Download - Basiskennis Beveiligen Van Informatie 18e
Basiskennis Beveiliging van Informatie
2
Dit boek is geschikt als studieboek voor het ISFS examen van de EXIN
EXIN is een onafhankelijk, internationaal exameninstituut voor ICT’ers. De missie van EXIN is de
bevordering van de kwaliteit van het ICT-vakgebied en de daarin werkzame ICT-professionals. Om
dat doel te bereiken ontwikkelt EXIN exameneisen en ICT-examens.
EXIN biedt vier Information Security-examens. Deze examens zijn gebaseerd op ISO/IEC 27002. U
kunt examen doen op Foundation, Advanced en Expert niveau. Op Expert niveau wordt naast kennis
van ISO/IEC 27002 ook kennis van de ISO/IEC 27001 getoetst.
ISBN/EAN: 978-90-813341-1-2
Titel: Basiskennis beveiligen van informatie
Versie: 18e
Datum: 10-10-2008
Dit boek mag in deze vorm niet zondermeer worden gewijzigd
.
This work is licensed under a Creative Commons Attribution-No Derivative Works 3.0 NetherlandsLicense
Basiskennis Beveiliging van Informatie
3
1. Voorwoord...........................................................................................................................................5
2. Over de schrijvers ...............................................................................................................................7
3. Inleiding basiskennis beveiliging van informatie .................................................................................9
4. Informatie, bedrijfsdoelstellingen en kwaliteitseisen .........................................................................10
4.1 Verschijningsvormen ...................................................................................................................10
4.2 Informatiesystemen .....................................................................................................................10
4.3 Waarde van informatie ................................................................................................................11
4.4 Informatie als productiefactor ......................................................................................................11
4.5 Beschikbaarheid, Integriteit en Vertrouwelijkheid .......................................................................11
4.6 Informatiearchitectuur..................................................................................................................14
4.7 Bedrijfsprocessen en informatie ..................................................................................................14
4.8 Informatieanalyse ........................................................................................................................15
4.9 Informatiemanagement................................................................................................................15
4.10 Informatica.................................................................................................................................15
4.11 Samenvatting.............................................................................................................................15
4.12 Casus ........................................................................................................................................15
5. Dreigingen en risico’s (risicoanalyse) ...............................................................................................16
5.1 Risicoanalyse ..............................................................................................................................18
5.2 Soorten risicoanalyses ................................................................................................................18
5.3 Maatregelen die het risico verminderen ......................................................................................19
5.5 Soorten dreigingen ......................................................................................................................21
5.6 Soorten schade ...........................................................................................................................23
5.7 Soorten risicostrategieën.............................................................................................................24
5.8 Richtlijnen bij het invoeren van beveiligingsmaatregelen............................................................25
5.9 Samenvatting...............................................................................................................................26
5.10 Casus ........................................................................................................................................26
6. Informatiebeveiligingsincidenten en -zwakheden .............................................................................27
6.1 Beheer van informatiebeveiligingsincidenten..............................................................................27
6.2 Incidentcyclus ..............................................................................................................................30
6.3 Rollen...........................................................................................................................................30
6.4 Samenvatting...............................................................................................................................31
6.5 Casus...........................................................................................................................................31
7. Fysieke maatregelen.........................................................................................................................32
7.1 Fysieke beveiliging ......................................................................................................................32
7.2 In de ban van de ring...................................................................................................................33
7.3 Alarm ...........................................................................................................................................39
Basiskennis Beveiliging van Informatie
4
7.4 Brandbeveiliging ..........................................................................................................................39
7.5 Emergency planning....................................................................................................................41
7.6 Samenvatting...............................................................................................................................41
7.7 Casus...........................................................................................................................................41
8. Technische maatregelen (ICT-beveiliging) .......................................................................................42
8.1 Beheer van bedrijfsmiddelen.......................................................................................................42
8.2 Logisch toegangsbeheer .............................................................................................................44
8.3 Beveiligingseisen voor informatiesystemen ................................................................................45
8.4 Cryptografie .................................................................................................................................47
8.6 Soorten cryptografische systemen ..............................................................................................48
8.7 Beveiliging van systeembestanden .............................................................................................52
8.8 Uitlekken van informatie ..............................................................................................................52
8.9 Samenvatting...............................................................................................................................53
8.10 Casus ........................................................................................................................................53
9. Organisatorische maatregelen..........................................................................................................55
9.1 Beveiligingsbeleid........................................................................................................................55
9.2 Personeel ....................................................................................................................................59
9.3 Bedrijfscontinuïteitsbeheer ..........................................................................................................61
9.4 Beheer van communicatie- en bedieningsprocessen .................................................................65
9.5 Samenvatting...............................................................................................................................83
9.6 Casus...........................................................................................................................................83
10 Wet- en regelgeving .........................................................................................................................85
10.1 Naleving van wettelijke voorschriften ........................................................................................85
10.2 Compliancy................................................................................................................................85
10.3 Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)..........................................86
10.4 Bescherming van bedrijfsdocumenten ......................................................................................87
10.5 Bescherming van gegevens en geheimhouding van persoonsgegevens.................................88
10.6 Voorkomen van misbruik van IT-voorzieningen ........................................................................88
10.7 Naleving van beveiligingsbeleid en -normen.............................................................................89
10.8 Controlemaatregelen .................................................................................................................90
10.9 Audits van informatiesystemen .................................................................................................90
10.10 Bescherming van hulpmiddelen voor audits van informatiesystemen ....................................90
10.11 Samenvatting...........................................................................................................................91
10.12 Casus ......................................................................................................................................91
Index......................................................................................................................................................92
Voorbeeldvragen examen ISFS (EXIN) ..............................................................................................104
Basiskennis Beveiliging van Informatie
5
1. VoorwoordHet woord beveiliging heeft van nature een negatieve klank. Beveiliging wordt immers alleen
toegepast als er reden is om dat te doen; als er een risico of een kans bestaat dat iets niet gaat zoals
het bedoeld is.
Beveiliging heeft dan ook alles te maken met bescherming. Er is iets ingericht om de kans op ellende
te verkleinen of om de gevolgen daarvan te verminderen. Zo zijn een reservewiel, het onbrandbaar
maken van kinderpyjama's of een verzekeringspolis vormen van beveiliging. Een reservewiel zorgt
ervoor dat we minder last hebben van de lekke band, de verzekeringspolis dekt de financiële
gevolgen en onbrandbare pyjama's maken de kans op groot menselijk letsel kleiner.
Informatie is in onze samenleving een kostbaar goed geworden. Dit wordt des te meer zichtbaar als
we ons realiseren dat geen enkel zakelijk proces uitgevoerd kan worden zonder informatie. Besturing
van processen gaat immers altijd op basis van (management)informatie. Veel bedrijven doen niets
anders dan informatie verwerken. Dat geldt vooral voor de financiële sector en de overheid. Ook de
zakelijke dienstverlening doet niet veel meer dan informatie verzamelen en – in een andere vorm –
naar buiten brengen.
Zelfs onze vrije tijd draait om informatie. Muziek, boeken en films in digitale vorm (mp3, cd, dvd),
internet en gaming maken allemaal gebruik van digitale informatie. De bijna explosieve groei van het
aantal digitale camera's, ook op mobiele telefoons, heeft een onschatbare hoeveelheid foto's
opgeleverd die in de vorm van informatie zijn opgeslagen op harde schijven, draagbare spelers, cd's,
dvd's en USB-sticks.
Het is dan ook niet vreemd dat vooral de afgelopen tien jaar het onderwerp informatiebeveiliging
actueel geworden is in het bedrijfsleven, bij de overheid en thuis.
In dit boek wordt het onderwerp informatiebeveiliging op een hanteerbare wijze behandeld. Daarvoor
is een hoofdstukindeling gekozen die het onderwerp langs duidelijke lijnen opdeelt. Verder is de
behandeling van bijvoorbeeld de technische maatregelen gericht op de niet-automatiseerder.
Er is een verband tussen risico en beveiliging: als er geen sprake is van risico, dan hoeft er geen
beveiliging te worden ingericht. Dat doen we thuis ook niet. Beveiliging kost geld en moeite en als we
dat kunnen vermijden, dan doen we dat graag.
Hoeveel en welke maatregelen genomen moeten worden hangt af van het risico.
Na de algemene inleiding en de uitleg over informatie en de waarde daarvan, begint het boek met
dreigingen en risico's. Het nagaan welke risico's het grootst zijn en welke gevolgen niet acceptabel
zijn, is onderwerp van de risicoanalyse. In het vakgebied informatiebeveiliging wordt hierdoor bepaald
welke maatregelen getroffen moeten worden. Verder wordt in de analyse vastgesteld wat de
argumenten zijn om iets aan de risico's te gaan doen.
Voorafgaand aan het bespreken van de maatregelen, wordt in hoofdstuk 4 stilgestaan bij het omgaan
met informatiebeveiliging in een organisatie. Onderwerpen als organisatie, beheer en kwaliteitseisen
komen daarbij aan de orde. In hoofdstuk 5 wordt ingegaan op dreigingen en de risicoanalyse.
Vervolgens wordt in hoofdstuk 6 ingegaan op informatiebeveiligingsincidenten en zwakheden.
De daaropvolgende drie hoofdstukken gaan over maatregelen. Het is onmogelijk om alle maatregelen
te bespreken, alleen al omdat er vandaag weer nieuwe bij gekomen zijn. De meest gebruikte
principes komen aan de orde. Voor het vinden van meer (technische) details is het handig contact op
te nemen met de betreffende producent.
De maatregelen zijn in dit boek in drie groepen onderverdeeld:
Fysieke maatregelen, zoals sloten en hekken, maar ook kasten en een receptie;
Technische maatregelen, zoals back-ups, software voor geheimschrift en antivirusfuncties;
Basiskennis Beveiliging van Informatie
6
Organisatorische maatregelen zoals het scheiden van functies, geheimhoudingsverklaringen en
autorisaties waarmee geregeld is wat iemand mag op het informatiesysteem.
Het boek wordt afgesloten met een bespreking van wet- en regelgeving zoals die in Nederland van
toepassing is. Er zijn wetten die het toepassen van beveiligingsmaatregelen verplicht stellen. Denk
daarbij bijvoorbeeld aan de Wet Bescherming Persoonsgegevens (WBP) die eisen stelt aan de
bescherming van de privacy.
Jacques Cazemier
Basiskennis Beveiliging van Informatie
7
2. Over de schrijversDit boek is geschreven door dezelfde groep auteurs als van het boekje "Nederland gaat digitaal, maar
wel veilig", dat in 2002 als gezamenlijke uitgave van het Ministerie van Economische Zaken en het
Genootschap van Informatiebeveiligers is verschenen.
De auteurs zijn allen lid van het PvIB en beogen het vakgebied informatiebeveiliging toegankelijker te
maken voor startende informatiebeveiligers en medewerkers van afdelingen.
Hans Baars CISSP, is van 1999 tot 2002 bij de politie werkzaam geweest als
informatiebeveiligingsfunctionaris en als intern EDP-Auditor. In 2002 werd hij adviseur integrale
veiligheid bij het Korps Landelijke Politiediensten. In die functie was hij betrokken bij de vormgeving
van het informatiebeveiligingsbeleid van de Nederlandse politie. Sinds 2006 is hij als
beveiligingsconsultant werkzaam binnen het bedrijfsleven. Hij adviseert overheden en commerciële
bedrijven over de wijze waarop zij hun fysieke en informatiebeveiliging betaalbaar en werkbaar
kunnen inrichten.
Kees Hintzbergen is accountmanager bij 3-Angle. Kees heeft meer dan 20 jaar ervaring in de ICT en
IV en werkt sinds 1999 in het vakgebied informatiebeveiliging. In 1998 heeft hij zijn AMBI-master
gehaald op het gebied van Exploitatie en Beheer. Daarnaast heeft hij opleidingen gevolgd bij de
Hogeschool van Amsterdam (HEAO-BI) en de Hogeschool Dirksen (System Engineer). Ook heeft hij
de complete VAX-VMS training gevolgd bij het toenmalige Digital. Kees is in het dagelijkse leven
adviseur, coach en ’spiegel’ waarbij hij de Gezond Verstand Methode hanteert. Dankzij zijn ervaring
en zijn oosterse inslag (een man een man, een woord een woord) is hij in staat te verkopen vanuit
advies.
Jule Hintzbergen CISSP PSP, is, na 21 jaar bij Defensie, sinds 1999 werkzaam bij Capgemini als
consultant public security. Jule heeft meer dan 20 jaar ervaring in de ICT en houdt zich een groot deel
van de tijd bezig met informatiebeveiliging. Na het behalen van AMBI op het gebied van Exploitatie en
Beheer in 1997 heeft hij diverse rollen vervuld op het grensvlak van projectmanagement,
informatiemanagement en fysieke en informatiebeveiliging. Hij is al geruime tijd verbonden aan EXIN
(Examination Institute for Information Science) als vraagproducent en reviewer. Jule is sinds 2003
CISSP (Certified Information Systems Security Professional) bij ISC2 en sinds 2007 PSP (Physical
Security Professional) bij ASIS International.
Ir. André Smulders (CISSP) is senior consultant informatiebeveiliging bij TNO Informatie- en
Communicatietechnologie. André is na zijn studie Technologie Management aan de TU Eindhoven in
1996 gestart in het werkveld van innovatie en ICT en specialiseert zich sinds 2000 in
informatiebeveiliging. In zijn huidige rol als adviseur en projectleider heeft hij te maken met
informatiebeveiligingsprojecten variërend van technologisch tot strategisch niveau.
Dit boek is gereviewd door de volgende personen die wij daar voor danken:
Ing. John van Huijgevoort, Capgemini Nederland B.V.
Drs. Erno Duinhoven CISSP, Capgemini Nederland B.V.
Ing. Ben Elsinga CISSP, Capgemini Nederland B.V.
Ing. Marcel Oogjen, Capgemini Nederland B.V.
Ir.drs. Jurgen van der Vlugt RE CISA, Noordbeek IT Audit
Dr. J. Hulstijn, Vrije Universiteit, Postgraduate IT Audit Opleiding
Drs. Fred van Noord, Verdonck, Klooster & Associates (VKA)
Drs. Rita Pilon, EXIN International Examination Institute for Information Science
Basiskennis Beveiliging van Informatie
8
Het voorwoord is geschreven door Jacques A. Cazemier:
Jacques A. Cazemier is als executive consultant op het gebied van informatiebeveiliging en Business
Continuity Management (BCM) actief bij Verdonck, Klooster & Associates (VKA). Hij heeft aan de
wieg gestaan van de invoering van Informatiebeveiliging en Business Continuity Management in
Nederland in het midden van de negentiger jaren.
De laatste jaren is hij vooral betrokken geweest bij beleids-, organisatorische en planningsaspecten
van informatiebeveiliging op werkterreinen bij de overheid, het bedrijfsleven en bij financiële
instellingen.
Ook het uitvoeren van onderzoek naar de status van informatiebeveiliging, het begeleiden van
onderzoek naar computerinbraak of het inrichten van Business Continuity Management heeft deel
uitgemaakt van zijn werkzaamheden.
Hij is hoofddocent binnen de MSIT (Master of Security in Information Technology) en het MISM
(Master of Information Security Management) programma’s die bij de TiasNimbas Business School in
samenwerking met de TU/Eindhoven gegeven worden. Verder is hij verbonden aan TopTech van TU
Delft en is hij gastdocent aan de Haagse Hogeschool en Saxion.
Hij is een van de auteurs van het ITIL®
Security Management boek.
Basiskennis Beveiliging van Informatie
9
3. Inleiding basiskennis beveiliging van informatie
Dit boek geeft een algemeen overzicht van informatiebeveiliging. Informatiebeveiliging omvat het
vakgebied dat zich richt op de kwaliteit (betrouwbaarheid) van informatievoorziening en de continuïteit
van de bedrijfsvoering. Met kwaliteit wordt in dit verband bedoeld de beschikbaarheid, de
vertrouwelijkheid en de integriteit van informatie. In dit boek wordt uitgelegd wat deze kwaliteitseisen
inhouden, hoe ze vastgesteld kunnen worden en wat er voor nodig is om deze vervolgens te borgen
in de organisatie. Het geheel omvat het vakgebied van de informatiebeveiliger. De onderwerpen die
hierbij een rol spelen worden in de afzonderlijke hoofdstukken nader toegelicht. Daarbij wordt per
hoofdstuk aangegeven waarom het specifieke onderwerp relevant is. Dat zal toegelicht worden aan
de hand van cases uit de alledaagse praktijk. Deze cases zullen zoveel mogelijk generiek van aard
zijn en dus niet zijn toegespitst op een specifiek organisatietype.
Na het lezen van het boek heeft u een globaal overzicht van de onderwerpen die informatiebeveiliging
omvatten, weet u waarom deze onderwerpen relevant zijn en heeft u inzicht in de meest gangbare
begrippen.
Dit boek is geschikt voor iedereen in een organisatie die behoefte heeft aan basiskennis over de
beveiliging van informatie. Deze basiskennis is van belang voor alle medewerkers in een bedrijf of bij
de overheid omdat zij omgaan met informatie. Lijnmanagers hebben deze kennis nodig omdat zij
verantwoordelijk zijn voor de beveiliging van de informatie op hun afdeling. Deze basiskennis is ook
van belang voor ondernemers en voor zelfstandigen zonder personeel (ZZP) omdat zij zelf hun
informatie moeten beschermen. Enige kennis van informatiebeveiliging is ook nodig voor de
thuisomgeving. En natuurlijk vormt deze kennis een goede basis voor iemand die overweegt een rol
te gaan vervullen als informatiebeveiliger, zowel als ICT’er of als procesbeheerder.
Ieder van ons heeft in zijn of haar dagelijks leven te maken met informatiebeveiliging, vaak in de vorm
van maatregelen. Die maatregelen zijn ons opgelegd of hebben we zelf ingevoerd. Denk bijvoorbeeld
aan het gebruik van wachtwoorden op de computer. Maatregelen ervaren we vaak als lastig omdat ze
tijd kosten en omdat we niet altijd weten waar de maatregel ons tegen beschermt.
De kunst van het implementeren van informatiebeveiliging is het in balans brengen van een aantal
aspecten:
De kwaliteitseisen die door de organisatie aan de informatie worden gesteld;
De risico’s voor deze kwaliteitseisen;
De maatregelen die nodig zijn om deze risico’s te beperken;
De zorg voor het voortbestaan (de continuïteit) van de organisatie in geval van een calamiteit.
Het primaire doel van dit boek is te dienen als opleidingsmateriaal. Daarom eindigt ieder hoofdstuk
met een casus. Om het begrip en de samenhang van de onderwerpen te versterken zijn in deze
casussen vragen over de behandelde stof opgenomen. U treft ook veel voorbeelden uit de praktijk
aan en recente gebeurtenissen die de kwetsbaarheid van informatie laten zien. Met deze
gebeurtenissen willen we u niet bang maken, alleen bewust.
Door het algemene karakter is dit boek ook geschikt als materiaal voor een bewustwordingstraining of
als naslagwerk in een bewustwordingscampagne.
In het kader van dit boek hebben we het over grote organisaties, maar de onderwerpen zijn ook van
toepassing op de dagelijkse thuisomgeving en kleine organisaties/bedrijven die geen aparte
informatiebeveiligingsfuncties kennen. In dergelijke situaties zullen de verschillende
informatiebeveiligingsfuncties belegd zijn bij één persoon.
Basiskennis Beveiliging van Informatie
10
4. Informatie, bedrijfsdoelstellingen en kwaliteitseisen
Inleiding
Zoals de naam al doet vermoeden gaat informatiebeveiliging over het beveiligen van informatie. Wat
beveiliging is wordt verderop uitgelegd, eerst kijken we wat informatie eigenlijk is. Informatie is een
breed begrip, waarbij voor het begrip informatie al veel definities zijn gegeven. Vaak zijn deze
interpretaties vakgebied- of toepassingsspecifiek. In het kader van dit boek gebruiken we de definitie
uit de Dikke van Dale, die informatie omschrijft als: kennis die iemand bereikt.
Voor het begrip informatiebeveiliging gebruiken we de definitie van het Platform voor
Informatiebeveiliging (PvIB): Informatiebeveiliging betreft het definiëren, implementeren,
onderhouden, handhaven en evalueren van een samenhangend stelsel van maatregelen die de
beschikbaarheid, de integriteit en de vertrouwelijkheid van de (handmatige en geautomatiseerde)
informatievoorziening waarborgen.
4.1 Verschijningsvormen
Kennis die iemand bereikt onderscheidt informatie van gegevens en van data. Data zijn gegevens die
in de informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie als deze
gegevens geïnterpreteerd kunnen worden tot een zinvolle boodschap. Er zijn oneindig veel
verschijningsvormen van informatie waar we dagelijks mee omgaan. Dat kan in de vorm van tekst zijn
maar ook in de vorm van gesproken woord en videobeelden. In het kader van informatiebeveiliging
moeten we rekening houden met alle verschijningsvormen waarin informatie zich kan manifesteren.
Het gaat immers om het beveiligen van de informatie zelf en niet de wijze waarop deze zich
manifesteert. De wijze waarop informatie zich manifesteert legt wel beperkingen op aan de
maatregelen die nodig zijn om de informatie te beschermen.
4.2 Informatiesystemen
Overdracht en verwerking van informatie vindt plaats met behulp van een informatiesysteem. Let
hierbij op dat een informatiesysteem niet per definitie een ICT(informatie en
communicatietechnologie)-systeem is. Elk systeem dat tot doel heeft informatie over te dragen is een
informatiesysteem. Voorbeelden van informatiesystemen zijn dossiers in archiefkasten, de mobiele
telefoon en de printer. In het kader van informatiebeveiliging is een informatiesysteem het geheel van
middelen, procedures, regels en mensen dat de informatievoorziening voor een bedrijfsproces
verzorgt. In toenemende mate zijn dit ICT-systemen waardoor we in de informatievoorziening steeds
afhankelijker zijn geworden van het goed functioneren van deze ICT-systemen. Een ICT-systeem
bestaat zoals gezegd uit middelen die een bepaalde samenhang hebben. Deze middelen zijn
bijvoorbeeld:
De werkplek, bestaande uit de pc met besturingssoftware en programma's;
Datatransport via een netwerk, bekabeld of niet (wireless);
Centrale servers, bestaande uit de server met een besturingssysteem en programma's;
Gegevensopslag, bijvoorbeeld schijfruimte, e-mail en databases;
Telefoons met hun centrales en antennes.
Basiskennis Beveiliging van Informatie
11
In het nieuws
Gebruikers van een smartphone met het Symbian OS S60 worden
gewaarschuwd voor de worm Beselo. Deze worm verspreidt zich via mms en bluetooth.
De worm is vermomd als het bestand sex.mp3, love.jpg of beaty.rm, waardoor gebruikers denken dat
het een multimediabestand is en daarom de worm installeren. Na installatie verspreid de worm zich
verder. Ook kopieert het zich naar de geheugenkaartjes die in het toestel zitten.
F-Secure raadt gebruikers aan om het installatieverzoek te negeren. "Een plaatje heeft geen reden tot
een installatieverzoek. Dus ieder plaatje of geluidsbestand dat dit wel doet, is een ander soort
bestand dan dat het zich voordoet", schrijft F-Secure.
Bron: www.computable.nl
4.3 Waarde van informatie
Zoals al eerder opgemerkt is informatie kennis die iemand bereikt. Informatie die betekenisloos is
noemen we immers gegevens. Of iets informatie is of gegevens zijn wordt hoofdzakelijk door de
ontvanger van die informatie bepaald. Zo zal voor de ene partij een bepaalde set gegevens niet
interessant zijn terwijl een andere partij daar waardevolle informatie uit kan halen. De waarde van
informatie wordt daarmee bepaald door de waarde die de ontvanger van deze informatie daaraan
toekent.
4.4 Informatie als productiefactor
De standaard productiefactoren van een bedrijf of organisatie zijn: kapitaal, (handen)arbeid en
grondstoffen. In de informatietechnologie en in de informatiebeveiliging is het gebruikelijk ook
informatie als productiefactor te zien. Bedrijven kunnen niet zonder informatie. Een groothandel die
zijn klant- en voorraadinformatie verliest komt deze klap meestal niet te boven. Sommige bedrijven,
zoals een accountantskantoor, hebben informatie zelfs als enig product.
4.5 Beschikbaarheid, Integriteit en Vertrouwelijkheid
Bij het beschermen van de waarde van informatie kijken we naar drie factoren, dit zijn de
kwaliteitseisen die we stellen aan informatie. Informatie moet betrouwbaar zijn, dat wil zeggen
beschikbaar, integer en vertrouwelijk (BIV). Voor vertrouwelijkheid wordt in sommige organisaties de
term exclusiviteit gebruikt. Dan wordt de afkorting BEI gebruikt: beschikbaar, exclusief en integer. In
het Engels zijn dit de CIA eisen: confidentiality, integrity, availibility.
Bij ieder verzoek om een risicoanalyse uit te voeren of een beveiligingsadvies te geven, zal de
adviseur op basis van deze drie pijlers zijn of haar advies uitbrengen.
Uitgangspunt is de invloed die de BIV-eisen hebben op de waarde van de informatie:
Het belang van de informatie voor de bedrijfsprocessen;
De onmisbaarheid van de informatie binnen bedrijfsprocessen;
De herstelbaarheid van de informatie.
Basiskennis Beveiliging van Informatie
12
Wat we verstaan onder beschikbaarheid, integriteit en vertrouwelijkheid wordt hieronder nader
uitgelegd.
4.5.1 Beschikbaarheid
Beschikbaarheid is de mate waarin informatie beschikbaar is voor de gebruiker en het
informatiesysteem in bedrijf is op het moment dat de organisatie deze nodig heeft.
Kenmerken van beschikbaarheid zijn:
Tijdigheid. De informatiesystemen zijn beschikbaar gedurende werktijd;
Continuïteit. De medewerkers kunnen doorwerken;
Robuustheid. Er is voldoende capaciteit om alle medewerkers in het systeem te kunnen laten werken.
Voorbeelden van voorzieningen voor beschikbaarheid:
Het beheer en de opslag van gegevens is zodanig dat de kans op het verliezen van informatie
minimaal is. Data worden bijvoorbeeld op een netwerkschijf opgeslagen, niet op de harde schijf van
de pc;
Er worden back-upprocedures opgesteld. Hierbij wordt rekening gehouden met wettelijke
bewaartermijnen. De plaats van de back-up is fysiek gescheiden van het bedrijf om de
beschikbaarheid in noodgevallen te waarborgen;
Er worden noodprocedures opgesteld om de werkzaamheden na een grootschalige verstoring zo
spoedig mogelijk weer in gang te kunnen zetten.
4.5.2 Integriteit
Integriteit is de mate waarin de informatie actueel en zonder fouten is. Kenmerken van integriteit zijn
de juistheid en de volledigheid van de informatie.
In het nieuws
Computercriminelen verkopen via Argentijnse en Maleisische "crimeware servers" de logins van
ziekenhuizen en andere zorgverleners, zo beweert beveiligingsbedrijf Finjan. De beveiliger vindt
regelmatig allerlei interessante informatie op gehackte servers. Dit keer gaat het om data afkomstig
uit ziekenhuizen en zorgverleners, zakelijke informatie van een luchtvaartmaatschappij en via
identiteitsdiefstal verkregen Sofi-nummers
Met de gestolen patiëntgegevens kunnen fraudeurs medicijnen en behandelingen krijgen, om die dan
weer door te verkopen. Voor de slachtoffers kan dit gevolgen voor de dekking hebben en een
vervuiling van het eigen dossier betekenen, met schadelijke en foutieve behandelingen als mogelijk
gevolg, aldus Finjan. Het bedrijf vond op de crimeware server de Citrix logins van een Amerikaans
ziekenhuis en andere medische instellingen.
Bron: www.security.nl
Basiskennis Beveiliging van Informatie
13
Voorbeelden van voorzieningen voor integriteit:
Wijzigingen in systemen en data worden geautoriseerd, bijvoorbeeld een medewerker voert een
nieuwe prijs in voor een artikel op de website, een andere medewerker controleert de juistheid van die
prijs voordat deze gepubliceerd wordt;
Waar mogelijk worden mechanismen ingebouwd die het correcte gebruik van termen afdwingen,
bijvoorbeeld een klant wordt altijd ‘klant’ genoemd, de term ‘customer’ kan niet worden ingevoerd in
de database;
Gebruikershandelingen worden vastgelegd (gelogd) zodat gecontroleerd kan worden wie een
wijziging in de informatie heeft aangebracht;
Vitale systeemhandelingen, bijvoorbeeld het installeren van nieuwe software, mogen niet door één
persoon worden uitgevoerd, door het scheiden van functies en bevoegdheden kan afgedwongen
worden dat minstens twee personen nodig zijn voor een wijziging met grote gevolgen;
Integriteit van gegevens kan in belangrijke mate gewaarborgd worden door encryptie technieken, het
versleutelen van informatie;
Het beleid en beheer voor encryptie kan in een afzonderlijk beleidsdocument vastgesteld worden.
4.5.3 Vertrouwelijkheid
Vertrouwelijkheid is de mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep
die daar rechten toe heeft. Hieronder vallen ook maatregelen die de privacy beschermen.
Voorbeelden van voorzieningen voor vertrouwelijkheid:
Toegang tot informatie wordt gegeven op basis van ‘need to know’, bijvoorbeeld een financieel
medewerker hoeft geen verslagen van gesprekken met de klant te zien;
Medewerkers treffen maatregelen om te voorkomen dat informatie terecht komt bij personen die deze
informatie niet nodig hebben. Zij zorgen er bijvoorbeeld voor dat op hun bureau geen vertrouwelijke
informatie ligt in hun afwezigheid (clear desk policy);
Logisch toegangsbeheer zorgt ervoor dat ongeautoriseerde personen of processen geen toegang
krijgen tot de geautomatiseerde systemen, gegevensbestanden en programmatuur. Een gebruiker
heeft bijvoorbeeld niet de rechten om instellingen op de pc veranderen, dit wordt geregeld door deze
instellingen onzichtbaar te maken voor de gebruiker;
Er zijn functiescheidingen aangebracht tussen de systeemontwikkelings-, verwerkings- en
gebruikersorganisatie. Een systeemontwikkelaar kan bijvoorbeeld geen salarisaanpassing doen;
Er zijn strikte scheidingen aangebracht tussen de ontwikkelingsomgeving, de test- en
acceptatieomgeving en de productieomgeving (OTAP);
Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van
personeel en derden te waarborgen. Personeelszaken (HR) heeft bijvoorbeeld een eigen
netwerkschijf die voor overige afdelingen niet toegankelijk is;
Computergebruik door eindgebruikers is omgeven door zodanige maatregelen, dat de
vertrouwelijkheid van de informatie gegarandeerd is. Denk bijvoorbeeld aan het wachtwoord voor
toegang tot de computer en het netwerk.
Basiskennis Beveiliging van Informatie
14
4.6 Informatiearchitectuur
Informatiebeveiliging heeft een nauwe relatie met informatiearchitectuur. Informatiearchitectuur is het
proces dat zich richt op de inrichting van de informatievoorziening binnen een organisatie. Zoals
hierboven kort geschetst worden er eisen gesteld aan de informatievoorziening. Informatiebeveiliging
kan helpen waarborgen dat de gestelde eisen in de informatiearchitectuur worden gerealiseerd.
Informatiearchitectuur richt zich primair op het invullen van de informatiebehoefte van een organisatie
en de wijze waarop dit georganiseerd kan worden. Informatiebeveiliging kan dit proces ondersteunen
door de integriteit, beschikbaarheid en vertrouwelijkheid van de informatie te waarborgen.
In het nieuws
De nieuwe 787 Dreamliner van Boeing heeft mogelijk een serieus beveiligingsprobleem. Volgens de
Amerikaanse Federal Aviation Administration (FAA) is het in theorie mogelijk dat passagiers van het
vliegtuig inloggen op het bedieningssysteem van het vliegtuig.
Het blijkt dat er een fysieke verbinding bestaat tussen het computernetwerk dat passagiers
internettoegang verschaft, en de computers die de navigatie, communicatie en bediening van het
vliegtuig regelen.
Deze fysieke verbinding is een groot veiligheidsprobleem, omdat het hackers potentieel toegang geeft
tot de belangrijkste systemen in het vliegtuig. Volgens de FAA is de beste oplossing om de fysieke
verbinding volledig te verwijderen.
Boeing heeft aangegeven dat het bedrijf al op de hoogte was van het bericht van de FAA en dat aan
een oplossing gewerkt wordt. Volgens Boeing is er echter geen 'volledige' verbinding tussen het
passagiersnetwerk en de vliegtuigsystemen en zou het al onmogelijk moeten zijn om in te loggen. Ict-
specialisten hebben daar op gereageerd dat elke softwarematige firewall onvoldoende is om een
dergelijk belangrijk systeem te beveiligen.
Bron: www.computable.nl
4.7 Bedrijfsprocessen en informatie
In een bedrijfsomgeving is er een nauw verband tussen bedrijfsprocessen en informatie. Een
bedrijfsproces is het proces dat voor het bedrijf de basis is van zijn bestaan. In een bedrijfsproces
wordt door mensen gewerkt aan een product of een dienst voor een klant. Een bedrijfsproces kent de
volgende stappen: input, proces, output.
Er zijn verschillende soorten bedrijfsprocessen:
Het primaire proces, bijvoorbeeld het maken van fietsen of het beheren van geld;
Sturende processen, bijvoorbeeld het plannen van de strategie van het bedrijf;
Ondersteunende processen, bijvoorbeeld inkoop en verkoop of HR.
Informatie is een belangrijke productiefactor geworden in het uitvoeren van bedrijfsprocessen. Eén
van de methoden om de waarde van informatie te bepalen is na te gaan welke rol de informatie speelt
in de verschillende bedrijfsprocessen. Elk bedrijfsproces stelt zijn specifieke eisen aan de
Basiskennis Beveiliging van Informatie
15
informatievoorziening. Zo zijn er processen die sterk afhankelijk zijn van de beschikbaarheid van
informatie, denk aan de website van het bedrijf, terwijl andere processen juist gebaat zijn bij de
absolute correctheid van informatie zoals de prijzen van de producten.
4.8 Informatieanalyse
Informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met informatie. Hoe ‘loopt’
de informatie door de organisatie heen. Bijvoorbeeld een gast heeft zich via de website ingeschreven
bij een hotel. Deze informatie is doorgegeven aan de administratie die een kamer vastlegt. De
receptie weet dat de gast vandaag zal arriveren. De huishoudelijke dienst weet dat de kamer op tijd
schoon opgeleverd moet worden. Bij al deze stappen is het belangrijk dat de informatie betrouwbaar
is. Het resultaat van een informatieanalyse kan gebruikt worden om tot een ontwerp te komen voor
een informatiesysteem.
4.9 Informatiemanagement
Informatiemanagement formuleert en richt het beleid in rondom de informatievoorziening van een
organisatie. Daarbij kan een informatiemanager gebruik maken van de informatiearchitectuur en een
informatieanalyse. Informatiemanagement is veel breder dan alleen de geautomatiseerde
informatieverwerking door een organisatie. In veel gevallen zijn ook de externe communicatie en
communicatie met de media onderdeel van de informatiemanagementstrategie.
4.10 Informatica
De term informatica heeft betrekking op de wetenschap die zich bezighoudt met de logica die gebruikt
wordt bij het structureren van informatie en systemen. Daarbij is van belang dat deze kennis ingezet
kan worden in het ontwikkelen van programmatuur.
4.11 Samenvatting
In dit hoofdstuk heeft u geleerd wat de verschillende verschijningsvormen van informatie en
informatiesystemen zijn. U hebt kennis gemaakt met de drie-eenheid Beschikbaarheid,
Vertrouwelijkheid en Integriteit. Tot slot heeft u gezien wat het belang van informatiebeveiliging is voor
de bedrijfsprocessen, de informatiearchitectuur en informatiemanagement.
4.12 Casus
Een autofabrikant heeft gepland dit jaar vijftienduizend auto’s van een bepaald type te bouwen. De
fabrikant heeft een tweede model in ontwikkeling. Dit model bevindt zich nog op de tekentafel en
enkele zogenaamde kleimodellen zijn gemaakt om de ideeën verder uit te werken.
Deze autofabrikant heeft een groot aantal toeleveranciers voor de fabricage van zijn producten. Zowel
bij de aanlevering van onderdelen voor de te bouwen auto’s als bij de ontwikkeling van het nieuwe
model wordt veel samengewerkt met de toeleveranciers.
Bedenk aan de hand van deze casus op welke manier de BIV-eisen die gesteld worden aan
informatie, een rol spelen bij de bouw en ontwikkeling van een auto. Werk de BIV-eisen uit op de
beide genoemde informatiestromen. Kijk ook naar de bedrijfsprocessen en hoe de
informatiearchitectuur en het informatiemanagement daar een rol in spelen.
