De beschermingsdoelstellingen van informatiebeveiliging zijn de elementaire kernpunten voor de bescherming van informatie. Informatie vertegenwoordigt een belangrijke economische waarde voor elke onderneming, en niet alleen sinds vandaag. Het is de basis van hun bestaan en daarom een essentiële voorwaarde voor succesvol zakendoen. Het is dan ook vanzelfsprekend - of op zijn minst wenselijk - dat informatie moet worden beschermd. Er gaapt echter nog steeds een brede kloof tussen wens en werkelijkheid.

Loading...

Wat zijn de beschermingsdoelen van informatiebeveiliging?

Door ontoereikende beveiliging van informatieverwerking worden jaarlijks miljarden dollars aan schade veroorzaakt. Maar hoe kan een adequate bescherming van de bedrijfsmiddelen van een organisatie worden bereikt? En wat is de beste manier voor een bedrijf om met het onderwerp informatiebeveiliging aan de slag te gaan?

Een goed gestructureerd Information Security Management System (ISMS) volgens ISO/IEC 27001 biedt een optimale basis voor de effectieve implementatie van een holistische beveiligingsstrategie. De norm biedt een model voor de invoering, implementatie, bewaking en verbetering van het beveiligingsniveau. Om dit te bereiken moeten bedrijven en organisaties eerst de drie fundamentele beschermingsdoelstellingen van informatiebeveiliging aanpakken:

  • Vertrouwelijkheid
  • Integriteit
  • Beschikbaarheid

Beschermingsdoelen van informatiebeveiliging: vertrouwelijkheid van informatie

Het doel is vertrouwelijke gegevens te beschermen tegen toegang door onbevoegden, hetzij op grond van de wetgeving inzake gegevensbescherming, hetzij op grond van handelsgeheimen die bijvoorbeeld onder de wet op de handelsgeheimen ( ) vallen. De vertrouwelijkheid van informatie en gevoelige gegevens is derhalve gewaarborgd indien alleen die personen toegang hebben die daartoe bevoegd (gemachtigd) zijn. Toegang betekent bijvoorbeeld lezen, bewerken (wijzigen) of zelfs wissen.

De genomen maatregelen moeten er dus voor zorgen dat alleen bevoegde personen toegang hebben tot de vertrouwelijke informatie - niet-bevoegde personen in geen geval. Dit geldt ook voor informatie op papier, die onbeschermd op een bureau kan liggen en kan uitnodigen om te worden gelezen, of voor de overdracht van gegevens die tijdens de verwerking niet kunnen worden ingezien.

De uitvoering en doeltreffendheid van de maatregelen die een onderneming neemt om deze beschermingsdoelstellingen te bereiken, zijn een essentieel kenmerk van haar niveau van informatiebeveiliging.

Zeer nuttig voor gebruikers van (of geïnteresseerd in) de internationaal erkende informatiebeveiligingsnorm ISO 27001 is bijlage A. Deze bijlage bevat doelstellingen en referentiemaatregelen voor de belangrijkste situaties die voor informatiebeveiliging van belang zijn.

Voor bevoegde personen moet ook worden bepaald welk soort toegang zij moeten hebben, wat zij mogen of moeten doen, en wat zij niet mogen doen. Er moet voor worden gezorgd dat zij niet kunnen doen wat zij niet mogen doen. De methoden en technieken die in dit proces worden gebruikt zijn divers en in sommige gevallen bedrijfsspecifiek.

Als het "slechts" gaat om het ongeoorloofd inzien of openbaar maken van informatie (ook tijdens de transmissie, klassiek: e-mailverkeer!), kunnen cryptografische maatregelen worden gebruikt om bijvoorbeeld de vertrouwelijkheid te beschermen. Als het doel is ongeoorloofde wijziging van informatie te voorkomen, komt het beschermingsdoel "integriteit" in het spel.

ISO/IEC 27001:2013- Informatietechnologie - Beveiligingstechnieken - Beheersystemen voor informatiebeveiliging - Eisen
De norm is beschikbaar op de ISO-website.

Beschermingsdoelen van informatiebeveiliging: integriteit van informatie

De technische term integriteit is gekoppeld aan meerdere eisen tegelijk:

  • Onbedoelde wijzigingen in informatie moeten onmogelijk zijn, of op zijn minst detecteerbaar en traceerbaar. In de praktijk geldt de volgende gradatie:
    - Hoge (sterke) integriteit voorkomt ongewenste wijzigingen.
    - Lage (zwakke) integriteit voorkomt weliswaar geen wijzigingen, maar zorgt ervoor dat (onbedoelde) wijzigingen kunnen worden opgespoord en zo nodig getraceerd (traceerbaarheid).
  • De betrouwbaarheid van gegevens en systemen moet gewaarborgd zijn.
  • De volledigheid van informatie moet gewaarborgd zijn.

Maatregelen ter verhoging van de integriteit van informatie zijn daarom ook gericht op het vraagstuk van de toegangsautorisatie in samenhang met de bescherming tegen externe en interne aanvallen.

"Terwijl de woorden " vertrouwelijkheid" en "beschikbaarheid" gemakkelijk te begrijpen zijn, bijna voor zichzelf spreken, in termen van de klassieke beschermingsdoelstellingen van informatiebeveiliging, vereist de technische term"integriteit" enige toelichting. Wat bedoeld wordt is juistheid (van gegevens en systemen), volledigheid of traceerbaarheid (van wijzigingen)."

