Spørsmål Håndbok i Datasikkerhet laget juni 2012

Posted byTore Audun HøiePosted inEnglish, Security

By Torgeir Daler, Roar Gulbrandsen, Tore Audun Høie and Torbjørn Sjølstad

Spørsmål

Spørsmål til Kapittel 3

A. Hvem er øverste ansvarlig for data- og informasjonssikkerhet i en bedrift?

1. Sikkerhetssjef
2. Koordinator for datasikkerhet
3. IT driftssjef
4. Styreformann
5. Daglig leder

B. Hvilket hovedhensyn har Personopplysningsloven?

1. Nedbruddsikring
2. Personvern
3. Medias innsynsrett
4. Datatilsynets funksjonsbeskrivelse
5. Utdannelse av sikkerhetsmedarbeidere

C. Hva dreier Lov om Elektronisk signatur seg om?

1. Signering ved mottak av pakker
2. Elektroniske spor («Cookies»)
3. Sikker og effektiv bruk av elektronisk signatur
4. «Visittkort» ved sending av epost
5. Regler for analyse av elektroniske innbrudd

D. Hva er en utro tjener?

1. Medarbeider som tar en ekstra fridag
2. Medarbeider som leverer arbeid med dårlig kvalitet
3. Server med intermitterende feil
4. Server som er foreldet og burde vært utskiftet
5. Medarbeider som bryter deler av datasikkerheten

Spørsmål til kapittel 4

A. Hva er IKKE en del av ISO 27002?

1. Sikkerhetspolicy
2. Systemutvikling og vedlikehold
3. Beredskapsplanlegging
4. Personellsikkerhet
5. Vedlikehold av bilparken

B. Hva er formålet med Datatilsynet?

1. Passe på at alle virksomheter har en datapolicy
2. Sertifisere sikkerhetsmedarbeidere
3. Utdanne sikkerhetsmedarbeidere
4. Sørge for at datalagringen har høy kvalitet
5. Passe på at Personopplysningsloven blir etterfulgt

C. Hvilken innflytelse har ISO 9000 (Quality Management) på datasikkerhet?

1. Ingen
2. Usikkert
3. Gjør ting vanskeligere, en blindvei
4. Svært stor innflytelse, en nødvendig komponent
5. Kvalitet en viktig del av sikkerhet

D. Hva er IKKE en sårbarhets- og sikkerhetsutfordring i følge sårbarhetsutvalget?

1. Utsetting av offentlige tjenester til kommersielle virksomheter
2. Våtere, vildere og varmere klima
3. De teknologiske endringene
4. Den økende kompleksiteten i samfunnet
5. Det økende kostnads- og effektiviseringspresset

Spørsmål til kapittel 5

A. Hva er risiko?

1. Ferdsel på sterkt trafikkert motorvei
2. Sykling utenfor sykkelstier
3. Muligheten for å lide tap eller bli påført skade ved et gitt sikkerhetsbrudd
4. Tap ved en katastrofe
5. Manglende utdannelse av medarbeidere

B. Dekker forsikring all risiko forbundet med datasikkerhet?

1. Ja, det er det forsikringsselskapene lever av
2. Nei, ikke alt kan måles i penger.
3. Nei, forsikringsselskapene kan lite om informatikk
4. Ja, men du får bare en del av forsikringssummen utbetalt
5. Nei, ikke når bedriften har skylden

C. Hva er kritikalitet?

1. Uttrykk for informasjonens eller informasjonssystemets relative viktighet
2. Uttrykk for at noe er nær ved å eksplodere, eller at en ulykke kan skje
3. Overdreven kritikk
4. Formell kritikk av sikkerhetssystemer
5. Applikasjonen med flest brukere

D. Har fagforeninger et ansvar for risiko og risiko-avverging?

1. De er hovedansvarlige
2. Bør engasjeres, det er deres arbeidsplasser
3. Fagforeninger vil bare forvirre
4. Fagforeninger har ingen kompetanse i informatikk
5. Kun oppgaver relatert til Helse, Miljø og Sikkerhet (HSM)

