Introductie Informatiebeveiliging



Vergelijkbare documenten
ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Beveiligingsbeleid Stichting Kennisnet

Beleid Informatiebeveiliging InfinitCare

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiliging

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Informatiebeveiliging voor de requirementsanalist

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Informatiebeveiligingsbeleid

Advies informatiebeveiligings analyse HvA

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

BEVEILIGINGSARCHITECTUUR

Fysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer

Checklist Beveiliging Persoonsgegevens

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Informatiebeveiliging

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : Versie : 1.0. Opgesteld door :

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Nota Risicomanagement en weerstandsvermogen BghU 2018

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

E. Procedure datalekken

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Informatiebeveiligingsbeleid

Werkplekbeveiliging in de praktijk

Stappenplan naar GDPR compliance

INFORMATIEBEVEILIGING WHITEPAPER

Stappenplan naar GDPR compliance

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Basiskennis Informatiebeveiliging SYSQA

Gemeente Alphen aan den Rijn

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Verantwoordingsrichtlijn

Informatiebeveiliging voor overheidsorganisaties

0.1 Opzet Marijn van Schoote 4 januari 2016

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Factsheet Penetratietest Informatievoorziening

Informatiebeveiligingsbeleid

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiligingsbeleid Drukkerij van der Eems

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

AAN DE SLAG MET INFORMATIEMANAGEMENT. Masterclass Informatiemanagement

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

PROJECTMANAGEMENT 1 SITUATIE

Zorgeloze ICT, alles voor elkaar

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

SECURITY RAPPORTAGE 2016 Versie: Auteur: Matthijs Dessing Aantal pagina s: 7

Raadsmededeling - Openbaar

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Goed functioneel beheer noodzaak voor effectievere SPI

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Hoofdlijnen Corporate Governance Structuur

Verschillen in QA aanpak tussen ERP projecten en niet-erp projecten

Is er een standaard oplossing voor Cyber Security?

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Digitaal, Ja natuurlijk. Digitalisering als strategische succesfactor

Informatiebeveiligingsbeleid

Werkdocument interpretatie keuzedeel Security in systemen en netwerken

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

TOEGANGSBEVEILIGING EN PUBLIEKE NETWERKEN. Een model voor een doelmatige en pragmatische aanpak

6.6 Management en informatiebeveiliging in synergie

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Frans de Bree en Joric Witlox Hengelo, 4 december 2008

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

NEN 7510: Een kwestie van goede zorg

Een checklist voor informatiebeveiliging

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Qsuite in een mobiele applicatie. Geschikt voor telefoon en tablet

Brochure ISO Advanced

Ivo Opstelten Minister van Veiligheid en Justitie Postbus EH DEN HAAG

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

De controller met ICT competenties

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Security Health Check

Dataprotectie op school

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Strategisch Informatiebeveiligingsbeleid Hefpunt

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Brochure HC&H Masterclasses

Transcriptie:

Introductie Informatiebeveiliging SYSQA B.V. Almere Datum : 25 april 2013 Status : Definitief Opgesteld door :

Organisatie: SYSQA B.V. Pagina 2 van 13 Inhoudsopgave 1 Leeswijzer... 3 2 Inleiding... 4 3 Wat is informatiebeveiliging... 5 3.1 Definitie informatiebeveiliging... 5 3.2 Beveiligde informatie... 6 3.3 Beveiliging doorbroken... 6 4 Informatiebedreiging... 7 4.1 Kwetsbaarheid van de organisatie... 7 4.2 Veranderende eisen... 7 4.3 Beveiligingsbeleid... 7 5 Risicomanagement... 9 5.1 Stakeholders vaststellen... 9 5.2 Risico-analyse: kwalitatief of kwantitatief... 9 5.3 Schade... 10 5.4 Risicostrategieën... 10 6 Maatregelen voor informatiebeveiliging...11 6.1 Soorten maatregelen... 11 6.2 Toetsen en Testen van beveiliging... 11 6.3 Richtlijnen informatiebeveiliging... 12 6.4 Incident management... 12 6.5 Slot... 12 7 Bronvermelding...13

