SAMENVATTING

INFORMATION SECURITY FOUNDATION

HOOFDSTUK 1 Informatie, bedrijfsdoelstellingen en kwaliteitseisen
Informatiebeveiliging betreft het definiren, implementeren, onderhouden, handhaven en evalueren
van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit en de
vertrouwelijkheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen.
Kennis die iemand bereikt onderscheidt informatie van gegevens en van data. Data zijn gegevens die
in de informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie als deze
gegevens genterpreteerd kunnen worden tot een zinvolle boodschap. De waarde van informatie
wordt bepaald door de waarde die de ontvanger van deze informatie daaraan toekent.
Een informatiesysteemis het geheel van middelen, procedures, regels en mensen dat de
informatievoorziening voor een bedrijfsproces verzorgt.
In de informatietechnologie en in de informatiebeveiliging is het gebruikelijk ook informatie als
productiefactor te zien (naast kapitaal, arbeid en grondstoffen), aangezien bedrijven niet zonder
informatie kunnen.
Informatie moet betrouwbaar zijn, dat wil zeggen (BIV):
beschikbaar (availibility); de mate waarin informatie beschikbaar is voor de gebruiker en het
systeem in bedrijf is op het moment dat dat nodig is. Tijdigheid: de informatiesystemen zijn
beschikbaar gedurende werktijd, continuiteit: medewerkers kunnen doorwerken en
robuustheid: voldoende capaciteit om alle medewerkers met het systeem te laten werken.
integer (integrity); de mate waarin de informatie actueel en zonder fouten is. Kenmerken van
integriteit zijn de juistheid en de volledigheid van de informatie.
vertrouwelijk (exclusiviteit of confidentiality); de mate waarin de toegang tot informatie beperkt
is tot een gedefinieerde groep die daar rechten toe heeft. Hieronder vallen ook maatregelen
die de privacy beschermen. Inloggen inhet systeem is een voorbeeld van vertrouwelijkheid.
Elk bedrijfsproces stelt specifieke eisen aan de informatievoorziening. Websites moeten bijv. een hoge
beschikbaarheid hebben, andere processen zijn gebaat bij de correctheid van bijv. productprijzen.
Bij ieder verzoek om een risicoanalyse uit te voeren of een beveiligingsadvies te geven, zal de
adviseur op basis van deze drie pijlers zijn of haar advies uitbrengen. Uitgangspunt is de invloed die
de BIV-eisen hebben op de waarde van de informatie:
- Het belang van de informatie voor de bedrijfsprocessen;
- De onmisbaarheid van de informatie binnen bedrijfsprocessen;
- De herstelbaarheid van de informatie
Informatiearchitectuur is het proces dat zich richt op de inrichting van de informatievoorziening binnen
een organisatie en richt zich primair op het invullen van de informatiebehoefte van een organisatie
en de wijze waarop dit georganiseerd kan worden. Informatiebeveiliging kan dit proces ondersteunen
door de integriteit, beschikbaarheid en vertrouwelijkheid van de informatie te waarborgen.
Informatieanalyse brengt in kaart op welke wijze een organisatie omgaat met informatie. Hoe loopt de
flow van informatie door de organisatie heen. Bijv. het plaatsen van een order en de verwerking.
Informatiemanagement formuleert en richt het beleid in rondom de informatievoorziening van een
organisatie. Daarbij kan een informatiemanager gebruik maken van de informatiearchitectuur en een
informatieanalyse. Dit hoeft zeker niet alleen de geautomatiseerde IV te zijn, ook PR valt hieronder.
Informatica heeft betrekking op de wetenschap die zich bezighoudt met de logica die gebruikt
wordt bij het structureren van informatie en systemen. Daarbij is van belang dat deze kennis ingezet
kan worden in het ontwikkelen van programmatuur.
HOOFDSTUK 2 Dreigingen en risicos
Met een risicoanalyse worden de risicos voor een organisatie in kaart gebracht. Een risico; de kans
op schade maal de hoogte van de schade, wordt bepaald door een aantal factoren. Dit zijn:
De dreiging; een proces of gebeurtenis die de BIV van informatie of informatiesysteem kan
aantasten.
De kans dat een dreiging zich daadwerkelijk voordoet;
De gevolgen daarvan.
Wanneer een dreiging zich manifesteert spreken we van een incident. Een stroomstoring is een
voorbeeld van een groot incident waarbij de continuiteit van het bedrijf in gevaar is. Dit noemen we
een calamiteit.
Het proces om van dreigingen naar risicos en naar beveiligingsmaatregelen te gaan heet
risicomanagement. Dit is een continu proces waarin de risicos worden onderzocht, gedentificeerd en
gereduceerd tot een acceptabel niveau.
Risicoanalyse heeft als doel inzichtelijk te maken welke dreigingen relevant zijn voor de
bedrijfsprocessen en welke risicos hiermee gepaard gaan. Het beveiligingsniveau met de daarbij
passende beveiligingsmaatregelenworden vastgesteld. Een risicoanalyse wordt gebruikt om zeker te
stellen dat beveiligingsmaatregelen op een kosteneffectieve en tijdige manier worden ingezet en
daarmee een goed antwoord vormen op de dreigingen. Een risicoanalyse heeft 4 hoofddoelen:
- Het identificeren van middelen en hun waarde;
- Het vaststellen van kwetsbaarheden en dreigingen;
- Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het
bedrijfsproces verstoren;
- Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een
beveiligingsmaatregel.
Kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen wat het financile
verlies is en hoe groot de kans is dat een dreiging een incident wordt (dus dat het zich manifesteert).
Kwalitatieve risicoanalyse gaat uit van scenarios en situaties. Hierbij worden de kansen dat een
dreiging uitkomt bekeken op gevoel. Dan wordt gekeken naar het bedrijfsproces waarop de dreiging
betrekking heeft en naar de beveiligingsmaatregelen die al genomen zijn. Dit alles levert een
subjectief dreigingsgevoel op, waarop vervolgens maatregelen worden genomen.
Typen beveiligingsmaatregelen:
Preventieve maatregelen zijn gericht op het voorkomen van incidenten;
Detectieve maatregelen zijn bedoeld om incidenten waar te kunnen nemen (videobewaking);
Repressieve maatregelen zijn bedoeld om de gevolgen van een incident te stoppen (backup);
Correctieve maatregelen zijn bedoeld om de ontstane schade te herstellen.
Soorten dreigingen zijn:
Menselijke dreigingen: opzettelijk, niet opzettelijk of social engineering (gebruik maken van
mensen door ze informatie te ontfutselen)
Niet-menselijke dreigingen: invloeden van buitenaf zoals bliksem, brand, stormschade etc.
Soorten schade zijn:
Directe schade; heeft direct gevolgen voor de business, bijv. diefstal
Indirecte schade; gevolgschade die kan optreden, bijv. waterschade van het brandblussen
J aarlijkse Schade Verwachting (J SV) of Annual Loss Expectancy (ALE)
Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE)
Risicostrategien; we kunnen op verschillende manieren met risicos omgaan. De meest voorkomende
strategien zijn:
Risicodragend; sommige risicos worden geaccepteerd. Veelal repressieve maatregelen.
Risiconeutraal; er worden dusdanige maatregelen genomen dat dreigingen of niet meer
manifest worden, of dat de schade ervan geminimaliseerd is. Combinatie van preventieve,
detectieve en repressieve maatregelen.
Risicomijdend; zorgen dat de dreiging helemaal niet meer leidt tot een incident. Met name
preventieve maatregelen worden getroffen.
ISO/IEC 27001:2005 gaat over de inrichting van het informatiebeveiligingsproces.
ISO/IEC 20000 is de wereldwijde standaard voor IT-servicemanagement.
Beide normeringen bieden houvast om de bedrijfsprocessen doelmatig en beveiligd in te richten.
In de ISO/IEC 27002:2007, ook wel bekend onder de naam Code voor de Informatiebeveiliging,
staan richtlijnen voor maatregelen op het gebied van informatiebeveiliging. De richtlijnen in de ISO/IEC
27002:2007 bestrijken het organisatorisch vlak, het procedurele vlak, het fysieke vlak en het logische
vlak van informatiebeveiliging.
De overheid heeft regels opgelegd voor de beveiliging van bepaalde informatie. Denk bijvoorbeeld
aan de Wet Bescherming Persoonsgegevens (WBP). Voor overheidsinstellingen is er het Voorschrift
Informatiebeveiliging Rijksdienst 2007 (VIR 2007) en de VIR-BI voor het omgaan met bijzondere
informatie.
HOOFDSTUK 3 Informatiebeveiligingsincidenten en -zwakheden
Meldingen (incidenten) die binnenkomen bij de servicedesk, nadat is vastgesteld dat het om een
informatiebeveiligingsincident gaat, kunnen worden gescaleerd op twee manieren:
- Functionele escalatie: horizontaal, wordt gemeldt aan iemand met meer expertise.
- Hierarchische escalatie: verticaal, wordt gemeld aan iemand met meer autoriteit.
Het doel van het incidentmanagementproces is ervoor zorgen dat gebeurtenissen en -zwakheden die
verband houden met informatiesystemen bekend worden zodat op tijd maatregelen worden genomen.
Alle betrokken medewerkers behoren gebeurtenissen en zwakke plekken zo snel mogelijk te melden.
Het primaire doel is om hiervan te leren, om soortgelijke incidenten te voorkomen. Bovendien is de
bedoeling dat er terugkoppeling naar de melder wordt gegeven.
Het is van belang eerst het incident te melden en advies te vragen over hoe te handelen.
Beveiligingsmaatregelen zijn gericht op een bepaald moment in de incidentcyclus. De maatregelen
zijn gericht op het voorkomen van bedreigingen (preventief) of het reduceren van bedreigingen
(reductief), detecteren van incidenten (detectief), reageren op incidenten, doen ophouden van
bedreigingen (repressief) en het corrigeren van dreigingen (correctief).
De maatregelen worden genomen:
- Ter waarborging van de beschikbaarheid
- Ter waarborging van de integriteit
- Ter waarborging van de vertrouwelijkheid
HOOFDSTUK 4 Fysieke maatregelen
Fysieke beveiliging is een onderdeel van informatiebeveiliging omdat alle bedrijfsmiddelen ook fysieke
beveiliging nodig hebben. Fysieke maatregelen worden hier genomen om informatie te beschermen
tegen brand, diefstal, vandalisme, sabotage, ongeautoriseerde toegang, ongelukken en natuurgeweld.
- Apparatuur: bescherming door klimaatbeheersing (airco), speciale blusmiddelen en schone
stroom. Bij schone stroom worden pieken en dalen (vuile stroom) voorkomen en gefilterd.
- Bekabeling: hierbij mag geen interferentie optreden, dwz geen ruis en storing opnemen van
stroomkabels die parallel lopen. Kabelgoten goed afschermen, evt. server met 2 voedingen.
- Materiaal / media: voor medewerkers moet duidelijk zijn hoe ze met gegevensdragers om
moeten gaan. Procedures indien dergelijke apparatuur is verloren of gestolen.
De te beschermen bedrijfsmiddelen mogen niet eenvoudig bereikt kunnen worden, en hierbij kan het
eenvoudigst gedacht worden in ringen:
- De buitenring: om het pand heen kan worden beschermd met natuurlijke en bouwkundige
hindernissen. Natuurlijke hindernissen zijn bijvoorbeeld dikke begroeiing of een rivier.
Bouwkundige hindernissen zijn bijvoorbeeld hekken, prikkeldraad, concertina's (opgerold
prikkeldraad dat als een harmonica uiteen wordt getrokken) en muren. Voor alle bouwkundige
hindernissen bestaan strikte regels. Het gebied tussen de buitenring en het pand kan gebruikt
worden voor bewaking door een persoon.
- Het gebouw: voorbeelden om een pand te beschermen zijn braakwerend glas, en deuren met
het juiste hang- en sluitwerk. Ook kaartsystemen, code- en cijfersloten en cameratoezicht.
Om de toegang tot het pand te beheren zijn er verschillende mogelijkheden:
Electronisch toegangsbeheer: bij veel organisaties worden passystemen toegepast met
draadloze, zogenaamde RFID-passen (ook wel druppelsgenoemd). Dit zijn momenteel de
meest gebruikte systemen. Daarnaast bestaan ook toegangspassen, al dan niet met pasfoto.
