MemoCard lernen mit System

A25d - Welche Tätigkeiten sind beim Risikomanagement nach ISO 27001 zwingend zu machen

Risiken behandeln
Risiken bewerten
Risiken bestimmen
die Zertifizierung muss im 4then Jahr wiederholt werden

A35j - Welche „Normen“ beschäftigen sich mit dem Risikomanagement? (soll wohl "A25j" sein)

ISO 27005
BSI Grundschutz 200-3
ISO 31000
ISO 9001

A07i - Was ist die Aufgabe des Notfallmanagements nach BSI 100-4

BCM business continuity management
Der BSI-Standart 100-4 stellt einen systematischen Weg auf, ein Notfallmanagement in deiner Behörde oder in einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen

A22i- Was soll zum Thema Ereignisprotokollierung umgesetzt sein?

Auch Aktivitäten von Administratoren sollten protokolliert werden
Administratoren sollten nicht in der Lage sein, die Protokolle ihrer eigenen Aktivitäten zu ändern
Nicht synchron laufende Uhren in den Systemen erschweren die Auswertung von -Protokollinformationen deutlich

A20c - Unter welchen Umständen kann eine Organisation Anforderungen aus dem Kapitel 4 der ISO-27001 für nicht anwendbar erklären?

wenn nach BSI Grundschutz zertifiziert wurde 200-2 etc.
man kann über die SOA gewisse Teile ausschließen
Unter keinen Umständen (wenn eine Organisation Konformität mit dieser internationalen Norm für sich beansprucht, darf sie keine der Anforderungen in den Abschnitten 4 bis 10 ausschließen.)
nur wenn du nicht 27001 konform sein willst

A22d - Wer ist für die Informationssicherheit im Unternehmen / in der Organisation verantwortlich?

Der IT-Sicherheitsbeauftragte
alle
Die Geschäftsleistung

A07c - Für wen gilt das am 25.07.2015 in Kraft getretene IT-Sicherheitsgesetz?

Betreiber von Webangeboten
Betreiber kritischer Infrastrukturen
BSI
Telekommunkationsunternehmen

A26k - Was ist eine Krise nach dem BSI Notfallmanagement?

Eine Krise ist ein verschärfter Notfall, in dem die Existenz des Unternehmens oder Leben und Gesundheit von Personen gefährdet sind.
Eine krise ist die Vorstufe einer Katastrophe
Eine Krise ist eine ungeplante Abweichung vom Normalbetrieb, die mit der normalen Aufbau- und Ablauforganisation nicht bewältigt werden kann.

A03d - Was bezeichnet die „MTA“ im Rahmen des Notfallmanagements?

Medizinisch technische Assistentin
Dieser Wert gibt an, wann ein Prozess spätestens wieder anlaufen muss, damit die Überlebensfähigkeit einer Institution kurz oder langfristig nicht gefährdet ist.
minimum technical accountabie

A05f - Wie kann eine Risikobehandlung durchgeführt werden?

Risiko transferieren
Risiko akzeptieren
Risiko minimieren
Risiko reduzieren

Welche sind Bereiche, die eine besondere Aufmerksamkeit in Bezug auf Zugang und Zugriff benötigen?

Abteilungschef
Geschäfsführer
Privilegierte Benutzer, wie Tool, Systtemadministratoren
Bereiche, wo Werkzeuge mit privilegierten Rechten zum Einsatz kommen (Datenbanktools, Netzwerk-Sniffer, …)

A25c - Was ist in Bezug auf Zugänge in einer Organisation zu beachten

Benutzerzugangsrechte sollen regelmäßig überprüft werden
Bei Beendigung der Beschäftigung sollen die Zugangsrechte wieder entzogen werden.
Für die Zugangsteuerung sollte es eine Richtlinie geben

A03f - Was ist die Aufgabe einer Firewall?

Alle Daten kontrollieren, die in das eigene Netzwerk hineinkommen oder es verlassen
vor Spam-Mail schützen
Programme aktualisieren

A20d - Wodurch können Informationssicherheitsvorfälle hervorgerufen bzw. begünstigt werden?

Ungesteuerte Systemänderungen
Fehlfunktionen von Systemen
Äußere Einwirkungen wie z.B. Wetterereignisse
Verstöße gegen Sicherheitsvorschriften

A03b - Was gehört im engeren Sinn zum Thema Cybercrime:

Computersabotage
Computerbetrug
Computerzerstörung
Ausspähen von Daten

A03e - Welche Aussage/n zum Umgang mit technischen Schwachstellen der in der Organisation eingesetzten Software ist/sind wichtig?

Die Organisation sollte Aufgaben und Verantwortlichkeiten zum Einholen von Informationen über und zum Umgang mit technischen Schwachstellen festlegen
Ein Patch sollte vor der Installation getestet und beurteilt werden
Informationen zu technischen Schwachstellen sollte rechtzeitig eingeholt werden

A22f - Wozu sind Sicherheitsperimeter?

