Leerdoelen:
• De student herkent nieuwe technologieën die zich in het cyberdomein ontwikkelen, zodanig dat de student over
de hier uit voortvloeiende informatiebeveiligingseisen kan adviseren.
• De student kent de aan een Information Security Management System (ISMS) gerelateerde wet- en
regelgeving, zodanig dat de student in staat is deze in een praktijkcasus toe te passen. • De student beheerst de
uitgangspunten van het ontwerp van een Information Security Management System (ISMS), zodanig dat de
student kan adviseren hoe een ISMS in te richten.
Samenvatting lessen en PowerPoints:
Les 1
Beschikbaarheid = de mate waarin gegevens of functionaliteiten (processen) op het juiste
moment beschikbaar zijn voor de gebruikers. Tijdigheid, continuïteit (het moet er altijd zijn)
en vindbaarheid.
Integriteit = de mate waarin gegevens of functionaliteiten (processen) juist zijn ingevuld.
Juistheid is correctheid, volledigheid, geldigheid, authenticiteit (de gebruiker is
daadwerkelijk degene die hij beweert te zijn (door een wachtwoord, ID-kaart) en
onweerlegbaarheid (je kunt aantonen dat iets is ontvangen en van wie).
Vertrouwelijkheid = is de toegang tot gegevens of functionaliteit beperkt tot degenen die
daartoe bevoegd zijn? Exclusiviteit en privacy.
Maatregelen: procedures, wachtwoorden, encryptie, bedrijfsregels, training.
Diverse servers, complex netwerk, veel gevoelige informatie, medewerkers die eigen
smartphones gebruiken en uitbesteding kunnen een bedreiging vormen.
Het beschermen van alle systemen en informatie is complex en daardoor is een Informatie
Security Management Systeem vereist.
Dilemma’s voor managers tussen informatiebeveiliging en productie:
- Baten zijn bij informatiebeveiliging slecht zichtbaar. Bij de productie is dit wel het
geval.
- Informatiebeveiliging is indirect en vaak vertraagd. Productie is direct en continu.
- Informatiebeveiliging geeft vaak een vertekend beeld, de productie is goed te meten.
- Informatiebeveiliging is nauwelijks stimulerend.
- Bij informatiebeveiliging zijn de resultaten niet voorspelbaar en bij de productie wel.
- Productie levert meer op (winst, dividend)
vergeleken informatie.
Organisaties hebben de neiging om primaire processen
boven informatiebeveiliging te stellen. De productie en de
informatieveiligheid moeten organisaties in balans zijn
maar dit is in vele gevallen niet het geval.
Business enabler = strategische doelstellingen van een
organisatie aanpassen
1
, Voor een effectieve en efficiënte organisatie van informatiebeveiliging gebruik je dus een
Informatie Security Management Systeem.
ISMS = de aanpak van bedrijfsrisico’s gericht op informatiebeveiliging. Vaststellen,
implementeren, uitvoeren, monitoren, beoordelen, onderhouden en verbeteren van een
informatiebeveiligings-managementsysteem.
Maatregelen worden door het management opgelegd op basis van het
informatiebeveiligingsbeleid en het informatiebeveiligingsplan. De procedures en de
bijbehorende taken en verantwoordelijkheden worden ingebed in de bestaande organisatie,
met de juiste toewijzing van taken en verantwoordelijkheden aan personen. Het
management voert dagelijkse aansturing en evaluatie uit. Dit betekent dat handhaving,
doeltreffendheid en doelmatigheid van de beveiligingsmaatregelen worden gecontroleerd
en zo nodig worden bijgesteld.
Organisatorische aspecten informatieveiligheid die belangrijk zijn bij de organisatie van IB
met de competenties waarover een integrale veiligheidskundige beschikt:
- Inrichten, implementeren, onderhouden en continu verbeteren van IBproces.
- Opstellen, uitdragen en onderhouden van het IBbeleid- en plan.
- Ontwikkelen en implementeren van procedures.
- Organiseren van IBmaatregelen.
- Beinvloeden van gedrag (motivatie).
Het informatiebeveiligingsproces werkt volgens PDCA:
Input = informatie- beveiligingseisen en verwachtingen (bijvoorbeeld college B&W)
Plan = planning & ondersteuning. Opstellen en uitdragen informatiebeveiligingsbeleid,
uitvoeren van onderzoek naar de risico’s, selecteren beveiligingsmaatregelen.
Do = uitvoering. Implementeren beveiligingsmaatregelen, bewaken van geïmplementeerde
beveiligingsmaatregelen. CISO Chief Information Security Officer en medewerkers.
Check = evaluatie van de prestaties. Evalueren van het gerealiseerde niveau.
Act = verbetering. Verbeteren en bijsturen van de informatiebeveiliging.
Output = beheerste informatiebeveiliging waarbij een balans is tussen over-beveiligd en
onder-beveiligd zijn.
Normen helpen bij het vormgeven van het informatiebeveiligingsproces.
ISO= International Organization for Standardisation
NEN = Nederlandse Norm
ISO 27001 geeft de formele specificaties voor het inrichten van een ISMS. Het
implementeren van een ISMS is volgens deze norm een strategische beslissing voor de
bescherming van kritische bedrijfsinformatie. De norm specificeert eisen voor het
vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren
van een gedocumenteerd ISMS. Certificering is mogelijk om stakeholders erop te laten
vertrouwen dat de informatiebeveiligingsrisico’s adequaat worden beheerst.
Volgens ISO 27001 moet je verklaren waarom je een maatregel wel of niet toepast. Je moet
over iedere maatregel een verklaring afleggen, ook al pas je hem niet toe.
