CSIRT Vanuit een IT-audit perspectief Datum : Maart 2008 Status : Definitief Betreft : Referaat Postgraduate IT-audit opleiding Team : 812 Afstudeerders : E. den Bak (9981216) R. Schaap (9981286) Begeleider : Dr. P.H.A.M. Frijns
Colofon CSIRT vanuit een IT-audit perspectief Het doel van dit onderzoek is het ontwerpen van een referentiekader voor oprichters en auditors van een CSIRT. De eindverantwoordelijkheid voor de inhoud van dit rapport ligt bij de auteurs. Scriptie Deze scriptie is geschreven in het kader van de afronding van de postgraduate IT-audit opleiding aan de Vrije Universiteit te Amsterdam. Begeleider Vrije Universiteit Amsterdam Dr. P.H.A.M. Frijns Bedrijfscoach E. Krom Auteurs E. den Bak R. Schaap Datum Amsterdam, maart 2008
Maart 2008 Woord vooraf Voor u ligt onze afstudeerscriptie ter afronding van de postgraduate IT-audit opleiding aan de Vrije Universiteit te Amsterdam. Deze scriptie is het resultaat van een leerzaam, interessant en soms moeizaam traject, uitgevoerd van november 2007 tot en met maart 2008. Tijdens het schrijven over ons onderwerp hebben wij inzichten opgedaan over hoe in de praktijk wordt omgegaan met informatiebeveiliging en de maatregelen die daarbij worden getroffen. Wij hopen met deze scriptie dan ook een bijdrage te leveren aan het IT-audit vakgebied. Voor wie kan dit rapport een waarde hebben? Dit rapport is bedoeld voor het management van organisaties en IT-auditors, die dit rapport als handreiking kunnen gebruiken bij de opzet en toetsing van een zogenaamd CSIRT. Voor (mede)studenten en docenten van de IT-audit opleiding aan de Vrije Universiteit van Amsterdam kan dit rapport dienen als referentiemateriaal om het inzicht in de auditaspecten van een CSIRT te vergroten. Dankwoord Bij het tot stand komen van deze scriptie hebben diverse personen hun medewerking verleend en zonder hun bijdragen was het schrijven van deze scriptie niet mogelijk geweest. Een woord van dank is dan ook zeker op zijn plaats. Vanuit de Vrije Universiteit is de heer Pieter Frijns aangewezen als onze afstudeerbegeleider. Wij danken hem voor de ideeën, het doorlezen van de stukken en de begeleiding bij het afstudeertraject. Op deze plaats willen we graag ook onze bedrijfscoach Erik Krom bedanken voor de inhoudelijke bijdrage aan het eindresultaat in de vorm van adviezen en aandachtspunten. Ook bedanken wij de (gast)docenten voor de colleges van de afgelopen jaren die hebben bijgedragen aan het verbreden van onze vakkennis en de geïnterviewden voor hun praktische toelichting op het onderwerp van deze scriptie. Tenslotte willen we onze ouders, partners, collega s en vrienden bedanken voor de ondersteuning tijdens de studie en bij het schrijven van deze scriptie. Amsterdam, maart 2008 Erwin den Bak Rob Schaap Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 3 van 61
Maart 2008 Samenvatting In het uitgevoerde onderzoek staat het onderwerp CSIRT centraal. CSIRT staat voor Computer Security Incident Response Team en richt zich op de beveiliging van IT systemen. CSIRT is een groep van mensen die verantwoordelijk is voor het afhandelen van beveiligingsincidenten en het oplossen daarvan. Een CSIRT kan ook betrokken zijn bij het bepalen, implementeren en uitvoeren van preventieve maatregelen. Dit is mede afhankelijk van de organisatievorm waarvoor wordt gekozen. Het opzetten van een CSIRT kan worden gezien als één van de beheersmaatregelen ten behoeve van de informatiebeveiliging binnen de onderneming. Vanuit het doel van de informatiebeveiliging, namelijk het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade in het bedrijf, komen we op de (generieke) doelstelling van een CSIRT: Het bijdragen aan het behalen van