Voorbeeld. Preview. Ten geleide. Inleiding

Transcriptie

1 NEN-ISO/IEC 27002:2007 NEN-EN ISO 27799:2010 NEN-ISO/IEC 27001:2005 Inleiding Een nieuwe NEN De tucht van normalisatie zegt dat je normen elke vijf jaar moet reviewen. Aangezien de eerste versie uit 2004 stamde, was het dus tijd voor vernieuwing. Ook inhoudelijk was er wel aanleiding voor vernieuwing, want NEN 7510 is een samenvoeging van twee internationale normen die inmiddels ook al waren vernieuwd (in respectievelijk 2007 en 2008): de internationale code voor beveiliging Information technology Security techniques Code of practice for information security management de zorgspecifieke uitleg van ISO/IEC Health informatics Information security management in health using ISO/IEC Maar er zijn nog meer wijzigingen doorgevoerd. Twee grote wijzigingen vallen daarbij op: NEN 7510 biedt nu ook houvast voor het inrichten van een Information Security Management System. Dit is gedaan door ook een derde internationale norm te incorporeren in NEN 7510: de norm voor het managementsysteem Information technology Security techniques Information Security Management Systems Requirements Daarmee wordt bereikt dat organisaties zich kunnen laten certificeren ten opzichte van NEN Voorheen kon dat alleen ten opzichte van ISO (waarbij dan wel werd verwezen naar NEN 7510), wat voor een aantal partijen tot verwarring leidde. De tweede grote wijziging is het intrekken van NEN Het voordeel van de drie toetsbare voorschriften is in de praktijk niet zo groot gebleken dat het handhaven ervan (plus vijfjaarlijks reviseren) nog te rechtvaardigen was. Wat ook een rol speelde, was dat andere landen Nederland niet volgden met separate voorschriften voor respectievelijk complexe, netwerk- en kleine zorgorganisaties. 13

2 Stijl- en structuurzaken Waar wordt gesproken van wij of we, worden de auteurs van dit praktijkboek bedoeld. Waar wij spreken over de norm, bedoelen we zonder uitzondering NEN 7510:2011. De hoofdstukken 3 tot en met 15 lopen synchroon met de overeenkomstige hoofdstukken in de norm. Van de hoofdstukken 5 tot en met 15 (de maatregelenhoofdstukken) loopt zelfs de opbouw synchroon, met uitzondering van paragrafen en secties 0 (deze zijn in dit boek toegevoegd ten opzichte van de norm en bevatten een inleiding op een specifiek onderwerp). De organisatie is een zorgaanbieder. Het beoogde lezerspubliek is de voor informatiebeveiliging verantwoordelijke medewerker binnen de organisatie, in de tekst aangesproken met je. De norm biedt ruimte om maatregelen wel of niet in voeren, afhankelijk van de uitkomsten van de risicoanalyse. Bij eventuele invoering van maatregelen doet de norm een aantal suggesties die niet overgenomen hoeven te worden ( Aandachtspunten en aanbevelingen voor implementatie ). In het praktijkboek gaan we er echter van uit dat alle maatregelen worden ingevoerd en dat alle aandachtspunten en aanbevelingen worden overgenomen. Uit de risicoanalyse moet je dan afleiden welke maatregelen (en welke aandachtspunten) opportuun zijn voor de eigen organisatie. We hebben ervoor gekozen om qua stijl direct de verantwoordelijke functionaris voor informatiebeveiliging in een organisatie aan te spreken. We zijn ons ervan bewust dat niet elke organisatie zo n functionaris zal hebben of dat niet elke lezer die functionaris is. We hebben dit gedaan om de tekst compacter, minder wollig en concreter te maken. Leeswijzer Het praktijkboek volgt zo veel mogelijk NEN De beheersmaatregelen die in de hoofdstukken 5 tot en met 15 van NEN 7510 te vinden zijn, vinden op exact dezelfde plaats hun plek in het praktijkboek. En net als in NEN 7510 zijn ook de hoofdstukken 3 en 4 gewijd aan respectievelijk risicomanagement en information security management. Informatiebeveiliging in termen van NEN 7510 is beheer. Daarom spelen de beheersdoelstellingen en beheersmaatregelen een centrale rol in de hoofdstukken 5 tot en met 15. In het praktijkboek worden deze ook vermeld. Sommige beheersmaatregelen danken hun bestaan aan het gebruik in de zorgsector. NEN 7510 is tenslotte een vertaling en samenvoeging van ISO/IEC en EN-ISO De maatregelen die voortvloeien uit ISO en dus een afwijking zijn van of uitbreiding vormen op ISO/IEC 27002, zijn in NEN 7510 vetgedrukt weergegeven. In het praktijkboek staan ze in een raster. Over deze tekstpassages is veel discussie: sommige partijen wilden dat ze verplicht zouden worden, terwijl anderen vonden dat die verplichting afbreuk zou doen aan de centrale rol van de risicoanalyse. Uiteindelijk won de laatste groep, maar het is duidelijk dat je, als je wilt afwijken van dergelijke passages, dit buitengewoon grondig zult moeten motiveren. Niet alleen voor jezelf, de organisatie en de patiënt, maar ook voor de auditor die op een gegeven moment over de vloer zal komen. 1 NEN-ISO/IEC 27002:2007 Information technology Security techniques Code of practice for information security management. 2 NEN-EN-ISO 27799:2008 Health informatics Information security management in health using ISO/IEC

