Versions Compared

Version Old Version 1 New Version 2
Changes made by

Kenzo Vertenten (VO)

Tom De Cubber

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Aanpassingen ICR3 - update links - toevoeging Warning Banner

Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Risico = waarschijnlijkheid x impact van een bedreiging.

...

  • Identificatie van de bedreigingen.

  • De waarschijnlijkheid dat een bedreiging zich manifesteert, dit hangt nauw samen met de kwetsbaarheden van de omgeving en het aantal/aard van de actoren die kunnen ingrijpen op de omgeving.

  • De impact indien een bedreiging zich manifesteert.

  • De risicoweging: welke risico’s zijn van groter belang voor de organisatie en moeten met hogere prioriteit aangepakt worden. 

...

In deze analyse worden de relevante bedreigingen in kaart gebracht. Het betreft bedreigingen waardoor verlies aan beschikbaarheid, integriteit of vertrouwelijkheid van de informatievoorziening kan ontstaan. Een bedreiging is elke omstandigheid die een kwetsbaarheid in de organisatie kan activeren (door misbruik of ongeluk) om zo een impact uit te lokken.

...

Naast het inventariseren van de bedreigingen moet ook nagekeken worden hoe kwetsbaar de omgeving is voor de bedreiging. Deze kwetsbaarheid heeft gevolg gevolgen voor de waarschijnlijkheidsberekening voor elke bedreiging: hoe hoger de kwetsbaarheid, hoe hoger de waarschijnlijkheid dat een bedreiging zich voordoet.

Een kwetsbaarheid moet ruim opgevat worden: het kan gaan om kwetsbaarheden in de infrastructuur, maar ook in de processen en er moet ook rekening worden gehouden met de menselijke factor. Voor kwetsbaarheden in de infrastructuur kan men vaak beroep doen op geautomatiseerde tools zoals ‘vulnerability scans’ en pentests. Maar ook leveranciers en andere instanties rapporteren regelmatig gevonden kwetsbaarheden in systemen (software en hardware) en de oplossing om deze kwetsbaarheden weg te werken. Daarnaast zijn ook gerapporteerde incidenten een bron van informatie over de kwetsbaarheden in een organisatie.

...

  • Reputatieschade.

  • Financiële verliezen.

  • Burgerlijke aansprakelijkheid.

  • Schade aan de programmatorische doelstellingen van de instelling of aan het publieke belang.

  • Lekken van informatie.

  • Veiligheid en gezondheid van personen.

  • Schending van het burgerlijk- , bestuurs- of strafrecht

  • Inbreuken op de NIS2-wetgeving die een incidentmelding vereisen (zoniet kan dit leiden tot hoge boetes)

Grootte van waarschijnlijkheid en impact

...