Inrichtingsvoorstel SURFaudit April 2011 Versie 1.2, Alf Moens, voor advies naar CIO Beraad, CvDUR en Comit

Transcriptie

1 pagina 1 / 9 Inrichtingsvoorstel SURFaudit April 2011 Versie 1.2, Alf Moens, voor advies naar CIO Beraad, CvDUR en Comit In juni 2010 heeft het bestuur van het platform ICT en Bedrijfsvoering ingestemd met een procesmatige invulling van SURFaudit. Dit voorstel beschrijft een aantal keuzes voor de inrichting van SURFaudit. Na verwerking van de adviezen van CIO beraad, CvDUR en Comit wordt het inrichtingsvoorstel door de Stuurgroep SURFaudit voorgelegd aan het Platformbestuur voor accordering. De Stuurgroep SURFaudit vraagt het CIO Beraad, de CvDUR en de Comit in te stemmen met doelstelling en ambitie van SURFaudit (hoofdstuk 3), en met de keuzes ten aanzien van de soorten assessments (5.1), het normenkader (5.2) en het scoringsmechanisme (5.3), en een positief advies over de invoering te geven aan het bestuur van het Platform ICT en Bedrijfsvoering. 1. Samenvatting Voor SURFaudit is een normenkader opgesteld dat bestaat uit de belangrijkste elementen van ISO Als scoringsmechanisme wordt voorgesteld om CMM te gebruiken. SURFaudit komt beschikbaar in een aantal vormen, van self- assessment tot beoordelende, onafhankelijke audit. Op korte termijn worden tools geselecteerd die het gebruik van SURFaudit ondersteunen. Gebruik van het BMtool van het CIO Platform (zie par. 8.2) lijkt het meest voor de hand te liggen. Ook zal het CMM- niveau dat wordt nagestreefd, nog vastgesteld moeten worden. Het normenkader wordt in de komende periode nader uitgewerkt. Daarbij wordt een directe relatie gelegd tussen beveiligingsmaatregelen en de toetsing daarvan. 2. Wat hier aan vooraf ging In 2008 is het niveau van informatiebeveiliging van een flink aantal Hoger Onderwijs instellingen gemeten. Dit leverde voor zowel de instellingen als voor SURF een schat aan informatie op. In 2009 en 2010 zijn nog verschillende metingen uitgevoerd en is er voor het eerst een referentiekader gebruikt, om aan te geven waar een instelling eigenlijk zou moeten staan. De projectmatige benadering van de metingen is in 2010 afgesloten met een besluit op bestuurlijk niveau om voor de komende vier jaar op een procesmatige manier de volwassenheid van informatiebeveiliging te meten. 3. Doelstelling en Ambitie 3.1 Doel SURFaudit 2 SURF stelt zich ten doel om in de komende planperiode ( ) het niveau van informatiebeveiliging in de sector Hoger Onderwijs te verbeteren en te borgen. Informatiebeveiliging is van groot belang voor onderwijsinstellingen omdat: 1 ISO27002, Code voor Informatiebeveiliging, internationale standard voor informatiebeveiliging. 2 Zoals beschreven in de notitie Vertrouwen in Informatiebeveiliging in het Hoger Onderwijs, In- Control met SURFaudit, april 2010.

