Samenvatting informatieveiligheid
Hoofdstuk 1 Inleiding
Informatiesystemen vormen het zenuwstelsel van onze samenleving. Ze worden gebruikt om:
Gegevens op te slaan
Transacties vast te leggen
Berekeningen uit te voeren
Contacten te leggen
Nieuwe producten te verkopen
Organisaties te besturen
Zonder informatiesystemen kunnen de meeste organisaties niet functioneren.
Informatiesystemen zijn in hoge mate gebaseerd op informatietechnologie. Het gebruik hiervan is
niet zonder risico’s. Informatietechnologie is immers vatbaar voor allerlei bedreigingen; menselijk en
niet-menselijk.
Informatiebeveiliging is een verzamelnaam voor de processen die ingericht zijn om de
betrouwbaarheid van de informatiesystemen en de daarin opgeslagen gegevens te beschermen
tegen al dan niet opzettelijk onheil.
Informatiebeveiliging kan niet los worden gezien van technologie, organisatie, maatschappij en
economie.
Technologie = Nieuwe technologieën brengen nieuwe bedreigingen met zich mee, maar maken ook
nieuwe beveiligingsmaatregelen mogelijk.
Organisatie = Organisatorische veranderingen zijn zeer actueel, bijv.: fusies, overnames, toenemend
belang van interne beheersing.
Maatschappij = Maatschappelijke ontwikkelingen hebben ook invloed op informatiebeveiliging, bijv.:
nationale en internationale wet- en regelgeving, de maatschappelijke betekenis van privacy en de
toenemende individualisering van de burger.
Economie = Economische ontwikkelingen die het vakgebied informatiebeveiliging aanzienlijk
beïnvloeden, bijv.: toenemende globalisering van ondernemingen en markten maar ook de verdere
groei van de digitale handel tussen bedrijven en burgers en tussen bedrijven onderling.
,Hoofdstuk 2 Begrippenkader
2.1 Gegevens, informatie en informatievoorziening
Het werken met gegevens speelt een cruciale rol in elke organisatie. Voor veel organisaties is het
verwerken van gegevens zelfs het belangrijkste proces. Voorbeelden:
Personeelsgegevens
Klantgegevens
Ordergegevens
Leveranciersgegevens
De waarde die de gegevens voor een organisatie hebben, hangt af van een aantal factoren:
Het procesbelang: de mate waarin bedrijfsprocessen, die gebruikmaken van de betreffende
gegevens, van belang zijn voor de organisatie.
De onmisbaarheid voor de bedrijfsprocessen: het belang van de betreffende gegevens voor
de bedrijfsprocessen die er gebruik van maken.
De herstelbaarheid: de mate waarin ontbrekende, incomplete of onjuiste gegevens
gereproduceerd of hersteld kunnen worden.
Het belang voor derden: de mate waarin derden (klanten, leveranciers of concurrenten)
belang hechten aan de betreffende gegevens.
Gegevens kunnen worden gezien als de objectief waarneembare weerslag van feiten in een drager.
Informatie is de betekenis die de mens aan de hand van bepaalde gevoelens of afspraken aan
gegevens toekent, of de kennistoename als gevolg van het ontvangen en verwerken van bepaalde
gegevens. Informatie is dus subjectief.
Gegevens kunnen worden verwerkt tot informatie. Daarbij is het mogelijk om gebruik te maken van
een informatiesysteem. Het informatiesysteem kan gegevens die voor een ontvanger niet direct
nuttig zijn, verwerken tot gegevens die voor de ontvanger een zinvolle betekenis hebben en daarmee
voor de ontvanger informatie zijn.
Big data: Een grote verzameling gegevens waarvan het vooraf niet duidelijk is welke informatie de
gebruiker hieruit kan ontlenen. Door bepaalde bewerkingen op de gegevens uit te voeren, kunnen
interessante verbanden en structuren in de gegevens worden ontdekt die voor de gebruiker
informatie vormen.
Informatiesysteem = Een samenhangende gegevensverwerkende functionaliteit die gegevens
verzamelt (invoer), manipuleert (verwerking), opslaat en verspreidt (uitvoer), en zo nodig een
corrigerende actie bevat (terugmelding).
Een informatiesysteem kan worden ingezet om één of meer bedrijfsprocessen te kennen, te
ondersteunen of te besturen. We spreken van een geautomatiseerd informatiesysteem als het
informatiesysteem wordt gerealiseerd met informatietechnologie. Een informatiesysteem kan de
volgende componenten bevatten:
Apparatuur
Programmatuur
Gegevens
Procedures
Mensen
, Informatietechnologie (IT)(=informatie- en communicatietechnologie (ICT)) is de technologie die
nodig is voor het beschikbaar stellen van een of meer geautomatiseerde informatiesystemen.
Applicatie = Programmatuur waarin de specifieke functionaliteit van een informatiesysteem
geprogrammeerd is. Omvat de toepassingsprogrammatuur en de bijbehorende
gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en documentatie.
Gegevensinfrastructuur = Het geheel van een of meer gegevensverzamelingen, inclusief de daarop
van toepassing zijnde procedures en documentatie, dat beschikbaar is voor een of meer
informatiesystemen.
IT-infrastructuur = Het geheel van automatiseringsmiddelen voor het opslaan, bewerken,
transporteren en representeren van gegevens ten behoeve van gegevensinfrastructuren en
applicaties. Bestaat uit de componenten apparatuur, basisprogrammatuur en
communicatievoorzieningen, inclusief de daarop van toepassing procedures en documentatie.
Informatievoorziening = Het geheel aan IT-infrastructuur, gegevensinfrastructuur, applicaties en
organisatie, dat tot doel heeft om te voorzien in de informatiebehoefte van de processen van een
organisatie.
De basisinfrastructuur maakt geen deel uit van de informatievoorziening, maar schept wel
noodzakelijke voorwaarden voor het functioneren van de informatievoorziening. Vanuit de
informatievoorziening zullen dan ook eisen gesteld worden aan de basisinfrastructuur. De
basisinfrastructuur omvat onder meer:
Elektriciteitsvoorziening
Airconditioning
Gebouwen en ruimten
Kasten en meubilair
2.2 Bedreiging, kwetsbaarheid en risico
2.2.1 Bedreiging
Een bedreiging is een proces of gebeurtenis met in potentie een verstorende invloed op de
betrouwbaarheid van een object. In het kader van informatievoorziening, betreft het dan onderdelen
van informatievoorziening: apparatuur, programmatuur, gegevens, procedures en mensen.
Bedreigingen kunnen worden onderverdeel naar de aspecten van betrouwbaarheid die ze negatief
beïnvloeden. Betrouwbaarheid heeft de aspecten beschikbaarheid, integriteit en vertrouwelijkheid:
Beschikbaarheid is de mate waarin gegevens of functionaliteit op de juiste momenten
beschikbaar zijn voor gebruikers
Integriteit is de maten waarin gegevens of functionaliteit juist en volledig zijn
Vertrouwelijkheid is de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot
degene die daartoe bevoegd zijn
Voorbeelden van kenmerken waarop bedreigingen nog verder kunnen worden onderverdeeld: