WEEK C1
Aanval = een poging om ongeautoriseerd toegang te krijgen tot bedrijfsinformatie. Die informatie te
lezen, te stelen, te wijzigen, onbruikbaar te maken of ongeoorloofd gebruik van die
bedrijfsinformatie te maken.
Asset = alles wat waarde heeft voor een organisatie. dit een brede definitie, waarbij je kunt denken
aan gebouwen, informatie, software, hardware, hardcopies (papier), diensten; maar ook aan
mensen, vaardigheden en ervaring en immateriële vaste activa, zoals de reputatie en het imago van
de organisatie.
Authenticeren = het authentiek, rechtsgeldig maken, vaststellen of het echt waar is. in de IT-context,
wordt hier vooral mee bedoeld: het vaststellen van de juiste identiteit van een persoon die of
systeem dat zich aanmeldt bij een systeem om toegang te krijgen tot informatie in dat systeem.
Bedreiging = potentiële oorzaak van een ongewenst incident dat een systeem of organisatie schade
kan toebrengen.
Bedrijfsmiddel = alles wat waarde heeft voor een organisatie. dit een brede definitie, waarbij je kunt
denken aan gebouwen, informatie, software, hardware, hardcopies (papier), diensten; maar ook aan
mensen, vaardigheden en ervaring en immateriële vaste activa, zoals de reputatie en het imago van
de organisatie.
Beheersmaatregel = een middel om risico’s te beheersen, waaronder beleid, procedures, richtlijnen,
werkwijzen of organisatiestructuren, die administratief, technisch, beheersmatig of juridisch van aard
kunnen zijn. LET OP: beheersmaatregel wordt ook gebruikt als synoniem voor waarborging of
tegenmaatregel.
Beleid = de formeel uitgesproken inrichting van informatiebeveiliging en de intentie van de directie
hoe om te gaan met bedrijfsrisico’s en de bescherming van de organisatie tegen
informatiebeveiligingsrisico’s.
Beschikbaarheid = waarborgt de betrouwbare en tijdige toegang tot data of computercapaciteit voor
de medewerkers. Met andere woorden, beschikbaarheid garandeert dat de computersystemen
beschikbaar zijn op het moment dat ze nodig zijn om de werkprocessen uit te kunnen voeren.
Aanvullend hierop, betekent het voor de beveiligingsverantwoordelijke dat de
beveiligingsmaatregelen die op computersystemen genomen zijn, ook daadwerkelijk naar behoren
functioneren.
Blootstelling = met blootstelling wordt bedoeld dat een bepaald risico werkelijkheid wordt en de
organisatie op dat moment schade oploopt.
Control (maatregel) = middelen voor het managen van een risico. Meestal wordt een control ingezet
als technische of organisatorische beveiligingsmaatregel. Hieronder vallen ook het
bedrijfsbeveiligingsbeleid, procedures, richtlijnen en best-practices. Deze kunnen organisatorische
structuren omvatten zoals administratieve, technische en managementactiviteiten.
Derde partij = iedere persoon, die niet als contractspartij bij een overeenkomst is betrokken, is ten
opzichte van de desbetreffende contractspartijen een derde.
,Faciliteiten voor het gebruik van informatie = iedere vorm van een informatiesysteem, service of
infrastructuur die gebruikt wordt om informatie op te slaan, te bewerken en te beheren en de fysieke
middelen en locaties dienen daarvoor aanwezig te zijn.
Handreiking = onder een handreiking (Engels: guideline) worden richtlijnen bedoeld die niet per se
op die manier opgevolgd hoeven te worden. Het zijn hulpmiddelen die richting geven aan een
werkwijze.
Informatie = data die betekenis heeft voor de ontvanger van die informatie. Wanneer informatie in
een computersysteem wordt opgeslagen, wordt daar meestal naar verwezen als data. Nadat de data
is verwerkt, zal dit als informatie worden gezien.
Informatieanalyse = geeft een duidelijk beeld van hoe een organisatie met zijn informatie omgaat;
hoe de informatie door de organisatie stroomt (Engels: flow).
Informatiebeveiliging = het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van
informatie. Daarbij kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording,
onweerlegbaarheid en betrouwbaarheid een rol spelen. Informatiebeveiliging wordt bereikt door het
implementeren van een afgewogen set van organisatorische en technische maatregelen. De
maatregelen moeten ook gecontroleerd, bijgesteld en verbeterd worden. Informatiebeveiliging is
belangrijk voor de private en publieke sector en voor de bescherming van vitale infrastructuren.