Bewaking: duurste maatregel voor fysieke beveiliging. Controleert ook op toegangspassen.
Speciale ruimten, zoals server- en netwerkruimten, zullen apart bekeken moeten worden voor de
fysieke beveiliging. En van de grootste bedreigingen van een serverruimte is brand. Bovendien is het
raadzaam in dit soort ruimten verschillende groepen stroom te gebruiken en UPS.
Voor bescherming van het object zelf zijn diverse mogelijkheden aanwezig:
Clear desk policy: In afwezigheid van een medewerker ligt geen informatie op het bureau en
na werktijd wordt alle informatie opgeborgen in een afsluitbare kast.
Kast: over het algemeen niet speciaal brandveilig, en weinig braakwerend.
Brandkast of waardekast: brandkasten zijn geen kluizen maar kunnen wel gecombineerd
worden met extra braakwerende eigenschappen.
Onder alarm kan worden verstaan: passieve infrarooddetectie (nemen temperatuurwijzigingen waar
binnen een bepaald bereik), cameras, trillingdetectie, glasbreuksensoren en magneetcontacten
(sensoren die het openen van een deur of raam detecteerd). De sensoren moeten worden
aangesloten op indringerdetectiesystemen en goed worden gemonitord. In alle gevallen moet bij een
alarmworden nagekeken waarom het alarm is afgegaan. Van alarmmeldingen wordt een logboek
bijgehouden.
Emergency planning is het proces dat er voor moet zorgen dat in het geval van een calamiteit,
bijvoorbeeld het uitvallen van een hele serverruimte, maatregelen worden genomen.
HOOFDSTUK 5 Technische maatregelen
Bedrijfsmiddelen zijn noodzakelijk voor een organisatie. Bedrijfsmiddelen kosten geld of
vertegenwoordigen een bepaalde waarde. Bedrijfsmiddelen zijn onder andere informatie,
programmatuur, apparatuur, media, diensten, imago of reputatie, mensen en hun kennis etc.
Bedrijfsmiddelen hebben een classificatie nodig om er beveiligingsniveaus voor te kunnen vaststellen.
De eigenaar, iemand die verantwoordelijk is voor een bedrijfsproces en de daarbij behorende
bedrijfsmiddelen, dient hiervoor te zorgen. Ieder bedrijfsmiddel moet een eigenaar hebben.
Een goede registratie van bedrijfsmiddelen is noodzakelijk voor de risicoanalyse maar ook voor
verzekeringen, wettelijke vereisten e.d. Het gebruik van bedrijfsmiddelen is aan regels gebonden.
Deze regels zijn bijvoorbeeld vastgelegd in een handleiding.
Classificeren is het indelen van informatie naar gevoeligheid. De eigenaar van een bedrijfsmiddel kent
hieraan een juiste rubricering toe volgens een vooraf afgesproken lijst met classificaties. De
rubricering geeft aan welke vorm van beveiliging noodzakelijk is. Dit wordt onder andere bepaald door
gevoeligheid, waarde, wettelijke eisen en belang voor de organisatie. De eigenaar kan ook een
bedrijfsmiddels herclassificeren als dat nodig is.
Rubricering is de classificatie die aan informatie wordt toegekend, zoals geheim, confidentieel, en
personeelsvertrouwelijk. De term rubriceren wordt vaak binnen de overheid gebruikt. Als een
bedrijfsmiddel een rubricering heeft, wordt het gemerkt of gelabeld. Dit kan fysiek of elektronisch.
Merking is een bijzondere aanduiding, bijvoorbeeld een indeling naar zaak of organisatie of kring van
gerechtigden.
Logisch toegangsbeheer betreft het verlenen van toegang tot digitale informatie en informatiediensten
aan die personen die daartoe geautoriseerd zijn, maar ook het voorkomen dat niet-gerechtigden
toegang krijgen tot deze digitale informatie. De eigenaar van de gegevens, over het algemeen een
manager, zal in het autorisatieproces de autorisatie verlenen.
Bij het verlenen van toegang wordt vaak onderscheid gemaakt tussen identificatie, authenticatie en
autorisatie. Identificatie is de eerste stap in het toegangsverleningsproces. Bij de identificatie biedt de
persoon of het systeem een token aan, bijvoorbeeld een sleutel of gebruikersnaam/ wachtwoord.
