Grundschutz Praktiker

Questions and Answers

Welche sind klassische Schutzziele der Informationssicherheit?

• Benutzerfreundlichkeit
• Integrität (correct)
• Verfügbarkeit (correct)
• Vertraulichkeit (correct)

Was beschreibt das Schutzziel 'Verfügbarkeit'?

• Nur autorisierte Personen haben Zugriff auf Informationen
• Informationen werden nicht unbemerkt verändert
• Informationen sind bei Bedarf verfügbar (correct)
• Daten sind korrekt klassifiziert

Welche Norm beschreibt das Informationssicherheits-Risikomanagement?

• ISO/IEC 27019
• ISO 19011
• ISO/IEC 27001
• ISO/IEC 27005 (correct)

Welche Aussagen zur Basis-Absicherung im IT-Grundschutz sind korrekt?

Sie dient als Einstieg in den IT-Grundschutz (A), Zertifizierung ist nicht möglich (B), Ist geeignet für Institutionen mit niedrigem Reifegrad (D)

Wer ist laut IT-Grundschutz für die Freigabe der Leitlinie zur Informationssicherheit verantwortlich?

Die Unternehmens- oder Behördenleitung (B)

Was ist das Ziel des IT-Grundschutzes?

Standard-Sicherheitsniveau, das ausbaufähig ist (C)

Was gehört NICHT zu den erweiterten Schutzzielen der Informationssicherheit?

Transparenz (C), Verfügbarkeit (D)

Welcher Standard beschreibt die Anforderungen an ein ISMS?

ISO/IEC 27001 (A)

Was ist ein Informationssicherheitsmanagementsystem (ISMS)?

Ein System zur Steuerung der Informationssicherheit (A), Ein Teil des Risikomanagements (C)

Welche Arten der Absicherung nennt der IT-Grundschutz?

Basis-Absicherung (A), Kern-Absicherung (B), Standard-Absicherung (D)

Was versteht man unter dem Begriff 'ISMS'?

Ein Managementsystem für Informationssicherheit (A)

Was bedeutet das Schutzziel 'Integrität'?

Daten dürfen nicht unbemerkt verändert werden. (D)

Welcher Standard enthält Umsetzungshinweise zur Informationssicherheit?

ISO/IEC 27002 (C)

Welche Phase gehört NICHT zum PDCA-Zyklus im ISMS?

Apply (C)

Welche Aussage über das IT-Sicherheitsgesetz 2.0 ist korrekt?

Es enthält Anforderungen an KRITIS-Betreiber. (D)

Was beschreibt der BSI-Standard 200-2?

Methodik des IT-Grundschutzes (D)

Welche Rollen sind typischerweise im IS-Management-Team vertreten?

ISB, IT-Leitung, Datenschutzbeauftragter (B)

Was ist eine elementare Gefährdung laut IT-Grundschutz?

Feuer (C)

Was ist Ziel der Schutzbedarfsfeststellung?

Kategorisierung von IT-Systemen nach Schutzbedarf (D)

Welche Aussage zur Notfallvorsorge ist korrekt?

Sie dient der Vorbereitung auf Sicherheitsvorfälle. (D)

Was ist ein Vorteil der Standard-Absicherung?

Vollständige Betrachtung aller Zielobjekte (A)

Was versteht man unter KRITIS?

Kritische Infrastrukturen (C)

Welche Informationen sind Teil eines IT-Grundschutz-Bausteins?

Umsetzungshinweise (A), Gefährdungslage (B)

Was ist Bestandteil des Sicherheitsprozesses im ISMS?

Managementbewertung (A), Erstellung einer Sicherheitsleitlinie (B)

Wer erstellt branchenspezifische Sicherheitsstandards (B3S)?

Branchenarbeitskreise (D)

Was ist ein zentrales Ziel der Risikoanalyse nach IT-Grundschutz?

Bewertung von Risiken für Zielobjekte (A)

Welche Gefährdung gehört zur Kategorie 'elementar'?

Verlust von Dokumenten (A)

Was ist Bestandteil der Phase 'Check' im PDCA-Zyklus?

Überwachung und Bewertung (C)

Was ist kein Schutzziel der Informationssicherheit?

Verträglichkeit (A)

Wer sollte die Sicherheitsleitlinie verabschieden?

Die oberste Leitung (B)

Was ist ein wesentliches Ziel der Informationssicherheitsleitlinie?

Ableitung von Sicherheitszielen aus den Geschäftszielen (A)

Welche Rolle übernimmt der Informationssicherheitsbeauftragte (ISB)?

