Code voor Informatie beveiliging en certificeren
13 belangrijke vragen over Code voor Informatie beveiliging en certificeren
Wat is de Code, en wat is de meerwaarde
De code kan worden gebruikt om de informatiehuishouding op orde te krijgen
De code biedt een gemeenschappelijk referentiekader
De code bevorderd het vertrouwen in handelsverkeer (EDI)
Waarom kan je niet zomaar spreken over gebrekkige technische beveiliging
Wat is het uitgangspunt van de code
- Hogere cijfers + sneller leren
- Niets twee keer studeren
- 100% zeker alles onthouden
Welke maatregelen eerst
Een klein aantal maatregelen binnen de code is onmisbaar omdat ze essentieel zijn(Wettelijke eisen) of fundamenteel(nodig voor management raamwerk) zijn voor de informatiebeveiliging
Essentiële maatregelen vanuit wettelijk oogpunt
- Voorkomen van onrechtmatig kopiëren van programmatuur of informatie
- Veiligstellen van bedrijfskritische documenten ivm wettelijke eisen
- Bescherming van persoonsgegevens
Essentiële maatregelen die de basis vormen van beveiliging
- Doelstelling voor beveiliging (beveiligingsbeleid)
- Toewijzing van verantwoordelijkheden
- Training en opleiding
- Rapportage en afhandeling van beveiligingsincidenten
- Continuiteitsplannning
Deze zaken moeten bovenaan de prioriteitslijst worden geplaatst. Deze vormen tevens de basis voor de managementcyclus. (Plan, Do, Check)
Welke drie bronnen worden door de code genoemd voor het opstellen van beveiligingsdoelstellingen
- Inschatten van de grootste beveiligingsrisico's (bedreigingen en zwakke plekken) voor de informatie in de computers en netwerken. Om deze top 10 van risico's te benoemen kan de lijst van essentiele maatregelen worden gebruikt.
- Een externe conformiteitsanalyse; wat schrijven wetten en regels en niet te vergeten contracten voor; en wat zijn goede gebruiken in de branche. Voorbeeld hierbij de privacywetgeving waarvoor de registratiekamer waarin de in redelijk te verwachten beveiliging is beschreven.
- Vervolgens kan je intern toetsen: uitgaande van bedrijfsdoelstellingen worden de implicaties van voor ontwikkelingen bepaald en wordt de vraag beantwoord hoe beveiliging hierop moet acteren
Waarom wordt er gecertificeerd en welke twee hoofdvormen zijn er
- proces- of systeemcertificatie toetst het managementsysteem dat voor informatiebeveiling wordt ingezet. De certificatie vindt plaats tegen de code voor informatiebeveiliging
- Product certificatie richt zich op producten / hardware of software. Hierbij maakt men gebruik van de Common Criteria, het orange book (TCSEC) of de (ITSEC)
Welke informatie heeft de certificeerder voor het certificatieproces nodig
Wat is het beleid voor informatiebeveiliging van de organisatie
Wat is de reikwijdte van het managementsysteem
Wat is de afhankelijkheid van de IT middelen en wat zijn de relavante bedreigingen
Hoe gaat de organisatie om met specifieke bedrijfsafhankelijkheden en bedreigingen.
Wat zijn de stappen die leiden tot certificatie
- De aanvraag tot certificatie; De organisatie stelt hier de conformiteitsverklaring op.
- Proefonderzoek (optioneel)
- Documenten onderzoek; Hierbij wordt gekeken of de documentatie voldoet en of de eigen norm een juiste en passende interpretatie van de code vormt
- Implementatieonderzoek: De certificatieorganisatie rapporteert in hoeverre de eigen norm is geimplementeerd
- Eindrapportage
- Beslissing tot certificatie.
Wat is de meerwaarde van een eigen verklaring
Wat is het verschil tussen de eigen verklaring en certificeren
Is een tekortkoming fataal voor certificering
- Een tekortkomen wordt opgenomen als verbeterpunt en bij een volgende controle meegenomen.
- Een tekortkoming staat het certificeringstraject niet in de weg maar moet binnen een vastgestelde termijn voordat wordt gecertificeerd worden verholpen.
- Een tekortkoming moet worden verholpen voordat het certificeringsproces verder kan gaan.
Wat is de geldigheid van een certificaat en welke eisen gelden er tav de controle
Op welke 4 uitgangspunten is het OrangeBook gebaseerd
- Beveiligingsstrategie (Security Policy) - Het boek basseert zich op de Toegangsregels volgens het principe van Bell-laPaluda. Alle gegevens worden geclassificeerd. Alle gebruikers hebben een bevoegdheidsniveau wat samenhangt met hun plaats in de hierarchie. Iemand is bevoegd tot en met "geheim".
- Toerekenbaarheid (Accountability) - activiteiten zijn altijd te herleiden tot de betreffende persoon.
- Zekerheid (Assurance) - Het systeem moet zodanig zijn geconstrueerd dat het bedoelde beveiligingsniveau ook daadwerkelijk geboden wordt.
- Documentatie - Alle beveiligingsmaatregelen moeten gedocumenteerd zijn, hiermee wordt transparantie van de beveiliging gestimuleerd
De vragen op deze pagina komen uit de samenvatting van het volgende studiemateriaal:
- Een unieke studie- en oefentool
- Nooit meer iets twee keer studeren
- Haal de cijfers waar je op hoopt
- 100% zeker alles onthouden