Standaarden PCI DSS
Payment Card Industry – Data Security Standard
Set van Security Standaarden
Grote credit firma’s/banken nemen deel
4 levels
Standaarden COBIT
Control Objectives for Information and Related Technology.
Gemaakt door ISACA.
COBIT is generally accepted as the internal IT control framework.
COBIT is aligned with other IT practices (ITIL, TOGAF, ISO) and standards but is more complete.
Alleen voor corporate organisaties.
Standaarden CSA STAR
Cloud Security Alliance – Security Trust and Assurance Registry.
Heeft een 3-tal tiers.
Gevormd om de Cloud Controls Matrix (CCM)
Gebaseerd op andere standaarden en wetgevingen.
Specifiek voor de cloud.
Standaarden ISO 27001
De standaard als het gaat om informatiebeveiliging
EU erkende standaard
ISO27001: Raamwerk
ISO27002: Implementatie guidelines
ISO27701: Privacy Raamwerk
Standaarden SOC
SOC = System and Organizatoin Controls
In opkomst
Bestaat uit een 3-tal typen rapporten
Bestaat uit 18 controls
Cyberbeveiligingswet
De Cyberbeveiligingswet (CBW) is een nieuwe Nederlandse wet die is bedoeld om de digitale weerbaarheid van essentiële en belangrijke organisaties te versterken. Deze wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en is gebaseerd op de Europese NIS2-richtlijn (Network and Information Security Directive 2), die sinds 2022 geldig is in de EU.
Het wetsvoorstel voor de CBW is op 2 juni 2025 ingediend bij de Tweede Kamer. De verwachting is dat de wet begin 2026 in werking treedt, nadat parlementaire behandeling heeft plaatsgevonden.
3 hoofdverplichtingen:
Zorgplicht, Meldplicht en bestuurlijke verantwoordelijkheid
Audit Principles
Aantonen dat ze niet alleen standaarden hebben maar ook zo werken.
Integrity: we nemen geen steekpenningen aan
Fair Presentation: laat ook echt de waarheid zien zoals die is (bv kun je een keer een report niet laten zijn, storing op hardware is geweest)…meest actuele info laten zien
Due professional care: schrijf een professioneel rapport, klant afstemd
Confidentiality: houd de gegevens binnen zoals nodig
Independence: Audits
Use of an evidence-based approach: opzet, bestaan werking (bv screenreports van nieuwe medewerkers
Use of a risk-based approach: Ergste bevinding, waar moet als eerste iets aan gedaan worden. Is ook afhankelijk van de klant waar de nadruk op ligt, kan per bedrijf anders zijn.
Auditing
Internal audit: interne afdeling die dit uitvoert
External audit: extern bedrijf (bv KPMG), bv 1x per jaar
3rd Party audit: CISSP omschrijft dit, je gaat een leverancier van jezelf auditen (is ook voor de AVG belangrijk)
BV ISO27001 doe je jaarlijks een deel auditen hoe dit nu erbij staat/uitgevoerd wordt.
Technical Auditing
Kunt ook technisch auditen. Kijken bv wat de patch status is, zijn er nog oude systemen (zijn allemaal zwaktes)
Pen testing: stappen die er doorlopen worden
Discovery or Reconnaissance
Scanning and Probing
Exploitation
Post-exploitation
Reporting findings
Audit – Code Review
Unit Testing
Does a piece of code properly perform the task it is intended to?
Integration Testing
Does the application behave as expected when integrated and communication with other systems in the environment?
System Testing
This ensures that the application provides the required functionality and that the application is trustworthy as deployed in regard to security, privacy, performance, recovery and usability.
Audit Account Management
Create Accounts
Modifying accounts
Auditing accounts
Deleting accounts
Determine & Maintain Ownership
HR is verantwoordelijk voor het onderhouden van de rollen/functie omschrijvingen, liefst met bijbehorende rechten.
