Samenvatting Informatieveiligheid
Boek: Informatie beveiliging onder controle
Inhoudsopgave
Samenvatting Informatieveiligheid.........................................................................................................1
Boek: Informatie beveiliging onder controle......................................................................................1
Hoofdstuk 1 Inleiding..........................................................................................................................2
Hoofdstuk 2 Begrippenkader..............................................................................................................2
2.1 Gegevens, informatie en informatievoorziening......................................................................2
2.2 Bedreiging, kwetsbaarheid en risico.........................................................................................4
2.3 Beveiligingsmaatregelen...........................................................................................................6
Hoofdstuk 3 Informatiebeveiliging in perspectief...............................................................................8
3.1 Risicomanagement...................................................................................................................8
3.2 Wat is informatiebeveiliging?...................................................................................................9
Hoofdstuk 8 De menselijke factor......................................................................................................9
8.1 Menselijk gedrag.......................................................................................................................9
8.2 Menselijk falen........................................................................................................................11
8.3 Beveiliging tegen menselijk falen............................................................................................12
8.4 Indirect falen...........................................................................................................................14
8.5 Beveiliging tegen indirect falen...............................................................................................15
8.6 Gedragsveranderingscampagne.............................................................................................15
Hoofdstuk 11 Preventie....................................................................................................................17
11.4 Fysieke beveiliging................................................................................................................17
Hoofdstuk 9 Securityarchitectuur en ontwerpcriteria......................................................................19
9.2 Ontwerpcriteria......................................................................................................................19
Hoofdstuk 11 Preventie....................................................................................................................20
11.3 Toegangsbeheersing.............................................................................................................20
Hoofdstuk 12 Detectie......................................................................................................................25
12.1 Logging en monitoring..........................................................................................................25
Hoofdstuk 11 Preventie....................................................................................................................26
11.5 Netwerkbeveiliging...............................................................................................................26
11.6 Computerbeveiliging.............................................................................................................31
1.7 Applicatiebeveiliging...............................................................................................................33
Hoofdstuk 13 Respons......................................................................................................................35
13.4 Back-up en restore................................................................................................................35
Hoofdstuk 11 Preventie....................................................................................................................37
11.2 Cryptografie..........................................................................................................................37
1
,Hoofdstuk 1 Inleiding
Informatiesystemen worden gebruikt om gegevens op te slaan, transacties vast te leggen,
berekeningen uit te voeren, contacten te leggen, nieuwe producten te verkopen en organisaties te
besturen. Ook maken ze het mogelijk informatie met andere organisaties of personen uit te wisselen.
Informatiesystemen zijn in hoge mate gebaseerd op informatietechnologie. Het gebruik hiervan is
niet zonder risico’s. informatietechnologie is vatbaar voor allerlei bedreigingen, menselijk en niet-
menselijk.
Informatiebeveiliging, cybersecurity, cyberresilience, information security.
Informatiebeveiliging is een verzamelnaam voor de processen die ingericht zijn om de
betrouwbaarheid van de informatiesystemen en de daarin opgeslagen gegevens te beschermen
tegen al dan niet opzettelijk onheil. Informatiebeveiliging kan worden beschouw als een onderdeel
van de kwaliteitszorg. Voor veel organisaties is informatiebeveiliging een voorwaarde om te
overleven: organisaties die de beveiliging van informatie niet goed voor elkaar hebben, worden door
de publieke opinie als onbetrouwbaar gezien en kunnen daardoor lijden aan een slecht imago,
hetgeen moeilijk te herstellen is. Informatiebeveiliging hoort bij de taken en verantwoordelijkheden
van elke manager en medewerker.
Informatiebeveiliging staat in de organisatie niet op zichzelf; voor een optimaal effect dient zij
geïntegreerd te zijn in de andere bedrijfsprocessen. Bovendien kan informatiebeveiliging niet los
worden gezien van technologische, organisatorische, maatschappelijke en economische
ontwikkelingen:
Technologie
Door steeds krachtigere en mobielere informatietechnologie, de explosieve groei van het aantal aan
elkaar gekoppelde systemen en het steeds intensievere gebruik ervan verandert niet alleen het
object van beveiliging, maar ook het bedreigingsbeeld. Nieuwe technologieën brengen nieuwe
bedreigingen met zich mee, maar maken ook nieuwe beveiligingsmaatregelen mogelijk.
