Basiskennis Informatiebeveiliging samenvatting
Hoofdstuk 3
3.1
Zie pagina 11
3.4 Vertrouwelijkheid
Ook wel exclusiviteit genoemd, refereert naar beperkingen in termen van wie kan bij
welke informatie.
Maatregelen:
- Toegang tot informatie wordt gegeven op basis van ‘need to know’
- Medewerkers dragen er zorg voor dat data niet onbedoeld terechtkomt bij
personen die deze niet nodig hebben
- Logisch toegangsmanagement borgt dat ongeautoriseerde personen of processen
geen toegang krijgen tot geautomatiseerde systemen, databases en
programma’s.
- Scheiding in verantwoordelijkheden wordt gerealiseerd door scheiding aan te
brengen in organisatieonderdelen verantwoordelijk voor systeemontwikkeling,
procesontwikkeling en gebruikers.
- In het verwerken en gebruiken van data zijn maatregelen getroffen om de privacy
van personeel en derden te waarborgen.
Padden
Een vercijferingsfunctie die werkt op een lijnverbinding.
3.5 Integriteit
De mate waarin de informatie actueel en zonder fouten is.
Maatregelen:
- Veranderingen in systemen en data worden geautoriseerd (dubbele check).
- Waar mogelijk, worden mechanismen ingebouwd die afdwingen dat gebruikers
een juiste term gebruiken.
- Gebruikersacties worden vastgelegd (gelogd) zodat later kan worden vastgesteld
wie welke veranderingen in informatie heeft doorgevoerd.
- Vitale systeemfuncties, bijvoorbeeld het installeren van nieuwe software, kan niet
uitgevoerd worden door een willekeurige gebruiker.
- De integriteit van data kan grotendeels worden gegarandeerd door
vercijferingstechnieken, welke ingezet kunnen worden om ongeautoriseerde
toegang en verandering te voorkomen.
3.6 Beschikbaarheid
- Tijdigheid: de informatie is beschikbaar op het moment dat ze nodig is
- Continuïteit: men kan doorwerken ook al treedt er een fout of storing op
- Robuustheid: er is voldoende capaciteit, zodat het systeem niet overbelast raakt
wanneer alle geautoriseerde gebruikers ermee werken
Maatregelen:
- Management en opslag van data zijn zodanig geregeld dat het risico op verlies
van informatie is geminimaliseerd.
- Procedures voor back-up.
- Wet- en regelgeving waarin is opgenomen hoe lang data beschikbaar moet zijn
(verschilt per land).
, 3.7 Parkerian Hexad
Een set van 6 elementen voor informatiebeveiliging (Donn B. Parker)
1. Vertrouwelijkheid
2. Bezit of controle
3. Integriteit
4. Authenticiteit
5. Beschikbaarheid
6. Utiliteit
Risico
Een risico is de kans dat een dreiging gebruikmaakt van een zwakheid en de
bijbehorende impact voor de organisatie.
Dreigingen
Een dreiging komt voort uit een niet-gewenst incident en kan schade berokkenen aan
een systeem of organisatie.
Kwetsbaarheid
Een kwetsbaarheid is karakteristiek voor het feit dat er geen beveiligingsmaatregel is
genomen en het mogelijk is om van een aangetroffen kwetsbaarheid, bijvoorbeeld in
software, gebruik te maken.
Blootstelling
Een blootstelling is een toestand waarin schade geleden wordt door toedoen van een
threat agent.
Tegenmaatregelen of bescherming
Een tegenmaatregel wordt ingezet om bescherming te bieden tegen een potentieel risico.
3.13 Beoordeling van veiligheidsrisico’s
3.13.1 Risicomanagement
Het proces van plannen, organiseren, en het controleren van de activiteiten van een
organisatie ten einde de effecten van een risico te minimaliseren en om het kapitaal en
de winst van de organisatie te beschermen.
Eisen ten aanzien van informatiebeveiliging
1. De risico’s die de organisatie loopt.
2. De wettelijke, statutaire en contractuele eisen waaraan een organisatie, haar
handelspartners, aannemers en dienstverleners moeten voldoen en hun sociaal-
culturele milieu.
3. De set van principes, doelstellingen en zakelijke vereisten voor
informatieverwerking, opslag, communicatie en archivering die een organisatie
heeft ontwikkeld om haar activiteiten te ondersteunen.
3.13.2 Risicobeoordeling
Het beoordelen van risico’s, omvat:
- Een business impact analyse, een systematische aanpak om de impact van
incidenten in te schatten
- Een dreigingen en kwetsbaarheden analyse waarbij de verwachte dreigingen en
kwetsbaarheden aan de hand van risicocriteria worden beoordeeld om de
gevolgen van incidenten te bepalen
3.13.3 Risicoanalyse
Het proces van definiëren en analyseren van de gevaren voor personen, organisaties en
overheidsinstellingen dat uitgaat van potentiële natuurlijke en door de mens
veroorzaakte gebeurtenissen.
Hoofdstuk 3
3.1
Zie pagina 11
3.4 Vertrouwelijkheid
Ook wel exclusiviteit genoemd, refereert naar beperkingen in termen van wie kan bij
welke informatie.
Maatregelen:
- Toegang tot informatie wordt gegeven op basis van ‘need to know’
- Medewerkers dragen er zorg voor dat data niet onbedoeld terechtkomt bij
personen die deze niet nodig hebben
- Logisch toegangsmanagement borgt dat ongeautoriseerde personen of processen
geen toegang krijgen tot geautomatiseerde systemen, databases en
programma’s.
- Scheiding in verantwoordelijkheden wordt gerealiseerd door scheiding aan te
brengen in organisatieonderdelen verantwoordelijk voor systeemontwikkeling,
procesontwikkeling en gebruikers.
- In het verwerken en gebruiken van data zijn maatregelen getroffen om de privacy
van personeel en derden te waarborgen.
Padden
Een vercijferingsfunctie die werkt op een lijnverbinding.
3.5 Integriteit
De mate waarin de informatie actueel en zonder fouten is.
Maatregelen:
- Veranderingen in systemen en data worden geautoriseerd (dubbele check).
- Waar mogelijk, worden mechanismen ingebouwd die afdwingen dat gebruikers
een juiste term gebruiken.
- Gebruikersacties worden vastgelegd (gelogd) zodat later kan worden vastgesteld
wie welke veranderingen in informatie heeft doorgevoerd.
- Vitale systeemfuncties, bijvoorbeeld het installeren van nieuwe software, kan niet
uitgevoerd worden door een willekeurige gebruiker.
- De integriteit van data kan grotendeels worden gegarandeerd door
vercijferingstechnieken, welke ingezet kunnen worden om ongeautoriseerde
toegang en verandering te voorkomen.
3.6 Beschikbaarheid
- Tijdigheid: de informatie is beschikbaar op het moment dat ze nodig is
- Continuïteit: men kan doorwerken ook al treedt er een fout of storing op
- Robuustheid: er is voldoende capaciteit, zodat het systeem niet overbelast raakt
wanneer alle geautoriseerde gebruikers ermee werken
Maatregelen:
- Management en opslag van data zijn zodanig geregeld dat het risico op verlies
van informatie is geminimaliseerd.
- Procedures voor back-up.
- Wet- en regelgeving waarin is opgenomen hoe lang data beschikbaar moet zijn
(verschilt per land).
, 3.7 Parkerian Hexad
Een set van 6 elementen voor informatiebeveiliging (Donn B. Parker)
1. Vertrouwelijkheid
2. Bezit of controle
3. Integriteit
4. Authenticiteit
5. Beschikbaarheid
6. Utiliteit
Risico
Een risico is de kans dat een dreiging gebruikmaakt van een zwakheid en de
bijbehorende impact voor de organisatie.
Dreigingen
Een dreiging komt voort uit een niet-gewenst incident en kan schade berokkenen aan
een systeem of organisatie.
Kwetsbaarheid
Een kwetsbaarheid is karakteristiek voor het feit dat er geen beveiligingsmaatregel is
genomen en het mogelijk is om van een aangetroffen kwetsbaarheid, bijvoorbeeld in
software, gebruik te maken.
Blootstelling
Een blootstelling is een toestand waarin schade geleden wordt door toedoen van een
threat agent.
Tegenmaatregelen of bescherming
Een tegenmaatregel wordt ingezet om bescherming te bieden tegen een potentieel risico.
3.13 Beoordeling van veiligheidsrisico’s
3.13.1 Risicomanagement
Het proces van plannen, organiseren, en het controleren van de activiteiten van een
organisatie ten einde de effecten van een risico te minimaliseren en om het kapitaal en
de winst van de organisatie te beschermen.
Eisen ten aanzien van informatiebeveiliging
1. De risico’s die de organisatie loopt.
2. De wettelijke, statutaire en contractuele eisen waaraan een organisatie, haar
handelspartners, aannemers en dienstverleners moeten voldoen en hun sociaal-
culturele milieu.
3. De set van principes, doelstellingen en zakelijke vereisten voor
informatieverwerking, opslag, communicatie en archivering die een organisatie
heeft ontwikkeld om haar activiteiten te ondersteunen.
3.13.2 Risicobeoordeling
Het beoordelen van risico’s, omvat:
- Een business impact analyse, een systematische aanpak om de impact van
incidenten in te schatten
- Een dreigingen en kwetsbaarheden analyse waarbij de verwachte dreigingen en
kwetsbaarheden aan de hand van risicocriteria worden beoordeeld om de
gevolgen van incidenten te bepalen
3.13.3 Risicoanalyse
Het proces van definiëren en analyseren van de gevaren voor personen, organisaties en
overheidsinstellingen dat uitgaat van potentiële natuurlijke en door de mens
veroorzaakte gebeurtenissen.
