Fälle und Fragenkatalog

1. Welche Angaben gehören in eine Leitlinie zum Notfallmanagement? a) die Kontaktdaten des Notfallbeauftragten

b) der Geltungsbereich des Notfallmanagements

c) organisatorische Festlegungen zum Notfallmanagement

d) Vorgehensweisen zum Wiederanlauf wichtiger Prozesse

2. Was ist das wesentliche Ziel des Notfallmanagements?

a) die Minimierung der Kosten für die Behebung von Notfällen

b) der vorbeugende Schutz gegen Notfälle

c) die möglichst unterbrechungsfreie Fortführung der Geschäftsprozesse in Notfallsituationen

d) die Erfüllung gesetzlicher Anforderungen

3. Warum ist es wichtig, die Mitarbeiter in den Notfallmanagement-Prozess einzubeziehen?

a) damit sie Verständnis für Anforderungen des Notfallvorsorgekonzepts haben

b) um Anforderungen des Betriebsverfassungsgesetzes zu erfüllen

c) um ein sicherheitsbewusstes Verhalten zu fördern

d) um Schulungskosten zu sparen

4. Welche Aussagen zur Wirtschaftlichkeit der Notfallvorsorge treffen zu?

a) Notfallvorsorge erhöht den Gewinn eines Unternehmens.

b) Notfallvorsorge trägt dazu bei, Kosten für ein Unternehmen zu verhindern.

c) Notfallvorsorgekonzepte sind gesetzlich gefordert, daher muss deren Wirtschaftlichkeit nicht nachgewiesen werden.

d) Die Wirtschaftlichkeit von Notfallvorsorgemaßnahmen kann nicht exakt berechnet werden.

In welchem Dokument wird die die strategische Bedeutung des Notfallmanagements für ein Unternehmen herausgestellt?

a) im Notfallplan

b) im Notfallvorsorgekonzept

c) in der Leitlinie zum Notfallmanagement

d) in der Stellenbeschreibung des Notfallbeauftragten

6. Wann wird ein Sicherheitsvorfall zum Notfall?

a) wenn er größere Schäden hervorrufen kann

b) wenn längere Unterbrechungen der Geschäftsprozesse drohen

c) durch Mehrheitsbeschluss des Notfallteams

d) durch die Ausrufung des Notfalls durch die Geschäftsführung

7. Welche Aufgaben fallen in den Arbeitsbereich des Notfallbeauftragten?

a) die Koordination der Anfertigung der Sicherheitsleitlinie

b) die Umsetzung von Maßnahmen zur Notfallprävention

c) die Überwachung von Alarmanlagen zur frühzeitigen Erkennung von Notfällen

d) die Koordination der Entwicklung des Notfallvorsorgekonzepts

1. Wozu trägt eine Business Impact Analyse bei?

a) mögliche Schäden bei der Unterbrechung wichtiger Geschäftsprozesse einschätzen zu können

b) das Verständnis über die wichtigsten Ziele und Werte einer Institution zu erhöhen

c) die Umsatzzahlen der Abteilungen eines Unternehmens zu ermitteln d) Abhängigkeiten zwischen den Geschäftsprozessen einer Institution zu erkennen

2. Welche der folgenden Aussagen sind zutreffend? Bei einer Business Impact Analyse ...

a) ... lässt sich die Wahrscheinlichkeit eines Ausfalls mit Hilfe von auf Erfahrungswerten beruhenden Häufigkeitstabellen einfach bestimmen. b) ... benötigt man eine Zusammenstellung der Geschäftsprozesse einer Institution.

c) ... sind Schadenskategorien auf die individuelle Unternehmenssituation abzubilden.

d) ... sind ausschließlich finanzielle Schäden zu betrachten.

3. Welche der folgenden Kenngrößen ermitteln Sie in einer Business Impact Analyse?

a) die maximal tolerierbare Ausfallzeit eines Prozesses

b) die Umsätze, die mit einem Geschäftsprozess erzielt werden können

c) die Effizienz eines Geschäftsprozesses

d) die Ausfallwahrscheinlichkeit eines Geschäftsprozesses

4. Was bezeichnet der Begriff Single-Point-of-Failure?

a) eine Ressource, ohne die ein Geschäftsprozess vollständig ausfallen würde

b) eine Ressource, deren Ausfall nur unter sehr speziellen Bedingungen größere Schäden bewirken kann Webkurs Notfallmanagement 101 Anhang C: Auflösungen zu den Tests

c) eine Ressource, auf die im Notfall verzichtet werden kann

d) eine Ressource, deren Kritikalität für einen Geschäftsprozess sehr hoch ist

5. Welche Kriterien sind aus Sicht des Notfallmanagements dafür geeignet, die Kritikalität eines Geschäftsprozesses zu bestimmen?