Vervolgens bepaalt het systeem waar toegang tot verkregen moet worden en of het token authentiek
is (dus of de inloggegevens kloppen). Zodra dit is vastgesteld kunnen autorisaties toegekend worden.
Validatie is een belangrijk middel om gebruikersfouten en misbruik te voorkomen. Gegevens die
worden ingevoerd in toepassingen behoren te worden gevalideerd om ervoor te zorgen dat ze
betrouwbaar zijn. Zakelijke transacties en vaste gegevens kunnen automatisch worden gecontroleerd.
Denk bijvoorbeeld aan een invoerveld voor de postcode dat altijd een vast formaat kan hebben.
Cryptografie (versleuteling van informatie) is een maatregel die ingezet kan worden door de
organisatie als bijvoorbeeld gegevens vertrouwelijk zijn. Over het gebruik van cryptografie moet goed
worden nagedacht en dit moet in een beleidsdocument worden beschreven. Soorten cryptografische
systemen zijn:
Symmetrisch: voor het vercijferen en ontcijferen is slechts 1 sleutel nodig
Asymmetrisch: voor het vercijferen en ontcijferen zijn twee verschillende sleutels nodig
Eenrichtingsvercijfering: hashfunctie om vast te stellen of bepaalde gegevens niet veranderd
zijn. Een bericht wordt omgezet in een numerieke waarde. Hiermee wordt integriteit
gecontroleerd (zoals een wachtwoord), maar geen vertrouwelijkheid.
Het beheer van de sleutels is een belangrijk onderdeel van het beleid in het gebruik van
cryptografische technieken. Cryptografische sleutels behoren te worden beschermd tegen wijziging,
verlies en vernietiging.
Een digitale handtekening is een methode voor het bevestigen van de juistheid van digitale informatie,
vergelijkbaar met het ondertekenen van papieren documenten door middel van een geschreven
handtekening. Het is een voorbeeld van asymmetrische cryptografie.
Public Key Infrastructure (PKI) is een systeem waarmee uitgiften en beheer van digitale certificaten
kan worden gerealiseerd. Een kenmerk van PKI is dat deze door afspraken, procedures en een
organisatiestructuur waarborgen biedt over welke persoon of systeem hoort bij een specifieke publieke
sleutel. Een Public Key Infrastructure wordt vaak beheerd door een onafhankelijke autoriteit. Vecozo is
een Nederlands voorbeeld van een dergelijke autoriteit. Vecozo voorziet in het uitwisselen van
vertrouwelijke informatie in de gezondheidszorg, en is daarmee een Certification Authority (CA).
Voor de bescherming van data bij testen mag in testsystemen uitsluitend fictieve data voorkomen. Ook
de broncodes van systeembestanden dienen zorgvuldig behandeld te worden. De toegang tot
broncode van programmatuur behoort te worden beperkt tot alleen de hoogst noodzakelijke
medewerkers.
HOOFDSTUK 6 Organisatorische maatregelen
Door beleid voor de beveiliging van informatie vast te stellen geeft het management van de
organisatie richting en ondersteuning. Dit beleid wordt vastgesteld in overeenkomst met de
bedrijfsmatige eisen en de relevante wetten en voorschriften.
Een document met het informatiebeveiligingsbeleid hoort door de directie te worden goedgekeurd,
gepubliceerd en kenbaar gemaakt aan alle werknemers en alle relevante externe partijen zoals
klanten en leveranciers.
Vanuit het informatiebeveiligingsbeleid (hoofddocument) komt voort:
- Regelingen; een regeling is meer gedetailleerd dan een beleidsdocument;
- Procedures; ook wel leidraad genoemd. Hoe worden maatregelen genomen.
- Richtlijnen; (adviserend) geven aan welke aspecten moeten worden bekeken bij beveiliging.
- Standaarden; bevatten bijvoorbeeld de standaardinrichting van bepaalde platform.Een
standaard is de ISO/IEC 27001:2005 voor het inrichten van informatiebeveiliging in de
organisatie.
