MemoCard lernen mit System

Frage 36:

Bei welcher Art von Schadsoftware handelt es sich um ein Programm, das neben seiner offensichtlichen Funktion auch bewusst weitere Aktivitäten ausführt?

Wurm
Logikbombe (Logic Bomb)
Trojaner
Spyware

Frage 11:

Wer ist dafür zuständig, aus der Unternehmensstrategie und den Unternehmenszielen eine Sicherheitsstrategie und Sicherheitsziele abzuleiten?

Information Security Policy Officer
Geschäftsführung
Chief Information Security Officer (CISO)
Information Security Officer (ISO)

Frage 17:

Was ist bei einem Brand eine unterdrückende Sicherheitsmaßnahme?

Den durch den Brand verursachten Schaden zu reparieren
Den Brand zu löschen, nachdem er entdeckt wurde
Eine Brandversicherung abzuschließen

Frage 6:

Eine Organisation verfügt über einen Netzwerkdrucker, der im Flur des Unternehmens steht. Viele Mitarbeiter holen ihre Ausdrucke nicht sofort, sondern lassen sie im Drucker liegen. Wie wirkt sich dies auf die Zuverlässigkeit der Informationen aus?

Die Integrität der Informationen ist nicht mehr gewährleistet.
Die Vertraulichkeit der Informationen ist nicht mehr gewährleistet.
Die Verfügbarkeit der Informationen ist nicht mehr gewährleistet.

Frage 10:

Eine Organisation beschließt, einen gewissen Teil ihrer IT auszulagern. Wie lässt sich die Informationssicherheit am besten gewährleisten, wenn man mit einem Lieferanten arbeitet?

Indem man die Informationssicherheitsanforderungen an den Lieferanten förmlich in einem Vertrag festlegt
Indem man die beiden Organisationen vollständig voneinander trennt, damit jede für ihre eigenen Daten verantwortlich ist
Indem man vom Lieferanten verlangt, dass er die Prozesse und Verfahren der Kundenorganisation befolgt
Indem man in der Organisation des Lieferanten einen neuen Information Security Officer (ISO) ernennt

Frage 18:

Was ist das Ziel der Klassifizierung von Informationen?

Die Gliederung der Informationen nach dem Grad ihrer Vertraulichkeit
Die Erstellung eines Handbuchs zum Umgang mit Mobilgeräten
Die Kennzeichnung von Informationen, um ihre Erkennbarkeit zu verbessern

Frage 25:

Ein Mitarbeiter entdeckt einen Incident. An wen sollte er diesen zuerst melden?

An den Information Security Manager (ISM)
An den Information Security Officer (ISO)
An den Vorgesetzten
An den Helpdesk

Frage 29:

Warum wird im Server-Raum eine Klimaanlage installiert?

Der Server-Raum bietet die beste Möglichkeit, um die Raumluft der Niederlassung zu kühlen. Installiert man die Klimaanlage dort, muss kein Büroraum für eine so große technische Anlage geopfert werden.
Die Backup-Bänder sind aus dünnem Plastik, das hohen Temperaturen nicht standhalten kann. Bei zu hohen Temperaturen im Server-Raum könnten sie beschädigt werden.
Die im Server-Raum tätigen Mitarbeitenden sollten nicht in der Hitze arbeiten müssen. Mit den Temperaturen steigt auch die Wahrscheinlichkeit, dass die Mitarbeitenden Fehler machen.
Die Luft im Server-Raum muss gekühlt und die von den Geräten produzierte Wärme abgeführt werden. Darüber hinaus filtert die Klimaanlage die Raumluft und entzieht ihr Feuchtigkeit.

FGrage 19:

Was ist der wichtigste Grund für die Trennung der Verantwortlichkeit?

Sicherzustellen, dass Mitarbeiter nicht zur gleichen Zeit das Gleiche machen
Die Wahrscheinlichkeit unbefugter oder unbeabsichtigter Änderungen auf ein Minimum zu beschränken
Alle Mitarbeiter gemeinsam für die gemachten Fehler zuständig zu machen
Klarzustellen, wer für welche Aufgaben und Tätigkeiten zuständig ist

Frage 5:

Was ist neben Integrität und Vertraulichkeit der dritte Aspekt der Zuverlässigkeit von Informationen?

Vollständigkeit
Genauigkeit
Monetärer Wert
Verfügbarkeit

Frage 38:

Welche Gesetzgebung oder Rechtsvorschrift im Bereich der Informationssicherheit gilt für alle Organisationen?

Geistige Eigentumsrechte
ISO/IEC 27002
Datenschutz-Grundverordnung (DSGVO)
ISO/IEC 27001

Frage 27:

Welche physische Sicherheitsmaßnahme regelt den Zugriff auf die Informationen einer Organisation?

Verbot der Nutzung von USB-Sticks
Installation einer Klimaanlage
Verwendung von Sicherheitsglas
Erfordernis von Benutzernamen und Password

Frage 30:

Im Rahmen der physischen Informationssicherheit können mehrere Sicherheitsringe (Protection Rings) zum Einsatz kommen, in denen dann verschiedene Maßnahmen (Measures) ergriffen werden können.

Was ist kein Sicherheitsring?

Secure Room Ring (Sicherheitsbereich Ring)
Building Ring (Gebäude Ring)
Middle Ring (Mittlerer Ring)
Outer Ring (Äußerer Ring)

Frage 26:

Wie kann man bei Mitarbeitenden am effektivsten Bewusstsein für Informationssicherheit schaffen?

Durch gezielte Schulungen zur Bewusstseinsbildung für die Geschäftsführung
Durch Einrichtung eines speziell auf die Organisation ausgerichteten Programms zur Bewusstseinsbildung
Durch das Angebot einer allgemeinen Online-Schulung zum Thema Informationssicherheit
Durch Teilnahme aller Mitarbeitenden an externen Schulungen zum Thema Informationssicherheit

Frage 3:

Was ist der Fokus des Informationsmanagements?

Die Informationsflüsse im Unternehmen zu verstehen
Die unterbrechungsfreie Fortführung von Business-Aktivitäten und -Prozessen zu ermöglichen
Die Identifizierung und Nutzung des Werts von Informationen sicherzustellen
Den Zugriff auf automatisierte Systeme durch Unbefugte zu verhindern

Frage 4:

Eine Organisation muss wissen, mit welchen Risiken sie konfrontiert ist, bevor sie entsprechende Maßnahmen (Measures) ergreifen kann. Was sollte die Organisation kennen, um das Risiko zu bestimmen?

Die Bedrohungen, mit denen eine Organisation konfrontiert ist und wie anfällig die Organisation für diese Bedrohungen ist
Die Eintrittswahrscheinlichkeit eines Ereignisses und die Auswirkungen des Ereignisses auf die Organisation
Die ungeplanten Ereignisse, mit denen eine Organisation konfrontiert ist und was in einem solchem Fall zu tun ist
Die häufigsten Risiken und wie diese gemäß den Festlegungen in Best Practices reduziert werden können

Frage 40

Die Normen welcher Normenorganisation werden in Europa am häufigsten genutzt?

National Institute of Standards and Technology (NIST)
American National Standards Institute (ANSI)
International Organization for Standardization (ISO)

Frage 31:

Welche Sicherheitsmaßnahme für einen Wert (Asset) erforderlich ist, richtet sich nach dem jeweiligen Wert (Asset). Wie lässt sich die Sicherheit eines Werts am besten gewährleisten?

Indem man ein Formular sichert durch ausfüllen und abzeichnen
Indem man eine Internetverbindung mittels Backup sichert
Indem man einen USB-Stick mittels Verschlüsselung sichert
Indem man einen Laptop sichert und diesen einem einzigen Benutzer zuweist

Frage 8:

Wie lässt sich der Zweck einer Informationssicherheitsrichtlinie am besten beschreiben?

Eine Informationssicherheitsrichtlinie dokumentiert die Analyse der Risiken und die Suche nach entsprechenden Sicherheitsmaßnahmen.
Eine Informationssicherheitsrichtlinie bieten Einblick in Bedrohungen und deren mögliche Folgen.
Eine Informationssicherheitsrichtlinie konkretisiert die Sicherheitsplanung mit den erforderlichen Details.
Eine Informationssicherheitsrichtlinie bietet der Organisation Orientierung und Unterstützung hinsichtlich der Informationssicherheit.

Frage 35:

Welche Art von Sicherheit bietet eine Infrastruktur mit öffentlichem Schlüssel (PKI)?

Eine PKI stellt regelmäßige Backups der Unternehmensdaten sicher.
Eine PKI weist gegenüber den Kunden nach, dass ein webbasiertes Geschäft sicher ist.
Eine PKI verifiziert, ob eine Person oder ein System zu einem bestimmten öffentlichen Schlüssel gehört.

Frage 32:

Welche Sicherheitsmaßnahme trägt dazu bei, Informationssicherheit bereits bei der Entwicklung von Systemen zu berücksichtigen?

Die Redundanz der Server sicherzustellen
Physische Zugangskontrollen zu implementieren
Datenklassifizierung bei Informationswerten (Informationsassets) zu nutzen
Background Checks bei Mitarbeitenden durchzuführen

Frage 12:

Welches ist das beste Beispiel einer menschlichen Bedrohung?

Ein Leck verursacht einen Stromausfall
Ein USB-Stick infiziert ein Netzwerk mit einem Virus.
Der Server-Raum ist zu staubig.

Frage 2:

Was ist der Unterschied zwischen Daten und Informationen?

Daten bestehen aus unstrukturierten Zahlen. Informationen bestehen aus strukturierten Zahlen.
Daten haben keinen Wert. Informationen dagegen sind verarbeitete Daten und haben einen Wert.
Daten erfordern keine Sicherheit. Informationen erfordern Sicherheit.
Bei Daten kann es sich um alle erdenklichen Fakten oder Zahlen handeln. Informationen sind Daten, die eine Bedeutung haben.

Frage 22:

Eine Mitarbeiterin entdeckt, dass das Fälligkeitsdatum einer Police ohne ihr Wissen geändert wurde. Da sie die Einzige ist, die dieses Datum ändern darf, meldet sie den Security Incident an den Helpdesk. Der Helpdesk-Mitarbeiter zeichnet zu diesem Incident folgende Informationen auf:

- Datum und Zeit

- Beschreibung des Incidents

- Mögliche Folgen des Incidents

Welche wichtige Information über den Incident fehlt?

Der Name des Software-Pakets
Die PC-Nummer
Der Name der Person, die den Incident gemeldet hat

Frage 33:

Eine Organisation ändert ihre Richtlinie. Ab sofort haben die Mitarbeitenden auch die Möglichkeit zu Remote- oder Telearbeit. Welche Sicherheitsmaßnahme sollte nun eingeführt werden?

Einrichtung von Firewalls im Unternehmensnetzwerk
Verschlüsselung der Informationen im Unternehmensnetzwerk
Verbindung mit dem Unternehmensnetzwerk über virtuelles privates Netzwerk (VPN)
Erstellen von V-Lans zur Segmentierung des Unternehmensnetzwerks

Frage 14:

In einem Unternehmen gab es einen Brand. Die Feuerwehr war schnell vor Ort und konnte den Brand löschen, bevor er sich ausbreitete und das gesamte Firmengelände abbrannte. Bei dem Brand wurde jedoch der Server zerstört. Die in einem anderen Raum aufbewahrten Backup-Bänder waren geschmolzen und viele weitere Dokumente gingen verloren. Welchen indirekten Schaden hat der Brand verursacht?

Geschmolzene Backup-Bänder
Wasserschaden
Verbrannte Computer-Systeme
Verbrannte Dokumente

Frage 15:

Die Risikostrategien von Unternehmen können sich je nach Art der Geschäftstätigkeit unterscheiden. Welche Risikostrategie eignet sich für ein Krankenhaus am besten?

Risikotragfähigkeit
Risikoakzeptanz
Risikoneutralität
Risikovermeidung

Frage 39:

Welche ISO-Norm konzentriert sich auf die Implementierung von Informationssicherheitsmaßnahmen?

ISO/IEC 27001
ISO/IEC 27000
ISO/IEC 27005
ISO/IEC 27002

Frage 37:

Bei welcher Art von Schadsoftware handelt es sich um ein Programm, das ein Netzwerk infizierter Computer erstellt, indem es sich selbst repliziert?

Spyware
Wurm
Logikbombe (Logic Bomb)
Trojaner

Frage 7:

Was ist der Unterschied zwischen Verantwortlichkeit und Auditierbarkeit?

Verantwortlichkeit bedeutet die Verantwortung für die Handlungen einer Person zu übernehmen. Auditierbarkeit bedeutet die Verantwortung für die Handlungen einer Organisation zu haben.
Verantwortlichkeit bedeutet, dass eine Organisation den Sarbanes Oxley Act (SOX) einhält. Auditierbarkeit bedeutet, dass eine Organisation der Norm ISO/IEC 27001 entspricht.
Verantwortlichkeit bedeutet, dass man für die Folgen der Aktivitäten einer Organisation haftet. Auditierbarkeit bezeichnet den Reifegrad einer Organisation, sich einer unabhängigen Bewertung zu unterziehen.
Verantwortlichkeit bedeutet, dass eine Organisation ihre Finanzkonten gut verwaltet. Auditierbarkeit bedeutet, dass eine Organisation ein Audit bestanden hat.

Frage 16:

Eine professionell durchgeführte Risikoanalyse bietet viele nützliche Informationen. Eine Risikoanalyse verfolgt mehrere Hauptziele.

Was zählt nicht zu den Hauptzielen einer Risikoanalyse?

