Security Professionals - ipfw add deny all from eindgebruikers to any

27001 definitie integriteit?

04-03-2019, 10:36 door Bitwiper, 41 reacties
Laatst bijgewerkt: 04-03-2019, 10:39
In mijn werk loop ik er tegen aan dat het erop lijkt dat iedereen in Nederland een andere definitie van integriteit (in het kader van IB) hanteert. Dat is natuurlijk ongewenst als je informatie en systemen (opslag, transport en verwerking van informatie) gaat classificeren.

Vaak hoor ik dat men integriteit ziet als kwaliteit en betrouwbaarheid van informatie. In veel Nederlandstalige documenten zie ik tijdigheid genoemd worden, terwijl je dat aspect net zo goed (en wellicht beter) onder beschikbaarheid kunt schuiven.

Sowieso zijn de begrippen authenticiteit en echtheit vaak ver te zoeken, en soms wordt dit onder de noemer van "integriteit" meegenomen - terwijl de ISO 27000 standaard onder meer authenticity als een geheel ander aspect benoemt, zie hieronder.

ISO 27000:2018 (de Engels- en Franstalige versies is gratis te downloaden vanaf https://standards.iso.org/ittf/PubliclyAvailableStandards/) staat:
3.36 integrity
property of accuracy and completeness
Deze definitie is m.i. zo summier dat deze op veel te veel manieren kan worden uitgelegd. Bijv. of er in een handleiding geen fouten staan en er geen stappen in worden overgeslagen, past prima onder deze definitie, maar dat lijkt mij niet de bedoeling.
Verderop staat in dat document:
3.28 information security
preservation of confidentiality (3.10), integrity (3.36) and availability (3.7) of information

Note 1 to entry: In addition, other properties, such as authenticity (3.6), accountability, non-repudiation (3.48), and reliability (3.55) can also be involved.
Hoezo "can also be involved"? "Reliability wordt verderop als volgt gedefinieerd:
3.55 reliability
property of consistent intended behaviour and results
Ik vind dit persoonlijk een waardeloos document dat meer vragen oproept dan beantwoordt.


Uit ABDO 2017 (https://www.defensie.nl/binaries/defensie/documenten/beleidsnota-s/2017/06/13/abdo-2017/ABDO+2017.pdf):
Integriteit: Het waarborgen van de juistheid en volledigheid en tijdigheid van informatie en de verwerking ervan.
Ook weer een slechte definitie, want ook deze kan weer op allerlei manieren worden uitgelegd.


Uit de Handreiking Dataclassificatie van de IBD (Informatie Beveiligings Dienst, "Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)" - https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2016/08/18-0312-handreiking-dataclassificatie-1-7.pdf):
Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid).
[...]
4.2.1 Beveiligingsnormen integriteit
De onderstaande tabel beschrijft de beveiligingseisen en maatregelen per classificatieniveau ten aanzien van integriteit. Integriteit is onderverdeeld in eisen voor authenticatie, autorisatie, monitoring en beveiliging.


Uit https://maken.wikiwijs.nl/userfiles/0990223a6857ccc182e5430bf19e25fef68a3c98.pdf:
Integriteit: de mate waarin de beheersmaatregelen (organisatie, processen en technologie) de juistheid, volledigheid en tijdigheid van de IT-dienstverlening waarborgen.
Deelaspecten hiervan zijn:
- Juistheid: de mate waarin overeenstemming van de presentatie van gegevens/informatie in IT-systemen ten opzichte van de werkelijkheid is gewaarborgd;
- Volledigheid: de mate van zekerheid dat de volledigheid van gegevens/informatie in het object gewaarborgd is;
- Waarborging: de mate waarin de correcte werking van de IT-processen is gewaarborgd.
Uit een tabel verderop:
Niveau 1: Laag - Integriteit is onbelangrijk.
Blijvende juistheid van informatie (vanaf de bron tot het laatste gebruik) is gewenst, maar hoeft niet gegarandeerd te zijn.
Plotseling verschijnt in die laatste zin het woord "Blijvende" - en dat maakt nogal een verschil.


Uit FIPS Pub 199, onderdeel van de USA FISMA (Federal Information Security Modernization Act of 2014) wetgeving (https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf):
INTEGRITY
“Guarding against improper information modification or destruction, and includes ensuring information non-repudiation and authenticity…” [ 44 U.S.C., Sec. 3542 ]
A loss of integrity is the unauthorized modification or destruction of information.


Uit de Glossar und Begriffsdefinitionen van de Duitse BSI (Bundesamt für Sicherheit in der Informationstechnik, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html):
Integrität
Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.


Mijn insteek is dat informatiebeveiliging niet gaat over de oorspronkelijke kwaliteit van informatie (da's ISO 9001 of iets dergelijks), maar pas een rol gaat spelen na het tot stand komen van informatie. In het kader van IB gaat een begrip als "volledigheid" er m.i. niet over of de auteur alle aspecten heeft belicht, maar wel of er pagina's in een printout ontbreken doordat het papier in de printer op was.

Ik neig naar de volgende definitie: integriteitsverlies van informatie ontstaat door onbedoelde wijziging als gevolg van technische problemen en/of door ongeautoriseerde wijziging.

Met "technische problemen" bedoel ik beschadigde data door "bad blocks" op harde schijven, omgevallen bits in het geheugen, onjuiste weergave op een scherm doordat een bepaald lettertype ontbreekt of het scherm te klein is, verlopen signing certificaten etc.

Persoonlijk vind ik de situatie dat een auteur de datum in een document van zijn hand vervalst geen integriteitsissue in de zin van informatiebeveiliging, maar een kwaliteitsissue. Het probleem is dan het gebrek aan integriteit van de auteur (en eventueel goedkeurende/gedogende organisatie). Hoe je dit in classificatie van informatie mee zou moeten nemen weet ik ook niet.

Affijn, welke definities hanteren de lezers van security.nl die zich professioneel met IB bezighouden?
Reacties (41)
04-03-2019, 11:01 door Anoniem
En daarom werkt het op die manier niet.
Je moet werken met de definitie van integriteit die jouw business stakeholder hanteert. Ook al wijkt dat af van jouw definitie.
04-03-2019, 11:27 door User2048 - Bijgewerkt: 04-03-2019, 11:28
In de vorige versie van ISO 27002 stond nog:
12.2.1 Validatie van invoergegevens
Beheersmaatregel
Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat
deze gegevens juist en geschikt zijn.
In de huidige versie staat dat niet meer. Ik denk dat je gelijk hebt over de juistheid van de informatie op het moment van invoer; dat valt onder kwaliteit.

Integriteit heeft dan inderdaad te maken met ongewenste veranderingen. Ik vind het woord "onbedoelde" in jouw definitie wel lastig. Ik gebruik "bedoeld en onbedoeld" vaak als "met opzet en per ongeluk". Iemand kan (kwaadwillend) met opzet gegevens manipuleren. Dat is dan "onbedoeld" door de eigenaar van de informatie, maar "bedoeld" (met opzet) door de kwaadwillende.
04-03-2019, 12:17 door Bitwiper
Door Anoniem: Je moet werken met de definitie van integriteit die jouw business stakeholder hanteert. Ook al wijkt dat af van jouw definitie.
Vanzelfsprekend (doch binnen bepaalde grenzen: als je kwaliteit eronder wilt schuiven - prima, maar tegen het schrappen van datacorruptie en ongeautoriseerde wijzigingen zou ik ernstig bezwaar maken). En als je wel eens een contextdiagram gemaakt hebt, weet je dat het handig is om niet al te veel af te wijken van wat "naburige" stakeholders doen.

Mijn probleem is dat ik bij partijen aan tafel zit waar ik moeite heb om consensus binnen die partij te krijgen, en dat als ik dan zoek op internet, ik ook geen eenduidige antwoorden vind. Mensen vinden classificatie al knap lastig, als dat dan ook nog eens op basis van drijfzand gebeurt, lijkt mij dat verspilde moeite. Er is dus een heldere en compact definitie nodig die blijft kleven en die niet voor meerdere uitleg vatbaar is.

Door User2048: In de vorige versie van ISO 27002 stond nog:
12.2.1 Validatie van invoergegevens
[...]
In de huidige versie staat dat niet meer.
De huidige versie is van 2017 en die is op dit punt identiek aan de versie van 2013; ik denk dat je de versie van 2005 bedoelt ;-)

Of deze in de laatste NEN 7510 staat weet ik niet, maar in NEN 7510:2011 staat die control nog wel. En ook in BIR-TNK. Dit lijkt me een relevante eis voor aan te schaffen systemen en voor softwareontwikkelaars, maar inderdaad is dit, denk ik, meer een kwaliteitsaspect.

Door User2048: Integriteit heeft dan inderdaad te maken met ongewenste veranderingen. Ik vind het woord "onbedoelde" in jouw definitie wel lastig. Ik gebruik "bedoeld en onbedoeld" vaak als "met opzet en per ongeluk". Iemand kan (kwaadwillend) met opzet gegevens manipuleren. Dat is dan "onbedoeld" door de eigenaar van de informatie, maar "bedoeld" (met opzet) door de kwaadwillende.
Inderdaad een punt dat wellicht verduidelijking behoeft. Ik bedoel (;-) met "onbedoeld" gezien vanuit de organisatie die informatie wil beveiligen (ik denk niet vanuit aanvallers). Het linkerportier van mijn auto is immers ook gezien vanuit de bestuurderspositie.
04-03-2019, 12:20 door karma4
Uitstekende vragen die de spanning naar een realisatie goed weergeven.

De persoonlijke integriteit is wat anders dan de technische integriteit. Je zult dat uit elkaar moeten halen.
Je bent er al mee begonnen met dat vervalsen van een datum/handtekening. Dan nog, de ongewenste verandering moet je wel kunnen detecteren. https://whatis.techtarget.com/definition/Confidentiality-integrity-and-availability-CIA.
Dus de poging tot vervalsing kan je er buiten zien te houden, het detecteren, herkennen niet.

Met de Nederlandse benaming BIV-classificatie (Beschikbaarheid Integriteit Veiligheid) krijg je weinig hits. De engelse aanduiding "CIA classification" (Confidentiality Integirty Availavility) meer.
Heerlijk die afkortingen bij dat ABDO verhaal. De BIV staat daar ook voor Bureau IndustrieVeiligheid.

Die surf leidraad is een nette. Benodigd is een BIA Business Impact Analyse waarmee je de CIA classificatie opstelt. De informatie staat hierbij centraal.


Vanuit een andere invalshoek komt het beleid (strategisch tactisch) en de technische invulling.

De iso27001 biedt op strategisch niveau meer houvast van wat er bedoeld wordt.
Het bevat een referentiebeheersdoelstelling.
De kaders die je daar krijgt is encryptie sleutels en het onderhoud aan operationele systemen.

De iso27002 biedt op tactisch niveau meer houvast van wat er bedoeld wordt.
- Genoemd wordt voor broncode (oss publicatie) overwegen van een digitale handtekening (versie controle)
- De encryptie en sleutels verder uitgewerkt als horende bij verkeer en opslag voor mitigatie van benoemde risico's.
Het doel is beter beschreven beter te begrijpen.
- Die uitwerking krijg voor onderhoud operationele systemen hier ook beter toegelicht. Bedenk het gaat om het doel.
Het valt me nu op hoe uitgebreid het hier staat.

Met de uitwerking naar de realisatie kan het zo maar zijn dat veel genoemde zaken door andere componenten gedaan worden in de keten waar jij maar een klein deel van bent. Dan kan het acceptabel zijn om de verantwoordelijkheid geheel bij een ander te laten. Dat zal je moeten doen als het bijvoorbeeld om de firewall en soc gebeuren gaat dat bijten jouw scope en buiten jouw opdracht ligt.
04-03-2019, 12:25 door Anoniem
Bedenk dat er op basis van informatie beslissingen worden genomen en acties worden ondernomen. Bij integriteit gaat het erom dat die beslissingen en acties niet goed gaan als de gegevens niet goed zijn.

Stel dat een vereniging aan leden met een betalingsachterstand een herinnering wil sturen:
• juistheid: als je een verkeerd adres bij een lid hebt staan gaat de herinnering niet aankomen;
• volledigheid: als bij een lid helemaal geen adres is ingevuld weet je niet waar die herinnering naar toe moet;
• tijdigheid: als je betalingen pas verwerkt nadat je de herinneringen hebt aangemaakt stuur je herinneringen aan leden die wel degelijk betaald hebben.

Tijdigheid is iets anders dan beschikbaarheid. Beschikbaarheid gaat erom dat de gegevens die in het systeem zitten beschikbaar zijn om er dingen mee te doen, ze moeten benaderbaar zijn, het systeem moet er niet uit liggen. Tijdigheid gaat erover dat die gegevens actueel zijn, of actueel genoeg voor wat ermee gedaan wordt. Verouderde gegevens zijn beschikbaar maar niet tijdig.

Specifieke eisen en invulling ervan hangen altijd van de toepassing af. In een database van zeventiende-eeuwse doopregisters zal tijdigheid waarschijnlijk geen rol spelen, bijvoorbeeld.
04-03-2019, 13:40 door Anoniem
Door Bitwiper:
Of deze in de laatste NEN 7510 staat weet ik niet, maar in NEN 7510:2011 staat die control nog wel.
De NEN7510 neemt de definitie over van de ISO27000:
3.30
integriteit
eigenschap van nauwkeurigheid en volledigheid
[BRON: NEN?ISO/IEC 27000:2014]


De NEN7510, deel I en II zijn trouwens zonder kosten te downloaden vanaf
https://www.nen.nl/NEN-Shop/Norm/NEN-751012017-nl.htm
en ze zijn vrijwel gelijk aan de ISO 27001 en 27002 ;)
04-03-2019, 14:12 door [Account Verwijderd]
Hoewel ik niet dagelijks met IB of ISO27001 standaarden worstel, heb ik het onderscheid naar BIV/CIA altijd als beperkend en vaag ervaren. Iedereen schuift altijd maat wat maatregelen onder een bepaalde term omdat het hoort, maar de concrete risico's en benodigde maatregelen lijken al snel uit het oog verloren te worden.

Ik was en ben nog altijd gecharmeerd van de RMIAS paper ( http://rmias.cardiff.ac.uk/ ) waarbij verschillende zaken nog wat meer los getrokken worden n.a.v. literatuur onderzoek en er ook aadacht besteeds wordt aan bijvoorbeeld 'authenticity' en 'auditability' naast de bekende CIA driehoek. De definitie van 'Integrity' hierin is 'A system should ensure completeness, accuracy and absence of unauthorised modifications in all its components'). Al valt mij op dat het begrip van 'tijdigheid' zoals je dat beschreef daar dan weer niet onder valt. Daarmee valt het mij ook op dat er natuurlijk gesproken kan worden over de integriteit van de informatie zelf, of over een (informatie)systeem. Bij dat laatste ga je ook verschillende integriteitseisen kunnen stellen aan de verwerking van informatie, niet noodzakelijkerwijs aan de informatie zelf.

