Het logo van WILMAONLINE
Menu
  1. WILMA Online
  2. Stijlgids Risicomanagementmodel

Stijlgids Risicomanagementmodel

Modellering[bewerken]

Een risocomanagementmodel geeft een overzicht van beleidskaders en de doorvertaling naar doelstellingen, principes, bedreigingen en controlemaatregelen. Dit is als volgt gemodelleerd.

Bestaand overheidsbeleid (nationaal en Europees) en op de instrumenten die in het kader van dat beleid zijn ontwikkeld, zoals wetten, regels, kamerstukken en bestuursakkoorden. (Driver) Beleidskader Een van tevoren vastgelegd doel of streven dat een organisatie en haar stakeholders proberen te behalen. (Goal) Doelstelling De kans dat een potentieel gevaar resulteert in een daadwerkelijk incident en de ernst van het letsel of de schade die dit tot gevolg heeft. (Assessment) Risico Een actie, apparaat, procedure of techniek die een bedreiging, kwetsbaarheid of aanval mitigeert, door deze te bestrijden of voorkomen. (Requirement) Beheersmaatregel Richtinggevende uitspraak die aangeeft wat wenselijk is met betrekking tot de inrichting van organisatie, processen en informatievoorziening. (Principle) Architectuurprincipe Een domeingroep is een afgebakende groep elementen die in de waterschapspraktijk vaak in samenhang worden ingericht en gebruikt (Grouping) Domeingroep InfluenceRelationship beinvloedt InfluenceRelationship beïnvloedt InfluenceRelationship beinvloedt InfluenceRelationship beinvloedt RealizationRelationship realiseert RealizationRelationship realiseert AggregationRelationship is samengestel- d uit Deze svg is op 08-04-2024 09:00:22 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 08-04-2024 09:00:22 CEST
Element Beschrijving Elementtype
Architectuurprincipe Richtinggevende uitspraak die aangeeft wat wenselijk is met betrekking tot de inrichting van organisatie, processen en informatievoorziening.Principle
Beheersmaatregel Een actie, apparaat, procedure of techniek die een bedreiging, kwetsbaarheid of aanval mitigeert, door deze te bestrijden of voorkomen.Requirement
Beleidskader Bestaand overheidsbeleid (nationaal en Europees) en op de instrumenten die in het kader van dat beleid zijn ontwikkeld, zoals wetten, regels, kamerstukken en bestuursakkoorden.Driver
Doelstelling Een van tevoren vastgelegd doel of streven dat een organisatie en haar stakeholders proberen te behalen.Goal
Domeingroep Een domeingroep is een afgebakende groep elementen die in de waterschapspraktijk vaak in samenhang worden ingericht en gebruiktGrouping
Risico De kans dat een potentieel gevaar resulteert in een daadwerkelijk incident en de ernst van het letsel of de schade die dit tot gevolg heeft.Assessment


Voorbeeld: Risicomanagementmodel op basis van BIO-bedreigingen[bewerken]

