Begrippen ISO 27000 Foundations

Question 1

Aanval

Answer 1

een poging om ongeautoriseerd toegang te krijgen tot bedrijfsinformatie. Die informatie te lezen, stelen, wijzigen, of onbruikbaar te maken.

Question 2

Asset/bedrijfsmiddel

Answer 2

alles wat waarde heeft voor een organisatie.

Question 3

Authenticeren

Answer 3

het authentiek, rechtsgeldig maken, vaststellen of het echt waar is. Het vaststellen van de juiste persoon die - of systeem dat - zich aanmeldt om toegang te krijgen tot informatie

Question 4

Bedreiging

Answer 4

Potentiële oorzaak van een ongewenst incident dat een systeem of organisatie schade kan toebrengen

Question 5

Beheersmaatregel

Answer 5

Een middel om risico’s te beheersen, waaronder beleid, procedures, richtlijnen, werkwijzen of organisatiestructuren. Synoniemen zijn waarborging of tegenmaatregel

Question 6

Beleid

Answer 6

De formeel uitgesproken inrichting van informatiebeveiliging en de intentie van directie hoe om te gaan met bedrijfsrisico’s en de bescherming van de organisatie tegen informatiebeveiligingsrisico’s

Question 7

Beschikbaarheid

Answer 7

beschikbaarheid waarborgt de betrouwbare en tijdige toegang tot data of computercapaciteit voor medewerkers. In andere woorden: beschikbaarheid garandeert dat de computersystemen beschikbaarheid zijn op het moment dat ze nodig zijn om de werkprocessen uit te voeren

Question 8

Blootstelling

Answer 8

een bepaald risico wordt werkelijkheid en de organisatie loopt schade op

Question 9

Control (Maatregel)

Answer 9

middelen voor het managen van risico’s. Meestal wordt een control ingezet als technische of organisatorische beveiligingsmaatregel

Question 10

Informatie

Answer 10

informatie is data die betekenis heeft voor de ontvanger van die informatie.

Question 11

Informatieanalyse

Answer 11

informatieanalyse geeft een duidelijk beeld van hoe een organisatie met zijn informatie omgaat; hoe de informatie door de organisatie stroomt. (de flow van informatie)

Question 12

Informatiebeveiliging

Answer 12

het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Daarbij kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, oonweerlegbaarheid en vertrouwelijkheid een rol spelen.

Question 13

Informatiebeveiligingsmanagement

Answer 13

alle gecoördineerde activiteiten die richting geven aan het beleid van een organisatie ten aanzien van risico’s. Risico management omvat risicoanalyses, het nemen van beveiligingsmaatregelen, het accepteren van risico’s tot een bepaald niveau en het communiceren van risico’s binnen de organisatie

Question 14

Informatiemanagement

Answer 14

de wijze waarop een organisatie haar informatiestromen efficiënt plant, verzamelt, organiseert, gebruikt en controleert. Heeft ook betrekking op hoe de organisatie informatie verspreidt, uitdraagt, en ervoor zorgt dat de waarde die de informatie heeft ook volledig benut wordt

Question 15

Informatiesysteem

Answer 15

applicatie, service of IT-onderdeel waarmee informatie verwerkt kan worden

Question 16

Integriteit

Answer 16

Integriteit gaat over de bescherming tegen ongeautoriseerde modificatie van (data in) software en hardware. Dit kan gebeuren door (on)geautoriseerde medewerkers. Het gaat erom te waarborgen dat data betrouwbaar is

Question 17

Kwetsbaarheid

Answer 17

zwakte van een bedrijfsmiddel of groep bedrijfsmiddelen die door een of meer bedreigingen kan worden benut

Question 18

Non-repudiation/onweerlegbaarheid

Answer 18

de waarborg dat ontvangst en/of verzending van een contract of een bericht niet kan worden ontkend door beide betrokken partijen

Question 19

Preventieve actie

Answer 19

maatregel genomen om een incident te voorkomen (bijv. firewall/antivirus maatregelen)

Question 20

Restrisico (residual risk)

Answer 20

het risico dat overblijft nadat beveiligingsmaatregelen genomen zijn. Het is onmogelijk om risico’s volledig uit te sluiten, maar het is meestal wel mogelijk om risico’s tot een aanvaardbaar niveau terug te brengen. Het kleine geaccepteerde risico is het restrisico.

Question 21

Risico

Answer 21

waarschijnlijkheid x impact = risico

Question 22

risicoacceptatie (risk appetite)

Answer 22

dit is het risico dat een organisatie bereid is te nemen. Dit wordt vaak bepaald obv een risicoanalyse. Het heeft te maken met de kosten van bepaalde beveiligingsmaatregelen die niet in verhouding staan met de kans dat een incident zich voordoet en de mate van kwetsbaarheid die de organisatie dan loopt

Question 23

Risicobeheer

Answer 23

gecoördineerde activiteiten om een organisatie sturing te geven en te bewaken met betrekking tot risico’s. Risicobeheer bestaat uit risicobeoordeling, risicobehandeling, risicoacceptatie en risicocommunicatie

Question 24

Risicobehandeling

Answer 24

proces van keuze en implementatie van maatregelen om risico’s te verlagen:
- Accepteren van het risico
- Vermijden van het risico
- Transfereren van risico (risico delen met een andere partij, a.k.a. je verzekeren)
- Reduceren van een risico (door maatregelen te nemen)

Question 25

Risicobeoordeling

Answer 25

het proces van risicoanalyse en risico-evaluatie

Question 26

Risico-evaluatie

Answer 26

Proces waarin het ingeschatte risico wordt afgewogen tegen vastgestelde risicocriteria om te bepalen in welke mate het risico significant is

Question 27

Risico-identificatie

Answer 27

Het proces van het vinden, beoordelen en beschrijven van risico’s. Risico-identificatie omvat de identificatie van risicobronnen, incidenten, oorzaken en consequenties

Question 28

Vertrouwelijkheid

Answer 28

de mate waarin toegang tot informatie wordt beperkt tot een bepaalde groep gerechtigden die inzage mogen hebben in de data. Dit wordt ook wel exclusiviteit genoemd. Verlies van vertrouwelijkheid kan op meerdere manier ontstaan; bewust verspreiden van gevoelige informatie, of onbewust lekken van informatie

Question 29

Maatregelen om vertrouwelijkheid te beschermen

Answer 29

• Toegang tot informatie obv ‘need to know’
• Clear desk & clear screen policy
• Logische toegangsbeveiliging
• Scheiding verantwoordelijkheden door scheiding aan te brengen in organisatie onderdelen die verantwoordelijk zijn voor systeemontwikkeling, procesontwikkeling en gebruikers
• In het verwerken en gebruiken van data zijn maatregelen getroffen om privacy te waarborgen

Question 30

Maatregelen om integriteit te beschermen

Answer 30

• veranderingen in data en systemen obv 4-ogen principe
• Gebruikersacties in applicaties/IT-systemen worden gelogd
• Scheiden van taken en beperkingen software installatie
• Gebruik maken van encryptie technologie

Question 31

Maatregelen om beschikbaarheid te beschermen

Answer 31

• Goed backup management
• Implementeren van firewalls en IDS/IPS systemen

Question 32

Onderdelen risicobeoordeling

Answer 32

• een business impact analyse, een systematische aanpak om de impact van incidenten in te schatten, en;
• een dreigingen en kwetsbaarheden analyse waarbij de verwachte dreigingen en kwetsbaarheden aan de hand van risicocriteria worden beoordeeld om de gevolgen van incidenten te bepalen

Question 33

Vier hoofddoelen risicoanalyse

Answer 33

1. het identificeren van de waarde van bedrijfsmiddelen (assets);
2. het vastellen van kwetsbaarheden en dreigingen;
3. het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces verstoren;
4. het vinden van een evenwicht tussen de kosten van een incident en de kosten van een beveiligingsmaatregel

Question 34

De 5 verschillende beveiligingsmaatregelen

Answer 34

1. reductieve maatregelen zijn gericht op het reduceren van bedreigingen
2. preventieve maatregelen zijn gericht op het voorkomen van incidenten
3. detectieve maatregelen zijn bedoeld om incidenten te detecteren
4. repressieve maatregelen zijn bedoeld om gevolgen van een incident te stoppen
5. correctieve maatregelen richten zich op het herstellen van de onstane schade

Question 35

3 soorten risicostrategieën

Answer 35

1. risicodragend: sommige risico’s worden geaccepteerd en de maatregelen zijn vooral repressief
2. risiconeutraal: er worden dusdagine beveiligingsmaatregelen genomen die de schade van een risico minimaliseren. Maatregelen zijn een combinatie van preventieve, detectieve en repressieve maatregelen
3. risicomijdend: er worden zodagine maatregelen genomen dat de dreigingen zo veel mogelijk worden geneutraliseerd, zodat de dreiging niet meer tot een incident leidt

Question 36

PDCA-cyclus/cirkel van Deming

Answer 36

1. Plan: ontwerp het ISMS
2. Do: implementeer het ISMS
3. Check: monitor en controleer het ISMS
4. Act: onderhoud het ISMS en stel bij waar nodig

Question 37

Strategisch management

Answer 37

concentreert zich op de prestaties van de gehele organisatie. De focus ligt hier op het realiseren van de organisatiedoelstellingen.

Question 38

Operationeel management

Answer 38

Houdt zich bezig met de dagelijkse operationele aansturing van de organisatie.

Question 39

Tactisch management

Answer 39

houdt zich bezig met de planning en controle van de individuele organisatiefuncties (of subfuncties daarbinnen), met als doel het verbeteren van de doelstellingen op korte tot middellange termijn.