Personeel
Bij sollicitaties voor een functie waarin met gevoelige informatie wordt om gegaan, zullen referenties,
identiteit en diplomas gecontroleerd moeten worden. Of iemand strafbare feiten heeft gepleegd kan
worden gecontroleerd door een Verklaring Omtrent Gedrag (VOG) verplicht te stellen. Een VOG
wordt verstrekt door het Ministerie van J ustitie. Voor specifieke functies kunnen speciale regels
gelden. In ieder geval tekenen alle medewerkers met een vertrouwensfunctie een geheimhoudings-
verklaring (Non Disclosure Agreement / NDA). Daarnaast kan het nodig zijn een screening of
veiligheidsonderzoek te laten doen.
En van de meest effectieve maatregelen voor informatiebeveiliging is dat de medewerkers een
bewustwordingscursus krijgen wanneer ze in dienst treden, als deel van de interne opleiding.
Continuteit
Het doel van bedrijfscontinuteitsbeheer (Business Continuity Management, BCM) is het voorkomen
dat bedrijfsactiviteiten worden onderbroken, het beschermen van kritische bedrijfsprocessen tegen de
gevolgen van omvangrijke storingen in informatiesystemen en tijdig herstel.
Continuteitsmanagement wordt in de informatiebeveiliging vaak opgesplitst in twee afzonderlijke,
maar wel sterk aan elkaar gerelateerde onderdelen:
Business Continuity Planning (BCP) waarin de continuteit van de bedrijfsprocessen
gewaarborgd wordt;
Disaster Recovery Planning (DRP) waarbij het herstel na een calamiteit geregeld wordt. Het
doel van DRP is het minimaliseren van de gevolgen van een calamiteit en het nemen van de
noodzakelijke maatregelen om er voor te zorgen dat de middelen, medewerkers en bedrijfs-
processen binnen een acceptabele tijd weer beschikbaar zijn.
DRP is gericht op het herstel direct na een calamiteit. Het DRP wordt in werking gesteld op het
moment dat de calamiteit nog gaande is. Iedereen is druk met het bepalen van de schade en probeert
de systemen weer draaiende te krijgen.
BCP gaat verder en heeft een bredere focus. In BCP wordt het inrichten van een alternatieve
locatie geregeld om te kunnen werken terwijl de originele locatie herbouwd wordt. In BCP is alles er
op gericht het bedrijf vanaf het moment dat een calamiteit plaatsvindt weer deels draaiende te
krijgen totdat het bedrijf volledig hersteld is.
DRP: er is nu een calamiteit en wat doe ik om weer in productie te komen;
BCP: we hebben een calamiteit gehad en wat doe ik tot het moment waarop de situatie gelijk is aan
de situatie vr de calamiteit.
In een bedieningsprocedure, een procedure ter voorkoming van misverstanden over de wijze waarop
apparatuur bediend moet worden, staat in ieder geval:
- De manier waarop met informatie wordt omgegaan;
- Hoe, wanneer en welke soorten back-ups worden gemaakt;
- Contactpersonen in geval van een incident;
- Beheer van audit trails en logbestanden
Change management beheert wijzigingen in systemen. Dit zijn vaak vooraf geplande wijzigingen. Een
wijziging heeft gevolgen die vooraf bekend moeten zijn en voorbereid kunnen worden.
Taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kans op onbevoegde of
onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
Bij functiescheiding wordt bekeken of een medewerker besluitvormende, uitvoerende of controlerende
taken heeft. Enerzijds wordt gekeken of een medewerker toegang tot informatie nodig heeft. Een
andere kant van functiescheiding is dat taken gesplitst kunnen worden om risicos voor de
organisatie te verminderen. Bijv. een overboeking van een groot bedrag: de ene medewerker maakt
de overboeking klaar, de andere medewerker autoriseert de boeking en verzendt deze.
Enkele definities:
Malware is een samentrekking van de woorden Malicious (Engels voor kwaadaardig) en Software en
vormt een verzamelnaam voor ongewenste software zoals virussen, wormen en spyware. Een
standaardmaatregel hiertegen is het gebruik van antivirusscanners en een firewall.
Phishing is een vorm van internetfraude. Meestal ontvangt het slachtoffer een mail waarin hem of
haar gevraagd wordt een account bij bijvoorbeeld een bank of een service provider te checken en te
bevestigen. Ook wordt er wel gebruik gemaakt van instant messaging. Soms wordt telefonisch
contact opgenomen. De daders van phishing zijn moeilijk te achterhalen.