Af en toe heb ik het idee dat een goede risico identificatie en passende maatregelen in zulke gevallen toch beter zou zijn in plaats van blijven staren naar een begrip als integriteit en te bedenken of je maatregelen dat wel voldoende afdekken...
04-03-2019, 14:33 door karma4
misschien helpt: https://www.informatiebeveiligingsdienst.nl/wp-content/uploads/2016/07/Tactische-Baseline-Informatiebeveiliging-Nederlandse-Gemeenten-v1.02.pdf Zo te zien volgt die de iso27002
De tijdigheid wordt gekoppeld aan een functionele eis die binnen scope valt.
05-03-2019, 07:28 door Bitwiper
Dank voor alle reacties, waaronder de tip voor gratis download van 7510!

Door Anoniem: Bedenk dat er op basis van informatie beslissingen worden genomen en acties worden ondernomen. Bij integriteit gaat het erom dat die beslissingen en acties niet goed gaan als de gegevens niet goed zijn.
Dat is een belangrijk aspect, maar bijv. een opslagmedium dat -deels of geheel- onleesbaar is geraakt, met verlies van informatie als gevolg, zal niet zo snel tot verkeerde beslissingen leiden. Denk daarbij, naast aan back-up media, ook aan RAID arrays en/of corrupt geraakte databases met mogelijk grote RTO en RPO (uitgaande van de situatie dat je ontdekt hebt dat er een probleem is).

Door Anoniem: Stel dat een vereniging aan leden met een betalingsachterstand een herinnering wil sturen:
• juistheid: als je een verkeerd adres bij een lid hebt staan gaat de herinnering niet aankomen;
• volledigheid: als bij een lid helemaal geen adres is ingevuld weet je niet waar die herinnering naar toe moet;
• tijdigheid: als je betalingen pas verwerkt nadat je de herinneringen hebt aangemaakt stuur je herinneringen aan leden die wel degelijk betaald hebben.
Zo zie je maar hoe verschillend mensen de begrippen "informatiebeveiliging" en "integriteit" interpreteren. Zoals ik het zie heeft geen van die punten met integriteit en zelfs informatiebeveiliging te maken, maar met kwaliteit. Mijn huidige opdrachtgever is ook met ISO 9001 bezig (gelukkig sluit de laatste versie daarvan beter aan bij 27001, alhoewel ik kapstokken zoals BIV en generieke controls mis). Wellicht begrijpen de lezers mijn standpunten nu beter.

Terzijde, ik heb er ook grote moeite mee dat organisaties die ISO 27001 certificeren, alle bedrijfsrisico's "daaronder schuiven" en vervolgens van elk van die risico's -met hangen en wurgen- proberen aan te geven wat de relatie is met BIV en bestaande controls uit de annex van 27001.

Door Anoniem: Tijdigheid is iets anders dan beschikbaarheid. Beschikbaarheid gaat erom dat de gegevens die in het systeem zitten beschikbaar zijn om er dingen mee te doen, ze moeten benaderbaar zijn, het systeem moet er niet uit liggen. Tijdigheid gaat erover dat die gegevens actueel zijn, of actueel genoeg voor wat ermee gedaan wordt. Verouderde gegevens zijn beschikbaar maar niet tijdig.
Ik begrijp de keuze om "tijdigheid" onder integriteit te schuiven (wellicht omdat integriteit het vaagste begrip is uit BIV schuiven sommigen "reputatie" er ook maar onder). En natuurlijk leidt het onterecht verzenden van betalingsherinneringen naar klanten tot klantontevredenheid, maar mijn persoonlijke insteek is dat dit niets met informatiebeveiliging te maken heeft - maar met een kwalitatief slecht systeem.

Door Anoniem: Specifieke eisen en invulling ervan hangen altijd van de toepassing af. In een database van zeventiende-eeuwse doopregisters zal tijdigheid waarschijnlijk geen rol spelen, bijvoorbeeld.
Eens. Eerder heb ik er al eens voor gepleit om "beschikbaarheid" op te splitsen in "onmisbaarheid" (bijv. contracten en financiële data) en "bereikbaarheid" (tijdige beschikbaarheid van bijv. Office365, weerbericht en fileinformatie).

Waar ik naar zoek is een sluitende definitie voor integriteit voor op een classificatieschema, bedoeld voor medewerkers om informatie te classificeren (zodat duidelijk is hoe verder met die informatie moet worden omgesprongen). Hoewel we van mening verschillen, waardeer ik jouw reactie, die aantoont dat je exact moet vastleggen wat je bedoelt om misverstanden te voorkomen!
05-03-2019, 07:45 door Bitwiper
Door Acrimony: Hoewel ik niet dagelijks met IB of ISO27001 standaarden worstel, heb ik het onderscheid naar BIV/CIA altijd als beperkend en vaag ervaren. Iedereen schuift altijd maat wat maatregelen onder een bepaalde term omdat het hoort, maar de concrete risico's en benodigde maatregelen lijken al snel uit het oog verloren te worden.
Eens, helaas is dit de praktijk!

Door Acrimony: Ik was en ben nog altijd gecharmeerd van de RMIAS paper ( http://rmias.cardiff.ac.uk/ ) [...]
Ik heb snel even gekeken, ziet er inderdaad interessant uit. Ga ik verder naar kijken!

Door Acrimony: Af en toe heb ik het idee dat een goede risico identificatie en passende maatregelen in zulke gevallen toch beter zou zijn in plaats van blijven staren naar een begrip als integriteit en te bedenken of je maatregelen dat wel voldoende afdekken...
Volstrekt mee eens, doen we ook! Maar een aantal risico's kun je afdekken door mensen informatie te laten classificeren, waardoor (hopelijk) duidelijker wordt hoe ze daarmee moeten omgaan (mag wel/niet mee naar huis, worden gemaild etc). Daarbij gaat het m.i. vooral om vertrouwelijkheid (incl. persoonsgegevens), maar authenticiteit en onmisbaarheid zijn soms ook belangrijk.

@karma4: dank voor jouw bijdragen, maar ik ben vooral benieuwd naar welke definities jullie hanteren - met name als deze afwijken van wat er in literatuur op internet te vinden is (tenzij definities daarin de begrippen wel "SMART" maken).
05-03-2019, 08:11 door karma4 - Bijgewerkt: 05-03-2019, 08:13
Door Bitwiper: …..
Waar ik naar zoek is een sluitende definitie voor integriteit voor op een classificatieschema, bedoeld voor medewerkers om informatie te classificeren (zodat duidelijk is hoe verder met die informatie moet worden omgesprongen). Hoewel we van mening verschillen, waardeer ik jouw reactie, die aantoont dat je exact moet vastleggen wat je bedoelt om misverstanden te voorkomen!