Basiskennis Beveiliging van Informatie
16
5. Dreigingen en risico’s (risicoanalyse)
Inleiding
Er wordt geen huis meer gebouwd zonder deugdelijk hang- en sluitwerk. Of de deur op slot zit bepaalt
u echter zelf. Deze keuze wordt gemaakt uit gewoonte of op basis van een risicoafweging. In
gebieden waar veel wordt ingebroken zullen de deuren door de bewoners meestal op slot worden
gedaan.
De dreiging is in dit geval het verdwijnen van persoonlijke eigendommen. Het risico dat er bij u wordt
ingebroken wordt bepaald door de frequentie waarmee dit in de omgeving voorkomt. De vraag is of
het een objectief risico is. Zijn er werkelijk veel inbraken in de buurt? De risico-inschatting is subjectief
als u alleen handelt op grond van geruchten.
In het proces van informatiebeveiliging worden ongewenste effecten (dreigingen) zo goed mogelijk in
kaart gebracht. Vervolgens wordt bepaald of er iets, en zo ja, wat er moet gebeuren om deze te
voorkomen. De ongewenste effecten die voorkomen moeten worden zijn niet altijd duidelijk voor
degenen die de maatregelen moeten uitvoeren. Waarom moeten we iedere drie maanden ons
wachtwoord veranderen? Andere maatregelen zijn minder zichtbaar, zoals de back-ups die 's nachts
van de bestanden op de server worden gemaakt. Het voordeel daarvan merken we pas als we een
bestand kwijt zijn.
We gaan nu globaal in op hoe maatregelen tot stand komen en waar ze voor dienen.
Voordat we gaan beveiligen moeten we weten waartegen beveiligd moet worden. De methodiek die
helpt om hier inzicht in te krijgen heet risicoanalyse. Er zijn verschillende vormen van risicoanalyses
waarvan een aantal in dit hoofdstuk aan bod zullen komen.
Met een risicoanalyse worden de risico’s voor een organisatie in kaart gebracht. Een risico, het
gevaar voor schade aan of verlies van informatie, wordt bepaald door een aantal factoren. Dit zijn de
dreiging, de kans dat een dreiging zich daadwerkelijk voordoet en de gevolgen daarvan.
In de praktijk
In het bedrijf waar u werkt kan brand uitbreken;
Een medewerker die niet op de HR afdeling werkt, heeft toegang tot delen van het HR programma;
Iemand doet zich voor als een collega en probeert informatie te verkrijgen;
Uw bedrijf wordt getroffen door een stroomstoring;
Een hacker weet toegang te krijgen tot het bedrijfsnetwerk.
In de informatiebeveiliging worden lijsten met standaarddreigingen gebruikt. Bovengenoemde
dreigingen maken hier deel van uit.
In voorgaand voorbeeld is brand een dreiging. Wanneer een dreiging manifest wordt, zoals de hacker
die op het bedrijfsnetwerk komt, spreken we van een incident. Een stroomstoring, zoals in begin 2008
toen een helikopter een hoogspanningskabel beschadigde, is zo'n groot incident dat de continuïteit
van het bedrijf in gevaar is. Dit noemen we een calamiteit.
Als een dreiging werkelijkheid wordt, ontstaat er een risico voor de organisatie. De grootte van het
risico maar ook de inschatting van het management, bepaalt of en hoeveel maatregelen genomen
moeten worden om het risico in te perken.
Basiskennis Beveiliging van Informatie
17
In het nieuws
Het SANS Institute (System, Audit, Network, Security) heeft zijn lijstje van de
tien grootste computerdreigingen opgesteld. De meest opvallende dreigingen zijn cyberspionage door
overheden, aanvallen op mobiele telefoons en het verspreiden van malware via
consumentenproducten als USB-sticks.
Volgens het SANS Institute komt de grootste computerdreiging dit jaar van websites die zwakheden in
browsers en bijbehorende plugins (zoals Flash en QuickTime) proberen uit te buiten. Op de tweede
plaats verwacht SANS een geavanceerder inzet van botnets, in navolging van de Storm worm die
vorig jaar de wereld wakker schudde.
Opvallend is de derde plaats op het lijstje: cyberspionage door grote organisaties of zelfs overheden.
In 2007 was China al vaak in het nieuws vanwege vermeend spioneren. SANS verwacht op dit vlak
meer activiteit van nog meer organisaties.
Ook het risico van aanvallen op mobiele telefoons en VoIP-systemen staan hoog op de lijst (vierde
plek). Telefoons worden steeds geavanceerder, hebben vaak een compleet besturingssysteem en
worden daardoor steeds kwetsbaarder.
De gebruiker zelf
Een oude bekende staat op de vijfde plek: de gebruikers/werknemers zelf blijven een zwakke schakel
in de beveiliging van (bedrijfs)gegevens. SANS raadt bedrijven onder meer aan om de toegang tot
systemen strikt te beperken tot wat de gebruiker nodig heeft om zijn werk goed te kunnen doen.
Op de zesde plaats staat het risico van bots die pc's drie tot vijf maanden inspecteren om gegevens
als wachtwoorden, e-mailadressen, bankgegevens, surfgeschiedenis en dergelijke te verzamelen.
Op de zevende plaats staat het kwaadaardiger worden van spyware. De software zal volgens SANS
ook steeds beter worden in het identificeren en uitschakelen van antimalwareprogramma's, waardoor
het een stuk lastiger wordt om spyware van een pc te verwijderen.
In de lagere regionen van het lijstje vinden we nog het uitbuiten van kwetsbaarheden in
webapplicaties (achtste plaats), ‘social engineering' (het ‘inschakelen' van de gebruikers van
systemen om toegang te krijgen tot die systemen, bijvoorbeeld door phishing) op de negende plaats
en op de tiende plaats het verspreiden van malware via consumentenproducten als USB-sticks,
fotolijstjes en gps-systemen.
Bron: www.computable.nl
Het proces om van dreigingen naar risico’s en naar beveiligingsmaatregelen te gaan heet
risicomanagement.
Risicomanagement is een continu proces waarin de risico’s worden onderzocht, geïdentificeerd en
gereduceerd tot een acceptabel niveau. Dit doorlopende proces is op alle onderdelen van de
bedrijfsprocessen van toepassing. De taak om dit proces te bewaken wordt in grote organisaties
uitgevoerd door een speciaal daartoe aangestelde informatiebeveiligingsdeskundige, bijvoorbeeld de
Chief Information Security Officer (CISO), die direct verantwoording schuldig is aan het hoogste
management, of de Information Security Officer (ISO).
Basiskennis Beveiliging van Informatie
18
In dit hoofdstuk wordt uitgelegd hoe een risicoanalyse in zijn werk gaat.
5.1 Risicoanalyse
De risicoanalyse is een middel in risicomanagement. Het uitvoeren van een risicoanalyse heeft als
doel inzichtelijk te maken welke dreigingen relevant zijn voor de bedrijfsprocessen en welke risico’s
hiermee gepaard gaan. Het beveiligingsniveau met de daarbij passende beveiligingsmaatregelen
worden vastgesteld.
Een risicoanalyse wordt gebruikt om zeker te stellen dat beveiligingsmaatregelen op een
kosteneffectieve en tijdige manier worden ingezet en daarmee een goed antwoord vormen op de
dreigingen.
Beveiliging is een complexe zaak, zelfs voor ervaren beveiligingsdeskundigen. Het is niet eenvoudig
de balans te vinden tussen te zware beveiligingsmaatregelen en te weinig of de verkeerde
maatregelen. Veel geld kan worden uitgegeven aan onnodige beveiligingsmaatregelen omdat er geen
doordacht beveiligingsconcept aan ten grondslag ligt. Een hulpmiddel om tot een doordacht
beveiligingsconcept te komen is bijvoorbeeld de risicoanalyse.
Een risicoanalyse helpt het bedrijf de risico’s juist in te schatten en daarbij de juiste, evenwichtige
beveiligingsmaatregelen vast te stellen. Het management krijgt inzicht in de kosten die gemoeid zijn
met het nemen van de juiste maatregelen.
Een risicoanalyse heeft vier hoofddoelen:
Het identificeren van middelen en hun waarde;
Het vaststellen van kwetsbaarheden en dreigingen;
Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces
verstoren;
Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een
beveiligingsmaatregel.
De risicoanalyse voorziet in een kosten/batenverhouding. De jaarlijkse kosten die de
beveiligingsmaatregelen met zich mee brengen worden vergeleken met het potentiële verlies dat
optreedt wanneer dreigingen werkelijkheid worden.
Het mag natuurlijk niet zo zijn dat een server inclusief de data EUR 100.000,= waard is en er voor
EUR 150.000,= aan beveiligingsmaatregelen worden genomen. Overigens gaat dit niet altijd op. Er
kan een wettelijke eis van kracht zijn om de data te beschermen of maatregelen te nemen. Het gevolg
hiervan kan zijn dat de waarde van de maatregelen de waarde van de bedrijfsmiddelen overstijgt.
Overigens is de waarde van data niet gemakkelijk vast te stellen. Denk bijvoorbeeld aan imagoverlies
na een beveiligingsincident. De schade daarvan is moeilijk te berekenen.
5.2 Soorten risicoanalyses
Er bestaan twee hoofdgroepen risicoanalyses: de kwantitatieve en de kwalitatieve risicoanalyse.
5.2.1 Kwantitatieve risicoanalyse
De kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen wat het financiële
verlies is en hoe groot de kans is dat een dreiging een incident wordt. Voor alle elementen in een
bedrijfsproces wordt de waarde vastgesteld. Deze waarden kunnen de kosten van
beveiligingsmaatregelen bevatten, maar ook de waarde van eigendommen zoals gebouwen,
Basiskennis Beveiliging van Informatie
19
hardware, software, informatie en bedrijfsmatige impact. Ook worden hierbij betrokken de tijdspanne
voordat een dreiging uitkomt, de effectiviteit van beveiligingsmaatregelen en het risico dat een
kwetsbaarheid benut wordt.
Zo wordt het totale financiële risico in kaart gebracht, passende maatregelen worden bepaald en, niet
onbelangrijk, vastgesteld welk restrisico geaccepteerd wordt door de verantwoordelijke managers.
Het is de bedoeling dat de kosten van de maatregelen niet de waarde van het te beveiligen object en
het risico overstijgen.
Een puur kwantitatieve risicoanalyse is vrijwel onmogelijk. Een kwantitatieve risicoanalyse probeert
waarden aan alle zaken te koppelen en dat is niet altijd mogelijk. Een defecte server is naar bedragen
om te zetten: de aankoopwaarde en de afschrijving van de server, de waarde van de software die
geïnstalleerd moet worden, het arbeidsloon bij reparatie, dat alles is vast te stellen. Maar probeert u
imagoschade eens aan een waarde te koppelen! Hoe stellen we vast wat het verlies is door
imagoschade? Hoeveel waardeverlies heeft een bedrijf doordat bepaalde data verloren gaan? Soms
is dat vast te stellen, soms ook niet.
Dat maakt het ook moeilijk om de juiste maatregelen vast te stellen voor bepaalde schades.
In de praktijk
U hebt een verzekeringskantoor en de gegevens van verzekerden komen op straat te liggen door een
fout van een medewerker. Hoeveel klanten gaat u verliezen door dit voorval?
Gegevens van getuigen in een strafzaak lekken uit. Hoeveel mensen zullen nog bereid zijn vrijwillig te
getuigen in een strafzaak?
Een medewerker heeft een USB-stick verloren en dit wordt breed uitgemeten in de pers. Hoe
betrouwbaar is uw organisatie nog in de ogen van het publiek?
5.2.2 Kwalitatieve risicoanalyse
Een kwalitatieve risicoanalyse gaat uit van scenario’s en situaties. Hierbij worden de kansen dat een
dreiging uitkomt bekeken op gevoel. Dan wordt gekeken naar het bedrijfsproces waarop de dreiging
betrekking heeft en naar de beveiligingsmaatregelen die al genomen zijn. Dit alles levert een
subjectief dreigingsgevoel op. Hierop worden vervolgens maatregelen genomen die het risico moeten
inperken. Het beste resultaat wordt bereikt door de analyse in een groepssessie uit te voeren, omdat
dit leidt tot een discussie waarin niet het beeld van een persoon of een afdeling leidend is.
Kwantitatieve en kwalitatieve risicoanalyses hebben hun voor- en nadelen. Het management, in
overleg met de deskundigen, bepaalt welke methode in welke situatie het best toegepast kan worden.
5.3 Maatregelen die het risico verminderen
De risicoanalyse levert een lijst op met dreigingen en hun relatieve belang. De volgende stap is voor
elke serieuze dreiging één of meer maatregelen te vinden die het risico verminderen. Dat kan door de
kans op de gebeurtenis kleiner te maken of door de gevolgen te minimaliseren, of door een
combinatie van beide.
Theoretisch hebben we daarvoor de volgende mogelijkheden:
5.3.1 Typen beveiligingsmaatregelen
Hoe bouwen we de beveiliging op? Dat kan op diverse manieren en hangt af van de doelstellingen
die bereikt moeten worden. Wat vaststaat, is dat de beveiligingsmaatregelen altijd samenhangen met
de uitkomsten van een risicoanalyse en gebaseerd zijn op de betrouwbaarheidsaspecten en –
kenmerken van informatie.
Wat willen we bereiken?
Basiskennis Beveiliging van Informatie
20
Preventieve maatregelen zijn gericht op het voorkomen van incidenten;
Detectieve maatregelen zijn bedoeld om incidenten waar te kunnen nemen;
Repressieve maatregelen zijn bedoeld om de gevolgen van een incident te stoppen;
Correctieve maatregelen zijn bedoeld om de ontstane schade te herstellen.
Het is mogelijk ons te verzekeren tegen bepaalde incidenten, bijvoorbeeld omdat het zelf nemen van
maatregelen te kostbaar is.
Afhankelijk van de omvang van de risico’s kunnen we er ook voor kiezen bepaalde risico’s te
accepteren.
5.3.2 Preventie
Maak de dreiging onmogelijk. Verbreek de verbinding met internet en metsel de deur dicht. Dit is
praktisch onuitvoerbaar, maar er ook zijn heel eenvoudig uitvoerbare maatregelen. Het in een kluis
leggen van gevoelige informatie valt onder preventieve maatregelen.
5.3.3 Detectie
Als de directe gevolgen niet te groot zijn of er is tijd om gevolgschade te beperken, dan kan detectie
een goed middel zijn. Zorg ervoor dat elk incident zo snel mogelijk wordt gedetecteerd en zorg dat
iedereen daarvan op de hoogte is. Een voorbeeld hiervan is videobewaking waarover door middel
van plakkers op het raam geïnformeerd wordt. De simpele mededeling dat al het internetgebruik
wordt vastgelegd, weerhoudt veel medewerkers van ongeoorloofd surfgedrag. Traceerbaarheid speelt
een steeds grotere rol in de maatschappij. Daarmee lijkt ook de bewijslast te verschuiven. Bij
verdenking moet de organisatie aantonen dat er géén onregelmatigheden waren.
Basiskennis Beveiliging van Informatie
21
5.3.4 Repressie (Onderdrukken)
Het vaststellen dat iets gebeurt is niet voldoende. Wanneer er onverhoopt toch iets mis gaat, is het
zaak de gevolgen van het incident te beperken. Het heeft bijvoorbeeld geen zin brandmelders te
hebben als vervolgens niemand initiatief neemt om een beginnende brand te blussen.
Onderdrukkende maatregelen, zoals het blussen van een beginnende brand, zijn erop gericht de
schade die ontstaat zoveel mogelijk te beperken. Het maken van een back-up is ook een
onderdrukkende maatregel. Immers door periodiek een back-up te maken tijdens het werken aan een
document, wordt voorkomen dat het werk geheel verloren gaat bij een incident. Doordat de back-up
teruggezet kan worden zal slechts een deel van het werk verloren zijn gegaan. Ook uitwijk is een
voorbeeld van een repressieve maatregel.
5.4.5 Correctie (Herstel)
Als een incident heeft plaatsgevonden, dan is er altijd iets dat hersteld moet worden. Afhankelijk van
de onderdrukkende maatregelen is de schade beperkt of zeer groot. Maakt een medewerker per
ongeluk een nieuwe database aan die de volle database overschrijft dan hangt de schade af van een
back-up. Hoe langer het is geleden dat een back-up werd gemaakt, hoe groter de schade.
5.4.6 Verzekeren
Voor gebeurtenissen die niet zijn uit te sluiten en waarvan de gevolgen onaanvaardbaar zijn, zoeken
we methoden om de gevolgen te verzachten, ook wel mitigatie genoemd. Een brandverzekering
beschermt ons tegen de financiële gevolgen van de brand. Dagelijks een kopie van alle belangrijke
gegevens buiten de organisatie brengen zorgt ervoor dat we na de brand in ieder geval de
onvervangbare gegevens nog hebben. Beide maatregelen zijn niet goedkoop maar worden
doorgaans als gerechtvaardigd gezien.
5.4.7 Accepteren
Wanneer alle maatregelen bekend zijn, kan besloten worden om bepaalde beveiligingsmaatregelen
niet uit te voeren omdat de kosten niet in verhouding zijn tot het rendement, of omdat er geen
passende maatregelen mogelijk zijn die de risico’s het hoofd bieden.
5.5 Soorten dreigingen
Dreigingen kunnen worden onderverdeeld in menselijke dreigingen en niet-menselijke dreigingen.
Ook hierbij wordt vaak gebruik gemaakt van standaardlijsten met dreigingen. Het is noodzakelijk om
vast te stellen welke dreigingen relevant zijn en welke niet. Beveiliging vraagt immers (financiële)
offers van een organisatie en het is niet verstandig te investeren in beveiliging tegen dreigingen die
niet zullen optreden.
In de praktijk
Is uw bedrijf gevestigd in een gebied waar nog nooit aardbevingen zijn voorgekomen, dan heeft het
geen zin hier rekening mee te houden en hoeven hier geen maatregelen tegen getroffen te worden.
We gaan hier wat verder in op de soorten dreigingen.
5.5.1 Menselijke dreigingen
Opzettelijk. Mensen kunnen opzettelijk schade toebrengen aan informatiesystemen. Dat kan om
diverse redenen zijn. Meestal wordt eerst aan oorzaken van buitenaf gedacht, zoals een hacker die
een zekere aversie tegen een bedrijf heeft en daarom binnendringt en schade veroorzaakt.
Basiskennis Beveiliging van Informatie
22
Maar wat te denken van een medewerker die ontslagen wordt en voor vertrek data vernietigd, een
medewerker die de verwachte promotie niet krijgt en uit boosheid data vernietigt of een medewerker
die data verkoopt aan de concurrent.
We spreken hier weer in computertermen, maar het kan natuurlijk ook gaan over het fysiek
vernietigen van informatie of apparatuur. Wie kent de reclame niet van de gefrustreerde medewerker
die zijn pc door het raam naar buiten gooit?
Onopzettelijk. Mensen kunnen onopzettelijk schade toebrengen. Druk op de delete-toets en let niet
goed op de vraag of je het zeker weet. Steek een USB-stick met een virus in de machine en breng op
die manier het virus over op een heel netwerk. Gebruik in paniek een poederblusser om een
beginnend brandje te blussen en vernietig daarmee een server. Een typisch geval van menselijk
handelen dat bij de juiste brandwerende maatregelen niet nodig was geweest.
In het nieuws
Opzettelijk of onopzettelijk?
Hoe het Witte Huis tien miljoen e-mails verloor zal voor altijd een raadsel blijven, nu
een Amerikaanse rechter heeft geoordeeld dat het Executive Office of the President hier geen
informatie over hoeft prijs te geven. De burgerrechtenbeweging 'Citizens for Responsibility and Ethics
in Washington' (CREW) wilde via de Freedom of Information Act (FOIA) wat er in de berichten stond
en waarom die zijn verdwenen.
Volgens de rechter valt het Executive Office niet onder deze wet, iets wat de Bush-regering in 2006
en 2007 liet aanpassen. CREW denkt dat het Witte Huis mogelijk geprobeerd heeft om lobby
schandalen, vermoedelijke politieke invloed op de General Services Administration, verantwoordelijk
voor overheidsaanbestedingen, en andere problemen in de doofpot te stoppen door de berichten te
verwijderen.
"De Bush-regering gebruikt het juridische systeem om te voorkomen dat het Amerikaanse volk de
waarheid over de miljoenen verloren e-mails van het Witte Huis ontdekt," aldus een teleurgestelde
CREW-directeur Melanie Sloan.
Bron: www.security.nl
Social Engineering. Social engineering maakt gebruik van mensen door ze informatie te ontfutselen,
bijvoorbeeld bedrijfsgeheimen. De social engineer maakt gebruik van zwakheden in de mens om zijn
doel te bereiken. Vaak zijn we ons hier niet van bewust en we weten dan ook niet dat een social
engineer actief is. Als u op uw werk een vreemde tegenkomt in de gang, vraagt u dan of u hem of
haar kunt helpen? Als u een telefoontje krijgt van de helpdesk met de vraag waar een bepaald
bestand staat, vraagt of controleert u of het werkelijk de helpdesk is? Voert u in de trein wel eens een
gesprek over uw werk en weet u zeker dat daar geen gevoelige informatie in voorkomt? Een social
engineer gaat volgens een bepaald patroon te werk. Over social engineering kan een apart boek
worden geschreven, we gaan hier niet verder op in.
5.5.2 Niet-menselijke dreigingen
Zo zijn er ook niet-menselijke dreigingen, invloeden van buitenaf zoals blikseminslag, brand,
overstroming, stormschade. Veel van deze schades zullen mede bepaald worden door de plaats van
de apparatuur in het pand. Bevindt de serverruimte zich pal onder het platte dak dat gevoelig is voor
lekkages of juist in de kelder onder het maaiveld, in een bodemstructuur waar het grondwater hoog
Basiskennis Beveiliging van Informatie
23
staat. Zijn er ramen in de gevel of staan de servers in een bunker. Dit alles heeft invloed op de risico’s
die de organisatie loopt en wil lopen.
Binnen de menselijke en niet-menselijke dreigingen kunnen we een onderverdeling maken in
storingen in de basisinfrastructuur zoals computerapparatuur, programmatuur of gegevensbestanden
en storingen in de fysieke omgeving zoals gebouwen, papieren dossiers, elektrische installaties,
watervoorzieningen, verwarming, ventilatie en koeling.
In het nieuws
Een gecorrumpeerd bestand heeft een vuurwerkshow in Seattle bijna
verknald. Het team dat de show leidde ontdekte het probleem één minuut voor twaalf uur en besloot
op het laatste nippertje om de ontstekingsmechanismen handmatig te bedienen.
Niet alleen duurde de show hierdoor langer dan gepland (11,5 in plaats van 8,5 minuten), maar ook
verlichtten de vuurpijlen het werk in een ander ritme dan de begeleidende muziek. Omstanders waren
desondanks tevreden over de vuurwerkshow, zo bericht een lokale krant.
Volgens een woordvoerder van het bedrijf is dit de eerste keer in veertien jaar dat een
dergelijk probleem optrad.
Bron: www.computable.nl
5.6 Soorten schade
Schades als gevolg van het manifest worden van genoemde dreigingen kunnen we verdelen in
Directe schade;
Indirecte schade;
Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE);
Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE).
Een voorbeeld van directe schade is diefstal. Diefstal heeft direct gevolgen voor het zakendoen (de
business).
Indirecte schade is gevolgschade die kan optreden, bijvoorbeeld waterschade van het blussen of het
niet kunnen voldoen aan een contract omdat de IT-infrastructuur door brand is vernietigd.
Basiskennis Beveiliging van Informatie
24
In het nieuws
Een werknemer van een Amerikaans bedrijf heeft voor 2,5 miljoen dollar aan bedrijfsgegevens gewist,
omdat ze dacht dat haar baas haar wilde ontslaan. De vrouw vermoedde het ontslag na het lezen van
een personeelsadvertentie. De vrouw las een personeelsadvertentie voor een functie die erg op die
van haar leek. Ze dacht dan ook dat haar functie werd aangeboden. Uit woede besloot de vrouw in te
loggen op de server van het bedrijf en alle tekeningen en ontwerpen van de laatste zeven jaar te
wissen.
Hoewel een it-consultant de gegevens weer boven water heeft weten te krijgen, is de vrouw
aangeklaagd voor het beschadigen van computers. Bovendien hebben de gegevens die de
werkneemster wilde wissen een waarde van ongeveer 2,5 miljoen dollar. De advertentie die de vrouw
gelezen had, was overigens niet geplaatst door het bedrijf waarvoor zij werkte. Naar haar baan kan ze
nu waarschijnlijk fluiten.
Bron: www.computable.nl
Enkelvoudige schadeverwachting is de schade van een incident dat eenmalig optreedt.
De jaarlijkse schadeverwachting is de hoeveelheid schade, in geld uitgedrukt, die door een incident in
een jaar kan optreden. Bijvoorbeeld, er wordt een maatregel voorgesteld tegen diefstal van laptops.
Er worden gemiddeld 10 laptops per jaar gestolen. De jaarlijkse schadeverwachting is dan de schade
van 10 laptops (en de data en programmatuur) en niet van 1. De te kiezen maatregel kan dus duurder
worden dan de waarde van een laptop. Maar als een incident statistisch gezien één maal per vijf jaar
optreedt, dan is de jaarlijkse schadeverwachting één vijfde van de enkelvoudige schadeverwachting.
Indirecte schade ligt anders, denk bijvoorbeeld aan imagoschade.
In de praktijk
Het onbehoorlijke gedrag van medewerkers verschijnt uitgebreid in de pers en bezorgt de organisatie
en negatief imago. Geen reclamecampagne kan dat goedmaken.
Producten moeten worden teruggehaald omdat er gifstoffen in zijn aangetroffen.
Een bepaald automodel blijkt een constructiefout te hebben en overleeft de elandproef niet.
5.7 Soorten risicostrategieën
We kunnen op verschillende manieren met risico’s omgaan. De meest voorkomende strategieën zijn:
Risicodragend;
Risiconeutraal;
Risicomijdend.
Onder risicodragend wordt verstaan dat we sommige risico’s accepteren. Dat kan zijn omdat de
kosten van de beveiligingsmaatregelen de mogelijke schade overstijgen. Maar het management kan
ook besluiten niets te doen ondanks dat de kosten niet hoger zijn dan de schade die kan optreden.
Basiskennis Beveiliging van Informatie
25
De maatregelen die een risicodragende organisatie neemt op het gebied van informatiebeveiliging
zijn veelal van repressieve aard.
Onder risiconeutraal wordt verstaan dat er dusdanige beveiligingsmaatregelen worden genomen dat
dreigingen of niet meer manifest worden of, wanneer de dreiging wel manifest wordt, de schade als
gevolg hiervan geminimaliseerd is. De meeste maatregelen die een risiconeutrale organisatie neemt
op het gebied van informatiebeveiliging is een combinatie van preventieve, detectieve en repressieve
maatregelen.
Onder risicomijdend verstaan we dat er zodanige maatregelen worden genomen dat de dreigingen
zoveel mogelijk worden geneutraliseerd, de dreiging leidt niet meer tot een incident. Denk hierbij aan
het invoeren van nieuwe software waardoor de fouten in de oude software geen dreiging meer
vormen. In simpele bewoordingen: een ijzeren emmer kan roesten. Neem een kunststof emmer en de
dreiging, roest, valt weg. Veel van de maatregelen binnen deze strategie hebben een preventief
karakter.
Welke strategie een organisatie ook kiest, de keuze zal bewust door het management moeten worden
gemaakt en de gevolgen zullen moeten worden gedragen.
5.8 Richtlijnen bij het invoeren van beveiligingsmaatregelen
Het invoeren van beveiligingsmaatregelen is, wanneer dit vanaf de basis gedaan moet worden, veel
werk. Bij veel bedrijven is de automatisering in de loop der jaren van één pc op de administratie
uitgegroeid tot een grootschalig netwerk met soms wel tienduizenden pc’s en vele servers.
Er bestaan richtlijnen die helpen bij het kiezen van maatregelen. Een bedrijf kan zich ook profileren
door duidelijk te maken dat het aan deze richtlijnen voldoet.
De ISO/IEC 27001:2005 standaard gaat over de inrichting van het informatiebeveiligingsproces.
ISO/IEC 20000 is de wereldwijde standaard voor IT-servicemanagement. Beide normeringen bieden
houvast om de bedrijfsprocessen doelmatig en beveiligd in te richten.
In de ISO/IEC 27002:2007 standaard, ook wel bekend onder de naam ‘Code voor de
Informatiebeveiliging’, staan richtlijnen voor maatregelen op het gebied van informatiebeveiliging. De
richtlijnen in de ISO/IEC 27002:2007 standaard bestrijken het organisatorisch vlak, het procedurele
vlak, het fysieke vlak en het logische vlak van informatiebeveiliging.
In de praktijk
De overheid heeft regels opgelegd voor de beveiliging van bepaalde informatie. Denk bijvoorbeeld
aan de Wet Bescherming Persoonsgegevens (WBP). Voor overheidsinstellingen is er het Voorschrift
Informatiebeveiliging Rijksdienst 2007 (VIR 2007) en de VIR-BI voor het omgaan met bijzondere
informatie.
Voor Nederlandse beursgenoteerde bedrijven geldt een dwingende afspraak: de Code Tabaksblat.
Voor bedrijven die genoteerd staan aan de Dow Jones Stock Exchange in New York geldt de
Sarbanes-Oxley Act (SOx), waaraan ook buitenlandse bedrijven moeten voldoen.
Dit zijn enkele voorbeelden van wet- en regelgeving die bedrijven er toe dwingen hun
informatiebeveiliging op orde te hebben. Een middel hiervoor is het voldoen aan de ISO/IEC normen
op dit gebied.
Basiskennis Beveiliging van Informatie
26
5.9 Samenvatting
In dit hoofdstuk heeft u veel nieuwe begrippen geleerd, we zijn tevens ingegaan op de verschillende
soorten dreigingen en hoe daar mee om te gaan.
De risicoanalyse geeft een duidelijk beeld van het risico dat een organisatie loopt. Welke dreigingen
zijn er en welke soorten schade kennen we.
Welke risicostrategieën hebben we tot onze beschikking.
Moeten we wel ieder risico met een maatregel afdekken of kunnen we sommige risico’s accepteren?
5.10 Casus
De fictieve gemeente Betuwegaard omvat een groot deel van het Gelders rivierengebied. Deze
gemeente is ontstaan na een gemeentelijke herindeling, waarbij zeven voorheen zelfstandige
gemeenten zijn samengevoegd. De ‘oude’ gemeentehuizen zijn als bijkantoor voor serviceverlening
open voor het publiek. Centraal in het gebied wordt een nieuw gemeentehuis gebouwd waarin de
centrale administratie en onderhoudsdiensten gevestigd worden. Ook is hier het rekencentrum
gepland. De automatisering zal samengevoegd worden van zeven afzonderlijke computersystemen
naar één centraal computersysteem.
Als locatie is gekozen voor een prachtig gelegen terrein direct naast een groot binnendijks
waterrecreatiegebied (voormalige zandafgravingen). Ambtenaren en bezoekers kijken uit over de
Waal en de medewerkers kunnen in hun middagpauze genieten van de waterrecreatie naast het
pand. Een veerpont zorgt voor een goede verbinding naar de overzijde van de Waal. Een goede
verbindingsweg garandeert de bereikbaarheid van het nieuwe gemeentehuis vanuit de omliggende
plaatsen. Een brug over de Rijn ligt slechts anderhalve kilometer verderop, van waaruit de
hoofdwegen ook goed bereikbaar zijn.
U krijgt de opdracht een risicoanalyse uit te voeren op de nieuwbouwplannen van de gemeente
Betuwegaard. Wat voor soort risicoanalyse voert u uit?
Wat zijn de voornaamste risico’s die u onderkent?
Wat zijn de zaken waarmee de gemeente Betuwegaard in het bijzonder rekening moet houden
wanneer zij tot nieuwbouw besluit?
Controlevragen:
Wat is het doel van een risicoanalyse?
Wat is het verschil tussen een dreiging en een risico?
Welke typen maatregelen zijn er te onderscheiden?
Welke risicostrategieën zijn er?
Wat is het verschil tussen risicoanalyse en risicomanagement?
Welke soorten risicoanalysemethodieken zijn te onderscheiden?
Welke schadevormen zijn te onderscheiden?
Basiskennis Beveiliging van Informatie
27
6. Informatiebeveiligingsincidenten en -zwakheden
Inleiding
Het informatiebeveiligingsproces is niet eenmalig. Het is een doorlopend proces. Iedere organisatie
is voortdurend aan verandering onderhevig en daarmee ook de dreigingen, risico’s en maatregelen.
Informatiebeveiliging moet verankerd zijn in de organisatie en heeft doorlopend aandacht nodig.
Het is van belang dat informatiebeveiliging wordt gedragen door het hoogste management binnen
een bedrijf, en dat dit voor alle medewerkers zichtbaar is. Bij het informatiebeveiligingsproces horen
ook andere processen, bijvoorbeeld incidentmanagement of risicomanagement. Daarnaast kunnen
de verschillende taken in de informatiebeveiliging, afhankelijk van de grootte van de organisatie, bij
verschillende meer of minder gespecialiseerde personen zijn belegd.
6.1 Beheer van informatiebeveiligingsincidenten
Medewerkers spelen een belangrijke rol in het waarnemen van zwakheden in de beveiliging en
beveiligingsincidenten. Zij zijn immers vaak de eerste die het incident zien. Iemand heeft een
vertrouwelijk stuk op de printer laten liggen. Een bestand met persoonlijke gegevens is verdwenen. Er
hangt een vreemde geur in de ruimte van de papierversnipperaar. Een deur die op slot moet zijn staat
open. Een collega gedraagt zich afwijkend. De pc geeft vreemde schermboodschappen.
Medewerkers moeten incidenten kunnen melden en de meldingen moeten worden opgevolgd.
Meestal zal een melding van medewerkers bij de servicedesk (helpdesk) binnenkomen. De
medewerker van de servicedesk onderkent dat het om een informatiebeveiligingsincident gaat en
voert de daarbij behorende procedure voor oplossing en doormelden uit. Wanneer de medewerker bij
de servicedesk het beveiligingsincident niet zelf kan of mag afhandelen, kan een incident gemeld
worden aan iemand die meer expertise heeft en het probleem misschien wel kan oplossen. Dit heet
een functionele (horizontale) escalatie. Een voorbeeld van functionele escalatie is een melding over
vreemde meldingen op het scherm.
Een incident kan ook gemeld worden aan iemand die meer autoriteit heeft en die een beslissing kan
nemen. Dit heet een hiërarchische escalatie. Een voorbeeld van hierarchische (verticale) escalatie is
een melding aan de eigen manager over verdacht gedrag van een collega.
Het doel van dit incidentbeheerproces is het inzicht krijgen in incidenten en daarvan te leren voor de
toekomst. Een melding kan ook een ander informatiebeveiligingsproces in gang zetten, bijvoorbeeld
het herstellen van een bestand, een beveiligingsonderzoek, of zelfs het uitwijken naar een andere
locatie.
6.1.1 Rapportage van informatiebeveiligingsincidenten en zwakke plekken
Incidenten bestaan in vele soorten en maten. In de ISO/IEC 20000 standaard wordt beschreven hoe
incidenten kunnen worden beheerd in het incidentmanagementproces. Maar niet ieder incident is een
beveiligingsincident.
In de praktijk
De IT-servicedesk van een grote organisatie krijgt de vraag:“Kunt u mij vertellen hoe ik in Word de
optie vette letters terug krijg in de werkbalk bovenin mijn scherm”. Deze vraag wordt als een incident
geregistreerd in het servicedesksysteem. Een beveiligingsincident kunnen we dit echter niet noemen.
Tenzij er sprake is van een ‘vetteletterknop-vernietigend-virus’ maar daar heeft niemand ooit van
gehoord.
Basiskennis Beveiliging van Informatie
28
Het doel van het incidentmanagementproces is ervoor zorgen dat gebeurtenissen en -zwakheden die
verband houden met informatiesystemen bekend worden zodat op tijd maatregelen worden genomen.
Werknemers, ingehuurd personeel en externe gebruikers horen op de hoogte te zijn van de
procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die
invloed kunnen hebben op de betrouwbaarheid van de informatie en de beveiliging van de
bedrijfsmiddelen.
Zij behoren te worden verplicht alle gebeurtenissen en zwakke plekken zo snel mogelijk te melden
aan de servicedesk of een contactpersoon. De nadruk ligt natuurlijk bij het belang dat iedereen in de
organisatie heeft bij een snelle reactie.