Organisatie: SYSQA B.V. Pagina 3 van 13 1 Leeswijzer Sysqa is een onafhankelijke organisatie, gespecialiseerd in het toepassen van kwaliteitsmanagement in ICT. Binnen kwaliteitsmanagement is er ook aandacht voor informatiebeveiliging. Daarom heeft de expertisegroep informatiebeveiliging informatie gebundeld tot diverse documenten welke beschikbaar zijn gesteld op de kennisbank van Sysqa zie: http://www.sysqa.nl/expertise/kennisbank/ Deze introductie maakt u bekend met de begrippen en de belangrijkste aspecten van informatiebeveiliging. Voor verdieping raadpleegt u de onderliggende documenten op de kennisbank van Sysqa. Hieronder ziet u schematisch de relatie tussen de beschikbare documenten. Introductie Informatiebeveiliging Basiskennis Informatiebeveiliging Informatiebeveiliging voor Requirementsanalist Informatiebeveiliging voor Testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor Kwaliteitsmanager

Organisatie: SYSQA B.V. Pagina 4 van 13 2 Inleiding In mei van het jaar 1999 stond in een populair wetenschappelijk jongerenblad een artikel waarin werd gesteld dat Hackers niet te stuiten zijn. Een Hacker zou slim, creatief, hondsbrutaal en in staat zijn om elk computernetwerk te kunnen binnentreden. Nu, bijna 14 jaar later stelt Shawn Henry, hoofd van de cyberafdeling van de FBI in een interview met de Wall Street Journal, dat Overheden en bedrijven de strijd verliezen tegen hackers vanwege een gebrek aan maatregelen en besef. Hij pleit voor grote veranderingen bij bedrijven en organisaties in de manier waarop zij hun netwerk en systemen beveiligen zodat verdere schade aan de nationale veiligheid en de economie voorkomen kan worden. Meesterhacker Kevin Mittnick geeft toe zelf de meeste hacks te zetten middels social engineering, het verkrijgen van wachtwoorden en andere informatie door zich betrouwbaar voor te doen. Een organisatie kan zich met eenvoudige middelen beschermen tegen social engineering. Zonder te vervallen in techniek of procedures is bewustwording in elke laag van de organisatie cruciaal voor informatiebeveiliging. Veel organisaties hebben informatie onvoldoende beveiligd laat staan dat dit ingebed is binnen de organisatie. De verantwoordelijkheid voor informatiebeveiliging ligt dus bij iedere werknemer binnen een organisatie. De volwassenheid van informatiebeveiliging is in veel organisaties nog onder het gewenste of noodzakelijke niveau. Op dit moment is de aandacht voor het vakgebied groot aangezien de risico s voor de gevolgen van een gebrekkig informatiebeveiligingsplan een enorme impact kunnen hebben. De farmaceutische industrie heeft veel vooruitgang geboekt met kwaliteitsmaatregelen tegen de bijwerkingen van medicijnen. De geaccepteerde foutmarge voor een medicijn moet nihil zijn. Net zo worden de gevolgen van gebrekkige informatiebeveiliging steeds minder geaccepteerd door stakeholders en komen daardoor wekelijks organisaties negatief in het nieuws als gevolg van te ruime foutmarges in de aanpak om informatie te beveiligen. Wie is verantwoordelijk voor informatiebeveiliging? U als CEO, CIO, functioneel beheerder, informatieanalist, servicedeskmedewerker, tester of welke functie of rol u heeft, moet vanuit uw expertise bijdragen aan informatiebeveiliging in uw eigen organisatie. Deze introductie in informatiebeveiliging geeft u een eerste handvat de security van informatiesystemen in uw eigen omgeving of organisatie te verbeteren en daarmee de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen voor alle stakeholders.

Organisatie: SYSQA B.V. Pagina 5 van 13 3 Wat is informatiebeveiliging In dit hoofdstuk worden verschillende definities en begrippen op hoofdlijnen besproken. Informatie is een breed begrip dat op verschillende manieren kan worden uitgelegd. Gegevens kunnen gezien worden als de waarneembare weergave van feiten in een opslagplaats. Informatie daarentegen is de betekenis, die de mens aan de hand van bepaalde afspraken aan gegevens toekent, of de kennistoename als gevolg van het ontvangen en verwerken van bepaalde gegevens. Zie hiervoor Basiskennis Informatiebeveiliging hoofdstuk 4. Hoe beveilig je deze informatie? 3.1 Definitie informatiebeveiliging Informatiebeveiliging is het geheel van maatregelen om de betrouwbaarheid, integriteit en vertrouwelijkheid te waarborgen. Hieronder verstaan we elke vorm van procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Dit betekent dat alle reducerende (beperken), preventieve (voorkomen), detectieve (signaleren), repressieve (onderdrukken) en correctieve (aanpassen van) maatregelen hiertoe behoren. Voorwaarde is dat deze als doel hebben de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van incidenten tot een acceptabel niveau te accepteren, beperken of verzekeren. Informatie die kostbaar is voor een organisatie of individu dient beveiligd te worden. Deze maatregelen worden gevat onder het begrip informatiebeveiliging. In bovenstaand figuur ziet u hoe verschillende maatregelen in relatie staan tot een dreiging en een incident.

