gepubliceerd 18 November 2019 * 2 min read

Informatiebeveiligingscontroles zijn maatregelen die worden genomen om informatiebeveiligingsrisico ‘ s te verminderen, zoals inbreuken op informatiesystemen, diefstal van gegevens en ongeautoriseerde wijzigingen in digitale informatie of systemen. Deze beveiligingscontroles zijn bedoeld om de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens en netwerken te helpen beschermen en worden meestal uitgevoerd na een risicobeoordeling van de informatiebeveiliging.

soorten informatiebeveiligingsmaatregelen omvatten beveiligingsbeleid, – procedures, – plannen, – apparaten en-software ter versterking van de cyberbeveiliging. Er zijn drie categorieën van informatiebeveiligingscontroles:

• preventieve beveiligingscontroles, ontworpen om cyberbeveiligingsincidenten te voorkomen
• Detectivebeveiligingscontroles, gericht op het detecteren van een poging tot cyberbeveiligingsinbreuk (“gebeurtenis”) of succesvolle inbreuk (“incident”) terwijl deze aan de gang is, en het alarmeren van cyberbeveiligingspersoneel
• correctieve beveiligingscontroles, gebruikt na een cyberbeveiligingsincident om gegevensverlies en schade aan het systeem of netwerk te minimaliseren en kritieke bedrijfssystemen en-processen zo snel mogelijk te herstellen (“Resilience”)

beveiligingscontroles komen in de vorm van:

• Toegangs controle met inbegrip van beperkingen betreffende fysieke toegang, zoals bewakers in het gebouw ingangen, sloten en hekken
• Procedurele controles zoals security awareness, onderwijs, beveiliging kader compliance training, en incident response plannen en procedures
• Technische controles, zoals een multi-factor authenticatie van de gebruiker op login (aanmelden) en logische toegangscontrole, antivirus software, firewalls
• controles, zoals de privacy-wetgeving en cyber veiligheidskaders en-normen.

de meest gebruikte informatiebeveiligingskaders en-normen zijn:

• de speciale publicatie 800-53 van het Nationaal Instituut voor standaarden en technologie (NIST), veiligheids-en privacycontroles voor federale informatiesystemen en-organisaties. Dit document bevat beveiligingseisen die niet alleen nuttig zijn voor federale agentschappen, maar voor alle organisaties’ information security risk management programma ‘ s.
• the International Organization for Standardization (ISO) standard ISO 27001, Information Security Management, which provides guidance on information technology security and computer security.
• De Payment Card Industry Data Security Standard (PCI DSS), die stelt veiligheidseisen en veiligheid-controles voor de bescherming van gevoelige gegevens die verband houden met uw persoonlijke credit card en creditcard informatie
• De Health Insurance Portability and Accountability Act (HIPAA), een federale wet regulering van de informatiebeveiliging en privacy de bescherming van de persoonlijke gezondheid informatie

Kaders en normen zijn systemen die, indien gevolgd, een entiteit om constant informatie te beheren beveiligingscontroles voor al hun systemen, netwerken en apparaten, inclusief Configuratiebeheer, fysieke beveiliging, personeelsbeveiliging, netwerkbeveiliging en informatiebeveiligingssystemen. Ze definiëren wat goede cyberbeveiligingspraktijken zijn en bieden een structuur die entiteiten kunnen gebruiken voor het beheer van hun informatiebeveiligingscontroles.