Security Risk Management
hoofdstuk 1: introductie en overzicht
Zie figuur 1.1 verband tussen dreigingen en voordelen. Organisaties starten
als risico controllers met focus op nakoming en verlies minimalisatie. Later
realiseren ze dat goede SRM waarde toevoegt aan de operationele prestatie,
en als het geïntegreerd is in organisatie, kan SRM een belangrijke bijdrage
leveren aan organisatorische veerkracht en oppurtuniteitsverwezenlijking.
SRMBOK laat zien dat er geen perfecte security bestaat.
Security = voorwaarde om beschermd te worden tegen gevaar of verlies
safety en security worden vaak door elkaar gebruikt, maar security betekent
dat iets niet alleen veilig is, maar ook beveiligd. Security verwijst dus ook naar
maatregelen.
Waargenomen vs actuele risico (boek).
Security risico = elk evenement dat kan leiden tot compromissen van
organisatorische activa.
Methode 1 om dreigen te identificeren is om ze te groeperen volgens hun
bron, motivatie en werkwijze.
Methode 2 is om te focussen op activa (functies, bronnen en waarde).
Methode 3 is om te onderzoeken bij organisatorische blootstellingen en
kwetsbaarheden en deze gebruiken om geschiktheid van bestaande
beveiligingscontroles te beoordelen.
Security Risk Management is de cultuur, proces en structuur die gericht zijn
op maximaliseren voordelen en minimaliseren van negatieve effecten die
verband houden met de opzettelijke en ongerechtvaardigde acties van
anderen tegen organisatorische activa.
Bij SRMBOK word onderscheid gemaakt tussen threat and risk threat is
een gevaar of bron van risico’s (criminelen/terroristen enz), risk = kans op
aanval met geloofwaardige impact of gevolgen op activa.
Dreiging bepaalt risico dat op zijn beurt tegenmaatrelen bepaalt. Zie figuur blz
11.
, Risk management = cultuur, processen en structuren die gericht zijn op
realiseren van mogelijke kansen, terwijl negatieve effecten worden beheerd
term houd in dat het een gecoördineerde activiteit is om organisatie te regelen
mbt risico. SRM vereist discipline, specifieke kennis en er is meer detail. Bij
risicomanagement ligt focus op specifieke methodologie, bij SRMBOK op
flexibel en aanpasbaar overzicht op organisatorische en management
aspecten van risicomanagement.
SRMBOK H5 – practice areas
5.1 introductie:
The SRMBOK practice areas zijn: security management, physical security, people
security, information security & information and community technoly (ICT).
Security management is een combinatie ze overlappen elkaar.
Het hiërarchie van het controlemechanisme, zoals beschreven in het gedeelte over
strategische kennisgebieden, geeft een richtlijn over hoe oefengebieden kunnen
worden toegepast met behulp van het beveiligingsdiepte-kader.
Zie figuur 5.1 blz 55!
5.2 – Security management:
Security management is het brede mengsel van applicatiebeginselen en concepten
die soms zijn, ook wel beschermende beveiliging genoemd. Dit gebied omvat alle
elementen van conceptuele, virtuele of procedurele bescherming van activa.
Security management is centraal geplaatst omdat het van invloed is op elk van de
andere praktijkgebieden.
Security management biedt een kader voor een betere praktijk in de bescherming
van activa. Elke organisatie kan SRM-praktijken implementeren om belangrijke activa
te beveiligen en om veiligheidsrisico's te veroorzaken. Typische activiteiten en
verantwoordelijkheden die deel uitmaken van Security Management zijn: beleid,
procedures en normen, dreigingsbeoordelingen, onderzoeken enz.
Elk van de oefengebieden kan onafhankelijk functioneren; Ze kunnen echter alleen
hun volle voordelen realiseren wanneer ze correct worden geïntegreerd.
