voorbeeldexamen ISFS
I-Tracks Information Security Foundation based on ISO/IEC 27002 editie juni 2008
inhoud 2 3 13 29
inleiding voorbeeldexamen antwoordindicatie evaluatie
EXIN Hét exameninstituut voor ICT’ers Janssoenborch, Hoog Catharijne Godebaldkwartier 365, 3511 DT Utrecht Postbus 19147, 3501 DC Utrecht Nederland Telefoon +31 30 234 48 11 Fax +31 30 231 59 86 E-mail
[email protected] Internet www.exin.nl
Inleiding Dit is het voorbeeldexamen Information Security Foundation based on ISO/IEC 27002. Dit voorbeeldexamen bestaat uit 40 meerkeuzevragen. Elke vraag heeft een aantal antwoorden, waarvan er één correct is. Het maximaal aantal te behalen punten is 40. Elke goed beantwoorde vraag levert u 1 punt op. Bij 26 punten of meer bent u geslaagd. De beschikbare tijd is 60 minuten. Aan deze gegevens kunnen geen rechten worden ontleend. Veel succes!
Copyright © 2008 EXIN
All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.
ITIL® is a Registered Community Trade Mark of OGC (Office of Government Commerce, London, UK), and is Registered in the U.S. Patent and Trademark Office.
© EXIN, ISFS
2/29
Voorbeeldexamen
1 van 40 U hebt een bestand ontvangen van de accountant en u controleert of de gegevens juist en volledig zijn. Welk kenmerk van betrouwbaarheid van informatie controleert u hiermee? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid
2 van 40 Een administratiekantoor moet voor het afsluiten van een brandverzekering inventariseren wat de waarde is van de gegevens die ze beheert. Welke factor is niet van belang voor het bepalen van de waarde van gegevens voor een organisatie? A. De inhoudelijke aspecten van gegevens. B. De mate van herstelbaarheid waarin ontbrekende, incomplete of onjuiste gegevens hersteld kunnen worden. C. De onmisbaarheid van gegevens voor de bedrijfsprocessen. D. Het belang van de bedrijfsprocessen die gebruik maken van de gegevens.
3 van 40 We krijgen steeds gemakkelijker toegang tot informatie, bijvoorbeeld via het internet. Maar informatie moet betrouwbaar zijn om adequaat gebruikt te kunnen worden. Wat is géén betrouwbaarheidsaspect van informatie? A. beschikbaarheid B. integriteit C. kwantiteit D. vertrouwelijkheid
4 van 40 Van welk kenmerk van de betrouwbaarheid van informatie is volledigheid een onderdeel? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid
© EXIN, ISFS
3/29
5 van 40 Een administratiekantoor gaat inventariseren aan welke gevaren ze blootstaat. Hoe wordt een mogelijke gebeurtenis genoemd die een verstorende invloed kan hebben op de betrouwbaarheid van informatie? A. afhankelijkheid B. dreiging C. kwetsbaarheid D. risico
6 van 40 Wat is het doel van risicomanagement? A. De kans bepalen dat een bepaald risico zich manifesteert. B. De schade bepalen van mogelijke beveiligingsincidenten. C. In kaart brengen van de dreigingen waaraan IT objecten bloot staan. D. Met behulp van maatregelen risico’s tot een aanvaardbaar niveau terugbrengen.
7 van 40 Welke uitspraak over een risicoanalyse is juist? 1. Risico’s, benoemd in een risicoanalyse, kunnen worden geclassificeerd. 2. In een risicoanalyse moeten alle details worden beschouwd. 3. Een risicoanalyse beperkt zich tot beschikbaarheid. 4. Een risicoanalyse is eenvoudig te maken door het invullen van een korte standaard vragenlijst met standaard antwoorden. A. 1 B. 2 C. 3 D. 4
8 van 40 Welke van de onderstaande voorbeelden valt onder de dreiging vervalsing? 1. Een computer wordt getroffen door een virusinfectie. 2. Een frauduleuze transactie uitvoeren. 3. Het afluisteren van communicatielijnen en netwerken. 4. Op het werk internet gebruiken voor privédoeleinden. A. 1 B. 2 C. 3 D. 4
© EXIN, ISFS
4/29
9 van 40 Een mogelijk risico voor een bedrijf is brand. Als dit risico zich manifesteert, dus als de brand werkelijk uitbreekt, kan er directe en indirecte schade optreden. Wat is een voorbeeld van directe schade? A. een gegevensverzameling is vernietigd B. imagoverlies C. verlies van vertrouwen van klanten D. wettelijke verplichtingen kunnen niet meer nagekomen worden
10 van 40 Bij een bedrijf is, om risico’s te beperken, gekozen voor een strategie met een mix van maatregelen. Eén van de maatregelen is dat voor het bedrijf een uitwijkvoorziening is georganiseerd. Tot welke categorie van maatregelen hoort een uitwijkvoorziening? A. correctieve maatregelen B. detectieve maatregelen C. preventieve maatregelen D. repressieve maatregelen
11 van 40 Wat is een voorbeeld van een ongerichte dreiging? A. een virus van buiten de organisatie B. hacken C. misbruiken van iemands identiteit D. spyware
12 van 40 Wat is een voorbeeld van een gerichte dreiging? A. blikseminslag B. brand C. phishing D. spam
© EXIN, ISFS
5/29
13 van 40 Informatie kent een aantal betrouwbaarheidsaspecten. Die betrouwbaarheid wordt voortdurend bedreigd. Voorbeelden van dreigingen zijn: een kabel komt los te liggen, iemand kan per ongeluk gegevens wijzigen, gegevens worden privé gebruikt of ze worden vervalst. Welke van deze voorbeelden is een bedreiging van het aspect vertrouwelijkheid? A. een losliggende kabel B. ongeautoriseerd wissen van gegevens C. privé-gebruik van gegevens D. vervalsen van gegevens
14 van 40 Een medewerker ontkent een bepaald bericht te hebben verstuurd. Welk betrouwbaarheidsaspect van informatie is hier in gevaar? A. beschikbaarheid B. correctheid C. integriteit D. vertrouwelijkheid
15 van 40 In de incidentcyclus worden achtereenvolgens vier stappen onderscheiden. Welke volgorde hebben de stappen? A. dreiging, schade, verstoring, herstel B. dreiging, verstoring, schade, herstel C. verstoring, dreiging, schade, herstel D. verstoring, herstel, schade, dreiging
16 van 40 In een kantoorgebouw breekt brand uit. Het uitwijkplan wordt uitgevoerd. Waar wordt het uitvoeren van het uitwijkplan in de incidentlevenscyclus geplaatst? A. tussen dreiging en verstoring B. tussen herstel en dreiging C. tussen schade en herstel D. tussen verstoring en schade
© EXIN, ISFS
6/29
17 van 40 Hoe kan het doel van informatiebeveiligingsbeleid het beste worden omschreven? A. Het analyseren van risico’s en het zoeken van tegenmaatregelen. B. Het bieden van een richting en ondersteuning aan het management ten behoeve van informatiebeveiliging. C. Het concreet maken van het beveiligingsplan door er invulling aan te geven. D. Het verschaffen van inzicht in dreigingen en de mogelijke gevolgen.
