Loading AI tools
Van Wikipedia, de vrije encyclopedie
Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Men doet dit door het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen die gebaseerd zijn op een (organisatieafhankelijke) risicoanalyse of een wettelijke verplichting. In Nederland valt hierbij te denken aan de Algemene verordening gegevensbescherming (AVG), de Telecommunicatiewet en andere vigerende wet- en regelgeving. Ten aanzien van beursgenoteerde ondernemingen in de Verenigde Staten moet worden gedacht aan de Sarbanes-Oxley wetgeving. Voor privacybescherming in de Amerikaanse gezondheidssector is bijvoorbeeld de Health Insurance Portability and Accountability Act (HIPAA) maatgevend.
Op basis van een risicoanalyse wordt het gewenste niveau van beveiliging bepaald. Daarbij wordt in de regel een BIV-klasse beschikbaarheid, integriteit (=betrouwbaarheid) en vertrouwelijkheid (=exclusiviteit) bepaald, vaak uitgebreid met een indicatie voor controleerbaarheid (het belang om achteraf toegang en transacties te kunnen verifiëren). De Engelse term die wordt gehanteerd is de CIA Triad: confidentiality, integrity en availability.
Informatiebeveiliging heeft haar oorsprong in de militaire wereld. Al in de tijd van Julius Caesar realiseerden militaire bevelhebbers zich dat ze vertrouwelijkheid en betrouwbaarheid van hun communicatie moesten bewaken. De eerste vormen van cryptografie met de Caesarversleuteling, samen met strikte procedures en fysieke beveiliging (bewaking), moesten hiervoor zekerheid geven.
In het midden van de 19e eeuw werden de eerste rubriceringssystemen ontwikkeld om informatie onder te verdelen in verschillende klassen van gevoeligheid, die met verschillende maatregelen beveiligd moesten worden. De Eerste en Tweede Wereldoorlog versnelden de verdere ontwikkeling van de informatiebeveiliging, maar nog steeds waren offline cryptografie, fysieke beveiliging en strikte procedures de belangrijkste maatregelen.
Aan het eind van de 20e eeuw kwam informatie steeds meer digitaal beschikbaar. Dat betekende voor de informatiebeveiliging dat deze steeds meer te maken kreeg met computerbeveiliging, of cybersecurity. Vanaf dat moment zijn TEMPEST-maatregelen, netwerkbeveiliging (zoals firewalls), online encryptie (zoals een VPN) en identiteits- en toegangsbeheer (zoals biometrische herkenning) vaste onderdelen van informatiebeveiliging, naast nog steeds de fysieke beveiliging en strikte procedures.
In het begin van de 21e eeuw zijn bijna alle organisaties verbonden via internet en steeds meer informatiesystemen wisselen informatie uit via internet. Losse netwerken waarbinnen veilig met zeer gevoelige data gewerkt kan worden, voldoen steeds minder. Netwerken worden dus steeds meer gekoppeld, met het bijbehorende risico dat deze koppelingen misbruikt worden om van buiten bij de gevoelige informatie te komen of om van binnenuit de gevoelige informatie naar buiten te sturen. Informatiebeveiliging krijgt hierdoor steeds meer te maken met begrippen als labeling van data, public-key-vercijfering (PKI) en multi-level-security (MLS). Naast de koppeling van netwerken groeit ook het gemak om grote hoeveelheden informatie fysiek te verplaatsen, door middel van USB-sticks en geheugenkaarten. Berichten in de media over het vergeten of kwijtraken van USB met daarop geheime of gevaarlijke informatie komen dan ook regelmatig voor. Informatiesystemen met zeer gevoelige informatie worden daarom vaker als System High omgeving gebouwd: veelal losse netwerken zonder verbindingen naar andere netwerken en zonder USB-poort.
Informatiebeveiliging in de context van een organisatie die met vertrouwelijke informatie werkt, moet goed verankerd zijn in het topmanagement van de organisatie en moet deels gebaseerd worden op het creëren van draagvlak bij gebruikers.
Het realiseren van het overeengekomen niveau van beveiliging is een taak die in de regel wordt toebedeeld aan een informatiebeveiliger, iemand die zich beroepshalve met het vakgebied bezighoudt. Toezicht vindt plaats vanuit de IT-audit discipline en vanwege diverse wettelijke toezichthouders. Door middel van het uitvoeren van IT (informatietechnologie) en privacy audits kan worden vastgesteld of het overeengekomen niveau van beveiliging is gerealiseerd. Ook kan een organisatie worden gecertificeerd op basis van de Code voor Informatiebeveiliging, de Nederlandse versie van de BS 7799-2 en tegen de internationale standaard ISO 27001.
