Compliance and Control

Maat: px

Weergave met pagina beginnen:

Download "Compliance and Control"

Peter Martens
10 jaren geleden
Aantal bezoeken:

1 Informatiebeveiliging in het Hoger Onderwijs Compliance and Control SAMBO-ICT - 16 januari Alf Moens

2 Wat ga ik u brengen? Framework Informatiebeveiliging, best practices uit het onderwijs Normenkader voor informatiebeveiliging: Wat moet een onderwijsinstellingen tenminste geregeld hebben? Tools voor Compliance en Control: SURFaudit En... hoe je dit allemaal organiseert 2

3 WhoAmI Alf Moens Coordinator Informatiebeveiliging & Privacy - SURF SURF werkmaatschappijen en coordinatie HO Parttime docent HU Vice voorzitter Platform voor Informatiebeveiliging (Security Manager ) MISM / Lead Auditor ISO / ISO Risk Manager 3

werkmaatschappijen en coordinatie HO Parttime docent HU Vice voorzitter

4 SAFE 4

5 Higer Ed. in the Netherlands 5

6 Waarom beveiligen? 6

7 Compliance and Control Vertrouwen noodzakelijk voor intensieve samenwerking Wettelijke regels: Privacy wetten, worden flink aangescherpt met de EPV (vanaf 2014) Telecom wet,wetten computercriminilateit Bewaarplichten Accountantscontrole verantwoording voor jaarrekening verantwoording voor subsidie projecten substantieel belang (boetes EPV) Aansluitvoorwaarden SURFnet, SURFconext Contractuele bepalingen opdrachtgevers internationale partners Open data? Publieke opinie en IMAGO Hoe realiseer je Compliance en Control? - Commitment - Normenkader IB - Meten met SURFaudit - Framework IB&P HO 7

subsidie projecten substantieel belang (boetes EPV) Aansluitvoorwaarden SURFnet, SURFconext Contractuele bepalingen opdrachtgevers internationale

8 Contractuele bepalingen Onderzoekspartners stellen eisen aan opslag en verwerking van gegevens Voor, tijdens en na het onderzoek Wat vragen/eisen opdrachtgevers/partners? informele inventarisatie bij een van de universiteiten 8

CBP publiceert Onderzoek Hogescholen http://www.cbpweb.

9 CBP publiceert Onderzoek Hogescholen 9

10 Informatiebeveiliging 10

11 Informatiebeveiliging 11

12 Informatiebeveiliging 12

13 PRIVACY Informatiebeveiliging 13

14 PRIVACY CYBERanything Informatiebeveiliging 14

15 PRIVACY Informatiebeveiliging CYBERanything 15

16 Neelie Kroes: Stef Blok: Informatiebeveiliging prominente plaats in istrategie 16

17 Waarom Beveiligen? CBP EPV Datalekken 17

18 18

19 19

20 20

2007 oefmetingen maturity formatiebeveiliging tificering dielink Meting Incident Management voor CERT vorming Meting Identity Management voor SURFfederatie Metingen maturity informatiebeveiliging

21 2007 oefmetingen maturity formatiebeveiliging tificering dielink Meting Incident Management voor CERT vorming Meting Identity Management voor SURFfederatie Metingen maturity informatiebeveiliging BIM: metingen komen bij elkaar referentiekader IB BIS: Geïntegreerde aanpak normen voor SIM en IdM Pilot SURFaudit Bestuurlijk, CIO, ICT, Beveiliger draagvlak voor normen normen toetsen Scenario( s) testen draagvlak voor methode en kosten Programma van eisen Selectie meetpartijen Mixed financiering? De markt meet,? borging bij SURF de start van SURFaudit... 21

22 SURFaudit 2011: bencharkmeting met 16 instellingen normenkader 2011, 5 clusters 2013: benchmarkmeting met 11 a 12 universiteiten 15 hogescholen normenkader 2013, 6 clusters, uitbreiding met privacy 2014: opzetten onafhankelijk beoordeling met peer-auditing 22

23 23

24 Informatiebeveiliging van project naar proces 24

25 Informatiebeveiliging: Hoe komen we verder? Samenwerken Delen Ondersteunen 25

26 SAFE 26

27 security communities 27

28 28

29 Informatiebeveiliging: Hoe staan we er voor? In 2008: IT beveiliging en fysieke beveiliging goed op orde Universiteiten net iets verder dan hogescholen In 2011: geen grote verschillen meer techniek nog steeds op orde In 2013 Eerste hogescholen maken serieus werk van compliance aangestuurd vanuit bestuurlijk niveau 29

30 SURFaudit consists of a control framework, based on ISO27002, a selection of controls that at least must be implemented in Higher Education. in 2013 expanded based on clearified privacy regulations a scoring scale and 5 levels based on CMM a benchmarktool, with build in scoring, explanation, required evidence, reporting and comparison with broad commitment from security officers, ICT managers, CIO s and boardmembers of the institutions But still voluntary. Same methods and tools are used in healthcare (hospitals) and amongst members CIO Platform (major Dutch companies). SURFaudit is part of the Information Security Framework HO-NL. It s a combination of organisational, personell and technical controls! 30

