Security, standaarden en architectuur

Maat: px

Weergave met pagina beginnen:

Download "Security, standaarden en architectuur"

Bram de Coninck
9 jaren geleden
Aantal bezoeken:

der Veen Strategisch architect Ministerie van

1 Security, standaarden en architectuur Landelijk Architectuur Congres november 2014 Jaap van der Veen Strategisch architect Ministerie van Financiën Bart Knubben Senior adviseur Bureau Forum Standaardisatie

2 2

3 Standaarden, architectuur en informatiebeveiliging Standaarden zorgen voor uniformiteit Architectuur zorgt voor samenhang Betere en kostenefficiëntere Informatiebeveiliging 3

4 Relevante pas-toe-of-leg-uit-standaarden Strategisch NEN-ISO 27001(2005) Tactisch NEN-ISO (2007) Operationeel SAML: Eenmalig inloggen (DigiD/ eherkenning) TLS (bijv. https): Versleuteling gegevensuitwisseling DNSSEC: Domeinnaambeveiliging DKIM/SPF: authenticatie/anti-phishing Digikoppeling: Veilige berichtuitwisseling 4

5 Filmpje beveiligingsstandaarden Zie: 5

6 Maar er zijn meer kaders en ontwikkelingen Strategisch NEN-ISO (2013) VIR, VIR-BI Tactisch NEN-ISO (2013) Sectorale overheidsbaselines IB, nl. BIR/BIG/BIWA/IBI NORA, katern IB Operationeel SAML,TLS (bijv. https), DNSSEC, DKIM/SPF en Digikoppeling Gangbare standaarden Forum: o.a., SHA-2, AES en IPsec ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC) en DigiD-audits Methode Grip op secure sofware development (SSD) van CIP 6

https), DNSSEC, DKIM/SPF en Digikoppeling Gan

7 Beveiliging en kaders Beveiliging Fysiek Personeel Informatie Continuïteit Bestaande Kaders PDCA-cyclus ISO Thema gebaseerd ISO Principe gebaseerd Baseline x VIR VIR-BI NORA baselines BIR BIG Sectorale Baselines HBB NCSC 7

27001 Thema gebaseerd ISO 27002 Principe gebaseerd

8 Van norm naar Architectuur Metamodel Doel view Functie Gedrag Structuur Goal View Function View Behaviour View Structure View Goal Model effectueert principe eis patroon wordt gerealiseerd door Function Model effectueert wordt gerealiseerd door Behaviour Model effectueert wordt gerealiseerd door Structure Model Audit Elementen Ontwerp & Audit elementen Audit Principes Ontwerp & Audit principes 8

Function Model effectueert wordt gerealiseerd door Behaviour Model effectueert wordt gerealiseerd

9 ISO norm P-D-C-A controlcyclus 9

10 ISO norm thema indeling Doel Beheers maatregel Impl. richtlijn Opzet ISO Risico gebaseerd, diverse thema s 1. Inleiding 2. Normatieve verwijzingen 3. Termen en definities 4. Structuur van de norm 5. Informatiebeveiligingsbeleid 6. Organiseren IB 7. Veilig personeel 8. Beheer bedrijfsmiddelen 9. Toegangsbeveiliging 10. Cryptografie 11. Fysieke beveiliging 12. Beveiliging bedrijfsvoering 13. Communicatiebeveiliging 14. Aquisitie, Ontwikkeling, Onderhoud 15. Leveranciersrelaties 16. Beheer IB-incidenten 17. IB aspecten van bedrijfscontinuïteit 18. Naleving Beleid Toetsing Voorzieningen 10

Beheer bedrijfsmiddelen 9. Toegangsbeveiliging 10. Cryptografie 11. Fysieke beveiliging 12. Beveiliging bedrijfsvoering 13. Communicatiebeveiliging 14.

11 Baseline x logische structuur Doel Principe Eis Maatregel Algemeen beleid Specifiek beleid Uitvoering Waarom en Wat moet op concern niveau zijn bepaald en ontworpen Waarom en Wat moet op lokaal niveau zijn bepaald en ontworpen Hoe (wanneer/waar) moet op lokaal niveau zijn geïmplementeerd Specifiek control Algemeen control Wat en Hoe moet op lokaal niveau beheerst worden Wat en Hoe moet op concern niveau beheerst worden 11

bepaald en ontworpen Hoe (wanneer/waar) moet op lokaal niveau zijn geïmplementeerd Specifiek control

12 Baseline x logische structuur Algemeen beleid Specifiek beleid Uitvoering Strategisch beleid - Management betrokkenheid beveiliging - Coördineren beveiliging Beleid Tactisch beleid - Functiescheiding - Toegangsbeleid Mens Proces en Techniek - Toegang gegevens - Applicaties - Systemen - Netwerken Voorzieningen Specifiek control Algemeen control Toetsing - Registratie (logging) - Controle en Signalering Toetsing - P-D-C-A - Rapportering Toetsing 12

Mens Proces en Techniek - Toegang gegevens - Applicaties - Systemen - Netwerken Voorzieningen Specifiek control

13 NORA metamodel Doel-> principe -> eis Doelen Principes Eisen Toegang Scheiding Toegang Maatregel (patroon) 13

14 Conclusie en uitdaging Voor nu: 1. Goede IB-standaarden (incl. baselines en architectuurkaders) zijn beschikbaar. Gebruik deze! 2. Eis relevante standaarden ook van leverancier. Voor (nabije) toekomst: 1. Volg de ontwikkelingen via o.a. NORA en Forum Standaardisatie. 2. Verdergaande harmonisatie/standaardisatie (naar één Baseline Informatiebeveiliging Overheid?). 14

Eis relevante standaarden ook van leverancier. Voor (nabije) toekomst: 1.

15 Verdere vragen? Over standaarden? Bureau Forum Standaardisatie: Tel: Over beveiliging in de architectuur? Ga naar het katern Beveiliging noraonline.nl 15

16 Extra sheets 16

17 NORA toepassing Eisen -> Architectuur 17

18 Normontwikkeling 2020 naar een BBO 18

19 Wat maakt standaarden open? Non-profit beheer Toegankelijke, transparante besluitvorming Beschikbare specificatie (max marginale kosten) Geen royalties (I.E.) 19

20 Forum Standaardisatie besluit Nationaal Beraad DO adviseert Forum Standaardisatie ondersteunt Bureau 20

21 Lijsten met open standaarden 1. Pas toe of leg uit -lijst (sinds 2008) Status: verplicht Eerste versie: 5 standaarden, nu: 36 standaarden Pas toe: Bij aanschaf van ICT-systemen; Leg uit: Alleen met zwaarwegende reden via jaarverslag. 2. Lijst met gangbare standaarden Status: aanbevolen Reeds breed geadopteerd 21

22 Open standaarden en goed opdrachtgeverschap 1. Ontwerpen: Welke koppelvlakken kent het systeem en welke standaarden heb ik daarvoor nodig? 2. Aanbesteden: Hoe formuleer ik dat ik deze standaarden nodig heb? 3. Testen: Hoe controleer ik of ik gekregen heb wat ik nodig heb? 22

Vergelijkbare documenten

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013 NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met