherheit regelmäßig überprüft?
Wirksamkeit
Angemessenheit
102
Was bedeutet die Abkürzung KVP?
Kontinuierlicher Verbesserungsprozess
103
Welche Aufgabe erfüllt der Prozess der kontinuierlichen Verbesserung?
Überprüfung des Informationssicherheits-Prozesses auf Effektivität und Effizienz
104
Wozu dient die Ermittlung von Informationssicherheits-Kennzahlen?
Sie dienen u.a. der Überwachung der Effektivität von Maßnahmen
Sie dienen der Berichterstattung an das Management
Sie können als Grundlage für Schulungs- und Sensibilisierungsmaßnahmen dienen, um mögliche Konsequenzen von Fehlverhalten darzustellen
105
Wie häufig sind Maßnahmen oder Prozesse zu prüfen?
Das sollte in Abhängigkeit von der Wichtigkeit/Wirkung festgelegt werden.
Mindestens jährlich sollte die Sicherheitskonzeption überprüft werden, ob diese noch effektiv ist.
106
Worauf sollte der Sicherheitsprozess und die Organisationsstrukturen für Informationssicherheit regelmäßig überprüft werden?
Effizienz
Angemessenheit
107
Die erfolgreiche Umsetzung von Sicherheitsmaßnahmen sollte regelmäßig überprüft werden. Was ist dabei besonders zu beachten?
Prüfungen und Audits sollten nicht von denjenigen durchgeführt werden, die für die Umsetzung zuständig sind.
Prüfungen und Audits sollten nicht von denjenigen durchgeführt werden, die die jeweiligen Sicherheitsvorgaben entwickelt haben.
108
Die Überprüfung des Informationssicherheitsprozesses sollte auf eine sinnvolle Anzahl von Kennzahlen beschränken. Beispiele für Methoden gem. Standard 200-2 können hierfür sein:
Definition, Dokumentation und Auswertung von Kennzahlen (z. B. Aktualität des Virenschutzes und Anzahl detektierte Schadsoftware, etc.)
Durchführung von Übungen und Tests zur Simulation von Sicherheitsvorfällen und Dokumentation der Ergebnisse
Detektion, Dokumentation und Auswertung von Sicherheitsvorfällen
109
Für welches Niveau sind IT-Grundschutz-Profile ausgelegt?
Im Profil wird festgelegt, welches Niveau erreicht werden soll. Es werden auch Aussagen getroffen, ob das Profil für eine Zertifizierung geeignet ist.
110
IT-Grundschutz-Profile sollen die Arbeit für die jeweiligen Anwender vereinfachen. Dafür werden Sie für spezielle Anwendungsbereiche entwickelt. Wer kann/darf ein IT-Grundschutz-Profil erstellen?
Da es keine expliziten Einschränkungen gibt, kann grundsätzlich jeder ein IT-Grundschutz-Profil erstellen. In der Regel werden sie durch Gremien oder Anwendergruppen einer Branche beziehungsweise durch Vertreter eines Themenbereichs erstellt
111
Sind in IT-Grundschutz-Profilen Risiken/Restrisiken zu betrachten?
In der Regel werden Risiken identifiziert, die nicht durch vorgegebene Anforderungen/Maßnahmen abgedeckt wurden.
112
Welche Aspekte können mittels IT-Grundschutz-Profilen abgebildet werden?
Informationsverbünde, Geschäftsprozesse und Fachaufgaben
113
Welche Aussage(n) bezogen auf die Referenzarchitektur eines IT-Grundschutz-Profils ist/sind korrekt?
Die Referenzarchitektur legt fest, auf welche Objekte die Anforderungen des IT-Grundschutzes im Kontext des IT-Grundschutz-Profils angewendet werden.
U.a. kann auch die Infrastruktur (Gebäude/Räume) bei der Referenzarchitektur berücksichtigt werden.
Um die Komplexität zu reduzieren, sollten ähnliche Zielobjekte in der Referenzarchitektur zu Gruppen zusammengefasst werden.
114
Welche Aspekte gehören zur Struktur eines IT-Grundschutz-Profils?
Geltungsbereich
Restrisikobetrachtung / Risikobehandlung
Referenzarchitektur
115
Welche Elemente gehören zur Struktur eines IT-Grundschutz-Profils?
Geltungsbereich (Scope) des IT-Grundschutz-Profils
116
Welche Unterstützung bietet das BSI zur Entwicklung eines IT-Grundschutz-Profils?
Moderation von 3 Workshops zur Entwicklung eines IT-Grundschutz-Profils
117
Welcher Begriff trifft auf das "IT-Grundschutz-Profil" am ehesten zu?
Musterszenare für ein Informationssicherheitskonzept
118
Bei einer Zertifizierung werden in der Regel immer auch Abweichungen von den Vorgaben festgestellt. Welche Art von Abweichung verhindert gem. der Kriterienbeschreibungen des BSI in der Regel die Erteilung eines Zertifikats?
Schwerwiegende Abweichung
119
Der Auditbericht ist ein wesentlicher Bestandteil des Zertifizierungsverfahrens. Was ist hierbei zu berücksichtigen?
Im Falle eines Erst- oder Re-Zertifizierungsaudits dient der zugehörige Auditbericht der Zertifizierungsstelle als Grundlage für die Erteilung eines Zertifikats.
Der Auditbericht richtet sich an den Antragsteller und die Zertifizierungsstelle des BSI.
Die Referenzdokumente des Antragstellers sind als Anlagen dem Auditbericht beizufügen.
120
Der Auditprozess ist in mehrere Phasen aufgeteilt. Innerhalb dieser Phasen gibt es verschiedene Aufgaben, die bearbeitet werden müssen. Welche der nachfolgenden Aufgaben gehören zum Auditprozess?
