Auliitdienst Rijk Ministerie van Financiën

Transcriptie

1 Tl i-x b b ó Auliitdienst Rijk Ministerie van Financiën > Retouradres Postbus EE Den Haag Ministerie van Binnenlancdse Zaken en Koninkrijksrelaties t.a.v. CIO Rijk dhr. H.E. Wanders Turfmarkt DP Den Haag Auditdienst Rijk Korte Voorhout CW Den Haag Postbus EE Den Haag Inlichtingen b. Ons kenmerk Datum 21 september 2017 Betreft Onderzoeksrapport Uw brief (kenmerk) Beste heer Wanders, Bijgaand doe ik u het onderzoeksrapport "Toetsbaarheid concept versie BIR2017 R- maatregelen en kansen & risico's"(kenmerk ) toekomen Rapport Is zoals afgesproken uitgebracht in een vorm van een presentatie. Pagina 1 van 1

2 Auditdienst Rijk Ministerie van Finandën Onderzoeksrapport kenmerk Toetsbaarineid concept versie BIR2017 (R-maatregelen en kansen & risico's) Uitgebracht aan: CIO Rijk co I. Den Haag, 15 september 2017

3 Auditdienst Rijk Ministerie van Financiën Inhoud CS' r-.. Aanleiding opdracht Samenvatting Werkwijze I. Bevindingen bij de R-maatregelen II. Bevindingen uit de Ronde tafel Verantwoording onderzoek Ondertekening Bijlagen

4 Aanleiding van de opdracht Het Directoraat-generaal Overheidsorganisatie (DGOO) ontwikkelt in 2017 een nieuwe Baseline Informatiebeveiliging Rijksdienst (BIR2017). Inmiddels is een initiële versie van de BIR2017 uitgewerkt. Voordat de BIR vastgesteld wordt, wil de DGOO de aandachtspunten voor toetsbaarheid weten. De BIR beschrijft per basisbeveiligingsniveau (BBN) aan welke ISO27002 Controls (Code voor Informatiebeveiliging) moet worden voldaan. Bij alle controls dient, op basis van een risicoafweging, bepaald te worden hoe aan de beveiligingseisen van de control voldaan kan worden. Sommige controls zijn (deels) uitgewerkt in verplichte Rijks (R)-maatregelen. Het onderzoek heeft zich gericht op de toetsbaarheid van de (R)- maatregelen van de concept versie van de BIR2017 (vo.4 en 0.6) en een uitwerking van kansen en risico's vanuit auditperspectief.

5 Sannenvatting In de R-maatregelen zien wij toetsbare maatregelen en maatregelen die nog minder specifiek en meetbaar zijn waardoor die maatregelen mogelijk verschillend geïnterpreteerd worden. Ten opzicht van versie 0.4 zijn er stappen gemaakt met versie 0.6, mede naar aanleiding van onze tussentijdse opmerkingen. De ronde tafel met auditors met BIR ervaring laat zien dat een nadruk op een risico gebaseerde BIR een stap vooruit is, waarbij wij wel een aantal risico's en nieuwe vraagpunten zien. r^i r-.-. Het risico bestaat dat het risicomanagement bij de departementen nog niet aansluit op de nieuwe baseline. Meer toelichting en uitwerking van de systematiek is gewenst zodat voor alle partijen helder is wat er wordt verwacht en er wordt verantwoord. Dit voorkomt ook dat niet weer een nieuwe checklist door departementen en auditors wordt afgewerkt.

6 Werkwijze (1/2) Deel I van het onderzoek heeft zich gericht op de toetsbaarheid van de R-maatregelen. Gedurende het onderzoek zijn nog nadere verbeteringen aan de R-maatregelen toegevoegd mede naar aanleiding van onze tussentijdse opmerkingen, (op versie 0.4). Per juni 2017 is een definitief concept 0.6 opgeleverd waar wij opnieuw de R-maatregelen hebben onderzocht. Dit is de basis van de uitvoeringstoetsen die op de departementen plaatsvinden. Ten opzichte van de eerdere versie hebben wij de aanpassingen beoordeeld die de basis vormen voor deel I van de rapportage. De belangrijkste punten in dit rapport zijn samengevat en details zijn te vinden in bijlage A.

