Basiskennis Informatiebeveiliging SYSQA

Transcriptie

1 Organisatie SYSQA B.V. Pagina 1 van 27 Basiskennis Informatiebeveiliging SYSQA SYSQA B.V. Almere Datum : Status : Definitief Opgesteld door :

2 Organisatie SYSQA B.V. Pagina 2 van 27 Inhoudsopgave 1. Inleiding Doel en veronderstelde voorkennis Indeling van het document Algemeen Security versus Informatiebeveiliging Informatiesystemen en kwaliteitseisen Informatiebeveiliging en Risicobeheersing Dreigingen Risico s Risicoanalyse Beveiligingsmaatregelen Fysieke maatregelen Technische maatregelen Organisatorische maatregelen Informatiebeveiliging en Beleid Strategieën IB standaarden Beleidsvorming Wet- en regelgeving Wet Bescherming Persoonsgegevens Telecommunicatiewet Wet elektronische handtekeningen ISO/IEC / Wetgeving in de zorg De Wet ComputerCriminaliteit Code Tabaksblat Sarbaness-Oxley Act Voorschrift Informatiebeveiliging Rijksdienst (VIR) Speciale aandachtsgebieden Cloud Social Media Social Engineering Bijlage: woordenlijst Bronvermelding:...27

3 Organisatie SYSQA B.V. Pagina 3 van Inleiding 1.1. Doel en veronderstelde voorkennis Bij de term security hebben veel mensen wel een bepaald beeld. Het gebruik van elektronische apparaten die niet voor iedereen bedoeld zijn. Het lezen van documenten die niet iedereen mag lezen. Ergens niet naar binnen mogen omdat de deur op slot is of omdat er waardevolle spullen liggen. Of juist wel ergens naar binnen gaan, inbreken in een woning, hacken van systemen en apparaten, informatie diefstal. Al deze zaken hebben in een of andere mate verband met Informatiebeveiliging. Dit document geeft de lezer basiskennis op het gebied van Informatiebeveiliging. Er wordt een algemene beschrijving gegeven van de belangrijkste onderdelen binnen dit vakgebied. De beschrijvingen binnen dit document zijn niet uitputtend. Voor meer informatie over Informatiebeveiliging vanuit andere perspectieven wordt verwezen naar de volgende documenten welke op de SYSQA kennisbank te vinden zijn: Informatiebeveiliging voor Requirementsanalist.pdf Informatiebeveiliging voor Kwaliteitsmanager.pdf Informatiebeveiliging voor Testmanagement.pdf Informatiebeveiliging voor Functioneel Beheerd.pdf In onderstaande afbeelding is te zien hoe dit document zich verhoudt tot de overige documenten op de SYSQA kennisbank. Het introductiedocument is enkel bedoeld om mensen aan te zetten tot het lezen van de overige documenten en biedt geen extra kennis ten opzichte van dit document. Introductie Informatiebeveiliging Basiskennis Informatiebeveiliging Informatiebeveiliging voor Requirementsanalist Informatiebeveiliging voor Testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor Kwaliteitsmanager Figuur 1: Documentoverzicht met verschillende rollen: Requirementsanalist, Kwaliteitsmanager, Testmanager, Functioneel Beheerder

4 Organisatie SYSQA B.V. Pagina 4 van Indeling van het document In het eerste stuk van het document zit een algemene definitie met bijbehorende informatie over informatiesystemen. Daarna wordt dieper ingegaan op risico s, dreigingen, beheersmaatregelen en beleidsvorming. In het laatste stuk zitten onderwerpen die voor verschillende partijen belangrijk zijn zoals wet- en regelgeving maar ook speciale aandachtsgebieden die in het kader van informatiebeveiliging meer aandacht vragen. In de bijlage is een verklarende woordenlijst opgenomen. In deze lijst worden veel termen die in het document langskomen (opnieuw) kort omschreven.

5 Organisatie SYSQA B.V. Pagina 5 van Algemeen 2.1. Security versus Informatiebeveiliging Velen hebben bij de term Security een bepaald beeld, bijvoorbeeld hacken of juist fysieke beveiliging van gebouwen. In dit document wordt daarom de term Informatiebeveiliging gebruikt om specifieker aan te duiden waar op gefocust wordt. Fysieke beveiliging is wel degelijk een onderdeel van het totale spectrum waarmee informatie beveiligd kan worden maar daar wordt in dit document verder niet teveel op ingezoomd. Definitie van Informatiebeveiliging (verder aangeduid als IB): Een verzamelnaam voor processen die ingericht worden om de betrouwbaarheid van de al dan niet geautomatiseerde- informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen (opzettelijk) onheil Informatiesystemen en kwaliteitseisen Er zit een verschil tussen de termen informatie, gegevens en data. Data zijn gegevens die in informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie zodra ze geïnterpreteerd worden tot een zinvolle boodschap voor een specifieke gebruiker. We spreken van een informatiesysteem zodra dit systeem het doel heeft informatie over te dragen. Dit is vaak van de ene partij op de andere partij maar is niet noodzakelijk. Dit betekent niet per definitie dat met informatiesystemen enkel ICT systemen bedoeld worden. Ook archiefkasten, mobiele telefoons, randapparatuur zijn onderdelen van of soms op zichzelf staande informatiesystemen. In het kader van informatiebeveiliging is een informatiesysteem het geheel van middelen, procedures, regels en mensen dat de informatievoorziening (IV) voor een bedrijfsproces verzorgt. Zodra gegevens omgezet zijn naar informatie krijgt het waarde. Elk stukje informatie heeft voor een ontvanger zijn eigen waarde. Voor veel mensen zal een heleboel informatie weinig waarde hebben, maar voor de juiste persoon kan een klein stukje informatie enorm waardevol zijn. Denk aan bedrijfsgeheimen die voor simpele werknemers niet van belang zijn maar voor de concurrent juist een heel waardevol. Of de samenstelling van een klantenbestand voor een marketeer. Informatie wordt hierdoor een productiefactor welke gebruikt kan worden bij bedrijfsvoering. Informatie wordt in een groot aantal takken van dienstverlening zelfs gezien als core business. Voor informatiebeveiliging wordt vaak gebruik gemaakt van de afkorting BIV, staande voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Bij het beschermen van informatie wordt naar deze drie factoren gekeken als de kwaliteitseisen die gesteld worden aan informatie. In het Engels zijn dit Confidentiality, Integrity en Availability (CIA). Aangezien bovenstaande factoren allemaal kwaliteitsaspecten zijn kan gesteld worden dat IB onderdeel is van kwaliteitszorg. Het is echter niet alleen dat, het valt ook onder de interne beheersing van organisaties (Corporate Governance). Het aantoonbaar in control zijn, expliciet bevestigd door het management.