Sie sind KPIs und dienen der Ziellerreichungsmessung
Dienen dem Schutz der organisationseigenen Werte
Sollten festgelegt werden

Zugriff bedeutet

die Möglichkeit der Nutzung bestimmter Daten und Informationen
Autorisierung des Benutzers für den Zugriff auf bestimmte Dateien, Verzeichnisse, Programme und Funktionen
Zugriff bedeutet die Rechtevergabe auf bestimmte Objekte

Was gehört in eine strategische Sicherheitsleitlinie?

IT-Sicherheit ist Chefsache
Verantwortlichkeiten und Kompetenzen zuweisen: es wurde ein IT-Sicherheitsbeauftragter ernannt.
Selbstverpflichtung auf IT-Sicherheit und deren kontinuierliche Verbesserung
Ausrichtung der IT-Sicheriet nach Unternehmenszielen
Informationssicherheitsziele oder einen Rahmen, um diese festzulegen
Aufbauorganisation und (grobe) Ablaufprozesse

A07d - Muss eine SOA (Statement of Applicability) bei der ISMS-Einführung erstellt werden?

Nur wenn du 27001 konform sein willst
Wenn nach BSI Grundschutz zertifiziert wurde 200-2 etc.
unbedingt

A26e - Was ist eine Katastrophe nach BSI 100-4

Eine Katastrophe ist nicht auf das eigene Unternehmen beschränkt
Ein Großschadensereignis, zum Beispiel als Folge von Überschwemmungen oder Erdbeben
Katastrophen können nur durch Mitarbeiter ausgelöst werden
Eine Katastrophe verhält sich aus Sicht des betroffenen Unternehmens wie eine Krise

A06f - In welchen Schritten gliedert sich die Sicherheitskonzeption des BSI-Standards 200-2 in der Standartabsicherung?

Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check, Konsolidierung
Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check,
Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check, Risikoanalyse
Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check Teil 1 und 2,

A21f - Wie wird in der ISO 27001 die Bereitstellung der Ressourcen beschrieben? Welches Kapitel?

in 5.1 Abschnitt c Die Führung ist verpflichtet sicherzustellen, dass die für das Informationssicherheitsmanagementsystem erforderlichen Ressourcen zur Verfügung stehen
(in 7.1) Die Organisation muss die zur Einrichtung, Implementierung, Aufrechterhaltung und laufenden Verbesserung des ISMS erforderlichen Ressourcen ermitteln und bereitstellen
nur in Anhang A.12

A22h - Welche Maßnahmen zum Schutz vor Schadsoftware müssen ergriffen werden?

Schadsoftware soll jeder Mitarbeiter beseitigen können
Mitarbeiter sollten für das Problem von Schadsoftware angemessen sensibilisiert werden
Beseitigte Schadsoftware muss vom Mitarbeiter an die Landesbehörde gemeldet werden
Bekannte technische Schwachstellen sollten behoben werden (Patch Management)

Welche Themen zum Verstehen des externen Kontextes einer Organisation nach ISO 27001 können dazugehören?

Trends und Entwicklungen, die sich auf die Zielerreichung des Unternehmens auswirken können
Alle Themen der Budgetplanung
technische Trends und Entwicklungen, die sich auf die Zielerreichung des Unternehmens auswirken können
soziale und kulturelle themen

A21d - Was gehört zum Verstehen des inneren Kontextes einer Organisation aus der ISO 27001 dazu?

Firmenkultur
Unternehmensziele
Unternehmensstruktur und Entscheidungswege
Stellenbeschreibungen

A16b - Wie ist die Verbreitung von Werkzeugen für Cyberangriffe?

Gibt es nicht, Fake-News
Teilweise ganz normale Werkzeuge, die auch für die Administration und Überprüfung der eigenen Netze einsetzbar sind
Es sind auch Baukästen im DarkNet, die man kaufen kann
Vielfach frei Verfügbar

Was muss bei einer Ereignisprotokollierung beachtet werden?

Aktivitäten von Admins müssen auch protokolliert werden
Admins sollten nicht in der Lage sein, eigene Protokolle zu ändern
Admins müssen gut bezahlt werden
Nicht synchron gehende Uhren erschweren die Auswertung

A04f - Was umfasst bzw. grenzt die IT-Sicherheit von der Informationssicherheit ab?

IT-Security betrachtet technische Aspekte der Informationssicherheit
Informationssicherheit und IT-Sicherheit sind im Wesentlichen identisch
Informationssicherheit umfasst die IT-Security

A16e - Was legt einen Informationssicherheitsleitlinie fest?

stellt u.a. die Sicherheitsziele einer Organisation dar
legt u.a. die Strategie zur Umsetzung fest
legt u.a. die Konzepte zur Umsetzung fest

A07g - Welche Aufgabe hat Ethical Hacking?

