LW 10 #6

Question 1

hoe kan er tot een goede inrichting van de informatiebeveiliging gekomen worden en wie is daar verantwoordelijk voor?

Answer 1

• het is de verantwoordelijkheid van de management om een adequaat informatieproces in te richten, te implementeren, te onderhouden en continu te verbeteren.
• informatiebeveiligingsbeleid van a tot z regelen
• mg ook verantwoordelijk dat het informatiebeveiligingsbeleid aansluit met het overige bedrijfsbeleid

Question 2

door wat worden de selectie van beveiligingsmaatregelen (baseline/risicoanalyse) en de implementatie ervan beïnvloed?

Answer 2

informatiebeveiligingsbeleid

Question 3

beveiligingsmaatregelen

Answer 3

organisatorische maatregelen
logische maatregelen
fysieke maatregelen

Question 4

bij de toepassing van wachtwoorden (fysiek) is er behoefte aan aanvullende organisatorische maatregelen.
noem voorbeeld:

Answer 4

regels voor het kiezen van wachtwoorden en procedures voor het verwerken van personele wijzigingen, zoals in- en uitdienstprocedures

Question 5

voorbeelden fysieke maatregelen met aanvullende organisatorische maatregelen

Answer 5

• toegangsbeheersing mbv deursloten -> het beheersbaar uitdelen en innemen van sleutels en het bewaken van het gedrag van de sleutelhouders
• blusinstallatie en handblussers -> adequaat onderhoud

Question 6

organiseren beveiligingsmaatregelen (stappen)

Answer 6

• de betreffende maatregelen worden door het management opgelegd obv het informatiebeveiligingsbeleid + informatiebeveiligingsplan
• de procedures en bijbehorende taken en verantwoordelijkheden worden ingebed in de bestaande organisatie, met de juiste toewijzing van taken en verantwoordelijkheden aan personen
• het management voert dagelijkse aansturing en evaluatie uit. Dat betekent dat de handhaving, de doeltreffendheid en de doelmatigheid vd beveiligingsmaatregelen worden gecontroleerd en bijgesteld.

Question 7

het organiseren van beveiligingsmaatregelen en het invullen van de bijbehorende organisatorische maatregelen is op zichzelf geen garantie voor een goede beveiliging.
wat is nog meer van belang?

Answer 7

een vereiste is dat alle betrokken personen voldoende gemotiveerd zijn om hun verantwoordelijkheden te nemen.

Question 8

welke organisatorische aspecten van informatiebeveiliging zijn van belang?

Answer 8

• het inrichten, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsproces
• het opstellen, uitdragen en onderhouden van het informatiebeveiligingsbeleid en -plan
• het ontwikkelen en implementeren van procedures
• het organiseren van informatiebeveiligingsmaatregelen
• het beïnvloeden van gedrag (motivatie)

Question 9

wat is een van de belangrijkste oorzaken dat informatiebeveiliging zovaak tekortschiet?

Answer 9

er wordt te weinig invulling gegeven aan de organisatorische aspecten

Question 10

pdca - voorbereiding

Answer 10

beveiligingsorganisatie inrichten (het duidelijk vaststellen van taken, verantwoordelijkheden en bevoegdheden)
\+
het management dient de benodigde personele en financiele middelen ter beschikking te stellen en het geformuleerde beveiligingsbeleid uit te dragen naar de werknemers.

Question 11

pdca - planning & ondersteuning

Answer 11

het formuleren van een strategie tav de bescherming vd informatievoorziening, waarbij het gaat om het specificeren van de soorten gegevens en informatiesystemen en het belang daarvan voor de organisatie, de wijze waarop de organisatie deze wil beschermen, de risico’s die de organisatie op dit gebied wil en kan nemen en de risico’s die de organisatie zeker wil beperken.

obv deze strategie wordt het beleid voor de organisatie opgesteld en die informatiebeveiliging van de organisatie georganiseerd

Question 12

hoe kan er adequaat op eventuele risico’s ingespeeld worden?

Answer 12

het management dient op de hoogte te zijn van de aard en de omvang van deze risico’s. op basis daarvan is het dan mogelijk om te bepalen welke beveiligingsmaatregelen er getroffen moeten worden om de risico’s in voldoende mate in te perken

Question 13

pdca - planning & ondersteuning

welke kosten komen erbij kijken?

Answer 13

• implementatie en onderhoud van beveiligingsmaatregelen

- beperking van de functionaliteit (gebruiksvriendelijk)

Question 14

preventieve maatregelen

eerstelijnsmaatregelen

Answer 14

maatregelen die tot doel hebben te voorkomen dat bedreigingen tot een verstoring leiden

(firewall)

Question 15

detectieve maatregelen

eerstelijnsmaatregelen

Answer 15

maatregelen die vaststellen of een bedreiging zich manifesteert bij een daarvoor kwetsbaar object
-> acties moeten gekoppeld zijn hieraan
[verstoringen tijdig signaleren]

(malwarescanners, rookdetectors, intrusion-detectie, logging, monitoring)

Question 16

responsieve maatregelen
(reactief/proactief)

(tweedelijnsmaatregelen)

Answer 16

maatregelen die tot doel hebben de negatieve invloed van een gedetecteerde verstoring te minimaliseren indien de preventieve maatregelen de verstoring niet hebben kunnen voorkomen
[om de schade na een verstoring zo veel mogelijk te beperken]

Question 17

correctieve maatregelen

onderhoud/beheermaatregelen

Answer 17

richten zich op het herstellen vd objecten die bij een incident verstoord of beschadigd zijn

Question 18

waar zal de keuze van maatregelen voornamelijk van afhangen?

Answer 18

• van het belang dat aan de te beveiligen informatie wordt gehecht
• van de cultuur van de organisatie

Question 19

als ‘vertrouwelijkheid’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?

Answer 19

preventieve maatregelen

Question 20

als ‘integriteit’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?

Answer 20

detectie en correctie

Question 21

als ‘beschikbaarheid’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?

Answer 21

preventief, detectief, responsief, correctief

Question 22

bij bedrijven met een korte procescycli richt men zich minder op ..

Answer 22

preventie. [men neemt daar meer risico]

Question 23

wat wordt er bedoelt met DO/uitvoering

Deming-cyclus

Answer 23

Binnen DO worden de maatregelen die de informatie van de organisatie moeten beschermen geselecteerd, geïmplementeerd en bewaakt.

Question 24

pdca - do/uitvoering

Answer 24

preventieve en detectieve maatregelen (proactief) kunnen worden ingevoerd en de responsieve en correctieve maatregelen (reactief) kunnen alvast worden klaargezet.

Question 25

informatiebeveiligingsbeheer (information security management)

Answer 25

het proces dat de implementatie van dit stelsel van maatregelen omvat, alsmede het bewaken van de implementatie, de borging en desgewenst het bijsturen ervan

Question 26

wat wordt er bedoelt met CHECK/ evaluatie vd prestaties

Deming-cyclus

Answer 26

Bij CHECK wordt de effectiviteit van de maatregelen geëvalueerd, oftewel het effect dat met de getroffen maatregelen wordt bereikt.

Question 27

gelaagd controlemodel

Answer 27

self-assessment
interne audit
externe audit
penetratietesten
social engineering

Question 28

self-assessment

Answer 28

de eerste controle op de effectiviteit vd maatregelen wordt uitgevoerd door de verantwoordelijke functionarissen zelf.
[elke 3 maanden]

Question 28

voordeel self-assessment

Answer 28

• toegenomen doelmatigheid
• door het erkennen van de autonomie vd verantwoordelijke functionarissen worden psychologische barrières weggenomen die de acceptatie van een beveiligingstraject in de weg kunnen staan.

Question 29

nadeel self-assessment

Answer 29

mensen stellen hun zaken vaak rooskleuriger voor dan ze in werkelijkheid zijn

Question 30

de resultaten van een self-assessment dienen ook in een tweede controletrap te worden getoetst, bv door een interne controleafdeling

Answer 30

interne audit

Question 31

externe audit

Answer 31

overkoepelende controle laten uitvoeren door een externe deskundige zoals een IT auditor
controle/certificaat

Question 32

[externe audit]

hoe kan de technische beveiliging verder in kaart worden gebracht?

Answer 32

door het uitvoeren van penetratietesten

Question 33

[externe audit]
hoe kunnen de bewustwording van het personeel en de effectiviteit van de fysieke beveiliging verder in kaart worden gebracht?

Answer 33

mbv social engineering

Question 33

social engineering

Answer 33

onder valse voorwendselen proberen gevoelige gegevens te bemachtigen of ongeautoriseerd toegang te krijgen tot een gebouw of locatie

Question 34

wat wordt er bedoelt met ACT/ verbetering

Deming-cyclus

Answer 34

als bij CHECK tekortkomingen zijn geconstateerd, dan wordt op basis daarvan in ACT bijgestuurd

Question 35

uit welke 3 verdedigingslinies zijn er en waar gaat het van uit?

Answer 35

waker, slaper, dromer

het gaat ervan uit dat een fout in een linie kan worden opgemerkt en aangepakt door de volgende linie

Question 36

eerste linie

Answer 36

lijnmanagement; deze is voor de eigen organisatie verantwoordelijk voor het implementeren en uitvoeren van informatiebeveiligingsmaatregelen, maar ook voor het laten bewaken ervan.

Question 37

tweede linie

Answer 37

informatiebeveiligingsorganisatie en interne controle binnen de organisatie;

de tweede linie is verantwoordelijk voor het monitoren en bewaken vd eerste linie. -> de voortgang van de implementatie vd maatregelen & de juiste uitvoering

Question 38

derde linie

Answer 38

de derde linie is verantwoordelijk voor het uitvoeren van controles en audits op de juiste werking van de 1e en 2e linie, doorgaans de interne en externe auditdienst.
// naast steekproeven en observaties wordt er veelal gebruik gemaakt van de reeds uitgevoerde controles door de 1e en 2e linie.

Question 39

wat is een valkuil bij de implementatie van het 3 verdedigingslinies model?

Answer 39

een valkuil bij de implementatie van dit model is dat de beveiligingsorganisatie te snel de tweede linie bezet, dat wil zeggen voordat de 1e linie is ingeregeld.

Question 40

hoe kan er gezorgd worden voor de verbetering van de managementinformatie over informatiebeveiliging?

Answer 40

• het gebruik van een standaard zoals de Code voor Informatiebeveiliging voor het inrichten van een uniforme en gestructureerde standaardrapportage.
  de toegankelijkheid en herkenbaarheid van de gepresenteerde informatie wordt bevordert en vormt een goede waarborg voor de volledigheid van de rapportage.
• een integraal controlemechanisme obv self-assessment kan de kwaliteit van de managementinformatie sterk verbeteren.

Question 41

[invulling van functies]

automatiseringsorganisatie

Answer 41

voor het treffen van vele noodzakelijke organisatorische en technische maatregelen

Question 42

[invulling van functies]

gebruikersorganisatie

Answer 42

voor het uitoefenen van zorgvuldigheid en discipline bij het omgaan met informatietechnologie

Question 43

[invulling van functies]

helpdesk

Answer 43

voor het beantwoorden van vragen over informatiebeveiliging en het registeren van incidentmeldingen

Question 44

[invulling van functies]

personeelszaken

Answer 44

voor het voorlichten van nieuwe medewerkers, het laten ondertekenen van geheimhoudingsverklaringen, een goede uit-dienstprocedure en het opstellen van een sanctiebeleid bij overtreding van de voorschriften

Question 45

[invulling van functies]

inkoop

Answer 45

voor het afsluiten van overeenkomsten met derden

Question 46

[invulling van functies]

facilitair beheer

Answer 46

voor de fysieke beveiliging van gebouwen en terreinen

Question 47

waar moet er rekening mee gehouden worden bij het invullen van de taken en toewijzen van functies?

Answer 47

functiescheiding

Question 48

wat wordt er gedaan met de functiescheiding binnen organisaties?

Answer 48

er worden tegengestelde belangen gecreëerd. door deze tegengestelde belangen wordt getracht misbruik van een functie te voorkomen.

Question 49

bij kleinere ondernemingen zijn de mogelijkheden voor functiescheiding veelal beperkt, wat wordt er hier gedaan?

Answer 49

er kunnen mitigerende maatregelen worden toegepast om eventuele conflicten af te dekken.

Question 50

organisatorische maatregelen: hebben betrekking op de organisatie als geheel
voorbeelden ->

Answer 50

− formuleren van beveiligingsbeleid, richtlijnen en procedures
− functiescheiding en interne controle ter voorkoming van fraude
− opleiding en voorlichting ter verbetering van beveiligingsbewustzijn
− een portier bij de hoofdingang

Question 51

Logische maatregelen: maatregelen die geprogrammeerd zijn in programmatuur
voorbeelden ->

Answer 51

− login/wachtwoorden authenticatie in besturingssystemen
− encryptieprogrammatuur voor het vercijferen van
vertrouwelijke gegevens
− digitale handtekeningen in elektronische post

Question 52

Fysieke maatregelen: maatregelen die gebaseerd zijn op apparatuur of andere materiële zaken
voorbeelden ->

Answer 52

− brandblussers en andere brandbeveiligingsmaatregelen
− noodstroomvoorzieningen
− sloten en andere bouwkundige voorzieningen tegen ongewenste toegang

Question 53

wie is er verantwoordelijk voor het inrichten van het

informatiebeveiligingsproces.

Answer 53

management

Question 54

waar is de ISO voor bedoeld?

Answer 54

De ISO 27001 is bedoeld voor organisaties die willen aantonen dat zij een set van maatregelen, processen en procedures hanteren om aan stakeholders (klanten, leveranciers, belangenverenigingen, brancheorganisatie, enz.) te laten zien dat zij serieus met informatiebeveiliging omgaan. Dit kunnen ICT bedrijven zijn, maar ook banken, verzekeraars, overheid, zorginstellingen en andere bedrijven die met vertrouwelijke informatie omgaan, bewerken of opslaan

Question 55

Information Security Management System

Answer 55

In een ISMS wordt de complete set van maatregelen, processen en procedures vastgelegd. Deze complete set is dus de manier / methode hoe een organisatie met informatiebeveiliging omgaat. Deze methode moet ook rekening houden hoe de organisatie van zichzelf leert zodat ze zich continu kunnen verbeteren.

Question 56

wat evalueert de manager bij de stap CHECK van het Deming cyclus?

Answer 56

• Geselecteerde maatregelen adequaat geïmplementeerd
• Geselecteerde maatregelen controleren op effect risico’s
• Volgen de medewerkers de bijbehorende werkwijze
• Centrale registratie van beveiligingsincidenten