a) die Selbsteinschätzung der beteiligten Mitarbeiter über die Wichtigkeit ihrer Arbeit

b) die möglichen Schäden eines Ausfalls

c) die maximal tolerierbare Ausfallzeit

d) die Anzahl der für die Ausübung der zugeordneten Tätigkeiten erforderlichen Mitarbeiter

6. Worin unterscheidet sich die Schadensanalyse gemäß BSI-Standard 100-4 von einer Schutzbedarfsfeststellung gemäß IT-Grundschutz?

a) Bei der Schadensanalyse berücksichtigen Sie alle möglichen Schäden, bei der Schutzbedarfsfeststellung betrachten Sie hingegen ausschließlich Verletzungen der Vertraulichkeit, Verfügbarkeit oder Integrität einer Komponente.

b) Bei der Schadensanalyse untersuchen Sie Prozesse, bei der Schutzbedarfsfeststellung auch Objekte, etwa IT-Systeme oder Räumlichkeiten.

c) Bei der Schadensanalyse betrachten Sie Schadensverläufe, bei der Schutzbedarfsfeststellung Schadensausmaße.

d) Die Schadensanalyse berücksichtigt ausschließlich die finanziellen Folgen eines Sicherheitsvorfalls, bei der Schutzbedarfsfeststellung werden weitere Schadensszenarien berücksichtigt.

7. Welche Aussagen zur Erhebung der Ressourcen im Rahmen einer Business Impact Analyse sind zutreffend?

a) Wenn Sie die Ressourcen zusammen mit der Schadensanalyse erheben, können Sie beides in einem einzigen Gespräch erledigen.

b) Wenn Sie die Ressourcen erst nach der Schadensanalyse erheben, können Sie sich auf die kritischen Prozesse beschränken.

c) Wenn Sie die Ressourcen vor der Schadensanalyse erheben, erübrigt sich in vielen Fällen eine gesonderte Schadensanalyse.

d) Nur dann, wenn Sie zuvor erhoben haben, welche Ressourcen ein Geschäftsprozess benötigt, können Sie den möglichen Schaden einer Unterbrechung exakt analysieren.

8. Mit welchen Kenngrößen beschreiben Sie Anforderungen an den Wiederanlauf eines Geschäftsprozesses?

a) maximal tolerierbare Ausfallzeit

b) Wiederanlaufzeit

c) maximale Anzahl an Wiederanlaufversuchen

d) Wiederanlauf-Niveau

1. Auf welche Risiken sollten Sie sich bei der Risikoanalyse im Rahmen der Notfallvorsorge-Konzeption konzentrieren?

a) auf Risiken, deren Eintrittswahrscheinlichkeit berechenbar ist

b) auf Risiken, die für die kritischen Prozesse und die von ihnen genutzten Ressourcen realistisch sind

c) auf Risiken, für die bereits Lösungen gefunden wurden

d) auf Risiken, die mit einem hohen Schaden verknüpft sein können

2. Welche der folgenden Gefährdungen können in einem Szenario „Personalausfall“ zusammengefasst werden?

a) Zusammenbruch des Internets

b) Streik

c) Pandemie

d) Stromausfall

3. Aus welchen Gründen kann sinnvoll bei der Notfallvorsorge-Konzeption darauf verzichtet werden, die Risiken für einen Geschäftsprozess zu analysieren?

a) Im Rahmen des Risikomanagements wurde bereits eine Risikoanalyse durchgeführt.

b) Der Geschäftsprozess ist so kritisch, dass er ohnehin abgesichert werden muss.

c) Der Geschäftsprozess hat nur eine sehr geringe Kritikalität.

d) Die Geschäftsführung entscheidet, dass Risikoanalysen zu aufwändig sind.

4. Was untersuchen Sie bei einer Risikoanalyse im Rahmen der NotfallvorsorgeKonzeption?

a) die Eintrittswahrscheinlichkeit von Ereignissen

b) die Abhängigkeit zwischen Geschäftsprozessen

c) die Höhe des möglichen Schadens

d) Gefährdungen für die Verfügbarkeit von Geschäftsprozessen

1. Was sind relevante Rahmenbedingungen für die Entwicklung von Kontinuitätsstrategien?

a) gesetzliche Vorgaben

b) die Strategien der Wettbewerber

c) die Vorgaben des BSI-Standards 100-4

d) vertraglich geregelte Verfügbarkeitsanforderungen

2. Was ist die Zielsetzung einer institutionsweiten Kontinuitätsstrategie?

a) eine Entlastung des Vorstands für den Notfall

b) die Entwicklung einer Leitlinie für die Notfallstrategien der Prozesse der Institution

