H1. Basisbegrippen van IT beveiliging Informatieplan Concrete invulling van het informatiebeveiligingsbeleid als onderdeel van het organisatiebeleid.



Vergelijkbare documenten
Informatiebeveiligingsbeleid

Beveiligingsbeleid Stichting Kennisnet

Een checklist voor informatiebeveiliging

Informatiebeveiliging

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Information Security Foundation Hoofdstuk: 1 Basisbegrippen

voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie augustus 2008

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Beknopt overzicht van bedreigingen en maatregelen

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Informatiebeveiligingsbeleid extern

0.1 Opzet Marijn van Schoote 4 januari 2016

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie juni 2008

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Stappenplan naar GDPR compliance

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid

ISO 27001:2013 Informatiebeveiligingsbeleid extern

Stappenplan naar GDPR compliance

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Informatiebeveiligingsbeleid Drukkerij van der Eems

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Werkplekbeveiliging in de praktijk

Technische en organisatorische beveiligingsmaatregelen

BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT

E. Procedure datalekken

Help een datalek! Wat nu?

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Checklist Beveiliging Persoonsgegevens

Datalek dichten en voorkomen. 21 april 2017

O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk?

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Handboek Hecla Professional Audio & Video Systems INFORMATIEBEVEILIGINGSBELEID. Versie: 3 Datum: Pagina: 1 van 8

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

ICT Outsourcing & Beveiliging

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Raadsmededeling - Openbaar

Checklist calamiteiten

Risicoanalysemethode Informatiebeveiliging. Erasmus MC. Versie Definitief, versie 2.0. Datum December Opsteller

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Complan Valens bv Informatiebeveiliging en Privacy beleid

1. Beveiligingsbijlage

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Verklaring van Toepasselijkheid

Cloud computing Helena Verhagen & Gert-Jan Kroese

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Frans de Bree en Joric Witlox Hengelo, 4 december 2008

Security Health Check

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

GTS-Online Remote Firewall beheer Service Level Agreement (SLA)

Beginselen van behoorlijk ICTgebruik. Prof. mr. H. Franken Universiteit Leiden

Databeveiliging en Hosting Asperion

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging.

Privacyverklaring voor opdrachtgevers

Advies informatiebeveiligings analyse HvA

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg

Doel van de opleiding informatieveiligheid

Toelichting bij de (VNG-) Voorbeeldregeling gemeentelijke basisadministratie persoonsgegevens

24/7. Support. smart fms

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Wet meldplicht datalekken

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

BEVEILIGINGSARCHITECTUUR

ISO Informatiebeveiliging

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Privacy Policy van Stichting Het Rijnlands Lyceum

Strategisch Informatiebeveiligingsbeleid Hefpunt


Gemeente Alphen aan den Rijn

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept)

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

2013 Informatiebeveiligingsbeleid Gemeente Heerhugowaard 1.0 Definitief

Dataprotectie op school

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Beveiligingsmaatregelen

IT Security in de industrie

INTRODUCTIE

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Transcriptie:

ISF uittreksel H1. Basisbegrippen van IT beveiliging Informatieplan Concrete invulling van het informatiebeveiligingsbeleid als onderdeel van het organisatiebeleid. Vierde productiefactor Informatie Beveiligingsincident Een gebeurtenis die de betrouwbaarheid van de informatie of de informatieverwerking kan verstoren. Waarde van informatie Kwaliteit van de informatie Belang van de informatie Kwaliteitseisen voor informatie Betrouwbaarheid==BIV Beschikbaarheid Tijdigheid Continuïteit Beschikbaarheid Integriteit Correctheid Volledigheid Geldigheid Authenticiteit Onweerlegbaarheid Nauwkeurigheid Controleerbaarheid Vertrouwelijkheid Exclusiviteit Betrouwbaarheid Continuïteit(-management) Verantwoordelijkheid van de lijnmanagers Beleid Continuïteitsplan o Welke bedreigingen? o Kans op bedreigingen? o Schade? o Maatregelen. Risicoanalyse Maatregelen Bedreigingen Menselijke bedeigingen o Onopzettelijke Illegale software Foutieve invoer verwijderen een beschadigen gegevens Niet goed opbergen gegevensdragers Binnenhalen kwaadaardige programmatuur

