100% satisfaction guarantee Immediately available after payment Both online and in PDF No strings attached
logo-home
Previously searched by you
Previously searched by you
logo
Samenvatting Boek Basiskennis Informatiebeveiliging $8.03   Add to cart
Quickly navigate to
Preview
  2.  
  3. Hogeschool Utrecht (HU)
  4.  
  5. Informatieveiligheid

Summary

Samenvatting Boek Basiskennis Informatiebeveiliging

7 reviews
 1061 views  26 purchases
  • Course
  • Informatieveiligheid
  • Institution
  • Hogeschool Utrecht (HU)
  • Book
  • Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002

H3, H4, H5, H6, H7, H9, en H10

Preview 7 out of 21  pages

Document information

  • No
  • Zie beschrijving
  • October 25, 2016
  • 21
  • 2016/2017
  • Summary

Subjects

  • informatieveiligheid

Connected book

book image

Book Title:

Author(s):

  • Edition:
  • ISBN:
  • Edition:

Written for

  • Hogeschool Utrecht (HU)
  • Integrale Veiligheidskunde
  • Informatieveiligheid
All documents for this subject (36)

7  reviews

review-writer-avatar

By: FlorianNL • 2 year ago

review-writer-avatar

By: jelle99 • 5 year ago

review-writer-avatar

By: jwschaijk • 6 year ago

Translated by Google

just good

review-writer-avatar

By: crvtje • 7 year ago

review-writer-avatar

By: huykha10 • 7 year ago

review-writer-avatar

By: Kelly15 • 7 year ago

review-writer-avatar

By: brianwaatz • 7 year ago

Seller

avatar-seller
lucasbonset

Reviews received

Content preview

Kernpunten Informatieveiligheid per hoofdstuk


Hoofdstuk 3: Termen en Definities

Bedrijfsmiddel > waarde voor organisatie.

Beschikbaarheid > werking systeem

Vertrouwelijkheid > Exclusieve groep mensen die data mag gebruiken (geautoriseerde toegang)

Beheersmaatregel > Risico beheersen (beleid, richtlijnen, werkwijzen)

Risico > Kans x Effect

Informatie > Data met betekenis voor ontvanger (na verwerking)

Informatieanalyse > Omgang informatie door bedrijf

Informatiemanagement > Beschrijft informatiestromen (verzameling, organisatie, controle)

Faciliteiten gebruik informatie > Informatiesysteem, service of infrastructuur voor opslag, bewerking etc

Informatiebeveiliging > Waarborging beschikbaarheid, integriteit, vertrouwelijkheid (authenticiteit,
bezit/controle, utiliteit, onweerlegbaarheid).

Informatiebeveiligingsgebeurtenis > Vastgestelde status van een systeem die duidt op falen

Informatiebeveiligingsincident > Gebeurtenis of serie ongewenste gebeurtenissen met nadelige gevolgen
bedrijfsvoering

Informatiebeveiligingsmanagement > Alle gecoördineerde activiteiten die richting geven aan beleid t.a.v
risico’s

Risicomanagement > Risicoanalyse, nemen van maatregelen, accepteren risico’s en communiceren van
risico’s

IT-voorziening > fysieke locatie of systeem voor informatieverwerking

Integriteit > Bescherming ongeautoriseerde wijziging, juistheid en volledigheid informatie

Beleid > Inrichting informatiebeveiliging en bescherming tegen risico’s

Risicoanalyse > Systematisch bronnen identificeren en risico’s inschatten

Risicobeoordeling > Proces van risico-analyse en evaluatie

Risico-evaluatie > Inschatting risico afgewogen tegen vastgestelde risicocriteria (significant risico?)

Risicobeheer > Risicobeoordeling, risicobehandeling, risicoacceptatie en risicocommunicatie

Risicobehandeling > Keuze en implementatie van maatregelen

Derde partij > Persoon/entiteit als onafhankelijk van de betrokken partijen gezien

Bedreiging > Potentiele oorzaak van een ongewenst incident dat systeem schade toe kan brengen

,Kwetsbaarheid > Zwakte van bedrijfsmiddel die door een of meer (be)dreigingen kunnen worden benut


Hoofdstuk 4: Informatie, beveiliging en architectuur

Begrippen:

Ddos-aanval (Denial of Service) > aanval op de beschikbaarheid en werking van systemen

BIV-driehoek: Beschikbaarheid, Integriteit, Vertrouwelijkheid (CIA: Confidentiality, Integrity and Availability)

Vertrouwelijkheid:

- Exclusiviteit
- Beperkingen wie bij welke informatie kan
- Ongeautoriseerd = geen toestemming
- Vercijfering als tegenmaatregel
- Strikte toegangscontrole, dataclassificatie, training personen procedures correct uitvoeren eveneens
maatregelen.