31 Normenkader 2013 Uitbreiding 2013 opb richtsnoer WBP Logging en Controle 12.2 Correcte verwerking in toepassingssystemen 12.6 Beheer van technische kwetsbaarheden Geheimhoudingsovereenkomsten 12.3 Encryptie en hashing Omgang met e-waste Controle op naleving binnen de organisatie Controle op technische naleving code review Test van nieuwe en gewijzigde informatiesystemen Bij cloud/uitbesteding: beveiligingseisen in bewerkersovereenkomst 7.2 differentiatie van verwerkte persoonsgegevens (classificatie) controle en beoordeling van dienstverlening Beoordeling en afhandeling van incidenten en lekken beheer van wijzigingen in de dienstverlening 31

32 Normenkader Hoger Onderwijs Clusters Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten 3. Ruimten & Apparatuur 4. Continuiteit 5. Toegangsbeveiliging en integriteit 6. Logging en controle 32

33 Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten 3. Ruimten & Apparatuur 4. Continuiteit 5. Toegangsbeveiliging en integriteit 6. Logging en controle Norm ISO 27002:2007 Wijzigingsbeheer , Backup & Restore Beheer kwetsbaarheden Bedrijfscontinuiteit 14.1 (alle) 33

34 Normenkader Hoger Onderwijs: Bewijsmateriaal Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten 3. Ruimten & Apparatuur 4. Continuiteit 5. Toegangsbeveiliging en integriteit 6. Logging en controle Norm ISO 27002:2007 Wijzigingsbeheer , Backup & Restore Beheer kwetsbaarheden Bedrijfscontinuiteit Opzet: 1. Beschrijving van de organisatie mbt OTAP; 2. Kopie procesbeschrijving "change management proces"; Bestaan ( maakt onderscheid in incidenten, kleine - en grote spoedwijzigingen ): 1. Kopie van informatie waaruit blijkt dat de organisatie confo heeft gewerkt Te denken (alle) aan: - Kopie gehanteerd RFC formulier (lijncontrole); inclusief take verantwoordelijkheden rondom CM en ontwep documentati - Kopie impactanalyse van de wijziging (lijncontrole); - Kopie acceptatieformulier, inclusief testuitkomsten (lijncon - Schermprint van de change die van ontwikkelomgeving naa wordt geimplementeerd (lijncontrole) - Kopie eerste meldingen bij in productie inname en traininge 2. kopie van informatie waaruit blijkt dat de organisatie contr uitgevoerd op spoedwijzigingen. Zowel gebruikers als beheersomgeving 34 infrastructuur.

35 Different types of assessments and audits ISO certification Amount of work Audit Peer Audit Self-assesment with peer support Self-assesment Value 35

36 CMM scoring mechanism 36

37 6 Universiteiten 9 Hogescholen Niv ea u Omschrijving 0 Non-existent 1 Initial/Ad Hoc 2 Repeatable but Intuitive 3 Defined Process 4 Managed and Measurable SURFaudit Benchmark Optimised 37

38 Use and re-use Framework informatiebeveiliging en normenkader zijn gebaseerd op internationale standaards en de EU wetgeving: Zijn vrij becshikbaar Benchmark getallen zijn/wordne gepubliceerd Landelijke benchmark? Tooling die nu gebruikt wordt is een commercieel product 38

39 39 13

40 Project Regie in de Cloud referentie Architectuur (HORA) Classificatie van gegevens Juridisch Normenkader SIG Digitale Rechten Kennisbank Vraagbaak Intellectueel eigendom SURFacademy: Privacy Curriculum Introductie Europese richtlijn. Privacy impact Assessments Privacy Beleid Impact wetenschappelijk Onderzoek SURF: Rapporten en papers Patriot Act en FISA Uitspraak CBP over cloud Persoonsgegevens in Botnets Authenticatie voor informatiesystemen Rechtmatig operationeel handelen SURFibo Leidraden Security en Privacy CERT/IBO Security congres SURFnet/SURFconext Step-up Authenticatie (as-a-service) SURFcertificaten

Meer weten? Hoger Onderwijs Referentie Architectuur, HORA: http://www.wikixl.nl/wiki/hora Framework informatiebeveiliging: http://www.surf.

41 Meer weten? Hoger Onderwijs Referentie Architectuur, HORA: Framework informatiebeveiliging: CBP Richtsnoer beveiliging persoonsgegegevens ( Alf Moens

Vergelijkbare documenten

Compliance and Control

SURFaudit Compliance and Control Terena&TF(MSP&(&Trondheim&(&sept.&11th,&2013&(&Alf&Moens What is SURFaudit? Introduc@on How&did&it&start? Where&are&we&now? standards,&coopera@on&with&other&sectors What&do&all&agree&upon&(and&where&do&they&disagree)?