MemoCard lernen mit System

Warum sollten Sie Ihr Sicherheitskonzept regelmäßig überprüfen?

weil sich die Gefährdungslage ändert
weil die IT-Sicherheitsbranche ständig neuen Trends unterliegt
weil sich die Prozesse und Strukturen einer Institution ändern
weil sich die Zielsetzungen und Prioritäten einer Institution ändern

Welche Verfahren verwenden Sie, um in einem IT-Grundschutz-Check zu prüfen, wie gut eine Gruppe von Clients geschützt ist?

Sie führen Interviews mit den zuständigen Systembetreuerinnen.
Sie versuchen in einem Penetrationstest, Schwachstellen dieser IT- zu ermitteln, und beziehen dabei sämtliche zur Gruppe gehörenden Clients ein.
Sie lesen die vorhandene Dokumentation zur Konfiguration der Clients.
Sie untersuchen stichprobenartig vor Ort, wie die Clients konfiguriert sind.

Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte?

die eingesetzte Sicherheitstechnik zu konfigurieren
der Leitungsebene über den Stand der Informationssicherheit zu berichten
Presseanfragen zum den Stand der Informationssicherheit im Unternehmen zu beantworten
die Entwicklung von Sicherheitskonzepten zu koordinieren

Welche der folgenden Untersuchungen haben die systematische Überprüfung der Informationssicherheit in einer Institution zum Ziel?

die Auswertung von IT-Sicherheitsvorfällen
ein Audit im Rahmen einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
die IT-Sicherheitsrevision
Penetrationstests

Wer ist für die Freigabe der Leitlinie zur Informationssicherheit verantwortlich?

das IS-Management-Team
die ISB
die Öffentlichkeitsabteilung eines Unternehmens oder einer Behörde
die Unternehmens- oder Behördenleitung

Welche Informationen sollten Netzpläne enthalten, die für die Strukturanalyse benötigt werden?

die Art der Vernetzung der IT-Systeme eines Informationsverbundes
die Außenverbindungen des Netzes eines Informationsverbundes
die Art der IT-Systeme eines Informationsverbundes
die bei der Erarbeitung des Sicherheitskonzepts beteiligten Organisationseinheiten

Was berücksichtigen Sie, wenn Sie den Schutzbedarf einer Anwendung bestimmen?

die Informationen, die im Zusammenhang mit der Anwendung verwendet werden
die Bedeutung der Anwendung für die Geschäftsprozesse oder Fachaufgaben
die relevanten Gefährdungen, denen die Anwendung ausgesetzt ist
die räumliche Umgebung des IT-Systems, das die Anwendung bereitstellt

Welche Gefährdungen werden bei der Erstellung der Gefährdungsübersicht im ersten Schritt betrachtet?

die in den Abschnitten zur Gefährdungslage eines Bausteins angeführten spezifischen Gefährdungen
die relevanten elementaren Gefährdungen aus dem IT-Grundschutz-Kompendium
die im Anhang von BSI-Standard 200-3 enthaltenen Risikokataloge
die im Anhang der Norm ISO 27005 angeführten Gefährdungen

Wodurch verlagern Sie ein Risiko?

durch Outsourcing des risikobehafteten Geschäftsprozesses an einen externen Dienstleister
durch die Entscheidung, risikomindernde Maßnahmen erst dann umzusetzen, wenn die hierzu erforderlichen Finanzmittel bereitstehen
durch den Abschluss einer Versicherung
durch Umstrukturierung des risikobehafteten Geschäftsprozesses

Welche Angaben sind für IT-Systeme bei der Strukturanalyse zu erfassen?

Lieferant und Preis
Benutzerin und Administratorin
Typ und Einsatzzweck
Standort (Gebäude und Raum)

Was sollte vor der Einführung einer Kennzahl zur Informationssicherheit unbedingt festgelegt werden?

mit welchen Stilmitteln positive und negative Ergebnisse gekennzeichnet werden sollen
welches Ziel mit der Kennzahl verfolgt werden soll
wie die Ergebnisse vor der Leitung der Institution verborgen werden können
mit welchem Verfahren die Werte eine Kennzahl erhoben werden

Wie verfahren Sie beim ersten IT-Grundschutz-Check, also vor der Durchführung von Risikoanalysen, mit Anforderungen für den erhöhten Schutzbedarf?

Sie stufen diese Anforderungen grundsätzlich als entbehrlich ein und verzichten auch dann darauf, diese zu überprüfen, wenn sie in Ihrer Einrichtung umgesetzt sind.
Sie streichen die Anforderungen aus Ihrem Sollkonzept.
Sie betrachten im IT-Grundschutz-Check grundsätzlich alle in den IT-Grundschutz-Bausteinen genannten Anforderungen, folglich auch diejenigen für den erhöhten Schutzbedarf.
Sie betrachten Anforderungen für den hohen und sehr hohen Schutzbedarf erst nach Abschluss der Risikoanalyse.

Wer sollte üblicherweise prüfen, ob eine Sicherheitsmaßnahme wie geplant umgesetzt ist?

die zuständige IT-Administratorin
die Geschäftsführung
die Informationssicherheitsbeauftragte
die Leitung der IT-Abteilung

In welchen Fällen können Sie gemäß IT-Grundschutz-Methodik auf die Schutzbedarfsfeststellung für ein IT-System verzichten?

wenn das IT-System spätestens innerhalb von 18 Monaten ausgesondert wird
wenn das IT-System nicht eingesetzt wird
wenn die Anwendungen, die es unterstützt, nur einen normalen Schutzbedarf haben
wenn der Schutzbedarf bereits im Rahmen einer vor einem Jahr durchgeführten Revision festgestellt wurde

Warum kann es sinnvoll sein, sich für eine Sicherheitskonzeption gemäß der Basis-Absicherung zu entscheiden?

Weil Informationssicherheit Schritt für Schritt umgesetzt werden soll. Mittelfristig kann das Sicherheitskonzept nach Standard-Absicherung ausgebaut werden.
Weil die hochwertigen Informationen dringend geschützt werden müssen. Die Basis-Absicherung sorgt für den angemessenen Schutz der „Kronjuwelen“ einer Institution.
Die Erfüllung der zugehörigen Anforderungen reicht in der Regel für ein normales Unternehmen völlig aus.
Weil schnell Informationssicherheit umgesetzt werden muss und die Basis-Absicherung hierfür einen geeigneten Einstieg bietet.

Welche der folgenden Aufgaben gehören gemäß BSI-Standard 200-2 zur Strukturanalyse?

die Modellierung der Geschäftsprozesse und Fachaufgaben eines Informationsverbundes
die Erhebung der Informationen, Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und räumlichen Gegebenheiten eines Informationsverbundes
die Überprüfung, ob die eingesetzte IT die Geschäftsprozesse und Fachaufgaben angemessen unterstützt
die angemessene Gruppierung der Komponenten eines Informationsverbundes

Was sollte eine Leitlinie zur Informationssicherheit enthalten?

konkrete Verhaltensregelungen für den Umgang mit vertraulichen Informationen
Aussagen zur Bedeutung der Informationssicherheit für die betroffene Institution
grundlegende Regelungen zur Organisation der Informationssicherheit
detaillierte technische Vorgaben für die Konfiguration wichtiger IT-Systeme

Welche Voraussetzungen müssen für den Erwerb eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz erfüllt sein?

die durch Sichtung von Dokumenten und Vor-Ort-Prüfungen begründete Feststellung der erfolgreichen Erfüllung der IT-Grundschutz-Anforderungen durch eine zertifizierte Auditorin
ausschließlich die in einem Audit nachgewiesene Erfüllung der Basis-Anforderungen
ein positives Resultat bei der Überprüfung des Audit-Berichts durch das BSI
die Unterschrift einer zertifizierten Auditorin unter die Selbsterklärung einer Institution, dass sie die IT-Grundschutz-Anforderungen umfassend erfüllt hat

