voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie juni 2008

Transcriptie

1 voorbeeldexamen ISFS I-Tracks Information Security Foundation based on ISO/IEC editie juni 2008 inhoud 2 inleiding 3 voorbeeldexamen 13 antwoordindicatie 29 evaluatie EXIN Hét exameninstituut voor ICT ers Janssoenborch, Hoog Catharijne Godebaldkwartier 365, 3511 DT Utrecht Postbus 19147, 3501 DC Utrecht Nederland Telefoon Fax info@exin.nl Internet

2 Inleiding Dit is het voorbeeldexamen Information Security Foundation based on ISO/IEC Dit voorbeeldexamen bestaat uit 40 meerkeuzevragen. Elke vraag heeft een aantal antwoorden, waarvan er één correct is. Het maximaal aantal te behalen punten is 40. Elke goed beantwoorde vraag levert u 1 punt op. Bij 26 punten of meer bent u geslaagd. De beschikbare tijd is 60 minuten. Aan deze gegevens kunnen geen rechten worden ontleend. Veel succes! Copyright 2008 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN. ITIL is a Registered Community Trade Mark of OGC (Office of Government Commerce, London, UK), and is Registered in the U.S. Patent and Trademark Office. EXIN, ISFS 2/29

3 Voorbeeldexamen 1 van 40 U hebt een bestand ontvangen van de accountant en u controleert of de gegevens juist en volledig zijn. Welk kenmerk van betrouwbaarheid van informatie controleert u hiermee? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid 2 van 40 Een administratiekantoor moet voor het afsluiten van een brandverzekering inventariseren wat de waarde is van de gegevens die ze beheert. Welke factor is niet van belang voor het bepalen van de waarde van gegevens voor een organisatie? A. De inhoudelijke aspecten van gegevens. B. De mate van herstelbaarheid waarin ontbrekende, incomplete of onjuiste gegevens hersteld kunnen worden. C. De onmisbaarheid van gegevens voor de bedrijfsprocessen. D. Het belang van de bedrijfsprocessen die gebruik maken van de gegevens. 3 van 40 We krijgen steeds gemakkelijker toegang tot informatie, bijvoorbeeld via het internet. Maar informatie moet betrouwbaar zijn om adequaat gebruikt te kunnen worden. Wat is géén betrouwbaarheidsaspect van informatie? A. beschikbaarheid B. integriteit C. kwantiteit D. vertrouwelijkheid 4 van 40 Van welk kenmerk van de betrouwbaarheid van informatie is volledigheid een onderdeel? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid EXIN, ISFS 3/29

4 5 van 40 Een administratiekantoor gaat inventariseren aan welke gevaren ze blootstaat. Hoe wordt een mogelijke gebeurtenis genoemd die een verstorende invloed kan hebben op de betrouwbaarheid van informatie? A. afhankelijkheid B. dreiging C. kwetsbaarheid D. risico 6 van 40 Wat is het doel van risicomanagement? A. De kans bepalen dat een bepaald risico zich manifesteert. B. De schade bepalen van mogelijke beveiligingsincidenten. C. In kaart brengen van de dreigingen waaraan IT objecten bloot staan. D. Met behulp van maatregelen risico s tot een aanvaardbaar niveau terugbrengen. 7 van 40 Welke uitspraak over een risicoanalyse is juist? 1. Risico s, benoemd in een risicoanalyse, kunnen worden geclassificeerd. 2. In een risicoanalyse moeten alle details worden beschouwd. 3. Een risicoanalyse beperkt zich tot beschikbaarheid. 4. Een risicoanalyse is eenvoudig te maken door het invullen van een korte standaard vragenlijst met standaard antwoorden. A. 1 B. 2 C. 3 D. 4 8 van 40 Welke van de onderstaande voorbeelden valt onder de dreiging vervalsing? 1. Een computer wordt getroffen door een virusinfectie. 2. Een frauduleuze transactie uitvoeren. 3. Het afluisteren van communicatielijnen en netwerken. 4. Op het werk internet gebruiken voor privédoeleinden. A. 1 B. 2 C. 3 D. 4 EXIN, ISFS 4/29