Organisatie
Organisatorische veranderingen zijn zeer actueel. Het toenemend belang van interne beheersing,
maar ook fusies, overnames, een toenemende verantwoordelijkheid van de individuele medewerker
(‘empowerment’) en de uitbesteding van informatiediensten zijn ontwikkelingen die hun effect op
informatiebeveiliging niet missen.
Maatschappij
Ook maatschappelijke ontwikkelingen hebben een invloed op informatiebeveiliging. Denk aan
nationale en internationale wet- en regelgeving, de tred tot marktwerking en deregulering, de
maatschappelijke betekenis van privacy, de toenemende individualisering van de burger, de strijd
tegen het internationale terrorisme en contacten tussen verschillende culturen.
Economie
Ten slotte zijn er economische ontwikkelingen die het vakgebied informatiebeveiliging aanzienlijk
beïnvloeden. Voorbeelden zijn de toenemende globalisering van ondernemingen en markten, maar
ook de verdere groei van de digitale handel tussen bedrijven en burgers en tussen bedrijven
onderling.
Hoofdstuk 2 Begrippenkader
2.1 Gegevens, informatie en informatievoorziening
Het werken met gegevens speelt een cruciale rol in elke organisatie. Voor veel organisaties is het
verwerken van gegevens zelfs het belangrijkste proces.
Voorbeelden van gegevens zijn:
2
, Personeelsgegevens;
Klantgegevens;
Leveranciersgegevens;
Contractgegevens;
Ordergegevens;
Financiële gegevens;
Marktgegevens;
Plannen en procedures;
Productiedocumenten;
Correspondentie;
Archieven
De waarde die die de gegevens voor een organisatie hebben, hang van een aantal factoren:
Het procesbelang: de mate waarin bedrijfsprocessen, die gebruikmaken van de betreffende
gegevens, van belang zijn voor de organisatie.
De onmisbaarheid voor de bedrijfsprocessen: het belang van de betreffende gegevens voor
de bedrijfsprocessen die er gebruik van maken.
De herstelbaarheid: de mate waarin ontbrekende, incomplete of onjuiste gegevens
gereproduceerd of hersteld kunnen worden.
Het belang voor derden: de mate waarin derden (klanten, leveranciers of concurrenten)
belang hechten aan de betreffende gegevens.
Gegevens kunnen gezien worden als de objectief waarneembare weerslag van feiten in een drager.
Informatie is de betekenis die mens aan de hand van bepaalde gevoelens of afspraken aan gegevens
toekent, of de kennistoename als gevolg van het ontvangen en verwerken van bepaalde gegevens.
Hierdoor is informatie subjectief. Vanuit bepaalde gegevens, kan afhankelijk van degene die de
gegevens bewerkt of interpreteert verschillende informatie ontstaan, waarbij de waarde van de
gegevens ook in tijd kan variëren. Gegevens kunnen verwerkt worden tot informatie. Daarbij is het
mogelijk om gebruik te maken van een informatiesysteem. Het informatiesysteem kan gegevens die
voor een ontvanger niet direct nuttig zijn, verwerken tot gegevens die voor de ontvanger een zinvolle
betekenis hebben en daarmee voor de ontvanger informatie.
Big-data: een grote verzameling gegevens waarvan het vooraf niet duidelijk is welke informatie de
gebruiker hieraan kan ontlenen. Door bepaalde bewerkingen op de gegevens uit te voeren, kunnen
interessante verbanden en structuren in de gegevens worden ontdekt die voor de gebruiker
informatie vormen.
Een informatiesysteem (IS) is in de ruime zin van het woord een samenhangende
gegevensverwerkende functionaliteit die gegevens verzamelt (invoer), manipuleert (verwerking),
opslaat en verspreidt (uitvoer), en zo nodig een corrigerende reactie bevat (terugmelding). Een
informatiesysteem kan worden ingezet om één of meer bedrijfsprocessen te kennen, ondersteunen
of te besturen. Een informatiesysteem kan de volgende componenten bevatten: apparatuur,
programmatuur, gegevens, procedures en mensen. We spreken van een geautomatiseerd
informatiesysteem als het informatiesysteem voornamelijk wordt gerealiseerd met
informatietechnologie.
