Information Security Foundation Hoofdstuk: 1 Basisbegrippen

vrg:

trefwoord

trefwrd onderverdeling

omschrijving

ISF

Information Security Foundation

ISF

Hoofdstuk:

1

Basisbegrippen

1152 Informatie en organisatie blz 9 1.1

beveiligingsincident - is een gebeurtenis die de betrouwbaarheid van de informatie óf de informatieverwerking kan verstoren. Alles dat buiten afspraken gebeurdx is een beveiligingsincident. Bedreigingen is een mogelijkheid tot voorkomen.

1153 Informatie en organisatie blz 10 1,1

informatiebeveiliging richt zich op > - het beveiligen van informatie, - het maken van plannen om te voorkomen dat er beveiligingsincidenten plaatsvinden én - het nemen van voorzorgsmaatregelen om de gevolgen ervan te verkleinen.

1154 Waarde van informatie blz 11 1.2

4 productiefactoren - 1. grond 2. kapitaal 3. arbeid 4. informatie De waarde van grond, kapitaal en arbeid is makkelijk te bepalen, bij informatie wordt dat moeilijker.

1155 Waarde van informatie blz 11

2 factoren -

1.2

vrijdag 15 januari 2016

*

De waarde van informatie bestaat uit 2 factoren > - KWALITEIT vd informatie - BELANG vd informatie

Pagina 1 van 32

vrg:

trefwoord


omschrijving

1156 Waarde van informatie - kwaliteitseisen blz 11

betrouwbaarheid -

***

Kwaliteitseisen kunnen worden samengevat met het begrip BETROUWBAARHEID.

1.2

Betrouwbaarheid bestaat uit 3 aspecten (BIV) > - BESCHIKBAARHEID > dit is de mate waarop de info op het juiste moment beschikbaar is voor de gebruikers en wordt vaak uitgedrukt in een percentage. Beschikbaarheid heeft de volgende kenmerken (CRT) > - Continuïteit > kan info ook in de toekomst verstuurd worden? - Robuustheid > is de info bestand tegen storingen? - Tijdigheid - INTEGRITEIT > geeft de mate waarin gegevens een afspiegeling zijn vd werkelijkheid. Integriteit heeft de volgende kenmerken (ACCGONV) > - Authenticiteit > komt het vd juiste bron? - Correctheid - Controleerbaarheid - Geldigheid - Onweerlegbaardheid > heeft de verzender de info verzonden? - Nauwkeurigheid - Volledigheid - VERTROUWELIJKHEID > geeft de mate waarop de toegang tot deze informatie is beperkt tot de juiste personen. Vertrouwelijkheid heeft de volgende kenmerken (EP) > - Exclusiviteit > is de informatie voldoende afgeschermd tegen onbevoegden? - Privacy > wordt er op een correcte manier met gegevens omgegaan? JUISTHEID past bij veel deelaspecten, denk hier aan: tijdigheid > moet op de juiste tijd geleverd worden en ook aan bv correctheid > de info moet juist zijn etc.

1157 Continuïteit blz 13

continuïteit -

1.3

hiermee bedoelen we de mate waarin bedrijfsprocessen ongestoord doorgang kunnen vinden gedeurende een afgesproken tijdsperiode. Het is de taak vh management ve organisatie om maatregelen te nemen om verstoringen te voorkomen of de gevolgen ervan te verminderen, dit noemt men Continuïteitsmangement (Continuity management) en is in de eerste instantie een taak vh lijnmanagement ve organisatie. Continuïteitsmangement (Continuity maangement) > is een voortdurend proces dat uit de volgende stappen bestaat > 1. BELEID > directie moet de eisen en randvoorwaarden vastellen en moet aangeven waar de prioriteiten liggen, dit wordt omgezet naar een continuïteitsplan, dat regelmatig herzien moet worden. 2. RISICOANALYSE > geeft inzicht in risico's en de schade die dit kan veroorzaken. Het aspect bedreiging is hier een onderdeel van. 3. MAATREGELEN > kunnen genomen worden om schade te beperken.

1158 Continuïteit blz 13

continuïteitsplan -

1.3


geeft antwoord op de volgende vragen > - welke bedreigingen zijn er voor de continuïteit? - hoe groot is de kans dat deze optreden? - welke schade hebben we dan? - welke maatregelen kunnen we nemen om het risico te verkleinen? - wie is daar verantwoordelijk voor implementatie vd maatregelen en het toezicht daarop?

Pagina 2 van 32

vrg:

trefwoord


omschrijving

1159 Bedreigingen, bedreigingsanalyse en kwetsbaarheid blz 14

bedreigingen -

1.4.1

Bedreiging is een gebeurtenis die een verstorende invloed KAN hebben op betrouwbaarheid (BIV) vd informatie en/of het IS. Er zijn de volgende soorten bedreigingen > - MENSELIJKE bedreigingen > - Onopzettelijk > door gebruikers, gasten en/of beheerders ; (volgens boek hoort hier ook het gebruik van illigale software bij ???) - Opzettelijk > door hackers, criminelen, saboteurs, fradeurs; Deze kunnen ook nog opgeverdeeld worden in > - Personeel, hacker, terrorist, criminieel, klant, concurrent; - NIET-MENSELIJKE bedreigingen > - Natuur > (aarbeving, blikseminslag, overstormingen, ziekte, ongevallen e.d.); - Storingen > uitval van IS en storingen door stroom, fouten in hard- en software, kortsluiting, statische elektriciteit, e.d.