Schwachstellen und Risiken in einer Infrastruktur zu identifizieren/Hacking mit Erlaubnis
Netzwerk ausspionieren
Schwachstellen in einer Infrastruktur ohne Erlaubnis ausnutzen
Datenklau

A06b - Welche Aussagen zum Datenschutz gibt es in Bezug auf Daten?

Datenschutz beschäftigt sich ausschließlich mit personenbezogenen oder personenbeziehbaren Daten.
Der Datenschutz beschäftigt sich mit allen Daten im Unternehmen

A05g - Was beinhaltet eine Informationssicherheitsrichtlinie?

Unter anderem: Sicherheitsziele
Unter anderem: Konzepte zur Umsetzung
Unter anderem die Strategie

A25h - Was sollten dokumentierte Bedienabläufe enthalten?

Die Dokumentation sollte Informationen zur Durchführung von Backups enthalten
Dokumentation des gesamten ISMS
Dokumentation der ISO 27001
Die Dokumentation sollte Informationen zur Durchführung von Systemneustarts enthalten

A05d - Nennen Sie die Norman, die sich im Kern mit der IT-Sicherheit beschäftigen:

ISO 27000 Serie
NIS Richtlinie
ISO 27001
BSI 200-2

A20g - Aus welchen beiden Blickwinkeln betrachtet die ISO-27001 im Kern die Informationssicherheit?

Prozessorientiert
Risikobasiert

Was beschreibt der ISO 270002 Standard?

Die 27002 ist eine Best-Practice /ist eine Anleitung für die Umsetzung der in Anhang A ISO 27001 bestimmten Maßnahmen/Anforderungen
Formulare, die eingesetzt werden bei der Zertifizierung nach 27001
die Form in der die Umsetzung von 27001 stattfinden muss

A20b - Was ist bei Rollen, die im Konflikt stehen, in der Informationssicherheit zu beachten?

Miteinander in Konflikt stehende Rollen sind unbedingt zu vermeiden.
Miteinander in Konflikt stehende Rollen sollen nicht vom selben Rolleninhaber besetzt werden
Sind Rollenkonflikte nicht zu vermeiden, sollen andere Maßnahmen wie eine zusätzliche Überwachung in Betragt gezogen werden
Miteinander in Konflikt stehende Aufgabenfelder sollen nicht in einer Rolle zusammenfallen

A14b - Welche Haftung hat ein IT Security Beauftragter in der Praxis?

er haftet für den Bilanzverlust
Eine Haftung kommt auch bei unterlassenen Tätigkeiten/mangelhafter Aufgabenerfüllung in Frage
Sowohl ein interner als auch ein externer Informationssicherheitsbeauftragter haftet dem Unternehmen gegenüber grundsätzlich für Schäden, die er schuldhaft verursacht hat
er haftet für Stromausfall

A25e - Was ist bei der Ereignisprotokollierung zu beachten?

Ereignisprotokolle sollten regelmäßig überprüft werden
Da Ereignisprotokolle oftmals personenbezogene Daten enthalten, müssen sie besonders geschützt werden
Es sollte definiert werden, was protokolliert wird
Da Ereignisprotokolle möglicherweise Rückschlüsse auf das Arbeitsverhalten von Mitarbeitern erlauben, ist ggf. der Betriebsrat zu beteiligen

A04g - Was versteht man unter Cross-Site-Scripting-Angriffe?

Infizierte Webseiten übertragen Viren
Infizierte Webseiten blenden Werbung ein
Infizierte Webseiten nützen Sicherheitslücken aus

Was heißt ISMS?

Informations-Sicherheits-Management-System
International-Security-Management-System

A14f - Was betrachtet die Informationssicherheit außer technische IT-Sicherheit?

Grundsätzlich alle Informationen im Unternehmen, unabhängig des Speichermediums
Information in den Köpfen der Mitarbeiter
Informationen, welche in IT-Systemen gespeichert sind

Wie ist die richtige Reihenfolge?

Identitätsprüfung – Autorisierung – Rechtezuweisung
Autorisierung – Rechtezuweisung - Identitätsprüfung
Identitätsprüfung – Rechtezuweisung – Autorisierung
Rechtezuweisung – Identitätsprüfung - Autorisierung

A06c - Wen umfasst das BSI-Gesetz zu den kritischen Infrastukturen?

alle Unternehmen
Alle Unternehmen der im Gesetz aufgeführten Sektoren (Ernährung, Wasser, Energie, Transport und Verkehr, Gesundheit, Finanz und Versicherungswesen, Information und Telekommunikation), die die in der jeweiligen Rechtsverordnung genannten Schwellenwerte überschreiten.

A05b - Welche Aussagen können Sie zum Cybercrime machen?