c) die Beschreibung von Minimallösungen für den Notbetrieb

d) Risikoabschätzungen für alle Prozesse

3. Was können geeignete Kontinuitätsstrategien sein?

a) der Aufbau redundanter Standorte

b) die Erhöhung der Lagerbestände

c) die Einrichtung von Heimarbeitsplätzen

d) die Entwicklung eines Kontinuitätsplans

4. Was ist das Ziel einer Kosten-Nutzen-Analyse bei der Entwicklung von Kontinuitätsstrategien?

a) die Identifizierung wirtschaftlich vertretbarer Lösungen

b) die Beschreibung kostengünstiger Wiederanlaufparameter

c) eine Darstellung der Kosten für den Notbetrieb

d) die Entwicklung von Minimallösungen für den Notbetrieb

1. Adressen und Telefonnummern wichtiger Ansprechpartner im Notfall gehören in ...

a) … den Notfallplan

b) … die Leitlinie zum Notfallmanagement

c) … das Notfallvorsorgekonzept

d) … das Schulungskonzept zum Notfallmanagement

2. Was empfiehlt sich, wenn eine Maßnahme das bewilligte Budget sprengt und die Leitung daher nicht zu deren Umsetzung bereit ist?

a) Sie setzen diese Maßnahme auch gegen den Willen der Leitung durch.

b) Sie verdeutlichen der Leitung die Risiken, die durch die Nichtumsetzung der Maßnahme entstehen.

c) Sie bitten die Leitung, schriftlich zu bestätigen, dass sie die durch Nichtumsetzung entstehenden Risiken in Kauf nimmt.

d) Sie prüfen, ob es gegebenenfalls kostengünstigere Ersatzmaßnahmen gibt, die zumindest ansatzweise die ansonsten bestehenden Risiken herabsetzen.

3. Welche Aktivitäten gehören zur Umsetzungsplanung?

a) Kritikalitätskategorien festlegen

b) Aufwände schätzen

c) Verantwortliche bestimmen

d) Umsetzungswahrscheinlichkeit bestimmen

4. Welche der folgenden Aufwände und Kosten berücksichtigen Sie bei der Kostenaufstellung der Maßnahmen zur Notfallvorsorge?

a) Sachkosten für die Anschaffung

b) einmalige und wiederkehrende Personalaufwände

c) Umsatzausfallkosten

d) Zinsverluste

1. Welche Anforderungen sollten Mitglieder eines Krisenstabs in jedem Fall erfüllen?

a) fachliche Kompetenz

b) umfangreiche IT-Kenntnisse

c) Belastungsfähigkeit

d) Nachweis der Ausbildung zum zertifizierten Krisenmanager

2. Welche Aufgaben hat ein Krisenstab?

a) Notfallpläne zu erarbeiten

b) die Umsetzung von Notfallplänen zu veranlassen

c) die Umsetzung von Notfallplänen zu überwachen

d) Notfallpläne zu testen

3. In der Öffentlichkeit wird behauptet, bei einem Brand in einer Lagerhalle hätten sich giftige Gase entwickelt und in der Umgebung verbreitet. Wie reagieren Sie am besten als Pressesprecher auf einer Pressekonferenz des betroffenen Unternehmens?

a) Sie zitieren detailliert aus einem chemischen Gutachten, demzufolge aufgrund der bei Ihnen lagernden Stoffe, eine Exposition giftiger Dämpfe überhaupt nicht möglich sei.

b) Sie sagen zu, dass Sie die Sachlage prüfen lassen, und geben Verhaltenstipps für den Fall, dass die Behauptungen zutreffen.

c) Sie erklären, dass Sie kein Chemiker seien und bitten darum, die Frage auf einer für die kommende Woche angesetzten Pressekonferenz zu wiederholen.

d) Sie erklären, dass Sie von einem Brand in einer Lagerhalle nichts wüssten.

4. Was enthält ein Notfallplan?

a) das Datensicherungskonzept eines Unternehmens

b) die Adressen und Telefonnummern von Institutionen, die für die Bewältigung einer Krise wichtig werden können

c) die Geschäftsfortführungspläne

d) die Strategiepapiere eines Unternehmens

5. Welche Anforderungen sollte ein Notfallplan erfüllen?

a) Aktualität

b) Verständlichkeit

c) Redundanzfreiheit

d) leichte Zugänglichkeit (für Berechtigte)

1. Welche Ziele werden mit Tests und Notfallübungen verfolgt?

a) das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen

b) dem internationalen Good Practice Standard (GPS) zu entsprechen c) die Notfallvorsorge kontinuierlich zu verbessern

d) das Notfallvorsorgeteam regelmäßig zu testen

2. Was ist Aufgabe der Übungsvorbereitung?

a) Übungskonzepte entwickeln

b) Ressourcen, die für die Übung erforderlich sind, beschreiben

c) Logistik dokumentieren

d) Übungsdrehbuch anfertigen

3. Welche Test- und Übung sind praktisch orientiert?

a) Erstfallübungen

b) Plan-Review

c) Funktionstest

d) Stabsübungen

4. Welche Rollen sind für Übungen und Test zu besetzen

a) Übungsleiter

b) Übungsautor

c) Geschäftsführer

d) Protokollant

Welches Modell liegt dem in BSI-Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?

