Informatiebeveiliging

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken
Beveiliging door cijfercodes.

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Men doet dit door het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen die gebaseerd zijn op een (organisatieafhankelijke) risicoanalyse of een wettelijke verplichting. In Nederland valt hierbij te denken aan de WBP (Wet bescherming persoonsgegevens), de Telecommunicatiewet en andere vigerende wet- en regelgeving. Ten aanzien van beursgenoteerde ondernemingen in de Verenigde Staten moet worden gedacht aan de Sarbanes-Oxley wetgeving. Voor privacybescherming in de Amerikaanse gezondheidssector is bijvoorbeeld de Health Insurance Portability and Accountability Act (HIPAA) maatgevend.

Op basis van een risicoanalyse wordt het gewenste niveau van beveiliging bepaald. Daarbij wordt in de regel een BIV-klasse beschikbaarheid, integriteit (=betrouwbaarheid) en vertrouwelijkheid (=exclusiviteit) bepaald, vaak uitgebreid met een indicatie voor controleerbaarheid (het belang om achteraf toegang en transacties te kunnen verifiëren). De Engelse term die wordt gehanteerd is de CIA Triad: confidentiality, integrity en availability.

  • Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid. Zie ook Business Continuity Management.
  • Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en geautoriseerdheid van de transacties.
  • Vertrouwelijkheid is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.

Informatiebeveiliging is een onderwerp dat goed verankerd moet zijn in het topmanagement van de organisatie en is deels gebaseerd op het creëren van draagvlak bij gebruikers. Een bewustwordingsprogramma moet dan ook de invoering van de beveiligingsmaatregelen ondersteunen.

Het realiseren van het overeengekomen niveau van beveiliging is een taak die in de regel wordt toebedeeld aan een informatiebeveiliger, iemand die zich beroepshalve met het vakgebied bezighoudt. Toezicht vindt plaats vanuit de IT-audit discipline en vanwege diverse wettelijke toezichthouders. Door middel van het uitvoeren van IT (informatietechnologie) en privacy audits kan worden vastgesteld of het overeengekomen niveau van beveiliging is gerealiseerd. Ook kan een organisatie worden gecertificeerd op basis van de Code voor Informatiebeveiliging, de Nederlandse versie van de BS 7799-2 en tegen de internationale standaard ISO 27001.

Informatiebeveiliging en ICT[bewerken]

Informatiebeveiliging wordt vaak als ICT-verantwoordelijkheid beschouwd, maar kan alleen effectief zijn als onderdeel van de bedrijfscultuur. Informatiebeveiliging mondt vaak uit in zichtbare en voelbare ICT-maatregelen, maar die vloeien voort uit risicoanalyses ten aanzien van de bedrijfsprocessen en kwetsbaarheidsanalyses ten aanzien van de geautomatiseerde ondersteuning van die processen.

Een vergelijkbare beperkte visie op veiligheid is te vinden in organisaties waar beveiliging tegen ongewenste toegang van personen of zaken (fysieke toegangscontrole) gelijkgesteld wordt aan bewaking, terwijl die bewaking slechts een van de onderdelen is van de functiescheiding die nodig is op grond van de theorieën over de administratieve organisatie.

Informatiebeveiliging en wetgeving[bewerken]

De veiligheid van informatie wordt steeds belangrijker in de samenleving. Eén van de oorzaken hiervan is verdere ontwikkeling van de kenniseconomie. De wetgeving is de afgelopen paar jaar op een aantal punten aangepast om in te spelen op de juridische aspecten van digitale veiligheid.

Er zijn in Nederland een aantal wetten die een relatie hebben met informatieveiligheid en beveiliging:

Grondwet[bewerken]

Artikel 10 van de Nederlandse Grondwet geeft aan dat de persoonlijke levenssfeer aan regels gebonden is als het gaat om het vastleggen en verstrekken van persoonsgegevens. Er wordt mee bedoeld, dat persoonsgegevens niet zomaar mogen worden vastgelegd en verstrekt. Deze wet relateert in zekere mate aan de WBP (Wet bescherming persoonsgegevens). Registraties door overheden zoals de AIVD vallen niet binnen deze wet. Voor deze bijzondere registraties zijn andere wetten zoals de Wet op de inlichtingen- en veiligheidsdiensten.