Die Dokumentenprüfung ist eine Aufgabe des Auditteams.
Im Rahmen der Zertifizierung wird ein Vor-Ort Prüfung durchgeführt
Es wird zur Vorbereitung ein Auditplan erstellt.
121
Im Zertifizierungsprozess nach ISO 27001 auf Basis von IT-Grundschutz werden verschiedene Arten von Audits durchgeführt. Welche(n) der folgenden Arten von Audits gibt es in diesem Zusammenhang?
Erst-Zertifizierungsaudit
Re-Zertifizierungsaudit
Überwachungsaudit
122
Sie haben Ihren Informationsverbund nach ISO 27001 auf Basis von IT-Grundschutz zertifizieren lassen. Nach welcher Zeitdauer muss eine Re-Zertifizierung erfolgen, sofern sie die Zertifizierung aufrecht erhalten wollen?
Es ist nach 3 Jahren eine Re-Zertifizierung erforderlich.
Es ist nach 4 Jahren eine Re-Zertifizierung erforderlich.
123
Was ist das grundlegende Ziel eines Zertifizierungs-Audits nach ISO 27001 auf der Basis von IT-Grundschutz?
Ziel des Audits ist die unabhängige Überprüfung des ISMS nach ISO 27001 auf der Basis von IT-Grundschutz in einem fest definierten Geltungsbereich einer Organisation.
124
Was ist die primäre Grundlage für die Zertifizierung nach BSI IT-Grundschutz?
ISO 27001
125
Welche Aussage(n) treffen auf ein Überwachungsaudit im Rahmen einer Zertifizierung nach BSI IT-Grundschutz zu?
Nach einem Überwachungsaudit erfolgt keine Neuausstellung der Zertifikatsurkunde oder Ergänzung des zugehörigen Anhangs durch die Zertifizierungsstelle.
Die Prüfungen des Überwachungsaudits dürfen nicht früher als 3 Monate vor Ablauf des 1. bzw. 2. Jahres nach Zertifikatserteilung beginnen
126
Welche Aussage(n) bezogen auf die Überwachungsaudits trifft/treffen zu?
Das erste Überwachungsaudit findet frühestens nach 9 Monaten nach Zertifikatserteilung statt.
Es sind zwischen den Zertifizierungen (Erst-/Re-Zertifizierung) 2 Überwachungsaudits durchzuführen.
127
Welche Referenzdokumente sind beim Antrag auf Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz beim BSI vozulegen?
Risikoanalyse (A.5)
Leitlinie und Richtlinien für Informationssicherheit (A.0)
Modellierung des Informationsverbundes (A.3)
Realisierungsplan (A.6)
128
Wie ist der zeitliche Ablauf für eine Erstzertifizierung nach ISO 27001 auf Basis von IT-Grundschutz?
Es erfolgt zunächst eine Dokumentenprüfung und im Anschluss eine Vor-Ort Prüfung.
129
Welche Aussage(n) treffen auf eine Re-Zertifizierung im Rahmen einer Zertifizierung nach BSI IT-Grundschutz zu?
Im Falle von größeren Änderungen am zertifizierten Informationsverbund kann eine vorzeitige Re-Zertifizierung erforderlich werden.
Ein Zertifizierungsverfahren läuft als Re-Zertifizierungsverfahren, sofern sich der ursprüngliche Untersuchungsgegenstand nicht grundlegend geändert hat und die Re-Zertifizierung sich nahtlos an die Zertifizierung anschließt.
Das Re-Zertifizierungsverfahren, sein Ablauf und seine Rahmenbedingungen sind einer Erst-Zertifizierung vergleichbar.
130
Über welche der folgenden Eigenschaften sollte ein Auditleiter mindestens verfügen?
Zielorientiertes Denken und Handeln
Praktische Führungsfähigkeiten
131
Was ist bei der Auswahl des Auditteams gem. Zertifizierungsschema zu berücksichtigen?
Die Mitglieder des Auditteams müssen die Fachkenntnisse besitzen, die sie zur Auditierung der Institution benötigen.
Das Auditteam wird von der antragstellenden Institution beauftragt und der Zertifizierungsstelle des BSI im Zertifizierungsantrag bekannt gegeben.
Mindestens der Auditteamleiter und die Auditoren müssen eine gültige BSI-Zertifizierung besitzen.
132
Was versteht man unter einem "Internen Audit"?
Interne Audits werden in der Regel dazu verwendet, Fehlerquellen zu entdecken und zu beseitigen oder auch Verbesserungspotential zu entdecken.
Ein anderes gebräuchliches Wort für das interne Audit ist auch das "First Party Audit".
133
Welche Aussagen bezogen auf eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz gem. BSI sind zutreffend?
Es wird mit einer Zertifizierung die Konformität zu gegebenen Normen und Vorschriften bestätigt
Eine Zertifizierung ist in der Regel 3 Jahre gültig
134
Welche Aussagen bezüglich der verschiedenen Audittypen im Rahmen einer Zertifizierung sind korrekt?
Eine Re-Zertifizierung muss bis Ablauf der Zertifizierungszeit abgeschlossen werden, sofern weiter eine Zertifizierung des Informationsverbundes angestrebt wird.
135
Welche Aussagen sind bezüglich der Zertifizierung korrekt?
Eine Re-Zertifizierung muss bis Ablauf der Zertifizierungszeit abgeschlossen werden, sofern eine nahtlose Zertifizierung des Informationsverbundes angestrebt wird.
Überwachungsaudits sind 2x im Zertifizierungszeitraum durch das Auditteam durchzuführen.
Bei einer Erst-Zertifizierung wird erstmalig der entsprechende Informationsverbund der Institution unter IT-Grundschutz-Aspekten auditiert.
