Informatiebeveiliging

Wat is informatiebeveiliging?

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
 

Beveiligingsniveau

Op basis van een risicoanalyse wordt het gewenste niveau van beveiliging bepaald. Daarbij wordt in de regel een BIV-klasse beschikbaarheid bepaald, vaak uitgebreid met een indicatie voor controleerbaarheid (het belang om achteraf toegang en transacties te kunnen verifiëren). 
 
  • Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid. Zie ook Business Continuity Management.
  • Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en geautoriseerdheid van de transacties.
  • Vertrouwelijkheid of exclusiviteit is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.
  • Toerekenbaarheid geeft de garantie dat bij een transactie waarin twee partijen betrokken zijn, aantoonbaar is dat beide partijen deel hebben genomen aan de transactie; bijvoorbeeld een verzender kan aantonen dat de ontvanger ontvangen heeft en de ontvanger kan aantonen wie de verzender was.
 

Informatiebeveiligingsbeleid

In het informatiebeveiligingsbeleid worden de uitgangspunten van de beveiliging vastgelegd. Veelal wordt hiervoor de standaard van ISO 17799 gebruikt. Deze standaard is de meest universeel geaccepteerde standaard voor informatiebeveiliging in de wereld. De Code kent de volgende elf hoofdstukken:
 
  1. Beveiligingsbeleid
  2. Beveiligingsorganisatie
  3. Classificatie van beheer en bedrijfsmiddelen
  4. Beveiligingseisen ten aanzien van personeel
  5. Fysieke beveiliging en beveiliging van de omgeving
  6. Beheer van communicatie en bedieningsprocessen
  7. Toegangsbeveiliging
  8. Ontwikkeling en onderhoud van systemen
  9. Incident management
  10. Continuïteitsmanagement
  11. Naleving

 

Deel House of Control via Social Media