Im Bereich Cybercrime ist das Dunkelfeld sehr groß.
Gruppen der organisierten Kriminalität (OK) betätigen sich zunehmen im Internet
Zur Cyberkriminalität im weiteren Sinne zählen die Delikte, in denen das Tatmittel Internet eingesetz wird.
mit Cybercrime verdient man Geld

A16g - Nach ISO 27001 haben IT-Sicherheitsziele welche Eigenschaften?

Im Unternehmen bekannt gemacht werden
sie sind allen bekannt
sie müssen deutsch formuliert sein
Sollen nach Möglichkeit messbar sein

A21j - In welchen Bereichen sollte die Informationssicherheit zusätzlich zur IT-Abteilung berücksichtigt werden?

Sollte auch im Projektmanagement, in jeder Art von Projekt berücksichtigt werden
in jeder Art von Projekt (nur im Buch richtig)
Im Organigramm
Spielt auch im Personalbereich eine wichtige Rolle

A21b - Um ISO-27001 konform zu sein, muss das ISMS wie verwirklicht sein?

Aufgebaut und realisiert
Fortgeführt bzw. aufrechterhalten werden
Kontinuierlich verbessert werden

A21k - Wo sollte der IT-Sicherheitsbeauftragte am besten innerhalb einer Organisation angesiedelt sein?

in der IT-Abteilung
in der Organisationsabteilung
Als Stabstelle bei der Organisationsleitung

Welche Maßnahmen der Zugangskontrolle gibt es? (Die Frage kommt nach Thomas nicht)

technische/bauliche Sicherung der Netzgeräte (W/LAN)
Schutz des IT-Systems durch Virenscanner vor Malware
Einschränkung des Systemzugangs durch Firewall
Verschlüsselung wichtiger Datenübertragungen
Weitere Zugangskontrollen durch Zwei-Faktor-Authentifizierung (USB-Dongles, SmartCards, Hardware-Token, biometrische Erkennungsverfahren)
Zugriffssperre bei mobilen Geräten

A25i - Was sollte beim Umgang mit mobilen Geräten aus der Sicht der IT Sicherheit beachtet werden?

Sie sollten in einem Softcover getragen werden
Mitarbeiter, die Mobilgeräte einsetzen, sollten besonders für die Gefahren des Einsatzes dieser Geräte sensibilisiert werden
Bei Einsatz von Mobilgeräten an öffentlichen Plätzen (z.B. am Flughafen oder in der Bahn) ist besonders auf die Vertraulichkeit zu achten
Mobilgeräte sollten vor Diebstahl geschützt werden

A04i - Wie soll sich ein Mitarbeiter verhalten, wenn es auf seinem System zu einem Sicherheitsvorfall kommt?

IT-System herunterfahren
IT-Sicherheit benachrichtigen
Vom Netz (LAN) nehmen
Bildschirminfos speichern/sichern

A21i - Die ISO 27001 fordert alles Stakeholder zu bestimmen. Wer kann dazu gehören?

Mitarbeiter/Personal
Öffentlichkeit
Kunden
Behörden

A25g - Was bedeutet der Begriff Zugang?

Login+Passwort
Fingerabdruck-Einlass-System
Die Möglichkeit der Nutzung eines IT Systems, eventuell mit vorheriger Anmeldung

A22b - Welche Voraussetzungen sind zur Behandlung von Informationssicherheitsvorfällen wichtig?

Anlaufstellen für die Informationssicherheitsvorfälle eingerichtet und im Unternehmen bekannt sind
Prozesse für die Reaktion der Organisation definiert sind
Mitarbeiter in der Lage sind, Informationssicherheitsvorfälle zu erkennen und wissen, wo sie diese melden müssen
Verfahren für den Umgang mit forensischen Beweismitteln festgelegt sind

A16d - Wie wird der Begriff Vertraulichkeit am besten beschrieben?

Informationen sind vor der unberechtigten Offenlegung geschützt
Informationen sind nicht von Dritten änderbar.

A03k - Das Modell „Role-Based-Access-Control (RBAC)“ gehört zu welchem Kontrollmodell?

Eingangskontrolle
Zugangskontrolle
Zutrittskontrolle
Zugriffskontrolle

A21g - Nach der ISO 27001 muss für das ISMS ein Anwendungsbereich festgelegt werden. Dazu kann/können gehören?

Schnittstellen und Abhängigkeiten zwischen Tätigkeiten, die von der Organisation selbst ausgeführt werden und denen, die von anderen ausgeführt werden
Die Themen des bestimmten internen und externen Kontextes
Die Räume der Geschäftsführung
Die Anforderungen der interessierten Parteien

A25n - Wo werden die Awareness-Maßnahmen für die Informationssicherheit geregelt?

