voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie augustus 2008

Transcriptie

1 voorbeeldexamen ISFS I-Tracks Information Security Foundation based on ISO/IEC editie augustus 2008 inhoud 2 inleiding 3 voorbeeldexamen 14 antwoordindicatie 33 evaluatie EXIN Hét exameninstituut voor ICT ers Janssoenborch, Hoog Catharijne Godebaldkwartier 365, 3511 DT Utrecht Postbus 19147, 3501 DC Utrecht Nederland Telefoon Fax info@exin.nl Internet

2 Inleiding Dit is het voorbeeldexamen Information Security Foundation based on ISO/IEC Dit voorbeeldexamen bestaat uit 40 meerkeuzevragen. Elke vraag heeft een aantal antwoorden, waarvan er één correct is. Het maximaal aantal te behalen punten is 40. Elke goed beantwoorde vraag levert u 1 punt op. Bij 26 punten of meer bent u geslaagd. De beschikbare tijd is 60 minuten. Aan deze gegevens kunnen geen rechten worden ontleend. Veel succes! Copyright 2008 EXIN Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt of verveelvoudigd, opgeslagen in een dataverwerkend systeem of uitgezonden in enige vorm door middel van druk, fotokopie of welke andere vorm dan ook zonder toestemming van EXIN. ITIL is a Registered Community Trade Mark of OGC (Office of Government Commerce, London, UK), and is Registered in the U.S. Patent and Trademark Office. EXIN, ISFS.1.1 2/33

3 voorbeeldexamen 1 van 40 U hebt een concept van uw belastingaangifte ontvangen van de accountant en u controleert of de gegevens juist zijn. Welk kenmerk van betrouwbaarheid van informatie controleert u hiermee? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid 2 van 40 Een administratiekantoor moet voor het afsluiten van een brandverzekering inventariseren wat de waarde is van de gegevens die ze beheert. Welke factor is niet van belang voor het bepalen van de waarde van gegevens voor een organisatie? A. de inhoudelijke aspecten van gegevens B. de mate van herstelbaarheid waarin ontbrekende, incomplete of onjuiste gegevens hersteld kunnen worden C. de onmisbaarheid van gegevens voor de bedrijfsprocessen D. het belang van de bedrijfsprocessen die gebruik maken van de gegevens 3 van 40 We krijgen steeds gemakkelijker toegang tot informatie, bijvoorbeeld via het internet. Maar informatie moet betrouwbaar zijn om adequaat gebruikt te kunnen worden. Wat is géén betrouwbaarheidsaspect van informatie? A. beschikbaarheid B. integriteit C. kwantiteit D. vertrouwelijkheid EXIN, ISFS.1.1 3/33

4 4 van 40 Van welk kenmerk van de betrouwbaarheid van informatie is volledigheid een onderdeel? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid 5 van 40 Een administratiekantoor gaat inventariseren aan welke gevaren ze blootstaat. Hoe wordt een mogelijke gebeurtenis genoemd die een verstorende invloed kan hebben op de betrouwbaarheid van informatie? A. afhankelijkheid B. dreiging C. kwetsbaarheid D. risico 6 van 40 Wat is het doel van risicomanagement? A. De kans bepalen dat een bepaald risico zich manifesteert. B. De schade bepalen van mogelijke beveiligingsincidenten. C. In kaart brengen van de dreigingen waaraan IT objecten bloot staan. D. Met behulp van maatregelen risico s tot een aanvaardbaar niveau terugbrengen. 7 van 40 Welke uitspraak over een risicoanalyse is juist? 1. Risico s, benoemd in een risicoanalyse, kunnen worden geclassificeerd. 2. In een risicoanalyse moeten alle details worden beschouwd. 3. Een risicoanalyse beperkt zich tot beschikbaarheid. 4. Een risicoanalyse is eenvoudig te maken door het invullen van een korte standaard vragenlijst met standaard antwoorden. A. 1 B. 2 C. 3 D. 4 EXIN, ISFS.1.1 4/33

5 8 van 40 Welke van de onderstaande voorbeelden valt onder de dreiging vervalsing? 1. Een computer wordt getroffen door een virusinfectie. 2. Een frauduleuze transactie uitvoeren. 3. Het afluisteren van communicatielijnen en netwerken. 4. Op het werk internet gebruiken voor privédoeleinden. A. 1 B. 2 C. 3 D. 4 9 van 40 Een mogelijk risico voor een bedrijf is brand. Als dit risico zich manifesteert, dus als de brand werkelijk uitbreekt, kan er directe en indirecte schade optreden. Wat is een voorbeeld van directe schade? A. een gegevensverzameling is vernietigd B. imagoverlies C. verlies van vertrouwen van klanten D. wettelijke verplichtingen kunnen niet meer nagekomen worden 10 van 40 Bij een bedrijf is, om risico s te beperken, gekozen voor een strategie met een mix van maatregelen. Eén van de maatregelen is dat voor het bedrijf een uitwijkvoorziening is georganiseerd. Tot welke categorie van maatregelen hoort een uitwijkvoorziening? A. correctieve maatregelen B. detectieve maatregelen C. preventieve maatregelen D. repressieve maatregelen EXIN, ISFS.1.1 5/33

6 11 van 40 Wat is een voorbeeld van een menselijke dreiging? A. Een USB-stick brengt een virus over op het netwerk. B. In de serverruimte ligt teveel stof. C. Lekkage veroorzaakt de uitval van de stroomvoorziening. 12 van 40 Wat is een voorbeeld van een menselijke dreiging? A. blikseminslag B. brand C. phishing 13 van 40 Informatie kent een aantal betrouwbaarheidsaspecten. Die betrouwbaarheid wordt voortdurend bedreigd. Voorbeelden van dreigingen zijn: een kabel komt los te liggen, iemand kan per ongeluk gegevens wijzigen, gegevens worden privé gebruikt of ze worden vervalst. Welke van deze voorbeelden is een bedreiging van het aspect vertrouwelijkheid? A. een losliggende kabel B. per ongeluk wissen van gegevens C. privé-gebruik van gegevens D. vervalsen van gegevens 14 van 40 Een medewerker ontkent een bepaald bericht te hebben verstuurd. Welk betrouwbaarheidsaspect van informatie is hier in gevaar? A. beschikbaarheid B. correctheid C. integriteit D. vertrouwelijkheid EXIN, ISFS.1.1 6/33

7 15 van 40 In de incidentcyclus worden achtereenvolgens vier stappen onderscheiden. Welke volgorde hebben de stappen? A. dreiging, schade, incident, herstel B. dreiging, incident, schade, herstel C. incident, dreiging, schade, herstel D. incident, herstel, schade, dreiging 16 van 40 In een lokale vestiging van een zorgverzekeraar breekt brand uit. De medewerkers worden overgebracht naar vestigingen in naburige plaatsen zodat zij hun werkzaamheden kunnen voortzetten. Waar wordt het uitvoeren van een dergelijke uitwijk in de incidentcyclus geplaatst? A. tussen dreiging en incident B. tussen herstel en dreiging C. tussen schade en herstel D. tussen incident en schade 17 van 40 Hoe wordt het doel van informatiebeveiligingsbeleid omschreven? A. Het analyseren van risico s en het zoeken van tegenmaatregelen. B. Het bieden van een richting en ondersteuning aan het management ten behoeve van informatiebeveiliging. C. Het concreet maken van het beveiligingsplan door er invulling aan te geven D. Het verschaffen van inzicht in dreigingen en de mogelijke gevolgen. 18 van 40 De gedragscode voor elektronisch zakendoen is gebaseerd op een aantal principes. Welk van de onderstaande principes hoort daar niet bij? A. betrouwbaarheid B. registratie C. vertrouwelijkheid en privacy EXIN, ISFS.1.1 7/33

8 19 van 40 Een medewerkster van Verzekeringskantoor Euregio ontdekt dat de einddatum van een polis is gewijzigd terwijl zij de enige is die de bevoegdheid heeft dit te doen. Ze meldt dit beveiligingsincident bij de Helpdesk. De Helpdeskmedewerker registreert de volgende informatie over het incident: datum en tijd omschrijving van het incident de mogelijke gevolgen van het incident Welke belangrijke informatie over het incident mist hier? A. de melder van het incident B. de naam van het softwarepakket C. het PC nummer D. wie is nog meer op de hoogte 20 van 40 In een bedrijf doen zich de volgende gebeurtenissen voor: 1. Een rookmelder functioneert niet. 2. Het netwerk wordt gehackt. 3. Iemand doet zich voor als een medewerker. 4. Van een bestand op de computer kan geen PDF file worden gemaakt. Welk van deze incidenten is geen beveiligingsincident? A. 1 B. 2 C. 3 D van 40 Beveiligingsmaatregelen kunnen op verschillende manieren worden ingedeeld. Welke van de onderstaande indelingen is een juiste? A. fysiek, logisch, preventief B. logisch, repressief, preventief C. organisatorisch, preventief, correctief, fysiek D. preventief, detectief, repressief, correctief EXIN, ISFS.1.1 8/33

9 22 van 40 In een computerruimte wordt een rookdetector geplaatst. Onder welke categorie beveiligingsmaatregelen valt dit? A. correctief B. detectief C. organisatorisch D. preventief 23 van 40 De Information Security Officer (ISO) van Verzekeringskantoor Euregio wil een lijst met beveiligingsmaatregelen laten samenstellen. Wat zal zij eerst moeten doen voordat beveiligingsmaatregelen kunnen worden geselecteerd? A. bewaking inrichten B. evaluatie uitvoeren C. informatiebeveiligingsbeleid opstellen D. risicoanalyse uitvoeren 24 van 40 Wat is het doel van het classificeren van informatie? A. informatie indelen naar beveiligingsbehoefte B. toewijzen van informatie aan een eigenaar C. verminderen van risico s van menselijke fouten D. voorkómen van ongeautoriseerde toegang tot informatie 25 van 40 Voor de toegang tot streng beveiligde gebieden is sterke authenticatie nodig. Bij sterke authenticatie wordt de identiteit van een persoon op drie aspecten gecontroleerd. Welk aspect wordt gecontroleerd als we een pincode in moeten voeren? A. iets dat je bent B. iets dat je hebt C. iets dat je weet EXIN, ISFS.1.1 9/33

10 26 van 40 De toegang tot de computerruimte wordt afgesloten met een paslezer. Alleen de afdeling Systeembeheer heeft een pasje. Welk type beveiligingsmaatregel is dit? A. een correctieve beveiligingsmaatregel B. een fysieke beveiligingsmaatregel C. een logische beveiligingsmaatregel D. een repressieve beveiligingsmaatregel 27 van 40 De 4 medewerkers van de afdeling Automatisering hebben gezamenlijk 1 pasje voor de computerruimte. Welk risico levert dit op? A. Als de stroom uitvalt, vallen de computers daar uit. B. Als er brand uitbreekt, wordt er niet geblust. C. Als er iets uit de computerruimte verdwijnt, is niet duidelijk wie daarvoor verantwoordelijk is. D. Niet-geautoriseerde personen kunnen ongezien de computerruimte binnengaan. 28 van 40 In de ontvangsthal van een administratiekantoor staat een printer waar ook werknemers in een noodgeval naar kunnen printen. De afspraak is dat de afdrukken direct worden opgehaald zodat ze niet door een bezoeker kunnen worden meegenomen. Welk risico voor de bedrijfsinformatie brengt deze situatie nog meer met zich mee? A. Bestanden kunnen in het geheugen van de printer blijven staan. B. Bezoekers kunnen vertrouwelijke informatie van het netwerk kopiëren en afdrukken. C. De printer kan defect raken door veelvuldig gebruik zodat hij niet beschikbaar is. EXIN, ISFS /33