Informatiebeveiligingsgebeurtenis = de vastgestelde status van een systeem, dienst of netwerk die
duidt op een mogelijke overtreding van het beleid voor informatiebeveiliging of een falen van
beveiligingsvoorzieningen, of een tot dat toe onbekende situatie die relevant kan zijn voor
beveiliging.
Informatiebeveiligingsincident = afzonderlijke gebeurtenis of een serie ongewenste of onverwachte
informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze nadelige gevolgen voor de
bedrijfsvoering hebben en een bedreiging vormen voor de informatiebeveiliging.
Informatiebeveiligingsmanagement = alle gecoördineerde activiteiten die richting geven aan het
beleid van een organisatie ten aanzien van risico’s. risicomanagement omvat normaal gesproken
risicoanalyses, het nemen van beveiligingsmaatregelen, het accepteren van risico’s tot een bepaald
niveau en het communiceren van risico’s binnen de organisatie.
Informatiemanagement = beschrijft de wijze waarop een organisatie haar informatiestromen
efficiënt plant, verzameld, organiseert, gebruikt en controleert. En informatiemanagement gaat ook
over hoe de organisatie de informatie verspreidt en uitdraagt en de wijze waarop ze ervoor zorgen
dat de waarde die de informatie in zich heeft ook ten volle benut wordt.
Informatiesysteem = applicatie, service of IT-onderdeel waarmee informatie verwerkt kan worden.
Integriteit = gaat over de bescherming tegen ongeautoriseerde modificatie van (data in) software en
hardware. Dit kan gebeuren door geautoriseerde en ongeautoriseerde medewerkers. Het gaat erom
te waarborgen dat data betrouwbaar is.
IT-voorziening = elk systeem, elke dienst of infrastructuur voor informatieverwerking, of de fysieke
locaties waarin ze zijn ondergebracht.
Kwetsbaarheid = zwakte van een bedrijfsmiddel of groep bedrijfsmiddelen die door een of meer
bedreiging kan worden benut.
Non-repudiation = onweerlegbaarheid.
,Onweerlegbaarheid = de waarborg dat ontvangst en/of verzending van een contract of een bericht
niet kan worden ontkend door de beide betrokken partijen, respectievelijk de ontvanger en de
verzender.
Preventieve actie = maatregel genomen om een incident te voorkomen (denk aan een firewall en
antivirus/antiware-maatrelen).
Procedure = specifieke beschrijving hoe een bepaald proces uitgevoerd moet worden. dit in
tegenstelling tot de apart genoemde handreiking die de gebruiker vrij laat in de uitvoering.
Proces = een samenhangende set van inter-gerelateerde of interactieve handelingen die samen
leiden tot een bepaalde in- of output.
Restrisico (residual risk) = het risico dat overblijft nadat beveiligingsmaatregelen genomen zijn. het is
vaak onmogelijk om risico’s volledig uit te sluiten, maar het is meestal wel mogelijk om risico’s tot
een aanvaardbaar niveau terug te brengen. Het klein, geaccepteerde risico is het rest risico.
Risico = combinatie van de waarschijnlijkheid van een gebeurtenis en het gevolg ervan.
Risicoacceptatie (risk appetite) = het risico dat een organisatie bereis is te nemen. Vaak wordt dit
bepaald op basis van een risicoanalyse en heeft het te maken met de kosten die gepaard gaan met
het nemen van bepaalde beveiligingsmaatregelen, die niet in verhouding staan met de kans dat een
incident zich voordoet en de mate van kwetsbaarheid die de organisatie dan loopt.
Risicoanalyse = voordat je kunt starten met het vaststellen van een beveiligingsstrategie, moet je
weten wat je beveiligd en tegen welke dreigingen. De methode om daar inzicht in te krijgen is de
risicoanalyse. De resultaten van een risicoanalyse helpen het management bij het stellen van
prioriteiten en het nemen van de juiste actief en beslissingen voor het managen van de
informatiebeveiligingsrisico’s.
Risicobeheer = gecoördineerde activiteiten om een organisatie sturing te geven en te bewaken met
betrekking tot risico’s. LET OP: risicobeheer omvat doorgaans risicobeoordeling, risicobehandeling,
risicoacceptatie en risicocommunicatie.
Risicobehandeling = proces van keuze en implementatie van maatregelen om risico’s te verlagen.
Risicobehandeling kan inhouden:
- Het vermijden van het risico door te besluiten niet te starten of verder te gaan met de activiteit die
ervoor zorgt dat het risico groter wordt.