438

1160 Bedreigingen, bedreigingsanalyse en kwetsbaarheid blz 17 1.4.1

beveiliging en kwetsbaarheid -

BEVEILIGING / SECURITY > is het middel om de veiligheid vd informatie te waarborgen. VEILIGHEID / SAFETY > het bieden van bescherming tegen bekende risico's en het zoveel mogelijk voorkomen v onbekende risico's. INFORMATIEBEVEILIGING houdt zich bezig met het treffen van maatregelen om de betrouwbaarheid (BIV) vd inbformatie en de informatievoorzieningen te waarborgen en de hiervoor bedrijfsmiddelen te beschermen.


Pagina 3 van 32

vrg:

trefwoord


omschrijving

1161 Bedreigingen, bedreigingsanalyse en kwetsbaarheid blz 17 1.4.1

kwaadaardige software -

we maken onderscheid tussen > - VIRUS > is een programma dat tot doel heeft zichzelf te vermenigvuldigen, waarbij één of meerdere , eventueel gewijzigde virussen aangemaakt worden. Een virus hecht zich aan een normaal programma en als dat gestart wordt start het vius ook en voert dan ongewenste activiteiten uit. De werken van een virus noemt met PAYLOAD. - WORM > werkt als een virus, maar een worm heeft geen gastheer nodig om geactiveerd te worden. - TROJAN HORSE > is een programma dat zich voordoet alsof het onschadelijk is, terwijl het op de achtergrond van allerlei ongewenste activiteiten uitvvoerd. Deze zijn ook meestal kwaadaardig. - LOGISCHE BOM > is een stukje programmacode in een programma dat alleen bij een bepaalde combinatie v gebeurtenissen start en dan ongewenste activiteiten uitvoerd. BV op een bepaalde datum vrijdag de 13e de PC platgooien. - HOAX > is een bericht of een kettingbrief in email-vorm. De bedoeling is om zoveel verkeer te veroorzaken dat de netwerken zich erin verslikken en alles vastloopt. - SPAM > is ongevraagde en ongewenste emails die in grote aantallen verstuurd worden. Netwerken kunnen erdoor verstopt raken.


Pagina 4 van 32

vrg:

trefwoord


omschrijving


bedreigingsanalyse -

1.4.2

verschaft inzicht in de bedreigingen en de mogelijke gevolgen v die bedreigingen. - Eerst is er een bedreiging die schade kan veroorzaken aan een object; - Dan vindt er een beveiligingsincident plaats; - Deze gebeurtenis kan tot concrete schade leiden; - Deze schade kan van financiële aard zijn of van immateriële aard zijn. Het risico geeft aan hoe groot de schade kan zijn en hoe groot de kans op die schade is. Deze kunnen ook de kwaliteitsaspecten van de BETROUWBAARHEID (BIV) vd informatie en hun aantasten > 1. Beschikbaarheid > de gegevens zijn er niet meer, in beperkte mate beschikbaar, beschadigd of gewist ed; 2. Integriteit > de gegevens zijn niet meer correct of volledig of gewist; 3. Vertrouwelijkheid > de gegevens zijn toegankelijk geworden voor onbeveogden.

440

439


kwetsbaarheid -

***

is de mate waarop een object gevoelig is voor een bepaalde bedreiging.

1.4.3


Pagina 5 van 32

vrg:

trefwoord


omschrijving

1164 Risico en risicoanalyse blz 21

risico -

1.5

**

is het product van de kans dat een object vd informatievoorzineing wordt getroffen door een bedreiging en de schade die dat tot gevolg heeft. Om deze in kaart te brengen wordt er een risicoanalyse uitgevoerd, deze bestaat minstens uit de volgende elementen (OBSIR) > - Object > welke worden bedreigd? - Bedreiging > wat en welke zijn er voor deze objecten? - Schade > hoe groot is de schade dan? (schade); - Incident > welke kunnen zich voordoen? (kans); - Risisco > wat is de kans dat het zioch voordoet en hoe hoor is de schade? Per object worden alle bedreigingen bekeken en een inschatting gemaakt van hoe groot dat de kans is dat deze zich gaat voordoen. Doel vd RISICOANALYSE is het in kaart brengen vd objecten die worden bedreigd en de risico's die verband houden met deze objecten. Daarna kan naar maatregelen worden gezocht om te proberen te voorkomen. Wordt voor ieder object apart uitgevoerd dat voor een bepaald risico in aanmerking komt. INCIDENT > is een bedreiging die zich voordoet (betekenis wijkt hier af van ITIL).

301

1165 Risico en risicoanalyse blz 21

risicomangement -

1.5.1

***

bestaat uit een combinatie van analyserende en sturende maatregelen met als doel de risico's te identificeren en maatregelen te ontwerpen en in te voeren, waardoor de kans dat een risico zich voor gaat doen, tot een acceptabel niveau teruggebracht wordt. Zie ook de methode CRAMM van ITIL.