2
• De student herkent nieuwe technologieën die zich in het cyberdomein ontwikkelen, zodanig dat de student over
de hier uit voortvloeiende informatiebeveiligingseisen kan adviseren.
• De student kent de aan een Information Security Management System (ISMS) gerelateerde wet- en
regelgeving, zodanig dat de student in staat is deze in een praktijkcasus toe te passen. • De student beheerst de
uitgangspunten van het ontwerp van een Information Security Management System (ISMS), zodanig dat de
student kan adviseren hoe een ISMS in te richten.
Samenvatting lessen en PowerPoints:
Les 1
Beschikbaarheid = de mate waarin gegevens of functionaliteiten (processen) op het juiste
moment beschikbaar zijn voor de gebruikers. Tijdigheid, continuïteit (het moet er altijd zijn)
en vindbaarheid.
Integriteit = de mate waarin gegevens of functionaliteiten (processen) juist zijn ingevuld.
Juistheid is correctheid, volledigheid, geldigheid, authenticiteit (de gebruiker is
daadwerkelijk degene die hij beweert te zijn (door een wachtwoord, ID-kaart) en
onweerlegbaarheid (je kunt aantonen dat iets is ontvangen en van wie).
Vertrouwelijkheid = is de toegang tot gegevens of functionaliteit beperkt tot degenen die
daartoe bevoegd zijn? Exclusiviteit en privacy.
Maatregelen: procedures, wachtwoorden, encryptie, bedrijfsregels, training.
Diverse servers, complex netwerk, veel gevoelige informatie, medewerkers die eigen
smartphones gebruiken en uitbesteding kunnen een bedreiging vormen.
Het beschermen van alle systemen en informatie is complex en daardoor is een Informatie
Security Management Systeem vereist.
Dilemma’s voor managers tussen informatiebeveiliging en productie:
- Baten zijn bij informatiebeveiliging slecht zichtbaar. Bij de productie is dit wel het
geval.
- Informatiebeveiliging is indirect en vaak vertraagd. Productie is direct en continu.
- Informatiebeveiliging geeft vaak een vertekend beeld, de productie is goed te meten.
- Informatiebeveiliging is nauwelijks stimulerend.
- Bij informatiebeveiliging zijn de resultaten niet voorspelbaar en bij de productie wel.
- Productie levert meer op (winst, dividend)
vergeleken informatie.
Organisaties hebben de neiging om primaire processen
boven informatiebeveiliging te stellen. De productie en de
informatieveiligheid moeten organisaties in balans zijn
maar dit is in vele gevallen niet het geval.
Business enabler = strategische doelstellingen van een
organisatie aanpassen
1
, Voor een effectieve en efficiënte organisatie van informatiebeveiliging gebruik je dus een
Informatie Security Management Systeem.
ISMS = de aanpak van bedrijfsrisico’s gericht op informatiebeveiliging. Vaststellen,
implementeren, uitvoeren, monitoren, beoordelen, onderhouden en verbeteren van een
informatiebeveiligings-managementsysteem.
Maatregelen worden door het management opgelegd op basis van het
informatiebeveiligingsbeleid en het informatiebeveiligingsplan. De procedures en de
bijbehorende taken en verantwoordelijkheden worden ingebed in de bestaande organisatie,
met de juiste toewijzing van taken en verantwoordelijkheden aan personen. Het
management voert dagelijkse aansturing en evaluatie uit. Dit betekent dat handhaving,
doeltreffendheid en doelmatigheid van de beveiligingsmaatregelen worden gecontroleerd
en zo nodig worden bijgesteld.
Organisatorische aspecten informatieveiligheid die belangrijk zijn bij de organisatie van IB
met de competenties waarover een integrale veiligheidskundige beschikt:
- Inrichten, implementeren, onderhouden en continu verbeteren van IBproces.
- Opstellen, uitdragen en onderhouden van het IBbeleid- en plan.
- Ontwikkelen en implementeren van procedures.
- Organiseren van IBmaatregelen.
- Beinvloeden van gedrag (motivatie).
Het informatiebeveiligingsproces werkt volgens PDCA:
Input = informatie- beveiligingseisen en verwachtingen (bijvoorbeeld college B&W)
Plan = planning & ondersteuning. Opstellen en uitdragen informatiebeveiligingsbeleid,
uitvoeren van onderzoek naar de risico’s, selecteren beveiligingsmaatregelen.
Do = uitvoering. Implementeren beveiligingsmaatregelen, bewaken van geïmplementeerde
beveiligingsmaatregelen. CISO Chief Information Security Officer en medewerkers.
Check = evaluatie van de prestaties. Evalueren van het gerealiseerde niveau.
Act = verbetering. Verbeteren en bijsturen van de informatiebeveiliging.
Output = beheerste informatiebeveiliging waarbij een balans is tussen over-beveiligd en
onder-beveiligd zijn.
Normen helpen bij het vormgeven van het informatiebeveiligingsproces.
ISO= International Organization for Standardisation
NEN = Nederlandse Norm
ISO 27001 geeft de formele specificaties voor het inrichten van een ISMS. Het
implementeren van een ISMS is volgens deze norm een strategische beslissing voor de
bescherming van kritische bedrijfsinformatie. De norm specificeert eisen voor het
vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren
van een gedocumenteerd ISMS. Certificering is mogelijk om stakeholders erop te laten
vertrouwen dat de informatiebeveiligingsrisico’s adequaat worden beheerst.
Volgens ISO 27001 moet je verklaren waarom je een maatregel wel of niet toepast. Je moet
over iedere maatregel een verklaring afleggen, ook al pas je hem niet toe.
2