11 29 van 40 Welke van de onderstaande beveiligingsmaatregelen is een technische maatregel? 1. Een eigenaar aan informatie toewijzen 2. Encryptie van bestanden 3. Vastleggen wat met en wel en niet mag 4. Wachtwoorden van systeembeheer in de kluis bewaren A. 1 B. 2 C. 3 D van 40 De back-ups van de centrale server worden bewaard in dezelfde afgesloten ruimte als de server. Welk risico loopt de organisatie? A. Als de server crasht, duurt het lang voordat de systemen weer beschikbaar zijn. B. Bij brand is het onmogelijk de systemen weer in oude staat te herstellen. C. Niemand is verantwoordelijk voor de back-ups. D. Onbevoegden hebben eenvoudig toegang tot de back-ups. 31 van 40 Welke van de onderstaande technieken is/zijn kwaadaardig voor de computer? A. Encryptie B. Hash C. Virtual Private Network (VPN) D. Virussen, wormen en spyware (Malware) 32 van 40 Welke maatregel helpt niet bij het tegengaan van kwaadaardige software? A. een actief patchbeleid B. een anti-spyware programma C. een spamfilter D. een wachtwoord EXIN, ISFS /33

12 33 van 40 Wat is een voorbeeld van een organisatorische maatregel? A. back-up van gegevens B. encryptie C. functiescheiding D. netwerkapparatuur en kabelkasten staan in een afgesloten ruimte 34 van 40 Identificatie is het vaststellen of iemands identiteit correct is. Is deze bewering juist? A. ja B. nee 35 van 40 Waarom is het nodig een calamiteitenplan actueel te houden en regelmatig te testen? A. Om altijd te beschikken over recente back-ups, die zich buiten het kantoor bevinden. B. Om normale dagelijks optredende storingen het hoofd te kunnen bieden. C. Omdat anders bij een ingrijpende verstoring de getroffen maatregelen en incident-procedures te kort schieten of verouderd blijken. D. Omdat de Wet Bescherming Persoonsgegevens (WBP) dit voorschrijft. 36 van 40 Wat is autorisatie? A. Het bepalen van de identiteit van een persoon. B. Het vastleggen van uitgevoerde handelingen. C. Het verifiëren van de identiteit van een persoon. D. Het verlenen van specifieke rechten, zoals selectieve toegang aan een persoon. EXIN, ISFS /33

13 37 van 40 Welke belangrijke norm op het gebied van informatiebeveiliging moet de Rijksoverheid verplicht naleven? A. A&K-analyse B. ISO/IEC C. ISO/IEC D. VIR-BI 38 van 40 Op grond van welke wetgeving kan iemand om inzage verzoeken in de gegevens die van hem of haar zijn geregistreerd? A. de archiefwet B. de wet bescherming persoonsgegevens C. de wet computercriminaliteit D. de wet openbaarheid van bestuur 39 van 40 De Code voor Informatiebeveiliging (ISO/IEC 27002) is een beschrijving van een risicoanalysemethode. Is deze stelling juist? A. ja B. nee 40 van 40 De Code voor Informatiebeveiliging (ISO/IEC 27002) is alleen van toepassing op grote bedrijven. Is deze bewering juist? A. ja B. nee EXIN, ISFS /33

14 antwoordindicatie 1 van 40 U hebt een concept van uw belastingaangifte ontvangen van de accountant en u controleert of de gegevens juist zijn. Welk kenmerk van betrouwbaarheid van informatie controleert u hiermee? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid A. Onjuist. Beschikbaarheid is de mate waarin gegevens op de juiste momenten beschikbaar zijn voor de gebruikers. B. Onjuist. Exclusiviteit is een kenmerk van Vertrouwelijkheid. C. Juist. Dit betreft integriteit. Zie Basiskennis Beveiliging van Informatie 4.5 D. Onjuist. Dit betreft de mate waarin de toegang tot gegevens beperkt is tot degene die daartoe bevoegd is. 2 van 40 Een administratiekantoor moet voor het afsluiten van een brandverzekering inventariseren wat de waarde is van de gegevens die ze beheert. Welke factor is niet van belang voor het bepalen van de waarde van gegevens voor een organisatie? A. de inhoudelijke aspecten van gegevens B. de mate van herstelbaarheid waarin ontbrekende, incomplete of onjuiste gegevens hersteld kunnen worden C. de onmisbaarheid van gegevens voor de bedrijfsprocessen D. het belang van de bedrijfsprocessen die gebruik maken van de gegevens A. Juist. De inhoudelijke aspecten van gegevens bepalen niet de waarde ervan. Zie Basiskennis Beveiliging van Informatie 4.3 B. Onjuist. Ontbrekende, incomplete of onjuiste gegevens die eenvoudig hersteld kunnen worden zijn minder waardevol dan gegevens die niet of nauwelijks hersteld kunnen worden. C. Onjuist. Onmisbaarheid van gegevens voor bedrijfsprocessen bepaalt mede de waarde. D. Onjuist. Gegevens die in belangrijke bedrijfsprocessen gebruikt worden zijn daardoor waardevol. EXIN, ISFS /33

15 3 van 40 We krijgen steeds gemakkelijker toegang tot informatie, bijvoorbeeld via het internet. Maar informatie moet betrouwbaar zijn om adequaat gebruikt te kunnen worden. Wat is géén betrouwbaarheidsaspect van informatie? A. beschikbaarheid B. integriteit C. kwantiteit D. vertrouwelijkheid A. Onjuist. Beschikbaarheid is wel een betrouwbaarheidsaspect van informatie. B. Onjuist. Integriteit is wel een betrouwbaarheidsaspect van informatie. C. Juist. Kwantiteit is geen betrouwbaarheidsaspect van informatie. Zie Basiskennis Beveiliging van Informatie 4.5 D. Onjuist. Vertrouwelijkheid is wel een betrouwbaarheidsaspect van informatie. 4 van 40 Van welk kenmerk van de betrouwbaarheid van informatie is volledigheid een onderdeel? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid A. Onjuist. Informatie kan beschikbaar zijn zonder volledig te zijn. B. Onjuist. Exclusiviteit is een kenmerk van vertrouwelijkheid. C. Juist. Volledigheid is een onderdeel van het kenmerk integriteit. Zie Basiskennis Beveiliging van Informatie 4.5 D. Onjuist. Vertrouwelijke informatie hoeft niet volledig te zijn EXIN, ISFS /33

