Hoofdstuk 1. Introductie en hoofdstuk 2. Case......................................................................................2
Hoofdstuk 3. Termen en definities.........................................................................................................2
Hoofdstuk 4. Context van de organisatie................................................................................................5
Hoofdstuk 5. Informatiebeveiligingsbeleid.............................................................................................7
Hoofdstuk 6. Organisatie van informatiebeveiliging...............................................................................8
Hoofdstuk 7. Personeel en informatiebeveiliging...................................................................................9
Hoofdstuk 8. Asset management.........................................................................................................10
Hoofdstuk 9. Toegangscontrole............................................................................................................12
Hoofdstuk 10. Cryptografie..................................................................................................................13
Hoofdstuk 11. Fysieke en omgevingsbeveiliging..................................................................................14
Hoofdstuk 12. Beveiliging bedrijfsvoering (Operations security)..........................................................15
Hoofdstuk 13. Communicatiebeveiliging..............................................................................................16
Hoofdstuk 14. Aanschaf, ontwikkeling en onderhoud van een systeem..............................................17
Hoofdstuk 15. Leveranciersrelaties......................................................................................................18
Hoofdstuk 16. Incidentmanagement....................................................................................................19
Hoofdstuk 17. Bedrijfscontinuïteitsbeheer...........................................................................................20
Hoofdstuk 18. Compliance...................................................................................................................21
Termen en definities.............................................................................................................................22
1
,Hoofdstuk 1. Introductie en hoofdstuk 2. Case.
In informatiebeveiliging is het belangrijk om met vier punten rekening te houden
1. De kwaliteitseisen die een organisatie stelt aan informatie
2. De risico’s die geassocieerd worden met die kwaliteitseisen
3. De beveiligingsmaatregelen die genomen worden om die risico’s af te dekken
4. Wanneer en hoe incidenten buiten de organisatie gerapporteerd worden.
Wat is kwaliteit?
Kwaliteit is de mate waarin de prestaties en de verwachtingen overeenkomen. Een organisatie moet
bepalen wat zij verstaan onder kwaliteit.
Hoofdstuk 3. Termen en definities
Zie voor de begrippenlijst achterin de samenvatting
Beveiligingsconcepten
- Beveiligingseisen worden vastgelegd op basis van een methodisch onderzoek naar
beveiligingsmaatregelen gebaseerd op de risico’s die een organisatie loopt.
- De resultaten van een risicoanalyse helpen het management bij het stellen van prioriteiten
en het nemen van de juiste acties en beslissingen.
Fundamentele principes binnen de informatiebeveiliging
De belangrijkste principes van een informatiebeveiligingsprogramma zijn exclusiviteit
(vertrouwelijkheid), integriteit en beschikbaarheid. Dit wordt aangeduid met de BEI-driehoek (of BIV-
driehoek genoemd). Alles wordt geïmplementeerd om deze principes in te vullen.
Vertrouwelijkheid (exclusiviteit)
Vertrouwelijkheid gaat over beperkingen in termen van wie bij welke informatie kan.
Vertrouwelijkheid is erop gericht dat het noodzakelijke niveau van geheimhouding wordt
gerealiseerd voor elk moment dat die data verwerkt wordt en voorkomt het geautoriseerd vrijgeven
ervan. Vertrouwelijkheid kan gerealiseerd worden met encryptie, toegangscontroles, dataclassificatie
en training van personen.
Integriteit
Integriteit is de mate waarin de informatie actueel en zonder fouten is. Het gaat over de juistheid en
de volledigheid van de informatie. Integriteit betekent dat de informatie compleet, correct en
ongeschonden is.
Beschikbaarheid
Beschikbaarheid gaat over:
- Tijdigheid: de informatie is beschikbaar op het moment dat ze nodig is
- Continuïteit: men kan doorwerken ook al is er een fout of storing
- Robuustheid: er is voldoende capaciteit zodat het niet overbelast raakt
Dit kan gerealiseerd worden door bijvoorbeeld automatische back-ups en firewall configuraties.
Parkerian Hexad
2
, De Parkerian Hexad is een set van zes elementen voor informatiebeveiliging. De Parkerian Hexad
voegt drie elementen toe aan de BIV-drieboek. De elementen zijn beschikbaarheid, integriteit,
vertrouwelijkheid, bezit of controle, authenticiteit en utiliteit.
Beoordeling van veiligheidsrisico’s
1. Risicomanagement (ISO/IEC 27005:2011)
Risicomanagement is het continue proces van plannen, organiseren en het controleren van de
activiteiten van een organisatie om de effecten van een risico te minimaliseren en om het kapitaal/
winst van de organisatie te beschermen. De ISO 27005:2011 voorziet in informatie en richtlijnen met
betrekking tot risicomanagement. Belangrijke uitgangspunten ten aanzien van informatiebeveiliging:
1. De risico’s die de organisatie loopt
2. De wettelijke, statutaire en contractuele eisen waaraan een organisatie moet voldoen
3. De principes, doelstellingen en zakelijke vereisten
2. Risicobeoordeling- en behandeling (ISO/IEC 27002)
In elk project moet het informatiebeveiligingsrisico worden beoordeeld. Het is belangrijk dat dit
vanaf het begin gebeurt, zodat de beveiliging wordt gewaarborgd. Risicobeoordeling gaat over het
identificeren en kwantificeren van risico’s. Uit deze resultaten worden de juiste beheersmaatregelen
bepaald en worden prioriteiten gesteld. Een risicobeoordeling moet periodiek worden gedaan.
Risicobeoordeling bestaat uit:
1. Business impact analyse: een aanpak om de impact van incidenten in te schatten
2. Dreigingen en kwetsbaarhedenanalyse: de verwachte dreigingen en kwetsbaarheden worden
aan de hand van risicocriteria beoordeeld om de gevolgen van incidenten te bepalen.
3. Risicoanalyseaanpak (ISO/IEC 27005)
Risicoanalyse is het proces van definiëren en analyseren van de gevaren voor personen, organisaties
en overheidsinstellingen dat uitgaat van potentiële natuurlijke en door de mens veroorzaakte
gebeurtenissen. Het doel is om de bedreigingen en de bijbehorende risico’s in beeld te krijgen en om
de veiligheidsmaatregelen en een beveiligingsplan op te stellen. Heeft vier hoofddoelen:
1. Het identificeren van de waarde van bedrijfsmiddelen (assets)
2. Het vaststellen van kwetsbaarheden en dreigingen
3. Het vaststellen van het risico dat dreigingen werkelijkheid worden en het proces verstoren
4. Het vinden van een evenwicht tussen de kosten van een incident en een maatregel
Er zijn twee soorten risicoanalyses:
1. Kwantitatief: berekent hoe groot de kans is dat een dreiging een incident wordt en wat de
financiële gevolgen zijn van het incident. Koppelt een geldwaarde aan alle zaken.
2. Kwalitatief: gaat uit van scenario’s en verzonnen situaties, gaat uit van ‘het gevoel’. Dit levert
een subjectief dreigingsgevoel op.
Beveiligingsrisico’s beperken (ISO/IEC 27001:2013)
Beveiligingsmaatregelen zijn technische of administratieve garanties of tegenmaatregelen om
incidenten te voorkomen, tegen te gaan of te minimaliseren en de schade te beperken. Er zijn
verschillende typen beveiligingsmaatregelen:
1. Reductieve maatregelen: reduceren van bedreigingen
2. Preventieve maatregelen: voorkomen van incidenten (bijv. kluis)
3. Detectieve maatregelen: incidenten detecteren (bijv. brandmelders)
4. Repressieve maatregelen: de gevolgen van een incident stoppen (bijv. brand blussen)
3
Hoofdstuk 3. Termen en definities.........................................................................................................2
Hoofdstuk 4. Context van de organisatie................................................................................................5
Hoofdstuk 5. Informatiebeveiligingsbeleid.............................................................................................7
Hoofdstuk 6. Organisatie van informatiebeveiliging...............................................................................8
Hoofdstuk 7. Personeel en informatiebeveiliging...................................................................................9
Hoofdstuk 8. Asset management.........................................................................................................10
Hoofdstuk 9. Toegangscontrole............................................................................................................12
Hoofdstuk 10. Cryptografie..................................................................................................................13
Hoofdstuk 11. Fysieke en omgevingsbeveiliging..................................................................................14
Hoofdstuk 12. Beveiliging bedrijfsvoering (Operations security)..........................................................15
Hoofdstuk 13. Communicatiebeveiliging..............................................................................................16
Hoofdstuk 14. Aanschaf, ontwikkeling en onderhoud van een systeem..............................................17
Hoofdstuk 15. Leveranciersrelaties......................................................................................................18
Hoofdstuk 16. Incidentmanagement....................................................................................................19
Hoofdstuk 17. Bedrijfscontinuïteitsbeheer...........................................................................................20
Hoofdstuk 18. Compliance...................................................................................................................21
Termen en definities.............................................................................................................................22
1
,Hoofdstuk 1. Introductie en hoofdstuk 2. Case.
In informatiebeveiliging is het belangrijk om met vier punten rekening te houden
1. De kwaliteitseisen die een organisatie stelt aan informatie
2. De risico’s die geassocieerd worden met die kwaliteitseisen
3. De beveiligingsmaatregelen die genomen worden om die risico’s af te dekken
4. Wanneer en hoe incidenten buiten de organisatie gerapporteerd worden.
Wat is kwaliteit?
Kwaliteit is de mate waarin de prestaties en de verwachtingen overeenkomen. Een organisatie moet
bepalen wat zij verstaan onder kwaliteit.
Hoofdstuk 3. Termen en definities
Zie voor de begrippenlijst achterin de samenvatting
Beveiligingsconcepten
- Beveiligingseisen worden vastgelegd op basis van een methodisch onderzoek naar
beveiligingsmaatregelen gebaseerd op de risico’s die een organisatie loopt.
- De resultaten van een risicoanalyse helpen het management bij het stellen van prioriteiten
en het nemen van de juiste acties en beslissingen.