Spamis een verzamelnaam voor ongewenste berichten. Meestal wordt met de term ongewenste mail
bedoeld, maar ook ongewenste reclameboodschappen op websites (oa. fora) vallen onder spam. De
kosten worden evenwel verplaatst naar de ontvangers: tegenover een kleine groep genteresseerden
staan zeer veel mensen die tijd kwijt zijn met het verwijderen van berichten uit hun mailbox.
Virus is een stukje programmatuur dat zichzelf doelbewust, in al dan niet gewijzigde vorm, kan
vermenigvuldigen. De nakomelingen van het virus moeten volgens deze definitie zelf ook weer
virussen zijn. Voor de verspreiding is het virus afhankelijk van dragers die uitvoerbare code bevatten.
Wormis een stukje programmatuur dat zichzelf doelbewust vermenigvuldigd. De nakomelingen
van de worm zijn kopieen van het origineel en verspreiden zich door gebruik te maken van de
netwerkfaciliteiten van zijn gastheer.
De verschillen tussen een worm en een virus zijn: een virus kan via verschillende dragers zijn
gastheer aanvallen en infecteert nieuwe dragers door daadwerkelijk code in die geinfecteerde dragers
te plaatsen. Een worm daarentegen maakt altijd gebruik van dezelfde drager en infecteert geen
andere bestanden. Bovendien is een worm niet afhankelijk van een gebruiker om zichzelf fysiek te
kunnen verspreiden: zodra een worm geactiveerd wordt is deze geheel autonoom in staat zichzelf te
verspreiden. Hierdoor kunnen wormen in vaak zeer korte tijd grote gebieden te besmetten.
Trojan is een programma, dat naast de voorgespiegelde functionaliteit, ongemerkt en bewust niet
aan de gebruiker kenbaar gemaakte activiteit ontplooit die mogelijk de integriteit van het geinfecteerde
systeem aantast. Vaak installeert de payload van een trojan een zogebaamde "backdoor", waarmee
onbekenden zich (zonder daartoe gerechtigd te zijn) toegang tot het geinfecteerde systeem kunnen
verschaffen. Een andere veel voorkomende activiteit van trojans bestaat uit het versturen van
vertrouwelijke informatie vanaf het geinfecteerde syteem naar een locatie waar deze verzameld en
geanalyseerd kan worden.
Hoax is een bericht dat probeert de lezer ervan zover te krijgen dat hij de inhoud van het bericht
voor waar aanneemt en vervolgens een bepaalde handeling verricht. Voor z'n verspreiding is een
hoax afhankelijk van het bewust versturen naar andere potentiele slachtoffers.
Logic bomb is iets waarbij een stuk code in een softwaresysteem gebouwd die een functie uitvoert
wanneer er aan specifieke voorwaarden wordt voldaan. Dit wordt niet altijd gebruikt voor
kwaadaardige doeleinden. Zo kan een programmeur code inbouwen die (gevoelige) bestanden
verwijderd wanneer ze het bedrijfsnetwerk verlaten. Virussen en wormen bevatten vaak logic bombs,
daarbij is er meestal sprake van een ingebouwde vertraging van de uitvoering van het virus of de
verspreiding van de worm.
Spyware is een definitie die vaak wordt gebruikt voor computerprogrammas die informatie verzamelen
over een computergebruiker en deze info doorsturen naar een externe partij. Het doel daarvan is om
geld te verdienen. Hier gaat het dus nadrukkelijk niet om software die schade aan de PC en/of de
genstalleerde software veroorzaakt, maar om een privacyprobleem.
Botnet is een collectie van aan elkaar gekoppelde computers die software gebruiken die meestal is
genstalleerd door een computerworm, Trojaans Paard of backdoor.
Rootkit is een set softwaretools die vaak worden gebruikt door een derde partij (meestal een
hacker) na toegang te hebben verkregen tot een (computer-) systeem. De rootkit nestelt zich diep in
het besturingssysteem, zodat het mogelijk is dat het besturingssysteem instabiel wordt. De rootkit is
bijna niet te verwijderen zonder de functie van het besturingssysteem te beschadigen.
