Informatiebeveiliging:
Belangrijke gegevens om te beschermen zijn o.a.:
- Kwaliteitsgegevens
- Kostprijsgegevens
- Klantgegevens
- Financiële gegevens
- Persoonsgegevens
- Iso 27001 : Kaderstellende norm over risicobeheersing van assets
- Iso 27002 : Organisatiegerichte set best practices en standaardmaatregelen.
Voorbeelden assets:
- Personen
- Systemen
- Producten
- Gebouwen
- Procedures
Relevante aspecten informatiebeveiliging:
- Continuiteitsbeheer
- Naleving
- Beveiligingsincidenten
- Beveiligingsbeleid
- Risicoanalyse
- Beveiligingseisen mbt personeel
- Fysieke beveiliging
- Toegangsbeveiliging
- Operationeel beheer
- Onderhoud informatiesysteem
Informatiebeveiliging: Het geheel van maatregelen, richtlijnen en procedures voor de gegevens- en informatiesystemen die zijn gericht op het waarborgen van het in de organisatie zijn van de systemen en het minimaliseren van schade.
Bedreigingen:
4 categorieen bedreigingen:
- Bedreigingen door natuurlijke oorzaak
- Bedreigingen van menselijke, opzettelijke aard.
- Bedreigingen van menselijke, niet-opzettelijke aard.
- Bedreigingen door technische fouten
Beleidsaspecten:
- Fysieke beveiliging; pasjes, tourniquets, beveiligers, sloten, kluizen).
- Personeelsbeleid (VOG, assessments, autorisaties)
- Organisatiebeleid (4 ogen principe, autorisaties per product, functiescheiding).
- Informatiebeleid ( best practices, standaardisering)
- Privacybeleid (Persoonsgegevens)
- Juridisch beleid (contracten, clausules, boetebedingen, 3th party mededelingen)
3 Basisbegrippen informatiebeveiliging:
1. Beschikbaarheid: De mate waarin de gegevens en systemen beschikbaar zijn voor de gebruikers. Hiervoor moet ook gedacht worden aan brandveiligheid, energievoorziening, calamiteitenplan, backups, ddos beveiliging.
2. Vertrouwelijkheid: De mate waarin gegevens en systemen beperkt zijn tot een vastgestelde groep gebruikers. Denk hierbij ook aan encryptie, authenticatie en bescherming tegen fishing en cyberaanvallen.
3. Integriteit: De mate waarin gegevens correct en volledig opgeslagen en verwertk worden. Denk hierbij ook aan het registreren van wijzigingen en toepassen geldigheidscontroles.
3 beveiligingsklassen:
- Standaard: Baseline beveiliging. Standaardmaatreglen zoals backups maken.
- Gevoelig: Risico dat schade aan beschikbaarheid, integerheid en vertrouwlijkheid van de ICT voorziening met niet zeer ernstige/omkeerbare impact. Extra maatregelen zoals sterke authenticatie bij toegancontrole en backup-voorzieningen.
- Kritiek: Risico op zeer ernstige/ onomkeerbare schade aan primaire bedrijfsprocessen door
AVG: Algemene verordening gegevensbescherming.
Regels voor het omgaan met persoonsgegevens. Het classificeren van persoonsgegevens gebeurd in 4 groepen:
- Risicoklasse 0 : Publiek niveau. Telefoonboek, brochures, publieke websites.
- Risicoklasse 1: Basisniveau. Arbeidsrelaties, lidmaatschappen, schooladministratie en klantrelaties.
- Risicoklasse 2: Verhoogd risico. Bank en verzekeringswezen, Adressenhandel.
- Risicoklasse 3: Hoog risico. Opsporingsdienst, DNA-databanken.
Classificeren: Het systematisch indelen in groepen of categorieën volgens vastgestelde criteria.
Om de kwetsbaarheid van een ict-systeem te beoordelen, kan gebruikt worden gemaakt van vragenlijsten en invulformulieren. Dit zal periodiek geactualiseerd moeten worden.
Kwetsbaarheid: de mate van impact waarvan één of meer van de BIV-aspecten van de informatievoorziening worden blootgesteld aan een bedreiging. Heeft betrekking op de ernst van de impact.
Risico: De kans dat een bedreiging daadwerkelijk realiteit wordt.
Risico = bedreiging x kwetsbaarheid x schade.
Schade. Financiëel, immateriëel, imagoverlies, directe schade, indirecte schade.
Maatregelen: De keuze van beschermingsmaatregelen worden genomen op basis van een risicoanalyse.
Risicoanalyse: In beeld brengen van de aard, ernst en omvang van de bedreigingen en hun invloed op de verstoring van de bedrijfsprocessen.
Beveiligingsmaatregelen:
Preventieve maatregelen: Voorkomen dat een bedreiging leidt tot een verstoring. Bijvoorbeeld een noodstroomvoorziening.
Repressieve maatregelen: Maatregelen na het optreden van een storing te beperken.
Detectieve maatregelen: Bedreigingen in een vroeg stadium detecteren zodat maatregelen getroffen kunnen worden. Rookmelders, virusscanners.
Correctieve maatregelen: Herstellen van objecten die bij een incidenten zijn beschadigd. In principe geen beveiligingsmaatregelen maar onderhouds- of beheermaatregelen.
Beveiligingswijzen:
Organisatorische beschermingsmaatregelen:
- Toekennen autorisaties
- Doorvoeren functiescheiding
- Opstellen richtlijnen en procedures.
- Onderhouden en beheer gegevens
- Vervanging cruciale functies en deskundigheid
- Opstellen beveiligingsplan
- Interne controle (procedures)
Programmeerbare beschermingsmaatregelen:
- Sterke wachtwoorden
- Identificeren en volgen gebruikers.
- Testen programmatuur.
- Encryptieprogrammatuur.
- Digitale handtekeningen
- Virusbescherming.
Fysieke beschermingsmaatregelen.
- Noodstroomvoorziening.
- Beveiliging computer en apparatuur ruimten.
- Back-ups
- Blokkeren archiveringsbeveiliging
- Toegangscontrole bedrijf.
NEN_ISO 27.002:2013 gebieden:
- Beveiligingsbeleid (IB)
- Organisatie van informatiebeveiliging.
- Beheer en classificatie van bedrijfsmiddelen.
- Personele beveiligingseisen
- Fysieke beveiliging, toegangsbeveiliging.
- Beheer communicatie- en bedieningsprocessen