6 Organisatie SYSQA B.V. Pagina 6 van Informatiebeveiliging en Risicobeheersing 3.1. Dreigingen Een dreiging of bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. Dreigingen kunnen vervolgens ingedeeld worden in verschillende categorieën. Indeling naar beveiligingsaspect (zoals in hoofdstuk 2.2 eerder aangegeven): (B)eschikbaarheid (Availability) = de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar is voor gebruikers (I)ntegriteit (Integrity) = de mate waarin gegevens of functionaliteit juist ingevuld zijn. (V)ertrouwelijkheid (Confidentiality)= de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. Onderstaande tabel geeft een aantal voorbeelden voor kenmerken van de aspecten (op basis van ISO25010) en ook een idee van testsoorten die inzicht geven / maatregelen bieden: Aspect Kenmerk Dreiging Voorbeeld van Dreiging Test Beschikbaarheid Tijdigheid Vertraging Overbelasting van Load- /stresstest infrastructuur Continuïteit Uitval Defect in infrastructuur Performance test Integriteit Correctheid Wijziging Ongeautoriseerd wijzigen Functionele test van gegevens; Virusinfectie; Typefout Volledigheid Verwijdering Ongeautoriseerd wissen Functionele test Toevoeging van gegevens Ongeautoriseerd toevoegen van gegevens Geldigheid Veroudering Gegevens niet up-to-date Functionele test houden Onweerlegbaarheid Verloochening Ontkennen bepaald Functionele test (non-repudiation) bericht te hebben verstuurd Vertrouwelijkheid Onthulling Misbruik Afluisteren van netwerk; Hacking Privégebruik Penetratietest Tabel 1: Voorbeeldoverzicht aspecten, kwaliteitskenmerken, dreigingen en mogelijke testsoorten De bovenstaande drie aspecten kunnen ook uitgebreid worden naar een zestal welke onder de naam Parkerian Hexad bekend zijn. Deze voegt eigenlijk drie elementen toe aan de klassieke BIV-driehoek. Bezit of Controle (Possession) = De mate van eigendom van de informatie. (Voorbeeld: het verlies van brieven met wachtwoorden. Ongeacht of deze geopend zijn is er wel verlies van controle. Het is echter nog geen inbreuk op vertrouwelijkheid) Authenticiteit (Authenticity) = De verifieerbaarheid van een claim over de oorsprong of auteur van informatie. (Voorbeeld: fysieke of digitale handtekeningen voor een document. Het document zelf kan wel integer zijn maar niet authentiek) Utiliteit (Utility) = De bruikbaarheid van de informatie (Voorbeeld: Het verlies van een wachtwoord voor versleutelde gegevens zorgt ervoor dat ze beschikbaar zijn maar niet bruikbaar omdat ze niet ontsleuteld kunnen worden. Een ander voorbeeld is opslag in foutieve bestandsformaten)

7 Organisatie SYSQA B.V. Pagina 7 van 27 Figuur 2 Parkerian Hexad Een geheel andere indeling van bedreigingen is die naar de bron (veroorzaker) van de bedreiging: Menselijke bedreigingen: Onopzettelijk foutief handelen, door gebruikers, beheerders, gasten of extern personeel. Misbruik en criminaliteit, zoals diefstal, inbraak, hacking, sabotage of fraude. Niet menselijke bedreigingen: Invloed van buitenaf, zoals aardbeving, storm, bliksem, wateroverlast of brand. Storingen in de basisinfrastructuur, zoals uitval van elektriciteit of airconditioning. Storingen in apparatuur, programmatuur of gegevensbestanden. Voor de malafide dimensie van menselijke dreigingen (de zogeheten aanvallers ) is er nog onderscheid te maken tussen de volgende varianten: De Amateur: Deze persoon heeft algemene kennis van beveiliging en informatiesystemen en heeft slechts de beschikking over eenvoudige, vrij verkrijgbare middelen. De Professional: Deze persoon heeft inside -kennis van de aan te vallen systemen en/of beschikt over professionele middelen. De Criminele organisatie: Deze groep beschikt over (zeer ruime) financiële middelen, waarmee ze in staat is om op uitgebreide schaal professionele mensen en middelen in te zetten. Als laatste onderdeel van dreigingen is de kwetsbaarheid te noemen. Dit is de mate waarin het betreffende object gevoelig is voor de betreffende dreiging. Deze gevoeligheid ontstaat doordat één of meer karakteristieken van het object het mogelijk maken dat de bedreiging een negatieve invloed uit kan oefenen op het object.

8 Organisatie SYSQA B.V. Pagina 8 van 27 De tabel hieronder toont een aantal voorbeelden hiervan: Bedreiging Beschikbaarheid Integriteit Vertrouwelijkheid Diefstal Sabota ge Kortsluiti ng Typefout Fraude Virus Afluis teren Hacking Object Documentatie ooo o - ooo oo Tekstverwerki ngspakket o ooo - o oo ooo - ooo ooo PC ooo ooo oo o oo ooo ooo ooo ooo Elektriciteitsvo orziening o oo ooo Tabel 2 Voorbeelden negatieve invloed. Gevoeligheid: -: nvt, o: licht, oo: gemiddeld, ooo: zwaar. Bij documentatie kan geen kortsluiting optreden en een volledige elektriciteitsvoorziening is gevoeliger voor kortsluiting dan een enkele pc. Dit zijn slechts enkele voorbeelden hoe een risicomatrix ingevuld kan worden voor de verschillende aspecten Risico s Beveiligen wordt altijd ergens tegen gedaan. Zonder een risico of dreiging is het beveiligen van een object overbodig. Door middel van risicomanagement kan achterhaald worden welke type risico s op welke manier beveiligd moeten worden. Een dreiging of bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. Een dreiging kan ook omschreven worden als een mogelijke situatie die ongewenste resultaten geeft. Als een dreiging werkelijkheid wordt geeft dit een incident of calamiteit. Zonder waarde van een object is er echter ook niets te beveiligen. De waarde van gegevens voor een organisatie kan afhangen van een aantal factoren: Privé gebr uik Het belang van bedrijfsprocessen: De mate waarin bedrijfsprocessen, die gebruik maken van de betreffende gegevens, van belang zijn voor de organisatie; De onmisbaarheid voor de bedrijfsprocessen: het belang van de betreffende gegevens voor de bedrijfsprocessen die er gebruik van maken; De herstelbaarheid: de mate waarin ontbrekende, incomplete, of onjuiste gegevens gereproduceerd, respectievelijk hersteld, kunnen worden. Een risico kan dan ook omschreven worden als de gemiddelde schade over een tijdsperiode, die verwacht wordt doordat één of meer bedreigingen leiden tot een verstoring van één of meer objecten van de Informatievoorziening. Dit is ook te omvatten in de volgende formule: Risico = Kans X Schade Een schadeverwachting op jaarbasis wordt aangeduid met de eenheid JSV (Jaarlijkse Schade Verwachting) of ALE (Annual Loss Expectancy). De in aanmerking te nemen schade kan al dan niet van financiële aard zijn en omvat: Directe schade aan rechtstreeks getroffenen, zoals personen, apparatuur, programmatuur, gegevensverzamelingen en gebouwen. Indirecte schade, oftewel gevolgschade, zoals verstoring van bedrijfsprocessen, het overtreden van wetten, verlies van opdrachten en imagoschade.

9 Organisatie SYSQA B.V. Pagina 9 van 27 JSV = totale schade (direct+indirect) / hoeveel keer per tijd (in jaren) Voorbeeld: / 10j = 2000 p/j Alle risico s uitgedrukt in JSV met betrekking tot de objecten van de Informatievoorziening kunnen bij elkaar opgeteld worden tot de JSV voor de gehele informatievoorziening (indien omgerekend naar waarde) Risicoanalyse De risicoanalyse is een onderdeel van risicomanagement. Het is een manier waarop inzichtelijk gemaakt kan worden welke dreigingen relevant zijn voor bedrijfsprocessen en welke risico s hiermee gepaard gaan. Een risicoanalyse heeft vier hoofddoelen: 1: Het identificeren van middelen en hun waarde; 2: Het vaststellen van kwetsbaarheden en dreigingen; 3: Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces verstoren; 4: Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een beveiligingsmaatregel. De risicoanalyse voorziet hiermee in een kosten/baten verhouding. De periodieke kosten die beveiligingsmaatregelen met zich meebrengen worden vergeleken met het potentiële verlies wat optreedt als dreigingen werkelijkheid worden. Risicoanalyses zijn onder te verdelen in eenvoudige en uitgebreidere varianten. Eenvoudige varianten: Quick Scan: op basis van standaard (externe) vragenlijsten snel een normering afgeven Baseline Checklist: op basis van specifieke checklists kijken of aan de set van beveiligingsmaatregelen die in de organisatie gebruikt worden voldaan wordt. Voor grondigere risicoanalyses zijn er eigenlijk twee soorten, de kwantitatieve en kwalitatieve risicoanalyse. De kwantitatieve risicoanalyse probeert voor elk element in een bedrijfsproces de waarde vast te stellen en op basis daarvan de beveiligingsmaatregelen te definiëren. Aangezien voor lang niet alle elementen een waarde te vinden is werkt de kwalitatieve risicoanalyse op basis van scenario s en situaties. De kansen dat een dreiging uitkomt worden dan op gevoel bekeken. Dit levert dan wel een subjectief dreigingsgevoel op. Voor-/nadelen Quick scan Baseline Checklist Kwalitatieve analyse Kwantitatieve analyse Eenvoudig X X Normeerbaar X Maatwerk X Up-to-date X X X One size does not X X fit all Statisch X X Misbruikbaar X Complex X X Informatieoverload X Tabel 3 Voor- /nadelen van verschillende methodes (niet uitputtend) Kwantitatieve analyse Voordelen Nadelen

10 Organisatie SYSQA B.V. Pagina 10 van 27 Objectief Elk object is vergelijkbaar Kosten/baten zijn meetbaar Kwalitatieve analyse Voordelen Bruikbaar bij niet-kwantificeerbare objecten Vergelijkingen op scenario s niet enkel op objecten Tijdrovend Niet bruikbaar bij niet-kwantificeerbare objecten (bijv. imagoschade) Nadelen Subjectief Tabel 4 Verschil kwantitatieve en kwalitatieve risicoanalyses Onderliggende objecten zijn niet goed vergelijkbaar Voor meer informatie over het uitvoeren van risicoanalyses wordt verwezen naar dit boek: Figuur 3: Boek Risicomanagement op basis van M_o_R en NEN/ISO31000

11 Organisatie SYSQA B.V. Pagina 11 van Beveiligingsmaatregelen Er zijn verschillende typen beveiligingsmaatregelen te definiëren. Elk hebben ze hun eigen doel en er wordt op basis van de vraag wat willen we bereiken? gekeken welke maatregel het beste geschikt is. Reduceren: het verminderen van de dreiging zelf / wegnemen van de dreiging (extern gericht); Preventieve maatregelen: deze zijn gericht op het voorkomen van incidenten (intern gericht); Detectieve maatregelen: deze zijn gericht op het waarnemen van incidenten; Repressieve maatregelen: deze zijn bedoeld om de gevolgen van een incident te kunnen stoppen (of verminderen); Correctieve maatregelen (of herstel): deze zijn bedoeld om de ontstane schade te herstellen. Verzekeren: anderen het risico laten dragen omdat zelf nemen van maatregelen te kostbaar is Accepteren: het risico (en de daarbij behorende schade) accepteren. In onderstaand plaatje is te zien hoe de verschillende maatregelen zich tot elkaar verhouden. Figuur 4: Beveiligingsmaatregelen

12 Organisatie SYSQA B.V. Pagina 12 van 27 Een risico vanuit een dreiging kan drie routes volgen. Preventie, verzekeren of accepteren. Ondanks preventie kan het toch een incident worden, waarna detectie, repressie en herstel kunnen plaats vinden. Een alternatief plaatje hiervoor: Figuur 5: Beveiligingsmaatregelen alternatief Hier is te zien hoe een bedreiging werkelijkheid wordt, tot schade leidt en weer hersteld wordt. De verschillende maatregelen grijpen in op de verschillende onderdelen binnen de cyclus. Hiermee wordt ook het belang van periodiek controleren zichtbaar Fysieke maatregelen Fysieke beveiligingsmaatregelen zijn in principe in te delen in drie typen, een zogeheten OBE-mix waarbij dit voor Organisatorische, Bouwkundige en Elektronische maatregelen staat. Al deze maatregelen moeten met elkaar samenhangen. De fysieke maatregelen beginnen al buiten het pand of tegenwoordig zelfs in de volledige buitenwereld. Het onderstaande plaatje maakt dit enigszins duidelijk

13 Organisatie SYSQA B.V. Pagina 13 van 27 Figuur 6: Maatregelen Object: Het te beschermen bedrijfsmiddel; Werkruimte: De ruimtes binnen een pand; Gebouw: De toegang tot een pand; Buitenring: Alles in de omgeving van een pand, tot aan veel verder naar buiten toe. (Deze laatste categorie is in het licht van de hedendaagse draagbare media in dit document uitgebreid tot allesomvattend buiten het pand, denk bijvoorbeeld aan WiFi welke tot buiten het pand reikt) In de onderstaande tabel staan een aantal voorbeelden van fysieke maatregelen en tot welke categorie en locatie ze (kunnen) behoren. Maatregel Omschrijving O B E Ring Elektronisch Toegangsbeheer X Gebouw/Ruimte Draagplicht toegangsbeheeritem X Gebouw Bewaking X Gebouw/Ruimte Indringerdetectie X Gebouw/Ruimte Koeling X Gebouw/Ruimte Noodstroom X Gebouw/Ruimte Brandmaatregelen (blussers, rookmelders) X X X Gebouw/Ruimte Clear Desk Policy X Ruimte Brandkast/waardekast X Object Alarmapparatuur X Alles 4.2. Technische maatregelen Onder de technische maatregelen wordt voornamelijk de beveiliging van de ICTinfrastructuur verstaan. Een van de manieren om risicobeheersing toe te passen is door controle uit te oefenen op veranderingen die mogelijk risicovol zijn. Er zijn verschillende methoden en modellen, zoals bijvoorbeeld COBIT en ITIL, die handvatten bieden voor

14 Organisatie SYSQA B.V. Pagina 14 van 27 het uitoefenen van controle. In deze modellen zijn een aantal gezamenlijke elementen te vinden: Afspraken over hoe met bedrijfsmiddelen omgegaan wordt; Afspraken (processen) over hoe veranderingen tot stand komen; Afspraken over wie de wijzigingen (changes) mag initiëren en uitvoeren en hoe de wijzigingen getest zullen worden Organisatorische maatregelen Veel van de organisatorische maatregelen gaan hand in hand met de voorgaand genoemde technische en/of fysieke maatregelen maar niet allemaal. Veelal zijn deze maatregelen ook kaderstellend voor de andere. Informatiebeveiligingsbeleid: een document met regelingen, procedures, richtlijnen en standaarden die gevolgd moeten worden om een correct gebruik van informatie te sturen; Werkvoorschriften: Ondersteunende documentatie die aangeven hoe om te gaan met zaken (bijvoorbeeld een werkvoorschrift voor papiervernietiging).

15 Organisatie SYSQA B.V. Pagina 15 van Informatiebeveiliging en Beleid 5.1. Strategieën Er zijn door organisaties verschillende strategieën te kiezen om met risico s om te gaan. Door het treffen van beveiligingsmaatregelen is het mogelijk om de gelopen risico s te verkleinen. Bijvoorbeeld: Door kans van een bedreiging te verkleinen Door kwetsbaarheid van een object te verkleinen Figuur 7: Risicostrategieën Bovenstaand figuur geeft mogelijke strategiekeuzes aan en hoe deze zich verhouden tot schade en kosten van maatregelen: Risicomijdend laag risico, hogere kosten voor maatregelen; Risiconeutraal gemiddeld risico, gemiddelde kosten voor maatregelen; Risicodragend men durft meer risico te lopen, lagere kosten voor maatregelen. Uiteraard is het mogelijk om verschillende strategieën te gebruiken voor verschillende niveaus/onderdelen binnen een organisatie. De schade bij bedrijfskritische gegevens zal vaak hoger liggen dan relatiegegevens. Mogelijk is het ene risico wel acceptabel (en dus een risicodragende strategie) en het andere niet (en dus een risicomijdende strategie). Over de gehele organisatie heen kan dan gezegd worden dat de strategie risiconeutraal is. Naar mate de tijd vordert kan het natuurlijk gebeuren dat de wereld verandert. De strategie is gebaseerd op een inschatting, een momentopname. Hieruit volgt ook dat het proces van IB, en het komen tot strategieën en een pakket van maatregelen ook niet een eenmalige actie is maar een periodieke cyclus van handelingen. Een maatregel kan nu voldoende zijn maar morgen overbodig of niet toereikend. Een advies is dan ook om de strategie periodiek (elk kwartaal bijvoorbeeld) te herzien en te beoordelen of deze nog overeenstemt met de wereld om ons heen. (zie ook figuur 5)

16 Organisatie SYSQA B.V. Pagina 16 van IB standaarden Voor IB zijn er verscheidene typen standaarden te vinden/definiëren in de volgende categorieën: Bedrijfsspecifieke standaard: Door een organisatie zelf opgezette standaard Industriespecifieke standaard: Door een groep bedrijven opgezette standaard De facto standaard: Door de markt bepaalde standaard De jure standaard: Door een bevoegd overheidsorgaan bepaald Hieronder volgen kort een aantal van de meer bekende standaarden voor IB. Het is geen uitputtende lijst: ISO 27001: Specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System ISO27002: Ook bekend als de Code voor Informatiebeveiliging, beschrijft normen en maatregelen, die van belang zijn voor het realiseren van een afdoend niveau van IB. NIST SP : Recommended Security Control for Federal Information Systems. NIST is een onderdeel van het Amerikaanse Ministerie van Economische Zaken. In deze standaard worden minimale beveiligingsmaatregelen opgesomd voor het realiseren van een acceptabel niveau van IB SGOP van het ISF: Standard of Good Practice van het Information Security Forum. Een internationale onafhankelijke non-profit organisatie welke gedetailleerde beschrijvingen biedt van best practices voor IB. ISACA: Information Systems Audit and Control Association. Deze Amerikaanse organisatie heeft samen met het IT Governance Institute het CoBiT framework ontwikkeld. Control Objectives for Information and related Technology. Dit framework biedt ook handvatten voor IB. Voor een meer gedetailleerde omschrijving van deze standaarden en een algeheel selectie mechanisme wordt verwezen naar de PvIB Expertbrief-Januari (Zie bronvermelding) 5.3. Beleidsvorming Voor het opzetten van beleid rondom Informatiebeveiliging zijn er een aantal zaken waar rekening mee gehouden moet worden, te beginnen met de keuze voor welke standaarden gehanteerd worden als raamwerk. Deze keuze bepaalt namelijk een groot gedeelte van hoe het verdere beleid uitgewerkt kan worden. Een tweede aspect is de wetgeving waar een organisatie aan dient te voldoen. Voor veel organisaties schept dit al een groot kader waar het beleid voor ingevuld kan worden. Een ander aspect is de plek van het beleid. Binnen sommige organisaties valt de beveiliging binnen het algehele Informatiebeleid. In andere organisaties worden juist de Informatiebeveiliging randvoorwaardelijk gesteld voor het verdere Informatiebeleid. Het is in dit geval ook geen kwestie van goed of fout maar de mate waarin het binnen de organisatie te positioneren is. Het beleid moet in ieder geval vanaf het hoogste niveau opgezet worden. Een aangrenzende keuze die hier bij zal komen is de organisatorische inrichting van taken/bevoegdheden. Hoe kleiner de organisatie is, hoe moeilijker het zal zijn om een aparte afdeling voor Informatiebeveiliging in te richten. Een van de vormen van beleidsvorming en bijbehorende organisatorische inrichting is een SOC, een Security Operations Center. Binnen een SOC kunnen een veelvoud aan taken belegd worden, maar afhankelijk van welke taken kan ook de positie van de SOC zelf anders zijn. Het is bijvoorbeeld mogelijk om een SOC te hebben welke onder een IT afdeling valt. In dit voorbeeld wordt het moeilijk om onafhankelijke analyses uit te voeren. Vaker zal een SOC dan ook als stafafdeling ingericht worden. Het is echter ook

17 Organisatie SYSQA B.V. Pagina 17 van 27 mogelijk om meerdere niveaus van SOC s te hebben waarbij de verschillende taken belegd worden. Binnen het totale beleid voor Informatiebeveiliging moet in ieder geval opgenomen worden wie er eigenaar is van informatie en wie er verantwoordelijkheden heeft voor alle onderdelen binnen het beleid. Op het daadwerkelijk samenstellen van beleid wordt in dit document verder niet ingegaan. Er zijn legio cursussen bij verschillende trainingsproviders die uiteindelijk tot examinering (bijvoorbeeld bij EXIN) kunnen leiden. In het document voor Kwaliteitsmanager zit ook een verdiepingsslag voor het verder invullen voor beleid.