Die vraag is veel lastiger dan de invulling van een iso normenkader. De classificatie moet gedaan worden door de business, functioneel beheerders, eigenaars van de informatie, zoals jij aangeeft "medewerkers".
De spraakverwarring over woorden begrippen en de doelstellingen zijn bijna een vaststaand gegeven. Je had dat classificatie document vng al. Deze zijn lastig: "
1- Er wordt gestreefd naar een zo ‘laag’ mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige kosten.
2- De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau
3- ... De classificatie die door de soort informatie bepaald wordt geldt ook voor het hogere niveau van informatiesystemen (of informatieservices), …
"

ad 1/ Gebruikers hebben de neiging voor een zo hoog mogelijk classificatieniveau te gaan. Status en belangrijkheid.

ad 2/ Het vereiste beschermingsniveau zegt ze niets. Je zult met een indeling op uitval/beschikbaarheid van de verwerkingen moeten komen. Gevallen als
- "een desktop/gebruiker kan een dag niet werken"
- "afdeling kan een dag niet werken"
- "Een brief wordt verkeerd naar buiten gestuurd"
- "de hele verwerking gaat fout en moet over, dis is zichtbaar voor het publiek"
- "een verwerking met een regelmatige deadline haalt de deadline niet. Je kunt daar veel situatie bij hebben.
Deze kun je met een begrip van tijdigheid inkleden. Kwartaal en jaar opleveringen zijn hierbij typisch met bijzondere eigenschap. Op het moment van de campagne kunnen ze hoogst kritisch zijn. en buiten die periode marginaal.
Een voorbeeld is de belastingaangiftecampagne die nu enkele maanden loopt. Operatie en beschikbaar krijgt nu de hoogste aandacht en prioriteit. Na juni is die druk er af en werkt me aan veranderingen voor de volgenden campagne.
Kijk wat er bij de gebruiker gebeurt, durf te vragen en je zult er meer zien.

ad 3/ Gebruikers hebben de neiging systemen door elkaar te laten lopen voor het gemak. Ze zijn zich niet bewust dat maateregelen voor hogere niveau's kosten en mogelijk iets onwerkbaars met zich meebrengt.
Voor je het weet heb je een spanningsveld met een architect van de business. Ontkoppelen op classificatie niveau's kan een gevolg zijn. Hoe ga je dat als technical-debt er in krijgen?


De classificaties dienen als hulpmiddel om de er bij horende technische maatregelen te onderbouwen.
Het kan zelfs zijn dat nog niet herkende hiaten nog opgelost moeten worden of dat er een uitspraak over gedaan wordt. Risicoacceptatie met een beschrijving wat er dan gedaan wordt is ook een oplossing.
Voor je het weet zit je met een lijst van technische maatregelen waar de medewerkers via de classificatie in terecht moeten komen.

Het verbaast me dat je de ISO27k normen zelf niet hebt. De kosten zjn voor privé te hoog maar voor een bedrijf niet. De uren die je er in steekt om er omheen te werken zouden wel eens een veelvoud van die kosten kunnen zijn.
05-03-2019, 08:57 door Anoniem
Door Bitwiper: Zo zie je maar hoe verschillend mensen de begrippen "informatiebeveiliging" en "integriteit" interpreteren. Zoals ik het zie heeft geen van die punten met integriteit en zelfs informatiebeveiliging te maken, maar met kwaliteit.

[...] (wellicht omdat integriteit het vaagste begrip is uit BIV schuiven sommigen "reputatie" er ook maar onder).
Ah, op die manier. Als ik het goed begrijp interpreteer je het begrip integriteit zoals een persoon integer kan zijn, als rechtschapenheid. Als je de Van Dale erop naslaat (mijn editie althans, da's niet de nieuwste) is dat pas de 3e betekenis. Betekenis 1 is "ongeschonden toestand", en dat is precies de betekenis waar het bij dataintegriteit over gaat. Dat het over kwaliteit gaat klopt helemaal maar integriteit in de betekenis van ongeschonden toestand is een kwaliteitskenmerk.
05-03-2019, 09:23 door Anoniem
Door Bitwiper: Dat is een belangrijk aspect, maar bijv. een opslagmedium dat -deels of geheel- onleesbaar is geraakt, met verlies van informatie als gevolg, zal niet zo snel tot verkeerde beslissingen leiden.
Nee, maar het is breder dan alleen hardware. Fouten in applicaties, in procedures en in het toepassen van de procedures kunnen ook tot fouten leiden. Het is goed mogelijk dat daar van alles bij zit dat buiten jouw werkterrein en verantwoordelijkheid valt, maar dat wil niet zeggen dat dat het niet speelt. Jouw werkterrein is dan onderdeel van een groter geheel dat in samenhang voor die integriteit moet zorgen.
05-03-2019, 10:32 door RaceAap
Door Anoniem:
Door Bitwiper: Zo zie je maar hoe verschillend mensen de begrippen "informatiebeveiliging" en "integriteit" interpreteren. Zoals ik het zie heeft geen van die punten met integriteit en zelfs informatiebeveiliging te maken, maar met kwaliteit.

[...] (wellicht omdat integriteit het vaagste begrip is uit BIV schuiven sommigen "reputatie" er ook maar onder).
Ah, op die manier. Als ik het goed begrijp interpreteer je het begrip integriteit zoals een persoon integer kan zijn, als rechtschapenheid. Als je de Van Dale erop naslaat (mijn editie althans, da's niet de nieuwste) is dat pas de 3e betekenis. Betekenis 1 is "ongeschonden toestand", en dat is precies de betekenis waar het bij dataintegriteit over gaat. Dat het over kwaliteit gaat klopt helemaal maar integriteit in de betekenis van ongeschonden toestand is een kwaliteitskenmerk.

Integriteit valt maar gedeeltelijk onder kwaliteit binnen IB: de data is ongeschonden maar de inhoud hoeft niet persee van goede kwaliteit te zijn, bv een IP adres in een log regel is door een NAT translatie niet bruikbaar voor audit doeleiden. Dus de data IS integer (onaangetast in zijn route naar zijn doel locatie) echter de kwaliteit/bruikbaarheid ervan is nihil.
05-03-2019, 10:35 door Anoniem
Door Bitwiper: Zoals ik het zie heeft geen van die punten met integriteit en zelfs informatiebeveiliging te maken, maar met kwaliteit.
Aanvulling op mijn reactie van 08:57: informatiebeveiliging gaat niet alleen over het buiten de deur houden van ongewenste typen, het gaat ook over het beveiligen van je informatie tegen schade en ongelukken. Backups horen er ook bij, bijvoorbeeld. Informatiebeveiliging gaat mede over het in stand houden van de kwaliteit, en dus heeft het wel degelijk met die kwaliteit te maken.
05-03-2019, 10:58 door Anoniem
Door RaceAap: Integriteit valt maar gedeeltelijk onder kwaliteit binnen IB: de data is ongeschonden maar de inhoud hoeft niet persee van goede kwaliteit te zijn, bv een IP adres in een log regel is door een NAT translatie niet bruikbaar voor audit doeleiden. Dus de data IS integer (onaangetast in zijn route naar zijn doel locatie) echter de kwaliteit/bruikbaarheid ervan is nihil.
Vanuit het oogpunt van die audit heeft NAT de integriteit van de data wel degelijk aangetast. Die kan hersteld worden door een NAT in te zetten die een log bijhoudt en ook die logs veilig te stellen.

