MemoCard lernen mit System

A13b - Was ist beim Anfertigen eines Backups zu beachten?

Grober Sicherheitsverstoß, wenn keines gemacht wird
Backup-Recovery-Übungen sind durchzuführen
Verschlüsseln, um die Daten vor dem Zugriff dritter zu schützen
Aufbewahrung an einem anderen Ort/Brandschutzsektor

A25c - Was ist in Bezug auf Zugänge in einer Organisation zu beachten

Bei Beendigung der Beschäftigung sollen die Zugangsrechte wieder entzogen werden.
Benutzerzugangsrechte sollen regelmäßig überprüft werden
Für die Zugangsteuerung sollte es eine Richtlinie geben

A03f - Was ist die Aufgabe einer Firewall?

Programme aktualisieren
Alle Daten kontrollieren, die in das eigene Netzwerk hineinkommen oder es verlassen
vor Spam-Mail schützen

A26j - Welcher der vier Standards des BSI beschäftigt sich mit dem Notfallmanagement?

BSI Risikoanalyse (200-3)
BSI Notfallmanagement (100-4)
BSI ISMS (200-1)
BSI Vorgehen (200-2)

A05f - Wie kann eine Risikobehandlung durchgeführt werden?

Risiko minimieren
Risiko transferieren
Risiko reduzieren
Risiko akzeptieren

A20d - Wodurch können Informationssicherheitsvorfälle hervorgerufen bzw. begünstigt werden?

Ungesteuerte Systemänderungen
Äußere Einwirkungen wie z.B. Wetterereignisse
Verstöße gegen Sicherheitsvorschriften
Fehlfunktionen von Systemen

A26i - Für was steht die Abkürzung BCM?

business continiuous management
busy continiuty management
Business Continuity Management

Welche sind Bereiche, die eine besondere Aufmerksamkeit in Bezug auf Zugang und Zugriff benötigen?

Geschäfsführer
Privilegierte Benutzer, wie Tool, Systtemadministratoren
Bereiche, wo Werkzeuge mit privilegierten Rechten zum Einsatz kommen (Datenbanktools, Netzwerk-Sniffer, …)
Abteilungschef

A06c - Wen umfasst das BSI-Gesetz zu den kritischen Infrastukturen?

Alle Unternehmen der im Gesetz aufgeführten Sektoren (Ernährung, Wasser, Energie, Transport und Verkehr, Gesundheit, Finanz und Versicherungswesen, Information und Telekommunikation), die die in der jeweiligen Rechtsverordnung genannten Schwellenwerte überschreiten.
alle Unternehmen

A07f - Ein Code oder Stück Software gewährt Zugriff auf ein System. Wie nennt man das?

Backdoor
Social Engineering
logic bomb
Betriebssystem

A26c - Wie lange ist eine ISO 27001 Zertifizierung gültig?

3 Jahre
sie gilt solange das Unternehmen existiert
solange 2x Überwachungsaudit im 3-Jahreszeitraum (jährlich 1x) erfolgen

A07d - Muss eine SOA (Statement of Applicability) bei der ISMS-Einführung erstellt werden?

Wenn nach BSI Grundschutz zertifiziert wurde 200-2 etc.
unbedingt
Nur wenn du 27001 konform sein willst

A25h - Was sollten dokumentierte Bedienabläufe enthalten?

Dokumentation des gesamten ISMS
Dokumentation der ISO 27001
Die Dokumentation sollte Informationen zur Durchführung von Systemneustarts enthalten
Die Dokumentation sollte Informationen zur Durchführung von Backups enthalten

A14f - Was betrachtet die Informationssicherheit außer technische IT-Sicherheit?

Grundsätzlich alle Informationen im Unternehmen, unabhängig des Speichermediums
Information in den Köpfen der Mitarbeiter
Informationen, welche in IT-Systemen gespeichert sind

A20c - Unter welchen Umständen kann eine Organisation Anforderungen aus dem Kapitel 4 der ISO-27001 für nicht anwendbar erklären?

man kann über die SOA gewisse Teile ausschließen
wenn nach BSI Grundschutz zertifiziert wurde 200-2 etc.
Unter keinen Umständen (wenn eine Organisation Konformität mit dieser internationalen Norm für sich beansprucht, darf sie keine der Anforderungen in den Abschnitten 4 bis 10 ausschließen.)
nur wenn du nicht 27001 konform sein willst

A07i - Was ist die Aufgabe des Notfallmanagements nach BSI 100-4

Der BSI-Standart 100-4 stellt einen systematischen Weg auf, ein Notfallmanagement in deiner Behörde oder in einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen
BCM business continuity management

A03j - Welche Aussagen sind in Bezug auf den Datenschutz zu machen?