Informatietechnologie (IT) ook wel informatie- en communicatietechnologie (ICT) genoemd, is de
technologie (apparatuur en programmatuur) die nodig is voor het beschikbaar stellen van een of
meer geautomatiseerde informatiesystemen.
Een applicatie is de programmatuur waarin de specifieke functionaliteit van een informatiesysteem
geprogrammeerd is. Een applicatie omvat de toepassingsprogrammatuur (applicatieprogrammatuur)
en de bijbehorende gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en
documentatie.
3
, Een gegevensinfrastructuur is het geheel van een of meer gegevensverzamelingen, inclusief de
daarop van toepassing zijnde procedures en de documentatie, dat beschikbaar is voor een of meer
informatiesystemen.
Een IT-infrastructuur is het geheel van automatiseringsmiddelen voor het opslaan, bewerken,
transporteren en representeren van gegevens ten behoeve van gegevensinfrastructuren en
applicaties. De IT-infrastructuur bestaat uit de componenten apparatuur, basisprogrammatuur en
communicatievoorzieningen, inclusief de daarop van toepassing zijnde procedures en documentatie.
De informatievoorzieningen (IV) is het geheel van IT-infrastructuur, gegevensinfrastructuur,
applicaties en organisatie, dat tot doel heeft om te voorzien in de informatiebehoefte van de
processen van een organisatie.
De basisinfrastructuur maakt geen deel uit van de informatievoorziening, maar schept wel
noodzakelijke voorwaarden voor het functioneren van de informatievoorziening. Vanuit de
informatievoorziening zullen dan ook eisen gesteld worden aan de basisinfrastructuur. De
basisinfrastructuur omvat onder meer:
Elektriciteitsvoorziening;
Airconditioning;
Gebouwen en ruimten;
Kasten en meubilair.
2.2 Bedreiging, kwetsbaarheid en risico
Bij het beveiligen van de informatievoorziening spelen de begrippen bedreiging, kwetsbaarheid en
risico een belangrijke rol.
2.2.1 Bedreiging
Een bedreiging is een proces of een gebeurtenis met in potentie een verstorende invloed op de
betrouwbaarheid op een object. In het kader van informatiebeveiliging betreft het dan (onderdelen
van) de informatievoorziening: apparatuur, programmatuur, gegevens, procedures en mensen.
Bedreigingen kunnen worden onderverdeeld naar de aspecten van de betrouwbaarheid die ze
negatief beïnvloeden. Betrouwbaarheid heeft de aspecten beschikbaarheid, integriteit en
vertrouwelijkheid:
Beschikbaarheid (B) is de mate waarin gegevens of functionaliteit op de juiste momenten
beschikbaar zijn voor gebruikers.
Integriteit (I) is de mate waarin gegevens of functionaliteit juist en volledig zijn.
Vertrouwelijkheid (V) is de mate waarin toegang tot gegevens of functionaliteit beperkt is tot
degenen die daartoe bevoegd zijn.
Bedreigingen kunnen nog verder worden onderverdeeld van de kenmerken die ieder aspect van
betrouwbaarheid heeft. Naast de genoemde kenmerken zijn er nog andere kenmerken die hiervan
afgeleid zijn, zoals privacy, controleerbaarheid, nauwkeurigheid en robuustheid.
We zullen ons in het vervolg beperken tot de onderverdeling naar: beschikbaarheid, integriteit en
vertrouwelijkheid.
