Kernpunten Informatieveiligheid week 3: Systematische beveiligingsarchitectuur
Bedreigingen continuiteit voor bedrijven: Managementissue en Positioning
- Aardbeving, tornado, informatiebeveiliging en infectieziekten
- Overgrote deel overig.
- Beveiliging een management issue?
- Kosten per seconde van cyberaanvallen per sector: Grootst voor communicatiesector, gevolgd door
respectievelijk financieel, farmaceutisch, gezondheid en dienstverlening).
- Verlies door cyberaanvallen, respectievelijk van groot naar klein: productieverlies, renteverlies, directe
kosten, imagoschade, verlies consumentenvertrouwen, kosten voldoen aan regelgeving na aanval,
regelgevende boetes, proceskosten en verminderde aandelenkoers.
Afweging informatiebeveiliging:
,Uitgaven versus niveau van veiligheid:
Doel: Komen tot acceptabele restrisico’s
,Kernaspecten informatiebeveiliging:
BIV - Beschikbaarheid – Integriteit – Vertrouwelijkheid
CIA - Confidentiality - Integrity - Availability
Van Data & Services
Beschikbaarheid = Waarborgen dat gebruikers op de juiste momenten tijdig toegang hebben tot informatie en
informatiesystemen, werking van het systeem.
Integriteit = Waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan
Vertrouwelijkheid = Waarborgen dat informatie alleen toegankelijk is voor diegene die hiertoe zijn
geautoriseerd, exclusiviteit.
Levels of Security Requirements (beveiligingsvereisten)
Voorbeeld:
Level:
High: Data alleen beschikbaar op basis van need-to-know (vertrouwelijkheid), zeer moeilijk om juistheid en
volledigheid informatie te veranderen (integriteit), 7 dagen/24 uur (beschikbaarheid)
Medium: Bedrijfsvertrouwelijk, data vrij beschikbaar in organisatie, niet daarbuiten (vertrouwelijkheid),
redelijk moeilijk om juistheid en volledigheid informatie te veranderen (integriteit), 6 dagen/12 uur
(beschikbaarheid)
Low: Publieke Informatie, data is vrij beschikbaar en openbaar (vertrouwelijkheid), geen waarde is gehecht
aan juistheid en volledigheid van data (integriteit), kantooruren (beschikbaar)
3 Security Requirement Profielen
1. Public Level
- Voorbeeld: Mensen surfen op een site voor informatie is vrij beschikbaar
- Integrity (high), Confidentiality (low), Availability (High)
2. Standard Level
- Voorbeeld: Bedrijfsvertrouwelijke acties, informatie vrij beschikbaar in de organisatie
- Integrity (medium), Confidentiality (medium), Availability (medium)
3. Confidential Level
- Vertrouwelijke acties, beschikbaarheid van informatie is beperkt
- Integrity (High), Confidentiality (High), Availability (Medium)
Voorbeeldprofielen:
1. Geheim : Niveau vertrouwelijkheid: geheim, Niveau integriteit: Hoog. Toelichting: Deze gegevens dienen
goed beveiligd te worden qua vertrouwelijkheid en integriteit en hoog beschikbaar te zijn. Informatie van
medewerkers worden op eenzelfde niveau beveiligd.
,2. Vertrouwelijk: Niveau vertrouwelijkheid: vertrouwelijk, Niveau Integriteit: Hoog. Toelichting: Betalingen
naar buiten toe, die niet voor iedereen inzichtelijk behoeven te zijn, alleen voor de mensen binnen het proces.
3. Standaard: Niveau vertrouwelijkheid: vertrouwelijk, Niveau Integriteit: Midden. Toelichting: Standaard
profiel dat van toepassing is op tal van systemen binnen de organisatie
4. Intern openbaar: Niveau vertrouwelijkheid: Intern beschikbaar, Niveau integriteit: Hoog. Toelichting:
Informatie die intern voor alle medewerkers vrijelijk beschikbaar en inzichtelijk is
5. Openbaar: Niveau vertrouwelijkheid: beschikbaar, Niveau integriteit: Midden. Toelichting: Openbare
informatie die voor iedereen toegankelijk is.