Informatiebeveiliging wordt in de 21e eeuw vaak als ICT-verantwoordelijkheid beschouwd, maar kan alleen effectief zijn als onderdeel van de bedrijfscultuur. Informatiebeveiliging mondt vaak uit in zichtbare en voelbare ICT-maatregelen, maar die vloeien voort uit risicoanalyses ten aanzien van de bedrijfsprocessen en kwetsbaarheidsanalyses ten aanzien van de geautomatiseerde ondersteuning van die processen.
Een vergelijkbare beperkte visie op veiligheid is te vinden in organisaties waar beveiliging tegen ongewenste toegang van personen of zaken (fysieke toegangscontrole) gelijkgesteld wordt aan bewaking, terwijl die bewaking slechts een van de onderdelen is van de functiescheiding die nodig is op grond van de theorieën over de administratieve organisatie.
Er zijn diverse standaarden en methoden voor informatiebeveiliging ontwikkeld, variërend van standaarden die het volledige proces beschrijven tot standaarden en methoden die een specifiek onderdeel ondersteunen. Vanwege de verschuiving van de bescherming van analoge informatie naar de bescherming van digitale informatie gaan deze standaarden voor een groot deel over de bescherming van computersystemen.
Standaarden die het volledige proces van informatiebeveiliging beschrijven:
Standaarden en methoden voor een deel van informatiebeveiliging:
Op 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van kracht als opvolger van de wet bescherming persoonsgegevens. Met het akkoord gaat er in Europa één set privacyregels gelden, in plaats van achtentwintig verschillende regelgevingen.[9]
Bij de netwerk- en informatieveiligheid richtlijn (NIS-richtlijn) worden maatregelen vastgesteld met het oog op het tot stand brengen van een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, teneinde de werking van de interne markt te verbeteren.
Zoals de naam al doet vermoeden, volgt deze richtlijn de NIS-richtlijn op. De NIS2 is op meer sectoren van toepassing en stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2 wordt momenteel in Nederlandse wetgeving omgezet en introduceert verplichtingen op het gebied van zorgplicht, meldingsplicht, en toezicht.[10]
De beveiliging en erkenning van de elektronische handtekening is op Europees niveau geregeld in de eIDAS verordening 910/2014.[11]
De veiligheid van informatie wordt steeds belangrijker in de samenleving. Een van de oorzaken hiervan is verdere ontwikkeling van de kenniseconomie. De wetgeving is de afgelopen paar jaar op een aantal punten aangepast om in te spelen op de juridische aspecten van digitale veiligheid.
Er zijn in Nederland een aantal wetten die een relatie hebben met informatieveiligheid en beveiliging:
Artikel 10 van de Nederlandse Grondwet geeft aan dat de persoonlijke levenssfeer aan regels gebonden is als het gaat om het vastleggen en verstrekken van persoonsgegevens. Er wordt mee bedoeld, dat persoonsgegevens niet zomaar mogen worden vastgelegd en verstrekt. Deze wet relateert in zekere mate aan de WBP (Wet bescherming persoonsgegevens). Registraties door overheden zoals de AIVD vallen niet binnen deze wet. Voor deze bijzondere registraties zijn andere wetten zoals de Wet op de inlichtingen- en veiligheidsdiensten.
Artikel 13 van de Grondwet heeft betrekking op onschendbaarheid. Zowel dat het briefgeheim onschendbaar is in alle gevallen en het telefoon- en telegraafgeheim, dat niet geldt voor hen die door de wet zijn aangewezen.
De overheid is in bijzondere gevallen bevoegd om deze onschendbaarheid op te heffen. Mogelijke redenen zijn criminele en vergelijkbare activiteiten.
Deze wet voorziet niet in nieuwe communicatiemiddelen zoals e-mail. De wet zou in 1998 aangepast worden om hier wel in te voorzien, echter is dit nog niet gebeurd.
De Wet bescherming persoonsgegevens (WBP) had als doel het beschermen van de privacy van burgers en bevatte daartoe ook regels ten aanzien van de beveiliging van persoonsgegevens. Deze nationale wetgeving is komen te vervallen door aanname van de hierboven onder 'Europese Unie' genoemde Algemene verordening gegevensbescherming (AVG) die voor de gehele Europese Unie van kracht is.
In bepaalde gevallen kan informatie beschermd worden door een beroep te doen op een wet die het auteursrecht beschermt. Een dergelijke bescherming kan alleen worden ingeroepen door de rechthebbende. Verder moet de informatie voldoen aan de eisen van de betreffende auteurswet. De Nederlandse Auteurswet bevat artikelen over het auteursrecht. De wet heeft niet alleen betrekking op teksten, (video)beelden, etc. maar ook op software. De rechten op databanken worden geregeld in het Databankenrecht.
Wettelijke uitzonderingen daargelaten, is het kopiëren van software zonder toestemming van de rechthebbende een inbreuk op het auteursrecht. Ook het analyseren van software is in principe een als schending van het auteursrecht. Analyseren van software is in principe alleen toegestaan wanneer de software rechtmatig verkregen is en wanneer de analyse het doel heeft om de software te testen, fouten in de software te herstellen of om koppelingen met andere software tot stand te brengen.
De Nederlandse Auteurswet geldt alleen in Nederland. Wel zijn de artikelen over software en andere digitale bestanden gebaseerd op de Europese Software Richtlijn (Richtlijn 91/250/EEG) en de Auteursrecht in de informatiemaatschappij Richtlijn (Richtlijn 2001/29/EG). Dat betekent dat alle lidstaten van de Europese Unie vergelijkbare wetgeving hebben. Voor landen buiten de Europese Unie geldt dat een auteursrechtrechthebbende een beroep kan doen op het auteursrecht van het betreffende land. Dit land moet wel aangesloten zijn bij de Berner Conventie (1886).
De Telecommunicatiewet heeft als doel het beschermen van de rechten van de burger betreffende elke vorm van digitale communicatie. Allereerst mogen aanbieders van elektronische communicatienetwerken en/of -diensten, volgens artikel 6.1 lid 2 van de Telecommunicatiewet (Telecomwet), informatie die voor of tijdens onderhandelingen of uitvoeren van een overeenkomst aan hen is verstrekt, uitsluitend gebruiken voor het doel waarvoor deze informatie is verstrekt. De verkregen of opgeslagen informatie wordt vertrouwelijk behandeld en wordt niet doorgegeven aan andere partijen.
In artikel 11.2 van de Telecomwet, wordt beschreven dat de aanbieders in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen moeten nemen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. Abonnees moeten hierover worden geïnformeerd. Daarbij dient vermeld te worden welke risico’s het bedrijf eventueel kan lopen en hoe deze worden tegengegaan. Wanneer een aanbieder een abonneelijst uitgeeft of een abonnee-informatiedienst verzorgt moet hij de abonnee voor opname van de persoonsgegevens in de lijst op de hoogte stellen van de doeleinden van deze abonneelijst en/of de desbetreffende abonnee-informatiedienst.
In de abonneelijst en het abonneebestand van de aanbieder worden uitsluitend persoonsgegevens van een abonnee opgenomen als de abonnee daarvoor toestemming heeft verleend. Aan het niet opgenomen zijn in een abonneelijst mogen geen kosten worden verbonden.
De abonnee heeft het recht om kosteloos de betreffende persoonsgegevens in een abonneelijst te verifiëren, te laten verbeteren of te laten verwijderen.
Tot slot kan de Minister afwijken van de gestelde regels. Dit is gesteld in artikel 18.8 van de Telecomwet. De Minister kan met betrekking tot de veiligheid en de beveiliging van communicatienetwerken en diensten regels stellen. Deze regels kunnen technische en organisatorische eisen bevatten die aan de aanbieders worden gesteld.
De e-privacyverordening gaat bepalingen van de Telecommunicatiewet vervangen.
Onder computercriminaliteit wordt vaak verstaan misdrijven die met een computer gepleegd worden waarbij het gebruik van ICT een wezenlijke rol moet spelen bij het misdrijf. Er zijn geen wetten die hier uitsluitend over gaan, maar in het Wetboek van strafrecht (Sr) zijn wel vele artikelen opgenomen met betrekking tot computercriminaliteit. Hieronder vallen: vernieling en onbruikbaar maken, aftappen van gegevens, Denial-of-Service (verstikkingsaanval), computervredebreuk, diensten afnemen zonder betalen en zogenoemde malware (kwaadaardige software). Artikel 138ab lid 1 Sr en art. 144a lid 1 Sr BES gaan specifieker in op het onderwerp computervredebreuk. Hierin worden genoemd: het doorbreken van een beveiliging, gebruikmaken van een technische ingreep, valse signalen of een valse sleutel en het aannemen van een valse hoedanigheid als voorbeelden van computervredebreuk. Deze categorieën zijn niet bedoeld als volledige taxonomie, er kan best overlap tussen zitten.