5 9 van 40 Een mogelijk risico voor een bedrijf is brand. Als dit risico zich manifesteert, dus als de brand werkelijk uitbreekt, kan er directe en indirecte schade optreden. Wat is een voorbeeld van directe schade? A. een gegevensverzameling is vernietigd B. imagoverlies C. verlies van vertrouwen van klanten D. wettelijke verplichtingen kunnen niet meer nagekomen worden 10 van 40 Bij een bedrijf is, om risico s te beperken, gekozen voor een strategie met een mix van maatregelen. Eén van de maatregelen is dat voor het bedrijf een uitwijkvoorziening is georganiseerd. Tot welke categorie van maatregelen hoort een uitwijkvoorziening? A. correctieve maatregelen B. detectieve maatregelen C. preventieve maatregelen D. repressieve maatregelen 11 van 40 Wat is een voorbeeld van een ongerichte dreiging? A. een virus van buiten de organisatie B. hacken C. misbruiken van iemands identiteit D. spyware 12 van 40 Wat is een voorbeeld van een gerichte dreiging? A. blikseminslag B. brand C. phishing D. spam EXIN, ISFS 5/29

6 13 van 40 Informatie kent een aantal betrouwbaarheidsaspecten. Die betrouwbaarheid wordt voortdurend bedreigd. Voorbeelden van dreigingen zijn: een kabel komt los te liggen, iemand kan per ongeluk gegevens wijzigen, gegevens worden privé gebruikt of ze worden vervalst. Welke van deze voorbeelden is een bedreiging van het aspect vertrouwelijkheid? A. een losliggende kabel B. ongeautoriseerd wissen van gegevens C. privé-gebruik van gegevens D. vervalsen van gegevens 14 van 40 Een medewerker ontkent een bepaald bericht te hebben verstuurd. Welk betrouwbaarheidsaspect van informatie is hier in gevaar? A. beschikbaarheid B. correctheid C. integriteit D. vertrouwelijkheid 15 van 40 In de incidentcyclus worden achtereenvolgens vier stappen onderscheiden. Welke volgorde hebben de stappen? A. dreiging, schade, verstoring, herstel B. dreiging, verstoring, schade, herstel C. verstoring, dreiging, schade, herstel D. verstoring, herstel, schade, dreiging 16 van 40 In een kantoorgebouw breekt brand uit. Het uitwijkplan wordt uitgevoerd. Waar wordt het uitvoeren van het uitwijkplan in de incidentlevenscyclus geplaatst? A. tussen dreiging en verstoring B. tussen herstel en dreiging C. tussen schade en herstel D. tussen verstoring en schade EXIN, ISFS 6/29

7 17 van 40 Hoe kan het doel van informatiebeveiligingsbeleid het beste worden omschreven? A. Het analyseren van risico s en het zoeken van tegenmaatregelen. B. Het bieden van een richting en ondersteuning aan het management ten behoeve van informatiebeveiliging. C. Het concreet maken van het beveiligingsplan door er invulling aan te geven. D. Het verschaffen van inzicht in dreigingen en de mogelijke gevolgen. 18 van 40 De gedragscode voor elektronisch zakendoen is gebaseerd op een aantal principes. Welk van de onderstaande principes hoort daar niet bij? A. betrouwbaarheid B. integriteit C. transparantie D. vertrouwelijkheid en privacy 19 van 40 Een medewerkster van Verzekeringskantoor Euregio ontdekt dat de einddatum van een polis is gewijzigd terwijl zij de enige is die de bevoegdheid heeft dit te doen. Ze meldt dit beveiligingsincident bij de Helpdesk. De Helpdeskmedewerker registreert informatie over het incident. Welk onderdeel van de registratie bepaalt de oplostijd waarbinnen het incident moet worden opgelost? A. categorie B. impact C. prioriteit D. urgentie 20 van 40 In een bedrijf doen zich de volgende gebeurtenissen voor: 1. Een rookmelder functioneert niet. 2. Het netwerk wordt gehackt. 3. Iemand doet zich voor als een medewerker. 4. Van een bestand op de computer kan geen PDF file worden gemaakt. Welk van deze incidenten is geen beveiligingsincident? A. 1 B. 2 C. 3 D. 4 EXIN, ISFS 7/29

