Informatieveiligheid tentamen
Hoorcollege 1:
Informatieveiligheid definitie
Informatieveiligheid is het treffen van een optimaal samenhangend pakket van maatregelen op
procesmatig, organisatorisch en technisch gebied, dat er op is gericht de vertrouwelijkheid,
integriteit en beschikbaarheid van informatie, en hierdoor de continuïteit van de bedrijfsvoering te
waarborgen.
Informatieveiligheid: De basis
Informatie moet betrouwbaar, consistent en accuraat zijn.
Informatie moet beschikbaar zijn
Informatie moet alleen beschikbaar zijn voor geautoriseerde mensen
Beschikbaarheid
- Tijdigheid de informatie is beschikbaar op het moment als ze nodig is;
- Continuïteit men kan doorwerken ook al treedt er een fout of storing op;
- Robuustheid er is voldoende capaciteit, zodat het systeem niet overbelast raakt wanneer
alle geautoriseerde gebruikers ermee werken.
Voorbeelden van maatregelen
- Hoe zijn de backups geregeld? Waar worden deze opgeslagen? Off-site?
- Wat is het beleid? Op basis van wet- en regelgeving?
- Noodprocedures?
- Wat doen we bij een (D)DoS-aanval?
Integriteit
- Informatie is compleet, correct en ongeschonden;
- Informatie verkeert in gewenste staat;
- Gebruikersfouten, opzettelijk of per ongeluk aantasting integriteit;
- Zonder ongeautoriseerde of onbedoelde wijzigingen.
Voorbeelden van maatregelen
- Antivirus;
, - Gebruikersacties worden vastgelegd (gelogd) zodat achteraf gezien kan worden wie welke
wijzigingen heeft aangebracht;
- Toegangscontrole;
- Autorisatie, wanneer een medewerker de prijs van een product aanpast op de website
verifieerd een andere medewerker of de prijs correct is voordat deze zichtbaar is op de
website;
- Versleuteling & hashing (cryptografie);
- Logging & gegevensvalidatie
Vertrouwelijkheid (wie kan waar bij?)
De mate waarin de toegang tot informatie wordt beperkt tot een bepaalde groep gerechtigden, die
inzage mag hebben in de data.
Vertrouwelijk kan gecompromitteerd worden:
- Onbewust (bijvoorbeeld menselijke fout, datalek)
- Bewust (bijvoorbeeld kwaadwillendheid)
- Door foute in het systeem (bijvoorbeeld verkeerde autorisaties)
Voorbeelden van maatregelen:
- Acces Control / ‘need to know’
- Scheiding van verantwoordelijkheden
- Fysiek: geen vertrouwelijke documenten ‘laten slingeren’
- Bescherming gevoelige gegevens (bv. Salarisadministratie, persoonsgegevens/privacy)
- Cryptografie
Informatieveiligheid
Criminaliteit
Bedrijven
Maatschappelijk
Persoonlijk
Spionage
Cyberwar
Gedrag: Mens is de zwakst schakel.
Organisatie: wetgeving, procedure, afspraken
Techniek: firewalls, antivirus, cryptografie etc.
Parkerian Hexad
- Bezit of beheer een dief steelt een enveloppe met daarin de bankpas en pincode. Zelf als
de dief de enveloppe niet opent, zou het slachtoffer van de diefstal terecht bezorgd kunnen
zijn dat de dief de bankpas fraudeleus kan gebruiken. Deze situatie illustreert een verlies van
controle of het bezit van informatie, maar niet direct de schending van vertrouwelijkheid.
- Authenticiteit authenticiteit verwijst naar de juistheid van de claim van herkomst of naar
het eigenaarschap van de informatie. Een methode om de eigenaar van een handgeschreven
document vast te stellen is door de handschriftkenmerken van het document te vergelijken
met een monster van een document dat al gecontroleerd is.
- Bruikbaarheid of utiliteit iemand versleuteld date op een schrijf om onbevoegde toegang
en onopgemerkte wijzigingen te voorkomen. Deze persoon verliest de decryptiesleutel
Hoorcollege 1:
Informatieveiligheid definitie
Informatieveiligheid is het treffen van een optimaal samenhangend pakket van maatregelen op
procesmatig, organisatorisch en technisch gebied, dat er op is gericht de vertrouwelijkheid,
integriteit en beschikbaarheid van informatie, en hierdoor de continuïteit van de bedrijfsvoering te
waarborgen.
Informatieveiligheid: De basis
Informatie moet betrouwbaar, consistent en accuraat zijn.
Informatie moet beschikbaar zijn
Informatie moet alleen beschikbaar zijn voor geautoriseerde mensen
Beschikbaarheid
- Tijdigheid de informatie is beschikbaar op het moment als ze nodig is;
- Continuïteit men kan doorwerken ook al treedt er een fout of storing op;
- Robuustheid er is voldoende capaciteit, zodat het systeem niet overbelast raakt wanneer
alle geautoriseerde gebruikers ermee werken.
Voorbeelden van maatregelen
- Hoe zijn de backups geregeld? Waar worden deze opgeslagen? Off-site?
- Wat is het beleid? Op basis van wet- en regelgeving?
- Noodprocedures?
- Wat doen we bij een (D)DoS-aanval?
Integriteit
- Informatie is compleet, correct en ongeschonden;
- Informatie verkeert in gewenste staat;
- Gebruikersfouten, opzettelijk of per ongeluk aantasting integriteit;
- Zonder ongeautoriseerde of onbedoelde wijzigingen.
Voorbeelden van maatregelen
- Antivirus;
, - Gebruikersacties worden vastgelegd (gelogd) zodat achteraf gezien kan worden wie welke
wijzigingen heeft aangebracht;
- Toegangscontrole;
- Autorisatie, wanneer een medewerker de prijs van een product aanpast op de website
verifieerd een andere medewerker of de prijs correct is voordat deze zichtbaar is op de
website;
- Versleuteling & hashing (cryptografie);
- Logging & gegevensvalidatie
Vertrouwelijkheid (wie kan waar bij?)
De mate waarin de toegang tot informatie wordt beperkt tot een bepaalde groep gerechtigden, die
inzage mag hebben in de data.
Vertrouwelijk kan gecompromitteerd worden:
- Onbewust (bijvoorbeeld menselijke fout, datalek)
- Bewust (bijvoorbeeld kwaadwillendheid)
- Door foute in het systeem (bijvoorbeeld verkeerde autorisaties)
Voorbeelden van maatregelen:
- Acces Control / ‘need to know’
- Scheiding van verantwoordelijkheden
- Fysiek: geen vertrouwelijke documenten ‘laten slingeren’
- Bescherming gevoelige gegevens (bv. Salarisadministratie, persoonsgegevens/privacy)
- Cryptografie
Informatieveiligheid
Criminaliteit
Bedrijven
Maatschappelijk
Persoonlijk
Spionage
Cyberwar
Gedrag: Mens is de zwakst schakel.
Organisatie: wetgeving, procedure, afspraken
Techniek: firewalls, antivirus, cryptografie etc.
Parkerian Hexad
- Bezit of beheer een dief steelt een enveloppe met daarin de bankpas en pincode. Zelf als
de dief de enveloppe niet opent, zou het slachtoffer van de diefstal terecht bezorgd kunnen
zijn dat de dief de bankpas fraudeleus kan gebruiken. Deze situatie illustreert een verlies van
controle of het bezit van informatie, maar niet direct de schending van vertrouwelijkheid.
- Authenticiteit authenticiteit verwijst naar de juistheid van de claim van herkomst of naar
het eigenaarschap van de informatie. Een methode om de eigenaar van een handgeschreven
document vast te stellen is door de handschriftkenmerken van het document te vergelijken
met een monster van een document dat al gecontroleerd is.
- Bruikbaarheid of utiliteit iemand versleuteld date op een schrijf om onbevoegde toegang
en onopgemerkte wijzigingen te voorkomen. Deze persoon verliest de decryptiesleutel