Artikel 13 van de Grondwet heeft betrekking op onschendbaarheid. Zowel dat het briefgeheim onschendbaar is in alle gevallen en het telefoon- en telegraafgeheim, dat niet geldt voor hen die door de wet zijn aangewezen.

De overheid is in bijzondere gevallen bevoegd om deze onschendbaarheid op te heffen. Mogelijke redenen zijn criminele en vergelijkbare activiteiten.

Deze wet voorziet niet in nieuwe communicatiemiddelen zoals e-mail. De wet zou in 1998 aangepast worden om hier wel in te voorzien, echter is dit nog niet gebeurd.

Wet bescherming persoonsgegevens[bewerken]

De Wet bescherming persoonsgegevens (WBP) heeft als doel het beschermen van persoonsgegevens die geregistreerd worden. Persoonsgegevens worden door vele instanties, zoals gemeenten, vastgelegd. Het vastleggen is in principe geen probleem, echter moet er met deze gegevens zorgvuldig worden omgesprongen.

In deze wet zijn artikelen opgenomen om de rechten van burgers weer te geven als het gaat om persoonsgegevens. Deze wet heeft de Wet persoonsregistraties (WPR) opgevolgd omdat deze niet meer voorzag in de behoefte.

De WBP heeft betrekking op de verwerking van persoonsgegevens. Onder de verwerking van deze gegevens wordt het hele traject van opslag tot vernietiging van gegevens verstaan. Een aantal korte paragrafen die de inhoud van deze wet beschrijven.

De verwerking van persoonsgegevens moet een vooraf gesteld doel hebben en moet op een eerlijke en rechtmatige manier verkregen worden. De verzamelde gegevens mogen niet voor een ander doel gebruikt worden dan waar ze voor verzameld zijn. Gegevens waarmee op welke manier dan ook gediscrimineerd kan worden mogen niet geregistreerd worden, hierbij kan gedacht worden aan ras, godsdienst, strafblad en politieke voorkeur enzovoorts. Als de gegevens gebruikt worden voor een bepaald doel, dan dient degene waarop deze gegevens betrekking hebben op de hoogte te zijn van de verwerking. Iedereen heeft het recht om gegevens te laten wijzigen als deze niet correct zijn of als de persoon ze wil laten verwijderen. Mensen hebben het recht om op basis van deze wet het gebruik van gegevens door de gegevensgebruiker te verbieden.

De WBP geeft ook weer welke organisatorische en technische maatregelen moeten worden genomen om de gegevens te beveiligen. Dit is nodig om verlies of onrechtmatige verwerking tegen te gaan. Mocht de verwerking van gegevens zijn uitbesteed, dan dient de derde partij in deze maatregelen te voorzien.

Alle instanties die gegevens verwerken dienen dit aan te melden bij het College Bescherming Persoonsgegevens (CBP), tenzij een onafhankelijke functionaris hier toezicht op houdt.

Auteurswet[bewerken]

De auteurswet 1912 bevat artikelen over het auteursrecht. De wet heeft niet alleen betrekking op documenten, videobeelden maar ook op software.

Het kopiëren van programmatuur wordt niet gezien als inbreuk op het auteursrecht. Ook het analyseren van software kan niet worden gezien als schending van het auteursrecht. Dit laatste mag alleen gedaan worden door een gebruiker of beheerder met rechtmatige toegang en mag alleen als doel hebben het testen of verbeteren van de programmatuur.

Deze wet wordt niet volledig internationaal erkend. Dit levert als probleem op dat het niet voorziet in de rechten van digitale werken. In de meeste gevallen geldt de wet van het land waarin het is gepubliceerd.

Telecommunicatiewet[bewerken]

De Telecommunicatiewet heeft als doel het beschermen van de rechten van de burger betreffende elke vorm van digitale communicatie. Allereerst mogen aanbieders van elektronische communicatienetwerken en/of -diensten, volgens artikel 6.1 lid 2 van de Telecommunicatiewet (Telecomwet), informatie die voor of tijdens onderhandelingen of uitvoeren van een overeenkomst aan hen is verstrekt, uitsluitend gebruiken voor het doel waarvoor deze informatie is verstrekt. De verkregen of opgeslagen informatie wordt vertrouwelijk behandeld en wordt niet doorgegeven aan andere partijen. In artikel 11.2 van de Telecomwet, wordt beschreven dat de aanbieders in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen moeten nemen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. Abonnees moeten hierover worden geïnformeerd. Daarbij dient vermeld te worden welke risico’s het bedrijf eventueel kan lopen en hoe deze worden tegengegaan. Wanneer een aanbieder een abonneelijst uitgeeft of een abonnee-informatiedienst verzorgt moet hij de abonnee voor opname van de persoonsgegevens in de lijst op de hoogte stellen van de doeleinden van deze abonneelijst en/of de desbetreffende abonnee-informatiedienst.

In de abonneelijst en het abonneebestand van de aanbieder worden uitsluitend persoonsgegevens van een abonnee opgenomen als de abonnee daarvoor toestemming heeft verleend. Aan het niet opgenomen zijn in een abonneelijst mogen geen kosten worden verbonden.

De abonnee heeft het recht om kosteloos de betreffende persoonsgegevens in een abonneelijst te verifiëren, te laten verbeteren of te laten verwijderen.

Tot slot kan de Minister afwijken van de gestelde regels. Dit is gesteld in artikel 18.8 van de Telecomwet. De Minister kan met betrekking tot de veiligheid en de beveiliging van communicatienetwerken en diensten regels stellen. Deze regels kunnen technische en organisatorische eisen bevatten die aan de aanbieders worden gesteld.

Computercriminaliteit[bewerken]

Onder computercriminaliteit wordt vaak verstaan misdrijven die met een computer gepleegd worde waarbij het gebruik van ICT moet een wezenlijke rol spelen bij het misdrijf. Er zijn geen wetten die hier uitsluitend over gaan, maar in het Wetboek van strafrecht (Sr) zijn wel vele artikelen opgenomen met betrekking tot computercriminaliteit. Hieronder vallen: vernieling en onbruikbaar maken, aftappen van gegevens, Denial-of-Service (verstikkingsaanval), computervredebreuk, diensten afnemen zonder betalen en zogenoemde malware (kwaadaardige software). Artikel 138ab lid 1 Sr en art. 144a lid 1 Sr BES gaan specifieker in op het onderwerp computervredebreuk. Hierin worden genoemd: het doorbreken van een beveiliging, gebruikmaken van een technische ingreep, valse signalen of een valse sleutel en het aannemen van een valse hoedanigheid als voorbeelden van computervredebreuk. Deze categorieën zijn niet bedoeld als volledige taxonomie, er kan best overlap tussen zitten.

Wet elektronische handtekeningen[bewerken]

In 3:15a lid 4 van het Burgerlijk Wetboek wordt een elektronische handtekening beschreven als een pakket dat bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authenticiteit te garanderen.

De Wet elektronische handtekeningen (WEH) (een wet die de Boeken 3 en 6 van het Burgerlijk Wetboek wijzigt) biedt mogelijkheden om op elektronische wijze met de burger te communiceren. De WEH biedt de mogelijkheid om elektronisch te ondertekenen zodat men geen gebruik meer hoeft te maken van papier. Dit bevordert snelle communicatie tussen overheid en burger. De WEH geeft aan wat een elektronische handtekening is, welke soorten er zijn en waar deze aan moeten voldoen om bepaalde waarborgen te bieden. Zo kan men aan de hand van deze wet bepalen welke handtekening geschikt is voor die vorm van communicatie en uitwisseling van gegevens die wordt nagestreefd. De WEH brengt meer duidelijkheid over elektronische handtekeningen zoals onder andere pincode, biometrie, dynamische handtekening (digitale pen), ondertekening van de elektronische belastingaangifte, calculators die worden ingezet bij het internetbankieren of een elektronisch ondertekend uittreksel dat door de Kamer van Koophandel wordt uitgegeven.

Informatiebeveiliging voltooid?[bewerken]

Informatiebeveiliging is in ontwikkeling en nergens blijkt dat meer dan in de zorg door de grote spanning tussen het medisch nut van ruime informatie-uitwisseling en privacy van de patiënt. Tijdens het wetgevingsproces rond het landelijk Elektronisch Patiëntendossier kregen die spanningen zelfs een politieke lading. In 2009 nog, nam de Tweede Kamer de wetgeving op het landelijk Elektronisch Patiëntendossier aan, na essentiële amendementen voor de regionale patiëntendossiers (motie Omtzigt en Verweij) waaraan het oorspronkelijke wetsontwerp aan voorbij was gegaan. Daarna stagneerde in de Eerste Kamer het wetgevingsproces omdat men daar meer het accent legde op de privacy.

Zie ook[bewerken]

Externe links[bewerken]