Samenvatting ISEC | Stefan Fahner | Alleen delen met schriftelijke toestemming
Week 1 BIV
Informatiebeveiliging: Informatiebeveiliging betreft het definiëren, implementeren, onderhouden,
handhaven en evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de
integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening
waarborgen. Dit betreft zowel de technische, de organisatorische, als de menselijke aspecten.
Informatie: het geheel van gegevens die geïnterpreteerd kunnen worden tot een zinvolle boodschap.
Bedrijfsprocessen:
• Primair proces
• Sturende processen: planning en strategie van bedrijf
• Ondersteunende processen: inkoop, verkoop, HR
Waarde van informatie: Hangt af binnen welk bedrijfsproces en in welke mate.
Informatieanalyse: Manier waarop bedrijf met informatie omgaat, rode draad door bedrijfsprocessen.
Basis van informatiesysteem.
Informatiesystemen: Het totaal van informatiedragers die samenhang hebben.
• De werkplek
• Datatransport
• Centrale servers
• Gegevensopslag
• Telefoons
B = beschikbaar, availability A
I, E = integer, exclusief, integrity I
V = vertrouwelijkheid, confidentiality C
BIV-eisen beveiligingsadvies:
• Belang van informatie bedrijfsprocessen
• Onmisbaarheid informatie per bedrijfsproces
• Herstelbaarheid informatie
Beschikbaarheid (availability): Mate waarin informatie beschikbaar is wanneer dit nodig is.
• Tijdigheid (beschikbaar tijdens werktijd)
• Continuïteit (iedereen kan doorwerken)
• Robuustheid (voldoende capaciteit)
Integriteit: Informatie is actueel en zonder fouten.
Vertrouwelijkheid (confidentiality): Informatie beperken tot een gedefinieerde groep die rechten heeft.
IAA: identificatie, authenticatie en autorisatie
Samenvatting ISEC | Stefan Fahner | Alleen delen met schriftelijke toestemming
, Samenvatting ISEC | Stefan Fahner | Alleen delen met schriftelijke toestemming
• Identificatie: wie ben je?
• Authenticatie: Ben je het echt?
• Autorisatie: Wat mag je dan?
Week 2 RISICO’S
Risicomanagement: continue proces waarin risico’s worden ondezocht, geïdentificeerd en gereduceerd
tot een acceptabel niveau. Dit geldt voor alle bedrijfsprocessen. De (Chief) Information Security Officer
is verantwoordelijk.
Risicoanalyse: Het inzichtelijk maken welke dreigingen relevant zijn en welke risico’s daarmee gepaard
gaan, daarna vaststellen beveiligingsmaatregelen. Hoofddoelen:
• Identificeren van middelen en hun waarde
• Vaststellen van kwetsbaarheden en dreigingen
• Vaststellen van het risico dat dreigingen werkelijkheid worden
• Vaststellen van de kosten van een incident en de kosten van een beveiligingsmaatregel
Kwantitatieve risicobepaling, obejctief: Directe schade, indirecte schade, ALE, SLE:
• Asset Value (AV) = Waarde van de informatie (hard- en software)
• Exposure Factor (EF) = Hoe groot is de kans dat de bedreiging waarheid wordt.
• Single Loss Expectancy (SLE) = AV * EF
• Annualized Rate of Occurrence (ARO) = Kans dat verlies optreed in een jaar.
• Annual Loss Expectancy (ALE) = ARO * SLE
Kwalitatieve risicobepaling, subjectief, tabel met: Dreiging, schade, kans, tegenmaatregel, restrisico
Maatregelen:
• Reductieve maatregelen: verminderen van de dreiging
• Preventieve maatregelen: voorkomen van incidenten
• Detectieve maatregelen: incidenten herkennen
• Repressieve maatregelen: Beperken van de schade
• Correctieve maatregelen: schade achteraf herstellen
Week 3 CRYPTOGRAFIE
Kryptos graphein, ook wel verborgen schrijven. Het zichtbaar verbergen voor ongeautoriseerde partijen.
Encryptie: Het versturen van een plaintext, middels een ciphertext, waarna bij de bedoelde ontvanger
de ciphertext, middels een sleutel, weer wordt omgezet in een plaintext.
ROT-13 i: alfabet in twee rijen, waarbij de letter een vastgesteld aantal plaatsen wordt opgeschoven
(Key).
ceasar-substitutie: letters vervangen door andere letters
Principes van kerckhoffs:
• Het systeem moet mathematisch, zoniet praktisch oncijferbaar zijn
Samenvatting ISEC | Stefan Fahner | Alleen delen met schriftelijke toestemming
Week 1 BIV
Informatiebeveiliging: Informatiebeveiliging betreft het definiëren, implementeren, onderhouden,
handhaven en evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de
integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening
waarborgen. Dit betreft zowel de technische, de organisatorische, als de menselijke aspecten.
Informatie: het geheel van gegevens die geïnterpreteerd kunnen worden tot een zinvolle boodschap.
Bedrijfsprocessen:
• Primair proces
• Sturende processen: planning en strategie van bedrijf
• Ondersteunende processen: inkoop, verkoop, HR
Waarde van informatie: Hangt af binnen welk bedrijfsproces en in welke mate.
Informatieanalyse: Manier waarop bedrijf met informatie omgaat, rode draad door bedrijfsprocessen.
Basis van informatiesysteem.
Informatiesystemen: Het totaal van informatiedragers die samenhang hebben.
• De werkplek
• Datatransport
• Centrale servers
• Gegevensopslag
• Telefoons
B = beschikbaar, availability A
I, E = integer, exclusief, integrity I
V = vertrouwelijkheid, confidentiality C
BIV-eisen beveiligingsadvies:
• Belang van informatie bedrijfsprocessen
• Onmisbaarheid informatie per bedrijfsproces
• Herstelbaarheid informatie
Beschikbaarheid (availability): Mate waarin informatie beschikbaar is wanneer dit nodig is.
• Tijdigheid (beschikbaar tijdens werktijd)
• Continuïteit (iedereen kan doorwerken)
• Robuustheid (voldoende capaciteit)
Integriteit: Informatie is actueel en zonder fouten.
Vertrouwelijkheid (confidentiality): Informatie beperken tot een gedefinieerde groep die rechten heeft.
IAA: identificatie, authenticatie en autorisatie
Samenvatting ISEC | Stefan Fahner | Alleen delen met schriftelijke toestemming
, Samenvatting ISEC | Stefan Fahner | Alleen delen met schriftelijke toestemming
• Identificatie: wie ben je?
• Authenticatie: Ben je het echt?
• Autorisatie: Wat mag je dan?
Week 2 RISICO’S
Risicomanagement: continue proces waarin risico’s worden ondezocht, geïdentificeerd en gereduceerd
tot een acceptabel niveau. Dit geldt voor alle bedrijfsprocessen. De (Chief) Information Security Officer
is verantwoordelijk.
Risicoanalyse: Het inzichtelijk maken welke dreigingen relevant zijn en welke risico’s daarmee gepaard
gaan, daarna vaststellen beveiligingsmaatregelen. Hoofddoelen:
• Identificeren van middelen en hun waarde
• Vaststellen van kwetsbaarheden en dreigingen
• Vaststellen van het risico dat dreigingen werkelijkheid worden
• Vaststellen van de kosten van een incident en de kosten van een beveiligingsmaatregel
Kwantitatieve risicobepaling, obejctief: Directe schade, indirecte schade, ALE, SLE:
• Asset Value (AV) = Waarde van de informatie (hard- en software)
• Exposure Factor (EF) = Hoe groot is de kans dat de bedreiging waarheid wordt.
• Single Loss Expectancy (SLE) = AV * EF
• Annualized Rate of Occurrence (ARO) = Kans dat verlies optreed in een jaar.
• Annual Loss Expectancy (ALE) = ARO * SLE
Kwalitatieve risicobepaling, subjectief, tabel met: Dreiging, schade, kans, tegenmaatregel, restrisico
Maatregelen:
• Reductieve maatregelen: verminderen van de dreiging
• Preventieve maatregelen: voorkomen van incidenten
• Detectieve maatregelen: incidenten herkennen
• Repressieve maatregelen: Beperken van de schade
• Correctieve maatregelen: schade achteraf herstellen
Week 3 CRYPTOGRAFIE
Kryptos graphein, ook wel verborgen schrijven. Het zichtbaar verbergen voor ongeautoriseerde partijen.
Encryptie: Het versturen van een plaintext, middels een ciphertext, waarna bij de bedoelde ontvanger
de ciphertext, middels een sleutel, weer wordt omgezet in een plaintext.
ROT-13 i: alfabet in twee rijen, waarbij de letter een vastgesteld aantal plaatsen wordt opgeschoven
(Key).
ceasar-substitutie: letters vervangen door andere letters
Principes van kerckhoffs:
• Het systeem moet mathematisch, zoniet praktisch oncijferbaar zijn
Samenvatting ISEC | Stefan Fahner | Alleen delen met schriftelijke toestemming
