Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
1 van 27 1.0 12-04-13
Basiskennis Informatiebeveiliging SYSQA
SYSQA B.V. Almere
Datum : 01-03-2012 Status : Definitief Opgesteld door :
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
2 van 27 1.0 12-04-13
Inhoudsopgave 1. Inleiding ........................................................................................................ 3 1.1. Doel en veronderstelde voorkennis ......................................................... 3 1.2. Indeling van het document .................................................................... 4 2. Algemeen ...................................................................................................... 5 2.1. Security versus Informatiebeveiliging ...................................................... 5 2.2. Informatiesystemen en kwaliteitseisen .................................................... 5 3. Informatiebeveiliging en Risicobeheersing .......................................................... 6 3.1. Dreigingen ........................................................................................... 6 3.2. Risico’s ................................................................................................ 8 3.3. Risicoanalyse........................................................................................ 9 4. Beveiligingsmaatregelen .................................................................................11 4.1. Fysieke maatregelen ............................................................................12 4.2. Technische maatregelen .......................................................................13 4.3. Organisatorische maatregelen ...............................................................14 5. Informatiebeveiliging en Beleid ........................................................................15 5.1. Strategieën .........................................................................................15 5.2. IB standaarden ....................................................................................16 5.3. Beleidsvorming ....................................................................................16 6. Wet- en regelgeving .......................................................................................18 6.1. Wet Bescherming Persoonsgegevens ......................................................18 6.2. Telecommunicatiewet ...........................................................................18 6.3. Wet elektronische handtekeningen .........................................................18 6.4. ISO/IEC 27001 / 27002 ........................................................................19 6.5. Wetgeving in de zorg ...........................................................................19 6.6. De Wet ComputerCriminaliteit ...............................................................20 6.7. Code Tabaksblat ..................................................................................20 6.8. Sarbaness-Oxley Act ............................................................................20 6.9. Voorschrift Informatiebeveiliging Rijksdienst (VIR) ...................................21 7. Speciale aandachtsgebieden ............................................................................22 7.1. Cloud .................................................................................................22 7.2. Social Media ........................................................................................22 7.3. Social Engineering ...............................................................................23 8. Bijlage: woordenlijst ......................................................................................24 9. Bronvermelding: ............................................................................................27
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
3 van 27 1.0 12-04-13
1. Inleiding 1.1. Doel en veronderstelde voorkennis Bij de term security hebben veel mensen wel een bepaald beeld. Het gebruik van elektronische apparaten die niet voor iedereen bedoeld zijn. Het lezen van documenten die niet iedereen mag lezen. Ergens niet naar binnen mogen omdat de deur op slot is of omdat er waardevolle spullen liggen. Of juist wel ergens naar binnen gaan, inbreken in een woning, hacken van systemen en apparaten, informatie diefstal. Al deze zaken hebben in een of andere mate verband met Informatiebeveiliging. Dit document geeft de lezer basiskennis op het gebied van Informatiebeveiliging. Er wordt een algemene beschrijving gegeven van de belangrijkste onderdelen binnen dit vakgebied. De beschrijvingen binnen dit document zijn niet uitputtend. Voor meer informatie over Informatiebeveiliging vanuit andere perspectieven wordt verwezen naar de volgende documenten welke op de SYSQA kennisbank te vinden zijn:
Informatiebeveiliging Informatiebeveiliging Informatiebeveiliging Informatiebeveiliging
voor voor voor voor
Requirementsanalist.pdf Kwaliteitsmanager.pdf Testmanagement.pdf Functioneel Beheerd.pdf
In onderstaande afbeelding is te zien hoe dit document zich verhoudt tot de overige documenten op de SYSQA kennisbank. Het introductiedocument is enkel bedoeld om mensen aan te zetten tot het lezen van de overige documenten en biedt geen extra kennis ten opzichte van dit document. Introductie Informatiebeveiliging
Basiskennis Informatiebeveiliging
Informatiebeveiliging voor Requirementsanalist
Informatiebeveiliging voor Testmanagement
Informatiebeveiliging voor Functioneel Beheer
Informatiebeveiliging voor Kwaliteitsmanager
Figuur 1: Documentoverzicht met verschillende rollen: Requirementsanalist, Kwaliteitsmanager, Testmanager, Functioneel Beheerder
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
4 van 27 1.0 12-04-13
1.2. Indeling van het document In het eerste stuk van het document zit een algemene definitie met bijbehorende informatie over informatiesystemen. Daarna wordt dieper ingegaan op risico’s, dreigingen, beheersmaatregelen en beleidsvorming. In het laatste stuk zitten onderwerpen die voor verschillende partijen belangrijk zijn zoals wet- en regelgeving maar ook speciale aandachtsgebieden die in het kader van informatiebeveiliging meer aandacht vragen. In de bijlage is een verklarende woordenlijst opgenomen. In deze lijst worden veel termen die in het document langskomen (opnieuw) kort omschreven.
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
5 van 27 1.0 12-04-13
2. Algemeen 2.1. Security versus Informatiebeveiliging Velen hebben bij de term Security een bepaald beeld, bijvoorbeeld hacken of juist fysieke beveiliging van gebouwen. In dit document wordt daarom de term Informatiebeveiliging gebruikt om specifieker aan te duiden waar op gefocust wordt. Fysieke beveiliging is wel degelijk een onderdeel van het totale spectrum waarmee informatie beveiligd kan worden maar daar wordt in dit document verder niet teveel op ingezoomd. Definitie van Informatiebeveiliging (verder aangeduid als IB): Een verzamelnaam voor processen die ingericht worden om de betrouwbaarheid van de – al dan niet geautomatiseerde- informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen (opzettelijk) onheil.
2.2. Informatiesystemen en kwaliteitseisen Er zit een verschil tussen de termen informatie, gegevens en data. Data zijn gegevens die in informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie zodra ze geïnterpreteerd worden tot een zinvolle boodschap voor een specifieke gebruiker. We spreken van een informatiesysteem zodra dit systeem het doel heeft informatie over te dragen. Dit is vaak van de ene partij op de andere partij maar is niet noodzakelijk. Dit betekent niet per definitie dat met informatiesystemen enkel ICT systemen bedoeld worden. Ook archiefkasten, mobiele telefoons, randapparatuur zijn onderdelen van of soms op zichzelf staande informatiesystemen. In het kader van informatiebeveiliging is een informatiesysteem het geheel van middelen, procedures, regels en mensen dat de informatievoorziening (IV) voor een bedrijfsproces verzorgt. Zodra gegevens omgezet zijn naar informatie krijgt het waarde. Elk stukje informatie heeft voor een ontvanger zijn eigen waarde. Voor veel mensen zal een heleboel informatie weinig waarde hebben, maar voor de juiste persoon kan een klein stukje informatie enorm waardevol zijn. Denk aan bedrijfsgeheimen die voor simpele werknemers niet van belang zijn maar voor de concurrent juist een heel waardevol. Of de samenstelling van een klantenbestand voor een ‘marketeer’. Informatie wordt hierdoor een productiefactor welke gebruikt kan worden bij bedrijfsvoering. Informatie wordt in een groot aantal takken van dienstverlening zelfs gezien als core business. Voor informatiebeveiliging wordt vaak gebruik gemaakt van de afkorting BIV, staande voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Bij het beschermen van informatie wordt naar deze drie factoren gekeken als de kwaliteitseisen die gesteld worden aan informatie. In het Engels zijn dit Confidentiality, Integrity en Availability (CIA). Aangezien bovenstaande factoren allemaal kwaliteitsaspecten zijn kan gesteld worden dat IB onderdeel is van kwaliteitszorg. Het is echter niet alleen dat, het valt ook onder de interne beheersing van organisaties (Corporate Governance). Het aantoonbaar ‘in control’ zijn, expliciet bevestigd door het management.