a ein Zyklus aus den Schritten Plan, Do, Check und Act

b ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus

c ein auf stetige Verbesserung angelegtes Modell

d ein Modell aus technischen Sicherheitsmaßnahmen

2 Was sollte eine Leitlinie zur Informationssicherheit enthalten?

a detaillierte technische Vorgaben für die Konfiguration wichtiger IT-Systeme

b Aussagen zur Bedeutung der Informationssicherheit für die betroffene Institution

c grundlegende Regelungen zur Organisation der Informationssicherheit

d konkrete Verhaltensregelungen für den Umgang mit vertraulichen Informationen

3 Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte?

a die Entwicklung von Sicherheitskonzepten zu koordinieren

b die eingesetzte Sicherheitstechnik zu konfigurieren

c der Leitungsebene über den Stand der Informationssicherheit zu berichten

d Presseanfragen zum den Stand der Informationssicherheit im Unternehmen zu beantworten

4 Wie setzt sich ein IS-Management-Team geeignet zusammen?

a Aus jeder Abteilung des Unternehmens oder der Behörde werden Mitarbeiter entsandt, damit alle Bereich gut vertreten sind.

b Nur der IT-Leiter ordnet einige Mitarbeiter in das Team ab.

c Die Zusammensetzung sollte auf Freiwilligkeit beruhen. Jeder der Interesse hat, wird aufgenommen.

d Die Geschäftsleitung setzt das Team aus Verantwortlichen für bestimmte IT-Systeme, Anwendungen, Datenschutz und IT-Service und (sofern vorhanden) dem ICS-ISB zusammen.

Wer ist für die Freigabe der Leitlinie zur Informationssicherheit verantwortlich?

a das IS-Management-Team

b der ISB

c die Unternehmens- oder Behördenleitung

d die Öffentlichkeitsabteilung eines Unternehmens oder einer Behörde

6 Warum kann es sinnvoll sein, sich für eine Sicherheitskonzeption gemäß der Basis-Absicherung zu entscheiden?

a Die Erfüllung der zugehörigen Anforderungen reicht in der Regel für ein normales Unternehmen völlig aus.

b Weil schnell Informationssicherheit umgesetzt werden muss und die Basis-Absicherung hierfür einen geeigneten Einstieg bietet.

c Weil Informationssicherheit Schritt für Schritt umgesetzt werden soll. Mittelfristig kann das Sicherheitskonzept nach Standard-Absicherung ausgebaut werden.

d Weil die hochwertigen Informationen dringend geschützt werden müssen. Die Basis-Absicherung sorgt für den angemessenen Schutz der „Kronjuwelen“ einer Institution.

1 Welche Ziele verfolgt die Strukturanalyse im Rahmen der IT-Grundschutz-Methodik?

a die Identifizierung der Objekte, die besonders stark gefährdet sind

b die Ermittlung der Objekte, die in einem Sicherheitskonzept zu berücksichtigen sind

c die angemessene Zusammenfassung von Objekten, für die gleiche Sicherheitsmaßnahmen angewendet werden können

d die Ermittlung der Objekte, für die es passende Bausteine im IT-Grundschutz-Kompendium gibt

2 Welche Informationen sollten Netzpläne enthalten, die für die Strukturanalyse benötigt werden?

a die bei der Erarbeitung des Sicherheitskonzepts beteiligten Organisationseinheiten

b die Art der Vernetzung der IT-Systeme eines Informationsverbundes

c die Außenverbindungen des Netzes eines Informationsverbundes

d die Art der IT-Systeme eines Informationsverbundes

3 Wann bietet es sich an, IT-Systeme bei der Strukturanalyse zu gruppieren?

a wenn diese den gleichen Schutzbedarf und ähnliche Eigenschaften (Betriebssystem, Netzanbindung, unterstützte Anwendungen) haben

b wenn es für diese Systeme eigene und geeignete Bausteine im IT-Grundschutz-Kompendium gibt

c wenn diese in denselben Räumlichkeiten untergebracht sind

d wenn die Anzahl der insgesamt erfassten Objekte zu groß zu werden droht

4 Welche der folgenden Aufgaben gehört gemäß BSI-Standard 200-2 zur Strukturanalyse?

a die angemessene Gruppierung der Komponenten eines Informationsverbundes

b die Modellierung der Geschäftsprozesse und Fachaufgaben eines Informationsverbundes

c die Überprüfung, ob die eingesetzte IT die Geschäftsprozesse und Fachaufgaben angemessen unterstützt

d die Erhebung der Informationen, Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und räumlichen Gegebenheiten eines Informationsverbundes

5 Welche Angaben sind für IT-Systeme bei der Strukturanalyse zu erfassen?

a Typ und Einsatzzweck

b Lieferant und Preis

c Benutzer und Administrator

d Standort (Gebäude und Raum)