Daten dürfen nur unter Berücksichtigung der gesetzlichen Vorgaben verarbeitet werden
Einwilligung zur Datenverarbeitung können nachträglich widerrufen werden
Nutzer können die Berichtigung bzw. Löschung ihrer Daten beantragen
Daten dürfen zwischen Unternehmen ausgetauscht werden

Welche Personen sind am IT Security Prozess beteiligt? (Die Frage kommt nach Thomas nicht)

Die Organisationsleitung
alle übrigen Mitarbeiter
nach ITIL Info-Sec Manager, Service Owner, etc.
Chef
die übrigen Inhaber von Rollen der Informationssicherheit
IT-Security Beauftragte/Informationssicherheitsbeauftragte

Was muss bei einer Ereignisprotokollierung gemacht werden?

Ereignisprotokolle regelmäßig überprüfen
Vorsicht!: Unter Umständen lassen sich Rückschlüsse auf das Arbeitsverhalten von Mitarbeitern machen. Hier sollte der Betriebsrat mit eingeschaltet werden.
Vorsicht!: Ereignisprotokolle enthalten oft personenbezogene Daten besonders schützen
Definieren, was protokolliert werden soll

A22j - Im Bereich Zugang und Zugriff benötigen welche Bereiche besondere Achtsamkeit/Aufmerksamkeit)?

Privilegierte Benutzer; wie System- oder Tool-Administratoren
alle
Der Einsatz von Werkzeugen mit privilegierten Rechten, wie z.B. Netzwerk-Sniffer oder Datenbanktools

A21i - Die ISO 27001 fordert alles Stakeholder zu bestimmen. Wer kann dazu gehören?

Kunden
Mitarbeiter/Personal
Öffentlichkeit
Behörden

A25i - Was sollte beim Umgang mit mobilen Geräten aus der Sicht der IT Sicherheit beachtet werden?

Bei Einsatz von Mobilgeräten an öffentlichen Plätzen (z.B. am Flughafen oder in der Bahn) ist besonders auf die Vertraulichkeit zu achten
Mobilgeräte sollten vor Diebstahl geschützt werden
Sie sollten in einem Softcover getragen werden
Mitarbeiter, die Mobilgeräte einsetzen, sollten besonders für die Gefahren des Einsatzes dieser Geräte sensibilisiert werden

Was ist beim Anfertigen eines Backups zu beachten?

Grober Sicherheitsverstoß, wenn keines gemacht wird
Backup Recovery Übungen sind durchzuführen
Aufbewahrung an einem anderen Ort/Brandschutzsektor
Verschlüsseln, um die Daten vor dem Zugriff dritter zu schützen

A16g - Nach ISO 27001 haben IT-Sicherheitsziele welche Eigenschaften?

sie müssen deutsch formuliert sein
sie sind allen bekannt
Im Unternehmen bekannt gemacht werden
Sollen nach Möglichkeit messbar sein

A16b - Wie ist die Verbreitung von Werkzeugen für Cyberangriffe?

Gibt es nicht, Fake-News
Es sind auch Baukästen im DarkNet, die man kaufen kann
Vielfach frei Verfügbar
Teilweise ganz normale Werkzeuge, die auch für die Administration und Überprüfung der eigenen Netze einsetzbar sind

A14d - Wie wird der Begriff Verfügbarkeit am besten beschrieben?

Es ist genug Geld für IT-Sicherheit verfügbar.
Ich kann auf alles zugreifen, was ich brauche
Alles ist verfügbar für die EDV
Informationen und Systeme stehen entsprechend den Vereinbarungen (SLA) dem definierten Benutzerkreis zur Verfügung

A21k - Wo sollte der IT-Sicherheitsbeauftragte am besten innerhalb einer Organisation angesiedelt sein?

Als Stabstelle bei der Organisationsleitung
in der IT-Abteilung
in der Organisationsabteilung

A25d - Welche Tätigkeiten sind beim Risikomanagement nach ISO 27001 zwingend zu machen

Risiken bestimmen
die Zertifizierung muss im 4then Jahr wiederholt werden
Risiken behandeln
Risiken bewerten

A05e - Welches sind für Sie die am häufigsten vorkommenden Sicherheitsmängel in der IT

unzureichendes Bewusstsein für Informationssicherheit bei den Mitarbeitern einer Institution
fehlendes oder unzureichendes Patch-Management
fehlende oder unzureichende Überwachung von Systemen von Netzen (Monitoring)
fehlendes oder unzureichendes Veränderungsmanagement (Change Management)

A22h - Welche Maßnahmen zum Schutz vor Schadsoftware müssen ergriffen werden?

Mitarbeiter sollten für das Problem von Schadsoftware angemessen sensibilisiert werden
Schadsoftware soll jeder Mitarbeiter beseitigen können
Beseitigte Schadsoftware muss vom Mitarbeiter an die Landesbehörde gemeldet werden
Bekannte technische Schwachstellen sollten behoben werden (Patch Management)

A04f - Was umfasst bzw. grenzt die IT-Sicherheit von der Informationssicherheit ab?

