Best practice - Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002
Dit is een samenvatting van het vak Informatieveiligheid dat gegeven wordt in jaar 2 van de opleiding Integrale Veiligheidskunde. De samenvatting bevat al het leeswerk van de cursus (m.u.v. ISO 27001) de documentaires die gekeken moesten worden. De samenvatting bestaat dus uit: Basiskennis Inform...
Basiskennis informatiebeveiliging: HOOFDSTUK 3 termen en definities/ 3.1. definities
Aanval= poging om ongeautoriseerd toegang te krijgen tot bedrijfsinformatie.
Informatiebeveiligingsmanagement (IBM)= alle gecoördineerde activiteiten die richting
geven aan het beleid van een organisatie t.a.v. risico’s. Risicomanagement omvat normaal
gesproken risicoanalyses, het nemen van beveiligingsmaatregelen, het accepteren van
risico’s tot een bepaald niveau en het communiceren van risico’s binnen de organisaties.
Integriteit= gaat over de bescherming tegen ongeautoriseerde modificatie van software en
hardware. Waarborgen dat data betrouwbaar is.
Risicobeheer= gecoördineerde activiteiten om een organisatie sturing te geven en te
bewaken met betrekking tot risico’s. Risicobeheer omvat doorgaans Risicobeoordeling
(risicoanalyse & risico-evaluatie), Risicobehandeling, Risicoacceptatie en risicocommunicatie.
3.2. Beveiligingsconcepten
Voor het inzicht krijgen in wat we beveiligen en tegen welke dreigingen we beveiligen >
risicoanalyse. Resultaten risicoanalyse helpen het management bij de juist keuzes bij het
implementeren van informatiebeveiligingsmaatregelen om die risico’s te beheersen.
Informatie en ondersteunende processen, systemen en netwerken zijn belangrijke
bedrijfsmiddelen (assets) voor een organisatie. Organisaties en hun systemen worden
blootgesteld aan beveiligingsdreigingen van uiteenlopende aard, vb: fraude, spionage,
sabotage, vandalisme, brand en overstroming.
3.3. Fundamentele principes binnen de informatiebeveiliging
BIV-driehoek: beschikbaarheid, integriteit en vertrouwelijkheid zijn essentiële principes voor
informatiebeveiliging. Alle risico’s, dreigingen en kwetsbaarheden worden beoordeeld op
potentie om één of meerdere van deze BEI=principes schade aan te brengen.
3.4. Vertrouwelijkheid
Dit begrip refereert naar beperkingen in termen van wie bij welke informatie kan.
Vertrouwelijkheid is erop gericht dat het noodzakelijke niveau van geheimhouding wordt
gerealiseerd voor elk moment van dataverwerking, en voorkomt het ongeautoriseerd
vrijgeven ervan. Voorbeelden van maatregelen gericht op vertrouwelijkheid zijn:
Toegang tot informatie wordt gegeven op basis van ‘need to know’ > VB: niet nodig
salarisadministratie medewerker inzicht te geven in rapporten die inhoudelijke
discussies met klanten bevatten.
Medewerkers dragen zorg voor dat data niet onbedoeld terechtkomt bij personen
die deze niet nodig hebben > VB: geen vertrouwelijke documenten laten slingeren.
Logisch toegangsmanagement > borgt dat ongeautoriseerde personen of personen
geen toegang krijgen tot geautomatiseerde systemen, databases etc.
Scheiding in verantwoordelijkheden > wordt gerealiseerd door scheiding aan te
brengen in organisatieonderdelen.
In het verwerken en gebruiken van data zijn maatregelen getroffen om privacy van
personeel en derden te waarborgen.
,3.5. Integriteit
Dit is de mate waarin de informatie actueel en zonder fouten is. Kenmerken zijn de juistheid
en de volledigheid vd informatie. Elke ongeautoriseerde verandering van data, is een inbreuk
op de data-integriteit. Integriteit betekent dat niets ontbreekt vd informatie, ze compleet is
en in een gewenste staat. Aanvaller injecteert in het systeem malware zoals een virus,
logische bom (stuk code om kwaadaardige functie uit te voeren) of achterdeur (cryptografie
of toegang tot data te verkrijgen zonder dat het wordt opgemerkt) > negatieve effecten op
integriteit van info. Maatregelen: strikte toegangscontrole, Intrusion detection (IDS
verzamelt en analyseert data uit verschillende elementen in een computer of netwerk om
vast te stellen of er zich mogelijke beveiligingsinbreuken hebben voorgedaan) & Hash-
functies (worden gebruikt voor het ophalen van info in een database, omdat het sneller is
om hash-sleutel te vinden dan originele waarde).
Maatregelen om integriteit te beschermen zijn:
o Veranderingen in systemen en data autoriseren > controle voor publicatie
o Mechanismen inbouwen die afdwingen dat gebruikers een juiste term gebruiken >
VB: klant altijd klant noemen en zorgen dat ‘cliënt’ niet in database ingevoerd kan.
o Gebruikersacties vastleggen zodat later kan worden vastgesteld wie welke
veranderingen in info heeft doorgevoerd.
o Vitale systeemfuncties (bijv. installeren nieuwe software) kan niet uitgevoerd worden
door willekeurige gebruiker. Door het schade van taken > 2 personen nodig.
o Vercijferingstechnieken > kunnen ingezet worden om ongeautoriseerde toegang en
verandering te voorkomen. De beleidsmatige en managementprincipes voor
vercijfering hiervoor kunnen vastgelegd worden in een specifiek beleidsdocument.
3.6. Beschikbaarheid
Karakteristieken zijn:
Tijdigheid: informatie is beschikbaar op het moment dat ze nodig is
Continuïteit: men kan doorwerken ook al treedt er een fout of storing op
Robuustheid: er is voldoende capaciteit, zodat het systeem niet overbelast raakt.
DoS-aanvallen worden door hackers uitgevoerd om bedrijfssystemen te verstoren met het
doel om invloed uit te oefenen op de beschikbaarheid van info en de productiviteit > IDS en
firewallconfiguraties & backups. Voorbeelden van maatregelen voor beschikbaarheid zijn:
Management en opslag data is zo geregeld dat risico op verlies van informatie is
geminimaliseerd. VB: data wordt alleen opgeslagen op netwerkdisk.
Procedures voor back-up > rekening houden met wet- en regelgeving.
3.7. Parkerian Hexad
Dit is een set van 6 elementen voor informatiebeveiliging, ingevoerd door Donn B. Parker:
1) Vertrouwelijkheid
2) Bezit of controle
3) Integriteit
4) Authenticiteit > checken of diegene is wie die zegt dat hij is
5) Beschikbaarheid
6) Utiliteit
,Risico’s, dreigingen, kwetsbaarheid en blootstelling in samenhang. Kwetsbaarheid is
karakteristiek voor het feit dat er geen beveiligingsmaatregel is genomen en het mogelijk is
om van een aangetroffen kwetsbaarheid, bijv. in software, gebruik te maken. Blootstelling is
een toestand waarin schade geleden wordt door toedoen van een threat agent.
3.12. Tegenmaatregelen of bescherming
Tegenmaatregelen tegen potentieel risico: goed wwbeleid, fysieke bewaking, access
controlemechanismen in besturingssysteem, instellen van BIOS-wachtwoorden en
bewustzijnstrainingen.
3.13. Beoordeling van veiligheidsrisico’s/ 3.13.1. ISO/IEC 27005: Risicomanagement
Risicomanagement is het proces van plannen, organiseren, en het controleren vd activiteiten
van een organisatie ten einde de effecten van een risico te minimaliseren en om het kapitaal
en winst vd organisatie te beschermen. Risico’s kunnen bijv. ontstaan door ongevallen,
natuurlijke oorzaken of mislukte projecten. ISO/IEC 27005: 2011 voorziet in info en
richtlijnen m.b.t. risicomanagement en dus risicobeoordeling etc.
3.13.2. Risicobeoordeling
Risicobeoordelingen dienen om risico’s te identificeren en te kwantificeren. Vervolgens
prioriteren a.d.h.v. criteria voor risicoacceptatie die organisatie hanteert en de
doelstellingen die ze nastreeft. Risicobeoordeling omvat:
- Business impact analyse > systematische aanpak om impact incidenten in te schatten.
- Een dreigingen en kwetsbaarheden analyse waarbij de verwachte dreigingen en
kwetsbaarheden a.d.h.v. risicocriteria worden beoordeeld om gevolgen te bepalen.
Risicobeoordelingen moeten periodiek worden uitgevoerd omdat de eisen aan beveiliging
kunnen veranderen, net als de aard van risico’s op zich.
3.13.3. ISO/IEC 27005 Risicoanalyseaanpak
‘’Risicoanalyse is het proces van definiëren en analyseren vd gevaren voor personen,
organisaties en overheidsinstellingen dat uitgaat van natuurlijke en door de mens
veroorzaakte gebeurtenissen’’. Doel risicoanalyse: bedreigingen en de bijbehorende risico’s
voor de relevante bedrijfsprocessen in beeld krijgen en om de bijbehorende
veiligheidsmaatregelen en een beveiligingsplan op te stellen > kosteneffectief.
3.13.4. Kwantitatieve risicoanalyse & kwalitatief
Kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen hoe groot
de kans is dat een dreiging een incident wordt, en wat de financiële gevolgen zijn indien het
incident zich voordoet. Voor alle elementen in bedrijfsproces > waarde vaststellen >
betrekking op eigendommen zoals gebouwen en hardware. Puur kwantitatief is lastig >
defecte server is naar bedragen om te zetten maar het verlies aan imagoschade is veel
moeilijker te bepalen. Een kwalitatieve risicoanalyse gaat uit van scenario’s en verzonnen
situaties. Hierbij worden de kansen dat dreiging uitkomt ‘bekeken’ op gevoel.
, 3.14. ISO/IEC 27001: 2013 Beveiligingsrisico’s beperken/ 3.14.1. Beveiligingsmaatregelen
Dit zijn technische of administratieve tegenmaatregelen om incidenten te voorkomen, te
minimaliseren en het verlies van info als gevolg van bedreigingen te beperken.
Voordat organisatie overgaat op risicobehandeling > criteria vaststellen wanneer risico kan
worden aanvaard. Wanneer een dreiging zich manifesteert, noemen we dat een crisis. Grote
incidenten die het voortbestaan vd organisatie kan bedreigen, noemen we een ramp.
3.15. Maatregelen om risico’s te verminderen
Risicoanalyse levert lijst op met dreigingen en impact > daarna maatregelen vinden.
Verschillende soorten beveiligingsmaatregelen:
1) Preventieve maatregelen gericht op voorkomen van incidenten
2) Reductieve maatregelen gericht op het reduceren van bedreigingen
3) Detectieve maatregelen zijn bedoeld om incidenten te detecteren > VB: mededeling
dat internetgebruik wordt vastgelegd weerhoudt medewerkers van ongeoorloofd
surfgedrag. Gebruiken als directe gevolgen incident niet te groot zijn.
4) Repressieve maatregelen om de gevolgen van een incident te stoppen > VB: blussen
brand, periodiek back-up maken en uitwijken (reservevoorzieningen).
5) Correctieve maatregelen richten zich op herstellen vd ontstane schade
6) Ook mogelijk ons te verzekeren tegen bepaalde incidenten > voor gebeurtenissen die
niet uit te sluiten zijn en waarvan gevolgen zo groot zijn zoeken we methoden om
gevolgen te verminderen, ook wel mitigatie genoemd.
7) Risico’s accepteren > als de kosten niet in verhouding staan tot het rendement of als er
geen passende maatregelen mogelijk zijn dan kan je besluiten het te accepteren.
3.16. Soorten dreigingen/ Menselijke dreigingen
o Opzettelijk > Hier kunnen diverse redenen voor zijn. VB: externe oorzaken zoals een
hacker die aversie heeft tegen organisatie en daarom schade veroorzaakt, of een
medewerker die data verkoopt aan de concurrent. Andere mogelijkheid: fysiek
vernietigen informatie.
o Onopzettelijk > VB: iemand drukt op delete-toets en let niet goed op de vraag of hij
het zeker weet of iemand gebruikt in paniek poederblusser om beginnende brand te
blussen en vernietigd daarmee een server.
Niet-menselijke dreigingen
Dit zijn invloeden van buitenaf zoals blikseminslag, brand, overstroming en stormschade.
Schades zullen mede bepaald worden door de plaats vd apparatuur in het pand.
3.17. Soorten schade
- Directe schade > VB: diefstal
- Indirecte schade > gevolgschade bijv. waterschade door bluswerkzaamheden.
- Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE) > hoeveelheid
schade, in geld uitgedrukt, die door een incident in een jaar kan optreden.
- Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE) > schade van
incident die eenmalig optreedt
The benefits of buying summaries with Stuvia:
Guaranteed quality through customer reviews
Stuvia customers have reviewed more than 700,000 summaries. This how you know that you are buying the best documents.
Quick and easy check-out
You can quickly pay through credit card or Stuvia-credit for the summaries. There is no membership needed.
Focus on what matters
Your fellow students write the study notes themselves, which is why the documents are always reliable and up-to-date. This ensures you quickly get to the core!
Frequently asked questions
What do I get when I buy this document?
You get a PDF, available immediately after your purchase. The purchased document is accessible anytime, anywhere and indefinitely through your profile.
Satisfaction guarantee: how does it work?
Our satisfaction guarantee ensures that you always find a study document that suits you well. You fill out a form, and our customer service team takes care of the rest.
Who am I buying these notes from?
Stuvia is a marketplace, so you are not buying this document from us, but from seller jessiepenther. Stuvia facilitates payment to the seller.
Will I be stuck with a subscription?
No, you only buy these notes for $11.49. You're not tied to anything after your purchase.