het gewenste beveiligingsniveau als een voorwaarde voor een betrouwbare bedrijfsvoering en het minimaliseren van bedreigingen en schade als gevolg van pogingen tot het binnendringen tot de systemen door onbevoegden. CSIRT kan een veelvoud van diensten aanbieden en kan in verschillende organisatorische rollen voorkomen. Op basis van een risicoanalyse vanuit het onderwerp informatiebeveiliging binnen de organisatie, kan een keuze worden gemaakt in de aan te bieden diensten en de organisatorische rol. Om de opzet van een CSIRT te ondersteunen en een bestaand CSIRT te kunnen beoordelen, is in het onderzoek een opzet gemaakt voor een referentiekader. De opbouw van het referentiekader is onderverdeeld in een viertal onderdelen te weten het CSIRT audit werkprogramma en de randvoorwaardelijke aspecten gezien vanuit een organisatorisch, juridisch en technisch standpunt. Het referentiekader is tot stand gekomen na het bestuderen van de literatuur, het interviewen van collega s die betrokken zijn bij het organiseren van informatiebeveiliging binnen hun onderneming en het gebruik maken van de aanwezige kennis vanuit de postgraduate IT-audit opleiding. Het generieke karakter van het referentiekader brengt echter ook beperkingen met zich mee. Enerzijds is het referentiekader te uitgebreid als gevolg van het feit dat elk operationeel CSIRT een keuze maakt in de uit te voeren diensten en de plaats binnen de organisatie, anderzijds te beperkt aangezien de diepgang en de toepassing van het referentiekader slechts per organisatie bepaald kan worden. Het referentiekader is toegestuurd aan geïnterviewden die hun opmerkingen hebben geplaatst, zowel vanuit de theorie als de betreffende praktische omgeving van informatiebeveiliging. De belangrijkste opmerking vanuit de praktijk is dan ook geweest dat bij de opzet van het referentiekader de goede uitgangspunten zijn opgenomen, de vermelde doelstellingen en randvoorwaarden redelijk volledig zijn en voldoende aandacht is geschonken aan de praktische diepgang, zonder in details te verzanden. MAAR De praktische toepassing van het referentiekader zal in de praktijk getoetst moeten worden. Na deze toetsing zal een oordeel over de toepasbaarheid van het referentiekader gedaan kunnen worden. Hierbij zullen onderwerpen als de soort organisatie, de verleende diensten vanuit een CSIRT én de taken, verantwoordelijkheden en bevoegdheden van een CSIRT, bepalend zijn. Dit is dan ook de nieuwe uitdaging, uit te voeren in een mogelijk vervolgonderzoek. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 4 van 61
Maart 2008 INHOUDSOPGAVE Colofon Woord vooraf Samenvatting HOOFDSTUK 1 INLEIDING... 6 1.1 Achtergrond... 6 1.2 Probleemstelling... 6 1.3 Doelstelling en centrale vraagstelling... 7 1.4 Onderzoeksdeelvragen... 7 1.5 Beperkingen... 7 1.6 Werkwijze... 7 1.7 Leeswijzer... 8 HOOFDSTUK 2 BEGRIPSBEPALING... 9 2.1 Informatiebeveiliging (IB)... 9 2.2 Het ontwikkelen van gestructureerde IB-beheersmaatregelen...10 2.3 CSIRT...11 HOOFDSTUK 3 GEHOUDEN INTERVIEWS... 16 3.1 Doel interviews...16 3.2 Bevindingen vanuit interviews...17 HOOFDSTUK 4 REFERENTIEKADER CSIRT... 18 4.1 Inleiding...18 4.2 Beschrijving van het referentiekader...18 4.3 Gebruiksaanwijzing voor de toepassing van het referentiekader...29 HOOFDSTUK 5 VERANTWOORDING REFERENTIEKADER... 30 5.1 Inleiding...30 5.2 Belangrijkste reacties vanuit de praktijk...30 5.3 Toelichting op de verschillen tussen de theorie en praktijk...31 5.4 Toelichting op de gemaakte keuzes tussen theorie en praktijk...32 5.5 Conclusie over de waardering van de auditaspecten...32 HOOFDSTUK 6 CONCLUSIES EN AANBEVELINGEN... 33 6.1 Beantwoording van de onderzoeksdeelvragen...33 6.2 Slotconclusie en aanbeveling...35 HOOFDSTUK 7 TENSLOTTE... 36 7.1 Reflectie...36 7.2 Wat hadden we anders gedaan als we geweten hadden wat we nu weten?...36 7.3 Toegevoegde waarde...36 BIJLAGE A. GERAADPLEEGDE LITERATUUR... 37 BIJLAGE B. AFKORTINGEN... 39 BIJLAGE C. KWALITEITSBEGRIPPEN... 40 BIJLAGE D. TABELLEN... 41 BIJLAGE E. CSIRT AUDIT WERKPROGRAMMA... 42 BIJLAGE F. GESPREKSVERSLAGEN... 49 Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 5 van 61
Hoofdstuk 1 Inleiding 1.1 Achtergrond Als afsluiting van de postgraduate IT-audit opleiding aan de Vrije Universiteit van Amsterdam hebben wij een onderzoek uitgevoerd naar Computer Security Incident Response Teams (CSIRT). De scriptie heeft als onderwerp CSIRT vanuit een IT-audit perspectief. Het idee voor de scriptie is ontstaan uit het feit dat de bedrijfsvoering binnen organisaties in toenemende mate afhankelijk is van de geautomatiseerde informatievoorziening en het nemen van maatregelen ter voorkoming van de aantasting van de beschikbaarheid, integriteit en exclusiviteit van die informatievoorziening van groot belang is. Immers het niet tijdig beschikbaar zijn van informatie of met kwade opzet gewijzigd zijn van informatie, kan veel persoonlijke - en bedrijfsschade tot gevolg hebben. Ook het niet onderkend in verkeerde handen komen van vertrouwelijke informatie kan de samenleving grote schade berokkenen. Het definiëren van beheersmaatregelen kan worden beschouwd als goed uitgangspunt voor het implementeren voor informatiebeveiliging. Enkele tot de gebruikelijke behorende beveiligingsmaatregelen zijn: Het opstellen van informatiebeveiligingsbeleid; Het formaliseren van verantwoordelijkheden en bevoegdheden; Het proces van bewustmaking van informatiebeveiliging, inclusief opleiding en training; Technische beheersmaatregelen in en rond de aanwezige informatiesystemen. Een aanvullende maatregel is het beheer van beveiligingsincidenten door middel van de introductie van een CSIRT. 1.2 Probleemstelling Er is een toenemend belang van CSIRT activiteiten waarneembaar. Onduidelijk is echter wat CSIRT exact inhoudt en binnen welke kaders CSIRT activiteiten moeten worden uitgevoerd. Deze onduidelijkheden leiden tot praktische problemen en onduidelijkheden voor CSIRT medewerkers (bijvoorbeeld: wat mag ik wel en wat mag ik niet?). Maar ook voor auditors die gevraagd worden een oordeel te vellen over de opzet en werkwijze van CSIRT leidt deze onduidelijkheid tot uitvoeringsvraagstukken (hoe moet ik het auditonderzoek uitvoeren?, welk referentiekader moet ik hanteren? etc.). Belangrijke onderwerpen bij de opzet en werkwijze van een CSIRT zijn: Wat is de invulling van het praktische werkterrein van het CSIRT? Welke aandacht wordt gegeven aan: 1. Het toetsen in hoeverre het CSIRT binnen hun normen is gebleven; 2. De organisatorische plek en aansturing; 3. Taken, bevoegdheden en verantwoordelijkheden; 4. Kwaliteitseisen zoals vertrouwelijkheid, integriteit en controleerbaarheid. En hoe wordt hier een invulling aan gegeven? Wat mag een CSIRT wel/niet zelfstanding en/of überhaupt niet? Waarvoor hebben ze toestemming nodig en wie moet die toestemming verlenen? Wat is de acceptatie van het CSIRT binnen de organisatie? Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 6 van 61
Wat is het referentiekader waarbinnen de IT-auditor een CSIRT kan beoordelen, met als doel het opzetten van een CSIRT en het aanreiken van een toetsingsinstrument? De vraag die hierbij dan ook gesteld kan worden, is in hoeverre het mogelijk is een referentiekader te ontwikkelen voor auditors en adviseurs die betrokken zijn bij het opzetten en beoordelen van CSIRT organisaties. 1.3 Doelstelling en centrale vraagstelling Bij het onderzoek in deze scriptie staat de volgende vraag centraal: Hoe kan vanuit een IT-audit perspectief een praktische ondersteuning en invulling worden gegeven aan de opzet en beoordeling van een CSIRT? Een onderdeel van de vraagstelling is tevens het vaststellen welke bestaande wet- en regelgeving en/of raamwerken van toepassing zijn. 1.4 Onderzoeksdeelvragen 1. Wat is een CSIRT? a. Wat doet een CSIRT? b. Welke organisatorische typen CSIRT s kunnen worden onderkend? c. Welke soort diensten levert een CSIRT? d. Met welke organisatorische, technische en juridische voorwaarden heeft het CSIRT te maken? 2. Hoe is het referentiekader ingericht welke door een IT-auditor kan worden gebruikt voor het uitvoeren van een audit van een CSIRT of welke de organisatie kan gebruiken voor de opzet van een CSIRT? a. Welke aspecten zijn opgenomen in het referentiekader? b. Hoe kunnen deze aspecten worden toegepast? 3. Is het ontwikkelde instrument toepasbaar? 1.5 Beperkingen Ten aanzien van de uitvoering van het onderzoek zijn de volgende beperkingen opgenomen: In het onderzoek vormt de relatie tussen een CSIRT en CERT geen object van onderzoek; De feitelijke werking van de uitvoeringsorganisatie van CSIRT is buiten beschouwing gehouden; Er is alleen onderzoek verricht naar de CSIRT organisatie en de geldende procedures, dus geen uitputtend onderzoek naar technische infrastructuren; Eventuele uitbestede CSIRT-activiteiten zijn buiten beschouwing gehouden; De praktische werking van het ontwikkelde referentiekader is niet onderzocht. 1.6 Werkwijze Bij de beantwoording van de onderzoeksvragen is in dit onderzoek gebruik gemaakt van literatuuronderzoek en empirisch onderzoek. Op het gebied van het begrip CSIRT is momenteel veel informatie voorhanden. Deze informatie is terug te vinden in bekende gepubliceerde literatuur in boekvorm, maar ook op het internet is inmiddels veel beschikbaar. De literatuurstudie heeft er o.a. toe geleid een antwoord te kunnen geven op de eerste onderzoekvraag Wat is CSIRT?. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 7 van 61
Onze aanpak is gericht op het doorlopen van de volgende processtappen: 1. Begripsbepaling CSIRT en de inzet van een CSIRT; 2. D.m.v. een literatuurstudie onderzoeken naar een opzet van de benodigde beheersmaatregelen; 3. Het houden van interviews met medewerkers van organisaties die een CSIRT hebben, met als doel het vaststellen van de werkwijze van een CSIRT bij die organisaties; 4. Het opzetten van een referentiekader t.b.v. de opzet en een audit van een CSIRT; 5. Het verantwoorden van het referentiekader door een terugkoppeling met de geïnterviewden. 1.7 Leeswijzer Onderstaand overzicht geeft weer in welke hoofdstukken de afzonderlijke onderzoeksdeelvragen worden beantwoord: Hoofdstuk 2, Begripsbepaling In dit hoofdstuk wordt een begrippenkader beschreven dat de basis vormt voor deze scriptie. Hiermee wordt de eerste deelvraag beantwoord. Het begrippenkader geeft in hoofdlijnen weer wat een CSIRT is, wat het doet, welke typen CSIRT s kunnen worden onderkend en welke diensten zij leveren. Hoofdstuk 3, Gehouden interviews In dit hoofdstuk worden de geïnterviewde personen genoemd. Tevens zijn de belangrijkste aspecten opgenomen die tijdens de interviews naar voren zijn gekomen en een rol hebben gespeeld bij de totstandkoming van het referentiekader. Hoofdstuk 4, Referentiekader CSIRT Het resultaat van het literatuuronderzoek, de verkregen inzichten en de opgedane kennis alsmede de resultaten van de praktijkinterviews hebben geleid tot de beantwoording van de tweede deelvraag namelijk het opstellen van een referentiekader CSIRT. Hoofdstuk 5, Verantwoording referentiekader Op basis van het