IT-Security betrachtet technische Aspekte der Informationssicherheit
Informationssicherheit umfasst die IT-Security
Informationssicherheit und IT-Sicherheit sind im Wesentlichen identisch

A14b - Welche Haftung hat ein IT Security Beauftragter in der Praxis?

Eine Haftung kommt auch bei unterlassenen Tätigkeiten/mangelhafter Aufgabenerfüllung in Frage
Sowohl ein interner als auch ein externer Informationssicherheitsbeauftragter haftet dem Unternehmen gegenüber grundsätzlich für Schäden, die er schuldhaft verursacht hat
er haftet für den Bilanzverlust
er haftet für Stromausfall

A04b - Sie haben ein IDS-System, das nur auf einem Computer in Ihrem Netzwerk ausgeführt wird.

Um welche Art von IDS-System handelt es sich?

Aktives System
Netzwerk System
Host-System
Ungewöhnliches System

A26d - Welche Rollen gehören zur Notfallvorsorge?

Notfallbeauftragter
Notfallkoordinator (Folie 08.01S07)
Unternehmensleitung
Notfallvorsorgeteam

A22b - Welche Voraussetzungen sind zur Behandlung von Informationssicherheitsvorfällen wichtig?

Mitarbeiter in der Lage sind, Informationssicherheitsvorfälle zu erkennen und wissen, wo sie diese melden müssen
Anlaufstellen für die Informationssicherheitsvorfälle eingerichtet und im Unternehmen bekannt sind
Prozesse für die Reaktion der Organisation definiert sind
Verfahren für den Umgang mit forensischen Beweismitteln festgelegt sind

A03d - Was bezeichnet die „MTA“ im Rahmen des Notfallmanagements?

Medizinisch technische Assistentin
minimum technical accountabie
Dieser Wert gibt an, wann ein Prozess spätestens wieder anlaufen muss, damit die Überlebensfähigkeit einer Institution kurz oder langfristig nicht gefährdet ist.

A07c - Für wen gilt das am 25.07.2015 in Kraft getretene IT-Sicherheitsgesetz?

Betreiber kritischer Infrastrukturen
Betreiber von Webangeboten
BSI
Telekommunkationsunternehmen

Welche Personen sind am IT Security Prozess beteiligt? (Die Frage kommt nach Thomas nicht)

Die Organisationsleitung
nach ITIL Info-Sec Manager, Service Owner, etc.
die übrigen Inhaber von Rollen der Informationssicherheit
alle übrigen Mitarbeiter
IT-Security Beauftragte/Informationssicherheitsbeauftragte
Chef

A03i - Die Verkabelung des Netzwerkes muss durch einen Raum geführt werden, indem es zu starken Interferenzstörungen kommen kann. Welche der folgenden Kabeltypen bietet den größten Schutz gegen diese Strahlungen?

Abgeschirmte Kabel (S/STP) (Screened Shield-Twisted-Pair)-Kabel
coaxial
UTP unshielded twisted pair

A05b - Welche Aussagen können Sie zum Cybercrime machen?

Gruppen der organisierten Kriminalität (OK) betätigen sich zunehmen im Internet
mit Cybercrime verdient man Geld
Zur Cyberkriminalität im weiteren Sinne zählen die Delikte, in denen das Tatmittel Internet eingesetz wird.
Im Bereich Cybercrime ist das Dunkelfeld sehr groß.

A13c - Welche wichtigen Aufgaben hat ein Auditor durchzuführen

Vorortkontrolle/-begehung
Zuhören

A07b - Welche Kabelart (Kupferbasis) ist am besten abgesichert/abgeschirmt?

coaxial
UTP unshhielded twisted pair
S/STP Screened shielded twisted pair

A21c - Was beschreibt der ISO-27001 Standard?

Anleitungen („Best Practice“) zur Umsetzung aller der in Anhang A der ISO-27001 befindlichen Controls
Formulare, die eingesetzt werden bei der Zertifizierung nach 27001
die Form in der die Umsetzung von 27001 stattfinden muss

A04d - Welche Möglichkeiten bieten sich Unternehmen bei der Nutzung von „Cloud-Computing“ über das Internet?

Speicherkapazität beziehen
Firewall-Dienste nutzen
Rechenleistung nutzen
Software beziehen bzw. nutzen

A05d - Nennen Sie die Norman, die sich im Kern mit der IT-Sicherheit beschäftigen:

NIS Richtlinie
ISO 27000 Serie
ISO 27001
BSI 200-2

A21h - Welche Themen zum Verstehen des externen Kontextes einer Organisation nach ISO 27001 können dazugehören?