136
Welche Aussage(n), bezogen auf den BSI-Zertifizierungsprozess ist/sind korrekt?
"Bei der Umsetzungsprüfung durch den Auditor wird vor Ort u.a. die Korrektheit, und Wirksamkeit der in den Referenzdokumenten beschriebenen Maßnahmen geprüft.
"
137
Welche Rollen müssen gem. Zertifizierungsschema beim Prozess der Zertifizierung direkt beteiligt werden?
Der Auditor selbst
138
Es gibt verschiedene Arten von Audits. Was wird unter einem Systemaudit verstanden?
??
139
Jedes Mitglied des Auditteams muss der Zertifizierungsstelle des BSI gegenüber eine Unabhängigkeitserklärung abgeben. Interessenskonflikte werden hierdurch vermieden. Interessenskonflikte können z.B. bei folgenden Konstellationen auftreten (3 Jahres-Zeitraum):
Beratung der Institution durch den Auditor selbst oder einen Kollegen / Vorgesetzten / Mitarbeiter des Auditors
Geschäftsanbahnung (z.B. nicht erfolgreiche Bewerbung um eine Beratung)
Geschäftliche Verbindungen des Auditors oder des Arbeitgebers des Auditors und der auditierten Institution
140
Unter welchen Umständen kann ein bestehendes Zertifikat ausgesetzt oder zurückgezogen werden?
Ein Zertifikat kann zurückgezogen werden, wenn das Überwachungsaudit nicht durchgeführt wird.
Ein Zertifikat kann zurückgezogen werden, wenn im Überwachungsaudit gravierende Abweichungen im Informationsverbund bzgl. seiner Dokumentation und / oder Realisierung erkannt werden, die vom Antragsteller nicht in einem angemessenen Zeitraum behoben werden können.
141
Wann kann ein bestehendes Zertifikat ausgesetzt oder zurückgezogen werden?
Ein Zertifikat kann zurückgezogen werden, wenn das Überwachungsaudit nicht durchgeführt wird.
Ein Zertifikat kann zurückgezogen werden, wenn Abweichungen und Empfehlungen aus dem Auditbericht ohne ausreichende Begründung nicht behoben bzw. beachtet werden.
Ein Zertifikat kann zurückgezogen werden, wenn ein Verstoß gegen Auflagen aus der Zertifizierung bekannt werden (beispielsweise ein Verstoß gegen die Verwendungsbedingungen für das Zertifikat, die Nichteinhaltung von Auflagen).
142
Wann ist von einem Sicherheitsvorfall für eine Institution auszugehen?
Die Institution legt fest, was als Sicherheitsvorfall zu werten ist
143
Was sollte Bestandteil einer Richtlinie für die Behandlung von Sicherheitsvorkommnissen sein?
Zweck und Ziel der Richtlinie
Schnittstellen mit anderen Managementbereichen
144
Wie sind die Meldeverfahren/-wege für Sicherheitsvorfälle einzurichten?
Sie müssen aktuell und leicht zugänglich sein
145
Welche Aufgaben hat ein SIEM (Security Information and Event Management)?
Datenerfassung
Identifizieren von schädlichem Verhalten
Herausgabe von Warnmeldungen
146
Was sind wesentliche Aspekte der Sicherheitsvorfallbehandlung?
Aufklären von Vorfällen
Eindämmen des Schadens.
147
Was sollte im Rahmen der Sicherheitsvorfallbehandlung durchgeführt werden?
Ändern der Zugangsdaten bei betroffenen Systemen
Sicherung der Daten für die Forensik
Trennen der betroffenen Systeme vom Netz
148
Was sollte im Rahmen der Nachbereitung der Sicherheitsvorfallbehandlung dokumentiert/aufbewahrt werden?
Durchgeführte Aktionen
relevante Protokolldaten
Zeitliche Abläufe der Behandlung
149
Welche Fragestellungen sind im Rahmen der Nachbereitung der Sicherheitsvorfallbehandlung von Bedeutung?
Waren die Meldewege effektiv und effizient?
Waren die ergriffenen Maßnahmen wirksam und effizient?
Waren die Detektionsmaßnahmen wirksam?
Waren alle erforderlichen Unterlagen zur Behandlung des Vorfalls rechtzeitig verfügbar?
150
Was hat eine höhere Priorität, den Schaden einzudämmen oder den Vorfall aufzuklären?
Je nach Institution und Vorfall kann die Entscheidung hierzu unterschiedlich sein.
151
Bei einer BIA wird im Gegensatz zu einer Schutzbedarfsfeststellung nicht nur bewertet, welche Auswirkungen ein Ausfall eines Prozesses für die Institution hat, sondern auch wie sich der Schaden zeitlich entwickelt. Dazu ist es notwendig, sogenannte Zeithorizonte festzulegen. Was ist damit gemeint?
Für jede Bewertungsperiode wird der Schaden im Falle eines Ausfalls für den jeweiligen Geschäftsprozess durch die Angabe der Schadenskategorie (Schadenspotenzial) bewertet.
Es wird bewertet, welche Auswirkung ein Schaden hat, abhängig von der Dauer des Ausfalls.
152
Was bedeutet die "Recovery Time Objective (RTO) / Geforderte Wiederanlaufzeit (WAZ)"?
Die Zeit vom Schadensereignis bis zur Aufnahme des Notbetriebs.
153
Was gehört zu einem Business Continuity Managementsystem (BCMS)?
BCM-Prozess
BCM-Ressourcen
154
Was sind wesentliche Begriffe bei Eintritt eines Notfalles?
Wiederanlaufzeit
Maximal mögliche Notbetriebsdauer
155
Was sollte ein Notfallvorsorgekonzept beinhalten?
Das Notfallvorsorgekonzept beinhaltet den präventiven Anteil, wie die Ziele und allgemeinen Vorgaben der Leitlinie erreicht werden sollen.
