Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

Transcriptie

1 Security, Continuïty & Privacy by design Jaap van der Veen CIO-office DG Belastingdienst

2 Even voorstellen: Jaap van der Veen Strategisch architect Ministerie van Financiën CIO-office HBO Electronica, Informatietechnologie Leraar MTS-Ede Manager netwerkarchitect KPN Int. training/support Philips IT-architect Belastingdienst Enterprise architect Belastingdienst 2

3 Waarom? Inzicht ontbreekt in IV-keten! Kernvraag: Wat moet in essentie worden mee-ontworpen? Weerbaarheid tegen dreigingen We zien een exponentiële toename aanvallen in aantal én geavanceerdheid Reductie van kwetsbaarheden Softwarebugs. Slechts 40% van nieuwe Virus/malware wordt ontdekt Effectieve en voldoende sterke maatregelen Logische toegang zonder controle heeft geen zin Systemen zijn onvoldoende (niet aantoonbaar) op robuustheid ontworpen 3 Security Operations Center 20/3/15

4 Basis maatregelen Architectuurstack Businesslaag Beleid, Principes en Eisen Functiescheiding Classificatie BIA & PIA Dreigingen analyse Controlcyclus Risico Management Identiteiten Rollen Autorisaties Personeelsbeheer Procesbeheer Informatiebeheer Functioneel beheer Beveiligingsbeheer Applicatielaag OWASP / NCSC/ SANS (Web-) Richtlijnen voor appl. ontwikkelservices Kwetsbaarheden en (rest)-risicoanalyse Code review Security Service Risicomanagement Medewerkers Digi-bewust/-vaardig Richtlijnen voor infrastruct. ontwikkelservices Patronen Penetratietest Security Service Leveraranciersbeheer Technisch beheer Afnemersbeheer Technologie Secure inkoop Beveiliging van terreinen, gebouwen en installaties Toegangspas Mens & Organisatie

5 Trends t.o.v het Basisniveau Risico Virus Malware DDoS Hacking for fame & glory Georganiseerde criminaliteit DigID Stuxnet ASML Bankroof Statenlijke actoren Gemalto SONY GAP wordt snel groter! Nodig tekst Maatregelen Basisniveau Beveiliging Gap tussen wat basisniveau biedt en wat nodig is wordt steeds groter! 2015 Tijd

6 New Malware Samples Technologie ontoereikend IV keten onder vuur Aanhoudende dreiging Weten we wie ons waarom en waarmee bedreigt?????? 14,0 00, ,0 00, ,0 00,00 0 8,00 0,000 6,00 0,000? Is huidig BB toereikend?? 4,00 0,000 2,00 0,000 0 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q Weten gebruikers wat ze wel en niet moeten doen? Onvoldoende kennis Weten we wie wat doet met proces en gegevens? Geen controle op gedrag

7 Samenhang aspecten Robuustheid Imagoschade Hoge EU-boetes Patriot act Continuity Informatie Privacy Eisen overlap Beveiliging Eisen overlap Eisen???? Hier zit de complexiteit Dit vereist kennis!? Is de overlap in beeld??

8 Conclusie: Basisniveau is niet toereikend! 1. Beveiligd is anno 2015 een illusie ; Weerbaar is het best haalbare! 2. Integrale aanpak nodig voor: Continuïteit, Informatiebeveiliging en Privacy Het oude bastion paradigma voor beveiliging volstaat niet meer, we moeten nadenken over: Hoe vullen we de GAP? Hoe moet de transitie van beveiligd - naar weerbaar? GAP 20/3/15

9 Stappen Naar een veilig ontwerp 1. Businesscase met scenario s. Bepaal globale eisen voor continuïteit 2. Business-impact&privacy analyse BIA & PIA, bepaal Businesseisen voor informatiebeveiliging 3. Dreigingen en Kwetsbaarheden analyse 4. Ontwerp, selecteer maatregelen uit baseline (s) 5. Bouw op basis van standaarden 6. Review code en test de sterkte van maatregelen 7. Rest-risico analyse 9

10 Business Impact Assessment IRAM methodiek Fase 1 Business Impact Analyse Fase 2 Dreigingen en Kwetsbaarheden Analyse Fase 3 Selectie van Maatregelen Introductie van de analyse bij Business Executives Schets systeemoverview Analyse Business impact Bepaal de mogelijke impact voor verlies van: Beschikbaarheid Integriteit Vertrouwelijkheid Rapportage Zet de resultaten om in bestuurlijke taal Bepaal de overall-classificatie Evaluatie Evaluleer de resultaten van de analyse Opdracht voor volgende stap Welke activiteiten en bedrijfsmiddelen zijn kritiek? Welke herstel maatregelen vanuit crisis? Welke reductie,,,, kans/impact,,,,? Security by design 20/3/15

11 Privacy Impact Assessment Overwegingen Directe communicatie met burger en bedrijf Naar behoefte centraal of decentraal opgeslagen informatie Toepassing van datamining en business intelligence Replicatie en synchronisatie van informatie Persoonsgerichte vastlegging Er is wetsgrondslag voor verwerking Verzameld voor specifieke explicite legitieme doelen Adequaat, relevant en niet excessief Accuraat en veilig Niet langer bewaard dan nodig Verwerkt met respect voor rechten van gegevenseigenaar Gegevens blijven binnen rechtsmacht van de EU 11 Kennismaken met Rijksbreed 20/3/15