Ondeskundig gebruik van apparatuur Slordige omgang met autorisaties en wachtwoorden Niet uitloggen Schade bij bouwwerkzaamheden o Opzettelijke Inbraak Sabotage Kopieren van vertrouwelijke informatie Ongeautoriseerd wijzigen van gegevens Afluisteren of aftappen Verspreiden van kwaadaardige programmatuur Veroorzaken van storingen Bedrijfsspionage Vandalisme Terrorisme Misbruik van identiteit Niet houden aan voorschriften Niet-menselijke bedreigingen en storingen o Natuur Storm Bliksem Brand Ziekte o Storingen Stroomstoringen Storingen in de airconditioning Kortsluiting Fouten in hard of software Bronnen van menselijke bedreigingen Personeel Hacker Terrorist Crimineel Klanten Concurrenten Informatiebeveiliging Maatregelen waarborgen: Betrouwbaarheid (BIV) van de informatie Informatievoorziening Bedrijsmiddelen Kwaadaardige software Virus Worm Trojan Horse Logische bom Hoax Spam Bedreigingenanalyse Geeft inzicht in bedreigingen en gevolgen (uitgesplitst in BIV). Kwetsbaarheid De mate waarin een object gevoelig is voor een bepaalde bedreiging. Risico = kans x schade

Risicomanagement Risico s identificeren en tot ene aanvaardbaar risico terug te brengen Soorten risicoanalyse Standaard vragenlijst Voordelen: Goedkoop, snel in te voeren, normeerbaar, inzicht, bewustwording. Nadelen: Sluit niet aan, statisch, info beveiliging voor hackers o Quick scan Minst uitgebreid Geen specifieke organisatie eisen o Baseline checklist Uitgebreider en diepgaander Aangepast aan eigen organisatie Bijvoorbeeld op basis van: Code voor informatiebeveiliging Kwalitatieve risicoanalyse Voordelen, Maatwerk, dynamisch, hackers minder inzicht. Nadelen: Complex, tijd, kosten en levert (soms) te veel informatie op. Risico s worden geanalyseerd en de mogelijke schade geschat: o Omvang o Relatieve zwaarte o Afhankelijkheidsanalyse Hoe afhankelijk zijn bedrijfsprocessen van de betrouwbaarheid en welke eisen stel je aan betrouwbaarheid. o Configuratieanalyse Objecten en relaties tussen objecten worden onder de loep genomen. o Kwetsbaarheisanalyse Welke objecten zijn kwestbaar voor bereigingen en hoe kwestbaar. o Maatregelenanalyse Maatregelen zodanig dat alleen acceptabele risico s overblijven Kwantitatieve risicoanalyse Risico s gekwantificeerd in meetbare criteria, meestal geld. Vaak als aanvulling op de kwalitatieve risicoanalyse. Voordelen t.o.v. kwalitatieve : Meer inzicht in de schade Nadelen t.o.v. kwalitatieve : Meer inzicht nodig bij bepalen schade object. Risicobeperkende maatregelen Kans en/of schade verminderen: Backups Virusscanner Wachtwoorden vernieuwen Registratie verdachte handelingen verzekeringen Fysieke toegangscontrole Clear desk policy Uitwijkprocedures Risicoanalyse binnen ITIL CRAMM (kwalitatief) CCTA Risico Analyse Management Methode Risicoanalyse, 3 factoren: Middelen Bedreigingen Kwetsbaarheden