Das Notfallvorsorgekonzept beinhaltet eine Vielzahl an Prozessbeschreibungen, Anweisungen und Hilfsmittel.
156
Was wird im Rahmen der Wiederherstellung mit dem "Notbetriebsniveau" ausgedrückt?
Die notwendige Leistungsfähigkeit des Notbetriebs.
157
Welche Aussage(n) zu Notfallvorsorge und Notfallbewältigung gem. BSI-Standard 200-4 ist/sind korrekt?
Notfallvorsorge befasst sich mit den vorsorglichen Maßnahmen, um die Wahrscheinlichkeit eines Notfalls zu minimieren und für eintretende Notfälle Vorgsorge zu treffen.
158
Welche "Szenare" werden gem. BSI-Standard 200-4 tiefergehend behandelt?
Krise
Notfall
159
Welche Aussage wird implizit mit dem "Maximal zulässigen Datenverlust" getroffen?
In welchen Abständen eine Datensicherung erfolgen muss, um den Datenverlust auf das tolerierbare Niveau zu halten
160
Sie sollen eine Business Impact Analyse (BIA) für eine Institution durchführen. Was müssen/sollten Sie hierbei gem. BSI-Standard 200-4 beachten?
Die BIA erfolgt stets bezogen auf die Auswirkungen eines Geschäftsprozessausfalls, nicht auf die Ursachen.
Der Ressourcenbedarf kann sich in Abhängigkeit zur Dauer des Notbetriebs ändern.
Das Schadenspotenzial der betrachteten Geschäftsprozesse einer Organisationseinheit muss für alle definierten Zeithorizonte bewertet werden.
161
Ist es grundsätzlich möglich einen Informationsverbund, der nach IT-Grundschutz zertifiziert ist, ohne größeren Aufwand auch nach ISO 27001 "nativ" zertifizieren zu lassen?
Ja, denn der BSI Grundschutz erfüllt die Vorgaben der ISO-Norm (nur andere Dokumentation).
162
Nach welcher/welchen Norm(en) kann ein ISMS zertifziert werden?
ISO 27001
163
Was ist unter einer Zertifizierung zu verstehen?
Verfahren, mit dessen Hilfe die Einhaltung bestimmter Normen/Standards nachgewiesen wird.
164
Welche Informationen sollten Sie als ISB im Rahmen Ihrer Tätigkeit betrachten/bewerten?
Quartalsberichte des Unternehmens.
Informationen im Rahmen von Telefonkonferenzen im Unternehmen.
Besprechungsprotokolle.
165
Was zählt u.a. zu den Grundwerten der Informationssicherheit gem. der BSI-Standard 200-x?
Verfügbarkeit
Integrität
Vertraulichkeit
166
Welche Aussage(n) bezogen auf die DSGVO bzw. dem Standard-Datenschutzmodell (SDM) ist/sind zutreffend?
Das Standard-Datenschutz-Modell (SDM) ist eine mögliche Methode, mit der die Umsetzung der DSGVO erfolgen kann.
Die DSGVO ist immer dann zu betrachten, wenn personenbezogene Informationen verarbeitet werden.
167
Welchen Vorteil hat es aus Sicht des BSI, sich zertifizieren zu lassen?
Durch die Optimierung der Prozesse kann langfristig sogar Geld gespart werden.
Mitarbeiter sind stolz auf das Erreichte.
Es kann bei Ausschreibungen einen Wettbewerbsvorteil bedeuten.
168
Welches/Welche Gesetze/Verordnungen nehmen wesentlichen Einfluss auf die Informationssicherheit?
IT-Sicherheitsgesetz
DSGVO
169
Wodurch unterscheiden sich die Begriffe "Safety" und "Security"?
"Security" dient primär dem Schutz der Informationen.
"Safety" ist ein Begriff, der im Umfeld von Arbeitssicherheit genutzt wird, also z.B. dass Maschinen für den Menschen sicher betrieben werden können.
170
Wodurch kann die Informationssicherheit gefährdet werden?
Organisatorische Mängel
Höhere Gewalt
Vorsätzliche Handlungen
171
Gem. IT-Grundschutz sind verschiedene Vorgehensweisen möglich. Welche der folgenden Aussagen hierzu ist/sind richtig?
Für jeden Informationsverbund sollte generell immer die Standard-Absicherung das Ziel sein. In manchen Fällen ist es aber durchaus sinnvoll (z.B. kein ausreichendes Budget), zunächst die Basis- oder Kern-Absicherung durchzuführen, auf deren Grundlage dann später weiter aufgebaut werden kann.
Sie können in einem Informationsverbund zunächst eine Kern-Absicherung durchführen, um Ihre "Kronjuwelen" zu schützen. Im Anschluss sollten Sie die Standard-Absicherung anstreben.
172
Man hat Sie zum Informationssicherheitsbeauftragten (ISB) bestellt. Was liegt damit in Ihrer Zuständigkeit?
Die Umsetzung von Maßnahmen zur Informationssicherheit, allerdings verbleibt die Gesamtverantwortung bei der Leitungsebene.
In der Regel führen Sie das IS-Mgmt-Team.
173
Sie möchten nach erfolgreich durchgeführter Basis-Absicherung den nächsten Schritt gehen. Welche möglichen Vorgehen sind nun sinnvoll und entsprechen dem BSI-Standard 200-2?
Es besteht die Möglichkeit, auf Grundlage der Basis-Absicherung eine Kern-Absicherung für einen besonders schützenswerten Bereich durchzuführen. Durch die Basis-Absicherung wurde hierfür eine gute Grundlage gelegt.