ArchiMateNote Verantwoordelijkheid Het ontbreekt de medewerkers aan bewustzijn op het gebied van informatiebeveiliging en voelen onvoldoende noodzaak daaraan bij te dragen. (Assessment) 4. Medewerkers handelen onvoldoende naar hetgeen van hen verwacht wordt. Binnen projecten exclusief softwareontwikkeling is onvoldoende aandacht voor beveiliging. Dit heeft negatieve gevolgen voor nieuwe systemen en processen die binnen de organisatie worden geïntroduceerd. (Assessment) 3. Onvoldoende aandacht voor beveiliging binnen projecten. Lijnmanagers zorgen er onvoldoende voor dat informatiebeveiliging binnen hun afdeling op de juiste manier wordt ingevuld. Het eigenaarschap van informatiesystemen is niet goed belegd. Beveiliging vormt geen vast onderdeel van projecten. (Assessment) 2. Lijnmanagers nemen hun verantwoordelijkheid voor informatiebeveiliging niet. De directie stuurt niet op informatiebeveiliging. Verantwoordelijkheden richting lijnmanagers zijn niet belegd. Een informatiebeveiligingsbeleid enof ISMS ontbreekt. (Assessment) 1. Gebrek aan sturing op informatiebeveiliging vanuit de directie. ArchiMateNote Continuïteit en betrouwbaarheid van systemen Hardware van onvoldoende kwaliteit kan leiden tot uitval van systemen. (Assessment) 9. Uitval van systemen door hardwarefouten. Door onvoldoende grip op de beveiliging van prive- en thuisapparatuur en andere apparatuur van derden bestaat de kans op bijvoorbeeld besmetting met malware. (Assessment) 8. Aanvallen via systemen die niet in eigen beheer zijn. Onjuiste configuratie van een applicatie kan leiden tot een verkeerde verwerking van informatie. (Assessment) 10. Uitval van systemen door configuratiefouten. Informatie op een systeem is ontoegankelijk gemaakt doordat malware ransomware wipers of een aanvaller deze informatie heeft versleuteld of verwijderd. (Assessment) 6. Toegang tot informatie wordt geblokkeerd. Een netwerkdienst is verminderd beschikbaar door een moedwillige aanval DoS of door onvoorziene toename van de hoeveelheid verzoeken of van de benodigde resources om een verzoek af te handelen. Verzoeken kunnen komen vanuit gebruikers maar ook vanuit andere systemen. (Assessment) 7. Netwerkdiensten raken overbelast. In een systeem ontstaan fouten als gevolg van wijzigingen in gekoppelde systemen. (Assessment) 12. Fouten als gevolg van wijzigingen in andere systemen. Fouten in software kunnen leiden tot systeemcrashes of het corrupt raken van de in het systeem opgeslagen informatie. (Assessment) 11. Uitval van systemen door softwarefouten. Onvoldoende aandacht voor beveiliging bij het zelf of laten ontwikkelen van software leidt tot inbreuk op de informatiebeveiliging. (Assessment) 5. Onvoldoende aandacht voor beveiliging bij softwareontwikkeling. ArchiMateNote Menselijk handelen Door het ontbreken van sancties op het overtreden van regels bestaat de kans dat medewerkers de beleidsmaatregelen niet serieus nemen. (Assessment) 16. Beleid wordt niet gevolgd door ontbreken van sancties Door onvoldoende controle op medewerkers met bijzondere rechten zoals systeembeheerders bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie. (Assessment) 20. Misbruik van speciale bevoegdheden Door onvoldoende controle op de uitgifte en onjuiste inventarisatie van bedrijfsmiddelen bestaat de kans dat diefstal niet of te laat wordt opgemerkt. (Assessment) 15. Wegnemen van bedrijfsmiddelen Door onvoldoende mogelijkheid op controle op een identiteit kan ongeautoriseerde toegang verkregen worden tot vertrouwelijke informatie. Denk hierbij ook aan social engineering zoals phishing en CEO-fraude. (Assessment) 19. Misbruik van andermans identiteit Het ontbreken van een beleid op bijvoorbeeld het internetgebruik vergroot de kans op misbruik. (Assessment) 14. Systemen worden niet gebruikt waarvoor ze bedoeld zijn. Door het verlies van mobiele apparatuur en opslagmedia bestaat de kans op inbreuk op de vertrouwelijkheid van gevoelige informatie. (Assessment) 18. Verlies van mobiele apparatuur en opslagmedia Onvoldoende kennis of te weinig controle op andermans werk vergroot de kans op menselijke fouten. Gebruikersinterfaces die niet zijn afgestemd op het gebruikersniveau verhogen de kans op fouten. (Assessment) 13. Gebruikersfouten. Het toelaten van externen zoals leveranciers en projectpartners kunnen gevolgen hebben voor de vertrouwelijkheid van de informatie die binnen het pand of via het netwerk beschikbaar is. (Assessment) 17. Toelaten van externen in het pand of op het netwerk Door een ontbrekend onjuist of onduidelijk proces voor het uitdelen en innemen van rechten kan een persoon onbedoeld meer rechten hebben. Deze rechten kunnen door deze persoon zelf of door anderen bijv. via malware misbruikt worden. (Assessment) 21. Onterecht hebben van rechten ArchiMateNote Toegang tot informatie Informatie die voor toegestaan gebruik meegenomen wordt naar bijvoorbeeld buiten het kantoor wordt niet meer op de juiste wijze beschermd. Denkbij ook aan Bring Your Own Device BYOD. (Assessment) 29. Informatie buiten de beschermde omgeving Gevoelige informatie kan lekken indien opslagmedia of systemen welke opslagmedia bevatten worden weggegooid of ter reparatie aan derden worden aangeboden. (Assessment) 25. Informatie op systemen bij reparatie of verwijdering Door onduidelijkheid over vertrouwelijkheid van informatie van informatie en bevoegdheid van personen bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie. (Assessment) 24. Onduidelijkheid over classificatie en bevoegdheden Doordat externe partijen leveranciers hun informatiebeveiliging niet op orde hebben kunnen inbreuken ontstaan op de informatie waar zij toegang tot hebben (Assessment) 28. Onvoldoende aandacht voor beveiliging bij uitbesteding van werkzaamheden Door het ontbreken van een clear-desk enof clear-screen policy kan toegang verkregen worden tot gevoelige informatie. (Assessment) 23. Onbeheerd achterlaten van werkplekken Zwakheden in de beveiliging van het draadloze netwerk worden misbruikt om toegang te krijgen tot dit netwerk. (Assessment) 27. Misbruiken van zwakheden in netwerkbeveiliging Het ontbreken van een wachtwoordbeleid en bewustzijn bij medewerkers kan leiden tot het gebruik van zwakke wachtwoorden het opschrijven van wachtwoorden of het gebruik van hetzelfde wachtwoord voor meerdere systemen. (Assessment) 22. Slecht wachtwoordgebruik Kwetsbaarheden in applicaties of hardware worden misbruikt exploits om ongeautoriseerde toegang te krijgen tot een applicatie en de daarin opgeslagen informatie. (Assessment) 26. Misbruik van kwetsbaarheden in applicaties of hardware Door middel van keyloggers of netwerktaps wordt gevoelige informatie achterhaald (Assessment) 30. Afluisterapparatuur ArchiMateNote Uitwisselen en bewaren van informatie Inbreuk op vertrouwelijkheid van informatie door onversleuteld versturen van informatie (Assessment) 31. Onveilig versturen van gevoelige informatie Inbreuk op vertrouwelijkheid van informatie door het onvoldoende controleren van ontvanger (Assessment) 32. Versturen van gevoelige informatie naar onjuiste persoon Informatie gaat verloren door onleesbaar geraken van medium of gedateerd raken van bestandsformaat (Assessment) 33. Informatieverlies door verlopen van houdbaarheid van opslagwijze Door een onjuist of ontbrekend sleutelbeheer bestaat de kans op misbruik van cryptografische sleutels. Het gebruik van zwakke cryptografische algoritmen biedt schijnveiligheid (Assessment) 35. Misbruik van cryptografische sleutels enof gebruik van zwakke algoritmen Ongewenste handelingen als gevolg van foutieve bedrijfsinformatie of het toegestuurd krijgen van foutieve informatie. Dit kan zijn als gevolg van moedwillig handelen of van een vergissing (Assessment) 34. Foutieve informatie ArchiMateNote