Information Security Foundation ISF
Download
Report
Transcript Information Security Foundation ISF
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
ISF
Information Security Foundation
ISF
Hoofdstuk:
1
Basisbegrippen
1152 Informatie en organisatie blz 9
1.1
beveiligingsincident - is een gebeurtenis die de betrouwbaarheid van de informatie óf de informatieverwerking kan
verstoren.
Alles dat buiten afspraken gebeurdx is een beveiligingsincident.
Bedreigingen is een mogelijkheid tot voorkomen.
1153 Informatie en organisatie blz 10
1,1
informatiebeveiliging richt zich op >
- het beveiligen van informatie,
- het maken van plannen om te voorkomen dat er beveiligingsincidenten plaatsvinden én
- het nemen van voorzorgsmaatregelen om de gevolgen ervan te verkleinen.
1154 Waarde van informatie blz 11
1.2
4 productiefactoren - 1. grond
2. kapitaal
3. arbeid
4. informatie
De waarde van grond, kapitaal en arbeid is makkelijk te bepalen, bij informatie wordt dat moeilijker.
1155 Waarde van informatie blz 11
2 factoren -
1.2
De waarde van informatie bestaat uit 2 factoren >
- KWALITEIT vd informatie
- BELANG vd informatie
1156 Waarde van informatie - kwaliteitseisen blz 11
betrouwbaarheid -
*
***
Kwaliteitseisen kunnen worden samengevat met het begrip BETROUWBAARHEID.
1.2
Betrouwbaarheid bestaat uit 3 aspecten (BIV) >
- BESCHIKBAARHEID > dit is de mate waarop de info op het juiste moment beschikbaar is
voor de gebruikers en wordt vaak uitgedrukt in een percentage.
Beschikbaarheid heeft de volgende kenmerken (CRT) >
- Continuïteit > kan info ook in de toekomst verstuurd worden?
- Robuustheid > is de info bestand tegen storingen?
- Tijdigheid
- INTEGRITEIT > geeft de mate waarin gegevens een afspiegeling zijn vd werkelijkheid.
Integriteit heeft de volgende kenmerken (ACCGONV) >
- Authenticiteit > komt het vd juiste bron?
- Correctheid
- Controleerbaasrheid
- Geldigheid
- Onweerlegbaardheid > heeft de verzender de info verzonden?
- Nauwkeurigheid
- Volledigheid
- VERTROUWELIJKHEID > geeft de mate waarop de toegang tot deze informatie is beperkt
tot de juiste personen.
Vertrouwelijkheid heeft de volgende kenmerken (EP) >
- Exclusiviteit > is de informatie voldoende afgeschermd tegen onbevoegden?
- Privacy > wordt er op een correcte manier met gegevens omgegaan?
vrijdag 8 januari 2016
Pagina 1 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1157 Continuïteit blz 13
continuïteit -
1.3
hiermee bedoelen we de mate waarin bedrijfsprocessen ongestoord doorgang kunnen vinden
gedeurende een afgesproken tijdsperiode.
Het is de taak vh management ve organisatie om maatregelen te nemen om verstoringen te
voorkomen of de gevolgen ervan te verminderen, dit noemt men Continuïteitsmangement
(Continuity management) en is in de eerste instantie een taak vh lijnmanagement ve organisatie.
Continuïteitsmangement (Continuity maangement) > is een voortdurend proces dat uit de volgende
stappen bestaat >
1. BELEID > directie moet de eisen en randvoorwaarden vastellen en moet aangeven waar
de prioriteiten liggen, dit wordt omgezet naar een continuïteitsplan, dat
regelmatig herzien moet worden.
2. RISICOANALYSE > geeft inzicht in risico's en de schade die dit kan veroorzaken.
3. MAATREGELEN > kunnen genomen worden om schade te beperken.
1158 Continuïteit blz 13
continuïteitsplan -
1.3
vrijdag 8 januari 2016
geeft antwoord op de volgende vragen >
- welke bedreigingen zijn er voor de continuïteit?
- hoe groot is de kans dat deze optreden?
- welke schade hebben we dan?
- welke maatregelen kunnen we nemen om het risico te verkleinen?
- wie is daar verantwoordelijk voor implementatie vd maatregelen en het toezicht daarop?
Pagina 2 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1159 Bedreigingen, bedreigingsanalyse en kwetsbaarheid blz 14
bedreigingen -
1.4.1
Bedreiging is een gebeurtenis die een verstorende invloed KAN hebben op betrouwbaarheid (BIV) vd
informatie en/of het IS.
Er zijn de volgende soorten bedreigingen >
- MENSELIJKE bedreigingen >
- Onopzettelijk > door gebruikers, gasten en/of beheerders ;
(volgens boek hoort hier ook het gebruik van illigale software bij ???)
- Opzettelijk > door hackers, criminelen, saboteurs, fradeurs;
Deze kunnen ook nog opgeverdeeld worden in >
- Personeel, hacker, terrorist, criminieel, klant, concurrent;
- NIET-MENSELIJKE bedreigingen >
- Natuur > (aarbeving, blikseminslag, overstormingen, ziekte, ongevallen e.d.);
- Storingen > uitval van IS en storingen door stroom, fouten in hard- en software,
kortsluiting, statische elektriciteit, e.d.
438
1160 Bedreigingen, bedreigingsanalyse en kwetsbaarheid blz 17
1.4.1
beveiliging en
kwetsbaarheid -
BEVEILIGING / SECURITY > is het middel om de veiligheid vd informatie te waarborgen.
VEILIGHEID / SAFETY > het bieden van bescherming tegen bekende risico's en het zoveel mogelijk
voorkomen v onbekende risico's.