3 Bij de verschillende zorgaanbieders in Nederland is in de afgelopen jaren al veel werk rond NEN 7510 verricht. Voor een aantal beheersmaatregelen zijn ook teksten beschikbaar gekomen die van nut kunnen zijn voor anderen. Een groot deel daarvan is door ons verzameld en is als template voor de lezer van het praktijkboek beschikbaar gesteld op publicaties/praktijkboek-templates. Een overzicht van de templates is in bijlage A opgenomen. Bezoek echter voor de allerlaatste informatie en nieuwste ontwikkelingen regelmatig In de beheersmaatregelen worden bepaalde begrippen gebruikt die in de context van de norm een specifieke betekenis hebben. Daarom lichten we die sleutelbegrippen altijd kort toe direct na de beheersmaatregel. Ook is vaak niet goed duidelijk wat het concrete resultaat van een beheersmaatregel zou moeten zijn. Wij hebben onze interpretatie hiervan gegeven achter het kopje uitkomst. Beveiligen is één ding, het kunnen aantonen een ander. Veel organisaties zullen worden beoordeeld door een externe auditor op de mate van naleving van de norm. Het kan ook zijn dat dit door een externe toezichthouder, zoals de IGZ, verplicht wordt opgelegd. Auditors komen pas over de vloer als je alles al op orde hebt. Een probleem is dan vaak dat je wel een maatregel hebt geïmplementeerd, maar dit niet makkelijk kunt aantonen aan de auditor. Daarom is onder het trefwoord auditbewijsstukken expliciet aandacht geschonken aan wat je zoal moet bijhouden en bewaren, zodat de vragen van de auditor makkelijk kunnen worden beantwoord. Auditors kijken standaard naar drie zaken: opzet, bestaan en werking. Bij elke beheersmaatregel is daarom per onderdeel een suggestie gedaan van bewijsstukken die je kunt gebruiken om de auditor van jouw goede werk te overtuigen. Maar wat zijn nou die opzet, bestaan en werking? Opzet Is er een ontwerp? Het gaat hier om de formele inrichting en beschrijving van de wijze waarop de organisatie een proces wil gaan uitvoeren. Vaak vind je dergelijke zaken in handboeken, beleidsplannen, architectuurbeschrijvingen, enz. Als je niet direct de beschikking hebt over een van de door ons voorgestelde bewijzen, kom dan ten minste met voorbeelden. Als je niets kunt tonen, kan de auditor immers niks goedkeuren! Bestaan Zijn de processen in gebruik? Dit betreft de wijze waarop processen en maatregelen daadwerkelijk in de organisatie zijn geïmplementeerd. Deze situatie kan afwijken van wat er in de aanwezige beschrijvingen en plannen (de opzet) is vermeld. Het bestaan kan bijvoorbeeld worden afgeleid uit aan het personeel uitgereikte instructies, werkende systemen en opgedragen verantwoordelijkheden. Werking Werken de processen zoals ze zijn bedoeld? Hier wordt gekeken naar het bestaan van processen gedurende een bepaalde periode. Hierbij wordt vastgesteld op welke wijze een organisatie een proces bij voortduring heeft uitgevoerd. Een auditor kan dit bijvoorbeeld afleiden uit periodieke evaluaties met betrekking tot gebruik of functionaliteit. Soms is dat indirect, bijvoorbeeld in de vorm van verslagen van een bespreking waarin een evaluatie aan bod komt. 15

4 Zo krijgen de beheersmaatregelen in de hoofdstukken 5 tot en met 15 standaard de volgende indeling: Beheersmaatregel De tekst zoals in de norm vermeld. Sleutelbegrippen Toelichting op enkele sleutelbegrippen die in de beheersmaatregel worden gebruikt. Uitkomst Het concrete resultaat van de beheersmaatregel. Beschrijving van de inhoud, betekenis en uit te voeren activiteiten die voor deze beheersmaatregel nodig zijn, met overwegingen en achtergronden. Auditbewijsstukken Opzet Bewijs van het ontwerp. authenticatie autorisatie bedreiging bedrijfsmiddel Bestaan Bewijs van de aanwezigheid van processen conform het ontwerp op één moment. Werking Bewijs van de goede werking van de processen over een bepaalde periode. Gedefinieerde begrippen De norm hanteert een aantal begrippen die een speciale betekenis hebben. Het gaat om de volgende begrippen: verifiëren van beweerde identiteit toekennen van bevoegdheden potentiële oorzaak van een ongewenst incident dat een systeem of organisatie schade kan toebrengen alles wat waarde heeft voor de organisatie beheersmaatregel middel om risico te beheersen, waaronder beleid, procedures, richtlijnen, werkwijzen of organisatiestructuren, die administratief, technisch, beheersmatig of juridisch van aard kunnen zijn beleid beschikbaarheid besturingssysteem algehele intentie en richting die formeel door de directie wordt onderschreven kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit programma dat na het opstarten van een computer in het geheugen actief wordt en dat de functionaliteiten aanbiedt om andere programma s uit te voeren 16

5 beveiligingskenmerken aanduidingen die aan gegevens worden toegekend om de beveiliging en het gebruik van de gegevens te kunnen sturen derde partij persoon of entiteit die, wat betreft de zaak in kwestie, als onafhankelijk van de betrokken partijen wordt gezien dienstverband directie gebeurtenis gevolg identificatie informatiebeveiliging informatiebeveiligingsgebeurtenis informatiebeveiligingsincident informatiedomein integriteit informatievoorziening klant kwetsbaarheid loggen logging relatie van een persoon met een organisatie voor het uitvoeren van bepaalde taken hoogst verantwoordelijke van een organisatie optreden van of wijziging in een bepaalde combinatie van omstandigheden uitkomst van een gebeurtenis, waardoor doelstellingen worden beïnvloed bepalen van de identiteit van een persoon of andere entiteit behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie; daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid een rol spelen vastgestelde status van een systeem, dienst of netwerk die duidt op een mogelijke overtreding van het beleid voor informatiebeveiliging of een falen van beveiligingsvoorzieningen of een tot dan toe onbekende situatie die relevant kan zijn voor beveiliging afzonderlijke gebeurtenis of een serie ongewenste of onverwachte informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze nadelige gevolgen voor de bedrijfsvoering hebben en een bedreiging vormen voor de informatiebeveiliging gespecificeerd gebied waarbinnen verantwoordelijkheden voor informatievoorziening zijn bepaald, dezelfde regels gelden voor informatiebeveiliging en dezelfde systematiek wordt gevolgd voor unieke identificatie van entiteiten eigenschap dat de juistheid en volledigheid van bedrijfsmiddelen wordt beschermd elk systeem, elke dienst of elke infrastructuur voor informatieverwerking of de fysieke locaties waarin ze zijn ondergebracht persoon die gebruikmaakt van diensten of faciliteiten van de organisatie intrinsieke eigenschappen van iets die leiden tot gevoeligheid voor een risicobron, hetgeen weer kan leiden tot een gebeurtenis met een gevolg chronologisch vastleggen van gebeurtenissen resultaat van het loggen. Dit is een verzamelbegrip voor de gegevens die bij een bepaalde gebeurtenis worden gelogd, de loggegevens en de logbestanden waarin deze worden bewaard 17

6 managementsysteem voor informatiebeveiliging ISMS dat deel van een managementsysteem dat op basis van een beoordeling van bedrijfsrisico s, tot doel heeft het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van informatiebeveiliging medische apparatuur apparatuur die wordt gebruikt als hulpmiddel voor een zorgproces mobile code patiënt patiëntdossier patiëntgegevens restrisico richtlijn risico risicoaanvaarding risicoanalyse risicobehandeling risicobeoordeling risicobron risico-evaluatie risico-identificatie risicomanagement risiconiveau verantwoordelijke interpreteerbare of uitvoerbare programmatuur die (door serversystemen) via een netwerk aan desktopcomputer c.q. computerterminal wordt overgedragen natuurlijk persoon die feitelijk of potentieel gebruikmaakt van diensten van zorgaanbieders; in de praktijk omvat deze groep alle in Nederland verblijvende personen totale verzameling van alle gegevens die de diagnostiek en medische en paramedische behandeling en verzorging van een bepaalde persoon documenteert medische, verpleegkundige, sociale en administratieve gegevens betreffende individuele patiënten risico dat overblijft na risicobehandeling beschrijving die verduidelijkt wat behoort te worden gedaan en hoe, om de doelstellingen te bereiken die in het beleid zijn vastgelegd effect van onzekerheid op het behalen van doelstellingen onderbouwd besluit tot het nemen van een bepaald risico proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen proces waarmee een risico wordt aangepast gehele proces van risico-identificatie, risicoanalyse en risico-evaluatie element dat afzonderlijk of in combinatie met andere elementen de mogelijkheid in zich heeft tot een risico te leiden proces waarin de resultaten van een risicoanalyse worden vergeleken met risicocriteria om vast te stellen of het risico en/of de omvang ervan aanvaardbaar of tolereerbaar is proces waarmee risico s worden opgespoord, herkend en beschreven gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico s omvang van een risico of combinatie van risico s, uitgedrukt als een combinatie van gevolgen en hun waarschijnlijkheid degene die het beleid opstelt, beslissingen neemt en consequenties draagt ten aanzien van een organisatie, een object of de inhoud en uitvoering van een proces 18

7 verklaring van toepasselijkheid gedocumenteerde verklaring die de beheersdoelstellingen en beheersmaatregelen beschrijft die relevant en toepasbaar zijn op het ISMS van de organisatie vertrouwelijkheid eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen zorgaanbieder zorgconsument zorg(diensten) zorginformatiesysteem zorginstelling zorgproces zorgverlener zorgverlener of zorginstelling die actief is in de verlening van zorgdiensten natuurlijk persoon die feitelijk of potentieel gebruikmaakt van diensten van zorgaanbieders. Binnen deze norm wordt hiervoor de term patiënt gebruikt onderzoek, het geven van raad en het uitvoeren van handelingen op het gebied van de gezondheidszorg informatiesysteem ter ondersteuning van een zorgaanbieder organisatorisch verband zoals bedoeld in de Kwaliteitswet zorginstellingen aangevuld met door de minister van Volksgezondheid, Welzijn en Sport aangewezen organisatorische verbanden gekoppelde en geïntegreerde taken in de zorgsector, uitgevoerd door zorgaanbieders persoon die is geautoriseerd specifieke zorgdiensten te leveren 19