Informatiebeveiliging
–
blok
B
–
IVK
Hogeschool
Utrecht
H3.1
tot
en
met
H3.16.
Behalve
H3.14
3.1
bestaat
uit
definities.
Zie
bijlage
van
deze
samenvatting.
3.2
Beveiligingsconcepten
Ø Beveiligingseisen
worden
vastgesteld
op
basis
van
een
methodisch
onderzoek
naar
beveiligingsmaatregelen
gebaseerd
op
de
risico’s
die
een
organisatie
loopt.
Ø De
genomen
beveiligingsmaatregelen
moeten
in
harmonie
zijn
met
de
risico’s
die
een
organisatie
loopt
en
de
schade
die
een
incident
aan
de
organisatie
toe
kan
brengen.
Ø De
resultaten
van
een
risicoanalyse
helpen
het
management
bij
het
stellen
van
prioriteiten
en
het
nemen
van
de
juiste
acties
en
beslissingen
voor
het
managen
van
de
informatiebeveiligingsrisico’s.
Ø Risicobeoordelingen
moeten
regelmatig
worden
herhaald
om
wijzigingen
in
werkwijze,
systemen
en
ook
wijzigingen
in
externe
dreigingen
te
kunnen
vaststellen
en
daarop
indien
nodig
de
beveiligingsmaatregelen
aan
te
passen.
Ø Informatiebeveiliging
wordt
bereikt
door
het
implementeren
van
een
afgewogen
set
van
organisatorische
en
technische
maatregelen.
Ø Hieronder
vallen
beleidsdocumenten,
procedures,
processen,
organisatorische
structuur
en
inbedding
in
de
organisatie,
software
en
hardware
functies.
o Deze
maatregelen
moeten
niet
alleen
geïmplementeerd
worden,
maar
vooral
gecontroleerd
en
waar
nodig
worden
bijgesteld
en
verbeterd.
Ø Organisaties
en
hun
informatiesystemen
en
netwerken
worden
blootgesteld
aan
beveiligingsdreigingen
van
zeer
uiteenlopende
aard.
Ø Voorbeelden
zijn
computer
gerelateerde
fraude,
spionage,
sabotage,
vandalisme,
brand
en
overstroming.
o Oorzaken
van
schade
zoals
kwaadaardige
code,
hacking
en
‘Denial
of
Service-‐
aanvallen
komen
vaker
voor,
zijn
ambitieuzer
en
worden
steeds
geavanceerder.
3.3
Fundamentele
principes
binnen
de
informatiebeveiliging
Ø Een
programma
voor
informatiebeveiliging
kan
diverse
grote
en
kleine
doelen
nastreven,
maar
de
belangrijkste
principes
in
een
informatiebeveiligingsprogramma
zijn
te
herleiden
naar:
beschikbaarheid,
integriteit
en
exclusiviteit.
-‐ Deze
basisprincipes
worden
ook
wel
aangeduid
met
de
BEI-‐driehoek.
-‐ De
beveiligingseisen
die
op
grond
van
deze
basisprincipes
gesteld
worden,
variëren
per
organisatie.
Dit
komt
doordat
elke
organisatie
haar
eigen
specifieke
eisenpakket
opstelt
op
basis
van
bedrijfs-‐
en
beveiligingsdoelen
en
–eisen.
-‐ Alle
beveiligingsmaatregelen,
mechanismen
en
controles
worden
geïmplementeerd
om
een
of
meer
van
deze
principes
in
te
vullen.
Alle
risico’s,
–
blok
B
–
IVK
Hogeschool
Utrecht
H3.1
tot
en
met
H3.16.
Behalve
H3.14
3.1
bestaat
uit
definities.
Zie
bijlage
van
deze
samenvatting.
3.2
Beveiligingsconcepten
Ø Beveiligingseisen
worden
vastgesteld
op
basis
van
een
methodisch
onderzoek
naar
beveiligingsmaatregelen
gebaseerd
op
de
risico’s
die
een
organisatie
loopt.
Ø De
genomen
beveiligingsmaatregelen
moeten
in
harmonie
zijn
met
de
risico’s
die
een
organisatie
loopt
en
de
schade
die
een
incident
aan
de
organisatie
toe
kan
brengen.
Ø De
resultaten
van
een
risicoanalyse
helpen
het
management
bij
het
stellen
van
prioriteiten
en
het
nemen
van
de
juiste
acties
en
beslissingen
voor
het
managen
van
de
informatiebeveiligingsrisico’s.
Ø Risicobeoordelingen
moeten
regelmatig
worden
herhaald
om
wijzigingen
in
werkwijze,
systemen
en
ook
wijzigingen
in
externe
dreigingen
te
kunnen
vaststellen
en
daarop
indien
nodig
de
beveiligingsmaatregelen
aan
te
passen.
Ø Informatiebeveiliging
wordt
bereikt
door
het
implementeren
van
een
afgewogen
set
van
organisatorische
en
technische
maatregelen.
Ø Hieronder
vallen
beleidsdocumenten,
procedures,
processen,
organisatorische
structuur
en
inbedding
in
de
organisatie,
software
en
hardware
functies.
o Deze
maatregelen
moeten
niet
alleen
geïmplementeerd
worden,
maar
vooral
gecontroleerd
en
waar
nodig
worden
bijgesteld
en
verbeterd.
Ø Organisaties
en
hun
informatiesystemen
en
netwerken
worden
blootgesteld
aan
beveiligingsdreigingen
van
zeer
uiteenlopende
aard.
Ø Voorbeelden
zijn
computer
gerelateerde
fraude,
spionage,
sabotage,
vandalisme,
brand
en
overstroming.
o Oorzaken
van
schade
zoals
kwaadaardige
code,
hacking
en
‘Denial
of
Service-‐
aanvallen
komen
vaker
voor,
zijn
ambitieuzer
en
worden
steeds
geavanceerder.
3.3
Fundamentele
principes
binnen
de
informatiebeveiliging
Ø Een
programma
voor
informatiebeveiliging
kan
diverse
grote
en
kleine
doelen
nastreven,
maar
de
belangrijkste
principes
in
een
informatiebeveiligingsprogramma
zijn
te
herleiden
naar:
beschikbaarheid,
integriteit
en
exclusiviteit.
-‐ Deze
basisprincipes
worden
ook
wel
aangeduid
met
de
BEI-‐driehoek.
-‐ De
beveiligingseisen
die
op
grond
van
deze
basisprincipes
gesteld
worden,
variëren
per
organisatie.
Dit
komt
doordat
elke
organisatie
haar
eigen
specifieke
eisenpakket
opstelt
op
basis
van
bedrijfs-‐
en
beveiligingsdoelen
en
–eisen.
-‐ Alle
beveiligingsmaatregelen,
mechanismen
en
controles
worden
geïmplementeerd
om
een
of
meer
van
deze
principes
in
te
vullen.
Alle
risico’s,
