ISMS

Question 1

Was ist ein ISMS und wozu wird es (vor allem in größeren Firmen) benötigt?

Answer 1

ISMS steht für “Informationssicherheitsmanagementsystem” und wird in größeren Firmen benötigt, um die Sicherheit von Informationen zu gewährleisten.

Question 2

Was ist der BSI IT-Grundschutz?

Answer 2

BSI IT-Grundschutz ist ein IT-Sicherheitskonzept des Bundesamts für Sicherheit in der Informationstechnik.

Question 3

Was ist ein “IT-Grundschutz Baustein”?

Answer 3

Ein modularer Baustein des BSI IT-Grundschutz, der Sicherheitsmaßnahmen für bestimmte Bereiche enthält.

Question 4

die drei Varianten der Absicherung nach dem BSI IT-Grundschutz-Verfahren?

Answer 4

Standardabsicherung, Basisschutz, und erhöhter Basisschutz.

Question 5

Das Sicherheitskonzept ist der wichtigste Teil des IT-Grundschutzes. Wozu dient das Sicherheitskonzept?

Answer 5

Es legt die Schutzmaßnahmen und -ziele fest, um die Informationssicherheit zu gewährleisten.

Question 6

Mit dem Begriff “Schutzobjekt” (engl. Asset) werden genau die fachlichen und technischen Werte eines Unternehmens bezeichnet, für die im Sicherheitskonzept Schutzmaßnahmen festgelegt werden müssen. Nennen Sie 5 konkrete Beispiele für Schutzobjekte.

Answer 6

Informationen, Anwendungen, IT-/IoT-Systeme, Netze, Räume

Question 7

Nennen Sie mindestens 5 Fälle bei denen die Informationssicherheit bedroht wird.

Answer 7

Cyberangriffe, Datenlecks, Insider-Bedrohungen, Phishing, Malware

Question 8

Erläutern Sie an Beispielen, welche Schutzziele der Informationssicherheit bei mobilen Arbeitsplätzen bedroht sind.

Answer 8

Vertraulichkeit (z.B. bei Verlust von mobilen Geräten), Integrität (z.B. bei ungesicherten Verbindungen), Verfügbarkeit (z.B. durch Diebstahl oder technische Ausfälle)

Question 9

Nennen Sie mindestens 3 Punkte, die Sie in eine firmenweite “Sicherheitsrichtlinie für mobile Arbeitsplätze” aufnehmen würden.

Answer 9

Nutzung von VPNs, Verschlüsselung von Daten, regelmäßige Schulungen zur Sicherheit.

Question 10

Erläutern Sie die Zusammenhänge zwischen Krise, Notfall, Störung und Vorfall.

Answer 10

Vorfall: Einzelnes, unerwünschtes Ereignis. Störung: Beeinträchtigung eines Prozesses. Notfall: Ereignis erfordert sofortiges Handeln. Krise: Komplexe, weitreichende Störungen mit erheblichen Auswirkungen.

Question 11

Erklären Sie an einem Beispiel, wann aus einer Störung ein Notfall wird.

Answer 11

Störung: Server-Ausfall. Notfall: Server-Ausfall beeinträchtigt kritische Geschäftsprozesse.

Question 12

Erklären Sie an einem Beispiel, wann aus einem Notfall eine Krise wird.

Answer 12

Notfall: kritischerServer-Ausfall. Krise: Server-Ausfall führt zu massivem Datenverlust und Kundenunzufriedenheit.

Question 13

Notfallvorsorge: Was sollte vorher geübt werden?

Answer 13

Evakuierungspläne, Kommunikationswege, Wiederherstellung von IT-Systemen.

Question 14

Beschreiben Sie, was in Ihrer Firma eine Störung, ein Notfall oder eine Krise sein könnte.

Answer 14

Störung: Stromausfall. Notfall: Server-Crash beeinträchtigt Kundendaten. Krise: Cyberangriff mit Datenverlust.

Question 15

Wozu dient das ISMS-Risikomanagement?

Answer 15

Identifizierung, Bewertung und Behandlung von Risiken im Informationssicherheitsmanagement.

Question 16

Was steckt hinter folgenden Standards: BSI 200-3 und ISO27005?

Answer 16

BSI 200-3: Deutscher Standard für Risikomanagement. ISO27005: Internationale Norm für Informationssicherheits-Risikomanagement.

Question 17

Erläutern Sie den Begriff “Risiko”.

Answer 17

Risiko ist die Möglichkeit, dass ein Ereignis eintritt und Auswirkungen auf Ziele hat.

Question 18

Von welchen Faktoren hängt die Höhe eines Risikos ab?

Answer 18

Eintrittswahrscheinlichkeit und Auswirkungen auf die Ziele.

Question 19

Erklären Sie den Aufbau einer Risikomatrix.

Answer 19

Kombination von Eintrittswahrscheinlichkeit und Auswirkungen zur Bewertung von Risiken.

Question 20

Erläutern Sie die 4 Möglichkeiten der Risiko-Behandlung.

Answer 20

Vermeidung, Reduzierung, Übertragung, Akzeptanz.

Question 21

Warum ist das Risikomanagement ein kontinuierlicher Prozess?

Answer 21

Weil sich die Risikolage ständig ändert und regelmäßige Überprüfungen notwendig sind.

Question 22

Was sind “IT-Grundschutz-Bausteine”?

Answer 22

Standardisierte Module für Maßnahmen zur Gewährleistung von Informationssicherheit nach dem IT-Grundschutz.

Question 23

Wann muss bei der Umsetzung des IT-Grundschutzes eine Risikoanalyse durchgeführt werden?

Answer 23

Vor der Auswahl der Schutzmaßnahmen, um die Priorisierung und Adaption an die individuellen Gegebenheiten zu ermöglichen.

Question 24

Nennen Sie 2 Einflussfaktoren, die ein Risiko erhöhen können.

Answer 24

Schwache Sicherheitsmaßnahmen, steigende Anzahl von Bedrohungen.

Question 25

Was wird unter BCM verstanden?

Answer 25

(Business Continuity Management)

BCM bezieht sich auf Maßnahmen und Prozesse zur Aufrechterhaltung der Geschäftskontinuität, selbst bei Störungen oder Notfällen.

Question 26

Erläutern Sie die 4 Möglichkeiten der Risikobehandlung jeweils an einem Beispiel

Answer 26

Risikovermeidung: Verzicht auf eine unsichere Geschäftspraxis.
Risikoreduktion: Installation von Firewall zur Verringerung von Cyberangriffen.
Risikotransfer: Abschluss einer Versicherung für Schäden durch Naturkatastrophen.
Risikoakzeptanz: Entscheidung, ein geringes Risiko zu akzeptieren, z.B. bei geringfügigen Betriebsstörungen.

Question 27

Nennen Sie die beiden Teile, aus dem das Notfallmanagement besteht.

Answer 27

Notfallvorsorge und Notfallbewältigung.

Question 28

Die Notfallvorsorge ist präventiv. Was bedeutet das?

Answer 28

Präventiv bedeutet, dass Maßnahmen im Voraus ergriffen werden, um Notfälle zu verhindern oder ihre Auswirkungen zu minimieren.

Question 29

Nennen Sie 3 Rettungssysteme, die Linux als Betriebssystem verwenden.

Answer 29

KNOPPIX, Ubuntu Rescue Remix, SystemRescueCd.

Question 30

Schritte bei der Risikoanalyse nach BSI-Standard 200-3

Answer 30

 Gefährdungsübersicht erstellen und Risiken identifizieren
 Risiken einstufen
 Risiken behandeln
 Sicherheitskonzept entsprechend anpassen