441


Pagina 6 van 32

vrg:

trefwoord


omschrijving

1166 Risico en risicoanalyse blz 22 1.5.2

soorten risico analyses -

er worden de volgende methoden onderscheiden > 1. STANDAARD VRAGENLIJST > is een eenvoudige aanpak met 2 vormen > - QUICK SCAN > is een standaard vragenlijst van buiten de organisatie. - BASELINE CHECKLIST > Een baseline is een basisniveau van beveiliging dat uit een stelsel van interne maatregelen betreft die binnen de hele organisatie doorgevoerd worden. Op basis vd Code voor Informatievbeveiliging zijn er vragenlijsten samengesteld om tot een basis niveau te komen. Voordelen > - goedkoop, snel in te voeren, normeerbaar, inzichtelijk, bewustwording. Nadelen > - standaard, statisch. 2. KWALITIEVE RISICOANALYSE > hier worden risico's geanalyseerd en de mogelijke schade geschat. BV de A&K-analyse (= Afhankelijkheids- en Kwetsbaarheidsanalyse). Deze bestaat uit 4 onderdelen > - AFHANKELIJSHEIDSANALYSE > hier bepaal je hoe afhankelijk de bedrijfsprocessen ve IS zijn en welke schade erop treedt als het IS faalt; - CONFIGURATIEANALYSE > bepalen welke objectendeel uitmaken van het IS en hun relaties; - KWETSBAARHEIDSANALYSE > welke bedreiging relevant zijn voor de obejecten vh IS en hoe kwetsbaar deze zijn; - MAATREGELENANALYSE > bepalen en implementeren welke maatregelen men moet nemen om een IS dusdanig te beschermen zodat de risico's acceptabel zijn voor een onderneming. Voordelen > - maatwerk, dynamisch, hackers (hebben minder inzicht). Nadelen > - complex, tijd, kosten, informatieoverload. 2. KWANTIATIEVE RISICOANALYSE > dit is de meest uigebreide en gedetaillieerde vorm, waarbij de risico's worden gekwantificeerd in meetbare criteria, zoals geld. Het risico kan dan bereken worden met de formule R = K*S, deze methode wordt alleen in specifieke situaties toegepast. Voordelen > - maatwerk, dynamisch, hackers (hebben minder inzicht). Nadelen > - complex, tijd, kosten, informatieoverload.

442


Pagina 7 van 32

vrg:

trefwoord


omschrijving


risicobeperkende maatregelen -

hebben tot doel de risico's te verkleinen door een van de factoren (schade of kans) te beïnvloeden. Dit kan door bijvoorbeeld > - regelmatig te back-uppen, virusscanner, wachtwoorden, e.d.


risicoanalyse binnen ITIL - CRAMM -

CRAMM is de CCTA Risico Analyse Management methode, zie figuur. Is een kwantitatieve risicoanalyse, die gebaseerd is op de formule R= S*K en bestaat uit risicoanalyse en risicomanagement. CRAMM kent 2 soorten maatregelen > 1. risicobeperking > preventieve maatregels; 2. uitwijkplanning > maatregels om zo snel mogelijk te herstellen.

486


welke hangt af van de volgende factoren > risicoanalysemethode - URGENTIE > hoe snel moet het resultaat beschikbaar zijn? kiezen? - KWETSBAARHEID - ORGANISATIECULTUUR > is de organisatie zich al bewust van de bedreigingen? - VOLWASSENHEID > Hoe volwassen is de organisatie?


Pagina 8 van 32

vrg:

trefwoord


omschrijving

1170 Organisatie vd informatiebeveiliging blz 28 1.6

proces Het informatiebeveiligingsbeleid is een onderdeel van het algehele organisatiebeleid. informatiebeveiliging De beveiligingsstrategie is afhankelijk van de eisen en randvoorwaarden van de organisatie. Het proces informatiebeveiliging bestaat uit 6 stappen > 1. Beleid & organisatie 2. Risicoanalyse 3. Maatregelen 4. Implementatie 5. Bewaking 6. Evaluatie Punt 1 t/m 3 zal normaliter door het management gebeuren. 444

445


Pagina 9 van 32

vrg:

trefwoord


omschrijving

1171 Informatiebevielingsplan blz 30 1.7

informatiebevielingsp hierin wordt beschreven welke beveiligingsmaatregelen gekozen zijn, de reden waarom, de lan middelen en geven richtlijn van de implementatie daarvan. Het omschrijft de volgende onderwerpen > - doelstelling en reikwijdte - de te beveiligen objecten en hun eigenaar - organisatie vd informatiebeveiliging - taken, verantwoordelijkheden en bevoegdheden - beveiligingseisen en -randvoorwaarden - objecten, risico's en maatregelen - registratie en afhandeling v beveiligingsincidenten - calimiteitenplan met uitwijk- en herstelprocedures - opleidingsplan plannen ter bevordering beveiligingsbewustzijn

1172 Organisatorische invulling blz 31 1.8

organisatorische invulling -

Informatiebevieiliging speelt zich op alle drie de niveaus af binnen een organisatie. - Strategisch > beleidsvorming - Tactisch > invulling geven aan het informatiebeleid, risiscoanalyses uitvoeren en beveiligingsmaatregels implementeren. - Operationeel > dagelijkse beveiligingswerkzaamheden. Bevorderlijke regels voor de beveiliging kunnen oa. Zijn > - Hoe wordt omgegaan met wachtwoorden; - regels voor klanten en leveranciers; - regels tav Thuiswerken; - regels tav gebruik laptop; - waar beveiligngselementen melden; - regels voor opruimen bureau na werktijd; - afspraken over uitloggen; - verantwoordelijkheid voor afsluiten kamers en computerruimte; - internet en e-mail gebruik; - hoe omgaan met gegevensdragers.

446


Pagina 10 van 32

vrg:

trefwoord


omschrijving

1173 Organisatorische invulling blz 32 1.8.1

algemene beveiligingstaken -

- Directie > eindverantwoordelijk voor implementatie en uitvoering vh beveiligingsbeleid. - Management > lijnmanagement is verantwoordelijk voor de implementatie en uitvoering vh beveiligingsbeleid binnen hun eigen oraganisatorische eenheid. - Medewerkers > zijn verantwoordelijk voor de beveiligingsaspecten met betrekking tot de eigen functie. - Externe medewerkers - Personeelszaken - Falicitair beheer > is verantwoordelijk voor de toegang tot gebouwen, terreinen en ruimten. - Servicedesk - Klanten > hebben recht op WPB (wettelijke bescherming v persoonlijke gegevens). - Leveranciers van goederen en diensten

1174 Specifieke beveiligingsfuncties blz 34 1.8.2

specifieke Security officer > strategisch niveau beveiligingsfuncties - Security specialist > tactisch niveau Beheerder informatiebeveiliging > kan tactisch zijn maar hoeft niet, is wel management Autorisatiebeheerder > operationeel niveau Systeembeheerder > operationeel niveau

1175 Standaarden voor informatiebeveiliging blz 37 1.9.1

ITIL security management -

Anders dan bij het proces informatiebeveiliging zijn hier de eisen van de klant zijn hier het uitgangspunt. Deze worden vertaald naar een SLA (Sercive Level Agreement). Afspraken met interne dienstverleners worden vastgelegd in een OLA (Operational Level agreement). Afspraken met externe leveranciers worden vastgelegd in Underpinning Contracts (UC).

447


code voor is uitgegeven door het Nederlands Normalisatie-Instituut (NNI) geeft de basis aan voor bescherming informatiebeveiliging v informatie aan de hand van 10 hoofdcategoriën > 1. beveiligingsbeleid; 2. organisatie v beveiliging 3. classificatie en beheer 4. personeel 5. fysieke beveiliging 6. computer- en netwerkbeheer 7. toegangsbeveiliging 8. systeemontwikkeling en -onderhoud 9. continuïteitsplanning 10. toezicht


Pagina 11 van 32

vrg:

trefwoord


omschrijving


Voorschrift Informatiebeiliging Rijksdienst (VIR) -

is een voorschrift dat vooral binnen overheid gebruikt wordt. Hier worden 6 maatregelen in genoemd > - beleid - coördinatie - verantwoordelijkheden - meldpunt voor inbreuken en - controle op naleving - afhankelijksheids en kwetsbaarheidsanalyse moet uitgevoerd zijn.

1178 Standaarden voor informatiebeveiliging blz 39

ISO-normen -

ISO = International Standardization Organization

1.9.4

ISO 10181 > staat ook bekend als het OSI-refenrentiemodel datacommunicatie. ISO 13335 > stond aan de basis van het ITIL-proces SM=Security Management en bestaat uit 5 beschrijvenden delen: 1. Standaarden voor informatiebeveiliging uitgangspunten beschrijven; 2. invoer en handhaving vd informatiebeveiliging; 3. beveiligheidstechnieken en verantwoordelijke personen; 4. richtlijnen voor beschermingsmaatregelen en gebruik v baselines; 5. aspecten behandelen bij aansluitingen externe netwerken. ISO 14516 > richtlijn voor partijen die een TTP = Truste Third Parties willen opstellen. TTP is een methode waar een 3e partij wordt ingehuurd, zodat er 2 partijen betrokken zijn die elkaar moeten kunnen vertrouwen. ISO 20000 > gaat over de kwaliteit vd informatiesystemen.

1179 Certificatie blz 40

certificaat -

1.10

Een certificaat is een kwaliteitswaarmerk, dit kan men krijgen door een externe autdit /toetsing die periodiek herhaald wordt. Het certificatieproces is als volgt > - aanvraag - proefonderzoek - documentatieonderzoek - implementatieonderzoek - evaluatie - beslissing taken > - interne IT auditor / adviseur interne controle en beveiliging > is primair verantwoordelijk voor het toetsen vd kwaliteit vd informatievoorziening tav de kwaliteit vd systemen, integriteit v gegevens, beveiliging en internetcontrole. - externe IT-auditor / EDP auditor > is meestal een gecertificeerde medewerker ve extern accountantsbureau, komt altijd van buiten de organisatie.

ISF


Hoofdstuk:

2

Informatiebeveiliging

Pagina 12 van 32

vrg:

trefwoord


omschrijving

1180 Objecten blz 74

objecten -

2.1

ICT infracstructuur > is het geheel aan automatiseringsmiddelen voor opslaan, bewerken, transporteren en representeren v gegevens en bestaat uit apparatuur, basisprogrammatuur en communicatievoorzieningen, evenals daarop van toepassing zijnde procedures en documentatie. Basisinfrastructuur > zijn objecten die indirect bij beveiliging v informatie en informatievoorziening betrokken zijn en bevat oa > - omgeving: ruimten, huisvesting, terreinen en gebouwen; - watervoorziening; - electriciteitsvoorziening; - telecommunicatievoorziening.