Maar los van het voorbeeld, ik stelde dat dataintegriteit een kwaliteitskenmerk is, niet dat het het hele verhaal is. Natuurlijk blijft garbage in, garbage out opgaan en kan je garbage in niet in elke situatie volledig voorkomen, maar als je processen data verminken of verliezen dan krijg je quality in, garbage out, en dat moet echt de norm niet zijn.
05-03-2019, 11:13 door RaceAap
Door Anoniem:Vanuit het oogpunt van die audit heeft NAT de integriteit van de data wel degelijk aangetast. Die kan hersteld worden door een NAT in te zetten die een log bijhoudt en ook die logs veilig te stellen.

Maar los van het voorbeeld, ik stelde dat dataintegriteit een kwaliteitskenmerk is, niet dat het het hele verhaal is. Natuurlijk blijft garbage in, garbage out opgaan en kan je garbage in niet in elke situatie volledig voorkomen, maar als je processen data verminken of verliezen dan krijg je quality in, garbage out, en dat moet echt de norm niet zijn.

Ben ik het niet mee eens: die NAT past de integriteit niet aan, aangezien je weet dat er een NAT plaats vind. Het past wel de kwaliteit aan, die kun je dan weer herstellen door te registreren welke NAT translatie's er plaatsvinden. Voor DHCP zou je inderdaad nog een extra log moeten hebben, die overeenkomt met de eerder genoemde log, voor NAT ( die is statisch ) is registratie voldoende om de kwaliteit te herstellen.
05-03-2019, 11:18 door Bitwiper
Door karma4: Het verbaast me dat je de ISO27k normen zelf niet hebt.
Waar baseer je dat op? Natuurlijk beschik ik (en opdrachtgevers) over die normen (op legale wijze verkregen).

Alleen de NL versie van de 27000 (met o.a definities) heb ik nooit aangeschaft. Het liefste zou ik alles in het Engels doen (van de 27001 en 27002 heb ik zowel NL als UK versies). In mijn ervaring zijn de NL versies niet altijd even goed vertaald en googlen naar NL termen levert nou eenmaal veel minder zinvols op.

Door Anoniem: Als je de Van Dale erop naslaat (mijn editie althans, da's niet de nieuwste) is dat pas de 3e betekenis. Betekenis 1 is "ongeschonden toestand", en dat is precies de betekenis waar het bij dataintegriteit over gaat.
Ah briljant! "Ongeschonden" is inderdaad precies het woord waar ik nog niet opgekomen ben, alhoewel je bugs in data-bewerkende systemen ook onder inbreuken op integriteit zou kunnen rekenen, maar dat is m.i. wel een grensgeval.

Door Anoniem: Dat het over kwaliteit gaat klopt helemaal maar integriteit in de betekenis van ongeschonden toestand is een kwaliteitskenmerk.
Sterker, wat mij betreft is het hele vakgebied informatiebeveiliging onderdeel van kwaliteit. Maar andersom is dat maar in een deel van de gevallen zo; waar ik bezwaar tegen maak is dat zaken die relevant zijn voor de kwaliteit van diensten en/of producten, die niets met het beveiligen van informatie te maken hebben, toch onder het kopje informatiebeveiliging worden geschoven.

@RaceAap: exact, maar lang niet iedereen is het met ons eens. Vandaar dat ik definities wil die niet voor meerderlij uitleg vatbaar zijn. Wat er precies onder een vaag begrip als integriteit valt, is (binnen redelijke grenzen) een keuze van de opdrachtgever; voorwaarde is dat alle stakeholders het op dezelfde manier uitleggen en toepassen.
05-03-2019, 12:13 door Anoniem
Door RaceAap: Ben ik het niet mee eens: die NAT past de integriteit niet aan, aangezien je weet dat er een NAT plaats vind.
Vandaar dat ik schreef: vanuit het oogpunt van de audit. Dat is een perspectief, maar niet het enige denkbare perspectief. Jouw benadering en de mijne sluiten elkaars bestaan niet uit, ze leiden zelfs tot dezelfde conclusie en doen daarmee hun werk. En het is verdomd nuttig om die verschillende perspectieven mee te nemen, dat helpt je om grondig en volledig te zijn.

Als je alle componenten afzonderlijk bekijkt dan doen die perfect hun werk: de NAT vertaalt adressen, de server logt de adressen zoals die ze ziet. Vanuit dat perspectief wordt inderdaad de integriteit niet aangetast.

Maar zoals ik schreef, specifieke eisen en invulling ervan hangen altijd van de toepassing af. De audit is een toepassing waar eisen uit voortkomen, bijvoorbeeld dat de oorspronkelijke, externe IP-adressen nog te achterhalen zijn. Dat is een perspectief dat andere uitkomsten kan opleveren dan andere perspectieven. En die zijn net zo goed van toepassing op de situatie en net zo geldig. Die verschillen zijn niet erg, ze zijn nuttig. De manier waarop het audit-perspectief tot de conclusie leidt dat de integriteit is aangetast kan zelfs op twee manieren. Je kan stellen dat de vertaalde IP-adressen onjuist zijn (voor de audit) of je kan stellen dat door de ontbrekende NAT-log de gegevens (voor de audit) onvolledig zijn. En ook dat is niet erg. Het punt is dat de hele benadering een instrument is dat je op allerlei situaties kan loslaten, een denkkader dat je kan helpen te bepalen wat er ontbreekt en wat eraan gedaan moet worden. En daar gaat het uiteindelijk om.
05-03-2019, 12:41 door karma4
Door Bitwiper:
Door karma4: Het verbaast me dat je de ISO27k normen zelf niet hebt.
Waar baseer je dat op? Natuurlijk beschik ik (en opdrachtgevers) over die normen (op legale wijze verkregen).

Alleen de NL versie van de 27000 (met o.a definities) heb ik nooit aangeschaft. Het liefste zou ik alles in het Engels doen (van de 27001 en 27002 heb ik zowel NL als UK versies). In mijn ervaring zijn de NL versies niet altijd even goed vertaald en googlen naar NL termen levert nou eenmaal veel minder zinvols op.
Ik nam het aan omdat:
- Je ging naar de nen7510 als extra gegeven.
- geen blijk gaf in het onderscheid 27001 strategisch naar 27002 tactisch
Waarbij die beide raamwerken uitgewerkt horen te worden naar de eigen lokale invulling.
Vandaar al die verwijzingen in de eigen lokale invulling als dat zover is.
- Het begrip integriteit in de NL versie 27002 duidelijkere technische kaders geeft.

Mijn verontschuldigen voor de kennelijke foute aanname, mooi dat je ze hebt.
Nee het begrip zit niet goed uitgelegd voor die classificatie. Met die vaststelling dat het engelstalige doc beter is dan de Nederlandse vertaling zijn we het eens. De vertaling zorgt voor ruis.

waar ik bezwaar tegen maak is dat zaken die relevant zijn voor de kwaliteit van diensten en/of producten, die niets met het beveiligen van informatie te maken hebben, toch onder het kopje informatiebeveiliging worden geschoven.
Als je docs doorwerkt zie dat de fysieke toegang en delen van leveranciersmanagment ook opgenomen als informatiebeveiliging. Dat lijkt me zeer terecht.
05-03-2019, 13:17 door RaceAap
Door Anoniem:
De NEN7510, deel I en II zijn trouwens zonder kosten te downloaden vanaf
https://www.nen.nl/NEN-Shop/Norm/NEN-751012017-nl.htm
en ze zijn vrijwel gelijk aan de ISO 27001 en 27002 ;)

Alleen zo jammer dat bij het registeren bij NEN er geen informatie gemeld wordt ( VOORAF ) of er kosten aan een account zitten of wat er met je gegevens gedaan wordt.
05-03-2019, 13:40 door Anoniem
Ik vind het wel weer grappig en tegelijkertijd jammer om te zien dat een vraag over definities en betekenissen van woorden toch weer eindigen in een standaard, control maatregelen en security taal.