Security management is de term die van toepassing is op de ontwikkeling en
toepassing van conceptuele praktijken die het kader bieden voor alle gebieden van
SRM om zowel individueel als in het bijzonder als onderdeel van een groter geheel te
werken.
Het biedt ook een kader voor het gespecialiseerde SRM-oefengebied, maar helpt
vooral beslissers om middelen en risicobehandelingen aan te passen met
geïdentificeerde bedreigingen.
5.3 – fysieke beveiliging:
, Fysieke beveiliging houdt in fysieke bescherming van personeel, hardware,
eigendom, netwerken en gegevens van opzettelijke handelingen en gebeurtenissen.
Deze handelingen en gebeurtenissen kunnen diefstal, vandalisme en terrorisme
omvatten en kan leiden tot verlies of schade aan een organisatie of individu.
Het doel van het fysieke beveiligingssysteem is geheel of gedeeltelijk te
voorkomen of de waarschijnlijkheid ervan te verminderen. Een beveiligingssysteem
moet de mogelijkheid bieden om te ontdekken, te beoordelen, te communiceren, te
vertragen en te reageren op een vermoedelijke fysieke veiligheidsbeveiliging.
Behandelingen die betrekking hebben op andere SRM-oefengebieden zijn vaak
relevant voor fysieke veiligheidsproblemen en volledige beschermende
beveiligingsplannen moeten een overweging omvatten van fysieke veiligheid.
Beveiligingsmaatregelen moeten omvatten: toegangscontrolesystemen,
beveiligingspersoneel, installatie van noodhulpsystemen, enz.
Het opzetten van een fysieke beveiligingscontext is een nuttige eerste stap in het
identificeren van activa die bescherming behoeven. Deze context moet een
analyse van het interne en externe milieu bevatten, mits de manier waarop deze
omgeving de beveiliging en werking van een organisatie beïnvloedt. Deze analyse
moet de aandacht omvatten van: terrein, toegankelijkheid, bevolking enz.
Barrières is een obstakel die beweging of toegang voorkomt. Dit zijn een van de
meer visuele en veelzijdige eisen van fysieke veiligheid. Deuren, bollard en het
scherm beschermen activa tegen een reeks bedreigingen. Ze kunnen worden
gebruikt om: de omtrek van een actief te definiëren, controle te geven en toegang te
weigeren of ongeoorloofde toegang te detecteren en af te schaffen.
Barrières kunnen zowel natuurlijk als struciaal zijn. Natuurlijke barriers dienen te
worden geïdentificeerd in een initiële beoordeling van de activa en eventueel
gebruikt. Structurele barrières moeten niet alleen worden geplaatst om de fysieke
veiligheid te verbeteren, maar ook als een psychologisch afschrikmiddel voor
mensen die een aanval op de ezels overwegen te overwegen. Barrières dienen de
veiligheid te verbeteren en tegelijkertijd de noodzaak te beperken tot kostbare
menselijke of technologische beveiligingsmaatregelen.
De aard en het uiterlijk van een barrière moeten ook voldoen aan de behoeften van
een organisatie. Barrières moeten worden gemaakt van materialen die afschrikkelijk
kunnen zijn tegen mogelijke bedreigingen.
Het controleren van de toegang tot een asset kan worden geclassificeerd als de
eerste component van een fysiek SRM-plan. Opgemerkt moet worden dat de
nadruk ligt op het beheersen en de toegang van de beheerder in plaats van het
beperken of voorkomen van toegang.
Fysieke toegangscontrole kan ook betrekking hebben op de mogelijkheid van een
ballistische projectiel of explosieve golf om barrières te breken. Het is alleen mogelijk
om het effect van een explosie te wijzigen door te bepalen welke gebieden harder of
zachter zijn, waardoor de invloed en de richting van een explosieve golf kan
beïnvloeden.
