Versie 1.0 Augustus 2011 Secure Connection BV Secure Connection BV pagina 1

Transcriptie

1 Versie 1.0 Augustus 2011 Secure Connection 2011 Secure Connection pagina 1

2 Inhoudsopgave 1 Inleiding Beschrijving van de Quick Process Scan Inleiding De business impact analyse Eisen van wet- en regelgeving en vanuit contracten De selectie van objecten binnen de scope van de analyse De selectie van controls Beschrijving van de functies van Quick Process Scan Inleiding Quick Process Scan in de webapplicatie Het starten van de webapplicatie De analyse in de webapplicatie Afdrukken resultaten Quick Process Scan in StandardGUI Het starten van Quick Process Scan in StandardGUI De vragen in StandardGUI De analyse in StandardGUI Afdrukken van de antwoorden Afdrukken van de resultaten Data bestanden Bijlage A: Overzicht BIV eisen Vertrouwelijkheid Integriteit Beschikbaarheid Bijlage B: Impactwaardes Bijlage C: Maatregelgroepen versus eisen en objecten binnen de scope Secure Connection pagina 2

3 1 Inleiding Deze gebruikershandleiding beschrijft de Quick Process Scan. De Quick Process Scan is een analyse van bedrijfsprocessen, gebaseerd op een Quick Scan. De basis voor deze scan wordt gevormd door een impact analyse en een analyse van relevante wet- en regelgeving en contracten. Op basis van de impact analyse en de eisen vanuit wet- en regelgeving en contracten worden eisen m.b.t. de Beschikbaarheid, Integriteit en Vertrouwelijkheid van het te onderzoeken bedrijfsproces (BIV eisen) vastgesteld. Gebaseerd op de BIV eisen en de informatievoorziening en infrastructuur waar het betreffende proces van afhankelijk is, wordt een set van controls samengesteld die de BIV eisen waarborgen. Van de Quick Process Scan is door ons een applicatie gebouwd, die met StandardGUI kan worden ingeladen. StandardGUI is onze applicatie browser. Voor meer informatie hierover kunt terecht op onze website. Daarnaast kan de Quick Process Scan via onze webapplicatie worden uitgevoerd. De Quick Process Scan is een laagdrempelig analyse programma, geschikt voor managers. Er is geen specialistische kennis nodig om het programma te gebruiken en kan een waardevolle bijdrage leveren in de risico management cyclus: - Het uitvoeren van impact analyses - Het formuleren van een basis beveiligingsniveau gebaseerd op impact analyses - Het vaststellen of een bedrijfsproces kritisch is (voor bijvoorbeeld bedrijfscontinuiteit) Het invullen van de ongeveer 35 vragen kost als het als interview wordt uitgevoerd, inclusief toelichting, ongeveer een uur. Op basis van self assessment door proceseigenaren zal dit ongeveer minuten tijd kosten. Quick Process Scan kan ook een waardevolle bijdrage leveren in Security Awareness van managers. Zij worden aangezet om na te denken over hun beveiligingsrisico s en afwegingen te maken. Tenslotte is het gebruik van een programma als Quick Process Scan, met name in organisaties waar meerdere proces (impact-) analyses uitgevoerd moeten worden een enorme tijdbesparing ten opzichte van handwerk of werk met spreadsheets. Als u opmerkingen / aanvullingen of suggesties heeft, laat het ons weten. Dit kan via onze website ( onder contact Secure Connection pagina 3

