Informatiebeveiliging
Van Wikipedia
Informatiebeveiliging is het geheel van preventieve, repressieve en herstelmaatregelen alsmede procedures en processen welke de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie garanderen met als doel de continuïteit van de informatie en de informatievoorziening. te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken.
Men doet dit door het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen welke gebaseerd zijn op een ( organisatie afhankelijke) risicoanalyse of een wettelijk verplichting. Te denken valt aan de WBP (Wet bescherming persoonsgegevens), de Telecommunicatiewet en ander vigerende Nederlandse wetgeving. Ten aanzien van beursgenoteerde ondernemingen in de Verenigde Staten van Amerika moet worden gedacht aan de Sarbanes-Oxley wetgeving. Voor privacybescherming in de Amerikaanse gezondheidssector is bijvoorbeeld de Health Insurance Portability and Accountability Act (HIPAA) maatgevend.
Op basis van een risicoanalyse wordt het gewenste niveau van beveiliging te bepaald. Daarbij wordt in de regel een BIV-klasse beschikbaarheid, integriteit en vertrouwelijkheid bepaald, vaak uitgebreid met een indicatie voor controleerbaarheid (het belang om achteraf toegang en transacties te kunnen verifiëren). De Engelse term die wordt gehanteerd is de CIA Triad: confidentiality, integrity en availability.
Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Integriteit is het kwaliteitsbegrip dat Juistheid, Volledigheid, Tijdigheid en Geautoriseerdheid van de transacties omvat. Vertrouwelijkheid is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.
Informatiebeveiliging is een onderwerp dat goed verankerd moet zijn in het topmanagement van de organisatie en is deels gebaseerd op het creëren van draagvlak bij gebruikers. Een bewustwordingsprogramma kan de invoering van de beveiligingsmaatregelen ondersteunen.
Het realiseren van het overeengekomen niveau van beveiliging is een taak die in de regel wordt toebedeeld aan een informatiebeveiliger, iemand die zich beroepshalve met het vakgebied bezighoudt. Toezicht vindt plaats vanuit de IT-audit discipline en vanwege diverse wettelijke toezichthouders. Door middel van het uitvoeren van IT en privacy audits kan worden vastgesteld of het overeengekomen niveau van beveiliging is gerealiseerd. Ook kan een organisatie worden gecertificeerd op basis van de Code voor Informatiebeveiliging, de Nederlandse versie van de BS 7799-2.
[bewerk] Gerelateerde begrippen
- Computerbeveiliging
- Cryptografie
- Administratieve Organisatie
- ITIL
- CobiT
- Voorschrift Informatiebeveiliging Rijksdienst (VIR'94)
[bewerk] Externe links
- Genootschap van Informatie Beveiligers
- IBPedia
- Information Systems Security Association, Belgium Chapter (ISSA BE)
- Information Systems Security Association, Netherlands Chapter (ISSA NL)
- Nederlands Genootschap voor Informatica, Afdeling Beveiliging (NGI BEV)
- Nederlandse Orde van Register EDP auditors
- Open Web Application Security Project (OWASP)
- Vereniging Beveiligingsmanagers Nederland (VBN) binnen vereniging is een Vakgroep Informatiebeveiliging
- Security.nl
- Sentinels, het Nederlands Onderzoeksprogramma op het gebied van Informatiebeveilingnl:Informatiebeveiliging