Onbelemmerde zichtbaarheid van omheining en andere barrières kan mogelijk
inbreuken of aanvallen tegen een actief detecteren. Verlichtings- en
hoofdstuk 1: introductie en overzicht
Zie figuur 1.1 verband tussen dreigingen en voordelen. Organisaties starten
als risico controllers met focus op nakoming en verlies minimalisatie. Later
realiseren ze dat goede SRM waarde toevoegt aan de operationele prestatie,
en als het geïntegreerd is in organisatie, kan SRM een belangrijke bijdrage
leveren aan organisatorische veerkracht en oppurtuniteitsverwezenlijking.
SRMBOK laat zien dat er geen perfecte security bestaat.
Security = voorwaarde om beschermd te worden tegen gevaar of verlies
safety en security worden vaak door elkaar gebruikt, maar security betekent
dat iets niet alleen veilig is, maar ook beveiligd. Security verwijst dus ook naar
maatregelen.
Waargenomen vs actuele risico (boek).
Security risico = elk evenement dat kan leiden tot compromissen van
organisatorische activa.
Methode 1 om dreigen te identificeren is om ze te groeperen volgens hun
bron, motivatie en werkwijze.
Methode 2 is om te focussen op activa (functies, bronnen en waarde).
Methode 3 is om te onderzoeken bij organisatorische blootstellingen en
kwetsbaarheden en deze gebruiken om geschiktheid van bestaande
beveiligingscontroles te beoordelen.
Security Risk Management is de cultuur, proces en structuur die gericht zijn
op maximaliseren voordelen en minimaliseren van negatieve effecten die
verband houden met de opzettelijke en ongerechtvaardigde acties van
anderen tegen organisatorische activa.
Bij SRMBOK word onderscheid gemaakt tussen threat and risk threat is
een gevaar of bron van risico’s (criminelen/terroristen enz), risk = kans op
aanval met geloofwaardige impact of gevolgen op activa.
Dreiging bepaalt risico dat op zijn beurt tegenmaatrelen bepaalt. Zie figuur blz
11.
, Risk management = cultuur, processen en structuren die gericht zijn op
realiseren van mogelijke kansen, terwijl negatieve effecten worden beheerd
term houd in dat het een gecoördineerde activiteit is om organisatie te regelen
mbt risico. SRM vereist discipline, specifieke kennis en er is meer detail. Bij
risicomanagement ligt focus op specifieke methodologie, bij SRMBOK op
flexibel en aanpasbaar overzicht op organisatorische en management
aspecten van risicomanagement.
SRMBOK H5 – practice areas
5.1 introductie:
The SRMBOK practice areas zijn: security management, physical security, people
security, information security & information and community technoly (ICT).
Security management is een combinatie ze overlappen elkaar.
Het hiërarchie van het controlemechanisme, zoals beschreven in het gedeelte over
strategische kennisgebieden, geeft een richtlijn over hoe oefengebieden kunnen
worden toegepast met behulp van het beveiligingsdiepte-kader.
Zie figuur 5.1 blz 55!
5.2 – Security management:
Security management is het brede mengsel van applicatiebeginselen en concepten
die soms zijn, ook wel beschermende beveiliging genoemd. Dit gebied omvat alle
elementen van conceptuele, virtuele of procedurele bescherming van activa.
Security management is centraal geplaatst omdat het van invloed is op elk van de
andere praktijkgebieden.
Security management biedt een kader voor een betere praktijk in de bescherming
van activa. Elke organisatie kan SRM-praktijken implementeren om belangrijke activa
te beveiligen en om veiligheidsrisico's te veroorzaken. Typische activiteiten en
verantwoordelijkheden die deel uitmaken van Security Management zijn: beleid,
procedures en normen, dreigingsbeoordelingen, onderzoeken enz.
Elk van de oefengebieden kan onafhankelijk functioneren; Ze kunnen echter alleen
hun volle voordelen realiseren wanneer ze correct worden geïntegreerd.