Koordination des Informationssicherheitsprozesses (B)

Welche Rolle hat das IS-Management-Team?

Entwicklung und Überwachung der Sicherheitsleitlinie (C)

Was bedeutet Authentizität in der Informationssicherheit?

Informationen stammen aus einer vertrauenswürdigen Quelle (C)

Welche Schicht gehört NICHT zum IT-Grundschutz-Kompendium?

DATA (D)

Was beschreibt das Schutzziel Verbindlichkeit?

Nachweisbarkeit der Informationsquelle (A)

Welche Methode wird zur Bewertung von Risiken im IT-Grundschutz verwendet?

Risikoanalyse nach BSI-Standard 200-3 (C)

Welche Norm beschreibt die Umsetzung von Informationssicherheitsmaßnahmen?

ISO/IEC 27002 (A)

Was ist ein Vorteil des IT-Grundschutz-Kompendiums?

Praxisnahe Bausteine für Sicherheitsanforderungen (B)

Welche Rolle hat die Leitung im ISMS?

Initiierung und Verantwortung für den Sicherheitsprozess (A)

Was ist ein typisches Zielobjekt im IT-Grundschutz?

Projektmanagement-Tool (A), Rechenzentrum (B)

Was bedeutet der Begriff 'elementare Gefährdung' im IT-Grundschutz?

Allgemein anerkannte Grundbedrohungen (A)

Was ist ein mögliches Ergebnis des IT-Grundschutz-Checks?

Ermittlung von Soll-Ist-Abweichungen (B)

Welche Aufgaben gehören zur Sicherheitsstrategie?

Bestimmung des Schutzbedarfs (A), Ableitung der Sicherheitsziele (B)

Welche Aussage über die 'Kern-Absicherung' ist korrekt?

Fokussiert sich auf besonders gefährdete Geschäftsprozesse (C)

Was umfasst die Phase 'Do' im Sicherheitsprozess?

Umsetzung von Sicherheitsmaßnahmen (D)

Welche Rolle haben Informationsverantwortliche?

Einstufung des Schutzbedarfs (B), Klassifizierung der Daten (C)

Welche technische Richtlinie beschreibt Empfehlungen zu Schlüssellängen?

TR-02102 (A)

Wodurch zeichnet sich das IT-Grundschutz-Kompendium aus?

Technikneutral (C)

Was beschreibt der Baustein ISMS.1?

Allgemeines Sicherheitsmanagement (D)

Welche Funktion erfüllt der BSI-Standard 200-1?

Beschreibt die Anforderungen an ein ISMS (B)

Welche Inhalte umfasst das Sicherheitskonzept im IT-Grundschutz?

Sicherheitsziele, Maßnahmen, Verantwortlichkeiten (A)

Was ist eine typische Maßnahme zur Detektion von Vorfällen?

Logfile-Analyse (C)

Welche Aufgabe hat das Notfallmanagement gemäß IT-Grundschutz?

Reaktion auf gravierende Sicherheitsvorfälle (D)

Was beschreibt eine 'elementare Gefährdung' G 0.14?

Ausspähen von Informationen (A)

Welche Aussage zur Standard-Absicherung ist korrekt?

Umfassende Umsetzung des IT-Grundschutzes (D)

Welche Aufgabe gehört zur kontinuierlichen Verbesserung?

Durchführen von Managementbewertungen (D)

Welche Aufgabe fällt in den Bereich 'Organisation des Sicherheitsprozesses'?

Einrichtung eines ISM-Teams (A)

Was ist ein typischer Bestandteil der Phase 'Plan' im ISMS?

Festlegung des Geltungsbereichs (C)

Was bedeutet der Begriff 'ISMS' im Kontext des IT-Grundschutzes?

Informationssicherheitsmanagementsystem (B)

Flashcards

Vertraulichkeit

Schutz der Daten vor unbefugtem Zugriff.

Integrität

Sicherstellung der Richtigkeit und Vollständigkeit von Daten.

Verfügbarkeit

Sicherstellung, dass Informationen bei Bedarf zugänglich sind.

Basis-Absicherung

Geeignet für Institutionen mit niedrigem Reifegrad; dient als Einstieg in den IT-Grundschutz.

Freigabe der Leitlinie

Die Unternehmens- oder Behördenleitung ist verantwortlich.

Ziel des IT-Grundschutzes

Ein Standard-Sicherheitsniveau, das ausbaufähig ist.