Organisatie: SYSQA B.V. Pagina 6 van 13 3.2 Beveiligde informatie Om informatie als waardevol en bruikbaar te kunnen beoordelen zijn drie aspecten van belang. Informatie moet beschikbaar, integer en vertrouwelijk (BIV) zijn. Dit betekent dat tijdigheid, continuïteit en robuustheid gewaarborgd moeten zijn om informatie beschikbaar te stellen op het moment dat een belanghebbende deze nodig heeft. Voor het garanderen van integere informatie moet de informatie actueel en zonder fouten zijn. Door ongeautoriseerd gebruik te voorkomen is ook de vertrouwelijkheid gewaarborgd. Zo is informatie beveiligd. 3.3 Beveiliging doorbroken Indien inbreuk is gemaakt op een van de drie BIV elementen van informatie is er sprake van een incident of verstoring. Informatiebeveiliging is een cyclus die continu doorlopen moet worden. Elk jaar dient het beleid voor informatiebeveiliging te worden getoetst aan de uitkomsten van de risicoanalyse ter controle of dit beleid afdoende is. Mogelijk dient het beleid met bijpassende maatregelen gecorrigeerd te worden. De preventieve maatregel die vandaag wordt genomen tegen een bedreiging kan toch onvoldoende zijn voor een toekomstige verstoring. Indien deze verstoring plaatsvindt én wordt gedetecteerd kan men repressieve maatregelen treffen om de schade te beperken. Daarna kan de schade pas hersteld worden.

Organisatie: SYSQA B.V. Pagina 7 van 13 4 Informatiebedreiging 4.1 Kwetsbaarheid van de organisatie Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen. Organisaties en hun informatiesystemen en netwerken worden geconfronteerd met beveiligingsrisico s uit allerlei menselijke en niet-menselijke bronnen, waaronder computerfraude, spionage, sabotage, vandalisme, brand en overstromingen. Oorzaken van schade zoals virussen, computer hacking en DDOS*-aanvallen (*= weigeren-van-dienst ) komen steeds vaker voor en zijn professioneler en vernuftiger van aard. 4.2 Veranderende eisen Veel informatiesystemen zijn ontworpen met het oog op functionaliteit. Hierdoor staan vaak de niet-functionele requirements onder druk wat ten koste kan gaan van de veiligheid. Daarom is het noodzakelijk vanaf het begin van een ontwikkeltraject beveiligbaarheid mee te nemen als requirement. Ook bij onderhoud van bestaande systemen is de aandacht voor informatiebeveiliging onderbelicht terwijl juist bij onderhoudsmatige werkzaamheden ook beveiliging verbeterd kan worden. Gaat men achteraf informatiebeveiliging inbouwen in de bestaande architectuur dan vergt dit veelal een grote investering en kan dit een grote impact hebben op de bestaande architectuur. Zie ook Informatiebeveiliging voor Requirementsanalist. Informatiebeveiliging kan het meest doeltreffend en efficiënt worden geïmplemen-teerd wanneer hier aan het begin van de systeemontwikkeling aan wordt gewerkt. Dit is vergelijkbaar met de ontwikkeling van de automobiel aan het eind van de 19 e eeuw waarbij kort na het realiseren van de eerste auto het gemotoriseerd rijden belangrijker was dan de veiligheid. Het achteraf inbouwen van een airbag in een T-Ford maakt dit nog niet tot een veilige auto. De belanghebbenden bij systeemontwikkeling dienen al oog te hebben voor de veiligheidsrisico s en de mogelijkheden informatiebeveiliging tijdens de requirementsfase. Hiermee wordt voorkomen dat incidenten uit productie zorgen voor ad-hoc aanpassingen. Het risico bestaat namelijk dat het systeem en de architectuur middels een compromis ipv een gewenste keuze wordt geïmplementeerd. 4.3 Beveiligingsbeleid In de praktijk zijn eisen voor informatiebeveiliging veelal onduidelijk voor de belanghebbenden. Daarom wordt veelvuldig gebruik gemaakt van expertise om te bepalen wat de huidige situatie (Ist) en de gewenste situatie voor informatiebeveiliging moet zijn (Soll). Het management van de organisatie dient op basis van deze uitkomsten aan te geven waar de prioriteiten liggen en beleid uit te zetten waarmee structureel vorm kan worden gegeven aan de implementatie van informatiebeveiliging in de organisatie. Zie voor informatie hierover Informatiebeveiliging voor Kwaliteitsmanager.

