Information Security Foundation Hoofdstuk: 1 Basisbegrippen

Transcriptie

1 ISF ISF Information Security Foundation Hoofdstuk: 1 Basisbegrippen 1152 blz Informatie en organisatie - beveiligingsincident - is een gebeurtenis die de betrouwbaarheid van de informatie óf de informatieverwerking kan verstoren. Alles dat buiten afspraken gebeurdx is een beveiligingsincident. Bedreigingen is een mogelijkheid tot voorkomen blz 10 1,1 Informatie en organisatie - informatiebeveiliging - richt zich op > - het beveiligen van informatie, - het maken van plannen om te voorkomen dat er beveiligingsincidenten plaatsvinden én - het nemen van voorzorgsmaatregelen om de gevolgen ervan te verkleinen blz Waarde van informatie - 4 productiefactoren - 1. grond 2. kapitaal 3. arbeid 4. informatie De waarde van grond, kapitaal en arbeid is makkelijk te bepalen, bij informatie wordt dat moeilijker Waarde van informatie - * blz factoren - De waarde van informatie bestaat uit 2 factoren > - KWALITEIT vd informatie - BELANG vd informatie vrijdag 15 januari 2016 Pagina 1 van 32

2 1156 Waarde van informatie - kwaliteitseisen - *** blz betrouwbaarheid - Kwaliteitseisen kunnen worden samengevat met het begrip BETROUWBAARHEID. Betrouwbaarheid bestaat uit 3 aspecten (BIV) > - BESCHIKBAARHEID > dit is de mate waarop de info op het juiste moment beschikbaar is voor de gebruikers en wordt vaak uitgedrukt in een percentage. Beschikbaarheid heeft de volgende kenmerken (CRT) > - Continuïteit > kan info ook in de toekomst verstuurd worden? - Robuustheid > is de info bestand tegen storingen? - Tijdigheid - INTEGRITEIT > geeft de mate waarin gegevens een afspiegeling zijn vd werkelijkheid. Integriteit heeft de volgende kenmerken (ACCGONV) > - Authenticiteit > komt het vd juiste bron? - Correctheid - Controleerbaarheid - Geldigheid - Onweerlegbaardheid > heeft de verzender de info verzonden? - Nauwkeurigheid - Volledigheid - VERTROUWELIJKHEID > geeft de mate waarop de toegang tot deze informatie is beperkt tot de juiste personen. Vertrouwelijkheid heeft de volgende kenmerken (EP) > - Exclusiviteit > is de informatie voldoende afgeschermd tegen onbevoegden? - Privacy > wordt er op een correcte manier met gegevens omgegaan? JUISTHEID past bij veel deelaspecten, denk hier aan: tijdigheid > moet op de juiste tijd geleverd worden en ook aan bv correctheid > de info moet juist zijn etc blz Continuïteit - continuïteit - hiermee bedoelen we de mate waarin bedrijfsprocessen ongestoord doorgang kunnen vinden gedeurende een afgesproken tijdsperiode. Het is de taak vh management ve organisatie om maatregelen te nemen om verstoringen te voorkomen of de gevolgen ervan te verminderen, dit noemt men Continuïteitsmangement (Continuity management) en is in de eerste instantie een taak vh lijnmanagement ve organisatie. Continuïteitsmangement (Continuity maangement) > is een voortdurend proces dat uit de volgende stappen bestaat > 1. BELEID > directie moet de eisen en randvoorwaarden vastellen en moet aangeven waar de prioriteiten liggen, dit wordt omgezet naar een continuïteitsplan, dat regelmatig herzien moet worden. 2. RISICOANALYSE > geeft inzicht in risico's en de schade die dit kan veroorzaken. Het aspect bedreiging is hier een onderdeel van. 3. MAATREGELEN > kunnen genomen worden om schade te beperken blz Continuïteit - continuïteitsplan - geeft antwoord op de volgende vragen > - welke bedreigingen zijn er voor de continuïteit? - hoe groot is de kans dat deze optreden? - welke schade hebben we dan? - welke maatregelen kunnen we nemen om het risico te verkleinen? - wie is daar verantwoordelijk voor implementatie vd maatregelen en het toezicht daarop? vrijdag 15 januari 2016 Pagina 2 van 32

3 1159 blz Bedreigingen, bedreigingsanalyse en kwetsbaarheid - bedreigingen Bedreiging is een gebeurtenis die een verstorende invloed KAN hebben op betrouwbaarheid (BIV) vd informatie en/of het IS. Er zijn de volgende soorten bedreigingen > - MENSELIJKE bedreigingen > - Onopzettelijk > door gebruikers, gasten en/of beheerders ; (volgens boek hoort hier ook het gebruik van illigale software bij???) - Opzettelijk > door hackers, criminelen, saboteurs, fradeurs; Deze kunnen ook nog opgeverdeeld worden in > - Personeel, hacker, terrorist, criminieel, klant, concurrent; - NIET-MENSELIJKE bedreigingen > - Natuur > (aarbeving, blikseminslag, overstormingen, ziekte, ongevallen e.d.); - Storingen > uitval van IS en storingen door stroom, fouten in hard- en software, kortsluiting, statische elektriciteit, e.d blz Bedreigingen, bedreigingsanalyse en kwetsbaarheid - beveiliging en kwetsbaarheid - BEVEILIGING / SECURITY > is het middel om de veiligheid vd informatie te waarborgen. VEILIGHEID / SAFETY > het bieden van bescherming tegen bekende risico's en het zoveel mogelijk voorkomen v onbekende risico's. INFORMATIEBEVEILIGING houdt zich bezig met het treffen van maatregelen om de betrouwbaarheid (BIV) vd inbformatie en de informatievoorzieningen te waarborgen en de hiervoor bedrijfsmiddelen te beschermen. vrijdag 15 januari 2016 Pagina 3 van 32

4 1161 blz Bedreigingen, bedreigingsanalyse en kwetsbaarheid - kwaadaardige software - we maken onderscheid tussen > - VIRUS > is een programma dat tot doel heeft zichzelf te vermenigvuldigen, waarbij één of meerdere, eventueel gewijzigde virussen aangemaakt worden. Een virus hecht zich aan een normaal programma en als dat gestart wordt start het vius ook en voert dan ongewenste activiteiten uit. De werken van een virus noemt met PAYLOAD. - WORM > werkt als een virus, maar een worm heeft geen gastheer nodig om geactiveerd te worden. - TROJAN HORSE > is een programma dat zich voordoet alsof het onschadelijk is, terwijl het op de achtergrond van allerlei ongewenste activiteiten uitvvoerd. Deze zijn ook meestal kwaadaardig. - LOGISCHE BOM > is een stukje programmacode in een programma dat alleen bij een bepaalde combinatie v gebeurtenissen start en dan ongewenste activiteiten uitvoerd. BV op een bepaalde datum vrijdag de 13e de PC platgooien. - HOAX > is een bericht of een kettingbrief in -vorm. De bedoeling is om zoveel verkeer te veroorzaken dat de netwerken zich erin verslikken en alles vastloopt. - SPAM > is ongevraagde en ongewenste s die in grote aantallen verstuurd worden. Netwerken kunnen erdoor verstopt raken. vrijdag 15 januari 2016 Pagina 4 van 32

5 1162 blz Bedreigingen, bedreigingsanalyse en kwetsbaarheid - bedreigingsanalyse verschaft inzicht in de bedreigingen en de mogelijke gevolgen v die bedreigingen. - Eerst is er een bedreiging die schade kan veroorzaken aan een object; - Dan vindt er een beveiligingsincident plaats; - Deze gebeurtenis kan tot concrete schade leiden; - Deze schade kan van financiële aard zijn of van immateriële aard zijn. Het risico geeft aan hoe groot de schade kan zijn en hoe groot de kans op die schade is. Deze kunnen ook de kwaliteitsaspecten van de BETROUWBAARHEID (BIV) vd informatie en hun aantasten > 1. Beschikbaarheid > de gegevens zijn er niet meer, in beperkte mate beschikbaar, beschadigd of gewist ed; 2. Integriteit > de gegevens zijn niet meer correct of volledig of gewist; 3. Vertrouwelijkheid > de gegevens zijn toegankelijk geworden voor onbeveogden Bedreigingen, bedreigingsanalyse en kwetsbaarheid - *** blz kwetsbaarheid - is de mate waarop een object gevoelig is voor een bepaalde bedreiging. vrijdag 15 januari 2016 Pagina 5 van 32

6 1164 Risico en risicoanalyse - ** blz risico - is het product van de kans dat een object vd informatievoorzineing wordt getroffen door een bedreiging en de schade die dat tot gevolg heeft. Om deze in kaart te brengen wordt er een risicoanalyse uitgevoerd, deze bestaat minstens uit de volgende elementen (OBSIR) > - Object > welke worden bedreigd? - Bedreiging > wat en welke zijn er voor deze objecten? - Schade > hoe groot is de schade dan? (schade); - Incident > welke kunnen zich voordoen? (kans); - Risisco > wat is de kans dat het zioch voordoet en hoe hoor is de schade? Per object worden alle bedreigingen bekeken en een inschatting gemaakt van hoe groot dat de kans is dat deze zich gaat voordoen. Doel vd RISICOANALYSE is het in kaart brengen vd objecten die worden bedreigd en de risico's die verband houden met deze objecten. Daarna kan naar maatregelen worden gezocht om te proberen te voorkomen. Wordt voor ieder object apart uitgevoerd dat voor een bepaald risico in aanmerking komt. INCIDENT > is een bedreiging die zich voordoet (betekenis wijkt hier af van ITIL) Risico en risicoanalyse - *** blz risicomangement - bestaat uit een combinatie van analyserende en sturende maatregelen met als doel de risico's te identificeren en maatregelen te ontwerpen en in te voeren, waardoor de kans dat een risico zich voor gaat doen, tot een acceptabel niveau teruggebracht wordt. Zie ook de methode CRAMM van ITIL. 441 vrijdag 15 januari 2016 Pagina 6 van 32