16 5 van 40 Een administratiekantoor gaat inventariseren aan welke gevaren ze blootstaat. Hoe wordt een mogelijke gebeurtenis genoemd die een verstorende invloed kan hebben op de betrouwbaarheid van informatie? A. afhankelijkheid B. dreiging C. kwetsbaarheid D. risico A. Onjuist. Een afhankelijkheid is geen gebeurtenis. B. Juist. Een dreiging is een mogelijke gebeurtenis die een verstorende invloed kan hebben op de betrouwbaarheid van informatie. Zie Basiskennis Beveiliging van Informatie 5.0 C. Onjuist. Een kwetsbaarheid is de mate waarin een object van de informatievoorziening gevoelig is voor een dreiging. D. Onjuist. Een risico is de gemiddeld verwachte schade over een bepaalde tijdsperiode doordat één of meer dreigingen leiden tot verstoring(en). 6 van 40 Wat is het doel van risicomanagement? A. De kans bepalen dat een bepaald risico zich manifesteert. B. De schade bepalen van mogelijke beveiligingsincidenten. C. In kaart brengen van de dreigingen waaraan IT objecten bloot staan. D. Met behulp van maatregelen risico s tot een aanvaardbaar niveau terugbrengen. A. Onjuist. Dit is een onderdeel van risicoanalyse B. Onjuist. Dit is een onderdeel van risicoanalyse. C. Onjuist. Dit is een onderdeel van risicoanalyse. D. Juist. Het doel van risicomanagement is risico s tot een aanvaardbaar niveau terugbrengen. Zie Basiskennis Beveiliging van Informatie 5.0 EXIN, ISFS /33

17 7 van 40 Welke uitspraak over een risicoanalyse is juist? 1. Risico s, benoemd in een risicoanalyse, kunnen worden geclassificeerd. 2. In een risicoanalyse moeten alle details worden beschouwd. 3. Een risicoanalyse beperkt zich tot beschikbaarheid. 4. Een risicoanalyse is eenvoudig te maken door het invullen van een korte standaard vragenlijst met standaard antwoorden. A. 1 B. 2 C. 3 D. 4 A. Juist. Niet alle risico s zijn even groot. Doorgaans worden eerst de grootste risico s aangepakt. Zie Basiskennis Beveiliging van Informatie 5.0 B. Onjuist. Het is onmogelijk om in een risicoanalyse op alle details in te gaan. C. Onjuist. Een risicoanalyse beschouwt alle betrouwbaarheidsaspecten, dus ook integriteit en vertrouwelijkheid. D. Onjuist. In een risicoanalyse zijn de vragen zelden direct toepasbaar op elke situatie. 8 van 40 Welke van de onderstaande voorbeelden valt onder de dreiging vervalsing? 1. Een computer wordt getroffen door een virusinfectie. 2. Een frauduleuze transactie uitvoeren. 3. Het afluisteren van communicatielijnen en netwerken. 4. Op het werk internet gebruiken voor privédoeleinden. A. 1 B. 2 C. 3 D. 4 A. Onjuist. Een virusinfectie valt onder de dreiging ongeautoriseerd wijzigen. B. Juist. Een frauduleuze transactie valt onder vervalsing. Zie Basiskennis Beveiliging van Informatie 10.6 C. Onjuist. Afluisteren valt onder de dreiging onthulling. D. Onjuist. Privégebruik valt onder de dreiging misbruik. EXIN, ISFS /33

18 9 van 40 Een mogelijk risico voor een bedrijf is brand. Als dit risico zich manifesteert, dus als de brand werkelijk uitbreekt, kan er directe en indirecte schade optreden. Wat is een voorbeeld van directe schade? A. een gegevensverzameling is vernietigd B. imagoverlies C. verlies van vertrouwen van klanten D. wettelijke verplichtingen kunnen niet meer nagekomen worden A. Juist. Een vernietigde gegevensverzameling is een voorbeeld van directe schade. Zie Basiskennis Beveiliging van Informatie 5.6 B. Onjuist. Imagoverlies is indirecte schade. C. Onjuist. Verlies van vertrouwen van klanten is indirecte schade. D. Onjuist. Het niet na kunnen komen van wettelijke verplichtingen is indirecte schade. 10 van 40 Bij een bedrijf is, om risico s te beperken, gekozen voor een strategie met een mix van maatregelen. Eén van de maatregelen is dat voor het bedrijf een uitwijkvoorziening is georganiseerd. Tot welke categorie van maatregelen hoort een uitwijkvoorziening? A. correctieve maatregelen B. detectieve maatregelen C. preventieve maatregelen D. repressieve maatregelen A. Onjuist. Correctieve maatregelen richten zich op herstel na beschadiging. B. Onjuist. Detectieve maatregelen geven alleen een signaal na detectie. C. Onjuist. Preventieve maatregelen zijn bedoeld om incidenten te voorkomen. D. Juist. Repressieve maatregelen, zoals een uitwijk, minimaliseren de schade. Zie Basiskennis Beveiliging van Informatie 5.3 EXIN, ISFS /33

19 11 van 40 Wat is een voorbeeld van een menselijke dreiging? A. Een USB-stick brengt een virus over op het netwerk. B. In de serverruimte ligt teveel stof. C. Lekkage veroorzaakt de uitval van de stroomvoorziening. A. Juist. Een USB-stick wordt altijd door iemand ingebracht dus als hierdoor een virus in het netwerk komt is dit een menselijke dreiging. Zie Basiskennis Beveiligen van Informatie B. Onjuist. Stof is een niet-menselijke dreiging. C. Onjuist. Lekkage is een niet-menselijke dreiging. 12 van 40 Wat is een voorbeeld van een menselijke dreiging? A. blikseminslag B. brand C. phishing A. Onjuist. Blikseminslag is een voorbeeld van een niet-menselijke dreiging. B. Onjuist. Brand is een voorbeeld van een niet-menselijke dreiging. C. Juist. Phishing (het lokken van gebruikers naar valse websites) is een vorm van een menselijke dreiging. 13 van 40 Informatie kent een aantal betrouwbaarheidsaspecten. Die betrouwbaarheid wordt voortdurend bedreigd. Voorbeelden van dreigingen zijn: een kabel komt los te liggen, iemand kan per ongeluk gegevens wijzigen, gegevens worden privé gebruikt of ze worden vervalst. Welke van deze voorbeelden is een bedreiging van het aspect vertrouwelijkheid? A. een losliggende kabel B. per ongeluk wissen van gegevens C. privé-gebruik van gegevens D. vervalsen van gegevens A. Onjuist. Een losliggende kabel is een bedreiging van de beschikbaarheid van informatie. B. Onjuist. Het onbedoeld wijzigen van gegevens is een bedreiging van de integriteit. C. Juist. Het gebruiken van gegevens voor privé-doeleinden is een vorm van misbruik en is een bedreiging van de vertrouwelijkheid. Zie Basiskennis Beveiliging van Informatie 4.5 D. Onjuist. Het vervalsen van gegevens is een bedreiging van de integriteit. EXIN, ISFS /33

20 14 van 40 Een medewerker ontkent een bepaald bericht te hebben verstuurd. Welk betrouwbaarheidsaspect van informatie is hier in gevaar? A. beschikbaarheid B. correctheid C. integriteit D. vertrouwelijkheid A. Onjuist. Overbelasting van de infrastructuur is een voorbeeld van een dreiging m.b.t. het aspect beschikbaarheid. B. Onjuist. Correctheid is geen betrouwbaarheidsaspect. Het is een kenmerk van het betrouwbaarheidsaspect integriteit. C. Juist. Het ontkennen van het versturen van een bericht heeft te maken met onweerlegbaarheid en dat is een bedreiging van het aspect integriteit. Zie Basiskennis Beveiliging van Informatie 4.5 D. Onjuist. Misbruik of onthulling van gegevens zijn bedreigingen van het aspect vertrouwelijkheid. 15 van 40 In de incidentcyclus worden achtereenvolgens vier stappen onderscheiden. Welke volgorde hebben de stappen? A. dreiging, schade, incident, herstel B. dreiging, incident, schade, herstel C. incident, dreiging, schade, herstel D. incident, herstel, schade, dreiging A. Onjuist. De schade volgt na de verstoring. B. Juist. In de incidentcyclus worden achtereenvolgens onderscheiden: dreiging, verstoring, schade, herstel. Zie Basiskennis Beveiliging van Informatie 6.2 C. Onjuist. De verstoring volgt na de dreiging. D. Onjuist. Herstel is de laatste stap. EXIN, ISFS /33

21 16 van 40 In een lokale vestiging van een zorgverzekeraar breekt brand uit. De medewerkers worden overgebracht naar vestigingen in naburige plaatsen zodat zij hun werkzaamheden kunnen voortzetten. Waar wordt het uitvoeren van een dergelijke uitwijk in de incidentcyclus geplaatst? A. tussen dreiging en incident B. tussen herstel en dreiging C. tussen schade en herstel D. tussen incident en schade A. Onjuist. Het uitwijken zonder dat er een incident is, is erg kostbaar. B. Onjuist. Herstel vindt na een eventuele uitwijk plaats. C. Onjuist. Schade en herstel moeten juist beperkt worden door de uitwijk. D. Juist. Uitwijk is een repressieve maatregel die in gang gezet wordt om de schade te beperken. Zie Basiskennis Beveiliging van Informatie 6.2 en van 40 Hoe wordt het doel van informatiebeveiligingsbeleid omschreven? A. Het analyseren van risico s en het zoeken van tegenmaatregelen. B. Het bieden van een richting en ondersteuning aan het management ten behoeve van informatiebeveiliging. C. Het concreet maken van het beveiligingsplan door er invulling aan te geven D. Het verschaffen van inzicht in dreigingen en de mogelijke gevolgen. A. Onjuist. Dit is het doel van risico-analyse en risicomanagement. B. Juist. Het beveiligingsbeleid biedt richting en ondersteuning aan het management ten behoeve van informatiebeveiliging. Zie Basiskennis Beveiliging van Informatie 9.1 C. Onjuist. Het beveiligingsplan maakt het informatiebeveiligingsbeleid concreet. In het plan staat o.a. welke maatregelen er gekozen zijn, wie verantwoordelijk is voor wat, de richtlijnen voor implementatie van maatregelen etc. D. Onjuist. Dit is het doel van een bedreigingenanalyse. EXIN, ISFS /33

22 18 van 40 De gedragscode voor elektronisch zakendoen is gebaseerd op een aantal principes. Welk van de onderstaande principes hoort daar niet bij? A. betrouwbaarheid B. registratie C. vertrouwelijkheid en privacy A. Onjuist. De gedragscode is onder andere gebaseerd op betrouwbaarheid. B. Juist. De gedragscode is gebaseerd op de principes betrouwbaarheid, transparantie, vertrouwelijkheid en privacy. Registratie hoort hier niet bij. Zie Basiskennis Beveiliging van Informatie C. Onjuist. De gedragscode is gebaseerd op onder andere vertrouwelijkheid en privacy. 19 van 40 Een medewerkster van Verzekeringskantoor Euregio ontdekt dat de einddatum van een polis is gewijzigd terwijl zij de enige is die de bevoegdheid heeft dit te doen. Ze meldt dit beveiligingsincident bij de Helpdesk. De Helpdeskmedewerker registreert de volgende informatie over het incident: datum en tijd omschrijving van het incident de mogelijke gevolgen van het incident Welke belangrijke informatie over het incident mist hier? A. de melder van het incident B. de naam van het softwarepakket C. het PC nummer D. wie is nog meer op de hoogte A. Juist. Bij het melden van een incident moet in ieder geval de naam van de melder worden geregistreerd. Zie Basiskennis Beveiliging van Informatie B. Onjuist. Dit is eventueel aanvullende informatie. C. Onjuist. Dit is eventueel aanvullende informatie D. Onjuist. Dit is eventueel aanvullende informatie. EXIN, ISFS /33

