certificatR

Welche Voraussetzungen sind zur Behandlung von Informationssicherheitsvorfällen wichtig?

Verfahren für den Umgang mit forensischen Beweismitteln festgelegt sind Prozesse für die Reaktion der Organisation definiert sind Anlaufstellen für die Informationssicherheitsvorfälle eingerichtet und im Unternehmen bekannt sind Mitarbeiter in der Lage sind, Informationssicherheitsvorfälle zu erkennen und wissen, wo sie diese melden müssen

Was ist eine Katastrophe nach BSI 100-4?

Katastrophen können nur durch Mitarbeiter ausgelöst werden Eine Katastrophe ist nicht auf das eigene Unternehmen beschränkt Eine Katastrophe verhält sich aus Sicht des betroffenen Unternehmens wie eine Krise Ein Großschadensereignis, zum Beispiel als Folge von Überschwemmungen oder Erdbeben

Welche Aussagen sind in Bezug auf den Datenschutz zu machen?

Einwilligung zur Datenverarbeitung können nachträglich widerrufen werden Daten dürfen zwischen Unternehmen ausgetauscht werden Daten dürfen nur unter Berücksichtigung der gesetzlichen Vorgaben verarbeitet werden Nutzer können die Berichtigung bzw. Löschung ihrer Daten beantragen

Welcher Natur sind Sicherheitslücken?

können auch organisatorische Ursachen haben können auch Folge individuellen Fehlverhaltens sein können auch technische Ursachen haben

Das Modell „Role-Based-Access-Control (RBAC)“ gehört zu welchem Kontrollmodell?

Zugriffskontrolle Eingangskontrolle Zutrittskontrolle Zugangskontrolle

Was ist bei Rollen, die im Konflikt stehen, in der Informationssicherheit zu beachten?

Miteinander in Konflikt stehende Aufgabenfelder sollen nicht in einer Rolle zusammenfallen Miteinander in Konflikt stehende Rollen sind unbedingt zu vermeiden. Miteinander in Konflikt stehende Rollen sollen nicht vom selben Rolleninhaber besetzt werden Sind Rollenkonflikte nicht zu vermeiden, sollen andere Maßnahmen wie eine zusätzliche Überwachung in Betracht gezogen werden

Was könnten die Gründe sein, Kontakt zu speziellen Interessenverbänden, Expertenforen, Fachverbänden wegen der IT-Sicherheit zu halten?

Um sich über aktuelle Entwicklungen bei neuen Technologien und damit im Zusammenhang stehenden Fragen der Informationssicherheit austauschen zu können Um rechtzeitig Warnungen vor akuten Informationssicherheitsbedrohungen zu erhalten Um über aktuelle Entwicklungen der Informationssicherheit auf dem Laufenden zu bleiben Um sicherzustellen, dass das eigene Verständnis zum Thema Informationssicherheit vollständig und zeitgemäß ist

Welche wichtigen Aufgaben hat ein Auditor durchzuführen?

Vorortkontrolle/-begehung Zuhören

Nach der ISO 27001 muss für das ISMS ein Anwendungsbereich festgelegt werden. Dazu kann/können gehören?

Die Räume der Geschäftsführung Die Anforderungen der interessierten Parteien Die Themen des bestimmten internen und externen Kontextes Schnittstellen und Abhängigkeiten zwischen Tätigkeiten, die von der Organisation selbst ausgeführt werden und denen, die von anderen ausgeführt werden

Was betrachtet die Informationssicherheit außer technische IT-Sicherheit?

Information in den Köpfen der Mitarbeiter Grundsätzlich alle Informationen im Unternehmen, unabhängig des Speichermediums Informationen, welche in IT-Systemen gespeichert sind

Was bedeutet Zugriff?

Die Möglichkeit der Nutzung bestimmter Daten und Informationen Mitarbeiter physisch greifen können Zugriff bedeutet die Rechtevergabe auf bestimmte Objekte Autorisierung des Benutzers für den Zugriff auf bestimmte Dateien, Verzeichnisse, Programme und Funktionen Zugang zur Küche haben und Zugriff auf den Kühlschrank haben

Welche Aufgaben schreibt ein ISMS der Führung eines Unternehmens/Organisation vor?

Strafen festlegen Sicherzustellen, das die Informationssicherheitspolitik mit den strategischen Zielen der Organisation vereinbar ist Sanktionsmechanismen bei Verstößen etablieren Die fortlaufende Verbesserung des ISMS zu fördern Personen anzuleiten und zu unterstützen, damit diese positive Beiträge zum ISMS leisten können

Was gehört zum Verstehen des inneren Kontextes einer Organisation aus der ISO 27001 dazu?

Unternehmensziele Unternehmensstruktur und Entscheidungswege Firmenkultur Stellenbeschreibungen

Wie ist die Verbreitung von Werkzeugen für Cyberangriffe?

