Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Transcriptie

1

2 Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met name wil focussen op twee aandachtsgebieden: of financiële instellingen effectief omgaan met risico s betreffende Cyber Security of financiële instellingen een effectief IT risicomanagement hebben ingericht DNB benadrukt dat instellingen zelf verantwoordelijk zijn om een adequaat (IT) risicomanagement in te richten. DNB heeft dit vertaald naar een eis van een verhoogd volwassenheidsniveau van de drie controls in de categorie Assess and manage (IT) risks. Die moeten een volwassenheidsniveau 4 scoren. Dit betreft de controls: 1 IT Risk Management Framework; 2 Risk Assessment; 3 Maintenance and monitoring of a risk action plan. Deze publicatie beschrijft hoe BCPI betreffende organisaties kan helpen om te voldoen aan het DNB Toetsingskader Informatiebeveiliging Organisaties kunnen met BCPI volledig voldoen aan de DNB doelstellingen, zelfs op zeer efficiënte wijze BCPI beschikt over complexe software functies om IT Risk Management in 5 kwaliteitsdimensies te kunnen ondersteunen: Bedrijfsvertrouwelijkheid Inbreuken op de security / informatiebeveiliging Persoonsvertrouwelijkheid Inbreuken op de privacy Integriteit Verlies van betrouwbare werking Beschikbaarheid Ransomware, DDOS, Malware aanvallen Continuïteit Verlies datacentra, infrastructuur, kantoorlocaties Enkelvoudig ingevoerde BIA s, BIV en Privacy classificaties volstaan om alle scenario s en plannen in die 5 dimensies geautomatiseerd te kunnen bijwerken. Hierdoor kan BCPI grote kostenbesparingen realiseren. BCPI

3 Methodologisch Organisaties die BCPI juist hanteren, voldoen volledig aan de IT Risk Management richtlijnen van DNB. Zij beschikken dan over: een gestructureerde IT Risk Management methodiek gericht op 5 kwaliteitsaspecten: security, privacy, integrity, availability én continuity met een eenduidig classificatiesysteem voor security, privacy, integrity, availability én continuity met eenduidige werkwijzen in het IT Risk Management, van Business Analyse tot Test & Audit verankerd in een aantoonbaar operationele Plan - Do - Check - Act beheercyclus ondersteund met krachtige BCMS/DRMS/ISMS - Workflow Management functies ondersteund met hoogwaardige en inzichtelijke analyses in alle 5 genoemde kwaliteitsdimensies en resulterend in hoogwaardige rapportages in volledig controleerbare vorm. BCPI

4 Voorts levert BCPI real-time recovery management support met inzichtelijke stuur- en voortgangsinformatie voor recovery managers en hertelteams, tijdens echte calamiteiten én tijdens recovery tests met gedetailleerde hersteldraaiboeken en Progress Monitoring Cockpits bij Verlies hoofdkantoor, Verlies datacentrum, DDOS/ransomware-aanvallen, hack-aanvallen of Datalek situaties. Kwalitatief BCPI maakt door het delen van invoergegevens, werkwijzen en plannen een organisatiebrede samenwerking en deling van kennis en capaciteit mogelijk tussen: Business Continuity Managers IT Service Continuity Managers Information Security Managers Privacy Managers IT Service Managers Risk Managers Recovery Managers Operational Auditors De kwaliteit van plannen en maatregelen wordt hierdoor verhoogd, terwijl de kosten van de beheerorganisatie aanzienlijk worden verlaagd. Inhoudelijk Organisaties kunnen op elk moment risico-inschattingen, beveiligingsplannen en herstellijsten in genoemde 5 kwaliteitsdimensies overleggen. Deze zijn specifiek tot op het niveau van: key-applicaties & IT services op volgorde van (B,I,V,C & P) business values voor de organisatie als geheel met een duidelijke taakverdeling naar voor beveiliging of herstel verantwoordelijke teams met een duidelijke indicatie van de actuele status van beveiliging / herstelbaarheid op elk moment met een duidelijke omschrijving van bestaande of beoogde beveiligings- of herstelmaatregelen Deze integrale ondersteuning voor RTO, BIV en Privacy gerelateerde scenario s is extra relevant in het licht van recente Ransomware attacks, maar ook in het kader van de Algemene Verordening Gegevensbescherming waaraan organisaties in 2018 moeten voldoen. De BCPI methodiek & tooling kunnen gegevens uit de BIA s zonder extra werk hergebruiken om op elk gewenst moment ook BIV en Privacy gerelateerde scenario s actualiseren. BCPI

5 Cyber Security Een Cyber Security Plan, zoals DNB in 2017 wil zien, kan zonder meer worden overlegd, zelfs met een compleet Security Recovery draaiboek tot op taak, team en minuut niveau. Hiermee kunnen alle bovenstaande herstelscenario s tot op applicatie en IT service niveau worden gemanaged. Dat recovery draaiboek omvat ook de alarmeringsprocedures en crisisteams, specifiek voor Cyber Attacks. En het overzicht specificeert de zo belangrijke noodprocedures van de business processen. Bij een ernstige DDOS of Ransomware aanval zal de organisatie immers waarschijnlijk veel langer van die noodprocedures afhankelijk zijn dan bij een brand. Het herstel (opbouwen van systemen, terugzetten van back-ups en data recovery) kan bij kwaadaardige Ransomware immers vele dagen duren. Recovery Management Beveiligingsplannen en herstelplannen kunnen - naar keuze nog verder worden uitgewerkt tot hersteldraaiboeken tot op taak, team en minuut niveau. Er kunnen Ransomware Recovery draaiboeken of DDOS Recovery draaiboeken worden opgesteld. Er kunnen Security Recovery draaiboeken worden opgesteld met een overzicht van alle detectieve, correctieve en communicatie-acties na eventuele Datalekken. En uiteraard kunnen ook de meer traditionele recovery draaiboeken zoals voor Verlies / Uitwijk Datacentrum of Verlies / Uitwijk Hoofdkantoor hiermee worden geproduceerd en onderhouden. Bij echte calamiteiten worden IT Disaster Recovery Managers real time van minuut tot minuut ondersteund. Test- en evaluatierapporten zijn direct na afloop van de calamiteit in controleerbare vorm beschikbaar. Demonstratie van de BCPI methodiek & tooling BCPI helpt de organisatie op de meest kostenefficiënte wijze te voldoen aan het DNB Toetsingskader IB Organisaties kunnen hiermee uiteindelijk zelfs in de categorie best of class komen te vallen. BCPI zal desgewenst graag een vrijblijvende presentatie van het geïntegreerd BCMS/DRMS/ISMS verzorgen. Meer informatie Meer informatie over de BCPI Methodiek en de BCPI R6 Tooling voor Business Continuity Planning, IT Disaster Recovery Planning en IT Disaster Recovery Management: BCPI Telefoon +31 (0) info@bcpi.eu Website BCPI