8 21 van 40 Beveiligingsmaatregelen kunnen op verschillende manieren worden ingedeeld. Welke van de onderstaande indelingen is een juiste? A. fysiek, logisch, preventief B. logisch, repressief, preventief C. organisatorisch, preventief, correctief, fysiek D. preventief, detectief, repressief, correctief 22 van 40 In een computerruimte wordt een rookdetector geplaatst. Onder welke categorie beveiligingsmaatregelen valt dit? A. correctief B. detectief C. organisatorisch D. preventief 23 van 40 De Information Security Officer (ISO) van Verzekeringskantoor Euregio wil een lijst met beveiligingsmaatregelen laten samenstellen. Wat zal zij eerst moeten doen voordat beveiligingsmaatregelen kunnen worden geselecteerd? A. bewaking inrichten B. evaluatie uitvoeren C. informatiebeveiligingsbeleid opstellen D. risicoanalyse uitvoeren 24 van 40 Wat is het doel van het classificeren van informatie? A. informatie indelen naar beveiligingsbehoefte B. toewijzen van informatie aan een eigenaar C. verminderen van risico s van menselijke fouten D. voorkómen van ongeautoriseerde toegang tot informatie EXIN, ISFS 8/29

9 25 van 40 Bij een bank wordt internettoegang voor particuliere betalingen als volgt beveiligd: Na het intypen van de gebruikersnaam wordt door de bank een getal aan de gebruiker getoond. De gebruiker typt dit getal in op een (door de bank verstrekt) apparaatje, dat vervolgens een nieuw getal als antwoord genereert. Nadat de gebruiker dit getal juist intypt, wordt hem of haar toegang verleend. Hoe heet het apparaatje dat de bank hiervoor aan de gebruiker ter beschikking stelt? A. Message Authentication Code (MAC) B. SmartCard C. Token 26 van 40 De toegang tot de computerruimte wordt afgesloten met een paslezer. Alleen de afdeling Systeembeheer heeft een pasje. Wat voor type beveiligingsmaatregel is dit? A. een correctieve beveiligingsmaatregel B. een fysieke beveiligingsmaatregel C. een logische beveiligingsmaatregel D. een repressieve beveiligingsmaatregel 27 van 40 De 4 medewerkers van de afdeling Automatisering hebben gezamenlijk 1 pasje voor de computerruimte. Welk risico levert dit op? A. Als de stroom uitvalt, vallen de computers daar uit. B. Als er brand uitbreekt, wordt er niet geblust. C. Als er iets uit de computerruimte verdwijnt, is niet duidelijk wie daarvoor verantwoordelijk is. D. Niet-geautoriseerde personen kunnen ongezien de computerruimte binnengaan. 28 van 40 In de ontvangsthal van een administratiekantoor staat een printer waar ook werknemers in een noodgeval naar kunnen printen. De afspraak is dat de afdrukken direct worden opgehaald zodat ze niet door een bezoeker kunnen worden meegenomen. Welk risico voor de bedrijfsinformatie brengt deze situatie nog meer met zich mee? A. Bestanden kunnen in het geheugen van de printer blijven staan. B. Bezoekers kunnen vertrouwelijke informatie van het netwerk kopiëren en afdrukken. C. De printer kan defect raken door veelvuldig gebruik zodat hij niet beschikbaar is. EXIN, ISFS 9/29

10 29 van 40 Welke van onderstaande beveiligingsmaatregelen is een technische maatregel? 1. Een eigenaar aan informatie toewijzen 2. Overtollige CD s door de vernietiger halen 3. Vastleggen wat met en wel en niet mag 4. Wachtwoorden van systeembeheer in de kluis bewaren A. 1 B. 2 C. 3 D van 40 De back-ups van de centrale server worden bewaard in dezelfde afgesloten ruimte als de server. Welk risico loopt de organisatie? A. Als de server crasht, duurt het lang voordat de systemen weer beschikbaar zijn. B. Bij brand is het onmogelijk de systemen weer in oude staat te herstellen. C. Niemand is verantwoordelijk voor de back-ups. D. Onbevoegden hebben eenvoudig toegang tot de back-up s. 31 van 40 Welke van de onderstaande technieken is/zijn kwaadaardig voor de computer? A. Access Control Lists (ACL) B. Gedemilitariseerde zone (DMZ) C. Virtual Private Network (VPN) op basis van het Point to Point Tunneling Protocol (PPTP) D. Virussen, wormen en spyware (Malware) 32 van 40 Welke maatregel helpt niet bij het tegengaan van kwaadaardige software? A. een actief patchbeleid B. een anti-spyware programma C. een spamfilter D. een wachtwoord EXIN, ISFS 10/29