6 Welche Anwendungen sind in der Strukturanalyse zu erfassen?

a alle Anwendungen, die auf den IT-Systemen im Informationsverbund installiert sind

b alle Anwendungen, die für mindestens einen der bereits erfassten Geschäftsprozesse erforderlich sind

c alle Anwendungen, für die eine gültige Lizenz vorhanden ist

d alle Anwendungen, die von mindestens 20 Prozent der Mitarbeiter genutzt werden

1 Welche klassischen Schutzziele werden bei der Schutzbedarfsfeststellung gemäß IT-Grundschutz empfohlen?

a Authentizität

b Verfügbarkeit

c Vertraulichkeit

d Integrität

2 In welchen Fällen können Sie gemäß IT-Grundschutz-Methodik auf die Schutzbedarfsfeststellung für ein IT-System verzichten?

a wenn das IT-System spätestens innerhalb von 18 Monaten ausgesondert wird

b wenn das IT-System nicht eingesetzt wird

c wenn die Anwendungen, die es unterstützt, nur einen normalen Schutzbedarf haben

d wenn der Schutzbedarf bereits im Rahmen einer vor einem Jahr durchgeführten Revision festgestellt wurde

Welche Kriterien berücksichtigen Sie bei der Bestimmung des Bedarfs an Verfügbarkeit eines ITSystems?

a die maximal tolerierbare Ausfallzeit des IT-Systems

b den Aufwand, der erforderlich ist, um das IT-System nach einer Beschädigung wiederherzustellen

c die Anzahl der Benutzer des IT-Systems

d die Anschaffungskosten des IT-Systems

4 Was berücksichtigen Sie, wenn Sie den Schutzbedarf einer Anwendung bestimmen?

a die Informationen, die im Zusammenhang mit der Anwendung verwendet werden

b die Bedeutung der Anwendung für die Geschäftsprozesse oder Fachaufgaben

c die relevanten Gefährdungen, denen die Anwendung ausgesetzt ist 96 Bundesamt für Sicherheit in der Informationstechnik Anhang: Lösungen zu den Testfragen

d die räumliche Umgebung des IT-Systems, das die Anwendung bereitstellt

5 Unter welchen Bedingungen kann der Schutzbedarf eines IT-Systems bezüglich Verfügbarkeit geringer sein als derjenige der Anwendungen, für die es eingesetzt wird?

a wenn der Buchwert des IT-Systems einen zuvor definierten Schwellwert unterschreitet

b wenn das IT-System nur solche Teile der Anwendungen bedient, die einen geringeren Schutzbedarf haben

c wenn mindestens ein weiteres redundantes IT-System in Betrieb ist, das die betreffenden Anwendungen bereitstellen kann

d wenn die Anwendungen innerhalb der nächsten drei Monate so umstrukturiert werden sollen, dass das betreffende IT-System nicht mehr benötigt wird

6 Wenn bei der Schutzbedarfsfeststellung für ein IT-System Kumulationseffekte berücksichtigt werden, bedeutet dies, dass …

a … sich der Schutzbedarf des IT-Systems erhöht, weil sich Einzelschäden zu einem höheren Gesamtschaden addieren.

b … sich der Schutzbedarf des IT-Systems verringert, weil geeignete, sich gegenseitig verstärkende Sicherheitsmaßnahmen im Einsatz sind.

c … sich der für das IT-System festgestellte Schutzbedarf auch auf den Schutzbedarf anderer IT-Systeme auswirkt, die mit dem betreffenden IT-System vernetzt sind.

d … der Schutzbedarf des IT-Systems erst festgestellt werden kann, wenn der Schutzbedarf der mit diesem vernetzten IT-Systeme festgestellt ist

1 Welche Aufgaben stellen sich Ihnen bei der Modellierung gemäß IT-Grundschutz?

a Sie bilden den in der Strukturanalyse dokumentierten Informationsverbund mithilfe der ITGrundschutz-Bausteine ab.

b Sie entwerfen die Sicherheitsarchitektur des betrachteten Informationsverbundes.

c Sie merken Zielobjekte, die nicht geeignet modelliert werden können, für eine Risikoanalyse vor.

d Sie prüfen, welche IT-Grundschutz-Bausteine für den betrachteten Informationsverbund relevant sind.

2 Welche Informationen sind Bestandteil eines IT-Grundschutz-Bausteins?

a Angaben zur spezifischen Gefährdungslage

b Beschreibungen zu Standard-Sicherheitsmaßnahmen

c Verweise auf weiterführende Informationen

d Sicherheitsanforderungen zu einem gegebenen Sachverhalt

3 Welche Aufgaben stellen sich Ihnen, nachdem Sie bei der Modellierung festgelegt haben, welche Bausteine für den Informationsverbund und seine einzelnen Zielobjekte anzuwenden sind?

a die Festlegung von Maßnahmen, mit denen die Anforderungen erfüllt werden können

b die Prüfung, ob für einzelne Anforderungen, deren Umsetzung im gegebenen Anwendungskontext mit vertretbarem Aufwand nicht möglich ist, Alternativen erforderlich sind

c die Korrektur der Schutzbedarfsfeststellung für Zielobjekte, bei denen die Erfüllung der Anforderungen unrealistisch erscheint

d die Dokumentation der Ergebnisse der Modellierung

4 Worauf sollten Sie bei der Auswahl und Anpassung der Sicherheitsmaßnahmen auf Basis der Anforderungen achten?

a auf die Wirtschaftlichkeit der Maßnahmen

b auf die Wirksamkeit der Maßnahmen

c auf den Innovationsgrad der Maßnahmen

d auf die Benutzerfreundlichkeit der Maßnahmen

5 Welche Aussagen zur Anwendung von Bausteinen auf Server sind korrekt?

a Der Baustein SYS.1.1 Allgemeiner Server ist nur dann anzuwenden, wenn es keinen betriebssystemspezifischen Baustein für einen Server gibt.

b Neben dem Baustein SYS.1.1 Allgemeiner Server ist immer auch der zutreffende betriebssystemspezifische Baustein anzuwenden.

c Wenn es spezielle Bausteine für Server-Anwendungen (z. B. Web- oder Datenbankserver) gibt, muss der betriebssystemspezifische Baustein nicht angewendet werden.

d Für Virtualisierungsserver müssen neben dem Baustein sowohl der Baustein SYS.1.1 Allgemeiner Server als auch der zutreffende betriebssystemspezifische Baustein angewendet werden.

6 Auf welche Zielobjekte ist bei der Modellierung der Baustein ISMS.1 Sicherheitsmanagement anzuwenden?

a Er MUSS gesondert auf jeden größeren Standort eines Informationsverbundes angewendet werden.

b Er MUSS einmal angewendet werden, und zwar auf den gesamten Informationsverbund.

c Er ist nur relevant, wenn der Informationsverbund eine gewisse Mindestgröße hat.

d Er MUSS für jedes Teilnetz gesondert angewendet werden, das bei der Strukturanalyse identifiziert wurde.

1 Welche Aussagen zum IT-Grundschutz-Check sind zutreffend?

a Ein IT-Grundschutz-Check ermöglicht, Defizite bei der Erfüllung von Sicherheitsanforderungen zu ermitteln.

b Bei einem IT-Grundschutz-Check wird lediglich die Erfüllung der Basis-Anforderungen geprüft.

c Ein IT-Grundschutz-Check dient dazu, Sicherheitsprobleme zu identifizieren, die in einer Risikoanalyse genauer untersucht werden müssen.

d Ein IT-Grundschutz-Check ist ein Soll-Ist-Vergleich zwischen Sicherheitsanforderungen und tatsächlich umgesetzten Sicherheitsmaßnahmen.

2 Welche Vorarbeiten erfordert der IT-Grundschutz-Check?

a die Festlegung eines Zeitplans

b die Auswahl von geeigneten Gesprächspartnern

c einen Penetrationstest, um Schwachstellen zu identifizieren, die mit den ausgewählten Gesprächspartnern erörtert werden

d die Zusammenstellung und Lektüre der vorhandenen Dokumente zur Informationssicherheit in dem betrachteten Informationsverbund [richtig]

3 Welche Verfahren nutzen Sie, um in einem IT-Grundschutz-Check zu prüfen, wie gut eine Gruppe von Clients geschützt ist?

a Sie führen Interviews mit den zuständigen Systembetreuern.

b Sie versuchen in einem Penetrationstest, Schwachstellen dieser IT-Systeme zu ermitteln, und beziehen dabei sämtliche zur Gruppe gehörenden Clients ein.

c Sie untersuchen stichprobenartig vor Ort, wie die Clients konfiguriert sind.

d Sie lesen die vorhandene Dokumentation zur Konfiguration der Clients.

4 Wann bewerten Sie beim IT-Grundschutz-Check eine Anforderung eines IT-Grundschutz-Bausteins als erfüllt?

a wenn zu der Anforderung geeignete Maßnahmen vollständig, wirksam und angemessen umgesetzt sind

b wenn der Gesprächspartner Ihnen glaubhaft versichert hat, dass es bislang zu keinen Sicherheitsproblemen auf dem betreffenden IT-System gekommen ist

c wenn es eine umfangreiche Dokumentation zu den Schutzvorkehrungen für das betreffende ITSystem gibt

d wenn sowohl im Interview mit einem für das IT-System Zuständigen als auch bei einer stichprobenartigen Überprüfung keine Sicherheitsmängel festgestellt wurden

5 Wie verfahren Sie beim ersten IT-Grundschutz-Check, also vor der Durchführung von Risikoanalysen, mit Anforderungen für den erhöhten Schutzbedarf?

a Sie stufen diese Anforderungen grundsätzlich als entbehrlich ein und verzichten auch dann darauf, diese zu überprüfen, wenn sie in Ihrer Einrichtung umgesetzt sind.

b Sie streichen die Anforderungen aus Ihrem Sollkonzept.

c Sie betrachten Anforderungen für den hohen und sehr hohen Schutzbedarf erst nach Abschluss der Risikoanalyse.

d Sie betrachten im IT-Grundschutz-Check grundsätzlich alle in den IT-Grundschutz-Bausteinen genannten Anforderungen, folglich auch diejenigen für den erhöhten Schutzbedarf.