18 van 40 De gedragscode voor elektronisch zakendoen is gebaseerd op een aantal principes. Welk van de onderstaande principes hoort daar niet bij? A. betrouwbaarheid B. integriteit C. transparantie D. vertrouwelijkheid en privacy
19 van 40 Een medewerkster van Verzekeringskantoor Euregio ontdekt dat de einddatum van een polis is gewijzigd terwijl zij de enige is die de bevoegdheid heeft dit te doen. Ze meldt dit beveiligingsincident bij de Helpdesk. De Helpdeskmedewerker registreert informatie over het incident. Welk onderdeel van de registratie bepaalt de oplostijd waarbinnen het incident moet worden opgelost? A. categorie B. impact C. prioriteit D. urgentie
20 van 40 In een bedrijf doen zich de volgende gebeurtenissen voor: 1. Een rookmelder functioneert niet. 2. Het netwerk wordt gehackt. 3. Iemand doet zich voor als een medewerker. 4. Van een bestand op de computer kan geen PDF file worden gemaakt. Welk van deze incidenten is geen beveiligingsincident? A. 1 B. 2 C. 3 D. 4
© EXIN, ISFS
7/29
21 van 40 Beveiligingsmaatregelen kunnen op verschillende manieren worden ingedeeld. Welke van de onderstaande indelingen is een juiste? A. fysiek, logisch, preventief B. logisch, repressief, preventief C. organisatorisch, preventief, correctief, fysiek D. preventief, detectief, repressief, correctief
22 van 40 In een computerruimte wordt een rookdetector geplaatst. Onder welke categorie beveiligingsmaatregelen valt dit? A. correctief B. detectief C. organisatorisch D. preventief
23 van 40 De Information Security Officer (ISO) van Verzekeringskantoor Euregio wil een lijst met beveiligingsmaatregelen laten samenstellen. Wat zal zij eerst moeten doen voordat beveiligingsmaatregelen kunnen worden geselecteerd? A. bewaking inrichten B. evaluatie uitvoeren C. informatiebeveiligingsbeleid opstellen D. risicoanalyse uitvoeren
24 van 40 Wat is het doel van het classificeren van informatie? A. informatie indelen naar beveiligingsbehoefte B. toewijzen van informatie aan een eigenaar C. verminderen van risico’s van menselijke fouten D. voorkómen van ongeautoriseerde toegang tot informatie
© EXIN, ISFS
8/29
25 van 40 Bij een bank wordt internettoegang voor particuliere betalingen als volgt beveiligd: Na het intypen van de gebruikersnaam wordt door de bank een getal aan de gebruiker getoond. De gebruiker typt dit getal in op een (door de bank verstrekt) apparaatje, dat vervolgens een nieuw getal als antwoord genereert. Nadat de gebruiker dit getal juist intypt, wordt hem of haar toegang verleend. Hoe heet het apparaatje dat de bank hiervoor aan de gebruiker ter beschikking stelt? A. Message Authentication Code (MAC) B. SmartCard C. Token
26 van 40 De toegang tot de computerruimte wordt afgesloten met een paslezer. Alleen de afdeling Systeembeheer heeft een pasje. Wat voor type beveiligingsmaatregel is dit? A. een correctieve beveiligingsmaatregel B. een fysieke beveiligingsmaatregel C. een logische beveiligingsmaatregel D. een repressieve beveiligingsmaatregel
27 van 40 De 4 medewerkers van de afdeling Automatisering hebben gezamenlijk 1 pasje voor de computerruimte. Welk risico levert dit op? A. Als de stroom uitvalt, vallen de computers daar uit. B. Als er brand uitbreekt, wordt er niet geblust. C. Als er iets uit de computerruimte verdwijnt, is niet duidelijk wie daarvoor verantwoordelijk is. D. Niet-geautoriseerde personen kunnen ongezien de computerruimte binnengaan.
28 van 40 In de ontvangsthal van een administratiekantoor staat een printer waar ook werknemers in een noodgeval naar kunnen printen. De afspraak is dat de afdrukken direct worden opgehaald zodat ze niet door een bezoeker kunnen worden meegenomen. Welk risico voor de bedrijfsinformatie brengt deze situatie nog meer met zich mee? A. Bestanden kunnen in het geheugen van de printer blijven staan. B. Bezoekers kunnen vertrouwelijke informatie van het netwerk kopiëren en afdrukken. C. De printer kan defect raken door veelvuldig gebruik zodat hij niet beschikbaar is.