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
6 van 27 1.0 12-04-13
3. Informatiebeveiliging en Risicobeheersing 3.1. Dreigingen Een dreiging of bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. Dreigingen kunnen vervolgens ingedeeld worden in verschillende categorieën. Indeling naar beveiligingsaspect (zoals in hoofdstuk 2.2 eerder aangegeven): (B)eschikbaarheid (Availability) = de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar is voor gebruikers (I)ntegriteit (Integrity) = de mate waarin gegevens of functionaliteit juist ingevuld zijn. (V)ertrouwelijkheid (Confidentiality)= de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. Onderstaande tabel geeft een aantal voorbeelden voor kenmerken van de aspecten (op basis van ISO25010) en ook een idee van testsoorten die inzicht geven / maatregelen bieden: Aspect Beschikbaarheid
Kenmerk Tijdigheid
Dreiging Vertraging
Integriteit
Continuïteit Correctheid
Uitval Wijziging
Volledigheid
Verwijdering Toevoeging
Geldigheid
Veroudering
Onweerlegbaarheid (non-repudiation)
Verloochening
Vertrouwelijkheid
Onthulling Misbruik
Voorbeeld van Dreiging Overbelasting van infrastructuur Defect in infrastructuur Ongeautoriseerd wijzigen van gegevens; Virusinfectie; Typefout Ongeautoriseerd wissen van gegevens Ongeautoriseerd toevoegen van gegevens Gegevens niet up-to-date houden Ontkennen bepaald bericht te hebben verstuurd Afluisteren van netwerk; Hacking Privégebruik
Test Load- /stresstest Performance test Functionele test
Functionele test
Functionele test Functionele test
Penetratietest
Tabel 1: Voorbeeldoverzicht aspecten, kwaliteitskenmerken, dreigingen en mogelijke testsoorten
De bovenstaande drie aspecten kunnen ook uitgebreid worden naar een zestal welke onder de naam ‘Parkerian Hexad’ bekend zijn. Deze voegt eigenlijk drie elementen toe aan de klassieke BIV-driehoek. Bezit of Controle (Possession) = De mate van eigendom van de informatie. (Voorbeeld: het verlies van brieven met wachtwoorden. Ongeacht of deze geopend zijn is er wel verlies van controle. Het is echter nog geen inbreuk op vertrouwelijkheid) Authenticiteit (Authenticity) = De verifieerbaarheid van een claim over de oorsprong of auteur van informatie. (Voorbeeld: fysieke of digitale handtekeningen voor een document. Het document zelf kan wel integer zijn maar niet authentiek) Utiliteit (Utility) = De bruikbaarheid van de informatie (Voorbeeld: Het verlies van een wachtwoord voor versleutelde gegevens zorgt ervoor dat ze beschikbaar zijn maar niet bruikbaar omdat ze niet ontsleuteld kunnen worden. Een ander voorbeeld is opslag in foutieve bestandsformaten)
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
7 van 27 1.0 12-04-13
Figuur 2 Parkerian Hexad
Een geheel andere indeling van bedreigingen is die naar de bron (veroorzaker) van de bedreiging: ●
●
Menselijke bedreigingen: ○ Onopzettelijk foutief handelen, door gebruikers, beheerders, gasten of extern personeel. ○ Misbruik en criminaliteit, zoals diefstal, inbraak, hacking, sabotage of fraude. Niet menselijke bedreigingen: ○ Invloed van buitenaf, zoals aardbeving, storm, bliksem, wateroverlast of brand. ○ Storingen in de basisinfrastructuur, zoals uitval van elektriciteit of airconditioning. ○ Storingen in apparatuur, programmatuur of gegevensbestanden.
Voor de malafide dimensie van menselijke dreigingen (de zogeheten “aanvallers”) is er nog onderscheid te maken tussen de volgende varianten: ●
● ●
De Amateur: Deze persoon heeft algemene kennis van beveiliging en informatiesystemen en heeft slechts de beschikking over eenvoudige, vrij verkrijgbare middelen. De Professional: Deze persoon heeft ‘inside’-kennis van de aan te vallen systemen en/of beschikt over professionele middelen. De Criminele organisatie: Deze groep beschikt over (zeer ruime) financiële middelen, waarmee ze in staat is om op uitgebreide schaal professionele mensen en middelen in te zetten.
Als laatste onderdeel van dreigingen is de kwetsbaarheid te noemen. Dit is de mate waarin het betreffende object gevoelig is voor de betreffende dreiging. Deze gevoeligheid ontstaat doordat één of meer karakteristieken van het object het mogelijk maken dat de bedreiging een negatieve invloed uit kan oefenen op het object. Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
8 van 27 1.0 12-04-13
De tabel hieronder toont een aantal voorbeelden hiervan:
Bedreiging Object Documentatie Tekstverwerki ngspakket PC Elektriciteitsvo orziening
Beschikbaarheid Integriteit Diefstal Sabota Kortsluiti Typefout Fraude ge ng ooo
o
-
ooo
-
Vertrouwelijkheid Virus Afluis Hacking Privé teren gebr uik oo
o ooo
ooo ooo
oo
o o
oo oo
ooo ooo
ooo
ooo ooo
ooo ooo
o
oo
ooo
-
-
-
-
-
-
Tabel 2 Voorbeelden negatieve invloed. Gevoeligheid: -: nvt, o: licht, oo: gemiddeld, ooo: zwaar.
Bij documentatie kan geen kortsluiting optreden en een volledige elektriciteitsvoorziening is gevoeliger voor kortsluiting dan een enkele pc. Dit zijn slechts enkele voorbeelden hoe een risicomatrix ingevuld kan worden voor de verschillende aspecten.
3.2. Risico’s Beveiligen wordt altijd ergens tegen gedaan. Zonder een risico of dreiging is het beveiligen van een object overbodig. Door middel van risicomanagement kan achterhaald worden welke type risico’s op welke manier beveiligd moeten worden. Een dreiging of bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. Een dreiging kan ook omschreven worden als een mogelijke situatie die ongewenste resultaten geeft. Als een dreiging werkelijkheid wordt geeft dit een incident of calamiteit. Zonder waarde van een object is er echter ook niets te beveiligen. De waarde van gegevens voor een organisatie kan afhangen van een aantal factoren:
Het belang van bedrijfsprocessen: De mate waarin bedrijfsprocessen, die gebruik maken van de betreffende gegevens, van belang zijn voor de organisatie; De onmisbaarheid voor de bedrijfsprocessen: het belang van de betreffende gegevens voor de bedrijfsprocessen die er gebruik van maken; De herstelbaarheid: de mate waarin ontbrekende, incomplete, of onjuiste gegevens gereproduceerd, respectievelijk hersteld, kunnen worden.
Een risico kan dan ook omschreven worden als de gemiddelde schade over een tijdsperiode, die verwacht wordt doordat één of meer bedreigingen leiden tot een verstoring van één of meer objecten van de Informatievoorziening. Dit is ook te omvatten in de volgende formule: Risico = Kans X Schade Een schadeverwachting op jaarbasis wordt aangeduid met de eenheid JSV (Jaarlijkse Schade Verwachting) of ALE (Annual Loss Expectancy). De in aanmerking te nemen schade kan al dan niet van financiële aard zijn en omvat: ● ●
Directe schade aan rechtstreeks getroffenen, zoals personen, apparatuur, programmatuur, gegevensverzamelingen en gebouwen. Indirecte schade, oftewel gevolgschade, zoals verstoring van bedrijfsprocessen, het overtreden van wetten, verlies van opdrachten en imagoschade.
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
9 van 27 1.0 12-04-13
JSV = totale schade (direct+indirect) / hoeveel keer per tijd (in jaren) Voorbeeld: €20.000 / 10j = € 2000 p/j Alle risico’s uitgedrukt in JSV met betrekking tot de objecten van de Informatievoorziening kunnen bij elkaar opgeteld worden tot de JSV voor de gehele informatievoorziening (indien omgerekend naar waarde).
3.3. Risicoanalyse De risicoanalyse is een onderdeel van risicomanagement. Het is een manier waarop inzichtelijk gemaakt kan worden welke dreigingen relevant zijn voor bedrijfsprocessen en welke risico’s hiermee gepaard gaan. Een risicoanalyse heeft vier hoofddoelen: 1: Het identificeren van middelen en hun waarde; 2: Het vaststellen van kwetsbaarheden en dreigingen; 3: Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces verstoren; 4: Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een beveiligingsmaatregel. De risicoanalyse voorziet hiermee in een kosten/baten verhouding. De periodieke kosten die beveiligingsmaatregelen met zich meebrengen worden vergeleken met het potentiële verlies wat optreedt als dreigingen werkelijkheid worden. Risicoanalyses zijn onder te verdelen in eenvoudige en uitgebreidere varianten. Eenvoudige varianten: Quick Scan: op basis van standaard (externe) vragenlijsten snel een normering afgeven Baseline Checklist: op basis van specifieke checklists kijken of aan de set van beveiligingsmaatregelen die in de organisatie gebruikt worden voldaan wordt. Voor grondigere risicoanalyses zijn er eigenlijk twee soorten, de kwantitatieve en kwalitatieve risicoanalyse. De kwantitatieve risicoanalyse probeert voor elk element in een bedrijfsproces de waarde vast te stellen en op basis daarvan de beveiligingsmaatregelen te definiëren. Aangezien voor lang niet alle elementen een waarde te vinden is werkt de kwalitatieve risicoanalyse op basis van scenario’s en situaties. De kansen dat een dreiging uitkomt worden dan op gevoel bekeken. Dit levert dan wel een subjectief dreigingsgevoel op. Voor-/nadelen
Quick scan
Eenvoudig Normeerbaar Maatwerk Up-to-date One size does not fit all Statisch Misbruikbaar Complex Informatieoverload
X
Baseline Checklist X
Kwalitatieve analyse
Kwantitatieve analyse X
X X X
X X
X
X X X X X
X
Tabel 3 Voor- /nadelen van verschillende methodes (niet uitputtend)
Kwantitatieve analyse Voordelen Almere © 2013
Nadelen Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Objectief Elk object is vergelijkbaar Kosten/baten zijn meetbaar Kwalitatieve analyse Voordelen Bruikbaar bij niet-kwantificeerbare objecten Vergelijkingen op scenario’s niet enkel op objecten
Pagina Versie Datum
10 van 27 1.0 12-04-13
Tijdrovend Niet bruikbaar bij niet-kwantificeerbare objecten (bijv. imagoschade)
Nadelen Subjectief Onderliggende vergelijkbaar
objecten
zijn
niet
goed
Tabel 4 Verschil kwantitatieve en kwalitatieve risicoanalyses
Voor meer informatie over het uitvoeren van risicoanalyses wordt verwezen naar dit boek:
Figuur 3: Boek Risicomanagement op basis van M_o_R® en NEN/ISO31000
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
11 van 27 1.0 12-04-13
4. Beveiligingsmaatregelen Er zijn verschillende typen beveiligingsmaatregelen te definiëren. Elk hebben ze hun eigen doel en er wordt op basis van de vraag ‘wat willen we bereiken?’ gekeken welke maatregel het beste geschikt is.
Reduceren: het verminderen van de dreiging zelf / wegnemen van de dreiging (extern gericht); Preventieve maatregelen: deze zijn gericht op het voorkomen van incidenten (intern gericht); Detectieve maatregelen: deze zijn gericht op het waarnemen van incidenten; Repressieve maatregelen: deze zijn bedoeld om de gevolgen van een incident te kunnen stoppen (of verminderen); Correctieve maatregelen (of herstel): deze zijn bedoeld om de ontstane schade te herstellen. Verzekeren: anderen het risico laten dragen omdat zelf nemen van maatregelen te kostbaar is Accepteren: het risico (en de daarbij behorende schade) accepteren.
In onderstaand plaatje is te zien hoe de verschillende maatregelen zich tot elkaar verhouden.
Figuur 4: Beveiligingsmaatregelen
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
12 van 27 1.0 12-04-13
Een risico vanuit een dreiging kan drie routes volgen. Preventie, verzekeren of accepteren. Ondanks preventie kan het toch een incident worden, waarna detectie, repressie en herstel kunnen plaats vinden. Een alternatief plaatje hiervoor:
Figuur 5: Beveiligingsmaatregelen alternatief
Hier is te zien hoe een bedreiging werkelijkheid wordt, tot schade leidt en weer hersteld wordt. De verschillende maatregelen grijpen in op de verschillende onderdelen binnen de cyclus. Hiermee wordt ook het belang van periodiek controleren zichtbaar.
4.1. Fysieke maatregelen Fysieke beveiligingsmaatregelen zijn in principe in te delen in drie typen, een zogeheten ‘OBE-mix’ waarbij dit voor Organisatorische, Bouwkundige en Elektronische maatregelen staat. Al deze maatregelen moeten met elkaar samenhangen. De fysieke maatregelen beginnen al buiten het pand of tegenwoordig zelfs in de volledige buitenwereld. Het onderstaande plaatje maakt dit enigszins duidelijk
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
13 van 27 1.0 12-04-13
Figuur 6: Maatregelen
Object: Het te beschermen bedrijfsmiddel; Werkruimte: De ruimtes binnen een pand; Gebouw: De toegang tot een pand; Buitenring: Alles in de omgeving van een pand, tot aan veel verder naar buiten toe. (Deze laatste categorie is in het licht van de hedendaagse draagbare media in dit document uitgebreid tot allesomvattend buiten het pand, denk bijvoorbeeld aan WiFi welke tot buiten het pand reikt) In de onderstaande tabel staan een aantal voorbeelden van fysieke maatregelen en tot welke categorie en locatie ze (kunnen) behoren. Maatregel Omschrijving Elektronisch Toegangsbeheer Draagplicht toegangsbeheeritem Bewaking Indringerdetectie Koeling Noodstroom Brandmaatregelen (blussers, rookmelders) Clear Desk Policy Brandkast/waardekast Alarmapparatuur
O
B
E X
X X X X X X
X
X X
X X
Ring Gebouw/Ruimte Gebouw Gebouw/Ruimte Gebouw/Ruimte Gebouw/Ruimte Gebouw/Ruimte Gebouw/Ruimte Ruimte Object Alles
4.2. Technische maatregelen Onder de technische maatregelen wordt voornamelijk de beveiliging van de ICTinfrastructuur verstaan. Een van de manieren om risicobeheersing toe te passen is door controle uit te oefenen op veranderingen die mogelijk risicovol zijn. Er zijn verschillende methoden en modellen, zoals bijvoorbeeld COBIT en ITIL, die handvatten bieden voor Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
14 van 27 1.0 12-04-13
het uitoefenen van controle. In deze modellen zijn een aantal gezamenlijke elementen te vinden: Afspraken over hoe met bedrijfsmiddelen omgegaan wordt; Afspraken (processen) over hoe veranderingen tot stand komen; Afspraken over wie de wijzigingen (changes) mag initiëren en uitvoeren en hoe de wijzigingen getest zullen worden.