Een geheel andere indeling van bedreigingen is die naar de bron (veroorzaker) van de bedreiging. Zo
kunnen enerzijds mensen al dan niet opzettelijke bepaalde bedreigingen veroorzaken, zoals fouten,
inbraak, fraude, sabotage, hacking, et cetera. Anderzijds kunnen zwakheden in bijvoorbeeld
apparatuur en programmatuur leiden tot verstoringen. Verstoringen kunnen ook veroorzaakt
worden door externe invloeden, zoals het weer (schade door bliksem, storm, overstromingen) op
grond van hun verschillende bronnen kunnen bedreigingen in de volgende groepen worden
onderverdeeld:
4
Boek: Informatie beveiliging onder controle
Inhoudsopgave
Samenvatting Informatieveiligheid.........................................................................................................1
Boek: Informatie beveiliging onder controle......................................................................................1
Hoofdstuk 1 Inleiding..........................................................................................................................2
Hoofdstuk 2 Begrippenkader..............................................................................................................2
2.1 Gegevens, informatie en informatievoorziening......................................................................2
2.2 Bedreiging, kwetsbaarheid en risico.........................................................................................4
2.3 Beveiligingsmaatregelen...........................................................................................................6
Hoofdstuk 3 Informatiebeveiliging in perspectief...............................................................................8
3.1 Risicomanagement...................................................................................................................8
3.2 Wat is informatiebeveiliging?...................................................................................................9
Hoofdstuk 8 De menselijke factor......................................................................................................9
8.1 Menselijk gedrag.......................................................................................................................9
8.2 Menselijk falen........................................................................................................................11
8.3 Beveiliging tegen menselijk falen............................................................................................12
8.4 Indirect falen...........................................................................................................................14
8.5 Beveiliging tegen indirect falen...............................................................................................15
8.6 Gedragsveranderingscampagne.............................................................................................15
Hoofdstuk 11 Preventie....................................................................................................................17
11.4 Fysieke beveiliging................................................................................................................17
Hoofdstuk 9 Securityarchitectuur en ontwerpcriteria......................................................................19
9.2 Ontwerpcriteria......................................................................................................................19
Hoofdstuk 11 Preventie....................................................................................................................20
11.3 Toegangsbeheersing.............................................................................................................20
Hoofdstuk 12 Detectie......................................................................................................................25
12.1 Logging en monitoring..........................................................................................................25
Hoofdstuk 11 Preventie....................................................................................................................26
11.5 Netwerkbeveiliging...............................................................................................................26
11.6 Computerbeveiliging.............................................................................................................31
1.7 Applicatiebeveiliging...............................................................................................................33
Hoofdstuk 13 Respons......................................................................................................................35
13.4 Back-up en restore................................................................................................................35
Hoofdstuk 11 Preventie....................................................................................................................37
11.2 Cryptografie..........................................................................................................................37
1
,Hoofdstuk 1 Inleiding
Informatiesystemen worden gebruikt om gegevens op te slaan, transacties vast te leggen,
berekeningen uit te voeren, contacten te leggen, nieuwe producten te verkopen en organisaties te
besturen. Ook maken ze het mogelijk informatie met andere organisaties of personen uit te wisselen.
Informatiesystemen zijn in hoge mate gebaseerd op informatietechnologie. Het gebruik hiervan is
niet zonder risico’s. informatietechnologie is vatbaar voor allerlei bedreigingen, menselijk en niet-
menselijk.
Informatiebeveiliging, cybersecurity, cyberresilience, information security.
Informatiebeveiliging is een verzamelnaam voor de processen die ingericht zijn om de
betrouwbaarheid van de informatiesystemen en de daarin opgeslagen gegevens te beschermen
tegen al dan niet opzettelijk onheil. Informatiebeveiliging kan worden beschouw als een onderdeel
van de kwaliteitszorg. Voor veel organisaties is informatiebeveiliging een voorwaarde om te
overleven: organisaties die de beveiliging van informatie niet goed voor elkaar hebben, worden door
de publieke opinie als onbetrouwbaar gezien en kunnen daardoor lijden aan een slecht imago,
hetgeen moeilijk te herstellen is. Informatiebeveiliging hoort bij de taken en verantwoordelijkheden
van elke manager en medewerker.
Informatiebeveiliging staat in de organisatie niet op zichzelf; voor een optimaal effect dient zij
geïntegreerd te zijn in de andere bedrijfsprocessen. Bovendien kan informatiebeveiliging niet los
worden gezien van technologische, organisatorische, maatschappelijke en economische
ontwikkelingen:
Technologie
Door steeds krachtigere en mobielere informatietechnologie, de explosieve groei van het aantal aan
elkaar gekoppelde systemen en het steeds intensievere gebruik ervan verandert niet alleen het
object van beveiliging, maar ook het bedreigingsbeeld. Nieuwe technologieën brengen nieuwe
bedreigingen met zich mee, maar maken ook nieuwe beveiligingsmaatregelen mogelijk.