6 Sie stellen fest, dass eine Standard-Anforderung für ein IT-System nicht umgesetzt ist, das nur noch kurze Zeit in Betrieb ist. Wie behandeln Sie diese Anforderung beim IT-Grundschutz-Check?

a Sie streichen die Anforderung aus dem IT-Grundschutz-Modell.

b Sie dokumentieren diese als entbehrlich, da ihre Umsetzung nicht mehr wirtschaftlich ist.

c Sie dokumentieren diese als nicht erfüllt, und merken gegebenenfalls an, dass geprüft werden muss, ob Maßnahmen zur Behebung dieses Defizits angesichts der kurzen Einsatzzeit des IT-Systems noch angemessen sind.

d Sie dokumentieren diese als nicht erfüllt und merken an, dass geprüft werden muss, ob die daraus resultierenden Risiken in der Restlaufzeit des IT-Systems noch tragbar sind.

1 Wer trägt die Verantwortung für die bei einer Risikoanalyse getroffenen Entscheidungen zu einem ITSystem?

a der Administrator des IT-Systems

b die Leitung der Institution

c der Informationssicherheitsbeauftragte

d das IS-Management-Team

2 Welche Gefährdungen werden bei der Erstellung der Gefährdungsübersicht im ersten Schritt betrachtet?

a die im Anhang von BSI-Standard 200-3 enthaltenen Risikokataloge

b die relevanten elementaren Gefährdungen aus dem IT-Grundschutz-Kompendium

c die im Anhang der Norm ISO 27005 angeführten Gefährdungen

d die in den Abschnitten zur Gefährdungslage eines Bausteins angeführten spezifischen Gefährdungen

3 Was bewerten Sie bei der Risikoeinschätzung?

a die Häufigkeit des Eintretens einer Gefährdung

b das mit einer Gefährdung verbundene Schadensausmaß

c welche Schutzziele von einer Gefährdung betroffen sind

d die Wirksamkeit der geplanten und umgesetzten Maßnahmen gegen eine Gefährdung

4 Wodurch verlagern Sie ein Risiko?

a durch den Abschluss einer Versicherung

b durch Outsourcing des risikobehafteten Geschäftsprozesses an einen externen Dienstleister

c durch Umstrukturierung des risikobehafteten Geschäftsprozesses

d durch die Entscheidung, risikomindernde Maßnahmen erst dann umzusetzen, wenn die hierzu erforderlichen Finanzmittel bereitstehen

5 Aus welchen Gründen kann es gerechtfertigt sein, auch ein hohes Risiko zu akzeptieren?

a Der Aufwand für mögliche Schutzmaßnahmen ist unangemessen hoch.

b Vergleichbare Institutionen akzeptieren das Risiko ebenfalls.

c Es gibt keine wirksamen Schutzmaßnahmen gegen das Risiko.

d Es ist bislang noch zu keinem nennenswerten Sicherheitsvorfall aufgrund der dem Risiko zugrunde liegenden Gefährdung gekommen.

6 Wann ist die Risikoakzeptanz grundsätzlich unzulässig?

a bei der Nichterfüllung von Basis-Anforderungen

b beim Vorhandensein von elementaren Gefährdungen

c bei sehr hohem Schutzbedarf

d bei Nichterfüllung von Standard-Anforderungen

1 Was müssen Sie prüfen, wenn Sie die Umsetzung von Sicherheitsmaßnahmen planen?

a welche begleitenden Maßnahmen für eine erfolgreiche Umsetzung erforderlich sind

b ob die betreffende Maßnahme bereits eingeführt ist

c ob die Maßnahme mit anderen Maßnahmen vereinbar ist

d in welcher Reihenfolge die verschiedenen Maßnahmen umgesetzt werden sollen

2 Welche Informationen aus dem IT-Grundschutz-Kompendium unterstützen Sie bei der Festlegung einer sinnvollen Umsetzungsreihenfolge der geplanten Maßnahmen?