4 2 Beschrijving van de Quick Process Scan 2.1 Inleiding De Quick Process Scan is een aanpak om op een relatief eenvoudig en snelle manier de BIV eisen vanuit een bedrijfsproces aan de informatievoorziening waar het betreffende bedrijfsproces afhankelijk van is, in kaart te brengen. De redenen om deze analyse uit te voeren kunnen zijn: - In kaart brengen van de generieke BIV eisen vanuit meerdere bedrijfsprocessen om zo een basis beveiligingsniveau voor de organisatie vast te stellen; - In kaart brengen van kritische bedrijfsprocessen in het kader van Business Continuity; - Als eerste stap in een meer gedetailleerde analyse van een ondersteunend informatiesysteem (dit kan met Quick System Scan worden uitgevoerd). De controls die Quick Process Scan op basis van de resultaten selecteert zijn generiek. Met Quick System Scan kan worden ingezoomd op een (informatie-) systeem en meer gedetailleerde controls worden geselecteerd. De Quick Process Scan is gebaseerd op: 1. Een Business Impact Analyse (BIA) van het bedrijfsproces 2. Een analyse van eisen vanuit wet- en regelgeving en contracten 3. Een analyse van de informatievoorziening en infrastructuur waar het betreffende bedrijfsproces afhankelijk van is. De Business Impact Analyse is een analyse van de impact van inbreuken op de beschikbaarheid van het bedrijfsproces en van de informatie die door het bedrijfsproces worden gebruikt / verwerkt, de integriteit en de vertrouwelijkheid van de genoemde informatie. De uitkomsten zijn de eerder genoemde BIV eisen. De eisen vanuit wet- en regelgeving en contracten worden gebruikt om maatregelen te selecteren, onafhankelijk van de resultaten impact analyse. Een analyse van de informatievoorziening en infrastructuur houdt in dat op hoofdlijnen wordt nagegaan welke groepen van componenten relevant zijn voor de analyse. Dit wordt gebruikt om de controls toe te spitsen op deze componenten en onnodige controls (bijvoorbeeld m.b.t. een smartphone, terwijl er helemaal geen smartphones worden gebruikt) te vermijden. In de volgende paragrafen worden bovengenoemde analyses verder uitgewerkt Secure Connection pagina 4

5 2.2 De business impact analyse Secure Connection Bij de Business Impact Analyse worden 4 typen impact onderscheiden: 1. Financiële impact 2. Operationele impact 3. Juridische impact 4. Imago impact Financiële impact is directe impact en kunnen herstelkosten zijn, extra inhuur, aanschaf middelen, reparatie om de gevolgen van de impact te bestrijden. Operationele impact is het productieverlies wat wordt geleden. Operationele impact is vaak verbonden met inbreuken op de beschikbaarheid, maar dit hoeft niet altijd zo te zijn. Foute informatie bijvoorbeeld (inbreuk op de integriteit) kan leiden tot fouten in producten, waardoor het product opnieuw moet worden geproduceerd. Juridische impact is impact die te maken kan hebben met het overtreden van regels (bijvoorbeeld er is een inbreuk geweest op de vertrouwelijkheid, er ligt een medisch dossier op straat). In dat geval kan er een bestuurlijke boete worden uitgedeeld door het College Bescherming Persoonsgegevens. Er kunnen andere vormen van inbreuken zijn (denk hierbij bijvoorbeeld aan de Sarbanes Oxley wetgeving) dat inbreuken kunnen leiden tot strafvervolging van het senior management. Het is ook mogelijk dat benadeelden een civiele procedure starten en schadevergoeding eisen. Het is niet altijd zo dat hiervoor een wet moet zijn overtreden. Ook inbreuken op beschikbaarheid, integriteit of vertrouwelijkheid die niet het gevolg zijn van het overtreden van regels kunnen leiden tot schade bij afnemers, klanten, burgers en leiden tot schade vergoedingen. Imago impact is indirecte impact. Deze schade is vaak na langere tijd merkbaar, omdat bijvoorbeeld klanten niet meer terugkomen, wat tot omzet verlies leidt. De impact vragen bestaan uit vragen over de impact van inbreuken op de beschikbaarheid, impact van inbreuken op de integriteit en impact van inbreuken op de vertrouwelijkheid. Bij het aspect beschikbaarheid wordt de vraag gesteld na hoeveel uren onbeschikbaarheid van het betreffende bedrijfsproces de impact Hoog is. Dit wordt voor de 4 typen impact, zoals hierboven genoemd, gevraagd. Een hulp bij het inschatten van deze impact is de tabel in bijlage B. Voor integriteit en vertrouwelijkheid moet de impact worden ingeschat in termen van zeer laag, laag, gemiddeld, hoog en zeer hoog Secure Connection pagina 5

6 2.3 Eisen van wet- en regelgeving en vanuit contracten Secure Connection De beveiligingseisen vanuit wet- en regelgeving en vanuit contracten zijn gerelateerd aan de volgende onderwerpen: 1. Bewaartermijnen Beschikbaarheid 2. Business Continuity Beschikbaarheid 3. Maximale Uitvalsduur Beschikbaarheid 4. Maximaal dataverlies Beschikbaarheid 5. Functiescheiding Integriteit 6. Het 4 ogen principe Integriteit 7. Privacy Vertrouwelijkheid 8. Classificatie van informatie Vertrouwelijkheid 2.4 De selectie van objecten binnen de scope van de analyse De volgende componenten worden in Quick Process Scan onderscheiden: 1. Gebouwen en kantoorruimten a. Geen b. Gebouwen c. Kantoorruimten d. Zowel gebouwen als kantoorruimten 2. Computerruimten en technische ruimten a. Geen b. Computerruimten c. Technische ruimten d. Computerruimten en technische ruimten 3. Kantoorautomatisering a. Nee b. Ja, in eigen beheer c. Ja, beheer uitbesteed 4. en internet a. Nee b. Ja, in eigen beheer c. Ja, beheer uitbesteed 5. Applicaties en databases a. Nee b. Ja, in eigen beheer c. Ja, beheer uitbesteed 2011 Secure Connection pagina 6

7 6. Uitwisseling van gegevens a. Nee b. Ja 7. Externe toegang tot gegevens door ketenpartners en telewerken a. Nee b. Ja, klanten en/of leveranciers c. Ja, medewerkers (telewerken) d. Ja, klanten, leveranciers en medewerkers 8. Mobiele telefonie a. Nee, b. Ja, mobiele telefoons c. Ja, mobiele telefoons en smartphones 9. Software ontwikkeling a. Nee b. Ja, in eigen beheer c. Ja, uitbesteed 10.Onderhoud en technisch beheer a. Nee b. Ja, in eigen beheer c. Ja, uitbesteed 2.5 De selectie van controls De geselecteerde controls worden in twee stappen geselecteerd. 1. De verzamelfase (preselectie) a. Alle proces gerelateerde controls worden geselecteerd b. Afhankelijk van de objecten binnen de scope worden controls geselecteerd. c. Alle controls die met van toepassing zijnde eisen vanuit weten regelgeving en contracten te maken hebben 2. De nabewerkingsfase a. Afhankelijk van de hoogte van de BIV eisen wordt de verzameling uit de verzamelfase gefilterd. Hierbij wordt geen filtering toegepast voor de controls die onder 1 c) zijn geselecteerd Secure Connection pagina 7

8 De maatregelen zijn gegroepeerd in 48 maatregelgroepen. Deze zijn ook zichtbaar in het rapport. Zie verder bijlage C voor meer details over deze maatregelgroepen. Let op!! Quick Process Scan selecteert geen algemene security controls op organisatieniveau en security principles, zoals het opstellen van een strategisch informatie beveiligingsbeleid, de principes van functiescheiding (de onderliggende controls worden wel geselecteerd, indien van toepassing) etc. Deze algemene security controls worden geselecteerd in een Quick Organization Scan. Deze zal in een later stadium door Secure Connection worden geïntroduceerd Secure Connection pagina 8

9 3 Beschrijving van de functies van Quick Process Scan 3.1 Inleiding De Quick Process Scan kan op twee manieren worden uitgevoerd: - Via de webapplicatie - Via StandardGUI Met de webapplicatie heeft u niet alle mogelijkheden die StandardGUI biedt. Het gebruik van de webapplicatie is gratis. U kunt StandardGUI gratis downloaden en installeren. Tevens is er aan aantal applicaties voor StandardGUI gratis. Voor het gebruik van Quick Process Scan voor StandardGUI betaalt u een bedrag per kwartaal. Zie hiervoor onze website. Het gebruik van de webapplicatie heeft de volgende beperkingen: - er is geen maatregeltrace (u ziet dus niet waarom welke maatregelen zijn geselecteerd) - uw ingevoerde gegevens worden niet opgeslagen - u kunt de resultaten alleen in pdf formaat krijgen - u kunt geen overzicht krijgen van de antwoorden die zijn ingevuld U moet het gebruik van de webapplicatie ook als trial zien, met de aantekening dat de vragen, de analyses, de maatregelselectie en ook de resultaten volledig zijn. Hier zijn dus GEEN beperkingen! In dit hoofdstuk worden beide varianten behandeld. De webapplicatie en StandardGUI maken beiden gebruik van dezelfde backend (SecconServer). Het verschil is dat StandardGUI de Quick Process Scan applicatie download en lokaal uitvoert en dat voor de webapplicatie Quick Process Scan aan de serverzijde wordt uitgevoerd Secure Connection pagina 9

10 3.2 Quick Process Scan in de webapplicatie Het starten van de webapplicatie U start de webapplicatie op onze SecconServer. U kunt de link ook vinden op onze website: In onderstaand plaatje ziet u een schermafdruk van vraag B U kunt naar een volgende vraag navigeren door op volgende vraag te drukken. Verder kunt u naar een vorige vraag door de backtoets van de browser. Let er op dat u ALLE vragen beantwoord! Alleen dan kan een analyse worden gestart. 1. URL van de webapplicatie Door op de link op onze website of hier te klikken krijgt u het startscherm van de webapplicatie van Quick Process Scan. 2. Volgende Vraag U kunt naar de volgende vraag navigeren door op volgende vraag drukken 3. De backtoets van uw browser Hiermee kunt u naar de vorige vraag Secure Connection pagina 10

11 3.2.2 De analyse in de webapplicatie Secure Connection Als u in de webapplicatie alle vragen hebt doorlopen, dan krijgt u na de laatste vraag de analyse knop. Als u de analyse start krijgt u een overzicht van alle maatregelen op het scherm Afdrukken resultaten Om de resultaten te kunnen afdrukken moet u geheel naar beneden scrollen in het analysescherm (zie bovenstaande schermafdruk). Hier vind u de knop download result. De resultaten worden in pdf vorm (ingepakt in een zip file) via uw browser naar u gezonden. Let op! Het is afhankelijk van de browser en de instellingen waar deze zip file terecht komt. In veel gevallen krijgt u een pop-up scherm waarbij u de keuze kunt maken om het bestand te unzippen en te bekijken of eerst lokaal op te slaan Secure Connection pagina 11

12 3.3 Quick Process Scan in StandardGUI Het starten van Quick Process Scan in StandardGUI In bovenstaande screenshot ziet u het startscherm van Quick Process Scan in StandardGUI. Quick Process Scan is geopend onder een tab van StandardGUI. U heeft nu de volgende functies: 1. NewFile Het starten van een nieuwe analyse. Quick Process Scan vraagt u om een naam voor het antwoordbestand. Dit bestand wordt opgeslagen in een eerder door u in StandardGUI aangegeven directory (onder Options/Directories) en heeft de extensie.ist. 2. OpenFile Als u een bestaande analyse wilt openen, zal Quick Process Scan de file handler openen. Standaard wordt deze geopend bij de door u opgegeven directory in StandardGUI. U kunt nu de gewenste analyse starten door het juiste bestand te kiezen. Zodra u een analyse (nieuw of bestaand) heeft geopend, ziet u het bestand en het pad rechts onder in de status balk Secure Connection pagina 12