INFORMATIEBEVEILIGING houdt zich bezig met het treffen van maatregelen om de betrouwbaarheid
(BIV) vd inbformatie en de informatievoorzieningen te waarborgen en de hiervoor bedrijfsmiddelen
te beschermen.
vrijdag 8 januari 2016
Pagina 3 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1161 Bedreigingen, bedreigingsanalyse en kwetsbaarheid blz 17
1.4.1
kwaadaardige
software -
we maken onderscheid tussen >
- VIRUS > is een programma dat tot doel heeft zichzelf te vermenigvuldigen, waarbij één
of meerdere , eventueel gewijzigde virussen aangemaakt worden. Een virus
hecht zich aan een normaal programma en als dat gestart wordt start het vius ook
en voert dan ongewenste activiteiten uit. De werken van een virus noemt met
PAYLOAD.
- WORM > werkt als een virus, maar een worm heeft geen gastheer nodig om geactiveerd
te worden.
- TROJAN HORSE > is een programma dat zich voordoet alsof het onschadelijk is, terwijl
het op de achtergrond van allerlei ongewenste activiteiten uitvvoerd. Deze zijn
ook meestal kwaadaardig.
- LOGISCHE BOM > is een stukje programmacode in een programma dat alleen bij een
bepaalde combinatie v gebeurtenissen start en dan ongewenste activiteiten
uitvoerd. BV op een bepaalde datum vrijdag de 13e de PC platgooien.
- HOAX > is een bericht of een kettingbrief in email-vorm. De bedoeling is om zoveel
verkeer te veroorzaken dat de netwerken zich erin verslikken en alles vastloopt.
- SPAM > is ongevraagde en ongewenste emails die in grote aantallen verstuurd worden.
Netwerken kunnen erdoor verstopt raken.
vrijdag 8 januari 2016
Pagina 4 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1162 Bedreigingen, bedreigingsanalyse en kwetsbaarheid blz 18
bedreigingsanalyse -
1.4.2
verschaft inzicht in de bedreigingen en de mogelijke gevolgen v die bedreigingen.
- Eerst is er een bedreiging die schade kan veroorzaken aan een object;
- Dan vindt er een beveiligingsincident plaats;
- Deze gebeurtenis kan tot concrete schade leiden;
- Deze schade kan van financiële aard zijn of van immateriële aard zijn.
Het risico geeft aan hoe groot de schade kan zijn en hoe groot de kans op die schade is.
Deze kunnen ook de kwaliteitsaspecten van de BETROUWBAARHEID (BIV) vd informatie en hun
aantasten >
1. Beschikbaarheid > de gegevens zijn er niet meer, in beperkte mate beschikbaar,
beschadigd of gewist ed;
2. Integriteit > de gegevens zijn niet meer correct of volledig of gewist;
3. Vertrouwelijkheid > de gegevens zijn toegankelijk geworden voor onbeveogden.
440
439
1163 Bedreigingen, bedreigingsanalyse en kwetsbaarheid blz 20
kwetsbaarheid -
***
is de mate waarop een object gevoelig is voor een bepaalde bedreiging.
1.4.3
vrijdag 8 januari 2016
Pagina 5 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1164 Risico en risicoanalyse blz 21
risico -
1.5
**
is het product van de kans dat een object vd informatievoorzineing wordt getroffen door een
bedreiging en de schade die dat tot gevolg heeft.
Om deze in kaart te brengen wordt er een risicoanalyse uitgevoerd, deze bestaat minstens uit de
volgende elementen (OBSIR) >
- Object
> welke worden bedreigd?;
- Bedreiging > wat en welke zijn er voor deze objecten?;
- Schade
> hoe groot is de schade dan? (schade);
- Incident
> welke kunnen zich voordoen? (kans);
- Risisco
> wat is de kans dat het zioch voordoet en hoe hoor is de schade?
Per object worden alle bedreigingen bekeken en een inschatting gemaakt van hoe groot dat de kans
is dat deze zich gaat voordoen.
Doel vd RISICOANALYSE is het in kaart brengen vd objecten die worden bedreigd en de risico's die
verband houden met deze objecten. Daarna kan naar maatregelen worden gezocht om te proberen
te voorkomen. Wordt voor ieder object apart uitgevoerd dat voor een bepaald risico in aanmerking
komt.
INCIDENT > is een bedreiging die zich voordoet (betekenis wijkt hier af van ITIL).
301
1165 Risico en risicoanalyse blz 21
risicomangement -
1.5.1
***
bestaat uit een combinatie van analyserende en sturende maatregelen met als doel de risico's te
identificeren en maatregelen te ontwerpen en in te voeren, waardoor de kans dat een risico zich
voor gaat doen, tot een acceptabel niveau teruggebracht wordt.
Zie ook de methode CRAMM van ITIL.
441
vrijdag 8 januari 2016
Pagina 6 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1166 Risico en risicoanalyse blz 22
1.5.2
soorten risico
analyses -
er worden de volgende methoden onderscheiden >
1. STANDAARD VRAGENLIJST > is een eenvoudige aanpak met 2 vormen >
- QUICK SCAN > is een standaard vragenlijst van buiten de organisatie.
- BASELINE CHECKLIST > Een baseline is een besisniveau van beveiliging dat uit een
stelsel van interne maatregelen betreft die binnen de hele organisatie
doorgevoerd worden. Op basis vd Code voor Informatievbeveiliging zijn er
vragenlijsten samengesteld om tot een basis niveau te komen.
Voordelen >
- goedkoop, snel in te voeren, normeerbaar, inzichtelijk, bewustwording.
Nadelen >
- standaard, statisch.
2. KWALITIEVE RISICOANALYSE > hier worden risico's geanalyseerd en de mogelijke
schade geschat. BV de A&K-analyse (= Afhankelijkheids- en Kwetsbaarheidsanalyse).
Deze bestaat uit 4 onderdelen >
- AFHANKELIJSHEIDSANALYSE > hier bepaal je hoe afhankelijk de bedrijfsprocessen ve
IS zijn en welke schade erop treedt als het IS faalt;
- CONFIGURATIEANALYSE > bepalen welke objectendeel uitmaken van het IS en hun
relaties;
- KWETSBAARHEIDSANALYSE > welke bedreiging relevant zijn voor de obejecten vh IS
en hoe kwetsbaar deze zijn;
- MAATREGELENANALYSE > bepalen en implementeren welke maatregelen men moet
nemen om een IS dusdanig te beschermen zodat de risico's acceptabel zijn
voor een onderneming.
Voordelen >
- maatwerk, dynamisch, hackers (hebben minder inzicht).
Nadelen >
- complex, tijd, kosten, informatieoverload.
2. KWANTIATIEVE RISICOANALYSE > dit is de meest uigebreide en gedetaillieerde vorm,
waarbij de risico's worden gekwantificeerd in meetbare criteria, zoals geld. Het risico
kan dan bereken worden met de formule R = K*S, deze methode wordt alleen in
specifieke situaties toegepast.
Voordelen >
- maatwerk, dynamisch, hackers (hebben minder inzicht).
Nadelen >
- complex, tijd, kosten, informatieoverload.
442
vrijdag 8 januari 2016
Pagina 7 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1167 Risico en risicoanalyse blz 25
1.5.3
risicobeperkende
maatregelen -
hebben tot doel de risico's te verkleinen door een van de factoren (schade of kans) te beïnvloeden.
Dit kan door bijvoorbeeld >
- regelmatig te back-uppen, virusscanner, wachtwoorden, e.d.
1168 Risico en risicoanalyse blz 26
1.5.4
risicoanalyse binnen
ITIL - CRAMM -
CRAMM is de CCTA Risico Analyse Management methode, zie figuur.
Is een kwantitatieve risicoanalyse, die gebaseerd is op de formule R= S*K en bestaat uit risicoanalyse
en risicomanagement.
CRAMM kent 2 soorten maatregelen >
1. risicobeperking > preventieve maatregels;
2. uitwijkplanning > maatregels om zo snel mogelijk te herstellen.
486
1169 Risico en risicoanalyse blz 27
1.5.5
welke
hangt af van de volgende factoren >
risicoanalysemethode - URGENTIE > hoe snel moet het resultaat beschikbaar zijn?
kiezen? - KWETSBAARHEID
- ORGANISATIECULTUUR > is de organisatie zich al bewust van de bedreigingen?
- VOLWASSENHEID > Hoe volwassen is de organisatie?
vrijdag 8 januari 2016
Pagina 8 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1170 Organisatie vd informatiebeveiliging blz 28
1.6
proces
Het informatiebeveiligingsbeleid is een onderdeel van het algehele organisatiebeleid.
informatiebeveiliging De beveiligingsstrategie is afhankelijk van de eisen en randvoorwaarden van de organisatie.
Het proces informatiebeveiliging bestaat uit 6 stappen >
1. Beleid & organisatie
2. Risicoanalyse
3. Maatregelen
4. Implementatie
5. Bewaking
6. Evaluatie
Punt 1 t/m 3 zal normaliter door het management gebeuren.
444
445
vrijdag 8 januari 2016
Pagina 9 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1171 Informatiebevielingsplan blz 30
1.7
informatiebevielingsp hierin wordt beschreven welke beveiligingsmaatregelen gekozen zijn, de reden waarom, de
lan middelen en geven richtlijn van de implementatie daarvan.
Het omschrijft de volgende onderwerpen >
- doelstelling en reikwijdte
- de te beveiligen objecten en hun eigenaar
- organisatie vd informatiebeveiliging
- taken, verantwoordelijkheden en bevoegdheden
- beveiligingseisen en -randvoorwaarden
- objecten, risico's en maatregelen
- registratie en afhandeling v beveiligingsincidenten
- calimiteitenplan met uitwijk- en herstelprocedures
- opleidingsplan
plannen ter bevordering beveiligingsbewustzijn
1172 Organisatorische invulling blz 31
1.8
organisatorische
invulling -
Informatiebevieiliging speelt zich op alle drie de niveaus af binnen een organisatie.
- Strategisch > beleidsvorming
- Tactisch > invulling geven aan het informatiebeleid, risiscoanalyses uitvoeren en
beveiligingsmaatregels implementeren.
- Operationeel > dagelijkse beveiligingswerkzaamheden.
Bevorderlijke regels voor de beveiliging kunnen oa. Zijn >
- Hoe wordt omgegaan met wachtwoorden;
- regels voor klanten en leveranciers;
- regels tav Thuiswerken;
- regels tav gebruik laptop;
- waar beveiligngselementen melden;
- regels voor opruimen bureau na werktijd;
- afspraken over uitloggen;
- verantwoordelijkheid voor afsluiten kamers en computerruimte;
- internet en e-mail gebruik;
- hoe omgaan met gegevensdragers.
446
vrijdag 8 januari 2016
Pagina 10 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1173 Organisatorische invulling blz 32
1.8.1
algemene
beveiligingstaken -
- Directie > eindverantwoordelijk voor implementatie en uitvoering vh beveiligingsbeleid.
- Management > lijnmanagement is verantwoordelijk voor de implementatie en
uitvoering vh beveiligingsbeleid binnen hun eigen oraganisatorische eenheid.
- Medewerkers > zijn verantwoordelijk voor de beveiligingsaspecten met betrekking tot
de eigen functie.
- Externe medewerkers
- Personeelszaken
- Falicitair beheer > is verantwoordelijk voor de toegang tot gebouwen, terreinen en
ruimten.
- Servicedesk
- Klanten > hebben recht op WPB (wettelijke bescherming v persoonlijke gegevens).
- Leveranciers van goederen en diensten
1174 Specifieke beveiligingsfuncties blz 34
1.8.2
specifieke
Security officer > strategisch niveau
beveiligingsfuncties - Security specialist > tactisch niveau
Beheerder informatiebeveiliging > kan tactisch zijn maar hoeft niet, is wel management
Autorisatiebeheerder > operationeel niveau
Systeembeheerder > operationeel niveau
1175 Standaarden voor informatiebeveiliging blz 37
1.9.1
ITIL security
management -
Anders dan bij het proces informatiebeveiliging zijn hier de eisen van de klant zijn hier het
uitgangspunt. Deze worden vertaald naar een SLA (Sercive Level Agreement).
Afspraken met interne dienstverleners worden vastgelegd in een OLA (Operational Level agreement).
Afspraken met externe leveranciers worden vastgelegd in Underpinning Contracts (UC).
447
1176 Standaarden voor informatiebeveiliging blz 38
1.9.2
code voor
is uitgegeven door het Nederlands Normalisatie-Instituut (NNI) geeft de basis aan voor bescherming
informatiebeveiliging v informatie aan de hand van 10 hoofdcategoriën >
1. beveiligingsbeleid;
2. organisatie v beveiliging
3. classificatie en beheer
4. personeel
5. fysieke beveiliging
6. computer- en netwerkbeheer
7. toegangsbeveiliging
8. systeemontwikkeling en -onderhoud
9. continuïteitsplanning
10. toezicht
vrijdag 8 januari 2016
Pagina 11 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1177 Standaarden voor informatiebeveiliging blz 38
1.9.3
Voorschrift
Informatiebeiliging
Rijksdienst (VIR) -
is een voorschrift dat vooral binnen overheid gebruikt wordt.
Hier worden 6 maatregelen in genoemd >
- beleid
- coördinatie
- verantwoordelijkheden
- meldpunt voor inbreuken en
- controle op naleving
- afhankelijksheids en kwetsbaarheidsanalyse moet uitgevoerd zijn.
1178 Standaarden voor informatiebeveiliging blz 39
ISO-normen -
ISO = International Standardization Organization
1.9.4
ISO 10181 > staat ook bekend als het OSI-refenrentiemodel datacommunicatie.
ISO 13335 > stond aan de basis van het ITIL-proces SM=Security Management en bestaat uit
5 beschrijvenden delen:
1. Standaarden voor informatiebeveiliging uitgangspunten beschrijven;
2. invoer en handhaving vd informatiebeveiliging;
3. beveiligheidstechnieken en verantwoordelijke personen;
4. richtlijnen voor beschermingsmaatregelen en gebruik v baselines;
5. aspecten behandelen bij aansluitingen externe netwerken.
ISO 14516 > richtlijn voor partijen die een TTP = Truste Third Parties willen opstellen.
TTP is een methode waar een 3e partij wordt ingehuurd, zodat er 2 partijen
betrokken zijn die elkaar moeten kunnen vertrouwen.
ISO 20000 > gaat over de kwaliteit vd informatiesystemen.
1179 Certificatie blz 40
certificaat -
1.10
Een certificaat is een kwaliteitswaarmerk, dit kan men krijgen door een externe autdit /toetsing die
periodiek herhaald wordt.
Het certificatieproces is als volgt >
- aanvraag
- proefonderzoek
- documentatieonderzoek
- implementatieonderzoek
- evaluatie
- beslissing
taken >
- interne IT auditor / adviseur interne controle en beveiliging >
is primair verantwoordelijk voor het toetsen vd kwaliteit vd
informatievoorziening tav de kwaliteit vd systemen, integriteit v gegevens,
beveiliging en internetcontrole.
- externe IT-auditor / EDP auditor >
is meestal een gecertificeerde medewerker ve extern accountantsbureau, komt
altijd van buiten de organisatie.
ISF
vrijdag 8 januari 2016
Hoofdstuk:
2
Informatiebeveiliging
Pagina 12 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1180 Objecten blz 74
objecten -
2.1
ICT infracstructuur > is het geheel aan automatiseringsmiddelen voor opslaan, bewerken,
transporteren en representeren v gegevens en bestaat uit apparatuur,
basisprogrammatuur en communicatievoorzieningen, evenals daarop van toepassing
zijnde procedures en documentatie.
Basisinfrastructuur > zijn objecten die indirect bij beveiliging v informatie en informatievoorziening
betrokken zijn en bevat oa >
- omgeving: ruimten, huisvesting, terreinen en gebouwen;
- watervoorziening;
- electriciteitsvoorziening;
- telecommunicatievoorziening.
vrijdag 8 januari 2016
Pagina 13 van 32
vrg:
trefwoord
trefwrd onderverdeling
1181 Objecten blz 75
2.1
omschrijving
***
schema v te
beveiligen objecten-
vrijdag 8 januari 2016
Pagina 14 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1182 Beveiligingsmaatregelen blz 79
3 groepen -
2.2.1
***
we onderscheiden 3 groepen/aspecten >
- betrouwbaarheid
- effect
- werkwijze
1183 Beveiligingsmaatregelen blz 80
2.2.2
***
indelen naar
we onderscheiden (BIV) >
betrouwbaarheidsasp - Beveiligingsmaatregelen die de BESCHIKBAARHEID waarborgen of bevorderen;
ect - Beveiligingsmaatregelen die de INTEGRITEIT waarborgen of bevorderen;
- Beveiligingsmaatregelen die de VERTROUWELIJKHEID waarborgen of bevorderen.