7 1166 blz Risico en risicoanalyse - soorten risico analyses er worden de volgende methoden onderscheiden > 1. STANDAARD VRAGENLIJST > is een eenvoudige aanpak met 2 vormen > - QUICK SCAN > is een standaard vragenlijst van buiten de organisatie. - BASELINE CHECKLIST > Een baseline is een basisniveau van beveiliging dat uit een stelsel van interne maatregelen betreft die binnen de hele organisatie doorgevoerd worden. Op basis vd Code voor Informatievbeveiliging zijn er vragenlijsten samengesteld om tot een basis niveau te komen. Voordelen > - goedkoop, snel in te voeren, normeerbaar, inzichtelijk, bewustwording. Nadelen > - standaard, statisch. 2. KWALITIEVE RISICOANALYSE > hier worden risico's geanalyseerd en de mogelijke schade geschat. BV de A&K-analyse (= Afhankelijkheids- en Kwetsbaarheidsanalyse). Deze bestaat uit 4 onderdelen > - AFHANKELIJSHEIDSANALYSE > hier bepaal je hoe afhankelijk de bedrijfsprocessen ve IS zijn en welke schade erop treedt als het IS faalt; - CONFIGURATIEANALYSE > bepalen welke objectendeel uitmaken van het IS en hun relaties; - KWETSBAARHEIDSANALYSE > welke bedreiging relevant zijn voor de obejecten vh IS en hoe kwetsbaar deze zijn; - MAATREGELENANALYSE > bepalen en implementeren welke maatregelen men moet nemen om een IS dusdanig te beschermen zodat de risico's acceptabel zijn voor een onderneming. Voordelen > - maatwerk, dynamisch, hackers (hebben minder inzicht). Nadelen > - complex, tijd, kosten, informatieoverload. 2. KWANTIATIEVE RISICOANALYSE > dit is de meest uigebreide en gedetaillieerde vorm, waarbij de risico's worden gekwantificeerd in meetbare criteria, zoals geld. Het risico kan dan bereken worden met de formule R = K*S, deze methode wordt alleen in specifieke situaties toegepast. Voordelen > - maatwerk, dynamisch, hackers (hebben minder inzicht). Nadelen > - complex, tijd, kosten, informatieoverload. vrijdag 15 januari 2016 Pagina 7 van 32

8 1167 blz Risico en risicoanalyse - risicobeperkende maatregelen - hebben tot doel de risico's te verkleinen door een van de factoren (schade of kans) te beïnvloeden. Dit kan door bijvoorbeeld > - regelmatig te back-uppen, virusscanner, wachtwoorden, e.d blz Risico en risicoanalyse - risicoanalyse binnen ITIL - CRAMM CRAMM is de CCTA Risico Analyse Management methode, zie figuur. Is een kwantitatieve risicoanalyse, die gebaseerd is op de formule R= S*K en bestaat uit risicoanalyse en risicomanagement. CRAMM kent 2 soorten maatregelen > 1. risicobeperking > preventieve maatregels; 2. uitwijkplanning > maatregels om zo snel mogelijk te herstellen blz Risico en risicoanalyse - welke risicoanalysemethode kiezen? - hangt af van de volgende factoren > - URGENTIE > hoe snel moet het resultaat beschikbaar zijn? - KWETSBAARHEID - ORGANISATIECULTUUR > is de organisatie zich al bewust van de bedreigingen? - VOLWASSENHEID > Hoe volwassen is de organisatie? vrijdag 15 januari 2016 Pagina 8 van 32

9 1170 blz Organisatie vd informatiebeveiliging - proces informatiebeveiliging Het informatiebeveiligingsbeleid is een onderdeel van het algehele organisatiebeleid. De beveiligingsstrategie is afhankelijk van de eisen en randvoorwaarden van de organisatie. Het proces informatiebeveiliging bestaat uit 6 stappen > 1. Beleid & organisatie 2. Risicoanalyse 3. Maatregelen 4. Implementatie 5. Bewaking 6. Evaluatie Punt 1 t/m 3 zal normaliter door het management gebeuren. 445 vrijdag 15 januari 2016 Pagina 9 van 32

10 1171 blz Informatiebevielingsplan - informatiebevielingsp lan - hierin wordt beschreven welke beveiligingsmaatregelen gekozen zijn, de reden waarom, de middelen en geven richtlijn van de implementatie daarvan. Het omschrijft de volgende onderwerpen > - doelstelling en reikwijdte - de te beveiligen objecten en hun eigenaar - organisatie vd informatiebeveiliging - taken, verantwoordelijkheden en bevoegdheden - beveiligingseisen en -randvoorwaarden - objecten, risico's en maatregelen - registratie en afhandeling v beveiligingsincidenten - calimiteitenplan met uitwijk- en herstelprocedures - opleidingsplan plannen ter bevordering beveiligingsbewustzijn 1172 blz Organisatorische invulling - organisatorische invulling - Informatiebevieiliging speelt zich op alle drie de niveaus af binnen een organisatie. - Strategisch > beleidsvorming - Tactisch > invulling geven aan het informatiebeleid, risiscoanalyses uitvoeren en beveiligingsmaatregels implementeren. - Operationeel > dagelijkse beveiligingswerkzaamheden. Bevorderlijke regels voor de beveiliging kunnen oa. Zijn > - Hoe wordt omgegaan met wachtwoorden; - regels voor klanten en leveranciers; - regels tav Thuiswerken; - regels tav gebruik laptop; - waar beveiligngselementen melden; - regels voor opruimen bureau na werktijd; - afspraken over uitloggen; - verantwoordelijkheid voor afsluiten kamers en computerruimte; - internet en gebruik; - hoe omgaan met gegevensdragers. 446 vrijdag 15 januari 2016 Pagina 10 van 32

11 1173 blz Organisatorische invulling - algemene beveiligingstaken - - Directie > eindverantwoordelijk voor implementatie en uitvoering vh beveiligingsbeleid. - Management > lijnmanagement is verantwoordelijk voor de implementatie en uitvoering vh beveiligingsbeleid binnen hun eigen oraganisatorische eenheid. - Medewerkers > zijn verantwoordelijk voor de beveiligingsaspecten met betrekking tot de eigen functie. - Externe medewerkers - Personeelszaken - Falicitair beheer > is verantwoordelijk voor de toegang tot gebouwen, terreinen en ruimten. - Servicedesk - Klanten > hebben recht op WPB (wettelijke bescherming v persoonlijke gegevens). - Leveranciers van goederen en diensten 1174 blz Specifieke beveiligingsfuncties - specifieke beveiligingsfuncties - Security officer > strategisch niveau Security specialist > tactisch niveau Beheerder informatiebeveiliging > kan tactisch zijn maar hoeft niet, is wel management Autorisatiebeheerder > operationeel niveau Systeembeheerder > operationeel niveau 1175 blz Standaarden voor informatiebeveiliging - ITIL security management - Anders dan bij het proces informatiebeveiliging zijn hier de eisen van de klant zijn hier het uitgangspunt. Deze worden vertaald naar een SLA (Sercive Level Agreement). Afspraken met interne dienstverleners worden vastgelegd in een OLA (Operational Level agreement). Afspraken met externe leveranciers worden vastgelegd in Underpinning Contracts (UC) blz Standaarden voor informatiebeveiliging - code voor informatiebeveiliging - is uitgegeven door het Nederlands Normalisatie-Instituut (NNI) geeft de basis aan voor bescherming v informatie aan de hand van 10 hoofdcategoriën > 1. beveiligingsbeleid; 2. organisatie v beveiliging 3. classificatie en beheer 4. personeel 5. fysieke beveiliging 6. computer- en netwerkbeheer 7. toegangsbeveiliging 8. systeemontwikkeling en -onderhoud 9. continuïteitsplanning 10. toezicht vrijdag 15 januari 2016 Pagina 11 van 32

12 1177 blz Standaarden voor informatiebeveiliging - Voorschrift Informatiebeiliging Rijksdienst (VIR) - is een voorschrift dat vooral binnen overheid gebruikt wordt. Hier worden 6 maatregelen in genoemd > - beleid - coördinatie - verantwoordelijkheden - meldpunt voor inbreuken en - controle op naleving - afhankelijksheids en kwetsbaarheidsanalyse moet uitgevoerd zijn blz Standaarden voor informatiebeveiliging - ISO-normen - ISO = International Standardization Organization ISO > staat ook bekend als het OSI-refenrentiemodel datacommunicatie. ISO > stond aan de basis van het ITIL-proces SM=Security Management en bestaat uit 5 beschrijvenden delen: 1. Standaarden voor informatiebeveiliging uitgangspunten beschrijven; 2. invoer en handhaving vd informatiebeveiliging; 3. beveiligheidstechnieken en verantwoordelijke personen; 4. richtlijnen voor beschermingsmaatregelen en gebruik v baselines; 5. aspecten behandelen bij aansluitingen externe netwerken. ISO > richtlijn voor partijen die een TTP = Truste Third Parties willen opstellen. TTP is een methode waar een 3e partij wordt ingehuurd, zodat er 2 partijen betrokken zijn die elkaar moeten kunnen vertrouwen. ISO > gaat over de kwaliteit vd informatiesystemen blz Certificatie - certificaat - Een certificaat is een kwaliteitswaarmerk, dit kan men krijgen door een externe autdit /toetsing die periodiek herhaald wordt. Het certificatieproces is als volgt > - aanvraag - proefonderzoek - documentatieonderzoek - implementatieonderzoek - evaluatie - beslissing taken > - interne IT auditor / adviseur interne controle en beveiliging > is primair verantwoordelijk voor het toetsen vd kwaliteit vd informatievoorziening tav de kwaliteit vd systemen, integriteit v gegevens, beveiliging en internetcontrole. - externe IT-auditor / EDP auditor > is meestal een gecertificeerde medewerker ve extern accountantsbureau, komt altijd van buiten de organisatie. ISF Hoofdstuk: 2 Informatiebeveiliging vrijdag 15 januari 2016 Pagina 12 van 32

13 1180 blz Objecten - objecten - ICT infracstructuur > is het geheel aan automatiseringsmiddelen voor opslaan, bewerken, transporteren en representeren v gegevens en bestaat uit apparatuur, basisprogrammatuur en communicatievoorzieningen, evenals daarop van toepassing zijnde procedures en documentatie. Basisinfrastructuur > zijn objecten die indirect bij beveiliging v informatie en informatievoorziening betrokken zijn en bevat oa > - omgeving: ruimten, huisvesting, terreinen en gebouwen; - watervoorziening; - electriciteitsvoorziening; - telecommunicatievoorziening. vrijdag 15 januari 2016 Pagina 13 van 32

14 1181 Objecten - *** schema v te beveiligen objectenblz vrijdag 15 januari 2016 Pagina 14 van 32

15 1182 Beveiligingsmaatregelen - *** blz groepen - we onderscheiden 3 groepen/aspecten > - betrouwbaarheid - effect - werkwijze 1183 Beveiligingsmaatregelen - *** blz indelen naar betrouwbaarheidsasp ect - we onderscheiden (BIV) > - Beveiligingsmaatregelen die de BESCHIKBAARHEID waarborgen of bevorderen; - Beveiligingsmaatregelen die de INTEGRITEIT waarborgen of bevorderen; - Beveiligingsmaatregelen die de VERTROUWELIJKHEID waarborgen of bevorderen. Vertrouwelijkheid is de belangrijkste doel van informatiebeveiliging Beveiligingsmaatregelen - *** blz indelen naar effect - - PREVENTIEVE beveiligheidsmaatregelen > voorkomen; - DEDECTIEVE beveiligheidsmaatregelen > ontdekken; - REPRESSIEVE beveiligheidsmaatregelen > onderdrukken, schade beperken; - CORRECTIEVE beveiligheidsmaatregelen. Hier gaat het om het doel vd maatregel blz Beveiligingsmaatregelen - indelen naar werkwijze - we onderscheiden de volgende beveiligingsmaatregelen > - FYSIEKE > tastbaar en is vooral hardware, communicatieapparatuur, fysieke verbindingen, basisinfrastructuur, papier; - TECHNISCHE > logisch en vooral softwarematig (vooral software) en zijn gebaseerd op de volgende principes > - toegangsbeheersing = acces control (Identificeren, Auchtentificatie en Autororiseren) - autorisatie; - back-up en redundantie; - encryptie; - auditing, logging en monotoring; - antivirus. - ORGANISATORISCHE > functiescheiding (er wordt verschil gemaakt tussen de uitvoerder en een controleur); - PROCEDURELE maatregelen > werkwijze is vastgelegd in een procedure, er wordt opgeschreven hoe iets gedaan moet worden. vrijdag 15 januari 2016 Pagina 15 van 32

16 1186 blz Beveiligingsmaatregelen - naar werkwijze - Voor het filteren van gegevensverkeer worden Firewalls gebruikt, hier kennen we 2 soorten > - PACKET FILTER-FIREWALL > eenvoudigste beveiliging, er wordt alleen naar netwerkadressen gekeken. - PROXY FIREWALL of APPLICATION GATEWAY > hier wordt op applicatieniveau gefilterd, er wordt als het ware ook naar de "binnenkant" gekeken. SPAMFILTER > software die binnenkomende spam (is vaak ingewenste reclame s e.d.) afvangt. DONGLE > is een apparaatje dat in een (USB-)poort gestopt moet worden, zonder dat deze is aangesloten werkt bepaalde programmatuur niet. LOCKING > bv de toetscombinatie [Ctrl]+[Alt]+[Del] waarna de computer blokkeert. AUTORISATIE > toekennen van rechten aan een persoon en aan de processen die door deze persoon worden opgestart, dit is vaak gebaseerd op toegangsprofielen blz Beveiligingsmaatregelen naar werkwijze - Back-up en Redundantie - Back-up = reserve kopie maken > 2 soorten 1. Volledige back-up (3 generaties, opa, vader en zoon) 2. Partiële backup > er wordt een deel geback-upped, 2 soorten: 2a. Incrementele back-up > alleen dat deel kopieren dat sinds de vorige keer gewijzigd is (mag ook een deel back-up zijn) 2b. Differentiële back-up > alleen dat deel kopieren dat sinds de laatste volledige back-up is gewijzigd. Redundantie = overbodig cq Fault tolerant System > Als een vd onderdelen uitvalt nemen andere het over en loopt alles door. Bijvoorbeeld: 1. Raid 2. Server mirroring 3. Server cluster > zoals RAID en HD moet hier servers zien in een cluster v servers 4. SAN = Storage Area Network > opslag zit apart van de server, meerdere servers kunnen de HD dan bereiken. 5. Multiprocessor > een server beschikt over meedere processoren 1188 blz Beveiligingsmaatregelen naar werkwijze - encryptie - wordt gebruikt voor > 1. versleutelen van gegevens; 2. garanderen vd echtheid vd gegevens; 3. authenticeren vd afzender vd gegevens. vrijdag 15 januari 2016 Pagina 16 van 32

17 1189 blz Beveiligingsmaatregelen naar werkwijze - encryptie - versleutelen - ALGORITME > versleutelmethode bericht is alleen te achterhalen als men het algoritme kent en de sleutel (variabelen) vh algoritme kent. Encrypten = versleutelen >> Decrypten = ontsleutelen Ceasar- algoritme > is een versleuteling waarbij je alle letters vervangt door de letter die op x posities verder in het alfabet staat. Dit is een zwak algoritme. Bij een sterk algoritme lijkt er geen verband te bestaan tussen het oorspronkele waarde en de versleutelde waarde. Men kan een algoritme sterker maken door of het algoritme geheim te houden óf de sleutel geheim te houden en het aantal sleutels te vergroten. Openbare algoritmes zijn (met gehieme sleutels): a. DES = Data Encryption Standaard = symmetrisch > voor encrypten en decrypten heb je dezelfde sleutel nodig. B. RSA = Rivest, Shamir, Adleman = asymmetrisch > voor encrypten en decrypten heb je andere sleutel nodig. PGP = Pretty Good Privacy > is een TOOL om berichten versleuteld te versturen. IPSEC = Internet Protocol Security > is het protocol waarmee bij een VPN (Virtual Private Network) dus privenetwerken beveiligd met elkaar verbonden worden via een openbaar netwerk zoals bv internet. Scramblen > omvormen van een signaal, de ontvanger kan alleen horen wat gezegd wordt. SSL = Secure Sockets Layer > is een protocol dat voor beveiligde communicatie op internet gebruikt wordt en verstrekt aan begin van iedere sessie nieuwe sleutels blz Beveiligingsmaatregelen naar werkwijze - encryptie - authenticeren vd afzender vd gegevens - RSA methode (asymmetrisch) Naast het vercijferen v gegevens moet er een digitale handtekening bij. Hierbij wordt de nonrepudiation (=de onweerlegbaarheid) vh bericht gewaarborgd. TTP = Trusted Thrid Party > is een organisatie waarbij iemand zijn publiek sleutel kan laten vastleggen. TTP zet zijn handtekening over de digitale handtekening heen en dan is het rechtsgeldig. PKI = Public-Key Infrastructure > is een infrastructuur die gebruik maakt van publieke en private codeersleutels en asymmetrische encryptie ten behoeve van het uitgeven van digitale certificaten, deze worden uitgegeven door CA (= Certification Authority). Een CA is een TTP die digitale certificaten uitdeelt. RA = Registration Authority > organisatie die de gebruikers en hun publieke sleutels registreerd. LOGGING en MONOTORING LOGGING > hiermee wordt het (automatisch) registreren van gebeurtenissen in het systeem bedoeld. MONOTORING of AUDITING > door gebeurtenissen te monitoren kan men nagaan wat er precies gebeurd is. Firewalls kunnen ook vaak loggen en monitoren. IDS = Intrusion Detection system > is programmatuur die actief verdachte patronen in het netwerk probeert op te sporen. ANTIVURUS of virusscanner > controleert bestanden op aanwezigheid van kwaadaardige software en werkt preventief. vrijdag 15 januari 2016 Pagina 17 van 32

18 1191 blz Beveiligingsmaatregelen naar werkwijze - encryptie - garanderen vd echtheid vd gegevens - integriteit = echtheid vh bericht. MAC en Hashing > DES methode MAC = Message Autehntication Code > het hele bericht wordt gebruikt om een MAC-waarde te berekenen, dit wordt met het bericht (gegevens zijn niet versleuteld), meegezonden en dient bij ontvangst gelijk te zijn gebleven als men een nieuwe berekening van het hele bericht maakt. Beide partijen delen een gemeenschappelijke sleutel >> DES METHODE!! HASHING > lijkt op MAC, gegevens wordt niet versleuteld, een hash wordt berekend en meegestuurd, ontvanger rekent ook de hash uit en als die gelijk zijn is het goed blz Beveiligingsmaatregelen naar werkwijze - organisatorische beveiligingsmaatregel en - zijn maatregelen die betrekking hebben op de organisatie in zijn geheel. IT-AUDITING > zijn maatregelen die betrekking hebben op de gehele organisatie. IT- Auditing onderzoekt of de informatiesystemen, de informatie zelf en de bijbehorende documentatie voldoen aan de kwaliteitseisen die gesteld zijn, of aan het beleid, de plannen en maatregelen zijn geïmplementeerd, worden procedures en maatregelen nageleefd en of alles nog up to date is. Deze kan intern (door eigen mensen) of door extern (door derden) gedaan worden. Uitwijk is het terugvallen op reservefacilitetiten als de eigen faciliteiten niet meer beschikbaar zijn. VOORBEELDEN over de FYSIEKE inrichting: - door hoge grondwaterstand de apparatuur niet in de kelder plaatsen. - ter voorkoming v waterlekkage, apparatuur niet rechtstreeks onder het dak plaatsen. VOORBEELDEN over de ORGANISATORISCHE inrichting: - organisatie moet functie scheiding toepassen ter voorkoming v fraude; - need-to-know > medewerker moet alleen aan die info kunnen die nodig is om zijn functie te kunnen vervullen - clausules in de arbeidsovereenkomsten opnemen / geheimhoudingsverklaringen / gedragscode regeling opstellen en laten tekenen e.d. vrijdag 15 januari 2016 Pagina 18 van 32

19 1193 blz Beveiligingsmaatregelen naar werkwijze - procedurele beveiligingsmaatregel en - bestaan uit processen, richtlijnen, voorschriften en huisregels. Hebben betrekking op het dagelijks reilen en zeilen binnen de onderneming, op omgang met ICT voorzieningen en hoe men moet reageren op beveiligngsinicidenten. Inzetten en omgaan met fysieke en technische beveiligingsmaatregelen en inrichten ve disciplinair proces voor als medewerkers zich niet aan de regels houden. VOORBEELDEN algemeen > - medewerkers moeten in de organisatie een batch dragen (identitficatie) - bezoekerpassen en een omgangsregeling voor bezoekers - Clear desk policy en clear screen policy VOORBEELDEN over hoe om te gaan met ICT voorzieningen > - niet meer gebruikte informatiedragers op de juiste afgesproken manier afvoeren/vernietigen. - hoe men afspreekt informatie te versturen (fysiek) en welk postbedrijf men gebruikt. - bij aanschaf software gebruik maken van een ESCROW service. - alleen bepaalde functionarissen mogen software installeren en bv alleen vd originele informatiedrager. ESCROW-dienst/service > Aangekochte software samen met de broncode en documentatie bij derden bewaren. Er komt een overeenkomst en welke gevallen de leverancier de software kan hebben om bv aanpassingen te doen e.d. Er staat ook in wat er moet gebeuren bij bv faillissementen. vrijdag 15 januari 2016 Pagina 19 van 32

20 1194 Matrix beveiligingsmaatregel/object/bedreiging - ** blz vrijdag 15 januari 2016 Pagina 20 van 32

21 1195 Matrix Beveiligingsmaatregel/Object/Bedreiging - ** blz vrijdag 15 januari 2016 Pagina 21 van 32

22 1196 Matrix Beveiligingsmaatregel/Object/Bedreiging - ** blz vrijdag 15 januari 2016 Pagina 22 van 32

23 1197 Matrix beveiligingsmaatregel/object/bedreiging - ** blz vrijdag 15 januari 2016 Pagina 23 van 32

24 1198 Matrix beveiligingsmaatregel/object/bedreiging - ** blz vrijdag 15 januari 2016 Pagina 24 van 32

25 1199 Matrix beveiligingsmaatregel/object/bedreiging - ** blz vrijdag 15 januari 2016 Pagina 25 van 32

26 1200 Matrix beveiligingsmaatregel/object/bedreiging - ** blz vrijdag 15 januari 2016 Pagina 26 van 32

27 1201 Matrix beveiligingsmaatregel/object/bedreiging - ** blz ISF Hoofdstuk: 3 Continuïteit vd IT dienstverlening 1202 blz Continuïteit - Continuïteit CONTINUÏTEIT > de continuïteit van informatiesystemen en gegevensverwerking kan aangetast worden door oorzaken die buiten de informatiesystemen zelf liggen, bv door plotseling voorkomende calamiteiten. De continuïteit moet zoveel mogelijk beschermd zijn met passende maatregelen. De continuïteit vd bedrijfsprocessen en dus vd onderneming is in hoge mate afhankelijk vh goed funcioneren vd informatievoorziening. vrijdag 15 januari 2016 Pagina 27 van 32

28 1203 Calamiteit - blz 127 calamiteit is sprake van als een bedrijfsproces ernstig stagneert of stil komt te liggen. Gevolgen kunnen zijn > 1. Productieverlies > kan geld kosten als medewerkers niet meer kunnen werken; 2. Klanten die schade ondervinden kunnen forse schadeclaims indienen; 3. Imagoschade > slechte naam door negatieve berichtin in media, TV e.d. 4. De organisatie kan aansprakelijk gesteld worden als gevolg van het niet voldoen aan wet- en regelgeving blz Calamiteit - Calamiteitplan - Is noodzakelijk om in geval ve calamiteit adequaat te kunnen op treden om de schade zoveel mogelijk te beperken. Hierin moet goed omschreven zijn > - doelstellingen vh plan; - verantwoordelijkheden moeten goed en eenduidig belegd zijn; - grenzen vh plan. Daarnaast moet het gestructureerd opgezet zijn ivm onderhoud en eventuele latere uitbreidingen. Onderdelen zijn > - ALGEMEEN > - doelstellingen; - grenzen; - verantwoordelijkheden; - opbouw (voor wie en hoe te gebruiken?); - samenstelling crisisteam; - lijst met omschrijving gebruikte termen; - kopiën hard- en software contraten, lijsten met namen v externe dienstverleners; - overzicht met getroffen noodvoorzieningen; - beknopte samenvatting; - ONDERHOUD vh plan - TESTEN vh plan - DRAAIBOEK bij calamiteiten > - werkzaamheden; - overzichten, afspraken met leveranciers en verzekeringsmaatschappijen; - formulieren; - UITWIJKPLAN 1205 blz Calamiteit - beschikbaarheid - kan in gevaar komen door > - technische storingen in het computersysteem; - verstoringen van buitenaf (brand, wateroverlast, stroomuitval ed). vrijdag 15 januari 2016 Pagina 28 van 32

29 1206 Uitwijk - blz 129 soorten GEEN UITWIJK > er is alleen back-up van software en gegevens. - COLD SITE > ruimte gehuurd en ingericht zodat men er gelijk computerapperatuur kan neerzetten en installeren in geval van calamiteiten. Nadeel: duurt lang. - WARM SITE > een ruimte is volledig met dezelfde hard- en software ingericht als het origineel, er hoeft alleen een back-up terug gezet te worden. - HOT SITE > zelfde ruimte als een WARM SITE maar nu vindt PARALLEL PROCESSING plaats, dit betekent dat op beide systemen dezelfde mutaties gelijktijdig verwerkt worden. - POOLED SITE > uitwijkvoorziening waar meerdere klanten gebruik van kunnen maken. - MOBIELE UITWIJK > een container of trailer waarin men verder zou kunnen werken, voordeel, is flexibel. - BILATERALE UITWIJK > 2 partijen maken afspraken en gebruiken elkaars voorzieningen in geval van uitval. UITWIJK > is het terugvallen op reservefacilitetiten als de eigen faciliteiten niet meer beschikbaar zijn. INWIJK > hoe keren we terug naar de oude situatie blz Uitwijk - uitwijkprocessen zijn creëren van bewustwording; 2. bepalen van beschikbaarheidseisen; 3. opstellen eisen en randvoorwaarden; 4. inventariseren v uitwijkmogelijkheden 5. beslissen over uitwijkvoorzieningen 6. inrichten vd uitwijkvoorzieinigen 7. testen en ondehouden vd uitwijkprocedure 8. training v betrokken medewerkers 9. evaluatie uitwijkprocedure vrijdag 15 januari 2016 Pagina 29 van 32

30 1208 blz Calamiteit - uitwijkplan bestaat uit - - doel - doelgroep - onderhoud en beheer vh plan - verantwoordelijkheden - risicoanalyse matrix - gemaakte keuzes voor uitwijk - de te nemen maatregelen - escalatieprocedure - uitwijk- en inwijkprocedure - trainen en testen ISF Hoofdstuk: 4 Juridische aspecten vd ICT 1209 blz Nederlandse wet- en regelgeving - Bij ICT en informatiebeveiliging is de volgende wet- en regelgeving van belang > - Grondwet; - art 10 > eerbiediging vd persoonlijke levenssfeer (privacy) - art 13 > onschendbaarheid vd vertrouwelijk informatie; - Burgerlijk Wetboek; - koopovereenkomst - rechten en plichten v burgers onderling ed - Wetboek van Strafrecht; - strafbepalingen bij overtredingen - Wet Gemeentelijke BasisAdministratle; - hoe gemeenten hun basisadministratie moeten inrichten - Auteurswet (AW) - hierin is vastgelegd dat auteursrecht toekomt aan de maker en geeft specifieke rechten op gebied van > - ongeoorloofd wijzigen - verveelvoudigen - openbaar maken - reverse enginering 1210 blz Wet Bescherming Persoongegevens (WPB) - Elke handeling of geheel v handelingen met betrekking tot persoongegevens, waarbij vooral van belang is de manier waarop gegevens kunnen worden verwerkt en met elkaar kunnen worden verbonden. De WBP is de opvolger van de WPR. De WBP handelt over de verwerking van persoonsgegevens. CBP = COLLEGE BESCHERMING PERSOONGEGEVENS > houdt toezicht op naleving. De FG rapporteert aan het CBP. PET = PRIVACY ENHANCING TECHNOLOGIES > vormen een geheel van ICT-maatregelen ter bescherming van de persoonlijke levenssfeer, door middel van het loskoppelen van de persoonsgegevens van de persoon. Dit is een belangrijke toepassing voor (semi-) overheden ed. om aan de WPB te kunnen voldoen. FG = FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING > is onafhankelijk, houdt toezicht en oefent controle uit op de verwerking van persoonsgegevens binnen de organisatie, daarnaast rapporteert hij aan het CBP indien nodig. EISEN > betrouwbaar / diplomatiek / onafhankelijke positie in de org / kennis is een belangrijke functie vrijdag 15 januari 2016 Pagina 30 van 32

31 1211 blz Europese richtlijn (95/46/EG) - Europese richtlijn (95/46/EG) - De Europese richtlijn geeft aan op welke manier Europese wetgeving en nationale wetgeving samengaan. Ze bevat > - toepasselijk nationaal recht; - beroep; - aansprakelijkheid; - sancties blz Wet op de Computer Criminaliteit (WCC) - Wet op de Computer Criminaliteit (WCC) - De WCC heeft als doel de samenleving te beschermen tegen computermisbruik door het strafbaar stellen van computercriminele handelingen. Beschikbaarheid, integriteit en exclusiviteit zijn daarbij de belangrijkste uitgangspunten. WCC-begrippen zijn: - computermisbruik; - computercriminaliteit; - computerfraude (als men zich in economisch opzicht probeert te verrijken); - computervredebreuk (door hacker) blz Wet- en regelgeving voor de Rijksoverheid (VIR) - Wet- en regelgeving voor de Rijksoverheid (VIR) - De VIR is een voorschrift voor de (rijks)overheid zelf. Stappen in het VIR-proces zijn; - opstellen informatiebeveiligingsbeleid; - inventarisatie; - afhankelijkheidsanalyse; - betrouwbaarheideisen; - kwetsbaarheidseisen; - beveiligingsmaatregelen; - opstellen infomatiebeveiligingsplan (IBP) met calamiteitenparagraaf en een keuze maken uit alle (informatie)beveiligingsmaatregelen die voortkomen uit de A&K-analyse; - opstellen implementatieplan (het IBP door het verantwoordelijke lijnmanagement laten Implementeren en onderhouden) blz Contract of overeenkomst - Contract of overeenkomst - Soorten contracten/overeenkomsten: - intentieverklaring / Letter of intent; - koopovereenkomst; - escrow (broncode+documentatie vd proggramatuur bij een derde partij bewaren); - outsourcing; - lease-overeenkomst - operational > gaat vooral om het gebruik - financial > gaat vooral om de financiering - SLA (Service Level Agreement); - gedragscode voor e-commerce > principes zijn hier > - betrouwbaarheid - transperantie - vertrouwelijkheid en privacy vrijdag 15 januari 2016 Pagina 31 van 32

32 1215 blz Juridische procedures - Juridische procedures - Geschillenbeslechting: - arbitrage > NAI = Nederlandse Arbitrage Instituut - minitrial > SGOA Verhalen van schade: - strafrechtelijke vervolging; - civiele procedure. vrijdag 15 januari 2016 Pagina 32 van 32