13 BELANGRIJK: Een afgeronde analyse kan niet meer worden gewijzigd! Als u een afgeronde analyse opent en u wilt wijzigingen maken, zal het systeem u vragen of u deze wijzigingen wilt bewaren onder een andere naam. De afgeronde analyse blijft ongewijzigd. De reden hiervoor is vanuit audit perspectief. Een auditor kan veilig een afgeronde analyse starten, zonder bang te hoeven zijn dat deze per ongeluk wordt gewijzigd De vragen in StandardGUI 3. StartQuestions Als u op StartQuestions drukt, zal het vragenpaneel worden geopend. De eerste vraag zal verschijnen. Er zijn drie typen vragen: a. Open (tekst) vragen. U kunt deze vragen beantwoorden in free form tekst. Deze vragen worden niet gebruikt voor de analyse zelf, maar voor het overzicht van de resultaten. U zult ze hier terugvinden. b. Multiple choice vragen met één optie mogelijk. U kunt hier één optie aangeven. c. Multiple choice Vragen met meerdere opties. U kunt hier één of meerdere opties kiezen. Let er op dat u tenminste één optie kiest. U dient alle vragen te beantwoorden voordat u de analyse kan starten. 4 and 5. Next en Previous U kunt met deze knoppen navigeren door de vragen Secure Connection pagina 13

14 3.3.3 De analyse in StandardGUI 6. Analyse Nadat u alle vragen heeft beantwoord, kunt u de analyse starten. Quick Process Scan zal u vragen of u ook de analyse trace wil zien. Als u Ja kiest, zal de trace in een aparte tab in StandardGUI verschijnen. In onderstaand plaatje is een voorbeeld van een dergelijke trace. De opbouw van de trace is als volgt: U vindt eerst een vraag met vraagnummer en de vraagcategorie. Dan ziet u welke optie u op deze vraag heeft gekozen Secure Connection pagina 14

15 Vervolgens zie u welke maatregelen op basis van uw keuze zijn geselecteerd in de voorselectie. Aan het einde van de tracé ziet u de nabewerking (filtering op basis van de BIV eisen). De geselecteerde controls met de maatregelgroepen worden weergegeven in de hoofdtab van het programma Afdrukken van de antwoorden 7. PrinList U kunt de ingevulde vragenlijst afdrukken, nadat u een analyse heeft afgerond, door op PrintList te drukken. Er wordt dan in de door u ingestelde directory (in StandardGUI ingesteld) een pdf bestand opgeslagen. U kijgt vervolgens de vraag of u de vragenlijst wilt openen. Als u nee aangeeft, wordt het bestand opgeslagen en niet verder geopend Afdrukken van de resultaten 8. PrintReport De resultaten van de analyse kunnen worden weergegeven in een analyse rapport. U dient dan eerst de analyse te hebben afgerond. Als u op PrintReport drukt, krijgt u de vraag of u het rapport in pdf of rtf wil. Vervolgens krijgt u de vraag om een nieuwe bestandsnaam te kiezen voor het rapport. Tenslotte krijgt u de vraag of u het rapport direct wilt openen of dat u het alleen wilt opslaan. Het rapport wordt opgeslagen in de door u aangegeven directory Data bestanden Zoals eerder aangegeven worden analysebestanden, net als de ingevulde vragenlijst en het rapport opgeslagen in de door u in StandardGUI aangegeven directory. 9. SaveFile Als u een analysebestand wilt opslaan, terwijl de analyse nog niet is voltooid, zal Quick System Scan u vragen of het bestaande bestand wilt overschrijven. Voor een afgeronde analyse geldt, zoals eerder aangegeven, dat u deze alleen onder een andere naam kan opslaan. Afsluiten Quick Process Scan of StandardGUI Als u op het moment van sluiten van Quick Process Scan (via File/Exit of via het kruisje rechtsboven) een afgeronde analyse had, zal Quick Process Scan direct afsluiten. Als het analyse bestand echter nog niet was afgerond, zal Quick Process Scan vragen of dit bestand moet worden opgeslagen Secure Connection pagina 15

