Kernpunten Informatieveiligheid per hoofdstuk
Hoofdstuk 3: Termen en Definities
Bedrijfsmiddel > waarde voor organisatie.
Beschikbaarheid > werking systeem
Vertrouwelijkheid > Exclusieve groep mensen die data mag gebruiken (geautoriseerde toegang)
Beheersmaatregel > Risico beheersen (beleid, richtlijnen, werkwijzen)
Risico > Kans x Effect
Informatie > Data met betekenis voor ontvanger (na verwerking)
Informatieanalyse > Omgang informatie door bedrijf
Informatiemanagement > Beschrijft informatiestromen (verzameling, organisatie, controle)
Faciliteiten gebruik informatie > Informatiesysteem, service of infrastructuur voor opslag, bewerking etc
Informatiebeveiliging > Waarborging beschikbaarheid, integriteit, vertrouwelijkheid (authenticiteit,
bezit/controle, utiliteit, onweerlegbaarheid).
Informatiebeveiligingsgebeurtenis > Vastgestelde status van een systeem die duidt op falen
Informatiebeveiligingsincident > Gebeurtenis of serie ongewenste gebeurtenissen met nadelige gevolgen
bedrijfsvoering
Informatiebeveiligingsmanagement > Alle gecoördineerde activiteiten die richting geven aan beleid t.a.v
risico’s
Risicomanagement > Risicoanalyse, nemen van maatregelen, accepteren risico’s en communiceren van
risico’s
IT-voorziening > fysieke locatie of systeem voor informatieverwerking
Integriteit > Bescherming ongeautoriseerde wijziging, juistheid en volledigheid informatie
Beleid > Inrichting informatiebeveiliging en bescherming tegen risico’s
Risicoanalyse > Systematisch bronnen identificeren en risico’s inschatten
Risicobeoordeling > Proces van risico-analyse en evaluatie
Risico-evaluatie > Inschatting risico afgewogen tegen vastgestelde risicocriteria (significant risico?)
Risicobeheer > Risicobeoordeling, risicobehandeling, risicoacceptatie en risicocommunicatie
Risicobehandeling > Keuze en implementatie van maatregelen
Derde partij > Persoon/entiteit als onafhankelijk van de betrokken partijen gezien
Bedreiging > Potentiele oorzaak van een ongewenst incident dat systeem schade toe kan brengen
,Kwetsbaarheid > Zwakte van bedrijfsmiddel die door een of meer (be)dreigingen kunnen worden benut
Hoofdstuk 4: Informatie, beveiliging en architectuur
Begrippen:
Ddos-aanval (Denial of Service) > aanval op de beschikbaarheid en werking van systemen
BIV-driehoek: Beschikbaarheid, Integriteit, Vertrouwelijkheid (CIA: Confidentiality, Integrity and Availability)
Vertrouwelijkheid:
- Exclusiviteit
- Beperkingen wie bij welke informatie kan
- Ongeautoriseerd = geen toestemming
- Vercijfering als tegenmaatregel
- Strikte toegangscontrole, dataclassificatie, training personen procedures correct uitvoeren eveneens
maatregelen.
1. Toegang tot informatie op basis van need to know.
2. Data niet onbedoeld terecht bij onbevoegden
3. Logisch toegangsmanagement
4. Scheiding verantwoordelijkheden, functies en daarmee samenhangende toegang
5. Maatregelen om privacy te waarborgen (authenticatie) > combinatie wachtwoord gebruikersnaam
Maatregel voor type aanval waarbij een aanvaller de hoeveelheid verkeer op een netwerk en analyseert en
zo kan zien wat belangrijke netwerkfuncties zijn:
Trafic padding = Vercijferd het bericht in een willekeurig gegenereerde stroom data, deze maatregel voorkomt
dat aanvaller ziet in welk onderdeel van een netwerk veel verkeer plaatsvindt. Door deze willekeurige stroom
kan de aanvaller het bericht hierin niet vinden.
Traffic padding is een tegenmaatregel.
Integriteit:
- Juistheid/volledigheid informatie
- Risico’s: verminking, kwaadaardige modificaties en vervanging van informatie met incorrecte
informatie
Maatregelen: Strikte toegangscontrole, IDS, toepassen van Hash functies.
IDS = Intrusion Detection System, detecteert hackpogingen en ongeautoriseerde toegang.
Securitymanagement systeem voor computers en netwerken (detecteert misbruik/binnenuit en
intrusions/buitenaf).
Hash-functies = Sleutel representeert een originele reekskarakters. Dit wordt gebruikt omdat de hash-sleutel
eerder te vinden is dan de originele reeks karakters en bovendien herkent een systeem de hash-functie na
meerdere keren ingelogd te hebben.
Vulnerability assessment = Identificeren, kwantificeren en prioriteren van kwetsbaarheden.
Authenticatiemechanismen omzeilen: (1) Achterdeur in computersysteem, (2) Cryptografisch systeem, (3)
Algoritme.
,Negatief effect integriteit door:
- Maken van fouten
- Opzettelijke en fraude
- Onopzettelijke fout > Verwijderen van configuratiebestanden op harddisk
- Of: Incorrecte waarde invoeren in dataverwerkende applicatie
Maatregelen integriteit:
- Veranderingen geautoriseerd met toestemming laten plaatsvinden
- Afdwingen juiste termen in programma’s (beperkingen invoer tot bijv. Klant, bij de rest foutmelding)
- Acties vastleggen
- Uitvoering vitale systeemfuncties niet door iedereen (scheiding taak en functie)
- Vercijferingstechniek
Beschikbaarheid:
3 elementen:
1. Tijdigheid
2. Continuiteit
3. Robuustheid
- Ddos aanval
- Maatregel: Firewall (softwarepakket dat bescherming biedt tegen misbruik van buitenaf)
- Maatregel: Back-ups van informatie
- Management opslag data en noodprocedures
- Wet en regelgeving
- IDS > monitort netwerkverkeer en activiteiten
- Alleen noodzakelijke services en netwerkpoorten openstellen > tegen DDOS.
Omgevingsfactoren van invloed op beschikbaarheid: Hitte, koude, statische elektriciteit en vervuilingen.
Parkerian Hexad:
Aan beschikbaarheid, integriteit en vertrouwelijkheid worden nog 3 aspecten toegevoegd:
4. Bezit en Controle > verlies bezit en/of controle na bijvoorbeeld diefstal van bankpas en pincode
5. Authenticiteit > Verificatie van de entiteit/persoon
6. Utiliteit > bruikbaarheid, verlies van een cryptografische sleutel maakt de versleutelde tekst
onleesbaar en daarmee onbruikbaar
Koppeling bedrijfsrisico’s en beveiligingseisen
Beschikbaarheid: Autorisatiecontrole (toestemming) + authenticatiecontrole (persoonscontrole)
Integriteit: Transportniveau privacy and encryptie + authenticatiecontrole + autorisatiecontrole
Vertrouwelijkheid: Transportniveau privacy and encryptie + authenticatiecontrole + autorisatiecontrole
Due diligence = Begrijpen van de dreigingen en risico’s die een organisatie loopt
Due care = Nemen van maatregelen ter bescherming tegen risico’s
Informatica = Verwerken van data (ruwe gegevens) tot informatie (data met waarde)
,Ook wel de waarde die een ontvanger aan de informatie toekent.
ICT = Informatie en Communicatietechnologie
Hoofdstuk 5: Risicomanagement
Risicoanalyse = Risico’s in kaart gebracht, risico = kans x gevolg/effect
Factoren die een risico bepalen:
1. Dreiging
2. Kans
3. Gevolgen
Incident = Dreiging die onmiddellijk herkenbaar is (hacker op bedrijfsnetwerk)
Calamiteit = Incident dat de continuiteit van meerdere bedrijven in gevaar brengt
Grootte en inschatting risico > risico verminderen
Risicomanagement > proces van dreiging/gevaar naar risico en beveiligingsmaatregel.
(Identificatie, Onderzoek, Reductie en acceptabel niveau)
Bewaking proces risicomanagement: CISO (Chief) of ISO (Information Security Officer)
Zwakheid > iets ontbreekt dat misbruikt kan worden door een dreiging
- Open netwerkpoort
- Verkeerd wachtwoordgebruik
- Ongedispatchde (niet-geupdate) applicaties
- Geen sleuteldiscipline
Dreiging > niet-gewenst incident dat schade kan veroorzaken. Dreiging wordt werkelijkheid als incident
optreedt.