opgestelde referentiekader en toetsing door referenten, wordt in dit hoofdstuk antwoord gegeven op de derde en laatste onderzoekvraag door de toepasbaarheid van het instrument te belichten. Hoofdstuk 6, Conclusies en aanbevelingen Dit hoofdstuk gaat in op de beantwoording van de onderzoeksdeelvragen en de centrale vraagstelling van dit onderzoek. Tevens worden er enkele aanbevelingen gedaan. Hoofdstuk 7, Tenslotte In dit afsluitende hoofdstuk wordt teruggeblikt op het onderzoek, de opleiding en onze persoonlijke leerervaringen naar aanleiding van het onderzoek. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 8 van 61
Hoofdstuk 2 Begripsbepaling In dit hoofdstuk wordt het begrip informatiebeveiliging nader toegelicht, hoe in de dagelijks praktijk met informatiebeveiliging (IB) wordt omgegaan en wanneer gesproken wordt over een (informatie) beveiligingsincident. Vervolgens worden de maatregelen, die samenhangen met informatiebeveiliging, geïnventariseerd. Tenslotte wordt één van de maatregelen, namelijk de opzet van een CSIRT, toegelicht. Schematisch kan de relatie tussen deze onderwerpen als volgt worden geschetst: Informatiebeveiliging Het doel van de beveiliging is het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade in het bedrijf. Maatregelen ten behoeve van Informatiebeveiliging Hierbij zijn o.a. te noemen beveiligingsbeleid vastleggen, fysieke beveiliging, toegang beveiliging, het organiseren van beveiliging etc. ÉN CSIRT Het opzetten en het operationeel laten werken van een team van mensen in het geval dat de maatregelen niet adequaat werken en dus een beveiligingsincident optreedt. 2.1 Informatiebeveiliging (IB) Informatiebeveiliging wordt vaak onderscheiden naar de volgende gebieden: 1. Externe beveiliging: Beheersingsmaatregelen in het kader van gebruik van internettechnologie; 2. Interne logische beveiliging: Toegangsbeveiliging; 3. Interne fysieke beveiliging: Beveiligingsmaatregelen van o.a. gebouwen en technische apparatuur. In het onderzoek is de externe beveiliging in ogenschouw genomen. Externe beveiliging staat de laatste jaren extra in de belangstelling, vooral als gevolg van de ontwikkelingen in de digitale economie. Particulieren en organisaties communiceren elke dag op de digitale snelweg, waarbij vele vertrouwelijke gegevens over en weer worden gestuurd. Dit zijn vaak gegevens die van uitzonderlijk belang zijn bij zowel de organisaties als de particulieren. Derden kunnen dan ook erg geïnteresseerd zijn in deze gegevens. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 9 van 61
Op beveiligingsgebied is dan ook een aantal ontwikkelingen waar te nemen die van invloed zijn op het gebied van de Externe Beveiliging: Verhoging van het beveiligingsbewustzijn binnen de organisatie en de maatschappij; Het eenduidig beleggen van een autoriteit op het gebied van Informatie (Beveiligings) Management; Eenduidigheid voor het centrale punt binnen de organisatie waar de routes voor risicobeheersing en calamiteiten beginnen én eindigen; Samenwerking zowel nationaal als internationaal op het gebied van informatiebeveiliging. Beveiliging wordt niet meer gezien als een noodzakelijk kwaad op het moment dat er beveiligingsincidenten optreden, maar wordt gezien als een structureel onderdeel van de gehele IT- Beheer organisatie. Een voorbeeld van een verhoogde aandacht voor veilig internetten e.d. is de Waarschuwingsdienst van de overheid (http://www.waarschuwingsdienst.nl). Dit is een gratis dienst van de Nederlandse overheid. Waarschuwingsdienst.nl is een bron van informatie over veilig internetten en geeft voorlichting en adviezen over computerbeveiliging. Daarnaast waarschuwt deze dienst tegen computervirussen, wormen