Spørsmål til kapittel 6

A. Hva er hovedoppgaven til en sikkerhetskoordinator eller sikkerhetsleder?

1. Opplære alle medarbeidere i datasikkerhet
2. Utarbeide regler for alle
3. Påse at ulike oppgaver relatert til sikkerhet blir utført
4. Sjekke alle sikkerhetslogger
5. Oppdatere brannmurer

B. Hva er oppgaven til en informasjonseier (systemeier)?

1. Samle og kvalitetssikre informasjon
2. Ansvarlig for informasjonsressursen, inklusive kvalitet
3. Sørge for forsvarlig backup
4. Unngå hacking og virus
5. Rapportering til øverste ledelse

C. Hva er en sikkerhetspolicy?

1. Et politikkdokument som viser hvem som bestemmer i organisasjonen
2. Strategi for fremtidig sikkerhet
3. Overordnet dokument som beskriver ledelsens holdning til sikring av informasjon m.m.
4. Tegning som viser alle sikkerhetskomponenter og hvordan de samvirker
5. Utdannelsesplan for sikkerhetsmedarbeidere

D. Hva ikke en naturlig del av sikkerhetshåndboka?

1. Kryptering av passord
2. Bedriftens sikkerhetspolicy (referanse)
3. Regler for autorisasjon
4. Epostregler
5. Privat bruk av PC

Spørsmål til kapittel 7

A. Hva er UPS?

1. Uninterrupted Power Supply, nødstrømanlegg
2. Viktig logistikkfirma
3. Unified Package System, an Internet facility to avoid downtime
4. Unified Password System, felles login
5. Utility Planning System, to plan data rooms

B. Hva kan IKKE et moderne brannvarslingsanlegg?

1. Åpning av rømningsveier
2. Lukking av branndører
3. Stoppe vifter
4. Alarmere brannvesenet
5. Ta backup av viktige applikasjoner

C. Hvilken skade kan skje ved statisk elektrisitet?

1. Utladning kan skade ledninger, maskiner etc.
2. Hackere kan skaffe seg adgang
3. Logger blir uleselige
4. Alvorlig personskade
5. Generelt økte svartider

D. Hva er Faradays bur?

1. Arbeidsbord for elektrikere
2. Sikring mot elektromagnetisk stråling
3. Oppheng for rutere
4. Elektrisk utladning
5. En form for lynavleder

Spørsmål til kapittel 8

A. Hva er ikke en del av en beredskapsplan?

1. Definere vitale systemer
2. Utarbeid plan for backup
3. Gjennomfør utprøving av backuprutiner
4. Avtale backup-prosedyrer med aktuelle leverandører
5. Opplæring i problemløsning

B. Hva er vitale forretningsprosesser?

1. Prosesser som bedriften ikke kan klare seg uten over tid.
2. Forretningsprosesser i utvikling
3. Programvare med betydning for helse og sikkerhet
4. Operativsystemer, nettverksprogrammer og databaser
5. De systemene som toppledelsen synes er viktigst

C. Moderne leverandører tilbyr fjernkopiering av data, dvs data lagres lokalt og samtidig i en reservelokasjon flere kilometer unna. Hva er viktigste fordel for beredskapsplanlegging?

1. Ikke aktuelt
2. Da slipper man å ta backup
3. Hvis server installert på reservelokasjonen, kan denne ta over driften
4. Man kan kjøre i parallell, og derved øke produktiviteten
5. Operatørene får mer tid til andre oppgaver

D. Hvilken hovedrolle spiller nettleverandør ved nedbrudd?

1. Sentral
2. Ingen
3. Fastlegge reserveløsninger
4. Sikre tilgang til Internett
5. Viktig for å starte reserveløsning

Spørsmål til Kapittel 9

A. Hva er ITIL?

1. IT Independent Laws
2. International Technology inclusive Law
3. Infrastructure Technology in Logistics
4. IT Infrastructure Library
5. Internet Task Independent Layer

B. Hva gjøres normalt IKKE i SLA-arbeidet?

1. Inngå avtale mellom leverandør og kunde
2. Bestemme felles definisjoner av begreper
3. Bestemme når neste versjon skal utarbeides
4. Direkte hjelp til sluttbruker
5. Fordele ansvar mellom leverandør og kunde

C. Hva er hovedformålet ved hendelsesstyring?

1. Løse problemer
2. Gjenskape normal drift
3. Effektivitetsmåling av operatører
4. Planlegge oppdateringer
5. Optimere oppetid

D. Hva er hovedformålet med kontinuitetsstyring?

1. Medarbeidertilfredshet
2. Kundelojalitet
3. God oppetid
4. Planlegge beredskap
5. Kompetanse

Spørsmål til kapittel 10

A. Hvilken av følgende oppgaver er IKKE naturlig for en brannmur?

1. Tilgangskontroll basert på sender- eller mottageradresser
2. Autorisering av nye brukere
3. Viruskontroll
4. Logging av aktiviteter
5. Sikring av at utgående meldinger ikke er infisert av virus

B. Hva er VPN?

1. Virtual Path Number
2. Virtual Private Network
3. Variable Path Network
4. Variable Path Number
5. Nominal Privacy Network

C. Hva er IPsec?

1. Tidsstyring for brannmurer
2. Internett styringsgruppe
3. Oppdeling av Internett i undergrupper
4. Sikkerhet for internasjonale aktører (participants)
5. Sikkerhet for TCP/IP, med særlig vekt på IP

D. Hvorfor ble Secure Socket Layer utviklet?

1. For å sikre Sockets på en ruter
2. Som alternativ til OSI lagdeling
3. For å sikre enklere overvåkning
4. Fordi en leverandør hadde innflytelse
5. Fordi TCP/IP har svakheter

Spørsmål til kapittel 11

A. Hva kan autorisasjon IKKE basere seg på?

1. Stilling i organisasjonen
2. Ekspertise
3. Familieforhold
4. Medlemskap i organisasjonen
5. Kundeforhold til organisasjonen

B. Hvilken av følgende målinger er ikke valid for biometrisk autentisering?

1. Iris
2. Muskelvibrasjoner
3. Stemme
4. Ansikt
5. Bekjentskapskrets

C. Hvilket er en god regel for passord?

1. Skiftes hver dag
2. Over 28 tegn
3. Kun valid for et visst tidsintervall
4. En personlig egenskap ved passordeier
5. Lett å huske

D. Hva er LDAP (Lightweight Directory Access Protocol)?

1. En OSI-basert navnestandard
2. En enkel form for passordbeskyttelse
3. En TCP/IP-basert navnestandard
4. En standardisert navneliste for alle ansatte i virksomheten
5. En passorddatabase

Spørsmål til kapittel 12

A. Hva bør sikkerhetspolicy si om bærbart utstyr som brukes utenfor bedriften?

1. Ingen får spille dataspill
2. Hvilke opplysninger som kan lagres
3. Kun bestemte fabrikater godkjennes
4. Bør kjøpes sentralt
5. Tilhører bruker når utstyret blir utskiftet

B. Hvilken programvare kan kjøres på bærbart utstyr?

1. All programvare
2. All programvare som brukes internt
3. Kun programvare beregnet på bærbare
4. All programvare som virksomheten har betalt lisens for
5. Kun programvare fra bedriftens hovedleverandører

C. Hvem bør ha ansvaret for oppdatering av programvare etc. for bærbart utstyr?

1. Den enkelte bruker
2. Leverandøren
3. Brukerens avdeling
4. Dataavdelingen
5. Sikkerhetskoordinator

D. Er minnepinne regnet som bærbart utstyr?

1. Nei, den kan ikke skade
2. Ja, den kan mistes, og infiseres
3. Kun hvis den tilhører bedriften
4. Hvis den brukes ofte
5. Ja, hvis den er av godkjent merke.

Spørsmål til kapittel 13

A. Hva er symmetrisk kryptografi?

1. Avsender og mottaker skriver samme melding
2. Krypteringsnøkkelen er enkel
3. Krypteringsnøkkelen DES benyttes
4. Dekryptering skjer samtidig hos avsender og mottaker
5. Samme krypteringsnøkkel benyttes av avsender og mottaker

B. Hva er en tiltrodd tredjepart?

1. En person rent rulleblad
2. En person med politimyndighet
3. En organisasjon som kan utstede digitalt sertifikater
4. En tekniker som kan dekryptere meldinger
5. En samarbeidende partner

C. Hva er NSM?

1. Norsk sikkerhetsmandat
2. Nasjonal sikkerhetsmyndighet
3. Nordisk sikkerhetsministerium
4. New Security Management
5. No Such Man (personen ikke funnet)

D. Hva er IKKE et krav til elektronisk signatur?

1. Er entydig knyttet til undertegneren
2. Kan identifisere undertegneren
3. Er laget med midler som kun undertegner har kontroll over
4. Er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering.
5. At den skal kunne trekkes tilbake.

Spørsmål til Kapittel 14

A. Hvilket er IKKE eksempel på ondsinnet kode?

1. Bakdør
2. Trojansk hest
3. Logisk bombe
4. Phishing
5. Orm

B. Hvor sikkert er et antivirusprogram?

1. Helt usikkert
2. Sikkert når profesjonelt installert
3. Sikkert når profesjonelt installert og oppdatert
4. Sikkert når profesjonelt installert og oppdatert og fra kvalitetssikret leverandør
5. Vil alltid inneholde en viss usikkerhet

C. Hvor sikkert er kryptering for epost?

1. Helt usikkert
2. Stort sett usikkert
3. Høy krypteringskode gir god sikkerhet
4. Overvåkning og kryptering gir bra sikkerhet
5. Kryptering kombinert med profesjonell ISP gir god sikkerhet

D. Hva er en proxy-database?

1. En kopidatabase som opptrer på vegne av den egentlige databasen
2. En fiendtlig database som utgir seg for å være vennlig
3. En database som er ødelagt uten at man vet hvorfor
4. En navnedatabase i en brannmur
5. En narredatabase som skal tiltrekke seg hackere («honningfelle»).

Spørsmål til kapittel 15

A. Kan sikkerhetsansvar outsources?

1. Nei
2. Deler av sikkerheten, ja
3. Kun bestemte komponenter som må avtales nøye
4. Hvis man har en god SLA
5. Hvis outsourcing skjer til en sertifisert organisasjon.

B. Hvilken servicekomponent er som regel IKKE del av sikkerhet i drift?

1. Oppetid
2. Sporing av endringer
3. Kompetanseutvikling av medarbeidere
4. Adgangsbegrensninger i applikasjoner
5. Sikkerhetsovervåkning

C. Med adgang til kjernen i operativsystemet, hva kan man IKKE?

1. Endre passord
2. Legge inn trojaner
3. Fysisk utskifte maskinvare
4. Endre logg
5. Endre overvåknings-parametre

D. Hva bør forholdet mellom IKT driftssjef og sikkerhetskoordinator være?

1. De er ofte bitre fiender
2. De er begge avhengig av gjensidig tillit
3. Sikkerhetskoordinator bør overvåke driften
4. Driftssjef bør sikre at ikke sikkerhetskoordinator blander seg i kryptering
5. De har få felles interesser

Fasit

Kapittel 3

A. 1
B. 2
C. 3
D. 5

Kapittel 4

A. 5
B. 5
C. 5
D. 2

Kapittel 5

A. 3
B. 2
C. 1
D. 2

Kapittel 6

A. 1
B. 2
C. 3
D. 1

Kapittel 7

A. 1
B. 5
C. 1
D. 2

Kapittel 8

A. 5
B. 1
C. 3
D. 3

Kapittel 9

A. 4
B. 4
C. 2
D. 3

Kapittel 10

A. 2
B. 2
C. 5
D. 5

Kapittel 11

A. 3
B. 5
C. 3
D. 3

Kapittel 12

A. 2
B. 4
C. 4
D. 2

Kapittel 13

A. 5
B. 3
C. 2
D. 5

Kapittel 14

A. 4
B. 5
C. 2

Kapittel 15

A. 1
B. 1
C. 4
D. 3