0.1 Opzet Marijn van Schoote 4 januari 2016

Transcriptie

1 Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van deze vragenlijst is om te inventariseren beveiligingsmaatregelen zijn getroffen om de beschikbaarheid, integriteit en vertrouwelijkheid van de volgende systemen waarborgen: Toegangscontrole Systemen (hiermee wordt bedoeld de systemen om toegang te krijgen te krijgen tot de terminal) CCTV systemen (Systemen om toegang te monitoren op de terminal (toegangsdetectie)) De Port Security Plannen (beveiligingsplannen van de terminal) Algemene vragen In hoeverre maakt de ISPS locatie gebruik van IT applicaties voor de volgende processen: Het aanmaken van toegangspassen (incl. het toekennen van autorisaties aan deze passen) voor eigen personeel (inclusief Inhuur, etc.); Het controleren van de autorisaties van een toegangspas voor eigen personeel aan een kaartlezer; Het aanmaken van toegangspassen (incl. het toekennen van autorisaties aan deze passen) voor bezoekers (inclusief. vervoerders met Cargocard, reguliere bezoekers met Portkey); Het controleren van de autorisaties van de toegangspas van bezoeker aan een kaartlezer; Het openen en sluiten van toegangsdeuren, hekken en slagbomen; De systemen gericht op het detecteren van toegang tot de terminal (camera s, bewegingssensoren); Zijn Port Security Plannen digitaal opgeslagen op een werkstation, netwerkschijf, document beheer systeem e.d.? De ISPS locatie maakt gebruik van de volgende IT applicaties ter ondersteuning van het waarborgen van het beveiligingsniveau op de locatie

2 Wie heeft binnen de ISPS locatie de verantwoordelijkheid voor het adequaat beveiligen van deze IT applicaties? Beschikt de ISPS locatie over een vastgesteld informatiebeveiligingsbeleid waarin beveiligingsmaatregelen zijn beschreven om beschikbaarheid, integriteit en vertrouwelijkheid van deze IT applicaties te waarborgen 1? Laat de ISPS locatie periodiek een onderzoek uitvoeren naar de werking van het stelsel beveiligingsmaatregelen (bijvoorbeeld een hack test op het netwerk)? Wie heeft binnen de ISPS locatie de verantwoordelijkheid voor het beheren van deze IT applicaties? En wordt dit beheer door de ISPS locatie zelf uitgevoerd, of is het beheer uitbesteed aan een derde partij? Zijn in het geval het beheer is uitbesteed contracten en service level agreement vastgesteld?. Wat doe u als een van de IT applicaties ter ondersteuning van het waarborgen van het beveiligingsniveau op de ISPS locatie uitvalt? 1 Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Integriteit is de eigenschap dat de nauwkeurigheid en volledigheid van bedrijfsmiddelen wordt beveiligd. Vertrouwelijkheid is de eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen. Beschikbaarheid is het kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit.

3 Zijn een of meerdere IT applicaties ter ondersteuning van het waarborgen van het beveiligingsniveau op de ISPS locatie te bedienen vanaf het reguliere kantoor netwerk? (kan er bijvoorbeeld van reguliere pc camera beelden worden gekeken)? Zijn een of meerdere IT applicaties ter ondersteuning van het waarborgen van het beveiligingsniveau op de ISPS locatie te bedienen vanaf het internet? (kan er bijvoorbeeld van thuis naar camera beelden worden gekeken)? Maatregelen medewerkers Beveiliging van personeel Hebben medewerkers die voor de uitoefening van hun functie en / of taken toegang tot het Toegangscontrole Systeem, CCTV en/of de Port Security Plannen nodig hebben (alle relevante apparatuur/applicaties) en / of fysieke toegang nodig hebben tot de voor hun noodzakelijke bedienings- en technische ruimtes? Voordat zij die toegang krijgen, een gedragscode ondertekend Voor zij die toegang krijgen, een door de ketenpartner opgestelde geheimhoudingsverklaring ondertekend Voordat zij die toegang krijgen, over een recente Verklaring Omtrent het Gedrag (VOG) (het algemene screeningsprofiel)

4 Maatregelen logische beveiliging Autorisatieprocedure Heeft de ISPS locatie een beheerder aangewezen die verantwoordelijk is voor het toestemming verlenen en schriftelijk documenteren welke medewerkers (en vanuit welke rol) er bevoegd zijn om op de IT applicaties ter ondersteuning van het waarborgen van het beveiligingsniveau op de ISPS locatie in te loggen alsook fysieke toegang hebben tot de voor hun noodzakelijke bedienings- en technische ruimtes. Onder bevoegde medewerkers wordt verstaan: medewerkers die in beginsel voor de uitoefening van hun functie en / of taken toegang tot deze apparatuur / applicaties nodig heeft. Uitzonderingen voor fysieke toegang kunnen bijvoorbeeld BHV- en schoonmaakmedewerkers zijn. Is procedure voor het toekennen en intrekken van bevoegdheden tot en binnen IT systemen schriftelijk vastgelegd? Wie beschikken over de autorisatie om bevoegdheden toe te kennen en/of aan te passen in de IT systemen? Beschikt u over een actueel overzicht wie toegang hebben tot de IT applicaties? Wordt er periodiek (bv jaarlijks) een controle uitgevoerd van de toegekende toegangsrechten in de IT systemen Wordt er gewerkt met persoonlijke gebruikersaccounts? Gedeelde accounts zijn in beginsel niet wenselijk omdat dan niet gegarandeerd kan worden welke medewerker een wijziging heeft doorgevoerd. Uitzondering zijn accounts die alleen leesrechten hebben en dus geen mogelijkheid hebben tot het wijzigen van data, instellingen, etc. Wachtwoorden Welke eisen worden door de ISPS locatie gesteld aan de samenstelling van wachtwoorden? De volgende beveiligingsgewoontes dienen in acht te worden genomen bij het kiezen en gebruiken van wachtwoorden: Niet gebaseerd op iets dat iemand anders gemakkelijk zou kunnen raden of verkrijgen door gebruik te maken van persoonsgerelateerde informatie, zoals (login)namen, telefoonnummers, geboortedata enz. Regelmatig wijzigen van het wachtwoord wordt afgedwongen door het betreffende systeem (minimaal ééns per kwartaal). Voldoet aan een bepaalde complexiteit van minimaal 8 karakters, niet gelijk is aan de afgelopen 3 wachtwoorden en van minimaal 3 van de 4 volgende beschreven eisen gebruik maakt: kleine letter, hoofdletter, speciaal teken, cijfer.

5 Deze gewoontes gelden voor alle systemen en IT applicaties (inclusief alle tussenliggende hardware, software en beveiligingslagen). Automatisch afsluiten van werkplekken Wordt een pc s waar IT applicaties ter ondersteuning van het waarborgen van het beveiligingsniveau op de ISPS locatie worden bediend automatisch na maximaal 15 minuten inactiviteit vergrendeld? Updates en anti virus Beschikt de ISPS locatie over anti virus programmatuur die systemen beschermd tegen malware en virussen (met recente virusdefinities).? Worden alle verwisselbare media gescand op virussen voordat deze worden gebruikt? (Dit gaat om externe harde schijven, usb-sticks, etc.) Beschikt de ISPS locatie over beleid voor het installeren van (beveiligings) updates voor besturingssystemen en kwetsbare applicaties (zoals Java, Acrobat Reader etc.) Relevante aan het -netwerk gekoppelde apparatuur (logisch of fysiek) dient voorzien te zijn van de meest recente patches (ook het besturingssysteem). Niet-noodzakelijke software voor uitvoering van het werk dient te worden verwijderd van de apparatuur (hardening).

6

7 Toegang op afstand Welke authenticatiemethoden worden gebruikt om te voorkomen dat ongeautoriseerde gebruikers toegang tot het netwerk kunnen krijgen, bijvoorbeeld door middel van het raden van wachtwoorden, wanneer er geen tweetrapsauthenticatie gebruikt wordt? Netwerkbeveiliging Welke beveiligingsmaatregelen zijn getroffen om het interne bedrijfsnetwerk van de ISPS locatie af te schermen van het internet?

8 Maatregelen fysieke beveiliging Staan de bedienings- en technische apparatuur in een fysiek afgesloten locatie opgesteld? Wie hebben toegang tot deze locatie? Hoe verloopt de procedure om deze toegang te krijgen en in te trekken (bijvoorbeeld bij functie wijzigingen) Onder bedienings- en technische apparatuur wordt hier bijvoorbeeld verstaan: servers en serverruimtes, computers waarmee applicaties gebruikt kunnen worden

9 Maatregelen ter waarborging van de continuïteit Back-up en restore Beschikt de ISPS locatie over een continuïteitsplan indien systemen en/of IT applicaties ter ondersteuning van het waarborgen van het beveiligingsniveau op de ISPS locatie uit vallen? Beschikt de ISPS locatie over reservere onderdelen om eventuele uitval van hardware op te vangen? Worden van de systemen, IT applicaties en gegevens back-ups gemaakt. Waar worden deze back-ups bewaard? Wordt het herstellen van deze back-ups periodiek getest? Noodstroom Zijn de systemen en/of IT applicaties voorzien van noodstroom (UPS, diesel aggregaat)?

10 Beheersing van wijzigingen aan IT applicaties Wijzigingen beheer Door dit wijzigingsbeheer wordt geborgd dat er geen onvoorziene functionele wijzigingen en/of beveiligingseffecten zich voordoen. Beschikt de ISPS locatie over een procedure voor het beheerst doorvoeren van wijzigingen aan IT applicaties ter ondersteuning van het waarborgen van het beveiligingsniveau op de ISPS locatie? Configuratie beheer Beschikt de ISPS locatie over een overzichtelijke administratie waarin alle relevante aan het netwerk gekoppelde apparatuur (logisch of fysiek) op hard- en softwaregebied is opgenomen Uit welke hardware apparatuur bestaat. Welke software (besturingssysteem, applicaties, etc) op apparatuur draait en welke versie dit is. Welke ketenparter en/of medewerker deze hard- en/of software beheert.