Organisatie: SYSQA B.V. Pagina 8 van 13 Er dient door het management richting te worden gegeven aan het beleid zodat bijvoorbeeld een keuze kan worden gemaakt voor facilitaire maatregelen zoals fysieke toegangscontrole tot het pand. Daaruit kan ook volgen dat er wordt gekozen om toegang tot applicaties door functioneel beheer via autorisaties te laten lopen. De beveiliging die met technische middelen kan worden bereikt is beperkt en behoort daarom te worden ondersteund door geschikt beheer en geschikte procedures. Bepalen welke beheersmaatregelen behoren te worden ingesteld, vereist een zorgvuldige planning en aandacht voor detail. Modellen voor deugdelijk functioneel beheer, zoals BiSL, stellen terecht dat de functioneel beheerder de Betrouwbaarheid en Integriteit dient te waarborgen. Zie voor meer informatie Informatiebeveiliging voor Functioneel Beheer. Het beheren van informatiebeveiliging vereist de inzet van alle medewerkers van de organisatie. Bovendien kan deelname van leveranciers, klanten of andere externe partijen vereist zijn. Dat betekent dat al in een vroeg stadium van systeemontwikkeling (requirementsmanagement en ontwikkeling) aandacht moet zijn voor alle relevante stakeholders zodat het niet functionele requirement beveiligbaarheid op de juiste manier geïmplementeerd wordt. Het OSI-model geeft inzicht op welke lagen informatieoverdracht plaatsvindt. Op elke laag kan namelijk de beschikbaarheid, integriteit of vertrouwelijkheid worden aangetast. Dit model kan betrokkenen eenvoudig laten zien op welke lagen informatie wordt uitgewisseld. Voor het vormgeven van het beleid kan dit helpen bij het kiezen van de laag waarop beveiligingsmaatregelen worden toepast.

Organisatie: SYSQA B.V. Pagina 9 van 13 5 Risicomanagement 5.1 Stakeholders vaststellen Het bepalen van de juiste mate van beveiliging van informatie moet in overleg met de gebruikers van deze informatie. Deze kunnen aanduiden welke risico s er kunnen optreden en hoe groot de kans op die risico s is. Het is belangrijk alle relevante stakeholders hierin te betrekken. Een CEO zal zich waarschijnlijk zorgen maken over het imago indien klantgegevens op straat terecht kunnen komen, een systeembeheerder daarentegen zal kijken naar de beveiligbaarheid van de serverruimte terwijl een key-user de nadruk legt op de autorisaties van personen voor het verrichten van bijvoorbeeld financiële transacties. 5.2 Risico-analyse: kwalitatief of kwantitatief Er worden in de literatuur twee methodes beschreven: de kwantitatieve en de kwalitatieve risico-analyse. Voordat maatregelen worden genomen dienen de risico s te worden geïdentificeerd. Hiervoor geldt de formule Risico = Kans * Schade. Hierbij wordt de kans ook bepaald door de frequentie van het gebruik. Het verkrijgen van inzicht in de risico s is mogelijk met de risico-analyse. De risico-analyse: Identificeert de waarde van de bedrijfsmiddelen (assets); Stelt de kwetsbaarheden en dreigingen vast; Bepaalt het risico dat een dreiging werkelijkheid wordt waardoor het bedrijfsproces verstoord kan worden; Geeft inzicht in het bepalen van het evenwicht tussen kosten van een incident en de kosten van een beveiligingsmaatregel. De kwantitatieve risico-analyse probeert op basis van risicowaardering te berekenen hoe groot de kans is dat een dreiging een incident wordt, en wat de financiële gevolgen zijn indien het incident zich voordoet. Als eerste wordt voor alle elementen in een bedrijfsproces de waarde vastgesteld. Deze waarden hebben ook betrekking op eigendommen zoals gebouwen en hardware maar ook op de kosten van beveiligingsmaatregelen en de bedrijfsmatige impact. Tevens wordt hierbij de factor tijd meegewogen. Hierdoor wordt het inzichtelijk hoeveel tijd er verstrijkt voordat de dreiging uitkomt. De impact maal de frequentie in een tijdsspanne resulteert in een beeld van het mogelijke financiele risico. Op basis van deze uitkomst kan worden bepaald of de maatregelen in verhouding staan met het risico. In dit proces wordt dus vooral gerekend met de betrokkenen. De kwalitatieve risico-analyse gaat uit van scenario s en situatie. Hierbij worden de kansen dat een dreiging uitkomt bekeken op gevoel. Daarna worden het bedrijfsproces en de huidige maatregelen geanalyseerd. Indien de betrokkenen oordelen dat er een gevoel is van een dreiging kan worden vastgesteld welke maatregelen effectief zijn. Aan te bevelen is om deze analyse in groepsverband uit te voeren zodat er een breed draagvlak voor de uitkomst ontstaat. Bij de kwalitatieve risico-analyse wordt vooral gediscussieerd met de betrokkenen. Het streven van beide analyses is wel dat de kosten van de maatregelen in overeenstemming zijn met de waarde van het te beveiligen object. Beide risicoanalyses moeten ook periodiek worden uitgevoerd zodat huidige maatregelen heroverwogen kunnen worden en afgestemd zijn op de risico s.

