Remco van der
Schoot
Informatieveiligheid
SAMENVATTING BASISKENNIS
INFORMATIEBEVEILGIING
,Inhoudsopgave
Basiskennis informatiebeveiliging.............................................................................................................................2
H3. Termen en definities.......................................................................................................................................2
Beveiligingsconcepten.......................................................................................................................................2
Beoordeling van veiligheidsrisico’s...................................................................................................................2
Beveiligingsrisico’s beperken............................................................................................................................3
Soorten dreigingen............................................................................................................................................4
H4. Context van de organisatie.............................................................................................................................4
Due care & Due diligence..................................................................................................................................5
Informatiemanagement....................................................................................................................................5
H5. Beveiliging.......................................................................................................................................................5
H6. Organisatie van informatiebeveiliging............................................................................................................5
Functiescheiding................................................................................................................................................6
H7. Personeel en informatiebeveiliging................................................................................................................6
Voorafgaand aan het dienstverband.................................................................................................................6
Tijdens het dienstverband.................................................................................................................................6
H8. Asset management.........................................................................................................................................6
Informatieclassificatie.......................................................................................................................................7
Omgang met media...........................................................................................................................................7
H9. Toegangscontrole...........................................................................................................................................7
Beheer toegangscontrole..................................................................................................................................7
Acces control system.........................................................................................................................................8
H10. Cryptografie..................................................................................................................................................8
Soorten Cryptografische systemen...................................................................................................................9
Kenmerken van een sleutelpaar.....................................................................................................................10
H11. Fysieke beveiliging......................................................................................................................................10
H12. Operations Security....................................................................................................................................12
Changemanagement.......................................................................................................................................13
Capaciteitsmanagement.................................................................................................................................13
Bescherming tegen malware, phishing en spam............................................................................................13
Difinities...........................................................................................................................................................14
Back-up............................................................................................................................................................16
Logging en monitoring....................................................................................................................................16
Controle van software.....................................................................................................................................16
Beheersing van technische kwetsbaarheden..................................................................................................17
Begrippenlijst...........................................................................................................................................................17
, BASISKENNIS INFORMATIEBEVEILIGING
H3. TERMEN EN DEFINITIES
Zie voor de termen de begrippenlijst onderaan het document.
BEVEILIGINGSCONCEPTEN
Ten eerste moet aan de hand van een risicoanalyse een beeld geschetst worden van de huidige situatie. De
resultaten van de risicoanalyse helpt het management om prioriteiten te stellen.
Informatiebeveiliging wordt bereikt door het implementeren van een afgewogen set van organisatorische en
technische maatregelen (vooral controle en waar nodig bijstellen en verbeteren is van belang).
Dreigingen komen voort uit een niet-gewenst incident en kan schade veroorzaken aan het systeem of aan de
organisatie. Een zwakheid in een asset (bedrijfsmiddel) kan uitgebuit worden door een bedreiging. Tijdens een
blootstelling wordt schade geleden door een threat agent.
BEOORDELING VAN VEILIGHEIDSRISICO’S
Er zijn drie belangrijke uitgangspunten bij het bepalen van beveiligingseisen:
- De risico’s die de organisatie loopt;
- De wettelijke, statutaire en contractuele eisen;
- De set principes, doelstellingen en zakelijke eisen die de organisatie heeft ontwikkeld.
De beveiligingsmaatregelen moeten worden afgewogen tegen de mogelijke bedrijfsschade (Kosten- en
batenafweging).
Risicobeoordeling omvat:
- Business impact analyse;
o Een systematische aanpak om de impact van incidenten in te schatten.
- Dreigingen en kwetsbaarheden analyse.
o De verwachte dreigingen en kwetsbaarheden aan de hand van risicocriteria worden
beoordeeld om de gevolgen van incidenten te bepalen.
Regelmatig herhalen om adequate te reageren op wijzigingen in werkwijze, systemen en externe dreigingen.
RISICOANALYSE
Risicoanalyse is het proces van definiëren en analyseren van de gevaren voor personen, organisaties en
overheidsinstellingen.
Het doel is de bedreigingen en bijbehorende risico’s voor de relevante bedrijfsprocessen in beeld te
krijgen en om bijbehorende veiligheidsmaatregelen op te stellen.
- Effectief antwoord op bedreigingen;
- Kosteneffectieve maatregelen.
Vier hoofddoelen voor risicoanalyses:
- Identificeren van de waarde van assets;
- Vaststellen van kwetsbaarheden en bedreigingen;
- Vaststellen van het risico dat de dreiging werkelijkheid wordt:
o De kans.
- Kosteneffectieve maatregelen creëren.
Schoot
Informatieveiligheid
SAMENVATTING BASISKENNIS
INFORMATIEBEVEILGIING
,Inhoudsopgave
Basiskennis informatiebeveiliging.............................................................................................................................2
H3. Termen en definities.......................................................................................................................................2
Beveiligingsconcepten.......................................................................................................................................2
Beoordeling van veiligheidsrisico’s...................................................................................................................2
Beveiligingsrisico’s beperken............................................................................................................................3
Soorten dreigingen............................................................................................................................................4
H4. Context van de organisatie.............................................................................................................................4
Due care & Due diligence..................................................................................................................................5
Informatiemanagement....................................................................................................................................5
H5. Beveiliging.......................................................................................................................................................5
H6. Organisatie van informatiebeveiliging............................................................................................................5
Functiescheiding................................................................................................................................................6
H7. Personeel en informatiebeveiliging................................................................................................................6
Voorafgaand aan het dienstverband.................................................................................................................6
Tijdens het dienstverband.................................................................................................................................6
H8. Asset management.........................................................................................................................................6
Informatieclassificatie.......................................................................................................................................7
Omgang met media...........................................................................................................................................7
H9. Toegangscontrole...........................................................................................................................................7
Beheer toegangscontrole..................................................................................................................................7
Acces control system.........................................................................................................................................8
H10. Cryptografie..................................................................................................................................................8
Soorten Cryptografische systemen...................................................................................................................9
Kenmerken van een sleutelpaar.....................................................................................................................10
H11. Fysieke beveiliging......................................................................................................................................10
H12. Operations Security....................................................................................................................................12
Changemanagement.......................................................................................................................................13
Capaciteitsmanagement.................................................................................................................................13
Bescherming tegen malware, phishing en spam............................................................................................13
Difinities...........................................................................................................................................................14
Back-up............................................................................................................................................................16
Logging en monitoring....................................................................................................................................16
Controle van software.....................................................................................................................................16
Beheersing van technische kwetsbaarheden..................................................................................................17
Begrippenlijst...........................................................................................................................................................17
, BASISKENNIS INFORMATIEBEVEILIGING
H3. TERMEN EN DEFINITIES
Zie voor de termen de begrippenlijst onderaan het document.
BEVEILIGINGSCONCEPTEN
Ten eerste moet aan de hand van een risicoanalyse een beeld geschetst worden van de huidige situatie. De
resultaten van de risicoanalyse helpt het management om prioriteiten te stellen.
Informatiebeveiliging wordt bereikt door het implementeren van een afgewogen set van organisatorische en
technische maatregelen (vooral controle en waar nodig bijstellen en verbeteren is van belang).
Dreigingen komen voort uit een niet-gewenst incident en kan schade veroorzaken aan het systeem of aan de
organisatie. Een zwakheid in een asset (bedrijfsmiddel) kan uitgebuit worden door een bedreiging. Tijdens een
blootstelling wordt schade geleden door een threat agent.
BEOORDELING VAN VEILIGHEIDSRISICO’S
Er zijn drie belangrijke uitgangspunten bij het bepalen van beveiligingseisen:
- De risico’s die de organisatie loopt;
- De wettelijke, statutaire en contractuele eisen;
- De set principes, doelstellingen en zakelijke eisen die de organisatie heeft ontwikkeld.
De beveiligingsmaatregelen moeten worden afgewogen tegen de mogelijke bedrijfsschade (Kosten- en
batenafweging).
Risicobeoordeling omvat:
- Business impact analyse;
o Een systematische aanpak om de impact van incidenten in te schatten.
- Dreigingen en kwetsbaarheden analyse.
o De verwachte dreigingen en kwetsbaarheden aan de hand van risicocriteria worden
beoordeeld om de gevolgen van incidenten te bepalen.
Regelmatig herhalen om adequate te reageren op wijzigingen in werkwijze, systemen en externe dreigingen.
RISICOANALYSE
Risicoanalyse is het proces van definiëren en analyseren van de gevaren voor personen, organisaties en
overheidsinstellingen.
Het doel is de bedreigingen en bijbehorende risico’s voor de relevante bedrijfsprocessen in beeld te
krijgen en om bijbehorende veiligheidsmaatregelen op te stellen.
- Effectief antwoord op bedreigingen;
- Kosteneffectieve maatregelen.
Vier hoofddoelen voor risicoanalyses:
- Identificeren van de waarde van assets;
- Vaststellen van kwetsbaarheden en bedreigingen;
- Vaststellen van het risico dat de dreiging werkelijkheid wordt:
o De kans.
- Kosteneffectieve maatregelen creëren.
