Informatiebeveiliging
2e druk

Inleiding

Volgens Amerikaanse statistieken overleven bedrijven die te lijden hebben gehad van een ernstige computercalamiteit, dit in het algemeen niet. Van hen is 95% binnen 5 jaar na dato failliet. En dit betreft ook sterke, gezonde bedrijven. Weliswaar geldt in Amerika tevens dat 90% van alle bedrijven binnen 5 jaar niet meer als zelfstandig bedrijf bestaat. Toch geven de cijfers dramatisch aan hoe ernstig de gevolgen van een computercalamiteit of een grote fraude kunnen zijn. Het is daarom een dringende noodzaak dat u zich van deze dreiging bewust bent en passende maatregelen treft ter bescherming van uw informatie en de informatieverwerkende systemen. Dit boek probeert een gids te zijn in deze moeilijke en vaak ongrijpbare materie.

Introductie

Elk modern bedrijf maakt tegenwoordig gebruik van computers. En dan gaat het niet alleen om de grote systemen in speciale rekencentra, maar ook om de vele PC’s die her en der in het bedrijf worden gebruikt. De informatie die vroeger overzichtelijk in ordners, hangmappen en dossierkasten was opgeborgen, bevindt zich nu onzichtbaar op vele schijven en schijfjes. Maar al te vaak ontbreekt een overzicht van waar zich welke informatie bevindt. Realiseert u zich wel wat hiervan de consequenties kunnen zijn voor uw bedrijf? Weet u hoe afhankelijk u bent geworden van al die computers met al die informatie, weggeborgen op floppy’s en vaste schijven? Hebt u wel eens nagedacht over wat de gevolgen kunnen zijn als zo’n schijfje plotseling onleesbaar blijkt en de informatie dus weg is? Wie kunnen er allemaal bij uw informatie en wat kunnen ze ermee doen? Wat doet u met de lusten, maar ook de lasten van het Internet? Hoe kunt u fraude voorkomen als dit niet meer uit papieren documenten, maar uit een brij van computergegevens moet blijken? Het antwoord is: informatiebeveiliging. Informatiebeveiliging tracht de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid van informatie te garanderen.

  • Beschikbaarheid: kunt u informatie en computerdiensten ook daadwerkelijk gebruiken als u deze nodig hebt.
  • Betrouwbaarheid valt onder te verdelen in drie aspecten:
    • integriteit, ofwel de juistheid, tijdigheid en volledigheid van informatie;
    • authenticiteit, ofwel de echtheid van de informatie;
    • controleerbaarheid, dat een en ander vastgesteld zal moeten kunnen worden.
  • Vertrouwelijkheid beschermt informatie tegen inzage of gebruik door derden.

Om te weten welke beveiligingsmaatregelen nodig en zinvol zijn, heeft u eerst inzicht nodig in de mogelijke risico’s die een ongestoorde informatievoorziening bedreigen. Welke schade lijdt u bij een verstoring van uw informatiesysteem en hoe groot is de kans daarop? Welke schade kunnen anderen eventueel ondervinden? En welke wettelijke bepalingen spelen een rol?

Voor wie is dit boek bedoeld?

Dit boek is geschreven voor iedereen die verantwoordelijkheid draagt voor informatie en dus garant moet staan voor de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid ervan. Dit geldt met name wanneer de betrokken informatie zich in computerbestanden bevindt. Het hoofd van het rekencentrum vindt in het boek nuttige informatie over hoe de beschikbaarheid van informatie en informatiesystemen bevorderd kan worden. Het boek is dus ook voor het hoofd personeelszaken bedoeld die de vertrouwelijkheid van de aan hem toevertrouwde personeelsgegevens moet garanderen. Het hoofd debiteuren- en crediteurenadministratie kan in het boek terugvinden wat hij moet doen om de betrouwbaarheid van zijn informatie te waarborgen. Het Midden en Klein Bedrijf (MKB) vindt in dit boek vele praktische aanwijzingen hoe ook zij hun informatiesystemen kunnen beveiligen, met name in de hoofdstukken 3 en 7, waar de Code voor Informatiebeveiliging wordt besproken. Voor specialisten op het gebied van informatiebeveiliging kan dit boek een nuttige rol spelen bij het creëren van een referentiekader, waardoor zij hun voorstellen voor beveiliging beter kunnen overbrengen bij hun opdrachtgevers. Kortom, dit boek bevat nuttige basisinformatie voor iedereen die met informatiebeveiliging te maken heeft of krijgt.

Speciale voorkennis wordt niet vereist, al dient men wel op de hoogte te zijn van de belangrijkste computerbegrippen. Termen als personal computer, netwerk, besturingssysteem, hardware en software worden bekend verondersteld. Diepgaande kennis is niet nodig. Waar speciale kennis voor het begrijpen van de geboden stof noodzakelijk is, wordt deze in het boek behandeld. Nieuwe termen en begrippen worden zoveel mogelijk, daar waar ze geïntroduceerd worden, verklaard.

De indeling van het boek

Het boek is ingedeeld in vijf blokken en enkele appendices. Het eerste deel gaat in op de vraag wanneer beveiliging noodzakelijk of gewenst is. Het tweede deel gaat globaal in op de te nemen beveiligingsmaatregelen. Deel drie behandelt de technische maatregelen. Deel vier geeft een overzicht van de niet-technische maatregelen. Deel vijf voegt het waarom en hoe samen in een beveiligingsplan. Dit plan geeft concreet aan welke beveiligingsmaatregelen genomen worden en de motivatie hiertoe. Regelmatig zal naar waar gebeurde cases gerefereerd worden. Hierbij zijn de namen en omstandigheden gewijzigd om herkenning te voorkomen.

Deel 1. Waarde en risico’s

Deel 1 gaat in op de waarde van informatie en de risico’s die men kan lopen bij onvoldoende beveiliging.

Hoofdstuk 1. Wat is uw informatie u waard?
Welke informatie is er zoal in een bedrijf en waar bevindt deze zich. Welke waarde heeft deze informatie voor een goede bedrijfsvoering. Wat mist u of welke schade lijdt u als de informatie in ongerede raakt. In ongerede raken kan betekenen dat de informatie niet langer juist is of dat de informatie tijdelijk of permanent niet meer toegankelijk is. Informatie kan ook de handelswaar van de onderneming zijn, zoals toegang tot databases, of de levering van software, muziek of videomateriaal via Internet.

Hoofdstuk 2. Dreigingen en risico’s
Waardoor kan informatie in ongerede raken? Behandeld worden de vier categorieën van dreigingen: opzet, menselijk falen, technisch falen en externe oorzaken. Tevens wordt bekeken waar deze dreigingen ingrijpen: vertrouwelijkheid, integriteit en beschikbaarheid. Zijn de dreigingen bekend, dan kunnen de mogelijke gevolgen worden onderzocht, namelijk de mogelijke schade. Aan iedere dreiging kan een kans worden toegevoegd, de waarschijnlijkheid dat een dergelijke dreiging daadwerkelijk optreedt. Dit bepaalt het risico.

Hoofdstuk 3. De Code voor Informatiebeveiliging, praktische richtlijnen voor het vaststellen van een informatiebeveiligingsbeleid
Er is al veel gestudeerd op de aanpak van informatiebeveiliging. De Code voor Informatiebeveiliging, ook wel Code of Practice genaamd, is een bundeling van de ervaring van diverse ondernemingen op dit gebied. In dit hoofdstuk wordt ingegaan op de totstandkoming van de Code en zijn uitgangspunten. Aan de orde komen de 10 hoofdcategorieën voor informatiebeveiliging en de 10 belangrijkste maatregelen. Het geeft aan hoe de Code in de praktijk kan worden gebruikt om een basisniveau voor informatiebeveiliging te ontwikkelen. Tenslotte wordt een blik op de toekomst gegeven.

Hoofdstuk 4. Beveiliging en de wet
De wetgeving stelt ook bepaalde eisen aan beveiliging. Een belangrijke rol spelen de Wet op Persoons Registraties / de Wet Bescherming Persoonsgegevens, de Wet Computercriminaliteit, maar ook de Auteurswet, de Octrooiwet en de Wet Telecommunicatievoorzieningen. Ook komen onrechtmatige concurrentie en wettelijke aansprakelijkheid aan de orde. Contracten vullen de basisregelingen in de wet aan. Zij omschrijven de verplichtingen tussen partijen, maar regelen ook de vrijwaringen. Een bijzondere manier van vrijwaren tegen directe of indirecte schade is zich hiertegen te verzekeren.

Deel 2. Te nemen maatregelen

Zijn de dreigingen en risico’s bekend dan kan men onderzoeken welke maatregelen kunnen worden genomen om aan deze dreigingen en risico’s het hoofd te bieden.