Welche Anwendungen sind in der Strukturanalyse zu erfassen?

alle Anwendungen, die von mindestens 20 Prozent der Mitarbeitenden genutzt werden
alle Anwendungen, die für mindestens einen der bereits erfassten Geschäftsprozesse erforderlich sind
alle Anwendungen, für die eine gültige Lizenz vorhanden ist
alle Anwendungen, die auf den IT-Systemen im Informationsverbund installiert sind

Welche Aufgaben stellen sich Ihnen bei der Modellierung gemäß IT-Grundschutz?

Sie bilden den in der Strukturanalyse dokumentierten Informationsverbund mithilfe der IT-Grundschutz-Bausteine ab.
Sie prüfen, welche IT-Grundschutz-Bausteine für den betrachteten Informationsverbund relevant sind.
Sie merken Zielobjekte, die nicht geeignet modelliert werden können, für eine Risikoanalyse vor.
Sie entwerfen die Sicherheitsarchitektur des betrachteten Informationsverbundes.

Was bewerten Sie bei der Risikoeinschätzung?

die Häufigkeit des Eintretens einer Gefährdung
das mit einer Gefährdung verbundene Schadensausmaß
welche Schutzziele von einer Gefährdung betroffen sind
die Wirksamkeit der geplanten und umgesetzten Maßnahmen gegen eine Gefährdung

Welches Modell liegt dem in BSI-Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?

ein Zyklus aus den Schritten Plan, Do, Check und Act
ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus
ein auf stetige Verbesserung angelegtes Modell
ein Modell aus technischen Sicherheitsmaßnahmen

Sie stellen fest, dass eine Standard-Anforderung für ein IT-System nicht umgesetzt ist, das nur noch kurze Zeit in Betrieb ist. Wie behandeln Sie diese Anforderung beim IT-Grundschutz-Check?

Sie streichen die Anforderung aus dem IT-Grundschutz-Modell.
Sie dokumentieren diese als nicht erfüllt und merken an, dass geprüft werden muss, ob die daraus resultierenden Risiken in der Restlaufzeit des IT-Systems noch tragbar sind.
Sie dokumentieren diese als nicht erfüllt, und merken gegebenenfalls an, dass geprüft werden muss, ob Maßnahmen zur Behebung dieses Defizits angesichts der kurzen Einsatzzeit des IT-Systems noch angemessen sind.
Sie dokumentieren diese als entbehrlich, da ihre Umsetzung nicht mehr wirtschaftlich ist.

Wie setzt sich ein IS-Management-Team geeignet zusammen?

Die Zusammensetzung sollte auf Freiwilligkeit beruhen. Jede, die Interesse hat, wird aufgenommen.
Nur die IT-Leiterin ordnet einige Mitarbeiterinnen in das Team ab.
Aus jeder Abteilung des Unternehmens oder der Behörde werden Mitarbeiterinnen entsandt, damit alle Bereich gut vertreten sind.
Die Geschäftsleitung setzt das Team aus Verantwortlichen für bestimmte IT-Systeme, Anwendungen, Datenschutz und IT-Service und (sofern vorhanden) der ICS-ISB zusammen.

Worauf sollten Sie bei der Auswahl und Anpassung der Sicherheitsmaßnahmen auf Basis der Anforderungen achten?

auf den Innovationsgrad der Maßnahmen
auf die Wirtschaftlichkeit der Maßnahmen
auf die Benutzerfreundlichkeit der Maßnahmen
auf die Wirksamkeit der Maßnahmen

Welche Kriterien berücksichtigen Sie bei der Bestimmung des Bedarfs an Verfügbarkeit eines IT-Systems?

den Aufwand, der erforderlich ist, um das IT-System nach einer Beschädigung wiederherzustellen
die Anzahl der Benutzerinnen des IT-Systems
die Anschaffungskosten des IT-Systems
die maximal tolerierbare Ausfallzeit des IT-Systems

