Informatieveiligheid, de praktische aanpak

Transcriptie

1 Informatieveiligheid, de praktische aanpak

2 Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & V-ICT-OR V-ICT-OR cvba Dienstenorganisatie ten behoeve van lokale besturen Gespecialiseerd in Informatieveiligheid, Enterprise Architectuur, Enterprise IT Governance, ICT Strategie

3 Sessie inhoud De wetgeving op het vlak van privacygevoelige data (federaal, regionaal, Europees) maakt dat informatieveiligheid vandaag heel veel aandacht krijgt. Er gaat dan ook geen dag voorbij of er is wel een voorbeeld in het nieuws van een datalek met betrekking tot privacy gevoelige data. De vraag is hoe ga ik daar nu mee om? Een informatieveiligheidsplan, of nog meer de evolutie naar een informatieveiligheidsmanagementsysteem (ISMS) dringt zich meer en meer op.

4 Context

5 Wetgevend kader

6

7 Artikel 16 4 Privacywet Om de veiligheid van de persoonsgegevens te waarborgen, moeten de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.

8 Artikel 16 4 Privacywet Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's. De veiligheidsconsulent heeft tot taak het opmaken van een veiligheidsplan. Artikel 16 en 17 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, leggen een aantal verplichtingen op inzake beveiliging en vertrouwelijkheid van gegevensverwerking.

9 Enkele sleutelwoorden

10 Waar staan we?

11 Informatieveiligheid (imonitor) Consulenten Plannen Beoordeling 48,37% 48,80% 3,49% 22,00% 40,31% 4% 22% 34% 34,20% 40% 2,61% 0,22% ja nee ok (leeg) Ja Nee Weet niet (leeg) Ja Nee Weet niet (leeg)

12 Hoe kom ik tot een Informatieveiligheidsplan? Een plan in 12 stappen?

13 Een plan in 12 stappen is dat mogelijk?

14 Naar een plan in 12 stappen! 1. Inventariseer de verplichtingen van uw organisatie en eventueel reeds gebruikte modellen 2. Stel een informatieveiligheidsteam of informatieveiligheidscel op met alle relevante deelnemers (IVT/IVC) 3. Bepaal de scope van het ISMS met het IVT/IVC 4. Maak een eerste policy/beleidsnota waarin deze scope wordt afgelijnd 5. Breng deze voor goedkeuring op het hoogste beslissingsorgaan 6. Bepaal de risico evaluatie methodologie 7. Leg de criteria vast rond aanvaardbare risico s

15 Naar een plan in 12 stappen! 8. Maak een inventaris van alle processen en middelen die relevant zijn voor de scope 9. Doe een eerste risico analyse met het IVT/IVC (apart en samen) 10. Bepaal voor elk risico de strategie (accepteren, vermijden, overdragen, beheersen) 11. Bepaal de relevante controlepunten (incl. richtsnoeren) 12. Koppel terug naar het management

16 Tools om je te helpen?

17 Risico Analyse Assessment Tool

18 Risico analyse Standaardisatie risico analyses op management niveau Genereren van risico rapportage Link tussen dreigingen naar de Richtsnoeren ter ondersteuning van automatische prioritisatie Risico categorieën Bedrijfscontinuïteit Fysieke beveiliging Incidenten en incidentafhandeling Misbruik Mobiele apparatuur en telewerken Ongeautoriseerde toegang Systeem- en gebruikersfouten Uitwisselen en bewaren van informatie Verantwoordelijkheid Wet- en regelgeving

19 Risico impact?

20 Risico s & dreigingen

21 Risico Analyse

22 Risico Rapportering

23 Maturiteit Assessment Tool

24 Maturiteit Assessment V2 versus V3

25 Per Richtsnoer

26 Gedetailleerd assessment rapport

27 Informatieveiligheidsplan - Tool

28 Acties gebaseerd Informatieveiligheidsplan gelinkt aan de Richtsnoeren

29 Informatieveiligheidsplan Gedetailleerd rapport

30 En nu doorzetten!

31 Opvolging Informatieveiligheid (ISMS) 1. Volg op regelmatige basis met IVT/IVC de controle punten op 2. Stel logging en rapportering op gelinkt aan je actiepunten en richtsnoeren 3. Evalueer de scope en risico s op regelmatige basis 4. Toets aan de management modellen 5. Organiseer regelmatig ISMS audits 6. Leg alle findings, policies, risico s op regelmatige basis voor aan het management

32 Even samenvatten De wetgeving op het vlak van privacygevoelige data (federaal, regionaal, Europees) maakt dat informatieveiligheid vandaag heel veel aandacht krijgt. Er gaat dan ook geen dag voorbij of er is wel een voorbeeld in het nieuws van een datalek met betrekking tot privacy gevoelige data. De vraag is hoe ga ik daar nu mee om? Een informatieveiligheidsplan, of nog meer de evolutie naar een informatieveiligheidsmanagementsysteem (ISMS) dringt zich meer en meer op.

33 Vragen?

34 Webinar Hoe gebruik ik de ISMS Tool van V-ICT-OR 17/05/ u 15u 25/05/ u-11u