Informatiebeveiliging

Maat: px

Weergave met pagina beginnen:

Download "Informatiebeveiliging"

Cornelia Koning
6 jaren geleden
Aantal bezoeken:

1 Informatiebeveiliging HKZ, november 2016

2 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO Lid Werkgroep Revisie NEN 7510

3 Agenda Introductie Informatiebeveiliging NEN 7510, de normen Het ISMS/IBMS Risicomanagement Hoe pakken wij het aan? Certificeren

4 Introductie Informatiebeveiliging

5 Waarom Informatiebeveiliging?

6 Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor een organisatie en voortdurend op een geschikte manier moet zijn beschermd.

7 Definitie volgens NEN 7510 Behouden van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie Beschikbaarheid: Kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit Integriteit: Eigenschap dat de juistheid en volledigheid van bedrijfsmiddelen wordt beschermd Vertrouwelijkheid: Eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen

8 Waar gaat de Norm over? Informatiebeveiligingsbeleid Organiseren van informatiebeveiliging Veilig personeel Beheer van bedrijfsmiddelen Toegangsbeveiliging Cryptografie Fysieke beveiliging en beveiliging van de omgeving Beveiliging van de bedrijfsvoering Communicatiebeveiliging Acquisitie, ontwikkeling en onderhoud van informatiesystemen Leveranciersrelaties Beheer van informatiebeveiligingsincidenten Informatiebeveiligingsaspecten van Bedrijfscontinuïteitsbeheer Naleving

9 IBMS (ISMS) Wat is een Informatie Beveiliging Management Systeem? Een kwaliteitssysteem voor informatiebeveiliging Ingebed in de organisatie als een bedrijfsproces Een continu proces van leren, evalueren en verbeteren

10 Planning & Controlcyclus Sluit aan bij de bestaande cyclus: beveiligingsparagraaf!

11 Leren van fouten! (Deel 1)

12 Leren van fouten! (deel 2)

13 Wetgeving De gegevensverwerking van de BSN moet voldoen aan NEN7510 (Art. 2 Regeling gebruik Burgerservicenummer in de zorg) Nieuw : AVG: Algemene Verordening Gegevensbescherming (EC) Dus: Naleving NEN7510 voor zorgaanbieders die BSN nummer registeren is verplicht! Certificatie daarentegen is niet verplicht Daarnaast: IGZ + CBP hanteren NEN7510 als toetsingskader bij hun onderzoeken inzake informatiebeveiliging en privacy

14 NEN 7510: de normen

16 Normen

17 NEN 7510 ISO Gezondheidszorg Nederlandstalig Alleen bekend in Nederland (Bijna) onder accreditatie RVA Patiëntgegevens / patiëntdossiers / medische apparaten Riskbased Managementsysteem voor Information Security Bevat verklaring van toepasselijkheid Algemeen toepasbaar Meerdere talen beschikbaar Internationaal bekend Onder accreditatie RVA Gegevens Riskbased Managementsysteem voor Information Security Bevat verklaring van toepasselijkheid

18 NEN 7510 VERSIE 2011

19 NEN 7510 VERSIE 2011 Nederlandse norm NEN 7512 (nl) Medische informatica - Informatiebeveiliging in de zorg - Vertrouwensbasis voor gegevensuitwisseling Nederlandse norm NEN 7513 (nl) Medische informatica - Logging - Vastleggen van acties op elektronische patiëntdossiers

20 NEN 7512 Classificeren van de gegevensuitwisseling en het bepalen van het risico hiervan voor de gezondheidszorg Heeft betrekking op de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg zijn betrokken

21 Voorbeelden relevante bedreigingen fysieke incidenten en calamiteiten, zoals brand en wateroverlast technische incidenten en calamiteiten, zoals uitval van apparatuur of programmatuur verstoringen in voorzieningen, zoals uitval van stroom of van klimaatbeheersing onopzettelijke menselijke incidenten, zoals fouten van medewerkers of beheerders opzettelijke menselijke incidenten, zoals diefstal van gegevens of kwaadaardige programmatuur overige incidenten en calamiteiten, zoals afhankelijkheid van derden, bijvoorbeeld bij hosting of outsourcing Bij het analyseren van bedreigingen zijn twee elementen van bedreigingen van belang: de kans en het gevolg

22 NEN 7513 Toegang tot dossiers Te allen tijde kunnen achterhalen wie toegang heeft gehad tot het dossier, volgens welke regels hij die toegang heeft gekregen en welke acties hij daarop heeft uitgevoerd. De identiteit van een gebruiker eenduidig vast te stellen (identificatie) en te verifiëren (authenticatie) Two-factor authentication

23 TFA Iets wat weet Dit is je wachtwoord, pincode, toegangszin of een vergelijkbare code Iets wat je hebt Hierbij kun je denken aan een smartcard, een pas of andere hardware Iets wat je bent Dit is bijvoorbeeld je vingerafdruk, patroon van je iris, stemherkenning of je hartslag TFA werkt als twee van de drie correct zijn gebruikt Een voorbeeld van alledag: Als je gaat pinnen heb je twee zaken nodig: Een pas en je pincode. Je bankpas is iets wat je hebt, je pincode weet je.

24 Information Security Management System

25 Information Security Management System Directieverantwoordelijkheid Plan do - check act Interne ISMS audits Directiebeoordeling ISMS Continue verbeteringen Corrigerende maatregelen Preventieve maatregelen Selectie maatregelen op basis van risico analyse (VERPLICHT) + een aantal verplichte ISMS documenten

26 Het Risicomanagementproces

27 Risicobeoordeling

28 Maatregelen A Sleutelbeheer Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels moet tijdens hun gehele levenscyclus een beleid worden ontwikkeld en geïmplementeerd. A Verwijdering van bedrijfsmiddelen Apparatuur, informatie en software mogen niet van de locatie worden meegenomen zonder voorafgaande goedkeuring. A Clear desk - en clear screen -beleid Er moet een clear desk -beleid voor papieren documenten en verwijderbare opslagmedia en een clear screen -beleid voor informatieverwerkende faciliteiten worden ingesteld.

29 Maatregelen A Toeleveringsketen van informatie- en communicatietechnologie Overeenkomsten met leveranciers moeten eisen bevatten die betrekking hebben op de informatiebeveiligingsrisico s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. A Monitoring en beoordeling van dienstverlening van leveranciers Organisaties moeten regelmatig de dienstverlening van leveranciers monitoren, beoordelen en auditen. Welke complexiteitseisen moet een klant stellen aan het wachtwoord?

30 Hoe pakken wij het aan?

31 Zelfdiagnose

32 Het stappenplan

33 Het stappenplan

34 Scope IBMS Welke dienst levert de Organisatie Welke belanghebbenden kent de Organisatie Aan welke wet en regelgeving moet worden voldaan Welke middelen worden gebruikt (processen, organisatie, techniek, systemen) Wat is de reikwijdte (niet alleen digitale informatie, maar ook documenten en kennis) Gebaseerd op risico management (inbedding in alle bedrijfsprocessen

35 Het stappenplan

36 Security Officer

37 Het stappenplan

38 Inventarisatie Wat gaan we beveiligen? Inventariseer en classificeer de aanwezige en te beveiligen informatie en informatie verwerkende faciliteiten: - Relevante informatie in de organisatie - Relevante opslag media en informatiedragers in de organisatie.

39 Het belang voor de organisatie Classificatie van informatie is focussen op de kroonjuwelen

40 Inventarisatie informatiemiddelen Welke informatiemiddelen worden gebruikt? Patiëntsystemen Dossiers (digitaal en papier) Intranet Archief Mobile devices (laptop, Smartphone, USB) Belang voor de Organisatie? Kan per middel verschillen Betrouwbaarheid, Integriteit, Vertrouwelijkheid

41 Het stappenplan

42 Risicoanalyse

43 Risicoanalyse Bedreigingen, kwetsbaarheden en risico s: Bedreiging = gebeurtenis die in potentie een verstorende invloed heeft op de beschikbaarheid, integriteit en vertrouwelijkheid van een object Kwetsbaarheid = de mate waarin het betreffende object gevoelig is voor de bedreiging Risico = de mogelijke kans van verlies of beschadiging, die verwacht wordt doordat een of meer bedreigingen leiden tot een verstoring van een of meer objecten van de informatievoorziening. RISICO = KANS x SCHADE Risico analyse is zeer belangrijk om te komen tot een adequate set van maatregelen

44 Dreigingen(voorbeelden) Niet voldoen aan wettelijke verplichtingen Misbruik van informatie verwerkende faciliteiten Ongeautoriseerde toegang Gebruik door onbevoegde personen Ongeautoriseerde veranderingen Ongeautoriseerde publicatie Kwaadaardige software Gebruikersfouten Invoerfouten Inbreuk op fysieke beveiliging Diefstal Natuurrampen Storingen in de Nutsvoorzieningen

45 Risicobeoordeling

46 Afwegingen

47 Risico Analyse Welke bedreigingen zijn er per informatiemiddel? Voorbeeld: Server uitval Bepaal de risico s Voorbeeld: geen beschikking over patiëntgegevens (5M s) Gevolgen voor: Beschikbaarheid: voorbeeld: Uitval levert grote schade op Integriteit: voorbeeld: Uitval levert geringe schade op Vertrouwelijkheid: voorbeeld: Uitval levert geringe schade op

48 Het stappenplan

49 Verklaring van Toepasselijkheid

50 Certificering

Vergelijkbare documenten

ISO 27001:2013 INFORMATIE VOOR KLANTEN

ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en