11 33 van 40 Wat is een voorbeeld van een organisatorische maatregel? A. back-up van gegevens B. encryptie C. functiescheiding D. netwerkapparatuur en kabelkasten staan in een afgesloten ruimte 34 van 40 Identificatie is het vaststellen of iemands identiteit correct is. Is deze bewering juist? A. ja B. nee 35 van 40 Waarom is het nodig een calamiteitenplan actueel te houden en regelmatig te testen? A. Om altijd te beschikken over recente back-ups, die zich buiten het kantoor bevinden. B. Om normale dagelijks optredende storingen het hoofd te kunnen bieden. C. Omdat anders bij een ingrijpende verstoring de getroffen maatregelen en incident-procedures te kort schieten of verouderd blijken. D. Omdat de Wet Bescherming Persoonsgegevens (WBP) dit voorschrijft. 36 van 40 Wat is autorisatie? A. Het bepalen van de identiteit van een persoon. B. Het vastleggen van uitgevoerde handelingen. C. Het verifiëren van de identiteit van een persoon. D. Het verlenen van specifieke rechten, zoals selectieve toegang aan een persoon. 37 van 40 Welke belangrijke wettelijke norm op het gebied van informatiebeveiliging moet een gemeente verplicht naleven? A. A&K-analyse B. GBA C. ITIL D. VIR-BI EXIN, ISFS 11/29

12 38 van 40 Op grond van welke wetgeving kan iemand om inzage verzoeken in de gegevens die van hem of haar zijn geregistreerd? A. de archiefwet B. de wet bescherming persoonsgegevens C. de wet computercriminaliteit D. de wet openbaarheid van bestuur 39 van 40 De Code voor Informatiebeveiliging (ISO/IEC 27002) is een beschrijving van een risicoanalysemethode. Is deze stelling juist? A. ja B. nee 40 van 40 De Code voor Informatiebeveiliging (ISO/IEC 27002) is alleen van toepassing op grote bedrijven. Is deze bewering juist? A. ja B. nee EXIN, ISFS 12/29

13 Antwoordindicatie 1 van 40 U hebt een bestand ontvangen van de accountant en u controleert of de gegevens juist en volledig zijn. Welk kenmerk van betrouwbaarheid van informatie controleert u hiermee? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid A. Onjuist. Beschikbaarheid is de mate waarin gegevens op de juiste momenten beschikbaar zijn voor de gebruikers. B. Onjuist. Exclusiviteit is een kenmerk van Vertrouwelijkheid. C. Juist. Dit betreft integriteit. D. Onjuist. Dit betreft de mate waarin de toegang tot gegevens beperkt is tot degene die daartoe bevoegd is. 2 van 40 Een administratiekantoor moet voor het afsluiten van een brandverzekering inventariseren wat de waarde is van de gegevens die ze beheert. Welke factor is niet van belang voor het bepalen van de waarde van gegevens voor een organisatie? A. De inhoudelijke aspecten van gegevens. B. De mate van herstelbaarheid waarin ontbrekende, incomplete of onjuiste gegevens hersteld kunnen worden. C. De onmisbaarheid van gegevens voor de bedrijfsprocessen. D. Het belang van de bedrijfsprocessen die gebruik maken van de gegevens. A. Juist. De inhoudelijke aspecten van gegevens bepalen niet de waarde ervan. B. Onjuist. Ontbrekende, incomplete of onjuiste gegevens die eenvoudig hersteld kunnen worden zijn minder waardevol dan gegevens die niet of nauwelijks hersteld kunnen worden. C. Onjuist. Onmisbaarheid van gegevens voor bedrijfsprocessen bepaalt mede de waarde. D. Onjuist. Gegevens die in belangrijke bedrijfsprocessen gebruikt worden zijn daardoor waardevol. EXIN, ISFS 13/29