4.3. Organisatorische maatregelen Veel van de organisatorische maatregelen gaan hand in hand met de voorgaand genoemde technische en/of fysieke maatregelen maar niet allemaal. Veelal zijn deze maatregelen ook kaderstellend voor de andere. Informatiebeveiligingsbeleid: een document met regelingen, procedures, richtlijnen en standaarden die gevolgd moeten worden om een correct gebruik van informatie te sturen; Werkvoorschriften: Ondersteunende documentatie die aangeven hoe om te gaan met zaken (bijvoorbeeld een werkvoorschrift voor papiervernietiging).
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
15 van 27 1.0 12-04-13
5. Informatiebeveiliging en Beleid 5.1. Strategieën Er zijn door organisaties verschillende strategieën te kiezen om met risico’s om te gaan. Door het treffen van beveiligingsmaatregelen is het mogelijk om de gelopen risico’s te verkleinen. Bijvoorbeeld: ● Door kans van een bedreiging te verkleinen ●
Door kwetsbaarheid van een object te verkleinen
Figuur 7: Risicostrategieën
Bovenstaand figuur geeft mogelijke strategiekeuzes aan en hoe deze zich verhouden tot schade en kosten van maatregelen:
Risicomijdend laag risico, hogere kosten voor maatregelen; Risiconeutraal gemiddeld risico, gemiddelde kosten voor maatregelen; Risicodragend men durft meer risico te lopen, lagere kosten voor maatregelen.
Uiteraard is het mogelijk om verschillende strategieën te gebruiken voor verschillende niveaus/onderdelen binnen een organisatie. De schade bij bedrijfskritische gegevens zal vaak hoger liggen dan relatiegegevens. Mogelijk is het ene risico wel acceptabel (en dus een risicodragende strategie) en het andere niet (en dus een risicomijdende strategie). Over de gehele organisatie heen kan dan gezegd worden dat de strategie risiconeutraal is. Naar mate de tijd vordert kan het natuurlijk gebeuren dat de wereld verandert. De strategie is gebaseerd op een inschatting, een momentopname. Hieruit volgt ook dat het proces van IB, en het komen tot strategieën en een pakket van maatregelen ook niet een eenmalige actie is maar een periodieke cyclus van handelingen. Een maatregel kan nu voldoende zijn maar morgen overbodig of niet toereikend. Een advies is dan ook om de strategie periodiek (elk kwartaal bijvoorbeeld) te herzien en te beoordelen of deze nog overeenstemt met de wereld om ons heen. (zie ook figuur 5)
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
16 van 27 1.0 12-04-13
5.2. IB standaarden Voor IB zijn er verscheidene typen standaarden te vinden/definiëren in de volgende categorieën: Bedrijfsspecifieke standaard: Door een organisatie zelf opgezette standaard Industriespecifieke standaard: Door een groep bedrijven opgezette standaard De facto standaard: Door de markt bepaalde standaard De jure standaard: Door een bevoegd overheidsorgaan bepaald Hieronder volgen kort een aantal van de meer bekende standaarden voor IB. Het is geen uitputtende lijst: ISO 27001: Specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ‘Information Security Management System’ ISO27002: Ook bekend als de ‘Code voor Informatiebeveiliging’, beschrijft normen en maatregelen, die van belang zijn voor het realiseren van een afdoend niveau van IB. NIST SP 800-53: Recommended Security Control for Federal Information Systems. NIST is een onderdeel van het Amerikaanse Ministerie van Economische Zaken. In deze standaard worden minimale beveiligingsmaatregelen opgesomd voor het realiseren van een acceptabel niveau van IB SGOP van het ISF: Standard of Good Practice van het Information Security Forum. Een internationale onafhankelijke non-profit organisatie welke gedetailleerde beschrijvingen biedt van ‘best practices’ voor IB. ISACA: Information Systems Audit and Control Association. Deze Amerikaanse organisatie heeft samen met het IT Governance Institute het CoBiT framework ontwikkeld. Control Objectives for Information and related Technology. Dit framework biedt ook handvatten voor IB. Voor een meer gedetailleerde omschrijving van deze standaarden en een algeheel selectie mechanisme wordt verwezen naar de PvIB Expertbrief-Januari 2009. (Zie bronvermelding)
5.3. Beleidsvorming Voor het opzetten van beleid rondom Informatiebeveiliging zijn er een aantal zaken waar rekening mee gehouden moet worden, te beginnen met de keuze voor welke standaarden gehanteerd worden als raamwerk. Deze keuze bepaalt namelijk een groot gedeelte van hoe het verdere beleid uitgewerkt kan worden. Een tweede aspect is de wetgeving waar een organisatie aan dient te voldoen. Voor veel organisaties schept dit al een groot kader waar het beleid voor ingevuld kan worden. Een ander aspect is de plek van het beleid. Binnen sommige organisaties valt de beveiliging binnen het algehele Informatiebeleid. In andere organisaties worden juist de Informatiebeveiliging randvoorwaardelijk gesteld voor het verdere Informatiebeleid. Het is in dit geval ook geen kwestie van goed of fout maar de mate waarin het binnen de organisatie te positioneren is. Het beleid moet in ieder geval vanaf het hoogste niveau opgezet worden. Een aangrenzende keuze die hier bij zal komen is de organisatorische inrichting van taken/bevoegdheden. Hoe kleiner de organisatie is, hoe moeilijker het zal zijn om een aparte afdeling voor Informatiebeveiliging in te richten. Een van de vormen van beleidsvorming en bijbehorende organisatorische inrichting is een SOC, een Security Operations Center. Binnen een SOC kunnen een veelvoud aan taken belegd worden, maar afhankelijk van welke taken kan ook de positie van de SOC zelf anders zijn. Het is bijvoorbeeld mogelijk om een SOC te hebben welke onder een IT afdeling valt. In dit voorbeeld wordt het moeilijk om onafhankelijke analyses uit te voeren. Vaker zal een SOC dan ook als stafafdeling ingericht worden. Het is echter ook
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
17 van 27 1.0 12-04-13
mogelijk om meerdere niveaus van SOC’s te hebben waarbij de verschillende taken belegd worden. Binnen het totale beleid voor Informatiebeveiliging moet in ieder geval opgenomen worden wie er eigenaar is van informatie en wie er verantwoordelijkheden heeft voor alle onderdelen binnen het beleid. Op het daadwerkelijk samenstellen van beleid wordt in dit document verder niet ingegaan. Er zijn legio cursussen bij verschillende trainingsproviders die uiteindelijk tot examinering (bijvoorbeeld bij EXIN) kunnen leiden. In het document voor Kwaliteitsmanager zit ook een verdiepingsslag voor het verder invullen voor beleid.
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
18 van 27 1.0 12-04-13
6. Wet- en regelgeving Er zijn vanuit wet- en regelgeving veel onderdelen welke invloed hebben op informatiebeveiliging. Voor een aantal sectoren zijn specifieke wetten opgesteld waaraan men moet voldoen om te garanderen dat informatie en het beheer ervan een bepaalde kwaliteit heeft. Bijvoorbeeld privacy van persoonsgegevens of financiële bijsluiters. Hieronder volgen een aantal specifieke sectoren met daarbij gestandaardiseerde beveiligingsitems.
6.1. Wet Bescherming Persoonsgegevens De Wet Bescherming Persoonsgegevens (WBP) heeft als doel het beschermen van persoonsgegevens die geregistreerd worden. Vastleggen van gegevens wordt door een verscheidenheid aan instanties gedaan. Het vastleggen zelf is niet het probleem maar het gebruik en inzage in deze gegevens is wel aan banden gelegd. Deze wet heeft betrekking op de verwerking van persoonsgegevens, hieronder valt het gehele traject van opslag tot vernietiging van gegevens. Een van de aspecten van deze wet is dat de verwerking van persoonsgegevens een vooraf gesteld doel dient te hebben. Een ander aspect is dat de verzamelde gegevens enkel gebruikt mogen worden voor het vooraf gestelde doel en nergens anders voor. Gegevens op basis waarvan gediscrimineerd kan worden zoals ras, godsdienst, strafblad mogen enkel door specifieke instanties opgeslagen worden. De WBP geeft aan welke organisatorische en technische maatregelen genomen moeten zijn om gegevens te beveiligen. Het college voor bescherming persoonsgegevens (CBP) ziet hier op toe en biedt kaders voor de manier van invullen.
6.2. Telecommunicatiewet De Telecommunicatiewet regelt sinds 1998 allerlei zaken met betrekking tot gegevensverkeer over openbare netwerken. De wet gaat in op een aantal onderwerpen waarvan de maatschappelijke belangen, het beschermen van de privacy van gebruikers en bevoegd aftappen van communicatie de belangrijkste onderdelen zijn. In deze wet wordt onder meer geregeld hoe netwerkoperators om moeten gaan met persoons- en verkeersgegevens. Deze gegevens hebben een rechtstreekse link met de Wet Bescherming Persoonsgegevens en in de praktijk zullen deze twee ook nauw verwant beschouwd worden. Voor het aftappen van gegevens (wat in feite een inbreuk is op de Integriteit en/of Vertrouwelijkheid) is geregeld in welke situaties dit mag voorkomen en door wie. In de regel vindt dit plaats op bevel van een officier van Justitie.
6.3. Wet elektronische handtekeningen De term ‘elektronische handtekening’ (niet exact hetzelfde als digitale handtekening) is een wettelijke definitie voor diverse, niet noodzakelijk cryptografische, methoden om de identiteit van iemand die een elektronisch bericht zendt te bevestigen. Dit omvat behalve een digitale handtekening ook bijvoorbeeld telegram en teleadressen en een handgeschreven handtekening op een gefaxt document. Een voorbeeld hiervan is de DIGID. In Europa is de digitale handtekening gelijkgeschakeld aan een “papieren handtekening”. (zie ook Richtlijn 99/93/EG op moment van schrijven). In Nederland is sinds 8 mei 2003 de wet elektronische handtekeningen tot stand gekomen. Een elektronische handtekening is betrouwbaar als aan de volgende voorwaarden is voldaan: Op unieke wijze aan de eigenaar verbonden; Het mogelijk maken de ondertekenaar te identificeren; Totstandkoming met middelen die de ondertekenaar onder zijn uitsluitende controle heeft; Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
19 van 27 1.0 12-04-13
Op zodanige wijze aan een elektronisch document is verbonden, dat wijziging achteraf kan worden ontdekt. Al deze elementen hebben ook verband met het non-repudiation/onweerlegbaarheids aspect wat ook uit de ISO25010 norm naar voren komt. Dit is onderdeel van de integriteit en authenticiteit van de informatie.
6.4. ISO/IEC 27001 / 27002 De ISO/IEC 27001 (in NL NEN-ISO/IEC 27001:2005) norm is een standaard voor informatiebeveiliging management systemen welke in oktober 2005 gepubliceerd is. Een organisatie kan hierop een audit laten uitvoeren om daarmee aan te tonen dat ze aan deze standaard voldoen. De standaard vereist dat management de volgende zaken uitvoert: Systematisch nagaan van de informatiebeveiligingsrisico’s, rekening houdend met dreigingen en impact; Ontwikkelen en implementeren van een samenhangende en begrijpelijke set aan informatiebeveiliging maatregelen om de onacceptabele risico’s te adresseren; en Een overkoepelend management proces inrichten om zeker te stellen dat de maatregelen continue invulling geven om de beveiliging benodigdheden van de organisatie te waarborgen. De ISO/IEC 27002 getiteld ‘Information technology - Security techniques - Code of practice for information security management’ geeft best practices voor het opzetten, implementeren en onderhouden van een Information Security Management System (ISMS). Een aantal van de onderdelen in deze norm zijn in de 27001 norm ook verwerkt. De normen worden ook vaak tegelijk gebruikt als er invulling gegeven wordt aan informatiebeveiliging. Organisaties die security controls hebben conform 27002 zullen vaak de standaard van 27001 halen maar missen mogelijk overkoepelende management systeem elementen. Het tegenovergestelde is ook waar, een organisatie die 27001 gecertificeerd is geeft aan dat er een security management systeem is maar geeft weinig inzicht over de absolute staat van informatiebeveiliging. Technische controles zoals antivirus en firewalls worden niet meegenomen in 27001 audits. Het is dus goed om te realiseren wat de subtiele verschillen tussen beide normen zijn.
6.5. Wetgeving in de zorg De NEN7510 en 7511 normen zijn gebaseerd op de 'Code voor Informatiebeveiliging' (gepubliceerd als NEN-ISO/IEC 17799 en nu aangeduid als NEN-ISO/IEC 27002) en toegesneden op de Nederlandse gezondheidssector. Onder informatiebeveiliging in de zorg wordt verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. De 7512: Vertrouwensbasis voor Gegevensuitwisseling norm is in twee opzichten een aanvulling op de richtlijnen die NEN 7510 aan organisaties in de zorg geeft voor hun informatiebeveiliging. In de eerste plaats richt deze norm zich op de zekerheid die partijen elkaar moeten bieden als voorwaarde voor vertrouwde gegevensuitwisseling. Ten tweede levert deze norm een nadere invulling voor een aantal van de richtlijnen van NEN 7510. Dat betreft dan vooral de aanzet tot risicoclassificatie en de uitwerking van de eisen over identificatie en authenticatie die behoren bij een bepaalde risicoklasse. Het toepassingsgebied van deze norm is de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg zijn betrokken. NEN 7512 geeft een schematische benadering voor het classificeren van communicatieprocessen naar het risico dat zij voor de gezondheidszorg met zich meebrengen. Aansluitend bij die classificatie worden voor uitwisseling van gegevens Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
20 van 27 1.0 12-04-13
minimumeisen gesteld met betrekking tot de bron van de gegevens, het transportkanaal en de ontvanger van de gegevens. Bron en ontvanger kunnen personen zijn, maar ook organisaties of hun informatiesystemen. Als overkoepelend begrip wordt hiervoor in deze norm de term "entiteiten" gebruikt. In deze norm wordt aangegeven welke zekerheid over de identiteit van de te vertrouwen partij voor de onderscheiden risicoklassen voldoende wordt geacht. Een te vertrouwen partij zal zijn identiteit en eventueel kwalificaties moeten aantonen en de vertrouwende partij moet die kunnen controleren. Door deze authenticatie wordt de vereiste zekerheid bereikt. Bij elk van de risicoklassen geeft deze norm de minimaal vereiste wijze van authenticatie en de bijbehorende bewijsstukken. Voor de acceptatie van bewijsstukken is vertrouwen nodig in de uitgevende instantie en in de mate waarin het bewijsstuk bestand is tegen vervalsing en onrechtmatig gebruik.
6.6. De Wet Computercriminaliteit De Wet Computercriminaliteit (WCC) heeft met name te maken met computervredebreuk. Binnendringen in een daartegen beveiligd computersysteem; Het wederrechtelijk wijzigen en toevoegen van gegevens in een computer, ook als ze niet beveiligd zijn; Het opzettelijk of door nalatigheid beschadigen of onbruikbaar maken of storen van een computersysteem dat wordt gebruikt ten algemenen nutte. In alle drie de bovenstaande zaken wordt een van de zaken van IB aangetast tot op het punt dat het strafrechtelijk vervolgbaar is. Volgens deze wet dient er een ‘redelijke’ mate van beveiliging te zijn welke afgestemd moet zijn op het doel en gebruik van het computersysteem. Een minimale eis is het gebruik van wachtwoorden maar bij specifieke instellingen als banken of universiteiten zijn er zwaardere eisen.
6.7. Code Tabaksblat De Nederlandse ‘corporate governance code’, vaak aangeduid als code-Tabaksblat is een gedragscode voor beursgenoteerde bedrijven. Deze bevat regels voor taken, werkwijzen, hoogtes van beloningen voor bestuurders en commissarissen. Om de naleving van deze code te bevestigen is het noodzakelijk om aan te tonen dat informatie over de onderwerpen hiervoor beschikbaar is. Een van de hoofdregels binnen de code is het ‘pas toe of leg uit’ principe: beursgenoteerde bedrijven moeten in het jaarverslag aangeven of zij alle voorschriften toepassen en zo niet, waarom niet. Alle onderdelen binnen deze code stellen hun eigen eisen aan de informatiebeveiliging. Niet voldoen aan de code kan negatieve gevolgen hebben op de beurs, bijvoorbeeld een daling van de koersen.
6.8. Sarbanes-Oxley Act De Sarbanes-Oxley act (afgekort tot SOx) is een Amerikaanse wet welke naar aanleiding van een aantal grote bestuursschandalen meer bijval kreeg. Belangrijke artikelen binnen deze act zijn de 302 en de 404. 302: Behandelt de controle van verspreiding van informatie. De leiding van een bedrijf dient periodiek te rapporteren over de effectiviteit van de controles op verschillende niveaus 404: Behandelt regels voor interne controle en financiële rapportering. Het management wordt verplicht om jaarlijks expliciet een uitspraak te doen over de betrouwbaarheid van de interne controles die in het bedrijf gehanteerd worden. De cijfers welke opgeleverd worden door accountants zijn hierin cruciaal. Aangezien het vaak voorkomt dat cijfers door softwareprogrammatuur opgeleverd worden moeten er ook bewijzen aangeleverd worden om aan te tonen dat deze op deugdelijke wijze tot stand zijn gekomen. Zaken waar rekening mee gehouden moet worden: Welke software is er aangepast?; Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
21 van 27 1.0 12-04-13
Wie heeft de software aangepast; Waarom is de software aangepast; Wat is er aangepast (t.o.v. de vorige versie); Wie heeft de software vrijgegeven?
In alle bovenstaande onderdelen speelt informatiebeveiliging dus een cruciale rol. De integriteit van de cijfers moet worden gewaarborgd bij zowel aangepaste als niet aangepaste software. Deze wetgeving stelt ook veel eisen aan de Administratieve Organisatie (de niet technische informatievoorziening) welke ook meegenomen moeten worden bij het informatiebeveiligingsbeleid. Onderdelen hierin zijn ‘Application Controls’ (AC), geautomatiseerde controles binnen een applicatie, en ‘User Controls’ (UC), handmatige controles die door management worden uitgevoerd. Een voorbeeld van AC: "zolang de gebruiker niet alle gevraagde gegevens heeft ingevuld, wordt de order niet door het systeem geaccepteerd." Een voorbeeld van UC: Transaction monitoring. Beide typen controls moeten ook in een testproces gecontroleerd worden of deze nog werken. Hier wordt verder op ingegaan in het document voor Testmanagers.
6.9. Voorschrift Informatiebeveiliging Rijksdienst (VIR) Het besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR) is op 1 januari 1995 van kracht geworden en regelt de wijze waarop de Nederlandse Rijksoverheid omgaat met de beveiliging van haar informatie. Het VIR is geen lijst met maatregelen die moeten worden doorgevoerd maar geeft een klein aantal basisregels. Het VIR is een doelstellende regeling, die veel overlaat aan de verantwoordelijke beheerders zelf. De regeling stelt minimumeisen aan het te ontwikkelen beveiligingsbeleid binnen een ministerie. Daarnaast worden eisen gesteld aan het stelsel van maatregelen dat dit beleid in de praktijk moet brengen. De beheerder van de informatie moet daartoe een risicoafweging maken waaruit blijkt welke maatregelen getroffen moeten worden. Op basis van die risicoafweging moeten informatiebeveiligingsplannen worden opgesteld. De eerste versie van het VIR (VIR 1994) was geldig van 1 januari 1995 tot 30 juni 2007. Op 1 juli 2007 is vervolgens de nieuwe versie van het VIR (VIR 2007) van kracht geworden. Met name bij functies binnen de overheid zal het proces van risicoanalyses en bijbehorende maatregelenpakket door dit voorschrift de belangrijkste invulling zijn voor IB.