23 20 van 40 In een bedrijf doen zich de volgende gebeurtenissen voor: 1. Een rookmelder functioneert niet. 2. Het netwerk wordt gehackt. 3. Iemand doet zich voor als een medewerker. 4. Van een bestand op de computer kan geen PDF file worden gemaakt. Welk van deze incidenten is geen beveiligingsincident? A. 1 B. 2 C. 3 D. 4 A. Onjuist. Een defecte rookmelder is een gebeurtenis die een dreiging kan worden voor het aspect beschikbaarheid van gegevens. B. Onjuist. Hacken is een gebeurtenis die een dreiging vormt voor het aspect beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. C. Onjuist. Misbruik van identiteit is een gebeurtenis die een dreiging kan worden voor het aspect beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. D. Juist. Een beveiligingsincident is een gebeurtenis die een dreiging vormt of kan vormen voor de vertrouwelijkheid, betrouwbaarheid of beschikbaarheid van gegevens in elektronische informatiesystemen. Dit is geen dreiging voor de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Zie Basiskennis Beveiliging van Informatie van 40 Beveiligingsmaatregelen kunnen op verschillende manieren worden ingedeeld. Welke van de onderstaande indelingen is een juiste? A. fysiek, logisch, preventief B. logisch, repressief, preventief C. organisatorisch, preventief, correctief, fysiek D. preventief, detectief, repressief, correctief A. Onjuist. Organisatorisch/logisch/fysiek horen bij elkaar. B. Onjuist. Organisatorisch/logisch/fysiek horen bij elkaar. C. Onjuist. Organisatorisch/logisch/fysiek horen bij elkaar. D. Juist. Preventief/detectief/repressief/correctief horen bij elkaar. Zie Basiskennis Beveiliging van Informatie 5.3 EXIN, ISFS /33

24 22 van 40 In een computerruimte wordt een rookdetector geplaatst. Onder welke categorie beveiligingsmaatregelen valt dit? A. correctief B. detectief C. organisatorisch D. preventief A. Onjuist. Een rookmelder detecteert en meldt rook en onderneemt geen correctieve actie. B. Juist. Een rookmelder heeft alleen een signaalfunctie; na melding moet er nog opgetreden worden. Zie Basiskennis Beveiliging van Informatie 5.3 C. Onjuist. Alleen de maatregelen die het gevolg zijn van een rookmelding zijn organisatorische beveiligingsmaatregelen; het plaatsen van de rookmelder niet. D. Onjuist. Een rookmelder voorkomt geen brand en is dus geen preventieve maatregel. 23 van 40 De Information Security Officer (ISO) van Verzekeringskantoor Euregio wil een lijst met beveiligingsmaatregelen laten samenstellen. Wat zal zij eerst moeten doen voordat beveiligingsmaatregelen kunnen worden geselecteerd? A. bewaking inrichten B. evaluatie uitvoeren C. informatiebeveiligingsbeleid opstellen D. risicoanalyse uitvoeren A. Onjuist. Bewaking is een mogelijke maatregel. B. Onjuist. Evaluatie gebeurt achteraf. C. Onjuist. Een informatiebeveiligingsbeleid is wel belangrijk, maar niet noodzakelijk om maatregelen te kunnen selecteren. D. Juist. Voordat beveiligingsmaatregelen kunnen worden geselecteerd moet Euregio weten welke risico s er zijn en voor welke risico s een maatregel moet komen. Zie Basiskennis Beveiliging van Informatie 5 EXIN, ISFS /33

25 24 van 40 Wat is het doel van het classificeren van informatie? A. informatie indelen naar beveiligingsbehoefte B. toewijzen van informatie aan een eigenaar C. verminderen van risico s van menselijke fouten D. voorkómen van ongeautoriseerde toegang tot informatie A. Juist. Het doel van classificeren van informatie is het handhaven van een adequate bescherming. Zie Basiskennis Beveiliging van Informatie 8.1 B. Onjuist. Toewijzen van informatie aan een eigenaar is het middel van de classificatie en niet het doel. C. Onjuist. Verminderen van risico s van menselijke fouten is onderdeel van de beveiligingseisen van het personeel. D. Onjuist. Voorkómen van ongeautoriseerde toegang tot informatie is onderdeel van de fysieke beveiliging. 25 van 40 Voor de toegang tot streng beveiligde gebieden is sterke authenticatie nodig. Bij sterke authenticatie wordt de identiteit van een persoon op drie aspecten gecontroleerd. Welk aspect wordt gecontroleerd als we een pincode in moeten voeren? A. iets dat je bent B. iets dat je hebt C. iets dat je weet A. Onjuist. Een pincode is geen voorbeeld van iets dat je bent. B. Onjuist. Een pincode is niet iets dat je hebt. C. Juist. Een pincode is iets dat je weet. Zie Basiskennis Beveiliging van Informatie 7.2 EXIN, ISFS /33