Sie können wählen, ob Sie zunächst noch eine Kern-Absicherung für einen besonders schützenswerten Bereich (und erst später die Standard-Absicherung), oder ob Sie direkt die Standard-Absicherung durchführen möchten.
174
Was sind Managementprinzipien eines ISMS?
Kontinuierliche Verbesserung.
Kommunikation und Wissen.
Erfolgskontrolle im Sicherheitsprozess.
175
Welche Aussage(n) bezogen auf Informationssicherheit ist/sind korrekt?
Die Grundwerte der Informationssicherheit sind Verfügbarkeit, Integrität und Vertraulichkeit.
176
Welche Aussage(n) zu "Anforderungen bei erhöhtem Schutzbedarf" ist/sind gem. IT-Grundschutz-Kompendium richtig?
Anforderungen bei erhöhtem Schutzbedarf sind Vorschläge, was bei entsprechendem Schutzbedarf zur Absicherung sinnvoll umzusetzen ist. Die konkrete Festlegung erfolgt allerdings im Rahmen einer Risikoanalyse. Das bedeutet auch, dass die dort aufgeführten Anforderungen nicht abschließend sind.
177
Welche Aussage(n) zum IT-Grundschutz-Kompendium ist/sind richtig?
Die Bausteine im IT-Grundschutz-Kompendium sind nach ihrem jeweiligen Fokus in prozess- und systemorientierte Bausteine in insgesamt 10 Schichten aufgeteilt.
Die prozess- und systemorientierten Bausteine bestehen ggf. wiederum aus weiteren Teilschichten (z.B. SYS.1 Server; SYS.1.2.2 Windows Server 2012).
178
Welche Aussagen passen zum IT-Grundschutz?
Der IT-Grundschutz verfolgt einen ganzheitlicher Ansatz (Organisation, Personal, Technik und Infrastruktur) für die Informationssicherheit.
Konzentration auf typische Gefährdungen bei den jeweiligen Objekten/Themenfeldern.
179
Welche Informationen/Inhalte sind in Bausteinen des IT-Grundschutz-Kompendiums enthalten?
Zuständigkeit für den jeweiligen Baustein.
Informationen darüber, welche zusätzlichen Bausteine ggf. zu betrachten sind.
180
Welche Vorgehensweise sollte gewählt werden, wenn ein eng begrenzter Bereich (z.B die Forschungsabteilung) schnell nach ISO 27001 auf Basis von IT-Grundschutz zertifiziert werden soll?
Kern-Absicherung
181
Wie ist die korrekte Reihenfolge der erforderlichen Schritte bei der Standard-Absicherung gem. BSI-Standard 200-2?
Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check, Risikoanalyse.
182
Wie lauten gem. "Leitfaden zur Basis-Absicherung nach IT-Grundschutz" die 3 Schritte der Basis-Absicherung?
Initiierung, Organisation und Durchführung des Sicherheitsprozesses.
183
Wodurch wird die Informationssicherheit in der Institution möglicherweise gefährdet?
Dass Mitarbeiter Ihre Büros verlassen, ohne Ihren Arbeitsplatz-Computer zu sperren oder den Raum zu verschließen.
Durch Ausfall wichtiger Personen ohne ausreichende Vertretungsregelung (z.B. Administratoren).
Durch den Diebstahl eines einzelnen Notebooks der Institution.
184
Die IT-Grundschutz-Modellierung, also die Zuordnung von Bausteinen zu Zielobjekten, sollte dokumentiert werden. Welche Angaben sollten gem. BSI-Standard 200-2 mindestens enthalten sein?
Nummer und Titel des Bausteins.
Eine Begründung, falls ein Baustein als nicht relevant angesehen wird.
185
In Ihrem Informationsverbund müssen Sie u.a. auch eine Reihe von gleichartigen Clients (Windows 10) modellieren. Welche Aussage(n) treffen in diesem Fall zu?
Sie modellieren für dieses Objekt/diese Objektgruppe sowohl den Baustein "SYS.2.1 Allgemeiner Client" als auch den Baustein "SYS.2.2.3 Clients unter Windows 10", da diese sich ergänzen.
186
Nach der Festlegung des Geltungsbereiches ist gem. der IT-Grundschutz-Vorgehensweise die Strukturanalyse durchzuführen. Welche Aspekte werden hier betrachtet?
Es ist ein bereinigter Netzplan zu erstellen bzw. falls bereits vorhanden zu aktualisieren.
Auch Räume und Gebäude des Geltungsbereiches sind zu erfassen.
Es werden IT-, ICS- und IoT-Systeme sowie noch weitere Objekte erfasst, sofern sie zum Geltungsbereich gehören.
Es sollten sowohl zugehörige Geschäftsprozesse, Anwendungen als auch Informationen erfasst werden.
187
Was wird mit der Modellierung nach BSI-Standard 200-2 für die Standard-Absicherung bezweckt?
Bei einem realisierten Informationsverbund kann das Ergebnis der Modellierung als ein Prüfplan benutzt werden, um einen Soll-Ist-Vergleich durchzuführen.
Das IT-Grundschutz-Modell eines noch nicht realisierten Informationsverbundes kann das Ergebnis der Modellierung als ein Entwicklungsplan genutzt werden. Es beschreibt dann, welche Sicherheitsanforderungen bei der Realisierung erfüllt werden müssen.
188
Welche Aussage(n) ist/sind bezogen auf die Schutzbedarfsfeststellung richtig?
Es ist festzulegen, welche Werte in der Institution den Schutzbedarfskategorien „hoch“ bzw. „sehr hoch“ entsprechen. Diese Zuordnung wird zur Entscheidung benötigt, welche Objekte in die Risikoanalyse aufgenommen werden.
189
Welche Aussage(n), bezogen auf die Modellierung von Prozess-Bausteinen ist/sind korrekt?