IT-Sicherheitsgesetz 2.0

Enthält Anforderungen an KRITIS-Betreiber.

BSI-Standard 200-2

Methodik des IT-Grundschutzes.

IS-Management-Team

ISB, IT-Leitung, Datenschutzbeauftragter.

Elementare Gefährdung

Feuer

Schutzbedarfsfeststellung

Kategorisierung von IT-Systemen nach Schutzbedarf.

Notfallvorsorge

Sie dient der Vorbereitung auf Sicherheitsvorfälle.

KRITIS

Kritische Infrastrukturen.

IT-Grundschutz-Baustein

Gefährdungslage, Umsetzungshinweise

Sicherheitskonzept

Sicherheitsziele, Maßnahmen, Verantwortlichkeiten.

Baustein ISMS.1

Allgemeines Sicherheitsmanagement

Ziel der Risikoanalyse

Bewertung von Risiken für Zielobjekte.

Authentizität

Informationen stammen aus einer vertrauenswürdigen Quelle

Vorteil des IT-Grundschutz-Kompendiums

Praxisnahe Bausteine für Sicherheitsanforderungen

ISMS

Informationssicherheitsmanagementsystem

Study Notes

Klassische Schutzziele der Informationssicherheit

• Zu den klassischen Schutzzielen gehören Vertraulichkeit, Integrität und Verfügbarkeit.

Schutzziel Verfügbarkeit

• Die Verfügbarkeit bedeutet, dass Informationen bei Bedarf zugänglich sind.

Norm für Informationssicherheits-Risikomanagement

• Die ISO/IEC 27005 beschreibt die Norm für das Informationssicherheits-Risikomanagement.

Basis-Absicherung im IT-Grundschutz

• Basis-Absicherung eignet sich für Institutionen mit niedrigem Reifegrad.
• Sie dient als Einstieg in den IT-Grundschutz.
• Eine Zertifizierung ist nicht möglich.

Verantwortlichkeit für die Freigabe der Leitlinie zur Informationssicherheit

• Die Unternehmens- oder Behördenleitung ist für die Freigabe verantwortlich.

Ziel des IT-Grundschutzes

• Ein Standard-Sicherheitsniveau, das ausbaufähig ist, wird angestrebt.

Erweiterte Schutzziele der Informationssicherheit

• Transparenz und Verfügbarkeit gehören nicht zu den erweiterten Schutzzielen.

Standard für Anforderungen an ein ISMS

• Die ISO/IEC 27001 beschreibt die Anforderungen an ein ISMS (Informationssicherheitsmanagementsystem).

Was ist ein ISMS?

• Ein ISMS ist ein System zur Steuerung der Informationssicherheit.
• Es ist ein Teil des Risikomanagements.

Arten der Absicherung im IT-Grundschutz

• Der IT-Grundschutz unterscheidet zwischen Basis-, Kern- und Standard-Absicherung.

Was ist ein ISMS?

• Ein ISMS ist ein Managementsystem für Informationssicherheit.

Schutzziel Integrität

• Integrität bedeutet, dass Daten nicht unbemerkt verändert werden dürfen.

Standard mit Umsetzungshinweisen

• Die ISO/IEC 27002 enthält Umsetzungshinweise zur Informationssicherheit.

PDCA-Zyklus im ISMS

• "Apply" gehört NICHT zum PDCA-Zyklus im ISMS.

IT-Sicherheitsgesetz 2.0

• Das IT-Sicherheitsgesetz 2.0 enthält Anforderungen an KRITIS-Betreiber.

BSI-Standard 200-2

• Der BSI-Standard 200-2 beschreibt die Methodik des IT-Grundschutzes.

Typische Rollen im IS-Management-Team

• Typischerweise sind ISB (Informationssicherheitsbeauftragter), IT-Leitung und Datenschutzbeauftragter vertreten.

Elementare Gefährdung laut IT-Grundschutz

• Feuer wird als elementare Gefährdung betrachtet.

Ziel der Schutzbedarfsfeststellung

• Ziel: Kategorisierung von IT-Systemen nach Schutzbedarf.

Aussage zur Notfallvorsorge

• Sie dient der Vorbereitung auf Sicherheitsvorfälle.

Vorteil der Standard-Absicherung

• Vollständige Betrachtung aller Zielobjekte wird ermöglicht.

Was sind KRITIS?

• KRITIS sind kritische Infrastrukturen.

Bestandteile eines IT-Grundschutz-Bausteins

• Gefährdungslage und Umsetzungshinweise sind enthalten.

