Hoofdstuk 2
Begrippenkader
Informatiebeveiliging richt zich op het beschermen van informatiesystemen (in de ruime zin
van het woord) en de gegevens daarin.
Gegevens, informatie en informatievoorziening.
Het werken met gegevens speelt een cruciale rol in elke organisatie. Voor tal van
organisaties is het verwerken van gegeven zelfs het belangrijkste proces. Voorbeelden van
relevante gegevens zijn;
Personeelsgegevens, klantgegevens, leveranciersgegevens, contractgegevens,
ordergegevens, financiële gegevens, marktgegevens.
De waarde van gegevens voor een organisatie hangt onder meer af van een aantal factoren.
Het procesbelang: de mate waarin bedrijfsprocessen, die gebruikmaken van de betreffende
gegevens, van belang zijn voor de organisatie.
De onmisbaarheid voor de bedrijfsprocessen: het belang van de betreffende gegevens voor
de bedrijfsprocessen die er gebruik van maken.
De herstelbaarheid: de mate waarin ontbrekende, incomplete of onjuiste gegevens
gereproduceerd of hersteld kunnen worden.
Het belang voor derden: de mate waarin derden (klanten, leveranciers of concurrenten)
belang hechten aan de betreffende gegevens.
Het belang van gegevens ligt erin dat de bedrijfsprocessen die er gebruik van maken niet
verstoord mogen worden. Daarnaast kunnen gegevens een zeker belang vertegenwoordigen
voor anderen. Een voorbeeld hiervan zijn persoonsgegevens: deze gegevens zijn voor
organisaties van steeds groter belang voor de juiste uitvoering van de bedrijfsprocessen,
maar zijn in het kader van de privacy ook van belang voor degene wiens gegevens het
betreft. Ten slotte kan het belang van gegeven ook liggen in het concurrentievoordeel dat
ermee behaald kan worden ten opzichte van andere organisaties die in dezelfde markt
opereren, of het concurrentienadeel dat het verlies van de desbetreffende gegevens op zou
leveren. Een maat hiervoor is de prijs die een derde bereid is voor deze gegevens te betalen.
Gegevens kunnen gezien worden als de objectief waarneembare weerslag van feiten in een
drager. Informatie daarentegen is de betekenis die de mens aan de hand van bepaalde
afspraken aan gegevens toekent, of de kennistoename als gevolg van het ontvangen en
verwerken van bepaalde gegevens. Hierdoor is informatie subjectief. Vanuit bepaalde
gegevens kan, afhankelijk van degene die de gegevens bewerkt of interpreteert,
verschillende informatie ontstaan, waarbij de waarde van de gegevens in de tijd kan
variëren. Met andere woorden: twee ontvangers van dezelfde gegevens kunnen er
verschillende informatie ontlenen. De relatie tussen gegevens en informatie is vergelijkbaar
met de relatie tussen een grondstof en een eindproduct. Gegevens kunnen verwerkt worden
tot informatie. Daarbij is het mogelijk om gebruik te maken van een informatiesysteem. Het
informatiesysteem kan gegevens die voor een ontvanger niet direct nuttig zijn, verwerken tot
gegevens die voor de ontvanger een zinvolle betekenis hebben en daarmee voor de
ontvanger informatie zijn.
Een informatiesysteem (IS) is de ruime zin van het woord een samenhangende
gegevensverwerkende functionaliteit die gegevens verzamelt (invoer), manipuleert
(verwerking), opslaat en verspreidt (uitvoer), en zo nodig een corrigerende reactie bevat
(terugmelding). Een informatiesysteem kan worden ingezet om een of meer
bedrijfsprocessen te kennen, te ondersteunen of te besturen. Een informatiesysteem kan de
volgende componenten bevatten: apparatuur, programmatuur, gegevens, procedures en
mensen. We spreken van een geautomatiseerd informatiesysteem als het informatiesysteem
voornamelijk wordt gerealiseerd met informatietechnologie.
Informatietechnologie (IT), ook wel informatie- en communicatietechnologie (ICT) genoemd,
is de technologie (apparatuur en programmatuur) die nodig is voor het beschikbaar stellen
van een of meer geautomatiseerde informatiesystemen.
Een applicatie is de programmatuur waarin de specifieke functionaliteit van een
informatiesysteem geprogrammeerd is. Een applicatie omvat de toepassingsprogrammatuur
, (applicatieprogrammatuur) en de bijbehorende gegevensverzamelingen, inclusief de daarop
van toepassing zijnde procedures en documentatie.