De data eigenaren hebben de verplichting om goed keuring te geven voor het toestaan van rechten en moeten de data sets waarvan zij eigenaar zijn onderhouden.
Asset Management onderhoud de systemen en ook de toegang tot deze systemen
Deze 3 gecombineerd moeten overzien worden door Security/Informatiebeveiliging.
BCM / DR
Business Impact Analysis: wordt gebruikt om inzicht te krijgen in de bedrijfskritieke processen en om deze te onderscheiden van de niet kritieke processen.
Distaster planning: beschrijft wat je gaat doen als er een disaster is
Business Continuity Plan: is een set van documenten die preventief wordt uitgewerkt om in geval van ramp een organisatie toe te laten zijn kritieke diensten te blijven leveren
Business Continuity Management: (BCM) heeft tot doel de continuïteit van het bedrijfsproces en het voortbestaan van de organisatie te waarborge op een vooraf bepaald aanvaardbaar niveau binnen een bepaalde tijd
RPO / RTO / MTD
Mocht een ernstig incident optreden dan wordt terug gevallen op het Business Continuity Proces om weer een werkende situatie te verkrijgen.
MTDMaximum Tolerable Downtime (MTD).De MTD vertegenwoordigt de totale hoeveelheid tijd die de systeemeigenaar bereid is te accepteren voor een storing of verstoring van een bedrijfsproces voordat er onacceptabele bedrijfsrisico’s ontstaan en omvat daarbij alle impactoverwegingen.
RTORecovery Time Objective (RTO)RTO definieert de maximale hoeveelheid tijd dat een systeem onbeschikbaar kan blijven voordat er een onaanvaardbare impact is op andere systemen en/of bedrijfsprocessen en de MTD.
RPORecovery Point Objective (RPO).De RPO vertegenwoordigt het tijdstip in de tijd, voorafgaand aan een storing/systeemuitval/procesuitval waarbinnen (bedrijfs)procesgegevens kunnen worden hersteld, gegeven de meest recente back-up van de gegevens na een storing.
Samenvatting HC week 6
Dit hoorcollege behandelde de assessments/audits
Welke standaarden zijn er en op welke wijze worden deze getoetst
Daarnaast is er ook gesproken over wat Business Continuity Management en Disaster Recovery is en welke varianten daarvan zijn
Belangrijke termen zijn RPO, RTO en MTD
Begrippenlijst
BCM = Business Continuity Management
DR = Disaster Recovery
PCI = Payment Card Industry
DSS = Data Security Standard
COBIT = Control Objectives for Information and Related Technology
ITIL = Information Technology Infrastructure Library
TOGAF = The Open Group Architecture Framework
CSA = Cloud Security Alliance
CCM = Cloud Controls Matrix
ISAE = International Standards on Assurance Engagements
SOC = Service Organization Control
NIST = National Institute of Standards and Technology
ISO = International Standards Organization
SOX = Sarbanes Oxley
HR = Human Resources (personeelszaken)
RTO = Recovery Time Objective
RPO = Recovery Point Objective
MTD = Maximum Tolerable Downtime
HVAC = Heating Ventilation Air Conditioning
-
Verzamelingen & Relaties36
-
Propositie Logica26
-
Statistiek71
-
Big (O) Notation6
-
Data Typen15
-
Bomen en Grafen24
-
C#19
-
SQL20
-
Statistiek V217
-
Software Architecture166
-
Self-Assessment Questions Software Architecture120
-
Architecture Characteristics12
-
Security12
-
Legal and ethics82
-
Legal W114
-
Legal W218
-
Legal W333
-
Legal W416
-
Legal W523
-
Lv237
-
DevOps40
-
Business Process Analysis85
-
Cybersecurity w126
-
Cybersecurity w217
-
Cybersecurity w324
-
Cybersecurity w421
-
Cybersecurity w513
-
Cybersecurity w616
-
Cybersecurity w712
