In dit document vind je alle stof die is behandeld tijdens de lessen van Informatieveiligheid, jaar 2. Zowel de literatuur als de PowerPoint van elke week met daarbij extra aantekeningen.
SAMENVATTING INFORMATIE VEILIGHEID BLOK C
Leerdoelen:
1. Je kunt illustreren hoe digitalisering positieve en/of negatieve effecten heeft op de
maatschappij in het algemeen en het veiligheidsdomein in het bijzonder.
2. Je kunt voorbeelden geven van gevolgen (gewenst en ongewenst) van het gebruik van big
data in het veiligheidsdomein op groepen in de maatschappij.
3. Je kunt het belang van privacy uitleggen, mogelijke knelpunten in praktijksituaties herkennen,
en de definities toepassen in niet-complexe situaties.
4. Je kunt belangrijke begrippen uit de Algemene Verordening Gegevensbescherming
definiëren of beschrijven en kunt de beginselen van deze wetgeving in eigen woorden
weergeven.
5. Je kunt op gestructureerde wijze volgens IS0 27001 de risico’s in een organisatie op het
gebied van informatieveiligheid analyseren.
6. Je legt het model van de BIV-driehoek uit en kunt concrete informatieveiligheidsrisico’s in de
praktijk aan de hand van dit model onderzoeken en classificeren.
7. Je kent de meest recente uitgave van het Cyber Security Beeld Nederland en kunt
voorbeelden geven van de daarin besproken kernproblematieken, dreigingen, belangen en
weerbaarheid. Je kent het jargon uit de begrippenlijst van deze publicatie en kan dat
toepassen in je beantwoording van contextuele vragen.
8. Je kunt de oorsprong of aanleiding van verschillende typen informatieveiligheidsrisico’s
(bijvoorbeeld technisch-organisatorisch-menselijk) herkennen en classificeren in een gegeven
situatie en kunt voorbeelden geven sociaal-psychologische factoren die van invloed zijn op
informatieveiligheid (human factor).
9. Je kunt de belangrijkste begrippen en concepten van het thema cybercrime uitleggen en
toepassen op praktijkvraagstukken.
10. Je kent de laatste ontwikkelingen en knelpunten bij de bestrijding van cybercrime en welke
actoren daarbij betrokken zijn.
C1 LITERATUUR
H3 TERMEN EN DEFINITIES (BASISKENNIS INFORMATIEBEVEILIGING)
3.1 DEFINITIES
Aanval: een poging om ongeautoriseerd toegang te krijgen tot bedrijfsinformatie. Die informatie te
lezen, te stelen, te wijzigen, onbruikbaar te maken of ongeoorloofd gebruik van die bedrijfsinformatie
te maken.
Asset: zie bedrijfsmiddel.
Authenticeren: het authentiek, rechtsgeldig maken, vaststellen of het echt waar is. In de IT-context,
wordt hier vooral mee bedoeld: het vaststellen van de juiste identiteit van een persoon die of systeem
dat zich aanmeldt bij een systeem om toegang te krijgen tot informatie in dat systeem.
Bedreiging: potentiële oorzaak van een ongewenst incident dat een systeem of organisatie schade
kan toebrengen.
Bedrijfsmiddel: alles wat waarde heeft voor de organisatie. Dit is een brede definitie, waarbij je kunt
denken aan gebouwen, informatie, software, hardware, hardcopies (papier), diensten; maar ook
mensen, vaardigheden en ervaring en immateriële vaste activa, zoals de reputatie en het imago van
de organisatie.
,Beheersmaatregel (waarborging/tegenmaatregel): een middel om risico’s te beheersen, waaronder
beleid, procedures, richtlijnen, werkwijzen of organisatiestructuren, die administratief, technisch,
beheersmatig of juridisch van aard kunnen zijn.
Beleid: de formeel uitgesproken inrichting van informatiebeveiliging en de intentie van de directie hoe
om te gaan met bedrijfsrisico’s en de bescherming van de organisatie tegen
informatiebeveiligingsrisico’s.
Beschikbaarheid: beschikbaarheid waarborgt de betrouwbare en tijdige toegang tot data of
computercapaciteit voor de medewerkers. Met andere woorden, beschikbaarheid garandeert dat de
computersystemen beschikbaar zijn op het moment dat ze nodig zijn om de werkprocessen te kunnen
uitvoeren. Aanvullend hierop, betekent het voor de beveiligingsverantwoordelijke dat de
beveiligingsmaatregelen die op computersystemen genomen zijn, ook daadwerkelijk naar behoren
functioneren.
Blootstelling: met blootstelling wordt bedoeld dat een bepaald risico werkelijkheid wordt en de
organisatie op dat moment schade oploopt.
Control (Maatregel): middelen voor het managen van een risico. Meestal wordt een control ingezet
als technische of organisatorische beveiligingsmaatregel. Hieronder vallen ook het
bedrijfsbeveiligingsbeleid, procedures, richtlijnen en ‘best-practices’. Deze kunnen organisatorische
structuren omvatten zoals administratie, technische en managementactiviteiten.
Derde partij: iedere persoon, die niet als contractspartij bij een overeenkomst is betrokken, is t.o.v.
van betreffende contractspartijen een derde.
Faciliteiten voor het gebruik van informatie: iedere vorm van een informatiesysteem, service of
infrastructuur die gebruikt wordt om informatie op te slaan, te bewerken en te beheren en de fysieke
middelen en locaties dienen daarvoor aanwezig te zijn.
Handreiking: onder de handreiking (Engels: guideline) worden richtlijnen bedoeld die niet per se op
die manier opgevolgd hoeven te worden. Het zijn hulpmiddelen die richting geven aan een werkwijze.
Informatie: informatie is data die betekenis heeft voor de ontvanger van die informatie. Wanner
informatie in een computersysteem wordt opgeslagen, wordt daar meestal naar verwezen als data.
Nadat de data is verwerkt, zal dit als informatie worden gezien.
Informatieanalyse: informatieanalyse geeft een duidelijk beeld van hoe een organisatie met zijn
informatie omgaat; hoe de informatie door de organisatie stroomt. In het Engels wordt dit ‘flow’
genoemd. Het Nederlandse woord informatiestroom is de beste benadering van de betekenis van het
woord ‘flow’.
Informatiebeveiliging: het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van
informatie. Daarbij kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording,
onweerlegbaarheid en betrouwbaarheid een rol spelen.
Informatiebeveiligingsgebeurtenis: de vastgestelde status van een systeem, dienst of netwerk die
duidt op een mogelijke overtreding van het beleid voor informatiebeveiliging of een falen van een
beveiligingsvoorziening, of een tot dan onbekende situatie die relevant kan zijn voor beveiliging.
Informatiebeveiligingsincident: afzonderlijke gebeurtenis of een serie ongewenste of onverwachte
informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze nadelige gevolgen voor de
bedrijfsvoering hebben en een bedreiging vormen voor de informatiebeveiliging.
Informatiebeveiligingsmanagement: alle gecoördineerde activiteiten die richting geven aan het
beleid van een organisatie ten aanzien van risico’s. Risicomanagement omvat normaal gesproken
,risicoanalyses, het nemen van beveiligingsmaatregelen, het accepteren van risico’s tot een bepaald
niveau en het communiceren van risico’s binnen de organisatie.
Informatiemanagement: informatiemanagement beschrijft de wijze waarop een organisatie haar
informatiestromen efficiënt plant, verzamelt, organiseert, gebruikt en controleert. En
informatiemanagement gaat ook over hoe de organisatie de informatie verspreidt en uitdraagt en de
wijze waarop ze ervoor zorgt dat de waarde die de informatie in zich heeft ook ten volle benut wordt.
Informatiesysteem: applicatie, service of IT-onderdeel waarmee informatie verwerkt kan worden.
Integriteit: integriteit gaat over de bescherming tegen ongeautoriseerde modificatie van (data in)
software en hardware. Dit kan gebeuren door geautoriseerde en ongeautoriseerde medewerkers. Het
gaat erom te waarborgen dat data betrouwbaar is.
IT-voorzieningen: elk systeem, elke dienst of infrastructuur voor informatieverwerking, of die de
fysieke locaties waarin ze zijn ondergebracht.
Kwetsbaarheid: zwakte van een bedrijfsmiddel of groep bedrijfsmiddelen die door een of meer
bedreigingen kan worden benut.
Onweerlegbaarheid (non-repudiation): onweerlegbaarheid (onloochenbaarheid) is de waarborg dat
ontvangst en/of verzending van een contract of een bericht niet kan worden ontkend door de beide
betrokken partijen, respectievelijke de ontvanger en de verzender.
Preventieve actie: maatregel genomen om een incident te voorkomen (denk hierbij aan een firewall
en antivirus/antimaleware-maatregelen).
Procedure: specifieke beschrijving hoe een bepaald proces uitgevoerd moet worden. Dit in
tegenstelling tot de apart genoemde Handreiking die de gebruiker vrij laat in de uitvoering.
Proces: een samenhangende set van inter-gerelateerde of interactieve handelingen die samen leiden
tot een bepaalde in- of output.
Restrisico (residual risk): het risico dat overblijft nadat beveiligingsmaatregelen genomen zijn. Het is
vaak onmogelijk om risico’s volledig uit te sluiten, maar het is meestal wel mogelijk om risico’s tot een
aanvaardbaar niveau terug te brengen. Het kleine, geaccepteerde risico is het rest risico.
Risico: combinatie van de waarschijnlijkheid van een gebeurtenis en het gevolg ervan.
Risicoacceptatie (risk appetite): het risico dat een organisatie bereid is te nemen. Vaak wordt dit
bepaald op basis van een risicoanalyse en heeft het te maken met de kosten die gepaard gaan met
het nemen van bepaalde beveiligingsmaatregelen, die niet in verhouding staan met de kans dat een
incident zich voordoet en de mate van kwetsbaarheid die de organisatie dan loopt.
Risicobeheer: gecoördineerde activiteiten om een organisatie sturing te geven en te bewaken met
betrekking tot risico’s. Risicobeheer omvat doorgaans Risicobeoordeling, Risicobehandeling,
Risicoacceptatie en risicocommunicatie.
Risicobehandeling: proces keuzes en implementatie van maatregelen om risico’s te verlagen. Risico-
behandeling kan inhouden:
Het vermijden van het risico door te besluiten niet te starten of verder te gaan met de activiteit
die ervoor zorgt dat het risico groter wordt;
Het accepteren van een risico, waardoor de kans om een opdracht te winnen, groter wordt;
De risicobron verwijderen;
Door bepaalde maatregelen te nemen de gevolgen van een incident veranderen;
, Het delen van het risico met een andere partij of partijen (met inbegrip van contracten en
risicofinanciering).;
Het risico weloverwogen accepteren.
Risicobehandelingen die handelen over negatieve gevolgen worden soms aangeduid als
risicomitigatie, risico-eliminatie, risicopreventie en vermindering van het risico. Risicobehandeling kan
nieuwe risico’s creëren of bestaande risico’s wijzigen.
Risicobeoordeling: het gehele proces van risicoanalyse en risico-evaluatie.
Risico-evaluatie: proces waarin het ingeschatte risico wordt afgewogen tegen vastgestelde
risicocriteria om te bepalen in welke mate het risico significant is.
Risico-identificatie: het proces van het vinden, beoordelen en beschrijven van risico’s. Risico-
identificatie omvat de identificatie van risicobronnen, incidenten, oorzaken en consequenties.
Vertrouwelijkheid: de mate waarin de toegang tot informatie wordt beperkt tot een bepaalde groep
gerechtigden, die inzage mag hebben in de data. Dit wordt ook wel exclusiviteit genoemd. Verlies van
vertrouwelijkheid kan op veel manieren ontstaan, zoals het bewust verspreiden van gevoelige
informatie over een bedrijf, of het onbewust lekken van informatie door fouten in autorisaties in
applicaties of netwerkrechten.
3.2 BEVEILIGINGSCONCEPTEN
De termen ‘kwetsbaarheid’, ‘dreiging’, ‘risico’ en ‘blootstelling’ worden vaak door elkaar gebruikt maar
betekenen niet hetzelfde. Ze hebben wel onderlinge relaties met elkaar.
Risicoanalyse: wordt gebruikt om inzicht te krijgen in wat we moeten beveiligen en tegen welke
dreigingen we beveiligen.
Beveiligingseisen worden vastgesteld op basis van een methodisch onderzoek naar
beveiligingsmaatregelen gebaseerd op de risico’s die een organisatie loopt.
De resultaten van een risicoanalyse helpen het management bij het stellen van prioriteiten en het
nemen van de juiste acties en beslissingen voor het managen van de informatiebeveiligingsrisico’s.
Risicobeoordelingen moeten regelmatig herhaald worden om wijzigingen in werkwijze, systemen en
ook wijzigingen in externe dreigingen te kunnen vaststellen en daarop indien nodig de
beveiligingsmaatregelen aan te passen.
Informatiebeveiliging wordt bereikt door het implementeren van een afgewogen set van
organisatorische en technische maatregelen. Bijv.:
Beleidsdocumenten;
Procedures;
Organisatorische structuur en inbedding in de organisatie;
Softwarefuncties;
Hardwarefuncties.
Deze maatregelen moeten niet alleen geïmplementeerd worden, maar vooral gecontroleerd en waar
nodig worden bijgesteld en verbeterd. Hierbij zijn te allen tijde de businessdoelstellingen van de
organisatie leidend.
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller gabrielleoosterkamp. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $7.27. You're not tied to anything after your purchase.