Organisatie
Organisatorische veranderingen zijn zeer actueel. Het toenemend belang van interne beheersing,
maar ook fusies, overnames, een toenemende verantwoordelijkheid van de individuele medewerker
(‘empowerment’) en de uitbesteding van informatiediensten zijn ontwikkelingen die hun effect op
informatiebeveiliging niet missen.
Maatschappij
Ook maatschappelijke ontwikkelingen hebben een invloed op informatiebeveiliging. Denk aan
nationale en internationale wet- en regelgeving, de tred tot marktwerking en deregulering, de
maatschappelijke betekenis van privacy, de toenemende individualisering van de burger, de strijd
tegen het internationale terrorisme en contacten tussen verschillende culturen.
Economie
Ten slotte zijn er economische ontwikkelingen die het vakgebied informatiebeveiliging aanzienlijk
beïnvloeden. Voorbeelden zijn de toenemende globalisering van ondernemingen en markten, maar
ook de verdere groei van de digitale handel tussen bedrijven en burgers en tussen bedrijven
onderling.
Hoofdstuk 2 Begrippenkader
2.1 Gegevens, informatie en informatievoorziening
Het werken met gegevens speelt een cruciale rol in elke organisatie. Voor veel organisaties is het
verwerken van gegevens zelfs het belangrijkste proces.
Voorbeelden van gegevens zijn:
2
, Personeelsgegevens;
Klantgegevens;
Leveranciersgegevens;
Contractgegevens;
Ordergegevens;
Financiële gegevens;
Marktgegevens;
Plannen en procedures;
Productiedocumenten;
Correspondentie;
Archieven
De waarde die die de gegevens voor een organisatie hebben, hang van een aantal factoren:
Het procesbelang: de mate waarin bedrijfsprocessen, die gebruikmaken van de betreffende
gegevens, van belang zijn voor de organisatie.
De onmisbaarheid voor de bedrijfsprocessen: het belang van de betreffende gegevens voor
de bedrijfsprocessen die er gebruik van maken.
De herstelbaarheid: de mate waarin ontbrekende, incomplete of onjuiste gegevens
gereproduceerd of hersteld kunnen worden.
Het belang voor derden: de mate waarin derden (klanten, leveranciers of concurrenten)
belang hechten aan de betreffende gegevens.
Gegevens kunnen gezien worden als de objectief waarneembare weerslag van feiten in een drager.
Informatie is de betekenis die mens aan de hand van bepaalde gevoelens of afspraken aan gegevens
toekent, of de kennistoename als gevolg van het ontvangen en verwerken van bepaalde gegevens.
Hierdoor is informatie subjectief. Vanuit bepaalde gegevens, kan afhankelijk van degene die de
gegevens bewerkt of interpreteert verschillende informatie ontstaan, waarbij de waarde van de
gegevens ook in tijd kan variëren. Gegevens kunnen verwerkt worden tot informatie. Daarbij is het
mogelijk om gebruik te maken van een informatiesysteem. Het informatiesysteem kan gegevens die
voor een ontvanger niet direct nuttig zijn, verwerken tot gegevens die voor de ontvanger een zinvolle
betekenis hebben en daarmee voor de ontvanger informatie.
Big-data: een grote verzameling gegevens waarvan het vooraf niet duidelijk is welke informatie de
gebruiker hieraan kan ontlenen. Door bepaalde bewerkingen op de gegevens uit te voeren, kunnen
interessante verbanden en structuren in de gegevens worden ontdekt die voor de gebruiker
informatie vormen.
Een informatiesysteem (IS) is in de ruime zin van het woord een samenhangende
gegevensverwerkende functionaliteit die gegevens verzamelt (invoer), manipuleert (verwerking),
opslaat en verspreidt (uitvoer), en zo nodig een corrigerende reactie bevat (terugmelding). Een
informatiesysteem kan worden ingezet om één of meer bedrijfsprocessen te kennen, ondersteunen
of te besturen. Een informatiesysteem kan de volgende componenten bevatten: apparatuur,
programmatuur, gegevens, procedures en mensen. We spreken van een geautomatiseerd
informatiesysteem als het informatiesysteem voornamelijk wordt gerealiseerd met
informatietechnologie.