© EXIN, ISFS
9/29
29 van 40 Welke van onderstaande beveiligingsmaatregelen is een technische maatregel? 1. Een eigenaar aan informatie toewijzen 2. Overtollige CD’s door de vernietiger halen 3. Vastleggen wat met e-mailen wel en niet mag 4. Wachtwoorden van systeembeheer in de kluis bewaren A. 1 B. 2 C. 3 D. 4
30 van 40 De back-ups van de centrale server worden bewaard in dezelfde afgesloten ruimte als de server. Welk risico loopt de organisatie? A. Als de server crasht, duurt het lang voordat de systemen weer beschikbaar zijn. B. Bij brand is het onmogelijk de systemen weer in oude staat te herstellen. C. Niemand is verantwoordelijk voor de back-ups. D. Onbevoegden hebben eenvoudig toegang tot de back-up’s.
31 van 40 Welke van de onderstaande technieken is/zijn kwaadaardig voor de computer? A. Access Control Lists (ACL) B. Gedemilitariseerde zone (DMZ) C. Virtual Private Network (VPN) op basis van het Point to Point Tunneling Protocol (PPTP) D. Virussen, wormen en spyware (Malware)
32 van 40 Welke maatregel helpt niet bij het tegengaan van kwaadaardige software? A. een actief patchbeleid B. een anti-spyware programma C. een spamfilter D. een wachtwoord
© EXIN, ISFS
10/29
33 van 40 Wat is een voorbeeld van een organisatorische maatregel? A. back-up van gegevens B. encryptie C. functiescheiding D. netwerkapparatuur en kabelkasten staan in een afgesloten ruimte
34 van 40 Identificatie is het vaststellen of iemands identiteit correct is. Is deze bewering juist? A. ja B. nee
35 van 40 Waarom is het nodig een calamiteitenplan actueel te houden en regelmatig te testen? A. Om altijd te beschikken over recente back-ups, die zich buiten het kantoor bevinden. B. Om normale dagelijks optredende storingen het hoofd te kunnen bieden. C. Omdat anders bij een ingrijpende verstoring de getroffen maatregelen en incident-procedures te kort schieten of verouderd blijken. D. Omdat de Wet Bescherming Persoonsgegevens (WBP) dit voorschrijft.
36 van 40 Wat is autorisatie? A. Het bepalen van de identiteit van een persoon. B. Het vastleggen van uitgevoerde handelingen. C. Het verifiëren van de identiteit van een persoon. D. Het verlenen van specifieke rechten, zoals selectieve toegang aan een persoon.
37 van 40 Welke belangrijke wettelijke norm op het gebied van informatiebeveiliging moet een gemeente verplicht naleven? A. A&K-analyse B. GBA C. ITIL® D. VIR-BI
© EXIN, ISFS
11/29
38 van 40 Op grond van welke wetgeving kan iemand om inzage verzoeken in de gegevens die van hem of haar zijn geregistreerd? A. de archiefwet B. de wet bescherming persoonsgegevens C. de wet computercriminaliteit D. de wet openbaarheid van bestuur
39 van 40 De Code voor Informatiebeveiliging (ISO/IEC 27002) is een beschrijving van een risicoanalysemethode. Is deze stelling juist? A. ja B. nee
40 van 40 De Code voor Informatiebeveiliging (ISO/IEC 27002) is alleen van toepassing op grote bedrijven. Is deze bewering juist? A. ja B. nee
© EXIN, ISFS
12/29
Antwoordindicatie
1 van 40 U hebt een bestand ontvangen van de accountant en u controleert of de gegevens juist en volledig zijn. Welk kenmerk van betrouwbaarheid van informatie controleert u hiermee? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid A. Onjuist. Beschikbaarheid is de mate waarin gegevens op de juiste momenten beschikbaar zijn voor de gebruikers. B. Onjuist. Exclusiviteit is een kenmerk van Vertrouwelijkheid. C. Juist. Dit betreft integriteit. D. Onjuist. Dit betreft de mate waarin de toegang tot gegevens beperkt is tot degene die daartoe bevoegd is. 2 van 40 Een administratiekantoor moet voor het afsluiten van een brandverzekering inventariseren wat de waarde is van de gegevens die ze beheert. Welke factor is niet van belang voor het bepalen van de waarde van gegevens voor een organisatie? A. De inhoudelijke aspecten van gegevens. B. De mate van herstelbaarheid waarin ontbrekende, incomplete of onjuiste gegevens hersteld kunnen worden. C. De onmisbaarheid van gegevens voor de bedrijfsprocessen. D. Het belang van de bedrijfsprocessen die gebruik maken van de gegevens. A. Juist. De inhoudelijke aspecten van gegevens bepalen niet de waarde ervan. B. Onjuist. Ontbrekende, incomplete of onjuiste gegevens die eenvoudig hersteld kunnen worden zijn minder waardevol dan gegevens die niet of nauwelijks hersteld kunnen worden. C. Onjuist. Onmisbaarheid van gegevens voor bedrijfsprocessen bepaalt mede de waarde. D. Onjuist. Gegevens die in belangrijke bedrijfsprocessen gebruikt worden zijn daardoor waardevol.