In 3:15a lid 4 van het Burgerlijk Wetboek wordt een elektronische handtekening beschreven als een pakket dat bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authenticiteit te garanderen.
De Wet elektronische handtekeningen (WEH) (een wet die de Boeken 3 en 6 van het Burgerlijk Wetboek wijzigt) biedt mogelijkheden om op elektronische wijze met de burger te communiceren. De WEH biedt de mogelijkheid om elektronisch te ondertekenen zodat men geen gebruik meer hoeft te maken van papier. Dit bevordert snelle communicatie tussen overheid en burger. De WEH geeft aan wat een elektronische handtekening is, welke soorten er zijn en waar deze aan moeten voldoen om bepaalde waarborgen te bieden. Zo kan men aan de hand van deze wet bepalen welke handtekening geschikt is voor die vorm van communicatie en uitwisseling van gegevens die wordt nagestreefd. De WEH brengt meer duidelijkheid over elektronische handtekeningen zoals onder andere pincode, biometrie, dynamische handtekening (digitale pen), ondertekening van de elektronische belastingaangifte, calculators die worden ingezet bij het internetbankieren of een elektronisch ondertekend uittreksel dat door de Kamer van Koophandel wordt uitgegeven. De Europese eIDAS verordening biedt een uitgebreid grens- en sectoroverschrijdend kader voor elektronische handtekeningen.
Informatiebeveiliging is in ontwikkeling en nergens blijkt dat meer dan in de zorg door de grote spanning tussen het medisch nut van ruime informatie-uitwisseling en privacy van de patiënt. Tijdens het wetgevingsproces rond het landelijk Elektronisch Patiëntendossier kregen die spanningen zelfs een politieke lading. In 2009 nog, nam de Tweede Kamer de wetgeving op het landelijk Elektronisch Patiëntendossier aan, na essentiële amendementen voor de regionale patiëntendossiers (motie Omtzigt en Verweij) waaraan het oorspronkelijke wetsontwerp aan voorbij was gegaan. Daarna stagneerde in de Eerste Kamer het wetgevingsproces omdat men daar meer het accent legde op de privacy.
Overheidsreglementering inzake de informatiebeveiliging valt in België grotendeels onder de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie (FOD Economie).[12] Het toezicht komt onder meer toe aan de Privacycommissie, en op Vlaams niveau, aan de Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer.
In België steunt de bescherming van de persoonsgegevens vooral op de Wet van 8 december 1992, nadien nog gewijzigd.[13]
Inzake e-mail en e-commerce is de oorspronkelijke wet van 11 maart 2003[14] vervangen door de wet van 15 december 2013, waarin ook de geldende EU-richtlijnen zijn opgenomen.[15]
De privacy van werknemers wordt dan weer beschermd door het Koninklijk besluit van 12 juni 2002, waarmee een collectieve arbeidsovereenkomst[16] op dit vlak werd bekrachtigd.
Vooral gegevens uit het elektronisch patiëntendossier liggen gevoelig, zowel wat de bescherming ervan betreft, als het raadplegen ervan. Doorgaans wordt de expliciete instemming van de patiënt vereist bij het doorgeven van informatie. In België hanteert men hiervoor ook het begrip geïnformeerde toestemming.[17]
Hier geldt volgens de wet van 13 juni 2005 het algemeen beginsel van vertrouwelijkheid voor gesprekken en locatiegegevens die via een openbaar communicatienetwerk gevoerd worden. Alleen de gebruikers mogen die gesprekken en gegevens beluisteren of opslaan, tenzij er sprake is van een gerechtelijk onderzoek. Operatoren mogen de locatiegegevens wel gebruiken indien deze anoniem zijn gemaakt, en moeten deze een tijd lang opslaan, volgens de dataretentie-richtlijn.[18]
Het inbreken in computers (hacken), met welk doel ook, is strafbaar op grond van de wet van 28 november 2000 inzake informaticacriminaliteit.[19]
Een speciale afdeling van de federale politie, de Federal Computer Crime Unit, is belast met de beteugeling van cybercriminaliteit.[20] Bescherming en preventie worden op federaal niveau gecoördineerd door CERT.be, het federale cyber emergency team.[21]
De Europese eIDAS-verordening is omgezet in de Belgische wet van 21 juli 2016.[22]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.