Risicomanagement: Tegenmaatregelen o Risicobeperking o Uitwijkmogelijkheden Welke risicomethode? Urgentie Kwetsbaarheid Organisatiecultuur Volwassenheid Organisatie van de informatiebeveiliging Proces informatiebeveiliging Beleid & organisatie Risicoanalyse Maatregelen Implementatie Bewaking Evaluatie Informatiebeveiligingsplan Maakt informatiebeveiligingsbeleid compleet. Bevat: Beveiligingsmaatregelen + reden Middelen Richtlijnen En verder: Doelstellingen Te beveiligen objecten Organisatie Taken, bevoegdheden, verantwoordelijkheden Beveiligingseisen en randvoorwaarden Objecten risico s een maatregelen Registratie en afhandeling van beveiligingsincidenten Calamiteitenplan Opleidingsplan Plannen voor bevoordeling beveiligingsbewustzijn Algemene beveiligingstaken Directie Eindverantwoordelijkheid informatiebeveiliging Opstellen informatiebeveiligingsbeleid Management Implementatie Medewerkers Correct gebruik Externe medewerkers Vallen onder degene die inhuurt Personeelszaken Geheimhoudingsverklaringen Verwijderen accounts Huishoudelijk regelement

Facilitair beheer Alleen toegang geautoriseerde personen Service desk Registratie beveiligingsincidenten Specifieke beveiligingsfuncties Security officer (Strategisch niveau) Opstellen informatiebeveiligingsbeleid (beveiligingsplan) Adviseur (informatie) beveiliging Interne audits Uitvoeren Risicoanalyses Security specialist (Tactisch niveau) Standaarden ontwikkelen Selecteren applicatiepakketten Interne controlemaatregelen Beheerder informatiebeveiliging (Operationeel niveau) Implementatie Beheren van authorisaties Autorisatiebeheerder Randvoorwaarden autorisaties Toekennen, wijzigen, intrekken van autorisaties Systeembeheerder Manusje van alles in kleine organisaties Standaarden informatiebeveiliging ITIL Security Management Eisen van de (interne) klant Beveiligingsparagraaf in SLA Operationeel Level agreement (OLA, Interne dienstverleners) Underpinning Contracts (UC, externe dienstverleners) Code voor informatiebeveiliging Van Nederlans Normalisatie Instituut Voorschrift Informatiebeveiliging Rijksdienst (VIR) Gebruik binnen de overheid ISO-Standaarden 14516 Trusted Third Party Certificatie Externe certificatie. Voorbeelden: ISO 17799 (Vader van Nederlandse code voor informatiebeveiliging) Common criteria (productcertificatie) Orange book (militaire wereld, vertrouwelijkheid) ITSEC (Vertrouwelijkheid en integriteit gegevensverwerking) Certificatieproces: Aanvraag

Proefonderzoek Documentatieonderzoek Implementatieonderzoek Evaluatie Beslissing centificaat Auditors Interne auditor Externe IT-auditor (meestal een accountantskantoor)

H2. Informatiebeveiliging ICT-Infrastructuur Geheel aan automatiseringsmiddelen voor opslaan, transporteren en representeren van gegevens en hardware, basisprogrammatuur inclusief documentatie en procedures Indeling van te beveiligen objecten Basisinfrastructurele voorzieningen Terreinen en gebouwen Watervoorzieningen Elektriciteitsvoorzieningen Klimaatvoorziening Telefoon, fax etc. Draadloze telecommunicatie (Bluetooth) Hardware Apparatuur Informatiedragers Software Basisprogrammatuur (Besturingsprogramma s) Gegevensopslagprogrammatuur (DMS) Programmeermiddelen Beveiligingsprogrammatuur Datacommunicatievoorzieningen Datacommunicatieapperatuur Routers, hubs, bridges etc. Netwerkkabels Datacommunicatieprogrammatuur zoals e-mail clients, browsers, EDI etc. Documentatie (in de zin van informatiebeveiliging) Beschrijving van systemen, applicaties, procedures etc. Informatie De gegevens op informatiedragers De gegevens onderweg tijdens datacommunicatie Beveiligingsmaatregelen Indeling naar betrouwbaarheidsaspect Beschikbaarheid Integriteit Vertrouwelijkheid Indeling naar effect Preventieve beveiligingsmaatregelen o Permanent Brandwerende deur Firewall o Getriggerd UPS Detectieve beveiligingsmaatregelen Heeft alleen zin in combinatie met getrigged preventieve- of repressive maatregelen. o Virusscanner o Rookdetector Represieve beveiligingsmaatregelen o Brandblussers o Uitwijkvoorzieningen

o Back-up and recovery Correctieve beveiligingsmaatregelen o Herstelt de schade o Beveiliging eigenlijk al doorbroken Beveiligingen naar werkwijze Fysieke beveiligingsmaatregelen o Anti-inbraakmiddelen o Overspanningsbeveiliging o Klimaatbeheersing Technische beveiligingsmaatregelen o Autorisatie o Encryptie o Logging o Authenticatie Iets dat je weet Iets dat je hebt Biometrie o Bridges en gateways o Firewall o Logging en monitoring Eventueel met Intrusion Detection System o Backup en redundatie Organisatorische maatregelen o Taken, bevoegdheden en verantwoordelijkheden o IT-auditing o Uitwijkvoorzieningen o Regels over fysieke inrichting (Apperatuur niet onder een dak i.v.m. lekkage) o Organisaorische inrichting Functiescheiding o Regels (clean desk policy)

H3. Continuïteit van de IT-dienstverlening Calamiteit Als een bedrijfsproces ernstig stagneert of stil komt te liggen Calamiteitenplan Wie doet wat, wanneer en hoe als er een calamiteit is. Belangrijkste onderdelen: Doelstellingen Samenstelling crisisteam Draaiboek Uitwijkplan Soorten uitwijk Geen uitwijk Alleen Backups terugzetten etc. Cold site Ruimte is geheel voorbereid op installeren van de benodigde computerapperatuur, stroomvoorziening en airco. Warm site Volledig met hard en software ingericht, bij calamiteit backups terugzetten. Hot site Parallelpocessing, meteen omschakelen mogelijk Pooled site Gedeelde warm site, goedkoper Mobiele uitwijk Container naar locatie Bilaterale uitwijk Twee partijen spreken af te delen Uitwijkplan Geeft uitvoering aan het uitwijkproces

H4. Juridische aspecten van de ICT Grondwet Art. 10 Persoonlike levenssfeer Art. 13 Brief en communicatiegeheim Bekende wetten: Wet GBA Auteurswet Rechten auteur (50-70 jaar na dood): Niet ongeoorloofd wijzigen werk Verveelvoudigen Openbaar maken Reverse engeneering, licentie gebruker mag soms sourcecode gebruken voor interoperabiliteit Wet Bescherming Persoonsgegevens Oud: WPR Registratiekamer Nieuw: WPB College persoonsgegevens (Bijna) alle handelingen m.b.t. persoongegevens. Uitgesloten: Politie AIVD GBA Taken CBP: Advies Toetsen Bemiddelen Onderzoeken Privacy Enhencing Technologies (PET) Basis art 17. EG richtlijn en artikel 13 WPB. PET ICT maatregelen om persoonsgegevens te elimineren of verminderen, zonder verlies van functionaliteit Met encryptie, evt. met TTP. Identiteitsdomein Om naar naam te verwijzen Pseudo-identiteitsdomein Bijvoorbeeld diagnostische of behandelgegevens Functionaris gegevensbescherming (WBP) Toezicht Melden aan CBP Klachtenbehandeling Bevoegdheden

Alle ruimtes betreden Inzage Onderzoeken Positie Staffunctie Contactpersoon voor CBP Wet computercriminaliteit (WCC) Bescherming voor: Beschikbaarheid Integriteit Exclusieviteit Provider is niet aansprakelijk Strafbaar: Binnendringen Wederechtelijk wijzigen (zelf zonder beveiliging) Beschadigen Burgerlijk wetboek Taak voor account in continuïteit Wet op de telecommunicatievoorzieningen Over openbare netwerken Voorschrift Informatiebeveiliging Rijksdienst Voor overheid en inclusief A & K analyse. Overig: Contract of overeenkomst (Inclusief SLA) Outsoursing Lease-overeenkomst SLA Gedragscode voor e-commerce (door Electronic Commerce Platform) o Betrouwbaarheid o Transparantie Juridische procedures Arbitrage (Nederlands Arbitrage Instituut) Minitrial (goedkoper, commissie van 3 personen) Aangifte (bij overtreding) Civiele procedure (onrechtmatige daad)

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback