Code voor Informatiebeveiliging

Transcriptie

1 Agenda Het belang van informatiebeveiliging en toelichting op ISO 27001/2 norm en best practices (Albert Noppen) De praktijk van de invoering van de norm (Frits Ruwhoff, SMG groep) pauze Best practices beheer grafische data (Edwin Middeljans, Storage Architects) Informatiebeveiliging bij software ontwikkeling en integratie van systemen (Roelof Janssen)

2 Code voor Informatiebeveiliging ISO/IEC 27001/27002: management systeem voor informatiebeveiliging Een essentieel onderdeel voor de Continuïteit van uw onderneming Ir. Albert Noppen

3 Ondernemingen zijn volledig afhankelijk van ICT toepassingen

4

5 Cijfers PWC (2011) 64% van de Nederlandse ondernemingen ervaart vormen van cybercrime / inbraak 70% van de inbraken wordt veroorzaakt door interne medewerkers 28% van de ondernemingen heeft geen maatregelen getroffen 20% van de ondernemingen heeft maatregelen getroffen die de bedrijfscontinuïteit waarborgen.

6 Noodzaak norm informatiebeveiliging Bedrijfscontinuiteit hangt ervan af Steeds meer klanten vragen om bewijs dat er maatregelen zijn getroffen (omdat ze het ook zelf hebben opgezet) Onderdeel van tenders Eisen t.a.v. openbaarmaking van gegevens i.h.k.v. te publiceren media Bescherming digitaal materiaal dat onder auteursrecht valt

7 Branchespecifieke onderwerpen Beheer van digitale data van derden (beeldmateriaal) Toegang tot digitale data (beeldbank, web to print) Verwerking en beheer van adresgegevens (DM/ variabele data print) SaaS-overeenkomsten (web to print) Software scripting (indesign server, workflow scripting, FTP t.b.v. aanleveren digitaal materiaal)

8 SCGM-ISO norm Informatiebeveiliging Opgezet als kwaliteitsmanagement systeem (KMS) en gebaseerd op de ISO norm 27001/27002 Security Management System is gebaseerd op drie peilers: De eigen beleidsuitgangspunten Het risicoprofiel van de onderneming De best practices aan maatregelen BBN: Basis Beveiligings Niveau, de maatregelen die passen bij het risicoprofiel van de onderneming

9 Het invoeringsmodel Visie Inventarisatiefase Best practices ISO Risicoanalyse en beleid informatiebeveiliging (ACT) Beleidsbepaling Risicoanalyse controleren behaalde resultaten en bereikte doelen (CHECK) CONTINUE VERBETERING plan voor invoeren of bijsturen van Basis Beveiligings Niveau (PLAN) invoeren of bijsturen van het Basis Beveiligings Niveau (DO) Audit door SCGM Ondersteuning Dienstencentrum

10 ISO audit/certificering Afgifte van een in control statement Beoordeling van het proces of zorgvuldig is gekomen tot het Basis Beveiligings Niveau: Een maatregel wordt zo snel mogelijk geïmplementeerd Een maatregel wordt gepland Als de organisatie van mening is dat voor haar een maatregel niet relevant is, dan geldt de regel: pas toe, en leg uit. De best practices zijn toegesneden op de bedrijfsprocessen binnen de communicatie branche (reclame en ontwerp, uitgeverijen, DM, grafimedia)

11 Risico analyse Opstellen van een classificatie van informatie / informatiesysteem Opstellen van een architectuurschema van de informatiestromen binnen het bedrijf Moet leiden tot een Risico profiel Beoordeling op de aspecten per informatiesysteem: Beschikbaarheid Integriteit; Vertrouwelijkheid. Uitvoering op basis van een standaard vragenlijst

12 Voorbeeld risicobeoordeling Beschikbaarheid Integriteit Vertrouwelijkheid Maximale uitvalsduur Maximale gegevensverlies Verkoop informatie gevoelig (B2) gevoelig (I2) gevoelig (V2) 4 uur 1 dag E-commerce Gevoelig (B2) Gevoelig (I2) Standaard (V2) 4 uur 1 dag Financiële informatie Order informatie DTP/Prepress data operationeel DTP/prepress Back-up Warehouse en distributie informatie Office toepassingen Personele archief standaard (B2) Kritiek (I3) gevoelig (V2) 1 dag 1 dag Kritiek (B3) standaard (I2) standaard (V2) 1 dag 1 week standaard (B1) gevoelig (I2) gevoelig (V2) 1 dag 1 dag Standaard (B1) standaard (I1) standaard (V1) 1 dag 1 week standaard (B1) standaard (I1) standaard (V1) 4 uur 1 dag standaard (B1) standaard (I1) standaard (V1) 1 dag 1 week standaard (B1) Gevoelig (I2) Gevoelig (V2) 1 week 1 maand

13 Het Basis Beveiligings Niveau Onderwerp Doelstelling Nodig Uitwerking Status 11.3 Systeemplanning en Gezien de huidige ontwikkelingen zijn er geen nieuwe systemen acceptatie gepland. Communicatie en bedieningsprocessen 11.4 Bescherming tegen kwaadaardige apparatuur Er zijn technische maatregelen getroffen en er is een gedragscode voor de gebruikers. Op elke server is een firewall geactiveerd. Virussoftware updates vinden automatisch plaats. FTP voor aanleveren van klantdata verloopt via een DMZ. OK OK. Let op voor uitzetten automatische updates van programmatuur Maken van Back-ups Netwerkbeheer Er worden dagelijks back-ups gemaakt van productiebestanden om verlies van werk tegen te gaan. Van vertrouwelijke informatie worden encrypted een back-up gemaakt. Externe verbinding met het netwerk alleen mogelijk via een VPN. Gebruik van Virusscan en Spamfilter. Grootte van berichten is beperkt. Bestanden die groot beslag leggen op netwerkverkeer worden uitgefilterd. Productiedata worden via apart high performance productienetwerk geregeld. OK OK Bron: Wiebe Zijlstra

14 Basis beheersmaatregelen Relevante wetgeving: Bescherming van persoonsgegevens Bescherming van bedrijfsdocumenten Intellectuele eigendomsrechten en copyrights Beleidsdocument Toewijzen van taken, verantwoordelijkheden en bevoegdheden (TVB s) Bewustwording en opleiding Correcte werking bedrijfstoepassingen Beheer technische kwetsbaarheid Beheer van incidenten en verbeteringen

15 Overzicht best practices Organisatie van de informatiebeveiliging: Betrokkenheid directie Toewijzing taken, verantwoordelijkheden en bevoegdheden (TVB s) Coördinatie en afstemming beleid, risicoprofiel en uitvoering maatregelen Procedures (bijv. goedkeuring nieuwe IT voorzieningen, geheimhouding) Beoordeling van informatiebeveiliging Beveiliging van informatie waartoe externe partijen toegang hebben (klanten, leveranciers, uitbestedings partijen)

16 Overzicht best practices Fysieke beveiliging van kantoren/afdelingen Beveiliging van infrastructuur Beveiliging van apparatuur (intern of bij derden) Beheer en documentatie van bedieningsprocedures Aparte faciliteiten voor ontwikkeling, testen en operationeel functioneren van software Beheer dienstverlening door derde partijen

17 Overzicht best practices Bescherming systemen (netwerkbeveiliging, losse apparatuur en media) Maken van Back-ups en verwijderen data en media Beheer systeemdocumentatie Beleid en procedures voor informatie-uitwisseling (overeenkomsten) Beheer verkeer E-commerce en online transacties Informatievoorziening op de website

18 Overzicht best practices Controle procedures: Toepassen logbestanden Controle systeemgebruik Procedures rapportage incidenten en follow-up Toegangbeveiliging (beleid, beheer rechten, authenticatie, gebruik passwords en controle) Verwerving, ontwikkeling en onderhoud van informatiesystemen: Correctie verwerking in toepassingen Beheer broncode programmatuur (afspraken) Procedures voor wijzigingen

19 Overzicht best practices Bedrijfscontinuiteitsbeheer: Risico analyse en opstellen van plannen Testen, onderhoud en herbeoordelen van deze plannen Naleving van wettelijke voorschriften: Bescherming van bedrijfsdocumenten (financiële informatie) Bescherming van persoonsgegevens (personeelsdossiers) Intellectuele eigendomsrechten (omgang met materiaal waarop deze van toepassing zijn)

20 Overzicht Best practices Technische maatregelen: begin met overzicht van gebruikte systemen en architectuur

21 Overzicht Best practices Systeembeveiliging en computersystemen Bescherming tegen: Worms, Adware, Spyware en Virussen: Installeren firewall en virus scanning software (windows defender/windows firewall of anderen) Toepassen van system hardening, d.i. het beperken van functies voor de gebruiker en het scheiden van systeem functies. Raadpleeg de internationale standaard voor beveiliging van het Center for Internet Security (CIS), de benchmark documenten: Bescherming tegen Trojans en Rootkits: Microsoft Baseline Security Analyzer (uitvoeren scans op computersystemen); Analyse van Rootkits: bijvoorbeeld door F-secure Blacklight Troubleshooting mbv Sysinternals

22 Overzicht Best practices Netwerkverkeer analyse Netwerkmonitoring mbv een netwerksniffer, bijvoorbeeld wireshark; Monitoren van Poorten, bijvoorbeeld mbv Netstat Monitoren verkeer van het netwerk naar en van internet: Proxyserver Digitale authenticatie (toegangsbeveiliging) Data authenticatie: toepassen van Hashing, bijvoorbeeld SHA1 algoritme, voor Windows is software beschikbaar (sha1sum) Gebruikers authenticatie: gebruik van sterke wachtwoorden en Token (USB stick token)

23 Overzicht Best practices Netwerkverkeer beveiligingen Installatie van een Firewall (op basis van een combinatie van packet filtering en application layer firewall), of statefull firewall (packet inspection) Intrusion Detection System/Intrusion Prevention System (bijvoorbeeld op basis van Snort ) Unified Threat Management (combinatie van voornoemde toepassingen) VPN: site to site VPN en remote access VPN, op basis van een combinatie van L2TP/Ipsec Draadloze netwerkbeveiliging: WPA2 personal beveiliging, of WPA2 enterprise, mbv bijvoorbeeld RADIUS op de server en de router(s).

24 Overzicht Best practices Beveiliging van internet verkeer Bescherming tegen afluisteren van het internet verkeer. Toepassen van HTTPS, gebruik van het Secure Socket Layer Protocol (SSL). Invoeren op basis van de op de server ingevoerde Certificaat Service (bijv. MS Windows ISS). Beveiliging van FTP server is op dezelfde wijze te realiseren door configuratie van FTPS (FTP op basis van SSL/TLS settingen). versleuteling: bijvoorbeeld door gebruik van PGP versleuteling of ingebouwd bij de mailserver (MS Exchange)

25 Overzicht Best practices Verzenden van bestanden/data mbv encryptie of digitale certificaten Encryptie: symmetrisch of asymmetrisch. Bijvoorbeeld Symmetrisch mbv Rescript software voor (virtuele) digitale schijven. Digitale certificaten: bijvoorbeeld PGP certificaat (Open PGP) of middels Publieke Key Infrastructuur. Te installeren vanuit de Windows Server applicatie.

26 Overzicht Best practices Beveiliging van media/datadragers Encryptie: Gekoppeld aan de gebruikersnaam: bijvoorbeeld op basis van EFS, onderdeel van Windows Server Specifieke software, bijvoorbeeld Blowfish advanced Versleutelde virtuele disk: mbv specifieke software, bijvoorbeeld TrueCrypt of FreeOTFE Laptop beveiliging: Versleutelde disk, mbv True Cript

27 Aanpak en ondersteuning 1. Aanschaf norm SCGM ISO en toelichting best practices bij SCGM (Amstelveen); 2. Uitvoeren van risico analyse en invoeren van maatregelen Adviestraject via Dienstencentrum: (inventarisatie, risico analyse, voorbeeld documenten/procedures; concept handboek) 3. Aanvraag en uitvoeren pre-audit SCGM 4. Audit SCGM 5. Certificaat (+ kunstwerk en muurbordje)

28 Code voor Informatiebeveiliging vragen? Ir. Albert Noppen