14 3 van 40 We krijgen steeds gemakkelijker toegang tot informatie, bijvoorbeeld via het internet. Maar informatie moet betrouwbaar zijn om adequaat gebruikt te kunnen worden. Wat is géén betrouwbaarheidsaspect van informatie? A. beschikbaarheid B. integriteit C. kwantiteit D. vertrouwelijkheid A. Onjuist. Beschikbaarheid is wel een betrouwbaarheidsaspect van informatie. B. Onjuist. Integriteit is wel een betrouwbaarheidsaspect van informatie. C. Juist. Kwantiteit is geen betrouwbaarheidsaspect van informatie. D. Onjuist. Vertrouwelijkheid is wel een betrouwbaarheidsaspect van informatie. 4 van 40 Van welk kenmerk van de betrouwbaarheid van informatie is volledigheid een onderdeel? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid A. Onjuist. Informatie kan beschikbaar zijn zonder volledig te zijn. B. Onjuist. Exclusiviteit is een kenmerk van vertrouwelijkheid. C. Juist. Volledigheid is een onderdeel van het kenmerk integriteit. D. Onjuist. Vertrouwelijke informatie hoeft niet volledig te zijn. 5 van 40 Een administratiekantoor gaat inventariseren aan welke gevaren ze blootstaat. Hoe wordt een mogelijke gebeurtenis genoemd die een verstorende invloed kan hebben op de betrouwbaarheid van informatie? A. afhankelijkheid B. dreiging C. kwetsbaarheid D. risico A. Onjuist. Een afhankelijkheid is geen gebeurtenis. B. Juist. Een dreiging is een mogelijke gebeurtenis die een verstorende invloed kan hebben op de betrouwbaarheid van informatie. C. Onjuist. Een kwetsbaarheid is de mate waarin een object van de informatievoorziening gevoelig is voor een dreiging. D. Onjuist. Een risico is de gemiddeld verwachte schade over een bepaalde tijdsperiode doordat één of meer dreigingen leiden tot verstoring(en). In een risico is ook de kans van optreden van een dreiging verwerkt. EXIN, ISFS 14/29

15 6 van 40 Wat is het doel van risicomanagement? A. De kans bepalen dat een bepaald risico zich manifesteert. B. De schade bepalen van mogelijke beveiligingsincidenten. C. In kaart brengen van de dreigingen waaraan IT objecten bloot staan. D. Met behulp van maatregelen risico s tot een aanvaardbaar niveau terugbrengen. A. Onjuist. Dit is een onderdeel van risicoanalyse. B. Onjuist. Dit is een onderdeel van risicoanalyse. C. Onjuist. Dit is een onderdeel van risicoanalyse. D. Juist. Het doel van risicomanagement is risico s tot een aanvaardbaar niveau terugbrengen. 7 van 40 Welke uitspraak over een risicoanalyse is juist? 1. Risico s, benoemd in een risicoanalyse, kunnen worden geclassificeerd. 2. In een risicoanalyse moeten alle details worden beschouwd. 3. Een risicoanalyse beperkt zich tot beschikbaarheid. 4. Een risicoanalyse is eenvoudig te maken door het invullen van een korte standaard vragenlijst met standaard antwoorden. A. 1 B. 2 C. 3 D. 4 A. Juist. Niet alle risico s zijn even groot. Doorgaans worden eerst de grootste risico s aangepakt. B. Onjuist. Het is onmogelijk om in een risicoanalyse op alle details in te gaan. C. Onjuist. Een risicoanalyse beschouwt alle betrouwbaarheidsaspecten, dus ook integriteit en vertrouwelijkheid. D. Onjuist. In een risicoanalyse zijn de vragen zelden direct toepasbaar op elke situatie. 8 van 40 Welke van de onderstaande voorbeelden valt onder de dreiging vervalsing? 1. Een computer wordt getroffen door een virusinfectie. 2. Een frauduleuze transactie uitvoeren. 3. Het afluisteren van communicatielijnen en netwerken. 4. Op het werk internet gebruiken voor privédoeleinden. A. 1 B. 2 C. 3 D. 4 A. Onjuist. Een virusinfectie valt onder de dreiging ongeautoriseerd wijzigen. B. Juist. Een frauduleuze transactie valt onder vervalsing. C. Onjuist. Afluisteren valt onder de dreiging onthulling. D. Onjuist. Privégebruik valt onder de dreiging misbruik. EXIN, ISFS 15/29