- Het accepteren van een risico, waardoor de kans om een opdracht te winnen, groter wordt.
- De risicobron verwijderen.
- Door bepaalde maatregelen te nemen de gevolgen van een incident veranderen.
- Het delen van het risico met een andere partij of partijen (met inbegrip van contracten en
risicofinanciering).
- Het risico weloverwogen accepteren.
Risicobehandeling die handelen over negatieve gevolgen worden soms aangeduid als risicomitigatie,
risico-eliminatie, risicopreventie en vermindering van het risico. Risicobehandeling kan nieuwe
risico’s creëren of bestaande risico’s wijzigen.
Risicobeoordeling = het gehele proces van risicoanalyse en risico-evaluatie. Moet regelmatig
herhaald worden om wijzigingen in werkwijze, systemen en externe dreigingen te kunnen vaststellen
en daarop indien nodig de beveiligingsmaatregelen aan te passen.
, Risico-evaluatie = proces waarin het ingeschatte risico wordt afgewogen tegen vastgestelde
risicocriteria om te bepalen in welke mate het risico significant is.
Risico-identificatie = het proces van het vinden, beoordelen en beschrijven van risico’s. risico-
identificatie omvat de identificatie van risicobronnen, incidenten, oorzaken en consequenties.
Vertrouwelijkheid = de mate waarin de toegang tot informatie wordt beperkt tot een bepaalde
groep gerechtigden, die inzage mag hebben in de data. dit wordt ook wel exclusiviteit genoemd.
Verlies van vertrouwelijkheid kan op veel manieren ontstaan, zoals het bewust verspreiden van
gevoelige informatie over een bedrijf, of het onbewust lekken van informatie door fouten in
autorisaties in applicaties of netwerkrechten.
BEI-driehoek = beschikbaarheid, exclusiviteit (vertrouwelijkheid), integriteit. Dit zijn de
basisprincipes in een informatiebeveiligingsprogramma.
Vertrouwelijkheid = reflecteert naar beperkingen in termen van wie kan bij welke informatie.
Vertrouwelijkheid is erop gericht dat het noodzakelijke niveau van geheimhouding wordt
gerealiseerd voor elk moment dat die data verwerkt wordt en voorkomt het ongeautoriseerd
vrijgeven ervan. vb iemand die verantwoordelijk is voor strategische plannen in een organisatie
maakt zich zorgen over het vertrouwelijk houden van deze plannen voor de concurrenten. vb een
individu die wil niet dat anderen inzicht krijgen in zijn financiële gegevens. vb blz 19
Integriteit = de mate waarin de informatie actueel en zonder fouten is. Kenmerken zijn de juistheid
en volledigheid van de informatie. Elke ongeautoriseerde verandering van data (opzettelijk of per
ongeluk) is een inbreuk op de data-integriteit. vb data die is opgeslagen op een disk is stabiel. vb
van applicaties verwachten we dat ze informatie correct verwerken en opslaan en dat er geen
afwijkingen van de waarden worden geïntroduceerd. vb maatregelen blz 22. Don Parker: ‘’Mijn
definitie van informatie-integriteit komt uit de woordenboeken. Integriteit betekent dat de
informatie compleet, correct en ongeschonden is. Dit betekent dat niets ontbreekt van de
informatie, ze compleet is en in een gewenste staat.’’
Beschikbaarheid = karakteristieken zijn: tijdigheid, continuïteit en robuustheid. vb het crashen van
een disk kan inbreuk doen op de beschikbaarheid. vb maatregelen blz 23.
Tijdigheid = de informatie is beschikbaar op het moment dat ze nodig is.
Continuïteit = men kan doorwerken ook al treedt er een fout of storing op.
Robuustheid = er is voldoende capaciteit, zodat het systeem niet overbelast raakt wanneer alle
geautoriseerde gebruikers ermee werken.
Informatie kan incorrect of niet authentiek zijn, maar wel integer binnen een systeem.
Informatie kan correct en authentiek zijn, maar niet integer.
Parkerian Hexad = een set van 6 elementen voor informatiebeveiliging die is ingebracht door Donn
B. Parker. Deze Parkerian Hexad voegt 3 elementen toe aan de 3 klassieke beveiligingselementen uit
de BEI-driehoek.
1. Vertrouwelijkheid
2. Bezit of controle
3. Integriteit
4. Authenticiteit
5. Beschikbaarheid
6. Utiliteit