Informatiebeveiliging
Samenvatting Reader & Powerpoints
H1: Basiskennis beveiligen van
Informatie
Rondom een kernactiviteit dienen altijd vier facetten te worden
beveiligd: mens, ICT, informatie, fysiek.
Informatiebeveiliging: vakgebied dat zich richt op:
- Kwaliteit van informatievoorziening → beschikbaarheid,
vertrouwelijkheid en integriteit.
- Continuïteit van de bedrijfsvoering.
Implementeren van informatiebeveiliging → het in balans brengen van een aantal aspecten:
- De kwaliteitseisen die door de organisatie aan de informatie worden gesteld.
- De risico’s voor deze kwaliteitseisen.
- De maatregelen die nodig zijn om deze risico’s te beperken.
- De zorg voor het voortbestaan van de organisatie in geval van een calamiteit.
H2: Informatie, doelstellingen en kwaliteitseisen
Informatiebeveiliging: definiëren, implementeren, onderhouden, handhaven en evalueren
van een samenhangend stelsel van maatregelen die de beschikbaarheid, integriteit en
vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening
waarborgen. Belang afhankelijk van procesbelang, onmisbaarheid, herstelbaarheid en
belang voor derden.
Data/gegevens: worden pas informatie nadat deze zijn geïnterpreteerd.
,Informatievoorziening: geheel van IT-infrastructuur, gegevensinfrastructuur, applicaties en
organisaties → voorzien van de informatiebehoefte van de processen van een organisatie.
- Gegevensinfrastructuur: geheel van gegevensverzamelingen inclusief procedures en
documentatie.
- IT-infrastructuur: geheel van automatiseringsmiddelen voor het opslaan, bewerken,
transporteren en representeren van gegevens. Bestaat uit:
- Apparatuur → computers, laptops, smartphones, servers,
besturingssystemen etc.
- Communicatievoorzieningen → routers, access points, switches etc.
- Opslagmediums → harddisks, SD-cards etc.
- Procedures en documentatie.
- Basisinfrastructuur: geen onderdeel van informatievoorziening, wel voorwaardelijk
voor het functioneren ervan → elektriciteitsvoorziening, airco, verwarming,
gebouwen, ruimtes, meubels etc.
3 factoren bij informatiebeveiliging voor betrouwbare informatie:
I. Beschikbaarheid: tijdigheid (beschikbaar gedurende werktijd), continuïteit
(bedrijfsprocessen kunnen doorgaan), robuustheid (capaciteit van het systeem).
II. Integriteit: juistheid en volledigheid.
III. Vertrouwelijkheid: exclusiviteit (wie hebben toegang?), privacy (hoe zorg je voor
exclusiviteit?)
Persoonsgegevens:
- Geïdentificeerde natuurlijke persoon: naam staat bij de gegevens.
- Identificeerbare natuurlijke persoon: naam is simpel te herleiden uit de andere
gegevens.
Informatieanalyse: brengt in kaart hoe een organisatie met informatie omgaat.
Informatiemanagement: formuleert en richt beleid in rondom informatievoorziening.
H3: Dreigingen en risico’s
Dreiging: potentiële gebeurtenis, actie,
situatie of bron die schade, verstoring of
verlies kan veroorzaken aan een systeem,
organisatie, persoon of eigendom.
Maatregel: actie of procedure die wordt
genomen om dreigingen te beperken,
minimaliseren of elimineren en om kwetsbaarheden te verminderen.
Kwetsbaarheid: een zwakte, tekortkoming of gebrek aan weerstand in een systeem,
proces, technologie of organisatie
Kroonjuweel: meest waardevolle en gevoelige informatie van een organisatie.
𝑟𝑖𝑠𝑖𝑐𝑜 = 𝑘𝑎𝑛𝑠 × 𝑔𝑒𝑣𝑜𝑙𝑔
, Risicomanagement: proces van identificatie, evaluatie en beheer van risico’s die van
invloed kunnen zijn op de doelstellingen, projecten of activiteiten van een organisatie. Doel
is een evenwicht vinden tussen het nemen van risico’s en het behalen van de doelstellingen.
Kwantitatieve risicoanalyse: op basis van risicowaardering berekenen wat het financiële
verlies is en hoe groot de kans is dat een dreiging een incident wordt.
Kwalitatieve risicoanalyse: gaat uit van scenario's en situaties → kansen op dreiging
worden bekeken op gevoel.
Beveiligingsmaatregelen:
- Verminderen:
- preventieve maatregelen → voorkomen van incidenten.
- detectieve maatregelen → incidenten snel waarnemen.
- repressieve maatregelen → gevolgen van incident stoppen.
- correctieve maatregelen → ontstane schade herstellen.
- Verzekeren → zelf nemen van maatregelen tegen bepaalde incidenten is te
kostbaar.
- Accepteren → de maatregelen zijn bekend, maar er zijn geen maatregelen.
- Vermijden → stoppen met de activiteit.
Dreigingen:
- Niet menselijke dreigingen: invloeden van buitenaf, mede bepaald door de plaats van
de apparatuur in het pand.
- Opzettelijke menselijke dreigingen.
- Onopzettelijke menselijke dreigingen.
