Informatiebeveiliging
2e druk
Inhoudsopgave
Voorwoord 5
Inleiding 15
Introductie 15
Voor wie is dit boek
bedoeld? 16
De indeling van het
boek 16
Deel 1.
Waarde en risico’s 17
Deel 2. Te
nemen maatregelen 18
Deel 3.
Technische maatregelen 18
Deel 4.
Niet-technische maatregelen 19
Deel 5.
Het beveiligingsplan 20
Deel 6.
Appendices 21
1 Wat is uw informatie u waard? 23
Inleiding 23
Waardebepaling van
informatie 24
Herstelbaarheid 25
Misbaarheid 25
Betrouwbaarheid 26
Belang 26
Scorelijst 26
De
centrale server of computer 26
Telefoonlijst 27
Salarisadministratie 27
Patiëntgegevens in een ziekenhuis 28
Gemeentelijke bevolkingsadministratie 28
Informatie als
handelswaar 29
2 Dreigingen en risico’s 31
Inleiding 31
Soorten
dreigingen 32
Dreigingenanalyse 34
De
centrale server/computer 35
De
PC 36
De
werkplek in een netwerk 37
De gevolgen van een
dreiging 37
Opzettelijke dreigingen 38
Menselijk
falen 39
Technisch
falen 39
Externe
oorzaken 40
Bepaling van de mogelijke
schade 41
Informatieanalyse 41
Bepaling van het
risico 43
Code voor
Informatiebeveiliging 45
Risico-evaluatie 46
3 De Code voor Informatiebeveiliging 47
Inleiding 47
Het ontstaan van de code voor
informatiebeveiliging 47
Uitgangspunten van de
Code 48
De 10
hoofdcategorieën voor informatiebeveiliging 49
De 10
belangrijkste maatregelen: het vertrekpunt 50
Werken met
de Code: het ontwikkelen van een basisniveau voor
informatiebeveiliging 51
Actieplan 55
Toekomstige
ontwikkelingen 57
Evaluatie
en certificatie 57
De
toekomst van de Code 57
4 Beveiliging en de wet 59
Inleiding 59
Wetgeving 59
De WPR en de
WBP 60
Wet
Persoons Registraties 60
Wet
Bescherming Persoonsgegevens 63
Privacy in
de praktijk 64
Het strafrecht: de Wet
Computercriminaliteit 65
Wet
Computercriminaliteit II 66
Bescherming van
software 67
Wet
Telecommunicatievoorzieningen 68
Onrechtmatige concurrentie en
mededinging 69
Aansprakelijkheid 69
Civiele
procedures 70
Contracten 70
SLA, IA en
CP/CPS 71
Verzekeringen 71
Tot
slot 72
5 Beveiligingsmaatregelen en middelen 73
Inleiding 73
Hoe werken
beveiligingsmaatregelen? 74
De fasen in de
beveiligingscyclus 75
Sjabloon voor het plannen van
maatregelen 77
6 Organisatie en beveiliging 79
Inleiding 79
Beleid 79
Verantwoordelijkheid 80
Taakverdeling 82
Directie 82
De
beveiligingsfunctionaris 83
De IT
Security Manager 83
De interne
/ externe accountant 84
De
IT-auditor 84
De
systeembeheerder 84
De
systeemoperator 84
De
analist/programmeur 84
Personeelszaken 85
Gebruikers
en eigenaren 85
7 Maatregelen voor informatiebeveiliging 87
Inleiding 87
Informatiebeveiligingsbeleid 89
Organisatie van de
informatiebeveiliging 90
Classificatie en beheer van
bedrijfsmiddelen 91
Beveiligingseisen ten aanzien
van personeel 91
Fysieke beveiliging en
beveiliging van de omgeving 92
Computer- en
netwerkbeheer 94
Toegangsbeveiliging voor
systemen 96
Ontwikkeling en onderhoud van
systemen 98
Continuïteitsplanning 99
Toezicht 100
8 Nieuwe informatiesystemen 103
Inleiding 103
Ontwerpcriteria voor
beveiliging 104
Betrokkenen 104
Stap 1:
Welke beveiliging is nodig? 104
Stap 2:
Inventarisatie dreigingen bij verschillende scenario’s 106
Stap 3: De
keuzes: hoe kunnen de risico’s zo klein mogelijk gemaakt
worden? 107
De
bouw 110
De invoering van het nieuwe
informatiesysteem 111
9 Technische beveiliging in netwerken en
besturingssystemen 113
Inleiding 113
Jargon uit de wereld van
informatiebeveiliging 114
Identificatie en authenticatie 114
Autorisatie 115
Toegangsbeheersing 115
Back-up 116
Encryptie 116
Audit en
alarm 116
Scheiding
van gebruikers en gegevens 117
Beheersing
van informatiestromen en -verspreiding 117
Virusbescherming 117
Internet 118
Elektronische post 118
10 Cryptografie en beveiliging 119
Inleiding 119
Beginselen van
cryptografie 119
Hoe wordt cryptografie
toegepast? 120
Toepassingen van
cryptografie 122
Geheimhouding van informatie 122
Echtheid
van informatie 123
Ondertekening van informatie 123
Cryptografie en Internet 123
11 Producten voor technische beveiliging 125
Inleiding 125
Producten voor
toegangsbeheersing 126
Pas en
PIN-code 127
Smart
card 127
3DAS®kaart 129
Beveiliging met certifiers 129
Biometrische kenmerken 129
Overzicht
van de belangrijkste biometrische technieken 130
Producten voor beveiliging in
netwerken 131
Firewalls 132
Apparatuur
voor lijnencryptie 132
End-to-end
encryptie 133
Encryptie
in pakketgeschakelde X.25-netwerken 133
Encryptie
in lokale netwerken 133
Encryptie
in Virtual Private Networks 134
Segmentering in lokale netwerken 134
Producten voor beveiliging in
besturingssystemen 135
Hulpmiddelen voor audit 137
Producten voor
PC-beveiliging 137
Virussen 137
Standaard
beveiligingsmiddelen voor PC’s 139
Producten voor bewaking van
beschikbaarheid en betrouwbaarheid 139
Stroom 139
Netwerkanalyse 140
Computersystemen 140
Onderhoud 140
Redundantie: fault tolerant systemen 140
Uitwijk 140
12 Fysieke beveiliging 141
Inleiding 141
De
omgeving 142
Het
gebouw 143
Beveiligingsservices om een
installatie 145
Brand 146
Het
alarmsysteem 146
Bewakingsdiensten 147
13 Beveiliging in de praktijk 149
Inleiding 149
Betalingsverkeer 149
Proton 150
Mondex 151
Internet
betalingen 151
Internet
Cash 152
Pay-TV 153
Information on
demand 154
Beveiliging en Internet:
zekerheid in E-Commerce 154
De kansen
en mogelijkheden van het Internet 155
Risico’s van Internet en E-Commerce 156
Veilige
koppeling met Internet: architectuur en firewalls 157
Firewall
architecturen 157
Hoe filtert een
firewall? 159
Firewalls en
risico’s 160
Veiligheid
van Internetverkeer zelf 160
Digitale handtekeningen en
Trusted Parties 160
Vertrouwen
in Internetdiensten 163
Tot
slot 164
14 IT-audit: vertrouwen is goed, controleren is
beter 165
Inleiding 165
Wat is
IT-audit? 165
De interne
audit 166
De externe
audit 166
Plaats van de auditor in de
organisatie 167
Taken van de
auditor 167
Verschillen tussen de interne
en de externe auditor 168
Belangrijke aandachtspunten
IT-audit 169
Organisatie 169
Ontwikkeling en onderhoud 170
Invloed
van gebruikers 170
Beoordeling van informatiesystemen 171
Werkwijze 171
Trends 172
Forensic
Accounting 172
Operational audit 172
Tot
slot 172
15 Certificatie en evaluatiecriteria 175
Inleiding 175
Common Criteria for
Information Technology Security Evaluation, ISO 15408 175
Het
ontstaan van de Common Criteria 177
Veranderingen op het gebied van beveiligingsevaluaties 177
Reikwijdte
van de Common Criteria 178
Inhoud van
de Common Criteria 179
Security Functional