Twee zaken zijn van groot belang en moeten door de directie duidelijk worden gemaakt:
Het melden van beveiligingsincidenten is primair bedoeld om van te leren. Met deze kennis kunnen
soortgelijke incidenten worden voorkomen;
Het melden van een incident is geen middel voor een afrekening, om de veroorzaker van een
beveiligingsincident te straffen.
Het laatste gaat natuurlijk niet altijd op. Wanneer een medewerker doelbewust informatiesystemen
heeft gesaboteerd, informatie heeft gelekt of op een andere wijze (grote) schade heeft veroorzaakt is
het niet te vermijden dat aangifte bij de politie wordt gedaan.
Waar het om gaat is te voorkomen dat incidenten niet gemeld worden omdat men bang is voor de
reactie van het management, of omdat men niet als verklikker te boek wil staan.
Het proces moet er ook voor zorgen dat degene die een informatiebeveiligingsgebeurtenis meldt
wordt geïnformeerd over de resultaten nadat de kwestie is afgehandeld. Dit is ook nuttige informatie
bij het uitvoeren van een (hernieuwde) risicoanalyse. Het kan zijn dat de al genomen maatregelen
niet afdoende zijn om bepaalde incidenten te voorkomen.
Een standaardformulier op het intranet voor het rapporteren van een dergelijk incident kan de
drempel om te melden verlagen. Het formulier kan ook gebruikt worden om instructies te geven voor
de noodzakelijke directe handelingen. Het formulier kan helpen veel details te vragen.
Op een incident melding formulier zouden minimaal de volgende zaken gemeld moeten worden:
Datum en tijd
Naam van de melder
Locatie (waar is het incident)
Wat is er aan de hand? (beschrijving van het incident: Virusincident, diefstal, inbraak, data
verlies etc.)
Wat is het effect van het incident?
Hoe is het ontdekt?
En indien mogelijk de volgende zaken:
Soort systeem (desktop, printer, server, mailserver etc.)
Systeem nummer / systeem naam (indien aanwezig)
Wie is nog meer geïnformeerd?
Men kan natuurlijk nog meer vragen bedenken, afhankelijk van het soort melding. Waar het bij het
melden in ieder geval om moet gaan, is dat men voldoende gegevens verkrijgt om het incident op de
juiste manier af te kunnen handelen.
Basiskennis Beveiliging van Informatie
29
In de praktijk
Er wordt geen onderhoud op apparatuur uitgevoerd;
De noodstroomvoorzieningen worden niet getest;
Een medewerker verliest de laptop;
Een medewerker leeft de clear desk policy niet na;
Een medewerker neemt een niet-geautoriseerde bezoeker mee;
Nieuwe software wordt uitgerold zonder dat deze grondig werd getest;
Een virus is het informatiesysteem binnengedrongen;
Door onvolledige bedrijfsgegevens zijn de winstresultaten niet betrouwbaar;
De toegangsrechten van een medewerker worden niet gewijzigd na verandering van functie;
Medewerkers schrijven hun wachtwoord op een notitieblaadje en dat ligt bij de pc.
De afspraken over wat te doen bij een incident worden over het algemeen vastgelegd in procedures.
Immers een procedure beschrijft wie wat moet doen. De aandachtsgebieden in een dergelijke
procedure zijn:
Het analyseren van het incident en het vaststellen van de oorzaak;
Welke stappen worden uitgevoerd om de gevolgen van het incident te beperken;
Welke stappen worden uitgevoerd om te bepalen of en zo ja welke corrigerende maatregelen nodig
zijn om herhaling van het incident te voorkomen;
Welke partijen worden geïnformeerd in geval van een incident. Dit kunnen partijen zijn die getroffen
zijn of die helpen bij het oplossen van het incident;
Wat en aan wie wordt gerapporteerd over het incident.
6.1.2 Rapportage van zwakke plekken in de beveiliging
Wanneer medewerkers, ingehuurd personeel en externe gebruikers van informatiesystemen en –
diensten merken dat er (verdachte) zwakke plekken in systemen of diensten aanwezig zijn, is het
belangrijk dat zij deze zo spoedig mogelijk melden. Alleen dan kunnen beveiligingsincidenten
voorkomen worden.
Wanneer een informatiebeveiligingsincident net is ontdekt, zal het vaak niet duidelijk zijn of het
incident zal leiden tot gerechtelijke stappen. Het gevaar bestaat dan ook dat het benodigde
bewijsmateriaal opzettelijk of per ongeluk wordt vernietigd, voordat de ernst van de situatie wordt
onderkend. Het is daarom belangrijk het incident eerst te melden en advies te vragen over hoe te
handelen. Het kan zijn dat in een vroeg stadium een advocaat of de politie bij de zaak betrokken moet
worden en dat bewijsmateriaal nodig is.
In de praktijk
Als iemand vermoedt dat op de werkplek van een medewerker kinderporno wordt bewaard, moet
met de melding van dit incident voorzichtig worden omgegaan om te voorkomen dat bewijsmateriaal
wordt verwijderd.
Basiskennis Beveiliging van Informatie
30
6.1.3 Registratie van storingen
Om een storing te kunnen analyseren worden relevante gegevens vastgelegd. Deze gegevens
worden vaak opgeslagen in zogeheten logbestanden. Dit is de moderne variant van het traditionele
logboek dat overigens nog steeds toepasbaar is. Denk bijvoorbeeld aan gevallen waarin de stroom
uitvalt of een systeem uitvalt en er geen andere manieren zijn dan het op papier vastleggen van de
gebeurtenissen en uitgevoerde activiteiten.
In grote organisaties zullen storingen altijd gemeld worden bij de servicedesk (helpdesk). Deze zal,
wanneer het binnen de mogelijkheden ligt, een storing meteen oplossen. Wanneer dat niet mogelijk is
zullen zij de informatie over de storing doorgeven aan een afdeling die dat wel kan.
6.2 Incidentcyclus
Beveiligingsmaatregelen zijn gericht op een bepaald moment in de incidentcyclus. De maatregelen
zijn gericht op het voorkomen van bedreigingen (preventief) of het reduceren van bedreigingen
(reductief), detecteren van incidenten (detectief), reageren op incidenten, doen ophouden van
bedreigingen (repressief)en het corrigeren van dreigingen (correctief).
De maatregelen worden genomen:
Ter waarborging van de beschikbaarheid;
Ter waarborging van de integriteit;
Ter waarborging van de vertrouwelijkheid.
6.3 Rollen
Afhankelijk van de omvang van de organisatie zijn voor de verschillende taken in de
informatiebeveiliging verschillende rollen te vinden. Deze rollen of functies kunnen in hun namen
afwijken maar komen op onder andere de volgende neer:
De Chief Information Security Officer (CISO) bevindt zich op het hoogste managementniveau van de
business. De CISO ontwikkelt het beleid en de strategie op hoofdlijnen voor het hele bedrijf.
De information security officer (iso) ontwikkelt bij een bedrijfseenheid het beleid gebaseerd op het
bedrijfsbeleid en ziet toe op de naleving bij zijn bedrijfseenheid.
De Information Security Manager (ISM) ontwikkelt het informatiebeveiligingsbeleid binnen de ICT-
organisatie en ziet toe op de naleving.
Naast deze functies die specifiek gericht zijn op informatiebeveiliging kunnen in een organisatie
bijvoorbeeld een Beleidsmedewerker Informatiebeveiliging of een Functionaris voor de
Gegevensbescherming (FG) voorkomen.
Basiskennis Beveiliging van Informatie
31
Wie meer wil lezen over rollen in de informatiebeveiligingsorganisatie, verwijzen wij graag naar een
publicatie van het PvIB Functies en Rollen in de Informatiebeveiliging van december 2006. Deze
publicatie is te downloaden op http://www.pvib.nl.
6.4 Samenvatting
In dit hoofdstuk heeft u kennis gemaakt met incidentmanagement. Hoe gaat een organisatie om met
beveiligingsincidenten?
Het melden van beveiligingsincidenten is van groot belang. Niet alleen om de incidenten op te kunnen
lossen en daarmee de dreigingen en de risico’s voor een organisatie onder controle te krijgen en te
houden, maar ook om er van te leren. Zonder kennis van beveiligingsincidenten kunnen we ze
immers in de toekomst niet voorkomen.
6.5 Casus
Bij een grote overheidsorganisatie met meerdere vestigingen verspreid in Nederland, komen
beveiligingsincidenten regelmatig voor. Zo heeft kort geleden een medewerker zijn laptop op het dak
van de auto laten liggen. Die laptop werd gevonden en de informatie die er op stond was niet voor
iedereen bestemd. Ook USB-sticks worden nog wel eens verloren. De directie heeft het idee dat er
nog veel meer gebeurt, maar weet niet wat. De auditdienst van het ministerie was onaangenaam
verrast toen zij tot de ontdekking kwam dat informatiebeveiliging niet geregeld was. Het antwoord van
de verantwoordelijke directeur was dat de medewerkers zelf toch ook wel weten wat wel en niet mag!
De directie besluit, gedwongen door de audit, een aantal functionarissen voor informatiebeveiliging
aan te stellen.
Na een spannende sollicitatieronde heeft u de eer de eerste Information Security Officer (ISO) binnen
deze overheidsdienst te worden. Uw primaire opdracht is er zorg voor te dragen dat:
1. Informatiebeveiliging volgens de geldende overheidsregels wordt uitgevoerd;
2. De medewerkers zich bewust zijn van het nut en de noodzaak van informatiebeveiliging;
3. Bij de volgende ministeriële audit, over twee jaar, de informatiebeveiliging op orde is en de
incidenten tot het verleden behoren.
Wat zijn de werkzaamheden die u uit gaat voeren en hoe gaat u dat doen?
Basiskennis Beveiliging van Informatie
32
7. Fysieke maatregelen
Inleiding
In de voorgaande hoofdstukken is ingegaan op de organisatie van de informatiebeveiliging en de
risicoanalyse. Uit de risicoanalyse komt een pakket beveiligingsmaatregelen voort die passend zijn
voor het risicoprofiel dat voor de organisatie is vastgesteld.
Een deel van de maatregelen die vastgesteld wordt heeft betrekking op de fysieke beveiliging van de
organisatie. Alles hangt af van het soort organisatie. Bij een organisatie die een publieke functie heeft
zal de toegang tot gebouwen en terreinen vrijwel onbeperkt zijn. Een voorbeeld hiervan is een
openbare bibliotheek. Een andere organisatie maakt misschien producten die alleen onder zwaar
beveiligde omstandigheden geproduceerd kunnen worden. Denk hierbij bijvoorbeeld aan de
farmaceutische industrie, waar bijzondere eisen worden gesteld aan hygiënische omstandigheden en
aan het geheim houden van de recepten.
In dit hoofdstuk gaan we in op fysieke beveiligingsmaatregelen.
7.1 Fysieke beveiliging
Fysieke beveiliging is een onderdeel van informatiebeveiliging omdat alle bedrijfsmiddelen ook
fysieke beveiliging nodig hebben. Fysieke beveiliging is eigenlijk ouder dan informatiebeveiliging,
denk dan aan de bescherming van mensen in een kasteel. Informatie beschermen speelt pas later
een rol. Traditioneel wordt fysieke beveiliging in organisaties geregeld door de facilitair manager.
Deze gebruikt eigen methoden en technieken om fysieke beveiliging in te richten. In veel organisaties
is de coördinatie tussen de informatiebeveiliger en de verantwoordelijke voor fysieke beveiliging van
groot belang. We gaan ook in op de verschillende verantwoordelijkheidsgebieden waar de
informatiebeveiliger rekening mee moet houden.
In de fysieke beveiligingswereld wordt de term ‘OBE-mix’ gebruikt, dit is de mix van Organisatorische,
Bouwkundige en Elektronische maatregelen. Ook fysieke maatregelen moeten met elkaar
samenhangen. Bijvoorbeeld, het ophangen van beveiligingscamera's helpt alleen als daar
bouwkundige maatregelen voor zijn genomen en als er goed wordt nagedacht over het doel van de
camera en de plaats waar deze wordt opgehangen. Er dient ook follow-up te zijn als er iets wordt
gedetecteerd of gezien, anders is het ophangen van een camera zinloos.
Wat vaak vergeten wordt is dat technische maatregelen ook gelden voor tijdelijke (nood)ruimten of
locaties.
7.1.1 Apparatuur
Onder fysieke beveiliging valt de bescherming van apparatuur door bijvoorbeeld klimaatbeheersing
(airco, luchtvochtigheid), het toepassen van speciale blusmiddelen en het zorgen voor 'schone'
stroom. Onder schone stroom wordt verstaan dat pieken en dalen (vuile stroom) in de
stroomvoorziening worden voorkomen en dat stroom wordt gefilterd.
Basiskennis Beveiliging van Informatie
33
7.1.2 Bekabeling
Bekabeling hoort zo gelegd te worden dat geen interferentie kan optreden. Onder interferentie wordt
verstaan dat de netwerkkabels ruis en storing overnemen van stroomkabels die parallel lopen. Vaak
zijn deze effecten niet zichtbaar of hoorbaar. Een voorbeeld waarbij dit effect wel waargenomen kan
worden is bij mobiele telefoons die storing doorgeven via luidsprekers of radio’s. Kabelgoten moeten
goed worden afgeschermd. In serverruimtes worden vaak gescheiden stroomaansluitingen gebruikt.
Het is niet ongebruikelijk een server te voorzien van twee voedingen die ieder op een eigen groep zijn
aangesloten.
7.1.3 Materiaal / media
Voor medewerkers van de organisatie moet duidelijk zijn hoe ze met gegevensdragers om moeten
gaan. Voor bepaalde materialen kunnen specifieke maatregelen gelden, denk bijvoorbeeld aan het
wissen van vertrouwelijke gegevens op de gegevensdragers als deze de organisatie verlaten.
Gegevensdragers zijn niet alleen voor de hand liggende zaken als USB-sticks, en de harddisk uit de
desktop pc. Ook veel printers bevatten tegenwoordig opslag in de vorm van een harddisk. Hierop
worden documenten tijdelijk opgeslagen en zijn voor een deel weer te reconstrueren.
Het is ook mogelijk veel informatie op te slaan op mobiele apparatuur, denk hierbij aan telefoons,
USB-sticks, geheugenkaartjes, organizers, blackberries en laptops. Het is belangrijk dat als een
medewerker uit dienst treedt, al zijn of haar apparatuur wordt ingeleverd en de informatie die er op
staat wordt verwijderd. Er moeten ook procedures zijn voor als dergelijke apparatuur is verloren of
gestolen.
7.2 In de ban van de ring
Alle bedrijfsmiddelen hebben waarde en afhankelijk van die waarde, de dreigingen en risico's, worden
maatregelen genomen. Fysieke beveiligingsmaatregelen worden genomen om informatie te
beschermen tegen brand, diefstal, vandalisme, sabotage, ongeautoriseerde toegang, ongelukken en
natuurgeweld.
Waar begint fysieke beveiliging?
Fysieke beveiliging begint niet op de werkplek maar al buiten het pand waar de organisatie is
gehuisvest. De te beschermen bedrijfsmiddelen mogen niet eenvoudig bereikt kunnen worden. We
kunnen hierbij het eenvoudigst denken in ringen:
Buitenring - Omgeving pand;
Gebouw - De toegang tot het pand;
Werkruimte - De ruimtes in het pand;
Object - Het te beschermen bedrijfsmiddel.
Basiskennis Beveiliging van Informatie
34
7.2.1 De buitenring
De buitenring om het pand heen kan worden beschermd met natuurlijke en bouwkundige
hindernissen. Natuurlijke hindernissen zijn bijvoorbeeld dikke begroeiing of een rivier. Bouwkundige
hindernissen zijn bijvoorbeeld hekken, prikkeldraad, concertina's (opgerold prikkeldraad dat als een
harmonica uiteen wordt getrokken) en muren. Voor alle bouwkundige hindernissen bestaan strikte
regels.
De buitenring moet wel toegang bieden aan geautoriseerde personen en bij hindernissen moet altijd
persoonlijke en/of elektronische controle worden toegepast. Er zijn tegenwoordig veel typen
elektronische sensoren maar daar gaan we hier niet verder op in.
Het gebied tussen de buitenring en het pand kan gebruikt worden voor bewaking door een persoon
en bijvoorbeeld als parkeerplaats, waarbij de parkeerplaats bij voorkeur wordt afgeschermd van het
gebouw. In dit gebied moet ook aandacht zijn voor verlichting en eventueel cameraobservatie.
7.2.2 Het gebouw
Er zijn situaties waarin er geen buitenring is. In dat geval zijn de bouwkundige maatregelen belangrijk
zoals ramen, deuren en andere openingen. Het beste is natuurlijk om deze maatregelen bij
nieuwbouw toe te passen. Het aanpassen van een bestaand gebouw is een kostbare zaak.
Bouwkundige maatregelen zijn ook aan strikte regels gebonden. Er zijn diverse mogelijkheden om
openingen in het pand te beschermen, denk hierbij aan het gebruik van braakwerend glas en deuren
met het juiste hang- en sluitwerk. De maatregelen moeten passen bij het niveau van bescherming dat
nodig is.
Naast de traditionele sloten, die er in diverse soorten zijn, wordt de laatste jaren meer gebruik
gemaakt van elektronische hulpmiddelen bij toegang tot gebouwen, met behulp van kaartsystemen
en code- en cijfersloten. Biometrische apparatuur wordt nog niet veelvuldig gebruikt.
Basiskennis Beveiliging van Informatie
35
Bij de bescherming van het gebouw moet ook aandacht zijn voor het dak en de muren. Ook hier
kunnen camera's een dienst bewijzen.
7.2.2.1 Toegangsbeheer
Om de toegang tot het pand te beheren zijn er verschillende mogelijkheden:
Elektronisch toegangsbeheer
Bij veel organisaties worden passystemen toegepast met draadloze, zogenaamde RFID-passen. Dit
zijn momenteel de meest gebruikte systemen. De passen zijn onderwerp van discussie omdat
bijvoorbeeld de OV-chipkaart, maar ook andere toegangspassen kunnen worden 'afgeluisterd' en
nagemaakt of nagebootst.
In het nieuws
In meer dan de helft van de verloskundige afdelingen in de Amerikaanse staat Ohio krijgen zowel
moeder als kind een rfid-tag in de vorm van respectievelijk een armband of enkelbandje. Op deze
manier hopen de afdelingen te voorkomen dat er baby’s zoekraken, ontvoerd worden of aan de
verkeerde ouders worden meegegeven.
Baby's krijgen een enkelbandje om en moeders een armband. Het HUGS-systeem alarmeert de
afdeling wanneer het enkelbandje breekt of wanneer de rfid-tag van moeder en kind niet met elkaar
overeenkomen.
Privacybeschermingsorganisatie Consumers Against Supermarket Privacy Invasion and Numbering
(Caspian) ageert hiertegen. HUGS zou ziekenhuizen alleen maar minder waakzaam maken, omdat
ziekenhuispersoneel te veel op de technologie zou vertrouwen.
Bron: www.computable.nl
Naast RFID-passen zijn er andere soorten passen die niet af te luisteren zijn.
Bij gebruik van toegangspassen zijn er een paar regels die men in overweging kan nemen:
1. Plaats op de pas een pasfoto. Dit maakt namaken iets moeilijker. Zowel de bewaking als het
personeel is in staat te controleren of de pas en de drager bij elkaar horen;
2. Zet op de pas geen bedrijfsnaam of logo maar gebruik in plaats daarvan een herkenbaar maar
neutraal ontwerp. Het mag voor een vinder niet duidelijk zijn waar de pas voor dient;
3. Voer draagplicht in. Draagplicht betekent dat iedereen zijn/haar pas zichtbaar moet dragen. Dit
geldt ook voor bezoekers en het betekent dat het personeel en de bewaking anderen hier op aan
kunnen spreken. Zorg ook voor een procedure waarin wordt geregeld dat mensen zonder pas worden
begeleid naar de bewaking.
Er kan ook gebruik gemaakt worden van sterke authenticatie, meestal voor speciale ruimten, waarbij
naast een toegangspas aanvullende maatregelen worden gebruikt, dus:
Basiskennis Beveiliging van Informatie
36
1.Iets dat je weet, bijvoorbeeld een pincode
2.Iets dat je hebt, bijvoorbeeld een pas
3.Iets dat je bent, een biometrisch gegeven bijvoorbeeld een vingerafdruk of een irisscan
In het nieuws
In 2006 was het nog toekomstmuziek, maar vandaag zijn Albert Heijn en Equens een pilot gestart
waarbij consumenten hun boodschappen met een vingerafdruk kunnen betalen. De test loopt de
komende zes maanden en moet uitwijzen hoe consumenten de nieuwe betaalmethode ervaren. "Met
Tip2Pay kunnen consumenten snel, simpel en veilig betalen door hun vingerafdruk op de scanner bij
de kassa te leggen." Die vingerafdruk is gekoppeld aan het adres, rekeningnummer en bonuskaart.
Als de pilot is afgelopen volgt er een evaluatie.
Bron: www.security.nl
Bewaking
Persoonlijke bewaking is de kostbaarste maatregel voor fysieke beveiliging van een object. Bewaking
kan worden aangevuld met goedkopere maatregelen zoals sensoren en camera's. Ook is het mogelijk
sensoren en camera's op afstand te monitoren. In dat geval moet er altijd gereageerd worden (follow-
up) als een alarm afgaat.
De bewaking van een pand dient bij voorkeur ook toegangspassen op zicht te controleren zodat het
moeilijker wordt gebruik te maken van nagemaakte passen.
7.2.3 De werkruimte
Werkruimten kunnen een eigen functie hebben en zullen dan ook apart beveiligd moeten worden.
Neem bijvoorbeeld een publiek gebouw zoals een gemeentehuis. We kunnen wel het publieke deel
van het gemeenthuis in maar de werkruimten zijn niet voor iedereen toegankelijk.
7.2.3.1 Indringerdetectie
In ruimten op de begane grond en overige bijzondere ruimten zijn diverse soorten van
indringerdetectie mogelijk. Dit is afhankelijk van het soort ruimte (grootte, wandsoort, hoogte, inhoud).
De meest gebruikte methode is passieve infrarooddetectie. Bij indringerdetectie moet uiteraard wel
gereageerd worden op alarmsignalen.
7.2.3.2 Speciale ruimten
Het is aan te raden aparte ruimtes te hebben voor het afleveren en afhalen van goederen zodat
toeleveranciers niet bij dezelfde middelen en informatie kunnen komen als de eigen medewerkers.
Het beperken van toegang is een preventieve maatregel. Er zijn nog enkele andere speciale ruimten
van belang:
Serverruimten
Serverruimten en netwerkruimten worden apart genoemd omdat die in de fysieke beveiliging apart
bekeken moeten worden. In serverruimten en netwerkruimten staat gevoelige apparatuur die niet
tegen vocht en warmte kan en die ook nog eens warmte produceert. Daarnaast kan een
informatiesysteem uitvallen door stroomstoringen. Eén van de grootste bedreigingen van een
serverruimte is brand.
Server- of netwerkruimten kennen naast bouwkundige eisen ook eisen voor toegangscontrole.
Media zoals back-up tapes mogen niet worden bewaard in netwerkruimten. Bewaar tapes liever in
een fysiek gescheiden locatie zodat bij een calamiteit in het pand de tapes niet beschadigd raken.
Basiskennis Beveiliging van Informatie
37
Niets is erger dan dat na een brand ontdekt wordt dat er niets te herstellen valt omdat de back-ups
ook verloren zijn gegaan.
Koeling
In serverruimten moet de lucht worden gekoeld en warmte van de aanwezige apparatuur worden
afgevoerd. Daarnaast wordt deze lucht ook nog eens van vocht ontdaan en gefilterd. Wat vaak
gebeurt, is dat er wel apparatuur wordt bijgeplaatst, maar men vergeet vervolgens de koelcapaciteit te
verhogen.
In de praktijk
In een organisatie werd jaren geleden een koelinstallatie in de
serverruimte geplaatst. in de jaren erna werd wel materiaal bijgeplaatst maar het vermogen van de
koelinstallatie werd niet verhoogd. Op een gegeven moment viel de koeling uit en toen de
temperatuur begon te stijgen vielen ook de servers uit met als gevolg dat er dagenlang geen centrale
computer systemen beschikbaar waren.
Noodstroom
Apparatuur gebruikt stroom, vaak veel stroom. In serverruimten is het raadzaam verschillende
groepen stroom te gebruiken. Daarnaast wordt nog een aantal voorzieningen gebruikt:
Accupacks of een Uninterruptible Power Supply (UPS) die naast het opvangen van spanningsdips
ook de stroom filtert en pieken afvangt.
Accupacks hebben niet het eeuwige leven, daarom is het verstandig daarnaast een
noodstroomaggregaat te hebben om de stroomvoorziening langer te kunnen waarborgen. Het
aggregaat moet wel regelmatig worden getest en de brandstof moet voor langere tijd voldoende zijn.
Stroomstoringen zijn niet alleen een probleem voor computerapparatuur, ook productiebedrijven
hebben hier last van.
Basiskennis Beveiliging van Informatie
38
In het nieuws
STEENWIJK - Donderdagochtend werden alle huishoudens in de Kop van Overijssel en een deel van
Drenthe getroffen door een stroomstoring. Inmiddels hebben de huishoudens en bedrijven weer
stroom. De stroomstoring ontstond toen rond 08.40 uur brand uitbrak in een hoofdvoedingsstation van
de stroomleverancier in Steenwijk. Het betrof meer dan 10.000 huishoudens en bedrijven. Via
geluidswagens werden de bewoners door de politie geïnformeerd. Ook werden er speciale
politieposten ingericht.
De directie van een kunststoffenbedrijf in Steenwijk begint inmiddels problemen te krijgen met de
continuïteit van het bedrijf. Zij kunnen een spanningsdip nog opvangen gedurende maximaal 10
minuten, maar daarna gaat de kunststof in de mallen uitharden en vormen zich bijproducten die de
mallen beschadigen. De stroom was al eerder deze week een keer uitgevallen.
Winkels konden niet geopend worden en als ze wel open waren, dan kon er alleen handmatig worden
opgeteld en contant worden betaald. De voorraadsystemen konden niet worden bijgewerkt en de
logistieke planning was een drama.
Vocht
Vocht hoort niet thuis in serverruimten, daarom wordt de toegevoerde lucht van vocht ontdaan.
Daarnaast moeten we er op letten dat er geen waterleidingen of cv-installaties in server ruimten
gemonteerd zijn. Tegenwoordig is waterkoeling mogelijk voor apparatuur maar deze moet goed
gecontroleerd worden.
Brand
Zie ook: Brandbeveiliging
Brand is een van de belangrijkste bedreigingen van een speciale ruimte zoals een serverruimte of
netwerkruimte. Bepaalde maatregelen zijn hierbij altijd relevant:
Rookmelders om rook te detecteren;
Brandblusmiddelen, als er brand uitbreekt moet deze snel worden geblust met een speciaal
brandblusmiddel;
Geen opslag van verpakkingsmateriaal, een serverruimte is geen magazijn;
Geen opslag van back-uptapes in de serverruimte of het gebouw;
De bekabeling die gebruikt wordt kan extra brandvertragend zijn gemaakt.
Opslag gevoelig materiaal
Aparte ruimten kunnen worden gebruikt voor opslag van gevoelig materiaal. Dit kan informatie zijn,
maar ook medicijnen of dure goederen. Deze ruimten vragen om extra maatregelen die de veiligheid
waarborgen. De toegang tot speciale ruimten moet worden gecontroleerd, bij voorkeur door deze
ruimten op te nemen in de toegangscontrolesystemen van het pand, bijvoorbeeld met een extra
pasopener.
7.2.4 Het object
Met het object wordt hier het meest gevoelige te beschermen deel bedoeld, de binnenste ring. Voor
opslag en bescherming van gevoelig materiaal zijn diverse mogelijkheden aanwezig:
Clear desk policy
Om er voor te zorgen dat gevoelig materiaal niet voor het grijpen ligt is een clean desk policy nodig. In
afwezigheid van een medewerker ligt geen informatie op het bureau en na werktijd wordt alle
informatie opgeborgen in een afsluitbare kast.
Basiskennis Beveiliging van Informatie
39
Kasten
Een kast is de meest eenvoudige opslagmogelijkheid. Een kast moet dan wel afgesloten worden en
de sleutel mag niet in de directe omgeving te vinden zijn. Een kast is niet speciaal beveiligd tegen
brand en een kast heeft een lage braakwerendheid.
Brandkast of waardekast
Een brandkast beschermt de inhoud tegen brand. Brandkasten zijn er in klassen waarmee de
brandvertragendheid of waardebescherming wordt aangegeven. Brandkasten zijn geen kluizen maar
ze kunnen ook gecombineerd worden met extra braakwerende eigenschappen.
Brandkasten zijn een prima opbergmiddel voor bijvoorbeeld back-up tapes, papieren en geld. Hierbij
moet opgemerkt worden dat de back-up tapes van een systeem niet in hetzelfde pand moeten
worden bewaard als het informatiesysteem. Bij volledige schade van een pand mogen de tapes niet
ook beschadigd raken.
Brandkasten of kluizen kunnen worden ingemetseld en soms zijn het hele ruimtes.
Brandkasten of kluizen kennen vele soorten sloten en beschermingsmogelijkheden tegen braak.
7.3 Alarm
7.3.1 Sensoren
In de fysieke beveiliging kunnen vele soorten sensoren worden toegepast. De meest gebruikte zijn:
Passieve infrarooddetectie. Deze sensoren worden meestal binnenshuis gebruikt en nemen
temperatuurswijzigingen waar binnen een bepaald bereik van de sensor:
Camera's. Deze sensoren nemen beeld op welke opgeslagen en bekeken kunnen worden. Met
slimme software kunnen automatische controles worden uitgevoerd;
Trillingdetectie. Deze sensoren detecteren trilling;
Glasbreuksensoren. Deze sensoren detecteren het breken van een ruit;
Magneetcontacten. Sensoren die het openen van een deur of raam detecteren.
7.3.2 Alarmmonitoring
De sensoren moeten worden aangesloten op indringerdetectiesystemen en goed worden gemonitord.
Er zijn systemen die zelf een alarmcentrale kunnen bellen van een derde partij zoals een
bewakingsdienst, die de monitoring voor zijn rekening neemt. In alle gevallen moet bij een alarm
worden nagekeken waarom het alarm is afgegaan. Van alarmmeldingen wordt een logboek
bijgehouden.
7.4 Brandbeveiliging
Brandbeveiliging is een speciaal aandachtsgebied binnen de fysieke beveiliging. Daarnaast zijn er
natuurlijk verplichte brandbeveiligingseisen waaraan altijd moet worden voldaan.
Brand is één van de dreigingen die altijd kan voorkomen. Er moeten dus ook altijd maatregelen tegen
worden getroffen. Brand kan op verschillende manieren ontstaan, bijvoorbeeld door kortsluiting,
defecten aan verwarmingsketels, menselijk handelen, defecten aan apparatuur. Voor brand (vuur) zijn
altijd de volgende factoren nodig: een brandbare stof, zuurstof en ontbrandingstemperatuur. Dit is de
'branddriehoek'. Brand kan bestreden worden met blusmiddelen. Het doel van de blusmiddelen is het
doorbreken van deze branddriehoek.
Welke soorten schade kennen we bij brand?
Basiskennis Beveiliging van Informatie
40
Schade door verbranding;
Schade door warmte;
Schade door rook;
Schade door gebruikte blusmiddelen.
7.4.1 Signalering
Voor de signalering van brand worden meestal rookmelders gebruikt die op een apart systeem zijn
aangesloten. Het is van groot belang de rookmelders periodiek te controleren.
Binnen organisaties worden als het goed is regelmatig brand- en ontruimingsoefeningen gehouden
zodat iedereen bekend is met de alarmsignalen en de ontruimingsprocedures.
7.4.2 Blusmiddelen
Blusmiddelen zijn er op gericht één of meer van de drie componenten van vuur te bestrijden en zo het
vuur te doven. Er zijn verschillende soorten brand en dus ook verschillende blusmethoden. De
verschillende soorten branden zijn bijvoorbeeld: brand ontstaan door elektriciteit, chemische stoffen
die branden en vloeistofbrand. Verschillende blusmiddelen zijn:
Inert gas (een gas dat als functie heeft zuurstof te verdringen), zoals:
Koolstofdioxide;
Argon (edelgas);
Halonen (niet meer toegestaan);
Inergen (merknaam);
Argonite (merknaam).
Schuim (gebaseerd op water, niet geschikt voor elektriciteit);
Poeder (geschikt voor elektriciteit, veroorzaakt schade aan metaal);
Water (niet geschikt voor elektriciteit);
Zand.
Hieronder is de blusinstallatie van een serverruimte te zien.
Basiskennis Beveiliging van Informatie
41
7.5 Emergency planning
Emergency planning is het proces dat er voor moet zorgen dat in het geval van een calamiteit,
bijvoorbeeld het uitvallen van een hele serverruimte, maatregelen worden genomen. Het hele
emergency planningproces uitleggen gaat hier te ver. Later gaan we wel in op Business Contingency
Planning.
7.6 Samenvatting
Het hoofdstuk Fysieke beveiliging is veelomvattend. U hebt kennis gemaakt met de wijze waarop wij
onze bezittingen proberen te beschermen.
We bepalen eerst wie er op ons terrein mogen komen, daar wordt al vastgesteld of er een hek om het
terrein heen komt of niet. Als er een hek geplaatst wordt, hoe hoog moet dat dan worden? Plaatsen
we camera’s binnen en buiten het gebouw? Mag iedereen binnen rondlopen, of maken we ook binnen
het gebouw gebruik van toegangscontrolesystemen?
Zoals u gelezen heeft, is fysieke beveiliging lang niet altijd bescherming tegen diefstal. Het gaat ook
om de koeling van de apparatuur. Een oververhitte server gaat gauw kapot. Dat gaat dan weer ten
koste van de continuïteit. Kabels beschermen tegen storingen betekent een betere werkomgeving.
Noodstroomapparatuur zorgt ervoor dat we kunnen blijven werken wanneer de stroom (tijdelijk)
uitvalt.
Uiteindelijk lopen de verschillende onderwerpen, zoals beschikbaarheid, fysieke beveiliging en ICT-
beveiliging naadloos in elkaar over.
7.7 Casus
Een groot farmaceutisch bedrijf gaat een nieuwe vestiging bouwen op een industrieterrein voor
schone industrieën. Het wordt een campusachtig terrein met een parkachtige structuur. De gebouwen
van het bedrijf moeten op het oog vrij toegankelijk zijn voor het publiek, anderzijds mogen bezoekers
niet onopgemerkt de gebouwen kunnen naderen.
Toegang tot de gebouwen dient op een vriendelijke doch zeer sluitende manier geregeld te worden,
zodat mensen alleen toegang hebben tot die delen van de gebouwen waartoe zij geautoriseerd zijn.
De vertrouwelijkheid van de informatie, bijvoorbeeld van de recepten die gebruikt worden, staat hoog
in het vaandel. Bekendmaking aan derden kan de concurrentiepositie ernstige schade toebrengen.
Binnen in de gebouwen worden verschillende zones gehanteerd: een publieke zone en meerdere,
steeds vertrouwelijker zones. In het productiedeel is absolute hygiëne vereist, daar is alles volkomen
stofvrij. De lucht moet permanent gezuiverd worden en op de juiste temperatuur, luchtdruk en
luchtvochtigheid gehouden worden.
De geautomatiseerde systemen worden in een rekencentrum in eigen beheer onderhouden. Deze
apparatuur is van zeer groot belang voor het productieproces en voor de ontwikkeling van nieuwe
producten.
U krijgt de opdracht, in overleg met de architecten en aannemers, een sluitend plan te maken waarin
aan alle genoemde eisen wordt voldaan.
Basiskennis Beveiliging van Informatie
42
8. Technische maatregelen (ICT-beveiliging)
Inleiding
Uit een risicoanalyse komen technische maatregelen voort. De maatregelen bevinden zich op het vlak
van fysieke beveiliging, die veelal ook technisch van aard zijn, maar ook op het gebied van de
beveiliging van de ICT-infrastructuur. Dit hoofdstuk gaat in op het beheer van de bedrijfsmiddelen, de
beveiliging van de ICT-infrastructuur en de beveiliging van de data tegen ongewenste inzage door
middel van toegangscontrole en door middel van cryptografische toepassingen.
De correcte werking van een toepassing en de correcte verwerking van informatie komen ook aan
bod. Informatie moet betrouwbaar zijn. Wat hebben we aan informatie wanneer we er niet op kunnen
vertrouwen dat die informatie juist en volledig is?
Hoewel informatiesystemen niet per definitie geautomatiseerde systemen zijn, zien we in de praktijk
wel steeds vaker dat geautomatiseerde systemen een belangrijke rol spelen in de
informatievoorziening. Daardoor speelt de beveiliging van deze geautomatiseerde systemen en de
daarbij behorende infrastructuur in toenemende mate een belangrijke rol. ICT-beveiliging richt zich
dan ook hoofdzakelijk op het beveiligen van de ICT-infrastructuur. Dit hoofdstuk gaat in op de
beveiligingsmaatregelen die op het ICT-vlak genomen kunnen worden.
8.1 Beheer van bedrijfsmiddelen
Een van de manieren om risico’s te beheersen c.q. te managen is door controle uit te oefenen op
veranderingen die mogelijk risicovol zijn. Deze controle kan op verschillende manieren ingevuld
worden. Er zijn verschillende modellen en methoden die handvatten geven voor het uitoefenen van
controle, denk bijvoorbeeld aan COBIT™ en ITIL®. In elk van de toegepaste modellen of methoden is
een aantal basiselementen te vinden die helpen deze controle uit te kunnen oefenen. De
basiselementen zijn:
Afspraken over hoe met bedrijfsmiddelen omgegaan wordt;
Afspraken (processen) over hoe veranderingen tot stand komen;
Afspraken over wie de wijzigingen (changes) mag initiëren en uitvoeren en hoe de wijzigingen
getest zullen worden.
Een valkuil bij het vastleggen van deze, initieel vaak als bureaucratisch geïnterpreteerde, afspraken is
dat deze tot doel worden verheven, in plaats van de nadruk te leggen op de betekenis.
COBIT™ staat voor: Control Objectives for Information and related Technology en is een framework
voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving.
ITIL®
staat voor: Information Technology Infrastructure Library en is ontwikkeld als een
referentiekader voor het inrichten van de beheerprocessen binnen een ICT-organisatie.
8.1.1 Afspraken over omgaan met bedrijfsmiddelen
Het doel van het vastleggen hoe met bedrijfsmiddelen omgegaan moet worden is het voorkomen van
fouten door verkeerd gebruik. Verkeerd gebruik kan ook tot onnodige schade leiden. Denk hierbij
alleen maar aan een simpel voorschrift om geen papier met metaal (zoals paperclips en nietjes) in
een papierversnipperaar te doen. Hoe complexer middelen worden hoe nuttiger het is duidelijke
gebruiksaanwijzingen en instructies op te stellen.
Basiskennis Beveiliging van Informatie
43
8.1.2 Wat zijn bedrijfsmiddelen
Bedrijfsmiddelen zijn noodzakelijk voor een organisatie. Bedrijfsmiddelen kosten geld of
vertegenwoordigen een bepaalde waarde. Bedrijfsmiddelen zijn onder andere:
Informatie in de vorm van bijvoorbeeld documenten, databases, contracten,
systeemdocumentatie, procedures, handleidingen, systeemlogs, plannen en handboeken;
Programmatuur zoals systeemprogrammatuur, gebruikersprogrammatuur en ontwikkel
programmatuur;
Apparatuur zoals servers, pc's, netwerkcomponenten en bekabeling;
Media;
Diensten;
Mensen en hun kennis;
Immateriële zaken zoals imago of reputatie van de organisatie.
Bedrijfsmiddelen hebben een classificatie nodig om er beveiligingsniveaus voor te kunnen vaststellen.
De eigenaar dient hier voor te zorgen. Ieder bedrijfsmiddel moet een eigenaar hebben.
Een goede registratie van bedrijfsmiddelen is noodzakelijk voor de risicoanalyse, zie : Dreigingen en
risico’s (risicoanalyse). Daarnaast is registratie soms nodig voor de verzekering, financiële
verantwoording en wettelijke vereisten (bijvoorbeeld registratie persoonsgegevens bestanden in het
kader van de Wet Bescherming Persoonsgegevens WBP). Registraties van bedrijfsmiddelen worden
bij voorkeur twee maal per jaar gecontroleerd en hiervan wordt een verslag gemaakt voor het
management.
De informatie die vastgelegd wordt over bedrijfsmiddelen is:
Soort, type bedrijfsmiddel;
Eigenaar;
Locatie;
Formaat;
Classificatie;
Bedrijfswaarde.
Deze informatie is nodig voor bijvoorbeeld herstel na een incident of calamiteit.
De eigenaar is iemand die verantwoordelijk is voor een bedrijfsproces of deelproces of
bedrijfsactiviteit en draagt zorg voor alle aspecten van de bedrijfsmiddelen. Denk hierbij aan de
beveiliging, het beheer, de productie of de ontwikkeling.
8.1.3 Het gebruik van bedrijfsmiddelen
Het gebruik van bedrijfsmiddelen is aan regels gebonden. Deze regels zijn bijvoorbeeld vastgelegd in
een handleiding, maar ook in hoe om te gaan met mobiele apparatuur wanneer deze buiten de
organisatie wordt gebruikt.
8.1.4 Classificatie
Allereerst een paar begrippen:
Classificeren is het indelen van informatie naar gevoeligheid;
Rubricering is de classificatie die aan informatie wordt toegekend, zoals geheim, confidentieel, en
personeelsvertrouwelijk. De term rubriceren wordt vaak binnen de overheid gebruikt;
Basiskennis Beveiliging van Informatie
44
Merking is een bijzondere aanduiding, bijvoorbeeld een indeling naar zaak of organisatie of kring van
gerechtigden.
De eigenaar is degene die verantwoordelijk is voor een bedrijfsmiddel. Een folder op het netwerk kan
bijvoorbeeld een eigenaar hebben. Wanneer iemand toegang wil tot de informatie in die folder, moet
de eigenaar daar toestemming voor geven. Van een laptop wordt meestal de gebruiker geregistreerd
als eigenaar.
De eigenaar van een bedrijfsmiddel kent hieraan een juiste rubricering toe volgens een vooraf
afgesproken lijst met classificaties. De rubricering geeft aan welke vorm van beveiliging noodzakelijk
is. Dit wordt onder andere bepaald door gevoeligheid, waarde, wettelijke eisen en belang voor de
organisatie. De rubricering is in overeenstemming met de wijze waarop het bedrijfsmiddel wordt
gebruikt in het bedrijf. De eigenaar van het bedrijfsmiddel zorgt ook voor herclassificatie als dat nodig
is. Als binnen een bedrijf of organisatie bedrijfsmiddelen zijn geclassificeerd kan alleen de eigenaar
deze classificatie verlagen of hiervoor toestemming te geven. Bijvoorbeeld informatie wordt
geclassificeerd als vertrouwelijk tot het moment van publicatie. Daarna wordt de classificatie
verlaagd; de informatie is immers publiek geworden.
Als een bedrijfsmiddel een rubricering heeft, wordt het gemerkt of gelabeld. Dit kan fysiek, zichtbaar
op het bedrijfsmiddel, of erin, zoals bij elektronische documenten, databases, records, berichten, op
het beeldscherm waar de informatie staat en tenslotte verzendkanalen. Bij documenten kan een
maatregel zijn dat de rubricering aan de boven- en onderzijde is opgenomen. Alle documenten met
geclassificeerde informatie horen een exemplaar- of versienummer te hebben en iedere pagina is
genummerd. Het moet ook duidelijk zijn uit hoeveel pagina’s het gehele document bestaat. Dit is wel
een vrij zware maatregel, te meer omdat maatregelen ook gecontroleerd moeten kunnen worden.
Binnen de overheid worden rubriceringen gebruikt die te vinden zijn in het document VIR-BI
(Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie). Deze zijn: Departementaal
Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim, Staatsgeheim Zeer Geheim.
De rubricering kan worden aangevuld met een merking. Door middel van een merking kan een
specifieke kring van gerechtigden worden aangegeven.
Een voorbeeld hiervan is: Politie Zeer Vertrouwelijk, Crypto.
Een document met deze rubricering en merking is alleen bedoeld voor behandeling door personeel
met een autorisatie voor het werken met encryptiemiddelen. Binnen de overheid worden mensen
gescreend tot het niveau dat de classificatie aangeeft. Daarnaast worden nog andere richtlijnen
gehanteerd, zoals toegang tot informatie op basis van 'need to know' en uiteraard een 'clean desk
policy'.
De eigenaar stelt vast wie toegang heeft tot welke gemerkte bedrijfsmiddelen. De rubricering van een
bedrijfsmiddel bepaalt ook hoe deze fysiek opgeslagen mag worden. Hiervoor worden bedrijfspanden
soms in compartimenten ingedeeld, met per compartiment verschillende beveiligingseisen en
toenemende beveiliging, zie: In de ban van de ring.
Het gebruik van een rubricering is erg lastig te implementeren in een organisatie omdat mensen er bij
na moeten denken om ze goed toe te passen. Er kan ook voor worden gekozen alle niet-
geclassificeerde informatie niet te voorzien van een rubricering. Deze informatie is openbaar.
8.2 Logisch toegangsbeheer
Logisch toegangsbeheer betreft het verlenen van toegang tot digitale informatie en informatiediensten
aan die personen die daartoe geautoriseerd zijn, maar ook het voorkomen dat niet-gerechtigden
toegang krijgen tot deze digitale informatie. De eigenaar van de gegevens, over het algemeen een
manager, zal in het autorisatieproces de autorisatie verlenen. Deze autorisatie kan door software
automatisch verwerkt worden of door de systeem/applicatie beheerder worden verleend.
Basiskennis Beveiliging van Informatie
45
8.2.1 Discretionary Access Control (DAC)
Bij Discretionary Access Control ligt het besluit om toegang te verlenen tot informatie bij de
individuele eindgebruiker. Een voorbeeld hiervan is anderen toegang geven op de eigen home
directory. Een ander voorbeeld is het versturen van informatie aan personen die niet zelf direct
toegang hebben tot deze informatie. Omdat dit een flexibele vorm van toegangscontrole is, is deze
moeilijk te controleren en is de informatie moeilijk te beveiligen.
8.2.2 Mandatory Access Control (MAC)
Bij mandatory access control wordt centraal bepaald en gereguleerd welke personen en systemen
toegang krijgen tot informatiesystemen.
8.2.2.1 Verlenen van toegang
Bij het verlenen van toegang wordt vaak onderscheid gemaakt tussen identificatie, authenticatie en
autorisatie. Identificatie is de eerste stap in het toegangsverleningsproces. Bij de identificatie biedt de
persoon of het systeem een token aan, bijvoorbeeld een sleutel of gebruikersnaam/wachtwoord.
Vervolgens bepaalt het systeem waar toegang tot verkregen moet worden en of het token authentiek
is. Zodra dit is vastgesteld kunnen autorisaties toegekend worden.
In de praktijk
Bij de grensbewaking op het vliegveld bied ik ter identificatie een paspoort aan. De controleur
(marechaussee) authenticeert vervolgens dit token door deze te controleren op echtheidskenmerken.
Voor een informatiesysteem is het van belang dat deze controle op echtheidskenmerken
(authenticatie) eenduidig vastligt. Iemand kan namelijk op verschillende manieren de authenticiteit
van een paspoort controleren. Zo kan hij de foto vergelijken met mijn gezicht. Ook kan hij vaststellen
dat de pasfoto terugkomt in het gaatjespatroon op de houderpagina. Om meer zekerheid te krijgen
over de authenticiteit van het paspoort zou hij echter een centrale administratie kunnen raadplegen
om vast te stellen dat het paspoort niet ingetrokken is of gestolen. De gewenste zekerheid over de
authenticiteit van een token bepaalt welke controles uitgevoerd moeten worden voordat het token
authentiek bevonden kan worden.
In de laatste stap worden autorisaties toegekend. Zo kan op het vliegveld aan mij de autorisatie
toegekend worden om de vertrekterminal te betreden. Deze controle is echter onvoldoende om
autorisatie te krijgen tot andere delen van het vliegveld zoals de bagageafhandeling.
8.2.2.2 Bewaken van toegang
Naast de toegangscontrole is het van belang te bewaken wie waar toegang tot krijgt en of deze geen
misbruik maakt van de toegekende autorisatie. Op het vliegveld zal bewaakt moeten worden dat ik
niet probeer toegang te krijgen tot zones waarvoor ik niet geautoriseerd ben. Deze toegangsbewaking
kan verschillende redenen hebben zoals het beperken van risico’s maar ook het tegemoetkomen aan
wettelijke verplichtingen. Het kan zijn dat aangetoond moet worden dat alleen geautoriseerde
personen toegang gekregen hebben tot bepaalde informatie. Dit maakt meteen duidelijk dat
toegangsverlening niet alleen een systeemaangelegenheid is maar ook procedureel en
organisatorisch.
8.3 Beveiligingseisen voor informatiesystemen
Vanaf het eerste moment dat een bedrijf gaat nadenken over de aanschaf en het (laten) ontwikkelen
van informatiesystemen is het noodzakelijk dat beveiliging deel uitmaakt van het nieuwe project.
Basiskennis Beveiliging van Informatie
46
Informatiesystemen omvatten besturingssystemen, infrastructuur, bedrijfstoepassingen, kant-en-klare
producten, diensten en toepassingen die voor de gebruiker zijn ontwikkeld. Ontwerp en implementatie
van het informatiesysteem dat het bedrijfsproces ondersteunt kunnen van doorslaggevend belang zijn
voor de wijze waarop de beveiliging wordt ingericht.
Beveiligingseisen moeten voorafgaand aan de ontwikkeling en/of implementatie van
informatiesystemen worden vastgesteld en overeengekomen.
De beveiligingseisen worden in een risicoanalyse vastgesteld en tijdens de specificatie van de eisen
voor het project verantwoord, overeengekomen en gedocumenteerd als onderdeel van de totale
‘business case’ voor een informatiesysteem.
Het is beduidend goedkoper beveiligingsmaatregelen tijdens de ontwerpfase te implementeren en te
onderhouden dan tijdens of na de implementatie.
In de praktijk
Een grote organisatie laat een nieuw intranet ontwerpen. Twee weken voor de ingebruikneming wordt
aan de Information Security Manager (ISM) gevraagd of zij nog even naar de beveiligingsmaatregelen
kan kijken. Een gedegen onderzoek brengt zoveel zwakheden aan het licht dat het intranet totaal
opnieuw ontworpen moet worden en er ruim een jaar vertraging optreedt in de implementatie. Vele
honderdduizenden euro’s gaan onnodig verloren door een gebrek aan communicatie!
Bij de aanschaf van producten hoort een formeel test- en inkoopproces te worden gevolgd. In de
contracten met de leverancier zijn de eisen die aan de beveiliging van het product worden gesteld,
opgenomen. Wanneer de beveiligingsfunctionaliteit in het product niet voldoet aan de gestelde eis,
dan moeten het risico dat dit met zich mee brengt en de beveiligingsmaatregelen die daarbij horen
worden heroverwogen. Of er wordt besloten dit product niet aan te schaffen.
8.3.1 Correcte verwerking in toepassingen
Toepassingen (software, computerprogramma's) moeten werken zoals bedoeld in het ontwerp en de
ontwikkeling. Een programma dat mogelijk maakt dat fouten worden gemaakt, dat gegevens verloren
gaan, dat een onbevoegde persoon wijzigingen kan aanbrengen of informatie kan misbruiken is een
groot risico.
In toepassingssystemen, ook toepassingen die door de gebruiker zelf zijn ontwikkeld, horen geschikte
beheersmaatregelen te zijn ingebouwd. Zo'n beheersmaatregel betreft bijvoorbeeld de validatie van
invoergegevens, interne verwerking en uitvoergegevens. Hiermee wordt bedoeld dat de informatie
eenduidig wordt ingevoerd en dat de gegevens controleerbaar correct zijn.
Voor de eenduidige invoer wordt vaak gebruik gemaakt van zogenaamde stamtabellen en
begrippenlijsten. Deze lijsten, die in de software/database zijn ingebouwd, kunnen helpen voorkomen
dat voor één begrip, meerdere woorden gebruikt worden.
In de praktijk
Een politieman neemt een aanrijding op en vermeldt in het systeem: voetganger op trottoir
aangereden door bromfiets.
De volgende dag neemt een andere politieman op dezelfde locatie een aanrijding op en vermeldt in
het systeem: wandelaar aangereden door bromscooter op het voetpad.
Wanneer nu in de database gegevens worden gezocht voor een onderzoek naar verkeersgevaarlijke
Basiskennis Beveiliging van Informatie
47
situaties zal niet de juiste informatie boven water komen.
Het systeem moet afdwingen dat alleen de woorden voetganger, trottoir en bromfiets ingevoerd
kunnen worden en de woorden wandelaar, voetpad en bromscooter niet. Wanneer vervolgens op de
juiste woorden gezocht wordt, zullen alle aanrijdingen die aan de criteria voldoen uit het systeem
komen.
8.3.2 Validatie van in- en uitvoergegevens
Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om ervoor te zorgen
dat ze betrouwbaar zijn. Zakelijke transacties en vaste gegevens kunnen automatisch worden
gecontroleerd. Denk bijvoorbeeld aan een invoerveld voor de postcode dat altijd een vast formaat kan
hebben. Dit geldt ook voor verkoopprijzen, wisselkoersen, belastingtarieven en kredietlimieten.
Validatie is een belangrijk middel om gebruikersfouten en misbruik te voorkomen.
8.4 Cryptografie
De term cryptografie (geheimschrift) komt uit het Grieks en is een samenvoeging van de woorden
kryptós dat ‘verborgen’ betekent en gráfo dat ‘schrijven’ betekent. Voorbeelden van cryptografie zijn
zo oud als de spreekwoordelijke weg naar Rome. Het werd onder andere toegepast door de
Romeinen om militaire boodschappen over te brengen. Zelfs als de boodschap in vijandelijke handen
zou vallen, kon de vijand daar geen informatie uit afleiden omdat de boodschap op het oog
nietszeggende gegevens bevatte. Onderzoek naar cryptoalgoritmen wordt ook wel cryptoanalyse
genoemd en werd niet alleen toegepast om algoritmen te ontwikkelen maar ook om algoritmen van
vijanden te kraken. Cryptoanalyse heeft zich vooral gedurende en na de tweede wereldoorlog sterk
ontwikkeld.
Vaak wordt cryptografie gezien als middel om informatie geheim te houden, maar ook andere
toepassingsgebieden, zoals het beschermen van de vertrouwelijkheid, authenticiteit of integriteit van
informatie zijn te danken aan cryptografie.
In het nieuws
Een student van de Radboud Universiteit in Nijmegen is erin geslaagd met
een zelf gebouwd apparaatje ter waarde van veertig euro een wegwerpversie van de OV-chipkaart te
kopiëren. De kopie is onbeperkt te gebruiken als vervoersbewijs.
De student luisterde het berichtenverkeer tussen een origineel wegwerpkaartje en de chiplezer bij een
poortje elektronisch af. Daarbij bleek dat de informatie die wordt overgestuurd niet is versleuteld,
zoals dat wel gebeurt bij de ov-chipkaarten voor abonnementen die op naam van de reiziger staan.
Voor wegwerpkaartjes is een chip met versleuteling blijkbaar te duur.
Bron: www.computable.nl
8.5 Cryptografiebeleid
Cryptografie is een maatregel die ingezet kan worden door de organisatie als bijvoorbeeld gegevens
vertrouwelijk zijn. Over het gebruik van cryptografie moet goed worden nagedacht en dit moet in een
beleidsdocument worden beschreven.
Basiskennis Beveiliging van Informatie
48
In dit document komt aan de orde:
Waarvoor gebruikt de organisatie cryptografie;
Welke soorten cryptografie gebruikt de organisatie, voor welke toepassingen;
Beheersing en beheer van sleutelmateriaal;
Back-up;
Controle.
8.5.1 Sleutelbeheer
Het beheer van de sleutels is een belangrijk onderdeel van het beleid in het gebruik van
cryptografische technieken. Cryptografische sleutels behoren te worden beschermd tegen wijziging,
verlies en vernietiging.
Bovendien horen geheime en persoonlijke sleutels te worden beschermd tegen onbevoegde
openbaarmaking. Apparatuur die wordt gebruikt voor het genereren, opslaan en archiveren van
sleutels behoort fysiek te worden beschermd. Onderdeel van het sleutelbeheer is ook de registratie
van de sleutelparen. Welke paren zijn wanneer en aan wie uitgegeven. Tot wanneer zijn de sleutels
geldig? Wat te doen als sleutels openbaar worden bij onbevoegden?
Een groot risico is wanneer veel verschillende apparaten binnen een organisatie van dezelfde
sleutelsets gebruik maken. Worden deze sleutels buiten de organisatie bekend, dan zullen alle
apparaten (vaak laptops) opnieuw van sleutelmateriaal voorzien moeten worden. Dit kan een zeer
kostbare operatie zijn die bovendien in zeer korte tijd uitgevoerd moet worden.
8.6 Soorten cryptografische systemen
Om gebruik te kunnen maken van een cryptografisch systeem moeten zowel de zender als ontvanger
beschikken over het algoritme. Een kenmerk van een goed cryptografisch systeem is dat het
algoritme zelf openbaar is. In hoofdlijnen zijn er drie vormen van cryptografische algoritmen te
onderscheiden: symmetrisch, asymmetrisch en eenrichtingsvercijfering.
Het algoritme dient de toets der kritiek te doorstaan en open te zijn. Als veel mensen er goed naar
kijken is het moeilijker om er een gat in te schieten. De sleutels zijn het geheime deel van de
cryptografie.
De OV chipkaart bevatte een geheim algoritme en een bepaald getal, deze waren de zwakheid. Als
het ontwerp van de myfare chip ook publiek door de wetenschap was beoordeeld, had dit er zo nooit
ingezeten.
8.6.1 Symmetrisch
Iedereen kent wel een symmetrisch cryptografisch systeem. Kenmerk van zo’n systeem is dat er een
algoritme is en een geheime sleutel die zender en ontvanger delen.
In de praktijk
Een simpele manier om een bericht te versleutelen is door het alfabet met getal x te verschuiven. Met
x=+5 wordt A > F. Iedereen die de geheime sleutel heeft kan de boodschap decoderen door het
alfabet met x=-5 te verschuiven. Zoals dit voorbeeld illustreert wordt de geheime sleutel gebruikt om
zowel de boodschap te vercijferen als te ontcijferen. De sterkte van dit cryptografische systeem hangt
direct samen met het vermogen van de zender en ontvanger de gedeelde sleutel geheim te houden.
Basiskennis Beveiliging van Informatie
49
8.6.2 Asymmetrisch
Een asymmetrisch systeem lost de kwetsbaarheid van het delen van een geheime sleutel op. Het
kenmerk van een asymmetrisch systeem is dat voor het vercijferen en ontcijferen twee verschillende
sleutels gebruikt worden. Dit systeem is eind 1970 bedacht door Ron Rivest, Adi Shamir en Len
Adleman en werkt op basis van priemgetallen en modulo rekenen. Het meest opmerkelijke bij dit
algoritme is dat het niet meer nodig is dat de zender en ontvanger dezelfde sleutel te bezitten. Het
algoritme werkt met zogeheten sleutelparen. Hierbij zorgt de private sleutel van het sleutelpaar voor
de vercijfering en alleen de publieke sleutel van dit sleutelpaar kan het bericht ontcijferen. Het mooie
van dit systeem is dat de publieke sleutel bekend gemaakt kan worden aan de hele wereld.
Dit systeem kan op twee manieren toegepast worden. De eerste manier is om berichten te
ondertekenen met de private sleutel. De ontvanger kan met behulp van de publieke sleutel verifiëren
Basiskennis Beveiliging van Informatie
50
dat het bericht afkomstig is van de eigenaar van de bijbehorende private sleutel. De tweede manier is
om berichten bestemd voor een persoon te versleutelen met diens publieke sleutel. Alleen de houder
van de private sleutel behorende bij deze publieke sleutel is in staat dit bericht te ontcijferen. Merk
hierbij op dat het gebruik van de private sleutel beperkt is tot de houder van private sleutel, terwijl
iedereen gebruik kan maken van de publieke sleutel. Asymmetrische algoritmen kunnen op deze
manier zowel ingezet worden om zowel de integriteit als de vertrouwelijkheid van berichten te
garanderen.
Digitale handtekening
Asymmetrische cryptografie wordt bijvoorbeeld toegepast bij een digitale handtekening. Een digitale
handtekening is een methode voor het bevestigen van de juistheid van digitale informatie,
vergelijkbaar met het ondertekenen van papieren documenten door middel van een geschreven
handtekening. Over het algemeen bestaat een digitale handtekening uit twee algoritmen: een om te
bevestigen dat de informatie niet door derden veranderd is, de ander om de identiteit te bevestigen
van degene die de informatie "ondertekent". In Europa is een digitale handtekening dankzij Richtlijn
99/93/EG nu gelijkgeschakeld aan een "papieren" handtekening. In de meeste gevallen moet die
digitale handtekening dan wel met behulp van een gewaarmerkt certificaat te verifiëren te zijn en
moet deze met een veilig middel (bijvoorbeeld een smartcard) zijn gemaakt.
8.6.3 Public Key Infrastructure
Asymmetrische cryptografie wordt ook wel Public Key Crypto genoemd. Let op dat dit niet hetzelfde is
als Public Key Infrastructure (PKI). Bij een PKI komt veel meer kijken. Een kenmerk van een PKI is
dat deze door afspraken, procedures en een organisatiestructuur waarborgen biedt over welke
persoon of systeem hoort bij een specifieke publieke sleutel. Een Public Key Infrastructure wordt vaak
beheerd door een onafhankelijke autoriteit. Vecozo is een Nederlands voorbeeld van een dergelijke
autoriteit. Vecozo voorziet in het uitwisselen van vertrouwelijke informatie in de gezondheidszorg.
In de praktijk
Een huisarts wil haar behandelingen elektronisch gaan declareren bij de zorgverzekeraars. De
zorgverzekeraars hebben een contract met een Certification Authority (CA). De huisarts vraagt bij de
CA een certificaat aan. De CA controleert, voor de zorgverzekeraars, of de huisarts is wie zij claimt te
zijn, bijvoorbeeld door haar diploma’s op te vragen en een handtekening. De huisarts krijgt toegang
tot de website om het certificaat te kunnen downloaden. Dit is een bestandje dat op de computer
wordt geïnstalleerd. Als de huisarts wil declareren gaat ze naar de website van de CA. Bij het
inloggen wordt het certificaat op de PC gecontroleerd en wordt gevraagd naar de gebruikersnaam en
het wachtwoord die horen bij het certificaat. De huisarts krijgt toegang en ze kan haar
declaratiebestanden uploaden. Ook kan ze bijvoorbeeld controleren of een bepaalde patient wel
verzekerd is en bij welke zorgverzekeraar.
Basiskennis Beveiliging van Informatie
51
8.6.4 Eenrichtingsvercijfering
Deze vorm van vercijferen wordt ook wel hashfunctie genoemd en is te vergelijken met het mengen
van verf. Zodra twee verfkleuren vermengd raken is het zo goed als onmogelijk deze kleuren weer te
scheiden. Dit soort algoritmen wordt hoofdzakelijk gebruikt om vast te stellen of bepaalde gegevens
niet veranderd zijn. Het bericht wordt omgezet in een numerieke waarde. Met een bekend algoritme
kan de ontvanger controleren of de boodschap de juiste hashwaarde heeft gehouden. Deze methode
wordt gebruikt om de integriteit van berichten te controleren, bijvoorbeeld het wachtwoord op een
computer. Er wordt geen vertrouwelijkheid mee geregeld.
Basiskennis Beveiliging van Informatie
52
8.7 Beveiliging van systeembestanden
8.7.1 Bescherming van testdata
Het is belangrijk dat testgegevens van apparatuur en programma's zorgvuldig worden gekozen,
beschermd en beheerst. Het is niet de bedoeling dat echte data, die immers gevoelige informatie
zoals persoonsgegevens kan bevatten, wordt gebruikt om mee te testen. In testsystemen mag
uitsluitend fictieve data voorkomen
8.7.2 Toegangsbeheer voor broncode van programmatuur
Systeembestanden vormen de bron van de automatisering van een organisatie. Wanneer de
broncode van deze bestanden in verkeerde handen valt, kan een kwaadwillende toegang tot
vertrouwelijke informatie krijgen. Deze bestanden dienen dus zeer zorgvuldig behandeld te worden.
De toegang tot broncode van programmatuur behoort te worden beperkt tot alleen de hoogst
noodzakelijke medewerkers.
8.7.3 Beveiliging bij ontwikkelings- en ondersteuningsprocessen
Managers die verantwoordelijk zijn voor toepassingssystemen, zijn verantwoordelijk voor de
beveiliging van de projectomgeving waarin de toepassingen worden ontwikkeld en de omgeving
waarin de toepassingen worden ondersteund. Zij bekijken ook of voorgestelde wijzigingen deze
beveiliging niet in gevaar brengen.
8.8 Uitlekken van informatie
Hoe voorkomen we dat gelegenheden zich voordoen om vertrouwelijke informatie te laten uitlekken?
Bewustwording van medewerkers is één van de mogelijkheden om de medewerkers te doordringen
van het belang bedrijfsinformatie niet naar buiten te brengen. Het bekende circuit van verjaardagen,
de vereniging, vrienden en vooral onbekende vrienden van vrienden vormt een risico. In een
ontspannen sfeer wordt gemakkelijk informatie gedeeld die dan ook in verkeerde handen kan vallen.
Een bewuste poging om vertrouwelijke informatie los te krijgen is de zogenaamde ‘social
engineering’. Voor deze Engelse term is geen goede Nederlandse benaming in gebruik. Iemand weet
het vertrouwen te winnen van een medewerker door zich voor te doen als een collega of leverancier
maar is in werkelijkheid uit op vertrouwelijke informatie. In een grote organisatie waar niet iedereen
elkaar kent, is de kans op succes groot. De social engineer maakt gebruik van menselijke
zwakheden. We denken bijvoorbeeld dat als iemand het juiste jargon gebruikt, hij of zij wel van
binnen de organisatie zal zijn. Maar de social engineer kan de termen hebben afgeluisterd in het café.
Daarnaast kan informatie uitlekken via verborgen communicatiekanalen. De kans dat de gewone
medewerker van het bestaan van dit soort communicatiekanalen af weet is gering. Geheime
communicatiekanalen zijn kanalen die niet zijn bedoeld voor het verwerken van informatiestromen,
maar die desondanks kunnen bestaan in een systeem of netwerk. Het voorkomen van alle mogelijke
geheime communicatiekanalen is moeilijk, zo niet onmogelijk. Er zijn immers altijd verbindingen naar
binnen en naar buiten. Het gebruik van dergelijke kanalen wordt vaak in gang gezet door Trojaanse
paarden (zie ook het hoofdstuk over malware). Het kan ook zijn dat de leverancier van een
maatwerkprogramma een geheime toegang voor onderhoud in de applicatie heeft ingebouwd zonder
dit door te geven aan de koper. Dit wordt ook wel een ‘maintenance door’ of onderhoudstoegang
genoemd. Deze praktijk wordt door de afnemer niet gewaardeerd. Wanneer de maatwerkapplicatie
wordt gebruikt voor het verwerken van zeer vertrouwelijke informatie, kan een onafhankelijk bureau
de broncode van de applicatie onderzoeken op dergelijke geheime communicatiekanalen.
Basiskennis Beveiliging van Informatie
53
8.8.1 Uitbesteden van ontwikkeling van programmatuur
Wanneer de ontwikkeling van programmatuur wordt uitbesteed is het belangrijk dat de ontwikkeling
wordt gesuperviseerd en gecontroleerd door de organisatie die de opdracht geeft.
En wie wordt de eigenaar van de broncode? De opdrachtgever moet indien mogelijk de intellectuele
eigendomsrechten krijgen.
De kwaliteit en nauwkeurigheid van het uitgevoerde werk kan door certificering van een
onafhankelijke instantie worden vastgesteld. Denk hierbij ook aan de opmerking hierboven met
betrekking tot het controleren van verborgen communicatiekanalen.
8.9 Samenvatting
Toegang tot de gebouwen wordt gereguleerd, toegang tot de netwerkinfrastructuur ook. Hoe gaan we
om met de toegangsrechten die de medewerkers op de ICT-omgeving krijgen. De ene medewerker
krijgt andere rechten dan de ander. Op welke wijze wordt nu bepaald wie wat mag doen? Waarom
mag niet iedereen inzage hebben in alle informatie?
Wanneer dat allemaal bepaald is, wordt het tijd de beschikbare informatie te verdelen over de
medewerkers die gerechtigd zijn inzage in bepaalde systemen te hebben. Dit gebeurt door middel van
toegangscontrole.
Hoe gaan we met onze bezittingen om? We regelen dat in gestandaardiseerde processen.
Wanneer informatie echt beveiligd moet worden tegen inzage door ongeautoriseerden, dan komt het
gebruik van cryptografische toepassingen om de hoek kijken. U hebt een inleiding gekregen in
cryptografie en weet nu wat het verschil is tussen symmetrische en asymmetrische cryptografie en
PKI-oplossingen.
8.10 Casus
Een middelgrote bank heeft grote uitbreidingsplannen voor de ICT-omgeving. De directie heeft
besloten dat het noodzakelijk is alle ICT-voorzieningen te vervangen door nieuwe apparatuur. Open
source wordt overwogen. Wel is het noodzakelijk dat alle nieuwe hardware goed ondersteund wordt.
De huidige bankspecifieke programmatuur voldoet niet meer. De IT-afdeling gaat in eigen beheer of
door middel van uitbesteding nieuwe programmatuur ontwikkelen die flexibel op verschillende
Operating Systems (OS) moet kunnen draaien.
Deze bank kent een groot aantal medewerkers die echter maar in een beperkt aantal functies werken.
Er bestaat een verschil in autorisatieniveaus. Een beperkt aantal medewerkers heeft inzage in
strategische informatie zoals de jaarcijfers en de financiële administratie. Deze medewerkers hebben
geen inzage in klantgegevens. Zo zijn er meerdere gescheiden autorisatieniveaus aanwezig.
De data die opgeslagen worden moeten uiteraard beveiligd worden tegen inzage door
ongeautoriseerden. Uitwisseling van bepaalde gevoelige gegevens met externe partijen moet
versleuteld gedaan kunnen worden.
Belangrijk is dat het nieuwe systeem controlemiddelen kent zodat alleen de juiste informatie
ingevoerd wordt. Boekingen kennen, afhankelijk van de hoogte van het bedrag, meerdere
controlemomenten. Zeer hoge bedragen worden door meer dan één persoon geaccordeerd.
Aan u wordt de taak gegeven een onderzoek in te stellen naar de beveiliging van het nieuw aan te
schaffen netwerk en de computersystemen. Kiest u normale pc’s of een thin client principe? Motiveer
deze keuze. Welk OS kiest u en waarom?
Hoe gaat u de autorisatiestructuur inregelen? Welke technieken gebruikt u om de verschillende
niveaus vast te stellen?
Basiskennis Beveiliging van Informatie
54
Kiest u voor ontwikkeling van software in eigen beheer of kiest u een extern bedrijf? Geef de voor- en
nadelen van beide opties en geef aan waar de valkuilen voor de bank liggen.
Binnen de casus staan meer aspecten waar rekening mee gehouden moet worden. Licht deze
aspecten eruit en motiveer waarom u bepaalde keuzes maakt.
Basiskennis Beveiliging van Informatie
55
9. Organisatorische maatregelen
Inleiding
We hebben het in de voorgaande hoofdstukken uitgebreid gehad over de fysieke beveiliging van de
werkomgeving en de technische beveiliging van de ICT-infrastructuur. Organisatorisch valt er echter
ook het nodige te regelen. Sommige zaken gaan hand in hand. Technische en organisatorische
beveiligingsmaatregelen zijn vaak onlosmakelijk met elkaar verbonden.
In dit hoofdstuk wordt verder ingegaan op diverse organisatorische maatregelen. Daar waar nodig
wordt verwezen naar de technische maatregelen die nodig zijn om de organisatorische maatregelen
uitvoerbaar te maken of af te dwingen.
Zo gaan we het hebben over (beveiligings)beleid, de PDCA-cyclus, de onderdelen van ISO/IEC
27001 en 27002, een belangrijke internationale standaard voor informatiebeveiliging. Verder gaan we
het hebben over de organisatie van de informatiebeveiliging en de wijze waarop informatiebeveiliging
kan worden uitgedragen in de organisatie.
Hoe gaan we om met calamiteiten? Wat zijn calamiteiten eigenlijk en hoe bereiden we ons er op
voor?
Mocht een calamiteit zich voordoen, wat is dan de procedure om mensen en middelen veilig te stellen
en zo snel mogelijk weer werkend te zijn?
Communicatie- en bedieningsprocessen, testprocedures en het beheer van de IT-omgeving door een
externe provider komen aan bod.
9.1 Beveiligingsbeleid
9.1.1 Informatiebeveiligingsbeleid
Door beleid voor de beveiliging van informatie vast te stellen geeft het management van de
organisatie richting en ondersteuning. Dit beleid wordt vastgesteld in overeenkomst met de
bedrijfsmatige eisen en de relevante wetten en voorschriften.