7 Werkwijze (2/2) Naar aanleiding van onze concept bespreking is de ADR gevraagd een beperkt aanvullend onderzoek uit te voeren met als doel de kansen (pluspunten) en risico's (minpunten) die de ADR ziet bij de invoering van de BIR 2017 ten opzichte van de BIR 2012 te inventariseren. Deel II bevat een opsomming van de commentaren uit de ronde tafel die in juni 2017 georganiseerd is met een groep auditors met BIR ervaring. De belangrijkste punten zijn samengevat in dit rapport en details zijn te vinden in bijlage B. '.XI <x> De opdrachtgever kan de onderzoeksuitkomst gebruiken om de toetsbaarheid van de BIR 2017 verder te verbeteren. r-~. W I CS) r '-t I C'"> I

8 Ifji, mm DEEL I

9 Onderzoeksvragen deel I De volgende vragen zijn geformuleerd: Welke bevindingen zijn er ten aanzien van de toetsbaarheid per R-maatregel in de BIR 2017? Welke eventuele suggesties* zijn er per R-maatregel om ze beter toetsbaar te maken? Toetsbaarheid is de mate waarin een maatregel Specifiek, Meetbaar en Realistisch is. *De suggesties richten zich niet inhoudelijk op de maatregelen. Toetsbaa-heid BIR2017

10 Bevindingen bij de R-maatregelen (1/6) Voor de R-maatregelen is per maatregel opgesomd welke toestbaarheidselementen aandacht verdienen en zijn suggesties gedaan. Samenvattend zijn daar een aantal bevindingen categorieën geformuleerd. Details (op versie 0.6 na eerste verwerking) staan in bijlage A. Aandachtspunten vanuit auditperspectief: Hoe kan het WAT meer nadruk (dan het HOE) krijgen? Hoe kan de BIR 2017 specifieker en duidelijker gemaakt worden? Hoewel er aanvullende maatregelen door de departementen geselecteerd worden dienen de R-maatregelen an sich ook geen onduidelijkheden op te roepen bij het toetsen. Deze vragen worden in de volgende sheets uitgewerkt.

11 Bevindingen bij de R-maatregelen (2/6) Hoe kan het WAT meer nadruk (dan het HOE) krijgen? Aandachtspunten vanuit auditperspectief: Wij zien dat nog niet alle maatregelen eenduidige elementen (het WAT) bevatten die geraakt moeten worden om (geheel of ten dele) het beheersdoel te realiseren. Het HOE kan nader uitgewerkt worden in richtlijnen (of best practices) want dit kan per organisatie verschillen. We zien dat het verwijzen naar policies en richtlijnen onderdeel is van het BIR 2017 concept en nog niet consequent wordt toegepast. co <'.Si Twee voorbeelden:

12 Bevindingen bij de R-maatregelen (3/6) Hoe kan het WAT meer nadruk (dan het HOE) krijgen? Goed voorbeeld: Capaciteitsbeheer ( ) ''In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om DDOS (Denial of Service attacks) aanvallen te signaleren en hierop te reageren" cn r--. '..O < "> <x> 123 Alle elementen om te toetsen worden genoemd. Ook heldere maatregelen voor bijv. Capaciteitsbeheer (12.1.3), Scheiding OTAP (12.1.4), Gebeurtenissen registreren (12.4.1) en Beheer van technische kwetsbaarheden (12.6.1).

13 Bevindingen bij de R-maatregelen (4/6) Hoe kan het WAT meer nadruk (dan het HOE) krijgen? Minder goede voorbeeld van WAT: Scheiding van taken ( ) "Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen" Te toetsen elementen niet concreet. Lijkt doelstelling. Zowel het WAT als het HOE kan verschillend geïnterpreteerd worden. Betreft het functiescheiding? Moetje het voorkomen of detecteren? Moet er een taakomschrijving zijn die aansluit? <:0

14 Bevindingen bij de R-maatregelen (5/6) Hoe kan de BIR 2017 specifieker en duidelijker gemaakt worden? Aandachtspunten vanuit auditperspectief: Detailniveau van maatregelen wisselt: De normtekst bevat soms begrippen of formuleringen die niet eenduidig zijn. Formulering varieert van gedetailleerd tot abstract. Soms in meer maatregelen gesplitst, soms alles in één. Enkele maatregelen overlappen.