Hoofdstuk 5. Beveiligingsmaatregelen en middelen
Beveiligingsmaatregelen kunnen twee doelen nastreven: het voorkomen van een schade of het verkleinen ervan. Maatregelen worden ingedeeld naar de middelen die ze gebruiken: procedureel, fysiek, logisch en organisatorisch. Maatregelen worden ook ingedeeld naar de fase van de dreiging waarin ze opereren: preventief, detectief, repressief en correctief. Het hoofdstuk geeft aan welk effect de diverse middelen in de onderscheiden fasen kunnen hebben.

Hoofdstuk 6. Organisatie en beveiliging
Beveiliging werkt alleen wanneer ze door de organisatie wordt gedragen. Daarom gaat dit hoofdstuk in op de plaats van beveiliging binnen de organisatie. Met name wordt aandacht geschonken aan verantwoordelijkheden en taken van de diverse betrokkenen.

Hoofdstuk 7. Maatregelen voor informatiebeveiliging, toepassing van de Code voor Informatiebeveiliging
Wat wordt men geacht te doen in het kader van “goed huisvaderschap”? De Code voor Informatiebeveiliging geeft een uitgebreid overzicht over de te treffen maatregelen, wat de beoogde doelstellingen zijn en hoe deze kunnen worden bereikt.

Deel 3. Technische maatregelen

Om beveiliging te realiseren staan er diverse technische maatregelen ter beschikking. Dit deel behandelt deze maatregelen en verschaft, waar nodig, de theoretische basiskennis.

Hoofdstuk 8. Nieuwe informatiesystemen: Beveiliging in het ontwerp en bij invoering
Beveiliging is effectiever wanneer reeds bij het ontwerp en invoering van een informatiesysteem hier rekening mee is gehouden. Dit geldt niet alleen voor geheel nieuwe systemen, maar ook voor uitbreidingen of wijzigingen van bestaande systemen. Dit hoofdstuk gaat uitvoerig in op de ontwerpcriteria voor beveiliging middels een stappenplan, de bouw en de invoering van nieuwe informatiesystemen.

Hoofdstuk 9. Technische beveiliging in netwerken en besturingssystemen
Om netwerken en besturingssystemen goed te kunnen beveiligen, moeten er diverse maatregelen worden getroffen. De belangrijkste worden in dit hoofdstuk verklaard en behandeld.

Hoofdstuk 10. Cryptografie en beveiliging
Een belangrijke techniek bij het beveiligen van informatiesystemen is de cryptografie. Cryptografie wordt niet alleen gebruikt voor de vertrouwelijkheid van informatie, maar ook voor het bewaken van de integriteit en authenticiteit van informatie. De belangrijkste principes worden hier globaal aangegeven en geïllustreerd met een aantal praktijkvoorbeelden.

Hoofdstuk 11. Producten voor technische beveiliging
Dit hoofdstuk geeft een overzicht van beschikbare producten en hulpmiddelen voor technische beveiliging. Diverse producten voor toegangscontrole, netwerkbeveiliging, beveiliging van besturingssystemen, virusbescherming, audit en PC-beveiliging worden beschreven en verklaard.

Hoofdstuk 12. De verwerkingsomgeving: fysieke beveiliging en beveiliging van de locatie
Dit hoofdstuk gaat nader in op de volgende thema’s:

  • maatregelen en apparatuur ter bescherming tegen brand en waterschade
  • maatregelen en apparatuur tegen stroomstoringen
  • fysieke toegangscontrole
  • fysieke inrichting van rekencentra
  • detectie apparatuur
  • omgang met en opslag van gegevensdragers
  • veiligheidsaspecten van bekabeling.

Hoofdstuk 13. Beveiliging in de praktijk
Hoe gaat men in de dagelijkse praktijk om met beveiliging? Dit hoofdstuk beschrijft voor een aantal praktijksituaties welke beveiligingssystematiek toegepast wordt. Aan de orde komen het betalingsverkeer, informatiediensten, zoals Pay-TV, Internet en de toepassing van firewalls.

Deel 4. Niet-technische maatregelen

Technische maatregelen alleen zijn niet voldoende voor een goede beveiliging. Er zijn procedures nodig die aangeven hoe de beveiliging daadwerkelijk door de betrokkenen ingevuld dient te worden. De naleving van de procedures dient gecontroleerd te worden. Bijzondere aandacht verdienen ook de personele aspecten. Tegen welke schade kan men zich uitstekend verzekeren en tegen welke niet? En hoe dient men in contracten met schades om te gaan?

Hoofdstuk 14. IT-audit: Vertrouwen is goed, controleren is beter
Controle is een wezenlijk onderdeel van de beveiliging. Dit betreft niet alleen de controle of de diverse maatregelen correct nageleefd worden. IT-audit beoogt ook na te gaan of het informatiesysteem aan alle te stellen eisen voldoet. Welke taken en bevoegdheden moeten aan een IT-auditor toegekend worden?

Hoofdstuk 15. Evaluatiecriteria
In de loop der tijd zijn er diverse systemen ontwikkeld om de beveiliging van informatiesystemen te kunnen evalueren. Erkende keuringsinstanties, zoals TNO verrichten dergelijke evaluaties (op verzoek van de leverancier of de klant) en verlenen het betrokken beveiligingsproduct een certificaat.

Hoofdstuk 16. Procedures
De procedures vormen de afronding van de informatiebeveiliging. Ze geven aan welke taken iedereen heeft ten aanzien van de beveiliging en hoe deze uitgevoerd dienen te worden. Hoe worden autorisaties verleend? Hoe vaak moet een back-up gemaakt worden en waar worden deze dan opgeslagen? Welke acties dienen te worden genomen in geval van een calamiteit? Hoe gaat men om met reparatie van apparatuur die gevoelige gegevens bevat?

Hoofdstuk 17. Personele aspecten van beveiliging
Uiteindelijk is de effectiviteit van alle maatregelen afhankelijk van de mensen die het moeten uitvoeren. Hoe motiveert men het personeel tot het naleven van de regels? Waar moet men op letten bij het toewijzen van functies en verantwoordelijkheden? Hoe gaat men om met medewerkers die al dan niet vrijwillig met ontslag gaan?

Hoofdstuk 18. Bewuste omgang met informatie en beveiliging
Welke beveiligingsmaatregelen men ook treft en welke middelen men ook inzet, het gaat erom dat iedereen in de organisatie meedoet. Simpelweg regels opleggen werkt in de huidige maatschappij niet. De medewerkers moeten gemotiveerd worden. En de beste motivatie is kennis: weten welke risico’s men loopt en hoe men zich hiertegen teweer kan stellen. Dit hoofdstuk bevat een aantal richtlijnen voor het opzetten van een awareness programma.

Deel 5. Het beveiligingsplan

Na afweging van schade versus maatregelen worden de voorgenomen beveiligingsmaatregelen vastgelegd in een beveiligingsplan.

Hoofdstuk 19. Het beveiligingsplan
De dreigingenanalyse geeft een inzicht in de gevaren die het informatiesysteem bedreigen. De risicoanalyse bepaalt welke schade hiervan het gevolg kan zijn. Met behulp van technische en niet technische maatregelen is het mogelijk veel schade te voorkomen en te beperken. De afweging schade versus maatregelen wordt vastgelegd in een beveiligingsplan. Welke informatie dient een goed beveiligingsplan te bevatten?

Deel 6. Appendices

De annex bevat aanvullende informatie op de behandelde onderwerpen voor wie nader geïnformeerd wil worden over technische en normatieve aspecten van informatiebeveiliging.

Appendix A: Inleiding Cryptologie
Veel technische maatregelen, met name voor logische beveiliging, maken gebruik van cryptografische technieken. Dit hoofdstuk laat de lezer op een populaire wijze kennis maken met de belangrijkste begrippen uit de cryptologie. Aan de orde komen begrippen als algoritme en sleutel. Het verschil tussen vercijferen en coderen wordt uitgelegd. Ook gaat het hoofdstuk in op het verschil tussen symmetrische en asymmetrische algoritmen. Algemene beveiligingsfuncties die met behulp van cryptografie gemaakt worden zijn: toegangscontrole, integriteitsbewaking, echtheidscontrole, digitale handtekeningen en vertrouwelijkheid. Vervolgens wordt behandeld hoe deze generieke functies in de praktijk gebruikt kunnen worden voor werkplekbeveiliging, netwerkbeveiliging en software authenticatie. Dit wordt geïllustreerd met enige praktijkvoorbeelden.

Appendix B: Normen voor beveiliging
Voor beveiliging zijn diverse normen vastgesteld. De meest relevante worden besproken voorzover deze niet eerder in de hoofdstukken aan de orde zijn geweest. Verder is een overzicht opgenomen van alle huidige ISO normen op het gebied van informatiebeveiliging.

Appendix C: Literatuuroverzicht
Dit hoofdstuk geeft een lijst van aanvullende literatuur en andere informatiebronnen voor wie zich dieper in de materie wil inwerken.

Appendix D: Afkortingen en Register
Het register bevat een verklaring van of verwijzing naar alle geïntroduceerde begrippen en termen.

Inhoudsopgave - Inleiding - Index