LW 10 #6 Flashcards
hoe kan er tot een goede inrichting van de informatiebeveiliging gekomen worden en wie is daar verantwoordelijk voor?
- het is de verantwoordelijkheid van de management om een adequaat informatieproces in te richten, te implementeren, te onderhouden en continu te verbeteren.
- informatiebeveiligingsbeleid van a tot z regelen
- mg ook verantwoordelijk dat het informatiebeveiligingsbeleid aansluit met het overige bedrijfsbeleid
door wat worden de selectie van beveiligingsmaatregelen (baseline/risicoanalyse) en de implementatie ervan beïnvloed?
informatiebeveiligingsbeleid
beveiligingsmaatregelen
organisatorische maatregelen
logische maatregelen
fysieke maatregelen
bij de toepassing van wachtwoorden (fysiek) is er behoefte aan aanvullende organisatorische maatregelen.
noem voorbeeld:
regels voor het kiezen van wachtwoorden en procedures voor het verwerken van personele wijzigingen, zoals in- en uitdienstprocedures
voorbeelden fysieke maatregelen met aanvullende organisatorische maatregelen
- toegangsbeheersing mbv deursloten -> het beheersbaar uitdelen en innemen van sleutels en het bewaken van het gedrag van de sleutelhouders
- blusinstallatie en handblussers -> adequaat onderhoud
organiseren beveiligingsmaatregelen (stappen)
- de betreffende maatregelen worden door het management opgelegd obv het informatiebeveiligingsbeleid + informatiebeveiligingsplan
- de procedures en bijbehorende taken en verantwoordelijkheden worden ingebed in de bestaande organisatie, met de juiste toewijzing van taken en verantwoordelijkheden aan personen
- het management voert dagelijkse aansturing en evaluatie uit. Dat betekent dat de handhaving, de doeltreffendheid en de doelmatigheid vd beveiligingsmaatregelen worden gecontroleerd en bijgesteld.
het organiseren van beveiligingsmaatregelen en het invullen van de bijbehorende organisatorische maatregelen is op zichzelf geen garantie voor een goede beveiliging.
wat is nog meer van belang?
een vereiste is dat alle betrokken personen voldoende gemotiveerd zijn om hun verantwoordelijkheden te nemen.
welke organisatorische aspecten van informatiebeveiliging zijn van belang?
- het inrichten, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsproces
- het opstellen, uitdragen en onderhouden van het informatiebeveiligingsbeleid en -plan
- het ontwikkelen en implementeren van procedures
- het organiseren van informatiebeveiligingsmaatregelen
- het beïnvloeden van gedrag (motivatie)
wat is een van de belangrijkste oorzaken dat informatiebeveiliging zovaak tekortschiet?
er wordt te weinig invulling gegeven aan de organisatorische aspecten
pdca - voorbereiding
beveiligingsorganisatie inrichten (het duidelijk vaststellen van taken, verantwoordelijkheden en bevoegdheden) \+ het management dient de benodigde personele en financiele middelen ter beschikking te stellen en het geformuleerde beveiligingsbeleid uit te dragen naar de werknemers.
pdca - planning & ondersteuning
het formuleren van een strategie tav de bescherming vd informatievoorziening, waarbij het gaat om het specificeren van de soorten gegevens en informatiesystemen en het belang daarvan voor de organisatie, de wijze waarop de organisatie deze wil beschermen, de risico’s die de organisatie op dit gebied wil en kan nemen en de risico’s die de organisatie zeker wil beperken.
obv deze strategie wordt het beleid voor de organisatie opgesteld en die informatiebeveiliging van de organisatie georganiseerd
hoe kan er adequaat op eventuele risico’s ingespeeld worden?
het management dient op de hoogte te zijn van de aard en de omvang van deze risico’s. op basis daarvan is het dan mogelijk om te bepalen welke beveiligingsmaatregelen er getroffen moeten worden om de risico’s in voldoende mate in te perken
pdca - planning & ondersteuning
welke kosten komen erbij kijken?
- implementatie en onderhoud van beveiligingsmaatregelen
- beperking van de functionaliteit (gebruiksvriendelijk)
preventieve maatregelen
eerstelijnsmaatregelen
maatregelen die tot doel hebben te voorkomen dat bedreigingen tot een verstoring leiden
(firewall)
detectieve maatregelen
eerstelijnsmaatregelen
maatregelen die vaststellen of een bedreiging zich manifesteert bij een daarvoor kwetsbaar object
-> acties moeten gekoppeld zijn hieraan
[verstoringen tijdig signaleren]
(malwarescanners, rookdetectors, intrusion-detectie, logging, monitoring)
responsieve maatregelen
(reactief/proactief)
(tweedelijnsmaatregelen)
maatregelen die tot doel hebben de negatieve invloed van een gedetecteerde verstoring te minimaliseren indien de preventieve maatregelen de verstoring niet hebben kunnen voorkomen
[om de schade na een verstoring zo veel mogelijk te beperken]
correctieve maatregelen
onderhoud/beheermaatregelen
richten zich op het herstellen vd objecten die bij een incident verstoord of beschadigd zijn
waar zal de keuze van maatregelen voornamelijk van afhangen?
- van het belang dat aan de te beveiligen informatie wordt gehecht
- van de cultuur van de organisatie
als ‘vertrouwelijkheid’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?
preventieve maatregelen
als ‘integriteit’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?
detectie en correctie
als ‘beschikbaarheid’ het belangrijkste aspect is, op welke maatregelen ligt dan een zwaar accent?
preventief, detectief, responsief, correctief
bij bedrijven met een korte procescycli richt men zich minder op ..
preventie. [men neemt daar meer risico]
wat wordt er bedoelt met DO/uitvoering
Deming-cyclus
Binnen DO worden de maatregelen die de informatie van de organisatie moeten beschermen geselecteerd, geïmplementeerd en bewaakt.
pdca - do/uitvoering
preventieve en detectieve maatregelen (proactief) kunnen worden ingevoerd en de responsieve en correctieve maatregelen (reactief) kunnen alvast worden klaargezet.
informatiebeveiligingsbeheer (information security management)
het proces dat de implementatie van dit stelsel van maatregelen omvat, alsmede het bewaken van de implementatie, de borging en desgewenst het bijsturen ervan
wat wordt er bedoelt met CHECK/ evaluatie vd prestaties
Deming-cyclus
Bij CHECK wordt de effectiviteit van de maatregelen geëvalueerd, oftewel het effect dat met de getroffen maatregelen wordt bereikt.
gelaagd controlemodel
self-assessment interne audit externe audit penetratietesten social engineering
self-assessment
de eerste controle op de effectiviteit vd maatregelen wordt uitgevoerd door de verantwoordelijke functionarissen zelf.
[elke 3 maanden]
voordeel self-assessment
- toegenomen doelmatigheid
- door het erkennen van de autonomie vd verantwoordelijke functionarissen worden psychologische barrières weggenomen die de acceptatie van een beveiligingstraject in de weg kunnen staan.
nadeel self-assessment
mensen stellen hun zaken vaak rooskleuriger voor dan ze in werkelijkheid zijn
de resultaten van een self-assessment dienen ook in een tweede controletrap te worden getoetst, bv door een interne controleafdeling
interne audit
externe audit
overkoepelende controle laten uitvoeren door een externe deskundige zoals een IT auditor
controle/certificaat
[externe audit]
hoe kan de technische beveiliging verder in kaart worden gebracht?
door het uitvoeren van penetratietesten
[externe audit]
hoe kunnen de bewustwording van het personeel en de effectiviteit van de fysieke beveiliging verder in kaart worden gebracht?
mbv social engineering
social engineering
onder valse voorwendselen proberen gevoelige gegevens te bemachtigen of ongeautoriseerd toegang te krijgen tot een gebouw of locatie
wat wordt er bedoelt met ACT/ verbetering
Deming-cyclus
als bij CHECK tekortkomingen zijn geconstateerd, dan wordt op basis daarvan in ACT bijgestuurd
uit welke 3 verdedigingslinies zijn er en waar gaat het van uit?
waker, slaper, dromer
het gaat ervan uit dat een fout in een linie kan worden opgemerkt en aangepakt door de volgende linie
eerste linie
lijnmanagement; deze is voor de eigen organisatie verantwoordelijk voor het implementeren en uitvoeren van informatiebeveiligingsmaatregelen, maar ook voor het laten bewaken ervan.
tweede linie
informatiebeveiligingsorganisatie en interne controle binnen de organisatie;
de tweede linie is verantwoordelijk voor het monitoren en bewaken vd eerste linie. -> de voortgang van de implementatie vd maatregelen & de juiste uitvoering
derde linie
de derde linie is verantwoordelijk voor het uitvoeren van controles en audits op de juiste werking van de 1e en 2e linie, doorgaans de interne en externe auditdienst. // naast steekproeven en observaties wordt er veelal gebruik gemaakt van de reeds uitgevoerde controles door de 1e en 2e linie.
wat is een valkuil bij de implementatie van het 3 verdedigingslinies model?
een valkuil bij de implementatie van dit model is dat de beveiligingsorganisatie te snel de tweede linie bezet, dat wil zeggen voordat de 1e linie is ingeregeld.
hoe kan er gezorgd worden voor de verbetering van de managementinformatie over informatiebeveiliging?