Pagina 13 van 32

vrg:

trefwoord


1181 Objecten blz 75 2.1

omschrijving

***

schema v te beveiligen objecten-


Pagina 14 van 32

vrg:

trefwoord


omschrijving

1182 Beveiligingsmaatregelen blz 79

3 groepen -

2.2.1

***

we onderscheiden 3 groepen/aspecten > - betrouwbaarheid - effect - werkwijze

1183 Beveiligingsmaatregelen blz 80 2.2.2

***

indelen naar we onderscheiden (BIV) > betrouwbaarheidsasp - Beveiligingsmaatregelen die de BESCHIKBAARHEID waarborgen of bevorderen; ect - Beveiligingsmaatregelen die de INTEGRITEIT waarborgen of bevorderen; - Beveiligingsmaatregelen die de VERTROUWELIJKHEID waarborgen of bevorderen. Vertrouwelijkheid is de belangrijkste doel van informatiebeveiliging.


indelen naar effect -

2.2.2

***

- PREVENTIEVE beveiligheidsmaatregelen > voorkomen; - DEDECTIEVE beveiligheidsmaatregelen > ontdekken; - REPRESSIEVE beveiligheidsmaatregelen > onderdrukken, schade beperken; - CORRECTIEVE beveiligheidsmaatregelen. Hier gaat het om het doel vd maatregel.

457

1185 Beveiligingsmaatregelen blz 81 2.2.3

indelen naar werkwijze -

we onderscheiden de volgende beveiligingsmaatregelen > - FYSIEKE > tastbaar en is vooral hardware, communicatieapparatuur, fysieke verbindingen, basisinfrastructuur, papier; - TECHNISCHE > logisch en vooral softwarematig (vooral software) en zijn gebaseerd op de volgende principes > - toegangsbeheersing = acces control (Identificeren, Auchtentificatie en Autororiseren) - autorisatie; - back-up en redundantie; - encryptie; - auditing, logging en monotoring; - antivirus. - ORGANISATORISCHE > functiescheiding (er wordt verschil gemaakt tussen de uitvoerder en een controleur); - PROCEDURELE maatregelen > werkwijze is vastgelegd in een procedure, er wordt opgeschreven hoe iets gedaan moet worden.


Pagina 15 van 32

vrg:

trefwoord


omschrijving


naar werkwijze -

2.2.3

Voor het filteren van gegevensverkeer worden Firewalls gebruikt, hier kennen we 2 soorten > - PACKET FILTER-FIREWALL > eenvoudigste beveiliging, er wordt alleen naar netwerkadressen gekeken. - PROXY FIREWALL of APPLICATION GATEWAY > hier wordt op applicatieniveau gefilterd, er wordt als het ware ook naar de "binnenkant" gekeken. SPAMFILTER > software die binnenkomende spam (is vaak ingewenste reclame emails e.d.) afvangt. DONGLE > is een apparaatje dat in een (USB-)poort gestopt moet worden, zonder dat deze is aangesloten werkt bepaalde programmatuur niet. LOCKING > bv de toetscombinatie [Ctrl]+[Alt]+[Del] waarna de computer blokkeert. AUTORISATIE > toekennen van rechten aan een persoon en aan de processen die door deze persoon worden opgestart, dit is vaak gebaseerd op toegangsprofielen.

1187 Beveiligingsmaatregelen naar werkwijze blz 88 2.2.3

Back-up en Redundantie -

Back-up = reserve kopie maken > 2 soorten 1. Volledige back-up (3 generaties, opa, vader en zoon) 2. Partiële backup > er wordt een deel geback-upped, 2 soorten: 2a. Incrementele back-up > alleen dat deel kopieren dat sinds de vorige keer gewijzigd is (mag ook een deel back-up zijn) 2b. Differentiële back-up > alleen dat deel kopieren dat sinds de laatste volledige back-up is gewijzigd. Redundantie = overbodig cq Fault tolerant System > Als een vd onderdelen uitvalt nemen andere het over en loopt alles door. Bijvoorbeeld: 1. Raid 2. Server mirroring 3. Server cluster > zoals RAID en HD moet hier servers zien in een cluster v servers 4. SAN = Storage Area Network > opslag zit apart van de server, meerdere servers kunnen de HD dan bereiken. 5. Multiprocessor > een server beschikt over meedere processoren

1188 Beveiligingsmaatregelen naar werkwijze blz 89

encryptie -

2.2.3


wordt gebruikt voor > 1. versleutelen van gegevens; 2. garanderen vd echtheid vd gegevens; 3. authenticeren vd afzender vd gegevens.

Pagina 16 van 32

vrg:

trefwoord


omschrijving

1189 Beveiligingsmaatregelen naar werkwijze - encryptie blz 89

versleutelen -

2.2.3

ALGORITME > versleutelmethode bericht is alleen te achterhalen als men het algoritme kent en de sleutel (variabelen) vh algoritme kent. Encrypten = versleutelen >> Decrypten = ontsleutelen Ceasar- algoritme > is een versleuteling waarbij je alle letters vervangt door de letter die op x posities verder in het alfabet staat. Dit is een zwak algoritme. Bij een sterk algoritme lijkt er geen verband te bestaan tussen het oorspronkele waarde en de versleutelde waarde. Men kan een algoritme sterker maken door of het algoritme geheim te houden óf de sleutel geheim te houden en het aantal sleutels te vergroten. Openbare algoritmes zijn (met gehieme sleutels): a. DES = Data Encryption Standaard = symmetrisch > voor encrypten en decrypten heb je dezelfde sleutel nodig. B. RSA = Rivest, Shamir, Adleman = asymmetrisch > voor encrypten en decrypten heb je andere sleutel nodig. PGP = Pretty Good Privacy > is een TOOL om emailberichten versleuteld te versturen. IPSEC = Internet Protocol Security > is het protocol waarmee bij een VPN (Virtual Private Network) dus privenetwerken beveiligd met elkaar verbonden worden via een openbaar netwerk zoals bv internet. Scramblen > omvormen van een signaal, de ontvanger kan alleen horen wat gezegd wordt. SSL = Secure Sockets Layer > is een protocol dat voor beveiligde communicatie op internet gebruikt wordt en verstrekt aan begin van iedere sessie nieuwe sleutels.