1. Toegang tot informatie op basis van need to know.
2. Data niet onbedoeld terecht bij onbevoegden
3. Logisch toegangsmanagement
4. Scheiding verantwoordelijkheden, functies en daarmee samenhangende toegang
5. Maatregelen om privacy te waarborgen (authenticatie) > combinatie wachtwoord gebruikersnaam

Maatregel voor type aanval waarbij een aanvaller de hoeveelheid verkeer op een netwerk en analyseert en
zo kan zien wat belangrijke netwerkfuncties zijn:

Trafic padding = Vercijferd het bericht in een willekeurig gegenereerde stroom data, deze maatregel voorkomt
dat aanvaller ziet in welk onderdeel van een netwerk veel verkeer plaatsvindt. Door deze willekeurige stroom
kan de aanvaller het bericht hierin niet vinden.

Traffic padding is een tegenmaatregel.

Integriteit:

- Juistheid/volledigheid informatie
- Risico’s: verminking, kwaadaardige modificaties en vervanging van informatie met incorrecte
informatie

Maatregelen: Strikte toegangscontrole, IDS, toepassen van Hash functies.

IDS = Intrusion Detection System, detecteert hackpogingen en ongeautoriseerde toegang.
Securitymanagement systeem voor computers en netwerken (detecteert misbruik/binnenuit en
intrusions/buitenaf).

Hash-functies = Sleutel representeert een originele reekskarakters. Dit wordt gebruikt omdat de hash-sleutel
eerder te vinden is dan de originele reeks karakters en bovendien herkent een systeem de hash-functie na
meerdere keren ingelogd te hebben.

Vulnerability assessment = Identificeren, kwantificeren en prioriteren van kwetsbaarheden.

Authenticatiemechanismen omzeilen: (1) Achterdeur in computersysteem, (2) Cryptografisch systeem, (3)
Algoritme.

,Negatief effect integriteit door:

- Maken van fouten
- Opzettelijke en fraude
- Onopzettelijke fout > Verwijderen van configuratiebestanden op harddisk
- Of: Incorrecte waarde invoeren in dataverwerkende applicatie

Maatregelen integriteit:

- Veranderingen geautoriseerd met toestemming laten plaatsvinden
- Afdwingen juiste termen in programma’s (beperkingen invoer tot bijv. Klant, bij de rest foutmelding)
- Acties vastleggen
- Uitvoering vitale systeemfuncties niet door iedereen (scheiding taak en functie)
- Vercijferingstechniek

Beschikbaarheid:

3 elementen:

1. Tijdigheid
2. Continuiteit
3. Robuustheid

- Ddos aanval
- Maatregel: Firewall (softwarepakket dat bescherming biedt tegen misbruik van buitenaf)
- Maatregel: Back-ups van informatie
- Management opslag data en noodprocedures
- Wet en regelgeving
- IDS > monitort netwerkverkeer en activiteiten
- Alleen noodzakelijke services en netwerkpoorten openstellen > tegen DDOS.

Omgevingsfactoren van invloed op beschikbaarheid: Hitte, koude, statische elektriciteit en vervuilingen.

Parkerian Hexad:

Aan beschikbaarheid, integriteit en vertrouwelijkheid worden nog 3 aspecten toegevoegd:

4. Bezit en Controle > verlies bezit en/of controle na bijvoorbeeld diefstal van bankpas en pincode
5. Authenticiteit > Verificatie van de entiteit/persoon
6. Utiliteit > bruikbaarheid, verlies van een cryptografische sleutel maakt de versleutelde tekst
onleesbaar en daarmee onbruikbaar

Koppeling bedrijfsrisico’s en beveiligingseisen

Beschikbaarheid: Autorisatiecontrole (toestemming) + authenticatiecontrole (persoonscontrole)

Integriteit: Transportniveau privacy and encryptie + authenticatiecontrole + autorisatiecontrole

Vertrouwelijkheid: Transportniveau privacy and encryptie + authenticatiecontrole + autorisatiecontrole

Due diligence = Begrijpen van de dreigingen en risico’s die een organisatie loopt

Due care = Nemen van maatregelen ter bescherming tegen risico’s

Informatica = Verwerken van data (ruwe gegevens) tot informatie (data met waarde)

,Ook wel de waarde die een ontvanger aan de informatie toekent.

