Release Status Date Written by Edited by Approved by FR_1.0 Final 01/06/2014 Alain Houbaille

Transcriptie

1 ISMS (Information Security Management System) Richtlijn voor het melden van veiligheidsincidenten Version control please always check if you are using the latest version. Doc. Ref. :isms.051.security incident escalation directive.nl.v.1.0 Release Status Date Written by Edited by Approved by FR_1.0 Final 01/06/2014 Alain Houbaille Opmerking: In dit document werd rekening gehouden met de opmerkingen die geformuleerd werden door een werkgroep waaraan de volgende personen hebben deelgenomen: de heer Bochart (KSZ), Costrop (Smals), Lévêque (RJV), Houbaille (KSZ), Petit (FBZ), Perot (RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (RSZPPO), Van der Goten (RIZIV).

2 INHOUDSOPGAVE 1. INLEIDING SCOPE DOELGROEP POLICY INZAKE BEHEER VAN VEILIGHEIDSINCIDENTEN DOELSTELLINGEN WAT IS EEN VEILIGHEIDSINCIDENT? BESLISSINGSCRITERIA Definitie van de criteria voor het melden van een incident Tabel inzake prioriteiten CLASSIFICATIE VAN VEILIGHEIDSINCIDENTEN EIGENAAR VAN HET DOCUMENT REFERENTIES BIJLAGE A: LINK MET DE ISO-NORM P 2

3 1. Inleiding Dit document maakt deel uit van de veiligheidspolicy's van de sociale zekerheid en is gelinkt aan diverse andere policy's en procedures waarvan het integraal deel uitmaakt. Dit document heeft betrekking op de vereisten van de minimale norm 13 met betrekking tot het beheer van incidenten op het vlak van informatieveiligheid. Het omvat een classificatie van de veiligheidsincidenten, zoals die gebruikt wordt door de instellingen van sociale zekerheid. Deze classificatie wordt gebruikt in het proces van beheer van veiligheidsincidenten en levert duidelijke richtlijnen omtrent het melden van incidenten binnen de sociale zekerheid. 2. Scope Deze policy omvat de richtlijnen omtrent het melden van veiligheidsincidenten binnen de sociale zekerheid op basis van een classificatie van dergelijke incidenten. 3. Doelgroep Deze policy is van toepassing op alle instellingen van sociale zekerheid. 4. Policy inzake beheer van veiligheidsincidenten 4.1. Doelstellingen De policy inzake beheer van veiligheidsincidenten heeft als belangrijkste doelstellingen : de incidenten inzake informatieveiligheid classificeren, waarborgen dat de betrokkenen op de hoogte gebracht worden van gebeurtenissen en fouten inzake informatieveilligheid Wat is een veiligheidsincident? Elke ongewenste en/of onverwachte gebeurtenis met een betekenisvolle of mogelijke impact op de informatieveiligheid voor wat betreft de criteria van beschikbaarheid, integriteit, betrouwbaarheid en onweerlegbaarheid. P 3

4 4.3. Beslissingscriteria In de tabellen hieronder worden de beslissingscriteria gedefinieerd op basis waarvan het prioriteitsniveau voor het nemen van actie wordt bepaald voor elk scenario van veiligheidsincident vermeld in punt Definitie van de criteria voor het melden van een incident Waarde 1 Prioriteit - Ernst van het incident - Melden van het veiligheidsincident 3 De veiligheidsconsulent van de instelling moet minstens via een periodieke rapportering (bv. statistiek) op de hoogte worden gebracht. 2 De veiligheidsconsulent van de instelling wordt nog de dag zelf op de hoogte gebracht. De veiligheidsconsulent vergewist zich ervan dat het veiligheidsincident zo snel mogelijk aangepakt wordt. 1 De veiligheidsconsulent wordt zo snel mogelijk op de hoogte gebracht. De veiligheidsconsulent vergewist zich ervan dat de veiligheidsdienst van de Kruispuntbank en de verantwoordelijke van het extranet verwittigd werden en dat er dringende maatregelen werden getroffen ( Major incident in de zin van de norm: Beheer van incidenten in verband met informatieveiligheid ). Niveau 2 Dringendheid = mate van verspreiding van het incident of de gevolgen L M H Niveau Geïsoleerd veiligheidsincident Veiligheidsincident dat zich snel kan verspreiden binnen de instelling Veiligheidsincident waarvan de gevolgen zich snel kunnen verspreiden naar andere instellingen van sociale zekerheid Potentiële impact L Beperkte impact op operationeel niveau (beschadiging IV-resources), weinig gebruikers zijn getroffen, geen impact op het imago van de instelling M Matige impact op operationeel niveau (reële beschadiging van de IVresources, risico van wijziging of verlies van informatie), redelijk aantal getroffen gebruikers, potentieel risico van impact op het imago van de instelling H Grote impact op operationeel niveau (aantasting van de IV-resources, schending van de vertrouwelijkheid,...), groot aantal getroffen gebruikers, ernstige aantasting van het imago van de instelling. 1 Prioriteit 3 = laag, prioriteit 1 = hoog 2 L= Laag M= Medium H=Hoog P 4

5 Tabel inzake prioriteiten Impact / dringendheid L M H L M H Classificatie van veiligheidsincidenten Klasse incident Type incident Beschrijving/Voorbeelden Impact Dringendheid P Verzameling van Scanning Aanvallen die requests sturen naar L M 3 gegevens een systeem om gebreken te ontdekken. Dit omvat ook elk type testproces om gegevens te verzamelen over hosts, services en accounts. Voorbeeld: fingerd, DNS-request, ICMP, SMTP (EXPN, RCPT, ) Sniffing Het netwerkverkeer waarnemen en opnemen (Afluisteren) Social Engineering Verzameling van gegevens over een H L 2 persoon zonder technische middelen te gebruiken (bv.: leugens, bedreigingen, ) Phishing in naam van De techniek bestaat erin om het H M 1 de instelling slachtoffer te doen geloven dat hij zich richt tot een vertrouwensentiteit met identiteitsfraude als doel. Pogingen tot Gekende zwakheden Een poging om een systeem of eender L L 3 indringen uitbuiten welke service te schaden of te onderbreken door de zwakheden uit te buiten (bv.: buffer overflow, achterdeurtjes, cross side scripting, etc.). Aanmeldpogingen Meerdere aanmeldpogingen (diefstal of L M 3 kraken van wachtwoorden, brute force). Handtekening van een Detectie van abnormaal gedrag, spam nieuwe mogelijke met schadelijke inhoud die nog niet aanval opgemerkt wordt door de veiligheidsmaatregelen P 5

6 Klasse incident Type incident Beschrijving/Voorbeelden Impact Dringendheid P Binnendringing Compromittering van Het succesvol schade toebrengen aan een bevoorrecht een systeem of toepassing (dienst). Dit account 3 kan gebeuren door een nieuwe of ongekende zwakheid, maar ook door Compromittering van niet-geautoriseerde toegang. een niet-bevoorrecht account Compromittering van een toepassing zonder externe weerslag Compromittering van H M 1 een toepassing met externe weerslag Schadelijke code Virus, spyware, worm, Trojaans paard, dialler Software die opzettelijk in een systeem ingevoerd wordt met een schadelijk doel. Interactie van een gebruiker is normaal gezien vereist om deze code te activeren. Vaststelling van een succesvolle besmetting. Beschikbaarheid Succesvolle DDOS of DOS Sabotage Bij dit soort aanval wordt een systeem gebombardeerd met een groot aantal pakketten zodat de processen traag worden of het systeem crasht. Voorbeeld van een DOS: SYS-a, PINGflooding of mailbombs (DDOS: TFN, Trinity, etc). M H H M 1 1 De beschikbaarheid kan echter ook aangetast worden door lokale acties (bv.: vernieling, stroomonderbreking, etc.). Hardwarepanne Hardwarepanne die mogelijk een grote impact heeft op de operationele continuïteit van de instelling. Hardwarepanne met Hardwarepanne die mogelijk een grote H M 1 externe weerslag impact heeft op de operationele continuïteit van de sociale zekerheid. Slecht gebruik van Al dan niet opzettelijke Een gebruiker heeft toegang tot het informaticasystemen niet-toegelaten toegang systeem waarvoor hij geen toelating heeft;, systeemfout ongeoorloofde toegang tot een productiesysteem; opsporing van een veiligheidslek 3 Bevoorrecht account = Administrator account van een systeem P 6

7 Klasse incident Type incident Beschrijving/Voorbeelden Impact Dringendheid P Verzwakking van de Een gebruiker heeft ongewild de veiligheid veiligheidsmaatregelen van een systeem van de instelling met betrekking tot verzwakt. informaticasystemen Slecht functioneren van Systeem dat weinig performant is door een L L 3 het systeem gebrek aan schijfruimte, lange antwoordtermijnen, Ongeoorloofde Niet-toegelaten gebruik Het niet-geautoriseerd gebruik van H L 2 activiteit, fraude, van middelen, met inbegrip van lucratieve diefstal middelen activiteiten (bv. het gebruik van het intern systeem om deel te nemen aan illegale acties, gevoelige interne gegevens versturen naar externe sites.) Auteursrecht Commerciële software of andere (Copyright) hardware onder auteursrecht illegaal verkopen of installeren (bv.: warez); probleem met opvolging van licenties Vermomming Soort aanvallen waarin een entiteit H L 2 illegaal de identiteit van een andere overneemt om daarvan gebruik te maken. Diefstal of verlies van Diefstal of verlies van een laptop in de M L 3 mobiel toestel trein, carjacking of inbraak in een huis Inbraak in instelling Inbraak binnen een instelling H L 2 Misleidende inhoud Spam Een of meerdere adressen van de instelling wordt gespamd of gestalkt. M L 3 Imagoschade Publicatie of verspreiding van onterende of vervelende gegevens ten opzichte van de instelling (discussieblog, sociale netwerken, ). Andere Elk incident dat geen Als het aantal incidenten in deze H H 1 deel uitmaakt categorie groeit, geeft dit aan dat het van de hierboven vermelde categorieën. classificatieschema moet herzien worden. P 7

8 5. Eigenaar van het document Het onderhoud, de opvolging en de herziening van de huidige policy vallen onder de verantwoordelijkheid van de dienst Informatieveiligheid van de KSZ. 6. Referenties De gebruikte referenties zijn: - de minimale normen van 2014 van de KSZ - ENISA: Good Practice Guide for Incident Management - De Standaarden: o de ISO-norm 27002:2013: Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging o de ISO-Norm 27035:2011: Information security incident management 7. Bijlage A: link met de ISO-norm Hieronder geven we de voornaamste clausules van de ISO-norm die standaard een verband hebben met het voorwerp van de huidige policy. ISO-norm Beveiligingsbeleid Organisatie van informatiebeveiliging Beheer van bedrijfsresources Medewerkersgerelateerde veiligheidsvereisten Fysische veiligheid Operationele veiligheid Logische toegangsbeveiliging Onderhoud en ontwikkeling van de informatiesystemen Beheer van veiligheidsincidenten Beveiliging van de informatie in het kader van de continuïteit van het bedrijf Respect/audit Ja Ja Ja P 8