Een gegevensinfrastructuur is het geheel van een of meer gegevensverzameling, inclusief
de daarop van toepassing zijnde procedures en documentatie, dat beschikbaar is voor een
of meer informatiesystemen.
Een IT-infrastructuur is het geheel van automatiseringsmiddelen voor het opslaan, bewerken,
transporteren en representeren van gegevens ten behoeve van gegevensinfrastructuren en
applicaties. De IT-infrastructuur bestaat uit de componenten apparatuur,
basisprogrammatuur en communicatievoorzieningen, inclusief de daarop van toepassing
zijnde procedures en documentatie.
De informatievoorziening (IV) is het geheel van IT-infrastructuur, gegevensinfrastructuur,
applicaties en organisatie, dat tot doel heeft om te voorzien in de informatiebehoefte van de
processen van een organisatie. De informatievoorziening van een organisatie kan ook
beschouwd worden als de verzameling informatiesystemen en de gegevens- en IT-
infrastructuur van de betreffende organisatie.
Vooral door de opkomst van cloud computing worden de verschillende lagen van de
informatievoorziening steeds vaker op verschillende locaties gerealiseerd, en soms door
verschillende organisaties.
De basisinfrastructuur maakt geen deel uit van de informatievoorziening, maar schept wel
noodzakelijke voorwaarden voor het functioneren van de informatievoorziening. Vanuit de
informatievoorziening zullen dan ook eisen gesteld worden aan de basisinfrastructuur. De
basisinfrastructuur omvat onder meer:
Elektriciteitsvoorziening; airconditioning: watervoorziening: gebouwen en ruimten; kasten en
meubilair.
Bedreiging
Een bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed
heeft op de betrouwbaarheid van een object. In het kader van informatiebeveiliging betreft
het dan objecten van de informatievoorziening: apparatuur, programmatuur, gegevens,
procedures en mensen. Bedreigingen kunnen worden onderverdeeld naar de aspecten van
betrouwbaarheid die ze negatief beïnvloeden. Betrouwbaarheid heeft de aspecten
beschikbaarheid, integriteit en vertrouwelijkheid:
Beschikbaarheid (B) is de mate waarin gegevens of functionaliteit op de juiste momenten
beschikbaar zijn voor gebruikers.
Integriteit (I) is de mate waarin gegevens of functionaliteit juist en volledig ingevuld zijn.
Vertrouwelijkheid (V) is de mate waarin de toegang tot gegevens of functionaliteit beperkt is
tot degenen die daartoe bevoegd zijn.
Bedreigingen kunnen nog verder worden onderverdeeld op basis van de kenmerken die
ieder aspect van betrouwbaarheid heeft. Naast de genoemde kenmerken zijn er nog andere
kenmerken die hiervan afgeleid zijn, zoals privacy, controleerbaarheid, nauwkeurigheid en
robuustheid. De aandacht voor het kenmerk privacy is de laatste jaren zodanig toegenomen
dat het soms als een apart betrouwbaarheidsaspect wordt beschouwd, maar in feite is het
een onderdeel van het aspect vertrouwelijkheid, waarbij dit aspect specifiek betrekking heeft
op persoonsgegevens. Ook controleerbaarheid wordt nogal eens als een apart
betrouwbaarheidsaspect vermeld, maar in feite is het een onderdeel van het aspect
beschikbaarheid. Echter, voor mensen en partijen die betrokken zijn bij controle en toetsing
kan het zinvol zijn om het (deel) aspect controleerbaarheid apart in de schijnwerpers te
zetten.
Een geheel andere indeling van bedreigingen is die naar de bron (veroorzaker) van de
bedreiging. Zo kunnen enerzijds mensen als dan niet opzettelijk bepaalde bedreigingen
veroorzaken, zoals fouten, inbraak, fraude, sabotage, hacking, etc. Anderzijds kunnen
zwakheden in bijvoorbeeld apparatuur en programmatuur leiden tot verstoringen.
Verstoringen kunnen ook veroorzaakt worden door externe invloeden, zoals het weer (denk
aan schade door bliksem, storm, overstromingen, etc.).
Op grond van hun verschillende bronnen kunnen bedreigingen in de volgende groepen
worden onderverdeeld.
Begrippenkader
Informatiebeveiliging richt zich op het beschermen van informatiesystemen (in de ruime zin
van het woord) en de gegevens daarin.
Gegevens, informatie en informatievoorziening.
Het werken met gegevens speelt een cruciale rol in elke organisatie. Voor tal van
organisaties is het verwerken van gegeven zelfs het belangrijkste proces. Voorbeelden van
relevante gegevens zijn;
Personeelsgegevens, klantgegevens, leveranciersgegevens, contractgegevens,
ordergegevens, financiële gegevens, marktgegevens.
De waarde van gegevens voor een organisatie hangt onder meer af van een aantal factoren.
Het procesbelang: de mate waarin bedrijfsprocessen, die gebruikmaken van de betreffende
gegevens, van belang zijn voor de organisatie.
De onmisbaarheid voor de bedrijfsprocessen: het belang van de betreffende gegevens voor
de bedrijfsprocessen die er gebruik van maken.
De herstelbaarheid: de mate waarin ontbrekende, incomplete of onjuiste gegevens
gereproduceerd of hersteld kunnen worden.
Het belang voor derden: de mate waarin derden (klanten, leveranciers of concurrenten)
belang hechten aan de betreffende gegevens.
Het belang van gegevens ligt erin dat de bedrijfsprocessen die er gebruik van maken niet
verstoord mogen worden. Daarnaast kunnen gegevens een zeker belang vertegenwoordigen
voor anderen. Een voorbeeld hiervan zijn persoonsgegevens: deze gegevens zijn voor
organisaties van steeds groter belang voor de juiste uitvoering van de bedrijfsprocessen,
maar zijn in het kader van de privacy ook van belang voor degene wiens gegevens het
betreft. Ten slotte kan het belang van gegeven ook liggen in het concurrentievoordeel dat
ermee behaald kan worden ten opzichte van andere organisaties die in dezelfde markt
opereren, of het concurrentienadeel dat het verlies van de desbetreffende gegevens op zou
leveren. Een maat hiervoor is de prijs die een derde bereid is voor deze gegevens te betalen.
Gegevens kunnen gezien worden als de objectief waarneembare weerslag van feiten in een
drager. Informatie daarentegen is de betekenis die de mens aan de hand van bepaalde
afspraken aan gegevens toekent, of de kennistoename als gevolg van het ontvangen en
verwerken van bepaalde gegevens. Hierdoor is informatie subjectief. Vanuit bepaalde
gegevens kan, afhankelijk van degene die de gegevens bewerkt of interpreteert,
verschillende informatie ontstaan, waarbij de waarde van de gegevens in de tijd kan
variëren. Met andere woorden: twee ontvangers van dezelfde gegevens kunnen er
verschillende informatie ontlenen. De relatie tussen gegevens en informatie is vergelijkbaar
met de relatie tussen een grondstof en een eindproduct. Gegevens kunnen verwerkt worden
tot informatie. Daarbij is het mogelijk om gebruik te maken van een informatiesysteem. Het
informatiesysteem kan gegevens die voor een ontvanger niet direct nuttig zijn, verwerken tot
gegevens die voor de ontvanger een zinvolle betekenis hebben en daarmee voor de
ontvanger informatie zijn.
Een informatiesysteem (IS) is de ruime zin van het woord een samenhangende
gegevensverwerkende functionaliteit die gegevens verzamelt (invoer), manipuleert
(verwerking), opslaat en verspreidt (uitvoer), en zo nodig een corrigerende reactie bevat
(terugmelding). Een informatiesysteem kan worden ingezet om een of meer
bedrijfsprocessen te kennen, te ondersteunen of te besturen. Een informatiesysteem kan de
volgende componenten bevatten: apparatuur, programmatuur, gegevens, procedures en
mensen. We spreken van een geautomatiseerd informatiesysteem als het informatiesysteem
voornamelijk wordt gerealiseerd met informatietechnologie.
Informatietechnologie (IT), ook wel informatie- en communicatietechnologie (ICT) genoemd,
is de technologie (apparatuur en programmatuur) die nodig is voor het beschikbaar stellen
van een of meer geautomatiseerde informatiesystemen.
Een applicatie is de programmatuur waarin de specifieke functionaliteit van een
informatiesysteem geprogrammeerd is. Een applicatie omvat de toepassingsprogrammatuur
, (applicatieprogrammatuur) en de bijbehorende gegevensverzamelingen, inclusief de daarop
van toepassing zijnde procedures en documentatie.
Een gegevensinfrastructuur is het geheel van een of meer gegevensverzameling, inclusief
de daarop van toepassing zijnde procedures en documentatie, dat beschikbaar is voor een
of meer informatiesystemen.
Een IT-infrastructuur is het geheel van automatiseringsmiddelen voor het opslaan, bewerken,
transporteren en representeren van gegevens ten behoeve van gegevensinfrastructuren en
applicaties. De IT-infrastructuur bestaat uit de componenten apparatuur,
basisprogrammatuur en communicatievoorzieningen, inclusief de daarop van toepassing
zijnde procedures en documentatie.
De informatievoorziening (IV) is het geheel van IT-infrastructuur, gegevensinfrastructuur,
applicaties en organisatie, dat tot doel heeft om te voorzien in de informatiebehoefte van de
processen van een organisatie. De informatievoorziening van een organisatie kan ook
beschouwd worden als de verzameling informatiesystemen en de gegevens- en IT-
infrastructuur van de betreffende organisatie.
Vooral door de opkomst van cloud computing worden de verschillende lagen van de
informatievoorziening steeds vaker op verschillende locaties gerealiseerd, en soms door
verschillende organisaties.
De basisinfrastructuur maakt geen deel uit van de informatievoorziening, maar schept wel
noodzakelijke voorwaarden voor het functioneren van de informatievoorziening. Vanuit de
informatievoorziening zullen dan ook eisen gesteld worden aan de basisinfrastructuur. De
basisinfrastructuur omvat onder meer:
Elektriciteitsvoorziening; airconditioning: watervoorziening: gebouwen en ruimten; kasten en
meubilair.
Bedreiging
Een bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed
heeft op de betrouwbaarheid van een object. In het kader van informatiebeveiliging betreft
het dan objecten van de informatievoorziening: apparatuur, programmatuur, gegevens,
procedures en mensen. Bedreigingen kunnen worden onderverdeeld naar de aspecten van
betrouwbaarheid die ze negatief beïnvloeden. Betrouwbaarheid heeft de aspecten
beschikbaarheid, integriteit en vertrouwelijkheid:
Beschikbaarheid (B) is de mate waarin gegevens of functionaliteit op de juiste momenten
beschikbaar zijn voor gebruikers.
Integriteit (I) is de mate waarin gegevens of functionaliteit juist en volledig ingevuld zijn.
Vertrouwelijkheid (V) is de mate waarin de toegang tot gegevens of functionaliteit beperkt is
tot degenen die daartoe bevoegd zijn.
Bedreigingen kunnen nog verder worden onderverdeeld op basis van de kenmerken die
ieder aspect van betrouwbaarheid heeft. Naast de genoemde kenmerken zijn er nog andere
kenmerken die hiervan afgeleid zijn, zoals privacy, controleerbaarheid, nauwkeurigheid en
robuustheid. De aandacht voor het kenmerk privacy is de laatste jaren zodanig toegenomen
dat het soms als een apart betrouwbaarheidsaspect wordt beschouwd, maar in feite is het
een onderdeel van het aspect vertrouwelijkheid, waarbij dit aspect specifiek betrekking heeft
op persoonsgegevens. Ook controleerbaarheid wordt nogal eens als een apart
betrouwbaarheidsaspect vermeld, maar in feite is het een onderdeel van het aspect
beschikbaarheid. Echter, voor mensen en partijen die betrokken zijn bij controle en toetsing
kan het zinvol zijn om het (deel) aspect controleerbaarheid apart in de schijnwerpers te
zetten.
Een geheel andere indeling van bedreigingen is die naar de bron (veroorzaker) van de
bedreiging. Zo kunnen enerzijds mensen als dan niet opzettelijk bepaalde bedreigingen
veroorzaken, zoals fouten, inbraak, fraude, sabotage, hacking, etc. Anderzijds kunnen
zwakheden in bijvoorbeeld apparatuur en programmatuur leiden tot verstoringen.
Verstoringen kunnen ook veroorzaakt worden door externe invloeden, zoals het weer (denk
aan schade door bliksem, storm, overstromingen, etc.).
Op grond van hun verschillende bronnen kunnen bedreigingen in de volgende groepen
worden onderverdeeld.