Threat agent = Entiteit/persoon die gebruikmaakt van een zwakheid
Risico = kans dat dreiging gebruikmaakt van een zwakheid en impact
Business impact = zwakheid + dreiging + risico/kans
Blootstelling > schade door een threat agent.
Zwakheid is in dit geval dat bijvoorbeeld antivirussoftware niet up to date is en daardoor kwetsbaar voor
aanvallen.
Bescherming/tegenmaatregel:
- Goed wachtwoordenbeleid
- Fysieke bewaking
- Access controlemechanismen in besturingssystemen
- Instellen van BIOS-wachtwoorden (kwetsbaar: backdoor passwords door fabrikanten ingebouwd)
- Bewustzijnstrainingen
- Antivirussoftware up to date
,Risicoanalyse = onderdeel risicomanagement, bestaat uit: (1) dreiging, (2) relevante risico’s, (3)
beveiligingsniveau, (4) maatregelen
Inzichtelijk maken:
- Dreigingen
- Risico’s
- Beveiligingsniveau
- Maatregelen
Kosteneffectieve en tijdige manier inzetten om schade te beperken.
Vier hoofddoelen risicoanalyse:
1. Identificatie waarde bedrijfsmiddelen IDENTIFICATIE BEDRIJFSMIDDELEN
2. Vaststellen kwetsbaarheden/dreigingen GEVAARSIDENTIFICATIE
3. Vaststellen risico dat dreiging werkelijk wordt KANSIDENTIFICATIE
4. Evenwicht kosten incident en kosten maatregel MAATREGELENIDENTIFICATIE
Kosten-batenverhouding
Kwantitatief = Risicowaardering kans x effect
Kwalitatief = Scenario en situatiebeschrijving (analyse in groepssessie)
Maatregelen:
1. Reductieve > verminderen dreiging
2. Preventief > voorkomen van incidenten
3. Detectief > incidenten detecteren
4. Repressief > Gevolgen incidenten stoppen (uitwijkprocedure en maken van back-ups)
5. Correctief > herstellen van schade
Incidentcyclus > dreiging > incident > schade > herstel
Mitigatie = Verzekeren, gevolgen verzachten of risico’s accepteren
Soorten dreigingen:
1. Menselijk en opzettelijk of onopzettelijk > boos na ontslag, verkoop van data
2. Niet-menselijk
Social engineering = Informatie bij mensen ontfutselen.
- Gebruikt zwakheid van de mens voor een bepaald doel
- Slachtoffer is zich hier niet van bewust
Onopzettelijk > besmette usb stick in een computer doen, netwerk hierdoor mee besmet. Drukt per ongeluk
op de delete-toets.
Invloeden van buitenaf (niet menselijk):
- Bliksem
- Storm
- Brand
- Overstroming
Onderscheid:
, (1) Storing basisinfrastructuur (software etc)
(2) Storing fysieke omgeving (gebouw, ventilatie etc)
Hoofdstuk 6: Bedrijfsmiddelen en informatiebeveiligingsincidenten
Classificatie = Ordening naar gevoeligheid
Rubricering = Classificatie die aan informatie wordt toegekend zoals:
- Geheim
- Confidentieel/vertrouwelijk
- Personeelsvertrouwelijk
Merking = Bijzondere aanduiding, indeling naar onderwerp of groep personen (kring gerechtigden)
Eigenaar = Persoon die verantwoordelijk is voor bedrijfsmiddel
Noodzakelijkheid beveiliging bepaald door:
1. Gevoeligheid
2. Wettelijke eisen
3. Waarde en belang voor organisatie
Rubriceringen worden gemerkt/gelabeld.
Labelen = Fysiek zichtbaar op bedrijfsmiddel
Binnen de overheid worden rubriceringen gebruikt die te vinden zijn in het document VIR-BI = Voorschrift
Informatiebeveiliging Rijksdienst – Bijzondere Informatie
Rubriceringen overheid:
- Departementaal vertrouwelijk
- Staatsgeheim confidentieel
- Staatsgeheim geheim
- Staatsgeheim zeer geheim + bijvoorbeeld merking > specifieke kring gerechtigden (Politie Zeer
Vertrouwelijk, Crypto) > alleen werken met ervaring cryptografie
De rubricering van een bedrijfsmiddel bepaalt hoe deze fysiek opgeslagen mag worden en wie toegang
heeft.
(vertrouwelijkheid > s’nachts van belang als de organisatie gesloten is?)
Hoog-Midden-Laag per situatie > per elementen van BIV
Vertrouwelijk = Bestemd voor kleine groep gerechtigden
Clear desk policy = Beleid waarin staat dat alle medewerkers geen vertrouwelijke stukken in het zicht moeten
laten liggen.
Geheim = Alleen bij uiterste noodzakelijkheid verspreiden met groep gerechtigden
Er bestaat ook openbare publieke informatie
, Beheer van informatiebeveiligingsincidenten
Zwakheden:
- Iemand heeft een vertrouwelijk stuk op de printer laten liggen
- Een bestand met persoonlijke gegevens is verdwenen
- Er hangt een vreemde geur in de ruimte van de papierversnipperaar
- Een deur die op slot moet zijn staat open
- Een collega gedraagt zich afwijkend
- De computer geeft vreemde schermboodschappen
Kunnen en moeten worden ontdekt door werknemers en worden gemeld aan het management
Melding naar servicedesk > procedure melding.
Functionele horizontale escalatie = Medewerker helpdesk kan beveiligingsincident niet zelf oplossen door
onvoldoende technische kennis en schakelt iemand met meer expertise in
Hierarchische verticale escalatie = Incident melden aan iemand die meer autoriteit heeft en een beslissing
kan nemen (organisatorisch)
Incidentbeheersproces > inzicht in incidenten en leren voor de toekomst
Rapportage van informatiebeveiligingsincidenten:
De ISO/IEC 2000 standaard beschrijft hoe incidenten kunnen worden beheerd in het
incidentmanagementproces.
Incidentmanagementproces:
1. Doel : Gebeurtenissen en zwakheden in informatiesystemen herkennen en tijdig maatregelen nemen
- Melden om van te leren
- Melden is geen manier om veroorzaker van beveiligingsincident te straffen (tenzij doelbewust
gehandeld)
Incidentmeldingsformulier:
- Datum en tijd
- Naam melder
- Locatie
- Probleem
- Effect
- Hoe ontdekt
Rapportage van zwakke plekken in beveiliging:
Eerst een incident melden, dan advies vragen hoe te handelen (voorkom verlies van bewijs)
Registratie storing:
- Logbestanden > gegevens over storingen
Hoofdstuk 3: Termen en Definities
Bedrijfsmiddel > waarde voor organisatie.
Beschikbaarheid > werking systeem
Vertrouwelijkheid > Exclusieve groep mensen die data mag gebruiken (geautoriseerde toegang)
Beheersmaatregel > Risico beheersen (beleid, richtlijnen, werkwijzen)
Risico > Kans x Effect
Informatie > Data met betekenis voor ontvanger (na verwerking)
Informatieanalyse > Omgang informatie door bedrijf
Informatiemanagement > Beschrijft informatiestromen (verzameling, organisatie, controle)
Faciliteiten gebruik informatie > Informatiesysteem, service of infrastructuur voor opslag, bewerking etc
Informatiebeveiliging > Waarborging beschikbaarheid, integriteit, vertrouwelijkheid (authenticiteit,
bezit/controle, utiliteit, onweerlegbaarheid).
Informatiebeveiligingsgebeurtenis > Vastgestelde status van een systeem die duidt op falen
Informatiebeveiligingsincident > Gebeurtenis of serie ongewenste gebeurtenissen met nadelige gevolgen
bedrijfsvoering
Informatiebeveiligingsmanagement > Alle gecoördineerde activiteiten die richting geven aan beleid t.a.v
risico’s
Risicomanagement > Risicoanalyse, nemen van maatregelen, accepteren risico’s en communiceren van
risico’s
IT-voorziening > fysieke locatie of systeem voor informatieverwerking
Integriteit > Bescherming ongeautoriseerde wijziging, juistheid en volledigheid informatie
Beleid > Inrichting informatiebeveiliging en bescherming tegen risico’s
Risicoanalyse > Systematisch bronnen identificeren en risico’s inschatten
Risicobeoordeling > Proces van risico-analyse en evaluatie
Risico-evaluatie > Inschatting risico afgewogen tegen vastgestelde risicocriteria (significant risico?)
Risicobeheer > Risicobeoordeling, risicobehandeling, risicoacceptatie en risicocommunicatie
Risicobehandeling > Keuze en implementatie van maatregelen
Derde partij > Persoon/entiteit als onafhankelijk van de betrokken partijen gezien
Bedreiging > Potentiele oorzaak van een ongewenst incident dat systeem schade toe kan brengen
,Kwetsbaarheid > Zwakte van bedrijfsmiddel die door een of meer (be)dreigingen kunnen worden benut
Hoofdstuk 4: Informatie, beveiliging en architectuur
Begrippen:
Ddos-aanval (Denial of Service) > aanval op de beschikbaarheid en werking van systemen
BIV-driehoek: Beschikbaarheid, Integriteit, Vertrouwelijkheid (CIA: Confidentiality, Integrity and Availability)
Vertrouwelijkheid:
- Exclusiviteit
- Beperkingen wie bij welke informatie kan
- Ongeautoriseerd = geen toestemming
- Vercijfering als tegenmaatregel
- Strikte toegangscontrole, dataclassificatie, training personen procedures correct uitvoeren eveneens
maatregelen.
1. Toegang tot informatie op basis van need to know.
2. Data niet onbedoeld terecht bij onbevoegden
3. Logisch toegangsmanagement
4. Scheiding verantwoordelijkheden, functies en daarmee samenhangende toegang
5. Maatregelen om privacy te waarborgen (authenticatie) > combinatie wachtwoord gebruikersnaam
Maatregel voor type aanval waarbij een aanvaller de hoeveelheid verkeer op een netwerk en analyseert en
zo kan zien wat belangrijke netwerkfuncties zijn:
Trafic padding = Vercijferd het bericht in een willekeurig gegenereerde stroom data, deze maatregel voorkomt
dat aanvaller ziet in welk onderdeel van een netwerk veel verkeer plaatsvindt. Door deze willekeurige stroom
kan de aanvaller het bericht hierin niet vinden.
Traffic padding is een tegenmaatregel.
Integriteit:
- Juistheid/volledigheid informatie
- Risico’s: verminking, kwaadaardige modificaties en vervanging van informatie met incorrecte
informatie
Maatregelen: Strikte toegangscontrole, IDS, toepassen van Hash functies.
IDS = Intrusion Detection System, detecteert hackpogingen en ongeautoriseerde toegang.
Securitymanagement systeem voor computers en netwerken (detecteert misbruik/binnenuit en
intrusions/buitenaf).
Hash-functies = Sleutel representeert een originele reekskarakters. Dit wordt gebruikt omdat de hash-sleutel
eerder te vinden is dan de originele reeks karakters en bovendien herkent een systeem de hash-functie na
meerdere keren ingelogd te hebben.
Vulnerability assessment = Identificeren, kwantificeren en prioriteren van kwetsbaarheden.
Authenticatiemechanismen omzeilen: (1) Achterdeur in computersysteem, (2) Cryptografisch systeem, (3)
Algoritme.
,Negatief effect integriteit door:
- Maken van fouten
- Opzettelijke en fraude
- Onopzettelijke fout > Verwijderen van configuratiebestanden op harddisk
- Of: Incorrecte waarde invoeren in dataverwerkende applicatie
Maatregelen integriteit:
- Veranderingen geautoriseerd met toestemming laten plaatsvinden
- Afdwingen juiste termen in programma’s (beperkingen invoer tot bijv. Klant, bij de rest foutmelding)
- Acties vastleggen
- Uitvoering vitale systeemfuncties niet door iedereen (scheiding taak en functie)
- Vercijferingstechniek
Beschikbaarheid:
3 elementen:
1. Tijdigheid
2. Continuiteit
3. Robuustheid
- Ddos aanval
- Maatregel: Firewall (softwarepakket dat bescherming biedt tegen misbruik van buitenaf)
- Maatregel: Back-ups van informatie
- Management opslag data en noodprocedures
- Wet en regelgeving
- IDS > monitort netwerkverkeer en activiteiten
- Alleen noodzakelijke services en netwerkpoorten openstellen > tegen DDOS.
Omgevingsfactoren van invloed op beschikbaarheid: Hitte, koude, statische elektriciteit en vervuilingen.
Parkerian Hexad:
Aan beschikbaarheid, integriteit en vertrouwelijkheid worden nog 3 aspecten toegevoegd:
4. Bezit en Controle > verlies bezit en/of controle na bijvoorbeeld diefstal van bankpas en pincode
5. Authenticiteit > Verificatie van de entiteit/persoon
6. Utiliteit > bruikbaarheid, verlies van een cryptografische sleutel maakt de versleutelde tekst
onleesbaar en daarmee onbruikbaar
Koppeling bedrijfsrisico’s en beveiligingseisen
Beschikbaarheid: Autorisatiecontrole (toestemming) + authenticatiecontrole (persoonscontrole)
Integriteit: Transportniveau privacy and encryptie + authenticatiecontrole + autorisatiecontrole
Vertrouwelijkheid: Transportniveau privacy and encryptie + authenticatiecontrole + autorisatiecontrole
Due diligence = Begrijpen van de dreigingen en risico’s die een organisatie loopt
Due care = Nemen van maatregelen ter bescherming tegen risico’s
Informatica = Verwerken van data (ruwe gegevens) tot informatie (data met waarde)
,Ook wel de waarde die een ontvanger aan de informatie toekent.
ICT = Informatie en Communicatietechnologie
Hoofdstuk 5: Risicomanagement
Risicoanalyse = Risico’s in kaart gebracht, risico = kans x gevolg/effect
Factoren die een risico bepalen:
1. Dreiging
2. Kans
3. Gevolgen
Incident = Dreiging die onmiddellijk herkenbaar is (hacker op bedrijfsnetwerk)
Calamiteit = Incident dat de continuiteit van meerdere bedrijven in gevaar brengt
Grootte en inschatting risico > risico verminderen
Risicomanagement > proces van dreiging/gevaar naar risico en beveiligingsmaatregel.
(Identificatie, Onderzoek, Reductie en acceptabel niveau)
Bewaking proces risicomanagement: CISO (Chief) of ISO (Information Security Officer)
Zwakheid > iets ontbreekt dat misbruikt kan worden door een dreiging
- Open netwerkpoort
- Verkeerd wachtwoordgebruik
- Ongedispatchde (niet-geupdate) applicaties
- Geen sleuteldiscipline
Dreiging > niet-gewenst incident dat schade kan veroorzaken. Dreiging wordt werkelijkheid als incident
optreedt.
Threat agent = Entiteit/persoon die gebruikmaakt van een zwakheid
Risico = kans dat dreiging gebruikmaakt van een zwakheid en impact
Business impact = zwakheid + dreiging + risico/kans
Blootstelling > schade door een threat agent.
Zwakheid is in dit geval dat bijvoorbeeld antivirussoftware niet up to date is en daardoor kwetsbaar voor
aanvallen.
Bescherming/tegenmaatregel:
- Goed wachtwoordenbeleid
- Fysieke bewaking
- Access controlemechanismen in besturingssystemen
- Instellen van BIOS-wachtwoorden (kwetsbaar: backdoor passwords door fabrikanten ingebouwd)
- Bewustzijnstrainingen
- Antivirussoftware up to date
,Risicoanalyse = onderdeel risicomanagement, bestaat uit: (1) dreiging, (2) relevante risico’s, (3)
beveiligingsniveau, (4) maatregelen
Inzichtelijk maken:
- Dreigingen
- Risico’s
- Beveiligingsniveau
- Maatregelen
Kosteneffectieve en tijdige manier inzetten om schade te beperken.
Vier hoofddoelen risicoanalyse:
1. Identificatie waarde bedrijfsmiddelen IDENTIFICATIE BEDRIJFSMIDDELEN
2. Vaststellen kwetsbaarheden/dreigingen GEVAARSIDENTIFICATIE
3. Vaststellen risico dat dreiging werkelijk wordt KANSIDENTIFICATIE
4. Evenwicht kosten incident en kosten maatregel MAATREGELENIDENTIFICATIE
Kosten-batenverhouding
Kwantitatief = Risicowaardering kans x effect
Kwalitatief = Scenario en situatiebeschrijving (analyse in groepssessie)
Maatregelen:
1. Reductieve > verminderen dreiging
2. Preventief > voorkomen van incidenten
3. Detectief > incidenten detecteren
4. Repressief > Gevolgen incidenten stoppen (uitwijkprocedure en maken van back-ups)
5. Correctief > herstellen van schade
Incidentcyclus > dreiging > incident > schade > herstel
Mitigatie = Verzekeren, gevolgen verzachten of risico’s accepteren
Soorten dreigingen:
1. Menselijk en opzettelijk of onopzettelijk > boos na ontslag, verkoop van data
2. Niet-menselijk
Social engineering = Informatie bij mensen ontfutselen.
