Best practice - Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002
Dit document bevat een samenvatting van het boek ' (2016) Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002' (2016) 2de herziene druk. Kan uitstekend gebruikt worden om het examen Safety & Securitymanagement voor de bachelor Integrale Veiligheidskunde van de NTI te halen.
Dear rsiev, may I ask why the summary didn't meet your expectations?
By: hettywieringa • 3 year ago
By: Pipster • 3 year ago
Translated by Google
Thanks for the review, I hope you've had a lot of it.
Seller
Follow
Pipster
Reviews received
Content preview
Hoofdstuk 1. Introductie en hoofdstuk 2. Case......................................................................................2
Hoofdstuk 3. Termen en definities.........................................................................................................2
Hoofdstuk 4. Context van de organisatie................................................................................................5
Hoofdstuk 5. Informatiebeveiligingsbeleid.............................................................................................7
Hoofdstuk 6. Organisatie van informatiebeveiliging...............................................................................8
Hoofdstuk 7. Personeel en informatiebeveiliging...................................................................................9
Hoofdstuk 8. Asset management.........................................................................................................10
Hoofdstuk 9. Toegangscontrole............................................................................................................12
Hoofdstuk 10. Cryptografie..................................................................................................................13
Hoofdstuk 11. Fysieke en omgevingsbeveiliging..................................................................................14
Hoofdstuk 12. Beveiliging bedrijfsvoering (Operations security)..........................................................15
Hoofdstuk 13. Communicatiebeveiliging..............................................................................................16
Hoofdstuk 14. Aanschaf, ontwikkeling en onderhoud van een systeem..............................................17
Hoofdstuk 15. Leveranciersrelaties......................................................................................................18
Hoofdstuk 16. Incidentmanagement....................................................................................................19
Hoofdstuk 17. Bedrijfscontinuïteitsbeheer...........................................................................................20
Hoofdstuk 18. Compliance...................................................................................................................21
Termen en definities.............................................................................................................................22
1
,Hoofdstuk 1. Introductie en hoofdstuk 2. Case.
In informatiebeveiliging is het belangrijk om met vier punten rekening te houden
1. De kwaliteitseisen die een organisatie stelt aan informatie
2. De risico’s die geassocieerd worden met die kwaliteitseisen
3. De beveiligingsmaatregelen die genomen worden om die risico’s af te dekken
4. Wanneer en hoe incidenten buiten de organisatie gerapporteerd worden.
Wat is kwaliteit?
Kwaliteit is de mate waarin de prestaties en de verwachtingen overeenkomen. Een organisatie moet
bepalen wat zij verstaan onder kwaliteit.
Hoofdstuk 3. Termen en definities
Zie voor de begrippenlijst achterin de samenvatting
Beveiligingsconcepten
- Beveiligingseisen worden vastgelegd op basis van een methodisch onderzoek naar
beveiligingsmaatregelen gebaseerd op de risico’s die een organisatie loopt.
- De resultaten van een risicoanalyse helpen het management bij het stellen van prioriteiten
en het nemen van de juiste acties en beslissingen.
Fundamentele principes binnen de informatiebeveiliging
De belangrijkste principes van een informatiebeveiligingsprogramma zijn exclusiviteit
(vertrouwelijkheid), integriteit en beschikbaarheid. Dit wordt aangeduid met de BEI-driehoek (of BIV-
driehoek genoemd). Alles wordt geïmplementeerd om deze principes in te vullen.
Vertrouwelijkheid (exclusiviteit)
Vertrouwelijkheid gaat over beperkingen in termen van wie bij welke informatie kan.
Vertrouwelijkheid is erop gericht dat het noodzakelijke niveau van geheimhouding wordt
gerealiseerd voor elk moment dat die data verwerkt wordt en voorkomt het geautoriseerd vrijgeven
ervan. Vertrouwelijkheid kan gerealiseerd worden met encryptie, toegangscontroles, dataclassificatie
en training van personen.
Integriteit
Integriteit is de mate waarin de informatie actueel en zonder fouten is. Het gaat over de juistheid en
de volledigheid van de informatie. Integriteit betekent dat de informatie compleet, correct en
ongeschonden is.
Beschikbaarheid
Beschikbaarheid gaat over:
- Tijdigheid: de informatie is beschikbaar op het moment dat ze nodig is
- Continuïteit: men kan doorwerken ook al is er een fout of storing
- Robuustheid: er is voldoende capaciteit zodat het niet overbelast raakt
Dit kan gerealiseerd worden door bijvoorbeeld automatische back-ups en firewall configuraties.
Parkerian Hexad
2
, De Parkerian Hexad is een set van zes elementen voor informatiebeveiliging. De Parkerian Hexad
voegt drie elementen toe aan de BIV-drieboek. De elementen zijn beschikbaarheid, integriteit,
vertrouwelijkheid, bezit of controle, authenticiteit en utiliteit.
Beoordeling van veiligheidsrisico’s
1. Risicomanagement (ISO/IEC 27005:2011)
Risicomanagement is het continue proces van plannen, organiseren en het controleren van de
activiteiten van een organisatie om de effecten van een risico te minimaliseren en om het kapitaal/
winst van de organisatie te beschermen. De ISO 27005:2011 voorziet in informatie en richtlijnen met
betrekking tot risicomanagement. Belangrijke uitgangspunten ten aanzien van informatiebeveiliging:
1. De risico’s die de organisatie loopt
2. De wettelijke, statutaire en contractuele eisen waaraan een organisatie moet voldoen
3. De principes, doelstellingen en zakelijke vereisten
2. Risicobeoordeling- en behandeling (ISO/IEC 27002)
In elk project moet het informatiebeveiligingsrisico worden beoordeeld. Het is belangrijk dat dit
vanaf het begin gebeurt, zodat de beveiliging wordt gewaarborgd. Risicobeoordeling gaat over het
identificeren en kwantificeren van risico’s. Uit deze resultaten worden de juiste beheersmaatregelen
bepaald en worden prioriteiten gesteld. Een risicobeoordeling moet periodiek worden gedaan.
Risicobeoordeling bestaat uit:
1. Business impact analyse: een aanpak om de impact van incidenten in te schatten
2. Dreigingen en kwetsbaarhedenanalyse: de verwachte dreigingen en kwetsbaarheden worden
aan de hand van risicocriteria beoordeeld om de gevolgen van incidenten te bepalen.
3. Risicoanalyseaanpak (ISO/IEC 27005)
Risicoanalyse is het proces van definiëren en analyseren van de gevaren voor personen, organisaties
en overheidsinstellingen dat uitgaat van potentiële natuurlijke en door de mens veroorzaakte
gebeurtenissen. Het doel is om de bedreigingen en de bijbehorende risico’s in beeld te krijgen en om
de veiligheidsmaatregelen en een beveiligingsplan op te stellen. Heeft vier hoofddoelen:
1. Het identificeren van de waarde van bedrijfsmiddelen (assets)
2. Het vaststellen van kwetsbaarheden en dreigingen
3. Het vaststellen van het risico dat dreigingen werkelijkheid worden en het proces verstoren
4. Het vinden van een evenwicht tussen de kosten van een incident en een maatregel
Er zijn twee soorten risicoanalyses:
1. Kwantitatief: berekent hoe groot de kans is dat een dreiging een incident wordt en wat de
financiële gevolgen zijn van het incident. Koppelt een geldwaarde aan alle zaken.
2. Kwalitatief: gaat uit van scenario’s en verzonnen situaties, gaat uit van ‘het gevoel’. Dit levert
een subjectief dreigingsgevoel op.
Beveiligingsrisico’s beperken (ISO/IEC 27001:2013)
Beveiligingsmaatregelen zijn technische of administratieve garanties of tegenmaatregelen om
incidenten te voorkomen, tegen te gaan of te minimaliseren en de schade te beperken. Er zijn
verschillende typen beveiligingsmaatregelen:
1. Reductieve maatregelen: reduceren van bedreigingen
2. Preventieve maatregelen: voorkomen van incidenten (bijv. kluis)
3. Detectieve maatregelen: incidenten detecteren (bijv. brandmelders)
4. Repressieve maatregelen: de gevolgen van een incident stoppen (bijv. brand blussen)
3
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller Pipster. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $6.98. You're not tied to anything after your purchase.