16 9 van 40 Een mogelijk risico voor een bedrijf is brand. Als dit risico zich manifesteert, dus als de brand werkelijk uitbreekt, kan er directe en indirecte schade optreden. Wat is een voorbeeld van directe schade? A. een gegevensverzameling is vernietigd B. imagoverlies C. verlies van vertrouwen van klanten D. wettelijke verplichtingen kunnen niet meer nagekomen worden A. Juist. Een vernietigde gegevensverzameling is een voorbeeld van directe schade. B. Onjuist. Imagoverlies is indirecte schade. C. Onjuist. Verlies van vertrouwen van klanten is indirecte schade. D. Onjuist. Het niet na kunnen komen van wettelijke verplichtingen is indirecte schade. 10 van 40 Bij een bedrijf is, om risico s te beperken, gekozen voor een strategie met een mix van maatregelen. Eén van de maatregelen is dat voor het bedrijf een uitwijkvoorziening is georganiseerd. Tot welke categorie van maatregelen hoort een uitwijkvoorziening? A. correctieve maatregelen B. detectieve maatregelen C. preventieve maatregelen D. repressieve maatregelen A. Onjuist. Correctieve maatregelen richten zich op herstel na beschadiging. B. Onjuist. Detectieve maatregelen geven alleen een signaal na detectie. C. Onjuist. Preventieve maatregelen zijn bedoeld om incidenten te voorkomen. D. Juist. Repressieve maatregelen, zoals een uitwijk, minimaliseren de schade. EXIN, ISFS 16/29

17 11 van 40 Wat is een voorbeeld van een ongerichte dreiging? A. een virus van buiten de organisatie B. hacken C. misbruiken van iemands identiteit D. spyware A. Juist. Ongerichte dreigingen zijn niet specifiek op de organisatie gericht. Daar horen ook virussen en wormen bij die van buitenaf komen. B. Onjuist. Dit is een gerichte dreiging. Een hacker is er op uit om in te breken in de organisatie met als doel specifieke informatie te ontvreemden, te verminken of onbruikbaar te maken. C. Onjuist. Dit is een gerichte dreiging. Iemands identiteit misbruiken heeft als doel informatie te ontvreemden, te verminken of onbruikbaar te maken. D. Onjuist. Dit is een gerichte dreiging. Gerichte dreigingen zijn er op gericht informatie te ontvreemden, veranderen of onbruikbaar te maken. Dit veronderstelt een mate van kennis van de interne organisatie en systemen. Spyware is software om systeemgebruik, wachtwoorden, creditcardsgegevens en andere specifieke informatie te ontvreemden. 12 van 40 Wat is een voorbeeld van een gerichte dreiging? A. blikseminslag B. brand C. phishing D. spam A. Onjuist. Blikseminslag is een voorbeeld van een ongerichte dreiging. Ongerichte dreigingen zijn niet specifiek op de organisatie gericht. B. Onjuist. Brand is een voorbeeld van een ongerichte dreiging. Ongerichte dreigingen zijn niet specifiek op de organisatie gericht. C. Juist. Phishing (het lokken van gebruikers naar valse websites) is een vorm van een gerichte dreiging. Gerichte dreigingen zijn er op gericht om informatie te ontvreemden. Dit veronderstelt een mate van kennis van de interne organisatie en systemen. D. Onjuist. Spam is een voorbeeld van een ongerichte dreiging. Het doel van spammers is zoveel mogelijk spam naar zoveel mogelijk organisaties te sturen. Men is er niet op uit informatie te ontvreemden, veranderen of onbruikbaar te maken. EXIN, ISFS 17/29

18 13 van 40 Informatie kent een aantal betrouwbaarheidsaspecten. Die betrouwbaarheid wordt voortdurend bedreigd. Voorbeelden van dreigingen zijn: een kabel komt los te liggen, iemand kan per ongeluk gegevens wijzigen, gegevens worden privé gebruikt of ze worden vervalst. Welke van deze voorbeelden is een bedreiging van het aspect vertrouwelijkheid? A. een losliggende kabel B. ongeautoriseerd wissen van gegevens C. privé-gebruik van gegevens D. vervalsen van gegevens A. Onjuist. Een losliggende kabel is een bedreiging van de beschikbaarheid van informatie. B. Onjuist. Het onbedoeld wijzigen van gegevens is een bedreiging van de integriteit. C. Juist. Het gebruiken van gegevens voor privé-doeleinden is een vorm van misbruik en is een bedreiging van de vertrouwelijkheid. D. Onjuist. Het vervalsen van gegevens is een bedreiging van de integriteit. 14 van 40 Een medewerker ontkent een bepaald bericht te hebben verstuurd. Welk betrouwbaarheidsaspect van informatie is hier in gevaar? A. beschikbaarheid B. correctheid C. integriteit D. vertrouwelijkheid A. Onjuist. Overbelasting van de infrastructuur is een voorbeeld van een dreiging m.b.t. het aspect beschikbaarheid. B. Onjuist. Correctheid is geen betrouwbaarheidsaspect. Het is een kenmerk van het betrouwbaarheidsaspect integriteit. C. Juist. Het ontkennen van het versturen van een bericht heeft te maken met onweerlegbaarheid en dat is een bedreiging van het aspect integriteit. D. Onjuist. Misbruik of onthulling van gegevens zijn bedreigingen van het aspect vertrouwelijkheid. EXIN, ISFS 18/29

19 15 van 40 In de incidentcyclus worden achtereenvolgens vier stappen onderscheiden. Welke volgorde hebben de stappen? A. dreiging, schade, verstoring, herstel B. dreiging, verstoring, schade, herstel C. verstoring, dreiging, schade, herstel D. verstoring, herstel, schade, dreiging A. Onjuist. De schade volgt na de verstoring. B. Juist. In de incidentcyclus worden achtereenvolgens onderscheiden: Dreiging, verstoring, schade, herstel. C. Onjuist. De verstoring volgt na de dreiging. D. Onjuist. Herstel is de laatste stap. 16 van 40 In een kantoorgebouw breekt brand uit. Het uitwijkplan wordt uitgevoerd. Waar wordt het uitvoeren van het uitwijkplan in de incidentlevenscyclus geplaatst? A. tussen dreiging en verstoring B. tussen herstel en dreiging C. tussen schade en herstel D. tussen verstoring en schade A. Onjuist. Het uitvoeren van een uitwijkplan zonder dat er een verstoring is, is erg kostbaar. B. Onjuist. Herstel vindt na een eventuele uitwijk plaats. C. Onjuist. Schade en herstel moeten juist beperkt worden door de uitwijk. D. Juist. Uitwijk is een repressieve maatregel die in gang gezet wordt om de schade te beperken. 17 van 40 Hoe kan het doel van informatiebeveiligingsbeleid het beste worden omschreven? A. Het analyseren van risico s en het zoeken van tegenmaatregelen. B. Het bieden van een richting en ondersteuning aan het management ten behoeve van informatiebeveiliging. C. Het concreet maken van het beveiligingsplan door er invulling aan te geven. D. Het verschaffen van inzicht in dreigingen en de mogelijke gevolgen. A. Onjuist. Dit is het doel van risico-analyse en risicomanagement. B. Juist. Het beveiligingsbeleid biedt richting en ondersteuning aan het management ten behoeve van informatiebeveiliging. C. Onjuist. Het beveiligingsplan maakt het informatiebeveiligingsbeleid concreet. In het plan staat o.a. welke maatregelen er gekozen zijn, wie verantwoordelijk is voor wat, de richtlijnen voor implementatie van maatregelen etc. D. Onjuist. Dit is het doel van een bedreigingenanalyse. EXIN, ISFS 19/29

20 18 van 40 De gedragscode voor elektronisch zakendoen is gebaseerd op een aantal principes. Welk van de onderstaande principes hoort daar niet bij? A. betrouwbaarheid B. integriteit C. transparantie D. vertrouwelijkheid en privacy A. Onjuist. De gedragscode is onder andere gebaseerd op betrouwbaarheid. B. Juist. De gedragscode is gebaseerd op de principes betrouwbaarheid, transparantie, vertrouwelijkheid en privacy. Integriteit is één van de betrouwbaarheidsaspecten van informatie. C. Onjuist. De gedragscode is onder andere gebaseerd op transparantie. D. Onjuist. De gedragscode is gebaseerd op onder andere vertrouwelijkheid en privacy. 19 van 40 Een medewerkster van Verzekeringskantoor Euregio ontdekt dat de einddatum van een polis is gewijzigd terwijl zij de enige is die de bevoegdheid heeft dit te doen. Ze meldt dit beveiligingsincident bij de Helpdesk. De Helpdeskmedewerker registreert informatie over het incident. Welk onderdeel van de registratie bepaalt de oplostijd waarbinnen het incident moet worden opgelost? A. categorie B. impact C. prioriteit D. urgentie A. Onjuist. De categorie bepaalt de oplosgroep waar het incident opgelost wordt en dient om te kunnen rapporteren op categorie. B. Onjuist. De impact geeft informatie over bijvoorbeeld hoeveel medewerkers zijn getroffen door het incident. Impact alleen is niet voldoende om de prioriteit te bepalen; urgentie is daarbij ook nodig. C. Juist. De prioriteit bepaalt de tijd waarbinnen een incident moet worden opgelost. Prioriteit bestaat uit de combinatie van impact en urgentie. D. Onjuist. De urgentie alleen is niet voldoende om de prioriteit te bepalen. Prioriteit bestaat uit de combinatie van impact en urgentie. EXIN, ISFS 20/29