© EXIN, ISFS
13/29
3 van 40 We krijgen steeds gemakkelijker toegang tot informatie, bijvoorbeeld via het internet. Maar informatie moet betrouwbaar zijn om adequaat gebruikt te kunnen worden. Wat is géén betrouwbaarheidsaspect van informatie? A. beschikbaarheid B. integriteit C. kwantiteit D. vertrouwelijkheid A. Onjuist. Beschikbaarheid is wel een betrouwbaarheidsaspect van informatie. B. Onjuist. Integriteit is wel een betrouwbaarheidsaspect van informatie. C. Juist. Kwantiteit is geen betrouwbaarheidsaspect van informatie. D. Onjuist. Vertrouwelijkheid is wel een betrouwbaarheidsaspect van informatie. 4 van 40 Van welk kenmerk van de betrouwbaarheid van informatie is volledigheid een onderdeel? A. beschikbaarheid B. exclusiviteit C. integriteit D. vertrouwelijkheid A. Onjuist. Informatie kan beschikbaar zijn zonder volledig te zijn. B. Onjuist. Exclusiviteit is een kenmerk van vertrouwelijkheid. C. Juist. Volledigheid is een onderdeel van het kenmerk integriteit. D. Onjuist. Vertrouwelijke informatie hoeft niet volledig te zijn. 5 van 40 Een administratiekantoor gaat inventariseren aan welke gevaren ze blootstaat. Hoe wordt een mogelijke gebeurtenis genoemd die een verstorende invloed kan hebben op de betrouwbaarheid van informatie? A. afhankelijkheid B. dreiging C. kwetsbaarheid D. risico A. Onjuist. Een afhankelijkheid is geen gebeurtenis. B. Juist. Een dreiging is een mogelijke gebeurtenis die een verstorende invloed kan hebben op de betrouwbaarheid van informatie. C. Onjuist. Een kwetsbaarheid is de mate waarin een object van de informatievoorziening gevoelig is voor een dreiging. D. Onjuist. Een risico is de gemiddeld verwachte schade over een bepaalde tijdsperiode doordat één of meer dreigingen leiden tot verstoring(en). In een risico is ook de kans van optreden van een dreiging verwerkt.
© EXIN, ISFS
14/29
6 van 40 Wat is het doel van risicomanagement? A. De kans bepalen dat een bepaald risico zich manifesteert. B. De schade bepalen van mogelijke beveiligingsincidenten. C. In kaart brengen van de dreigingen waaraan IT objecten bloot staan. D. Met behulp van maatregelen risico’s tot een aanvaardbaar niveau terugbrengen. A. Onjuist. Dit is een onderdeel van risicoanalyse. B. Onjuist. Dit is een onderdeel van risicoanalyse. C. Onjuist. Dit is een onderdeel van risicoanalyse. D. Juist. Het doel van risicomanagement is risico’s tot een aanvaardbaar niveau terugbrengen. 7 van 40 Welke uitspraak over een risicoanalyse is juist? 1. Risico’s, benoemd in een risicoanalyse, kunnen worden geclassificeerd. 2. In een risicoanalyse moeten alle details worden beschouwd. 3. Een risicoanalyse beperkt zich tot beschikbaarheid. 4. Een risicoanalyse is eenvoudig te maken door het invullen van een korte standaard vragenlijst met standaard antwoorden. A. 1 B. 2 C. 3 D. 4 A. Juist. Niet alle risico’s zijn even groot. Doorgaans worden eerst de grootste risico’s aangepakt. B. Onjuist. Het is onmogelijk om in een risicoanalyse op alle details in te gaan. C. Onjuist. Een risicoanalyse beschouwt alle betrouwbaarheidsaspecten, dus ook integriteit en vertrouwelijkheid. D. Onjuist. In een risicoanalyse zijn de vragen zelden direct toepasbaar op elke situatie. 8 van 40 Welke van de onderstaande voorbeelden valt onder de dreiging vervalsing? 1. Een computer wordt getroffen door een virusinfectie. 2. Een frauduleuze transactie uitvoeren. 3. Het afluisteren van communicatielijnen en netwerken. 4. Op het werk internet gebruiken voor privédoeleinden. A. 1 B. 2 C. 3 D. 4 A. Onjuist. Een virusinfectie valt onder de dreiging “ongeautoriseerd wijzigen”. B. Juist. Een frauduleuze transactie valt onder “vervalsing”. C. Onjuist. Afluisteren valt onder de dreiging “onthulling”. D. Onjuist. Privégebruik valt onder de dreiging “misbruik”.
© EXIN, ISFS
15/29
9 van 40 Een mogelijk risico voor een bedrijf is brand. Als dit risico zich manifesteert, dus als de brand werkelijk uitbreekt, kan er directe en indirecte schade optreden. Wat is een voorbeeld van directe schade? A. een gegevensverzameling is vernietigd B. imagoverlies C. verlies van vertrouwen van klanten D. wettelijke verplichtingen kunnen niet meer nagekomen worden A. Juist. Een vernietigde gegevensverzameling is een voorbeeld van directe schade. B. Onjuist. Imagoverlies is indirecte schade. C. Onjuist. Verlies van vertrouwen van klanten is indirecte schade. D. Onjuist. Het niet na kunnen komen van wettelijke verplichtingen is indirecte schade. 10 van 40 Bij een bedrijf is, om risico’s te beperken, gekozen voor een strategie met een mix van maatregelen. Eén van de maatregelen is dat voor het bedrijf een uitwijkvoorziening is georganiseerd. Tot welke categorie van maatregelen hoort een uitwijkvoorziening? A. correctieve maatregelen B. detectieve maatregelen C. preventieve maatregelen D. repressieve maatregelen A. Onjuist. Correctieve maatregelen richten zich op herstel na beschadiging. B. Onjuist. Detectieve maatregelen geven alleen een signaal na detectie. C. Onjuist. Preventieve maatregelen zijn bedoeld om incidenten te voorkomen. D. Juist. Repressieve maatregelen, zoals een uitwijk, minimaliseren de schade.