Maak gebruik van situaties: locaties (externe toegang of interne toegang) en technologie (mobiel, ipad,
computer)
Security Use Case: Persoon voert een activiteit uit gebruikmakend van de volgende informatie:
1. Klant haalt productinformatie terug
2. Klant informeert naar accountbalans
3. Klant voert een financiele transactie uit
4. Werknemer leidt een standaard operatie (product ontwikkelen)
5. Werknemer leidt een hoog-risico operatie (afhandelen van financiele bedragen boven de 500.000
Classification
Security Use Case Security Requirements profile
Public Standard Confidential
Klant haalt productinformatie terug T
Klant informeert naar accountbalans T
Klant voert financiele transactie uit T
T
Werknemer leidt standaard operatie
Werknemer leidt hoge risico operatie T
Van beveiligingsvereisten naar maatregelen (voorbeeld)
Domein Classification Maatregel
Applicatie Geheim/secret Toegang gebaseerd op kennis en bezit
- Beschrijving: Gebruikers kunnen alleen toegang tot een applicatie krijgen met twee-factor authenticatie,
zoals een naam/biometrische authenticatie en een wachtwoord
Externe toegang Geheim/Secret Gelimiteerde toegang tot applicatie
- Beschrijving: Gebruikers kunnen geen toegang krijgen tot applicaties met de classificatie geheim, van buiten
de organisatie
,Autorisatie Vertrouwelijk/confidential Autorisatie-procedure
Beschrijving: Gebruikers moeten expliciet worden geautoriseerd door de beveiligingsofficier, in
overeenstemming met legale regels (Wbp, hoofdstuk 2)
Data Geheim/secret Data-distributie
Beschrijving: Distributie van data met classificatie geheim is alleen toegestaan met expliciete toestemming van
de eigenaar van de data.
Voorbeeld security use case
, Volgende figuur uit je hoofd kennen: Approach Enterprise Risk & Security
Bedreigingen continuiteit voor bedrijven: Managementissue en Positioning
- Aardbeving, tornado, informatiebeveiliging en infectieziekten
- Overgrote deel overig.
- Beveiliging een management issue?
- Kosten per seconde van cyberaanvallen per sector: Grootst voor communicatiesector, gevolgd door
respectievelijk financieel, farmaceutisch, gezondheid en dienstverlening).
- Verlies door cyberaanvallen, respectievelijk van groot naar klein: productieverlies, renteverlies, directe
kosten, imagoschade, verlies consumentenvertrouwen, kosten voldoen aan regelgeving na aanval,
regelgevende boetes, proceskosten en verminderde aandelenkoers.
Afweging informatiebeveiliging:
,Uitgaven versus niveau van veiligheid:
Doel: Komen tot acceptabele restrisico’s
,Kernaspecten informatiebeveiliging:
BIV - Beschikbaarheid – Integriteit – Vertrouwelijkheid
CIA - Confidentiality - Integrity - Availability
Van Data & Services
Beschikbaarheid = Waarborgen dat gebruikers op de juiste momenten tijdig toegang hebben tot informatie en
informatiesystemen, werking van het systeem.
Integriteit = Waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan
Vertrouwelijkheid = Waarborgen dat informatie alleen toegankelijk is voor diegene die hiertoe zijn
geautoriseerd, exclusiviteit.
Levels of Security Requirements (beveiligingsvereisten)
Voorbeeld:
Level:
High: Data alleen beschikbaar op basis van need-to-know (vertrouwelijkheid), zeer moeilijk om juistheid en
volledigheid informatie te veranderen (integriteit), 7 dagen/24 uur (beschikbaarheid)
Medium: Bedrijfsvertrouwelijk, data vrij beschikbaar in organisatie, niet daarbuiten (vertrouwelijkheid),
redelijk moeilijk om juistheid en volledigheid informatie te veranderen (integriteit), 6 dagen/12 uur
(beschikbaarheid)
Low: Publieke Informatie, data is vrij beschikbaar en openbaar (vertrouwelijkheid), geen waarde is gehecht
aan juistheid en volledigheid van data (integriteit), kantooruren (beschikbaar)
3 Security Requirement Profielen
1. Public Level
- Voorbeeld: Mensen surfen op een site voor informatie is vrij beschikbaar
- Integrity (high), Confidentiality (low), Availability (High)
2. Standard Level
- Voorbeeld: Bedrijfsvertrouwelijke acties, informatie vrij beschikbaar in de organisatie
- Integrity (medium), Confidentiality (medium), Availability (medium)
3. Confidential Level
- Vertrouwelijke acties, beschikbaarheid van informatie is beperkt
- Integrity (High), Confidentiality (High), Availability (Medium)
Voorbeeldprofielen:
1. Geheim : Niveau vertrouwelijkheid: geheim, Niveau integriteit: Hoog. Toelichting: Deze gegevens dienen
goed beveiligd te worden qua vertrouwelijkheid en integriteit en hoog beschikbaar te zijn. Informatie van
medewerkers worden op eenzelfde niveau beveiligd.
,2. Vertrouwelijk: Niveau vertrouwelijkheid: vertrouwelijk, Niveau Integriteit: Hoog. Toelichting: Betalingen
naar buiten toe, die niet voor iedereen inzichtelijk behoeven te zijn, alleen voor de mensen binnen het proces.
3. Standaard: Niveau vertrouwelijkheid: vertrouwelijk, Niveau Integriteit: Midden. Toelichting: Standaard
profiel dat van toepassing is op tal van systemen binnen de organisatie
4. Intern openbaar: Niveau vertrouwelijkheid: Intern beschikbaar, Niveau integriteit: Hoog. Toelichting:
Informatie die intern voor alle medewerkers vrijelijk beschikbaar en inzichtelijk is
5. Openbaar: Niveau vertrouwelijkheid: beschikbaar, Niveau integriteit: Midden. Toelichting: Openbare
informatie die voor iedereen toegankelijk is.
Maak gebruik van situaties: locaties (externe toegang of interne toegang) en technologie (mobiel, ipad,
computer)
Security Use Case: Persoon voert een activiteit uit gebruikmakend van de volgende informatie:
1. Klant haalt productinformatie terug
2. Klant informeert naar accountbalans
3. Klant voert een financiele transactie uit
4. Werknemer leidt een standaard operatie (product ontwikkelen)
5. Werknemer leidt een hoog-risico operatie (afhandelen van financiele bedragen boven de 500.000
Classification
Security Use Case Security Requirements profile
Public Standard Confidential
Klant haalt productinformatie terug T
Klant informeert naar accountbalans T
Klant voert financiele transactie uit T
T
Werknemer leidt standaard operatie
Werknemer leidt hoge risico operatie T
Van beveiligingsvereisten naar maatregelen (voorbeeld)
Domein Classification Maatregel
Applicatie Geheim/secret Toegang gebaseerd op kennis en bezit
- Beschrijving: Gebruikers kunnen alleen toegang tot een applicatie krijgen met twee-factor authenticatie,
zoals een naam/biometrische authenticatie en een wachtwoord
Externe toegang Geheim/Secret Gelimiteerde toegang tot applicatie
- Beschrijving: Gebruikers kunnen geen toegang krijgen tot applicaties met de classificatie geheim, van buiten
de organisatie
,Autorisatie Vertrouwelijk/confidential Autorisatie-procedure
Beschrijving: Gebruikers moeten expliciet worden geautoriseerd door de beveiligingsofficier, in
overeenstemming met legale regels (Wbp, hoofdstuk 2)
Data Geheim/secret Data-distributie
Beschrijving: Distributie van data met classificatie geheim is alleen toegestaan met expliciete toestemming van
de eigenaar van de data.
Voorbeeld security use case
, Volgende figuur uit je hoofd kennen: Approach Enterprise Risk & Security
