Security Professionals - ipfw add deny all from eindgebruikers to any

BIV versus Controls

19-01-2012, 08:08 door Airsecure, 4 reacties
Ik zit met een klein probleempje. Ik heb bij mijn bedrijf samen met de informatie eigenaren informatie ingedeeld conform de BIV-classificatie (Beschikbaar, Integer, Vertrouwd). Nu wil ik maatregelen gaan nemen en ben al een tijdje op zoek naar een relatie tussen de controls uit de ISO27002 en de BIV. Weet iemand of er een relatie is (lijst?) waar de controls staan uit de 27002 en of die controls de B, I of V of een combinatie raken. Alvast bedankt voor je reactie!
Reacties (4)
19-01-2012, 08:43 door Erik van Straten
Zoeken naar 27002 cia (CIA = Confidentiality, Integrity, Availability) leverde onder meer op:

3. ISO27k Toolkit
"Outline of ISO/IEC 27002 Word/Rich Text Format ... combines the CIA classification levels of information assets to generate overall risk scores or indicators."
http://www.iso27001security.com/html/iso27k_toolkit.html

In die pagina (overigens uitstekend, ik kende hem al) zie ik:

- Information asset valuation matrices Adobe Acrobat PDF format - combines the CIA classification levels of information assets to generate overall risk scores or indicators. Contributed by Mohan Kamat.
http://www.iso27001security.com/ISO27k_Matrices_for_Asset_Valuation_and_Risk_Analysis.pdf.

Is dat wat je zoekt?
20-01-2012, 08:37 door Airsecure
Erik, Dank voor je reactie maar dat is t net niet. Ik zoek de relatie tussen BIV (CIA) en de controls uit de 27002.
Bijvoorbeeld Control 9.2.3 Beveiliging van kabels dekt het risico t.a.v. Beschikbaarheid en Integriteit af.
20-01-2012, 13:20 door SecOff
Kijk eens naar: https://rejo.zenger.nl/files/20110900-interprovinciale-baseline-informatiebeveiliging.pdf
In bijlage B vindt je alle maatregelen uit de code met als achterste kolom de aspecten waarop de maatregel van toepassing is. G staat voor generiek. Het is wel specifiek toegepast op provincies maar dat is vooral op de classificatie het risico niveau waarbij de maatregel genomen moet worden.
10-02-2012, 22:35 door slartibartfast
Oh dear...

Met alleen een BIV classificatie kun je nog absoluut geen controls kiezen.

Je zult eerst een risicoanalyse moeten doen... pas dan kun je controls kiezen. Maatregelen dekken een risico... dat risico is dan wel een verlies van B, I, V of een combinatie daarvan maar je moet alleen controls implementeren die risico's bij je dekken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.