BUSINESS RISK MANAGEMENT

Transcriptie

1 BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT DEFINITIES PRINCIPE BIJZONDER GEVAL VAN SYSTEMEN DIE GECLASSIFICEERDE INFORMATIE VERWERKEN RISICOMETING STAP 1 : ANALYSE VAN HET BELANG VAN HET SYSTEEM STAP 2 : EVALUATIE VAN DE DREIGINGEN EN KWETSBAARHEDEN STAP 3 : UITWERKING VAN VEILIGHEIDSMAATREGELEN STAP 4 : EVALUATIE VAN HET RESTRISICO, VALIDATIE EN BESLISSING STAP 5 : REALISATIE STAP 6 : KWALITEITSVERZEKERING...9 1

2 1 Doelstelling van het document Een aanpak voorstellen voor de beheersing van de risico s van informatiesystemen, volgens de in de norm ISO beschreven principes. Deze aanpak voldoet aan de volgende doelstellingen : de personen die verantwoordelijk zijn voor de activiteit bewust maken van de inherente risico s van het informatiesysteem, veiligheidsmaatregelen uitwerken die aangepast zijn aan de geïdentificeerde risico s, de verantwoordelijke personen in staat stellen om beslissingen te nemen over de veiligheid van het systeem (aanvaarding van het restrisico, kosten van de veiligheidsmaatregelen, ). Bijgevolg moet de aanpak eenvoudig en intuïtief zijn, zodat hij kan worden toegepast door de personen die verantwoordelijk zijn voor de activiteit, zonder noodzakelijk een beroep te moeten doen op informaticatechnici of veiligheidsexperts. Daarom is de methode niet gericht op het waarschijnlijkheidsaspect van het risico, dat de zaken ingewikkelder zou maken zonder een echte meerwaarde op te leveren 2. 2 Definities 3 Activiteit ( business ) : dienst die door de organisatie wordt geleverd, of intern proces dat nodig is voor deze dienst. Informatiesysteem: georganiseerd geheel van middelen dat informatie verwerkt met het oog op de ondersteuning van een activiteit. Eigenaar van het informatiesysteem ( business owner ) : persoon die verantwoordelijk is voor de door het informatiesysteem ondersteunde activiteit 4. Actief ( asset ): elk element dat een (materiële of immateriële) waarde heeft voor de organisatie en verband houdt met het informatiesysteem. Voorbeelden : o informatie: bestanden, databanken, documentatie, contracten, procedures, o software: applicaties, systeemsoftware, o fysieke middelen: materieel, informatiedragers, o fysieke omgeving: gebouwen, stroomvoorziening, o human resources. Beschikbaarheid : toegankelijkheid van informatie of van een systeem op het gewenste ogenblik voor gemachtigde individuen, entiteiten of processen. Integriteit : verzekering van de correctheid van de informatie. Vertrouwelijkheid : ontoegankelijkheid van de informatie voor niet-gemachtigde individuen, entiteiten of processen. Bewijskracht : vermogen om handelingen eenduidig toe te schrijven aan een persoon of entiteit. Dreiging : handeling of gebeurtenis die schade kan toebrengen aan het informatiesysteem of de activiteit die het ondersteunt. Kwetsbaarheid : zwak punt van het systeem dat een dreiging concreet kan maken. 1 ISO/IEC TR (Information Technology Guidelines for the management of IT Security). 2 Het is vaak moeilijk om een waarschijnlijkheid te bepalen van zeldzame gebeurtenissen of voor nieuwe technologieën of nieuwe dreigingen. Bovendien past men voor zeer onwaarschijnlijke gebeurtenissen met een grote impact meestal beter veiligheidsmaatregelen toe (die de impact en niet de waarschijnlijkheid beïnvloeden) ; in dit geval is niet de waarschijnlijkheid maar wel de prijs van de maatregelen de belangrijkste factor in de besluitvorming. 3 Definities gebaseerd op deze van de ISO. 4 Het betreft meestal de hoofdgebruiker van het informatiesysteem en niet de ICT-verantwoordelijke. 2

3 3 Principe De benadering bestaat in: de schatting van het belang van het informatiesysteem met betrekking tot eventuele veiligheidsproblemen : wat zijn de eindgevolgen voor de organisatie in haar geheel van eventuele gebreken van de vier gebruikelijke veiligheidsfactoren (beschikbaarheid, integriteit, vertrouwelijkheid, bewijskracht)? de identificatie van de dreigingen en de zwakke punten van het systeem ; de uitwerking van veiligheidsmaatregelen die het risico tot een aanvaardbaar niveau beperken. De eigenaar van het informatiesysteem is de eerste verantwoordelijk voor het goede verloop van deze aanpak. De voorwaarden voor de ontwikkeling en exploitatie van het systeem maken samen met de audit deel uit van het risicobeheer. De essentie van de aanpak (stappen 1 tot 4) moet vroeg in de ontwikkeling van het systeem plaatsvinden. 4 Bijzonder geval van systemen die geclassificeerde informatie verwerken De documentatie van het risico van dergelijke systemen bevat vaak informatie waarvan de kennis kwaadwillige handelingen kan vergemakkelijken. Bijgevolg moeten de personen die meewerken aan de risicoanalyse normaal over een machtiging beschikken die minstens overeenkomt met het classificatieniveau van het (toekomstige) systeem, en moet de geproduceerde (voorlopige en definitieve) informatie op hetzelfde niveau worden geclassificeerd 5. 5 Classificatie kan worden herzien volgens de resultaten van de risicoanalyse. 3

4 5 Risicometing De eventuele veiligheidsgebreken worden geëvalueerd op hun uiteindelijke gevolgen voor het geheel van de organisatie ("business risk") : volgens de aard van de gevolgen : o code C : aantasting van belangen die de classificatie van de informatie rechtvaardigt (in de betekenis van de Belgische wet en/of de relevante internationale regels voor het beschouwde systeem) o code O : dreiging voor de openbare orde o code F : financieel verlies o code J : juridische gevolgen o code I : aantasting van het imago van de openbare dienst o code S : sociale en menselijke gevolgen o code X : andere (te preciseren) volgens de ernst van de gevolgen (op een logaritmische schaal van 1 tot 4). De volgende metriek wordt voorgesteld 6 : Ernst Classificatie Openbare orde Financiële verliezen (in miljoen ) Juridisch Imago van de Overheids-dienst Sociaal en menselijke Anderen (te preciseren) C O F J I S X 1 (Beperkte verspreiding) Plaatselijke en tijdelijke verstoring Aard van de gevolgen < 1 Iintern sancties aan het Bestuur Occasionele klachten Onthulling van weinig gevoelige persoonlijke gegevens 2 Vertrouwelijk Dreiging voor de openbare orde 3 Geheim Moeilijkheid om de publieke orde te handhaven 4 Zeer geheim Openbare orde ernstig in gevaar 1-1 Rechtsvervolging Occasionele kritiek in de media Tijdelijke aantasting van de reputatie 1-1 Veroordeling van de overheid Ernstige kritiek in de media Ernstige aantasting van de integriteit of de reputatie > 1 Internationale veroordeling van de overheid Blijvende aantasting Verlies van mensenleven/ernstige aantasting van de reputatie 6 Deze tabel dient uitsluitend voor de evaluatie van het risico volgens verscheidene criteria en niet voor het bepalen van een equivalentie tussen gevolgen van verschillende aard. De tabel mag bijvoorbeeld niet worden gebruikt om een equivalentie te bepalen tussen menselijke en financiële verliezen. 4

5 6 Stap 1 : Analyse van het belang van het systeem Het belang van het systeem wordt gemeten aan de gevolgen voor de organisatie van gebreken van de volgende veiligheidsfactoren: beschikbaarheid, integriteit, vertrouwelijkheid en bewijskracht. Men moet deze gevolgen dus documenteren volgens de in 5 beschreven risicometing. Dit moet gebeuren voor elk actief ( asset ) van het informatiesysteem, los van de eventuele dreigingen en kwetsbaarheden en zonder rekening te houden met de mogelijke veiligheidsmaatregelen. Het vertrekpunt van deze evaluatie is vaak een document dat de gebruiks- en verantwoordelijkheidslimieten van het systeem bepaalt. Voorbeelden van dergelijke documenten : "Liability and responsibility policy" (bijvoorbeeld voor een betaalsysteem). "Certification Practice Statement" (voor een PKI). Documentair model 7 (een tabel per actief) : Systeembelang Aard van de gevolgen C O F J I S X Maximaal ernst Beschikbaarheid Onbeschikbaarheid: < 5 min 5 min tot 1 uur 1 uur tot 1 dag 1 dag tot 1 week 1 week tot 1 maand > 1 maand Integriteit Toevallige beschadiging Opzettelijke beschadiging Verlies van transacties: Vertrouwelijk Onthulling aan niet-gemachtigde personen Bewijskracht Niet-bewijskrachtige aard van de registraties Men kan meestal met gezond verstand de activa zodanig groeperen dat men het aantal in te vullen tabellen kan beperken. In kolommen C / O / F / J / I / S / X wordt de ernst van de gevolgen van veiligheidsgebreken geëvalueerd (1 tot 4, volgens de in 5 beschreven risicometing). De laatste kolom geeft de maximale ernst per regel. Het resultaat van deze stap is een totaalbeeld van het risico dat het geanalyseerde systeem inhoudt voor de organisatie. 7 De hier getoonde documentaire modellen zijn afkomstig van de tool die de methode vergezelt. 5