16 4 Bijlage A: Overzicht BIV eisen 4.1 Vertrouwelijkheid Zeer hoog - Een beperkt aantal expliciet geautoriseerde personen hebben toegang tot de informatie - Informatie wordt niet gedeeld met anderen buiten de geautoriseerde personen - Er dient onder alle omstandigheden te zijn geborgd dat alleen de geautoriseerde personen toegang krijgen door middel van: o Mandatory access control o Persoonsgebonden toegang o Labeling van informatie o Isolatie van informatie o Sterke authenticatie o Logging van alle toegang en toegangspogingen o Regelmatige controles op uitgegeven autorisaties o Hoge eisen aan de fysieke omgeving Hoog - Alleen een specifieke groep van personen hebben op basis van hun functie toegang tot de informatie - Informatie wordt alleen gedeeld met personen buiten de groep als het senior management hier expliciet toestemming voor heeft gegeven. - Er dient te zijn geborgd dat alleen de specifieke groep van personen toegang kan krijgen door middel van: o Discretionary access control o Persoonsgebonden toegang o Logische segmentering van informatie o Sterke authenticatie o Logging van alle toegang en toegangspogingen o Regelmatige controles op uitgegeven autorisaties Gemiddeld - Toegang tot deze informatie is op basis van functieprofiel - Informatie kan worden gedeeld (ter bepaling van de eigenaar) op basis van need-to-know - Er is geborgd dat alleen geautoriseerde personen toegang krijgen tot de informatie door middel van: o Discretionary access control o Persoonsgebonden toegang o Logging van toegang en toegangspogingen o Controles op uitgegeven autorisaties 2011 Secure Connection pagina 16

17 Laag - Toegang tot informatie op basis van lidmaatschap van een groep (organisatiedeel, afdeling, functiegroep, beroepsgroep, etc) - Informatie kan worden gedeeld. Hiervoor zijn algemene regels vastgesteld. Zeer laag - The informatie is publiek beschikbaar. Er zijn geen beperkingen ten aanzien van de toegang. 4.2 Integriteit Zeer hoog - Er mogen geen fouten in de informatie voorkomen. Een fout, zelfs een kleine fout is niet acceptabel - De informatie moet volledig geverifieerd zijn - De informatie mag alleen door meerdere personen tegelijkertijd worden geopend. Dit wordt technisch afgedwongen - Invoer en controle zijn niet in één persoon verenigd Hoog - Er mag slechts een enkele kleine afwijking in de informatie voorkomen. Meerdere fouten zijn niet acceptabel - De informatie moet volledig geverifieerd zijn - Invoer en controle zijn niet in één persoon verenigd Gemiddeld - Er mogen geen grote afwijkingen of terugkerende kleine afwijkingen voorkomen in de informatie - Informatie moet zijn gecontroleerd voordat deze wordt vrijgegeven. - Invoer en controle zijn zo veel mogelijk gescheiden Laag - De informatie is slechts beperkt foutgevoelig. Een aantal afwijkingen is acceptabel - Er is een elementaire controle op informatie voordat deze wordt vrijgegeven Zeer laag - Er zijn geen eisen gesteld aan de integriteit van de informatie 2011 Secure Connection pagina 17

18 4.3 Beschikbaarheid Zeer hoog Informatie mag niet langer dan 4 uur onbeschikbaar zijn. Hoog Informatie mag niet langer dan 8 uur onbeschikbaar zijn. Gemiddeld Informatie mag niet langer dan 24 uur onbeschikbaar zijn. Laag Informatie mag niet langer dan 40 uur onbeschikbaar zijn. Zeer laag Informatie mag langer dan 40 uur onbeschikbaar zijn. Secure Connection N.b. Andere beschikbaarheidsaspecten, zoals dataverlies zijn in de eisen vanuit wet- en regelgeving en contracten opgenomen. Het gaat hier zuiver om de beschikbaarheid (het kunnen gebruiken) van informatie op het moment dat het nodig is Secure Connection pagina 18

19 5 Bijlage B: Impactwaardes In onderstaande tabel zijn de impactwaardes en hun betekenis weergegeven. Ranking Financieel Operationeel Juridisch Imago Zeer laag Zeer lage of geen financiële impact. Zeer lage of geen operationele impact. Zeer lage of geen juridische impact. Zeer lage of geen impact op het imago. Laag Kosten voor herstel die echter niet tot financiële problemen leiden. Personeel moet extra werken voor het herstel. Er is geen serieuze vertraging van de Boetes of claims van beperkte omvang. Een aantal klanten zijn tijdelijk ontevreden. Gemiddeld Kosten voor herstel. Deze leiden niet direct tot financiële problemen. Herhaling van de inbreuk kan echter wel tot serieuze financiële problemen leiden. Hoog Hoge kosten voor herstel die tot serieuze financiële of budget problemen leiden. Zeer hoog Zeer hoge herstelkosten die tot ernstige financiële problemen leiden en zelfs het faillissement van de organisatie tot gevolg kunnen hebben. productie. Een tijdelijke vertraging in de productie die alleen met de inzet van extra personeel (al dan niet ingehuurd) kan worden opgelost. Een ernstige vertraging in de productie. Afspraken over levering kunnen niet worden nagekomen. Zeer ernstige vertraging in de productie. Er kan lange tijd niet worden geleverd. Boeten of claims van relatief beperkte omvang die echter bij herhaling tot serieuze problemen kunnen leiden. Hoge boetes of strafvervolging van senior management c.q. hoge claims. Zeer hoge boetes of claims die tot faillissement van de organisatie kan leiden en/of strafvervolging van senior management voor een ernstig delict. Klanten zijn niet tevreden. Publicaties in media / internet. Tijdelijke ophef die echter ernstig kan worden bij herhaling. Verlies van klanten. Negatieve publicaties. Verlies van vertrouwen bij de bevolking. Definitief verlies van klanten. Blijvend negatief imago onder de bevolking Secure Connection page 19

20 6 Bijlage C: Maatregelgroepen versus eisen en objecten binnen de scope. De tabel op de volgende pagina geeft de selectie van maatregelgroepen aan in relatie tot: 1) Proces: De proces gerelateerde maatregelgroepen worden in de voorselectie altijd geselecteerd 2) Eisen vanuit wet- en regelgeving en contracten. Deze maatregelgroepen worden geselecteerd, afhankelijk van het niveau van de bijbehorende eisen vanuit wet- en regelgeving en contracten 3) Objecten binnen de scope van de analyse. Dit zijn informatievoorziening- of infrastructuur objecten die al dan niet binnen de scope van de analyse zijn meegenomen. Deze maatregelgroepen worden geselecteerd, afhankelijk van de scope van de analyse. De nummers tussen de haakjes in de kop van de tabel verwijzen naar de vraagnummers. Een x in de tabel betekent dat de corresponderende maatregelgroep (in de rij), of een subset hiervan is geselecteerd, afhankelijk van het antwoord wat op de betreffende vraag (in de kolom) is gegeven. De maatregelen in de voorselectie worden nabewerkt (gefilterd) op basis van de BIV eisen uit de impact analyse. De trace in de Quick Process Scan (alleen via StandardGUI) geeft exact inzicht welke maatregel waarom wordt geselecteerd. Onderstaande tabel geeft dit alleen op het niveau van een maatregelgroep aan Secure Connection page 20

21 Proces geralateerd (B.010) archiveringseis (B.030) maximaal dataverlies (B.035) maximale uitvalsduur (B.020) Bedrijfscontinuiteit (C.010) functiescheiding (C.020) 4-ogen principe (D.001) privacy (D.010) classificatie (E.001) Gebouwen en kantoor (E.010) Computer ruimten (E.020) Kantoor automatisering (E.030) en internet (E.040) Applicatie en database (E.050) Uitwisseling informatie (E.060) Externe toegang (E.070) Telecommunicatie (E.080) Systeem ontwikkeling (E.090) Technisch beheer Secure Connection Table C.1: selection of rules versus requirements and objects within scope. Nr Maatregelgroepen P Eisen Objecten binnen de scope B I V 1 Application controls x 2 Auditing en controle x 3 Authenticatie x x 4 Autorisatiebeheer x x x 5 Backup, archivering and restore x x x 6 Bescherming tegen schadelijke programmatuur x x 7 Beveiligd printen x 8 Beveiliging van datamedia x x 9 Beveiliging van de PDA x 10 Beveiliging van documenten x 11 Beveiliging van systemen x 12 Beveiligingsincidenten x x 13 Business Continuity x x 14 Capaciteitsbeheer x x 2011 Secure Connection page 21

22 Proces geralateerd (B.010) archiveringseis (B.030) maximaal dataverlies (B.035) maximale uitvalsduur (B.020) Bedrijfscontinuiteit (C.010) functiescheiding (C.020) 4-ogen principe (D.001) privacy (D.010) classificatie (E.001) Gebouwen en kantoor (E.010) Computer ruimten (E.020) Kantoor automatisering (E.030) en internet (E.040) Applicatie en database (E.050) Uitwisseling informatie (E.060) Externe toegang (E.070) Telecommunicatie (E.080) Systeem ontwikkeling (E.090) Technisch beheer Secure Connection Nr Maatregelgroepen P Eisen Objecten binnen de scope B I V 15 Classificatie x x 16 Clear desk x x x 17 Configuratiebeheer x x 18 Contractbeheer x 19 E-commerce x 20 beveiliging x 21 Encryptie bij opslag x 22 Encryptie van verbindingen x 23 Escrow x 24 Exploitatie van systemen x x x 25 Externe verbindingen x 26 Fysieke beveiliging x x 27 Fysieke beveiliging kritische ruimten x 28 Functiescheiding x x x 29 Gebruikersprocedures x x x x x x 2011 Secure Connection page 22

23 Proces geralateerd (B.010) archiveringseis (B.030) maximaal dataverlies (B.035) maximale uitvalsduur (B.020) Bedrijfscontinuiteit (C.010) functiescheiding (C.020) 4-ogen principe (D.001) privacy (D.010) classificatie (E.001) Gebouwen en kantoor (E.010) Computer ruimten (E.020) Kantoor automatisering (E.030) en internet (E.040) Applicatie en database (E.050) Uitwisseling informatie (E.060) Externe toegang (E.070) Telecommunicatie (E.080) Systeem ontwikkeling (E.090) Technisch beheer Secure Connection Nr Maatregelgroepen P Eisen Objecten binnen de scope B I V 30 Identity management x 31 Installatie and onderhoud x 32 Logging en Monitoring x x x x x 33 Logische toegangsbeveiliging x x x 34 Naleving x 35 Netwerkbeveiliging x x 36 Ontwikkeling en selectieproces x x 37 Opleiding en training x 38 Organisatorische inrichting van IB x 39 Outsourcing x x x x x 40 Patch management x 41 Personeelsbeleid x 42 Persoonsgegevens x 43 Scheiding van omgevingen x 44 Security Governance x 2011 Secure Connection page 23

24 Proces geralateerd (B.010) archiveringseis (B.030) maximaal dataverlies (B.035) maximale uitvalsduur (B.020) Bedrijfscontinuiteit (C.010) functiescheiding (C.020) 4-ogen principe (D.001) privacy (D.010) classificatie (E.001) Gebouwen en kantoor (E.010) Computer ruimten (E.020) Kantoor automatisering (E.030) en internet (E.040) Applicatie en database (E.050) Uitwisseling informatie (E.060) Externe toegang (E.070) Telecommunicatie (E.080) Systeem ontwikkeling (E.090) Technisch beheer Secure Connection Nr Maatregelgroepen P Eisen Objecten binnen de scope B I V 45 Telewerken x 46 Uitwisseling van informatie x 47 Verwerving x x 48 Wijzigingsbeheer x x 2011 Secure Connection page 24