Best practice - Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002 – 4de herziene druk
Dit is een volledige samenvatting van het boek "Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002" die ik heb geschreven ter voorbereiding op het EXIN Information Security Foundation examen.
Hoofdstukken 1, 2 en 3: Introductie, termen en definities
Cybersecurity betreft een breed spectrum van gegevens en informatie, mogelijke bedreigingen en
potentiële maatregelen tegen deze bedreigingen.
Informatiebeveiliging: de bescherming van informatie tegen allerlei vormen van bedreigingen om de
bedrijfscontinuïteit te waarborgen, zakelijke of persoonlijke risico’s te minimaliseren en de negatieve
impact op de businesscase (winstgevendheid) te beperken.
Informatiebeveiliging omvat een definitie, implementatie, onderhoud, nalevering en evaluatie van
een coherente set beheersmaatregelen waarmee de beschikbaarheid, integriteit en
vertrouwelijkheid van handmatige en geautomatiseerde informatievoorziening worden
gewaarborgd.
ISO/IEC 27001: de internationale standaard voor informatiebeveiligingsmanagement die
organisaties houvast biedt voor het beheren van een informatiebeveiligingsprogramma.
Termen en definities
Aanval: poging tot ongeautoriseerde toegang tot bedrijfsinformatie.
Asset/bedrijfsmiddel: alles wat waarde heeft voor de organisatie.
Authentiseren: rechtsgeldig maken; vaststellen of het echt waar is.
Bedreiging: potentiële oorzaak van een ongewenst incident dat een systeem of organisatie
schade kan toebrengen (malware, virus, logische bom, achterdeur).
Beheersmaatregel: een middel om risico’s te beheersen (beleid, procedures, richtlijnen).
Beleid: de formeel uitgesproken inrichting van informatiebeveiliging en de intentie hoe om
te gaan met bedrijfsrisico’s en de bescherming hiertegen.
Beschikbaarheid: betrouwbare en tijdige toegang tot data en computercapaciteit voor de
medewerkers.
Blootstelling: kans dat een risico werkelijkheid wordt en schade voor de organisatie
veroorzaakt.
Control/maatregel: middel voor het managen van een risico.
Derde partij: iedere persoon/partij die niet bij een overeenkomst is betrokken.
Faciliteiten: iedere vorm van informatiesysteem, service of infrastructuur die gebruikt wordt
om informatie op te slaan, te bewerken of te beheren.
Handreiking: richtlijn/richtinggevend hulpmiddel.
Informatie: data die betekenis heeft voor de ontvanger.
Informatieanalyse: hoe een organisatie met zijn informatie omgaat.
Informatiebeveiliging: behoud van vertrouwelijkheid, integriteit en beschikbaarheid van
informatie.
Informatiebeveiligingsgebeurtenis: vastgestelde status van een systeem, dienst of netwerk
die duidt op een mogelijke overtreding van het informatiebeveiligingsbeleid of falen van
informatiebeveiligingsvoorzieningen.
Informatiebeveiligingsincident: gebeurtenis die nadelige gevolgen heeft of kan hebben voor
de bedrijfsvoering en de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van
informatie.
Informatiebeveiligingsmanagement: alle gecoördineerde activiteiten die richting geven aan
het beleid van een organisatie t.a.v. risico’s: risicomanagement, risicoanalyse,
beveiligingsmaatregelen en accepteren van risico’s.
Informatiemanagement: wijze waarop een organisatie haar informatiestromen efficiënt
plant, verzamelt, organiseert, gebruikt, controleert om te waarborgen dat de waarde van
informatie wordt vastgelegd en optimaal wordt benut.
, Informatiesysteem: applicatie, service of IT-onderdeel waarmee informatie verwerkt kan
worden.
Integriteit: bescherming tegen ongeautoriseerde modificatie van (data in) hardware en
software.
IT-voorzieningen: elk systeem, dienst of infrastructuur voor informatieverwerking, of de
fysieke locatie waarin deze gevestigd zijn.
Kwetsbaarheid: zwakte van een bedrijfsmiddel voor een bedreiging.
(Tegen)maatregel: bescherming tegen een potentieel risico (sterk wachtwoordbeleid,
fysieke bewaking, awareness trainingen).
Onweerlegbaarheid (non-repudiation): waarborg dat ontvangst of verzending van een
bericht niet kan worden ontkend.
Preventieve actie: maatregel om een incident te voorkomen.
Procedure: beschrijving hoe een proces moet worden uitgevoerd.
Proces: set gerelateerde handelingen die leidt tot een bepaalde output.
Restrisico: risico dat overblijft na alle genomen maatregelen.
Risico: combinatie van waarschijnlijkheid en gevolg van een gebeurtenis. Dit is de kans dat
een bedreiging gebruikmaakt van een zwakte/kwetsbaarheid met bijbehorende impact voor
de organisatie.
Risicoacceptatie: het (rest)risico dat een organisatie bereid is te nemen.
Risicobeheer: gecoördineerde activiteiten om een organisatie sturing te geven en te
bewaken m.b.t. risico’s.
Risicobehandeling: keuze en implementatie van maatregelen om risico’s te verlagen:
o Vermijden van een risico (niet starten of doorgaan met de risicovolle activiteit);
o Accepteren van een risico;
o Verwijderen van de risicobron;
o Gevolgen van een incident veranderen door maatregelen te nemen;
o Delen van een risico met een andere partij;
o Accepteren van een risico;
Risicobeoordeling: het gehele proces van risicoanalyse en risico-evaluatie.
Risico-evaluatie: proces waarin het risico wordt afgewogen tegen vastgestelde criteria ter
bepaling hoe significant het risico is.
Risico-identificatie: vinden, beoordelen en beschrijven van risico’s.
Vertrouwelijkheid: mate van beperking van toegang tot informatie voor bepaalde groep
gerechtigden (exclusiviteit).
Beveiligingsconcepten
Op basis van kwetsbaarheden, dreigingen, risico’s en blootstellingen maken organisaties een
risicoanalyse op basis waarvan de organisatie adequate maatregelen bepaalt.
In de aanpak van informatiebeveiliging in ISO/IEC 27002 wordt het belang benadrukt van:
1. Awareness (begrip/noodzaak tot beleid);
2. Implementeren en uitvoeren van adequate maatregelen;
3. Bewaken en controleren effectiviteit en efficiëntie;
4. Continu verbeteren door objectieve metingen.
Beschikbaarheid, exclusiviteit/vertrouwelijkheid, integriteit (BEI/BIV)
BEI/BIV is de basis van informatiebeveiliging. Risico’s, kwetsbaarheden en dreigingen worden
beoordeeld op potentiële schade en adequate maatregelen worden geselecteerd en
geïmplementeerd.
,Beschikbaarheid gaat over tijdigheid (op tijd beschikbaar zijn van informatie), continuïteit (ook
kunnen doorwerken bij storingen) en robuustheid (voldoende capaciteit). Maatregelen om
beschikbaarheid te beschermen:
Management en opslag van data regelen zodat het risico op verlies van informatie is
geminimaliseerd;
Procedures voor back-ups;
Wet- en regelgeving m.b.t. maximale beschikbaarheid van data.
Vertrouwelijkheid gaat over wie toegang heeft tot welke informatie. Maatregelen om
vertrouwelijkheid te beschermen:
Toegang geven op basis van “need to know”;
Medewerkers zorgen dat data niet onbedoeld terechtkomt bij personen die deze niet nodig
hebben;
Logisch toegangsmanagement zodat ongeautoriseerde personen of processen geen toegang
krijgen tot geautomatiseerde systemen, databases en programma’s;
Scheiding in verantwoordelijkheden (functiescheiding);
Maatregelen treffen in het verwerken en gebruiken van data om privacy te waarborgen.
Integriteit is de mate waarin informatie actueel is en zonder fouten (juistheid en volledigheid).
Maatregelen om integriteit te beschermen:
Autorisatie en verificatie van veranderingen in systemen en data (4 eyes – minimaal twee
personen);
Mechanismen inbouwen die afdwingen dat gebruikers de juiste termen gebruiken;
Vastleggen/loggen van gebruikersacties;
Vitale systeemfuncties alleen voor selectieve gebruikers én 4 eyes-principe;
Inzetten van vercijferingstechnieken.
Parkerian Hexad: zes elementen voor informatiebeveiliging: authenticiteit, bezit/controle, utiliteit
en BEI/BIV.
Termen die op elkaar lijken, maar niet hetzelfde zijn:
Risico: de kans dat een dreiging gebruikmaakt van een kwetsbaarheid en de bijbehorende
impact voor de organisatie (kansberekening).
Dreiging: komt voort uit een niet-gewenst incident en kan schade veroorzaken aan een
systeem of organisatie (hacker, verkeerd softwareproces, terrorisme, oorlog).
Kwetsbaarheid: een zwakheid in een bedrijfsmiddel die door een bedreiging kan worden
uitgebuit (een bekend lek in een softwarepakket, zwak wachtwoordbeleid).
Blootstelling: toestand waarin schade wordt geleden door toedoen van een threat agent.
Beoordeling van veiligheidsrisico’s:
Risicomanagement: proces van plannen, organiseren en controleren van activiteiten van
een organisatie om effecten van een risico te minimaliseren.
o Drie uitgangspunten voor beveiligingseisen:
Risico’s die de organisatie loopt
Wettelijke, statutaire en contractuele eisen waarin de organisatie moet
voldoen
Principes, doelstellingen en zakelijke eisen m.b.t. informatieverwerking,
opslag, communicatie en archivering ontwikkeld door de organisatie
Risicobeoordeling: risico’s identificeren, kwantificeren en prioriteren;
o Business impact analyse (impact van incidenten inschatten)
o Dreigingen- en kwetsbaarheden analyse
, Risicoanalyse: het definiëren en analyseren van de gevaren voor personen, organisaties en
overheidsinstellingen. Dit kent vier hoofddoelen:
o Identificeren van de waarde van assets;
o Vaststellen van kwetsbaarheden en dreigingen;
o Vaststellen van risico dat dreigingen werkelijkheid worden en schade veroorzaken;
o Vinden van evenwicht tussen kosten van maatregelen en kosten van het incident.
Kwantitatieve risicoanalyse: geschatte schade op basis van kans * impact.
Kwalitatieve risicoanalyse: subjectief dreigingsgevoel op basis van scenario’s.
Single Loss Expectancy (SLE): het verwachte monetaire verlies wanneer een incident één keer
voorkomt. Dit wordt berekend door: waarde van een asset * exposure factor (EF).
Annual Rate of Occurance (ARO): de frequentie waarmee de dreiging plaatsvindt per jaar (tussen 0
en 1). De verwachte monetaire schade op jaarbasis is: Annualized Loss Expectancy (ALE) (SLE *
ARO).
Beveiligingsmaatregelen: technische of administratieve tegenmaatregelen om incidenten te
voorkomen/verminderen en het verlies van informatie als gevolg van dreigingen te beperken.
Vier varianten van risicobeheersing:
Risico’s beperken (door het toepassen van beveiligingsmaatregelen);
Risico’s bewust accepteren (mits ze voldoen aan het beleid);
Risico’s vermijden (verbieden van acties die tot risico’s kunnen leiden);
Risico’s overdragen (verzekering).
Typen beveiligingsmaatregelen:
Reductieve maatregelen: reduceren van bedreigingen;
Preventieve maatregelen: voorkomen van incidenten (maak bedreigingen onmogelijk);
Detectieve maatregelen: incidenten snel kunnen detecteren;
Repressieve maatregelen: gevolgen van een incident beperken/minimaliseren;
Correctieve maatregelen: het (deels) herstellen van de ontstane schade.
Soorten bedreigingen:
Menselijke bedreigingen: opzettelijk (fraude, sabotage, wraak), onopzettelijk (fouten) of via
social engineering (sociaal misbruik maken van mensen door informatie te ontfutselen).
Niet-menselijke bedreigingen: invloeden van buitenaf (natuurrampen).
Soorten schade:
Directe schade (diefstal);
Indirecte schade (waterschade door bluswerkzaamheden);
Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE);
Eenvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE).
Soorten risicostrategieën:
Risicodragend: risico’s accepteren;
Risiconeutraal: beveiligingsmaatregelen treffen zodat de kans op en de gevolgen van
dreigingen geminimaliseerd worden (preventief, detectief, repressief);
Risicomijdend: beveiligingsmaatregelen treffen zodat dreigingen niet meer tot incidenten
leiden (preventief).
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller Rickdelaat. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $5.93. You're not tied to anything after your purchase.
