Voorbeeld Rapportage Diepgaande Risicoanalyse <INFORMATIESYSTEEM>

Transcriptie

1 Voorbeeld Rapportage Diepgaande Risicoanalyse <INFORATIESYSTEE> Datum: Versie:

2 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Inhoudsopgave 1 Samenvatting Achtergrond Doelstelling Doelgroep Werkwijze Resultaten baselinetoets Resultaten kwetsbaarheidsanalyse Aanbevelingen Leeswijzer 6 2 Baselinetoets Aanpak Werkwijze Bronnen Resultaten baselinetoets Belang van de processen Belang van het informatiesysteem Betrouwbaarheidseisen Conclusies baselinetoets 10 3 Diepgaande risicoanalyse Aanpak Werkwijze Bronnen Resultaten kwetsbaarheidsanalyse Analyseren informatiesysteem Analyse bedreigingen Keuze maatregelen Conclusies diepgaande risicoanalyse 16 4 Bijlage A: Opbouw informatiesysteem <INFORATIESYSTEE> APGOOD 18 5 Bijlage B: resultaten analyse bedreigingen 20 6 Bijlage C: Overzicht maatregelendoelstellingen 29 7 Bijlage E: Detaillering maatregeldoelstellingen 33 Pagina 2 van 37

3 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Documenthistorie Versie Datum Aanpassing Door Pagina 3 van 37

4 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> 1 Samenvatting 1.1 Achtergrond Van het informatiesysteem <INFORATIESYSTEE> is de classificatie informatiebeveiliging conform de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) beschrijving, de baselinetoets en de diepgaande risicoanalyse uitgevoerd. Deze rapportage beschrijft de resultaten van de diepgaande risicoanalyse van <INFORATIESYSTEE>. 1.2 Doelstelling Breng de belangrijkste risico s ten aanzien van de betrouwbare werking (met betrekking tot informatiebeveiliging) van het informatiesysteem <INFORATIESYSTEE> in kaart en bepaal welke maatregelen genomen moeten worden om deze risico s te ondervangen. 1.3 Doelgroep Deze rapportage is bestemd voor de eigenaar van het informatiesysteem <INFORATIESYSTEE> en voor de eigenaren van de lijnprocessen zoals die in 2.3 benoemd zijn met hun proceseigenaar. 1.4 Werkwijze In de risicoanalyse worden 2 delen onderscheiden, te weten: Deel 1, de baselinetoets. ierin wordt bepaald in welke mate het proces <Proces>afhankelijk is van het informatiesysteem <INFORATIESYSTEE>, daarnaast wordt hier bepaald of de BIG voldoende maatregelen biedt of niet. Deel 2, de diepgaande risicoanalyse. ierin wordt bepaald welke maatregelen (op het niveau van doelstelling) nodig zijn om de vereiste betrouwbaarheid van het informatiesysteem <INFORATIESYSTEE> te realiseren. De uitwerking is op basis van een Quickscan methodiek uitgevoerd. Er is bij de behandeling van de vragen gewerkt met een timebox. 1.5 Resultaten baselinetoets De belangrijkste bevindingen van de baselinetoets zijn: De processen <PROCES> en <PROCES> zijn in hoge mate afhankelijk van de beschikbaarheid van gegevens uit het informatiesysteem <INFORATIESYSTEE>. De eis aan de beschikbaarheid is in de afgelopen jaren toegenomen omdat in het bijzonder het <AFDELING> structureel in de publieke belangstelling staat. et tijdig kunnen beschikken over juiste informatie is essentieel bij het vermijden van reputatie, imago of zelfs politieke schade. Uitval gedurende openingstijden is daarom nauwelijks aanvaardbaar; De integriteit van de gegevens die via <INFORATIESYSTEE> beschikbaar worden gesteld is zwaarwegend voor de processen <PROCES> en <PROCES>. Binnen de processen <PROCES> en <PROCES> wordt blind gevaren op de inhoudelijke gegevens in <INFORATIESYSTEE>. Dit blind varen betekent niet dat men extreem afhankelijk is van de correctheid van gegevens en werking van <INFORATIESYSTEE>. et informatiesysteem <INFORATIESYSTEE> bevat in beperkte mate vertrouwelijke informatie. Voor de gegevens afkomstig van het <EXTERNE PARTIJ>, bepaalde financiële gegevens en het <GEGEVENS> geldt de classificatie afgeschermd. Pagina 4 van 37

5 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Uit een privacy onderzoek door een externe partij is naar voren gekomen dat in/met <INFORATIESYSTEE> persoonsgegevens worden verwerkt waarvan een melding moet worden gedaan. Zie hoofdstuk 2 voor een volledig overzicht van de resultaten van de baselinetoets. 1.6 Resultaten kwetsbaarheidsanalyse De belangrijkste bevindingen van de diepgaande risicoanalyse zijn: De drie belangrijkste gevolgen van niet of niet correct functioneren van <INFORATIESYSTEE> hebben betrekking op: 1. Tijdverlies, extra werk: waarbij de aard van het werk in processen zoals <PROCES> en <PROCES> het ondoenlijk maakt om snel extra capaciteit in te zetten. 2. Juridische gevolgen: wanneer contracten worden gebaseerd op onjuiste gegevens. Bij <PROCES> kunnen bijvoorbeeld schadeclaims ontstaan wanneer een foutieve <GEGEVENS> wordt gehanteerd. 3. Imagoverlies, reputatieschade en eventuele politieke gevolgen: omdat vooral <PROCES> en <PROCES> in de publieke belangstelling staan. De drie belangrijkste bedreigingen voor het niet of niet correct functioneren van <INFORATIESYSTEE> zijn: 1. Onopzettelijk foutief handelen door functioneel beheer en X-medewerkers. 2. Onvoldoende beveiliging van gegevens op specifieke plekken: PC van X, thuiswerkplek et cetera. 3. Diensten worden niet correct geleverd, bijvoorbeeld door onvoldoende duidelijke afspraken, slecht opgeleid personeel, onvoldoende capaciteit, personeel dat aan de veiligheidseisen voldoet, geen functiescheiding, te hoge autorisaties. De drie belangrijkste maatregelen (op het niveau van een doelstelling) die (in aanvulling op de baseline) aanwezig moeten zijn voor het betrouwbaar functioneren van <INFORATIESYSTEE> zijn: 1. Zorg ervoor dat de medewerkers van functioneel beheer en de X- medewerkers optimaal worden ondersteund in hun werk en daarmee deze werkzaamheden betrouwbaar kunnen uitvoeren. Dit betreft onder meer voldoende beschikbaarheid en training, adequaat beheer van de programmatuur (scripts) en documentatie evenals duidelijke afspraken voor ontwikkeling, gebruik, testen et cetera. 2. Zorg ervoor dat alleen geautoriseerde personen toegang hebben tot de gegevens in <INFORATIESYSTEE> en in het bijzonder tot de vertrouwelijke gegevens. Dit betreft zowel de beveiliging van de speciale werkplekken, de juiste beveiliging bij thuiswerken als de juiste inrichting en het gebruik van de middelen voor toegangsbeveiliging voor gebruikers en beheerders (OS, DB, programmatuur). 3. Zorg voor goede afspraken met leveranciers die aansluiten op de eisen vanuit <INFORATIESYSTEE>. Dit betreft onder meer afspraken over eisen die aan medewerkers worden gesteld met betrekking tot de omgang met gegevens, eisen aan de beveiliging van fysieke opslag en transport van gegevens, rapportage over de wijze waarop wordt omgegaan met het beheer van <INFORATIESYSTEE>, de (remote) toegang tot <INFORATIESYSTEE>, de omgang met productiegegevens et cetera. Zorg daarnaast voor controle van de diensten die door leveranciers worden geleverd om de aanwezigheid en juiste werking van beveiligingsmaatregelen garanderen. Zie hoofdstuk 3 voor een volledig overzicht van de resultaten van de diepgaande risicoanalyse. Pagina 5 van 37

6 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> 1.7 Aanbevelingen Op basis van de risicoanalyse worden de hierna beschreven vervolgstappen geadviseerd. et is de verantwoordelijkheid van de proceseigenaren in samenwerking met de systeemeigenaar van <INFORATIESYSTEE> om (in overleg met de beveiligingscoördinator van <ORGANISATIE>) zorg te dragen voor de juiste afhandeling van deze aanbevelingen. Beveiligingsconcept De beveiliging van <INFORATIESYSTEE> is bij de realisatie opgebouwd op basis van heldere eisen en conform een uitgedacht beveiligingsconcept. Inmiddels zijn nieuwe inzichten gekomen en veranderingen in de infrastructuur aangebracht die van invloed zijn op de totale beveiliging van beveiliging van <INFORATIESYSTEE>. Dit betreft onder meer: et is vastgesteld dat in <INFORATIESYSTEE> persoonsgegevens worden verwerkt welke een dusdanig vertrouwensniveau hebben, dat melding van de verwerking moet worden gemaakt; De eisen aan de beschikbaarheid van <INFORATIESYSTEE> zijn toegenomen, onder meer omdat het ondersteunende proces <PROCES> structureel in de publieke belangstelling staat; Resultaat hiervan is dat het onduidelijk is hoe de huidige inrichting zich verhoudt tot het originele beveiligingsconcept en of de beveiliging daarmee voldoende is gewaarborgd. Geadviseerd wordt om de beveiliging van <INFORATIESYSTEE> op architectuur niveau nader te onderzoeken. Vervolgstappen op de analyse 1. Detaillering maatregelen Detailleer de, in deze rapportage beschreven, maatregeldoelstellingen (zie bijlage D) naar concrete maatregelen, zodanig dat invulling wordt gegeven aan de boogde doelstellingen. iervoor is de systeemeigenaar verantwoordelijk en kan de informatiebeveiligingscoördinator ondersteuning leveren. aak gebruik van de voorbeeldmaatregelen die zijn benoemd. 2. Invoering van maatregelen Overleg per detailmaatregel met de informatiebeveiligingscoördinator van <ORGANISATIE>A over de implementatiewijze. Bepaalde maatregelen zijn specifiek voor <INFORATIESYSTEE> terwijl anderen organisatiebreed zullen moeten worden opgepakt. Beschrijf per detailmaatregel wat de invulling en vindplaats ervan is, aan de hand waarvan de invoering (bestaan en werking) kan worden vastgesteld. 3. Borging maatregelen Zorg voor een proces waarmee de borging van de maatregelen wordt gegarandeerd. In dit proces moet periodiek op de aanwezigheid (het bestaan ) en de juiste werking (de werking ) van de maatregelen worden getoetst alsmede worden ingespeeld in veranderingen in de (technische) omgeving en/of het gebruik van <INFORATIESYSTEE>. 1.8 Leeswijzer In hoofdstuk 2 zijn de opzet en de resultaten van de baselinetoets beschreven. Dit betreft onder meer de karakteristieken van het proces en het informatiesysteem evenals de eisen die de processen stellen aan de betrouwbaarheid van het informatiesysteem <INFORATIESYSTEE>. In hoofdstuk 3 zijn de opzet en de resultaten van de diepgaande risicoanalyse beschreven. Dit betreft onder meer de gevolgen van het niet functioneren van <INFORATIESYSTEE>, de belangrijkste dreigingen die hier aanleiding voor kunnen zijn en tenslotte welke maatregelen (op het niveau van doelstelling) genomen kunnen worden om deze te mitigeren. De bijlagen A t/m E bevatten de detailresultaten. Pagina 6 van 37

7 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> 2 Baselinetoets Dit hoofdstuk beschrijft de opzet, aanpak en resultaten van de afhankelijkheidsanalyse. 2.1 Aanpak Voor het bepalen van de eisen vanuit de processen die een relatie hebben met het informatiesysteem <INFORATIESYSTEE> is een baselinetoets uitgevoerd. Op basis van inzicht in deze processen en het informatiesysteem is bepaald welke eisen worden gesteld aan het informatiesysteem. Omdat de analyse meerdere processen omvat zijn de meest zwaarwegende afhankelijkheden en de meest zwaarwegende betrouwbaarheidseisen bepalend voor de verdere analyse. De baselinetoets bestaat uit de volgende stappen: Analyse processen In kaart brengen van de eisen die vanuit de omgeving (afnemers, leveranciers, wet- en regelgeving) worden gesteld aan de processen. De meest zwaarwegende afhankelijkheden bepalen de focus van het vervolgonderzoek. De processen waaraan de belangrijkste eisen worden gesteld zijn bepalend voor de betrouwbaarheidseisen die aan <INFORATIESYSTEE> worden gesteld. Bepalen betrouwbaarheidseisen Formuleren van de eisen die vanuit het de betrokken processen worden gesteld aan het informatiesysteem <INFORATIESYSTEE>. De meest zwaarwegende betrouwbaarheidseisen bepalen de diepgang van de kwetsbaarheidsanalyse. et andere woorden, de hoogste eis bepaalt hoe er naar de kwetsbaarheden van <INFORATIESYSTEE> zal worden gekeken. 2.2 Werkwijze Onderstaande figuur beschrijft de stappen van de baselinetoets. Pagina 7 van 37

8 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> (BIV-P staat voor: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Privacy-eisen, zie de baselinetoets) 2.3 Bronnen De processen die een relatie hebben met <INFORATIESYSTEE> zijn: <PROCES 1> - PROCESEIGENAAR <PROCES 2> - PROCESEIGENAAR et de eigenaren van de processen heeft een interview plaatsgevonden op <DATU. Aanwezigen daarbij waren: Zie vetgedrukte namen hierboven <NAA>, coördinator informatiebeveiliging & privacy <ORGANISATIE> <NAA>, analist informatiebeveiliging <NAA>, analist informatiebeveiliging De volgende documenten zijn als uitgangspunt voor de analyses gebruikt: <DOCUENT1> <DOCUENT2> 2.4 Resultaten baselinetoets Belang van de processen De onderstaande tabel benoemt de processen die gebruik maken van <INFORATIESYSTEE>. Per proces is aangegeven welk belang dit heeft voor de <ORGANISATIE>. Proces <PROCES1> <PROCES2> Classificatie Onderbouwing Kritisch Strategisch (1 op schaal van 5) Kritisch Strategisch (1 op schaal van 5) XXX YYY De verschillende betrokken processen gebruiken over het algemeen specifieke systemen voor de ondersteuning van het eigen proces Belang van het informatiesysteem De onderstaande tabel geeft aan welk belang <INFORATIESYSTEE> heeft voor de werking van de in de linkerkolom benoemde processen. Belang van <INFORATIESYSTEE> voor Classificatie Onderbouwing Pagina 8 van 37

9 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> PROCES1 Vitaal XXX PROCES2 Vitaal YYY <INFORATIESYSTEE> is een leverancier van gegevens voor een aantal bedrijfsprocessen van <ORGANISATIE>. et onderstaande schema geeft een overzicht van de relaties tussen de relevante processen, systemen en <INFORATIESYSTEE>. <SCEA> De informatiesystemen <INFORATIESYSTEE> dragen indirect/direct bij aan de gemeentetaak <gemeentetaak> Betrouwbaarheidseisen De onderstaande tabel bevat de eisen die vanuit de processen worden gesteld aan de betrouwbaarheid van <INFORATIESYSTEE>. Deze eisen zijn gebaseerd op de eisen die per proces worden gesteld aan de verschillende gegevensgroepen die binnen <INFORATIESYSTEE> bestaan. Per proces zijn deze eisen vertaald naar een totaal per betrouwbaarheidsaspect (beschikbaarheid, integriteit en vertrouwelijkheid). In de tabel zijn daarvan steeds de hoogste waarde en het gemiddelde (tussen haakjes) weergegeven. Nr. Eis aan <INFORATIESYSTE E> vanuit Beschikbaarh eid Integriteit Vertrouwelijkh eid 1. PROCES1 <waarde uit baselinetoets> 2. PROCES2 <waarde uit baselinetoets> <waarde uit baselinetoet s> <waarde uit baselinetoet s> <waarde uit baselinetoets> <waarde uit baselinetoets> Op basis van de bovenstaande tabel wordt geconcludeerd dat vooral aan de beschikbaarheid en integriteit van <INFORATIESYSTEE> hoge eisen worden gesteld (X op schaal van 4) en dat vertrouwelijkheid minder belangrijk is (Y op schaal van 4). De onderstaande tabel beschrijft de samenvatting van de eisen die de processen stellen aan het informatiesysteem <INFORATIESYSTEE>. Pagina 9 van 37

10 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Parameter/ Classificatie Beschikbaarheid Belangrijk (wezenlijk; <X> op een schaal van 4) Continuïteit Veel schade na <X> dagen niet beschikbaar voor wat betreft bedrijfsvoering Veel schade na <X> dag in het geval van transport van belangrijke stukken Integriteit Belangrijk (Detecteerbaar; <X> op een schaal van 4) Vertrouwelijkheid Wenselijk (afgeschermd; <X> op een schaal van 4) Privacy eldingplichtig Onderbouwing XXX YYY ZZZ XXX YYY <er zijn XX vragen op een drie gescoord bij de privacyvragen, er is een PIA nodig. 2.5 Conclusies baselinetoets De belangrijkste bevindingen van de baselinetoets zijn: De processen <PROCES> en <PROCES> zijn in hoge mate afhankelijk van de beschikbaarheid van gegevens uit het informatiesysteem <INFORATIESYSTEE>. De eis aan de beschikbaarheid is in de afgelopen jaren toegenomen omdat in het bijzonder het <ORGANISATIE> structureel in de publieke belangstelling staat. et tijdig kunnen beschikken over juiste informatie is essentieel bij het vermijden van reputatie, of imago of zelfs politieke schade. Uitval gedurende openingstijden is daarom nauwelijks aanvaardbaar; Voor de gegevensverzameling van <INFORATIESYSTEE> is <INFORATIESYSTEE> zelf niet de enige en definitieve bron. De beschikbaarheid van deze gegevens is belangrijk in de zin van hoe minder <INFORATIESYSTEE> achterloopt op basisregistraties, hoe beter het is, de gegevens moeten zo actueel als mogelijk zijn. De integriteit van de gegevens die via <INFORATIESYSTEE> beschikbaar worden gesteld is zwaarwegend voor de processen <PROCES> en <PROCES>. Binnen de processen <PROCES> wordt blind gevaren op de inhoudelijke Pagina 10 van 37

11 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> gegevens in <INFORATIESYSTEE>. Dit blind varen betekent niet dat men extreem afhankelijk is van de correctheid van gegevens en werking van <INFORATIESYSTEE>. et informatiesysteem <INFORATIESYSTEE> bevat in beperkte mate vertrouwelijke informatie. Voor de gegevens afkomstig van <BASISREGISTRATIE YYY>, bepaalde financiële gegevens en het <GEGEVENS> geldt de classificatie afgeschermd. Openbaarmaking hiervan kan de privacy van burgers aantasten. Dit geldt voor de <BASISREGISTRATIE YYY GEGEVENS> wanneer deze in bulk worden behandeld, de financiële gegevens aangaande de XXX die door middel van een batch uit XXX worden opgehaald. Voor het <GEGEVENS> geldt dat deze gegevens conform de leveringscontracten niet mogen worden doorgeleverd c.q. gepubliceerd. Uit een privacyonderzoek door een externe partij op datum <XX> is naar voren gekomen dat in/met <INFORATIESYSTEE> persoonsgegevens worden verwerkt waarvan een melding moet worden gedaan aan het College bescherming persoonsgegevens (CBP) of de functionaris gegevensbescherming binnen de gemeente. Pagina 11 van 37

12 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> 3 Diepgaande risicoanalyse In de baselinetoets is vastgesteld dat een aantal processen die door <INFORATIESYSTEE> worden gevoed van strategisch tot kritisch strategisch belang zijn voor de organisatie, en dat de beschikbaarheid en integriteit van <INFORATIESYSTEE> van groot belang zijn (classificatie belangrijk) voor deze processen. Dit is (conform de aanpak voor de baselinetoets informatiebeveiliging) aanleiding om de diepgaande risicoanalyse uit te voeren. Dit hoofdstuk beschrijft de opzet, de aanpak en de resultaten van de diepgaande risicoanalyse. 3.1 Aanpak Voor het bepalen van de beveiligingsmaatregelen wordt een diepgaande risicoanalyse uitgevoerd. ierin wordt op basis van de risico s bepaald welke maatregelen genomen moeten worden voor de realisatie van een adequate beveiliging van het informatiesysteem. Deze diepgaande risicoanalyse bestaat uit de volgende stappen: Analyse Informatiesysteem In kaart brengen van het informatiesysteem. ierbij worden de componenten van het informatiesysteem: ens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten in kaart gebracht. Bedreigingenanalyse Bepalen van de relevante bedreigingen waardoor verlies aan beschikbaarheid, integriteit of vertrouwelijkheid kan ontstaan. De basis voor deze analyse is een bespreking met de systeemeigenaar. Bepalen maatregelen Formuleren maatregelen op het niveau van doelstellingen, op basis van de eisen en relevante bedreigingen. 3.2 Werkwijze De onderstaande figuur beschrijft de stappen van de diepgaande risicoanalyse. De laatste stap (7. Opstellen plan) behoort niet tot het bereik van de diepgaande risicoanalyse. Pagina 12 van 37

13 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> 3.3 Bronnen et de eigenaren van de relevante processen, en met de systeemeigenaar van <INFORATIESYSTEE> heeft een interview plaatsgevonden op <DATU> om de gevolgen van het niet of niet goed werken van <INFORATIESYSTEE> nader te bepalen. Aanwezigen: <NAA>, ICT-projectmanager & GGG-adviseur en grondlegger van de applicatie, namens de systeemeigenaar <NAA>, coördinator informatiebeveiliging & privacy <ORGANISATIE> <NAA>, analist informatiebeveiliging <NAA>. analist informatiebeveiliging Afgesproken is dat de resultaten van de gesprekken aangaande deze processen representatief zijn voor <INFORATIESYSTEE> en de gevolgen derhalve niet met de andere proceseigenaren zullen worden besproken. In gesprekken met de systeemeigenaar zijn de bedreigingen voor het functioneren van <INFORATIESYSTEE> in kaart gebracht en de benodigde maatregelen besproken. <DATU < DEELNEERS> 3.4 Resultaten kwetsbaarheidsanalyse Analyseren informatiesysteem De onderdelen van <INFORATIESYSTEE> zijn beschreven in Bijlage A: Opbouw informatiesysteem <INFORATIESYSTEE> APGOOD. Pagina 13 van 37

14 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Analyse bedreigingen Op basis van afstemming met de systeemeigenaar zijn de bedreigingen geanalyseerd. De resultaten hiervan zijn beschreven in Bijlage B: resultaten analyse bedreigingen. De meest prominente bedreigingen die hierbij zijn vastgesteld betreffen: eest prominente bedreigingen met betrekking tot <INFORATIESYSTEE> Onopzettelijk foutief handelen door functioneel beheer en X-medewerkers Geen goede afspraken met leverancier op het gebied van levering/betrouwbaarheid programmatuur Verlies van gegevens die geleverd/ontvangen worden door gebruik mobiele gegevensdragers Vertrouwelijke gegevens op verkeerde plek wegens onjuiste werking scripts Fouten in basisgegevens wegens onjuist werken inleesscripts Onvoldoende controle op vernietiging van gegevens Onvoldoende beveiliging van PC waarop veel gegevens van <INFORATIESYSTEE> staan (XXX) Onvoldoende beveiliging bij gebruik van <INFORATIESYSTEE> op thuiswerkplek (tevens XXX) Diensten worden niet conform afspraak geleverd door slecht opgeleid personeel Diensten worden niet conform afspraak geleverd door personeelsverloop Diensten worden niet conform afspraak geleverd door onvoldoende capaciteit voor beheer c.q. oplossen van bugs Diensten worden niet conform afspraak geleverd omdat personeel niet aan de veiligheidseisen voldoet Diensten worden niet conform afspraak geleverd wegens slordigheden in de uitvoering van het beheer Diensten worden niet conform afspraak geleverd wegens onjuiste inrichting veiligheid: geen functiescheiding, te hoge autorisaties et cetera Keuze maatregelen Als laatste stap is vastgesteld welke maatregeldoelstellingen van toepassing zijn. In bijlage C: overzicht maatregeldoelstellingen en bijlage E: maatregeldoelstellingen zijn de meest relevante maatregeldoelstellingen opgenomen die van toepassing zijn op het informatiesysteem <INFORATIESYSTEE>. Bijlage C geeft de samenhang weer tussen bedreigingen, opbouw van het informatiesysteem en het raamwerk voor informatiebeveiliging (BIG en/of ISO 27002). <ORGANISATIE> heeft de BIG geïmplementeerd. De tabel met maatregeldoelstellingen in de bijlage richt zich daarom op de dominante en aanvullende (ten opzichte van de BIG) maatregeldoelstellingen die voortkomen uit deze diepgaande risicoanalyse. De benoemde voorbeeldmaatregelen zijn mogelijke oplossingen. et is aan <ORGANISATIE> om een passende set van maatregelen per maatregeldoelstelling te selecteren. De meest belangrijke maatregeldoelstellingen, waar expliciete aandacht aan moet worden besteed, zijn opgenomen in de onderstaande tabel. eest prominente maatregeldoelstellingen voor <INFORATIESYSTEE> IB-beleid en -plan Zorg ervoor dat goede afspraken met leveranciers worden gemaakt die aansluiten op de eisen vanuit <INFORATIESYSTEE>. Pagina 14 van 37

15 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Organisatie van IB Zorg voor een proces van continue aandacht voor informatiebeveiliging ten aanzien van <INFORATIESYSTEE>. Verantwoordelijkheid ligt bij de systeemeigenaar omdat het een basisregistratie is. Classificatie en beheer van informatie en bedrijfsmiddelen Personele beveiligingseisen/bewustwording Zorg ervoor dat bij de leveranciers duidelijk is wat de classificatie is van de (gevoelige) gegevens is waarmee wordt gewerkt en de eisen die aan de beschikbaarheid en integriteit worden gesteld. Denk aan vastlegging in SLA's. Zorg ervoor dat de XXX medewerkers en functioneel beheerders voldoende beschikbaar en getraind zijn om de werkzaamheden betrouwbaar uit te voeren. Zorg ervoor dat voor alle gebruikers duidelijk is hoe met de gegevens moet worden omgegaan (awareness), zeker wanneer gebruik wordt gemaakt van thuisapparatuur. aak afspraken met de leveranciers over eisen die aan medewerkers worden gesteld met betrekking tot de omgang met gegevens in <INFORATIESYSTEE>. Denk aan awareness en waar nodig/mogelijk geheimhoudingsverklaring. Fysieke beveiliging aak goede afspraken over de fysieke beveiliging van werkplekken binnen <ORGANISATIE> waar bulk gegevens vanuit <INFORATIESYSTEE> zijn opgeslagen. Denk aan XXX. Stel eisen aan leveranciers over het niveau waarop fysieke opslag en transport van gegevens zijn beveiligd. Beheer van communicatie- en bedieningsprocessen <ORGANISATIE>-medewerkers kunnen ook vanuit thuis gebruik maken van <INFORATIESYSTEE>. Neem maatregelen om te voorkomen dat gebruikers vanuit de thuissituatie vertrouwelijke gegevens kunnen lekken. aak afspraken over het gewenste inzicht (rapportage/logging) in de wijze waarop door de leveranciers wordt omgegaan met het beheer van <INFORATIESYSTEE> en in het bijzonder de omgang met gegevens. Logische toegangsbeveiliging Zorg ervoor dat alleen geautoriseerde personen toegang hebben tot de gegevens in <INFORATIESYSTEE> en in het bijzonder tot de vertrouwelijke gegevens. aak afspraken over de (remote) toegang tot <INFORATIESYSTEE> door beheerders, ontwikkelaars et cetera. Pagina 15 van 37

16 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Ontwikkeling en onderhoud van systemen Zorg voor adequaat beheer van de programmatuur (scripts) die bij <ORGANISATIE> zelf in beheer zijn. Denk aan documentatie, afspraken voor ontwikkeling en gebruik, testen et cetera. Zorg ervoor dat de invulling en instandhouding van beveiligingsmaatregelen onderdeel zijn van de afspraken met betrekking tot ontwikkeling en onderhoud. Denk aan de omgang van productiegegevens door XXX en het beheer van XXX door XXX. Continuïteit Zorg voor een visie/aanpak hoe om te gaan met de eis die wordt gesteld aan de continuïteit van <INFORATIESYSTEE>. Vertaal de visie/aanpak voor continuïteit van <INFORATIESYSTEE> naar eisen die aan de leveranciers worden gesteld. Naleving Zorg voor een proces dat controleert op de juiste werking van de mens (vooral XXX) met betrekking tot de maatregelen voor informatiebeveiliging. Zorg ervoor dat de controle van extern betrokken diensten onderdeel is van het reguliere demand proces. Zorg voor controle van de diensten die door leveranciers worden geleverd om de aanwezigheid en juiste werking van beveiligingsmaatregelen te garanderen. Bijvoorbeeld de omgang met productiegegevens bij XXX. 3.5 Conclusies diepgaande risicoanalyse De belangrijkste bevindingen van de diepgaande risicoanalyse zijn: De drie belangrijkste gevolgen van niet of niet correct functioneren van <INFORATIESYSTEE> hebben betrekking op: 1. Tijdverlies, extra werk: waarbij de aard van het werk in processen zoals <PROCES> het ondoenlijk maakt om snel extra capaciteit in te zetten. 2. Juridische gevolgen: wanneer contracten worden gebaseerd op onjuiste gegevens. Bij <PROCES> kunnen bijvoorbeeld schadeclaims ontstaan wanneer een foutieve <GEGEVENS> wordt gehanteerd. 3. Imagoverlies, reputatieschade en eventuele politieke gevolgen: omdat vooral <PROCES> in de publieke belangstelling staan. De drie belangrijkste bedreigingen voor het niet of niet correct functioneren van <INFORATIESYSTEE> zijn: 1. Onopzettelijk foutief handelen door functioneel beheer en XXX-medewerkers. 2. Onvoldoende beveiliging van gegevens op specifieke plekken: PC van XXXbeheer, thuiswerkplek et cetera. 3. Diensten worden niet correct geleverd, bijvoorbeeld door onvoldoende duidelijke afspraken, slecht opgeleid personeel, onvoldoende capaciteit, personeel dat aan de veiligheidseisen voldoet, geen functiescheiding, te hoge autorisaties. De drie belangrijkste maatregelen (op het niveau van doelstelling) die (in aanvulling op de <ORGANISATIE> baseline) aanwezig moeten zijn voor het betrouwbaar functioneren van <INFORATIESYSTEE> zijn: 1. Zorg ervoor dat de medewerkers van functioneel beheer en de XXXmedewerkers optimaal worden ondersteund in hun werk en daarmee deze werkzaamheden betrouwbaar kunnen uitvoeren. Dit betreft onder meer Pagina 16 van 37

17 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> voldoende beschikbaarheid en training alsmede adequaat beheer van de programmatuur (scripts) en documentatie evenals duidelijke afspraken voor ontwikkeling, gebruik, testen et cetera. 2. Zorg ervoor dat alleen geautoriseerde personen toegang hebben tot de gegevens in <INFORATIESYSTEE> en in het bijzonder tot de vertrouwelijke gegevens. Dit betreft zowel de beveiliging van de speciale werkplekken, de juiste beveiliging bij thuiswerken als de juiste inrichting en het gebruik van de middelen voor toegangsbeveiliging voor gebruikers en beheerders (OS, DB, programmatuur). 3. Zorg voor goede afspraken met leveranciers die aansluiten op de eisen vanuit <INFORATIESYSTEE>. Dit betreft onder meer afspraken over eisen die aan medewerkers worden gesteld met bterekking tot de omgang met gegevens, eisen aan de beveiliging van fysieke opslag en transport van gegevens, rapportage over de wijze waarop wordt omgegaan met het beheer van <INFORATIESYSTEE>, de (remote) toegang tot <INFORATIESYSTEE>, de omgang met productiegegevens et cetera. Zorg daarnaast voor controle van de diensten die door leveranciers worden geleverd om de aanwezigheid en juiste werking van beveiligingsmaatregelen te garanderen. Pagina 17 van 37

18 Rapportage Diepgaande Risicoanalyse <INFORATIESYSTEE> 4 Bijlage A: Opbouw informatiesysteem <INFORATIESYSTEE> APGOOD Onderstaande tabel beschrijft de componenten van het informatiesysteem. Deze informatie is overgenomen uit de eerdere analyse en gevalideerd door (projectleider <ORGANISATIE>, systeemeigenaar). Component Onderdeel Invulling ens Gebruikersorganisatie De volgende gebruikers / groepen zijn in de analyse meegenomen: - Algemene gebruikers: o XXX - Bijzondere gebruikers: o YYY Apparatuur Zie onder 'Diensten' <ORGANISATIE> heeft geen eigen apparatuur in gebruik in relatie tot <INFORATIESYSTEE> Programmatuur Zie onder 'Diensten' XXX is functioneel eigenaar van programmatuur, beheer en budget ligt bij XXX Componenten van XXX aatwerk Applicatie xxx Gegevens Autorisatiegegevens Op rollen gebaseerde gegevens betreffende de autorisatie die medewerkers hebben om bepaalde functies in <INFORATIESYSTEE> uit te voeren, inclusief functioneel beheerders (technisch beheerders hebben feitelijk geen <INFORATIESYSTEE> autorisaties, wel op OS, database et cetera.) BAG gegevens Wordt door XXX geleverd Bron / basisregistratie <BRON> gegevens geleverd door <ORGANISATIE> gegevens Log gegevens Gegevens die het informatiesysteem opslaat met betrekking tot de transacties die worden uitgevoerd. Geverifieerd moet worden of deze nog daadwerkelijk vastgelegd worden. Kopie gegevens Voor ontwikkeling door XXX in de ontwikkelomgeving die XXX heeft staan. Organisatie Gebruikersorganisatie De organisatiedelen waarin de gebruikers in zijn ondergebracht (zie component ens) Beheerorganisatie XXX Omgeving Werkplekken Overige werkplekken Pagina 18 van 37

19 Rapportage Diepgaande Risicoanalyse <INFORATIESYSTEE> Component Onderdeel Diensten Technisch applicatiebeheer Technisch systeembeheer (besturingssystemen, databases et cetera.) Netwerkinfrastructuur, netwerkdiensten (Inloggen, werkplekken, printers et cetera. Operating System laag aatwerk beveiligingscomponenten Invulling Door XXX (onderhoud software en doorvoeren changes) door XXX door XXX Door XXX Software op voornoemde servers, beheer door XXX Pagina 19 van 37

20 Rapportage Diepgaande Risicoanalyse <INFORATIESYSTEE> 5 Bijlage B: resultaten analyse bedreigingen Onderstaande tabel geeft de relatie aan tussen de onderdelen van het informatiesysteem (conform de APGOOD-componenten) die zijn geanalyseerd en de effecten die dreigingen kunnen hebben. De dreigingen zijn de in de vorm van incidenten verwoord en per incident is op een 3-puntenschaal (L,, aangegeven hoe groot de invloed ervan is op werking van <INFORATIESYSTEE>. Bij deze werking wordt onderscheid gemaakt tussen de eisen die op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid aan <INFORATIESYSTEE> worden gesteld vanuit de ondersteunde processen. De bedreigingenanalyse heeft op <DATU> plaatsgevonden met XXX (gedelegeerd systeemeigenaar <INFORATIESYSTEE>) en XX (analist informatiebeveiliging). Per APGOOD-element (bijvoorbeeld ens) is besproken wat het effect is van het onjuist werken (werkt onjuist), (tijdelijk) niet werken (werkt tijdelijk- niet) of niet aanwezig zijn (is er niet). ierbij is per component steeds onderscheid gemaakt tussen relevante onderdelen. Component Incident Scha de ens Functioneert onjuist Niet aanwezig Niet in dienst Wegvallen: Voorzienbaar (ontslag, vakantie) Onvoorzienbaar (ziekten, overlijden, ongeval, staking) Onopzettelijk foutief handelen: Onkunde, slordigheid Foutieve procedures Complexe foutgevoelige bediening Onzorgvuldige omgang met wachtwoorden Onvoldoende kennis/training Opzettelijk foutief handelen: Niet werken volgens voorschriften/procedures Fraude/diefstal/lekken van informatie Ongeautoriseerde toegang met account van medewerker met hogere Kans Totaa l L L XXX Toelichting (gevolgen et cetera.) L De integriteit van de gegevens die via <INFORATIESYSTEE> beschikbaar worden gesteld is zwaarwegend voor de processen <PROCES> en <PROCES>. Binnen de processen <PROCES> wordt blind gevaren op de inhoudelijke gegevens in <INFORATIESYSTEE>. Dit blind varen betekent niet dat men extreem afhankelijk is van de correctheid van gegevens en werking van <INFORATIESYSTEE>. Onopzettelijk foutief handelen door functioneel beheer en XXXmedewerkers kan een hoge schade opleveren, de kans wordt laag ingeschat. n.v.t. n.v.t. Er wordt geen rekening gehouden met het opzettelijk foutief handelen van de mens. Pagina 20 van 37