12 Doelen Principes Eisen noraonline.nl Beveiliging Doelen Principes Eisen Security by design 20/3/15

13 Maatregelen Businesslaag Businesslaag Applicatielaag Technologielagen Voortbrengen Business- en Privacy Impact- Assessment Dreigingen en kwetsbaarheden en risico analyse Gegevenseigenaar, rollen & rechten van gebruikers Classificatie van gegevens Functie en processcheiding Informatie- en Procesbeheer Beleid, Principes en Eisen Functiescheiding Classificatie OWASP / NCSC/ SANS (Web-) Richtlijnen voor appl. ontwikkelservices Richtlijnen voor infrastruct. ontwikkelservices Patronen Secure inkoop BIA & PIA Dreigingen analyse Kwetsbaarheden en (rest)-risicoanalyse Na ontwerpfase: Analyse en acceptatie van restrisico s Controlcyclus Code review Penetratietest Beveiliging van terreinen, gebouwen en installaties Identiteiten Rollen Autorisaties Security Service Security Service Toegangspas Randvoorwaarden Beleid, kaders: principes en generieke eisen Controlcyclus voor security PDCA Risicomanagement en beveiligingsbeheer Personeelsbeheer Personeelsbeheer Procesbeheer Informatiebeheer Functioneel beheer Beveiligingsbeheer Risicomanagement Medewerkers Digi-bewust Digi-vaardig Leveraranciersbeheer Technisch beheer Afnemersbeheer Mens & Organisatie Medewerkers Digi-bewust en Digi-vaardig

14 Threat Profile Ontwerpvragen Businesslaag Continuïteit; hoe robuust moet het proces en de transactie zijn? Transactie; moet de transactie onweerlegbaar zijn? Administratieve controles; validatie van juistheid, volledigheid en integere verwerking Registratie; controle rapportering; vastleggen audit-trail nodig? Toegang; wie mag met welke rechten welke handeling verrichten in het proces? BC GO BC Procesontwerp BIA Security-view Procesontwerp 14 PIA Pag 96: Modeling Risk & Security Archimate s Motivation Extention

15 Ontwerpvragen en eisen Businesslaag Continuïteit; hoe robuust moet het proces en de transactie zijn? Transactie; moet de transactie onweerlegbaar zijn? Administratieve controles; validatie van juistheid, volledigheid en integere verwerking Registratie; controle rapportering; vastleggen audit-trail nodig? Toegang; wie mag met welke rechten welke handeling verrichten in het proces? 15

16 Maatregelen Applicatielaag Businesslaag Applicatielaag Technologielagen Beleid, Principes en Eisen Functiescheiding Classificatie OWASP / NCSC/ SANS (Web-) Richtlijnen voor appl. ontwikkelservices Richtlijnen voor infrastruct. ontwikkelservices Patronen Secure inkoop BIA & PIA Dreigingen analyse Kwetsbaarheden en (rest)-risicoanalyse Controlcyclus Code review Penetratietest Beveiliging van terreinen, gebouwen en installaties Identiteiten Rollen Autorisaties Security Service Security Service Toegangspas Personeelsbeheer Procesbeheer Informatiebeheer Functioneel beheer Beveiligingsbeheer Risicomanagement Medewerkers Digi-bewust Digi-vaardig Leveraranciersbeheer Technisch beheer Afnemersbeheer Mens & Organisatie Voortbrengen Dreigingen en kwetsbaarheden en risico analyse Security functies & services: Continuïteit, Transactie, Toegang, Applicatieve controles, Scheiding, Filtering, Registratie, Controle en Alarmering Na ontwerpfase: Analyse van restrisico s Randvoorwaarden Richtlijnen voor ontwikkelservices: ASVS OWASP / SANS, NCSC webrichtlijnen Code review Penetratietest

17 Eisen securityservices Applicatielaag Security by design 20/3/15

18 Aanpak appl. ontwikkeling ASVS standaard 19

19 Maatregelen Technologielaag Businesslaag Applicatielaag Technologielagen Beleid, Principes en Eisen Functiescheiding Classificatie OWASP / NCSC/ SANS (Web-) Richtlijnen voor appl. ontwikkelservices Richtlijnen voor infrastruct. ontwikkelservices Patronen Secure inkoop BIA & PIA Dreigingen analyse Kwetsbaarheden en (rest)-risicoanalyse Controlcyclus Code review Penetratietest Beveiliging van terreinen, gebouwen en installaties Identiteiten Rollen Autorisaties Security Service Security Service Toegangspas Personeelsbeheer Procesbeheer Informatiebeheer Functioneel beheer Beveiligingsbeheer Risicomanagement Medewerkers Digi-bewust Digi-vaardig Leveraranciersbeheer Technisch beheer Afnemersbeheer Mens & Organisatie Voortbrengen Dreigingen en kwetsbaarheden en risico analyse Security functies & services: Continuïteit, Transactie, Toegang, Scheiding, Filtering, Registratie, Controle en Alarmering Na ontwerpfase: Analyse van restrisico s Randvoorwaarden Richtlijnen voor ontwikkelservices Patronen Penetratietest

20 Eisen securityservices Technologielaag Boundary Protection Services Security Management services Identity & Access Mgt services Certificate & Key Mgt services Device security Host Host werkplek Extern 21 Netwerk Security by design 20/3/15

21 Techn. Appl. Business Samenvatting By Design! - Business & Privacy impact analyse - Dreiging & kwetsbaarheden - Toegang tot- en classificatie van gegevens - Restrisico acceptatie Beleid Kaders Normen Control cyclus - Dreiging & kwetsbaarheden - Security services inzetten Tools SOC - Restrisico analyse Ontwikkel - Dreiging & kwetsbaarheden Richtlijnen Code review - Security services inzetten - Restrisico analyse - Monitoring en alarmering (exploitatie) Penetratietest 22 Voortbrengen met: Randvoorwaarden: