LW 10 #6 Flashcards
hoe kan er tot een goede inrichting van de informatiebeveiliging gekomen worden en wie is daar verantwoordelijk voor?
- het is de verantwoordelijkheid van de management om een adequaat informatieproces in te richten, te implementeren, te onderhouden en continu te verbeteren.
- informatiebeveiligingsbeleid van a tot z regelen
- mg ook verantwoordelijk dat het informatiebeveiligingsbeleid aansluit met het overige bedrijfsbeleid
door wat worden de selectie van beveiligingsmaatregelen (baseline/risicoanalyse) en de implementatie ervan beïnvloed?
informatiebeveiligingsbeleid
beveiligingsmaatregelen
organisatorische maatregelen
logische maatregelen
fysieke maatregelen
bij de toepassing van wachtwoorden (fysiek) is er behoefte aan aanvullende organisatorische maatregelen.
noem voorbeeld:
regels voor het kiezen van wachtwoorden en procedures voor het verwerken van personele wijzigingen, zoals in- en uitdienstprocedures
voorbeelden fysieke maatregelen met aanvullende organisatorische maatregelen
- toegangsbeheersing mbv deursloten -> het beheersbaar uitdelen en innemen van sleutels en het bewaken van het gedrag van de sleutelhouders
- blusinstallatie en handblussers -> adequaat onderhoud
organiseren beveiligingsmaatregelen (stappen)
- de betreffende maatregelen worden door het management opgelegd obv het informatiebeveiligingsbeleid + informatiebeveiligingsplan
- de procedures en bijbehorende taken en verantwoordelijkheden worden ingebed in de bestaande organisatie, met de juiste toewijzing van taken en verantwoordelijkheden aan personen
- het management voert dagelijkse aansturing en evaluatie uit. Dat betekent dat de handhaving, de doeltreffendheid en de doelmatigheid vd beveiligingsmaatregelen worden gecontroleerd en bijgesteld.
het organiseren van beveiligingsmaatregelen en het invullen van de bijbehorende organisatorische maatregelen is op zichzelf geen garantie voor een goede beveiliging.
wat is nog meer van belang?
een vereiste is dat alle betrokken personen voldoende gemotiveerd zijn om hun verantwoordelijkheden te nemen.
welke organisatorische aspecten van informatiebeveiliging zijn van belang?
- het inrichten, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsproces
- het opstellen, uitdragen en onderhouden van het informatiebeveiligingsbeleid en -plan
- het ontwikkelen en implementeren van procedures
- het organiseren van informatiebeveiligingsmaatregelen
- het beïnvloeden van gedrag (motivatie)
wat is een van de belangrijkste oorzaken dat informatiebeveiliging zovaak tekortschiet?
er wordt te weinig invulling gegeven aan de organisatorische aspecten
pdca - voorbereiding
beveiligingsorganisatie inrichten (het duidelijk vaststellen van taken, verantwoordelijkheden en bevoegdheden) \+ het management dient de benodigde personele en financiele middelen ter beschikking te stellen en het geformuleerde beveiligingsbeleid uit te dragen naar de werknemers.
pdca - planning & ondersteuning
het formuleren van een strategie tav de bescherming vd informatievoorziening, waarbij het gaat om het specificeren van de soorten gegevens en informatiesystemen en het belang daarvan voor de organisatie, de wijze waarop de organisatie deze wil beschermen, de risico’s die de organisatie op dit gebied wil en kan nemen en de risico’s die de organisatie zeker wil beperken.
obv deze strategie wordt het beleid voor de organisatie opgesteld en die informatiebeveiliging van de organisatie georganiseerd
hoe kan er adequaat op eventuele risico’s ingespeeld worden?
het management dient op de hoogte te zijn van de aard en de omvang van deze risico’s. op basis daarvan is het dan mogelijk om te bepalen welke beveiligingsmaatregelen er getroffen moeten worden om de risico’s in voldoende mate in te perken
pdca - planning & ondersteuning
welke kosten komen erbij kijken?
- implementatie en onderhoud van beveiligingsmaatregelen
- beperking van de functionaliteit (gebruiksvriendelijk)
preventieve maatregelen
eerstelijnsmaatregelen
maatregelen die tot doel hebben te voorkomen dat bedreigingen tot een verstoring leiden
(firewall)
detectieve maatregelen
eerstelijnsmaatregelen
maatregelen die vaststellen of een bedreiging zich manifesteert bij een daarvoor kwetsbaar object
-> acties moeten gekoppeld zijn hieraan
[verstoringen tijdig signaleren]
(malwarescanners, rookdetectors, intrusion-detectie, logging, monitoring)
responsieve maatregelen
(reactief/proactief)
(tweedelijnsmaatregelen)
maatregelen die tot doel hebben de negatieve invloed van een gedetecteerde verstoring te minimaliseren indien de preventieve maatregelen de verstoring niet hebben kunnen voorkomen
[om de schade na een verstoring zo veel mogelijk te beperken]
correctieve maatregelen
onderhoud/beheermaatregelen
richten zich op het herstellen vd objecten die bij een incident verstoord of beschadigd zijn
waar zal de keuze van maatregelen voornamelijk van afhangen?
- van het belang dat aan de te beveiligen informatie wordt gehecht
- van de cultuur van de organisatie
als ‘vertrouwelijkheid’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?
preventieve maatregelen
als ‘integriteit’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?
detectie en correctie
als ‘beschikbaarheid’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?
preventief, detectief, responsief, correctief
bij bedrijven met een korte procescycli richt men zich minder op ..
preventie. [men neemt daar meer risico]
wat wordt er bedoelt met DO/uitvoering
Deming-cyclus
Binnen DO worden de maatregelen die de informatie van de organisatie moeten beschermen geselecteerd, geïmplementeerd en bewaakt.