Organisatie: SYSQA B.V. Pagina 10 van 13 5.3 Schade Het meetbaar maken van schade geeft grip op het nemen van de juiste maatregelen zodat bepaald kan worden of de maatregelen passen bij het risico. Hierbij wordt het onderscheid gemaakt in directe schade en indirecte schade. Directe schade omvat schade aan rechtstreeks getroffenen, zoals personen, apparatuur, programmatuur, gegevensverzamelingen en gebouwen. Met indirecte schade wordt bedoeld gevolgschade, dit kunnen bijvoorbeeld zijn: verstoring van bedrijfsprocessen, het overtreden van wetten of verlies van opdrachten en imagoschade. De schade kan worden verdeeld in Jaarlijkse Schade Verwachting (JSV) en Enkelvoudige Schade Verwachting (ESV). Hierbij is enkelvoudige schadeverwachting de schade van een incident dat eenmalig optreedt. De jaarlijkse schadeverwachting is de gemiddelde hoeveelheid schade, in geld uitgedrukt, die door een incident in een jaar kan optreden. Zie voor meer informatie hierover: Basiskennis beveiligen van informatie hoofdstuk 5.6. 5.4 Risicostrategieën Een risicostrategie is het resultaat van risicomanagement en bevat het proces om van dreiging naar risico s tot de beveiligingsmaatregelen te gaan. Risicomanagement is een continu proces waarin risico s worden geïdentificeerd, onderzocht en gereduceerd tot een acceptabel niveau. Dit proces is op alle onderdelen van bedrijfsprocessen van toepassing. De meest voorkomende risicostrategieën zijn risicodragend, risiconeutraal en risicomijdend. Indien gekozen wordt voor de strategie waarbij een gering geacht risico ongeregeld te laten werkt men risicomijdend. Een beweegreden hiervoor kan zijn dat de kans dat dit risico tot een incident uitmondt klein is maar de impact heel groot waardoor de beheersmaatregelen niet in verhouding staan met de baten. Indien wordt gestreefd naar de balans tussen de kosten voor de maatregel en de schade heet dit risiconeutraal. Besluit men om risico s te accepteren dan heet dit risicodragend.