18 Organisatie SYSQA B.V. Pagina 18 van Wet- en regelgeving Er zijn vanuit wet- en regelgeving veel onderdelen welke invloed hebben op informatiebeveiliging. Voor een aantal sectoren zijn specifieke wetten opgesteld waaraan men moet voldoen om te garanderen dat informatie en het beheer ervan een bepaalde kwaliteit heeft. Bijvoorbeeld privacy van persoonsgegevens of financiële bijsluiters. Hieronder volgen een aantal specifieke sectoren met daarbij gestandaardiseerde beveiligingsitems Wet Bescherming Persoonsgegevens De Wet Bescherming Persoonsgegevens (WBP) heeft als doel het beschermen van persoonsgegevens die geregistreerd worden. Vastleggen van gegevens wordt door een verscheidenheid aan instanties gedaan. Het vastleggen zelf is niet het probleem maar het gebruik en inzage in deze gegevens is wel aan banden gelegd. Deze wet heeft betrekking op de verwerking van persoonsgegevens, hieronder valt het gehele traject van opslag tot vernietiging van gegevens. Een van de aspecten van deze wet is dat de verwerking van persoonsgegevens een vooraf gesteld doel dient te hebben. Een ander aspect is dat de verzamelde gegevens enkel gebruikt mogen worden voor het vooraf gestelde doel en nergens anders voor. Gegevens op basis waarvan gediscrimineerd kan worden zoals ras, godsdienst, strafblad mogen enkel door specifieke instanties opgeslagen worden. De WBP geeft aan welke organisatorische en technische maatregelen genomen moeten zijn om gegevens te beveiligen. Het college voor bescherming persoonsgegevens (CBP) ziet hier op toe en biedt kaders voor de manier van invullen Telecommunicatiewet De Telecommunicatiewet regelt sinds 1998 allerlei zaken met betrekking tot gegevensverkeer over openbare netwerken. De wet gaat in op een aantal onderwerpen waarvan de maatschappelijke belangen, het beschermen van de privacy van gebruikers en bevoegd aftappen van communicatie de belangrijkste onderdelen zijn. In deze wet wordt onder meer geregeld hoe netwerkoperators om moeten gaan met persoons- en verkeersgegevens. Deze gegevens hebben een rechtstreekse link met de Wet Bescherming Persoonsgegevens en in de praktijk zullen deze twee ook nauw verwant beschouwd worden. Voor het aftappen van gegevens (wat in feite een inbreuk is op de Integriteit en/of Vertrouwelijkheid) is geregeld in welke situaties dit mag voorkomen en door wie. In de regel vindt dit plaats op bevel van een officier van Justitie Wet elektronische handtekeningen De term elektronische handtekening (niet exact hetzelfde als digitale handtekening) is een wettelijke definitie voor diverse, niet noodzakelijk cryptografische, methoden om de identiteit van iemand die een elektronisch bericht zendt te bevestigen. Dit omvat behalve een digitale handtekening ook bijvoorbeeld telegram en teleadressen en een handgeschreven handtekening op een gefaxt document. Een voorbeeld hiervan is de DIGID. In Europa is de digitale handtekening gelijkgeschakeld aan een papieren handtekening. (zie ook Richtlijn 99/93/EG op moment van schrijven). In Nederland is sinds 8 mei 2003 de wet elektronische handtekeningen tot stand gekomen. Een elektronische handtekening is betrouwbaar als aan de volgende voorwaarden is voldaan: Op unieke wijze aan de eigenaar verbonden; Het mogelijk maken de ondertekenaar te identificeren; Totstandkoming met middelen die de ondertekenaar onder zijn uitsluitende controle heeft;

19 Organisatie SYSQA B.V. Pagina 19 van 27 Op zodanige wijze aan een elektronisch document is verbonden, dat wijziging achteraf kan worden ontdekt. Al deze elementen hebben ook verband met het non-repudiation/onweerlegbaarheids aspect wat ook uit de ISO25010 norm naar voren komt. Dit is onderdeel van de integriteit en authenticiteit van de informatie ISO/IEC / De ISO/IEC (in NL NEN-ISO/IEC 27001:2005) norm is een standaard voor informatiebeveiliging management systemen welke in oktober 2005 gepubliceerd is. Een organisatie kan hierop een audit laten uitvoeren om daarmee aan te tonen dat ze aan deze standaard voldoen. De standaard vereist dat management de volgende zaken uitvoert: Systematisch nagaan van de informatiebeveiligingsrisico s, rekening houdend met dreigingen en impact; Ontwikkelen en implementeren van een samenhangende en begrijpelijke set aan informatiebeveiliging maatregelen om de onacceptabele risico s te adresseren; en Een overkoepelend management proces inrichten om zeker te stellen dat de maatregelen continue invulling geven om de beveiliging benodigdheden van de organisatie te waarborgen. De ISO/IEC getiteld Information technology - Security techniques - Code of practice for information security management geeft best practices voor het opzetten, implementeren en onderhouden van een Information Security Management System (ISMS). Een aantal van de onderdelen in deze norm zijn in de norm ook verwerkt. De normen worden ook vaak tegelijk gebruikt als er invulling gegeven wordt aan informatiebeveiliging. Organisaties die security controls hebben conform zullen vaak de standaard van halen maar missen mogelijk overkoepelende management systeem elementen. Het tegenovergestelde is ook waar, een organisatie die gecertificeerd is geeft aan dat er een security management systeem is maar geeft weinig inzicht over de absolute staat van informatiebeveiliging. Technische controles zoals antivirus en firewalls worden niet meegenomen in audits. Het is dus goed om te realiseren wat de subtiele verschillen tussen beide normen zijn Wetgeving in de zorg De NEN7510 en 7511 normen zijn gebaseerd op de 'Code voor Informatiebeveiliging' (gepubliceerd als NEN-ISO/IEC en nu aangeduid als NEN-ISO/IEC 27002) en toegesneden op de Nederlandse gezondheidssector. Onder informatiebeveiliging in de zorg wordt verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. De 7512: Vertrouwensbasis voor Gegevensuitwisseling norm is in twee opzichten een aanvulling op de richtlijnen die NEN 7510 aan organisaties in de zorg geeft voor hun informatiebeveiliging. In de eerste plaats richt deze norm zich op de zekerheid die partijen elkaar moeten bieden als voorwaarde voor vertrouwde gegevensuitwisseling. Ten tweede levert deze norm een nadere invulling voor een aantal van de richtlijnen van NEN Dat betreft dan vooral de aanzet tot risicoclassificatie en de uitwerking van de eisen over identificatie en authenticatie die behoren bij een bepaalde risicoklasse. Het toepassingsgebied van deze norm is de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg zijn betrokken. NEN 7512 geeft een schematische benadering voor het classificeren van communicatieprocessen naar het risico dat zij voor de gezondheidszorg met zich meebrengen. Aansluitend bij die classificatie worden voor uitwisseling van gegevens

20 Organisatie SYSQA B.V. Pagina 20 van 27 minimumeisen gesteld met betrekking tot de bron van de gegevens, het transportkanaal en de ontvanger van de gegevens. Bron en ontvanger kunnen personen zijn, maar ook organisaties of hun informatiesystemen. Als overkoepelend begrip wordt hiervoor in deze norm de term "entiteiten" gebruikt. In deze norm wordt aangegeven welke zekerheid over de identiteit van de te vertrouwen partij voor de onderscheiden risicoklassen voldoende wordt geacht. Een te vertrouwen partij zal zijn identiteit en eventueel kwalificaties moeten aantonen en de vertrouwende partij moet die kunnen controleren. Door deze authenticatie wordt de vereiste zekerheid bereikt. Bij elk van de risicoklassen geeft deze norm de minimaal vereiste wijze van authenticatie en de bijbehorende bewijsstukken. Voor de acceptatie van bewijsstukken is vertrouwen nodig in de uitgevende instantie en in de mate waarin het bewijsstuk bestand is tegen vervalsing en onrechtmatig gebruik De Wet Computercriminaliteit De Wet Computercriminaliteit (WCC) heeft met name te maken met computervredebreuk. Binnendringen in een daartegen beveiligd computersysteem; Het wederrechtelijk wijzigen en toevoegen van gegevens in een computer, ook als ze niet beveiligd zijn; Het opzettelijk of door nalatigheid beschadigen of onbruikbaar maken of storen van een computersysteem dat wordt gebruikt ten algemenen nutte. In alle drie de bovenstaande zaken wordt een van de zaken van IB aangetast tot op het punt dat het strafrechtelijk vervolgbaar is. Volgens deze wet dient er een redelijke mate van beveiliging te zijn welke afgestemd moet zijn op het doel en gebruik van het computersysteem. Een minimale eis is het gebruik van wachtwoorden maar bij specifieke instellingen als banken of universiteiten zijn er zwaardere eisen Code Tabaksblat De Nederlandse corporate governance code, vaak aangeduid als code-tabaksblat is een gedragscode voor beursgenoteerde bedrijven. Deze bevat regels voor taken, werkwijzen, hoogtes van beloningen voor bestuurders en commissarissen. Om de naleving van deze code te bevestigen is het noodzakelijk om aan te tonen dat informatie over de onderwerpen hiervoor beschikbaar is. Een van de hoofdregels binnen de code is het pas toe of leg uit principe: beursgenoteerde bedrijven moeten in het jaarverslag aangeven of zij alle voorschriften toepassen en zo niet, waarom niet. Alle onderdelen binnen deze code stellen hun eigen eisen aan de informatiebeveiliging. Niet voldoen aan de code kan negatieve gevolgen hebben op de beurs, bijvoorbeeld een daling van de koersen Sarbanes-Oxley Act De Sarbanes-Oxley act (afgekort tot SOx) is een Amerikaanse wet welke naar aanleiding van een aantal grote bestuursschandalen meer bijval kreeg. Belangrijke artikelen binnen deze act zijn de 302 en de : Behandelt de controle van verspreiding van informatie. De leiding van een bedrijf dient periodiek te rapporteren over de effectiviteit van de controles op verschillende niveaus 404: Behandelt regels voor interne controle en financiële rapportering. Het management wordt verplicht om jaarlijks expliciet een uitspraak te doen over de betrouwbaarheid van de interne controles die in het bedrijf gehanteerd worden. De cijfers welke opgeleverd worden door accountants zijn hierin cruciaal. Aangezien het vaak voorkomt dat cijfers door softwareprogrammatuur opgeleverd worden moeten er ook bewijzen aangeleverd worden om aan te tonen dat deze op deugdelijke wijze tot stand zijn gekomen. Zaken waar rekening mee gehouden moet worden: Welke software is er aangepast?;

21 Organisatie SYSQA B.V. Pagina 21 van 27 Wie heeft de software aangepast; Waarom is de software aangepast; Wat is er aangepast (t.o.v. de vorige versie); Wie heeft de software vrijgegeven? In alle bovenstaande onderdelen speelt informatiebeveiliging dus een cruciale rol. De integriteit van de cijfers moet worden gewaarborgd bij zowel aangepaste als niet aangepaste software. Deze wetgeving stelt ook veel eisen aan de Administratieve Organisatie (de niet technische informatievoorziening) welke ook meegenomen moeten worden bij het informatiebeveiligingsbeleid. Onderdelen hierin zijn Application Controls (AC), geautomatiseerde controles binnen een applicatie, en User Controls (UC), handmatige controles die door management worden uitgevoerd. Een voorbeeld van AC: "zolang de gebruiker niet alle gevraagde gegevens heeft ingevuld, wordt de order niet door het systeem geaccepteerd." Een voorbeeld van UC: Transaction monitoring. Beide typen controls moeten ook in een testproces gecontroleerd worden of deze nog werken. Hier wordt verder op ingegaan in het document voor Testmanagers Voorschrift Informatiebeveiliging Rijksdienst (VIR) Het besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR) is op 1 januari 1995 van kracht geworden en regelt de wijze waarop de Nederlandse Rijksoverheid omgaat met de beveiliging van haar informatie. Het VIR is geen lijst met maatregelen die moeten worden doorgevoerd maar geeft een klein aantal basisregels. Het VIR is een doelstellende regeling, die veel overlaat aan de verantwoordelijke beheerders zelf. De regeling stelt minimumeisen aan het te ontwikkelen beveiligingsbeleid binnen een ministerie. Daarnaast worden eisen gesteld aan het stelsel van maatregelen dat dit beleid in de praktijk moet brengen. De beheerder van de informatie moet daartoe een risicoafweging maken waaruit blijkt welke maatregelen getroffen moeten worden. Op basis van die risicoafweging moeten informatiebeveiligingsplannen worden opgesteld. De eerste versie van het VIR (VIR 1994) was geldig van 1 januari 1995 tot 30 juni Op 1 juli 2007 is vervolgens de nieuwe versie van het VIR (VIR 2007) van kracht geworden. Met name bij functies binnen de overheid zal het proces van risicoanalyses en bijbehorende maatregelenpakket door dit voorschrift de belangrijkste invulling zijn voor IB.

22 Organisatie SYSQA B.V. Pagina 22 van Speciale aandachtsgebieden 7.1. Cloud Een steeds groter wordende trend is het gebruik van cloud diensten. Cloud diensten volgen het principe waarbij (onderdelen van) software niet meer lokaal aanwezig is(/zijn) in een afgeschermde omgeving maar centraal bij een andere partij draait. Door de schaalvoordelen die zulke partijen kunnen bieden kan de ondersteuning op grote pakketten goedkoper uitvallen. Echter, voor de informatiebeveiliging kan dit juist meer risico s betekenen. Waar bij een lokale applicatie in ieder geval nog de verbinding met de buitenwereld afgeschermd kan worden of de fysieke deur nog op slot kan wordt dit bij een cloud dienst aanzienlijk moeilijker. De maatregelen die hiervoor genomen kunnen worden zijn legio. Alles wat je voor een eigen standaard applicatie al als risico zag, plus datgene wat het buiten de deur plaatsen nog met zich mee brengt. Al met al kan voor informatiebeveiliging een cloud dienst misschien duurder uitpakken. Het is dan ook zaak om bij het gebruik van cloud diensten nog beter op de informatiebeveiliging en de maatregelen te letten. De keerzijde van bovenstaand verhaal is dat mensen bij cloud diensten een bepaald imago van veilig moeten hebben voordat men het vertrouwd genoeg acht om deze dienst af te nemen. Dit kan er voor zorgen dat een cloud dienst standaard beter beveiligd is dan de huidige eigen informatiebeveiliging. Voor het MKB kan dit zelfs een goedkopere oplossing zijn omdat er niet genoeg middelen zijn om het volledige spectrum van IB zelf in te vullen. Dan lijkt het ook meer op het uitbesteden van de informatiebeveiliging in zijn geheel. Hierbij blijft echter wel altijd de vraag aanwezig, veilig ten opzichte van wat. Als elke partij cloud diensten gebruikt blijven de eerder genoemde risico s aanwezig. In een audit wordt een cloud dan ook als een intern systeem beschouwd indien een bedrijfsproces gebruik maakt van de cloud. Dit is wel iets waar men bewust van moet zijn bij het gebruik van clouddiensten binnen de informatiebeveiliging Social Media Niet alleen wordt Social Media steeds meer geïntegreerd in het dagelijkse leven, ook vanuit de werksfeer komen zaken als BYOD (Bring Your Own Device) en het nieuwe werken naar voren. Veel mensen hadden een aantal jaar geleden niet voorzien hoe snel deze zaken nu soms als natuurlijk ervaren worden. Bij al deze ontwikkelingen is het wel noodzakelijk om in de gaten te houden hoe de huidige situatie is en hoe een nieuwe situatie kan ontstaan. Bij het bepalen van risico s kan er door een trend ineens een volledig andere dimensie bijkomen. Een simpel voorbeeld hiervan is een eigen gebrachte mobiele telefoon met een netwerk naar buiten toe. Zonder adequate maatregelen is het mogelijk dat er informatie naar buiten gaat wat niet de bedoeling was. Een ander aspect hierbij is een fenomeen genaamd shoulder surfing, het over iemands schouder mee kijken in een publieke ruimte. Doordat mensen (vaker) in een publieke ruimte werken neemt het risico dat een buitenstaander hier mee kan kijken ook toe. (zie ook volgende hoofdstuk over Social Engineering). Informatie verspreid zich via social media een stuk sneller dan voorheen. Dit betekent ook dat bij negatieve berichten zoals beveiligingslekken dit ook veel sneller bij meer mensen bekend raakt. De risico s van negatieve imago s / imagoschade nemen dan ook toe. Voor bijvoorbeeld de banken-/financiële sector, waar vertrouwen een belangrijk onderdeel is, wordt dit effect behoorlijk serieus genomen. Hoe meer problemen er met informatiebeveiliging zijn en via social media bekend raken hoe meer het vertrouwen daalt. Andersom is ook het gebruik van financiële applicaties op smartphones in combinatie met social media moeilijk te beveiligen aangezien de hoeveelheid combinaties van scenario s fors toeneemt.

23 Organisatie SYSQA B.V. Pagina 23 van Social Engineering In een tijd dat steeds meer via internet en Social Media wordt gecommuniceerd en gedeeld bestaat hier een groot risico. Via sites zoals LinkedIn bijvoorbeeld is van buiten de organisatie toch makkelijk een organogram op te stellen. Zeker als er in een team een hechte sociale band is. Maar wat heeft een buitenstaander hier nu aan? In eerste instantie misschien niets, maar gecombineerd met andere gegevensbronnen is het mogelijk om bijvoorbeeld identiteitsdiefstal te plegen. Met een goed gevuld organogram en een gekopieerde ID kaart is het mogelijk om bij bedrijven naar binnen te komen. Als er geen controle zit op wie wat mag doen kan een Social Engineer vervolgens mensen proberen te manipuleren om informatie los te weken. Of misschien wel geld over te maken naar een bankrekening welke niet bij de daadwerkelijke eigenaar behoort. Een bekend voorbeeld hiervan is Phishing (vissen naar gegevens) waar veel mensen in hun privé leven ook mee te maken krijgen. Als men niet doorheeft dat iets een phishing poging is kan men onbedoeld gegevens mee geven waarna financiële schade aangebracht kan worden. Voor een enkel individu is dit al vervelend, op grotere schaal voor bedrijven kunnen de kosten al snel oplopen. Dit vereist continu aandacht voor de mogelijkheden die geschapen zijn om dit te doen. Hier komt ook het continu herzien van een risico analyse in terug.

24 Organisatie SYSQA B.V. Pagina 24 van Bijlage: woordenlijst Woord / afkorting Definitie Negatieve variant van Use cases, een methode om malafide Abuse cases gebruik van het systeem te bedenken Application Controls; geautomatiseerde controles binnen AC een applicatie Accepteren (maatregel) Beveiligingsmaatregel welke gericht is op het accepteren van een risico en de bijbehorende schade ALE Engelse afkorting voor Annual Loss Expectancy (zie Jaarlijkse Schade Verwachting) Annual Loss Expectancy Engelse term voor schadeverwachting op jaarbasis Authenticiteit De verifieerbaarheid van een claim over de oorsprong of auteur van informatie Authenticity Engelse term voor Authenticiteit (zie Authenticiteit) Availability Engelse term voor Beschikbaarheid (zie Beschikbaarheid) Baseline Checklist Op basis van checklists bekijken of aan de set van beveiligingsmaatregelen wordt voldaan Beschikbaarheid De mate waarin informatie beschikbaar is voor de gebruiker Bezit of Controle De mate van eigendom van de informatie Business Informations Services Library; Model voor het BISL inrichten van Functioneel Beheer in een organisatie BIV Afkorting voor drie aspecten binnen informatiebeveiliging, Beschikbaarheid, Integriteit, Vertrouwelijkheid Bouwkundige maatregel Beveiligingsmaatregel welke betrekking heeft op het fysieke object en waar deze zich bevindt CBP College voor Bescherming Persoonsgegevens CIA Afkorting voor Engelse variant van drie aspecten van informatiebeveiliging, Confidentiality, Integrity, Availability Control Objectives for Information and related Technology; framework voor controle op informatie binnen een CoBiT organisatie Code Tabaksblatt Gedragscode voor beursgenoteerde bedrijven Confidentiality Engelse term voor Vertrouwelijkheid (zie Vertrouwelijkheid) Corporate Governance Engelse term voor 'bestuur van een onderneming'; ook goed, efficiënt en verantwoordelijk leiden van een onderneming Correctieve maatregel Beveiligingsmaatregel welke gericht is op het herstellen van de ontstane schade na een incident Cracken Het (malafide) omzeilen van (technische/elektronische) beveiligingsmaatregelen Detectieve maatregel Beveiligingsmaatregel welke gericht is op het waarnemen/detecteren van incidenten Dreiging (ook bedreiging) Proces of gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object Elektronische maatregel Beveiligingsmaatregel welke betrekking heeft op de ICT infrastructuur Fysieke beveiliging Beveiligingsmaatregel welke op de fysieke onderdelen betrekking heeft Hacken Het (bonafide) omzeilen van (technische/elektronische) beveiligingsmaatregelen IB Afkorting voor informatiebeveiliging

25 Organisatie SYSQA B.V. Pagina 25 van 27 Incident Een werkelijk geworden dreiging; een proces of gebeurtenis welke een verstorende invloed heeft op de betrouwbaarheid van een object Informatiebeveiliging Verzamelnaam voor processen die ingericht worden om de betrouwbaarheid van de al dan niet geautomatiseerdeinformatiesystemen en de daarin opgeslagen gegevens te beschermen tegen (opzettelijke) onheil. Informatiesysteem Geheel van middelen, procedures, regels en mensen dat de informatievoorziening voor een bedrijfsproces verzorgt Informatievoorziening Het geheel van mensen, middelen en maatregelen gericht op de informatiebehoefte van een organisatie Integriteit De mate waarin de informatie actueel en zonder fouten is Integrity Engelse term voor Integriteit (zie Integriteit) Information Systems Audit and Control Association; Amerikaanse organisatie welke CoBiT framework heeft ISACA helpen ontwikkelen ISMS Information Security Management System ISO norm voor managementsystemen van ISO informatiebeveiliging ISO ISO norm voor Code voor informatiebeveiliging ISO25010 ISO norm voor kwaliteitskenmerken van software Jaarlijkse Schade Schadeverwachting op jaarbasis. Formule: JSV = totale Verwachting schade (direct+indirect) / hoeveel keer per tijd (in jaren) JSV Afkorting voor Jaarlijkse Schade Verwachting Norm voor informatiebeveiliging toegesneden op de NEN7510 / 7511 zorgsector Amerikaanse normering vanuit het ministerie van NIST SP Economische zaken voor informatiebeveiliging OBE Afkorting voor Organisatorisch, Bouwkundig en Elektronisch; type fysieke beveiligingsmaatregel Organisatorische Beveiligingsmaatregel welke betrekking heeft op de maatregel organisatie inrichting Open Web Application Security Project; Onafhankelijke organisatie welke zich richt op applicatiebeveiliging door OWASP middel van open source tooling Parkerian Hexad Uitgebreidere indeling voor informatiebeveiligingsaspecten met zes onderdelen, Beschikbaarheid, Integriteit, Vertrouwelijkheid, Bezit, Authenticiteit en Utiliteit Testvorm om een computersysteem te testen op kwetsbaarheden waarbij deze ook gebruikt mogen worden Penetratietest om in te breken Poging tot het vissen naar gegevens, bijvoorbeeld Phishing bankgegevens Possession Engelse term voor Bezit of Controle (zie Bezit of Controle) Preventieve maatregel Beveiligingsmaatregel welke gericht is op het voorkomen van incidenten Quick Scan Methode om op basis van vragenlijsten snel een normering af te kunnen geven op een aandachtsgebied Reduceren (maatregel) Beveiligingsmaatregel welke gericht is op het verminderen van de dreiging Repressieve maatregel Beveiligingsmaatregel welke gericht is op het verminderen of stoppen van de gevolgen van een incident

26 Organisatie SYSQA B.V. Pagina 26 van 27 Risico Risicoanalyse Sarbanes-Oxley Act SDLC Security Security Awareness Security Officer Security Center Operations Security Testing SGOP van het ISF Single Sign On SOC Social Engineering SOx UC Utiliteit Utility Vertrouwelijkheid Verzekeren (maatregel) VIR War Driving WBP WCC Zwakheid gemiddelde schade over een tijdsperiode, die verwacht wordt doordat één of meer bedreigingen leiden tot een verstoring van één of meer objecten van de Informatievoorziening. Formule: Risico = Kans X Schade Proces waarmee inzichtelijk gemaakt kan worden welke dreigingen relevant zijn voor bedrijfsprocessen en welke risico s hiermee gepaard gaan Amerikaanse wetgeving voor informatievoorziening binnen een bedrijf Software Development Life Cycle Alternatieve term voor (informatie)beveiliging De mate waarin mensen binnen een organisatie zich bewust zijn van informatiebeveiliging. Ook: training voor het verbeteren van de bewustwording Veelgebruikte functienaam voor de persoon die binnen een organisatie verantwoordelijk is voor Informatiebeveiliging/Security. Een organisatorische inrichting voor security waarbij het mogelijk is om meerdere niveaus binnen een organisatie te hebben Specifieke testvorm voor het testen van de beveiliging van applicaties; Ook: proces ter identificatie van de verschillende kwetsbaarheden in een systeem als gevolg van een ontwerp dat niet aan de requirements t.a.v. de beveiliging voldoet of als gevolg van onregelmatigheden in de codering. Standard of Good Practice van het Information Security Forum. Methode waarmee gebruikers op basis van 1 username/wachtwoord in kunnen loggen in het kader van gebruikersgemak Afkorting voor Security Operations Center (Zie Security Operations Center) Methode om op basis van sociale constructies informatie te achterhalen waarmee schade kan worden berokkend Sarbanes-Oxley Act User Controls; Handmatige controles die door management kunnen worden uitgevoerd De bruikbaarheid van informatie Engelse term voor Utiliteit (zie Utiliteit) De mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep die daar rechten toe heeft Beveiligingsmaatregel welke gericht is op het anderen laten dragen van de risico's i.v.m. kostbaarheid Voorschrift Informatiebeveiliging Rijksdienst zoeken naar en toegang verkrijgen tot het draadloos netwerk van het bedrijf Wet Bescherming Persoonsgegevens Wet Computer Criminaliteit Een te gebruiken hiaat in de beveiliging van het object

27 Organisatie SYSQA B.V. Pagina 27 van Bronvermelding: Informatiebeveiliging onder controle: Grondslagen, management, organisatie en techniek door Paul Overbeek, Edo Roos Lindgreen, Marcel Spruit ISBN/EAN Basiskennis beveiligen van informatie ISBN/EAN Risicomanagement op basis van M_o_R en NEN/ISO 31000, Douwe Brolsma, Mark Kouwenhoven. ISBN10: , ISBN13: Expertbrief IB standaarden.pdf PvIB Expertbrief januari 2009 ISSN , jaargang 5 Nr. 1 ExpertBrief - SOC V1.0 definitief.pdf PvIB Expertbrief februari 2011 ISSN , jaargang 7 nr. 3 Platform voor InformatieBeveiliging: Open Web Application Security Project Foundations van ITIL v3, Informatiesecuritymanagement.PDF College Bescherming Persoonsgegevens Wikipedia Voorschrift Informatiebeveiliging Rijksdiensten NEN