1184 Beveiligingsmaatregelen blz 80
indelen naar effect -
2.2.2
***
- PREVENTIEVE beveiligheidsmaatregelen > voorkomen;
- DEDECTIEVE beveiligheidsmaatregelen > ontdekken;
- REPRESSIEVE beveiligheidsmaatregelen > onderdrukken, schade beperken;
- CORRECTIEVE beveiligheidsmaatregelen.
Hier gaat het om het doel vd maatregel.
457
1185 Beveiligingsmaatregelen blz 81
2.2.3
indelen naar
werkwijze -
we onderscheiden de volgende beveiligingsmaatregelen >
- FYSIEKE > tastbaar en is vooral hardware, communicatieapparatuur, fysieke
verbindingen, basisinfrastructuur, papier;
- TECHNISCHE > logisch en vooral softwarematig (vooral software) en zijn gebaseerd op de
volgende principes >
- toegangsbeheersing = acces control
(Identificeren, Auchtentificatie en Autororiseren)
- autorisatie;
- back-up en redundantie;
- encryptie;
- auditing, logging en monotoring;
- antivirus.
- ORGANISATORISCHE > functiescheiding (er wordt verschil gemaakt tussen de uitvoerder
en een controleur);
- PROCEDURELE maatregelen > werkwijze is vastgelegd in een procedure, er wordt
opgeschreven hoe iets gedaan moet worden.
vrijdag 8 januari 2016
Pagina 15 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1186 Beveiligingsmaatregelen blz 87
naar werkwijze -
2.2.3
Voor het filteren van gegevensverkeer worden Firewalls gebruikt, hier kennen we 2 soorten >
- PACKET FILTER-FIREWALL > eenvoudigste beveiliging, er wordt alleen naar
netwerkadressen gekeken.
- PROXY FIREWALL of APPLICATION GATEWAY > hier wordt op applicatieniveau gefilterd,
er wordt als het ware ook naar de "binnenkant" gekeken.
SPAMFILTER > software die binnenkomende spam (is vaak ingewenste reclame emails e.d.) afvangt.
DONGLE > is een apparaatje dat in een (USB-)poort gestopt moet worden, zonder dat deze is
aangesloten werkt bepaalde programmatuur niet.
LOCKING > bv de toetscombinatie [Ctrl]+[Alt]+[Del] waarna de computer blokkeert.
AUTORISATIE > toekennen van rechten aan een persoon en aan de processen die door deze persoon
worden opgestart, dit is vaak gebaseerd op toegangsprofielen.
1187 Beveiligingsmaatregelen naar werkwijze blz 88
2.2.3
Back-up en
Redundantie -
Back-up = reserve kopie maken > 2 soorten
1. Volledige back-up (3 generaties, opa, vader en zoon)
2. Partiële backup > er wordt een deel geback-upped, 2 soorten:
2a. Incrementele back-up > alleen dat deel kopieren dat sinds de vorige keer gewijzigd is (mag
ook een deel back-up zijn)
2b. Differentiële back-up > alleen dat deel kopieren dat sinds de laatste volledige back-up is
gewijzigd.
Redundantie = overbodig cq Fault tolerant System > Als een vd onderdelen uitvalt nemen andere
het over en loopt alles door. Bijvoorbeeld:
1. Raid
2. Server mirroring
3. Server cluster > zoals RAID en HD moet hier servers zien in een cluster v servers
4. SAN = Storage Area Network > opslag zit apart van de server, meerdere servers kunnen de HD dan
bereiken.
5. Multiprocessor > een server beschikt over meedere processoren
1188 Beveiligingsmaatregelen naar werkwijze blz 89
encryptie -
2.2.3
vrijdag 8 januari 2016
wordt gebruikt voor >
1. versleutelen van gegevens;
2. garanderen vd echtheid vd gegevens;
3. authenticeren vd afzender vd gegevens.
Pagina 16 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1189 Beveiligingsmaatregelen naar werkwijze - encryptie blz 89
versleutelen -
2.2.3
ALGORITME > versleutelmethode
bericht is alleen te achterhalen als men het algoritme kent en de sleutel (variabelen) vh algoritme
kent.
Encrypten = versleutelen >> Decrypten = ontsleutelen
Ceasar- algoritme > is een versleuteling waarbij je alle letters vervangt door de letter die op x
posities verder in het alfabet staat. Dit is een zwak algoritme.
Bij een sterk algoritme lijkt er geen verband te bestaan tussen het oorspronkele waarde en de
versleutelde waarde.
Men kan een algoritme sterker maken door of het algoritme geheim te houden óf de sleutel geheim
te houden en het aantal sleutels te vergroten.
Openbare algoritmes zijn (met gehieme sleutels):
a. DES = Data Encryption Standaard = symmetrisch > voor encrypten en decrypten heb je dezelfde
sleutel nodig.
B. RSA = Rivest, Shamir, Adleman = asymmetrisch > voor encrypten en decrypten heb je andere
sleutel nodig.
PGP = Pretty Good Privacy > is een TOOL om emailberichten versleuteld te versturen.
IPSEC = Internet Protocol Security > is het protocol waarmee bij een VPN (Virtual Private Network)
dus privenetwerken beveiligd met elkaar verbonden worden via een openbaar netwerk zoals bv
internet.
Scramblen > omvormen van een signaal, de ontvanger kan alleen horen wat gezegd wordt.
SSL = Secure Sockets Layer > is een protocol dat voor beveiligde communicatie op internet gebruikt
wordt en verstrekt aan begin van iedere sessie nieuwe sleutels.
1190 Beveiligingsmaatregelen naar werkwijze - encryptie blz 91
2.2.3
authenticeren vd
afzender vd
gegevens -
RSA methode (asymmetrisch)
Naast het vercijferen v gegevens moet er een digitale handtekening bij. Hierbij wordt de nonrepudiation (=de onweerlegbaarheid) vh bericht gewaarborgd.
TTP = Trusted Thrid Party > is een organisatie waarbij iemand zijn publiek sleutel kan laten
vastleggen. TTP zet zijn handtekening over de digitale handtekening heen en dan is het rechtsgeldig.
PKI = Public-Key Infrastructure > is een infrastructuur die gebruik maakt van publieke en private
codeersleutels en asymmetrische encryptie ten behoeve van het uitgeven van digitale certificaten,
deze worden uitgegeven door CA (= Certification Authority).
Een CA is een TTP die digitale certificaten uitdeelt.
RA = Registration Authority > organisatie die de gebruikers en hun publieke sleutels registreerd.
LOGGING en MONOTORING
LOGGING > hiermee wordt het (automatisch) registreren van gebeurtenissen in het
systeem bedoeld.
MONOTORING of AUDITING > door gebeurtenissen te monitoren kan men nagaan wat er
precies gebeurd is.
Firewalls kunnen ook vaak loggen en monitoren.
IDS = Intrusion Detection system > is programmatuur die actief verdachte patroene in het netwerk
probeert op te sporen.
ANTIVURUS of virusscanner > controleert bestanden op aanwezigheid van kwaadaardige software
en werkt preventief.
vrijdag 8 januari 2016
Pagina 17 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1191 Beveiligingsmaatregelen naar werkwijze - encryptie blz 91
2.2.3
garanderen vd
echtheid vd
gegevens -
integriteit = echtheid vh bericht.
MAC en Hashing > DES methode
MAC = Message Autehntication Code > het hele bericht wordt gebruikt om een MAC-waarde te
berekenen, dit wordt met het bericht (gegevens zijn niet versleuteld), meegezonden en dient bij
ontvangst gelijk te zijn gebleven als men een nieuwe berekening van het hele bericht maakt.
Beide partijen delen een gemeenschappelijke sleutel >> DES METHODE !!
HASHING > lijkt op MAC, gegevens wordt niet versleuteld, een hash wordt berekend en
meegestuurd, ontvanger rekent ook de hash uit en als die gelijk zijn is het goed.
1192 Beveiligingsmaatregelen naar werkwijze blz 93
2.2.3
organisatorische
zijn maatregelen die betrekking hebben op de organisatie in zijn geheel.
beveiligingsmaatregel
en IT-AUDITING > zijn maatregelen die betrekking hebben op de gehele organisatie.
IT- Auditing onderzoekt of de informatiesystemen, de informatie zelf en de bijbehorende
documentatie voldoen aan de kwaliteitseisen die gesteld zijn, of aan het beleid, de plannen en
maatregelen zijn geïmplementeerd, worden procedures en maatregelen nageleefd en of alles nog up
to date is.
Deze kan intern (door eigen mensen) of door extern (door derden) gedaan worden.
Uitwijk is het terugvallen op reservefacilitetiten als de eigen faciliteiten niet meer beschikbaar zijn.
VOORBEELDEN over de FYSIEKE inrichting:
- door hoge grondwaterstand de apparatuur niet in de kelder plaatsen.
- ter voorkoming v waterlekkage, apparatuur niet rechtstreeks onder het dak plaatsen.
VOORBEELDEN over de ORGANISATORISCHE inrichting:
- organisatie moet functie scheiding toepassen ter voorkoming v fraude;
- need-to-know > medewerker moet alleen aan die info kunnen die nodig is om zijn
functie te kunnen vervullen
- clausules in de arbeidsovereenkomsten opnemen / geheimhoudingsverklaringen /
gedragscode regeling opstellen en laten tekenen e.d.
vrijdag 8 januari 2016
Pagina 18 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1193 Beveiligingsmaatregelen naar werkwijze blz 95
2.2.3
procedurele
bestaan uit processen, richtlijnen, voorschriften en huisregels. Hebben betrekking op het dagelijks
beveiligingsmaatregel reilen en zeilen binnen de onderneming, op omgang met ICT voorzieningen en hoe men moet
en reageren op beveiligngsinicidenten.
Inzetten en omgaan met fysieke en technische beveiligingsmaatregelen en inrichten ve disciplinair
proces voor als medewerkers zich niet aan de regels houden.
VOORBEELDEN algemeen >
- medewerkers moeten in de organisatie een batch dragen (identitficatie)
- bezoekerpassen en een omgangsregeling voor bezoekers
- Clear desk policy en clear screen policy
VOORBEELDEN over hoe om te gaan met ICT voorzieningen >
- niet meer gebruikte informatiedragers op de juiste afgesproken manier
afvoeren/vernietigen.
- hoe men afspreekt informatie te versturen (fysiek) en welk postbedrijf men gebruikt.
- bij aanschaf software gebruik maken van een ESCROW service.
- alleen bepaalde functionarissen mogen software installeren en bv alleen vd originele
informatiedrager.
ESCROW-dienst/service > Aangekochte software samen met de broncode en
documentatie bij derden bewaren. Er komt een overeenkomst en welke gevallen de
leverancier de software kan hebben om bv aanpassingen te doen e.d. Er staat ook in
wat er moet gebeuren bij bv faillissementen.
vrijdag 8 januari 2016
Pagina 19 van 32
vrg:
trefwoord
trefwrd onderverdeling
1194 Matrix beveiligingsmaatregel/Object/Bedreiging -
omschrijving
**
blz 97
2.3
vrijdag 8 januari 2016
Pagina 20 van 32
vrg:
trefwoord
trefwrd onderverdeling
1195 Matrix beveiligingsmaatregel/Object/Bedreiging -
omschrijving
**
blz 98
2.3
vrijdag 8 januari 2016
Pagina 21 van 32
vrg:
trefwoord
trefwrd onderverdeling
1196 Matrix beveiligingsmaatregel/Object/Bedreiging -
omschrijving
**
blz 99
2.3
vrijdag 8 januari 2016
Pagina 22 van 32
vrg:
trefwoord
trefwrd onderverdeling
1197 Matrix beveiligingsmaatregel/Object/Bedreiging -
omschrijving
**
blz 100
2.3
vrijdag 8 januari 2016
Pagina 23 van 32
vrg:
trefwoord
trefwrd onderverdeling
1198 Matrix beveiligingsmaatregel/Object/Bedreiging -
omschrijving
**
blz 101
2.3
vrijdag 8 januari 2016
Pagina 24 van 32
vrg:
trefwoord
trefwrd onderverdeling
1199 Matrix beveiligingsmaatregel/Object/Bedreiging -
omschrijving
**
blz 102
2.3
vrijdag 8 januari 2016
Pagina 25 van 32
vrg:
trefwoord
trefwrd onderverdeling
1200 Matrix beveiligingsmaatregel/Object/Bedreiging -
omschrijving
**
blz 103
2.3
vrijdag 8 januari 2016
Pagina 26 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1201 Matrix beveiligingsmaatregel/Object/Bedreiging -
**
blz 104
2.3
456
ISF
Hoofdstuk:
3
Continuïteit vd IT dienstverlening
1202 Continuïteit blz 126 Continuïteit 3.1
CONTINUÏTEIT > de continuïteit van informatiesystemen en gegevensverwerking kan
aangetast worden door oorzaken die buiten de informatiesystemen zelf liggen,
bv door plotseling voorkomende calamiteiten. De continuïteit moet zoveel
mogelijk beschermd zijn met passende maatregelen.
De continuïteit vd bedrijfsprocessen en dus vd onderneming is in hoge mate afhankelijk vh goed
funcioneren vd informatievoorziening.
458
vrijdag 8 januari 2016
Pagina 27 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1203 Calamiteit blz 127 calamiteit 3.2
is sprake van als een bedrijfsproces ernstig stagneert of stil komt te liggen.
Gevolgen kunnen zijn >
1. Productieverlies > kan geld kosten als medewerkers niet meer kunnen werken;
2. Klanten die schade ondervinden kunnen forse schadeclaims indienen;
3. Imagoschade > slechte naam door negatieve berichtin in media, TV e.d.
4. De organisatie kan aansprakelijk gesteld worden als gevolg van het niet voldoen aan
wet- en regelgeving.
1204 Calamiteit blz 127 Calamiteitplan 3.2.1
Is noodzakelijk om in geval ve calamiteit adequaat te kunnen op treden om de schade zoveel
mogelijk te beperken.
Hierin moet goed omschreven zijn >
- doelstellingen vh plan;
- verantwoordelijkheden moeten goed en eenduidig belegd zijn;
- grenzen vh plan.
Daarnaast moet het gestructureerd opgezet zijn ivm onderhoud en eventuele latere uitbreidingen.
Onderdelen zijn >
- ALGEMEEN >
- doelstellingen;
- grenzen;
- verantwoordelijkheden;
- opbouw (voor wie en hoe te gebruiken?);
- samenstelling crisisteam;
- lijst met omschrijving gebruikte termen;
- kopiën hard- en software contraten, lijsten met namen v externe
dienstverleners;
- overzicht met getroffen noodvoorzieningen;
- beknopte samenvatting;
- ONDERHOUD vh plan
- TESTEN vh plan
- DRAAIBOEK bij calamiteiten >
- werkzaamheden;
- overzichten, afspraken met leveranciers en verzekeringsmaatschappijen;
- formulieren;
- UITWIJKPLAN
1205 Calamiteit blz 128 beschikbaarheid 3.2.2
vrijdag 8 januari 2016
kan in gevaar komen door >
- technische storingen in het computersysteem;
- verstoringen van buitenaf (brand, wateroverlast, stroomuitval ed).
Pagina 28 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1206 Uitwijk blz 129 soorten 3.3
- GEEN UITWIJK > er is alleen back-up van software en gegevens.
- COLD SITE > ruimte gehuurd en ingericht zodat men er gelijk computerapperatuur kan
neerzetten en installeren in geval van calamiteiten. Nadeel: duurt lang.
- WARM SITE > een ruimte is volledig met dezelfde hard- en software ingericht als het
origineel, er hoeft alleen een back-up terug gezet te worden.
- HOT SITE > zelfde ruimte als een WARM SITE maar nu vindt PARALLEL PROCESSING plaats,
dit betekent dat op beide systemen dezelfde mutaties gelijktijdig verwerkt
worden.
- POOLED SITE > uitwijkvoorziening waar meerdere klanten gebruik van kunnen maken.
- MOBIELE UITWIJK > een container of trailer waarin men verder zou kunnen werken,
voordeel, is flexibel.
- BILATERALE UITWIJK > 2 partijen maken afspraken en gebruiken elkaars voorzieningen
in geval van uitval.
UITWIJK > is het terugvallen op reservefacilitetiten als de eigen faciliteiten niet meer beschikbaar zijn.
INWIJK > hoe keren we terug naar de oude situatie.
1207 Uitwijk blz 131 uitwijkprocessen
3.3.3 zijn -
1. creëren van bewustwording;
2. bepalen van beschikbaarheidseisen;
3. opstellen eisen en randvoorwaarden;
4. inventariseren v uitwijkmogelijkheden
5. beslissen over uitwijkvoorzieningen
6. inrichten vd uitwijkvoorzieinigen
7. testen en ondehouden vd uitwijkprocedure
8. training v betrokken medewerkers
9. evaluatie uitwijkprocedure
459
vrijdag 8 januari 2016
Pagina 29 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1208 Calamiteit blz 133 uitwijkplan bestaat
3.3.4 uit -
ISF
- doel
- doelgroep
- onderhoud en beheer vh plan
- verantwoordelijkheden
- risicoanalyse matrix
- gemaakte keuzes voor uitwijk
- de te nemen maatregelen
- escalatieprocedure
- uitwijk- en inwijkprocedure
- trainen en testen
Hoofdstuk:
4
Juridische aspecten vd ICT
1209 Nederlandse wet- en regelgeving blz 146
4.1
Bij ICT en informatiebeveiliging is de volgende wet- en regelgeving van belang >
- Grondwet;
- art 10 > eerbiediging vd persoonlijke levenssfeer (privacy)
- art 13 > onschendbaarheid vd vertrouwelijk informatie;
- Burgerlijk Wetboek;
- koopovereenkomst
- rechten en plichten v burgers onderling ed
- Wetboek van Strafrecht;
- strafbepalingen bij overtredingen
- Wet Gemeentelijke BasisAdministratle;
- hoe gemeenten hun basisadministratie moeten inrichten
- Auteurswet (AW)
- hierin is vastgelegd dat auteursrecht toekomt aan de maker en geeft specifieke
rechten op gebied van >
- ongeoorloofd wijzigen
- verveelvoudigen
- openbaar maken
- reverse enginering
1210 Wet Bescherming Persoongegevens (WPB) blz 148
4.2
Elke handeling of geheel v handelingen met betrekking tot persoongegevens, waarbij vooral van
belang is de manier waarop gegevens kunnen worden verwerkt en met elkaar kunnen worden
verbonden.
De WBP is de opvolger van de WPR. De WBP handelt over de verwerking van persoonsgegevens.
CBP = COLLEGE BESCHERMING PERSOONGEGEVENS > houdt toezicht op naleving. De FG
rapporteert aan het CBP.
PET = PRIVACY ENHANCING TECHNOLOGIES > vormen een geheel van ICT-maatregelen ter
bescherming van de persoonlijke levenssfeer, door middel van het loskoppelen van de
persoonsgegevens van de persoon. Dit is een belangrijke toepassing voor (semi-)
overheden ed. om aan de WPB te kunnen voldoen.
FG = FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING > is onafhankelijk, houdt toezicht
en oefent controle uit op de verwerking van persoonsgegevens binnen de organisatie,
daarnaast rapporteert hij aan het CBP indien nodig.
EISEN > betrouwbaar / diplomatiek / onafhankelijke positie in de org / kennis
vrijdag 8 januari 2016
Pagina 30 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1211 Europese richtlijn (95/46/EG) blz 153 Europese richtlijn
(95/46/EG) 4.3
De Europese richtlijn geeft aan op welke manier Europese wetgeving en nationale wetgeving
samengaan. Ze bevat >
- toepasselijk nationaal recht;
- beroep;
- aansprakelijkheid;
- sancties.
1212 Wet op de Computer Criminaliteit (WCC) blz 155 Wet op de Computer
Criminaliteit (WCC) 4.4
De WCC heeft als doel de samenleving te beschermen tegen computermisbruik door het
strafbaar stellen van computercriminele handelingen.
Beschikbaarheid, integriteit en exclusiviteit zijn daarbij de belangrijkste uitgangspunten.
WCC-begrippen zijn:
- computermisbruik;
- computercriminaliteit;
- computerfraude (als men zich in economisch opzicht probeert te verrijken);
- computervredebreuk (door hacker).
1213 Wet- en regelgeving voor de Rijksoverheid (VIR) blz 159 Wet- en regelgeving
voor de
4.5
Rijksoverheid (VIR) -
De VIR is een voorschrift voor de (rijks)overheid zelf.
Stappen in het VIR-proces zijn;
- opstellen informatiebeveiligingsbeleid;
- inventarisatie;
- afhankelijkheidsanalyse;
- betrouwbaarheideisen;
- kwetsbaarheidseisen;
- beveiligingsmaatregelen;
- opstellen infomatiebeveiligingsplan (IBP) met calamiteitenparagraaf en een keuze
maken uit alle (informatie)beveiligingsmaatregelen die voortkomen uit de
A&K-analyse;
- opstellen implementatieplan (het IBP door het verantwoordelijke lijnmanagement laten
Implementeren en onderhouden).
1214 Contract of overeenkomst blz 160 Contract of
overeenkomst 4.6
vrijdag 8 januari 2016
Soorten contracten/overeenkomsten:
- intentieverklaring / Letter of intent;
- koopovereenkomst;
- escrow (broncode+documentatie vd proggramatuur bij een derde partij bewaren);
- outsourcing;
- lease-overeenkomst
- operational > gaat vooral om het gebruik
- financial > gaat vooral om de financiering
- SLA (Service Level Agreement);
- gedragscode voor e-commerce > principes zijn hier >
- betrouwbaarheid
- transperantie
- vertrouwelijkheid en privacy
Pagina 31 van 32
vrg:
trefwoord
trefwrd onderverdeling
omschrijving
1215 Juridische procedures blz 163 Juridische
procedures 4.7
Geschillenbeslechting:
- arbitrage > NAI = Nederlandse Arbitrage Instituut
- minitrial > SGOA
Verhalen van schade:
- strafrechtelijke vervolging;
- civiele procedure.
vrijdag 8 januari 2016
Pagina 32 van 32