CYBERSECURITY
Vera Hoek
,Inhoudsopgave
H2. Begrippenkader .................................................................................................................................... 4
H2.1 Gegevens, informatie en informatievoorziening .................................................................................... 4
H2.2 Bedreiging, kwetsbaarheid en risico ....................................................................................................... 5
H2.3 Beveiligingsmaatregelen ........................................................................................................................ 6
H3. Informatiebeveiliging in perspectief ..................................................................................................... 8
H3.1 Risicomanagement ................................................................................................................................. 8
H3.2 Wat is informatiebeveiliging?................................................................................................................. 8
H3.3 Het proces informatiebeveiliging ........................................................................................................... 8
H3.4 Ontwikkelingsstadia van informatiebeveiliging ..................................................................................... 9
H4. Juridische aspecten ............................................................................................................................ 11
H4.1 Algemene wet- en regelgeving ............................................................................................................. 11
Grondwet ...................................................................................................................................................... 11
Wet computercriminaliteit (WCC) ................................................................................................................ 11
Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) .................................................................. 11
Algemene Verordening Gegevensbescherming (AVG) ................................................................................. 11
Telecommunicatiewet .................................................................................................................................. 12
Auteurswet ................................................................................................................................................... 12
Wet elektronische handtekeningen ............................................................................................................. 12
H4.3 Wet- en regelgeving voor het bedrijfsleven .......................................................................................... 12
H4.4 Juridische procedures ........................................................................................................................... 13
H4.5 Internationale aspecten........................................................................................................................ 13
H5. Informatiebeveiligingsstandaarden .................................................................................................... 14
H5.1 Standaardisatie .................................................................................................................................... 14
H5.2 Waarom standaardisatie? .................................................................................................................... 14
H5.3 ISO/IEC27000-familie............................................................................................................................ 14
H5.5 VIR / BIR / BIO ....................................................................................................................................... 15
H5.6 COBIT 5 ................................................................................................................................................. 15
H5.7 National Institute of Standards and Technology (NIST) ....................................................................... 16
H5.8 Standard of Good Practices (SOGP) ...................................................................................................... 16
H5.9 Certificatie van informatiebeveiliging .................................................................................................. 16
H6. Organisatie van informatiebeveiliging ................................................................................................ 18
H6.1 De rol van organisatie .......................................................................................................................... 18
H6.2 Het organiseren van informatiebeveiliging .......................................................................................... 18
H6.3 Informatiebeveiligingsbeleid en -plan .................................................................................................. 20
H7. Uitbesteden van informatiebeveiliging .............................................................................................. 22
H7.1 Contractuele afspraken ........................................................................................................................ 22
H7.2 Service Level Agreement ....................................................................................................................... 22
1
, H7.4 Underpinning contracts ........................................................................................................................ 23
H7.5 De beveiligingspargraaf ....................................................................................................................... 23
H7.6 Cloud computing................................................................................................................................... 23
H8. De menselijke factor .......................................................................................................................... 25
H8.1 Menselijk gedrag .................................................................................................................................. 25
H8.2 Menselijk falen ..................................................................................................................................... 25
H8.3 Beveiliging tegen menselijk falen ......................................................................................................... 26
H8.4 Indirect falen......................................................................................................................................... 26
H8.5 Beveiliging tegen indirect falen ............................................................................................................ 27
H8.6 Gedragsveranderingscampagne .......................................................................................................... 27
H9. Security-architectuur en ontwerpcriteria ........................................................................................... 28
H9.1 Securityarchitectuur ............................................................................................................................. 28
H9.2 Ontwerpcriteria .................................................................................................................................... 30
H10. Risicoanalyse ...................................................................................................................................... 31
H10.1 Soorten risicoanalyse........................................................................................................................ 31
H10.2 Objecten voor risicoanalyse.............................................................................................................. 32
H10.3 Bij een risicoanalyse betrokken partijen ........................................................................................... 32
H10.4 Uitwerking van een kwalitatieve risicoanalyse ................................................................................ 32
H10.4.1 Afhankelijkheidsanalyse........................................................................................................... 34
H10.4.2 Configuratieanalyse ................................................................................................................. 36
H10.4.3 Kwetsbaarheidsanalyse ........................................................................................................... 37
H10.4.4 Maatregelanalyse .................................................................................................................... 38
H10.5 Kroonjuwelenanalyse ....................................................................................................................... 38
H11. Preventie............................................................................................................................................ 39
H11.1 Configuratie-, onderhoud- en wijzigingsprocessen .......................................................................... 39
H11.2 Cryptografie ..................................................................................................................................... 39
H11.3 Toegangsbeheersing ........................................................................................................................ 41
H11.4 Fysieke beveiliging ............................................................................................................................ 42
H11.5 Netwerkbeveiliging........................................................................................................................... 42
H12. Detectie ............................................................................................................................................. 45
H12.1 Logging en monitoring ..................................................................................................................... 45
H12.2 Antimalware ..................................................................................................................................... 46
H13. Respons.............................................................................................................................................. 47
H13.1 Incident management en servicedesk .............................................................................................. 47
H13.2 Problem management ...................................................................................................................... 47
H13.3 Business Continuity Management .................................................................................................... 47
H13.4 Back-up & restore ............................................................................................................................. 48
2
,3
,H2. Begrippenkader
H2.1 Gegevens, informatie en informatievoorziening
De waarde die gegevens voor een organisatie hebben, hangt af van een aantal factoren:
1. Procesbelang = de mate waarin bedrijfsprocessen, die gebruikmaken van de betreffende gegevens,
van belang zijn voor de organisatie;
2. Onmisbaarheid voor de bedrijfsprocessen = het belang van de betreffende gegevens voor de
bedrijfsprocessen die er gebruik van maken;
3. Herstelbaarheid = de mate waarin ontbrekende, incomplete of onjuiste gegevens gereproduceerd
of hersteld kunnen worden;
4. Belang van derden = de mate waarin derden (klanten, leveranciers of concurrenten) belang
hechten aan de betreffende gegevens.