26 26 van 40 De toegang tot de computerruimte wordt afgesloten met een paslezer. Alleen de afdeling Systeembeheer heeft een pasje. Welk type beveiligingsmaatregel is dit? A. een correctieve beveiligingsmaatregel B. een fysieke beveiligingsmaatregel C. een logische beveiligingsmaatregel D. een repressieve beveiligingsmaatregel A. Onjuist. Een correctieve beveiligingsmaatregel is een herstellende maatregel. B. Juist. Dit is een fysieke beveiligingsmaatregel. Zie Basiskennis Beveiliging van Informatie 7 C. Onjuist. Een logische beveiligingsmaatregel regelt de toegang tot software en informatie, niet de fysieke toegang tot ruimtes. D. Onjuist. Een repressieve beveiligingsmaatregel is bedoeld om de gevolgen van een verstoring te minimaliseren. 27 van 40 De 4 medewerkers van de afdeling Automatisering hebben gezamenlijk 1 pasje voor de computerruimte. Welk risico levert dit op? A. Als de stroom uitvalt, vallen de computers daar uit. B. Als er brand uitbreekt, wordt er niet geblust. C. Als er iets uit de computerruimte verdwijnt, is niet duidelijk wie daarvoor verantwoordelijk is. D. Niet-geautoriseerde personen kunnen ongezien de computerruimte binnengaan. A. Onjuist. Het uitvallen van computers bij stroomuitval staat los van het toegangsbeheer. B. Onjuist. Zelfs met 1 pasje kunnen medewerkers van Automatisering een brand blussen. C. Juist. Aangezien alleen duidelijk is dát er iemand van Automatisering binnen is geweest, is onduidelijk wié het is geweest. Dit vormt een risico. Zie Basiskennis Beveiliging van Informatie 7.2 D. Onjuist. Zonder pasje komt niemand de computerruimte binnen. EXIN, ISFS /33

27 28 of 40 In de ontvangsthal van een administratiekantoor staat een printer waar ook werknemers in een noodgeval naar kunnen printen. De afspraak is dat de afdrukken direct worden opgehaald zodat ze niet door een bezoeker kunnen worden meegenomen. Welk risico voor de bedrijfsinformatie brengt deze situatie nog meer met zich mee? A. Bestanden kunnen in het geheugen van de printer blijven staan. B. Bezoekers kunnen vertrouwelijke informatie van het netwerk kopiëren en afdrukken. C. De printer kan defect raken door veelvuldig gebruik zodat hij niet beschikbaar is. A. Juist. Als bestanden in het geheugen blijven staan kunnen deze door iedere willekeurige voorbijganger worden afgedrukt en meegenomen. Zie Basiskennis Beveiliging van Informatie B. Onjuist. Het is niet mogelijk via een printer informatie van het netwerk te kopiëren. C. Onjuist. Het niet beschikbaar zijn van één printer is geen risico voor bedrijfsinformatie. 29 van 40 Welke van de onderstaande beveiligingsmaatregelen is een technische maatregel? 1. Een eigenaar aan informatie toewijzen 2. Encryptie van bestanden 3. Vastleggen wat met en wel en niet mag 4. Wachtwoorden van systeembeheer in de kluis bewaren A. 1 B. 2 C. 3 D. 4 A. Onjuist. Een eigenaar aan informatie toewijzen is classificatie en valt onder de organisatorische maatregelen. B. Juist. Dit is een technische maatregel die voorkomt dat onbevoegden de informatie kunnen lezen. Zie Basiskennis Beveiliging van Informatie 8.4 C. Onjuist. Dit is een organisatorische maatregel, een gedragscode die in het arbeidscontract kan worden vastgelegd. D. Onjuist. Dit is een organisatorische maatregel. EXIN, ISFS /33

28 30 van 40 De back-ups van de centrale server worden bewaard in dezelfde afgesloten ruimte als de server. Welk risico loopt de organisatie? A. Als de server crasht, duurt het lang voordat de systemen weer beschikbaar zijn. B. Bij brand is het onmogelijk de systemen weer in oude staat te herstellen. C. Niemand is verantwoordelijk voor de back-ups. D. Onbevoegden hebben eenvoudig toegang tot de back-ups. A. Onjuist. Dit zou juist een sneller operationeel zijn bevorderen. B. Juist. De kans dat bij brand de back-up ook verloren gaat, is zeer groot. Zie Basiskennis Beveiliging van Informatie C. Onjuist. De verantwoordelijkheid staat los van de plek van bewaring. D. Onjuist. De computerruimte is afgesloten. 31 van 40 Welke van de onderstaande technieken is/zijn kwaadaardig voor de computer? A. Encryptie B. Hash C. Virtual Private Network (VPN) D. Virussen, wormen en spyware (Malware) A. Onjuist. Encryptie is het versleutelen van informatie. B. Onjuist. Hash een methode om informatie te versleutelen. C. Onjuist. VPN is een veilige netwerkverbinding over internet. D. Juist. Malware nestelt zich ongevraagd op computers. Dat geldt ook voor de andere vormen van malware. Zie Basiskennis Beveiliging van Informatie EXIN, ISFS /33

29 32 van 40 Welke maatregel helpt niet bij het tegengaan van kwaadaardige software? A. een actief patchbeleid B. een anti-spyware programma C. een spamfilter D. een wachtwoord A. Onjuist. Malware maakt vaak gebruik van programmeerfouten in populaire software. Patches repareren beveiligingslekken in de software, waardoor er minder kans is op besmetting met malware. B. Onjuist. Onder spyware wordt kwaadaardige programmatuur verstaan die vertrouwelijke informatie op de computer verzamelt en verspreidt. Een anti spyware programma kan deze kwaadaardige software op de computer detecteren. C. Onjuist. Spam is ongevraagde . Vaak gaat het om ongewilde reclame-uitingen maar er kan ook kwaadaardige software toegevoegd zijn of een hyperlink naar een website met kwaadaardige software. Een spamfilter filtert spam weg. D. Juist. Een wachtwoord is een middel bij authenticatie. Het houdt geen kwaadaardige software tegen. Zie Basiskennis Beveiliging van Informatie van 40 Wat is een voorbeeld van een organisatorische maatregel? A. back-up van gegevens B. encryptie C. functiescheiding D. netwerkapparatuur en kabelkasten staan in een afgesloten ruimte A. Onjuist. Het maken van een back-up van gegevens is een technische maatregel. B. Onjuist. Encryptie van gegevens is een technische maatregel. C. Juist. Functiescheiding is een organisatorische maatregel. De initiërende, de uitvoerende en de controlerende taak worden bij verschillende functionarissen belegd. Bijvoorbeeld het overmaken van een groot bedrag wordt door een administrateur voorbereid, de financieel directeur voert de betaling uit en een accountant controleert. Zie Basiskennis Beveiliging van Informatie D. Onjuist. Sloten op ruimten zijn een fysieke beveiligingsmaatregel. EXIN, ISFS /33

30 34 van 40 Identificatie is het vaststellen of iemands identiteit correct is. Is deze bewering juist? A. ja B. nee A. Onjuist. Identificatie is het kenbaar maken van een identiteit. B. Juist. Het vaststellen of iemands identiteit correct is, is authenticatie. Zie Basiskennis Beveiliging van Informatie van 40 Waarom is het nodig een calamiteitenplan actueel te houden en regelmatig te testen? A. Om altijd te beschikken over recente back-ups, die zich buiten het kantoor bevinden. B. Om normale dagelijks optredende storingen het hoofd te kunnen bieden. C. Omdat anders bij een ingrijpende verstoring de getroffen maatregelen en incident-procedures te kort schieten of verouderd blijken. D. Omdat de Wet Bescherming Persoonsgegevens (WBP) dit voorschrijft. A. Onjuist. Dit is een van de technische maatregelen om een systeem te kunnen herstellen. B. Onjuist. Voor normale storingen zijn de getroffen maatregelen en incidentprocedures voldoende. C. Juist. We spreken dan van een calamiteit. Zie Basiskennis Beveiliging van Informatie 9.3 D. Onjuist. De WBP gaat in op privacy van persoonsgegevens. 36 van 40 Wat is autorisatie? A. Het bepalen van de identiteit van een persoon. B. Het vastleggen van uitgevoerde handelingen. C. Het verifiëren van de identiteit van een persoon. D. Het verlenen van specifieke rechten, zoals selectieve toegang aan een persoon. A. Onjuist. Het bepalen van de identiteit van een persoon heet identificatie B. Onjuist. Het vastleggen van uitgevoerde handelingen heet logging. C. Onjuist. Het verifiëren van de identiteit van een persoon heet authenticatie D. Juist. Het verlenen van specifieke rechten zoals selectieve toegang aan een persoon heet autorisatie. Zie Basiskennis Beveiliging van Informatie 8.2 EXIN, ISFS /33

31 37 van 40 Welke belangrijke norm op het gebied van informatiebeveiliging moet de Rijksoverheid verplicht naleven? A. A&K-analyse B. ISO/IEC C. ISO/IEC D. VIR-BI A. Onjuist. De A&K-analyse is een risicoanalyse-methode. B. Onjuist. ISO/IEC is een standaard voor de inrichting van IT Service Management, deze is niet verplicht. C. Onjuist. ISO/IEC is de Code voor Informatiebeveiliging, een richtlijn voor de inrichting van informatiebeveiliging, deze is niet verplicht. D. Juist. Het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI) is bedoeld voor de rijksoverheid en is verplicht. Zie Basiskennis Beveiliging van Informatie van 40 Op grond van welke wetgeving kan iemand om inzage verzoeken in de gegevens die van hem of haar zijn geregistreerd? A. de archiefwet B. de wet bescherming persoonsgegevens C. de wet computercriminaliteit D. de wet openbaarheid van bestuur A. Onjuist. De archiefwet regelt het bewaren en vernietigen van archiefbescheiden. B. Juist. Het inzagerecht is geregeld in de wet bescherming persoonsgegevens. Zie Basiskennis Beveiliging van Informatie 10.5 C. Onjuist. De wet computercriminaliteit is een wijziging op het wetboek van strafrecht en wetboek van strafvordering om strafbare feiten door voortschrijdende informatietechniek beter mogelijk te maken. Een voorbeeld van een nieuw strafbaar feit is computervredebreuk. D. Onjuist. De wet openbaarheid van bestuur regelt inzage in schriftelijke bestuurlijke stukken. Persoonsgegevens zijn geen bestuurlijke stukken. EXIN, ISFS /33

32 39 of 40 De Code voor Informatiebeveiliging (ISO/IEC 27002) is een beschrijving van een risicoanalysemethode. Is deze stelling juist? A. ja B. nee A. Onjuist. De Code voor Informatiebeveiliging is een verzameling maatregelen. B. Juist. De Code voor Informatiebeveiliging kan wel gebruikt worden in een risicoanalyse maar is geen methode. Zie Basiskennis Beveiliging van Informatie van 40 De Code voor Informatiebeveiliging (ISO/IEC 27002) is alleen van toepassing op grote bedrijven. Is deze bewering juist? A. ja B. nee A. Onjuist. De Code voor Informatiebeveiliging is niet alleen van toepassing op grote bedrijven. B. Juist. De Code is van toepassing voor alle typen organisaties, groot of klein. Zie Basiskennis Beveiliging van Informatie 9.1 EXIN, ISFS /33

33 Evaluatie De juiste antwoorden op de vragen in dit voorbeeldexamen staan in onderstaande tabel. nummer antwoord punten nummer antwoord punten 1 C 1 21 D 1 2 A 1 22 B 1 3 C 1 23 D 1 4 C 1 24 A 1 5 B 1 25 C 1 6 D 1 26 B 1 7 A 1 27 C 1 8 B 1 28 A 1 9 A 1 29 B 1 10 D 1 30 B 1 11 A 1 31 D 1 12 C 1 32 D 1 13 C 1 33 C 1 14 C 1 34 B 1 15 B 1 35 C 1 16 D 1 36 D 1 17 B 1 37 D 1 18 B 1 38 B 1 19 A 1 39 B 1 20 D 1 40 B 1 EXIN, ISFS /33