M182 Systemsicherheit P2
han zerst falsche verwendet lol
shoutout an iggy er hets bemerkt
23. Charakterisieren Sie die Unternehmensstrategie anhand von drei Eigenschaften.
- Zeigt die mittel- bis langfristige Entwicklung der Geschäftsprozesse auf.
- Orientiert sich an Zukunftschancen und Geschäftsrisiken.
- Beeinflusst alle anderen Strategien des Unternehmens maßgeblich.
24. Woraus wird die IT-Strategie abgeleitet und was zeigt sie generell auf?
Die IT-Strategie wird aus der Unternehmensstrategie abgeleitet und zeigt auf, wie Informations- und Kommunikationstechnologien zum Unternehmenserfolg beitragen können.
25. Welche Elemente sollte eine brauchbare IT-Sicherheitsstrategie beinhalten?
- Sicherheitsdefinition
- Commitment der Geschäftsleitung
- Anwendungsbereich
- Sicherheitsorganisation
- Sicherheits- und Schutzziele
- Sicherheitskontrolle
26. Beschreiben Sie möglichst knapp den Zweck und die Inhalte eines IT-Sicherheitskonzepts.
Das IT-Sicherheitskonzept beschreibt, wie ein Unternehmen die Vorgaben der IT-Sicherheitsstrategie umsetzt, welche Risiken mit welchen Maßnahmen bekämpft werden und regelt organisatorische Rahmenbedingungen.
27. Wozu wird im Zusammenhang mit dem IT-Sicherheitskonzept ein Kontrollmodell benötigt?
Zur Überprüfung der Vollständigkeit und Wirksamkeit des Sicherheitskonzepts sowie der Einhaltung aller internen und externen Anforderungen.
28. Welche sieben Schritte werden bei der allgemeinen Risikoanalyse durchlaufen?
- Risikoanalyse initiieren
- System abgrenzen
- Datenbestände identifizieren
- Verletzbarkeit identifizieren
- Bedrohungen definieren
- Risiken identifizieren
- Risiken bewerten
29. Wie kann die Verletzbarkeit von Datenbeständen ermittelt werden?
Indem man Datenbestände den Schutzzielen gegenüberstellt und vorhandene Verletzbarkeiten identifiziert und bewertet.
30. Wie kann ein Risiko anhand der Verletzbarkeit und Bedrohung definiert werden?
Ein Risiko entsteht überall dort, wo eine identifizierte Verletzbarkeit auf eine konkrete Bedrohung trifft.
31. Stellen Sie vier Fragen, die im Rahmen der Business-Impact-Analyse interessant sind.
- Was kann alles passieren, wenn dieses Szenario eintritt?
- Wie können schlimmste Auswirkungen mit geringstem Aufwand verhindert werden?
- Welche Auswirkungen hat das Szenario kurz-, mittel- und langfristig?
- Welche Sicherheitsvorkehrungen sind notwendig, damit der Geschäftsprozess standhält?
32. Wozu wird bei der Strukturanalyse eine Gruppenbildung vorgenommen? Nennen Sie ein Beispiel.
Zur Reduzierung der Komplexität, z. B. Zusammenfassung aller Clientcomputer eines Standorts zu einer Gruppe "Standardarbeitsplätze".
33. Wie können im Rahmen von CobIT Sicherheitslücken aufgedeckt werden und welche beiden Kriterien werden zur Beurteilung der Risiken herangezogen?
Sicherheitslücken werden durch Self-Assessments (CRSA) aufgedeckt, wobei Bedeutung und Erfüllungsgrad der IT-Prozesse beurteilt werden.
44. Ein Unternehmen hat das Risiko „Falscheingabe in ein System“ identifiziert.
- Vorbeugend: Eingabemasken mit Plausibilitätsprüfungen – sie verhindern falsche Eingaben bereits beim Erfassen.
- Aufdeckend: Protokollierung von Eingaben – sie ermöglicht das Erkennen und Korrigieren falscher Eingaben.
- Lenkend: Benutzeranweisungen und Training – sie fördern korrektes Verhalten bei der Dateneingabe.
45. Wer sollte für die Umsetzung eines neuen Zutrittskonzepts verantwortlich gemacht werden und warum?
- Die Sicherheitsbeauftragten oder IT-Sicherheitsbeauftragten, da sie für die physische und logische Sicherheit verantwortlich sind und Risiken bewerten sowie Maßnahmen umsetzen können.
46. Drei potenzielle Sicherheitsrisiken für Desktopsysteme und deren Beeinflussung durch Zugriffskonzepte:
- Unbefugter Zugriff → Nur autorisierte Nutzer erhalten Zugang.
- Malware-Installation → Nur eingeschränkte Nutzerrechte vergeben.
- Datenverlust durch Manipulation → Schutz sensibler Daten durch differenzierte Berechtigungen.
47. Wieso müssen personelle Sicherheitsmaßnahmen stufengerecht umgesetzt werden?
- Weil Mitarbeitende je nach Funktion unterschiedliche Rechte, Pflichten und Zugriffsmöglichkeiten haben und gezielt geschult sowie kontrolliert werden müssen.
48. Drei Gründe, warum Security Awareness integrativer Bestandteil von Sicherheitsprogrammen sein sollte:
- Vermeidung von Fahrlässigkeit durch Sensibilisierung.
- Förderung eines sicherheitsbewussten Verhaltens.
- Unterstützung bei der Einhaltung gesetzlicher und regulatorischer Anforderungen.
nunno 6 wucha
