Informatieveiligheid
,Leerdoelen A2:
Oorsprong en aanleiding van verschillende typen
informatieveiligheidsrisico's herkennen en classificeren
Voorbeelden geven van sociaalpsychologische factoren die van invloed zijn
op informatieveiligheid
Op gestructureerde wijze volgens IS0 27001 risico's in een organisatie op
het gebied van informatieveiligheid analyseren
BIV-driehoek uitleggen en concrete informatieveiligheidsrisico's in de
praktijk aan de hand van dit model onderzoek en classificeren
Verschillende typen informatieveiligheidrisico's:
Technisch: door storing in apparatuur, wateroverlast, brand etc. zijn
systemen onbereikbaar,
Organisatorisch:
Menselijk: men klikt op een fishing link, diefstal van bijv. laptop, hacking,
foutief handelen van gebruikers of beheerders. DDoS, ransomware aanval
ISO 27001: gespecificeerde eisen voor organisaties voor het inrichten,
implementeren, in stand houden en continu verbeteren van
managementsystemen voor informatieveiligheid.
Organisaties moeten punten vaststellen die relevant zijn voor de gestelde
doelen en die het vermogen om te beoogde resultaten voor het
managementsysteem voor informatieveiligheid kunnen beïnvloeden
De organisatie moet vaststellen welke belanghebbenden relevant zijn voor
(het managementsysteem voor) informatieveiligheid, welke eisen van deze
belanghebbenden relevant zijn en welke van deze eisen meegenomen
worden in het managementsysteem voor informatiebeveiliging
De organisatie moet de grenzen en toepasselijkheid van het
managementsysteem voor informatiebeveiliging bepalen om het
toepassingsgebied ervan vast te stellen
Risico identificatie: het herkennen van mogelijke dreigingen. Wat kan er mis
gaan?
, Risico analyse: de risico's verder identificeren. Hoe ernstig is het als het mis gaat
en hoe vaak kan het gebeuren?
Risico evaluatie: beoordeling van de ernst van risico's, en de prioriteren
Bedreiging: een proces of gebeurtenis met in potentie een verstorende invloed
heeft op de betrouwbaarheid van een object. In info veiligheid heeft dit dan
betrekking op apparatuur, programmatuur, gegevens, procedures en mensen.
BIV-driehoek:
Beschikbaar: de mate waarin gegevens of functionaliteit op de juiste
momenten beschikbaar zijn voor gebruikers
Integer: de mate waarin gegevens of functionaliteit juist en volledig zijn;
niet mee gerommeld of aangepast, de gegevens zijn zoals je ze verwacht
te zien
Vertrouwelijk: de mate waarin de toegang tot gegevens of functionaliteit
beperkt is tot degenen die daartoe bevoegd zijn
Risico: een combinatie van de kans dat een bedreiging zich manifesteert en de
mogelijke schade hiervan. Heeft altijd betrekking op een of meer objecten, en op
een of meer bedreigingen waarvoor de objecten een vorm van kwetsbaarheid
hebben.
Directe schade: rechtstreeks getroffenen, zoals personen, apparatuur,
programmatuur, gegevensverzamelingen en gebouwen
Indirecte schade: gevolgschade, zoals verstoring van bedrijfsprocessen,
het overtreden van wetten, het verlies van opdrachten en imagoschade
Bedreiging: iets wat zou kunnen gebeuren
Verstoring: een bedreiging die zich manifesteert bij een kwetsbaar object
Schade: gevolg van een verstoring
Herstel: herstellen van schade aan object
,Leerdoelen A2:
Oorsprong en aanleiding van verschillende typen
informatieveiligheidsrisico's herkennen en classificeren
Voorbeelden geven van sociaalpsychologische factoren die van invloed zijn
op informatieveiligheid
Op gestructureerde wijze volgens IS0 27001 risico's in een organisatie op
het gebied van informatieveiligheid analyseren
BIV-driehoek uitleggen en concrete informatieveiligheidsrisico's in de
praktijk aan de hand van dit model onderzoek en classificeren
Verschillende typen informatieveiligheidrisico's:
Technisch: door storing in apparatuur, wateroverlast, brand etc. zijn
systemen onbereikbaar,
Organisatorisch:
Menselijk: men klikt op een fishing link, diefstal van bijv. laptop, hacking,
foutief handelen van gebruikers of beheerders. DDoS, ransomware aanval
ISO 27001: gespecificeerde eisen voor organisaties voor het inrichten,
implementeren, in stand houden en continu verbeteren van
managementsystemen voor informatieveiligheid.
Organisaties moeten punten vaststellen die relevant zijn voor de gestelde
doelen en die het vermogen om te beoogde resultaten voor het
managementsysteem voor informatieveiligheid kunnen beïnvloeden
De organisatie moet vaststellen welke belanghebbenden relevant zijn voor
(het managementsysteem voor) informatieveiligheid, welke eisen van deze
belanghebbenden relevant zijn en welke van deze eisen meegenomen
worden in het managementsysteem voor informatiebeveiliging
De organisatie moet de grenzen en toepasselijkheid van het
managementsysteem voor informatiebeveiliging bepalen om het
toepassingsgebied ervan vast te stellen
Risico identificatie: het herkennen van mogelijke dreigingen. Wat kan er mis
gaan?
, Risico analyse: de risico's verder identificeren. Hoe ernstig is het als het mis gaat
en hoe vaak kan het gebeuren?
Risico evaluatie: beoordeling van de ernst van risico's, en de prioriteren
Bedreiging: een proces of gebeurtenis met in potentie een verstorende invloed
heeft op de betrouwbaarheid van een object. In info veiligheid heeft dit dan
betrekking op apparatuur, programmatuur, gegevens, procedures en mensen.
BIV-driehoek:
Beschikbaar: de mate waarin gegevens of functionaliteit op de juiste
momenten beschikbaar zijn voor gebruikers
Integer: de mate waarin gegevens of functionaliteit juist en volledig zijn;
niet mee gerommeld of aangepast, de gegevens zijn zoals je ze verwacht
te zien
Vertrouwelijk: de mate waarin de toegang tot gegevens of functionaliteit
beperkt is tot degenen die daartoe bevoegd zijn
Risico: een combinatie van de kans dat een bedreiging zich manifesteert en de
mogelijke schade hiervan. Heeft altijd betrekking op een of meer objecten, en op
een of meer bedreigingen waarvoor de objecten een vorm van kwetsbaarheid
hebben.
Directe schade: rechtstreeks getroffenen, zoals personen, apparatuur,
programmatuur, gegevensverzamelingen en gebouwen
Indirecte schade: gevolgschade, zoals verstoring van bedrijfsprocessen,
het overtreden van wetten, het verlies van opdrachten en imagoschade
Bedreiging: iets wat zou kunnen gebeuren
Verstoring: een bedreiging die zich manifesteert bij een kwetsbaar object
Schade: gevolg van een verstoring
Herstel: herstellen van schade aan object