Gegevens = de objectief waarneembare weerslag van feiten in een drager.
Informatie = de betekenis die de mens aan de hand van bepaalde gevoelens of afspraken aan gegevens
toekent, of de kennistoename als gevolg van het ontvangen en verwerken van bepaalde gegevens.
Big data = een grote verzameling gegevens waarvan het vooraf niet duidelijk is welke informatie de
gebruiker hieraan kan ontlenen.
Informatiesysteem (IS) = in de ruime zin van het woord een samenhangende gegevensverwerkende
functionaliteit die gegevens verzamelt (invoer), manipuleert (verwerking), opslaat en verspreidt (uitvoer),
en zo nodig een corrigerende reactie bevat (terugmelding). Het kan ingezet worden m 1< bedrijfsprocessen
te kennen, te ondersteunen of te besturen.
Informatietechnologie (IT) / informatie- en communicatietechnologie (ICT) = de technologie (apparatuur
en programmatuur) die nodig is voor het beschikbaar stellen van 1< geautomatiseerde informatiesystemen.
Applicatie = de programmatuur waarin de specifieke functionaliteit van een informatiesysteem
geprogrammeerd is.
Gegevensinfrastructuur = het geheel van een of meer gegevensverzamelingen, inclusief de daarop van
toepassing zijnde procedures en documentatie, dat beschikbaar is voor een of meer informatiesystemen.
IT-infrastructuur = het geheel van automatiseringsmiddelen voor het opslaan, bewerken, transporteren en
representeren van gegevens ten behoeve van gegevensinfrastructuren en applicaties.
Informatievoorziening = het geheel van IT-infrastructuur, gegevensinfrastructuur, applicaties en
organisatie, dat tot doel heeft om te voorzien in de informatiebehoefte van de processen van de
organisatie.
4
, Basisinfrastructuur schept noodzakelijke voorwaarden voor het functioneren van informatievoorziening
(maar maakt hier geen deel van uit). De basisinfrastructuur omvat onder andere:
- Elektriciteitsvoorziening;
- Airco;
- Gebouwen en ruimten;
- Kasten en meubilair.
H2.2 Bedreiging, kwetsbaarheid en risico
Bedreiging = een proces of gebeurtenis met in potentie een verstorende invloed op de betrouwbaarheid
van een object. Bedreigingen kunnen onderverdeeld worden naar de aspecten van betrouwbaarheid die ze
negatief beïnvloeden:
1. Beschikbaarheid (B) = de mate waarin gegevens of functionaliteit op de juiste momenten
beschikbaar wordt voor gebruikers;
2. Integriteit (I) = de mate waarin gegevens of functionaliteit juist en volledig zijn;
3. Vertrouwelijkheid (V) = de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot
degenen die daartoe bevoegd zijn.
Naast deze indeling, kun je bedreigingen ook indelen naar de bron (veroorzaker):
1. Menselijke bedreigingen
a. Onopzettelijk foutief handelen door gebruikers, beheerders, gasten of extern personeel
b. Misbruik, criminaliteit, zoals diefstal, inbraak, hacking, sabotage of fraude.
2. Niet-menselijke bedreigingen:
a. Invloeden van buitenaf, zoals een aardbeving, storm, bliksem of brand
b. Storingen n de basisinfrastructuur zoals uitval van elektriciteit
c. Storingen in de apparatuur, programmatuur of gegevensbestanden
5
Vera Hoek
,Inhoudsopgave
H2. Begrippenkader .................................................................................................................................... 4
H2.1 Gegevens, informatie en informatievoorziening .................................................................................... 4
H2.2 Bedreiging, kwetsbaarheid en risico ....................................................................................................... 5
H2.3 Beveiligingsmaatregelen ........................................................................................................................ 6
H3. Informatiebeveiliging in perspectief ..................................................................................................... 8
H3.1 Risicomanagement ................................................................................................................................. 8
H3.2 Wat is informatiebeveiliging?................................................................................................................. 8
H3.3 Het proces informatiebeveiliging ........................................................................................................... 8
H3.4 Ontwikkelingsstadia van informatiebeveiliging ..................................................................................... 9
H4. Juridische aspecten ............................................................................................................................ 11
H4.1 Algemene wet- en regelgeving ............................................................................................................. 11
Grondwet ...................................................................................................................................................... 11
Wet computercriminaliteit (WCC) ................................................................................................................ 11
Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) .................................................................. 11
Algemene Verordening Gegevensbescherming (AVG) ................................................................................. 11
Telecommunicatiewet .................................................................................................................................. 12
Auteurswet ................................................................................................................................................... 12
Wet elektronische handtekeningen ............................................................................................................. 12
H4.3 Wet- en regelgeving voor het bedrijfsleven .......................................................................................... 12
H4.4 Juridische procedures ........................................................................................................................... 13
H4.5 Internationale aspecten........................................................................................................................ 13
H5. Informatiebeveiligingsstandaarden .................................................................................................... 14
H5.1 Standaardisatie .................................................................................................................................... 14
H5.2 Waarom standaardisatie? .................................................................................................................... 14
H5.3 ISO/IEC27000-familie............................................................................................................................ 14
H5.5 VIR / BIR / BIO ....................................................................................................................................... 15
H5.6 COBIT 5 ................................................................................................................................................. 15
H5.7 National Institute of Standards and Technology (NIST) ....................................................................... 16
H5.8 Standard of Good Practices (SOGP) ...................................................................................................... 16
H5.9 Certificatie van informatiebeveiliging .................................................................................................. 16
H6. Organisatie van informatiebeveiliging ................................................................................................ 18
H6.1 De rol van organisatie .......................................................................................................................... 18
H6.2 Het organiseren van informatiebeveiliging .......................................................................................... 18
H6.3 Informatiebeveiligingsbeleid en -plan .................................................................................................. 20
H7. Uitbesteden van informatiebeveiliging .............................................................................................. 22
H7.1 Contractuele afspraken ........................................................................................................................ 22
H7.2 Service Level Agreement ....................................................................................................................... 22
1
, H7.4 Underpinning contracts ........................................................................................................................ 23
H7.5 De beveiligingspargraaf ....................................................................................................................... 23
H7.6 Cloud computing................................................................................................................................... 23
H8. De menselijke factor .......................................................................................................................... 25
H8.1 Menselijk gedrag .................................................................................................................................. 25
H8.2 Menselijk falen ..................................................................................................................................... 25
H8.3 Beveiliging tegen menselijk falen ......................................................................................................... 26
H8.4 Indirect falen......................................................................................................................................... 26
H8.5 Beveiliging tegen indirect falen ............................................................................................................ 27
H8.6 Gedragsveranderingscampagne .......................................................................................................... 27
H9. Security-architectuur en ontwerpcriteria ........................................................................................... 28
H9.1 Securityarchitectuur ............................................................................................................................. 28
H9.2 Ontwerpcriteria .................................................................................................................................... 30
H10. Risicoanalyse ...................................................................................................................................... 31
H10.1 Soorten risicoanalyse........................................................................................................................ 31
H10.2 Objecten voor risicoanalyse.............................................................................................................. 32
H10.3 Bij een risicoanalyse betrokken partijen ........................................................................................... 32
H10.4 Uitwerking van een kwalitatieve risicoanalyse ................................................................................ 32
H10.4.1 Afhankelijkheidsanalyse........................................................................................................... 34
H10.4.2 Configuratieanalyse ................................................................................................................. 36
H10.4.3 Kwetsbaarheidsanalyse ........................................................................................................... 37
H10.4.4 Maatregelanalyse .................................................................................................................... 38
H10.5 Kroonjuwelenanalyse ....................................................................................................................... 38
H11. Preventie............................................................................................................................................ 39
H11.1 Configuratie-, onderhoud- en wijzigingsprocessen .......................................................................... 39
H11.2 Cryptografie ..................................................................................................................................... 39
H11.3 Toegangsbeheersing ........................................................................................................................ 41
H11.4 Fysieke beveiliging ............................................................................................................................ 42
H11.5 Netwerkbeveiliging........................................................................................................................... 42
H12. Detectie ............................................................................................................................................. 45
H12.1 Logging en monitoring ..................................................................................................................... 45
H12.2 Antimalware ..................................................................................................................................... 46
H13. Respons.............................................................................................................................................. 47
H13.1 Incident management en servicedesk .............................................................................................. 47
H13.2 Problem management ...................................................................................................................... 47
H13.3 Business Continuity Management .................................................................................................... 47
H13.4 Back-up & restore ............................................................................................................................. 48
2
,3
,H2. Begrippenkader
H2.1 Gegevens, informatie en informatievoorziening
De waarde die gegevens voor een organisatie hebben, hangt af van een aantal factoren:
1. Procesbelang = de mate waarin bedrijfsprocessen, die gebruikmaken van de betreffende gegevens,
van belang zijn voor de organisatie;
2. Onmisbaarheid voor de bedrijfsprocessen = het belang van de betreffende gegevens voor de
bedrijfsprocessen die er gebruik van maken;
3. Herstelbaarheid = de mate waarin ontbrekende, incomplete of onjuiste gegevens gereproduceerd
of hersteld kunnen worden;
4. Belang van derden = de mate waarin derden (klanten, leveranciers of concurrenten) belang
hechten aan de betreffende gegevens.