en beveiligingslekken in software en probeert op deze manier beveiligingsincidenten tegen te gaan. Een beveiligingsincident kan het beste worden omschreven als een gebeurtenis of het constateren van een gebeurtenis, die een bedreiging vormt of kan gaan vormen voor de vertrouwelijkheid, beschikbaarheid en/of integriteit van gegevens in de beschreven geautomatiseerde systemen binnen de organisatie. Dit kan worden veroorzaakt door o.a. SPAM, virussen, wormen, hacking, malware, etc. Om de impact van beveiligingsincidenten te kunnen verminderen, is een mix van beveiligingsmaatregelen nodig voor de detectie, preventie, repressie en correctie van deze incidenten. De maatregelen moeten zowel technisch als organisatorisch van aard zijn, zoals wordt beschreven in de Code voor Informatiebeveiliging die als best practice door veel organisaties wordt geïmplementeerd. 2.2 Het ontwikkelen van gestructureerde IB-beheersmaatregelen In paragraaf 2.1 is het toenemende belang van informatiebeveiliging beschreven. Toch lezen we dagelijks in de media dat met name de externe informatie beveiliging van een aantal gerenommeerde ondernemingen niet altijd waterdicht blijkt te zijn. Enkele voorbeelden: Elektronisch bankieren niet 100% veilig, banken eisen veilige computer; Gegevens verzekerden bij zorgverzekeraar CZ op straat; Beschikbaarheid van www.postbank.nl: Nu even niet beschikbaar! Ook berichten over beveiligingsincidenten zoals virusaanvallen, het inbreken op bedrijfsnetwerken en onvoldoende beveiliging van bedrijfsinformatie zijn regelmatig in het nieuws. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 10 van 61
Wat doen de bedrijven zelf hier dan tegen? Natuurlijk is het belang van informatiebeveiliging altijd al een belangrijk onderwerp geweest bij het ontwerpen en inrichten van de geautomatiseerde systemen binnen de organisatie. Informatiebeveiliging is gebaseerd op de drie beveiligingscriteria vertrouwelijkheid, beschikbaarheid en integriteit. Beveiliging van informatie is belangrijk omdat men zich bewust moet zijn van het feit dat geautomatiseerde systemen kwetsbaar zijn, zeker wanneer er sprake is van externe communicatie. Het is dan ook van essentieel belang dat een organisatie zijn beveiligingsbehoeften bepaalt. Hiervoor kunnen drie hoofdbronnen worden aangewezen: 1. Beoordeling van de risico s van de organisatie, rekening houdend met de bedrijfsstrategie en bedrijfsdoelstellingen van de organisatie; 2. Wet en regelgeving en contractuele eisen waaraan de organisatie en bij de organisatie externe betrokkenen aan moeten voldoen; 3. Visie op informatieverwerking en informatiebeveiliging van de organisatie zelf. Het specifieke onderwerp informatiebeveiliging is dan ook vaak belegd binnen de IT (Beheer)organisatie. In grotere organisaties worden vaak aanvullende maatregelen getroffen om incidenten en kwetsbaarheden van de systemen op een aanvullende wijze intern te behandelen. Een van de maatregelen die worden getroffen is de opzet c.q. inrichting van een zogenaamd CSIRT = Computer Security Incident Response Team. 2.3 CSIRT CSIRT staat voor Computer Security Incident Response Team en wordt veelvuldig gebruikt als synoniem voor de beschermde term CERT, Computer Emergency Response Team. Andere synoniemen die worden gebruikt zijn: IRT (Incident Response Team); CIRT (Computer Incident Response Team); SERT (Security Emergency Response Team). Een CSIRT is een groep van mensen die verantwoordelijk is voor het laten afhandelen van beveiligingsincidenten en het oplossen daarvan. Een CSIRT kan ook betrokken zijn bij het bepalen, implementeren en uitvoeren van preventieve maatregelen. Dit is mede afhankelijk van de organisatievorm waarvoor wordt gekozen. De diensten van een CSIRT worden over het algemeen uitgevoerd voor een gedefinieerde klantgroep. In de meeste gevallen zijn dit de business en IT-afdelingen van de eigen organisatie. Het is niet altijd noodzakelijk om een CSIRT op te richten. De taken vanuit informatiebeveiliging kunnen ook in de bestaande IT Beheerorganisatie worden opgenomen. Dit is mede afhankelijk van de omvang van de organisatie, het gewenste niveau van informatiebeveiliging en de diensten die in het kader van informatiebeveiliging verricht worden. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 11 van 61
Missie en doelstelling van een CSIRT De missie en doelstelling voor een CSIRT zijn afhankelijk van diensten die een CSIRT aanbiedt en de organisatorische plaats in de organisatie. In de praktijk zijn er dan ook vele doelstellingen van een CSIRT aanwezig. Op basis van het handboek CSIRT van de Carnegie Mellon University is voor de volgende (generieke) doelstelling gekozen: Het bijdragen aan het behalen van het gewenste beveiligingsniveau als een voorwaarde voor een betrouwbare bedrijfsvoering en het minimaliseren van bedreigingen en schade als gevolg van pogingen tot het binnendringen tot de systemen door onbevoegden. Uit het voorgaande is gebleken dat de redenen om te starten met een CSIRT divers zijn. Er is dan ook een aantal voordelen, maar ook nadelen te noemen voor het oprichten van een CSIRT. Voordelen: Preventie en coördinatie door een apart ingericht team verhoogt de snelheid waarmee beveiligingsincidenten kunnen worden gelokaliseerd en opgelost; Voor beveiligingsgerelateerde vragen, opmerkingen en beveiligingsincidenten is er één centraal aanspreekpunt; Risicovermindering bij gebruik van informatie via aansluiting bij (inter)nationale netwerken van CSIRT s; Kennisdeling door het aan de aangesloten leden beschikbaar stellen van verzamelde adviezen en best practices. Naast de genoemde voordelen zijn er ook enkele nadelen aanwezig: Een CSIRT kan als bedreiging worden gezien in de organisatie van reeds aanwezige incident teams of helpdesks; Welke diepgang van onderzoek is uiteindelijk noodzakelijk om resultaten op te leveren en hoe wordt hierbij omgegaan met persoonsgegevens? Het opzetten van een CSIRT brengt een initiële investering met zich mee zowel qua personele bezetting als apparatuur. Door het toenemende aantal beveiligingsincidenten, de veranderende wetgeving (o.a. Sarbanes Oxley (SOX) en privacy wetgeving) en het idee dat informatiebeveiliging meer proactief werken verlangt, is er steeds meer behoefte binnen een organisatie om de beveiligingsincidenten op een adequate manier te behandelen. Gevolgen van het niet adequaat handelen zijn o.a. imago schade, geen beschikbaarheid van services en wetsovertredingen. Om aan deze gevolgen het hoofd te bieden, is met name bij grotere organisaties een sterke behoefte en drang aanwezig om binnen de organisatie een verantwoordelijkheidsgebied op te richten, waar de incidenten op het vlak van de informatiebeveiliging centraal worden gelokaliseerd, gerapporteerd, gecoördineerd, behandeld en afgehandeld. Welke diensten worden door een CSIRT aangeboden? De meest voorkomende diensten, in de theorie én praktijk, die door een CSIRT kunnen worden aangeboden, zijn in tabel 1 opgenomen. Afhankelijk van de beschreven missie en doestellingen van het CSIRT en de vraag vanuit de klanten (intern en extern) zal een keuze worden gemaakt. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 12 van 61
Reactieve diensten worden op afroep uitgevoerd door een gebeurtenis of verzoek, virusmelding, vaststellen ongeoorloofde toegang etc. De reactieve functie wordt vaak vergeleken met de brandweerfunctie, dus reageren op een bepaalde gebeurtenis. Proactieve diensten leveren assistentie en informatie voor de geautomatiseerde informatiediensten met als doel het veiligstellen van de vertrouwelijkheid, integriteit en beschikbaarheid van systemen en netwerken. Hoofddoel is het voorkomen van beveiligingsincidenten en het verminderen van het effect van beveiligingsincidenten wanneer deze zich dan toch manifesteren. Beveiligingsbeheer en diensten beveiligings - kwaliteit ondersteunen bestaande bedrijfsprocessen en functioneren onafhankelijk van incidentbeheer. Reactieve diensten Proactieve diensten Beveiligingsbeheer en diensten beveiligings - kwaliteit Alarmeren en waarschuwen Mededelingen en waarschuwingen communiceren Risico analyse uitvoeren Incident coördinatie Technologische bewaking Beveiligingsadvies Afhandeling en coördinatie kwetsbaarheden Afhandeling en coördinatie besmettingen Begeleiding forensisch onderzoek Beveiligingsaudits of onderzoeken Analyse van beveiligings middelen, applicaties en infrastructuur Tabel 1 Voorbeeld aanbod van CSIRT diensten Intrusion en detection diensten ontwikkelen Calamiteiten en continuïteitsanalyse Beveiligingsbewustwording bevorderen Educatie en opleiding verzorgen Certificeren van o.a. applicaties Op basis van de praktijk is waar te nemen dat met name de primaire taak van een CSIRT incidentbehandeling en coördinatie is, waaronder de volgende activiteiten vallen: Het nemen van maatregelen ter bescherming van de betreffende systemen of netwerken; Het leveren van oplossingen en/of schade beperkende maatregelen; Het zoeken naar inbreuken; Het filteren van netwerkverkeer; Het herstellen, patchen of opnieuw opbouwen van systemen; Het vastleggen van incident gerelateerde gegevens; Het onderzoeken van storingen. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 13 van 61
De rollen en de organisatorische plaats van een CSIRT Voordat een overzicht wordt gepresenteerd van de verschillende mogelijkheden van een organisatorische inrichting van een CSIRT, is het goed om een aantal van de aanwezige formele nationale en internationale samenwerkingsverbanden in beeld te brengen. Elk land heeft zijn eigen NREN, wat staat voor National Research Education Netwerk. Binnen deze NREN is vaak sprake van een TF (Taskforce) actief, die specifieke onderwerpen op het gebied van informatiebeveiliging bespreekt. De NREN s zijn in Europa bij elkaar gebracht binnen het TERENA (Trans European Research Education Netwerk Association). De doelstelling van TERENA is het creëren van een forum om de samenwerking, innovatie en kennisuitwisseling te bevorderen op het gebied van het gebruik van de internettechnologie, technische infrastructuur en diensten, in gebruik bij de aangesloten leden. De Nederlandse vertegenwoordiger in TERENA is SURFnet B.V. SURFnet B.V. maakt deel uit van de SURF organisatie, waarin Nederlandse universiteiten, hogescholen en onderzoeksinstellingen nationaal en internationaal samenwerken aan innovatieve ICT-voorzieningen. Wereldwijd zijn de verschillende CSIRT s georganiseerd in het Forum for Incident Response and Security Teams (FIRST). De doelstelling van FIRST is in eerste instantie de gelegenheid te geven om binnen het Forum incidenten, reactief en proactief, op een effectieve manier te behandelen. Dit wordt o.a. bereikt door het organiseren van bijeenkomsten, waar de reacties op bestaande incidenten wordt besproken maar ook nieuwe bedreigingen worden geanalyseerd en uitgewerkt. Rollen Er zijn meerdere (organisatorische) rollen mogelijk voor een CSIRT: Beveiligingsteam Veelal wordt er bij een beveiligingsteam op ad hoc basis personeel uit de lijn weggehaald. Deze rol wordt vaak toegepast bij het kleinere MKB. