LW 10 #6 Flashcards

1
Q

hoe kan er tot een goede inrichting van de informatiebeveiliging gekomen worden en wie is daar verantwoordelijk voor?

A
  • het is de verantwoordelijkheid van de management om een adequaat informatieproces in te richten, te implementeren, te onderhouden en continu te verbeteren.
  • informatiebeveiligingsbeleid van a tot z regelen
  • mg ook verantwoordelijk dat het informatiebeveiligingsbeleid aansluit met het overige bedrijfsbeleid
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

door wat worden de selectie van beveiligingsmaatregelen (baseline/risicoanalyse) en de implementatie ervan beïnvloed?

A

informatiebeveiligingsbeleid

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

beveiligingsmaatregelen

A

organisatorische maatregelen
logische maatregelen
fysieke maatregelen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

bij de toepassing van wachtwoorden (fysiek) is er behoefte aan aanvullende organisatorische maatregelen.
noem voorbeeld:

A

regels voor het kiezen van wachtwoorden en procedures voor het verwerken van personele wijzigingen, zoals in- en uitdienstprocedures

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

voorbeelden fysieke maatregelen met aanvullende organisatorische maatregelen

A
  • toegangsbeheersing mbv deursloten -> het beheersbaar uitdelen en innemen van sleutels en het bewaken van het gedrag van de sleutelhouders
  • blusinstallatie en handblussers -> adequaat onderhoud
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

organiseren beveiligingsmaatregelen (stappen)

A
  • de betreffende maatregelen worden door het management opgelegd obv het informatiebeveiligingsbeleid + informatiebeveiligingsplan
  • de procedures en bijbehorende taken en verantwoordelijkheden worden ingebed in de bestaande organisatie, met de juiste toewijzing van taken en verantwoordelijkheden aan personen
  • het management voert dagelijkse aansturing en evaluatie uit. Dat betekent dat de handhaving, de doeltreffendheid en de doelmatigheid vd beveiligingsmaatregelen worden gecontroleerd en bijgesteld.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

het organiseren van beveiligingsmaatregelen en het invullen van de bijbehorende organisatorische maatregelen is op zichzelf geen garantie voor een goede beveiliging.
wat is nog meer van belang?

A

een vereiste is dat alle betrokken personen voldoende gemotiveerd zijn om hun verantwoordelijkheden te nemen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

welke organisatorische aspecten van informatiebeveiliging zijn van belang?

A
  • het inrichten, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsproces
  • het opstellen, uitdragen en onderhouden van het informatiebeveiligingsbeleid en -plan
  • het ontwikkelen en implementeren van procedures
  • het organiseren van informatiebeveiligingsmaatregelen
  • het beïnvloeden van gedrag (motivatie)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

wat is een van de belangrijkste oorzaken dat informatiebeveiliging zovaak tekortschiet?

A

er wordt te weinig invulling gegeven aan de organisatorische aspecten

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

pdca - voorbereiding

A
beveiligingsorganisatie inrichten (het duidelijk vaststellen van taken, verantwoordelijkheden en bevoegdheden)
\+
het management dient de benodigde personele en financiele middelen ter beschikking te stellen en het geformuleerde beveiligingsbeleid uit te dragen naar de werknemers.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

pdca - planning & ondersteuning

A

het formuleren van een strategie tav de bescherming vd informatievoorziening, waarbij het gaat om het specificeren van de soorten gegevens en informatiesystemen en het belang daarvan voor de organisatie, de wijze waarop de organisatie deze wil beschermen, de risico’s die de organisatie op dit gebied wil en kan nemen en de risico’s die de organisatie zeker wil beperken.

obv deze strategie wordt het beleid voor de organisatie opgesteld en die informatiebeveiliging van de organisatie georganiseerd

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

hoe kan er adequaat op eventuele risico’s ingespeeld worden?

A

het management dient op de hoogte te zijn van de aard en de omvang van deze risico’s. op basis daarvan is het dan mogelijk om te bepalen welke beveiligingsmaatregelen er getroffen moeten worden om de risico’s in voldoende mate in te perken

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

pdca - planning & ondersteuning

welke kosten komen erbij kijken?

A
  • implementatie en onderhoud van beveiligingsmaatregelen

- beperking van de functionaliteit (gebruiksvriendelijk)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

preventieve maatregelen

eerstelijnsmaatregelen

A

maatregelen die tot doel hebben te voorkomen dat bedreigingen tot een verstoring leiden

(firewall)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

detectieve maatregelen

eerstelijnsmaatregelen

A

maatregelen die vaststellen of een bedreiging zich manifesteert bij een daarvoor kwetsbaar object
-> acties moeten gekoppeld zijn hieraan
[verstoringen tijdig signaleren]

(malwarescanners, rookdetectors, intrusion-detectie, logging, monitoring)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

responsieve maatregelen
(reactief/proactief)

(tweedelijnsmaatregelen)

A

maatregelen die tot doel hebben de negatieve invloed van een gedetecteerde verstoring te minimaliseren indien de preventieve maatregelen de verstoring niet hebben kunnen voorkomen
[om de schade na een verstoring zo veel mogelijk te beperken]

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

correctieve maatregelen

onderhoud/beheermaatregelen

A

richten zich op het herstellen vd objecten die bij een incident verstoord of beschadigd zijn

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

waar zal de keuze van maatregelen voornamelijk van afhangen?

A
  • van het belang dat aan de te beveiligen informatie wordt gehecht
  • van de cultuur van de organisatie
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

als ‘vertrouwelijkheid’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?

A

preventieve maatregelen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

als ‘integriteit’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?

A

detectie en correctie

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

als ‘beschikbaarheid’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?

A

preventief, detectief, responsief, correctief

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

bij bedrijven met een korte procescycli richt men zich minder op ..

A

preventie. [men neemt daar meer risico]

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

wat wordt er bedoelt met DO/uitvoering

Deming-cyclus

A

Binnen DO worden de maatregelen die de informatie van de organisatie moeten beschermen geselecteerd, geïmplementeerd en bewaakt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

pdca - do/uitvoering

A

preventieve en detectieve maatregelen (proactief) kunnen worden ingevoerd en de responsieve en correctieve maatregelen (reactief) kunnen alvast worden klaargezet.

25
Q

informatiebeveiligingsbeheer (information security management)

A

het proces dat de implementatie van dit stelsel van maatregelen omvat, alsmede het bewaken van de implementatie, de borging en desgewenst het bijsturen ervan

26
Q

wat wordt er bedoelt met CHECK/ evaluatie vd prestaties

Deming-cyclus

A

Bij CHECK wordt de effectiviteit van de maatregelen geëvalueerd, oftewel het effect dat met de getroffen maatregelen wordt bereikt.

27
Q

gelaagd controlemodel

A
self-assessment
interne audit
externe audit
penetratietesten
social engineering
28
Q

self-assessment

A

de eerste controle op de effectiviteit vd maatregelen wordt uitgevoerd door de verantwoordelijke functionarissen zelf.
[elke 3 maanden]

28
Q

voordeel self-assessment

A
  • toegenomen doelmatigheid
  • door het erkennen van de autonomie vd verantwoordelijke functionarissen worden psychologische barrières weggenomen die de acceptatie van een beveiligingstraject in de weg kunnen staan.
29
Q

nadeel self-assessment

A

mensen stellen hun zaken vaak rooskleuriger voor dan ze in werkelijkheid zijn

30
Q

de resultaten van een self-assessment dienen ook in een tweede controletrap te worden getoetst, bv door een interne controleafdeling

A

interne audit

31
Q

externe audit

A

overkoepelende controle laten uitvoeren door een externe deskundige zoals een IT auditor
controle/certificaat

32
Q

[externe audit]

hoe kan de technische beveiliging verder in kaart worden gebracht?

A

door het uitvoeren van penetratietesten

33
Q

[externe audit]
hoe kunnen de bewustwording van het personeel en de effectiviteit van de fysieke beveiliging verder in kaart worden gebracht?

A

mbv social engineering

33
Q

social engineering

A

onder valse voorwendselen proberen gevoelige gegevens te bemachtigen of ongeautoriseerd toegang te krijgen tot een gebouw of locatie

34
Q

wat wordt er bedoelt met ACT/ verbetering

Deming-cyclus

A

als bij CHECK tekortkomingen zijn geconstateerd, dan wordt op basis daarvan in ACT bijgestuurd

35
Q

uit welke 3 verdedigingslinies zijn er en waar gaat het van uit?

A

waker, slaper, dromer

het gaat ervan uit dat een fout in een linie kan worden opgemerkt en aangepakt door de volgende linie

36
Q

eerste linie

A

lijnmanagement; deze is voor de eigen organisatie verantwoordelijk voor het implementeren en uitvoeren van informatiebeveiligingsmaatregelen, maar ook voor het laten bewaken ervan.

37
Q

tweede linie

A

informatiebeveiligingsorganisatie en interne controle binnen de organisatie;

de tweede linie is verantwoordelijk voor het monitoren en bewaken vd eerste linie. -> de voortgang van de implementatie vd maatregelen & de juiste uitvoering

38
Q

derde linie

A
de derde linie is verantwoordelijk voor het uitvoeren van controles en audits op de juiste werking van de 1e en 2e linie, doorgaans de interne en externe auditdienst.
// naast steekproeven en observaties wordt er veelal gebruik gemaakt van de reeds uitgevoerde controles door de 1e en 2e linie.
39
Q

wat is een valkuil bij de implementatie van het 3 verdedigingslinies model?

A

een valkuil bij de implementatie van dit model is dat de beveiligingsorganisatie te snel de tweede linie bezet, dat wil zeggen voordat de 1e linie is ingeregeld.

40
Q

hoe kan er gezorgd worden voor de verbetering van de managementinformatie over informatiebeveiliging?

A
  • het gebruik van een standaard zoals de Code voor Informatiebeveiliging voor het inrichten van een uniforme en gestructureerde standaardrapportage.
    de toegankelijkheid en herkenbaarheid van de gepresenteerde informatie wordt bevordert en vormt een goede waarborg voor de volledigheid van de rapportage.
  • een integraal controlemechanisme obv self-assessment kan de kwaliteit van de managementinformatie sterk verbeteren.
41
Q

[invulling van functies]

automatiseringsorganisatie

A

voor het treffen van vele noodzakelijke organisatorische en technische maatregelen

42
Q

[invulling van functies]

gebruikersorganisatie

A

voor het uitoefenen van zorgvuldigheid en discipline bij het omgaan met informatietechnologie

43
Q

[invulling van functies]

helpdesk

A

voor het beantwoorden van vragen over informatiebeveiliging en het registeren van incidentmeldingen

44
Q

[invulling van functies]

personeelszaken

A

voor het voorlichten van nieuwe medewerkers, het laten ondertekenen van geheimhoudingsverklaringen, een goede uit-dienstprocedure en het opstellen van een sanctiebeleid bij overtreding van de voorschriften

45
Q

[invulling van functies]

inkoop

A

voor het afsluiten van overeenkomsten met derden

46
Q

[invulling van functies]

facilitair beheer

A

voor de fysieke beveiliging van gebouwen en terreinen

47
Q

waar moet er rekening mee gehouden worden bij het invullen van de taken en toewijzen van functies?

A

functiescheiding

48
Q

wat wordt er gedaan met de functiescheiding binnen organisaties?

A

er worden tegengestelde belangen gecreëerd. door deze tegengestelde belangen wordt getracht misbruik van een functie te voorkomen.

49
Q

bij kleinere ondernemingen zijn de mogelijkheden voor functiescheiding veelal beperkt, wat wordt er hier gedaan?

A

er kunnen mitigerende maatregelen worden toegepast om eventuele conflicten af te dekken.

50
Q

organisatorische maatregelen: hebben betrekking op de organisatie als geheel
voorbeelden ->

A

− formuleren van beveiligingsbeleid, richtlijnen en procedures
− functiescheiding en interne controle ter voorkoming van fraude
− opleiding en voorlichting ter verbetering van beveiligingsbewustzijn
− een portier bij de hoofdingang

51
Q

Logische maatregelen: maatregelen die geprogrammeerd zijn in programmatuur
voorbeelden ->

A

− login/wachtwoorden authenticatie in besturingssystemen
− encryptieprogrammatuur voor het vercijferen van
vertrouwelijke gegevens
− digitale handtekeningen in elektronische post

52
Q

Fysieke maatregelen: maatregelen die gebaseerd zijn op apparatuur of andere materiële zaken
voorbeelden ->

A

− brandblussers en andere brandbeveiligingsmaatregelen
− noodstroomvoorzieningen
− sloten en andere bouwkundige voorzieningen tegen ongewenste toegang

53
Q

wie is er verantwoordelijk voor het inrichten van het

informatiebeveiligingsproces.

A

management

54
Q

waar is de ISO voor bedoeld?

A

De ISO 27001 is bedoeld voor organisaties die willen aantonen dat zij een set van maatregelen, processen en procedures hanteren om aan stakeholders (klanten, leveranciers, belangenverenigingen, brancheorganisatie, enz.) te laten zien dat zij serieus met informatiebeveiliging omgaan. Dit kunnen ICT bedrijven zijn, maar ook banken, verzekeraars, overheid, zorginstellingen en andere bedrijven die met vertrouwelijke informatie omgaan, bewerken of opslaan

55
Q

Information Security Management System

A

In een ISMS wordt de complete set van maatregelen, processen en procedures vastgelegd. Deze complete set is dus de manier / methode hoe een organisatie met informatiebeveiliging omgaat. Deze methode moet ook rekening houden hoe de organisatie van zichzelf leert zodat ze zich continu kunnen verbeteren.

56
Q

wat evalueert de manager bij de stap CHECK van het Deming cyclus?

A
  • Geselecteerde maatregelen adequaat geïmplementeerd
  • Geselecteerde maatregelen controleren op effect risico’s
  • Volgen de medewerkers de bijbehorende werkwijze
  • Centrale registratie van beveiligingsincidenten