Die natürliche Umwelt
Soziale und kulturelle Themen
Technische Trends und Entwicklungen, die sich auf die Zielerreichung der Organisation auswirken können

A20f - Welche Aufgaben schreibt ein ISMS der Führung eines Unternehmens/Organisation vor?

Die fortlaufende Verbesserung des ISMS zu fördern
Strafen festlegen
Sanktionsmechanismen bei Verstößen etablieren
Sicherzustellen, das die Informationssicherheitspolitik mit den strategischen Zielen der Organisation vereinbar ist
Personen anzuleiten und zu unterstützen, damit diese positive Beiträge zum ISMS leisten können

A25f - Was bedeutet der Begriff Zutritt?

Nur der Zutritt zum Serverraum
Die Möglichkeit einen begrenzten Bereich/Sektor/Raum zu betreten

Wie ist die richtige Reihenfolge?

Identitätsprüfung – Autorisierung – Rechtezuweisung
Autorisierung – Rechtezuweisung - Identitätsprüfung
Rechtezuweisung – Identitätsprüfung - Autorisierung
Identitätsprüfung – Rechtezuweisung – Autorisierung

A25b - Was ist bei der Installation von Software aus Sicht der IT Sicherheit zu beachten?

Vor dem Aufspielen neuer oder geänderter Software sollte eine Rollback Strategie existieren
Software sollte nur bei vorliegender Genehmigung installiert werden
Nutzen und Risiko einer Software Installation sollten gegeneinander abgewogen werden

A13d - Mit welchem Effekt bzw. Prinzip wird das Risiko bei redundanten Systemen reduziert

Verteilungseffekt
Kumulativer Effekt
Maximum Prinzip
Subtraktionseffekt

A35j - Welche „Normen“ beschäftigen sich mit dem Risikomanagement? (soll wohl "A25j" sein)

ISO 9001
ISO 27005
BSI Grundschutz 200-3
ISO 31000

A04c - Es gibt drei Elemente der Mehr-Faktor-Authentifizierung. Welche sind das?

Etwas, das der Benutzer gelernt hat
Etwas, das der Benutzer ist, wie ein Fingerabdruck optische Merkmale oder Stimme
Etwas, das der Benutzer kennt, wie ein Passwort oder eine PIN Nummer
Etwas, das der Benutzer hat, wie ein mobiles Gerät oder Token

A04g - Was versteht man unter Cross-Site-Scripting-Angriffe?

Infizierte Webseiten übertragen Viren
Infizierte Webseiten nützen Sicherheitslücken aus
Infizierte Webseiten blenden Werbung ein

Was gehört in eine strategische Sicherheitsleitlinie?

Ausrichtung der IT-Sicheriet nach Unternehmenszielen
Verantwortlichkeiten und Kompetenzen zuweisen: es wurde ein IT-Sicherheitsbeauftragter ernannt.
IT-Sicherheit ist Chefsache
Informationssicherheitsziele oder einen Rahmen, um diese festzulegen
Selbstverpflichtung auf IT-Sicherheit und deren kontinuierliche Verbesserung
Aufbauorganisation und (grobe) Ablaufprozesse

A05g - Was beinhaltet eine Informationssicherheitsrichtlinie?

Unter anderem die Strategie
Unter anderem: Konzepte zur Umsetzung
Unter anderem: Sicherheitsziele

A26e - Was ist eine Katastrophe nach BSI 100-4

Ein Großschadensereignis, zum Beispiel als Folge von Überschwemmungen oder Erdbeben
Katastrophen können nur durch Mitarbeiter ausgelöst werden
Eine Katastrophe ist nicht auf das eigene Unternehmen beschränkt
Eine Katastrophe verhält sich aus Sicht des betroffenen Unternehmens wie eine Krise

A04h - Welche möglichen Konsequenzen sollten Sie bedenken, bevor Sie sich ein Profil in einem sozialen Netzwerk einrichten?

Preisgabe privater Informationen, Beziehungskrisen, identitätsdiebstahl, Phishing.
Preisgabe privater Informationen, Verbreitung von Schadsoftware, Identitätsdiebstahl, Phishing.
Preisgabe privater Informationen, Beziehungskrisen, Verbreitung von Schadsoftware, Phishing.

A22e - Welche Eigenschaften muß die IT-Sicherheitspolitik aufweisen?

sie muss unabhängig von der GF definiert werden
Informationssicherheitsziele ODER ein Rahmen, wie sie sich aus den Unternehmenszielen ableiten lassen (nur Buch)
Eignung für den Zweck der Organisation
Einbeziehung einer Verpflichtung zur laufenden Verbesserung des Informationssicherheitsmanagement (ISMS)

A06b - Welche Aussagen zum Datenschutz gibt es in Bezug auf Daten?

Datenschutz beschäftigt sich ausschließlich mit personenbezogenen oder personenbeziehbaren Daten.
Der Datenschutz beschäftigt sich mit allen Daten im Unternehmen

A03e - Welche Aussage/n zum Umgang mit technischen Schwachstellen der in der Organisation eingesetzten Software ist/sind wichtig?

Informationen zu technischen Schwachstellen sollte rechtzeitig eingeholt werden
Die Organisation sollte Aufgaben und Verantwortlichkeiten zum Einholen von Informationen über und zum Umgang mit technischen Schwachstellen festlegen
Ein Patch sollte vor der Installation getestet und beurteilt werden

A26l - Was muss bei Awarenesskampagnen bedacht werden?

Marketingleitung muss eingebunden werden
zielgruppenorientiert sein.
gut geplant werden.
die Informationssicherheitsziele der Organisation berücksichtigen/zugeschnitten

A25e - Was ist bei der Ereignisprotokollierung zu beachten?

Da Ereignisprotokolle möglicherweise Rückschlüsse auf das Arbeitsverhalten von Mitarbeitern erlauben, ist ggf. der Betriebsrat zu beteiligen
Es sollte definiert werden, was protokolliert wird
Ereignisprotokolle sollten regelmäßig überprüft werden
Da Ereignisprotokolle oftmals personenbezogene Daten enthalten, müssen sie besonders geschützt werden

A21j - In welchen Bereichen sollte die Informationssicherheit zusätzlich zur IT-Abteilung berücksichtigt werden?

Spielt auch im Personalbereich eine wichtige Rolle
Im Organigramm
in jeder Art von Projekt (nur im Buch richtig)
Sollte auch im Projektmanagement, in jeder Art von Projekt berücksichtigt werden

Welche Aussagen zum Umgang mit technischen Schwachstellen der in der Organisation eingesetzten Software sind wichtig?

alle möglichen technischen Schwachstellen müssen im Rahmen von IT-Risikomanagement vorweg dokumentiert werden.
Patches testen und beurteilen bevor sie eingespielt werden
Aufgaben und Verantwortlichkeiten zum Umgang mit technischen Schwachstellen sollten festgelegt werden
Informationen zu Schwachstellen sollten rechtzeitig eingeholt werden

A05c - Welche Natur sind Sicherheitslücken?

können auch organisatorische Ursachen haben
können auch technische Ursachen haben
können auch Folge individuellen Fehlverhaltens sein

A22i- Was soll zum Thema Ereignisprotokollierung umgesetzt sein?

Administratoren sollten nicht in der Lage sein, die Protokolle ihrer eigenen Aktivitäten zu ändern
Auch Aktivitäten von Administratoren sollten protokolliert werden
Nicht synchron laufende Uhren in den Systemen erschweren die Auswertung von -Protokollinformationen deutlich

A20e - Was haben Sie im Kontakt mit Behörden zu beachten?

Ein angemessener Kontakt zu relevanten Behörden sollte auch präventiv gepflegt werden
Die Telefonnummern mit dem Landes-Sicherheitsbeauftragten austauschen
Unternehmen sollten über Regeln, Verfahren und Zuständigkeiten zur Kontaktpflege mit relevanten Behörden verfügen
Blumen zum Geburtstag schicken

A25g - Was bedeutet der Begriff Zugang?

Die Möglichkeit der Nutzung eines IT Systems, eventuell mit vorheriger Anmeldung
Fingerabdruck-Einlass-System
Login+Passwort

A25m - Was sollten sich die Mitarbeiter einer Organisation nach ISO 27001 bewusst sein?

Ihres Beitrags zum ISMS
Der Informationssicherheitspolitik
Der Folgen einer Nichterfüllung der Anforderungen des ISMS
Mögliche Sanktionen bei Nichterfüllung.

A07e - Was versteht man unter einem Bot-Netz?

Bots sind dazu da, den PC zu zerstören
Bots sind E-Mail-Spam
Zusammengeschaltete PCs, die zum Aussenden vom SPAM verwendet werden

A22g - Welche Aussagen sind in Bezug auf Veränderungen an Systemen zu machen?

Es sollte Regeln und Prozesse für eine Änderungssteuerung geben (Change-Management)
Die Änderungssteuerung sollte ein formales Genehmigungsverfahren beinhalten
Es sollte sichergestellt werden, daß auch bei und nach Veränderungen alle Vorgaben der Informationssicherheit eingehalten werden
Veränderungen sind immer beim IT-Sicherheitsbeauftragten zu beantragen

A03b - Was gehört im engeren Sinn zum Thema Cybercrime:

Computerbetrug
Ausspähen von Daten
Computerzerstörung
Computersabotage

Was muss bei einer Ereignisprotokollierung beachtet werden?

Aktivitäten von Admins müssen auch protokolliert werden
Nicht synchron gehende Uhren erschweren die Auswertung
Admins müssen gut bezahlt werden
Admins sollten nicht in der Lage sein, eigene Protokolle zu ändern

Was beschreibt der ISO 270002 Standard?

Die 27002 ist eine Best-Practice /ist eine Anleitung für die Umsetzung der in Anhang A ISO 27001 bestimmten Maßnahmen/Anforderungen
Formulare, die eingesetzt werden bei der Zertifizierung nach 27001
die Form in der die Umsetzung von 27001 stattfinden muss

A03k - Das Modell „Role-Based-Access-Control (RBAC)“ gehört zu welchem Kontrollmodell?

Zugangskontrolle
Eingangskontrolle
Zutrittskontrolle
Zugriffskontrolle

A07h - Wer verbindet sich bei einer WLAN-Verbindung mit wem?

AccessPoint: Authenticater
AccessPoint mit Geräten
Mobile Device: Supplicant
W-Lan-Router mit Geräten

A16d - Wie wird der Begriff Vertraulichkeit am besten beschrieben?

Informationen sind nicht von Dritten änderbar.
Informationen sind vor der unberechtigten Offenlegung geschützt

A16c - Welche Aussage kann man über die Vereinbarkeit von ISO-27001 und BSI Grundschutz machen?

Ein grundschutzkonformes ISMS ist auch ISO-27001 konform
Dazu hat sich keiner Gedanken gemacht.
Sie sind nicht miteinander vereinbar.
Dazu gibt es Vergleiche.

A26g - Was stellt ein Audit dar?

eine lückenlose Prüfung aller möglichen Notfallszenarien
Eine Vorschrift im ISO27001
der Vergleich zwischen einem IST-Zustand und einem SOLL-Zustand.

A16e - Was legt einen Informationssicherheitsleitlinie fest?

legt u.a. die Strategie zur Umsetzung fest
stellt u.a. die Sicherheitsziele einer Organisation dar
legt u.a. die Konzepte zur Umsetzung fest

A25l - Was ist die Notfallvorsorge von ihrem Grundsatz her?

Vorausschauend
Proaktiv
Reaktiv

A03c - Was ist nach BSI-Standard 100-4 eine Krise?

Eine Krise ist eine ungeplante Abweichung vom Normalbetrieb, die mit dem normalen Aufbau und Ablauforganisation nicht bewältigt werden kann
Eine Krise ist die Vorstufe einer Katastrophe.
Eine Krise ist ein verschärfter Notfall in dem die Existenz des Unternehmens oder Leben und Gesundheit von Personen gefährdet sind

A04i - Wie soll sich ein Mitarbeiter verhalten, wenn es auf seinem System zu einem Sicherheitsvorfall kommt?

Vom Netz (LAN) nehmen
IT-System herunterfahren
Bildschirminfos speichern/sichern
IT-Sicherheit benachrichtigen

A22f - Wozu sind Sicherheitsperimeter?

Sie sind KPIs und dienen der Ziellerreichungsmessung
Dienen dem Schutz der organisationseigenen Werte
Sollten festgelegt werden

Welche Themen zum Verstehen des externen Kontextes einer Organisation nach ISO 27001 können dazugehören?

Trends und Entwicklungen, die sich auf die Zielerreichung des Unternehmens auswirken können
Alle Themen der Budgetplanung
technische Trends und Entwicklungen, die sich auf die Zielerreichung des Unternehmens auswirken können
soziale und kulturelle themen

Was sollte Mitarbeitern einer Organisation nach ISO 27001 bewusst sein? Sie sollten …

wissen, welche Folgen entstehen, wenn sie die Anforderungen nicht erfüllen
Sie sollten wissen, welchen Beitrag Sie zum ISMS leisten
immer klar im Kopf bleiben, keinen Alkohol in Notfallsituation trinken
Informationssicherheitspolitik als übergeordnetes Dokument kennen

A14c - Wie kann ein angemessenes Niveau in der IT Sicherheit erreicht werden?

Durch Kauf einer Firewall
ist der Aufbau und Betrieb eines ISMS zielführend
Durch Umsetzung vernünftiger Sicherheitsmaßnahmen
Bedarf es eines abgestimmten Zusammenspiels von technischen, organisatorischen und rechtlichen Maßnahmen

A22c - Was ist in Bezug auf die Rollen in der IT-Sicherheit zu beachten?

Die Rollen, die Zuordnung zu den Rolleninhabern sowie deren Kompetenzen und Zuständigkeiten sollten im Unternehmen bekannt gemacht werden
Alle Rollen sind definiert und festgelegt, insbesondere in Hinblick auf Kompetenzen und Zuständigkeiten
Es muss immer eine Rolle IT-Sicherheitsbeauftragter geben
Alle Rollen sind Rolleninhaber zugeordnet

A07g - Welche Aufgabe hat Ethical Hacking?

Schwachstellen und Risiken in einer Infrastruktur zu identifizieren/Hacking mit Erlaubnis
Netzwerk ausspionieren
Datenklau
Schwachstellen in einer Infrastruktur ohne Erlaubnis ausnutzen

Was bedeutet Zugriff?

Zugang zur Küche haben und Zugriff auf den Kühlschrank haben
die Nutzung bestimmter Daten
Mitarbeiter physisch greifen können

A22d - Wer ist für die Informationssicherheit im Unternehmen / in der Organisation verantwortlich?

Der IT-Sicherheitsbeauftragte
Die Geschäftsleistung
alle

A20g - Aus welchen beiden Blickwinkeln betrachtet die ISO-27001 im Kern die Informationssicherheit?

Prozessorientiert
Risikobasiert

Was heißt ISMS?

International-Security-Management-System
Informations-Sicherheits-Management-System

A04 - Welche Aussagen auf Daten treffen zu?

Aus Daten können Informationen gewonnen werden
Daten sind Informationen
Daten können gespeichert werden
Daten können verarbeitet werden

A25k - Was ist die Notfallbewältigung von Ihrem Grundsatz her?

eine optionale Handlungsempfehlung
eine Norm
Reaktive Abarbeitung der Sicherheitsmaßnahmen

A03g - Was müssen Sie tun, wenn eine Festplatte aus dem Rechner herausgenommen wird und den Standort verlässt?

Löschen
Archivieren
Verschlüsseln

A21b - Um ISO-27001 konform zu sein, muss das ISMS wie verwirklicht sein?

Kontinuierlich verbessert werden
Aufgebaut und realisiert
Fortgeführt bzw. aufrechterhalten werden

A21e - Was könnten die Gründe sein, Kontakt zu speziellen Interessenverbänden, Expertenforen, Fachverbänden wegen der IT-Sicherheit zu halten?

Um sich über aktuelle Entwicklungen bei neuen Technologien und damit im Zusammenhang stehenden Fragen der Informationssicherhit austauschen zu können
Um sicherzustellen, dass das eigene Verständnis zum Thema Informationssicherheit vollständig und zeitgemäß ist.
Um über aktuelle Entwicklungen der Informationssicherheit auf dem Laufenden zu bleiben
Um rechtzeitig Warnungen vor akuten Informationssicherheitsbedrohungen zu erhalten

A03h - Um ein Ad-hoc-Drahtlosnetzwerk einzurichten, müssen drei Elemente zwischen den Teilnehmern vereinbart werden. Dies sind:

Wenn ein WEP aktiviert ist, WEP-Schlüssel, SSID und zu verwendende IP Adressen
Wenn ein WEP aktiviert ist, WEP-Schlüssel, SSID und zu verwendende Frequenz
Wenn ein WEP aktiviert ist, WEP-Schlüssel, SSID und zu verwendender Kanal

A20b - Was ist bei Rollen, die im Konflikt stehen, in der Informationssicherheit zu beachten?

Sind Rollenkonflikte nicht zu vermeiden, sollen andere Maßnahmen wie eine zusätzliche Überwachung in Betragt gezogen werden
Miteinander in Konflikt stehende Rollen sind unbedingt zu vermeiden.
Miteinander in Konflikt stehende Rollen sollen nicht vom selben Rolleninhaber besetzt werden
Miteinander in Konflikt stehende Aufgabenfelder sollen nicht in einer Rolle zusammenfallen

Zugriff bedeutet

Zugriff bedeutet die Rechtevergabe auf bestimmte Objekte
die Möglichkeit der Nutzung bestimmter Daten und Informationen
Autorisierung des Benutzers für den Zugriff auf bestimmte Dateien, Verzeichnisse, Programme und Funktionen

A04j - Sie besuchen eine Internetseite. Woran erkennen Sie, dass die Daten sicher übertragen werden?

Es muß eine Authentifizierung stattfinden
Die URL der aufgerufenen Internetseite beginnt mit https://
Die aufgerufene Internetseite zeigt ein Schloss

Was muss die Führung bzgl. Der Informationssicherheitsziele beachten?

sie müssen im Unternehmen bekanntgemacht werden
sie müssen im Einklang mit der Informationssicherheitspolitik stehen
jeder muss sie beachten
sie müssen messbar sein

A21f - Wie wird in der ISO 27001 die Bereitstellung der Ressourcen beschrieben? Welches Kapitel?

nur in Anhang A.12
in 5.1 Abschnitt c Die Führung ist verpflichtet sicherzustellen, dass die für das Informationssicherheitsmanagementsystem erforderlichen Ressourcen zur Verfügung stehen
(in 7.1) Die Organisation muss die zur Einrichtung, Implementierung, Aufrechterhaltung und laufenden Verbesserung des ISMS erforderlichen Ressourcen ermitteln und bereitstellen

Welche Maßnahmen der Zugangskontrolle gibt es? (Die Frage kommt nach Thomas nicht)

technische/bauliche Sicherung der Netzgeräte (W/LAN)
Zugriffssperre bei mobilen Geräten
Verschlüsselung wichtiger Datenübertragungen
Weitere Zugangskontrollen durch Zwei-Faktor-Authentifizierung (USB-Dongles, SmartCards, Hardware-Token, biometrische Erkennungsverfahren)
Schutz des IT-Systems durch Virenscanner vor Malware
Einschränkung des Systemzugangs durch Firewall

A26f - Was verpflichtet die ISO 27001 Unternehmen in Bezug auf Mitarbeiter auszuführen?

Maßnahmen zu ergreifen, damit die Mitarbeiter den bestimmten Kompetenzlevel in Bezug auf Informationssicherheit erreichen
auf für Personen, die keine Mitarbeiter der Organisation sind, aber unter der Aufsicht der Organisation arbeiten und durchihre Tätigkeiten die Leistung des ISMS beeinflussen können, die erforderlichen Kompetenzen zu bestimmen
die erforderlichen Kompetenzen der Mitarbeiter zu bestimmen, die durch ihre Tätigkeit die Leistung des ISMS beeinflussen können

A14e - Welche Aussagen gibt es zum IT-Sicherheitsgesetz? (maximal 3 Aussagen)

Für Betreiber von Webangeboten wie zum Beispiel Online Shops gelten seit Inkrafttreten des Gesetzes erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT Systeme
Das Gesetz trat am 25.07.2015 in Kraft
Die Unternehmen der sogenannten kritischen Infrastrukturen müssen 2 Jahre nach dem Inkrafttreten der für ihren Sektor relevanten Rechtsverordnung ein dem Stand der Technik entsprechendes Sicherheitsniveau aufweisen

A06e - Welche Aussage zum Datenschutz gibt es in Bezug auf Personen? (In einem Satz)

Datenschutz betrifft alle Informationen, die sich auf eine Person beziehen
Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist für die Bürger und Unternehmen der Europäischen Union seit dem 25.05.2018 unmittelbar geltendes Recht.
alle Daten über Personen
alle Informationen, die elektronische oder anders gespeichert sind.

A25n - Wo werden die Awareness-Maßnahmen für die Informationssicherheit geregelt?

Zu den Aufgaben des Datenschutzbeauftragten gehört auch die Beratung und Unterrichtung der Mitarbeiter hinsichtlich ihrer Pflichten in Bezug auf den Datenschutz (Art 39)
Das BSI IT-Grundschutzkompendium fordert und beschreibt Awareness Maßnahmen
Die ISO 27001 fordert Awareness Maßnahmen

A21g - Nach der ISO 27001 muss für das ISMS ein Anwendungsbereich festgelegt werden. Dazu kann/können gehören?

Die Themen des bestimmten internen und externen Kontextes
Schnittstellen und Abhängigkeiten zwischen Tätigkeiten, die von der Organisation selbst ausgeführt werden und denen, die von anderen ausgeführt werden
Die Räume der Geschäftsführung
Die Anforderungen der interessierten Parteien

A26k - Was ist eine Krise nach dem BSI Notfallmanagement?

Eine krise ist die Vorstufe einer Katastrophe
Eine Krise ist eine ungeplante Abweichung vom Normalbetrieb, die mit der normalen Aufbau- und Ablauforganisation nicht bewältigt werden kann.
Eine Krise ist ein verschärfter Notfall, in dem die Existenz des Unternehmens oder Leben und Gesundheit von Personen gefährdet sind.

A21d - Was gehört zum Verstehen des inneren Kontextes einer Organisation aus der ISO 27001 dazu?

Unternehmensstruktur und Entscheidungswege
Stellenbeschreibungen
Unternehmensziele
Firmenkultur

A26b - Welche Rollen gehören zur Notfallbewältigung?

Krisenstab
Notfallbeauftragter
Notfallteam
Krisenentscheidungsgremium

A06f - In welchen Schritten gliedert sich die Sicherheitskonzeption des BSI-Standards 200-2 in der Standartabsicherung?

Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check,
Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check Teil 1 und 2,
Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check, Konsolidierung
Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, IT-Grundschutz-Check, Risikoanalyse

A26h - Wann erfolgen im Zertifizierungszyklus Überwachungsaudits?

Jährlich zwischen den Rezertifizierungsaudit
Jährlich zwischen den Rezertifizierungsaudits --> Ergänzungund nicht Teil der Antwort:(d.h. im 1. Und 2. Des 3 jährigen Zyklus)
jährlich in den 3 Jahren in denen die Zertifizierung gelten soll.

A04k - Welches ist im Folgenden keine logische Methode der Zugangskontrolle?

Zugangskontrollen durch Zwei-Faktor-Authentifizierung
Biometrie

Info cartes d'apprentissage

-IT-Sicherheitsbeauftragte reloaded