LW 8 #10 t/m 10.3

Question 1

risicoanalyse

Answer 1

risicoanalyse is een methode die informatie oplevert waarmee het management in staat wordt gesteld te beslissen welke risico’s, of welke combinaties van risico’s, een te grote potentiële schade vormen en met welke maatregelen deze risico’s teruggedrongen kunnen worden.

Question 2

uit welke 2 varianten bestaat een risicoanalyse

Answer 2

kwalitatieve risicoanalyse

kwantitatieve risicoanalyse

Question 3

kwalitatieve risicoanalyse

Answer 3

in een kwalitatieve risicoanalyse worden de risico’s geschat

• vergt minder gegevens en is minder nauwkeurig, maar daardoor wel eenvoudiger uit te voeren dan een kwantitatieve analyse
• geeft een organisatie voldoende inzicht in het belang en de kwetsbaarheden van de informatievoorziening en informatietechnologie, alsook de benodigde maatregelen

Question 4

kwantitatieve risicoanalyse

Answer 4

in de kwantitatieve risicoanalyse worden de risico’s waar mogelijk gekwantificeerd in meetbare criteria.

risico = kans op schade x schade

• alle bedreigingen die op een object in kunnen werken zijn bekend
• voor elk van deze bedreigingen is bekend wat de kans van optreden is
• hoe waarschijnlijk het is dat daardoor schade optreedt
• hoe groot de desbetreffende schade zal zijn

Question 5

het kan nodig of gewenst zijn om beveiligingsmaatregelen te bepalen zonder risicoanalyses uit te voeren; de volgende mogelijkheden zijn ->

Answer 5

quick scan en baseline checklist

in beide gevallen is er geen sprake van een risicoanalyse/ er worden geen risico’s bepaald en geanalyseerd

Question 6

quick scan

Answer 6

er wordt gebruikgemaakt van een externe standaard checklist (vragenlijst). het uitgangspunt hierbij is het voldoen aan algemeen aanvaarde normen, de “tien geboden” voor informatiebeveiliging

• organisatiebrede thermometer
• kan bv aan het licht brengen dat aan specifieke soorten beveiligingsmaatregelen geen aandacht is besteedt
• eenmalig opgesteld & breed ingezet; kan evt worden herhaald om verbetering te meten
• de selectie vd deelnemers is afhankelijk van het doel vd quickscan (meestal middenkader) + minder dan een uur

Question 7

baseline checklist

Answer 7

er wordt dmv een uitgebreide checklist geverifieerd of al dan niet aan een gegeven stelsel van eigen (of overgenomen) beveiligingsmaatregelen (de baseline) wordt voldaan.

Question 8

een risicoanalyse biedt een aantal voordelen zoals:

Answer 8

maatwerk: checklists zijn nuttig maar niet voldoende. een risicoanalyse kan dit gat opvullen

up-to-date

Question 9

een risicoanalyse heeft ook bezwaren;

Answer 9

complex; tijdrovend en vereist veel expertise + duur
informatieoverload; door de uitgebreide en gedetailleerde aanpak kunnen risicoanalyses leiden tot een teveel aan informatie, waardoor het nemen van beslissingen niet makkelijker maar juist moeilijker wordt.

Question 10

vraagt de situatie om het onderkennen en repareren van de grootste gaten, dan moet een … worden ingezet

Answer 10

quickscan

Question 11

voor een risicoanalyse geldt een adagium;

Answer 11

leer eerst kruipen voordat je gaat lopen

Question 12

hoe dient het rendement geoptimaliseerd te worden bij een Quick scan

Answer 12

men dient een steekproefsgewijze verificatie-interviews te houden om te bepalen of de vragenlijst op de juiste wijze wordt geïnterpreteerd en ingevuld

• deelnemers moeten tijdig van tevoren geïnformeerd worden
• terugkoppeling moet worden gegeven om te zien hoe ze scoren tov de collega’s/organisatie

Question 13

voor het uitvoeren van een quickscan is er 1 expert nodig. wat doet deze expert?