Een document met het informatiebeveiligingsbeleid hoort door de directie te worden goedgekeurd,
gepubliceerd en kenbaar gemaakt aan alle werknemers en alle relevante externe partijen zoals
klanten en leveranciers.
Het laatste houdt in de praktijk vaak in dat er een ingekorte versie van het beleid met de belangrijkste
punten, in de vorm van een flyer aan iedere medewerker wordt uitgereikt en onderdeel is van de
introductie voor nieuwe medewerkers. De volledige versie kan op het intranet van het bedrijf zijn
geplaatst of in ieder geval op een plaats waar iedere medewerker toegang tot heeft.
In het nieuws
Virgin Media, de entertainment arm van Richard Branson's Virgin Group, is een CD met de gegevens
van 3000 klanten verloren. Op de onversleutelde schijf stonden de bankgegevens, namen en
adresgegevens van drieduizend klanten die sinds januari bij verschillende winkels een abonnement
hadden afgesloten. In strijd met het bedrijfsbeleid was de data op een CD gezet.
Bron: www.security.nl
Basiskennis Beveiliging van Informatie
56
9.1.2 Hiërarchie
Het is gebruikelijk om in de beleidsdocumenten een hiërarchische volgorde aan te brengen.
Vanuit ‘corporate beleid’ worden verschillende beleidsstukken uitgewerkt. Deze conformeren zich
echter altijd aan het corporate beleid en geven een nadere richtlijn op een specifiek gebied. Een
voorbeeld hiervan is een beleidstuk over het gebruik van encryptiemiddelen.
Vanuit deze verschillende beleidsdocumenten komen achtereenvolgens voort:
Regelingen. Een regeling is meer gedetailleerd dan een beleidsdocument;
Procedures, soms ook wel leidraden genoemd. Hierin wordt tot in detail vastgelegd hoe bepaalde
maatregelen moeten worden genomen, eventueel uitgewerkt in werkinstructies;
In de praktijk
Binnen het algemene encryptiebeleid kan een procedure bestaan waarin vastgelegd wordt hoe met
een bepaald encryptiemiddel om moet worden gegaan. Dat is dan verplicht. In de procedure wordt
bijvoorbeeld vastgelegd hoe de gebruiker met versleutelingssoftware en het sleutelmateriaal om moet
gaan.
In een procedure kan ook worden vastgelegd hoe de systeembeheerder de encryptiesoftware moet
installeren. Deze instructies gaan tot op het niveau van de ‘vinkjes’ die wel of niet worden aangezet,
het aantal tekens dat een wachtwoord moet bevatten en hoe lang het wachtwoord geldig is.
Richtlijnen, het woord zegt het al, geven een richting aan. Hierin wordt beschreven welke aspecten
moeten worden bekeken bij een bepaald beveiligingsonderwerp. Richtlijnen zijn niet verplichtend
maar adviserend van aard;
Standaarden kunnen bijvoorbeeld de standaardinrichting van bepaalde platformen bevatten.
In de praktijk
In een richtlijn kan advies worden gegeven over waar een classificatiebeleid aan moet voldoen.
Vervolgens is de verantwoordelijke medewerker vrij in de wijze waarop hij of zij dat
classificatiebeleid voor de organisatie uit gaat werken.
Een standaard is bijvoorbeeld ook de ISO/IEC 27001:2005. Hierin wordt een standaard beschreven
voor het inrichten van informatiebeveiliging in de organisatie. In deel I, de ISO/IEC 27001 wordt het
managementsysteem (Information Security Management System, ISMS) beschreven. Deel II,
ISO/IEC 27002:2007, ook wel de Code voor Informatiebeveiliging genoemd, werkt dit
managementsysteem uit in praktische richtlijnen. Een organisatie kan zich laten certificeren voor
ISO/IEC 27001:2005 en laat daarmee aan leveranciers en klanten zien dat het aan kwaliteitseisen
voor informatiebeveiliging voldoet. De Code voor Informatiebeveiliging is geschikt voor alle
organisaties, groot of klein, overheid of bedrijfsleven.
9.1.4 Beoordeling van het informatiebeveiligingsbeleid
Het informatiebeveiligingsbeleid maken is één, het implementeren in de organisatie en controleren of
het nageleefd wordt is een ander onderwerp.
Veel organisaties werken met de zogenaamde PDCA-cyclus. (zie figuur PDCA model op pagina 57).
Het informatiebeveiligingsbeleid is het hoofddocument. Onder het informatiebeveiligingsbeleid komen
beleidsdocumenten, procedures en richtlijnen die op een bepaald deel van de informatiebeveiliging
Basiskennis Beveiliging van Informatie
57
gericht zijn en nadere richtlijnen geven. Deze documenten zijn een belangrijk onderdeel van het
Information Security Management System (ISMS).
9.1.5 PDCA-model
Het PDCA-model, ook wel de kwaliteitscirkel van Deming genoemd, wordt gebruikt als basis voor het
vaststellen, implementeren, monitoren, controleren en onderhouden van het Information Security
Management System (ISMS).
Figuur - PDCA model gekoppeld aan de ISMS processen
Plan (ontwerp het ISMS)
In de ontwerpfase wordt een informatiebeveiligingsbeleid ontwikkeld en vastgesteld. Hierin worden de
informatiebeveiligingsdoelstellingen, de relevante processen en procedures vastgesteld, die er voor
zorgen dat de risico’s gemanaged worden. Deze doelstellingen ondersteunen uiteraard de business
doelstellingen van de organisatie.
De beveiligingsmaatregelen kunnen genomen worden op basis van de eerder genoemde
risicoanalyse en een kosten/batenanalyse. Er zijn nog andere methoden die we niet verder zullen
behandelen.
De Planfase geldt niet alleen voor het hoofdbeleid maar voor alle ondersteunende
beleidsdocumenten en onderliggende regelingen.
Do (implementeer het ISMS)
In deze fase worden het informatiebeveiligingsbeleid en de onderliggende procedures en
maatregelen geïmplementeerd.
Per informatiesysteem en/of proces worden verantwoordelijken aangewezen.
Check (monitor en controleer het ISMS)
In deze fase wordt door middel van self assessment (interne audit) gecontroleerd en waar mogelijk
Basiskennis Beveiliging van Informatie
58
gemeten of het informatiebeveiligingsbeleid correct wordt uitgevoerd. Hiervan wordt een rapport
uitgebracht aan het verantwoordelijke management en de Chief Information Security Officer (CISO).
Act (onderhoud en stel het ISMS bij)
In deze laatste fase wordt gecorrigeerd en worden preventieve maatregelen genomen, gebaseerd op
de resultaten van de interne audit. Waar nodig wordt het ISMS geactualiseerd.
Deze PDCA-cyclus is een doorlopend proces. In een ISMS-handleiding wordt dit beschreven.
9.1.6 Inrichting ISMS
De organisatie stelt voor de beheersing van haar ISMS een raamwerk op.
Dit raamwerk geeft een logische indeling van alle aan de informatiebeveiliging gerelateerde zaken
door deze in te delen in domeinen.
Een domein is een groep van onderwerpen (clusters), die logisch bij elkaar horen. Domeinen vormen
de basis voor het ISMS-raamwerk (framework). Veel van deze clusters leveren eigen
beleidsdocumenten, procedures en werkinstructies op.
Het ISMS omvat minimaal de elf domeinen zoals deze onderkend worden in de ISO/IEC 27002
standaard. Deze sluiten aan bij de processen voor IT Service Management zoals die zijn beschreven
in de ISO/IEC 20000 standaard.
9.1.7 De elf domeinen in de ISO/IEC 27002
A.5 Beveiligingsbeleid;
A.6 Organisatie van informatiebeveiliging;
A.7 Beheer van bedrijfsmiddelen;
A.8 Beveiliging van personeel;
A.9 Fysieke beveiliging en beveiliging van de omgeving;
A.10 Beheer van communicatie- en bedieningsprocessen;
A.11 Toegangsbeveiliging;
A.12 Verwerving, ontwikkeling en onderhoud van informatiesystemen;
A.13 Beheer van informatiebeveiligingsincidenten;
A.14 Bedrijfscontinuïteitsbeheer;
A.15 Naleving.
De domeinen beginnen te tellen bij 5 omdat de nummers corresponderen met de hoofdstuk indeling
van de ISO 27002. De eerste 4 hoofdstukken zijn inleidend op de elf domeinen.
Ieder domein kent een aantal subdomeinen. Bijvoorbeeld toegangsbeveiliging omvat zowel fysieke
toegang als logische toegang.
Een domein wordt beschreven in een beleidsdoelstelling (policy) en nader uitgewerkt in
onderliggende richtlijnen, procedures en handreikingen.
9.1.8 Controle informatiebeveiligingsbeleid
Het informatiebeveiligingsbeleid wordt regelmatig beoordeeld en, als dit nodig is, herzien. Voor een
wijziging in het beleid is altijd toestemming van de directie nodig.
Basiskennis Beveiliging van Informatie
59
9.1.9 De organisatie van informatiebeveiliging
Zonder adequate beveiliging van informatie kan een organisatie niet overleven. Iedereen in de
organisatie zal dit moeten accepteren en de directie en het management geven hierin het voorbeeld.
Alleen wanneer zij hun eigen beleid ondersteunen zullen de medewerkers informatiebeveiliging
serieus nemen en de maatregelen willen naleven.
Informatiebeveiliging is een proces waar veel mensen bij betrokken zijn. Dit proces dient te worden
bestuurd. Als er geen verantwoordelijkheid en bestuur is zal informatiebeveiliging niet goed worden
geregeld. De manier waarop informatiebeveiliging wordt beheerd is afhankelijk van de omvang en
aard van de organisatie. Bij kleine organisaties kan informatiebeveiliging een deeltaak zijn van enkele
personen. Een ZZP (Zelfstandige Zonder Personeel, ook vaak freelancer genoemd) heeft zelfs alle
beveiligingstaken op zijn of haar schouders. Bij grote organisaties zijn hier aparte functies voor.
Bij het informatiebeveiligingsproces hoort een periodiek overleg met alle primaire verantwoordelijken.
Naast de informatiebeveiligingsfunctionarissen gaat het hierbij om personeel dat voor het invoeren
van maatregelen verantwoordelijk is. Dit zijn bij voorkeur de mensen die een functie hebben in de
zogenaamde PIOFAH-processen in de organisatie.
PIOFAH staat voor: Personeel, Informatie, Organisatie, Financieel, Accounting en Huisvesting.
9.2 Personeel
Zie ook : Functiescheiding
Tot de bedrijfsmiddelen behoort ook het personeel. Mensen en hun kennis en vaardigheden zijn
kostbare bedrijfsmiddelen. Om deze waarde te beschermen zijn maatregelen nodig.
Al het personeel is verantwoordelijk voor informatiebeveiliging. Deze verantwoordelijkheid moet
duidelijk zijn in het arbeidscontract. In het personeelshandboek moet een gedragscode staan en de
sancties bij het niet naleven van gedragsregels en het veroorzaken van incidenten. In de
gedragscode kan bijvoorbeeld staan dat e-mail niet voor privégebruik is bestemd. De manager is
verantwoordelijk voor de juiste functieomschrijvingen en dus verantwoordelijk voor de verschillende
aspecten van het omgaan met informatie in de betreffende functie.
Bij sollicitaties voor een functie waarin met gevoelige informatie wordt om gegaan, zullen referenties,
identiteit en diploma’s gecontroleerd moeten worden. Of iemand strafbare feiten heeft gepleegd kan
worden gecontroleerd door een Verklaring Omtrent Gedrag (VOG) verplicht te stellen. Een VOG
wordt verstrekt door het Ministerie van Justitie. De aanvraag wordt gedaan op het gemeentehuis.
De organisatie moet sluitende procedures hebben voor wanneer personeel in dienst en uit dienst
treedt of verandert van functie. Vergeet hierbij niet het wijzigen of intrekken van rechten, het innemen
van materiaal en toegangspassen. Toegangsrechten moeten regelmatig worden gecontroleerd.
9.2.1 Screening en geheimhoudingsverklaring
Voor een zogenaamde vertrouwensfunctie kan geheimhouding ook gelden na het dienstverband. De
manager is verantwoordelijk voor het vaststellen van speciale regels voor specifieke functies. In ieder
geval tekenen alle medewerkers met een vertrouwensfunctie een geheimhoudingsverklaring (Non
Disclosure Agreement, een NDA). Bij vertrouwensfuncties is het in ieder geval gebruikelijk dat de
werknemer een VOG kan overleggen.
Daarnaast kan het nodig zijn een screening of veiligheidsonderzoek te laten doen. Hoe diep de
screening wordt gedaan hangt af van het niveau van vertrouwelijkheid dat hoort bij de functie. Denk
aan bewakers, managers of financieel medewerkers. Screenen is erg kostbaar. De overheid heeft
hier eigen organisaties voor. Het bedrijfsleven kan soms gebruikmaken van zo'n organisatie als het
opdrachten uitvoert voor de overheid. Er bestaan private organisaties die screeningen uitvoeren.
Basiskennis Beveiliging van Informatie
60
9.2.2 Inhuurkrachten
De veiligheidseisen die gelden voor het personeel gelden ook voor personeel dat is ingehuurd. Deze
afspraken met de leverancier, bijvoorbeeld een uitzendbureau, worden schriftelijk vastgelegd,
inclusief de sancties bij overtreding.
9.2.3 Personeelsdossiers
Personeelsgegevens en personeelsdossiers moeten vertrouwelijk worden behandeld en goed
opgeborgen. Ook wordt vastgelegd wie personeelsdossiers mag inzien.
In een personeelsdossier liggen het functieprofiel, het arbeidscontract en diverse ondertekende
verklaringen. Een gedragscode voor computergebruik is bijvoorbeeld zo'n verklaring of een
gedragscode voor e-mailgebruik, verklaringen om zich te houden aan wetten en regels (Wet
Bescherming Persoonsgegevens, Wet Computercriminaliteit) en bijvoorbeeld een
geheimhoudingsverklaring.
9.2.4 Bewustwording (security awareness)
Eén van de meest effectieve maatregelen voor informatiebeveiliging is dat de medewerkers een
bewustwordingscursus krijgen wanneer ze in dienst treden. Deze cursus kan deel uitmaken van de
introductie en de interne opleiding.
Ter ondersteuning van informatiebeveiligingsbewustwording kunnen allerlei materialen worden
ingezet: flyers, boekjes, schermboodschappen, muismatten, nieuwsbrieven, video’s en posters.
In grote organisaties worden vaak aparte bewustwordingstrainingen verzorgd voor
systeembeheerders, ontwikkelaars, gebruikers en beveiligingspersoneel, maar ook andere groepen
kunnen in aanmerking komen voor een op hun werkzaamheden toegespitste opleiding.
Besteed in de cursus of campagne met name aandacht aan de bedrijfsregels rondom
informatiebeveiliging en de dreigingen die worden gezien.
Beveiligingsdocumentatie en -informatie dient voor iedereen in de organisatie beschikbaar te zijn.
Vaak wordt verschillende documentatie gemaakt voor verschillende doelgroepen (gebruikers,
beheerders, ontwikkelaars etc.). Documentatie dient periodiek te worden herzien; bij wijzigingen maar
ook als er nieuwe dreigingen zijn.
In het nieuws
Waarschijnlijk ontvangen duizenden computergebruikers rond 14 februari
een valentijns-e-mail die besmet is met malware.
Mailgebruikers ontvangen een e-mail met daarin een groot hart en de uitnodiging een hyperlink met
een IP-adres aan te klikken. Geïnfecteerde computers worden besmet met een Trojaans paard,
waarna het systeem wordt opgenomen in een netwerk van besmette pc's. Dit zogeheten 'botnet' kan
op afstand bestuurd worden door cybercriminelen en gebruikt worden voor bijvoorbeeld het
huisvesten van nagebouwde bankwebsites.
Eerder werden tijdens Kerstmis en op nieuwjaarsdag een lading besmette e-mails verstuurd. De
Storm Worm is een van de hardnekkigste bedreigingen in de internetgeschiedenis.
Basiskennis Beveiliging van Informatie
61
Bron: www.computable.nl
9.2.5 Toegang
Voor grote organisaties waar niet iedereen elkaar kent, is een goed toegangsbeheersysteem nog
belangrijker. Een voorbeeld hiervan is een systeem waarbij de medewerkers en bezoekers duidelijk
zichtbaar toegangspassen gebruiken.
Alle bezoekers moeten worden geregistreerd bij aankomst en vertrek. Hierop zijn uitzonderingen als
de ruimte die betreden wordt een zogenaamde publieke zone is, zoals bij een gemeentehuis. Voor
het publiek toegankelijke gebouwen hebben dan vaak een registratiepunt als het publiek de “vrije”
zone verlaat en dieper het gebouw in gaat. Alle toegang wordt bijgehouden, bezoekers melden zich
bij een receptie, waarbij zij het tijdstip van aankomst en vertrek aftekenen. Een medewerker die
bezoek verwacht meldt de bezoeker aan en begeleidt deze door het gebouw tot het vertrek.
9.3 Bedrijfscontinuïteitsbeheer
Wij kunnen ons niet op alles voorbereiden. Overstromingen zoals in het voorjaar van 2007 in
Engeland en in het najaar van 2007 in Bangladesh, leveren grote schadeposten op aan de economie.
Denk ook aan de enorme schade die de orkaan Katrina in New Orleans aanrichtte. Aanslagen van
terroristen zoals in New York, Londen en Madrid, maar ook gewoon stroomuitval van meerdere uren,
kunnen enorme gevolgen hebben voor de beschikbaarheid van mensen en systemen binnen een
bedrijf.
Ieder jaar worden wereldwijd bedrijven getroffen door calamiteiten, die op wat voor manier dan ook
grote impact hebben op de beschikbaarheid van hun systemen. Een klein percentage van de
bedrijven heeft zich hierop voorbereid. De meeste bedrijven die door een grote calamiteit worden
getroffen, overleven dit niet. De bedrijven die dit soort calamiteiten wel overleven hebben vooraf
nagedacht over wat kan gebeuren en hebben de noodzakelijke maatregelen en procedures
beschreven om zichzelf te beschermen.
Een bedrijf of een organisatie, is afhankelijk van middelen, medewerkers en taken die dagelijks
uitgevoerd moeten worden om gezond en winstgevend te blijven. De meeste organisaties hebben
een ingewikkeld netwerk van leveranciers en middelen die afhankelijk van elkaar zijn om te kunnen
functioneren. Er zijn communicatiekanalen zoals telefoon- en netwerkverbindingen en er zijn
gebouwen waarin gewerkt wordt. De gebouwen moeten in een goede staat verkeren zodat het werk
op een prettige manier en efficiënt uitgevoerd kan worden.
Wanneer ergens een schakel in deze ketting van afhankelijkheden uitvalt, kan dat een probleem(pje)
opleveren. Wanneer meerdere schakels uitvallen, ontstaat er een probleem. Hoe langer bepaalde
onderdelen in de keten onbruikbaar zijn, hoe meer effect dat op de organisatie heeft, maar ook hoe
langer het kan duren voor een productieproces weer op gang komt.
Vooraf nadenken over de continuïteit van de werkprocessen is van levensbelang voor een
organisatie. Het maakt daarbij niet uit of het om een ingewikkeld productieproces gaat, of om een
relatief eenvoudig proces zoals het verwerken van verhuizingen van bewoners van een gemeente.
Voor zowel de medewerkers als de klant is het belangrijk dat ieder onderdeeltje van het proces goed
loopt en vooral goed blijft lopen.
Het doel van bedrijfscontinuïteitsbeheer (Business Continuity Management, BCM) is het voorkomen
dat bedrijfsactiviteiten worden onderbroken, het beschermen van kritische bedrijfsprocessen tegen de
gevolgen van omvangrijke storingen in informatiesystemen en tijdig herstel.
In het beheerproces van bedrijfscontinuïteit worden de kritische bedrijfsprocessen geïdentificeerd.
Naast andere maatregelen die de continuïteit waarborgen moet het verlies van informatie ten gevolge
van een natuurramp, een aanslag, brand en stroomuitval worden voorkomen. De gevolgen van
rampen, beveiligingsincidenten en de uitval van diensten worden beoordeeld in een Business Impact
Basiskennis Beveiliging van Informatie
62
Analyse (BIA). In het continuïteitsplan staat beschreven hoe de informatie die nodig is voor de
kritische bedrijfsprocessen weer vlot beschikbaar is.
Continuïteitsmanagement wordt in de informatiebeveiliging vaak opgesplitst in twee afzonderlijke,
maar wel sterk aan elkaar gerelateerde onderdelen:
Business Continuity Planning (BCP) waarin de continuïteit van de bedrijfsprocessen gewaarborgd
wordt;
Disaster Recovery Planning (DRP) waarbij het herstel na een calamiteit geregeld wordt.
Bedrijfscontinuïteitsbeheer wordt beschreven in de BS 25999, dit is een Britse Standaard,
vergelijkbaar met een ISO/IEC standaard.
In de ISO 27002 is wel een deel van de maatregelen gebaseerd op BCM, maar die zijn vooral gericht
op de Informatie component, terwijl de BS25999 bedrijfsbreed en integraal toegepast wordt.
9.3.1 Continuïteit
Continuïteit gaat over de beschikbaarheid van informatiesystemen op het moment dat deze nodig
zijn. Aan deze beschikbaarheid kunnen verschillende eisen worden gesteld. Hebt u een
telefooncentrale waar vijftig medewerkers vierentwintig uur per dag hun werkzaamheden uitvoeren?
Dan stelt u ongetwijfeld andere eisen aan beschikbaarheid dan een bedrijf met één telefoniste die
eens in het anderhalf uur een telefoontje binnen krijgt.
Voor een gemeente zal de beschikbaarheid van GBA, de Gemeentelijke Basis Administratie, van
groot belang zijn. Wanneer deze niet beschikbaar is kan een groot aantal medewerkers hun werk niet
naar behoren uitvoeren. Wanneer dit systeem bij de gemeente echter in de nachtelijke uren niet
beschikbaar is, zal er niets aan de hand zijn.
Zo gelden voor de beschikbaarheid per bedrijf, per vakgebied en vaak binnen een bedrijf per
onderdeel weer andere eisen.
In de praktijk
Autofabrikanten hebben tegenwoordig geen grote voorraden onderdelen liggen. Vrijwel dagelijks
worden de bestelde onderdelen aangeleverd bij de fabriek.
Wanneer een bedrijf dat remmen en verlichting voor de autoindustrie maakt in verband met een
arbeidsconflict in staking gaat, dan kan binnen een paar dagen tijd in half Europa de autoindustrie tot
stilstand komen. Auto’s zonder verlichting en remmen kunnen immers de fabriek niet verlaten.
Ook storing in één onderdeel van de lopende band, bijvoorbeeld de machine die het dashboard op
het juiste moment moet aanleveren, betekent dat het volledige productieproces tot stilstand komt. Een
dashboard achteraf inbouwen is immers binnen de werkstroom niet mogelijk.
9.3.2 Wat zijn calamiteiten?
Misschien is het goed om iets dieper in te gaan op het begrip calamiteit. Calamiteit klinkt nogal
dreigend. Niets is minder waar. In deze context kan de uitval van een simpel systeem al een
calamiteit zijn. Een calamiteit hoeft niet per se een overstroming of een terroristische aanslag te zijn.
De uitval van dat ene systeem, waar u zo afhankelijk van bent voor uw dagelijkse werk, door een
technisch mankement, is ook een calamiteit.
In de praktijk
Een eenvoudige netwerkkaart in de mailserver die defect raakt kan een regelrechte ramp zijn. Alle
medewerkers verstoken van hun e-mail en agenda, dat is in de huidige tijd niet lang werkbaar.
Basiskennis Beveiliging van Informatie
63
Hoe reageert uw bedrijf op een calamiteit?
Alles valt of staat met de aard van de calamiteit. Gaat het om een verstoring van activiteiten door de
uitval van een systeem of het complete netwerk waarop de kantoorautomatisering draait? Dan zal
een telefoontje naar de servicedesk of helpdesk vaak voldoende zijn om de nodige activiteiten te
laten opstarten.
Wordt de gezondheid van de medewerkers bedreigd dan zal een telefoontje naar de
Bedrijfshulpverlening (BHV) of naar 112 de juiste actie zijn.
In alle gevallen geldt dat mensenlevens vóór programmatuur en apparatuur gaan. Eérst komen de
ontruimingsactiviteiten, daarna komt het redden van de voor het bedrijf meest cruciale
bedrijfsprocessen.
Het is belangrijk dat er goede, heldere procedures zijn, die duidelijk maken welke actie moet worden
ondernomen, bijvoorbeeld:
U weet dat bij uitval van een informatiesysteem de helpdesk de aangewezen instantie is;
U weet waar de vluchtroutes in het gebouw zijn;
U weet wie u kunt bellen bij brand, het spontaan openspringen van de sprinklerinstallatie of
een bommelding.
De helpdesk of de BHV-medewerker moet weten wat te doen bij welke melding. Zij zullen een
prioriteitenlijst hebben waaruit blijkt wie wanneer met voorrang geholpen moet worden en welke
instanties zij in welk geval moeten inschakelen.
Training en opleiding van BHV’ers is belangrijk. BHV'ers zijn gewone medewerkers die deze taak op
zich hebben genomen. Zorg ervoor dat er verspreid over de hele organisatie BHV'ers zijn .
Bomalarm
Een bomdreiging wordt meestal niet als een risico voor de organisatie gezien. Bomdreigingen komen
in Nederland niet veel voor. De laatste jaren worden mensen wel bewuster gemaakt van verdachte
pakketjes. Het is dan ook raadzaam hiervoor procedures te hebben. In de bomalarmprocedure moet
duidelijk beschreven zijn wat men moet doen in geval van een melding. Bij ieder bedrijf kunnen
verdachte zaken binnenkomen. Personeel moet weten wat niet normaal is en verdachte zaken
kunnen herkennen. Tijdens de bewustwordingscampagne kan hier aandacht aan worden besteed.
9.3.3 Disaster Recovery Planning (DRP)
Wat is nu het verschil tussen Business Continuity Planning en Disaster Recovery Planning?
Het doel van DRP is het minimaliseren van de gevolgen van een calamiteit en het nemen van de
noodzakelijke maatregelen om er voor te zorgen dat de middelen, medewerkers en bedrijfsprocessen
binnen een acceptabele tijd weer beschikbaar zijn.
Dit is een verschil met BCP, waarin ook methodes en procedures worden geregeld voor uitval
gedurende een langere periode.
Een DRP is gericht op het herstel direct na een calamiteit. Het DRP wordt in werking gesteld op het
moment dat de calamiteit nog gaande is. Iedereen is druk met het bepalen van de schade en probeert
de systemen weer draaiende te krijgen.
Een BCP gaat verder en heeft een bredere focus. In BCP wordt het inrichten van een alternatieve
locatie geregeld om te kunnen werken terwijl de originele locatie herbouwd wordt. In BCP is alles er
op gericht het bedrijf vanaf het moment dat een calamiteit plaatsvindt weer – deels – draaiende te
krijgen totdat het bedrijf volledig hersteld is.
Met andere woorden:
Basiskennis Beveiliging van Informatie
64
DRP: Er is nu een calamiteit en wat doe ik om weer in productie te komen;
BCP: We hebben een calamiteit gehad en wat doe ik tot het moment waarop de situatie gelijk is aan
de situatie vóór de calamiteit.
In de praktijk
Een medewerkster maakt gebruik van de intranetversie van de telefoongids. Die valt uit en zij geeft
dat door aan de Helpdesk. De medewerkster kan echter gewoon haar werk blijven doen via de
internetversie van de telefoongids.
Een dergelijke melding zal geen hoge prioriteit krijgen.
Een IT-medewerkster werkt aan het herstel van die intranettelefoongids. Dan komt er een melding dat
een belangrijk systeem uitgevallen is, waardoor een deel van het productieproces stil is gevallen.
Iedereen begrijpt dat de continuïteit van een dergelijk systeem een hogere prioriteit zal krijgen, dan
het herstel van een systeem waarvoor een alternatief beschikbaar is.
Wanneer een BCP en/of DRP worden uitgewerkt is er een aantal oplossingen om de
bedrijfsprocessen zo snel mogelijk weer op gang te krijgen. Als gekozen wordt voor het voortzetten
van de bedrijfsprocessen en systemen worden de procedures beschreven in een uitwijkplan dat
regelmatig moet worden getest. Ook het opheffen van de uitwijk, de inwijk, hoort vast te liggen in plan
omdat duidelijk moet zijn onder welke voorwaarden de normale situtatie wordt hersteld.
Alternatieve werkplekken
Een bekende grote Nederlandse bank heeft door inventief gebruik te maken van de vele beschikbare
locaties ervoor gezorgd dat in geval van een calamiteit de medewerkers toch door kunnen werken. Zo
heeft men voor bepaalde werknemers (keyplayers) een alternatieve werkplek in een ander filiaal
aangewezen. Wanneer op de locatie waar die werknemer een vaste werkplek heeft iets gebeurt, reist
hij of zij naar een filiaal een paar kilometer verderop en gaat naar de aangewezen werkplek. De
medewerker die daar werkt is van deze regeling op de hoogte. Hij of zij staat op en staat de werkplek
af.
In de praktijk
Een operator voor mobiele telefonie heeft een hot site ingericht op ongeveer 20 km afstand van de
hoofdvestiging. Vanuit dit centrum worden alle GSM-masten in heel Europa beheerd. Uitval van het
centrale operationele centrum kan een verlies dat in de tientallen miljoenen Euro’s loopt opleveren.
De kosten van deze hot site wegen ruimschoots op tegen de kosten die een langdurige uitval van de
systemen zouden opleveren.
Redundant site
Een goed alternatief voor een onderneming met veel locaties maar met één centraal rekencentrum is
een redundant site. In een redundant site staat een kopie van het rekencentrum. Alle data die in het
hoofdrekencentrum worden weggeschreven worden ‘gespiegeld’ naar het tweede rekencentrum
weggeschreven. Bij uitval van één van de twee locaties neemt de andere locatie het automatisch
over. In het gunstigste geval merkt de gebruiker er helemaal niets van.
Hot site op afroep
Weer een andere oplossing is een rijdende hot site. Dit is een vrachtwagen met alle apparatuur aan
Basiskennis Beveiliging van Informatie
65
boord die als tijdelijk rekencentrum kan dienen. De mogelijkheden zijn natuurlijk beperkt, maar het is
een oplossing om de meest cruciale processen snel op te kunnen starten.
Testen BCP
Alles bij elkaar klinken al deze oplossingen, variërend van goedkoop tot duur, heel mooi. Een
geweldig BCP/DRP-team heeft alles goed doordacht, tientallen malen besproken en uiteindelijk de
goedkeuring gekregen van het senior management. Het plan gaat naar de drukker en alle managers
krijgen een mooi exemplaar. Dat exemplaar gaat ergens in een kast of lade, want een calamiteit? Dat
gebeurt in Amerika of in het Verre Oosten, maar hier? Nee toch?
En dat is nu net de reden waarom deze plannen regelmatig getest, geëvalueerd en bijgesteld moeten
worden. Organisaties veranderen, voorzieningen dus ook.
Omdat de kans klein is dat het plan nodig is, moeten we er vooral op voorbereid zijn. Zijn de
medewerkers niet getraind en wordt de ramp werkelijkheid, dan gaat een BCP ook niet werken.
Regelmatig testen is nodig om de bewustwording van de medewerkers van hoe te handelen bij een
calamiteit, te bevorderen.
Ten tweede moet iedere verandering van processen in het plan opgenomen worden. Een verouderd
plan helpt de organisatie niet op weg om weer operationeel te worden.
Testen kunnen we zo uitgebreid als we willen, van het brandalarm laten horen tot het opstarten van
een hot site of het terugzetten van een back-up. Waar het om gaat is dat de procedures in een
simulatie van de werkelijkheid worden uitgeprobeerd om te zien of ze juist zijn en bruikbaar.
Ook dit soort zaken dienen te worden geregeld.
Een bedrijf had een redundante site ingeregeld, helemaal goed. Bij een brand op de hoofdlocatie
bleek dat op de redundante site geen officieel briefpapier voorradig was. Er moest worden gewacht op
de leverancier van het papier voordat er weer gewerkt kon worden. Een ander voorbeeld is dat een
bedrijf tijdens een uitwijk wel bereikbaar moet kunnen zijn op het standaard telefoonnummer.
Personele maatregelen
Bij een calamiteit kan een personeelsprobleem ontstaan omdat het personeel dat het primaire proces
ondersteunt ook betrokken is bij de calamiteit en daardoor niet meer beschikbaar is. Dan moet
personeel kunnen worden vervangen.
9.4 Beheer van communicatie- en bedieningsprocessen
9.4.1 Bedieningsprocedures en verantwoordelijkheden
Om de automatisering van een organisatie goed in beheer en onder controle te houden is het
noodzakelijk procedures voor de bediening van de apparatuur vast te stellen, vast te leggen en
verantwoordelijkheden te beleggen. Een en ander kan verder worden uitgewerkt in werkinstructies
zoals hoe computers worden opgestart en afgesloten, het maken van back-ups, onderhoud,
postverwerking, etcetera. Een pc met Windows besturingssysteem wil nog wel eens
vergevingsgezind zijn als hij ‘hard’ uitgezet wordt, een Unix-machine denkt daar heel anders over.
Daarom zijn procedures voor het opnieuw starten na systeemstoringen erg belangrijk.
In een bedieningsprocedure staat in ieder geval:
De manier waarop met informatie wordt omgegaan;
Hoe, wanneer en welke soorten back-ups worden gemaakt;
Contactpersonen in geval van een incident;
Beheer van audit trails en logbestanden.
Basiskennis Beveiliging van Informatie
66
Het uiteindelijke doel van een bedieningsprocedure is dat er geen misverstand kan bestaan over de
wijze waarop apparatuur bediend moet worden. Het maakt niet uit of het over een lasrobot gaat, een
programma waarmee de energiecentrale wordt bestuurd of een boekhoudpakket.
De audit trail en systeemlogbestanden houden alle gebeurtenissen en handelingen op het systeem
en het netwerk bij. Deze bestanden worden opgeslagen op een beveiligde plaats en kunnen in
principe niet bewerkt worden. Mochten er problemen optreden dan zijn die bestanden vaak cruciaal
om te ontdekken wat er fout gegaan is. Denk aan de ‘black box’ in een vliegtuig, waaruit op te maken
is wat er de laatste minuten voor de crash gebeurde. Aan de hand van dit soort informatie zijn
maatregelen te treffen die er voor kunnen zorgen dat het incident zich niet herhaalt.
9.4.2 Wijzigingsbeheer
Het doorvoeren van een wijziging (change) kan leiden tot een catch 22 situatie. Zowel het doorvoeren
als het niet doorvoeren van de wijziging is een risico. Deze situatie ontstaat bijvoorbeeld in het geval
van een bekende kwetsbaarheid (vulnerability). Het niet installeren van de patch is een risico omdat
de kwetsbaarheid uitgebuit kan worden en voor verstoringen in de infrastructuur kan zorgen. Aan de
andere kant is het doorvoeren van de patch ook een risico omdat onvoorziene omstandigheden
(bijvoorbeeld door de samenhang van de systemen) tot verstoringen kunnen leiden. Dit voorbeeld
geeft ook de noodzaak aan om bij wijzigingen verschillende rollen te definiëren. Zo zal het potentiële
risico van het niet installeren van een security gerelateerde patch door de Information Security Officer
(ISO) bepaald worden terwijl het risico van de wijziging ingeschat zal moeten worden door
bijvoorbeeld de systeembeheerder.
Catch-22 is een term, afkomstig uit de roman Catch-22 van Joseph Heller, waarin een algemene
situatie wordt beschreven waarin een individu twee acties dient te verwezenlijken die wederzijds
afhankelijk zijn van de andere actie, welke als eerste dient te zijn voltooid.
Wanneer er wijzigingen in IT-voorzieningen en informatiesystemen plaats moeten vinden, dan
moeten deze vooraf goed worden overdacht worden en op een beheerste manier worden uitgevoerd.
In IT Service Management heet dit proces change management.
Change management beheert wijzigingen in systemen. Dit zijn vaak vooraf geplande wijzigingen.
Een kleine wijziging is bijvoorbeeld de aanpassing van een tabel. Een middelgrote wijziging is
bijvoorbeeld de overstap van Microsoft Office 2000 naar Microsoft Office 2003. Een wijziging heeft
gevolgen die vooraf bekend moeten zijn en voorbereid kunnen worden. Medewerkers moeten leren
met de nieuwe versie om te gaan. Standaardformulieren moeten aangepast worden. De
servicedeskmedewerkers moeten getraind zijn om ondersteuning te kunnen bieden.
Een grote wijziging kan de wijziging van een productiesysteem zijn en vraagt dus nog meer
vooruitzien en organiseren.
Er moeten alleen wijzigingen aan productiesystemen worden aangebracht wanneer er een gegronde
reden is om dit te doen, zoals een sterke toename van het risico voor het systeem. Het updaten van
systemen met de nieuwste versie van een besturingssysteem of toepassing is niet altijd in het
bedrijfsbelang, omdat hierdoor meer kwetsbaarheden en instabiliteit kunnen ontstaan. Het overgaan
van de ene naar de andere Office-versie, levert niet alleen voordelen op. Wanneer de klanten
allemaal nog met de 2003-versie werken, is het niet handig zelf met de 2007-versie te werken. Er
moet dan altijd tijd besteed worden aan het aanbieden van de bestanden in het juiste formaat. Weegt
deze investering op tegen de voordelen?
Het voorbeeld maakt ook duidelijk waarom functiescheiding van belang is. Als iedereen met een
belang een wijziging zou kunnen doorvoeren, ontstaat een onbeheersbare situatie waarin men van
elkaar niet weet wat er veranderd is en nog belangrijker, het zicht op wat eventueel teruggedraaid
moet worden is verdwenen.
Basiskennis Beveiliging van Informatie
67
9.4.3 Functiescheiding
Zie ook: Personeel
Taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kans op onbevoegde of
onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. (Zie
hiervoor ook de uitleg bij de begrippen integriteit en vertrouwelijkheid)
Bij functiescheiding wordt bekeken of een medewerker besluitvormende, uitvoerende of controlerende
taken heeft.
Enerzijds wordt gekeken of een medewerker toegang tot informatie nodig heeft. Onnodige toegang
vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd. Dit
heet het ‘need to know’ principe. De gemiddelde medewerker bij een beursgenoteerd bedrijf heeft
bijvoorbeeld geen toegang tot de bedrijfsgegevens die beursgevoelig zijn, zoals de verwachte winst-
en verliesgegevens en jaarcijfers. Dat zou handel met voorkennis kunnen opleveren en dat is wettelijk
verboden.
Een andere kant van functiescheiding is dat taken gesplitst kunnen worden om risico’s voor de
organisatie te verminderen. Voor kleine organisaties is functiescheiding wellicht moeilijk te realiseren,
maar het principe zou moeten worden toegepast voor zover dat mogelijk en praktisch is.
Een voorbeeld is het overmaken van grote bedragen. De ene medewerker maakt de overboeking
klaar, een andere medewerker autoriseert de boeking en verzendt deze. Er kan nog een derde
medewerker zijn die achteraf controleert of de transactie juist en rechtmatig is geweest.
9.4.4 Ontwikkeling, testen, acceptatie en productie
Om meer zekerheid te hebben dat wijzigingen niet zomaar doorgevoerd kunnen worden is het ook
aan te raden verschillende (fysieke) omgevingen in te richten voor ontwikkeling, testen, acceptatie en
productie (OTAP) van informatiesystemen zoals een website of een nieuwe applicatie.
Voor de ontwikkelingsfase gelden specifieke beveiligingseisen. De testomgeving is bedoeld om vast
te stellen of de ontwikkeling voldoet aan de eisen en de beveiligingseisen.
De acceptatieomgeving is de omgeving waarin eindgebruikers kunnen toetsen of het product voldoet
aan de gebruikerswensen. Na acceptatie kan een systeem volgens vaste procedures in productie
worden genomen. Tijdens de overgang van de bestaande software naar de nieuwe software moet
altijd een ‘fall-back’ scenario voorhanden zijn zodat het bij grote problemen mogelijk is terug te vallen
op de oude versie.
In het nieuws
Een NS-klant ontdekte dat iedereen die zijn lidnummer en achternaam
kende, toegang kon krijgen tot zijn persoonlijke gegevens Op de website was het namelijk mogelijk
om je aan te melden voor een nieuw online NS-account, zonder dat werd gecontroleerd of dat
account al bestond. Vervolgens kon een kwaadwillende zelf een nieuwe gebruikersnaam invoeren,
een nieuw wachtwoord en een nieuw mailadres. Naar dit nieuwe mailadres werd een link gemaild
waarop de nepklant kon klikken om zijn nieuwe account te activeren. Het oude account bleef nog
steeds in gebruik, maar via deze methode konden ook anderen toegang krijgen tot klantgegevens. Ze
konden zien waar hij woont, wat zijn telefoonnummer is en diensten aanvragen, zoals een OV-
Basiskennis Beveiliging van Informatie
68
chipkaart, een nieuw abonnement of een verhuizing.
De senior security consultant van een adviesbedrijf in toegangs- en identiteitsbeheer: "De fout is
behoorlijk elementair en was er met Tmap®
(een methodiek voor gestandaardiseerd testen) zo uit
gehaald. Dat dit niet is gebeurd, wijst op een slordig proces. Dat maakt de kans klein dat dit de enige
fout is. Het schrijven van software is nog steeds niet eenvoudig, en het schrijven van correcte en
veilige software is zelfs erg complex. Verder wordt er bij projecten in veel gevallen onvoldoende
aandacht gegeven aan de beveiliging. In sommige gevallen denkt men deze zelfs later nog te kunnen
toevoegen. Dit werkt principieel niet. Als je gegevens op een juiste manier wilt beveiligen dan moet je
daar - vanaf het opstellen van de functionele specificaties - de juiste aandacht aan geven. Beveiliging
kan nooit opgepakt worden als een project. Het is een kwaliteitskenmerk van een systeem.Je moet
niet alleen testen of een applicatie doet wat zij moet doen, maar ook of zij niet doet wat zij niet moet
doen."
Bron: www.computable.nl
9.4.5 Beheer van de dienstverlening door een derde partij
Niet alle activiteiten die voor een organisatie van belang zijn worden door de organisatie zelf
uitgevoerd. Zodra iets door een andere partij wordt uitgevoerd is het van belang vast te stellen welke
eisen aan die partij gesteld worden. Zo zal niet iedereen vertrouwen op de handige buurman voor het
invullen van de belastingformulieren maar de hulp inroepen van een belastingadviseur. U gaat er
vanuit dat de belastingadviseur uw informatie vertrouwelijk zal behandelen en bij een erkend adviseur
ligt dit vast in een beroepscode.
Wanneer een bedrijf er voor kiest (een deel van) zijn automatisering uit te besteden, dan moeten er
goede overeenkomsten met de dienstverlenende partij worden afgesloten waarin het
beveiligingsaspect nadrukkelijk de aandacht krijgt.
In het nieuws
Een derde van de IT professionals misbruikt administrator-wachtwoorden om
vertrouwelijke informatie te vinden. Onderzoek onder 300 IT'ers wijst uit dat 33% stiekem grasduint in
de gegevens van anderen, terwijl 47% weleens informatie bekijkt die niet voor hun werk relevant is.
"Het enige dat je nodig hebt is de juiste wachtwoorden of accounts met voldoende rechten en je weet
alles wat er binnen het bedrijf speelt," zegt Mark Fullbrook van Cyber-Ark. Administrator-
wachtwoorden blijken veel minder vaak gewijzigd te worden dan met de wachtwoorden van
gebruikers het geval is. Dertig procent wordt elk kwartaal gewijzigd, terwijl 9% onveranderd blijft.
Zodoende kan vertrokken personeel nog altijd toegang tot vertrouwelijke informatie krijgen. Verder
heeft de helft van de systeembeheerders geen autorisatie nodig om toegang tot accounts met
bepaalde rechten te krijgen.
Het onderzoek toonde ook aan dat er nog veel werk te verrichten is wat betreft de opslag van
wachtwoorden. Zo bewaart 57% van de bedrijven de wachtwoorden handmatig, zet 18% ze in een
Excel spreadsheet en probeert 82% van de IT professionals ze uit het hoofd te onthouden.
Basiskennis Beveiliging van Informatie
69
Bron: www.security.nl
Gebruikelijk is om een zogenaamde Service Level Agreement (SLA) af te sluiten waarin de beide
partijen beschrijven welke service onder welke omstandigheden verwacht wordt. Het nakomen van
deze afspraken wordt regelmatig gecontroleerd in een audit.
9.4.6 Bescherming tegen malware, phishing en spam
Malware is een samentrekking van de woorden Malicious (Engels voor kwaadaardig) en Software en
vormt een verzamelnaam voor ongewenste software zoals virussen, wormen en spyware. Een
standaardmaatregel hiertegen is het gebruik van antivirusscanners en een firewall. In toenemende
mate blijkt echter dat alleen een virusscanner niet voldoende is om malware buiten de deur te
houden. Menselijk handelen staat nog steeds hoog op de lijst van oorzaken van virusuitbraken. Vaak
ontstaat een virusinfectie doordat een gebruiker een bijlage (attachment) in een e-mail opent waarna
blijkt dat deze niet alleen het beloofde spelletje, document, of plaatje bevat maar ook een virus. Het is
dan ook niet aan te raden verdachte e-mails of e-mails van een onbekende afzender te openen.
Phishing is een vorm van internetfraude. Meestal ontvangt het slachtoffer een mail waarin hem of
haar gevraagd wordt een account bij bijvoorbeeld een bank of een service provider te checken en te
bevestigen. Ook wordt er wel gebruik gemaakt van instant messaging. Soms wordt telefonisch
contact opgenomen. De daders van phishing zijn moeilijk te achterhalen. Internetters moeten vooral
zelf alert zijn en nooit ingaan op een mailverzoek waarin gevraagd wordt geld over te maken of
persoonlijke (financiële) gegevens te geven, zoals bankrekeningnummer, pincode,
burgerservicenummer (BSN) of creditcardgegevens.
In de praktijk
Geachte Planet Webmail abonnee,
We zijn op dit moment voert onderhoudswerkzaamheden aan uw Planet.nl account. Om dit proces te
voltooien moet je antwoord op dit bericht en geef uw huidige gebruikersnaam hier ( ) en wachtwoord
hier ( ) als u de rechtmatige eigenaar van deze account. Onze Message Center zal bevestigen van
uw identiteit met inbegrip van uw geheime vraag en het antwoord onmiddellijk.
De nieuwe Planet.nl Webmail is een snelle en lichte appliction om snel en eenvoudig toegang tot uw
e-mail. Ook dit proces zal ons helpen bij het bestrijden van spam mails. Niet-top van uw wachtwoord,
maakt uw e-mailadres in-actief uit onze database.
U kunt ook de bevestiging van uw e-mailadres door u aan te melden bij uw account op Planet.nl
Webmail: https: / / webmail.planet.nl
OPMERKING: U stuurt een wachtwoord reset messenge in de komende zeven (7) werkdagen na
onder gaan dit proces om veiligheidsredenen.
Dank u voor het gebruik van Planet.nl Webmail!
https: / / webmail.planet.nl
(Noot van de redactie: merk het taalgebruik op!)
In het nieuws
Basiskennis Beveiliging van Informatie
70
Vorige week is een aanval op Nederlandse belastingbetalers ontdekt die niet alleen
bankgegevens, maar ook creditcardgegevens, Sofi-nummer en pincode probeerde te stelen. De
aanval, mogelijk het werk van een Nederlandse virusschrijver die eerder via MSN toesloeg, bestond
uit twee delen, waarbij malware de startpagina van het slachtoffer wijzigde. Die pagina linkte weer
door naar een gehackt .nl domein, volgens de cache van Google het domein tt-ribbons.nl.
Op deze pagina stond de volgende tekst: "Momenteel is google.nl doorverwezen naar de
belastingdienst services in samenwerking met google.nl en uw ISP. U bent verplicht om de gevraagde
gegevens in te voeren. Uw voordeel is dat u de komende jaren geen aangiftes moet toezenden omdat
dit geautomatiseerd wordt door de nieuwe systeem van de belastingdienst. Het is belangrijk dat u de
volgende producten onder de hand hebt: identiteitskaart, pinpas (van de bankaccount waarop uw
salaris wordt gestort) en kredietkaart. Dit geldt alleen voor de persoon in een gezin / relatie met de
hoogste inkomen."
Verder werden slachtoffers nog gedreigd: "Uw IP-adres wordt opgeslagen in de database van de
belastingdienst," waarbij de site daadwerkelijk het IP-adres van de bezoeker toonde. Om het geheel
legitiem te laten lijken was er ook nog een "Hacker Proof" certificaat en Microsoft Certified
Professional logo geplaatst.
Bron: www.security.nl
In het nieuws
Cijfers over Nederlandse slachtoffers van identiteitsfraude en diefstal zijn nog altijd onbekend, maar
daar wil de Stichting Aanpak Financieel-Economische Criminaliteit in Nederland (SAFECIN)
verandering in brengen. Het is een proefproject gestart dat moet leiden naar een eerste analyse van
ervaringen van burgers die te maken hebben (gehad) met misbruik van hen identificerende gegevens.
Dit project, dat loopt tot 15 augustus, wordt ondersteund door de werkgroep fraude met
identificerende gegevens van het Nationaal Platform Criminaliteitsbeheersing.
Op de site identiteitsfraude.nl kan iedereen die met misbruik of diefstal van identificerende gegevens
te maken heeft gehad zijn verhaal doen. Het gaat onder andere om misbruik van fysieke, papieren
documenten, maar ook aan meldingen met betrekking tot phishing technieken via elektronische
communicatiemiddelen.
De onderzoekers zijn vooral geïnteresseerd in het traject waarin burgers terecht kunnen komen indien
duidelijk is geworden dat zij het slachtoffer zijn geworden van misbruik, zoals de constatering van een
debiteurenstand bij Bureau Krediet Registratie te Tiel, het ontvangen van aanschrijvingen van
incassobureaus en het ervaren van bezoeken van gerechtsdeurwaarders. Burgers die zich
aanmelden en die nog steeds problemen ondervinden kunnen op hulp rekenen. De eerste 50 melders
met een duidelijk verhaal krijgen een shredder cadeau.
Bron: www.security.nl
Spam is een verzamelnaam voor ongewenste berichten. Meestal wordt met de term ongewenste mail
bedoeld, maar ook ongewenste reclameboodschappen op websites (oa. fora) vallen onder spam. De
kosten worden evenwel verplaatst naar de ontvangers: tegenover een kleine groep geïnteresseerden
staan zeer veel mensen die tijd kwijt zijn met het verwijderen van berichten uit hun mailbox.
Basiskennis Beveiliging van Informatie
71
Ook voor spam geldt dat een spamfilter de last iets verlicht. Spamberichten nooit beantwoorden of
doorsturen en terughoudend zijn in het verspreiden van e-mailadressen (gebruik de BCC functie) is
wat we zelf kunnen doen.
In het nieuws
Verreweg het grootste deel van alle verzonden e-mails bestond in 2007 uit
spam. Volgens CleanPort, dat het spampercentage in Nederland meet, was 96% van de e-mails
ongewenste reclame.
Bij het versturen van de berichten gingen spammers vaak in op actuele gebeurtenissen. ‘Ze hopen
dat ontvangers het bericht daardoor gemakkelijker openen', aldus CleanPort. De aanslag op de
Iraanse politica Benazir Buttho van vorige maand zou bijvoorbeeld een toename in het aantal
spammails verzoorzaakt hebben.
Uit de metingen blijkt bovendien dat spam in 2007 veel verstuurd werd in een e-mailbijlage. Op die
manier kunnen spamfilters omzeild worden. Slechts 0,2% van de e-mails bevatte virussen. Dat zou
komen doordat virusmakers zich in 2007 meer richtten op internet.
Bron: www.computable.nl
Malware, phishing en spam zijn belangrijke onderwerpen in de gedragscode en een
bewustwordingscampagne voor de medewerkers.
In het nieuws
Miljoenen Nederlanders bankieren via internet. Het is gemakkelijk en vooral ook veilig. Maar er is
natuurlijk ook een keerzijde. Criminelen zullen altijd proberen om via internet fraude te plegen.
Internetbankieren heeft de afgelopen jaren een enorme vlucht genomen. Uit onderzoek van de
Nederlandse Vereniging van Banken (NVB) blijkt dat 98% van de internetbankierders bankieren via
internet veilig vindt. Toch blijkt ook dat 20% nog steeds te weinig maatregelen treft. De banken zijn
dagelijks bezig om de veiligheid optimaal te houden, maar er ligt ook een verantwoordelijkheid bij de
consumenten.
Vandaar de campagne 3x kloppen:
1. Klopt uw pc-beveiliging?
2. Klopt de website van uw bank?
3. Klopt uw betaling?
Oplettendheid kan veel schade voorkomen.
Bron: www.3xkloppen.nl en www.veiligbankieren.nl
Basiskennis Beveiliging van Informatie
72
9.4.6.1 Enkele definities:
a) Virus
Definitie:
Een virus is een stukje programmatuur dat zichzelf doelbewust, in al dan niet gewijzigde vorm, kan
vermenigvuldigen. De nakomelingen van het virus moeten volgens deze definitie zelf ook weer
virussen zijn. Voor de verspreiding is het virus afhankelijk van dragers die uitvoerbare code bevatten.
Toelichting:
Zodra de drager geactiveerd wordt gaat het virus op zoek naar geschikte nieuwe dragers en tracht
deze te infecteren. Het virus kan zich alleen tot buiten het bereik van het geinfecteerde systeem
verspreiden als een gebruiker van een dergelijk systeem bestanden overzet naar een ander systeem.
Dragers waren traditioneel alleen programma's, maar tegenwoordig zijn ook documenten mogelijke
gastheren voor een virus, aangezien deze steeds vaker worden voorzien van uitvoerbare code, zoals
macro's, VBScript, of ActiveX. In verreweg de meeste gevallen zijn virussen voorzien van een bagage
die alle taken, anders dan die benodigd voor replicatie, herbergt. Deze zogenaamde "payload" is
meestal, maar niet per definitie, destructief van aard.
Voorbeelden:
Brain
Chernobyl
Maatregelen:
Zorg voor het gebruik van een virusscan oplossing op de werkplek, voor de mailserver.
Zorg ervoor dat het onderwerp virus behandeld wordt in een bewustwordingscampagne
Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie
b) Worm
Definitie:
Een worm is een stukje programmatuur dat zichzelf doelbewust vermenigvuldigd. De nakomelingen
van de worm zijn copieen van het origineel en verspreiden zich door gebruik te maken van de
netwerkfaciliteiten van zijn gastheer.
Toelichting:
Hoewel het grensgebied tussen virussen en wormen steeds meer vervaagd zijn er nog wel enige
kenmerken die duidelijk verschillen. Een virus kan via verschillende dragers zijn gastheer aanvallen
en infecteert nieuwe dragers door daadwerkelijk code in die geinfecteerde dragers te plaatsen. Een
worm daarentegen maakt altijd gebruik van dezelfde drager en infecteert geen andere bestanden.
Bovendien is een worm niet afhankelijk van een gebruiker om zichzelf fysiek te kunnen verspreiden:
zodra een worm geactiveerd wordt is deze geheel autonoom in staat zichzelf te verspreiden. Hierdoor
kunnen wormen in vaak zeer korte tijd grote gebieden te besmetten.
De twee belangrijkste overeenkomsten zijn de afhankelijkheid van uitvoerbare code in de drager en
het gebruik van een payload om secundaire, meestal destructieve, taken uit te voeren.
Voorbeelden:
Melissa
I love you
Happy99
Blaster
Storm Worm
Maatregelen:
Basiskennis Beveiliging van Informatie
73
Zorg voor het gebruik van een (virus)scan oplossing op de werkplek, voor de mailserver.
Wormen kunnen ook ontdekt worden in het netwerk, hiervoor zijn bepaalde netwerkmonitor tools
geschikt.
Zorg ervoor dat het onderwerp worm behandeld wordt in een bewustwordingscampagne
Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie
Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures
c) Trojan
Definitie:
Een trojan is een programma, dat naast de voorgespiegelde functionaliteit, ongemerkt en bewust niet
aan de gebruiker kenbaar gemaakte activiteit ontplooit die mogelijk de integriteit van het
geinfecteerde systeem aantast.
Toelichting:
Net als het echte paard van Troje doet een trojan zich voor als een verdienstelijk object, maar indien
de gebruiker de trojan activeert ontplooit deze op de achtergrond allerlei ongewenste activiteiten.
Vaak installeert de payload van een trojan een zogebaamde "backdoor", waarmee onbekenden zich
(zonder daartoe gerechtigd te zijn) toegang tot het geinfecteerde systeem kunnen verschaffen. Een
andere veel voorkomende activiteit van trojans bestaat uit het versturen van vertrouwelijke informatie
vanaf het geinfecteerde syteem naar een locatie waar deze verzameld en geanalyseerd kan worden.
Het meest in het oog springende verschil met virussen en wormen is het ontbreken van zelf-replicatie
bij trojans, hierdoor zijn trojans vaak in staat langer onopgemerkt hun werk te blijven doen.
Voorbeelden:
BackOrrifice
Netbus
Maatregelen:
Zorg voor het gebruik van een trojan en/of virusscan oplossing op de werkplek, voor de mailserver.
Zorg ervoor dat het onderwerp trojan behandeld wordt in een bewustwordingscampagne,
medewerkers moeten bewust worden van het openen van bijvoorbeeld bijlagen uit verdachte e-mails.
Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie
De gevolgen van trojans (communicatie) kunnen ook ontdekt worden in het netwerk door
netwerkbeheerders, hiervoor zijn bepaalde netwerkmonitor tools geschikt.
Een andere maatregel is het gebruik van een personal firewall op de werkplek zelf om verdacht
netwerkverkeer te detecteren.
Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures
d) Hoax
Definitie:
Een hoax is een bericht dat probeert de lezer ervan zover te krijgen dat hij de inhoud van het bericht
voor waar aanneemt en vervolgens een bepaalde handeling verricht. Voor z'n verspreiding is een
hoax afhankelijk van het bewust versturen naar andere potentiele slachtoffers door degene die
ertussen genomen wordt.
Basiskennis Beveiliging van Informatie
74
Toelichting:
De payload van een hoax is geen technische, maar een psychologische. Door op het gevoel in te
spelen tracht de opsteller van de hoax de lezer zover te krijgen dat hij het bericht naar anderen
doorstuurt (een vorm van social engineering). Dit is vrijwel altijd het belangrijkste doel van een hoax,
maar soms wordt ook getracht de lezer over te halen tot het storten van geld of iets dergelijks.
Kettingbrieven vormen de meest bekende en succesvolle vorm van hoaxes.
Voorbeelden:
Good times
Pen Pal
Maatregelen:
Zorg voor het gebruik van een virusscan oplossing op de werkplek, en een antispam oplossing voor
de mailserver. Een Hoax bevat vaak teksten die door scanners herkend kunnen worden.
Zorg ervoor dat het onderwerp Hoax behandeld wordt in een bewustwordingscampagne,
medewerkers moeten bewust worden vreemde vragen in e-mails, met name die aanzetten tot acties
als bijvoorbeeld doorzenden van de Hoax.
Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie
Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures
e) Logic Bomb
Definitie:
Bij de logic bomb wordt een stuk code in een softwaresysteem gebouwd die een functie uitvoert
wanneer er aan specifieke voorwaarden wordt voldaan. Dit wordt niet altijd gebruikt voor
kwaadaardige doeleinden. Zo kan een programmeur code inbouwen die (gevoelige) bestanden
verwijderd wanneer ze het bedrijfsnetwerk verlaten. Virussen en wormen bevatten vaak logic bombs,
daarbij is er meestal sprake van een ingebouwde vertraging van de uitvoering van het virus of de
verspreiding van de worm
Maatregelen:
Maak bij belangrijke software voor kritische bedrijfssoftware gebruik van bijvoorbeeld een code review
door een andere partij.
f) Spyware
Definitie:
Deze omschrijving wordt gebruikt voor computerprogramma’s die informatie verzamelen over een
computergebruiker en deze info doorsturen naar een externe partij. Het doel daarvan is om geld te
verdienen. Hier gaat het dus nadrukkelijk niet om software die schade aan de PC en/of de
geïnstalleerde software veroorzaakt, maar om een privacyprobleem.
Spyware is soms op een aantal mogelijke manieren te herkennen, bijvoorbeeld:
De computer is trager dan anders
Er draaien programma’s op de computer die je niet zelf gestart hebt of niet eerder gezien
Er zijn settings op de computer aangepast en er draaid bijvoorbeeld een toolbar (werkbalk) in
de Internet Explorer die er eerst niet was, en deze toolbar is ook niet te verwijderen.
Er verschijnen bij het openen van webpagina’s en op willekeurige momenten allerlei pop-up
schermen
Basiskennis Beveiliging van Informatie
75
Maatregelen:
Er zijn scanners die het register scannen naar verdachte registersleutels en de op de werkplek
geinstalleerde software naar aanwijzigingen voor spyware. Soms kunnen anti-virus programma’s ook
spyware herkennen.
Een andere maatregel is het gebruik van een personal firewall om verdacht netwerkverkeer te
detecteren.
Zorg ervoor dat het onderwerp spyware behandeld wordt in een bewustwordingscampagne,
medewerkers moeten bewust worden vreemde vragen in e-mails, met name die aanzetten tot acties
als bijvoorbeeld doorzenden van de Hoax.
Zorg ervoor dat dit onderwerp benoemd wordt in het informatiebeveiligingsbeleid van de organisatie
Zorg voor goede meldmogelijkheden van incidenten en follow-up procedures
g) Botnets / Stormworm
Sinds januari 2007 wordt het internet geteisterd door de Storm worm, een zogenaamde botnet die
volgens verschillende schattingen tussen de 1 en 50 miljoen computers heeft Geïnfecteerd. Er wordt
een vergelijking gemaakt met het Trojaanse paard, waarvan de symptomen eerst nauwelijks
zichtbaar zijn, maar wanneer onbehandeld, zeer ernstige gevolgen kan hebben. Storm worm is dan
ook de toekomst van malware.
Het is geduldig, en daardoor moeilijk te detecteren en analyseren. Het werkt als een mierenkolonie,
waardoor er geen centrale command en control server is, maar een netwerkverbinding tussen
duizenden besmette Pc’s wordt opzet. Hierdoor hebben gedesinfecteerde machines geen gevolgen
voor het botnet. Storm worm veroorzaakt verder geen schade of belasting van de host, zodat
gebruikers niet weten dat ze geïnfecteerd zijn.
Het aantal e-mails met links naar virtuele postkaarten of YouTube-films met een poging om de
StormWorm te verspreiden, neemt in hoog tempo toe.
Op 15 augustus 2007 was er zelfs een heuse 'pandemie' toen 600.000 e-mails in amper 24 uur
werden verstuurd. Op die manier ontwikkelt zich het StormWorm-botnet dat onderhand op 1,8 miljoen
besmette computers over de hele wereld wordt geschat.
Hoewel de berichttekst en titel van een lokbericht voor de StormWorm continu veranderen, bevat de
e-mail steeds een eenvoudig tekstje of HTML-codering met een link naar een IP-adres. Dat IP-adres
verwijst naar een andere besmette machine binnen het botnet die de gebruiker onmiddellijk naar een
server brengt in een poging om het slachtoffer met een kopie van de Trojaanse StormWorm te
besmetten.
De reden dat StormWorm zo'n succes is: de servers die StormWorm verspreiden hercoderen het
virusbericht om de dertig minuten, zodat het virus moeilijk door de traditionele anti-virusprogramma's
kan worden opgespoord.
Dan zou je zeggen: neem die server dan uit de lucht. Immers, elke computer aan het internet heeft
toch een IP-nummer en is snel te traceren. Dat is waar, maar de boeven zijn nog sneller: net als bij
andere botnets wordt de locatie van de computers waarmee het botnet bediend wordt, beschermd
achter een snel wijzigende vorm van adressering met de IP-nummers (voor de kenners: de DNS-
techniek 'fast flow'). Het gevolg is dat de hosting sites - waar de StormWorm gereed staat - en
mailservers - die de lokberichten versturen - moeilijk opgespoord en uitgeschakeld kunnen worden.
Als gevolg van de recente StormWorm-activiteiten is het aantal e-mails met een link naar de besmette
code in augustus fors gestegen tot 19,5 procent. Dat vertegenwoordigt een toename van maar liefst
19 procent in vergelijking met de cijfers van juli toen het nog om 0,5 procent 'vuile' e-mail ging.
Verdere analyses van webtrends tonen aan dat het aantal nieuwe verdachte websites dag na dag
Basiskennis Beveiliging van Informatie
76
razendsnel toeneemt. In augustus 2007 werden er elke dag gemiddeld 1.772 nieuwe besmette
websites opgespoord en geblokkeerd. In vergelijking met juli maakt dat een dagelijkse toename van
783 websites.
h) Rootkit
Een rootkit is een set softwaretools die vaak worden gebruikt door een derde partij (meestal een
hacker) na toegang te hebben verkregen tot een (computer-) systeem. De rootkit nestelt zich diep in
het besturingssysteem, zodat het mogelijk is dat het besturingssysteem instabiel wordt. De rootkit is
bijna niet te verwijderen zonder de functie van het besturingssysteem te beschadigen.
Grosso modo kunnen rootkits op twee niveaus werken: kernelniveau en gebruikersniveau. Moderne
processoren kunnen namelijk programma's in kernelmodus en in gebruikersmodus afhandelen en het
onderscheid is wezenlijk: programma's in kernelmodus hebben toegang tot het gehele
geheugengebied; toepassingen in gebruikersmodus krijgen specifieke geheugensegmenten
toegewezen. Rootkits met kernelstrategieën kunnen dus in het werkgeheugen ongeveer doen wat ze
willen. Deze tools hebben de bedoeling om lopende processen, systeem data of bestanden te lezen,
wijzigen of beïnvloeden. Een rootkit helpt de indringer toegang te houden tot het systeem, zonder dat
de gebruiker hier iets van merkt.
Rootkits bestaan voor allerlei besturingssystemen zoals Linux, Solaris, Mac OS en versies van
Windows.
Rootkits werden bekender in het najaar van 2005, toen ontdekt werd dat platenmaatschappij
Sony/BMG rootkits installeerde via hun muziek cd's, om zo een kopieerbeveiliging te installeren.
Eind Augustus 2007 kwamen weer rootkits voor in Sony's producten. Deze keer ging het om
memorysticks met beveiliging, er werd een rootkit gebruikt om zo betere beveiliging te bieden, helaas
werd er onvoldoende gekeken naar verdere implicaties bij het toepassen van deze omstreden
beveiliging.
De beveiliging zou overigens niet door Sony zelf ontwikkeld zijn, maar door het Taiwanese FineArt
Technology.
Rootkits zijn zeer moeilijk te detecteren, en infecteren het systeem vaak zonder dat de gebruiker dat
beseft. Het enige doel van een rootkit is bestanden, netwerkverbindingen, geheugen-adressen en
register-ingangen aanmaken en verbergen. Zelfs wanneer de rootkit verwijderd wordt, blijven de
wijzigingen door de rootkit aan het systeem gemaakt ongewijzigd en meestal niet - detecteerbaar.
M.a.w.: de enige wijze om er geheel zeker van te zijn dat een rootkit verwijderd is, is door het hele
systeem opnieuw te formatteren en herinstalleren. Zeer moderne (eind 2006) anti-malware software
is tegenwoordig in staat om ook actieve rootkits te detecteren en verwijderen.
De benaming rootkit komt uit het UNIX-milieu: met root werd de zgn superuser uit een UNIX-familie
aangeduid. In de jaren '80 slaagden hackers erin UNIX-systemen te infiltreren en een achterdeurtje te
installeren, die hen toeliet telkens opnieuw met root-rechten de machine over te nemen.
9.4.7 Back-up en restore
Het doel van het maken van back-ups of wel reservekopieën is het handhaven van de integriteit en
beschikbaarheid van informatie en IT-voorzieningen.
Een van de meest vervelende ervaringen met computersystemen is het verliezen van informatie. Om
verloren informatie weer te kunnen herstellen is het noodzakelijk een kopie van de originele informatie
te hebben, de back-up. Vaak wordt het maken van een back-up gezien als een preventieve
maatregel. Het is echter goed om te beseffen dat een back-up eigenlijk een repressieve maatregel is.
De gevolgen van het verliezen van informatie worden beperkt door oudere informatie terug te halen.
Het is dan ook noodzakelijk om na te denken over het interval waarmee back-ups gemaakt worden.
Basiskennis Beveiliging van Informatie
77
Hoeveel tijd kunnen we ons permitteren om verloren informatie opnieuw te genereren. En de back-up
moet regelmatig getest worden.
Naast het daadwerkelijk maken en testen van back-ups is het nodig na te denken over hoe met de
back-ups wordt omgegaan. Wordt de back-up vanuit een streng beveiligd gebouw meegenomen en in
een niet-afgesloten kast neergelegd? Of liggen de back-ups naast de server met de originele data?
Gaan de back-ups naar een derde partij en zijn de gegevens dan wel versleuteld? Hoe lang worden
back-ups bewaard, voldoet dit aan de wettelijke bewaartermijnen?
9.4.8 Beheer van netwerkbeveiliging
Een grote uitdaging in de informatiebeveiliging is dat delen van het netwerk de grens van de eigen
organisatie kunnen overschrijden.
In het nieuws
De beveiliging van draadloze privénetwerken in Nederland laat sterk te wensen over, want bijna de
helft van de onderzochte netwerken gebruikt geen of de eenvoudig te kraken WEP-encryptie. Tijdens
de wardrive die Dimension Data uitvoerde werden in totaal 884 draadloze netwerken gescand.
Daarbij keek men ook naar de beveiliging van privénetwerken. Maar liefst 18 procent van de
draadloze privénetwerken is helemaal niet beveiligd en 28 procent gebruikt WEP (Wired Equivalent
Privacy), dat binnen 2 minuten te kraken is. De overige 54% is voorzien van WPA- of WPA2 (WiFi-
Protected Access).
"Hoe veilig je ook denkt dat jouw gegevens zijn als je thuis op de pc aan het werken bent, als je
gebruikmaakt van een slecht beveiligd draadloos netwerk, lopen alle privégegevens die je op de
computer bewaart, gevaar. Hackers kunnen inbreken op het draadloze netwerk en zo alle informatie
die op je laptop of pc staat, bekijken. Zo vallen privégegevens als bankrekeningnummers, adressen
en foto’s makkelijk in verkeerde handen," zegt een manager van Dimension Data.
Bron: www.security.nl
Intranet - een intranet is een privaat netwerk binnen een organisatie. Voor de gebruiker is het net een
private versie van Internet. Het primaire doel van een intranet is het elektronisch delen van informatie
binnen een organisatie met eenzelfde look-and-feel als het bekende internet. Tevens kan het gebruikt
worden voor teleconferenties en om het elektronisch samenwerken in groepen te faciliteren en
stimuleren. Het is mogelijk voor een organisatie om via een publiek netwerk, zoals het Internet,
afzonderlijke delen van het intranet aan elkaar te koppelen Door middel van speciale
encryptie/decryptie methoden en andere aanvullende veiligheidsmaatregelen wordt de
betrouwbaarheid van de overdracht verzekerd. Wanneer een organisatie een gedeelte van haar
intranet toegankelijk maakt voor klanten, partners, leveranciers of anderen buiten de organisatie
noemt men dat gedeelte een extranet.
Extranet - Een extranet is een type computernetwerk binnen een organisatie. Het extranet is verwant
aan het intranet. Het doel van een extranet is het beveiligd beschikbaar stellen van bedrijfsinformatie
en gegevens aan klanten, partners en leveranciers buiten de organisatie. Bijvoorbeeld: een bedrijf
staat klanten toe, via het extranet, rechtstreeks op het bedrijfsnetwerk bestellingen te plaatsen. Een
extranet vereist beveiliging en privacy. Hieronder wordt verstaan:
het gebruik van een firewall-server;
het uitgeven van digitale certificaten of andere methoden van gebruikers authenticatie;
encryptie van het verkeer;
het gebruik van VPN's (Virtual Private Networks) die over het internet communiceren.
Basiskennis Beveiliging van Informatie
78
VPN - een Virtual Private Network (VPN) maakt gebruik van een reeds bestaand netwerk, doorgaans
het internet, om informatiedeling tussen geografisch afgescheiden netwerken mogelijk te maken alsof
er een 'eigen' (bedrijfs)netwerk voorzien was. De verzonden data kan goed beveiligd worden
waardoor de integriteit, autorisatie en authenticiteit bij het verzenden van de data gewaarborgd blijft.
Technisch zijn er tal van protocollen uitgewerkt die deze dienst beschikbaar maken, het bekendste en
meest courante protocol vandaag de dag is IPsec.
In het nieuws
Een Australische beveiligingsonderzoeker heeft een ernstig beveiligingslek in een
koffiezetapparaat ontdekt, waardoor een aanvaller de smaak en hoeveelheid water per beker kan
wijzigen. Ook is het mogelijk om een Denial of Coffee te veroorzaken, zodat een monteur langs moet
komen om de machine te repareren. De ernst van het lek wordt vergroot doordat het
koffiezetapparaat niet te patchen is. Het probleem ontstaat doordat het apparaat is uit te rusten met
een Internet Connection Kit.
Via deze kit, te installeren op Windows XP, kan het koffiezetapparaat via de PC met het internet
communiceren. Zo kan een gebruiker parameters downloaden om de espresso machine naar eigen
smaak te configureren. In het geval van problemen kan een monteur op afstand diagnostische tests
uitvoeren en een oplossing geven zonder dat de gebruiker de keuken uit hoeft.
Onderzoeker ontdekte een manier om het XP systeem dat de software draait op afstand is over te
nemen met de rechten van de ingelogde gebruiker. Voor zover bekend zijn er nog geen exploits in het
wild verschenen.
Bron: www.security.nl
9.4.9 Behandeling van media
Onder media wordt alles verstaan waar gegevens op vastgelegd kunnen worden: papier, cd’s, dvd’s,
USB-sticks, harde schijven, back-uptapes, blackberries, mobiele telefoons, enzovoort.
Het doel van richtlijnen voor het omgaan met media is dat we voorkomen dat waardevolle informatie
in verkeerde handen komt met als mogelijke gevolgen: onbevoegde openbaarmaking, wijziging,
verwijdering of vernietiging van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten.
De wijze waarop met de media moet worden omgegaan is vaak gekoppeld aan de classificering of
rubricering en ligt vast in procedures. Dossiers met gevoelige informatie gaan na de bewaartermijn in
de papierversnipperaar of worden vernietigd door een erkend bedrijf. USB-sticks worden
leeggemaakt. Een afgeschreven pc wordt niet bij het grof vuil gezet.
In de praktijk
We dachten dat een cd-rom onbeperkt houdbaar zou zijn. In werkelijkheid blijkt een groot deel van
de zelfgebrande cd’s na twee tot vijf jaar zodanig aan kwaliteit verloren te hebben, dat de meeste
data onbruikbaar zijn.
Enkele aandachtspunten:
Basiskennis Beveiliging van Informatie
79
Media moeten op een beveiligde manier worden verwijderd als ze niet langer nodig zijn;
Systeemdocumentatie en handleidingen liggen op een beveiligde plaats en worden regelmatig
bijgewerkt;
Transport van media, die uiteraard goed zijn verpakt, wordt door een erkende koeriersdienst gedaan,
die ook let op de juiste fysieke omstandigheden (vocht, temperatuur, elektromagnetische straling).
In het nieuws
Een ziekenhuis in de Amerikaanse staat Utah is een back-up tape met de gegevens
van tenminste 2,2 miljoen patiënten verloren. De gegevens betreffen iedereen die de afgelopen 16
jaar in het ziekenhuis is geholpen. Het gaat onder andere om diagnostische gegevens, namen,
demografische informatie en andere gegevens.
Een transportbedrijf moest de tapes vervoeren, maar een werknemer besloot de tapes in zijn eigen
auto mee naar huis te nemen. Daar werden ze uiteindelijk gestolen, waarschijnlijk door een dief die
dacht dat het om een geldkoffer ging. De werknemer, die al 18 jaar voor het bedrijf werkte, is
inmiddels ontslagen.
Bron: www.security.nl
9.4.10 Mobiele apparatuur
We gebruiken vaker mobiele apparatuur, die ook steeds meer kan. Het is raadzaam om hiervoor
regels op te stellen. Bedenk dat verlies van mobiele apparatuur vaak meer is dan alleen de hardware,
er staan ook software en gegevens op mobiele apparatuur. Er komen veel incidenten voor met
mobiele apparaten. Laptops worden gestolen vanaf de achterbank van een auto maar ook uit de
kofferruimte. Handbagage is vaak duidelijk zichtbaar als laptopdraagtas en dit maakt het dieven
gemakkelijk. Deze schade is moeilijk te verzekeren. Laat mobiele apparatuur indien mogelijk in het
bedrijf of zorg voor passende opbergmiddelen voor onderweg, gecombineerd met een verzekering.
Procedures voor het omgaan met informatie
Er moeten procedures zijn voor de opslag van en het omgaan met informatie, om deze te
beschermen tegen onbevoegde openbaarmaking of misbruik. De beste methode hiervoor is
classificering of rubricering.
Een dergelijke regeling die bijvoorbeeld voor de Nederlandse Rijksdienst onder de naam Voorschrift
Informatiebeveiliging Rijksdienst, Bijzondere Informatie (VIR-BI) van kracht is zal de volgende
onderwerpen moeten dekken:
De positie ten opzichte van het algemene beveiligingsbeleid van de organisatie;
Hoe, wanneer en onder welke voorwaarden mag geclassificeerde informatie buiten de
organisatie gebracht worden;
Welke classificaties of rubriceringen zijn er;
Welke merkingen kunnen in aanvulling op de rubricering gebruikt worden;
Hoe lang is een rubricering geldig;
Wie mag een rubricering toekennen;
Onder welke voorwaarden en door wie kan een rubricering herzien en/of beëindigd worden;
Basiskennis Beveiliging van Informatie
80
De vertrouwelijkheidseisen aan de hand waarvan het rubriceringsniveau bepaald wordt;
Welke beveiligingsmaatregelen moeten er genomen worden om de bescherming van de
vertrouwelijkheid te waarborgen.
In de praktijk
Een jaarlijks terugkerende vraag is: hoeveel dagen voor Prinsjesdag ligt de
Miljoenennota op straat? Dit document dat de financiële huishouding van de Staat der Nederlanden
voor het komende jaar omvat, is te vergelijken met een jaarrekening van een bedrijf. Het te vroeg
bekend worden van een jaarrekening kan leiden tot handel in voorkennis op de beurs en dat is
strafbaar. Daarom zal een bedrijf ook alle mogelijke stappen ondernemen om deze informatie tot op
het moment van bekendmaking geheim te houden.
9.4.11 Uitwisseling van informatie
Om te voorkomen dat informatie terechtkomt bij partijen voor wie deze informatie niet bestemd is, is
het van belang om interne en externe afspraken te maken over informatie-uitwisseling. Dit kan
informatie-uitwisseling zijn tussen organisaties. Hierin wordt vastgelegd waar de informatie-
uitwisseling voor bedoeld is en dat partijen zich houden aan het doel van deze uitwisseling. Denk
hierbij ook aan de geautomatiseerde uitwisseling van informatie en informatie die op fysieke media
(cd-rom, dvd, USB-sticks maar ook papier) staat opgeslagen.
Het is noodzakelijk om te voorkomen dat er een vrije uitwisseling van informatie tussen personen in
verschillende (elkaar beconcurrerende) bedrijven plaatsvindt, waardoor zij in al hun goedheid en
zonder zich te realiseren wat ze doen de concurrentiepositie van het eigen bedrijf aan kunnen tasten.
Bewustwording is ook hier een belangrijke beveiligingsmaatregel.
Elektronische berichtenuitwisseling
Elektronisch berichtenverkeer brengt andere risico’s met zich mee dan communicatie op papier.
Daarom dient informatie die elektronisch wordt uitgewisseld op een daarvoor geschikte wijze te
worden beschermd.
Vooral wanneer informatie via e-mail over het internet wordt verstuurd moet er rekening mee
gehouden worden dat die informatie voor hen die daar op uit zijn, gewoon leesbaar is. Bovendien
blijven kopieën van de mail soms op servers verspreid over de hele wereld achter. Het internet kiest
namelijk niet de kortste weg, maar de snelste weg. De snelste weg van Den Haag naar
Leidschendam wil dan nog wel eens via Moskou, Rio de Janeiro, Boston en Londen lopen.
Wanneer informatie echt vertrouwelijk is mag deze niet via internet worden verstuurd. Indien het niet
anders kan, zorg dan voor een beveiligde verbinding en/of beveiliging van het bericht door middel van
encryptie.
Systemen voor bedrijfsinformatie
Wanneer binnen een bedrijf systemen onderling worden gekoppeld moeten er vooraf procedures
worden ontwikkeld en geïmplementeerd om informatie te beschermen tegen onverwachte
beveiligingsrisico’s.
Basiskennis Beveiliging van Informatie
81
In het nieuws
Een Amerikaanse internetprovider heeft per ongeluk de mailboxen van
14.000 klanten gewist. Een softwarefout is de oorzaak. Volgens een woordvoerder is dit nooit eerder
gebeurd en zal het ook nooit meer gebeuren. Een woordvoerder van de provider zegt dat er geen
mogelijkheid is om de verloren gegane bestanden nog te ‘undeleten' en biedt haar excuses aan.
De fout ontstond doordat de provider, die ook kabel en telefoon aanbiedt, inactieve mailaccounts elke
drie maanden automatisch verwijdert. Daarbij zijn per ongeluk ook wel actieve accounts vernietigd.
Bron: www.computable.nl
Zijn de applicaties separaat voldoende beveiligd, gekoppeld kunnen er plotseling kwetsbaarheden
ontstaan in administratie- en boekhoudsystemen waar informatie wordt gedeeld tussen verschillende
delen van de organisatie. Ook kunnen er kwetsbaarheden ontstaan bij koppelingen in
bedrijfscommunicatiesystemen, zoals het opnemen van telefoongesprekken of telefonische
conferenties, vertrouwelijkheid van telefoongesprekken, of het digitaal opslaan van faxen.
Wanneer er sprake is van (zeer) vertrouwelijke informatie, dan is het goed te realiseren dat de
meeste moderne kantoorprinters, vaak combinatieapparaten met een scanner, fax en kopieerfunctie,
voorzien zijn van een harde schijf, waar alle te verwerken informatie op opgeslagen staat. Via een
speciale applicatie is het mogelijk toegang te krijgen tot die harde schijf en alle data te kopiëren.
Bovendien kan een ‘onderhoudsmonteur’ vaak ongemerkt met die harde schijf naar buiten lopen.
In het nieuws
Een Amerikaanse veiligheidsexpert heeft een methode ontdekt om vanaf
websites printopdrachten naar netwerkprinters te sturen. De techniek biedt ongekende nieuwe
mogelijkheden voor de spamindustrie.
Het versturen van tekst naar de netwerkprinter is een koud kunstje. Een potentieel slachtoffer hoeft
niets meer te doen dan je site met malafide javascript te openen. Het grootste probleem is het
achterhalen van het adres van de netwerkprinter, maar dat wordt opgelost door in de javascript een
paar reeksen ip-adressen af te lopen. Door te kijken naar het ip-adres van de bezoeker kan dit tot een
relatief klein aantal worden teruggebracht.
Eenmaal gevonden is de printer aan de grillen van de spammer overgelaten. Niet alleen simpele
teksten, maar ook volledig opgemaakte documenten kunnen geprint worden zonder dat de gebruiker
iets doorheeft. "Het is mogelijk om de printerinstellingen te veranderen en zelfs faxen te versturen",
zegt de expert.
De hacker geeft in een document zelfs nog een paar tips op welke manier kwaadwillenden het lek
kunnen gebruiken: "Maak een bannerpagina. Op die manier krijgt elke printopdracht jouw
Basiskennis Beveiliging van Informatie
82
bannerpagina erbij. Dit is een handige manier om je boodschap te verspreiden."
De truc is zowel in Firefox als in Internet Explorer mogelijk. Het werkt niet bij printers die direct op de
computer zijn aangesloten en niet op het netwerk.
Bron: www.computable.nl
9.4.12 Diensten voor e-commerce
Wanneer een bedrijf besluit zich als internetwinkel te profileren krijgt het met heel andere risico’s te
maken dan wanneer het internet uitsluitend gebruikt wordt om informatie op te zoeken. Diensten voor
e-commerce en het gebruik ervan moeten op een goede manier beveiligd zijn. Denk bijvoorbeeld aan
veilige betalingstransacties (IDeal, Visa, Mastercard, Paypal), het beschermen van de informatie
tegen fraude, duidelijke voorwaarden in contracten, onweerlegbaarheid van aankopen en
onbetwistbare prijzen.
De vertrouwelijkheid en integriteit van ordertransacties, betalingsinformatie, adresgegevens van de
ontvanger en ontvangstbevestiging moeten gewaarborgd zijn en de klant moet er op kunnen
vertrouwen dat onbekenden daar geen inzage in krijgen. Denk ook aan maatregelen om de
creditcardgegevens af te schermen.
Informatie in online transacties moet worden beschermd om onvolledige overdracht, onjuiste
routering, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie
of weergave van berichten te voorkomen.
In het nieuws
Toen een klant van een internetprovider opmerkte dat hij inzage had in een zeer groot bestand dat hij
niet kende, heeft hij het gedownload om tot de conclusie te komen dat het alle klantgegevens van een
internet provider betrof, zo’n tweeënhalf miljoen in totaal. De beheerder heeft waarschijnlijk een fout
gemaakt tijdens het wegschrijven van de back-up met klantgegevens. De klant lichtte de
internetprovider hierover in. Toen deze niet reageerde besloot hij zijn ervaringen te delen op een
internetforum.
"Wat hier gebeurd is, is fout", aldus een woordvoerster van de internetprovider, "Normaal gesproken
hoort dit soort meldingen terecht te komen bij ons security-team dat er dan direct mee aan de slag
gaat."
Conclusies:
De eerste fout ligt in de back-upprocedure.
De tweede fout ligt in een incidentprocedure die niet gevolgd is, waardoor niet werd gereageerd op de
melding. Pas wanneer het kwaad geschied is en de fout in de openbaarheid komt, reageert de
provider.
In dit geval gaat de ontdekker van de fout gelukkig niet verder dan het te vermelden op een forum. Hij
had ook de volledige lijst op internet kunnen publiceren, of de klantgegevens voor
marketingdoeleinden kunnen verkopen, waarna de betrokken klanten overspoeld zouden worden met
spam.
9.4.14 Openbaar beschikbare informatie
Bedrijfsinformatie die op een internetpagina wordt gepresenteerd aan de hele wereld is openbaar,
maar moet wel integer zijn en niet gemanipuleerd kunnen worden. Foute informatie zal de reputatie
van de organisatie schaden. Het is erg vervelend als je een rekening moet betalen, het banknummer
niet meer weet, op de internetsite het bankrekeningnummer opzoekt maar dit blijkt niet te kloppen en
het geld wordt overgemaakt naar een ander persoon.
Basiskennis Beveiliging van Informatie
83
Het kan zijn dat de informatie op een openbaar beschikbaar systeem, bijvoorbeeld informatie op een
webserver die toegankelijk is via het internet, moet voldoen aan wetten, regels en voorschriften in het
rechtsgebied waar het systeem zich bevindt, waar de zakelijke transactie plaatsvindt of waar de
eigenaar(s) woont (wonen).
Het is ook belangrijk dat bijvoorbeeld programmatuur die beschikbaar wordt gesteld, aan de
gebruikerseisen en de veiligheidseisen voldoet. Denk bijvoorbeeld aan de fouten in de
aangifteprogramma’s van de belastingdienst.
9.5 Samenvatting
We hebben het over beleid gehad. We weten nu dat beleid richting geeft aan de wijze waarop de
informatiebeveiliging wordt ingericht. Beleid wordt ook gebruikt om aan de overheid en andere
controlerende instanties aan te tonen dat men aan de wet- en regelgeving voldoet. Het beleid geeft
bovendien houvast aan de medewerkers op het moment dat niet duidelijk is of iets wel of niet is
toegestaan.
We zijn ingegaan op diverse organisatorische maatregelen. Hoe draagt de organisatie het beleid uit.
Aan welke regels moeten medewerkers voldoen.
We weten nu wat de PDCA-cyclus betekent. De onderdelen van de ISO/IEC 27002 standaard zijn
genoemd en daarmee is de samenhang tussen de verschillende aspecten van informatiebeveiliging
duidelijk geworden.
We hebben uitgelegd wat calamiteiten zijn en hoe we de risico’s bij calamiteiten zoveel mogelijk
kunnen beperken, onder andere door ons op calamiteiten voor te bereiden.
Communicatie- en bedieningsprocessen, testprocedures, eigen beheer of uitbesteding van de IT-
omgeving zijn besproken.
We zijn op de hoogte van malware en hoe we ons daartegen kunnen beschermen.
De noodzaak van back-upprocedures zijn besproken. Het beveiligen van het netwerk en media en het
uitwisselen van informatie is aan bod gekomen .
Met het uitwisselen van informatie kwamen we ook aan bij het onderwerp e-commerce, een wat
oudere benaming voor de webwinkel.
9.6 Casus
Een nieuwe mobiele telefonieprovider bestormt Nederland. U wordt ingehuurd als
beveiligingsfunctionaris. In deze Engelstalig georiënteerde branche mag u zich Chief Information
Security Officer (CISO) noemen. U krijgt de opdracht er voor te zorgen dat de klanten via internet hun
mobiele telefoniezaken kunnen regelen. Aandacht is vereist voor de privacy van de klant. De klant
moet vierentwintig uur per dag zaken kunnen doen, abonnementen kunnen afsluiten en aanpassen,
de rekening in kunnen zien, etc.
Uw bedrijf biedt de klanten naast mobiele telefonie UMTS/ HSDPA breedbandinternetverbindingen.
Het bedrijf garandeert de beschikbaarheid en veiligheid van die verbinding. Hierbij garandeert men
een 100% virusvrije verbinding.
Om aan te tonen dat uw bedrijf aan alle beveiligingseisen voldoet wil het zich laten certificeren.
U dient er zorg voor te dragen dat het management weet wat er gebeurt en tijdig kan reageren
wanneer er iets fout gaat. Tevens is het uw verantwoordelijkheid dat het personeel dat in dienst komt
betrouwbaar is.
Basiskennis Beveiliging van Informatie
84
In geval van een calamiteit, de diensten moeten immers vierentwintig uur per dag,
driehonderdvijfenzestig dagen per jaar, beschikbaar zijn, moeten onmiddellijk vervangende faciliteiten
aanwezig zijn.
Werk uit hoe u de beveiliging van dit bedrijf op hoofdlijnen uit zult voeren. Kunt u alles bieden wat het
bedrijf in zijn folders garandeert?
Basiskennis Beveiliging van Informatie
85
10 Wet- en regelgeving
Inleiding
Er is in de voorgaande hoofdstukken veel gezegd over het hoe en waarom van informatiebeveiliging.
We hebben ons gefocust op de risicoanalyse en een dreigings- en risicoprofiel vastgesteld. Op basis
daarvan hebben we fysieke, technische en organisatorische maatregelen genomen. Er zijn
maatregelen die niet optioneel zijn, maar verplicht door wetgeving genomen moeten worden.
Bij wetgeving gaat het bijvoorbeeld om wetgeving op het gebied van privacy, fiscale wetgeving en
financiële regelgeving voor banken en bedrijven. Het eigen beleid van een bedrijf moet ook nageleefd
worden. Bij internationaal werkende organisaties is het mogelijk dat het beleid per land aangepast
moet worden om aan de nationale (lokale) regelgeving te kunnen voldoen.
In een eerder hoofdstuk is de PDCA-cyclus besproken. Een van de onderdelen van die cyclus is de
zelfcontrole en de controle door de externe auditor. Dit zijn onderdelen die met de controle op de
naleving van interne en externe regelgeving te maken hebben.
Dit hoofdstuk gaat in op de naleving van wet- en regelgeving en op de wijze waarop controle wordt
uitgeoefend.
10.1 Naleving van wettelijke voorschriften
Ieder bedrijf wil in de eerste plaats zijn eigen bedrijfsdoelstellingen bereiken. Dit betekent het
produceren van een bepaald product, het verlenen van bepaalde diensten of bijvoorbeeld het zorg
dragen voor de naleving van bepaalde wet- en regelgeving zoals gebeurt door de politie of bijzondere
opsporingsinstanties. Ieder bedrijf heeft zich echter te houden aan de lokale wet- en regelgeving en
aan contractuele verplichtingen. De beveiligingseisen die aan het bedrijf gesteld worden hebben daar
een sterke relatie mee.
Lokale wet- en regelgeving staat hier zo beschreven omdat vooral voor internationaal opererende
bedrijven het beleid vaak wat globaler wordt opgesteld en de onderliggende beleidsstukken
aangepast worden aan de wetgeving die in het land van de vestiging van toepassing is. Vooral op
privacygebied kan de wetgeving afwijkend zijn en daarmee ook de wijze waarop met privacygevoelige
informatie om moet worden gegaan.
Om zeker te weten dat aan de regelgeving wordt voldaan is het daarom altijd belangrijk om advies in
te winnen bij plaatselijke juridische adviseurs van de organisatie of bij gekwalificeerde juristen.
10.2 Compliancy
Compliancy is een Engelstalig begrip dat steeds vaker gebruik wordt. Van Dale zegt daarover:
Volgzaamheid, inschikkelijkheid, meegaandheid, toegeeflijkheid, gehoorzaamheid. Waar het op neer
komt is dat een organisatie zowel de interne bedrijfsregelgeving als de wetten van het land en de
lokale regelgeving dient na te leven.
Soms levert dit conflicten op. Vooral multinationale organisaties hebben te maken met enerzijds het
interne beleid om zorg te dragen dat het bedrijf zich met één gezicht naar de buitenwereld presenteert
en anderzijds met internationale en lokale regelgeving.
Zo liggen de regelgevingen voor privacy binnen de Europese Unie gelijk, maar wijken ze sterk af van
wat er in de Verenigde Staten van Amerika is toegestaan.
In de praktijk
In Europa is de privacy sterk gewaarborgd. In de Verenigde Staten mag de overheid sinds de
Basiskennis Beveiliging van Informatie
86
aanslagen op het World Trade Centre in New York zo ongeveer alles met uw persoonsgegevens vanuit
het oogpunt van veiligheid en landsbelang.
Anderzijds hanteren de Verenigde Staten, sinds bij het Enron schandaal tienduizenden mensen hun
baan verloren en de fraudeurs er met vele miljoenen dollars vandoor gingen, zeer strenge
beveiligingsmaatregelen voor beursgenoteerde bedrijven. De zogenaamde Sarbanes-Oxley Act (SOx).
Compliancy gaat dus niet alleen over het voldoen aan wet- en regelgeving die door overheden wordt
opgelegd. Ook interne regels spelen daarbij een rol. Voor informatiebeveiliging is in de afgelopen
jaren een wereldwijde standaard ontstaan in de vorm van de eerdergenoemde Code voor
Informatiebeveiliging. Ontstaan uit de British Standard BS7799 is deze standaard tot een ISO-
normering uitgegroeid en tegenwoordig bekend onder het nummer ISO 27002.
Door adoptie van die ISO norm door verschillende andere standaardiseringsinstanties in onder
andere de Europese Unie en de NEN is deze standaard in Nederland nu bekend als de NEN-ISO/IEC
27002:2007, waarmee een verregaande standaardisering in beveiligingsmaatregelen voor overheid
en bedrijfsleven is verkregen.
10.2.1 Compliancemaatregelen
Naar aanleiding van bovenstaande is inmiddels duidelijk geworden dat het maken van intern beleid
binnen een organisatie de methode is om compliant te worden.
De organisatie dient beleid te maken waarin zij verklaart aan de (nationale en lokale) wet- en
regelgeving te voldoen. Procedures en handreikingen aan de medewerkers maken duidelijk hoe zij in
de praktijk die regels moeten toepassen. Risicoanalyses zorgen er voor dat de juiste
beveiligingsniveaus worden vastgesteld en de juiste, bij die beveiligingsniveaus passende
maatregelsets vastgesteld en geïmplementeerd worden.
10.3 Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)
Wanneer een bedrijf software gebruikt moet er nagedacht worden over het gebruik van materiaal
waarop intellectuele eigendomsrechten kunnen rusten.
De volgende richtlijnen behoren te worden overwogen om materiaal te beschermen dat als
intellectueel eigendom kan worden beschouwd:
Het publiceren van beleid ten aanzien van de naleving van intellectuele eigendomsrechten, waarin
wettig gebruik van programmatuur en informatieproducten wordt gedefinieerd;
Programmatuur alleen aanschaffen via bekende en erkende leveranciers om te waarborgen dat er
geen auteursrechten worden geschonden;
Als er open source wordt gebruikt moet men ook de bijbehorende licentievorm respecteren en
naleven;
In stand houden van het bewustzijn van het beleid voor bescherming van intellectuele
eigendomsrechten, evenals van het voornemen om disciplinaire maatregelen te treffen tegen
personeel dat dit beleid schendt;
Bijhouden van relevante registers van bedrijfsmiddelen en het identificeren van alle bedrijfsmiddelen
met eisen ten aanzien van het beschermen van intellectuele eigendomsrechten.
Onder de intellectuele eigendomsrechten vallen auteursrecht op programmatuur of documenten,
ontwerprechten, handelsmerken, octrooien en broncodelicenties.
Programmatuur waarop eigendomsrechten rusten, wordt doorgaans geleverd op basis van een
licentieovereenkomst die de licentievoorwaarden noemt, die bijvoorbeeld het gebruik van de
Basiskennis Beveiliging van Informatie
87
programmatuur beperken tot bepaalde machines of het kopiëren beperken tot het maken van back-
upkopieën.
In de praktijk
Het is erg gemakkelijk, als er eenmaal een aantal licenties van een softwarepakket zijn aangeschaft,
uit dezelfde voorraad licenties nieuwe pc’s van software te voorzien. Vijf pc’s zijn voorzien van een
fotobewerkingspakket en er zijn vijf licenties. Dan komen er twee nieuwe medewerkers bij die ieder
een eigen pc krijgen en waar ook het fotobewerkingspakket op wordt geïnstalleerd. Maar er worden
geen nieuwe licenties gekocht. Op dat moment zijn er dus zeven pc’s voorzien van hetzelfde
fotobewerkingspakket, terwijl er maar voor vijf pc’s licenties betaald zijn.
Een andere vorm van schending van het intellectueel eigendomsrecht is het gebruik van een
afbeelding waar copyright op rust. Denk bijvoorbeeld aan dat gezellige foldertje over
informatiebeveiliging, waar de kluis van Dagobert Duck met al zijn beveiligingsmaatregelen in
afgebeeld staat.
10.4 Bescherming van bedrijfsdocumenten
Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing,
overeenkomstig wettelijke en regelgevende eisen. Datzelfde geldt natuurlijk voor contractuele
verplichtingen en bedrijfsmatige eisen.
Registraties behoren te worden gecategoriseerd naar type, bijvoorbeeld boekhoudkundige
registraties, databaserecords, transactielogbestanden, auditlogbestanden en operationele
procedures.
Bij elk type behoort de bewaartermijn en het type opslagmedium te worden vermeld, bijvoorbeeld
papier, microfiche, magnetische of optische opslag. Enige cryptografische sleutels of programmatuur
die verband houden met versleutelde archieven of digitale handtekeningen behoren ook te worden
bewaard om ontcijfering van de registraties mogelijk te maken gedurende de bewaarperiode van de
registraties.
Er behoort rekening te worden gehouden met de mogelijkheid dat media die voor opslag van
informatie worden gebruikt, in kwaliteit achteruit gaan. Procedures voor opslag en behandeling van
deze media behoren in overeenstemming met de aanbevelingen van de fabrikant te worden
geïmplementeerd. Voor langdurige opslag behoort het gebruik van papier en microfiche te worden
overwogen.
Waar elektronische opslagmedia worden gekozen, behoren procedures te worden vastgesteld om te
waarborgen dat de informatie gedurende de gehele bewaarperiode toegankelijk blijft (leesbaarheid
van zowel de media als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat
als gevolg van toekomstige technologische veranderingen.
Bij de overheid is voor de bescherming van informatie de archiefwet van toepassing. In de archiefwet
worden de volgende hoofdonderwerpen behandeld: archief creatie, beheer, vernietiging, overdracht
naar het centrale archief, overdracht tussen overheden en toegang tot archieven.
In de praktijk
De nieuwste laptops en pc’s worden niet meer met een diskettestation uitgerust. De diskettes van 3
½” of misschien nog 5 ¼ ”, met data die echt niet verloren mogen gaan, worden in de nabije
toekomst wel wat lastig uitleesbaar….
Basiskennis Beveiliging van Informatie
88
10.5 Bescherming van gegevens en geheimhouding van
persoonsgegevens
De bescherming van gegevens en privacy valt onder de Wet Bescherming Persoonsgegevens (WBP)
en de richtlijnen van het College Bescherming Persoonsgegevens (CBP). Daarnaast kunnen
contractuele bepalingen met een klant meespelen.
Ieder organisatie hoort een beleid te hebben voor de bescherming van persoonsgegevens dat bekend
is bij iedereen die persoonsgegevens verwerkt.
Naleving van dit beleid en alle relevante wet- en regelgeving voor gegevensbescherming kan vaak
het beste worden bereikt door een verantwoordelijke aan te wijzen, bijvoorbeeld een functionaris die
belast is met de bescherming van gegevens en die ondersteuning geeft aan managers, gebruikers en
dienstverlenende bedrijven in de uitvoering van hun verantwoordelijkheden op dit gebied.
En er moeten natuurlijk technische en organisatorische voorzieningen zijn om persoonsgegevens te
beschermen.
En belangrijk punt is dat de burger inzagerecht heeft in de over hem/haar geregistreerde gevens. Het
is aan te bevelen hiervoor beleid en procedures te hebben.
In het nieuws
In Australië is grote ophef ontstaan over het plan van de overheid om een database met de zeer
uitgebreide profielen van 480.000 basisschoolscholieren via een intranetapplicatie toegankelijk te
maken. De database bevat de informatie van alle scholieren op staatsscholen en bestaat uit foto's,
persoonlijke informatie, mogelijke carrière, buitenschoolse activiteiten en de prestaties van de leerling.
Ouders maken zich niet alleen zorgen over de privacy van hun kinderen, maar ook over de
mogelijkheid dat pedofielen toegang tot de database krijgen.
En die zorg is volgens een informatica professor terecht. "Mensen zullen proberen in te breken. Daar
twijfel ik geen moment aan." Scholieren die de verplichte informatie niet geven, kan toegang tot het
onderwijs geweigerd worden, aldus de Minister van Onderwijs. Die laat weten dat ouders zich geen
zorgen over hackende pedofielen hoeven te maken. "Het is geen Facebook dat we hier hebben
gemaakt." De minister gaat niet in op de aantasting van de privacy, die veel verder gaat dan bij veel
sociale netwerksites het geval is.
De eerste fase van de database moet in december gereed en toegankelijk zijn en bevat dan
rapporten, contactgegevens, aanwezigheidsinformatie, het gedrag van de scholier, wat hij of zij later
wil worden en het contact met de ouders.
Bron: www.security.nl
10.6 Voorkomen van misbruik van IT-voorzieningen
Een van de zaken die de directie in het informatiebeveiligingsbeleid moet vastleggen is de wijze
waarop de IT-voorzieningen binnen de organisatie gebruikt mogen worden. Gebruik van deze
voorzieningen voor niet-zakelijke doeleinden zonder toestemming van de directie of voor enig
onbevoegd doel behoort te worden beschouwd als onoorbaar gebruik van de voorzieningen.
Indien enige ongeautoriseerde activiteit wordt gesignaleerd door middel van controle of anderszins,
behoort deze activiteit onder de aandacht te worden gebracht van de desbetreffende manager om te
overwegen of disciplinaire en/of juridische maatregelen kunnen worden getroffen.
Er zijn natuurlijk twee kanten aan een dergelijke bepaling. Als eerste dient de organisatie volledig te
voldoen aan de bepalingen die hierboven genoemd zijn met betrekking tot het juiste gebruik van
Basiskennis Beveiliging van Informatie
89
licenties; alleen legale software gebruiken en de regels rond intellectueel eigendom naleven.
Anderzijds mag men van de medewerkers verwachten dat zij de aan hen beschikbaar gestelde ICT-
voorzieningen niet zullen misbruiken.
In veel organisaties is inmiddels een gedragscode in gebruik waarin de rechten en plichten van de
werkgever en de werknemers op dit gebied nader geregeld zijn.
Zo mag er vaak, mits het werken er niet onder lijdt, ook voor privédoeleinden getelefoneerd en
geïnternet worden. Wat dan meestal expliciet verboden wordt is het downloaden van muziek, films en
software, het bezoeken van seksueel getinte sites. Ook worden er aan het gebruik van e-mail
voorwaarden gesteld.
De werkgever heeft het recht hierop te controleren. Dat kan steekproefsgewijs, of juist heel gericht
wanneer er een sterke verdenking van misbruik door bepaalde personen bestaat. Voorwaarde is wel,
dat de medewerkers op de hoogte zijn dat deze controlemaatregelen uitgevoerd kunnen worden.
Bij het invoeren van dergelijke controlesystemen is het verstandig vooraf juridisch advies in te winnen
en de ondernemingsraad (OR) te raadplegen.
Op het gebied van wetgeving is er ook nog de wet computercriminaliteit. Deze wet is in 2006
aangepast. Het opzettelijk en wederrechtelijk binnendringen in computer systemen is strafbaar, zelfs
als de systemen geen beveiliging bevatten. Ook het onbruikbaar maken van computersystemen met
bijvoorbeeld ‘denial of service attacks’ is aangescherpt in deze herziening. Een denial of service is
een methode waarbij een informatiesysteem, bijvoorbeeld een website, overvoerd wordt met
aanvragen zodat deze de stroom niet kan verwerken en uitvalt. Botnets, netwerken van aan elkaar
gekoppelde computers, worden gebruikt voor dit soort aanvallen.
In het nieuws
Een 18-jarige student van een High School die het systeem "hackte" en zijn cijfers aanpaste, moet
mogelijk 38 jaar de gevangenis in. Hij wist met het wachtwoord van zijn docent op het cijfersysteem in
te loggen en de uitslag van onder andere een examen, waar hij wegens afkijken een onvoldoende
voor had gekregen, aan te passen. Volgens de openbare aanklager zou de student ook in de school
hebben ingebroken en toen de cijfers van 12 andere studenten hebben gewijzigd. Tevens installeerde
hij spyware op de schoolcomputers zodat hij ook vanaf ander locaties toegang kon krijgen.
Tijdens de inbraken die hij tussen 23 januari en 20 mei van dit jaar pleegde, wijzigde hij ook de
uitslagformulieren. Zo veranderde hij cijfers en de data, waardoor de cijfers op papier met die van het
systeem overeenkwamen. De zaak kwam pas aan het rollen toen hij een kopie van de formulieren
vroeg om beroep aan te tekenen tegen een beslissing van de Universiteit van Californië, waar hij
wegens zijn slechte cijfers was geweigerd. Docenten ontdekten het verschil tussen de cijfers en
waarschuwden justitie, waarna een onderzoek werd ingesteld.
De student werd aangeklaagd wegens het stelen van publieke gegevens, computerfraude, inbraak,
identiteitsdiefstal, heling en samenzwering. Een andere student die met hem samenwerkte, hangt drie
jaar cel boven het hoofd. De school gaat maatregelen nemen om herhaling in de toekomst te
voorkomen.
Bron: www.security.nl
10.7 Naleving van beveiligingsbeleid en -normen
Informatiebeveiliging is een getrapte verantwoordelijkheid. De directie heeft en houdt altijd de
eindverantwoordelijkheid. Zij kunnen echter het lijnmanagement de verantwoordelijkheid voor de
uitvoering en naleving van het beleid opleggen. Managers moeten daarom regelmatig (laten)
Basiskennis Beveiliging van Informatie
90
beoordelen of de informatieverwerking binnen hun verantwoordelijkheidsgebied voldoet aan het
geldende beveiligingsbeleid, beveiligingsnormen en andere beveiligingseisen.
10.8 Controlemaatregelen
Tot slot komt dan de interne en/of externe auditor controleren of de organisatie wel aan de regels
voldoet. De auditor doet dit door te kijken of de maatregel bestaat. Staat deze in het beleid, wordt
deze in de praktijk uitgevoerd en functioneert de maatregel zoals bedoeld?
In de praktijk
Een organisatie heeft de ISO/IEC 27002 standaard ingevoerd. Eén van de beveiligingsmaatregelen
is een wachtwoordbeleid. In het beleid staat dat om toegang tot de kantoorautomatisering te krijgen
een wachtwoord van 8 tekens moet worden gebruikt. Het wachtwoord mag geen Nederlands woord
zijn. Het moet bovendien minimaal 1 hoofdletter en 1 cijfer of leesteken bevatten.
De auditor kijkt naar de opzet: Ja, het staat in het beleid.
De auditor kijkt naar het bestaan: Ja, de systeembeheerder heeft de vereiste regels ingevoerd.
De auditor kijkt naar werking: Hij voert zelf diverse wachtwoorden in die niet aan de gestelde eisen
voldoen. Wordt het wachtwoord geaccepteerd dan is de werking niet correct. Kan alleen een
wachtwoord ingevoerd worden dat aan de eisen van het beleid voldoet, dan is de werking van de
maatregel correct.
10.9 Audits van informatiesystemen
Het uitvoeren van audits brengt altijd risico’s voor het productieproces van een organisatie met zich
mee. De auditoren halen vaak op het moment dat het productieproces loopt, informatie uit de
systemen. Dit heeft altijd effect op de rekenkracht van de computers omdat deze extra taken te
verwerken krijgen. Het is daarom belangrijk ervoor te zorgen dat de audit geen storing veroorzaakt.
Het is dan ook niet gewenst dat bijvoorbeeld een derde partij of een klant nog eens hetzelfde laat
onderzoeken. Voor dit doel kan de auditor een Third Party Mededeling (TPM) afgeven. Deze door
een onafhankelijke IT-auditor afgegeven verklaring geeft aan in hoeverre de noodzakelijke
maatregelen in opzet, bestaan en werking hebben gefunctioneerd.
10.10 Bescherming van hulpmiddelen voor audits van
informatiesystemen
De hulpmiddelen voor systeemaudits, bijvoorbeeld programmatuur of gegevensbestanden, behoren
te worden gescheiden van ontwikkelingssystemen en productiesystemen en behoren niet te worden
opgeslagen in magneetbandbibliotheken of gebruikersruimten, tenzij hiervoor aanvullende
beschermingsmaatregelen van een geschikt niveau zijn getroffen.
Indien derden bij een audit zijn betrokken bestaat het risico dat de audithulpmiddelen en de informatie
waartoe toegang is verkregen door deze derde partij worden misbruikt.
Maatregelen zoals het beperken van toegang tot alleen die systemen waarin de auditor voor zijn
onderzoek moet zijn, een geheimhoudingsverklaring en beperking van de fysieke toegang kunnen
worden overwogen om dit risico aan te pakken, en alle daaruit voortvloeiende maatregelen zoals het
onmiddellijk wijzigen van de wachtwoorden die aan auditoren zijn bekendgemaakt.
Tenslotte blijft na alles wat besproken is het volgende altijd van kracht: hoe sterk een organisatie haar
beveiliging ook geregeld heeft … de beveiliging is zo sterk als de zwakste schakel!
Basiskennis Beveiliging van Informatie
91
10.11 Samenvatting
In dit hoofdstuk hebben we ten slotte de rol van wet- en regelgeving besproken.
Wetgeving bestaat voor fiscale zaken, privacy, maar ook voor zakendoen. Naast lokale wetgeving
hebben we te maken met buitenlandse regelgeving zoals de Sarbanes-Oxley Act die er voor zorgt dat
een Nederlandse bank alleen op de beurs in Wallstreet zaken kan doen, als zij aantoont aan deze
Amerikaanse regelgeving te voldoen.
We hebben gezien dat standaarden zoals de ISO/IEC 27002 helpen bij het naleven van wet- en
regelgeving.
Intellectuele eigendomsrechten van anderen dienen net zo goed beschermd te worden als de
eigendommen van de organisatie. Als een bedrijf tonnen, misschien wel miljoenen gestoken heeft in
de ontwikkeling van een product, dan wil het natuurlijk niet dat een ander het ongevraagd kopieert en
voor een lage prijs aanbiedt.
Tenslotte is er de audit, waarin we kunnen aantonen dat we aan de eisen voor de beveiliging van de
informatie voldoen.
10.12 Casus
Incasso BV is een groot incassobureau dat de inning van achterstallige betalingen voor een groot
aantal klanten regelt. Incasso BV is als eenmanszaak begonnen en in de loop der jaren uitgegroeid
tot een bedrijf met een vijftal vestigingen in de Benelux. Het bedrijf heeft zestig medewerkers in
dienst. Incasso BV biedt, op bescheiden schaal, ook bancaire diensten.
In verband met de uitgebreide wet- en regelgeving wordt u ingehuurd om er zorg voor te dragen dat
informatiebeveiliging op basis van de ISO/IEC 27002 standaard geïmplementeerd wordt. U zoekt uit
welke wet- en regelgeving hier geldt en werkt op basis hiervan het beleid uit.
Tot slot dient u er voor te zorgen dat de naleving van bovenstaande zaken aantoonbaar ingeregeld is
wanneer een externe audit uitgevoerd wordt.
Beschrijf wat u moet doen om het juiste beveiligingsniveau te bepalen. Welke
beveiligingsmaatregelen moeten globaal uitgevoerd worden? Hoe toont u aan de auditoren aan dat
uw bedrijf zijn zaken op orde heeft? Met welke van overheidswege opgelegde regelgeving heeft u
zoal te maken?
Basiskennis Beveiliging van Informatie
92
IndexIndex
aanslagen..............................................................................................................................................85
aanvallen ...................................................................................................................................17, 72, 89
aanvullende beschermingsmaatregelen ...............................................................................................90
aanvullende maatregelen......................................................................................................................35
aanvullende veiligheidsmaatregelen.....................................................................................................77
acceptatie ..............................................................................................................................................67
accounts ..........................................................................................................................................68, 81
Accupacks.............................................................................................................................................37
alarm ...............................................................................................................................................36, 39
algoritmen............................................................................................................................47, 48, 50, 51
Annual Loss Expectancy (ALE) ............................................................................................................23
apparaten ........................................................................................................................................48, 79
apparatuur ............................................ 22, 29, 32, 33, 34, 36, 37, 38, 39, 41, 52, 53, 63, 64, 65, 66, 79
applicatie .............................................................................................................................44, 52, 67, 81
arbeidscontract................................................................................................................................59, 60
asymmetrisch systeem..........................................................................................................................49
audit trails ..............................................................................................................................................65
auditor .............................................................................................................................................85, 90
audits.....................................................................................................................................................90
auteursrechten ......................................................................................................................................86
authenticatie ..............................................................................................................................35, 45, 77
authenticiteit ..............................................................................................................................45, 47, 78
automatisering...............................................................................................................25, 26, 52, 65, 68
autorisaties ........................................................................................................................................6, 45
back-up tapes..................................................................................................................................36, 39
back-upprocedures .........................................................................................................................12, 83
back-ups....................................................................................................................5, 16, 37, 65, 76, 77
banken.............................................................................................................................................71, 85
bankgegevens...........................................................................................................................17, 55, 69
basiselementen .....................................................................................................................................42
basiskennis..............................................................................................................................................9
BCM ......................................................................................................................................................61
bedieningsprocedure.......................................................................................................................65, 66
bedreigingen .......................................................................................................................30, 36, 38, 60
bedrijf.....9, 11, 12, 14, 15, 16, 18, 19, 21, 23, 24, 25, 27, 30, 38, 41, 44, 45, 55, 61, 62, 63, 67, 68, 77,78, 79, 80, 82, 83, 84, 85, 86, 91
bedrijfsactiviteiten............................................................................................................................61, 78
bedrijfsbelang........................................................................................................................................66
Basiskennis Beveiliging van Informatie
93
bedrijfsbeleid ...................................................................................................................................30, 55
bedrijfscommunicatiesystemen.............................................................................................................81
bedrijfscontinuïteit .................................................................................................................................61
Bedrijfscontinuïteitsbeheer........................................................................................................58, 61, 62
bedrijfsdocumenten...............................................................................................................................87
bedrijfsdoelstellingen.......................................................................................................................10, 85
bedrijfseenheid......................................................................................................................................30
bedrijfsgegevens .......................................................................................................................24, 29, 67
bedrijfsgeheimen...................................................................................................................................22
Bedrijfshulpverlening (BHV)..................................................................................................................63
bedrijfsinformatie.......................................................................................................................52, 77, 80
bedrijfsleven ..................................................................................................................5, 7, 8, 56, 59, 86
bedrijfsmiddel ............................................................................................................................33, 43, 44
bedrijfsnaam..........................................................................................................................................35
bedrijfsnetwerk ..........................................................................................................................16, 74, 77
bedrijfsomgeving ...................................................................................................................................14
bedrijfspanden.......................................................................................................................................44
bedrijfsprocessen ..................................................................................11, 14, 15, 17, 18, 25, 62, 63, 64
bedrijfsregels .........................................................................................................................................60
bedrijfstoepassingen .............................................................................................................................46
bedrijfsvoering.........................................................................................................................................9
Bedrijfswaarde ......................................................................................................................................43
beginnende brand .................................................................................................................................21
beheer ............................................................................ 5, 12, 13, 41, 42, 43, 48, 53, 54, 55, 65, 83, 87
beheersmaatregel .................................................................................................................................46
beheersmaatregelen .............................................................................................................................46
bekabeling .......................................................................................................................................38, 43
beleid................................................................ 13, 15, 30, 48, 55, 56, 58, 59, 83, 85, 86, 88, 89, 90, 91
beleidsdocumenten ...................................................................................................................56, 57, 58
Beleidsmedewerker Informatiebeveiliging ............................................................................................30
berichten............................................................................................................22, 44, 49, 51, 70, 71, 82
bescherming................................................................................. 5, 6, 32, 34, 35, 38, 41, 80, 86, 87, 88
beschikbaarheid ......................................................................... 9, 10, 12, 14, 15, 30, 41, 61, 62, 76, 83
bestanden....................................................................................................16, 43, 52, 66, 72, 74, 76, 81
besturingssystemen ........................................................................................................................46, 76
beveiliging5, 9, 10, 12, 17, 19, 21, 25, 27, 28, 29, 32, 33, 41, 42, 43, 44, 45, 46, 52, 53, 55, 58, 59, 67,71, 76, 77, 80, 84, 89, 90, 91
beveiligingsbeleid......................................................................................................................79, 89, 90
beveiligingseisen.....................................................................................................44, 46, 67, 83, 85, 90
beveiligingsincidenten ...................................................................................................27, 28, 29, 31, 61
beveiligingsmaatregelen .................. 6, 17, 18, 19, 21, 24, 25, 32, 33, 42, 46, 57, 80, 85, 86, 87, 90, 91
Basiskennis Beveiliging van Informatie
94
beveiligingsniveaus .........................................................................................................................43, 86
bewaarperiode ......................................................................................................................................87
bewaking ...................................................................................................................................34, 35, 36
bewijsmateriaal .....................................................................................................................................29
BHV-medewerker..................................................................................................................................63
BIV-eisen.........................................................................................................................................11, 15
blusmiddelen .............................................................................................................................32, 39, 40
botnets.............................................................................................................................................17, 75
Bouwkundige en Elektronische maatregelen........................................................................................32
bouwkundige maatregelen ..............................................................................................................32, 34
brand .................................................................................. 16, 21, 22, 23, 33, 36, 37, 38, 39, 40, 61, 63
Brandbeveiliging..............................................................................................................................38, 39
branddriehoek .......................................................................................................................................39
Brandkast ..............................................................................................................................................39
brandwerende maatregelen ..................................................................................................................22
broncode .........................................................................................................................................52, 53
buitenring...............................................................................................................................................34
Business Continuity Management (BCM ................................................................................................8
Business Continuity Planning .........................................................................................................62, 63
Business Impact Analyse (BIA).............................................................................................................62
calamiteit .............................................................................. 9, 16, 36, 41, 43, 55, 61, 62, 63, 64, 65, 84
CD .........................................................................................................................................................55
certificaat .........................................................................................................................................50, 69
Chief Information Security Officer (CISO)...........................................................................17, 30, 58, 83
CISO......................................................................................................................................................30
CISSP......................................................................................................................................................7
classificatie ......................................................................................................................................43, 44
classificatiebeleid ..................................................................................................................................56
classificering....................................................................................................................................78, 79
CleanPort ..............................................................................................................................................71
clusters ..................................................................................................................................................58
COBIT ...................................................................................................................................................42
code.....................................................................................................................................34, 72, 74, 75
College Bescherming Persoonsgegevens ............................................................................................88
commerciële bedrijven ............................................................................................................................7
communicatie ....................................................................................................14, 15, 46, 58, 65, 73, 80
compartimenten ....................................................................................................................................44
Compliancemaatregelen .......................................................................................................................86
Compliancy......................................................................................................................................85, 86
computerdreigingen ..............................................................................................................................17
computers..........................................................................................................14, 24, 60, 65, 75, 89, 90
Basiskennis Beveiliging van Informatie
95
computersystemen..............................................................................................................26, 53, 76, 89
consumentenproducten.........................................................................................................................17
continuïteit ...........................................................................................................9, 16, 38, 41, 61, 62, 64
controlemaatregelen .............................................................................................................................89
corporate beleid ....................................................................................................................................56
correctheid.............................................................................................................................................15
Correctieve maatregelen.......................................................................................................................20
corrigerende maatregelen .....................................................................................................................29
creditcardgegevens.........................................................................................................................69, 82
cryptoanalyse ........................................................................................................................................47
cryptografie..........................................................................................................................47, 48, 50, 53
cryptografische systemen .....................................................................................................................48
cyberspionage.......................................................................................................................................17
data .......................................... 10, 12, 13, 18, 19, 22, 24, 28, 42, 52, 53, 55, 64, 76, 77, 78, 81, 87, 89
databases..................................................................................................................................10, 43, 44
defecten.................................................................................................................................................39
detecteren ...............................................................................................................30, 38, 39, 73, 75, 76
detectie..................................................................................................................................................20
Detectieve maatregelen ........................................................................................................................20
diefstal .....................................................................................................................23, 24, 28, 33, 41, 70
diensten.............................................................................................................29, 46, 61, 67, 84, 85, 91
directe schade.......................................................................................................................................23
Disaster Recovery Planning............................................................................................................62, 63
disciplinaire maatregelen ......................................................................................................................86
Discretionary Access Control (DAC).....................................................................................................45
documentatie.........................................................................................................................................60
documenten ..........................................................................................33, 43, 44, 50, 57, 70, 72, 81, 86
domeinen...............................................................................................................................................58
dreigingen..................................................... 5, 16, 17, 18, 19, 21, 22, 23, 25, 26, 27, 30, 31, 33, 39, 60
dreigingen werkelijkheid........................................................................................................................18
dreigings- en risicoprofiel ......................................................................................................................85
echtheidskenmerken .............................................................................................................................45
e-commerce ....................................................................................................................................82, 83
eigenaar ..................................................................................................................43, 44, 50, 53, 69, 83
elektriciteit .............................................................................................................................................40
e-mailadressen................................................................................................................................17, 71
e-mails...............................................................................................................22, 60, 69, 71, 73, 74, 75
Emergency planning .............................................................................................................................41
encryptiemiddelen ...........................................................................................................................44, 56
Enkelvoudige Schade Verwachting (ESV)............................................................................................23
escalatie ................................................................................................................................................27
Basiskennis Beveiliging van Informatie
96
EXIN ....................................................................................................................................................2, 7
expert ....................................................................................................................................................81
Exploitatie................................................................................................................................................7
extern bedrijf .........................................................................................................................................54
extranet .................................................................................................................................................77
Federal Aviation Administration (FAA)..................................................................................................14
Freedom of Information Act (FOIA).......................................................................................................22
functies ............................................................................................................................6, 13, 30, 53, 59
functiescheiding ..............................................................................................................................66, 67
Functionaris voor de Gegevensbescherming .......................................................................................30
functionarissen ......................................................................................................................................31
fysieke beveiliging .............................................................................................32, 33, 36, 39, 41, 42, 55
fysieke beveiligingsmaatregelen ...........................................................................................................32
fysieke beveiligingswereld.....................................................................................................................32
Fysieke maatregelen.........................................................................................................................5, 32
fysieke toegang ...............................................................................................................................58, 90
geautomatiseerde systemen.....................................................................................................13, 41, 42
gebied........................................................................................... 7, 8, 21, 25, 26, 34, 42, 56, 85, 88, 89
gebouwen..........................................................................................................18, 23, 32, 34, 41, 53, 61
gebruikers..............................................................................................11, 17, 28, 29, 60, 68, 75, 77, 88
gebruikersmodus...................................................................................................................................76
gedragscode .......................................................................................................................59, 60, 71, 89
gefrustreerde medewerker ....................................................................................................................22
gegevens...10, 11, 12, 13, 17, 19, 21, 24, 28, 30, 33, 44, 46, 47, 51, 53, 55, 67, 68, 69, 70, 77, 78, 79,88, 89
gegevensbestanden..................................................................................................................13, 23, 90
gegevensdragers ..................................................................................................................................33
geheimhoudingsverklaring ........................................................................................................59, 60, 90
geinfecteerde systeem ....................................................................................................................72, 73
gemerkte bedrijfsmiddelen ....................................................................................................................44
gerechtigden .........................................................................................................................................44
getuigen.................................................................................................................................................19
gevoeligheid ....................................................................................................................................43, 44
goedkopere maatregelen ......................................................................................................................36
hackers............................................................................................................................................14, 76
handleidingen..................................................................................................................................43, 79
harddisk.................................................................................................................................................33
hekken...............................................................................................................................................5, 34
helpdesk ....................................................................................................................................22, 30, 63
herstel............................................................................................................................43, 61, 62, 63, 64
hoax.................................................................................................................................................73, 74
Basiskennis Beveiliging van Informatie
97
HR .............................................................................................................................................13, 14, 16
https.......................................................................................................................................................69
ICT.........................................................................................................2, 7, 9, 10, 30, 41, 42, 53, 55, 89
ICT-beveiliging ................................................................................................................................41, 42
ICT-infrastructuur ............................................................................................................................42, 55
ICT-omgeving........................................................................................................................................53
ICT-organisatie................................................................................................................................30, 42
ICT-systemen........................................................................................................................................10
Identificatie ............................................................................................................................................45
imagoschade...................................................................................................................................19, 24
implementeren ..........................................................................................................9, 10, 44, 46, 56, 57
Incasso..................................................................................................................................................91
incidentcyclus ........................................................................................................................................30
incidenten........................................................................................20, 27, 28, 30, 31, 59, 73, 74, 75, 79
incidentmanagement.......................................................................................................................27, 31
incidentmanagementproces............................................................................................................27, 28
Indirecte schade..............................................................................................................................23, 24
indringerdetectie....................................................................................................................................36
infecteert................................................................................................................................................72
informatie...2, 5, 9, 10, 11, 12, 13, 14, 15, 16, 19, 20, 22, 25, 28, 30, 31, 33, 36, 38, 41, 42, 43, 44, 45,46, 47, 50, 52, 53, 55, 59, 60, 61, 65, 66, 67, 68, 74, 76, 77, 78, 79, 80, 81, 82, 83, 85, 87, 88, 90,91
Informatie ............................................................................... 5, 7, 10, 11, 14, 32, 42, 43, 44, 59, 79, 82
informatieanalyse ..................................................................................................................................15
informatiearchitectuur......................................................................................................................14, 15
informatiebeveiliger ...........................................................................................................................9, 32
informatiebeveiliging5, 7, 8, 9, 10, 11, 15, 16, 25, 27, 30, 31, 32, 55, 56, 58, 59, 60, 62, 77, 83, 85, 86,87, 91
informatiebeveiligingsbeleid ....................................................... 7, 30, 55, 56, 57, 58, 72, 73, 74, 75, 88
informatiebeveiligingsbewustwording ...................................................................................................60
informatiebeveiligingsdoelstellingen .....................................................................................................57
informatiebeveiligingsfuncties .................................................................................................................9
informatiebeveiligingsfunctionarissen ...................................................................................................59
informatiebeveiligingsgebeurtenis.........................................................................................................28
informatiebeveiligingsincidenten .................................................................................................5, 27, 58
informatiebeveiligingsorganisatie..........................................................................................................31
informatiebeveiligingsproces.....................................................................................................25, 27, 59
informatiebeveiligingsprojecten...............................................................................................................7
informatiemanagement .....................................................................................................................7, 15
informatiesystemen .......................................... 10, 12, 15, 21, 28, 29, 42, 45, 46, 58, 61, 62, 66, 67, 90
informatie-uitwisseling...........................................................................................................................80
informatievoorziening ......................................................................................................9, 10, 14, 15, 42
Basiskennis Beveiliging van Informatie
98
Information Security Management System.....................................................................................56, 57
Information Security Manager (ISM) ...............................................................................................30, 46
Information Security Officer.......................................................................................................17, 31, 66
infrastructuur .......................................................................................................................23, 42, 46, 66
installatieverzoek...................................................................................................................................11
instanties .........................................................................................................................................63, 83
integer .............................................................................................................................................11, 82
integriteit................................................................... 9, 10, 12, 13, 14, 30, 47, 50, 51, 67, 73, 76, 78, 82
intellectuele eigendomsrechten ......................................................................................................53, 86
interferentie ...........................................................................................................................................33
internationaal opererende bedrijven .....................................................................................................85
internationaal werkende organisaties ...................................................................................................85
interne bedrijfsregelgeving ....................................................................................................................85
internet ....................................................................................................5, 20, 71, 75, 77, 78, 80, 82, 83
internetprovider ...............................................................................................................................81, 82
intranet ................................................................................................................................28, 46, 55, 77
invoergegevens.....................................................................................................................................46
IP-adres.....................................................................................................................................60, 69, 75
IP-nummers...........................................................................................................................................75
ISO/IEC ...................................................................................... 2, 25, 27, 55, 56, 58, 62, 83, 86, 90, 91
ITIL ....................................................................................................................................................8, 42
IT-voorzieningen .......................................................................................................................66, 76, 88
Jaarlijkse Schade Verwachting (JSV) ...................................................................................................23
kernelmodus..........................................................................................................................................76
klantgegevens ...........................................................................................................................53, 67, 82
kluizen ...................................................................................................................................................39
koeling .......................................................................................................................................23, 37, 41
kostbaarste maatregel...........................................................................................................................36
kritische bedrijfsprocessen....................................................................................................................61
kwalitatieve risicoanalyse................................................................................................................18, 19
kwaliteitseisen ...................................................................................................................5, 9, 10, 11, 56
kwantitatieve risicoanalyse..............................................................................................................18, 19
kwetsbaarheden..................................................................................................................17, 18, 66, 81
kwetsbaarheid .......................................................................................................................9, 19, 49, 66
laptops.................................................................................................................................24, 33, 48, 87
leveranciers ...................................................................................................................55, 56, 61, 77, 86
licenties ...........................................................................................................................................87, 89
locaties ......................................................................................................................................32, 64, 89
logic bombs ...........................................................................................................................................74
maatregelen .... 5, 6, 9, 10, 13, 16, 18, 19, 20, 21, 25, 26, 27, 28, 30, 32, 33, 34, 38, 39, 41, 42, 44, 55,56, 57, 59, 60, 61, 63, 66, 71, 82, 83, 85, 88, 89, 90
Basiskennis Beveiliging van Informatie
99
mailadres.........................................................................................................................................67, 69
malware.............................................................................................................17, 52, 60, 69, 75, 76, 83
managementsysteem............................................................................................................................56
Mandatory Access Control (MAC) ........................................................................................................45
materialen........................................................................................................................................33, 60
medewerkers.7, 9, 12, 20, 24, 26, 27, 29, 31, 33, 36, 52, 53, 55, 59, 60, 61, 62, 63, 64, 65, 71, 73, 74,75, 83, 86, 87, 89, 91
media.................................................................................................................15, 33, 78, 79, 80, 83, 87
merking..................................................................................................................................................44
merknaam .............................................................................................................................................40
microfiche..............................................................................................................................................87
middelen............................................................................................................10, 18, 36, 42, 55, 61, 63
misbruik .............................................................................................................45, 47, 67, 70, 79, 88, 89
mobiele apparatuur ...................................................................................................................33, 43, 79
monteur .................................................................................................................................................78
muren ..............................................................................................................................................34, 35
nauwkeurigheid .....................................................................................................................................53
Nederlandse beursgenoteerde bedrijven..............................................................................................25
Nederlandse Vereniging van Banken (NVB).........................................................................................71
netwerk....................................................... 10, 13, 22, 25, 44, 52, 53, 60, 61, 63, 66, 73, 77, 78, 81, 83
netwerkprinters......................................................................................................................................81
netwerkruimten......................................................................................................................................36
netwerkverbindingen .......................................................................................................................61, 76
object...................................................................................................................................19, 36, 38, 73
onbevoegde openbaarmaking ............................................................................................48, 78, 79, 82
onderdrukkende maatregelen ...............................................................................................................21
ongeautoriseerden ................................................................................................................................53
ontwikkelaars ........................................................................................................................................60
onweerlegbaarheid................................................................................................................................82
Operating Systems (OS) .......................................................................................................................53
organisatie bedrijfsmiddelen .................................................................................................................44
organisatie BHV'ers...............................................................................................................................63
organisatie cryptografie.........................................................................................................................48
organisaties/bedrijven .............................................................................................................................9
organisatietype........................................................................................................................................9
organisatorische beveiligingsmaatregelen............................................................................................55
pand ............................................................................................................22, 26, 33, 34, 35, 36, 38, 39
papier ......................................................................................................................30, 42, 78, 80, 87, 89
paspoort ................................................................................................................................................45
patchen..................................................................................................................................................78
payload......................................................................................................................................72, 73, 74
Basiskennis Beveiliging van Informatie
100
pc.......................................................... 10, 12, 13, 17, 22, 25, 27, 29, 33, 43, 53, 60, 65, 71, 77, 78, 87
PDCA-cyclus .................................................................................................................55, 56, 58, 83, 85
PDCA-model .........................................................................................................................................57
personeelsdossiers ...............................................................................................................................60
Personele maatregele ...........................................................................................................................65
persoonlijke gegevens ....................................................................................................................27, 67
persoonsgegevens..............................................................................................................43, 52, 85, 88
phishing ...............................................................................................................................17, 69, 70, 71
pincode............................................................................................................................................36, 69
Platform voor Informatiebeveiliging (PvIB.............................................................................................10
preventieve maatregelen.................................................................................................................20, 58
printers ............................................................................................................................................33, 81
privacy .................................................................................................................6, 13, 77, 83, 85, 88, 91
privégegevens.......................................................................................................................................77
processen............................................................................. 5, 13, 14, 15, 27, 42, 53, 57, 58, 59, 65, 76
productiefactor ................................................................................................................................11, 14
productieproces.............................................................................................................41, 61, 62, 64, 90
productiesystemen ..........................................................................................................................66, 90
programmatuur............................................................. 13, 15, 23, 24, 43, 52, 53, 63, 72, 83, 86, 87, 90
provider ...............................................................................................................................55, 69, 81, 82
Public Key Infrastructure (PKI)..............................................................................................................50
rechten ..............................................................................................................13, 53, 59, 68, 76, 78, 89
redundant ..............................................................................................................................................64
regelgeving..........................................................................................................6, 25, 83, 85, 86, 88, 91
regelingen..............................................................................................................................................57
registraties.............................................................................................................................................87
rekencentrum ......................................................................................................................26, 41, 64, 65
repressieve maatregelen.......................................................................................................................25
RFID-passen .........................................................................................................................................35
rfid-tag ...................................................................................................................................................35
richtlijnen ...........................................................................................................25, 44, 56, 58, 78, 86, 88
risico ..5, 9, 16, 17, 18, 19, 20, 21, 23, 24, 26, 27, 31, 33, 42, 43, 45, 46, 48, 52, 57, 63, 66, 67, 80, 82,83, 90
risicoanalyse .................................................................. 5, 11, 16, 18, 19, 26, 28, 32, 42, 43, 46, 57, 85
risicodragende organisatie ....................................................................................................................25
risicomanagement...............................................................................................................17, 18, 26, 27
risicomijdend .........................................................................................................................................25
risiconeutraal .........................................................................................................................................25
risiconeutrale organisatie ......................................................................................................................25
risicostrategieën ..............................................................................................................................24, 26
risicowaardering ....................................................................................................................................18
Basiskennis Beveiliging van Informatie
101
rootkits...................................................................................................................................................76
rubricering .................................................................................................................................44, 78, 79
ruimten ................................................................................................................................32, 35, 36, 38
sancties ...........................................................................................................................................59, 60
SANS.....................................................................................................................................................17
SANS Institute.......................................................................................................................................17
schade................................ 16, 18, 20, 21, 22, 23, 24, 25, 26, 28, 39, 40, 41, 42, 61, 63, 71, 74, 75, 79
screening...............................................................................................................................................59
sensoren....................................................................................................................................34, 36, 39
serverruimten ............................................................................................................................36, 37, 38
servers.........................................................................................................10, 12, 23, 25, 37, 43, 75, 80
show......................................................................................................................................................23
signalering .............................................................................................................................................40
Single Loss Expectancy (SLE)..............................................................................................................23
slachtoffers ..........................................................................................................................12, 69, 70, 73
sleutelbeheer.........................................................................................................................................48
sleutelmateriaal ...............................................................................................................................48, 56
sleutelparen.....................................................................................................................................48, 49
social engineering ...............................................................................................................17, 22, 52, 74
software................................ 5, 13, 17, 19, 25, 29, 39, 44, 46, 54, 67, 69, 74, 75, 76, 78, 79, 86, 87, 89
soorten bedrijfsprocessen .....................................................................................................................14
soorten branden ....................................................................................................................................40
spam....................................................................................................................................69, 70, 71, 82
spamfilters .............................................................................................................................................71
spanningsdips .......................................................................................................................................37
spyware ...............................................................................................................................17, 69, 75, 89
standaardmaatregel ..............................................................................................................................69
Stichting Aanpak Financieel-Economische Criminaliteit in Nederland (SAFECIN ...............................70
storingen..............................................................................................................................23, 30, 41, 61
stroom .....................................................................................................................30, 32, 37, 38, 41, 89
stroomstoringen ....................................................................................................................................36
stroomuitval ...........................................................................................................................................61
student.............................................................................................................................................47, 89
systeembestanden ................................................................................................................................52
systemen............................ 10, 13, 14, 15, 17, 29, 35, 37, 39, 42, 45, 53, 61, 63, 64, 66, 76, 80, 89, 90
tapes..........................................................................................................................................36, 39, 79
technische maatregelen ........................................................................................................5, 32, 42, 55
testen...................................................................................................................................52, 65, 67, 77
Third Party Mededeling (TPM) ..............................................................................................................90
thuisomgeving .........................................................................................................................................9
Basiskennis Beveiliging van Informatie
102
toegang13, 14, 16, 17, 32, 33, 34, 35, 36, 38, 41, 44, 45, 50, 52, 53, 55, 58, 61, 67, 68, 69, 73, 76, 81,87, 88, 89, 90
toegangsbeheer ........................................................................................................................13, 35, 44
toegangsbeveiliging ..............................................................................................................................58
toegangscontrole.................................................................................................................36, 42, 45, 53
toegangscontrolesystemen .............................................................................................................38, 41
toegangspassen..................................................................................................................35, 36, 59, 61
toegangsrechten .............................................................................................................................29, 53
toeleveranciers................................................................................................................................15, 36
toepassingen.....................................................................................................42, 46, 47, 48, 52, 53, 76
toepassingssystemen......................................................................................................................46, 52
token......................................................................................................................................................45
trojans....................................................................................................................................................73
type bedrijfsmiddel ................................................................................................................................43
uitval ....................................................................................................................................61, 62, 63, 64
uitvoerbare maatregelen .......................................................................................................................20
uitvoergegevens..............................................................................................................................46, 47
Uninterruptible Power Supply (UPS).....................................................................................................37
USB-sticks.................................................................................................................5, 17, 31, 33, 78, 80
veiligheid .........................................................................................................................7, 38, 71, 83, 85
verantwoordelijkheden ....................................................................................................................65, 88
vercijferen..................................................................................................................................48, 49, 51
Verklaring Omtrent Gedrag (VOG) .......................................................................................................59
verlichting ........................................................................................................................................34, 62
verplichte brandbeveiligingseisen .........................................................................................................39
verstoringen ..........................................................................................................................................66
versturen .......................................................................................................................45, 71, 73, 75, 81
vertrouwelijke informatie .........................................................................................13, 50, 52, 68, 73, 81
vertrouwelijkheid .......................................... 9, 10, 11, 12, 13, 14, 30, 41, 47, 50, 51, 59, 67, 80, 81, 82
vertrouwensfuncties ..............................................................................................................................59
verwerkings- en gebruikersorganisatie .................................................................................................13
vingerafdruk ..........................................................................................................................................36
Virtual Private Networks........................................................................................................................77
virus.............................................................................................................22, 27, 29, 69, 72, 73, 74, 75
virussen...............................................................................................................................69, 71, 72, 73
vocht....................................................................................................................................36, 37, 38, 79
voetpad..................................................................................................................................................46
volledigheid ...........................................................................................................................................12
Voorschrift Informatiebeveiliging Rijksdienst ............................................................................25, 44, 79
waarborgen .............................................................................. 10, 12, 13, 14, 37, 38, 50, 61, 80, 86, 87
wachtwoorden .......................................................................................................................9, 17, 68, 90
Basiskennis Beveiliging van Informatie
103
werkgever..............................................................................................................................................89
werknemers.........................................................................................................................17, 55, 64, 89
werkplek ......................................................................................................10, 29, 33, 64, 72, 73, 74, 75
wissen .............................................................................................................................................24, 33
wormen................................................................................................................................69, 72, 73, 74
zaken........................................................................................ 19, 26, 28, 33, 43, 55, 58, 63, 83, 88, 91
zelfstandigen zonder personeel (ZZP)....................................................................................................9
zuurstof............................................................................................................................................39, 40
zwakheden ..........................................................................................................5, 17, 22, 27, 28, 46, 52
Basiskennis Beveiliging van Informatie
104
Voorbeeldvragen examen ISFS (EXIN)
1 van 5
U hebt een bestand ontvangen van de accountant en u controleert of de gegevens juist en volledig
zijn.
Welk kenmerk van betrouwbaarheid van informatie controleert u hiermee?
A. beschikbaarheid
B. exclusiviteit
C. integriteit
D. vertrouwelijkheid
A. Onjuist. Beschikbaarheid is de mate waarin gegevens op de juiste momenten beschikbaar zijn voor
de gebruikers.
B. Onjuist. Exclusiviteit is een synoniem van Vertrouwelijkheid.
C. Juist
D. Onjuist. Dit betreft de mate waarin de toegang tot gegevens beperkt is tot degene die daartoe
bevoegd is.
2 van 5
Bij een bedrijf is, om risico’s te beperken, gekozen voor een strategie met een mix van maatregelen.
Eén van de maatregelen is dat voor het bedrijf een uitwijkvoorziening is georganiseerd.
Tot welke categorie van maatregelen hoort een uitwijkvoorziening?
A. correctieve maatregelen
B. detectieve maatregelen
C. preventieve maatregelen
D. repressieve maatregelen
A. Onjuist. Correctieve maatregelen richten zich op herstel na beschadiging.
B. Onjuist. Detectieve maatregelen geven alleen een signaal na detectie.
C. Onjuist. Preventieve maatregelen zijn bedoeld om incidenten te voorkomen.
D. Juist. Repressieve maatregelen, zoals een uitwijk, minimaliseren de schade.
Basiskennis Beveiliging van Informatie
105
3 van 5
Hoe kan het doel van informatiebeveiligingsbeleid het beste worden omschreven?
A. Het analyseren van risico’s en het zoeken van tegenmaatregelen.
B. Het bieden van een richting en ondersteuning aan het management ten behoeve van
informatiebeveiliging.
C. Het concreet maken van het beveiligingsplan door er invulling aan te geven.
D. Het verschaffen van inzicht in dreigingen en de mogelijke gevolgen.
A. Onjuist. Dit is het doel van risico-analyse en risicomanagement.
B. Juist. Het beveiligingsbeleid biedt richting en ondersteuning aan het management ten behoeve van
informatiebeveiliging.
C. Onjuist. Het beveiligingsplan maakt het informatiebeveiligingsbeleid concreet. In het plan staat
o.a. welke maatregelen er gekozen zijn, wie verantwoordelijk is voor wat, de richtlijnen voor
implementatie van maatregelen etc.
D. Onjuist. Dit is het doel van een bedreigingenanalyse.
4 van 5
Wat is het doel van het classificeren van informatie?
A. informatie indelen naar beveiligingsbehoefte
B. toewijzen van informatie aan een eigenaar
C. verminderen van risico’s van menselijke fouten
D. voorkómen van ongeautoriseerde toegang tot informatie
A. Juist. Het doel van classificeren van informatie is het handhaven van een adequate bescherming.
B. Onjuist. Toewijzen van informatie aan een eigenaar is het middel van de classificatie en niet het
doel.
C. Onjuist. Verminderen van risico’s van menselijke fouten is onderdeel van de beveiligingseisen van
het personeel.
D. Onjuist. Voorkómen van ongeautoriseerde toegang tot informatie is onderdeel van de fysieke
beveiliging.
Basiskennis Beveiliging van Informatie
106
5 van 5
De Code voor Informatiebeveiliging (ISO/IEC 27002) is alleen van toepassing op grote bedrijven.
Is deze bewering juist?
A. ja
B. nee
A. Onjuist. De Code voor Informatiebeveiliging is niet alleen van toepassing op grote bedrijven.
B. Juist. De Code is van toepassing voor alle typen organisaties, groot of klein.