6 7 Stap 2 : Evaluatie van de dreigingen en kwetsbaarheden Norm ISO (deel 3, bijlagen C en D) geeft een standaardlijst van de dreigingen en kwetsbaarheden. Men moet de kwetsbaarheden en hun gevolgen documenteren, rekening houdend met het in stap 1 geëvalueerde belang en met de verschillende plausibele dreigingen. Documentair model 8 : Aard van de gevolgen Kwetsbaarheden C O F J I S X Maximaal ernst Omgeving en infrastructuur Hardware Software Comminucatie Documenten Personeel Andere algemene kwetsbaarheden Na deze stap is de eigenaar van het informatiesysteem zich bewust van het risico dat bepaalde gebreken opleveren en van de scenario s die tot risico s kunnen leiden. 8 Stap 3 : Uitwerking van veiligheidsmaatregelen De veiligheidsmaatregelen worden als volgt ingedeeld: Basismaatregelen Dit zijn algemene maatregelen die in de betrokken organisatie worden toegepast. Normaal worden ze beschreven in de reglementen van de organisatie en in de richtlijnen van het federale Information Security Management Forum. De basismaatregelen maken de beheersing mogelijk van een groot gedeelte van de in stap 2 geïdentificeerde dreigingen en kwetsbaarheden. Zij omvatten 9 : o voor het projectbeheer : PMBOK (Project Management Body Of Knowledge), o voor de ontwikkeling : UML (Unified Modeling Language), aangevuld met methoden zoals Unified Process of Spiral Development, o voor het servicebeheer : ITIL (IT Infrastructure Library), o of een equivalent. Specifieke maatregelen voor het geanalyseerde systeem Men moet bijkomende veiligheidsmaatregelen overwegen, afhankelijk van het in stappen 1 en 2 geëvalueerde risico. 8 De 7 regels van de tabel komen overeen met de titels van bijlage D van de norm ISO (deel 3). Men moet over de tekst van de norm beschikken om de tabel in te vullen. Ref.: (zoek op standards ) en 9 Aan te vullen lijst. 6

7 Deze maatregelen worden gekenmerkt door hun werkwijze : o o hun lokalisatie : o o preventie (code PV) : maatregel die de waarschijnlijkheid van een incident maar niet zijn ernst vermindert [voorbeeld : rookverbod] ; bescherming (code PT) : maatregel die de ernst van een incident maar niet zijn waarschijnlijkheid vermindert [voorbeeld : automatisch blussysteem] ; ICT (code IT): technische maatregel [voorbeelden : mirroring, PKI, geprogrammeerde dubbele interventie]; bij de gebruiker (code US voor user ) : maatregel die betrekking heeft op het gedrag van de gebruikers of op administratieve procedures [voorbeeld: een controlelijst prikken] ; hun initiële en herhalende kosten ; de veiligheidsfactor(en) die ze beïnvloeden: beschikbaarheid, integriteit, vertrouwelijkheid en/of bewijskracht. Documentaire modellen 1 : Beschrijving van de maatregel: Beïnvloede veiligheidsfactoren Beschikbaarheid Onbeschikbaarheid: Integriteit Toevallige beschadiging Opzettelijke beschadiging Werkwijze (PV [1] of PT [2] ) : Lokalisatie (IT [3] of US [4] ) : Initiële kosten: < 5 min 5 min tot 1 uur 1 uur tot 1 dag 1 dag tot 1 week Herhalende kosten: 1 week tot 1 maand > 1 maand Verlies van transacties: 1 Vertrouwelijk Onthulling aan niet-gemachtigde personen Bewijskracht Niet-bewijskrachtige aard van de registraties 1 Indien nodig aan te vullen met gedetailleerde verklaringen. 7

8 9 Stap 4 : Evaluatie van het restrisico, validatie en beslissing Men moet de tabellen van stap 1 opnieuw invullen, deze keer rekening houdend met de in stap 3 ontwikkelde veiligheidsmaatregelen. Het resultaat is het verwachte restrisico voor het systeem. Maximaal ernst Restrisiko Aard van de gevolgen C O F J I S X Maximaal ernst Indien de balans tussen de kosten van de veiligheidsmaatregelen en het restrisico onaanvaardbaar wordt geacht, moet men stap 3 herhalen tot men een gepast compromis vindt. De gekozen oplossingen, hun kosten en het verwachte restrisico moeten door de eigenaar van het informatiesysteem expliciet worden aanvaard voor de realisatie begint. 1 Stap 5 : Realisatie Pro memorie. 8

9 11 Stap 6 : Kwaliteitsverzekering Om volledig te zijn, moet de aanpak passen in een doorlopend proces dat een auditfase omvat. Business? Business owner? De audit van het informatiesysteem en de oplossing van de eventuele zwakke punten die men vaststelt volgen het onderstaande minimale schema : Bij de ingebruikneming Bron: KB van 2/1/22 over de interne audit in de federale openbare diensten (FOD P&O) In stap 1 bepaald risiconiveau Uitvoering van de audit Voor ingebruikneming Voor ingebruikneming Voor ingebruikneming Binnen de 6 maanden na de ingebruikneming Oplossing van de vastgestelde zwakke punten Voor ingebruikneming Voor ingebruikneming Binnen de 6 maanden na de ingebruikneming Binnen de 12 maanden na de audit Na de ingebruikneming Uitvoering van de audits Jaarlijks Jaarlijks Om de 2 jaar Om de 4 jaar Oplossing van de vastgestelde zwakke punten Binnen de 6 maanden Binnen de 6 maanden Binnen de 6 maanden Binnen de 12 maanden De auditors moeten volledig onafhankelijk zijn van de met de ontwikkeling en de werking van het informatiesysteem belaste organisaties. 9