Zoals ik al eerder aangaf gaat het er om wat de stakeholder bedoelt met integriteit. Daar moet je mee werken.

Helaas vond de moderator van security.nl het nodig mijn bericht daarop niet door te laten. Bedankt(!). Not.


Ik denk serieus dat security gekoppeld moet zijn aan de business en niet andersom. Kijk eens naar SABSA als security architectuur, als methodiek eigenlijk. Die neemt heel sterk het uitgangspunt van bedrijfsdoelstellingen om mee te beginnen.
(http://www.sabsa.org).
05-03-2019, 13:45 door Anoniem
Door Acrimony:
Af en toe heb ik het idee dat een goede risico identificatie en passende maatregelen in zulke gevallen toch beter zou zijn in plaats van blijven staren naar een begrip als integriteit en te bedenken of je maatregelen dat wel voldoende afdekken...

Dit. Dan heb je ook die hele discussie over of tijdigheid nou wel bij integriteit hoort niet. (Ik kan me situaties voorstellen waarin dat wel relevant is. Je wilt bijvoorbeeld écht niet met verouderde - maar op zich wel juiste, alleen niet meer op dit moment - wisselkoersgegevens werken als je facturen/offertes gaat omrekenen van dollars/ponden naar euro's. En met een goede risico-identificatie heb je die te pakken en kun je maatregelen nemen.)
05-03-2019, 16:29 door [Account Verwijderd]
Door RaceAap: Alleen zo jammer dat bij het registeren bij NEN er geen informatie gemeld wordt ( VOORAF ) of er kosten aan een account zitten of wat er met je gegevens gedaan wordt.

Je kan waarschijnlijk een dienst als https://temp-mail.org/en/ gebruiken?
05-03-2019, 21:31 door RaceAap
Door Bomb No. 20:
Door RaceAap: Alleen zo jammer dat bij het registeren bij NEN er geen informatie gemeld wordt ( VOORAF ) of er kosten aan een account zitten of wat er met je gegevens gedaan wordt.

Je kan waarschijnlijk een dienst als https://temp-mail.org/en/ gebruiken?

Is een optie, maar ze voldoen niet helemaal aan de avg, cookie wet etc, het normen instituut zelf dat zich niet netjes aan de normen houd ;-)
05-03-2019, 22:19 door karma4
Door Bomb No. 20: Je kan waarschijnlijk een dienst als https://temp-mail.org/en/ gebruiken?
Je krijgt een rekening voor 0 euro opgestuurd. Een fake mail account en fake adres maakt kenbaar als onbetrouwbare klant. Gebeurt dat te veel dan kan je verwachten dat het geheel afgesloten wordt. Het is nu afgekocht door de overheid om meer draagvlak in het veld te krijgen. En serieuze aanpak vanuit ICT zou een grotere verbetering in de zorg ict kunnen geven.
06-03-2019, 06:54 door Bitwiper
Door Anoniem:
Door Acrimony:
Af en toe heb ik het idee dat een goede risico identificatie en passende maatregelen in zulke gevallen toch beter zou zijn in plaats van blijven staren naar een begrip als integriteit en te bedenken of je maatregelen dat wel voldoende afdekken...

Dit. Dan heb je ook die hele discussie over of tijdigheid nou wel bij integriteit hoort niet. (Ik kan me situaties voorstellen waarin dat wel relevant is. Je wilt bijvoorbeeld écht niet met verouderde - maar op zich wel juiste, alleen niet meer op dit moment - wisselkoersgegevens werken als je facturen/offertes gaat omrekenen van dollars/ponden naar euro's. En met een goede risico-identificatie heb je die te pakken en kun je maatregelen nemen.)
Ik maak hier toch bezwaar tegen.

Een m.i. belangrijke pijler voor economisch verantwoorde IB is classificatie van informatie. Precies zoals karma4 schrijft (waar ook verchillende publicaties over bestaan) is het verspilling om te overclassificeren en leidt onderclassificeren tot beveiligingsrisico's.

Bij classificeren (defensie: rubriceren) wordt in de eerste plaats aan vertrouwelijkheid gedacht. Begrijpelijk, maar bij elke organisatie waar ik kom zie ik schijnbaar eindeloos groeiende "H:" schijven en/of SharePoint "bolwerken" en Exchange opslag zonder enige vorm van information lifecycle management (ik overdrijf, "management" vindt ad hoc plaats zodra ICT mailt dat de schijf vol zit). Deze verzamelwoede leidt tot meerdere risico's, met wellicht als belangrijkste het niet (snel) meer kunnen vinden van relevante informatie, dubbelingen waardoor verschillende versies "de laatste" lijken, de kosten voor het maken van back-ups en de tijd die het kost om de boel te restoren bijv. na defecte schijven, beheerderfouten of ransomware. Met alleen "laag", "midden" of "hoog" onder beschikbaarheid los je dit probleem natuurlijk niet op.

Als een computer wordt gehackt betekent dat diens integriteit wordt geschonden. Als dat een onacceptabel risico oplevert, kun je twee dingen doen: beter trachten te voorkomen en detecteren. Als het voor bepaalde documenten ongewenst is dat deze door autosave worden gewijzigd, bijv door "autosave" of doordat mensen uit gewoonte bijv. control-s drukken (al gaat het maar om een andere sortering in een Excel sheet) dan kun je daar maatregelen tegen nemen. Op eerder genoemde "H:" schijven en SharePoint mappen heeft meestal iedereen die mag lezen, ook schrijfrechten (ransomwaremakers zijn hier heel blij mee). De meeste documenten horen nooit meer gewijzigd te worden (denk aan verzonden e-mails of brieven en handleidingen; iemand die bijv. een handleiding wil "wijzigen" hoort een nieuwe versie van het oude bestand te maken). De reden dat non-admins geen schrijfrechten hebben onder C:\Windows\ en /bin/ is dat je de integriteit van de bestanden in die mappen wilt beschermen.

Je wilt niet dat de kroonjuwelen van een bedrijf worden gestolen (in de zin van gekopieerd). Maar je wilt ook niet dat deze veranderen, en als dat gebeurt, wil je dat detecteren zodat je een back-up kunt terugzetten. Detectie kan bijv. met (aan bestanden gekoppelde) digitale handtekeningen of elders opgeslagen cryptografische hashes. Als niemand de risico's onderkent van bijv. een boze werknemer of een mij nog onbekend soort ransomware die bestanden stukje bij beetje ietsje wijzigt, is denkbaar dat dit erstige gevolgen heeft.

Kortom, classificeren van informatie is geen vervanger voor een hele reeks andere risico-mitigerende maatregelen, maar is m.i. wel heel verstandig (anders had je die letters BIV ook niet nodig). Integriteit is daar een onderdeel van, en om niet te over- of onderclassificeren moet iedereen precies weten wat dat begrip "integriteit" betekent.
06-03-2019, 10:11 door [Account Verwijderd]
Door RaceAap:
Door Bomb No. 20:
Door RaceAap: Alleen zo jammer dat bij het registeren bij NEN er geen informatie gemeld wordt ( VOORAF ) of er kosten aan een account zitten of wat er met je gegevens gedaan wordt.

Je kan waarschijnlijk een dienst als https://temp-mail.org/en/ gebruiken?

Is een optie, maar ze voldoen niet helemaal aan de avg, cookie wet etc, het normen instituut zelf dat zich niet netjes aan de normen houd ;-)

Quis custodiet ipsos custodes? :-)

Door karma4:
Door Bomb No. 20: Je kan waarschijnlijk een dienst als https://temp-mail.org/en/ gebruiken?
Je krijgt een rekening voor 0 euro opgestuurd. Een fake mail account en fake adres maakt kenbaar als onbetrouwbare klant. Gebeurt dat te veel dan kan je verwachten dat het geheel afgesloten wordt.

Alleen een digibeet zou zo denken.
06-03-2019, 11:08 door karma4 - Bijgewerkt: 06-03-2019, 11:09
Door Bomb No. 20: …..Alleen een digibeet zou zo denken.
Ik heb ze met reden gedownload, gewoon eigen naam adres. De informatie over wat er speelt wie hoe eerst bekeken https://www.nen.nl/Over-NEN/Vrij-beschikbare-normen.htmDat ze rekeningen met een nul bedrag per post opsturen stond nergens. Ik vermeldde het als een ervaring.

Een ICT specialist snapt dan wat er aan de hand is. Het factureringsproces is aan de bestelling gekoppeld, 0 bedragen zijn niet uit dat proces gehaald. Ik zie een projectje voor kostenbesparing. De afweging is hoe vaak zoiets gebeurt met de kosten en wat de aanpassing kost. Het kan in ieder geval in de backlog opgenomen worden. De beslissing is aan de product owner.

Alleen een digibeet die denkt wat van ICT te weten reageert als een horzel op een vermelding hoe het werkt.
06-03-2019, 11:31 door [Account Verwijderd]
Door karma4:
Door Bomb No. 20: …..Alleen een digibeet zou zo denken.
Ik heb ze met reden gedownload, gewoon eigen naam adres. De informatie over wat er speelt wie hoe eerst bekeken https://www.nen.nl/Over-NEN/Vrij-beschikbare-normen.htmDat ze rekeningen met een nul bedrag per post opsturen stond nergens. Ik vermeldde het als een ervaring.

Een ICT specialist snapt dan wat er aan de hand is. Het factureringsproces is aan de bestelling gekoppeld, 0 bedragen zijn niet uit dat proces gehaald.

Dat is jouw (digibete) aanname...
06-03-2019, 15:16 door karma4
Door Bomb No. 20: ...Dat is jouw (digibete) aanname...
Ah, de gangbare persoonlijke aanval na de ontkenning van het eigen falen. Het hoort bij een bepaald leeftijdsgroep.
Zelfs niet de notie dat ik verbaasd over die slakkenpost.
06-03-2019, 15:50 door [Account Verwijderd] - Bijgewerkt: 06-03-2019, 16:03
Door karma4:
Door Bomb No. 20:
Door karma4: Een ICT specialist snapt dan wat er aan de hand is. Het factureringsproces is aan de bestelling gekoppeld, 0 bedragen zijn niet uit dat proces gehaald.
...Dat is jouw (digibete) aanname...
Ah, de gangbare persoonlijke aanval na de ontkenning van het eigen falen. Het hoort bij een bepaald leeftijdsgroep.
Zelfs niet de notie dat ik verbaasd over die slakkenpost.

Mijn falen? Heb je een bronvermelding dan? (Als onderbouwing voor jouw bewering - bold gemaakt in bovenstaande quote?)
06-03-2019, 18:11 door karma4
Door Bomb No. 20:…..
Mijn falen? Heb je een bronvermelding dan? (Als onderbouwing voor jouw bewering - bold gemaakt in bovenstaande quote?)
Ik gaf je de link wat NEN als non-profit over die normen zegt. Ik heb ze in december 2015 en september 2018 opgehaald.
De ervaring heb ik beschreven dat je het hele aanvraagproces door gaat als aankoop en zelf facturen thuis krijg met een 0 bedrag. De documenten (7513 is nieuw) krijg je gemarkeerd met "license by NEN to: " (footer) en een notitie dat het enkel op een stand alon mag (left 180-left).
Dan ga jij tekeer als dat als vermelde ervaring verteld wordt met een digibeet aanduiding.

Je frustratie moet wel er hoog zitten dat je zo reageert, dat is de faal die je hier toont.
06-03-2019, 18:54 door [Account Verwijderd]
Door karma4:
Door Bomb No. 20:…..
Mijn falen? Heb je een bronvermelding dan? (Als onderbouwing voor jouw bewering - bold gemaakt in bovenstaande quote?)
Ik gaf je de link wat NEN als non-profit over die normen zegt. Ik heb ze in december 2015 en september 2018 opgehaald.
De ervaring heb ik beschreven dat je het hele aanvraagproces door gaat als aankoop en zelf facturen thuis krijg met een 0 bedrag. De documenten (7513 is nieuw) krijg je gemarkeerd met "license by NEN to: " (footer) en een notitie dat het enkel op een stand alon mag (left 180-left).

Dat zeg je nu, nu je betrapt bent. Maar waar zeg je dat eerder al? S.v.p. reactie met linkje want ik ga niet al jouw teksten teruglezen.
06-03-2019, 19:09 door karma4
Door Bomb No. 20:
Dat zeg je nu, nu je betrapt bent. Maar waar zeg je dat eerder al? S.v.p. reactie met linkje want ik ga niet al jouw teksten teruglezen.
Degene die betrapt is ben je zelf.
- 16:29 deze draad kom jet met het advies over een fake mail account.
- 22:19 zeg ik dat je de rekeningen met een 0 bedrag op papier thuis krijgt.
- 10:11 begin je met je persoonlijke aanval, vervolgens blijf je vasthouden dat ik die vermelde ervaring niet zou hebben .
…. Te zot voor woorden dat je niet ziet hoe duidelijk je je frustratie toont in een gedrag van persoonlijke aanval
06-03-2019, 19:34 door [Account Verwijderd]
Door karma4:
Door Bomb No. 20:
Dat zeg je nu, nu je betrapt bent. Maar waar zeg je dat eerder al? S.v.p. reactie met linkje want ik ga niet al jouw teksten teruglezen.
Degene die betrapt is ben je zelf.
- 16:29 deze draad kom jet met het advies over een fake mail account.
- 22:19 zeg ik dat je de rekeningen met een 0 bedrag op papier thuis krijgt.
- 10:11 begin je met je persoonlijke aanval, vervolgens blijf je vasthouden dat ik die vermelde ervaring niet zou hebben .
…. Te zot voor woorden dat je niet ziet hoe duidelijk je je frustratie toont in een gedrag van persoonlijke aanval

Scan even een kopie van zo'n rekening in en zet die ergens online (http://pastebin.com ?) zodat ik 'm kan bekijken. Met alleen het roepen dat je een rekening van €0,- krijgt opgestuurd overtuig je mij echt niet.
07-03-2019, 08:53 door Bitwiper
Vriendelijk verzoek aan de haantjes karma4 en Bomb No. 20 om een eigen thread te beginnen en daarin hun ruzie uit te vechten. Ik herhaal mijn, door hen ondergesneeuwde, laatste bijdrage en ben benieuwd naar meningen daarover (argumenten tegen zijn ook van harte welkom).

