Versions Compared

Version Old Version 4 New Version 5
Changes made by

Kristel Van Aken

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

ICR draait rond de 3 belangrijkste principes van informatiebeveiliging:

1.3.2.1. Vertrouwelijkheid

Met vertrouwelijkheid bedoelen we dat informatie alleen te gebruiken is door diegene die hiervoor geautoriseerd is. De eigenaar van de informatie stelt dit recht en de motivatie tot verwerking vast.

We moeten de vertrouwelijkheid van de informatie beschermen tegen verwerking door een niet-geautoriseerde derde. Dit kan gaan om personen, overheden of organisaties.

Zie ook 8.2.3. Beslissingsboom voor vertrouwelijkheid /wiki/spaces/ICR3/pages/7097289197

1.3.2.2. Integriteit

Integriteit is een synoniem voor betrouwbaarheid. Betrouwbare informatie voldoet aan volgende integriteitskenmerken:

Technische integriteit

  • We kunnen de informatie via een betrouwbaar kanaal benaderen

  • Het heeft een betrouwbare bron

Contextuele integriteit

  • De informatie is correct (rechtmatigheid is hier een kernbegrip)

  • De informatie is volledig

  • De informatie is tijdig (op tijd)

  • De informatie is geautoriseerd (aangemaakt of aangepast door een persoon of organisatie die gerechtigd is een aanpassing aan te brengen)

Zie ook 8.2.2. Beslissingsboom voor integriteit/wiki/spaces/ICR3/pages/7097289168

1.3.2.3. Beschikbaarheid

Beschikbaarheid geeft aan in hoeverre toepassing en de daaraan gerelateerde informatie toegankelijk is voor de geautoriseerde gebruikers. We maken een onderscheid tussen beschikbaarheid en bedrijfscontinuïteit. Bedrijfscontinuïteit houdt in dat kritieke dienstverlening gegarandeerd kan worden ingeval van ramp. Beschikbaarheid houdt in dat de dienstverlening geleverd wordt tijdens normale omstandigheden. Met dienstverlening bedoelen we het leveren van informatie en informatie verwerkende middelen aan burgers en organisaties.

Zie ook 8.2.1. Beslissingsboom voor beschikbaarheid/wiki/spaces/ICR3/pages/7097289139

Een voorbeeld om dit verschil duidelijk te maken:

...

We houden ook rekening met het aspect aspect performantie: een verminderde of vertraagde werking van de performantie of een verminderde capaciteit heeft ook impact op de beschikbaarheid.

Een ander deelaspect waar we aandacht aan besteden is is herstelbaarheid: de mate waarin de dienstverlening bestaande uit informatie en de informatievoorziening, na onbeschikbaarheid hersteld kan worden. Herstel van informatie houdt in dat we op zoek gaan naar de meest recente versie van de informatie, maar ook naar de meest volledige informatieset.

En ten slotte houden we ook rekening met met kritische bedrijfsmomenten: het is best mogelijk dat informatie gedurende een groot deel van het jaar weinig beschikbaar moet zijn, maar op bepaalde momenten hoog beschikbaar moet zijn, bijvoorbeeld de salarisberekening is vooral cruciaal op het einde van elke maand.

...

Beschikbaarheid wordt beïnvloed door verschillende factoren. De belangrijkste is de uitval van de dienst. Daarbij zijn twee verschillende soorten uitval relevant:

  • Gepland, bijvoorbeeld tijdens een gepland onderhoud of tijdens de implementatie van een project;

  • Ongepland, bijvoorbeeld door

    een 

    een incident.

Bij het bepalen van de beschikbaarheid wordt de geplande onbeschikbaarheid niet meegenomen. Dat wil zeggen dat het geplande onderhoud geen negatieve invloed heeft op de beschikbaarheid die wordt gerapporteerd, tenzij de planning wordt overschreden.

...

We vatten samen welke kenmerken we in overweging nemen als het gaat over beschikbaarheid:

  • De onverwachte uitval van één of meerdere componenten die deel uitmaken van het leveren van informatie en informatie verwerkende systemen aan de burger of organisatie;

  • Een vermindering van de performantie;

  • De gehele of gedeeltelijke herstelbaarheid van informatie;

  • De kritische bedrijfsmomenten waarop informatie of informatie verwerkende systemen niet mogen uitvallen.

Volgende kenmerken maken geen deel uit van beschikbaarheid:

  • Geplande werkzaamheden zoals gepland onderhoud, implementaties;

  • Projecten (beschikbaarheid gaat enkel over de operationele omgeving);

  • Rampscenario’s (hiervoor wordt het bedrijfscontinuïteitsplan ingeschakeld).

De beschikbaarheidsschalen worden in de praktijk als een percentage gepresenteerd, waarbij een hogere waarde een positievere uitkomst is dan een lage waarde. In het kader van de dienstverlening worden deze waarden als vereisten opgenomen in de de SLA (Service Level Agreement), dit is een overeenkomst tussen de aanbieder en de afnemer. De vertaalslag van de beschikbaarheidsschalen naar de SLA en de OLA maakt geen deel uit van dit document (maar wordt wel opgenomen in documentatie level 3).

...

Wanneer verschillende componenten achtereenvolgens in een informatiesysteem worden gebruikt, wordt de beschikbaarheid bepaald door de beschikbaarheidsfactoren met elkaar te vermenigvuldigen. Combinatie van de twee componenten met een beschikbaarheid van resp. 2 en 4 negens betekent een totale niet-beschikbaarheid voor het systeem van 3,69 dagen per jaar.

1.3.2.4.

...

  Relatie tussen vertrouwelijkheid en integriteit

Vertrouwelijkheid en integriteit hebben geen één-op-één relatie. Conform de opzet en structuur van de informatieklassen, bevatten de minimale algemene maatregelen de basis om aan vertrouwelijkheids- en aan integriteitvereisten tegemoet te komen. Op basis van specifieke regelgeving zullen deze minimale algemene maatregelen uitgebreid worden met minimale specifieke maatregelen. De eigenaar of verwerker van de informatie kan op basis van geïdentificeerde risico’s beslissen om bijkomend maatregelen te identificeren en in te richten of om het risico op een andere manier te behandelen (risico-overdracht, risico-acceptatie).

Vertrouwelijkheids- en integriteitsklassen en beschikbaarheidsklassen worden onafhankelijk van elkaar toegekend aan informatie. Het kan dus gebeuren dat informatie een bepaalde klasse voor vertrouwelijkheid toegekend krijgt – bv. 2 – en een andere voor integriteit – bv. 3. In dit geval moeten de minimale maatregelen voor klasse 2 voor vertrouwelijkheid en voor klasse 3 voor integriteit toegepast worden. Het komt vaak voor dat een maatregel zowel vertrouwelijkheid als integriteit bedient. In dit geval wordt de maatregel voor de hoogste klasse toegepast – in het voorbeeld klasse 3 (integriteit). Een maatregel die uitsluitend vertrouwelijkheid of uitsluitend integriteit afdekt, hoeft aan deze regel niet te voldoen.