NORA sessie 3. Samenaande slag! Generiek raamwerk. Onderwerp: 16 jan Expertgroep NORA katern Beveiliging. Jaap van der Veen

Transcriptie

1 NORA sessie 3 Onderwerp: Samenaande slag! Generiek raamwerk 16 jan katern Beveiliging Jaap van der Veen Bron: o.a: presentatie NCSC van dr.wiekram Tewarie

2 Opdracht NORA katern - B 1. Samenhang van normenkaders Beveiliging voor de overheid 2. Actualisering NORA dossier Normen voor IT-voorzieningen tot ISOtoepassingskader voor ontwerp: Normen voor informatievoorzieningen, met met integratie van relevante normen uit kaders als NCSC en BIR. 3. Opstellen cross-reference ISO <-> NORA Normen voor Informatievoorzieningen 4. Nieuwe content in lijn brengen met NORA principes, Wiki etc. 5. Kennisdeling Randvoorwaarden: a. Besluit: Onderscheid ontwerp- en toetsingskaders b. Besluit: Verbreding BIR tot ISO-toepassingskader voor toetsing overheid c. Opschaling van BIR-governance model ->overheidsbreed Overig, (niet in katern) - Verbreding BIR tot ISO-toepassingskader voor toetsing overheid - Integratie bestaande overige kaders zoals NCSC voor toetsing - Best practices voor overheidsorganisaties

3 Doel + aanpak 1. Samenhang van normenkaders- Beveiliging voor de overheid 2. Actualisering NORA dossier Normen voor IT-voorzieningen tot ISOtoepassingskader voor ontwerp: Normen voor informatievoorzieningen, met met integratie van relevante normen uit kaders als NCSC en BIR. Actie: Verdieping IB-functiemodel; beveiligingsbreed / universeel referentiemodel Het te beveiligen object staat centraal Samenwerking met CIP en NCSC; toepassing van SIVA model Terugkoppeling resultaten met stakeholders a. Besluit: Onderscheid ontwerp- en toetsingskaders b. Besluit: Verbreding BIR tot ISO-toepassingskader voor toetsing overheid Actie: Model toepasbaar maken voor zowel ontwerp als audit: Single design & audit framework

4 Verdieping op NORA 3 Verdieping op IB-functiemodel 1. Functionele samenhang beveiligingsbreed 2. Universele structuur voor referentiekaders Beschikbaarheid Continuïteits voorzieningen Deponeren broncode Redundancy Load balancing Backup Restore Geprogrammeerde controles IB - functies Integriteit & Vertrouwelijkheid Vastleggen van gebeurtenissen IB - mechanismen In- en uitvoer controles Verwerkingsbeheersing Encryptie... Zonering Filtering Poort- / IPadresfiltering Content en virusscanning IDS/IDP Inspectie en misleiding Onweerlegbaarheid berichtuitwisseling Directory services Elektronische handtekening - Identificatie - Authenticatie - Autorisatie 1-factor authenticatie 2-factor authenticatie Controleerbaarheid - Controle - Alarmering - Rapportering Controleren Mechanisme beheer Vulnerability scanning Loganalyse Alerting services Fysieke IB - objecten Niet limitatief Escrowcontract Host IDS Virus Wachtwoord Objectmanager scanner Filterregel Directory software X-509 Monitoring Uitwijkvoorziening server Antivirus IDP Hash Certificaat reports mgt. appliance Firewall Tokenbeheer B&R server Loganalysetool HSM Token Crypto library Key RAS Logappliance Systeemintegriteit. WAT HOE WAARMEE SIVA Raamwerk Structuur Inhoud, Vorm, Analysevolgorde Samenwerking met CIP-wg Normen

5 Rule-based versus Principle-based Discipline Rule-based Principle-based Accounting Gedetailleerde criteria Conceptual Framework IT Auditing Controls Algemeen & Detail (Wie, Wat, Hoe, Wanneer) Conceptual Framework Algemene controls: Principles (Wie, Wat en Waarom) Detail controls: Principle driven rules (Indicatoren) (o.a. Hoe, op welke wijze, wanneer) Niet methodisch Methodisch o.b.v. hulpmiddelen (raamwerk) Voldoet aan bepaalde criteria ISO 27002, BIR, NIST, COBIT NORA 3, HBB, NCSC

6 Principle-based Conceptual Framework-based Conceptueel raamwerk Principe Bron/ het eerste / basis concept / basis voor redenering Fundamentele waarheid/uitspraak. Drukt relatie tussen twee of meer concepten of variabelen Geeft aan welke acties er genomen moeten worden, Minder afhankelijk van technologische ontwikkelingen Stabieler, omdat ze gebaseerd zijn op neutrale elementen Concept Object, eenheid van gedachte, Neutrale elementen, Bouwstenen van principes Framework Model, Vertegenwoordigt domeinen Vereenvoudigt de presentatie van concepten en hun relaties

7 Hoe kaders ontstaan R R M M M Omgevingsaspecten M M R M R... ISO SoGP Nist Cobit Referentiekader (RFK) Gebundeld, maar weinig samenhang Conditioneel Resource Management

8 Principle-based Geen nieuwe normen verzinnen, maar structureren en combineren! Referentiekader (RFK) R M M M R Omgevingsaspecten R M M M R... ISO SoGP Nist Cobit Hulpmiddelen C R M Functionele samenhang Conditioneel Resource Management

9 Hulpmiddelen voor structuur SIVA Raamwerk Component Symbool Kenmerk Structuur Inhoud Vorm Analyse volgorde Lagenstructuur patroon van domeinen Om de doelomgeving in samenhang te kunnen ontwerpen Om de auditomgeving in samenhang te kunnen analyseren Inhoudsconstructie en analyse: patroon van neutrale bouwstenen patroon van neutrale auditelementen Formuleringsvoorschrift Interpretatie (syntax/semantiek) ( patroon van formuleren ) Volgorde van de ontwerp of analyse van de lagenstructuur (M,Mo,Mi)

10 Criteria voor Referentiekaders Promotieresultaat WT ç

11 Relatie Hulpmiddelen: Structuur, Inhoud, Vorm en Analysevolgorde 7-lagen OSI BIV + C IB-functies Mechanismen Architectuur v.objecten Opbouw in lagen en kolommen vergeleken met NORA-3 model

12 Structuur (Macro) Structuur en Volgorde

13 Structuur (Macro) A structure is essential if we are to effectively interrelate and interpret our observations in any field of knowledge en without a structure, knowledge is merely a collection of observation, practices and conflicting incidents (Forrester, 1990)

14 Structuur (Macro) We redeneren vanuit het object van ontwerp/onderzoek

15 Structuur (Macro) model van de Leeuw uit systeemleer en Management cyclus Conditionele asp.: wetten, beleid, strategie, richtlijn Resource asp.: Appl. Database, Infra Ontwerp Mgt/beheers asp.: Problem & Change mgt Conditioneel Resource Management Design Implementation Management : Starreveld

16 SIVA raamwerk vs NORA3 Algemeen gedeelte (Beleidsaspecten) Beschikbaarheid Integriteit & Vertrouwelijkheid Controleerbaarheid Continuïteits voorzieningen Geprogrammeerde controles Zonering IB - functies Filtering Onweerlegbaarheid berichtuitwisseling - Identificatie - Authenticatie - Autorisatie - Controle - Alarmering - Rapportering WAT Deponeren broncode Redundancy Load balancing Backup Restore... In- en uitvoer controles Verwerkingsbeheersing Vastleggen van gebeurtenissen Encryptie IB - mechanismen Poort- / IPadresfiltering Content en virusscanning IDS/IDP Inspectie en misleiding Directory services Elektronische handtekening 1-factor authenticatie 2-factor authenticatie Controleren Mechanisme beheer Vulnerability scanning Loganalyse Alerting services Fysieke IB - objecten Niet limitatief Escrowcontract Host IDS Virus Wachtwoord Objectmanager scanner Filterregel Directory software X-509 Monitoring Uitwijkvoorziening server Antivirus IDP Hash Certificaat reports mgt. appliance Firewall Tokenbeheer B&R server Loganalysetool HSM Token Crypto library Key RAS Logappliance Systee emintegriteit. HOE WAARMEE Algemeen gedeelte (beheerprocessen) Overeenkomst NORA-3 en nieuwe lagenstructuur

17 Gelijkvormigheid normenkaders bijv.: Vastleggen gebeurtenissen Web apps Mobile devices Data warehouse Gelijkvormigheid geeft overzicht en inzicht

18 Structuur (Macro) Lagenstructuur van modellen

19 Inhoud

20 Lagenstructuur (inhoud) Onderwerpen voor principes

21 Inhoud Ontwerp + Ontwerp + Views

22 Inhoud Bundeling van view-aspecten in modellen

23 Inhoud

24 Inhoud met NORA-3 voorbeeld Vertrouwelijkheid

25 Vorm Vorm Standaard syntax voor principe en norm

26 Herijking van principes Ontwerpprincipe Ingevuld voorbeeld

27 Herijking van normen Herformulering van Normen (Principes), Herschikken op de lagenstructuur Abstractie van de laag Actortypen Actietypen Ingevuld voorbeeld

28 Voordeel van aanpak Auditobject neutraal Organisatie neutraal Baseline neutraal Context-bewust en object van onderzoek centraal Eenduidige formulering Ondersteunt hergebruik (bij verandering van onderwerp) Toevoeging mogelijk met behoud van structuur

29 Betekenis voor overheids organisaties Audits van verschillende onderzoeken beter aan elkaar te relateren (bijv. Logius- Suwi normenkaders) (efficientie voordelen) Herbruikbare principes Mogelijkheden om indicatoren te koppelen aan (algemene) principes (Indicatoren zijn context afhankelijke elementen) Betere relatie audit en ICT praktijk

30 Wat levert het op? Eenduidige referentiekaders binnen de overheid Eenduidige opzet van de inhoud en definitie van normen/principes en bevordering van hergebruik Beter afspraken te maken met bestuurder en managers Aansluiting bij overige overheidsreferentie-/normenkaders Van aan elkaar te releateren baselines Beveiliging binnen overheid naar samenvoeging tot één.

31 Wat is er gebeurd en wat moet er gebeuren? NORA Sessie 3: Bespreking van SIVA model Bespreking van Structuur ; middle-out, middle-in Betekenis voor partijen en Bespreking van Objecten model Bespreking van formuleringsvoorschrift Activiteiten (NORA-CIP-NCSC) mogelijke resultaten Benoemen van objecten per norm Formulering van principes per object Aanvullen van ontbrekende principes en indicatoren Afstemmen met betrokken partijen