Informatietechnologie (IT) ook wel informatie- en communicatietechnologie (ICT) genoemd, is de
technologie (apparatuur en programmatuur) die nodig is voor het beschikbaar stellen van een of
meer geautomatiseerde informatiesystemen.
Een applicatie is de programmatuur waarin de specifieke functionaliteit van een informatiesysteem
geprogrammeerd is. Een applicatie omvat de toepassingsprogrammatuur (applicatieprogrammatuur)
en de bijbehorende gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en
documentatie.
3
, Een gegevensinfrastructuur is het geheel van een of meer gegevensverzamelingen, inclusief de
daarop van toepassing zijnde procedures en de documentatie, dat beschikbaar is voor een of meer
informatiesystemen.
Een IT-infrastructuur is het geheel van automatiseringsmiddelen voor het opslaan, bewerken,
transporteren en representeren van gegevens ten behoeve van gegevensinfrastructuren en
applicaties. De IT-infrastructuur bestaat uit de componenten apparatuur, basisprogrammatuur en
communicatievoorzieningen, inclusief de daarop van toepassing zijnde procedures en documentatie.
De informatievoorzieningen (IV) is het geheel van IT-infrastructuur, gegevensinfrastructuur,
applicaties en organisatie, dat tot doel heeft om te voorzien in de informatiebehoefte van de
processen van een organisatie.
De basisinfrastructuur maakt geen deel uit van de informatievoorziening, maar schept wel
noodzakelijke voorwaarden voor het functioneren van de informatievoorziening. Vanuit de
informatievoorziening zullen dan ook eisen gesteld worden aan de basisinfrastructuur. De
basisinfrastructuur omvat onder meer:
Elektriciteitsvoorziening;
Airconditioning;
Gebouwen en ruimten;
Kasten en meubilair.
2.2 Bedreiging, kwetsbaarheid en risico
Bij het beveiligen van de informatievoorziening spelen de begrippen bedreiging, kwetsbaarheid en
risico een belangrijke rol.
2.2.1 Bedreiging
Een bedreiging is een proces of een gebeurtenis met in potentie een verstorende invloed op de
betrouwbaarheid op een object. In het kader van informatiebeveiliging betreft het dan (onderdelen
van) de informatievoorziening: apparatuur, programmatuur, gegevens, procedures en mensen.
Bedreigingen kunnen worden onderverdeeld naar de aspecten van de betrouwbaarheid die ze
negatief beïnvloeden. Betrouwbaarheid heeft de aspecten beschikbaarheid, integriteit en
vertrouwelijkheid:
Beschikbaarheid (B) is de mate waarin gegevens of functionaliteit op de juiste momenten
beschikbaar zijn voor gebruikers.
Integriteit (I) is de mate waarin gegevens of functionaliteit juist en volledig zijn.
Vertrouwelijkheid (V) is de mate waarin toegang tot gegevens of functionaliteit beperkt is tot
degenen die daartoe bevoegd zijn.
Bedreigingen kunnen nog verder worden onderverdeeld van de kenmerken die ieder aspect van
betrouwbaarheid heeft. Naast de genoemde kenmerken zijn er nog andere kenmerken die hiervan
afgeleid zijn, zoals privacy, controleerbaarheid, nauwkeurigheid en robuustheid.
We zullen ons in het vervolg beperken tot de onderverdeling naar: beschikbaarheid, integriteit en
vertrouwelijkheid.
Een geheel andere indeling van bedreigingen is die naar de bron (veroorzaker) van de bedreiging. Zo
kunnen enerzijds mensen al dan niet opzettelijke bepaalde bedreigingen veroorzaken, zoals fouten,
inbraak, fraude, sabotage, hacking, et cetera. Anderzijds kunnen zwakheden in bijvoorbeeld
apparatuur en programmatuur leiden tot verstoringen. Verstoringen kunnen ook veroorzaakt
worden door externe invloeden, zoals het weer (schade door bliksem, storm, overstromingen) op
grond van hun verschillende bronnen kunnen bedreigingen in de volgende groepen worden
onderverdeeld:
4