ICT = Informatie en Communicatietechnologie


Hoofdstuk 5: Risicomanagement

Risicoanalyse = Risico’s in kaart gebracht, risico = kans x gevolg/effect

Factoren die een risico bepalen:

1. Dreiging
2. Kans
3. Gevolgen

Incident = Dreiging die onmiddellijk herkenbaar is (hacker op bedrijfsnetwerk)

Calamiteit = Incident dat de continuiteit van meerdere bedrijven in gevaar brengt

Grootte en inschatting risico > risico verminderen

Risicomanagement > proces van dreiging/gevaar naar risico en beveiligingsmaatregel.
(Identificatie, Onderzoek, Reductie en acceptabel niveau)

Bewaking proces risicomanagement: CISO (Chief) of ISO (Information Security Officer)

Zwakheid > iets ontbreekt dat misbruikt kan worden door een dreiging

- Open netwerkpoort
- Verkeerd wachtwoordgebruik
- Ongedispatchde (niet-geupdate) applicaties
- Geen sleuteldiscipline

Dreiging > niet-gewenst incident dat schade kan veroorzaken. Dreiging wordt werkelijkheid als incident
optreedt.

Threat agent = Entiteit/persoon die gebruikmaakt van een zwakheid

Risico = kans dat dreiging gebruikmaakt van een zwakheid en impact

Business impact = zwakheid + dreiging + risico/kans

Blootstelling > schade door een threat agent.

Zwakheid is in dit geval dat bijvoorbeeld antivirussoftware niet up to date is en daardoor kwetsbaar voor
aanvallen.

Bescherming/tegenmaatregel:

- Goed wachtwoordenbeleid
- Fysieke bewaking
- Access controlemechanismen in besturingssystemen
- Instellen van BIOS-wachtwoorden (kwetsbaar: backdoor passwords door fabrikanten ingebouwd)
- Bewustzijnstrainingen
- Antivirussoftware up to date

,Risicoanalyse = onderdeel risicomanagement, bestaat uit: (1) dreiging, (2) relevante risico’s, (3)
beveiligingsniveau, (4) maatregelen

Inzichtelijk maken:

- Dreigingen
- Risico’s
- Beveiligingsniveau
- Maatregelen

Kosteneffectieve en tijdige manier inzetten om schade te beperken.

Vier hoofddoelen risicoanalyse:

1. Identificatie waarde bedrijfsmiddelen IDENTIFICATIE BEDRIJFSMIDDELEN
2. Vaststellen kwetsbaarheden/dreigingen GEVAARSIDENTIFICATIE
3. Vaststellen risico dat dreiging werkelijk wordt KANSIDENTIFICATIE
4. Evenwicht kosten incident en kosten maatregel MAATREGELENIDENTIFICATIE

Kosten-batenverhouding

Kwantitatief = Risicowaardering kans x effect

Kwalitatief = Scenario en situatiebeschrijving (analyse in groepssessie)

Maatregelen:

1. Reductieve > verminderen dreiging
2. Preventief > voorkomen van incidenten
3. Detectief > incidenten detecteren
4. Repressief > Gevolgen incidenten stoppen (uitwijkprocedure en maken van back-ups)
5. Correctief > herstellen van schade

Incidentcyclus > dreiging > incident > schade > herstel

Mitigatie = Verzekeren, gevolgen verzachten of risico’s accepteren

Soorten dreigingen:

1. Menselijk en opzettelijk of onopzettelijk > boos na ontslag, verkoop van data
2. Niet-menselijk

Social engineering = Informatie bij mensen ontfutselen.
- Gebruikt zwakheid van de mens voor een bepaald doel
- Slachtoffer is zich hier niet van bewust

Onopzettelijk > besmette usb stick in een computer doen, netwerk hierdoor mee besmet. Drukt per ongeluk
op de delete-toets.

Invloeden van buitenaf (niet menselijk):

- Bliksem
- Storm
- Brand
- Overstroming

Onderscheid:

, (1) Storing basisinfrastructuur (software etc)
(2) Storing fysieke omgeving (gebouw, ventilatie etc)



Hoofdstuk 6: Bedrijfsmiddelen en informatiebeveiligingsincidenten

Classificatie = Ordening naar gevoeligheid

Rubricering = Classificatie die aan informatie wordt toegekend zoals:

- Geheim
- Confidentieel/vertrouwelijk
- Personeelsvertrouwelijk

Merking = Bijzondere aanduiding, indeling naar onderwerp of groep personen (kring gerechtigden)

Eigenaar = Persoon die verantwoordelijk is voor bedrijfsmiddel

Noodzakelijkheid beveiliging bepaald door:

1. Gevoeligheid
2. Wettelijke eisen
3. Waarde en belang voor organisatie

Rubriceringen worden gemerkt/gelabeld.

Labelen = Fysiek zichtbaar op bedrijfsmiddel

Binnen de overheid worden rubriceringen gebruikt die te vinden zijn in het document VIR-BI = Voorschrift
Informatiebeveiliging Rijksdienst – Bijzondere Informatie

Rubriceringen overheid:

- Departementaal vertrouwelijk
- Staatsgeheim confidentieel
- Staatsgeheim geheim
- Staatsgeheim zeer geheim + bijvoorbeeld merking > specifieke kring gerechtigden (Politie Zeer
Vertrouwelijk, Crypto) > alleen werken met ervaring cryptografie

De rubricering van een bedrijfsmiddel bepaalt hoe deze fysiek opgeslagen mag worden en wie toegang
heeft.
(vertrouwelijkheid > s’nachts van belang als de organisatie gesloten is?)

Hoog-Midden-Laag per situatie > per elementen van BIV

Vertrouwelijk = Bestemd voor kleine groep gerechtigden

Clear desk policy = Beleid waarin staat dat alle medewerkers geen vertrouwelijke stukken in het zicht moeten
laten liggen.

Geheim = Alleen bij uiterste noodzakelijkheid verspreiden met groep gerechtigden

Er bestaat ook openbare publieke informatie

, Beheer van informatiebeveiligingsincidenten

Zwakheden:

- Iemand heeft een vertrouwelijk stuk op de printer laten liggen
- Een bestand met persoonlijke gegevens is verdwenen
- Er hangt een vreemde geur in de ruimte van de papierversnipperaar
- Een deur die op slot moet zijn staat open
- Een collega gedraagt zich afwijkend
- De computer geeft vreemde schermboodschappen

Kunnen en moeten worden ontdekt door werknemers en worden gemeld aan het management

Melding naar servicedesk > procedure melding.

Functionele horizontale escalatie = Medewerker helpdesk kan beveiligingsincident niet zelf oplossen door
onvoldoende technische kennis en schakelt iemand met meer expertise in

Hierarchische verticale escalatie = Incident melden aan iemand die meer autoriteit heeft en een beslissing
kan nemen (organisatorisch)

Incidentbeheersproces > inzicht in incidenten en leren voor de toekomst

Rapportage van informatiebeveiligingsincidenten:


De ISO/IEC 2000 standaard beschrijft hoe incidenten kunnen worden beheerd in het
incidentmanagementproces.

Incidentmanagementproces:

1. Doel : Gebeurtenissen en zwakheden in informatiesystemen herkennen en tijdig maatregelen nemen


- Melden om van te leren
- Melden is geen manier om veroorzaker van beveiligingsincident te straffen (tenzij doelbewust
gehandeld)

Incidentmeldingsformulier:

- Datum en tijd
- Naam melder
- Locatie
- Probleem
- Effect
- Hoe ontdekt

Rapportage van zwakke plekken in beveiliging:

Eerst een incident melden, dan advies vragen hoe te handelen (voorkom verlies van bewijs)

Registratie storing:

- Logbestanden > gegevens over storingen

The benefits of buying summaries with Stuvia:

Guaranteed quality through customer reviews

Guaranteed quality through customer reviews

Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.

Quick and easy check-out

Quick and easy check-out

You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.

Focus on what matters

Focus on what matters

Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!

Frequently asked questions

What do I get when I buy this document?

You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.

Satisfaction guarantee: how does it work?

Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.

Who am I buying these notes from?

Stuvia is a marketplace, so you are not buying this document from us, but from seller lucasbonset. Stuvia facilitates payment to the seller.

Will I be stuck with a subscription?

No, you only buy these notes for $8.03. You're not tied to anything after your purchase.

Can Stuvia be trusted?

4.6 stars on Google & Trustpilot (+1000 reviews)

67474 documents were sold in the last 30 days

Founded in 2010, the go-to place to buy study notes for 14 years now

Start selling
$8.03  26x  sold
  • (7)
  Add to cart