Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Excerpt
hiddentrue
nameInleiding

Het informatieveiligheidsbeleid houdt rekening met alle mogelijke aspecten die voor de organisatie een gevaar kunnen vormen of schade kunnen veroorzaken. Deze dreigingen worden in kaart gebracht en bestudeerd, waarna passende maatregelen worden genomen.

ExpandtitleOP DEZE PAGINA

Inhoud

Table of Contents
minLevel1
maxLevel2
include
outlinefalse
indent
stylesquare
excludeInhoud
typelist
class
printablefalse

Dreiging versus risico

Dreiging en risico zijn twee concepten die nauw met elkaar verwant zijn, maar ze hebben elk een specifieke betekenis. Een dreiging verwijst naar een potentieel gevaar dat schade kan berokkenen aan een entiteit, systeem of individu. Aan de andere kant, definieert risico de waarschijnlijkheid dat een specifieke dreiging zich manifesteert en de daaruit voortvloeiende schadelijke gevolgen.

Dit verband tussen dreiging en risico kan als volgt wiskundig worden uitgedrukt: Risico = Waarschijnlijkheid * Gevolg

Hierbij staat 'Waarschijnlijkheid' voor hoe waarschijnlijk het is dat de dreiging werkelijkheid wordt, en 'Gevolg' staat voor de schade of impact van die dreiging.

Ter illustratie: een natuurramp vormt een dreiging voor een bedrijf gevestigd in een gevoelige zone. Hoewel de kans op zo'n ramp niet absoluut is, kan het wel significant zijn. De mogelijke gevolgen van zo'n ramp kunnen enorm zijn, zoals materiële schade aan infrastructuur. In termen van informatieveiligheid kan een dreiging bijvoorbeeld een cyberaanval zijn zoals malware, phishing of DDoS-acties. Het risico in deze context beschrijft dan hoe waarschijnlijk het is dat zo'n aanval plaatsvindt en wat de potentiële schade aan de data zou zijn. Het is essentieel voor organisaties om proactieve stappen te ondernemen om de risico's gerelateerd aan deze dreigingen te minimaliseren.

Dreigingscataloog

De dreigingscataloog is een lijst van veel voorkomende dreigingen binnen het domein informatieveiligheid. Deze lijst is generiek en bevat niet alleen technische dreigingen, maar ook organisatorisch dreigingen. Dreigingen zijn er op strategisch, tactisch en operationeel niveau. De cataloog is een startpunt ter ondersteuning van risicobeoordelingen. Specifieke dreigingen die niet opgelijst staan dienen ook overwogen te worden in context van de informatieasset waarop een risicobeoordeling wordt uitgevoerd.

Page Tree Search
rootPageDreigingen
Page Properties Report
firstcolumnBedreiging
headingsID,Categorie,Niveau,BIV
pageSize100
sortByID
idDR
cqllabel = "dreiging" and space = currentSpace ( ) and parent = "6393531561"

Bronnen voor identificatie van dreigingen

De volgende bronnen zijn gebruikt bij het oplijsten van de dreigingscataloog:

  1. STRIDE​

  • Het STRIDE model is een benadering van Microsoft voor identificatie van dreigingen m.b.t. websites​

  1. ISO 27799​

  • Dit is de norm die richtlijnen geeft voor een informatieveiligheid beheerssysteem in de gezondheidszorg​

  1. OWASP​

  • Het Open Worldwide Application Security Project (OWASP) is een open source-project rond informatieveiligheid​

  1. ISO 27005​

  • Dit zijn de specifieke richtlijnen voor het beheer van informatiebeveiligingsrisico's binnen de 27K internationale norm die richtlijnen geeft voor een informatieveiligheid beheerssysteem​

  1. BSI​

  • Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) heeft zeer uitgebreide richtlijnen voor informatieveiligheid met o.m. een lijst van 47 basisdreigingen​

  1. DBIR​

  • Het Data Breach Investigations Report (DBIR) wordt jaarlijks gepubliceerd door Verizon m.b.t. cybercrime veiligheidsincidenten​

  1. CSA​

  • De Cloud Security Alliance (CSA) rapporteert de topdreigingen i.v.m. cloud computing​

  1. ETL​

  • Het ENISA Threat Landscape (ETL) rapport is een jaarlijks rapport van het European Union Agency for Cybersecurity (ENISA) m.b.t. cybersecurity

  1. NIST wiki​

  • Het National Institute for Standards and Technology (NIST) onderhoudt een wiki-pagina met daarop verschillende catalogi van dreigingen en rapporten van diverse organisaties m.b.t. dreigingen​

  1. Ravib​

  • De Nederlandse website risicoanalyse voor informatiebeveiliging (Ravib) biedt een tool voor het uitvoeren van een risicoanalyse voor informatiebeveiliging gekoppeld aan ISO 27001 beheersmaatregelen​

Page Properties
hiddentrue
idDS

Document status

Auteur

Guido Calomme

Status

Status
colourPurple
titleFINAAL CONCEPT

status opties:

Status
colourYellow
titleCONCEPT
Status
colourBlue
titleIN REVIEW
Status
colourPurple
titleFINAAL CONCEPT
Status
colourGreen
titleGEVALIDEERD
Status
colourRed
titleTE REVISEREN

status eveneens aanpassen bovenaan deze pagina