Security management is de term die van toepassing is op de ontwikkeling en
toepassing van conceptuele praktijken die het kader bieden voor alle gebieden van
SRM om zowel individueel als in het bijzonder als onderdeel van een groter geheel te
werken.
Het biedt ook een kader voor het gespecialiseerde SRM-oefengebied, maar helpt
vooral beslissers om middelen en risicobehandelingen aan te passen met
geïdentificeerde bedreigingen.
5.3 – fysieke beveiliging:
, Fysieke beveiliging houdt in fysieke bescherming van personeel, hardware,
eigendom, netwerken en gegevens van opzettelijke handelingen en gebeurtenissen.
Deze handelingen en gebeurtenissen kunnen diefstal, vandalisme en terrorisme
omvatten en kan leiden tot verlies of schade aan een organisatie of individu.
Het doel van het fysieke beveiligingssysteem is geheel of gedeeltelijk te
voorkomen of de waarschijnlijkheid ervan te verminderen. Een beveiligingssysteem
moet de mogelijkheid bieden om te ontdekken, te beoordelen, te communiceren, te
vertragen en te reageren op een vermoedelijke fysieke veiligheidsbeveiliging.
Behandelingen die betrekking hebben op andere SRM-oefengebieden zijn vaak
relevant voor fysieke veiligheidsproblemen en volledige beschermende
beveiligingsplannen moeten een overweging omvatten van fysieke veiligheid.
Beveiligingsmaatregelen moeten omvatten: toegangscontrolesystemen,
beveiligingspersoneel, installatie van noodhulpsystemen, enz.
Het opzetten van een fysieke beveiligingscontext is een nuttige eerste stap in het
identificeren van activa die bescherming behoeven. Deze context moet een
analyse van het interne en externe milieu bevatten, mits de manier waarop deze
omgeving de beveiliging en werking van een organisatie beïnvloedt. Deze analyse
moet de aandacht omvatten van: terrein, toegankelijkheid, bevolking enz.
Barrières is een obstakel die beweging of toegang voorkomt. Dit zijn een van de
meer visuele en veelzijdige eisen van fysieke veiligheid. Deuren, bollard en het
scherm beschermen activa tegen een reeks bedreigingen. Ze kunnen worden
gebruikt om: de omtrek van een actief te definiëren, controle te geven en toegang te
weigeren of ongeoorloofde toegang te detecteren en af te schaffen.
Barrières kunnen zowel natuurlijk als struciaal zijn. Natuurlijke barriers dienen te
worden geïdentificeerd in een initiële beoordeling van de activa en eventueel
gebruikt. Structurele barrières moeten niet alleen worden geplaatst om de fysieke
veiligheid te verbeteren, maar ook als een psychologisch afschrikmiddel voor
mensen die een aanval op de ezels overwegen te overwegen. Barrières dienen de
veiligheid te verbeteren en tegelijkertijd de noodzaak te beperken tot kostbare
menselijke of technologische beveiligingsmaatregelen.
De aard en het uiterlijk van een barrière moeten ook voldoen aan de behoeften van
een organisatie. Barrières moeten worden gemaakt van materialen die afschrikkelijk
kunnen zijn tegen mogelijke bedreigingen.
Het controleren van de toegang tot een asset kan worden geclassificeerd als de
eerste component van een fysiek SRM-plan. Opgemerkt moet worden dat de
nadruk ligt op het beheersen en de toegang van de beheerder in plaats van het
beperken of voorkomen van toegang.
Fysieke toegangscontrole kan ook betrekking hebben op de mogelijkheid van een
ballistische projectiel of explosieve golf om barrières te breken. Het is alleen mogelijk
om het effect van een explosie te wijzigen door te bepalen welke gebieden harder of
zachter zijn, waardoor de invloed en de richting van een explosieve golf kan
beïnvloeden.
Onbelemmerde zichtbaarheid van omheining en andere barrières kan mogelijk
inbreuken of aanvallen tegen een actief detecteren. Verlichtings- en