1190 Beveiligingsmaatregelen naar werkwijze - encryptie blz 91 2.2.3

authenticeren vd afzender vd gegevens -

RSA methode (asymmetrisch) Naast het vercijferen v gegevens moet er een digitale handtekening bij. Hierbij wordt de nonrepudiation (=de onweerlegbaarheid) vh bericht gewaarborgd. TTP = Trusted Thrid Party > is een organisatie waarbij iemand zijn publiek sleutel kan laten vastleggen. TTP zet zijn handtekening over de digitale handtekening heen en dan is het rechtsgeldig. PKI = Public-Key Infrastructure > is een infrastructuur die gebruik maakt van publieke en private codeersleutels en asymmetrische encryptie ten behoeve van het uitgeven van digitale certificaten, deze worden uitgegeven door CA (= Certification Authority). Een CA is een TTP die digitale certificaten uitdeelt. RA = Registration Authority > organisatie die de gebruikers en hun publieke sleutels registreerd. LOGGING en MONOTORING LOGGING > hiermee wordt het (automatisch) registreren van gebeurtenissen in het systeem bedoeld. MONOTORING of AUDITING > door gebeurtenissen te monitoren kan men nagaan wat er precies gebeurd is. Firewalls kunnen ook vaak loggen en monitoren. IDS = Intrusion Detection system > is programmatuur die actief verdachte patronen in het netwerk probeert op te sporen. ANTIVURUS of virusscanner > controleert bestanden op aanwezigheid van kwaadaardige software en werkt preventief.


Pagina 17 van 32

vrg:

trefwoord


omschrijving

1191 Beveiligingsmaatregelen naar werkwijze - encryptie blz 91 2.2.3

garanderen vd echtheid vd gegevens -

integriteit = echtheid vh bericht. MAC en Hashing > DES methode MAC = Message Autehntication Code > het hele bericht wordt gebruikt om een MAC-waarde te berekenen, dit wordt met het bericht (gegevens zijn niet versleuteld), meegezonden en dient bij ontvangst gelijk te zijn gebleven als men een nieuwe berekening van het hele bericht maakt. Beide partijen delen een gemeenschappelijke sleutel >> DES METHODE !! HASHING > lijkt op MAC, gegevens wordt niet versleuteld, een hash wordt berekend en meegestuurd, ontvanger rekent ook de hash uit en als die gelijk zijn is het goed.


organisatorische zijn maatregelen die betrekking hebben op de organisatie in zijn geheel. beveiligingsmaatregel en IT-AUDITING > zijn maatregelen die betrekking hebben op de gehele organisatie. IT- Auditing onderzoekt of de informatiesystemen, de informatie zelf en de bijbehorende documentatie voldoen aan de kwaliteitseisen die gesteld zijn, of aan het beleid, de plannen en maatregelen zijn geïmplementeerd, worden procedures en maatregelen nageleefd en of alles nog up to date is. Deze kan intern (door eigen mensen) of door extern (door derden) gedaan worden. Uitwijk is het terugvallen op reservefacilitetiten als de eigen faciliteiten niet meer beschikbaar zijn. VOORBEELDEN over de FYSIEKE inrichting: - door hoge grondwaterstand de apparatuur niet in de kelder plaatsen. - ter voorkoming v waterlekkage, apparatuur niet rechtstreeks onder het dak plaatsen. VOORBEELDEN over de ORGANISATORISCHE inrichting: - organisatie moet functie scheiding toepassen ter voorkoming v fraude; - need-to-know > medewerker moet alleen aan die info kunnen die nodig is om zijn functie te kunnen vervullen - clausules in de arbeidsovereenkomsten opnemen / geheimhoudingsverklaringen / gedragscode regeling opstellen en laten tekenen e.d.


Pagina 18 van 32

vrg:

trefwoord


omschrijving


procedurele bestaan uit processen, richtlijnen, voorschriften en huisregels. Hebben betrekking op het dagelijks beveiligingsmaatregel reilen en zeilen binnen de onderneming, op omgang met ICT voorzieningen en hoe men moet en reageren op beveiligngsinicidenten. Inzetten en omgaan met fysieke en technische beveiligingsmaatregelen en inrichten ve disciplinair proces voor als medewerkers zich niet aan de regels houden. VOORBEELDEN algemeen > - medewerkers moeten in de organisatie een batch dragen (identitficatie) - bezoekerpassen en een omgangsregeling voor bezoekers - Clear desk policy en clear screen policy VOORBEELDEN over hoe om te gaan met ICT voorzieningen > - niet meer gebruikte informatiedragers op de juiste afgesproken manier afvoeren/vernietigen. - hoe men afspreekt informatie te versturen (fysiek) en welk postbedrijf men gebruikt. - bij aanschaf software gebruik maken van een ESCROW service. - alleen bepaalde functionarissen mogen software installeren en bv alleen vd originele informatiedrager. ESCROW-dienst/service > Aangekochte software samen met de broncode en documentatie bij derden bewaren. Er komt een overeenkomst en welke gevallen de leverancier de software kan hebben om bv aanpassingen te doen e.d. Er staat ook in wat er moet gebeuren bij bv faillissementen.


Pagina 19 van 32

vrg:

trefwoord


1194 Matrix beveiligingsmaatregel/Object/Bedreiging -

omschrijving

**

blz 97 2.3


Pagina 20 van 32

vrg:

trefwoord


1195 Matrix Beveiligingsmaatregel/Object/Bedreiging blz 98

omschrijving

**

-

2.3


Pagina 21 van 32

vrg:

trefwoord


1196 Matrix Beveiligingsmaatregel/Object/Bedreiging -

omschrijving

**

blz 99 2.3


Pagina 22 van 32

vrg:

trefwoord



omschrijving

**

blz 100 2.3


Pagina 23 van 32

vrg:

trefwoord



omschrijving

**

blz 101 2.3


Pagina 24 van 32

vrg:

trefwoord



omschrijving

**

blz 102 2.3


Pagina 25 van 32

vrg:

trefwoord



omschrijving

**

blz 103 2.3


Pagina 26 van 32

vrg:

trefwoord


omschrijving


**

blz 104 2.3 456

ISF

Hoofdstuk:

3

Continuïteit vd IT dienstverlening

1202 Continuïteit blz 126 Continuïteit 3.1

CONTINUÏTEIT > de continuïteit van informatiesystemen en gegevensverwerking kan aangetast worden door oorzaken die buiten de informatiesystemen zelf liggen, bv door plotseling voorkomende calamiteiten. De continuïteit moet zoveel mogelijk beschermd zijn met passende maatregelen. De continuïteit vd bedrijfsprocessen en dus vd onderneming is in hoge mate afhankelijk vh goed funcioneren vd informatievoorziening.

458


Pagina 27 van 32

vrg:

trefwoord


omschrijving

1203 Calamiteit blz 127 calamiteit 3.2

is sprake van als een bedrijfsproces ernstig stagneert of stil komt te liggen. Gevolgen kunnen zijn > 1. Productieverlies > kan geld kosten als medewerkers niet meer kunnen werken; 2. Klanten die schade ondervinden kunnen forse schadeclaims indienen; 3. Imagoschade > slechte naam door negatieve berichtin in media, TV e.d. 4. De organisatie kan aansprakelijk gesteld worden als gevolg van het niet voldoen aan wet- en regelgeving.

1204 Calamiteit blz 127 Calamiteitplan 3.2.1

Is noodzakelijk om in geval ve calamiteit adequaat te kunnen op treden om de schade zoveel mogelijk te beperken. Hierin moet goed omschreven zijn > - doelstellingen vh plan; - verantwoordelijkheden moeten goed en eenduidig belegd zijn; - grenzen vh plan. Daarnaast moet het gestructureerd opgezet zijn ivm onderhoud en eventuele latere uitbreidingen. Onderdelen zijn > - ALGEMEEN > - doelstellingen; - grenzen; - verantwoordelijkheden; - opbouw (voor wie en hoe te gebruiken?); - samenstelling crisisteam; - lijst met omschrijving gebruikte termen; - kopiën hard- en software contraten, lijsten met namen v externe dienstverleners; - overzicht met getroffen noodvoorzieningen; - beknopte samenvatting; - ONDERHOUD vh plan - TESTEN vh plan - DRAAIBOEK bij calamiteiten > - werkzaamheden; - overzichten, afspraken met leveranciers en verzekeringsmaatschappijen; - formulieren; - UITWIJKPLAN

1205 Calamiteit blz 128 beschikbaarheid 3.2.2


kan in gevaar komen door > - technische storingen in het computersysteem; - verstoringen van buitenaf (brand, wateroverlast, stroomuitval ed).

Pagina 28 van 32

vrg:

trefwoord


omschrijving

1206 Uitwijk blz 129 soorten 3.3

- GEEN UITWIJK > er is alleen back-up van software en gegevens. - COLD SITE > ruimte gehuurd en ingericht zodat men er gelijk computerapperatuur kan neerzetten en installeren in geval van calamiteiten. Nadeel: duurt lang. - WARM SITE > een ruimte is volledig met dezelfde hard- en software ingericht als het origineel, er hoeft alleen een back-up terug gezet te worden. - HOT SITE > zelfde ruimte als een WARM SITE maar nu vindt PARALLEL PROCESSING plaats, dit betekent dat op beide systemen dezelfde mutaties gelijktijdig verwerkt worden. - POOLED SITE > uitwijkvoorziening waar meerdere klanten gebruik van kunnen maken. - MOBIELE UITWIJK > een container of trailer waarin men verder zou kunnen werken, voordeel, is flexibel. - BILATERALE UITWIJK > 2 partijen maken afspraken en gebruiken elkaars voorzieningen in geval van uitval. UITWIJK > is het terugvallen op reservefacilitetiten als de eigen faciliteiten niet meer beschikbaar zijn. INWIJK > hoe keren we terug naar de oude situatie.

1207 Uitwijk blz 131 uitwijkprocessen 3.3.3 zijn -

1. creëren van bewustwording; 2. bepalen van beschikbaarheidseisen; 3. opstellen eisen en randvoorwaarden; 4. inventariseren v uitwijkmogelijkheden 5. beslissen over uitwijkvoorzieningen 6. inrichten vd uitwijkvoorzieinigen 7. testen en ondehouden vd uitwijkprocedure 8. training v betrokken medewerkers 9. evaluatie uitwijkprocedure

459


Pagina 29 van 32

vrg:

trefwoord


omschrijving

1208 Calamiteit blz 133 uitwijkplan bestaat 3.3.4 uit -

ISF

- doel - doelgroep - onderhoud en beheer vh plan - verantwoordelijkheden - risicoanalyse matrix - gemaakte keuzes voor uitwijk - de te nemen maatregelen - escalatieprocedure - uitwijk- en inwijkprocedure - trainen en testen

Hoofdstuk:

4

Juridische aspecten vd ICT

1209 Nederlandse wet- en regelgeving blz 146 4.1

Bij ICT en informatiebeveiliging is de volgende wet- en regelgeving van belang > - Grondwet; - art 10 > eerbiediging vd persoonlijke levenssfeer (privacy) - art 13 > onschendbaarheid vd vertrouwelijk informatie; - Burgerlijk Wetboek; - koopovereenkomst - rechten en plichten v burgers onderling ed - Wetboek van Strafrecht; - strafbepalingen bij overtredingen - Wet Gemeentelijke BasisAdministratle; - hoe gemeenten hun basisadministratie moeten inrichten - Auteurswet (AW) - hierin is vastgelegd dat auteursrecht toekomt aan de maker en geeft specifieke rechten op gebied van > - ongeoorloofd wijzigen - verveelvoudigen - openbaar maken - reverse enginering

1210 Wet Bescherming Persoongegevens (WPB) blz 148 4.2

Elke handeling of geheel v handelingen met betrekking tot persoongegevens, waarbij vooral van belang is de manier waarop gegevens kunnen worden verwerkt en met elkaar kunnen worden verbonden. De WBP is de opvolger van de WPR. De WBP handelt over de verwerking van persoonsgegevens. CBP = COLLEGE BESCHERMING PERSOONGEGEVENS > houdt toezicht op naleving. De FG rapporteert aan het CBP. PET = PRIVACY ENHANCING TECHNOLOGIES > vormen een geheel van ICT-maatregelen ter bescherming van de persoonlijke levenssfeer, door middel van het loskoppelen van de persoonsgegevens van de persoon. Dit is een belangrijke toepassing voor (semi-) overheden ed. om aan de WPB te kunnen voldoen. FG = FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING > is onafhankelijk, houdt toezicht en oefent controle uit op de verwerking van persoonsgegevens binnen de organisatie, daarnaast rapporteert hij aan het CBP indien nodig. EISEN > betrouwbaar / diplomatiek / onafhankelijke positie in de org / kennis is een belangrijke functie


Pagina 30 van 32

vrg:

trefwoord


omschrijving

1211 Europese richtlijn (95/46/EG) blz 153 Europese richtlijn (95/46/EG) 4.3

De Europese richtlijn geeft aan op welke manier Europese wetgeving en nationale wetgeving samengaan. Ze bevat > - toepasselijk nationaal recht; - beroep; - aansprakelijkheid; - sancties.

1212 Wet op de Computer Criminaliteit (WCC) blz 155 Wet op de Computer Criminaliteit (WCC) 4.4

De WCC heeft als doel de samenleving te beschermen tegen computermisbruik door het strafbaar stellen van computercriminele handelingen. Beschikbaarheid, integriteit en exclusiviteit zijn daarbij de belangrijkste uitgangspunten. WCC-begrippen zijn: - computermisbruik; - computercriminaliteit; - computerfraude (als men zich in economisch opzicht probeert te verrijken); - computervredebreuk (door hacker).

1213 Wet- en regelgeving voor de Rijksoverheid (VIR) blz 159 Wet- en regelgeving voor de 4.5

Rijksoverheid (VIR) -

De VIR is een voorschrift voor de (rijks)overheid zelf. Stappen in het VIR-proces zijn; - opstellen informatiebeveiligingsbeleid; - inventarisatie; - afhankelijkheidsanalyse; - betrouwbaarheideisen; - kwetsbaarheidseisen; - beveiligingsmaatregelen; - opstellen infomatiebeveiligingsplan (IBP) met calamiteitenparagraaf en een keuze maken uit alle (informatie)beveiligingsmaatregelen die voortkomen uit de A&K-analyse; - opstellen implementatieplan (het IBP door het verantwoordelijke lijnmanagement laten Implementeren en onderhouden).

1214 Contract of overeenkomst blz 160 Contract of overeenkomst 4.6


Soorten contracten/overeenkomsten: - intentieverklaring / Letter of intent; - koopovereenkomst; - escrow (broncode+documentatie vd proggramatuur bij een derde partij bewaren); - outsourcing; - lease-overeenkomst - operational > gaat vooral om het gebruik - financial > gaat vooral om de financiering - SLA (Service Level Agreement); - gedragscode voor e-commerce > principes zijn hier > - betrouwbaarheid - transperantie - vertrouwelijkheid en privacy

Pagina 31 van 32

vrg:

trefwoord


omschrijving

1215 Juridische procedures blz 163 Juridische procedures 4.7

Geschillenbeslechting: - arbitrage > NAI = Nederlandse Arbitrage Instituut - minitrial > SGOA Verhalen van schade: - strafrechtelijke vervolging; - civiele procedure.


Pagina 32 van 32

Information Security Foundation Hoofdstuk: 1 Basisbegrippen

Recommend Documents