Door Anoniem:
Door Acrimony:
Af en toe heb ik het idee dat een goede risico identificatie en passende maatregelen in zulke gevallen toch beter zou zijn in plaats van blijven staren naar een begrip als integriteit en te bedenken of je maatregelen dat wel voldoende afdekken...

Dit. Dan heb je ook die hele discussie over of tijdigheid nou wel bij integriteit hoort niet. (Ik kan me situaties voorstellen waarin dat wel relevant is. Je wilt bijvoorbeeld écht niet met verouderde - maar op zich wel juiste, alleen niet meer op dit moment - wisselkoersgegevens werken als je facturen/offertes gaat omrekenen van dollars/ponden naar euro's. En met een goede risico-identificatie heb je die te pakken en kun je maatregelen nemen.)
Ik maak hier toch bezwaar tegen.

Een m.i. belangrijke pijler voor economisch verantwoorde IB is classificatie van informatie. Precies zoals karma4 schrijft (waar ook verchillende publicaties over bestaan) is het verspilling om te overclassificeren en leidt onderclassificeren tot beveiligingsrisico's.

Bij classificeren (defensie: rubriceren) wordt in de eerste plaats aan vertrouwelijkheid gedacht. Begrijpelijk, maar bij elke organisatie waar ik kom zie ik schijnbaar eindeloos groeiende "H:" schijven en/of SharePoint "bolwerken" en Exchange opslag zonder enige vorm van information lifecycle management (ik overdrijf, "management" vindt ad hoc plaats zodra ICT mailt dat de schijf vol zit). Deze verzamelwoede leidt tot meerdere risico's, met wellicht als belangrijkste het niet (snel) meer kunnen vinden van relevante informatie, dubbelingen waardoor verschillende versies "de laatste" lijken, de kosten voor het maken van back-ups en de tijd die het kost om de boel te restoren bijv. na defecte schijven, beheerderfouten of ransomware. Met alleen "laag", "midden" of "hoog" onder beschikbaarheid los je dit probleem natuurlijk niet op.

Als een computer wordt gehackt betekent dat diens integriteit wordt geschonden. Als dat een onacceptabel risico oplevert, kun je twee dingen doen: beter trachten te voorkomen en detecteren. Als het voor bepaalde documenten ongewenst is dat deze door autosave worden gewijzigd, bijv door "autosave" of doordat mensen uit gewoonte bijv. control-s drukken (al gaat het maar om een andere sortering in een Excel sheet) dan kun je daar maatregelen tegen nemen. Op eerder genoemde "H:" schijven en SharePoint mappen heeft meestal iedereen die mag lezen, ook schrijfrechten (ransomwaremakers zijn hier heel blij mee). De meeste documenten horen nooit meer gewijzigd te worden (denk aan verzonden e-mails of brieven en handleidingen; iemand die bijv. een handleiding wil "wijzigen" hoort een nieuwe versie van het oude bestand te maken). De reden dat non-admins geen schrijfrechten hebben onder C:\Windows\ en /bin/ is dat je de integriteit van de bestanden in die mappen wilt beschermen.

Je wilt niet dat de kroonjuwelen van een bedrijf worden gestolen (in de zin van gekopieerd). Maar je wilt ook niet dat deze veranderen, en als dat gebeurt, wil je dat detecteren zodat je een back-up kunt terugzetten. Detectie kan bijv. met (aan bestanden gekoppelde) digitale handtekeningen of elders opgeslagen cryptografische hashes. Als niemand de risico's onderkent van bijv. een boze werknemer of een mij nog onbekend soort ransomware die bestanden stukje bij beetje ietsje wijzigt, is denkbaar dat dit erstige gevolgen heeft.

Kortom, classificeren van informatie is geen vervanger voor een hele reeks andere risico-mitigerende maatregelen, maar is m.i. wel heel verstandig (anders had je die letters BIV ook niet nodig). Integriteit is daar een onderdeel van, en om niet te over- of onderclassificeren moet iedereen precies weten wat dat begrip "integriteit" betekent.
07-03-2019, 11:23 door Anoniem
Door Bomb No. 20: Scan even een kopie van zo'n rekening in en zet die ergens online (http://pastebin.com ?) zodat ik 'm kan bekijken. Met alleen het roepen dat je een rekening van €0,- krijgt opgestuurd overtuig je mij echt niet.
Je zit nu echt moeilijk te doen om niets. Rekeningen van €0 zijn onzinnig maar als klopt wat karma4 zegt, dat de overheid het heeft afgekocht om het breder gedragen te krijgen, dan kan ik me heel goed voorstellen dat de systemen nog niet zijn ingericht op het niet versturen van facturen omdat ze daar eerder nooit rekening mee hebben gehouden en dat het bedrag op 0 zetten een aanpassing was waarmee ze direct verder konden.

Ik heb aanzienlijk idiotere dingen meegemaakt.
08-03-2019, 11:14 door Anoniem
Door karma4: Uitstekende vragen die de spanning naar een realisatie goed weergeven.
......
Met de Nederlandse benaming BIV-classificatie (Beschikbaarheid Integriteit Veiligheid) krijg je weinig hits. De engelse aanduiding "CIA classification" (Confidentiality Integirty Availavility) meer.
Heerlijk die afkortingen bij dat ABDO verhaal. De BIV staat daar ook voor Bureau IndustrieVeiligheid.

BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Je zoekt dus misschien wel op het verkeerd begrip.. want ik vind 60.000 hits.
08-03-2019, 11:30 door Anoniem
Een volledig uit de bocht gevlogen discussie...

Over dataclassificatie: dat gaat pas werken zoals bedoeld als de organisatie afspreekt wat het classificatie schema is, want dan hebben we het altijd over hetzelfde. Tijdigheid is wel degelijk een onderdeel van integriteit in die zin dat oude data onjuiste data kan zijn. Dus ik ben het van harte met @Bitwiper eens.

Voor de rest, zoals je een classificatieschema afspreekt, spreek je ook definities af, dan weet je in ieder geval dat we over hetzelfde praten. Het maakt me echt werkelijk niet uit wat iedereen daarvan vindt, als je binnen 1 organisatie of binnen de context van je betoog maar steeds over hetzelfde praat.
08-03-2019, 12:19 door karma4
Door Anoniem:
BIV staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Je zoekt dus misschien wel op het verkeerd begrip.. want ik vind 60.000 hits.
"biv classificatie"- > 26.000 hits … weinig "cia classification" -> 15.700.000 een paar ordes verschil dan heb je het effect van de veroudering en dubbelen als kopie of kopie verhalen en afgeleide versies van. Het begrip biv is vrijwel rechtstreeks overgenomen van de cia als aanduiding. Aangeven: eens met bitwiper engelse bron beter dan een vertaalde.

Afstemming met gebruikers, voorstel:
Ongeschonden, niet veranderd.
Compleet zoals het ooit gemaakt is en iedereen anders bij afstemming over het betreffende onderwerp dat gebruikt.

Een Engelse uitleg is niet met een enkel woord af te doen. Een eenvoudige te begrijpen iets in Nederlands voor ICT buitenstaanders ben ik nog niet tegengekomen. Als je die hebt is bitwiper blij.
https://whatis.techtarget.com/definition/Confidentiality-integrity-and-availability-CIA
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.