a die fünfstufige Kennziffer zur Angabe der Priorität einer Anforderung in den IT-GrundschutzBausteinen

b die Aufteilung der Anforderungen in Basis- und Standard-Anforderungen sowie solchen für den höheren Schutzbedarf

c der Vorschlag zur Kennzeichnung einer sinnvollen Bearbeitungsreihenfolge der Bausteine mithilfe der Kürzel R1, R2 und R3

d die Darstellung der Gefährdungslage am Beginn eines Bausteins

3 Was unternehmen Sie als Informationssicherheitsbeauftragter, wenn die Leitung Ihrer Institution nicht bereit ist, den Aufwand für eine bestimmte Sicherheitsmaßnahme zu tragen?

a Sie verdeutlichen ihr, welche Risiken mit dem Fehlen der Maßnahme verbunden sind.

b Sie bitten die Leitung, durch Unterschrift zu bestätigen, dass sie die damit verbundenen Gefahren kennt und trägt.

c Sie ignorieren die Leitung und setzen die Maßnahme trotzdem um.

d Sie verzichten auf eine unmittelbare Reaktion, nehmen sich aber vor, nach Ablauf einer gewissen Zeitspanne die Zustimmung der Leitung einzuholen.

4 Wer sollte in der Regel technische Maßnahmen zur Absicherung eines bestimmten IT-Systems umsetzen?

a die Leitung der IT-Abteilung

b der Informationssicherheitsbeauftragte

c der zuständige Systemadministrator

d der Benutzer des IT-Systems

5 Wer sollte üblicherweise prüfen, ob eine Sicherheitsmaßnahme wie geplant umgesetzt ist?

a die Geschäftsführung

b der Informationssicherheitsbeauftragte

c der zuständige IT-Administrator

d die Leitung der IT-Abteilung

6 Welches Hilfsmittel im IT-Grundschutz-Kompendium können Sie verwenden, um Ihrer Leitung zu verdeutlichen, welche Risiken die Nichterfüllung von Anforderungen mit sich bringt?

a das Restrisikodeklarationsformular im Anhang des Kompendiums

b die Kreuzreferenztabellen am Ende eines Bausteins

c das Risikokalkulationsschema in der Übersicht der elementaren Gefährdungen

d die Beispiele für eine erfolgreiche Sensibilisierung im Baustein ORP.3 Sensibilisierung und Schulung

1 Warum sollten Sie Ihr Sicherheitskonzept regelmäßig überprüfen?

a weil sich die Gefährdungslage ändert

b weil sich die Prozesse und Strukturen einer Institution ändern

c weil sich die Zielsetzungen und Prioritäten einer Institution ändern

d weil die IT-Sicherheitsbranche ständig neuen Trends unterliegt

2 Welche Kriterien sollten Sie bei der Überprüfung Ihres Sicherheitskonzepts berücksichtigen?

a die Aktualität des Sicherheitskonzepts

b den Umfang des Sicherheitskonzepts

c die Akzeptanz des Sicherheitskonzepts bei der Leitung der Institution

d die Vollständigkeit des Sicherheitskonzepts

3 Welche Vorteile bieten Reifegradmodelle für die Bewertung eines ISMS?

a Mit einem Reifegradmodell können der Grad der Strukturiertheit und das Maß der systematischen Steuerung eines Prozesses bewertet werden.

b Die Anwendung eines Reifegradmodells ist Voraussetzung für den Erwerb eines IT-GrundschutzZertifikats.

c Ein Reifegradmodell kann auf Teilaspekte des ISMS angewendet werden und Defizite bei einzelnen Prozessen abbilden.

d Durch Anwendung eines Reifegradmodells wird eine zentrale Forderung der Norm ISO 27001 erfüllt

4 Welche Voraussetzungen müssen für den Erwerb eines ISO 27001-Zertifikats auf der Basis von ITGrundschutz erfüllt sein?

a ausschließlich die in einem Audit nachgewiesene Erfüllung der Basis-Anforderungen

b die durch Sichtung von Dokumenten und Vor-Ort-Prüfungen begründete Feststellung der erfolgreichen Erfüllung der IT-Grundschutz-Anforderungen durch einen zertifizierten Auditor

c ein positives Resultat bei der Überprüfung des Audit-Berichts durch das BSI

d die Unterschrift eines zertifizierten Auditors unter die Selbsterklärung einer Institution, dass sie die IT-Grundschutz-Anforderungen umfassend erfüllt hat

5 Welche der folgenden Untersuchungen haben die systematische Überprüfung der Informationssicherheit in einer Institution zum Ziel?

a die Auswertung von IT-Sicherheitsvorfällen

b Penetrationstests

c die IT-Sicherheitsrevision

d ein Audit im Rahmen einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

6 Was sollte vor der Einführung einer Kennzahl zur Informationssicherheit unbedingt festgelegt werden?

a welches Ziel mit der Kennzahl verfolgt werden soll

b mit welchen Stilmitteln positive und negative Ergebnisse gekennzeichnet werden sollen

c mit welchem Verfahren die Werte eine Kennzahl erhoben werden

d wie die Ergebnisse vor der Leitung der Institution verborgen werden können