Best practice - Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002 – 4de herziene druk
Dit is een volledige samenvatting van het boek "Basiskennis informatiebeveiliging op basis van ISO27001 en ISO27002" die ik heb geschreven ter voorbereiding op het EXIN Information Security Foundation examen.
Hoofdstukken 1, 2 en 3: Introductie, termen en definities
Cybersecurity betreft een breed spectrum van gegevens en informatie, mogelijke bedreigingen en
potentiële maatregelen tegen deze bedreigingen.
Informatiebeveiliging: de bescherming van informatie tegen allerlei vormen van bedreigingen om de
bedrijfscontinuïteit te waarborgen, zakelijke of persoonlijke risico’s te minimaliseren en de negatieve
impact op de businesscase (winstgevendheid) te beperken.
Informatiebeveiliging omvat een definitie, implementatie, onderhoud, nalevering en evaluatie van
een coherente set beheersmaatregelen waarmee de beschikbaarheid, integriteit en
vertrouwelijkheid van handmatige en geautomatiseerde informatievoorziening worden
gewaarborgd.
ISO/IEC 27001: de internationale standaard voor informatiebeveiligingsmanagement die
organisaties houvast biedt voor het beheren van een informatiebeveiligingsprogramma.
Termen en definities
Aanval: poging tot ongeautoriseerde toegang tot bedrijfsinformatie.
Asset/bedrijfsmiddel: alles wat waarde heeft voor de organisatie.
Authentiseren: rechtsgeldig maken; vaststellen of het echt waar is.
Bedreiging: potentiële oorzaak van een ongewenst incident dat een systeem of organisatie
schade kan toebrengen (malware, virus, logische bom, achterdeur).
Beheersmaatregel: een middel om risico’s te beheersen (beleid, procedures, richtlijnen).
Beleid: de formeel uitgesproken inrichting van informatiebeveiliging en de intentie hoe om
te gaan met bedrijfsrisico’s en de bescherming hiertegen.
Beschikbaarheid: betrouwbare en tijdige toegang tot data en computercapaciteit voor de
medewerkers.
Blootstelling: kans dat een risico werkelijkheid wordt en schade voor de organisatie
veroorzaakt.
Control/maatregel: middel voor het managen van een risico.
Derde partij: iedere persoon/partij die niet bij een overeenkomst is betrokken.
Faciliteiten: iedere vorm van informatiesysteem, service of infrastructuur die gebruikt wordt
om informatie op te slaan, te bewerken of te beheren.
Handreiking: richtlijn/richtinggevend hulpmiddel.
Informatie: data die betekenis heeft voor de ontvanger.
Informatieanalyse: hoe een organisatie met zijn informatie omgaat.
Informatiebeveiliging: behoud van vertrouwelijkheid, integriteit en beschikbaarheid van
informatie.
Informatiebeveiligingsgebeurtenis: vastgestelde status van een systeem, dienst of netwerk
die duidt op een mogelijke overtreding van het informatiebeveiligingsbeleid of falen van
informatiebeveiligingsvoorzieningen.
Informatiebeveiligingsincident: gebeurtenis die nadelige gevolgen heeft of kan hebben voor
de bedrijfsvoering en de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van
informatie.
Informatiebeveiligingsmanagement: alle gecoördineerde activiteiten die richting geven aan
het beleid van een organisatie t.a.v. risico’s: risicomanagement, risicoanalyse,
beveiligingsmaatregelen en accepteren van risico’s.
Informatiemanagement: wijze waarop een organisatie haar informatiestromen efficiënt
plant, verzamelt, organiseert, gebruikt, controleert om te waarborgen dat de waarde van
informatie wordt vastgelegd en optimaal wordt benut.
, Informatiesysteem: applicatie, service of IT-onderdeel waarmee informatie verwerkt kan
worden.
Integriteit: bescherming tegen ongeautoriseerde modificatie van (data in) hardware en
software.
IT-voorzieningen: elk systeem, dienst of infrastructuur voor informatieverwerking, of de
fysieke locatie waarin deze gevestigd zijn.
Kwetsbaarheid: zwakte van een bedrijfsmiddel voor een bedreiging.
(Tegen)maatregel: bescherming tegen een potentieel risico (sterk wachtwoordbeleid,
fysieke bewaking, awareness trainingen).
Onweerlegbaarheid (non-repudiation): waarborg dat ontvangst of verzending van een
bericht niet kan worden ontkend.
Preventieve actie: maatregel om een incident te voorkomen.
Procedure: beschrijving hoe een proces moet worden uitgevoerd.
Proces: set gerelateerde handelingen die leidt tot een bepaalde output.
Restrisico: risico dat overblijft na alle genomen maatregelen.
Risico: combinatie van waarschijnlijkheid en gevolg van een gebeurtenis. Dit is de kans dat
een bedreiging gebruikmaakt van een zwakte/kwetsbaarheid met bijbehorende impact voor
de organisatie.
Risicoacceptatie: het (rest)risico dat een organisatie bereid is te nemen.
Risicobeheer: gecoördineerde activiteiten om een organisatie sturing te geven en te
bewaken m.b.t. risico’s.
Risicobehandeling: keuze en implementatie van maatregelen om risico’s te verlagen:
o Vermijden van een risico (niet starten of doorgaan met de risicovolle activiteit);
o Accepteren van een risico;
o Verwijderen van de risicobron;
o Gevolgen van een incident veranderen door maatregelen te nemen;
o Delen van een risico met een andere partij;
o Accepteren van een risico;
Risicobeoordeling: het gehele proces van risicoanalyse en risico-evaluatie.
Risico-evaluatie: proces waarin het risico wordt afgewogen tegen vastgestelde criteria ter
bepaling hoe significant het risico is.
Risico-identificatie: vinden, beoordelen en beschrijven van risico’s.
Vertrouwelijkheid: mate van beperking van toegang tot informatie voor bepaalde groep
gerechtigden (exclusiviteit).
Beveiligingsconcepten
Op basis van kwetsbaarheden, dreigingen, risico’s en blootstellingen maken organisaties een
risicoanalyse op basis waarvan de organisatie adequate maatregelen bepaalt.
In de aanpak van informatiebeveiliging in ISO/IEC 27002 wordt het belang benadrukt van:
1. Awareness (begrip/noodzaak tot beleid);
2. Implementeren en uitvoeren van adequate maatregelen;
3. Bewaken en controleren effectiviteit en efficiëntie;
4. Continu verbeteren door objectieve metingen.
Beschikbaarheid, exclusiviteit/vertrouwelijkheid, integriteit (BEI/BIV)
BEI/BIV is de basis van informatiebeveiliging. Risico’s, kwetsbaarheden en dreigingen worden
beoordeeld op potentiële schade en adequate maatregelen worden geselecteerd en
geïmplementeerd.
,Beschikbaarheid gaat over tijdigheid (op tijd beschikbaar zijn van informatie), continuïteit (ook
kunnen doorwerken bij storingen) en robuustheid (voldoende capaciteit). Maatregelen om
beschikbaarheid te beschermen:
Management en opslag van data regelen zodat het risico op verlies van informatie is
geminimaliseerd;
Procedures voor back-ups;
Wet- en regelgeving m.b.t. maximale beschikbaarheid van data.
Vertrouwelijkheid gaat over wie toegang heeft tot welke informatie. Maatregelen om
vertrouwelijkheid te beschermen:
Toegang geven op basis van “need to know”;
Medewerkers zorgen dat data niet onbedoeld terechtkomt bij personen die deze niet nodig
hebben;
Logisch toegangsmanagement zodat ongeautoriseerde personen of processen geen toegang
krijgen tot geautomatiseerde systemen, databases en programma’s;
Scheiding in verantwoordelijkheden (functiescheiding);
Maatregelen treffen in het verwerken en gebruiken van data om privacy te waarborgen.
Integriteit is de mate waarin informatie actueel is en zonder fouten (juistheid en volledigheid).
Maatregelen om integriteit te beschermen:
Autorisatie en verificatie van veranderingen in systemen en data (4 eyes – minimaal twee
personen);
Mechanismen inbouwen die afdwingen dat gebruikers de juiste termen gebruiken;
Vastleggen/loggen van gebruikersacties;
Vitale systeemfuncties alleen voor selectieve gebruikers én 4 eyes-principe;
Inzetten van vercijferingstechnieken.
Parkerian Hexad: zes elementen voor informatiebeveiliging: authenticiteit, bezit/controle, utiliteit
en BEI/BIV.
Termen die op elkaar lijken, maar niet hetzelfde zijn:
Risico: de kans dat een dreiging gebruikmaakt van een kwetsbaarheid en de bijbehorende
impact voor de organisatie (kansberekening).
Dreiging: komt voort uit een niet-gewenst incident en kan schade veroorzaken aan een
systeem of organisatie (hacker, verkeerd softwareproces, terrorisme, oorlog).
Kwetsbaarheid: een zwakheid in een bedrijfsmiddel die door een bedreiging kan worden
uitgebuit (een bekend lek in een softwarepakket, zwak wachtwoordbeleid).
Blootstelling: toestand waarin schade wordt geleden door toedoen van een threat agent.
Beoordeling van veiligheidsrisico’s:
Risicomanagement: proces van plannen, organiseren en controleren van activiteiten van
een organisatie om effecten van een risico te minimaliseren.
o Drie uitgangspunten voor beveiligingseisen:
Risico’s die de organisatie loopt
Wettelijke, statutaire en contractuele eisen waarin de organisatie moet
voldoen
Principes, doelstellingen en zakelijke eisen m.b.t. informatieverwerking,
opslag, communicatie en archivering ontwikkeld door de organisatie
Risicobeoordeling: risico’s identificeren, kwantificeren en prioriteren;
o Business impact analyse (impact van incidenten inschatten)
o Dreigingen- en kwetsbaarheden analyse
, Risicoanalyse: het definiëren en analyseren van de gevaren voor personen, organisaties en
overheidsinstellingen. Dit kent vier hoofddoelen:
o Identificeren van de waarde van assets;
o Vaststellen van kwetsbaarheden en dreigingen;
o Vaststellen van risico dat dreigingen werkelijkheid worden en schade veroorzaken;
o Vinden van evenwicht tussen kosten van maatregelen en kosten van het incident.
Kwantitatieve risicoanalyse: geschatte schade op basis van kans * impact.
Kwalitatieve risicoanalyse: subjectief dreigingsgevoel op basis van scenario’s.
Single Loss Expectancy (SLE): het verwachte monetaire verlies wanneer een incident één keer
voorkomt. Dit wordt berekend door: waarde van een asset * exposure factor (EF).
Annual Rate of Occurance (ARO): de frequentie waarmee de dreiging plaatsvindt per jaar (tussen 0
en 1). De verwachte monetaire schade op jaarbasis is: Annualized Loss Expectancy (ALE) (SLE *
ARO).
Beveiligingsmaatregelen: technische of administratieve tegenmaatregelen om incidenten te
voorkomen/verminderen en het verlies van informatie als gevolg van dreigingen te beperken.
Vier varianten van risicobeheersing:
Risico’s beperken (door het toepassen van beveiligingsmaatregelen);
Risico’s bewust accepteren (mits ze voldoen aan het beleid);
Risico’s vermijden (verbieden van acties die tot risico’s kunnen leiden);
Risico’s overdragen (verzekering).
Typen beveiligingsmaatregelen:
Reductieve maatregelen: reduceren van bedreigingen;
Preventieve maatregelen: voorkomen van incidenten (maak bedreigingen onmogelijk);
Detectieve maatregelen: incidenten snel kunnen detecteren;
Repressieve maatregelen: gevolgen van een incident beperken/minimaliseren;
Correctieve maatregelen: het (deels) herstellen van de ontstane schade.
Soorten bedreigingen:
Menselijke bedreigingen: opzettelijk (fraude, sabotage, wraak), onopzettelijk (fouten) of via
social engineering (sociaal misbruik maken van mensen door informatie te ontfutselen).
Niet-menselijke bedreigingen: invloeden van buitenaf (natuurrampen).
Soorten schade:
Directe schade (diefstal);
Indirecte schade (waterschade door bluswerkzaamheden);
Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE);
Eenvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE).
Soorten risicostrategieën:
Risicodragend: risico’s accepteren;
Risiconeutraal: beveiligingsmaatregelen treffen zodat de kans op en de gevolgen van
dreigingen geminimaliseerd worden (preventief, detectief, repressief);
Risicomijdend: beveiligingsmaatregelen treffen zodat dreigingen niet meer tot incidenten
leiden (preventief).
Les avantages d'acheter des résumés chez Stuvia:
Qualité garantie par les avis des clients
Les clients de Stuvia ont évalués plus de 700 000 résumés. C'est comme ça que vous savez que vous achetez les meilleurs documents.
L’achat facile et rapide
Vous pouvez payer rapidement avec iDeal, carte de crédit ou Stuvia-crédit pour les résumés. Il n'y a pas d'adhésion nécessaire.
Focus sur l’essentiel
Vos camarades écrivent eux-mêmes les notes d’étude, c’est pourquoi les documents sont toujours fiables et à jour. Cela garantit que vous arrivez rapidement au coeur du matériel.
Foire aux questions
Qu'est-ce que j'obtiens en achetant ce document ?
Vous obtenez un PDF, disponible immédiatement après votre achat. Le document acheté est accessible à tout moment, n'importe où et indéfiniment via votre profil.
Garantie de remboursement : comment ça marche ?
Notre garantie de satisfaction garantit que vous trouverez toujours un document d'étude qui vous convient. Vous remplissez un formulaire et notre équipe du service client s'occupe du reste.
Auprès de qui est-ce que j'achète ce résumé ?
Stuvia est une place de marché. Alors, vous n'achetez donc pas ce document chez nous, mais auprès du vendeur Rickdelaat. Stuvia facilite les paiements au vendeur.
Est-ce que j'aurai un abonnement?
Non, vous n'achetez ce résumé que pour €5,49. Vous n'êtes lié à rien après votre achat.