- het gebruik van een standaard zoals de Code voor Informatiebeveiliging voor het inrichten van een uniforme en gestructureerde standaardrapportage.
de toegankelijkheid en herkenbaarheid van de gepresenteerde informatie wordt bevordert en vormt een goede waarborg voor de volledigheid van de rapportage. - een integraal controlemechanisme obv self-assessment kan de kwaliteit van de managementinformatie sterk verbeteren.
[invulling van functies]
automatiseringsorganisatie
voor het treffen van vele noodzakelijke organisatorische en technische maatregelen
[invulling van functies]
gebruikersorganisatie
voor het uitoefenen van zorgvuldigheid en discipline bij het omgaan met informatietechnologie
[invulling van functies]
helpdesk
voor het beantwoorden van vragen over informatiebeveiliging en het registeren van incidentmeldingen
[invulling van functies]
personeelszaken
voor het voorlichten van nieuwe medewerkers, het laten ondertekenen van geheimhoudingsverklaringen, een goede uit-dienstprocedure en het opstellen van een sanctiebeleid bij overtreding van de voorschriften
[invulling van functies]
inkoop
voor het afsluiten van overeenkomsten met derden
[invulling van functies]
facilitair beheer
voor de fysieke beveiliging van gebouwen en terreinen
waar moet er rekening mee gehouden worden bij het invullen van de taken en toewijzen van functies?
functiescheiding
wat wordt er gedaan met de functiescheiding binnen organisaties?
er worden tegengestelde belangen gecreëerd. door deze tegengestelde belangen wordt getracht misbruik van een functie te voorkomen.
bij kleinere ondernemingen zijn de mogelijkheden voor functiescheiding veelal beperkt, wat wordt er hier gedaan?
er kunnen mitigerende maatregelen worden toegepast om eventuele conflicten af te dekken.
organisatorische maatregelen: hebben betrekking op de organisatie als geheel
voorbeelden ->
− formuleren van beveiligingsbeleid, richtlijnen en procedures
− functiescheiding en interne controle ter voorkoming van fraude
− opleiding en voorlichting ter verbetering van beveiligingsbewustzijn
− een portier bij de hoofdingang
Logische maatregelen: maatregelen die geprogrammeerd zijn in programmatuur
voorbeelden ->
− login/wachtwoorden authenticatie in besturingssystemen
− encryptieprogrammatuur voor het vercijferen van
vertrouwelijke gegevens
− digitale handtekeningen in elektronische post
Fysieke maatregelen: maatregelen die gebaseerd zijn op apparatuur of andere materiële zaken
voorbeelden ->
− brandblussers en andere brandbeveiligingsmaatregelen
− noodstroomvoorzieningen
− sloten en andere bouwkundige voorzieningen tegen ongewenste toegang
wie is er verantwoordelijk voor het inrichten van het
informatiebeveiligingsproces.
management
waar is de ISO voor bedoeld?
De ISO 27001 is bedoeld voor organisaties die willen aantonen dat zij een set van maatregelen, processen en procedures hanteren om aan stakeholders (klanten, leveranciers, belangenverenigingen, brancheorganisatie, enz.) te laten zien dat zij serieus met informatiebeveiliging omgaan. Dit kunnen ICT bedrijven zijn, maar ook banken, verzekeraars, overheid, zorginstellingen en andere bedrijven die met vertrouwelijke informatie omgaan, bewerken of opslaan
Information Security Management System
In een ISMS wordt de complete set van maatregelen, processen en procedures vastgelegd. Deze complete set is dus de manier / methode hoe een organisatie met informatiebeveiliging omgaat. Deze methode moet ook rekening houden hoe de organisatie van zichzelf leert zodat ze zich continu kunnen verbeteren.
wat evalueert de manager bij de stap CHECK van het Deming cyclus?
- Geselecteerde maatregelen adequaat geïmplementeerd
- Geselecteerde maatregelen controleren op effect risico’s
- Volgen de medewerkers de bijbehorende werkwijze
- Centrale registratie van beveiligingsincidenten