- Gebruikt zwakheid van de mens voor een bepaald doel
- Slachtoffer is zich hier niet van bewust
Onopzettelijk > besmette usb stick in een computer doen, netwerk hierdoor mee besmet. Drukt per ongeluk
op de delete-toets.
Invloeden van buitenaf (niet menselijk):
- Bliksem
- Storm
- Brand
- Overstroming
Onderscheid:
, (1) Storing basisinfrastructuur (software etc)
(2) Storing fysieke omgeving (gebouw, ventilatie etc)
Hoofdstuk 6: Bedrijfsmiddelen en informatiebeveiligingsincidenten
Classificatie = Ordening naar gevoeligheid
Rubricering = Classificatie die aan informatie wordt toegekend zoals:
- Geheim
- Confidentieel/vertrouwelijk
- Personeelsvertrouwelijk
Merking = Bijzondere aanduiding, indeling naar onderwerp of groep personen (kring gerechtigden)
Eigenaar = Persoon die verantwoordelijk is voor bedrijfsmiddel
Noodzakelijkheid beveiliging bepaald door:
1. Gevoeligheid
2. Wettelijke eisen
3. Waarde en belang voor organisatie
Rubriceringen worden gemerkt/gelabeld.
Labelen = Fysiek zichtbaar op bedrijfsmiddel
Binnen de overheid worden rubriceringen gebruikt die te vinden zijn in het document VIR-BI = Voorschrift
Informatiebeveiliging Rijksdienst – Bijzondere Informatie
Rubriceringen overheid:
- Departementaal vertrouwelijk
- Staatsgeheim confidentieel
- Staatsgeheim geheim
- Staatsgeheim zeer geheim + bijvoorbeeld merking > specifieke kring gerechtigden (Politie Zeer
Vertrouwelijk, Crypto) > alleen werken met ervaring cryptografie
De rubricering van een bedrijfsmiddel bepaalt hoe deze fysiek opgeslagen mag worden en wie toegang
heeft.
(vertrouwelijkheid > s’nachts van belang als de organisatie gesloten is?)
Hoog-Midden-Laag per situatie > per elementen van BIV
Vertrouwelijk = Bestemd voor kleine groep gerechtigden
Clear desk policy = Beleid waarin staat dat alle medewerkers geen vertrouwelijke stukken in het zicht moeten
laten liggen.
Geheim = Alleen bij uiterste noodzakelijkheid verspreiden met groep gerechtigden
Er bestaat ook openbare publieke informatie
, Beheer van informatiebeveiligingsincidenten
Zwakheden:
- Iemand heeft een vertrouwelijk stuk op de printer laten liggen
- Een bestand met persoonlijke gegevens is verdwenen
- Er hangt een vreemde geur in de ruimte van de papierversnipperaar
- Een deur die op slot moet zijn staat open
- Een collega gedraagt zich afwijkend
- De computer geeft vreemde schermboodschappen
Kunnen en moeten worden ontdekt door werknemers en worden gemeld aan het management
Melding naar servicedesk > procedure melding.
Functionele horizontale escalatie = Medewerker helpdesk kan beveiligingsincident niet zelf oplossen door
onvoldoende technische kennis en schakelt iemand met meer expertise in
Hierarchische verticale escalatie = Incident melden aan iemand die meer autoriteit heeft en een beslissing
kan nemen (organisatorisch)
Incidentbeheersproces > inzicht in incidenten en leren voor de toekomst
Rapportage van informatiebeveiligingsincidenten:
De ISO/IEC 2000 standaard beschrijft hoe incidenten kunnen worden beheerd in het
incidentmanagementproces.
Incidentmanagementproces:
1. Doel : Gebeurtenissen en zwakheden in informatiesystemen herkennen en tijdig maatregelen nemen
- Melden om van te leren
- Melden is geen manier om veroorzaker van beveiligingsincident te straffen (tenzij doelbewust
gehandeld)
Incidentmeldingsformulier:
- Datum en tijd
- Naam melder
- Locatie
- Probleem
- Effect
- Hoe ontdekt
Rapportage van zwakke plekken in beveiliging:
Eerst een incident melden, dan advies vragen hoe te handelen (voorkom verlies van bewijs)
Registratie storing:
- Logbestanden > gegevens over storingen
