Informatiebeveiliging integreren in projecten

Transcriptie

1 Informatiebeveiliging integreren in projecten (ISO ) John Heinrich Roos Informatiebeveiliging integreren in projecten 1

2 Inhoud Inhoudsopgave Voorwoord vanuit het perspectief informatiebeveiliging 7 Voorwoord vanuit het perspectief Projectmanagement 9 1 Inleiding Informatiebeveiliging integreren in projecten ISO informatiebeveiliging ISO Projectmanagement Toepassing en randvoorwaarden 16 Information security in project governance: Incidents and preventions 19 2 Project informatiebeveiligingsbeleid Beleidsregels voor informatiebeveiliging in projecten Beoordeling van informatiebeveiliging in projecten Organiseren van informatiebeveiliging Rollen en verantwoordelijkheden bij informatiebeveiliging in projecten Scheiding van taken bij informatiebeveiliging in projecten Projectcontact met overheidsinstanties Projectcontact met speciale belangengroepen Informatiebeveiliging in projectbeheer Mobiele apparatuur en telewerken Projectbeleid voor mobiele apparatuur Telewerken bij projecten 28 3 Veilig personeel Screening projectpersoneel Project arbeidsvoorwaarden Managementverantwoordelijkheden bij projecten Projectbewustzijn, opleiding en training Disciplinaire inbreukprocedures Beëindiging of wijziging projectverantwoordelijkheden 31

3 Inhoud 4 Beheer van projectmiddelen Inventarisatie van projectmiddelen Eigendom projectmiddelen Aanvaardbaar gebruik van projectmiddelen Teruggeven van projectmiddelen Classificatie van projectinformatie Projectinformatie labelen Behandelen van projectmiddelen Beheer van verwijderbare projectmedia Verwijderen van projectmedia Projectmedia fysiek overdragen 35 5 Toegangsbeveiliging project Projectbeleid voor toegangsbeveiliging Toegang tot projectnetwerken en projectnetwerkdiensten Gebruikers en projectmedewerkers toegang verlenen Projectbeheer van speciale toegangsrechten Projectbeheer van geheime authenticatie-informatie Projectbeoordeling van toegangsrechten Projecttoegangsrechten intrekken of aanpassen Geheime authenticatie-informatie gebruiken Projectbeperking tot projectinformatie Beveiligde project inlogprocedures Systeem voor wachtwoordbeheer bij projecten Speciale systeemhulpmiddelen gebruiken bij projecten Project toegangsbeveiliging op programma broncode 39 6 Cryptografie bij projecten Projectbeleid cryptografische beheersmaatregelen Cryptografisch sleutelbeheer bij projecten 41 7 Fysieke beveiliging en beveiliging van de projectomgeving Fysieke beveiligingszone Fysieke toegangsbeveiliging Projectkantoren, -ruimten en -faciliteiten beveiligen Projectbescherming tegen bedreigingen van buitenaf Projectmatig werken in beveiligde gebieden Laad- en loslocatie als projectbeheersing Plaatsing en bescherming van projectapparatuur Nutsvoorzieningen bij projecten 44 Informatiebeveiliging integreren in projecten 3

4 Inhoud 7.9 Beveiliging van projectbekabeling Onderhoud van projectapparatuur Verwijdering van projectmiddelen Beveiliging van projectapparatuur en projectmiddelen buiten het terrein Veilig verwijderen of hergebruiken van projectapparatuur Onbeheerde projectapparatuur Clean desk- en clean screen-projectbeleid 46 8 Beveiliging projectuitvoering Project gedocumenteerde bedieningsprocedures Project wijzigingsbeheer Projectcapaciteitsbeheer en verwachting Scheiding van OTAP Projectbescherming tegen malware Projectbeheersingsmaatregelen tegen malware Back-up van projectinformatie Projectgebeurtenissen registreren Beschermen van projectinformatie in logbestanden Projectlogbestanden van beheerders en operators Projectkloksynchronisatie Projectbeheersing operationele software Beheer projecttechnische kwetsbaarheden Beperkingen voor het projectmatig installeren van software Beheersmaatregelen betreffende audits van informatiesystemen 51 9 Project communicatie-beveiliging Projectbeheersmaatregelen voor netwerken Projectbeveiliging van netwerkdiensten Projectinformatietransport Projectovereenkomsten over informatietransport Elektronische projectberichten Project vertrouwelijkheids- of geheimhoudingsovereenkomst Projectacquisitie, ontwikkeling en onderhoud van informatiesystemen Projectanalyse en specificatie van informatieeisen Projectinformatie op openbare netwerken beveiligen Projectinformatietransacties van toepassingsdiensten beschermen Projectbeveiliging in ontwikkelprocessen en ondersteunende processen Projectprocedures voor wijzigingsbeheer met betrekking tot systemen Projecttechnische beoordeling bedieningsplatform 57 4 Informatiebeveiliging integreren in projecten

5 Inhoud 10.7 Projectbeperking op wijzigingen aan software pakketten Projectprincipes voor engineering van beveiligde systemen Beveiligde projectontwikkelomgeving Projectuitbesteding softwareontwikkeling Projecttesten van systeembeveiliging Projectsysteem acceptatietest Projectbescherming van testgegevens Projectleveranciersrelaties Informatiebeveiligingsbeleid voor leveranciersrelaties Opnemen van projectbeveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie Monitoring en beoordeling van leveranciers na exploitatie Beheer van veranderingen leveranciersdienstverlening Projectverantwoordelijkheden en procedures bij informatie-beveiligingsincidenten Projectrapportage van informatie-beveiligingsgebeurtenissen Projectrapportage van zwakke plekken in de informatiebeveiliging Projectbeoordeling van en besluitvorming Projectrespons op informatie-beveiligingsincidenten Lering uit projectinformatie-beveiligingsincidenten Verzamelen van bewijsmateriaal Informatiebeveiligingscontinuïteit borgen en naleven met PMO Continuïteit en naleving Intellectuele eigendomsrechten Beschermen van registraties Privacy en bescherming van persoonsgegevens Voorschriften voor het gebruik van cryptografische beheersmaatregelen Informatiebeveiligingsbeoordelingen Naleving van beveiligingsbeleid en -normen Interne audit op basis van ISO De implementatie-audit Systeemtoets Procestoets Producttoets Risicogestuurd toetsen Privacy-impact toetsen Data-impact toetsen Business-impact analyse 71 Informatiebeveiliging integreren in projecten 5

6 Inhoud 14 Zes-stappen-auditmodel Model voor een audit om conformiteit te toetsen Schep kader Stel uitgangspunten vast Identificeer het proces Zoek objectief bewijsmateriaal Terugkoppeling Toets verslag, analyse, besluitvorming en evaluatie Sluiting Bronnen Checklist 81 Project informatiebeveiligingsbeleid 82 Veilig personeel 82 Beheer van projectmiddelen 82 Beheer van projectmiddelen 82 Toegangsbeveiliging project 83 Cryptografie bij projecten 83 Fysieke beveiliging en beveiliging van de projectomgeving 84 Beveiliging projectuitvoering 84 Project communicatiebeveiliging 84 Project-acquisitie, onwikkeling en onderhoud van informatiesystemen 85 Project leveranciersrelaties 85 Informatiebeveiligingscontinuïteit en naleving borgen met PMO 86 Audits/Assessments uitgevoerd? DIA-vragenlijst 89 6 Informatiebeveiliging integreren in projecten

7 Voorwoord Voorwoord vanuit het perspectief informatiebeveiliging Bedrijven worden steeds meer informatie- en ICTgedreven. Dit betekent dat raden van bestuur, directieleden en raden van commissarissen zich moeten (gaan) bezighouden met deze kritische assets. De zekerheid en adviezen die Assurance / auditors & security specialisten hierover verschaffen, zouden daarom ook in deze gremia moeten landen. Dat zal beter lukken naarmate deze beroepsgroepen meer in staat zijn om het gesprek aan te gaan met directeuren, bestuurders en commissarissen over zaken die zij als belangrijk zien en naarmate het de beroepsgroep beter lukt om in dat licht bezien relevante activiteiten te ontplooien. Eén van die onderwerpen is de impactvolle programma s en projecten, ook hier wordt zekerheid en veiligheid verwacht. Met de intrede van cyber security in de boardroom wordt de vraag actueel hoe dit onderwerp te duiden. Vooral in relatie tot de snelle en gewenste ontwikkelingen in de wereld van Social, Mobile, Agile, Analytics en Internet of Things. Immers, deze ontwikkelingen zorgen voor een scala aan projecten en programma s. Maar hoe specificeren we het? Wie is verantwoordelijk en aansprakelijk? Dit is noodzakelijk om greep op de materie te krijgen. Het duiden is vooral lastig omdat de kritische assets (in dit geval data) doorgaans niet als zodanig op de balans staan en dus ook niet in het jaarverslag terugkomen. Zelden wordt de goodwill van de data op de balans tot uitdrukking gebracht. Daarom staat dit onderwerp in de meeste gevallen ook niet op het netvlies van de bestuurder (Raad van Bestuur) of de toezichthouder (Raad van Commissarissen). Maar ondertussen wordt in vele presentaties en informatieplannen expliciet aangegeven dat data het nieuwe goud is. Incidenten waarbij de bestuurdersaansprakelijkheid nadrukkelijk aan de orde is, doen hun intrede in de media en creëren daarmee de urgentie meer grip te krijgen op dit fenomeen. Een treurig dieptepunt vormde een Informatiebeveiliging integreren in projecten 7

8 Voorwoord incident bij de Nederlandse Zorgautoriteit. Hier ging het op werkelijk alle fronten mis. Er was sprake van falende systemen (vrije toegang tot data op de fileshares), falende processen (geen beleid en borging daarvan), falende projecten en falend toezicht. Sterker nog, het besturende orgaan maakte zich schuldig aan mismanagement en malversaties. Klokkenluider Gotlieb sloeg met de volgende woorden alarm: Helaas zie ik geen andere route dan het u te melden langs deze onsympathieke weg. De geest moet uit de fles en het deksel van de pot. Opdat het management tijdig kan bijsturen. Dit schreeuwt namelijk om interventie. Twee weken nadat hij dit dossier bij zijn werkgever had ingeleverd, pleegde Arthur Gotlieb zelfmoord (bron: NRC1). De toenemende politieke druk naar aanleiding van deze zaak leidde tot het aftreden van beide bestuurders van de NZa. De NZa-case gaat verder dan het niet goed omgaan met informatiebeveiligingsrisico s. Maar het belangrijkste signaal dat uitgaat van deze case is dat informatiebeveiliging (cyber security) in alle haarvaten van een projectorganisatie hoort te zitten. Informatiebeveiliging is een primaire verantwoordelijkheid van iedereen binnen de organisatie en zeker van de project-/programmamanager. Dit boekwerk geeft aan dat laatste handen en voeten, het biedt de project / programma manager een praktisch handvat om informatiebeveiliging te integreren in projecten. Lees het boek en gebruik deze zeker als checklist bij uw eerstvolgende project/programma. Dr. Barry Derksen MSc MMC CISA CGEIT Directeur i-inc.nl (I m in Control) Lid raad van bestuur ISACA NL-chapter (isaca.nl) Lid raad van bestuur Secure Software Alliance Associate Professor Vrije Universiteit Amsterdam (IT audit) 8 Informatiebeveiliging integreren in projecten

9 Voorwoord Voorwoord vanuit het perspectief projectmanagement In projecten wordt informatie- en documentmanagement steeds belangrijker. Soms als het fout gaat, komt het groot in het nieuws, maar de meeste uitglijders blijven buiten de schijnwerpers. Ze zijn daarom echter niet minder erg. De nieuwe aanpak van agile-werken vraagt daarbij om steeds meer openheid en delen van informatie, terwijl aan de andere kant privacy en security een steeds belangrijker plaats gaat innemen. De nieuwe security regelgeving gaat daarbij de regels nog meer aantrekken. Het kan dan ook niet meer zijn dat projectmanagers en andere projectbetrokkenen informatiemanagement links laten liggen. Hoe kan je voorkomen dat informatie gedeeld wordt met personen die daar geen recht op hebben of zelfs niet mogen weten? Hoe voorkom je dat gegevens worden gestolen of onterecht worden gepubliceerd op het internet? Hoe voorkom je dat informatie wordt gehackt? Hoe zorg je er voor dat persoonsgegevens worden beschermd, terwijl je toch je werk moet kunnen blijven doen? Dit vraagt om algemene beleidsrichtlijnen in organisaties maar vraagt er ook om dat je per project er vooraf goed over nadenkt, hoe je dit moet zeker stellen. Schakel daarvoor zo nodig een informatie- en veiligheidsdeskundige in. De projectmanager blijft echter eindverantwoordelijk voor de informatiebeveiliging in zijn project. Hij kan zich niet verstoppen achter de rug van een leverancier of achter de rug van zijn projectmedewerkers. De projectmanager is eindverantwoordelijk voor de privacy en security in zijn project, tenzij hij kan aantonen dat hij er alles aan heeft gedaan wat normaliter van een eindverantwoordelijke persoon mag worden verwacht. Je kunt daar niet mee wachten totdat problemen in informatiemanagement zich voordoen. Direct bij de start van een project moet de informatiebeveiliging voor het project worden ingeregeld. Daarbij gaat het om de fysieke beveiliging van de werkplaats, toegangsbeveiliging, screening van het personeel, beveiliging van Informatiebeveiliging integreren in projecten 9

10 Voorwoord netwerken, cryptografie van de gegevens, maar ook over te volgen procedures en werkinstructies en classificatie van gegevens. Ook dienen de ontwikkel-, test-, acceptatie- en de productieomgevingen te worden gescheiden om het risico van onbevoegde toegang te verminderen. Informatiebeveiliging moet dan ook altijd onderdeel zijn van de risicoanalyse die bij de start van het project wordt gehouden. Daarbij gaat het niet alleen om informatiebeveiliging tijdens het project maar ook van de ingebouwde informatiebeveiliging van het op te leveren projectproduct. nonchalance van de projectmedewerkers het grootste risico. Het werken via onbeveiligde Wifi, het verliezen van USB-sticks, het openen van onveilige s, het laten slingeren van papieren, het altijd maar weer gebruiken van dezelfde wachtwoorden, etc. Bij het goed beveiligen van informatie moet je dan ook altijd uitgaan van een niet uit te bannen mate van onzorgvuldigheid van alle betrokkenen. Dat maakt informatiebeveiliging een uitdaging van de eerste orde. Ik raad dan ook iedereen aan zich verder in dit onderwerp te verdiepen. Ik wens u veel leesplezier. Een goede Project Management Office (PMO) kan een essentiële rol spelen bij de informatiebeveiliging in een project. Voor informatiebeveiliging vormt echter de Bert Hedeman Managing Partner HWP consulting Assessor International Project Management Association Hoofddocent Master of Project Management, Hogeschool Utrecht 10 Informatiebeveiliging integreren in projecten