Die Bausteine der Schicht "ISMS (Sicherheitsmanagement)" sowie "ORP (Organisation und Personal)" sind gem. IT-Grundschutz-Kompendium immer anzuwenden. Für die Schichten "CON (Konzepte und Vorgehensweisen)", "OPS (Betrieb)" sowie "DER (Detektion und Reaktion)" kann es Ausnahmen geben (wenn z.B. keine Telearbeit stattfindet ist dieser Baustein entbehrlich).
Prozess-Bausteine sind, bis auf einige Ausnahmen, mindestens jeweils einmal für den gesamten Informationsverbund anzuwenden.
190
Die Risikokategorien gem. BSI-Standard 200-3 ergeben sich aus der Eintrittshäufigkeit und der Schadenshöhe. Welche Kategorien schlägt der Standard bei der Eintrittshäufigkeit vor?
selten
mittel
häufig
sehr häufig
191
Wann muss eine Risikoanalyse gem. BSI-Standards explizit durchgeführt werden?
Wenn das Zielobjekt mit den existierenden Bausteinen des IT-Grundschutzes nicht ausreichend modelliert werden kann.
192
Was sollte die Grundlage für einen ersten IT-Grundschutz-Check gem. Standard 200-2 sein?
Das Ergebnis der Modellierung des betrachteten Informationsverbundes.
193
Was wird unter dem Begriff "Risikotransfer" verstanden?
Die Absicherung der finanziellen Auswirkungen durch Abschluss einer Versicherung.
Die Übertragung/Auslagerung der Aufgabe an einen qualifizierten Dienstleister.
194
Was wird unter dem Begriff "Risikoappetit" verstanden?
Gibt den Bereitschaftsgrad an, bestehende Risiken zu akzeptieren.
195
Welche Aktionspunkte gehören zur Vorbereitung des IT-Grundschutz-Checks?
Notwendigkeit der Beteiligung externer Stellen klären.
Hausinterne Dokumente wie z.B. erstellte Richtlinien und Konfigurationsvorgaben zur Sichtung zusammenstellen.
196
Welche Aspekte sind für die Definition des Begriffes "Risiko" gem. BSI-Standard 200-3 relevant?
Schadenshöhe
Eintrittshäufigkeit
197
Welche Aufgaben müssen bei der Standard-Absicherung vor Durchführung eines IT-Grundschutz-Checks erledigt werden?
Die Festlegung des Geltungsbereiches.
Die Schutzbedarfsfeststellung.
198
Welche Besonderheiten sind beim IT-Grundschutz-Check zu beachten, wenn die Institution sich zunächst im Rahmen der IT-Grundschutz-Vorgehensweise für die Kern-Absicherung entschieden hat?
Von den relevanten Bausteinen sind in der Regel alle Anforderungen zu betrachten, da bei der Kernabsicherung die "Kronjuwelen" des Unternehmens geschützt werden. Diese haben normalerweise einen hohen Schutzbedarf.
199
Welche Erfüllungsgrade gibt es im Rahmen des Grundschutz-Checks gemäß BSI-Standard 200-2?
entbehrlich
teilweise
200
Welche Aussagen sind passende Begriffe für den "IT-Grundschutz-Check" gemäß BSI-Standard 200-2?
Als Entwicklungsplan (für zu erfüllende Anforderungen) für den geplanten Informationsverbund.
Als Prüfplan für den Umsetzungsstand.
201
Wie lassen sich relevante Gefährdungen im Rahmen der Risikoanalyse charakterisieren?
Relevant sind u.a. Gefährdungen dann, wenn sie im vorliegenden Anwendungsfall und Einsatzumfeld realistisch sind.
Relevant sind u.a. Gefährdungen dann, wenn sie bei Eintritt zu einem nennenswerten Schaden führen.
202
Welche Vorgaben gibt es gem. BSI-Standard für den IT-Grundschutz-Check bezüglich der Dokumentation?
Es gibt keine expliziten Vorgaben dafür, wie die Dokumentation genau erfolgen muss. Es muss aber nachvollziehbar dokumentiert werden.
203
Wie ist mit Anforderungen zu Verfahren, die im Rahmen des IT-Grundschutz-Checks mit dem Umsetzungsstand "nein" bewertet wurden?
Es ist zu bewerten, welche Risiken bis zur Erfüllung der Anforderung noch verbleiben.
204
Bei der Informationssicherheitsstrategie gem. Standard 200-2 sollten Leitaussagen zur Messung der Zielerreichung getroffen werden. Was sollte dabei definiert werden?
Was zu überwachen und zu messen ist.
Zuständigkeit für die Überwachung und Messung.
205
Die erfolgreiche Umsetzung von Sicherheitsmaßnahmen sollte regelmäßig überprüft werden. Was sollte dabei besonders beachtet werden?
Prüfung und Audit sollten nach Möglichkeit nicht von denjenigen durchgeführt werden, die die jeweiligen Sicherheitsvorgaben entwickelt haben.
Prüfung und Audit sollten nicht von denjenigen durchgeführt werden, die für die Umsetzung zuständig sind.
206
Es gibt eine Vielzahl an Möglichkeiten, die Qualität der Informationssicherheitsmaßnahmen zu prüfen und daraus Rückschlüsse für das Verbesserungspotential zu ziehen. Welche könnten dies sein?
Eine Sicherheitsrevision
Ein Cyber-Sicherheits-Check
207
In der Umsetzungsplanung machen Sie sich Gedanken darüber, welche realisierungsbegleitenden Maßnahmen sinnvoll umzusetzen sein könnten. Welche sollten dies sein?
Maßnahmen können nur dann wirkungsvoll umgesetzt werden, wenn die entsprechenden Mitarbeiter auch geschult sind. Daher sollte dies so früh wie möglich begleitend zur Umsetzung passieren.
208
Sie haben den Grundschutz-Check abgeschlossen und müssen nun die noch zu realisierenden Maßnahmen planen. Was sind mögliche Kriterien für die Umsetzungsplanung?
Sie können sich daran orientieren, wie groß der Einfluss einer umzusetzenden Maßnahme auf die Verbesserung des Sicherheitsniveau ist.
Sie können sich an den Angaben zum Lebenszyklus der Umsetzungshinweise orientieren. Dabei können Sie Erkenntnisse bezüglich der Dringlichkeit der Maßnahmen gewinnen.
Sie können prüfen, ob eine Maßnahme eine besonders große Wirkung in der Breite Ihres Informationsverbundes bietet. Ist das der Fall, sollte sie vorrangig umgesetzt werden.
209
Warum ist auch die Umsetzungsplanung wichtig im Gesamtprozess?
Um möglichst zielgerichtet und schnell den Stand der InfoSicherheit im Informationsverbund zu verbessern.
Weil bislang nur der "Status Quo" festgestellt wurde. Nun müssen die defizitären Anforderungen noch durch Maßnahmen erfüllt werden.
Um eine möglichst fristgerechte Umsetzung der Maßnahmen sicherstellen zu können.
210
Was ist bei einer Festlegung von Aufgaben und Verantwortlichkeiten zu beachten?
Es ist festzulegen, wer für die Überwachung der Realisierung verantwortlich ist.
Es ist genau festzulegen, an wen der Vollzug zu melden ist (im Normalfall der ISB)
Sie ist wichtig, um eine fristgerechte Umsetzung der Maßnahmen sicherzustellen zu können.
211
Welche Anteile gehören zur Kosten- und Aufwandsschätzung?
Die Ermittlung kostengünstigerer Ersatzmaßnahmen bei Budgetengpässen.
Der personelle Aufwand.
Die Kosten der einzelnen Maßnahmen.
212
Welche dieser Bausteine sind vorrangig (R1) umzusetzen?
Organisation
ISMS
213
Welche Schritte gehören u.a. zur Umsetzungsplanung?
Verantwortlichkeiten festgelegen
Umsetzungsreihenfolge festgelegt
214
Welchen Zielen dient die Ermittlung von Informationssicherheits-Kennzahlen?
Sie helfen bei der Berichterstattung an das Management.
Sie können der Überwachung der Effektivität von Maßnahmen dienen.
Sie können als Grundlage für Schulungs- und Sensibilisierungsmaßnahmen dienen, um mögliche Konsequenzen darzustellen.
215
Welcher der folgenden Aspekte wird durch das ISMS-Reifegradmodell beurteilt?
Wirksamkeit des ISMS
216
Welcher Reifegrad gehört zur Beschreibung "ISMS ist voll etabliert und dokumentiert"?
Reifegrad 3
217
Für welches Niveau werden IT-Grundschutz-Profile geschrieben?
Im Profil wird festgelegt, welches Niveau mit dem Profil erreicht werden soll. Es können auch Aussagen getroffen werden, ob mit der Umsetzung des Profils eine Zertifizierung erreicht werden könnte.
218
IT-Grundschutz-Profile sollen die Arbeit für die jeweiligen Anwender vereinfachen. Wer darf ein solches IT-Grundschutz-Profil erstellen?
Grundsätzlich darf jeder ein IT-Grundschutz-Profil erstellen. In der Regel werden sie durch Gremien oder Anwendergruppen einer Branche beziehungsweise durch Vertreter eines Themenbereichs erstellt.
219
Welche Anteile eines Unternehmens können mittels IT-Grundschutz-Profilen abgebildet werden?
Informationsverbünde, Geschäftsprozesse sowie auch Fachaufgaben.
220
Welche Anteile gehören zur Struktur eines IT-Grundschutz-Profils?
Der Geltungsbereich (Scope) des IT-Grundschutz-Profils.
221
Welche Unterstützungsleistungen bietet das BSI zur Entwicklung eines IT-Grundschutz-Profils?
Die Moderation von 3 Workshops zur Entwicklung eines IT-Grundschutz-Profils.
222
Welche(r) Begriff(e) trifft/treffen auf das "IT-Grundschutz-Profil" am ehesten zu?
Musterszenar für ein Informationssicherheitskonzept.
223
Was wird unter einem Systemaudit verstanden?
Systemaudits prüfen die Normkonformität eines Managementsystems.
224
Jedes einzelne Mitglied des Auditteams muss der Zertifizierungsstelle des BSI gegenüber eine Unabhängigkeitserklärung abgeben. Interessenskonflikte werden hierdurch vermieden. Interessenskonflikte können z.B. bei folgenden Konstellationen auftreten, wobei ein Zeitraum von drei Jahren betrachtet wird:
Eine Geschäftsanbahnung (z.B. nicht erfolgreiche Bewerbung um eine Beratung).
Geschäftliche Verbindungen zwischen dem Auditor oder dem Arbeitgeber des Auditors und der auditierten Institution.
Eine Beratung der Institution durch den Auditor selbst oder einen Kollegen / Vorgesetzten / Mitarbeiter des Auditors.
225
Unter welchen Umständen kann ein bestehendes Zertifikat ausgesetzt/zurückgezogen werden?
Das Zertifikat kann ausgesetzt/zurückgezogen werden, wenn ein Überwachungsaudit nicht durchgeführt wird.
Das Zertifikat kann ausgesetzt/zurückgezogen werden, wenn es Abweichungen und Empfehlungen aus dem Auditbericht gibt, die ohne ausreichende Begründung nicht behoben bzw. beachtet werden.