© EXIN, ISFS
16/29
11 van 40 Wat is een voorbeeld van een ongerichte dreiging? A. een virus van buiten de organisatie B. hacken C. misbruiken van iemands identiteit D. spyware A. Juist. Ongerichte dreigingen zijn niet specifiek op de organisatie gericht. Daar horen ook virussen en wormen bij die van buitenaf komen. B. Onjuist. Dit is een gerichte dreiging. Een hacker is er op uit om in te breken in de organisatie met als doel specifieke informatie te ontvreemden, te verminken of onbruikbaar te maken. C. Onjuist. Dit is een gerichte dreiging. Iemands identiteit misbruiken heeft als doel informatie te ontvreemden, te verminken of onbruikbaar te maken. D. Onjuist. Dit is een gerichte dreiging. Gerichte dreigingen zijn er op gericht informatie te ontvreemden, veranderen of onbruikbaar te maken. Dit veronderstelt een mate van kennis van de interne organisatie en systemen. Spyware is software om systeemgebruik, wachtwoorden, creditcardsgegevens en andere specifieke informatie te ontvreemden. 12 van 40 Wat is een voorbeeld van een gerichte dreiging? A. blikseminslag B. brand C. phishing D. spam A. Onjuist. Blikseminslag is een voorbeeld van een ongerichte dreiging. Ongerichte dreigingen zijn niet specifiek op de organisatie gericht. B. Onjuist. Brand is een voorbeeld van een ongerichte dreiging. Ongerichte dreigingen zijn niet specifiek op de organisatie gericht. C. Juist. Phishing (het lokken van gebruikers naar valse websites) is een vorm van een gerichte dreiging. Gerichte dreigingen zijn er op gericht om informatie te ontvreemden. Dit veronderstelt een mate van kennis van de interne organisatie en systemen. D. Onjuist. Spam is een voorbeeld van een ongerichte dreiging. Het doel van spammers is zoveel mogelijk spam naar zoveel mogelijk organisaties te sturen. Men is er niet op uit informatie te ontvreemden, veranderen of onbruikbaar te maken.
© EXIN, ISFS
17/29
13 van 40 Informatie kent een aantal betrouwbaarheidsaspecten. Die betrouwbaarheid wordt voortdurend bedreigd. Voorbeelden van dreigingen zijn: een kabel komt los te liggen, iemand kan per ongeluk gegevens wijzigen, gegevens worden privé gebruikt of ze worden vervalst. Welke van deze voorbeelden is een bedreiging van het aspect vertrouwelijkheid? A. een losliggende kabel B. ongeautoriseerd wissen van gegevens C. privé-gebruik van gegevens D. vervalsen van gegevens A. Onjuist. Een losliggende kabel is een bedreiging van de beschikbaarheid van informatie. B. Onjuist. Het onbedoeld wijzigen van gegevens is een bedreiging van de integriteit. C. Juist. Het gebruiken van gegevens voor privé-doeleinden is een vorm van misbruik en is een bedreiging van de vertrouwelijkheid. D. Onjuist. Het vervalsen van gegevens is een bedreiging van de integriteit. 14 van 40 Een medewerker ontkent een bepaald bericht te hebben verstuurd. Welk betrouwbaarheidsaspect van informatie is hier in gevaar? A. beschikbaarheid B. correctheid C. integriteit D. vertrouwelijkheid A. Onjuist. Overbelasting van de infrastructuur is een voorbeeld van een dreiging m.b.t. het aspect beschikbaarheid. B. Onjuist. Correctheid is geen betrouwbaarheidsaspect. Het is een kenmerk van het betrouwbaarheidsaspect integriteit. C. Juist. Het ontkennen van het versturen van een bericht heeft te maken met onweerlegbaarheid en dat is een bedreiging van het aspect integriteit. D. Onjuist. Misbruik of onthulling van gegevens zijn bedreigingen van het aspect vertrouwelijkheid.
© EXIN, ISFS
18/29
15 van 40 In de incidentcyclus worden achtereenvolgens vier stappen onderscheiden. Welke volgorde hebben de stappen? A. dreiging, schade, verstoring, herstel B. dreiging, verstoring, schade, herstel C. verstoring, dreiging, schade, herstel D. verstoring, herstel, schade, dreiging A. Onjuist. De schade volgt na de verstoring. B. Juist. In de incidentcyclus worden achtereenvolgens onderscheiden: Dreiging, verstoring, schade, herstel. C. Onjuist. De verstoring volgt na de dreiging. D. Onjuist. Herstel is de laatste stap. 16 van 40 In een kantoorgebouw breekt brand uit. Het uitwijkplan wordt uitgevoerd. Waar wordt het uitvoeren van het uitwijkplan in de incidentlevenscyclus geplaatst? A. tussen dreiging en verstoring B. tussen herstel en dreiging C. tussen schade en herstel D. tussen verstoring en schade A. Onjuist. Het uitvoeren van een uitwijkplan zonder dat er een verstoring is, is erg kostbaar. B. Onjuist. Herstel vindt na een eventuele uitwijk plaats. C. Onjuist. Schade en herstel moeten juist beperkt worden door de uitwijk. D. Juist. Uitwijk is een repressieve maatregel die in gang gezet wordt om de schade te beperken. 17 van 40 Hoe kan het doel van informatiebeveiligingsbeleid het beste worden omschreven? A. Het analyseren van risico’s en het zoeken van tegenmaatregelen. B. Het bieden van een richting en ondersteuning aan het management ten behoeve van informatiebeveiliging. C. Het concreet maken van het beveiligingsplan door er invulling aan te geven. D. Het verschaffen van inzicht in dreigingen en de mogelijke gevolgen. A. Onjuist. Dit is het doel van risico-analyse en risicomanagement. B. Juist. Het beveiligingsbeleid biedt richting en ondersteuning aan het management ten behoeve van informatiebeveiliging. C. Onjuist. Het beveiligingsplan maakt het informatiebeveiligingsbeleid concreet. In het plan staat o.a. welke maatregelen er gekozen zijn, wie verantwoordelijk is voor wat, de richtlijnen voor implementatie van maatregelen etc. D. Onjuist. Dit is het doel van een bedreigingenanalyse.
© EXIN, ISFS
19/29
18 van 40 De gedragscode voor elektronisch zakendoen is gebaseerd op een aantal principes. Welk van de onderstaande principes hoort daar niet bij? A. betrouwbaarheid B. integriteit C. transparantie D. vertrouwelijkheid en privacy A. Onjuist. De gedragscode is onder andere gebaseerd op betrouwbaarheid. B. Juist. De gedragscode is gebaseerd op de principes betrouwbaarheid, transparantie, vertrouwelijkheid en privacy. Integriteit is één van de betrouwbaarheidsaspecten van informatie. C. Onjuist. De gedragscode is onder andere gebaseerd op transparantie. D. Onjuist. De gedragscode is gebaseerd op onder andere vertrouwelijkheid en privacy. 19 van 40 Een medewerkster van Verzekeringskantoor Euregio ontdekt dat de einddatum van een polis is gewijzigd terwijl zij de enige is die de bevoegdheid heeft dit te doen. Ze meldt dit beveiligingsincident bij de Helpdesk. De Helpdeskmedewerker registreert informatie over het incident. Welk onderdeel van de registratie bepaalt de oplostijd waarbinnen het incident moet worden opgelost? A. categorie B. impact C. prioriteit D. urgentie A. Onjuist. De categorie bepaalt de oplosgroep waar het incident opgelost wordt en dient om te kunnen rapporteren op categorie. B. Onjuist. De impact geeft informatie over bijvoorbeeld hoeveel medewerkers zijn getroffen door het incident. Impact alleen is niet voldoende om de prioriteit te bepalen; urgentie is daarbij ook nodig. C. Juist. De prioriteit bepaalt de tijd waarbinnen een incident moet worden opgelost. Prioriteit bestaat uit de combinatie van impact en urgentie. D. Onjuist. De urgentie alleen is niet voldoende om de prioriteit te bepalen. Prioriteit bestaat uit de combinatie van impact en urgentie.
© EXIN, ISFS
20/29
20 van 40 In een bedrijf doen zich de volgende gebeurtenissen voor: 1. Een rookmelder functioneert niet. 2. Het netwerk wordt gehackt. 3. Iemand doet zich voor als een medewerker. 4. Van een bestand op de computer kan geen PDF file worden gemaakt. Welk van deze incidenten is geen beveiligingsincident? A. 1 B. 2 C. 3 D. 4 A. Onjuist. Een defecte rookmelder is een gebeurtenis die een dreiging kan worden voor het aspect beschikbaarheid van gegevens. B. Onjuist. Hacken is een gebeurtenis die een dreiging vormt voor het aspect beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. C. Onjuist. Misbruik van identiteit is een gebeurtenis die een dreiging kan worden voor het aspect beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. D. Juist. Een beveiligingsincident is een gebeurtenis die een dreiging vormt of kan vormen voor de vertrouwelijkheid, betrouwbaarheid of beschikbaarheid van gegevens in elektronische informatiesystemen. Dit is geen dreiging voor de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. 21 van 40 Beveiligingsmaatregelen kunnen op verschillende manieren worden ingedeeld. Welke van de onderstaande indelingen is een juiste? A. fysiek, logisch, preventief B. logisch, repressief, preventief C. organisatorisch, preventief, correctief, fysiek D. preventief, detectief, repressief, correctief A. Onjuist. Organisatorisch/logisch/fysiek horen bij elkaar. B. Onjuist. Organisatorisch/logisch/fysiek horen bij elkaar. C. Onjuist. Organisatorisch/logisch/fysiek horen bij elkaar. D. Juist. Preventief/detectief/repressief/correctief horen bij elkaar.
© EXIN, ISFS
21/29
22 van 40 In een computerruimte wordt een rookdetector geplaatst. Onder welke categorie beveiligingsmaatregelen valt dit? A. correctief B. detectief C. organisatorisch D. preventief A. Onjuist. Een rookmelder detecteert en meldt rook en onderneemt geen correctieve actie. B. Juist. Een rookmelder heeft alleen een signaalfunctie; na melding moet er nog opgetreden worden. C. Onjuist. Alleen de maatregelen die het gevolg zijn van een rookmelding zijn organisatorische beveiligingsmaatregelen; het plaatsen van de rookmelder niet. D. Onjuist. Een rookmelder voorkomt geen brand en is dus geen preventieve maatregel. 23 van 40 De Information Security Officer (ISO) van Verzekeringskantoor Euregio wil een lijst met beveiligingsmaatregelen laten samenstellen. Wat zal zij eerst moeten doen voordat beveiligingsmaatregelen kunnen worden geselecteerd? A. bewaking inrichten B. evaluatie uitvoeren C. informatiebeveiligingsbeleid opstellen D. risicoanalyse uitvoeren A. Onjuist. Bewaking is een mogelijke maatregel. B. Onjuist. Evaluatie gebeurt achteraf. C. Onjuist. Een informatiebeveiligingsbeleid is wel belangrijk, maar niet noodzakelijk om maatregelen te kunnen selecteren. D. Juist. Voordat beveiligingsmaatregelen kunnen worden geselecteerd moet Euregio weten welke risico’s er zijn en voor welke risico’s een maatregel moet komen. 24 van 40 Wat is het doel van het classificeren van informatie? A. informatie indelen naar beveiligingsbehoefte B. toewijzen van informatie aan een eigenaar C. verminderen van risico’s van menselijke fouten D. voorkómen van ongeautoriseerde toegang tot informatie A. Juist. Het doel van classificeren van informatie is het handhaven van een adequate bescherming. B. Onjuist. Toewijzen van informatie aan een eigenaar is het middel van de classificatie en niet het doel. C. Onjuist. Verminderen van risico’s van menselijke fouten is onderdeel van de beveiligingseisen van het personeel. D. Onjuist. Voorkómen van ongeautoriseerde toegang tot informatie is onderdeel van de fysieke beveiliging. © EXIN, ISFS
22/29
25 van 40 Bij een bank wordt internettoegang voor particuliere betalingen als volgt beveiligd: Na het intypen van de gebruikersnaam wordt door de bank een getal aan de gebruiker getoond. De gebruiker typt dit getal in op een (door de bank verstrekt) apparaatje, dat vervolgens een nieuw getal als antwoord genereert. Nadat de gebruiker dit getal juist intypt, wordt hem of haar toegang verleend. Hoe heet het apparaatje dat de bank hiervoor aan de gebruiker ter beschikking stelt? A. Message Authentication Code (MAC) B. SmartCard C. Token A. Onjuist. Een Message Authentication Code (MAC) is een algorithme voor de beveiliging van gegevens. B. Onjuist. Een SmartCard is een bankpas formaat stukje plastic waarin één of meer chips zitten. C. Juist. Dit apparaatje heet een Token. Het apparaatje lijkt op een rekenmachine, maar gebruikt gegevens van de chipcard voor authenticatie d.m.v. challenge response. 26 van 40 De toegang tot de computerruimte wordt afgesloten met een paslezer. Alleen de afdeling Systeembeheer heeft een pasje. Wat voor type beveiligingsmaatregel is dit? A. een correctieve beveiligingsmaatregel B. een fysieke beveiligingsmaatregel C. een logische beveiligingsmaatregel D. een repressieve beveiligingsmaatregel A. Onjuist. Een correctieve beveiligingsmaatregel is een herstellende maatregel. B. Juist. Dit is een fysieke beveiligingsmaatregel. C. Onjuist. Een logische beveiligingsmaatregel regelt de toegang tot software en informatie, niet de fysieke toegang tot ruimtes. D. Onjuist. Een repressieve beveiligingsmaatregel is bedoeld om de gevolgen van een verstoring te minimaliseren.
© EXIN, ISFS
23/29
27 van 40 De 4 medewerkers van de afdeling Automatisering hebben gezamenlijk 1 pasje voor de computerruimte. Welk risico levert dit op? A. Als de stroom uitvalt, vallen de computers daar uit. B. Als er brand uitbreekt, wordt er niet geblust. C. Als er iets uit de computerruimte verdwijnt, is niet duidelijk wie daarvoor verantwoordelijk is. D. Niet-geautoriseerde personen kunnen ongezien de computerruimte binnengaan. A. Onjuist. Het uitvallen van computers bij stroomuitval staat los van het toegangsbeheer. B. Onjuist. Zelfs met 1 pasje kunnen medewerkers van Automatisering een brand blussen. C. Juist. Aangezien alleen duidelijk is dát er iemand van Automatisering binnen is geweest, is onduidelijk wié het is geweest. Dit vormt een risico. D. Onjuist. Zonder pasje komt niemand de computerruimte binnen. 28 van 40 In de ontvangsthal van een administratiekantoor staat een printer waar ook werknemers in een noodgeval naar kunnen printen. De afspraak is dat de afdrukken direct worden opgehaald zodat ze niet door een bezoeker kunnen worden meegenomen. Welk risico voor de bedrijfsinformatie brengt deze situatie nog meer met zich mee? A. Bestanden kunnen in het geheugen van de printer blijven staan. B. Bezoekers kunnen vertrouwelijke informatie van het netwerk kopiëren en afdrukken. C. De printer kan defect raken door veelvuldig gebruik zodat hij niet beschikbaar is. A. Juist. Als bestanden in het geheugen blijven staan kunnen deze door iedere willekeurige voorbijganger worden afgedrukt en meegenomen. B. Onjuist. Het is niet mogelijk via een printer informatie van het netwerk te kopiëren. C. Onjuist. Het niet beschikbaar zijn van één printer is geen risico voor bedrijfsinformatie.
© EXIN, ISFS
24/29
29 van 40 Welke van onderstaande beveiligingsmaatregelen is een technische maatregel? 1. Een eigenaar aan informatie toewijzen 2. Overtollige CD’s door de vernietiger halen 3. Vastleggen wat met e-mailen wel en niet mag 4. Wachtwoorden van systeembeheer in de kluis bewaren A. 1 B. 2 C. 3 D. 4 A. Onjuist. Een eigenaar aan informatie toewijzen is classificatie en valt onder de organisatorische maatregelen. B. Juist. Dit is een technische maatregel die voorkomt dat onbevoegden de informatie kunnen lezen. C. Onjuist. Dit is een organisatorische maatregel, een gedragscode die in het arbeidscontract kan worden vastgelegd. D. Onjuist. Dit is een organisatorische maatregel. 30 van 40 De back-ups van de centrale server worden bewaard in dezelfde afgesloten ruimte als de server. Welk risico loopt de organisatie? A. Als de server crasht, duurt het lang voordat de systemen weer beschikbaar zijn. B. Bij brand is het onmogelijk de systemen weer in oude staat te herstellen. C. Niemand is verantwoordelijk voor de back-ups. D. Onbevoegden hebben eenvoudig toegang tot de back-up’s. A. Onjuist. Dit zou juist een sneller operationeel zijn bevorderen. B. Juist. De kans dat bij brand de back-up ook verloren gaat, is zeer groot. C. Onjuist. De verantwoordelijkheid staat los van de plek van bewaring. D. Onjuist. De computerruimte is afgesloten. 31 van 40 Welke van de onderstaande technieken is/zijn kwaadaardig voor de computer? A. Access Control Lists (ACL) B. Gedemilitariseerde zone (DMZ) C. Virtual Private Network (VPN) op basis van het Point to Point Tunneling Protocol (PPTP) D. Virussen, wormen en spyware (Malware) A. Onjuist. Een ACL is een lijst die bepaalt welk verkeer tussen twee netwerken wordt doorgelaten. B. Onjuist. Een DMZ is een apart netwerk buiten de firewall, bedoeld als beveiliging tegen aanvallers. C. Onjuist. VPN is een veilige netwerkverbinding over internet. D. Juist. Malware nestelt zich ongevraagd op computers. Dat geldt ook voor de andere vormen van malware.
© EXIN, ISFS
25/29
32 van 40 Welke maatregel helpt niet bij het tegengaan van kwaadaardige software? A. een actief patchbeleid B. een anti-spyware programma C. een spamfilter D. een wachtwoord A. Onjuist. Malware maakt vaak gebruik van programmeerfouten in populaire software. Patches repareren beveiligingslekken in de software, waardoor er minder kans is op besmetting met malware. B. Onjuist. Onder spyware wordt kwaadaardige programmatuur verstaan die vertrouwelijke informatie op de computer verzamelt en verspreidt. Een anti spyware programma kan deze kwaadaardige software op de computer detecteren. C. Onjuist. Spam is ongevraagde e-mail. Vaak gaat het om ongewilde reclame-uitingen maar er kan ook kwaadaardige software toegevoegd zijn of een hyperlink naar een website met kwaadaardige software. Een spamfilter filtert spam weg. D. Juist. Een wachtwoord is een middel bij authenticatie. Het houdt geen kwaadaardige software tegen. 33 van 40 Wat is een voorbeeld van een organisatorische maatregel? A. back-up van gegevens B. encryptie C. functiescheiding D. netwerkapparatuur en kabelkasten staan in een afgesloten ruimte A. Onjuist. Het maken van een back-up van gegevens is een technische maatregel. B. Onjuist. Encryptie van gegevens is een technische maatregel. C. Juist. Functiescheiding is een organisatorische maatregel. De initiërende, de uitvoerende en de controlerende taak worden bij verschillende functionarissen belegd. Bijvoorbeeld het overmaken van een groot bedrag wordt door een adminstrateur voorbereid, de financieel directeur voert de betaling uit en een accountant controleert. D. Onjuist. Sloten op ruimten zijn een fysieke beveiligingsmaatregel. 34 van 40 Identificatie is het vaststellen of iemands identiteit correct is. Is deze bewering juist? A. ja B. nee A. Onjuist. Identificatie is het kenbaar maken van een identiteit. B. Juist. Het vaststellen of iemands identiteit correct is, is authenticatie.
© EXIN, ISFS
26/29
35 van 40 Waarom is het nodig een calamiteitenplan actueel te houden en regelmatig te testen? A. Om altijd te beschikken over recente back-ups, die zich buiten het kantoor bevinden. B. Om normale dagelijks optredende storingen het hoofd te kunnen bieden. C. Omdat anders bij een ingrijpende verstoring de getroffen maatregelen en incident-procedures te kort schieten of verouderd blijken. D. Omdat de Wet Bescherming Persoonsgegevens (WBP) dit voorschrijft. A. Onjuist. Dit is een van de technische maatregelen om een systeem te kunnen herstellen. B. Onjuist. Voor normale storingen zijn de getroffen maatregelen en incidentprocedures voldoende. C. Juist. We spreken dan van een calamiteit. D. Onjuist. De WBP gaat in op privacy van persoonsgegevens. 36 van 40 Wat is autorisatie? A. Het bepalen van de identiteit van een persoon. B. Het vastleggen van uitgevoerde handelingen. C. Het verifiëren van de identiteit van een persoon. D. Het verlenen van specifieke rechten, zoals selectieve toegang aan een persoon. A. Onjuist. Het bepalen van de identiteit van een persoon heet identificatie. B. Onjuist. Het vastleggen van uitgevoerde handelingen heet logging. C. Onjuist. Het verifiëren van de identiteit van een persoon heet authenticatie. D. Juist. Het verlenen van specifieke rechten zoals selectieve toegang aan een persoon heet autorisatie. 37 van 40 Welke belangrijke wettelijke norm op het gebied van informatiebeveiliging moet een gemeente verplicht naleven? A. A&K-analyse B. GBA C. ITIL® D. VIR-BI A. Onjuist. De A&K-analyse is een risicoanalyse-methode. B. Juist. De wet Gemeentelijke Basis Administratie geldt voor gemeenten. C. Onjuist. ITIL® is een beschrijving van diverse beheerprocessen. D. Onjuist. Het VIR-BI is bedoeld voor de rijksoverheid.
© EXIN, ISFS
27/29
38 van 40 Op grond van welke wetgeving kan iemand om inzage verzoeken in de gegevens die van hem of haar zijn geregistreerd? A. de archiefwet B. de wet bescherming persoonsgegevens C. de wet computercriminaliteit D. de wet openbaarheid van bestuur A. Onjuist. De archiefwet regelt het bewaren en vernietigen van archiefbescheiden. B. Juist. Het inzagerecht is geregeld in de wet bescherming persoonsgegevens. C. Onjuist. De wet computercriminaliteit is een wijziging op het wetboek van strafrecht en wetboek van strafvordering om strafbare feiten door voortschrijdende informatietechniek beter mogelijk te maken. Een voorbeeld van een nieuw strafbaar feit is computervredebreuk. D. Onjuist. De wet openbaarheid van bestuur regelt inzage in schriftelijke bestuurlijke stukken. Persoonsgegevens zijn geen bestuurlijke stukken. 39 van 40 De Code voor Informatiebeveiliging (ISO/IEC 27002) is een beschrijving van een risicoanalysemethode. Is deze stelling juist? A. ja B. nee A. Onjuist. De Code voor Informatiebeveiliging is een verzameling maatregelen. B. Juist. De Code voor Informatiebeveiliging kan wel gebruikt worden in een risicoanalyse maar is geen methode. 40 van 40 De Code voor Informatiebeveiliging (ISO/IEC 27002) is alleen van toepassing op grote bedrijven. Is deze bewering juist? A. ja B. nee A. Onjuist. De Code voor Informatiebeveiliging is niet alleen van toepassing op grote bedrijven. B. Juist. De Code is van toepassing voor alle typen organisaties, groot of klein.
© EXIN, ISFS
28/29
Evaluatie De juiste antwoorden op de vragen in dit voorbeeldexamen staan in onderstaande tabel. nummer antwoord punten
nummer antwoord punten
1
C
1
21
D
1
2
A
1
22
B
1
3
C
1
23
D
1
4
C
1
24
A
1
5
B
1
25
C
1
6
D
1
26
B
1
7
A
1
27
C
1
8
B
1
28
A
1
9
A
1
29
B
1
10
D
1
30
B
1
11
A
1
31
D
1
12
C
1
32
D
1
13
C
1
33
C
1
14
C
1
34
B
1
15
B
1
35
C
1
16
D
1
36
D
1
17
B
1
37
B
1
18
B
1
38
B
1
19
C
1
39
B
1
20
D
1
40
B
1
© EXIN, ISFS
29/29