2 pagina 2 / 9 hiermee een belangrijke bijdrage geleverd wordt aan de continuïteit van de bedrijfsvoering; het essentieel is voor de integriteit van de informatiehuishouding; en het een invulling geeft aan de maatschappelijke verantwoordelijkheid van de instelling met betrekking tot de zorg ten aanzien van studenten en medewerkers en ten aanzien van kennisverwerving en kennisdisseminatie. Het doel van SURFaudit is om als HO- instellingen individueel en collectief zicht te krijgen op de zwakke plekken in de informatiebeveiliging en waar zinvol gemeenschappelijk- maatregelen te nemen ter versterking. Doelstelling is om d.m.v. SURFaudit tegelijkertijd te stimuleren en te borgen dat het hoger onderwijs als sector de informatiebeveiliging professionaliseert en op een minimaal niveau waarborgt. Hierbij onderkent SURF dat er grote verschillen zijn tussen de instellingen. SURF zal dan ook actief beleid voeren om alle instellingen op een basis beveiligingsniveau te krijgen, al blijft dit uiteindelijk een verantwoordelijkheid van de instelling zelf. 3.2 Ambitie SURFaudit De ambitie is dat SURFaudit zich tot 2015 ontwikkelt als hét audit instrument om compliance op het gebied van informatiebeveiliging aan te tonen. SURFaudit vervangt uiteindelijk de afzonderlijke audits die HO- instellingen met betrekking tot de informatiebeveiliging inzetten, inclusief het IT- control deel van jaarrekeningen. De HO- instellingen beschikken met SURFaudit over een instrument dat efficiëntie biedt, toegesneden is op het HO en een goede vergelijking mogelijk maakt tussen de HO- instellingen onderling, maar ook met andere sectoren. De SURF- organisatie ondersteunt SURFaudit pro- actief en neemt het instrument als uitgangspunt bij beveiligingseisen van relevante SURF- services als SURFnet, Studielink, SURFfederatie, persoonscertificaten en SURFinternetpinnen. Diepgaande technische tests op individuele informatiesysteem of infrastructuurcomponenten, zoals penetratietesten en code- reviews, worden niet door SURFaudit vervangen. 4. Planning Momenteel, april 2011, zijn het normenkader, het scoringsmechanisme en de assessment methodes uitgewerkt en worden voorgelegd voor besluitvorming, eind mei Hier kunnen instellingen vanaf september 2011 mee aan de slag. In het tweede kwartaal van 2011 wordt het normenkader verder uitgewerkt met toelichtingen en toetsingsvragen. Daarnaast worden in dezelfde periode hulpmiddelen voor assessments geselecteerd of ontwikkeld. Vanaf 2012 wordt het mogelijk beoordelende audits uit te laten voeren. In 2012 wordt beoogd bij 5 instellingen beoordelende audits uit te laten voeren en in 2013 nog eens bij 15. Van alle instellingen wordt verwacht dat zij in 2015 tenminste éénmaal een beoordelende audit hebben laten uitvoeren. Vanaf 2015 wordt gestreefd naar een synchronisatie van de beoordelende audits (zie par. 5.1). In een later stadium kan besloten worden over uitbreiding van het normenkader, van de subset die nu in paragraaf 5.2 beschreven staat, tot, in stappen, de hele set van toetselementen van ISO

3 pagina 3 / 9 5. Voorstel voor Normenkader, Scoring en Assessments Dit hoofdstuk beschrijft voorstellen voor de inrichting van SURFaudit. Aan het Platformbestuur wordt gevraagd hier mee in te stemmen en de inrichting van SURFaudit conform deze voorstellen goed te keuren. 5.1 Soorten Assessments SURFaudit kent 4 soorten assessments, oplopend in zwaarte van self- service tot een onafhankelijke beoordeling. Van iedere instelling wordt verwacht dat zij eenmaal in de 4 jaar een beoordelende audit laat uitvoeren en de resultaten aanlevert voor de benchmarkcijfers. Er wordt naar gestreefd dat alle instellingen in hetzelfde jaar deze audit laten uitvoeren. Een samenvatting van de resultaten van de beoordelende audit van een instelling wordt openbaar 3, de details blijven vertrouwelijk, over verspreiding daarvan beslist een instelling zelf Self- assessment Een instelling bepaalt zelf hoe zij er voor staat. Dat kan op een deelgebied, dat kan voor een deel van de organisatie, dat kan voor een informatiesysteem. De hulpmiddelen van SURFaudit maken dit mogelijk. Een instelling kan dit assessment zo vaak uitvoeren als men wil. De instellingen wordt gevraagd om een maal per jaar een assessment resultaat beschikbaar te stellen voor het samenstellen van een benchmark. Hiermee wordt inzicht gekregen op algemene zwakke plekken waar gezamenlijk aan verbetering gewerkt kan worden, door innovatie of door aanvullende starterkits en handreikingen Begeleid Self- assessment Wanneer een instelling meer onafhankelijkheid en zorgvuldigheid in de zelf- beoordeling wil brengen kan er begeleiding worden ingeschakeld. Hierbij kijkt een onafhankelijke persoon mee in het assessment proces. Dat kan een collega informatiebeveiliger van een andere instelling zijn of een beveiligingsspecialist van een externe partij. De resultaten van dit assessment zijn alleen beschikbaar voor de instelling Proef audit Een proef audit is een voorbereiding op een beoordelende audit en wordt door een externe partij uitgevoerd. De resultaten van de proefaudit zijn alleen beschikbaar voor de instelling Beoordelende audit In een beoordelende audit wordt het niveau van informatiebeveiliging beoordeeld. Hierbij wordt het normenkader en beoogde niveau gehanteerd. Voor verschillende toetselementen zal ook in het proces gekeken, naar de werking van de genomen maatregelen en niet alleen naar de opzet en het bestaan 4. Voor het uitvoeren van beoordelende audits (en proef audits) worden met gerenommeerde organisaties afspraken gemaakt over methode en voorwaarden. Een beoordelende audit gebeurt op initiatief van de instelling en op kosten van de instelling. 3 Vorm en inhoud nader vast te stellen, vergelijkbaar met de resultaten van visitaties en accreditatie onderzoeken. 4 Opzet: Hoe het bedacht is, Bestaan: of het ook zo ingericht is, Werking: of er ook op die manier uitgevoerd wordt.

4 pagina 4 / Benchmark De resultaten van de beoordelende audits worden gebruikt om de benchmarkcijfers Hoger Onderwijs vast te stellen. Dit geeft, een keer in de vier jaar, de officiële stand van zaken van informatiebeveiliging in het Hoger Onderwijs. Daarnaast worden de self- assessments gegevens gebruikt voor tussentijdse benchmarks. Door het gebruik van gelijke normen en middelen zoals in andere branches (gezondheidszorg, overheid, bedrijfsleven) worden gehanteerd kunnen ook vergelijkingen gemaakt worden met benchmarkcijfers van die andere branches.

5 pagina 5 / Normenkader SURFaudit wordt stapsgewijs uitgebreid. Voor de eerste fase die in 2011 start is een selectie gemaakt van de belangrijkste toetselementen, 36 van de 133 toetselementen van ISO Dit zijn de essentiële aspecten van informatiebeveiliging die op orde moeten zijn. Deze selectie is bepaald op basis van de selectie van toetselementen die in de zorg 5 gebruikt is bij de NEN7510 audits in 2010, en getoetst aan het in 2009 opgestelde referentiekader informatiebeveiliging Hoger Onderwijs. De toetselementen zijn in 5 clusters samengebracht. Deze clusters kunnen onder meer gebruikt worden om overzichtelijke rapportages te maken. Cluster ISO Toetselement 1 Beleid & Organisatie Beleidsdocument voor informatiebeveiliging 2 Personeel, studenten en gasten Evaluatie en actualisering Bestuurlijke verankering Toewijzing en vastlegging van verantwoordelijkheden voor IB Beleid voor gegevensuitwisseling Overeenkomsten Analyse en specificatie van beveiligingseisen Bescherming van persoonsgegevens Rapporten beveiligingsincidenten Verantwoordelijkheden en procedures incidentafhandeling Arbeidscontract/voorwaarden Bewustwording, opleiding en training voor informatiebeveiliging Blokkering van toegang 3 Ruimten & Apparatuur Fysieke toegangsbeveiliging Werken in beveiligde ruimten Onderhoud van apparatuur Clear desk en clear screen policy 4 Continuïteit Beheer van wijzigingen Maatregelen tegen kwaadaardige programmatuur Reservekopieën Het proces van continuïteitsbeheer Bepaling van de continuïteitsstrategie Ontw. en impl. continuïteitsvoorzieningen & plannen Structuur voor continuïteitsplannen 5 Toegangsbeveiliging Toegangsbeleid Geautomatiseerde gegevensuitwisseling (tussen systemen) Transacties on line (tussen personen en systemen) Registratie van gebruikers (is incl autorisatie) Gebruikersidentificatie en authenticatie Beheersmaatregelen voor netwerkverbindingen Scheiding van netwerken Beheer van speciale bevoegdheden Inlogprocedures Gebruik van wachtwoorden en authenticatiemiddelen Beperken van toegang tot informatie Isoleren gevoelige systemen Tabel 1: Normenkader SURFaudit 5 Zoals vastgesteld door de Nederlandse Vereniging van Ziekenhuizen.