Organisatie: SYSQA B.V. Pagina 11 van 13 6 Maatregelen voor informatiebeveiliging In dit hoofdstuk worden enkele soorten maatregelen genoemd voor beveiliging van informatie. Ook worden enkele voorbeelden genoemd van referentiekaders. 6.1 Soorten maatregelen Hieronder is schematisch weergegeven hoe de beveiligingsmaatregelen zijn in te delen: Aspect (Beschikbaar, Integer, Vertrouwelijk); Werkingsgebied (Procedures, Applicaties, Gegevensinfrastructuur, IT- Infrastructuur, Basisinfrastructuur); (zie Hoofdstuk 4.3) Plaats in de beveiligingscyclus (Reductief, Preventief, Repressief, Detectief, Correctief, Verzekerd, Geaccepteerd); Wijze van realisatie (Organisatorisch, Technisch, Fysiek). (zie ook Basiskennis Informatiebeveiliging H3.1 en H4) 6.2 Toetsen en Testen van beveiliging Indien maatregelen zijn genomen tegen incidenten is het belangrijk om te verifiëren dat deze maatregelen de gewenste uitwerking hebben. Het testen van beveiliging (security testing) kan een tijdrovend proces zijn, dat begint in de eerste fase van de Software Development Life Cycle (SDLC). Van dit proces worden in de literatuur twee noodzakelijke benaderingen genoemd, namelijk: Testen van beveiligingsmechanismen om er zeker van te zijn dat hun functionaliteit op de juiste wijze is geïmplementeerd; Het uitvoeren van risico gebaseerd testen van beveiliging (risk-based security testing) gebaseerd op het begrijpen en simuleren van de werkwijze van de aanvaller.

Organisatie: SYSQA B.V. Pagina 12 van 13 6.3 Richtlijnen informatiebeveiliging Bij veel organisaties is de automatisering in de loop der jaren uitgegroeid tot een grootschalig netwerk waarbij klanten gegevens kunnen raadplegen die via het internet of via app s worden ontsloten. Er bestaan verschillende richtlijnen die helpen bij het kiezen van de maatregelen zoals bijvoorbeeld de richtlijnen hieronder. Hieronder worden enkele richtlijnen worden genoemd. Voor meer informatie zie H5.2 Basiskennis Informatiebeveiliging. Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007); Code Tabaksblat, voor Nederlandse beursgenoteerde bedrijven; Sarbanes-Oxley Act (SOX) Verplicht voor alle bedrijven die in Amerika beursgenoteerd zijn en (eventueel buitenlandse) dochterondernemingen. 6.4 Incident management Ondanks voorzorgsmaatregelen, het voldoen aan normen en standaarden, zijn er nog steeds kansen om de beveiliging te doorbreken. Dan is het tijd voor het beheer van incidenten. Medewerkers spelen een belangrijke rol in het waarnemen van zwakheden in de beveiliging en beveiligingsincidenten. Medewerkers door de hele organisatie moeten incidenten kunnen melden bij een servicedesk waarna deze meldingen worden opgevolgd. De medewerkers van de servicedesk moeten kunnen vaststellen dat het om een specifiek beveiligingsincident gaat. Het doel van dit incidentbeheerproces is het krijgen van inzicht in beveiligingsincidenten. Op die manier kan er ook geleerd worden en kennis gedeeld worden zodat er bij een nieuw incident nog beter kan worden gereageerd. Zie hiervoor ook Informatiebeveiliging voor Kwaliteitsmanager H4.3. 6.5 Slot Met deze introductie heeft u kennis genomen van diverse onderdelen van informatiebeveiliging. Als uw interesse gewekt is, dan is verdere verdieping mogelijk. Op pagina drie staat al aangegeven dat er meerdere documenten zijn waar u informatie uit kunt halen. Deze documenten zijn gericht op specifieke doelgroepen. Het advies is dat document te raadplegen dat volgens de titel het dichtst bij uw eigen rol of functie ligt. Het gaat om de volgende verdiepingsdocumenten: Basiskennis Informatiebeveiliging Informatiebeveiliging voor requirementsanalist Informatiebeveiliging voor testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor kwaliteitsmanager

Organisatie: SYSQA B.V. Pagina 13 van 13 7 Bronvermelding Documenten Basiskennis Informatiebeveiliging Informatiebeveiliging voor Requirementsanalist Informatiemanagement voor Testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor Kwaliteitsmanager Boeken Basiskennis: beveiligen van informatie Informatiebeveiliging onder controle Basiskennis informatiebeveiliging Tijdschriften Kijk, mei 1999 Elsevier, 20 augustus, 2011 Websites Interview Shawn Henry met Wall Street Journal: http://online.wsj.com/article/sb10001424052702304177104577307773326180032.html www.ibpedia.nl www.wikipedia.nl

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback