100% tevredenheidsgarantie Direct beschikbaar na betaling Zowel online als in PDF Je zit nergens aan vast
logo-home
Samenvatting Basiskennis beveiligen van informatie Reader BIV 2 €3,10
In winkelwagen

Samenvatting

Samenvatting Basiskennis beveiligen van informatie Reader BIV 2

4 beoordelingen
 472 keer bekeken  14 keer verkocht

Samenvatting Basiskennis beveiligen van informatie voor vak BIV 2 Reader ICT beveiliging

Voorbeeld 4 van de 25  pagina's

  • Ja
  • 21 oktober 2016
  • 25
  • 2016/2017
  • Samenvatting
Alle documenten voor dit vak (1)

4  beoordelingen

review-writer-avatar

Door: ekleinhofmeijer • 6 jaar geleden

review-writer-avatar

Door: Folkert • 7 jaar geleden

review-writer-avatar

Door: davesylbing • 7 jaar geleden

review-writer-avatar

Door: Chulo • 7 jaar geleden

avatar-seller
LarsV95
4. Informatie, bedrijfsdoelstellingen en kwaliteitseisen
Informatiebeveiliging betreft het definiëren, implementeren, onderhouden, handhaven en evalueren
van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit en de
vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen.
4.1 Verschijningsvormen
Kennis die iemand bereikt onderscheidt informatie van gegevens en van data. Data zijn gegevens die
in de informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie als deze
gegevens geïnterpreteerd kunnen worden tot een zinvolle boodschap. De waarde van informatie
wordt bepaald door de waarde die de ontvanger van deze informatie daaraan toekent.

4.2 Informatiesystemen
Een informatiesysteem is het geheel van middelen, procedures, regels en mensen dat de
informatievoorziening voor een bedrijfsproces verzorgt.

4.4 Informatie als productiefactor
De standaard productiefactoren van een bedrijf of organisatie zijn: kapitaal, arbeid en grondstoffen.
In de informatietechnologie en in de informatiebeveiliging is het gebruikelijk ook informatie als
productiefactor te zien (naast kapitaal, arbeid en grondstoffen), aangezien bedrijven niet zonder
informatie kunnen.

4.5 Beshcikbaarheid, integriteit en vertrouwelijkheid (BIV)
Informatie moet betrouwbaar zijn, dat wil zeggen (BIV):
 beschikbaar (availibility); de mate waarin informatie beschikbaar is voor de gebruiker en het
informatiesysteem in bedrijf is op het moment dat de organisatie deze nodig heeft.

Kenmerken beschikbaarheid:
o Tijdigheid: de informatiesystemen zijn beschikbaar gedurende werktijd
o continuïteit: medewerkers kunnen doorwerken
o robuustheid: voldoende capaciteit om alle medewerkers met het systeem te laten
werken.
 integer (integrity); de mate waarin de informatie actueel en zonder fouten is. Kenmerken van
integriteit zijn de juistheid en de volledigheid van de informatie.
 vertrouwelijk (exclusiviteit of confidentiality); de mate waarin de toegang tot informatie
beperkt is tot een gedefinieerde groep die daar rechten toe heeft. Hieronder vallen ook
maatregelen die de privacy beschermen. Inloggen in het systeem is een voorbeeld van
vertrouwelijkheid.

Elk bedrijfsproces stelt specifieke eisen aan de informatievoorziening. Websites moeten bijv. een
hoge beschikbaarheid hebben, andere processen zijn gebaat bij de correctheid van bijv.
productprijzen.
Bij ieder verzoek om een risicoanalyse uit te voeren of een beveiligingsadvies te geven, zal de
adviseur op basis van deze drie pijlers zijn of haar advies uitbrengen. Uitgangspunt is de invloed die
de BIV‐eisen hebben op de waarde van de informatie:
 Het belang van de informatie voor de bedrijfsprocessen;
 De onmisbaarheid van de informatie binnen bedrijfsprocessen;
 De herstelbaarheid van de informatie

,4.6 Informatiearchitectuur
Informatiearchitectuur is het proces dat zich richt op de inrichting van de informatievoorziening
binnen
een organisatie en richt zich primair op het invullen van de informatiebehoefte van een organisatie
en de wijze waarop dit georganiseerd kan worden. Informatiebeveiliging kan dit proces
ondersteunen
door de integriteit, beschikbaarheid en vertrouwelijkheid van de informatie te waarborgen.

4.7 bedrijfsprocessen en informatie
In een bedrijfsomgeving is er een nauw verband tussen bedrijfsprocessen en informatie.
Bedrijfsproces is het proces dat voor het bedrijf de basis is van zijn bestaan.
Elk bedrijfsproces stelt zijn specifieke eisen aan de informatievoorziening. Zo zijn er processen die
sterk afhankelijk zijn van de beschikbaarheid van informatie, zoals een website. Terwijl andere
processen juist gebaat zijn bij de absolute correctheid van informatie zoals prijzen van producten.

4.8 Informatieanalyse
Informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met informatie. Hoe loopt
de informatie door de organisatie heen. Bijvoorbeeld plaatsen van een order en de verwerking
hiervan. Het resultaat van een informatieanalyse kan gebruikt worden om tot een ontwerp te komen
voor een informatiesystemen.

4.9 Informatiemanagement
Informatiemanagement formuleert en richt het beleid in rondom de informatievoorziening van een
organisatie. Daarbij kan een informatiemanager gebruik maken van de informatiearchitectuur en een
informatieanalyse.

4.10 Informatica
Informatica heeft betrekking op de wetenschap die zich bezighoudt met de logica die gebruikt
wordt bij het structureren van informatie en systemen. Daarbij is van belang dat deze kennis ingezet
kan worden in het ontwikkelen van programmatuur.

5. Dreigingen en risico’s (risicoanalyse)
Met een risicoanalyse worden de risico’s voor een organisatie in kaart gebracht. Een risico, het
gevaar voor schade aan of verlies van informatie, wordt bepaald door een aantal factoren:

 De dreiging; een proces of gebeurtenis die de BIV van informatie of informatiesysteem kan
aantasten.
 De kans dat een dreiging zich daadwerkelijk voordoet;
 De gevolgen daarvan.

Wanneer een dreiging zich manifesteert spreken we van een incident. Een stroomstoring is een
voorbeeld van een groot incident waarbij de continuïteit van het bedrijf in gevaar is. Dit noemen we
een calamiteit.

Het proces om van dreigingen naar risico’s en naar beveiligingsmaatregelen te gaan heet
risicomanagement. Dit is een continu proces waarin de risico’s worden onderzocht, geïdentificeerd
en gereduceerd tot een acceptabel niveau.

,5.1 Risicoanalyse
Risicoanalyse is een middel in risicomanagement. Het uitvoeren van een risicoanalyse heeft als doel
inzichtelijk te maken welke dreigingen relevant zijn voor de bedrijfsprocessen en welke risico’s
hiermee gepaard gaan. Het beveiligingsniveau met de daarbij passende beveiligingsmaatregelen
worden vastgesteld

Een risicoanalyse wordt gebruikt om zeker te stellen dat beveiligingsmaatregelen op een
kosteneffectieve en tijdige manier worden ingezet en daarmee een goed antwoord vormen op de
dreigingen.

Risicoanalyse heeft vier hoofdoelen:
 Het identificeren van middelen en hun waarden;
 Het vaststellen van kwetsbaarheden en dreigingen;
 Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het
bedrijfsproces verstoren;
 Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een
beveiligingsmaatregel.



5.2 Soorten risicoanalyses
Kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen wat het financiële
verlies is en hoe groot de kans is dat een dreiging een incident wordt. Voor alle elementen in een
bedrijfsproces wordt de waarde vastgesteld. Deze waarden kunnen de kosten van
beveiligingsmaatregelen bevatten maar ook de waarde van eigendommen zoals gebouwen.,
hardware, software en bedrijfsmatige impact.

Kwalitatieve risicoanalyse gaat uit van scenario’s en situaties. Hierbij worden de kansen dat een
dreiging uitkomt bekeken op gevoel. Dan wordt gekeken naar het bedrijfsproces waarop de dreiging
betrekking heeft en naar de beveiligingsmaatregelen die al genomen zijn. Dit alles levert een
subjectief dreigingsgevoel op, waarop vervolgens maatregelen worden genomen. Hierop worden
vervolgens maatregelen genomen die het risico moeten inperken.

5.3 Maatregelen die het risico verminderen
Typen beveiligingsmaatregelen:
 Preventieve maatregelen zijn gericht op het voorkomen van incidenten;
 Detective maatregelen zijn bedoeld om incidenten waar te kunnen nemen (videobewaking);
 Repressieve (onderdrukken) maatregelen zijn bedoeld om de gevolgen van een incident te
stoppen (backup);
 Correctieve maatregelen zijn bedoeld om de ontstane schade te herstellen.

5.3.6 Verzekeren
Voor gebeurtenissen die niet uit te sluiten en waarvan de gevolgen onaanvaardbaar zijn, zoeken we
methoden om de gevolgen te verwachten, ook wel mitigatie genoemd. Dus verzekering afsluiten
voor bijvoorbeeld brand of een dagelijkse kopie van alle belangrijke gegeven buiten de organisatie
brengen die ervoor zorgt dat na de brand in ieder geval de onvervangbare gegevens er nog zijn.

5.4.7 Accepteren
Wanneer alle maatregelen bekend zijn, kan besloten worden om bepaalde beveiligingsmaatregelen
niet uit te voeren omdat de kosten te hoog zijn in verhouding met het rendement of omdat er geen
passende maatregelen mogelijk zijn.

, 5.5 Soorten dreigingen
Soorten dreigingen zijn:
 Menselijke dreigingen:
o Opzettelijk:
o niet opzettelijk
o social engineering (gebruik maken van mensen door ze informatie te ontfutselen)
 Niet‐menselijke dreigingen: invloeden van buitenaf zoals bliksem, brand, stormschade etc.

5.6 Soorten schade
Soorten schaden:
 Directe schade; heeft direct gevolgen voor de business, bijv. diefstal
 Indirecte schade; gevolgschade die kan optreden, bijv. waterschade van het brandblussen
 Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE)
 Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE)

5.7 Soorten risicostrategieën
Risicostrategieën; we kunnen op verschillende manieren met risico’s omgaan. De meest
voorkomende strategieën zijn:
 Risicodragend; sommige risico’s worden geaccepteerd. Veelal repressieve maatregelen.
 Risiconeutraal; er worden dusdanige maatregelen genomen dat dreigingen of niet meer
manifest worden, of dat de schade ervan geminimaliseerd is. Combinatie van preventieve,
detective en repressieve maatregelen.
 Risicomijdend; zorgen dat de dreiging helemaal niet meer leidt tot een incident. Met name
preventieve maatregelen worden getroffen.



5.8 Richtlijnen bij het invoeren van beveiligingsmaatregelen
ISO/IEC 27001:2005 gaat over de inrichting van het informatiebeveiligingsproces.
ISO/IEC 20000 is de wereldwijde standaard voor IT‐servicemanagement.

Beide normeringen bieden houvast om de bedrijfsprocessen doelmatig en beveiligd in te richten.

In de ISO/IEC 27002:2007, ook wel bekend onder de naam ‘Code voor de Informatiebeveiliging’,
staan richtlijnen voor maatregelen op het gebied van informatiebeveiliging. De richtlijnen in de
ISO/IEC
27002:2007 bestrijken het organisatorisch vlak, het procedurele vlak, het fysieke vlak en het logische
vlak van informatiebeveiliging.

De overheid heeft regels opgelegd voor de beveiliging van bepaalde informatie. Denk bijvoorbeeld
aan de Wet Bescherming Persoonsgegevens (WBP). Voor overheidsinstellingen is er het Voorschrift
Informatiebeveiliging.

Voordelen van het kopen van samenvattingen bij Stuvia op een rij:

Verzekerd van kwaliteit door reviews

Verzekerd van kwaliteit door reviews

Stuvia-klanten hebben meer dan 700.000 samenvattingen beoordeeld. Zo weet je zeker dat je de beste documenten koopt!

Snel en makkelijk kopen

Snel en makkelijk kopen

Je betaalt supersnel en eenmalig met iDeal, creditcard of Stuvia-tegoed voor de samenvatting. Zonder lidmaatschap.

Focus op de essentie

Focus op de essentie

Samenvattingen worden geschreven voor en door anderen. Daarom zijn de samenvattingen altijd betrouwbaar en actueel. Zo kom je snel tot de kern!

Veelgestelde vragen

Wat krijg ik als ik dit document koop?

Je krijgt een PDF, die direct beschikbaar is na je aankoop. Het gekochte document is altijd, overal en oneindig toegankelijk via je profiel.

Tevredenheidsgarantie: hoe werkt dat?

Onze tevredenheidsgarantie zorgt ervoor dat je altijd een studiedocument vindt dat goed bij je past. Je vult een formulier in en onze klantenservice regelt de rest.

Van wie koop ik deze samenvatting?

Stuvia is een marktplaats, je koop dit document dus niet van ons, maar van verkoper LarsV95. Stuvia faciliteert de betaling aan de verkoper.

Zit ik meteen vast aan een abonnement?

Nee, je koopt alleen deze samenvatting voor €3,10. Je zit daarna nergens aan vast.

Is Stuvia te vertrouwen?

4,6 sterren op Google & Trustpilot (+1000 reviews)

Afgelopen 30 dagen zijn er 52510 samenvattingen verkocht

Opgericht in 2010, al 14 jaar dé plek om samenvattingen te kopen

Start met verkopen
€3,10  14x  verkocht
  • (4)
In winkelwagen
Toegevoegd