Die Werte (Assets) und deren wirtschaftlichen Wert zu identifizieren
Die Kosten eines Incidents und die Kosten einer Sicherheitsmaßnahme gegeneinander abzuwägen
Die relevanten Schwachstellen und Bedrohungen zu bestimmen
Die Maßnahmen (Measures) und Sicherheitsmaßnahmen zu implementieren

Frage 1:

In einer Datenbank sind Millionen von Transaktionen eines Telefonunternehmens gespeichert. Für einen Kunden wurde eine Rechnung erstellt und verschickt. Was enthält diese Rechnung für den Kunden?

Informationen
Daten
Daten und Informationen

Frage 24.

Welches Dokument enthält die Vorschrift, die die Nutzung des geschäftlichen E-Mail-Accounts für private Zwecke verbietet?

Führungszeugnis
Verhaltenskodex
Datenschutz-Grundverordnung (DSGVO)
Vertraulichkeitsvereinbarung (NDA)

Frage 34:

Die Mitarbeitenden einer Organisation arbeiten an Laptops, die mittels asymmetrischer Kryptographie geschützt sind. Um die Schlüsselverwaltung so wirtschaftlich wie möglich zu gestalten, nutzen alle Berater das selbe Schlüsselpaar. Bei Gefährdung bestimmter Informationen sind neue Schlüssel bereitzustellen.

In welchem Fall sollten neue Schlüssel bereitgestellt werden?

Wenn der private Schlüssel bekannt wird
Wenn der öffentliche Schlüssel bekannt wird
Wenn die Infrastruktur mit öffentlichem Schlüssel (PKI) bekannt wird

Frage 13:

Ein Datenbanksystem verfügt nicht über die neuesten Sicherheitspatches und wurde gehackt. Die Hacker konnten auf die Daten zugreifen und diese löschen. Welcher Begriff aus der Informationssicherheit beschreibt das Fehlen von Sicherheitspatches?

Bedrohung
Schwachstelle
Auswirkung
Risiko

Frage 23:

Warum ist es wichtig, das Informationssicherheitsmanagementsystem (ISMS) der Organisation regelmäßig zu auditieren?

Audits decken Schwächen bei der Implementierung von Informationssicherheitsmaßnahmen auf.
Audits sind für die Einhaltung der gesetzlichen und regulatorischen Vorgaben (Compliance) obligatorisch.
Viele Kundenverträge fordern Audits zur Gewährleistung der Informationssicherheit.
Audits zeigen, ob eine Organisation Probleme hat, ihre finanziellen Ziele zu erreichen.

Frage 20:

Wie lässt sich ein angemessener Zugriff auf Informationen am besten sicherstellen?

Durch die Bereitstellung von Schulungen
Durch die Festlegung von Verfahrensanweisungen
Durch die Entwicklung von Arbeitsanweisungen für alle Aufgaben
Durch die Automatisierung von Arbeitsabläufen

Frage 9:

Sara soll sicherstellen, dass ihre Organisation die Gesetzgebung zum Schutz personenbezogener Daten einhält. Was sollte Sara zuerst tun?

Die Mitarbeitenden für die Übermittlung ihrer personenbezogenen Daten zuständig machen
Die Erhebung und Speicherung personenbezogener Daten verbieten
Einen Mitarbeiter benennen, der die Manager bei der Einhaltung der Richtlinie unterstützt
Die Gesetzgebung zum Schutz personenbezogener Daten in einer Datenschutzrichtlinie umsetzen.

Frage 21:

In der Geschäftsstelle einer Organisation bricht ein Brand aus. Die Mitarbeiter werden auf andere Geschäftsstellen in der Nähe verteilt und sollen dort weiter arbeiten. Wo ist eine solche Stand-by-Regelung im Lebenszyklus der Incidents (Incident Cycle) angesiedelt?

Zwischen Incident und Schaden
Zwischen Wiederherstellung und Bedrohung
Zwischen Schaden und Wiederherstellung
Zwischen Bedrohung und Incident

Frage 28:

Ein Rechenzentrum nutzt Akkus, hat jedoch keinen Stromgenerator. Welches Risiko besteht in diesem Fall für die Verfügbarkeit des Rechenzentrums?

Der Ausfall der Hauptstromversorgung kann länger als nur ein paar Minuten oder Stunden dauern und in diesem Fall wäre kein Strom verfügbar.
Bei einer Wiederherstellung der Stromversorgung schaltet sich die Hauptstromversorgung möglicherweise nicht automatisch wieder ein, da dazu ein Generator benötigt wird
Die Lebensspanne der Akkus ist begrenzt, und nach ein paar Tagen haben die Akkus möglicherweise keinen Diesel mehr und würden dann auch nicht mehr funktionieren.
Die Akkus müssen nach ein paar Stunden vom Stromgenerator mit Strom versorgt werden und bieten daher nur eingeschränkt Schutz.

Lernkarten Info

Information Security Foundation Exam April 2024