Question 40

Documenten die onderdeel zijn van het beveiligingsbeleid

Answer 40

1. Regelingen
2. Procedures
3. Handleidingen
4. Standaarden

Question 41

Chief Information Security Officer (CISO)

Answer 41

bevindt zich op het hoogste managementniveau van de organisatie en ontwikkelt de algemene veiligheidsstrategie voor de gehele organisatie

Question 42

Information Security Officer (ISO)

Answer 42

ontwikkelt het informatiebeveiligingsbeleid van een business unit obv het organisatiebeleid en zorgt ervoor dat dit beleid wordt nageleefd

Question 43

Information Security Manager

Answer 43

ontwikkelt het informatiebeveiligingsbeleid binnen de IT-organisatie en zorgt ervoor dat dit beleid wordt nageleefd

Question 44

4 speerpunten telewerkbeleid

Answer 44

1. Autorisatie
2. Voorzieningen voor apparatuur
3. Beveiliging van informatie tijdens het telewerken
4. Het gebruik van telewerkapparatuur

Question 45

Soorten bedrijfseigendommen (assets)

Answer 45

• Informatie in de vorm van documenten, databases, contracten, systeemdocumentatie, procedures, handleidingen, systeem logbestanden, plannen, handboeken;
• Software
• Hardware
• Opslagmedia
• Gebouwen, fabrieken, werkplaatsen en daarin de apparatuur
• Mensen en hun kennis van bedrijfsprocessen
• Imago van het bedrijf

Question 46

Informatieclassificatie

Answer 46

• Classificeren is het indelen van informatie naar gevoeligheid
• Rubricering is de classificatie die aan informatie wordt toegekend, zoals geheim, confidentieel etc.
• Merking is een bijzondere aanduiding, bijvoorbeeld indeling naar onderwerp of naar een groep personen met bepaalde bevoegdheden
• De eigenaar is degene die verantwoordelijk is voor een bedrijfsmiddel

Question 47

Discretionary Access Control (DAC)

Answer 47

met DAC kunnen de eigenaar en de gebruikers van een bedrijfsmiddel bepalen welke toegang is toegestaan onafhankelijk van het beleid of richtlijnen.
- voordeel: vanuit een gebruikersperspectief is het zeer flexibel.
- nadeel: het is niet bruikbaar in omgevingen waar compliance eisen heel strikt zijn

Question 48

Mandatory Access Control (MAC)

Answer 48

met MAC worden permissies afgeleid van een policy. Eigenaren en gebruikers kunnen alleen toegang aan anderen toekennen voor zover dat past binnen de grenzen van de statements in de policy. In een MAC systeem wordt toegang verleend of geweigerd obv bijvoorbeeld het screeningsniveau van de medewerker. In een MAC systeem zijn individuele gebruikers niet in staat om security policies te omzeilen, wat in een DAC systeem wel kan

Question 49

Role Based Access Control (RBAC)

Answer 49

Heeft een aantal overeenkomsten met MAC. Echter is het grote verschil dat autorisaties niet gebaseerd worden op het vergelijken van attributen, maar gebaseerd op de rol(len) van een persoon binnen de organisatie.

Question 50

Claims Based Access Control (CBAC)

Answer 50

de eigenaar van de informatie of het systeem bepaalt een set van claims die gecontroleerd moeten worden voordat toegang verleend kan worden. Bijv: ‘de gebruiker werkt voor organisatie X’

Question 51

Cryptografiebeleid onderdelen

Answer 51

1. Voor welke doeleinden past een organisatie cryptografie toe?
2. Welke cryptografische systemen gebruikt een organisatie en in welke toepassingen?
3. Controle op beheer van sleutels
4. Back-up beleid versleutelde gegevens. Vooral van belang wanneer een sleutel verloren of gecompromitteerd is
5. Controle. Beschrijf de manier waarop een organisatie het cryptografische materiaal toepast en behandeld, en welke maatregelen ze paraat heeft om misbruik te beperken

Question 52

Symmetrisch cryptografisch systeem

Answer 52

De verzender en ontvanger delen dezelfde sleutel voor het vercijferen en ontcijferen van informatie

Question 53

Asymmetrische cryptografie

Answer 53

Met dit systeem worden er verschillende sleutels gebruikt voor het vercijferen en ontcijferen van informatie. Het algoritme werkt in sleutelparen; informatie die versleuteld is met een geheime sleutel kunnen alleen ontcijferd worden met een publieke sleutel

Question 54

One-way encryptie / hash-waarde

Answer 54

Een hash-functie is een niet-omkeerbare berekening. Een bericht wordt omgezet is een numeriek waarde, ‘hash-waarde’ genoemd, obv een vast algoritme. Obv dit algoritme kan de ontvanger zelf ook de hash-waarde berekenen en deze twee waarden vergelijken. Wanneer de twee hash-waarden overeenkomen moet het bericht onveranderd zijn

Question 55

Categorieën van authenticatiemaatregelen

Answer 55

1. iets wat je weet, bijvoorbeeld een PIN code;
2. iets wat je hebt, bijvoorbeeld een tag of toegangspas
3. iets wat je bent, een biometrisch gegeven bijvoorbeeld een vingerafdruk of irisscan