15 Bevindingen bij de R-maatregelen (6/6) Hoe kan de BIR 2017 specifieker en duidelijker gemaakt worden? Aandachtspunten vanuit auditperspectief: Gebruik van verwijzingen wisselt : De normtekst verwijst soms te ruim naar andere regels, standaarden en voorschriften. Geen uitwerking van een verwijzing naar policies gezien. De BIR maatregelen kunnen aangevuld worden met praktische richtlijnen. Deze mogelijkheid wordt nog weinig gebruikt. to In onderstaand overzicht van bevindingen worden de categorieën van bevindingen opgesomd.

16 Overzicht bevindingen bij R - maatregelen Beschrijft een specifieke uitkomst van een risico analyse Geen link met ICT Praktijk zal afwijken I Overlap zonder verwijzing llerugkercnde onduidelijke begrippen Bevat tijdsgebonden woorden I Inconsistentcdicpgang i.v.m. andere normen. I Verwijzing naar andere regels & voorschriften co <X> CSI

17 DEEL II (.O

18 Onderzoeksvraag deel II De volgende aanvullende onderzoeksvraag is geformuleerd: Welke kansen en risico's zijn er vanuit auditperspectief bij de omschakeling van BIR 2012 naar BIR 2017 bij de departementen? Om deze vraag te beantwoorden is een ronde tafel georganiseerd met auditors met BIR ervaring in juni De onderdelen in scope zijn de Systematiek (Hl-4) en twee hoofdstukken (H6 en H12). CHI'

19 Ronde tafel (1/6) Samenvattend is bevonden dat een risico gebaseerde BIR een stap vooruit is, waarbij wij wel door de systematiek een aantal risico's en nieuwe vraagpunten zien. Punten vanuit auditperspectief: Hoe gaat de nadruk op risico analyse systematiek in de praktijk werken? Welke zekerheid geven verantwoordingen? Hoe kunnen algemene definities en begrippen duidelijker? Hoe voorkomen we een nieuwe checklist? to co '..O De kansen en risico's hebben we nader uitgewerkt. 18

20 Ronde tafel (2/6) In onze ronde tafel zijn de positieve intenties van de systematiek onderschreven. Punten vanuit auditperspectief: Risico gebaseerd biedt de mogelijkheid om de inspanningen te verlagen en effectiviteit te verhogen. De nieuwe BIR is beter gericht op ketens. Rollen en verantwoordelijkheden zijn specifieker gemaakt. Meer aandacht voor beveiliging in de ontwikkelfase: "security by design". Deze punten bieden kansen op een betere inbedding van de maatregelen in de organisatie. Toetsbaarlheid BIR2017

21 Ronde tafel (3/6) Hoe gaat de nadruk op risico analyse systematiek in de praktijk werken? Aandachtspunten vanuit auditperspectief: Aanpak vraagt om volwassen risicomanagement bij de departementen. Aanpak en uitkomsten van BBN toetsen vragen uniforme werkwijze met bijvoorbeeld een rijksbrede tooi. De nieuwe systematiek moet duidelijk zijn voor diverse lezers- en gebruikersgroepen. Bijvoorbeeld op het punt van aanvullende maatregelen waarbij departementen zelf gestructureerde afwegingen maken. CCJ co ',0 Het risico bestaat dat er discussie met de auditor ontstaat over de gemaakte keuzes. De aanpak vraagt meer van departementen (en van auditors). Meer toelichting en uitwerking van de systematiek kan daarbij helpen.

22 Ronde tafel (4/6) Welke zekerheid geven verantwoordingen? Aandachtspunten vanuit auditperspectief: Wij zien in de praktijk veel discussie in hoeverre andere verklaringen zoals ISO en ISAE 3402 zekerheid verschaffen ook in relatie tot de eisen waaraan externe ICTdienstenleveranclers moeten voldoen en daarbij behorende R- maatregelen. Bijvoorbeeld ISO27001 zegt alleen dat een leverancier zijn proces in orde heeft, maar niet op welk niveau de beveiliging is geregeld. CO txi Ci :.0 Het risico bestaat dat niet eenduidig wordt gehandeld met betrekking tot de gevraagde verantwoordingen van leveranciers.

23 t-o (-''1!X> Ronde tafel (5/6) Hoe kunnen algemene definities en begrippen duidelijker? Aandachtspunten vanuit auditperspectief: Maatregelen zijn gebaseerd op risicoanalyses die uitgaan van "generieke schades en dreigingen". Relatie met het VIR-BI beperkt toegelicht. Ketens (van systemen/organisaties, intern/extern) staan meer centraal in de nieuwe BIR, en vragen aandacht om te duidelijk te krijgen wie welke maatregel moet treffen. De verantwoordelijkheid is vaak in eerste instantie bij de SG neergelegd. BIR-verantwoordelijkheden liggen momenteel bij CIO / CISO met een centrale of decentrale invulling. Het risico bestaat dat zonder invulling van deze concepten bij departementen discussies ontstaan over de (aard) getroffen maatregelen.

24 Ronde tafel (6/6) Hoe voorkomen we een nieuwe checklist? Aandachtspunten vanuit auditperspectief: Hoe de BIR actueel gehouden wordt volgt nog. Regelmatige actualisering van de BIR kan bijdragen aan meer continue verbetering van IB bij het Rijk. Wij verwachten een meer continue aanscherping en aanvulling van richtlijnen. In de praktijk voorzien wij dat al snel voor BBN2 gekozen wordt. <XJ Cl '.:s> Het gebruik van implementatie richtlijnen heeft als risico dat deze als (nieuwe) checklist worden beschouwd terwijl ze bedoeld zijn als ondersteuning. Hoewel dit genoemd staat in de BIR2017 tekst vraagt dit een hoge mate van volwassenheid van zowel departement als auditor.

25 Verantwoording cri

26 1.0 Verantwoording onderzoek Werkzaamheden en afbakening - 31 maart 2017 is de initiële versie (0.4) van de BIR2017 door CIO Rijk opgeleverd april heeft de ADR informeel de BIR besproken met het schrijfteam - 15 mei zijn de gewijzigde maatregelen aan de ADR voorgelegd waar het rapport deel I op is gebaseerd (0.6) juni ronde tafel (deel II) juli concept rapport besproken. Buiten de scope van deze opdracht vallen: - De onderliggende handreikingen en voorbeelden per R-maatregel. - Bevindingen over activiteiten gericht op de juistheid en volledigheid van de controls (beheersmaatregelen) per basisset van de BIR Bevindingen over de toetsbaarheid van de onderliggende ISO implementatierichtlijnen. - De vraag of de normen aansluiten op het beveiligingsniveau. De maatregelen zijn beoordeeld door meerdere auditors.

27 Verantwoording onderzoek Gehanteerde Standaard Deze opdracht is uitgevoerd in overeenstemming met de Internationale Standaarden voor de Beroepsuitoefening van Interna! Auditing. Met deze rapportage wordt geen zekerheid verschaft, omdat geen assurance-opdracht wordt uitgevoerd. De rapportage bevat daarom geen samenvattende conclusie of eindoordeel De opdracht is afgestemd in opdrachtbevestiging

28 Verantwoording onderzoek Verspreiding rapport De opdrachtgever. De CIO Rijk, is eigenaar van dit rapport. De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website.

29 Ondertekening Dit rapport van bevindingen is opgesteld door: Martijn van der Gaag CIA IT audit manager Den Haag, Auditdienst Rijk.-O cr>

30 ^ Auditdienst Rijk Ministerie van Financiën Auditdienst Rijk Postbus EE Den Haag (070) a-i et (-.1 U-1

31 Bijlagen A. <Concept bevindingen BIR 2017 per pdf> (opmerkingen na verwerking eerste ronde) B. <Uitwerking Ronde tafel BIR2017 ADR> CCJ!X' C'-i CSI