21 20 van 40 In een bedrijf doen zich de volgende gebeurtenissen voor: 1. Een rookmelder functioneert niet. 2. Het netwerk wordt gehackt. 3. Iemand doet zich voor als een medewerker. 4. Van een bestand op de computer kan geen PDF file worden gemaakt. Welk van deze incidenten is geen beveiligingsincident? A. 1 B. 2 C. 3 D. 4 A. Onjuist. Een defecte rookmelder is een gebeurtenis die een dreiging kan worden voor het aspect beschikbaarheid van gegevens. B. Onjuist. Hacken is een gebeurtenis die een dreiging vormt voor het aspect beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. C. Onjuist. Misbruik van identiteit is een gebeurtenis die een dreiging kan worden voor het aspect beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. D. Juist. Een beveiligingsincident is een gebeurtenis die een dreiging vormt of kan vormen voor de vertrouwelijkheid, betrouwbaarheid of beschikbaarheid van gegevens in elektronische informatiesystemen. Dit is geen dreiging voor de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. 21 van 40 Beveiligingsmaatregelen kunnen op verschillende manieren worden ingedeeld. Welke van de onderstaande indelingen is een juiste? A. fysiek, logisch, preventief B. logisch, repressief, preventief C. organisatorisch, preventief, correctief, fysiek D. preventief, detectief, repressief, correctief A. Onjuist. Organisatorisch/logisch/fysiek horen bij elkaar. B. Onjuist. Organisatorisch/logisch/fysiek horen bij elkaar. C. Onjuist. Organisatorisch/logisch/fysiek horen bij elkaar. D. Juist. Preventief/detectief/repressief/correctief horen bij elkaar. EXIN, ISFS 21/29

22 22 van 40 In een computerruimte wordt een rookdetector geplaatst. Onder welke categorie beveiligingsmaatregelen valt dit? A. correctief B. detectief C. organisatorisch D. preventief A. Onjuist. Een rookmelder detecteert en meldt rook en onderneemt geen correctieve actie. B. Juist. Een rookmelder heeft alleen een signaalfunctie; na melding moet er nog opgetreden worden. C. Onjuist. Alleen de maatregelen die het gevolg zijn van een rookmelding zijn organisatorische beveiligingsmaatregelen; het plaatsen van de rookmelder niet. D. Onjuist. Een rookmelder voorkomt geen brand en is dus geen preventieve maatregel. 23 van 40 De Information Security Officer (ISO) van Verzekeringskantoor Euregio wil een lijst met beveiligingsmaatregelen laten samenstellen. Wat zal zij eerst moeten doen voordat beveiligingsmaatregelen kunnen worden geselecteerd? A. bewaking inrichten B. evaluatie uitvoeren C. informatiebeveiligingsbeleid opstellen D. risicoanalyse uitvoeren A. Onjuist. Bewaking is een mogelijke maatregel. B. Onjuist. Evaluatie gebeurt achteraf. C. Onjuist. Een informatiebeveiligingsbeleid is wel belangrijk, maar niet noodzakelijk om maatregelen te kunnen selecteren. D. Juist. Voordat beveiligingsmaatregelen kunnen worden geselecteerd moet Euregio weten welke risico s er zijn en voor welke risico s een maatregel moet komen. 24 van 40 Wat is het doel van het classificeren van informatie? A. informatie indelen naar beveiligingsbehoefte B. toewijzen van informatie aan een eigenaar C. verminderen van risico s van menselijke fouten D. voorkómen van ongeautoriseerde toegang tot informatie A. Juist. Het doel van classificeren van informatie is het handhaven van een adequate bescherming. B. Onjuist. Toewijzen van informatie aan een eigenaar is het middel van de classificatie en niet het doel. C. Onjuist. Verminderen van risico s van menselijke fouten is onderdeel van de beveiligingseisen van het personeel. D. Onjuist. Voorkómen van ongeautoriseerde toegang tot informatie is onderdeel van de fysieke beveiliging. EXIN, ISFS 22/29