samenvatting basiskennis beveiligen van informatie
bestuurlijke informatievoorziening 2
Written for
Hanzehogeschool Groningen (Hanze)
Accountancy
Bestuurlijke informatie voorziening 2
All documents for this subject (1)
4
reviews
By: ekleinhofmeijer • 6 year ago
By: Folkert • 7 year ago
By: davesylbing • 7 year ago
By: Chulo • 7 year ago
Seller
Follow
LarsV95
Reviews received
Content preview
4. Informatie, bedrijfsdoelstellingen en kwaliteitseisen
Informatiebeveiliging betreft het definiëren, implementeren, onderhouden, handhaven en evalueren
van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit en de
vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen.
4.1 Verschijningsvormen
Kennis die iemand bereikt onderscheidt informatie van gegevens en van data. Data zijn gegevens die
in de informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie als deze
gegevens geïnterpreteerd kunnen worden tot een zinvolle boodschap. De waarde van informatie
wordt bepaald door de waarde die de ontvanger van deze informatie daaraan toekent.
4.2 Informatiesystemen
Een informatiesysteem is het geheel van middelen, procedures, regels en mensen dat de
informatievoorziening voor een bedrijfsproces verzorgt.
4.4 Informatie als productiefactor
De standaard productiefactoren van een bedrijf of organisatie zijn: kapitaal, arbeid en grondstoffen.
In de informatietechnologie en in de informatiebeveiliging is het gebruikelijk ook informatie als
productiefactor te zien (naast kapitaal, arbeid en grondstoffen), aangezien bedrijven niet zonder
informatie kunnen.
4.5 Beshcikbaarheid, integriteit en vertrouwelijkheid (BIV)
Informatie moet betrouwbaar zijn, dat wil zeggen (BIV):
beschikbaar (availibility); de mate waarin informatie beschikbaar is voor de gebruiker en het
informatiesysteem in bedrijf is op het moment dat de organisatie deze nodig heeft.
Kenmerken beschikbaarheid:
o Tijdigheid: de informatiesystemen zijn beschikbaar gedurende werktijd
o continuïteit: medewerkers kunnen doorwerken
o robuustheid: voldoende capaciteit om alle medewerkers met het systeem te laten
werken.
integer (integrity); de mate waarin de informatie actueel en zonder fouten is. Kenmerken van
integriteit zijn de juistheid en de volledigheid van de informatie.
vertrouwelijk (exclusiviteit of confidentiality); de mate waarin de toegang tot informatie
beperkt is tot een gedefinieerde groep die daar rechten toe heeft. Hieronder vallen ook
maatregelen die de privacy beschermen. Inloggen in het systeem is een voorbeeld van
vertrouwelijkheid.
Elk bedrijfsproces stelt specifieke eisen aan de informatievoorziening. Websites moeten bijv. een
hoge beschikbaarheid hebben, andere processen zijn gebaat bij de correctheid van bijv.
productprijzen.
Bij ieder verzoek om een risicoanalyse uit te voeren of een beveiligingsadvies te geven, zal de
adviseur op basis van deze drie pijlers zijn of haar advies uitbrengen. Uitgangspunt is de invloed die
de BIV‐eisen hebben op de waarde van de informatie:
Het belang van de informatie voor de bedrijfsprocessen;
De onmisbaarheid van de informatie binnen bedrijfsprocessen;
De herstelbaarheid van de informatie
,4.6 Informatiearchitectuur
Informatiearchitectuur is het proces dat zich richt op de inrichting van de informatievoorziening
binnen
een organisatie en richt zich primair op het invullen van de informatiebehoefte van een organisatie
en de wijze waarop dit georganiseerd kan worden. Informatiebeveiliging kan dit proces
ondersteunen
door de integriteit, beschikbaarheid en vertrouwelijkheid van de informatie te waarborgen.
4.7 bedrijfsprocessen en informatie
In een bedrijfsomgeving is er een nauw verband tussen bedrijfsprocessen en informatie.
Bedrijfsproces is het proces dat voor het bedrijf de basis is van zijn bestaan.
Elk bedrijfsproces stelt zijn specifieke eisen aan de informatievoorziening. Zo zijn er processen die
sterk afhankelijk zijn van de beschikbaarheid van informatie, zoals een website. Terwijl andere
processen juist gebaat zijn bij de absolute correctheid van informatie zoals prijzen van producten.
4.8 Informatieanalyse
Informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met informatie. Hoe loopt
de informatie door de organisatie heen. Bijvoorbeeld plaatsen van een order en de verwerking
hiervan. Het resultaat van een informatieanalyse kan gebruikt worden om tot een ontwerp te komen
voor een informatiesystemen.
4.9 Informatiemanagement
Informatiemanagement formuleert en richt het beleid in rondom de informatievoorziening van een
organisatie. Daarbij kan een informatiemanager gebruik maken van de informatiearchitectuur en een
informatieanalyse.
4.10 Informatica
Informatica heeft betrekking op de wetenschap die zich bezighoudt met de logica die gebruikt
wordt bij het structureren van informatie en systemen. Daarbij is van belang dat deze kennis ingezet
kan worden in het ontwikkelen van programmatuur.
5. Dreigingen en risico’s (risicoanalyse)
Met een risicoanalyse worden de risico’s voor een organisatie in kaart gebracht. Een risico, het
gevaar voor schade aan of verlies van informatie, wordt bepaald door een aantal factoren:
De dreiging; een proces of gebeurtenis die de BIV van informatie of informatiesysteem kan
aantasten.
De kans dat een dreiging zich daadwerkelijk voordoet;
De gevolgen daarvan.
Wanneer een dreiging zich manifesteert spreken we van een incident. Een stroomstoring is een
voorbeeld van een groot incident waarbij de continuïteit van het bedrijf in gevaar is. Dit noemen we
een calamiteit.
Het proces om van dreigingen naar risico’s en naar beveiligingsmaatregelen te gaan heet
risicomanagement. Dit is een continu proces waarin de risico’s worden onderzocht, geïdentificeerd
en gereduceerd tot een acceptabel niveau.
,5.1 Risicoanalyse
Risicoanalyse is een middel in risicomanagement. Het uitvoeren van een risicoanalyse heeft als doel
inzichtelijk te maken welke dreigingen relevant zijn voor de bedrijfsprocessen en welke risico’s
hiermee gepaard gaan. Het beveiligingsniveau met de daarbij passende beveiligingsmaatregelen
worden vastgesteld
Een risicoanalyse wordt gebruikt om zeker te stellen dat beveiligingsmaatregelen op een
kosteneffectieve en tijdige manier worden ingezet en daarmee een goed antwoord vormen op de
dreigingen.
Risicoanalyse heeft vier hoofdoelen:
Het identificeren van middelen en hun waarden;
Het vaststellen van kwetsbaarheden en dreigingen;
Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het
bedrijfsproces verstoren;
Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een
beveiligingsmaatregel.
5.2 Soorten risicoanalyses
Kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen wat het financiële
verlies is en hoe groot de kans is dat een dreiging een incident wordt. Voor alle elementen in een
bedrijfsproces wordt de waarde vastgesteld. Deze waarden kunnen de kosten van
beveiligingsmaatregelen bevatten maar ook de waarde van eigendommen zoals gebouwen.,
hardware, software en bedrijfsmatige impact.
Kwalitatieve risicoanalyse gaat uit van scenario’s en situaties. Hierbij worden de kansen dat een
dreiging uitkomt bekeken op gevoel. Dan wordt gekeken naar het bedrijfsproces waarop de dreiging
betrekking heeft en naar de beveiligingsmaatregelen die al genomen zijn. Dit alles levert een
subjectief dreigingsgevoel op, waarop vervolgens maatregelen worden genomen. Hierop worden
vervolgens maatregelen genomen die het risico moeten inperken.
5.3 Maatregelen die het risico verminderen
Typen beveiligingsmaatregelen:
Preventieve maatregelen zijn gericht op het voorkomen van incidenten;
Detective maatregelen zijn bedoeld om incidenten waar te kunnen nemen (videobewaking);
Repressieve (onderdrukken) maatregelen zijn bedoeld om de gevolgen van een incident te
stoppen (backup);
Correctieve maatregelen zijn bedoeld om de ontstane schade te herstellen.
5.3.6 Verzekeren
Voor gebeurtenissen die niet uit te sluiten en waarvan de gevolgen onaanvaardbaar zijn, zoeken we
methoden om de gevolgen te verwachten, ook wel mitigatie genoemd. Dus verzekering afsluiten
voor bijvoorbeeld brand of een dagelijkse kopie van alle belangrijke gegeven buiten de organisatie
brengen die ervoor zorgt dat na de brand in ieder geval de onvervangbare gegevens er nog zijn.
5.4.7 Accepteren
Wanneer alle maatregelen bekend zijn, kan besloten worden om bepaalde beveiligingsmaatregelen
niet uit te voeren omdat de kosten te hoog zijn in verhouding met het rendement of omdat er geen
passende maatregelen mogelijk zijn.
, 5.5 Soorten dreigingen
Soorten dreigingen zijn:
Menselijke dreigingen:
o Opzettelijk:
o niet opzettelijk
o social engineering (gebruik maken van mensen door ze informatie te ontfutselen)
Niet‐menselijke dreigingen: invloeden van buitenaf zoals bliksem, brand, stormschade etc.
5.6 Soorten schade
Soorten schaden:
Directe schade; heeft direct gevolgen voor de business, bijv. diefstal
Indirecte schade; gevolgschade die kan optreden, bijv. waterschade van het brandblussen
Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE)
Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE)
5.7 Soorten risicostrategieën
Risicostrategieën; we kunnen op verschillende manieren met risico’s omgaan. De meest
voorkomende strategieën zijn:
Risicodragend; sommige risico’s worden geaccepteerd. Veelal repressieve maatregelen.
Risiconeutraal; er worden dusdanige maatregelen genomen dat dreigingen of niet meer
manifest worden, of dat de schade ervan geminimaliseerd is. Combinatie van preventieve,
detective en repressieve maatregelen.
Risicomijdend; zorgen dat de dreiging helemaal niet meer leidt tot een incident. Met name
preventieve maatregelen worden getroffen.
5.8 Richtlijnen bij het invoeren van beveiligingsmaatregelen
ISO/IEC 27001:2005 gaat over de inrichting van het informatiebeveiligingsproces.
ISO/IEC 20000 is de wereldwijde standaard voor IT‐servicemanagement.
Beide normeringen bieden houvast om de bedrijfsprocessen doelmatig en beveiligd in te richten.
In de ISO/IEC 27002:2007, ook wel bekend onder de naam ‘Code voor de Informatiebeveiliging’,
staan richtlijnen voor maatregelen op het gebied van informatiebeveiliging. De richtlijnen in de
ISO/IEC
27002:2007 bestrijken het organisatorisch vlak, het procedurele vlak, het fysieke vlak en het logische
vlak van informatiebeveiliging.
De overheid heeft regels opgelegd voor de beveiliging van bepaalde informatie. Denk bijvoorbeeld
aan de Wet Bescherming Persoonsgegevens (WBP). Voor overheidsinstellingen is er het Voorschrift
Informatiebeveiliging.
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller LarsV95. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $3.33. You're not tied to anything after your purchase.