Das BSI IT-Grundschutzkompendium fordert und beschreibt Awareness Maßnahmen
Die ISO 27001 fordert Awareness Maßnahmen
Zu den Aufgaben des Datenschutzbeauftragten gehört auch die Beratung und Unterrichtung der Mitarbeiter hinsichtlich ihrer Pflichten in Bezug auf den Datenschutz (Art 39)

A20f - Welche Aufgaben schreibt ein ISMS der Führung eines Unternehmens/Organisation vor?

Die fortlaufende Verbesserung des ISMS zu fördern
Strafen festlegen
Personen anzuleiten und zu unterstützen, damit diese positive Beiträge zum ISMS leisten können
Sicherzustellen, das die Informationssicherheitspolitik mit den strategischen Zielen der Organisation vereinbar ist
Sanktionsmechanismen bei Verstößen etablieren

A26d - Welche Rollen gehören zur Notfallvorsorge?

Notfallkoordinator (Folie 08.01S07)
Notfallvorsorgeteam
Notfallbeauftragter
Unternehmensleitung

A21h - Welche Themen zum Verstehen des externen Kontextes einer Organisation nach ISO 27001 können dazugehören?

Technische Trends und Entwicklungen, die sich auf die Zielerreichung der Organisation auswirken können
Soziale und kulturelle Themen
Die natürliche Umwelt

A26j - Welcher der vier Standards des BSI beschäftigt sich mit dem Notfallmanagement?

BSI ISMS (200-1)
BSI Risikoanalyse (200-3)
BSI Notfallmanagement (100-4)
BSI Vorgehen (200-2)

A14c - Wie kann ein angemessenes Niveau in der IT Sicherheit erreicht werden?

Bedarf es eines abgestimmten Zusammenspiels von technischen, organisatorischen und rechtlichen Maßnahmen
ist der Aufbau und Betrieb eines ISMS zielführend
Durch Kauf einer Firewall
Durch Umsetzung vernünftiger Sicherheitsmaßnahmen

A04j - Sie besuchen eine Internetseite. Woran erkennen Sie, dass die Daten sicher übertragen werden?

Die aufgerufene Internetseite zeigt ein Schloss
Die URL der aufgerufenen Internetseite beginnt mit https://
Es muß eine Authentifizierung stattfinden

A03h - Um ein Ad-hoc-Drahtlosnetzwerk einzurichten, müssen drei Elemente zwischen den Teilnehmern vereinbart werden. Dies sind:

Wenn ein WEP aktiviert ist, WEP-Schlüssel, SSID und zu verwendende IP Adressen
Wenn ein WEP aktiviert ist, WEP-Schlüssel, SSID und zu verwendende Frequenz
Wenn ein WEP aktiviert ist, WEP-Schlüssel, SSID und zu verwendender Kanal

A22j - Im Bereich Zugang und Zugriff benötigen welche Bereiche besondere Achtsamkeit/Aufmerksamkeit)?

Der Einsatz von Werkzeugen mit privilegierten Rechten, wie z.B. Netzwerk-Sniffer oder Datenbanktools
Privilegierte Benutzer; wie System- oder Tool-Administratoren
alle

A03j - Welche Aussagen sind in Bezug auf den Datenschutz zu machen?

Daten dürfen nur unter Berücksichtigung der gesetzlichen Vorgaben verarbeitet werden
Daten dürfen zwischen Unternehmen ausgetauscht werden
Einwilligung zur Datenverarbeitung können nachträglich widerrufen werden
Nutzer können die Berichtigung bzw. Löschung ihrer Daten beantragen

A03i - Die Verkabelung des Netzwerkes muss durch einen Raum geführt werden, indem es zu starken Interferenzstörungen kommen kann. Welche der folgenden Kabeltypen bietet den größten Schutz gegen diese Strahlungen?

coaxial
Abgeschirmte Kabel (S/STP) (Screened Shield-Twisted-Pair)-Kabel
UTP unshielded twisted pair

A13c - Welche wichtigen Aufgaben hat ein Auditor durchzuführen

Zuhören
Vorortkontrolle/-begehung

A22c - Was ist in Bezug auf die Rollen in der IT-Sicherheit zu beachten?

Es muss immer eine Rolle IT-Sicherheitsbeauftragter geben
Die Rollen, die Zuordnung zu den Rolleninhabern sowie deren Kompetenzen und Zuständigkeiten sollten im Unternehmen bekannt gemacht werden
Alle Rollen sind Rolleninhaber zugeordnet
Alle Rollen sind definiert und festgelegt, insbesondere in Hinblick auf Kompetenzen und Zuständigkeiten

A03c - Was ist nach BSI-Standard 100-4 eine Krise?

Eine Krise ist ein verschärfter Notfall in dem die Existenz des Unternehmens oder Leben und Gesundheit von Personen gefährdet sind
Eine Krise ist eine ungeplante Abweichung vom Normalbetrieb, die mit dem normalen Aufbau und Ablauforganisation nicht bewältigt werden kann
Eine Krise ist die Vorstufe einer Katastrophe.