Das Zertifikat kann ausgesetzt/zurückgezogen werden, wenn ein Verstoß gegen Auflagen aus der Zertifizierung bekannt werden (beispielsweise ein Verstoß gegen die Verwendungsbedingungen für das Zertifikat, die Nichteinhaltung von Auflagen).
226
Was ist/sind die unmittelbare(n) Grundlage(n) für die Zertifizierung nach IT-Grundschutz?
ISO 27001
227
Was verstehen Sie unter einem "Internen Audit"?
Interne Audits werden dazu verwendet, Fehlerquellen zu entdecken und zu beseitigen oder auch Verbesserungspotential zu entdecken.
Ein anderes Wort für das interne Audit ist auch das "First Party Audit".
228
Welche Art von Abweichung verhindert gem. der Kriterienbeschreibungen des BSI in der Regel die Erteilung eines Zertifikats?
Schwerwiegende Abweichung
229
Welche Arten von Audits sind für die Informationssicherheit relevant?
Ein Überwachungsaudit.
230
Welche Aussagen bezogen auf die Überwachungsaudits treffen zu?
Das erste Überwachungsaudit findet frühestens nach 9 Monaten nach der Zertifikatserteilung statt.
231
Welche Aussagen, bezogen auf den BSI-Zertifizierungsprozess sind korrekt?
Während der Umsetzungsprüfung durch den Auditor wird vor Ort u.a. die Korrektheit, und Wirksamkeit der in den Referenzdokumenten beschriebenen Maßnahmen geprüft.
232
Welche der nachfolgenden Aufgaben gehören zum Auditprozess?
Im Rahmen der Zertifizierung wird eine Vor-Ort Prüfung durchgeführt.
Die Dokumentenprüfung ist eine Aufgabe des Auditteams.
Es wird zur Vorbereitung der Vor-Ort-Prüfung ein Auditplan erstellt.
233
Welche besonderen Vorgaben gibt es für eine Erstzertifizierung nach ISO 27001 auf Basis von IT-Grundschutz?
Es erfolgt erst eine Dokumentenprüfung und im Anschluss eine Vor-Ort Prüfung.
234
Wann muss von einem Sicherheitsvorfall für eine Institution ausgegangen werden?
Die Institution legt individuell fest, was als Sicherheitsvorfall zu werten ist
235
Welche Vorgaben/Vorschläge gibt es bezogen auf Meldeverfahren/-wege für Sicherheitsvorfälle?
Sie sollten aktuell und leicht zugänglich sein
236
Was sind die wesentlichsten Aspekte der Sicherheitsvorfallbehandlung?
Aufklären von Sicherheitsvorfällen
Eindämmen des Schadens bei Sicherheitsvorfällen.
237
Was sollte bei der Nachbereitung der Sicherheitsvorfallbehandlung dokumentiert/aufbewahrt werden?
Welche Aktionen durchgeführt wurden.
Relevante Protokolldaten sind aufzubewahren.
Wie die zeitlichen Abläufe der Behandlung waren.
238
Welche Priorisierung sollte höher sein? Den Schaden einzudämmen oder den Vorfall aufzuklären?
Bei jeder Institution und bei jedem Vorfall kann die Entscheidung hierzu unterschiedlich sein.
239
Welche Anteile gehören zu einem Business Continuity Managementsystem (BCMS)?
BCM-Methoden
BCM-Organisation
240
Was bedeutet "Notbetriebsniveau"?
Die erforderliche Leistungsfähigkeit des Notbetriebs.
241
Welche Aussagen zu Notfallvorsorge und Notfallbewältigung sind richtig?
Notfallvorsorge befasst sich mit Maßnahmen, die die Wahrscheinlichkeit eines Notfalls minimieren.
242
Was soll die Leitlinie zum BCMS bewirken?
Festlegung der wesentlichen Rahmenbedingungen.
Absichtserklärung der Institutionsleitung.
243
Welche BCMS Stufenmodelle gibt es gem. BSI-Standard 200-4?
Aufbau-BCMS
Reaktiv-BCMS
244
Wann sollte der Aufbau der "Besonderen Aufbauorganisation (BAO) durchgeführt werden?
Die BAO kann sowohl vor, während oder auch nach Absicherung der Geschäftsprozesse erfolgen.
245
In das Notfallvorsorgekonzept sind viele Aspekte aufzunehmen und sind zu berücksichtigen. Welche sind dies u. a.?
Das Notfallvorsorgekonzept beinhaltet alle Dokumente des BCMS, die nicht im Notfall benötigt werden
246
Sie werden beauftragt eine Business Impact Analyse (BIA) für Ihre Institution durchzuführen. Was sollten Sie hierbei gem. BSI-Standard 200-4 beachten?
Sie sollten prüfen, welche Geschäftsprozesse für die Ziele Ihrer Institution nicht wesentlich sind. Diese klammern Sie für die weiterführende Analyse aus.
Es kann passieren, dass bereits festgelegte Wiederanlaufparameter aufgrund von Abhängigkeiten zu anderen Geschäftsprozessen geändert werden müssen.
247
Welche Aspekte sind bei der Schadensanalyse im BCMS zu berücksichtigen?
Die Schadenskategorien sind vergleichbar mit den Schutzbedarfskategorien gem. BSI-Standard 200-2.
Es sind die Schadenskategorien für die Institution festzulegen. Üblicherweise wird mit 3 bis 5 Kategorien gearbeitet.
Bei der Bewertung von Schadensverläufen ist ggf. zu beachten, das bestimmte Geschäftsprozesse (z.B. beim Jahresabschluss in der Buchhaltung) zu definierten Zeiten andere Verfügbarkeitsanforderungen haben.
248
Welche(r) der nachfolgenden Begriffe ist/sind Bestandteil des BCM-Prozesses gem. BSI-Standard 200-4?
Notfallbewältigung
Tests und Übungen