Gegevens = de objectief waarneembare weerslag van feiten in een drager.
Informatie = de betekenis die de mens aan de hand van bepaalde gevoelens of afspraken aan gegevens
toekent, of de kennistoename als gevolg van het ontvangen en verwerken van bepaalde gegevens.
Big data = een grote verzameling gegevens waarvan het vooraf niet duidelijk is welke informatie de
gebruiker hieraan kan ontlenen.
Informatiesysteem (IS) = in de ruime zin van het woord een samenhangende gegevensverwerkende
functionaliteit die gegevens verzamelt (invoer), manipuleert (verwerking), opslaat en verspreidt (uitvoer),
en zo nodig een corrigerende reactie bevat (terugmelding). Het kan ingezet worden m 1< bedrijfsprocessen
te kennen, te ondersteunen of te besturen.
Informatietechnologie (IT) / informatie- en communicatietechnologie (ICT) = de technologie (apparatuur
en programmatuur) die nodig is voor het beschikbaar stellen van 1< geautomatiseerde informatiesystemen.
Applicatie = de programmatuur waarin de specifieke functionaliteit van een informatiesysteem
geprogrammeerd is.
Gegevensinfrastructuur = het geheel van een of meer gegevensverzamelingen, inclusief de daarop van
toepassing zijnde procedures en documentatie, dat beschikbaar is voor een of meer informatiesystemen.
IT-infrastructuur = het geheel van automatiseringsmiddelen voor het opslaan, bewerken, transporteren en
representeren van gegevens ten behoeve van gegevensinfrastructuren en applicaties.
Informatievoorziening = het geheel van IT-infrastructuur, gegevensinfrastructuur, applicaties en
organisatie, dat tot doel heeft om te voorzien in de informatiebehoefte van de processen van de
organisatie.
4
, Basisinfrastructuur schept noodzakelijke voorwaarden voor het functioneren van informatievoorziening
(maar maakt hier geen deel van uit). De basisinfrastructuur omvat onder andere:
- Elektriciteitsvoorziening;
- Airco;
- Gebouwen en ruimten;
- Kasten en meubilair.
H2.2 Bedreiging, kwetsbaarheid en risico
Bedreiging = een proces of gebeurtenis met in potentie een verstorende invloed op de betrouwbaarheid
van een object. Bedreigingen kunnen onderverdeeld worden naar de aspecten van betrouwbaarheid die ze
negatief beïnvloeden:
1. Beschikbaarheid (B) = de mate waarin gegevens of functionaliteit op de juiste momenten
beschikbaar wordt voor gebruikers;
2. Integriteit (I) = de mate waarin gegevens of functionaliteit juist en volledig zijn;
3. Vertrouwelijkheid (V) = de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot
degenen die daartoe bevoegd zijn.
Naast deze indeling, kun je bedreigingen ook indelen naar de bron (veroorzaker):
1. Menselijke bedreigingen
a. Onopzettelijk foutief handelen door gebruikers, beheerders, gasten of extern personeel
b. Misbruik, criminaliteit, zoals diefstal, inbraak, hacking, sabotage of fraude.
2. Niet-menselijke bedreigingen:
a. Invloeden van buitenaf, zoals een aardbeving, storm, bliksem of brand
b. Storingen n de basisinfrastructuur zoals uitval van elektriciteit
c. Storingen in de apparatuur, programmatuur of gegevensbestanden
5