A26c - Wie lange ist eine ISO 27001 Zertifizierung gültig?

3 Jahre
solange 2x Überwachungsaudit im 3-Jahreszeitraum (jährlich 1x) erfolgen
sie gilt solange das Unternehmen existiert

Was muss die Führung bzgl. Der Informationssicherheitsziele beachten?

sie müssen messbar sein
sie müssen im Einklang mit der Informationssicherheitspolitik stehen
jeder muss sie beachten
sie müssen im Unternehmen bekanntgemacht werden

A13b - Was ist beim Anfertigen eines Backups zu beachten?

Grober Sicherheitsverstoß, wenn keines gemacht wird
Aufbewahrung an einem anderen Ort/Brandschutzsektor
Verschlüsseln, um die Daten vor dem Zugriff dritter zu schützen
Backup-Recovery-Übungen sind durchzuführen

A04b - Sie haben ein IDS-System, das nur auf einem Computer in Ihrem Netzwerk ausgeführt wird.

Um welche Art von IDS-System handelt es sich?

Netzwerk System
Ungewöhnliches System
Aktives System
Host-System

A04 - Welche Aussagen auf Daten treffen zu?

Aus Daten können Informationen gewonnen werden
Daten sind Informationen
Daten können gespeichert werden
Daten können verarbeitet werden

A07h - Wer verbindet sich bei einer WLAN-Verbindung mit wem?

AccessPoint mit Geräten
W-Lan-Router mit Geräten
AccessPoint: Authenticater
Mobile Device: Supplicant

A25f - Was bedeutet der Begriff Zutritt?

Die Möglichkeit einen begrenzten Bereich/Sektor/Raum zu betreten
Nur der Zutritt zum Serverraum

A14e - Welche Aussagen gibt es zum IT-Sicherheitsgesetz? (maximal 3 Aussagen)

Für Betreiber von Webangeboten wie zum Beispiel Online Shops gelten seit Inkrafttreten des Gesetzes erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT Systeme
Das Gesetz trat am 25.07.2015 in Kraft
Die Unternehmen der sogenannten kritischen Infrastrukturen müssen 2 Jahre nach dem Inkrafttreten der für ihren Sektor relevanten Rechtsverordnung ein dem Stand der Technik entsprechendes Sicherheitsniveau aufweisen

A22e - Welche Eigenschaften muß die IT-Sicherheitspolitik aufweisen?

Informationssicherheitsziele ODER ein Rahmen, wie sie sich aus den Unternehmenszielen ableiten lassen (nur Buch)
Einbeziehung einer Verpflichtung zur laufenden Verbesserung des Informationssicherheitsmanagement (ISMS)
sie muss unabhängig von der GF definiert werden
Eignung für den Zweck der Organisation

A05e - Welches sind für Sie die am häufigsten vorkommenden Sicherheitsmängel in der IT

fehlende oder unzureichende Überwachung von Systemen von Netzen (Monitoring)
fehlendes oder unzureichendes Veränderungsmanagement (Change Management)
unzureichendes Bewusstsein für Informationssicherheit bei den Mitarbeitern einer Institution
fehlendes oder unzureichendes Patch-Management

A21e - Was könnten die Gründe sein, Kontakt zu speziellen Interessenverbänden, Expertenforen, Fachverbänden wegen der IT-Sicherheit zu halten?

Um rechtzeitig Warnungen vor akuten Informationssicherheitsbedrohungen zu erhalten
Um sicherzustellen, dass das eigene Verständnis zum Thema Informationssicherheit vollständig und zeitgemäß ist.
Um sich über aktuelle Entwicklungen bei neuen Technologien und damit im Zusammenhang stehenden Fragen der Informationssicherhit austauschen zu können
Um über aktuelle Entwicklungen der Informationssicherheit auf dem Laufenden zu bleiben

A21c - Was beschreibt der ISO-27001 Standard?

Anleitungen („Best Practice“) zur Umsetzung aller der in Anhang A der ISO-27001 befindlichen Controls
die Form in der die Umsetzung von 27001 stattfinden muss
Formulare, die eingesetzt werden bei der Zertifizierung nach 27001

Welche Aussagen zum Umgang mit technischen Schwachstellen der in der Organisation eingesetzten Software sind wichtig?

Aufgaben und Verantwortlichkeiten zum Umgang mit technischen Schwachstellen sollten festgelegt werden
Patches testen und beurteilen bevor sie eingespielt werden
Informationen zu Schwachstellen sollten rechtzeitig eingeholt werden
alle möglichen technischen Schwachstellen müssen im Rahmen von IT-Risikomanagement vorweg dokumentiert werden.

A14d - Wie wird der Begriff Verfügbarkeit am besten beschrieben?

Informationen und Systeme stehen entsprechend den Vereinbarungen (SLA) dem definierten Benutzerkreis zur Verfügung
Es ist genug Geld für IT-Sicherheit verfügbar.
Alles ist verfügbar für die EDV
Ich kann auf alles zugreifen, was ich brauche

A04c - Es gibt drei Elemente der Mehr-Faktor-Authentifizierung. Welche sind das?

Etwas, das der Benutzer kennt, wie ein Passwort oder eine PIN Nummer
Etwas, das der Benutzer ist, wie ein Fingerabdruck optische Merkmale oder Stimme
Etwas, das der Benutzer gelernt hat
Etwas, das der Benutzer hat, wie ein mobiles Gerät oder Token

Was muss bei einer Ereignisprotokollierung gemacht werden?

Definieren, was protokolliert werden soll
Vorsicht!: Unter Umständen lassen sich Rückschlüsse auf das Arbeitsverhalten von Mitarbeitern machen. Hier sollte der Betriebsrat mit eingeschaltet werden.
Ereignisprotokolle regelmäßig überprüfen
Vorsicht!: Ereignisprotokolle enthalten oft personenbezogene Daten besonders schützen

A25l - Was ist die Notfallvorsorge von ihrem Grundsatz her?

Reaktiv
Proaktiv
Vorausschauend

Welche Personen sind am IT Security Prozess beteiligt? (Die Frage kommt nach Thomas nicht)

Die Organisationsleitung
Chef
IT-Security Beauftragte/Informationssicherheitsbeauftragte
alle übrigen Mitarbeiter
nach ITIL Info-Sec Manager, Service Owner, etc.
die übrigen Inhaber von Rollen der Informationssicherheit

Was bedeutet Zugriff?

Mitarbeiter physisch greifen können
die Nutzung bestimmter Daten
Zugang zur Küche haben und Zugriff auf den Kühlschrank haben

A20e - Was haben Sie im Kontakt mit Behörden zu beachten?

Ein angemessener Kontakt zu relevanten Behörden sollte auch präventiv gepflegt werden
Die Telefonnummern mit dem Landes-Sicherheitsbeauftragten austauschen
Unternehmen sollten über Regeln, Verfahren und Zuständigkeiten zur Kontaktpflege mit relevanten Behörden verfügen
Blumen zum Geburtstag schicken

A26b - Welche Rollen gehören zur Notfallbewältigung?

Notfallteam
Notfallbeauftragter
Krisenentscheidungsgremium
Krisenstab

Welche Personen sind am IT Security Prozess beteiligt? (Die Frage kommt nach Thomas nicht)

alle übrigen Mitarbeiter
IT-Security Beauftragte/Informationssicherheitsbeauftragte
die übrigen Inhaber von Rollen der Informationssicherheit
nach ITIL Info-Sec Manager, Service Owner, etc.
Chef
Die Organisationsleitung

A25k - Was ist die Notfallbewältigung von Ihrem Grundsatz her?

eine optionale Handlungsempfehlung
Reaktive Abarbeitung der Sicherheitsmaßnahmen
eine Norm

A04d - Welche Möglichkeiten bieten sich Unternehmen bei der Nutzung von „Cloud-Computing“ über das Internet?

Software beziehen bzw. nutzen
Speicherkapazität beziehen
Firewall-Dienste nutzen
Rechenleistung nutzen

A26g - Was stellt ein Audit dar?

eine lückenlose Prüfung aller möglichen Notfallszenarien
Eine Vorschrift im ISO27001
der Vergleich zwischen einem IST-Zustand und einem SOLL-Zustand.

A26i - Für was steht die Abkürzung BCM?

busy continiuty management
Business Continuity Management
business continiuous management

A07f - Ein Code oder Stück Software gewährt Zugriff auf ein System. Wie nennt man das?

Betriebssystem
logic bomb
Social Engineering
Backdoor

A05c - Welche Natur sind Sicherheitslücken?

können auch Folge individuellen Fehlverhaltens sein
können auch technische Ursachen haben
können auch organisatorische Ursachen haben

A03g - Was müssen Sie tun, wenn eine Festplatte aus dem Rechner herausgenommen wird und den Standort verlässt?

Löschen
Archivieren
Verschlüsseln

A04k - Welches ist im Folgenden keine logische Methode der Zugangskontrolle?

Biometrie
Zugangskontrollen durch Zwei-Faktor-Authentifizierung

Was sollte Mitarbeitern einer Organisation nach ISO 27001 bewusst sein? Sie sollten …

wissen, welche Folgen entstehen, wenn sie die Anforderungen nicht erfüllen
immer klar im Kopf bleiben, keinen Alkohol in Notfallsituation trinken
Informationssicherheitspolitik als übergeordnetes Dokument kennen
Sie sollten wissen, welchen Beitrag Sie zum ISMS leisten

A16c - Welche Aussage kann man über die Vereinbarkeit von ISO-27001 und BSI Grundschutz machen?

Ein grundschutzkonformes ISMS ist auch ISO-27001 konform
Dazu gibt es Vergleiche.
Dazu hat sich keiner Gedanken gemacht.
Sie sind nicht miteinander vereinbar.

A04h - Welche möglichen Konsequenzen sollten Sie bedenken, bevor Sie sich ein Profil in einem sozialen Netzwerk einrichten?

Preisgabe privater Informationen, Beziehungskrisen, Verbreitung von Schadsoftware, Phishing.
Preisgabe privater Informationen, Verbreitung von Schadsoftware, Identitätsdiebstahl, Phishing.
Preisgabe privater Informationen, Beziehungskrisen, identitätsdiebstahl, Phishing.

A25b - Was ist bei der Installation von Software aus Sicht der IT Sicherheit zu beachten?

Vor dem Aufspielen neuer oder geänderter Software sollte eine Rollback Strategie existieren
Nutzen und Risiko einer Software Installation sollten gegeneinander abgewogen werden
Software sollte nur bei vorliegender Genehmigung installiert werden

Was ist beim Anfertigen eines Backups zu beachten?

Verschlüsseln, um die Daten vor dem Zugriff dritter zu schützen
Backup Recovery Übungen sind durchzuführen
Aufbewahrung an einem anderen Ort/Brandschutzsektor
Grober Sicherheitsverstoß, wenn keines gemacht wird

A26l - Was muss bei Awarenesskampagnen bedacht werden?

Marketingleitung muss eingebunden werden
zielgruppenorientiert sein.
gut geplant werden.
die Informationssicherheitsziele der Organisation berücksichtigen/zugeschnitten

A22g - Welche Aussagen sind in Bezug auf Veränderungen an Systemen zu machen?

Es sollte sichergestellt werden, daß auch bei und nach Veränderungen alle Vorgaben der Informationssicherheit eingehalten werden
Es sollte Regeln und Prozesse für eine Änderungssteuerung geben (Change-Management)
Die Änderungssteuerung sollte ein formales Genehmigungsverfahren beinhalten
Veränderungen sind immer beim IT-Sicherheitsbeauftragten zu beantragen

A07e - Was versteht man unter einem Bot-Netz?

Bots sind E-Mail-Spam
Zusammengeschaltete PCs, die zum Aussenden vom SPAM verwendet werden
Bots sind dazu da, den PC zu zerstören

A26h - Wann erfolgen im Zertifizierungszyklus Überwachungsaudits?

jährlich in den 3 Jahren in denen die Zertifizierung gelten soll.
Jährlich zwischen den Rezertifizierungsaudit
Jährlich zwischen den Rezertifizierungsaudits --> Ergänzungund nicht Teil der Antwort:(d.h. im 1. Und 2. Des 3 jährigen Zyklus)

A26f - Was verpflichtet die ISO 27001 Unternehmen in Bezug auf Mitarbeiter auszuführen?

auf für Personen, die keine Mitarbeiter der Organisation sind, aber unter der Aufsicht der Organisation arbeiten und durchihre Tätigkeiten die Leistung des ISMS beeinflussen können, die erforderlichen Kompetenzen zu bestimmen
Maßnahmen zu ergreifen, damit die Mitarbeiter den bestimmten Kompetenzlevel in Bezug auf Informationssicherheit erreichen
die erforderlichen Kompetenzen der Mitarbeiter zu bestimmen, die durch ihre Tätigkeit die Leistung des ISMS beeinflussen können

A06e - Welche Aussage zum Datenschutz gibt es in Bezug auf Personen? (In einem Satz)

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist für die Bürger und Unternehmen der Europäischen Union seit dem 25.05.2018 unmittelbar geltendes Recht.
alle Daten über Personen
Datenschutz betrifft alle Informationen, die sich auf eine Person beziehen
alle Informationen, die elektronische oder anders gespeichert sind.

A25m - Was sollten sich die Mitarbeiter einer Organisation nach ISO 27001 bewusst sein?

Der Folgen einer Nichterfüllung der Anforderungen des ISMS
Ihres Beitrags zum ISMS
Mögliche Sanktionen bei Nichterfüllung.
Der Informationssicherheitspolitik

A13d - Mit welchem Effekt bzw. Prinzip wird das Risiko bei redundanten Systemen reduziert

Maximum Prinzip
Verteilungseffekt
Subtraktionseffekt
Kumulativer Effekt

A07b - Welche Kabelart (Kupferbasis) ist am besten abgesichert/abgeschirmt?

S/STP Screened shielded twisted pair
coaxial
UTP unshhielded twisted pair

Flashcard Info

ITSIBE