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
22 van 27 1.0 12-04-13
7. Speciale aandachtsgebieden 7.1.
Cloud
Een steeds groter wordende trend is het gebruik van cloud diensten. Cloud diensten volgen het principe waarbij (onderdelen van) software niet meer lokaal aanwezig is(/zijn) in een afgeschermde omgeving maar centraal bij een andere partij draait. Door de schaalvoordelen die zulke partijen kunnen bieden kan de ondersteuning op grote pakketten goedkoper uitvallen. Echter, voor de informatiebeveiliging kan dit juist meer risico’s betekenen. Waar bij een lokale applicatie in ieder geval nog de verbinding met de buitenwereld afgeschermd kan worden of de fysieke deur nog op slot kan wordt dit bij een cloud dienst aanzienlijk moeilijker. De maatregelen die hiervoor genomen kunnen worden zijn legio. Alles wat je voor een eigen standaard applicatie al als risico zag, plus datgene wat het buiten de deur plaatsen nog met zich mee brengt. Al met al kan voor informatiebeveiliging een cloud dienst misschien duurder uitpakken. Het is dan ook zaak om bij het gebruik van cloud diensten nog beter op de informatiebeveiliging en de maatregelen te letten. De keerzijde van bovenstaand verhaal is dat mensen bij cloud diensten een bepaald imago van veilig moeten hebben voordat men het vertrouwd genoeg acht om deze dienst af te nemen. Dit kan er voor zorgen dat een cloud dienst standaard beter beveiligd is dan de huidige eigen informatiebeveiliging. Voor het MKB kan dit zelfs een goedkopere oplossing zijn omdat er niet genoeg middelen zijn om het volledige spectrum van IB zelf in te vullen. Dan lijkt het ook meer op het uitbesteden van de informatiebeveiliging in zijn geheel. Hierbij blijft echter wel altijd de vraag aanwezig, veilig ten opzichte van wat. Als elke partij cloud diensten gebruikt blijven de eerder genoemde risico’s aanwezig. In een audit wordt een cloud dan ook als een intern systeem beschouwd indien een bedrijfsproces gebruik maakt van de cloud. Dit is wel iets waar men bewust van moet zijn bij het gebruik van clouddiensten binnen de informatiebeveiliging.
7.2.
Social Media
Niet alleen wordt Social Media steeds meer geïntegreerd in het dagelijkse leven, ook vanuit de werksfeer komen zaken als BYOD (Bring Your Own Device) en ‘het nieuwe werken’ naar voren. Veel mensen hadden een aantal jaar geleden niet voorzien hoe snel deze zaken nu soms als natuurlijk ervaren worden. Bij al deze ontwikkelingen is het wel noodzakelijk om in de gaten te houden hoe de huidige situatie is en hoe een nieuwe situatie kan ontstaan. Bij het bepalen van risico’s kan er door een trend ineens een volledig andere dimensie bijkomen. Een simpel voorbeeld hiervan is een eigen gebrachte mobiele telefoon met een netwerk naar buiten toe. Zonder adequate maatregelen is het mogelijk dat er informatie naar buiten gaat wat niet de bedoeling was. Een ander aspect hierbij is een fenomeen genaamd ‘shoulder surfing’, het over iemands schouder mee kijken in een publieke ruimte. Doordat mensen (vaker) in een publieke ruimte werken neemt het risico dat een buitenstaander hier mee kan kijken ook toe. (zie ook volgende hoofdstuk over Social Engineering). Informatie verspreid zich via social media een stuk sneller dan voorheen. Dit betekent ook dat bij negatieve berichten zoals beveiligingslekken dit ook veel sneller bij meer mensen bekend raakt. De risico’s van negatieve imago’s / imagoschade nemen dan ook toe. Voor bijvoorbeeld de banken-/financiële sector, waar vertrouwen een belangrijk onderdeel is, wordt dit effect behoorlijk serieus genomen. Hoe meer problemen er met informatiebeveiliging zijn en via social media bekend raken hoe meer het vertrouwen daalt. Andersom is ook het gebruik van financiële applicaties op smartphones in combinatie met social media moeilijk te beveiligen aangezien de hoeveelheid combinaties van scenario’s fors toeneemt.
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
23 van 27 1.0 12-04-13
7.3. Social Engineering In een tijd dat steeds meer via internet en Social Media wordt gecommuniceerd en gedeeld bestaat hier een groot risico. Via sites zoals LinkedIn bijvoorbeeld is van buiten de organisatie toch makkelijk een organogram op te stellen. Zeker als er in een team een hechte sociale band is. Maar wat heeft een buitenstaander hier nu aan? In eerste instantie misschien niets, maar gecombineerd met andere gegevensbronnen is het mogelijk om bijvoorbeeld identiteitsdiefstal te plegen. Met een goed gevuld organogram en een gekopieerde ID kaart is het mogelijk om bij bedrijven naar binnen te komen. Als er geen controle zit op wie wat mag doen kan een Social Engineer vervolgens mensen proberen te manipuleren om informatie los te weken. Of misschien wel geld over te maken naar een bankrekening welke niet bij de daadwerkelijke eigenaar behoort. Een bekend voorbeeld hiervan is ‘Phishing’ (vissen naar gegevens) waar veel mensen in hun privé leven ook mee te maken krijgen. Als men niet doorheeft dat iets een ‘phishing’ poging is kan men onbedoeld gegevens mee geven waarna financiële schade aangebracht kan worden. Voor een enkel individu is dit al vervelend, op grotere schaal voor bedrijven kunnen de kosten al snel oplopen. Dit vereist continu aandacht voor de mogelijkheden die geschapen zijn om dit te doen. Hier komt ook het continu herzien van een risico analyse in terug.
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
24 van 27 1.0 12-04-13
8. Bijlage: woordenlijst Woord / afkorting
Definitie
Negatieve variant van Use cases, een methode om malafide gebruik van het systeem te bedenken Application Controls; geautomatiseerde controles binnen AC een applicatie Accepteren (maatregel) Beveiligingsmaatregel welke gericht is op het accepteren van een risico en de bijbehorende schade ALE Engelse afkorting voor Annual Loss Expectancy (zie Jaarlijkse Schade Verwachting) Annual Loss Expectancy Engelse term voor schadeverwachting op jaarbasis Authenticiteit De verifieerbaarheid van een claim over de oorsprong of auteur van informatie Authenticity Engelse term voor Authenticiteit (zie Authenticiteit) Availability Engelse term voor Beschikbaarheid (zie Beschikbaarheid) Baseline Checklist Op basis van checklists bekijken of aan de set van beveiligingsmaatregelen wordt voldaan Beschikbaarheid De mate waarin informatie beschikbaar is voor de gebruiker Bezit of Controle De mate van eigendom van de informatie Business Informations Services Library; Model voor het BISL inrichten van Functioneel Beheer in een organisatie BIV Afkorting voor drie aspecten binnen informatiebeveiliging, Beschikbaarheid, Integriteit, Vertrouwelijkheid Bouwkundige maatregel Beveiligingsmaatregel welke betrekking heeft op het fysieke object en waar deze zich bevindt CBP College voor Bescherming Persoonsgegevens CIA Afkorting voor Engelse variant van drie aspecten van informatiebeveiliging, Confidentiality, Integrity, Availability Control Objectives for Information and related Technology; framework voor controle op informatie binnen een CoBiT organisatie Code Tabaksblatt Gedragscode voor beursgenoteerde bedrijven Confidentiality Engelse term voor Vertrouwelijkheid (zie Vertrouwelijkheid) Corporate Governance Engelse term voor 'bestuur van een onderneming'; ook goed, efficiënt en verantwoordelijk leiden van een onderneming Correctieve maatregel Beveiligingsmaatregel welke gericht is op het herstellen van de ontstane schade na een incident Cracken Het (malafide) omzeilen van (technische/elektronische) beveiligingsmaatregelen Detectieve maatregel Beveiligingsmaatregel welke gericht is op het waarnemen/detecteren van incidenten Dreiging (ook bedreiging) Proces of gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object Elektronische maatregel Beveiligingsmaatregel welke betrekking heeft op de ICT infrastructuur Fysieke beveiliging Beveiligingsmaatregel welke op de fysieke onderdelen betrekking heeft Hacken Het (bonafide) omzeilen van (technische/elektronische) beveiligingsmaatregelen IB Afkorting voor informatiebeveiliging Abuse cases
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
25 van 27 1.0 12-04-13
Incident
Een werkelijk geworden dreiging; een proces of gebeurtenis welke een verstorende invloed heeft op de betrouwbaarheid van een object Informatiebeveiliging Verzamelnaam voor processen die ingericht worden om de betrouwbaarheid van de – al dan niet geautomatiseerdeinformatiesystemen en de daarin opgeslagen gegevens te beschermen tegen (opzettelijke) onheil. Informatiesysteem Geheel van middelen, procedures, regels en mensen dat de informatievoorziening voor een bedrijfsproces verzorgt Informatievoorziening Het geheel van mensen, middelen en maatregelen gericht op de informatiebehoefte van een organisatie Integriteit De mate waarin de informatie actueel en zonder fouten is Integrity Engelse term voor Integriteit (zie Integriteit) Information Systems Audit and Control Association; Amerikaanse organisatie welke CoBiT framework heeft ISACA helpen ontwikkelen ISMS Information Security Management System ISO norm voor managementsystemen van ISO 27001 informatiebeveiliging ISO 27002 ISO norm voor Code voor informatiebeveiliging ISO25010 ISO norm voor kwaliteitskenmerken van software Jaarlijkse Schade Schadeverwachting op jaarbasis. Formule: JSV = totale Verwachting schade (direct+indirect) / hoeveel keer per tijd (in jaren) JSV Afkorting voor Jaarlijkse Schade Verwachting Norm voor informatiebeveiliging toegesneden op de NEN7510 / 7511 zorgsector Amerikaanse normering vanuit het ministerie van NIST SP 800-53 Economische zaken voor informatiebeveiliging OBE Afkorting voor Organisatorisch, Bouwkundig en Elektronisch; type fysieke beveiligingsmaatregel Organisatorische Beveiligingsmaatregel welke betrekking heeft op de maatregel organisatie inrichting Open Web Application Security Project; Onafhankelijke organisatie welke zich richt op applicatiebeveiliging door OWASP middel van open source tooling Parkerian Hexad Uitgebreidere indeling voor informatiebeveiligingsaspecten met zes onderdelen, Beschikbaarheid, Integriteit, Vertrouwelijkheid, Bezit, Authenticiteit en Utiliteit Testvorm om een computersysteem te testen op kwetsbaarheden waarbij deze ook gebruikt mogen worden Penetratietest om in te breken Poging tot het vissen naar gegevens, bijvoorbeeld Phishing bankgegevens Possession Engelse term voor Bezit of Controle (zie Bezit of Controle) Preventieve maatregel Beveiligingsmaatregel welke gericht is op het voorkomen van incidenten Quick Scan Methode om op basis van vragenlijsten snel een normering af te kunnen geven op een aandachtsgebied Reduceren (maatregel) Beveiligingsmaatregel welke gericht is op het verminderen van de dreiging Repressieve maatregel Beveiligingsmaatregel welke gericht is op het verminderen of stoppen van de gevolgen van een incident
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
26 van 27 1.0 12-04-13
Risico
gemiddelde schade over een tijdsperiode, die verwacht wordt doordat één of meer bedreigingen leiden tot een verstoring van één of meer objecten van de Informatievoorziening. Formule: Risico = Kans X Schade Risicoanalyse Proces waarmee inzichtelijk gemaakt kan worden welke dreigingen relevant zijn voor bedrijfsprocessen en welke risico’s hiermee gepaard gaan Amerikaanse wetgeving voor informatievoorziening binnen Sarbanes-Oxley Act een bedrijf SDLC Software Development Life Cycle Security Alternatieve term voor (informatie)beveiliging De mate waarin mensen binnen een organisatie zich bewust zijn van informatiebeveiliging. Ook: training voor het Security Awareness verbeteren van de bewustwording Veelgebruikte functienaam voor de persoon die binnen een organisatie verantwoordelijk is voor Security Officer Informatiebeveiliging/Security. Een organisatorische inrichting voor security waarbij het Security Operations mogelijk is om meerdere niveaus binnen een organisatie te Center hebben Specifieke testvorm voor het testen van de beveiliging van applicaties; Ook: proces ter identificatie van de verschillende kwetsbaarheden in een systeem als gevolg van een ontwerp dat niet aan de requirements t.a.v. de beveiliging voldoet of als gevolg van onregelmatigheden in Security Testing de codering. Standard of Good Practice van het Information Security SGOP van het ISF Forum. Methode waarmee gebruikers op basis van 1 username/wachtwoord in kunnen loggen in het kader van Single Sign On gebruikersgemak Afkorting voor Security Operations Center (Zie Security SOC Operations Center) Methode om op basis van sociale constructies informatie te Social Engineering achterhalen waarmee schade kan worden berokkend SOx Sarbanes-Oxley Act User Controls; Handmatige controles die door management UC kunnen worden uitgevoerd Utiliteit De bruikbaarheid van informatie Utility Engelse term voor Utiliteit (zie Utiliteit) Vertrouwelijkheid De mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep die daar rechten toe heeft Verzekeren (maatregel) Beveiligingsmaatregel welke gericht is op het anderen laten dragen van de risico's i.v.m. kostbaarheid VIR Voorschrift Informatiebeveiliging Rijksdienst zoeken naar en toegang verkrijgen tot het draadloos War Driving netwerk van het bedrijf WBP Wet Bescherming Persoonsgegevens WCC Wet Computer Criminaliteit Zwakheid Een te gebruiken hiaat in de beveiliging van het object
Almere © 2013
Proud of it
Organisatie Titel
SYSQA B.V. Basiskennis Informatiebeveiliging
Pagina Versie Datum
27 van 27 1.0 12-04-13
9. Bronvermelding: Informatiebeveiliging onder controle: Grondslagen, management, organisatie en techniek door Paul Overbeek, Edo Roos Lindgreen, Marcel Spruit ISBN/EAN 978-90-430-0692-7 Basiskennis beveiligen van informatie 10-10-2008 ISBN/EAN 978-90-813341-1-2 Risicomanagement op basis van M_o_R® en NEN/ISO 31000, Douwe Brolsma, Mark Kouwenhoven. ISBN10: 9087536569, ISBN13: 9789087536565 Expertbrief – IB standaarden.pdf PvIB Expertbrief – januari 2009 ISSN 1872-4876, jaargang 5 – Nr. 1 ExpertBrief - SOC V1.0 definitief.pdf PvIB Expertbrief – februari 2011 ISSN 1872-4876, jaargang 7 – nr. 3 Platform voor InformatieBeveiliging: www.pvib.nl Open Web Application Security Project www.owasp.org Foundations van ITIL v3, Informatiesecuritymanagement.PDF College Bescherming Persoonsgegevens www.cbpweb.nl Wikipedia Voorschrift Informatiebeveiliging Rijksdiensten http://wetten.overheid.nl/BWBR0022141/geldigheidsdatum_13-03-2013 NEN 7510 http://www.nen7510.org/
Almere © 2013
Proud of it