Bestandteile des Sicherheitsprozesses im ISMS

• Erstellung einer Sicherheitsleitlinie und Managementbewertung sind Bestandteile.

Wer erstellt B3S?

• Branchenspezifische Sicherheitsstandards (B3S) werden von Branchenarbeitskreisen erstellt.

Ziel der Risikoanalyse nach IT-Grundschutz

• Bewertung von Risiken für Zielobjekte ist ein zentrales Ziel.

Kategorie 'elementar' bei Gefährdungen

• Der Verlust von Dokumenten zählt zur Kategorie 'elementar'.

Bestandteil der 'Check'-Phase im PDCA-Zyklus

• Überwachung und Bewertung sind Bestandteil der Phase 'Check'.

Kein Schutzziel der Informationssicherheit

- **Verträglichkeit** ist kein Schutzziel der Informationssicherheit.
- Klassische sind: Vertraulichkeit, Verfügbarkeit und Integrität.

Verantwortlichkeit für die Sicherheitsleitlinie

- Die oberste Leitung hat die Verantwortlichkeit dafür.

Wesentliches Ziel der Informationssicherheitsleitlinie

- Ableitung von Sicherheitszielen aus den Geschäftszielen.

Rolle des Informationssicherheitsbeauftragten (ISB)

- Koordination des Informationssicherheitsprozesses.

Rolle des IS-Management-Teams

- Entwicklung und Überwachung der Sicherheitsleitlinie.

Bedeutung von Authentizität

- Informationen stammen aus einer vertrauenswürdigen Quelle.

Schichten des IT-Grundschutz-Kompendiums

- Data gehört NICHT dazu, aber: ISMS, SYS, OPS.

Beschreibung des Schutzziels Verbindlichkeit

- Nachweisbarkeit der Informationsquelle.

Methode zur Bewertung von Risiken im IT-Grundschutz

- Risikoanalyse nach BSI-Standard 200-3.

Norm für die Umsetzung von Informationssicherheitsmaßnahmen

- ISO/IEC 27002.

Vorteil des IT-Grundschutz-Kompendiums

- Praxisnahe Bausteine für Sicherheitsanforderungen.

Rolle der Leitung im ISMS

• Initierung und Verantwortung für den Sicherheitsprozess.

Typische Zielobjekte des IT-Grundschutzes

  - Rechenzentrum und Projektmanagement-Tool.

Elementare Gefährdung im IT-Grundschutz

  - Allgemein anerkannte Grundbedrohungen.

Mögliches Ergebnis des IT-Grundschutz-Checks

  - Ermittlung von Soll-Ist-Abweichungen.

Aufgaben der Sicherheitsstrategie

  - Ableitung der Sicherheitsziele und Bestimmung des Schutzbedarfs.

Korrekte Aussage über die 'Kern-Absicherung'

  - Fokussierung auf besonders gefährdete Geschäftsprozesse.

Inhalt der Phase 'Do' im Sicherheitsprozess

  - Umsetzung von Sicherheitsmaßnahmen.

Rolle von Informationsverantwortlichen

  - Einstufung des Schutzbedarfs und Klassifizierung der Daten.

Technische Richtlinie für Empfehlungen zu Schlüssellängen

  - TR-02102.

Auszeichnung des IT-Grundschutz-Kompendiums

  - Technikneutralität.

Inhalt des Bausteins ISMS.1

• Allgemeines Sicherheitsmanagement.

Funktion des BSI-Standards 200-1

• Beschreibt die Anforderungen an ein ISMS.

Inhalte des Sicherheitskonzepts im IT-Grundschutz

• Sicherheitsziele, Maßnahmen, Verantwortlichkeiten.

Typische Maßnahme zur Detektion von Vorfällen

• Logfile-Analyse.

Aufgabe des Notfallmanagements

• Reaktion auf gravierende Sicherheitsvorfälle.

Beschreibung einer 'elementaren Gefährdung' G 0.14

• Ausspähen von Informationen.

Korrekte Aussage zur Standard-Absicherung

• Umfassende Umsetzung des IT-Grundschutzes.

Aufgabe zur kontinuierlichen Verbesserung

• Durchführen von Managementbewertungen.

Aufgabe im Bereich 'Organisation des Sicherheitsprozesses'

• Einrichtung eines ISM-Teams.

Typischer Bestandteil der Phase 'Plan' im ISMS

• Festlegung des Geltungsbereichs.

Bedeutung des Begriffs 'ISMS'

• Informationssicherheitsmanagementsystem.