Fundamentele principes binnen de informatiebeveiliging
De belangrijkste principes van een informatiebeveiligingsprogramma zijn exclusiviteit
(vertrouwelijkheid), integriteit en beschikbaarheid. Dit wordt aangeduid met de BEI-driehoek (of BIV-
driehoek genoemd). Alles wordt geïmplementeerd om deze principes in te vullen.
Vertrouwelijkheid (exclusiviteit)
Vertrouwelijkheid gaat over beperkingen in termen van wie bij welke informatie kan.
Vertrouwelijkheid is erop gericht dat het noodzakelijke niveau van geheimhouding wordt
gerealiseerd voor elk moment dat die data verwerkt wordt en voorkomt het geautoriseerd vrijgeven
ervan. Vertrouwelijkheid kan gerealiseerd worden met encryptie, toegangscontroles, dataclassificatie
en training van personen.
Integriteit
Integriteit is de mate waarin de informatie actueel en zonder fouten is. Het gaat over de juistheid en
de volledigheid van de informatie. Integriteit betekent dat de informatie compleet, correct en
ongeschonden is.
Beschikbaarheid
Beschikbaarheid gaat over:
- Tijdigheid: de informatie is beschikbaar op het moment dat ze nodig is
- Continuïteit: men kan doorwerken ook al is er een fout of storing
- Robuustheid: er is voldoende capaciteit zodat het niet overbelast raakt
Dit kan gerealiseerd worden door bijvoorbeeld automatische back-ups en firewall configuraties.
Parkerian Hexad
2
, De Parkerian Hexad is een set van zes elementen voor informatiebeveiliging. De Parkerian Hexad
voegt drie elementen toe aan de BIV-drieboek. De elementen zijn beschikbaarheid, integriteit,
vertrouwelijkheid, bezit of controle, authenticiteit en utiliteit.
Beoordeling van veiligheidsrisico’s
1. Risicomanagement (ISO/IEC 27005:2011)
Risicomanagement is het continue proces van plannen, organiseren en het controleren van de
activiteiten van een organisatie om de effecten van een risico te minimaliseren en om het kapitaal/
winst van de organisatie te beschermen. De ISO 27005:2011 voorziet in informatie en richtlijnen met
betrekking tot risicomanagement. Belangrijke uitgangspunten ten aanzien van informatiebeveiliging:
1. De risico’s die de organisatie loopt
2. De wettelijke, statutaire en contractuele eisen waaraan een organisatie moet voldoen
3. De principes, doelstellingen en zakelijke vereisten
2. Risicobeoordeling- en behandeling (ISO/IEC 27002)
In elk project moet het informatiebeveiligingsrisico worden beoordeeld. Het is belangrijk dat dit
vanaf het begin gebeurt, zodat de beveiliging wordt gewaarborgd. Risicobeoordeling gaat over het
identificeren en kwantificeren van risico’s. Uit deze resultaten worden de juiste beheersmaatregelen
bepaald en worden prioriteiten gesteld. Een risicobeoordeling moet periodiek worden gedaan.
Risicobeoordeling bestaat uit:
1. Business impact analyse: een aanpak om de impact van incidenten in te schatten
2. Dreigingen en kwetsbaarhedenanalyse: de verwachte dreigingen en kwetsbaarheden worden
aan de hand van risicocriteria beoordeeld om de gevolgen van incidenten te bepalen.
3. Risicoanalyseaanpak (ISO/IEC 27005)
Risicoanalyse is het proces van definiëren en analyseren van de gevaren voor personen, organisaties
en overheidsinstellingen dat uitgaat van potentiële natuurlijke en door de mens veroorzaakte
gebeurtenissen. Het doel is om de bedreigingen en de bijbehorende risico’s in beeld te krijgen en om
de veiligheidsmaatregelen en een beveiligingsplan op te stellen. Heeft vier hoofddoelen:
1. Het identificeren van de waarde van bedrijfsmiddelen (assets)
2. Het vaststellen van kwetsbaarheden en dreigingen
3. Het vaststellen van het risico dat dreigingen werkelijkheid worden en het proces verstoren
4. Het vinden van een evenwicht tussen de kosten van een incident en een maatregel
Er zijn twee soorten risicoanalyses:
1. Kwantitatief: berekent hoe groot de kans is dat een dreiging een incident wordt en wat de
financiële gevolgen zijn van het incident. Koppelt een geldwaarde aan alle zaken.
2. Kwalitatief: gaat uit van scenario’s en verzonnen situaties, gaat uit van ‘het gevoel’. Dit levert
een subjectief dreigingsgevoel op.
Beveiligingsrisico’s beperken (ISO/IEC 27001:2013)
Beveiligingsmaatregelen zijn technische of administratieve garanties of tegenmaatregelen om
incidenten te voorkomen, tegen te gaan of te minimaliseren en de schade te beperken. Er zijn
verschillende typen beveiligingsmaatregelen:
1. Reductieve maatregelen: reduceren van bedreigingen
2. Preventieve maatregelen: voorkomen van incidenten (bijv. kluis)
3. Detectieve maatregelen: incidenten detecteren (bijv. brandmelders)
4. Repressieve maatregelen: de gevolgen van een incident stoppen (bijv. brand blussen)
3