Back-up en restore
Het doel van het maken van back-ups of wel reservekopien is het handhaven van de integriteit en
beschikbaarheid van informatie en IT-voorzieningen.
Virtual Private Network (VPN) maakt gebruik van een reeds bestaand netwerk, doorgaans
het internet, om informatiedeling tussen geografisch afgescheiden netwerken mogelijk te maken alsof
er een 'eigen' (bedrijfs)netwerk voorzien was.
HOOFDSTUK 7 Wet- en regelgeving
Ieder bedrijf heeft zich te houden aan de lokale wet- en regelgeving en aan contractuele
verplichtingen. De beveiligingseisen die aan het bedrijf gesteld worden hebben daar een sterke relatie
mee. Vooral internationaal opererende bedrijven hebben het beleid vaak wat globaler opgesteld en de
onderliggende beleidsstukken aangepast aan de wetgeving die in het land van de vestiging van
toepassing is.
Compliancy wil zeggen dat een organisatie zowel de interne bedrijfsregelgeving als de wetten van het
land en de lokale regelgeving dient na te leven.
De organisatie dient beleid te maken waarin zij verklaart aan de (nationale en lokale) wet- en
regelgeving te voldoen. Procedures en handreikingen aan de medewerkers maken duidelijk hoe zij in
de praktijk die regels moeten toepassen. Risicoanalyses zorgen er voor dat de juiste
beveiligingsniveaus worden vastgesteld en de juiste, bij die beveiligingsniveaus passende
maatregelsets vastgesteld en gemplementeerd worden.
Onder de intellectuele eigendomsrechten vallen auteursrecht op programmatuur of documenten,
ontwerprechten, handelsmerken, octrooien en broncodelicenties. Programmatuur waarop
eigendomsrechten rusten, wordt doorgaans geleverd op basis van een licentieovereenkomst die de
licentievoorwaarden noemt, die bijvoorbeeld het gebruik van programmatuur beperken tot bepaalde
machines of het kopiren beperken tot het maken van backupkopien.
Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing,
overeenkomstig wettelijke en regelgevende eisen. Datzelfde geldt natuurlijk voor contractuele
verplichtingen en bedrijfsmatige eisen.
Registraties behoren te worden gecategoriseerd naar type, bijvoorbeeld boekhoudkundige
registraties, databaserecords etc. Bij elk type behoort de bewaartermijn en het type opslagmedium te
worden vermeld, bijvoorbeeld papier, microfiche, magnetische of optische opslag.
Bij de overheid is voor de bescherming van informatie de archiefwet van toepassing. In de archiefwet
worden de volgende hoofdonderwerpen behandeld: archief creatie, beheer, vernietiging, overdracht
naar het centrale archief, overdracht tussen overheden en toegang tot archieven.
De bescherming van gegevens en privacy valt onder de Wet Bescherming Persoonsgegevens (WBP)
en de richtlijnen van het College Bescherming Persoonsgegevens (CBP). Daarnaast kunnen
contractuele bepalingen met een klant meespelen. Naleving van dit beleid en alle relevante wet- en
regelgeving voor gegevensbescherming kan het beste worden bereikt door een verantwoordelijke aan
te wijzen, bijvoorbeeld een functionaris die belast is met de bescherming van gegevens en die
ondersteuning geeft aan managers, gebruikers en dienstverlenende bedrijven.
En belangrijk punt is dat de burger inzagerecht heeft in de over hem/haar geregistreerde gevens. Het
is aan te bevelen hiervoor beleid en procedures te hebben.
Op het gebied van wetgeving is er ook nog de Wet Computer Criminaliteit (WCC). Deze wet is in 2006
aangepast. Het opzettelijk en wederrechtelijk binnendringen in computer systemen is strafbaar, zelfs
als de systemen geen beveiliging bevatten. Ook het onbruikbaar maken van computersystemen met
bijvoorbeeld denial of service attacks is aangescherpt in deze herziening.
Tot slot komt een interne en / of externe auditor controleren of de organisatie wel aan de regels
voldoet. De auditor doet dit door te kijken of de maatregel bestaat. Staat deze in het beleid, wordt
deze in de praktijk uitgevoerd en functioneert de maatregel zoals bedoeld etc.