Samenvatting Reader & Powerpoints
H1: Basiskennis beveiligen van
Informatie
Rondom een kernactiviteit dienen altijd vier facetten te worden
beveiligd: mens, ICT, informatie, fysiek.
Informatiebeveiliging: vakgebied dat zich richt op:
- Kwaliteit van informatievoorziening → beschikbaarheid,
vertrouwelijkheid en integriteit.
- Continuïteit van de bedrijfsvoering.
Implementeren van informatiebeveiliging → het in balans brengen van een aantal aspecten:
- De kwaliteitseisen die door de organisatie aan de informatie worden gesteld.
- De risico’s voor deze kwaliteitseisen.
- De maatregelen die nodig zijn om deze risico’s te beperken.
- De zorg voor het voortbestaan van de organisatie in geval van een calamiteit.
H2: Informatie, doelstellingen en kwaliteitseisen
Informatiebeveiliging: definiëren, implementeren, onderhouden, handhaven en evalueren
van een samenhangend stelsel van maatregelen die de beschikbaarheid, integriteit en
vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening
waarborgen. Belang afhankelijk van procesbelang, onmisbaarheid, herstelbaarheid en
belang voor derden.
Data/gegevens: worden pas informatie nadat deze zijn geïnterpreteerd.
,Informatievoorziening: geheel van IT-infrastructuur, gegevensinfrastructuur, applicaties en
organisaties → voorzien van de informatiebehoefte van de processen van een organisatie.
- Gegevensinfrastructuur: geheel van gegevensverzamelingen inclusief procedures en
documentatie.
- IT-infrastructuur: geheel van automatiseringsmiddelen voor het opslaan, bewerken,
transporteren en representeren van gegevens. Bestaat uit:
- Apparatuur → computers, laptops, smartphones, servers,
besturingssystemen etc.
- Communicatievoorzieningen → routers, access points, switches etc.
- Opslagmediums → harddisks, SD-cards etc.
- Procedures en documentatie.
- Basisinfrastructuur: geen onderdeel van informatievoorziening, wel voorwaardelijk
voor het functioneren ervan → elektriciteitsvoorziening, airco, verwarming,
gebouwen, ruimtes, meubels etc.
3 factoren bij informatiebeveiliging voor betrouwbare informatie:
I. Beschikbaarheid: tijdigheid (beschikbaar gedurende werktijd), continuïteit
(bedrijfsprocessen kunnen doorgaan), robuustheid (capaciteit van het systeem).
II. Integriteit: juistheid en volledigheid.
III. Vertrouwelijkheid: exclusiviteit (wie hebben toegang?), privacy (hoe zorg je voor
exclusiviteit?)
Persoonsgegevens:
- Geïdentificeerde natuurlijke persoon: naam staat bij de gegevens.
- Identificeerbare natuurlijke persoon: naam is simpel te herleiden uit de andere
gegevens.
Informatieanalyse: brengt in kaart hoe een organisatie met informatie omgaat.
Informatiemanagement: formuleert en richt beleid in rondom informatievoorziening.
H3: Dreigingen en risico’s
Dreiging: potentiële gebeurtenis, actie,
situatie of bron die schade, verstoring of
verlies kan veroorzaken aan een systeem,
organisatie, persoon of eigendom.
Maatregel: actie of procedure die wordt
genomen om dreigingen te beperken,
minimaliseren of elimineren en om kwetsbaarheden te verminderen.
Kwetsbaarheid: een zwakte, tekortkoming of gebrek aan weerstand in een systeem,
proces, technologie of organisatie
Kroonjuweel: meest waardevolle en gevoelige informatie van een organisatie.
𝑟𝑖𝑠𝑖𝑐𝑜 = 𝑘𝑎𝑛𝑠 × 𝑔𝑒𝑣𝑜𝑙𝑔
, Risicomanagement: proces van identificatie, evaluatie en beheer van risico’s die van
invloed kunnen zijn op de doelstellingen, projecten of activiteiten van een organisatie. Doel
is een evenwicht vinden tussen het nemen van risico’s en het behalen van de doelstellingen.
Kwantitatieve risicoanalyse: op basis van risicowaardering berekenen wat het financiële
verlies is en hoe groot de kans is dat een dreiging een incident wordt.
Kwalitatieve risicoanalyse: gaat uit van scenario's en situaties → kansen op dreiging
worden bekeken op gevoel.
Beveiligingsmaatregelen:
- Verminderen:
- preventieve maatregelen → voorkomen van incidenten.
- detectieve maatregelen → incidenten snel waarnemen.
- repressieve maatregelen → gevolgen van incident stoppen.
- correctieve maatregelen → ontstane schade herstellen.
- Verzekeren → zelf nemen van maatregelen tegen bepaalde incidenten is te
kostbaar.
- Accepteren → de maatregelen zijn bekend, maar er zijn geen maatregelen.
- Vermijden → stoppen met de activiteit.
Dreigingen:
- Niet menselijke dreigingen: invloeden van buitenaf, mede bepaald door de plaats van
de apparatuur in het pand.
- Opzettelijke menselijke dreigingen.
- Onopzettelijke menselijke dreigingen.