Beschermingsdoelen van informatiebeveiliging: beschikbaarheid van informatie

Beschikbaarheid van informatie houdt in dat deze informatie, inclusief de benodigde IT-systemen, voor iedere geautoriseerde persoon op ieder gewenst moment toegankelijk moet zijn en bruikbaar (functioneel) moet zijn voor zover dat nodig is. Als een systeem uitvalt of een gebouw niet toegankelijk is, is de vereiste informatie niet beschikbaar. In bepaalde gevallen kan dit leiden tot verstoringen met verstrekkende gevolgen, bijvoorbeeld bij de instandhouding van processen.

Het is daarom zinvol een risicoanalyse uit te voeren met het oog op de waarschijnlijkheid van een systeemstoring, de mogelijke duur ervan en de eventuele schade die door een gebrek aan IT-beveiliging wordt veroorzaakt. Uit de resultaten kunnen doeltreffende tegenmaatregelen worden afgeleid, die in het ergste geval kunnen worden uitgevoerd.

Wat zijn "uitgebreide" beschermingsdoelstellingen?

Naast de beveiligingsdoelstellingen vertrouwelijkheid, integriteit en beschikbaarheid zijn er nog drie extra beveiligingsdoelstellingen. Daartoe behoren de twee aspecten "commitment" en "accountability", die elkaar aanvullen. Met het eerste wordt bedoeld dat een actor zijn actie niet kan ontkennen, met het tweede dat deze actie op betrouwbare wijze aan hem kan worden toegeschreven. Beide komen neer op de unieke identificeerbaarheid van actoren, en de uitgifte van unieke wachtwoorden is daarvoor een minimumvereiste.

De derde uitgebreide beschermingsdoelstelling is "authenticiteit", d.w.z. echtheid. Een eenvoudige vraag in deze context is: Is de informatie echt - is zij werkelijk afkomstig van de opgegeven bron? Dit beschermingsdoel is van belang voor de beoordeling van de betrouwbaarheid van de bron.

ISO 27001-certificering van de informatiebeveiliging door een vrouw met een laptop in een serverruimte
Loading...

Informatie van waarde is het goud van vandaag - en ook een troef die moet worden beschermd voor uw bedrijf. Lees hier de antwoorden op de belangrijkste vragen over ISO 27001.

Beschermingsdoelen van informatiebeveiliging: conclusie

De drie belangrijkste beschermingsdoelen van informatiebeveiliging zijn "vertrouwelijkheid", "integriteit" en "beschikbaarheid".

Vertrouwelijkheid: om deze te kunnen garanderen, moet je duidelijk definiëren wie gemachtigd is om toegang te krijgen tot deze gevoelige gegevens en op welke manier. Dit hangt samen met passende toegangsautorisaties en het gebruik van bijvoorbeeld cryptografische technieken.

Integriteit betekent bescherming tegen ongeoorloofde wijzigingen en verwijdering van informatie, plus de betrouwbaarheid en volledigheid van informatie. Daarom is het belangrijk dat uw bedrijf voorzorgsmaatregelen neemt om wijzigingen in gegevens snel op te sporen of om manipulatie door onbevoegden vanaf de basis te voorkomen.

Beschikbaarheid betekent dat informatie, systemen en gebouwen te allen tijde beschikbaar moeten zijn voor geautoriseerde personen. Aangezien bijvoorbeeld systeemstoringen grote risico's met zich meebrengen, moet voor dit complex van onderwerpen een risicoanalyse worden uitgevoerd. Leg hier de kans op falen, de uitvaltijd en het schadepotentieel van de meest noodzakelijke systemen vast.

Commitment, verantwoordingsplicht en authenticiteit zijn "uitgebreide" beschermingsdoelstellingen.

Onder commitment wordt verstaan dat een actor zijn daden niet kan ontkennen. Verantwoordingsplicht vult deze uitgebreide beschermingsdoelstelling aan door een dergelijke actor duidelijk te identificeren. Authenticiteit stelt de vraag: is een stuk informatie echt of betrouwbaar?

DQS - wat u van ons kunt verwachten

Informatiebeveiliging is een complex onderwerp dat veel verder gaat dan IT-beveiliging. Het omvat technische, organisatorische en infrastructurele aspecten. De internationale norm ISO/IEC 27001 is geschikt voor effectieve beschermingsmaatregelen in de vorm van een Information Security Management System (ISMS).

DQS is uw specialist voor audits en certificeringen van managementsystemen en processen. Met 35 jaar ervaring en de knowhow van 2.500 auditors wereldwijd, zijn wij uw competente certificatiepartner en geven wij antwoord op alle vragen met betrekking tot ISO 27001 en managementsystemen voor informatiebeveiliging.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Wij beantwoorden graag uw vragen

Hoeveel inspanning moet u verwachten om uw beheersysteem voor informatiebeveiliging te laten certificeren volgens ISO 27001? Kom het te weten. Geheel vrijblijvend en kosteloos.

Vertrouwen en expertise

Onze teksten en brochures worden uitsluitend geschreven door onze normexperts of auditors met jarenlange ervaring. Als u vragen heeft over de inhoud van de tekst of over onze diensten aan onze auteur, stuur ons dan gerust een e-mail.

Auteur
André Saeckel

Productmanager bij DQS voor informatiebeveiligingsmanagement. Als normenexpert op het gebied van informatiebeveiliging en IT-beveiligingscatalogus (kritieke infrastructuren) is André Säckel onder andere verantwoordelijk voor de volgende normen en branchespecifieke normen: ISO 27001, ISIS12, ISO 20000-1, KRITIS en TISAX (informatiebeveiliging in de automobielindustrie). Hij is ook lid van de werkgroep ISO/IEC JTC 1/SC 27/WG 1 als nationaal afgevaardigde van het Duitse normalisatie-instituut DIN.

Loading...