Wet- en regelgeving Door wetgeving in sommige landen kan de overheid van zon land inzage krijgen in informatie welke in de cloud ligt opgeslagen (Assessment) 36. Wetgeving over informatie in de cloud Door wetgeving in sommige landen kan de overheid inzage eisen in de gegevens op meegenomen systemen bij een bezoek aan dat land (Assessment) 37. Buitenlandse wetgeving bij het bezoeken van een land Door wetgeving in sommige landen kan de overheid een kopie van cryptografische sleutels opeisen (Assessment) 38. Wetgeving over het gebruik van cryptografie ArchiMateNote Incidentafhandeling Veroorzakers van incidenten worden niet aangesproken op hun handelen. Managers hebben onvoldoende zicht op herhalende incidenten waardoor zij daar niet op sturen (Assessment) 41. Herhaling van incidenten Systeembeheerders hebben onvoldoende technische informatie over het probleem om het te kunnen oplossen. Een actieplan ontbreekt waardoor het incident onnodig lang blijft duren (Assessment) 40. Informatie voor het aanpakken van incidenten ontbreekt De gevolgen van incidenten worden hierdoor onnodig groot. Binnen het bedrijf is er onvoldoende netwerkmonitoring en is er geen centraal meldpunt voor beveiligingsincidenten (Assessment) 39. Incidenten worden niet tijdig opgepakt ArchiMateNote Bedrijfscontinuïteit Het niet meer beschikbaar zijn van diensten van derden door uitval van systemen faillissement ongeplande contractbeïndiging of onacceptabele wijziging in de dienstverlening bijvoorbeeld door bedrijfsovername (Assessment) 49. Niet beschikbaar zijn van diensten van derden Medewerkers die het bedrijf verlaten of door een ongeval voor lange tijd niet inzetbaar zijn bezitten kennis die daardoor niet meer beschikbaar is (Assessment) 51. Kwijtraken van belangrijke kennis bij niet beschikbaar zijn van medewerkers Voor software die niet meer ondersteund wordt worden geen securitypatches meer uitgegeven. Denk ook aan Excel- en Access-applicaties (Assessment) 50. Software wordt niet meer ondersteund door de uitgever ArchiMateNote Fysieke beveiliging Overstroming en wateroverlast kunnen zorgen voor schade aan computers en andere bedrijfsmiddelen (Assessment) 45. Overstroming en wateroverlast Explosies kunnen leiden tot schade aan het gebouw en apparatuur en slachtoffers (Assessment) 44. Explosie Het ontbreken van brandmelders en brandblusapparatuur vergroten de gevolgen van een brand (Assessment) 43. Brand Het ontbreken van toegangspasjes zicht op ingangen en bewustzijn bij medewerkers vergroot de kans op ongeautoriseerde fysieke toegang (Assessment) 42. Ongeautoriseerde fysieke toegang Schade aan of vernieling van bedrijfseigendommen als gevolg van een ongerichte actie zoals vandalisme of knaagdieren (Assessment) 48. Vandalisme Uitval van facilitaire middelen kan tot gevolg hebben dat een of meerdere bedrijfsonderdelen hun werk niet meer kunnen doen (Assessment) 47. Uitval van facilitaire middelen gas water electra airco Verontreininging van de omgeving kan ertoe leiden dat de organisatie tijdelijk niet meer kan werken (Assessment) 46. Verontreiniging van de omgeving Deze svg is op 05-04-2024 12:55:31 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 05-04-2024 12:55:31 CEST

Een organisatie is een collectief van professionals dat samenwerkt aan hetzelfde doel.

De informatievoorziening is het geheel van mensen, middelen en maatregelen, gericht op het invullen van de informatiebehoefte met gegevens en functionaliteit, zoals die volgt uit de bedrijfsprocessen van de organisatie.

(1) Een bepaalde toestand die men in de toekomst wil bereiken. (2) Een te bereiken effect (een verandering, verbetering, vernieuwing) waarop men zich in het kader van een project richt.

Het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen).

Overgenomen van "https://www.wilmaonline.nl/index.php?title=Stijlgids_Risicomanagementmodel&oldid=117927"