Answer 13

• stelt quickscan op
• organiseert het uitzetten van de quickscan in de organisatie
• voert de verificatie-interviews uit
• analyseert de resultaten

Question 14

rapportage quickscan

Answer 14

• het vindt plaats aan de opdrachtgevende management, inclusief een overzicht van aanbevelingen, mogelijk in de vorm van een actieplan

Question 15

indien een quickscan wordt herhaald wordt het een

Answer 15

standaardrapportage

Question 16

het effect van een quickscan;

Answer 16

• de quick scan biedt uiteraard inzicht in de implementatie vd maatregelen en de beveiligingsbeleving van de doelgroep
• de doelgroep gaat nadenken over de wijze waarop de informatiebeveiliging is gerealiseerd
• • een quick scan is stimulerend voor het beveiligingsbewustzijn (security awareness)
• • biedt geen gedetailleerd inzicht

Question 17

basisbeveiligingsniveau (securitybaseline)

Answer 17

een meer verfijnde vorm van risicomanagement gaat uit van een norm die zelf, of voor de sector, is opgesteld

Question 18

baseline

Answer 18

de baseline is een door de gehele organisatie te implementeren elementaire set beveiligingsmaatregelen

• wordt altijd geïmplementeerd
• dit zijn maatregelen die de beveiligingsbehoefte in de breedte van de organisatie dekken, en anderzijds maatregelen die alleen zinvol zijn wanneer iedereen ze naleeft.
• gebaseerd op de algemeen binnen de organisatie of sector onderkende beveiligingsbehoefte
• gaat niet in op de details maar op het effect van de maatregelen

Question 19

baselinechecklist rapportage

Answer 19

• ingevulde vragenlijsten worden door de specialist of het team geanalyseerd
• steekproefsgewijs onderzoek
• aanvullende interviews
• • individuele resultaten worden teruggekoppeld aan de deelnemers
• • gecombineerde resultaten worden aan de opdrachtgever verstrekt in de vorm van een rapportage met bevindingen en verbeteringsvoorstellen

Question 20

de bedreiging veroorzaakte kwalitatieve risico = .. x ..

Answer 20

de schatting van de kwalitatieve schade x de kwalitatieve schatting van de kans dat de betreffende bedreiging zich manifesteert

Question 21

wat is een voorbeeld van een kwalitatieve risicoanalyse

Answer 21

Information risk analysis methodology IRAM, uitgegeven door het information security forum (ISF)

NIST SP 800-30
de afhankelijkheids- en kwetsbaarheidsanalyse (A&K-analyse)

Question 22

voor elk object O kan het risico R(O) berekend worden met de volgende formule

Answer 22

R(O) = E P (O,B) w x D

P (O,B) W -> de kans op schade
P (O,B) -> de kans dat de bedreiging B zich manifesteert op het object O
w -> de waarschijnlijkheid dat dit tot schade leidt
D -> de schade die daarbij optreedt

Question 22

waarom kan een kwantitatieve risicoanalyse meestal niet uitgevoerd worden?

Answer 22

de gegevens zijn meestal niet beschikbaar voor alle bedreigingen en objecten

Question 23

wanneer kan een kwantitatieve risicoanalyse wel uitgevoerd worden?

Answer 23

bij een lokale en goed afgeschermde computer tbv een bedrijfskritische applicatie

Question 24

tussenvormen van kwalitatieve en kwantitatieve risicoanalyses zijn haalbaar ->

Answer 24

• eerst een kwalitatieve risicoanalyse in de breedte uitvoeren en dan op een aantal specifieke aandachtspunten, bv de meeste kritische bedrijfsprocessen, het inzicht te verfijnen met een kwantitatieve benadering

Question 25

waar gaat een risicoanalyse van uit als het object van onderzoek een bedrijfsproces is?

Answer 25

• gaat uit van de belangen van het bedrijfsproces voor de organisatie of onderneming
• dan gaat het dus om een analyse van de afhankelijkheid

Question 26

risicoanalyses die vanuit de informatietechnologie werken zijn:

Answer 26

applicatiegericht en infrastructuurgerichte risicoanalyses

Question 27

applicatiegerichte risicoanalyse

Answer 27

oriënteert zich op een specifieke applicatie en onderzoekt de applicatiespecifieke beveiligingsmaatregelen (Application controls)

BV:

• applicatiespecifieke autorisaties
• maatregelen op het gebied van toegangscontrole
• veldcontroles
• foutdetectie en -correctie
• het applicatiebeheer etc.

Question 28

infrastructuurgerichte risicoanalyse

Answer 28

oriënteert zich op de IT infrastructuur

netwerken, computerhardware, besturingssystemen, middleware

Question 29

welke partijen zijn betrokken bij een risicoanalyse

Answer 29

opdrachtgever
uitvoerder
deelnemers