Was müssen Sie prüfen, wenn Sie die Umsetzung von Sicherheitsmaßnahmen planen?

welche begleitenden Maßnahmen für eine erfolgreiche Umsetzung erforderlich sind
ob die Maßnahme mit anderen Maßnahmen vereinbar ist
ob die betreffende Maßnahme bereits eingeführt ist
in welcher Reihenfolge die verschiedenen Maßnahmen umgesetzt werden sollen

Welches Hilfsmittel im IT-Grundschutz-Kompendium können Sie verwenden, um Ihrer Leitung zu verdeutlichen, welche Risiken die Nichterfüllung von Anforderungen mit sich bringt?

die Beispiele für eine erfolgreiche Sensibilisierung im Baustein ORP.3 Sensibilisierung und Schulung
die Kreuzreferenztabellen am Ende eines Bausteins
das Risikokalkulationsschema in der Übersicht der elementaren Gefährdungen
das Restrisikodeklarationsformular im Anhang des Kompendiums

Auf welche Zielobjekte ist bei der Modellierung der Baustein ISMS.1 Sicherheitsmanagement anzuwenden?

Er MUSS einmal angewendet werden, und zwar auf den gesamten Informationsverbund.
Er MUSS für jedes Teilnetz gesondert angewendet werden, das bei der Strukturanalyse identifiziert wurde.
Er ist nur relevant, wenn der Informationsverbund eine gewisse Mindestgröße hat.
Er MUSS gesondert auf jeden größeren Standort eines Informationsverbundes angewendet werden.

Was unternehmen Sie als Informationssicherheitsbeauftragte, wenn die Leitung Ihrer Institution nicht bereit ist, den Aufwand für eine bestimmte Sicherheitsmaßnahme zu tragen?

Sie bitten die Leitung, durch Unterschrift zu bestätigen, dass sie die damit verbundenen Gefahren kennt und trägt.
Sie ignorieren die Leitung und setzen die Maßnahme trotzdem um.
Sie verzichten auf eine unmittelbare Reaktion, nehmen sich aber vor, nach Ablauf einer gewissen Zeitspanne die Zustimmung der Leitung einzuholen.
Sie verdeutlichen ihr, welche Risiken mit dem Fehlen der Maßnahme verbunden sind.

Welche Ziele verfolgt die Strukturanalyse im Rahmen der IT-Grundschutz-Methodik?

die Identifizierung der Objekte, die besonders stark gefährdet sind
die Ermittlung der Objekte, für die es passende Bausteine im IT-Grundschutz-Kompendium gibt
die Ermittlung der Objekte, die in einem Sicherheitskonzept zu berücksichtigen sind
die angemessene Zusammenfassung von Objekten, für die gleiche Sicherheitsmaßnahmen angewendet werden können

Welche Aussagen zur Anwendung von Bausteinen auf Server sind korrekt?

Für Virtualisierungsserver müssen neben dem Baustein sowohl der Baustein SYS.1.1 Allgemeiner Server als auch der zutreffende betriebssystemspezifische Baustein angewendet werden.
Neben dem Baustein SYS.1.1 Allgemeiner Server ist immer auch der zutreffende betriebssystemspezifische Baustein anzuwenden.
Der Baustein SYS.1.1 Allgemeiner Server ist nur dann anzuwenden, wenn es keinen betriebssystemspezifischen Baustein für einen Server gibt.
Wenn es spezielle Bausteine für Server-Anwendungen (z. B. Web- oder Datenbankserver) gibt, muss der betriebssystemspezifische Baustein nicht angewendet werden.

Welche klassischen Schutzziele werden bei der Schutzbedarfsfeststellung gemäß IT-Grundschutz empfohlen?

Authentizität
Integrität
Verfügbarkeit
Vertraulichkeit

Wer sollte in der Regel technische Maßnahmen zur Absicherung eines bestimmten IT-Systems umsetzen?

die Leitung der IT-Abteilung
die Informationssicherheitsbeauftragte
die Benutzerin des IT-Systems
die zuständige Systemadministratorin

Welche Aufgaben stellen sich Ihnen, nachdem Sie bei der Modellierung festgelegt haben, welche Bausteine für den Informationsverbund und seine einzelnen Zielobjekte anzuwenden sind?

die Korrektur der Schutzbedarfsfeststellung für Zielobjekte, bei denen die Erfüllung der Anforderungen unrealistisch erscheint
die Dokumentation der Ergebnisse der Modellierung
die Prüfung, ob für einzelne Anforderungen, deren Umsetzung im gegebenen Anwendungskontext mit vertretbarem Aufwand nicht möglich ist, Alternativen erforderlich sind
die Festlegung von Maßnahmen, mit denen die Anforderungen erfüllt werden können

Welche Informationen aus dem IT-Grundschutz-Kompendium unterstützen Sie bei der Festlegung einer sinnvollen Umsetzungsreihenfolge der geplanten Maßnahmen?

die Darstellung der Gefährdungslage am Beginn eines Bausteins
die fünfstufige Kennziffer zur Angabe der Priorität einer Anforderung in den IT-Grundschutz-Bausteinen
der Vorschlag zur Kennzeichnung einer sinnvollen Bearbeitungsreihenfolge der Bausteine mithilfe der Kürzel R1, R2 und R3
die Aufteilung der Anforderungen in Basis- und Standard-Anforderungen sowie solchen für den höheren Schutzbedarf

Welche Vorteile bieten Reifegradmodelle für die Bewertung eines ISMS?

Die Anwendung eines Reifegradmodells ist Voraussetzung für den Erwerb eines IT-Grundschutz-Zertifikats.
Mit einem Reifegradmodell können der Grad der Strukturiertheit und das Maß der systematischen Steuerung eines Prozesses bewertet werden.
Durch Anwendung eines Reifegradmodells wird eine zentrale Forderung der Norm ISO 27001 erfüllt.
Ein Reifegradmodell kann auf Teilaspekte des ISMS angewendet werden und Defizite bei einzelnen Prozessen abbilden.

Welche Kriterien sollten Sie bei der Überprüfung Ihres Sicherheitskonzepts berücksichtigen?

die Aktualität des Sicherheitskonzepts
die Akzeptanz des Sicherheitskonzepts bei der Leitung der Institution
den Umfang des Sicherheitskonzepts
die Vollständigkeit des Sicherheitskonzepts

Unter welchen Bedingungen kann der Schutzbedarf eines IT-Systems bezüglich Verfügbarkeit geringer sein als derjenige der Anwendungen, für die es eingesetzt wird?

wenn das IT-System nur solche Teile der Anwendungen bedient, die einen geringeren Schutzbedarf haben
wenn der Buchwert des IT-Systems einen zuvor definierten Schwellwert unterschreitet
wenn die Anwendungen innerhalb der nächsten drei Monate so umstrukturiert werden sollen, dass das betreffende IT-System nicht mehr benötigt wird
wenn mindestens ein weiteres redundantes IT-System in Betrieb ist, das die betreffenden Anwendungen bereitstellen kann

Wann bewerten Sie beim IT-Grundschutz-Check eine Anforderung eines IT-Grundschutz-Bausteins als erfüllt?

wenn es eine umfangreiche Dokumentation zu den Schutzvorkehrungen für das betreffende IT-System gibt
wenn sowohl im Interview mit einer für das IT-System Zuständigen als auch bei einer stichprobenartigen Überprüfung keine Sicherheitsmängel festgestellt wurden
wenn zu der Anforderung geeignete Maßnahmen vollständig, wirksam und angemessen umgesetzt sind
wenn die Gesprächspartnerin Ihnen glaubhaft versichert hat, dass es bislang zu keinen Sicherheitsproblemen auf dem betreffenden IT-System gekommen ist

Welche Vorarbeiten erfordert der IT-Grundschutz-Check?

die Auswahl von geeigneten Gesprächspartnerinnen
einen Penetrationstest, um Schwachstellen zu identifizieren, die mit den ausgewählten Gesprächspartnerinnen erörtert werden
die Zusammenstellung und Lektüre der vorhandenen Dokumente zur Informationssicherheit in dem betrachteten Informationsverbund
die Festlegung eines Zeitplans

Wann bietet es sich an, IT-Systeme bei der Strukturanalyse zu gruppieren?

wenn die Anzahl der insgesamt erfassten Objekte zu groß zu werden droht
wenn es für diese Systeme eigene und geeignete Bausteine im IT-Grundschutz-Kompendium gibt
wenn diese den gleichen Schutzbedarf und ähnliche Eigenschaften (Betriebssystem, Netzanbindung, unterstützte Anwendungen) haben
wenn diese in denselben Räumlichkeiten untergebracht sind

Wer trägt die Verantwortung für die bei einer Risikoanalyse getroffenen Entscheidungen zu einem IT-System?

das IS-Management-Team
die Administratorin des IT-Systems
die Informationssicherheitsbeauftragte
die Leitung der Institution

Aus welchen Gründen kann es gerechtfertigt sein, auch ein hohes Risiko zu akzeptieren?

Es ist bislang noch zu keinem nennenswerten Sicherheitsvorfall aufgrund der dem Risiko zugrunde liegenden Gefährdung gekommen.
Der Aufwand für mögliche Schutzmaßnahmen ist unangemessen hoch.
Vergleichbare Institutionen akzeptieren das Risiko ebenfalls.
Es gibt keine wirksamen Schutzmaßnahmen gegen das Risiko.

Wenn bei der Schutzbedarfsfeststellung für ein IT-System Kumulationseffekte berücksichtigt werden, bedeutet dies, dass …

… sich der Schutzbedarf des IT-Systems erhöht, weil sich Einzelschäden zu einem höheren Gesamtschaden addieren.
… der Schutzbedarf des IT-Systems erst festgestellt werden kann, wenn der Schutzbedarf der mit diesem vernetzten IT-Systeme festgestellt ist.
… sich der für das IT-System festgestellte Schutzbedarf auch auf den Schutzbedarf anderer IT-Systeme auswirkt, die mit dem betreffenden IT-System vernetzt sind.
… sich der Schutzbedarf des IT-Systems verringert, weil geeignete, sich gegenseitig verstärkende Sicherheitsmaßnahmen im Einsatz sind.

Welche Informationen sind Bestandteil eines IT-Grundschutz-Bausteins?

Verweise auf weiterführende Informationen
Angaben zur spezifischen Gefährdungslage
Sicherheitsanforderungen zu einem gegebenen Sachverhalt
Beschreibungen zu Standard-Sicherheitsmaßnahmen

Wann ist die Risikoakzeptanz grundsätzlich unzulässig?

bei Nichterfüllung von Standard-Anforderungen
bei sehr hohem Schutzbedarf
beim Vorhandensein von elementaren Gefährdungen
bei der Nichterfüllung von Basis-Anforderungen

Welche Aussagen zum IT-Grundschutz-Check sind zutreffend?

Ein IT-Grundschutz-Check dient dazu, Sicherheitsprobleme zu identifizieren, die in einer Risikoanalyse genauer untersucht werden müssen.
Ein IT-Grundschutz-Check ist ein Soll-Ist-Vergleich zwischen Sicherheitsanforderungen und tatsächlich umgesetzten Sicherheitsmaßnahmen.
Ein IT-Grundschutz-Check ermöglicht, Defizite bei der Erfüllung von Sicherheitsanforderungen zu ermitteln.
Bei einem IT-Grundschutz-Check wird lediglich die Erfüllung der Basis-Anforderungen geprüft.

Flashcard Info

BSI: IT-Grundschutz