Vielfach frei Verfügbar Es sind auch Baukästen im DarkNet, die man kaufen kann Teilweise ganz normale Werkzeuge, die auch für die Administration und Überprüfung der eigenen Netze einsetzbar sind Gibt es nicht, Fake-News

Was müssen Sie tun, wenn eine Festplatte aus dem Rechner herausgenommen wird und den Standort verlässt?

Archivieren Verschlüsseln Löschen

Was versteht man unter einem Bot-Netz?

Bots sind E-Mail-Spam Zusammengeschaltete PCs, die zum Aussenden vom SPAM verwendet werden Bots sind dazu da, den PC zu zerstören

Was muss die Führung bzgl. Der Informationssicherheitsziele beachten?

Sie müssen messbar sein Sie müssen im Einklang mit der Informationssicherheitsrichtlinie (Policy) stehen Jeder muss sie beachten Sie müssen im Unternehmen bekanntgemacht werden

Was ist die Notfallbewältigung von Ihrem Grundsatz her?

eine optionale Handlungsempfehlung Reaktive Abarbeitung der Sicherheitsmaßnahmen eine Norm

Welche Aussagen können Sie zum Cybercrime machen?

Zur Cyberkriminalität im weiteren Sinne zählen die Delikte, in denen das Tatmittel Internet eingesetz wird. Mit Cybercrime verdient man Geld. Gruppen der organisierten Kriminalität (OK) betätigen sich zunehmend im Internet Im Bereich Cybercrime ist das Dunkelfeld sehr groß

Was versteht man unter Cross-Site-Scripting-Angriffe?

Infizierte Webseiten übertragen Viren Infizierte Webseiten blenden Werbung ein Infizierte Webseiten nutzen Sicherheitslücken aus

Welche Aussagen zum Umgang mit technischen Schwachstellen der in der Organisation eingesetzten Software sind wichtig?

Aufgaben und Verantwortlichkeiten zum Umgang mit technischen Schwachstellen sollten festgelegt werden Informationen zu Schwachstellen sollten rechtzeitig eingeholt werden Patches testen und beurteilen bevor sie eingespielt werden Alle möglichen technischen Schwachstellen müssen im Rahmen von IT-Risikomanagement vorweg dokumentiert werden

Was umfasst bzw. grenzt die IT-Sicherheit von der Informationssicherheit ab?

IT-Security betrachtet technische Aspekte der Informationssicherheit Informationssicherheit und IT-Sicherheit sind im Wesentlichen identisch Informationssicherheit umfasst die IT-Security

Welche Themen zum Verstehen des externen Kontextes einer Organisation nach ISO 27001 können dazugehören?

Die natürliche Umwelt Soziale und kulturelle Themen Technische Trends und Entwicklungen, die sich auf die Zielerreichung der Organisation auswirken können

Welche Haftung hat ein IT Security Beauftragter in der Praxis?

er haftet für Stromausfall er haftet für den Bilanzverlust Eine Haftung kommt auch bei unterlassenen Tätigkeiten/mangelhafter Aufgabenerfüllung in Frage Sowohl ein interner als auch ein externer Informationssicherheitsbeauftragter haftet dem Unternehmen gegenüber grundsätzlich für Schäden, die er schuldhaft verursacht hat

Wodurch können Informationssicherheitsvorfälle hervorgerufen bzw. begünstigt werden?

Verstöße gegen Sicherheitsvorschriften Ungesteuerte Systemänderungen Äußere Einwirkungen wie z.B. Wetterereignisse Fehlfunktionen von Systemen

Wer verbindet sich bei einer WLAN-Verbindung mit wem?

W-Lan-Router mit Geräten Mobile Device: Supplicant AccessPoint: Authenticater AccessPoint mit Geräten

Was ist die Notfallvorsorge von ihrem Grundsatz her?

Proaktiv Vorausschauend Reaktiv

Was bezeichnet die „MTA“ im Rahmen des Notfallmanagements?

Medizinisch technische Assistentin minimum technical accountable Dieser Wert gibt an, wann ein Prozess spätestens wieder anlaufen muss, damit die Überlebensfähigkeit einer Institution kurz oder langfristig nicht gefährdet ist.

Was sollten sich die Mitarbeiter einer Organisation nach ISO 27001 bewusst sein?

Der Informationssicherheitspolitik Mögliche Sanktionen bei Nichterfüllung Der Folgen einer Nichterfüllung der Anforderungen des ISMS Ihres Beitrags zum ISMS

Was ist bei der Installation von Software aus Sicht der IT Sicherheit zu beachten?

Vor dem Aufspielen neuer oder geänderter Software sollte eine Rollback Strategie existieren Software sollte nur bei vorliegender Genehmigung installiert werden Nutzen und Risiko einer Software Installation sollten gegeneinander abgewogen werden