Requirements (functionaliteit) 179
Security Assurance
Requirements (zekerheid) 180
Security assurance
classes 181
Evaluation Assurance
Levels 182
Vergelijking van Assurance
Levels 183
De TOE en zijn
beveiliging 184
Protection
Profile 185
Inhoud van een Protection
Profile 186
Security
Target 187
Inhoud van
een Security Target 187
Gebruiksmogelijkheden van evaluatiecriteria 188
Tot
slot 189
Certificatie op basis van de
Code voor Informatiebeveiliging 189
Certificatieschema legt
vertrouwensbasis voor informatiebeveiliging 189
Waarom certificatie tegen de
Code? 190
De voordelen van certificatie
tegen de Code 190
16 Procedures 191
Inleiding 191
Hoe ziet een goede procedure
er uit? 192
Opstellen, onderhouden en
controleren van procedures 193
Een aantal situaties waarin
procedures nodig zijn 194
Bezoekers 194
Bewakingsdiensten 194
Continuïteit, calamiteit en
uitwijk 194
Onderhoud 195
Back-up 195
Beveiligingsservices 195
Virussen 196
Systeembeheer /
accountbeheer 196
Internet 197
Oefenen en
controleren 197
17 Personele aspecten van beveiliging 199
Inleiding 199
Het aantrekken van
personeel 200
Hoe houdt u het personeel
alert en betrouwbaar? 201
Een medewerker
vertrekt 201
18 Bewust omgaan met informatie en beveiliging: hoe stimuleer je
dat? 203
Inleiding 203
Wat is een security awareness
programma? 204
Waarom is security awareness
nodig? 204
Hoe begint men aan zo’n
awareness programma? 204
Sleutelfactoren in een
awareness programma 206
Welke
hulpmiddelen? 206
Doelgroepen definiëren: van
massa tot individu 206
De effectiviteit van het
programma meten 208
Uitgangspunten voor een
awareness programma 209
19 Het informatiebeveiligingsplan 211
Hoe komt het beveiligingsplan
tot stand? 211
De opbouw van het
beveiligingsplan 212
Aandachtspunten voor het
beveiligingsplan 213
Opbouw en
afbakening 213
Referenties en relaties 213
Doelstelling 213
Beveiligingsorganisatie 213
Fysieke
beveiliging en beveiliging van de verwerkingsomgeving 214
Technische
beveiliging 214
Procedures
215
Tijdsplanning 217
Organisatie 218
Tot slot
219
Appendix A: Inleiding cryptologie 221
Inleiding 221
Hoe werkt
het Caesar algoritme? 221
Coderen 222
Cryptoanalyse 222
Sterkte van algoritmen
223
Vercijferalgoritmen 224
Het DES
algoritme, DEA 225
Het RSA
algoritme 226
ECC 226
Vercijfermethoden 227
Sleutelbeheer 228
Toepassing van
Cryptografie 229
Toegangscontrole 230
Integriteitsbewaking 230
Authenticatie 230
Digitale
handtekening 231
PKI 231
Vercijfering 231
Waar worden deze functies
toegepast? 232
Toegangscontrole 232
Software
authenticatie 232
Internet 232
Kraakbaarheid en sleutellengtes 233
Enige praktijkvoorbeelden van
gebruik van cryptografie ten behoeve van beveiliging 233
Beveiligingen bij geld opnemen aan een geldautomaat 233
Elektronisch bankieren 235
Pay-TV 235
Appendix B: Standaarden voor beveiliging 237
Inleiding 237
De beveiligingsarchitectuur
van het OSI-model, ISO 10181 237
Het managen van
informatiebeveiliging, ISO 13335 238
Trusted Third Parties, ISO
14516 239
Overzicht huidige ISO normen
over informatiebeveiliging 239
Appendix C: Bronnenoverzicht 243
Literatuur 243
Interessante Websites 243
Adressen
van relevante organisaties 244
Appendix D: Afkortingen 247
Index 249
Inhoudsopgave - Inleiding - Index
|