6 pagina 6 / Scoring Voor de beoordeling van het voldoen aan elk van de toetselementen is een vast mechanisme nodig. Voorgesteld wordt om hiervoor CMM 6 te gebruiken en daarmee het scoringsmechanisme van het CIO Platform Nederland over te nemen. Aan dit mechanisme wordt de voorkeur gegeven boven de methode die in de zorg gebruik wordt (zie ook paragraaf 8.2: de ziekenhuizen gaan deels over op het gebruik van CMM). Met het CMM model is in de voorlopers van SURFaudit ervaring opgedaan bij het meten van identity management en security incident management. In tabel 2 staan de definities 7 van de CMM niveaus. 0 Non- existent 1 Initial/Ad Hoc 2 Repeatable but Intuitive 3 Defined Process 4 Managed and Measurable 5 Optimised Tabel 2: CMM scoringsmodel Management processes are not applied at all. Processes are ad hoc and disorganised. Processes follow a regular pattern. Processes are documented and communicated. Processes are monitored and measured. Good practices are followed and automated. Complete lack of any recognisable processes. The enterprise has not even recognised that there is an issue to be addressed. There is evidence that the enterprise has recognised that the issues exist and need to be addressed. There are, however, no standardised processes; instead, there are ad hoc approaches that tend to be applied on an individual or case- by- case basis. The overall approach to management is disorganised. Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures, and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals and, therefore, errors are likely. Procedures have been standardised and documented, and communicated through training. It is mandated that these processes should be followed; however, it is unlikely that deviations will be detected. The procedures themselves are not sophisticated but are the formalisation of existing practices. Management monitors and measures compliance with procedures and takes action where processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way. Processes have been refined to a level of good practice, based on the results of continuous improvement and maturity modelling with other enterprises. IT is used in an integrated way to automate the workflow, providing tools to improve quality and effectiveness, making the enterprise quick to adapt. Het CMM niveau dat wordt nagestreefd als normwaarde is nog niet vastgesteld. Vooralsnog wordt er van uitgegaan dat CMM niveau 3 als minimum gehanteerd moet worden. 6 Capability Maturity Model: Oorspronkelijk opgezet door Carnegie- Mellon als maat voor de betrouwbaarheid van software ontwikkeling. 7 CMM komt in verschillende varianten: Dit is de CMM definitie die gebruikt wordt in COBIT 4.

7 pagina 7 / 9 6. Openstaande vragen In dit document zijn de eerste stappen van de inrichting van SURFaudit beschreven. Aan de hand van het Normenkader en het Scoringsmechanisme kunnen de eerste metingen al uitgevoerd worden. De inrichting van SURFaudit is hiermee nog niet klaar, er zijn nog een aantal zaken die in 2011 gerealiseerd moeten worden. 6.1 Plaats en positie SURFaudit Het normenkader is, op inhoud, vergeleken met de aansluiteisen van SURFnet, SURFfederatie, Studielink en enkele andere diensten van(via) SURFnet. Dit zijn de eerste audits die SURFaudit kan gaan vervangen. Om de ambitie van SURFaudit te realiseren is het nodig om met een aantal auditpartijen afspraken te gaan maken over plaats en positie van SURFaudit. Hiervoor is al contact met KPMG en voert het CIO Platform Nederland overleg met Norea. Het maken van dit soort afspraken kan deels op sector niveau gebeuren, maar zal ook voor een deel door een instelling zelf moeten gebeuren. Op korte termijn zal gestart worden om samen met enkele instellingen te bekijken hoe hun bestaande audits kunnen overgaan naar SURFaudit. 6.2 Gewenst en/of vereist niveau Er is nog geen CMM- niveau vastgesteld als toetsingsnorm. Hiervoor wordt gekeken naar hetgeen al in gebruik is bij andere kwaliteitsmetingen in het Hoger Onderwijs en wordt advies gevraagd aan CIOberaad, CvDUR en COMIT. Een mogelijkheid is om een onderscheid te maken tussen streefniveau (bijvoorbeeld CMM- 4) en vereist niveau (CMM- 3). 6.3 Hulpmiddelen Voor de uitvoering van de SURFaudit metingen en het vastleggen en vergelijken (binnen en buiten een instelling) van de resultaten zijn hulpmiddelen, afspraken en instructies nodig. Het BMtool van het CIO Platform Nederland is een veelbelovend hulpmiddel om in te zetten ter ondersteuning van de audits. De keuze van hulpmiddelen zal zich in eerste instantie richten op het beoordelen van de toepasbaarheid van het BMtool. 6.4 Meetcriteria per toetselement, koppeling met baseline informatiebeveiliging Voor het normenkader is een uitgebreidere beschrijving van de toetselementen beschikbaar. Daarnaast is het hand om een koppeling te leggen tussen het normenkader en de baseline informatiebeveiliging Hoger Onderwijs. Deze baseline wordt in 2011 uitgewerkt en hierbij wordt gelijk de koppeling naar het normenkader meegenomen.

8 pagina 8 / 9 7. Verantwoording Het voorstel zoals in het vorige hoofdstuk geformuleerd is opgesteld door de maturity werkgroep van SURFibo. Deze bestaat uit: Anita Polderdijk- Rijntjes (Hogeschool Windesheim) René Ritzen (Universiteit Utrecht) Martin Romijn (Hogeschool Utrecht) Bart van den Heuvel (Maastricht University) Alf Moens (SURFfoundation) De maturity werkgroep was voor deze gelegenheid versterkt met Deborah Hofland van KPMG. De resultaten van de werkgroep zijn besproken in de stuurgroep SURFaudit. De stuurgroep bestaat uit vertegenwoordigers van CIO Beraad, CvDUR, COMIT, SURFfoundation en SURFnet. 8. Achtergronden Voor het opstellen van het voorstel is gebruik gemaakt van ervaringen en resultaten binnen het Hoger Onderwijs, binnen de zorg (ziekenhuizen) en binnen het landelijk CIO Platform. 8.1 De zorg De Nederlandse ziekenhuizen waren verplicht om voor eind 2010 aan te tonen dat zijn voldoen aan een door de NVZ 8 opgestelde deelnorm van de NEN De deelnorm bestaat uit 35 toetselementen van de NEN7510, gegroepeerd in 5 clusters. Van de ziekenhuizen wordt verwacht dat zij eind 2010 per cluster gemiddeld niveau 2 scoren, dat wil zeggen dat zij voor deze toetselementen beveiligingsmaatregelen moeten hebben geïmplementeerd. In de zorg wordt het volgende scoringsmodel gebruikt: Niveau Omschrijving 1 Het toetselement krijgt weinig of geen aandacht of er zijn uitsluitend plannen om met het normelement aan de slag te gaan. 2 Het toetselement is in de instelling geïmplementeerd, de controle op doeltreffendheid heeft nog niet plaatsgevonden. 3 Het toetselement is geïmplementeerd op alle voor de informatiebeveiliging meest kritieke plaatsen in de instelling en de doeltreffendheid is op zijn minst 1 keer door de instelling gecontroleerd. 4 Het toetselement is breed in de instelling geïmplementeerd en de doeltreffendheid wordt structureel door de instelling gecontroleerd. Alle ziekenhuizen dienen uiteindelijk op niveau 4 te zitten. De inspectie Volksgezondheid verwacht van alle ziekenhuizen dat zij per eind 2010 per cluster uit het normenkader gemiddeld op niveau 2 staan. Er is nog geen datum (jaar) vastgesteld waarop zij niveau 4 behaald moeten hebben. 8 Nederlandse Vereniging van Ziekenhuizen 9 Nederlandse norm voor informatiebeveiliging in de zorg, afgeleid van ISO27002

9 pagina 9 / 9 De UMC s hebben gezamenlijk besloten het BMtool van het CIO Platform te gaan gebruiken voor het meten van volwassenheid. Via de NVZ kunnen ook alle andere ziekenhuizen hier gebruik van maken. Zij zullen daarbij gebruik maken van CMM als scoringsmodel. 8.2 CIO Platform Nederland Het CIO Platform Nederland 10 is het netwerk van CIO s en ICT eindverantwoordelijken van grote organisaties. Stichting SURF participeert in dit netwerk, evenals een viertal UMC s. Het CIO Platform heeft een aantal Interest Groups, onder meer voor informatiebeveiliging. Het CIO Platform heeft afgesproken dat de leden het niveau van informatiebeveiliging meten en dat de meetgegevens in benchmark vorm voor de leden beschikbaar komen. De CIG informatiebeveiliging heeft hiervoor een hulpmiddelen laten ontwikkelen, een meetmethode geselecteerd en normering afgesproken. In 2011 zijn verschillende leden begonnen met meten. Middels het BMtool (benchmarktool) kunnen de leden zelf hun stand van zaken in kaart brengen. Het CIO Platform heeft gekozen om CMM te gebruiken als scoringsmethode platform.nl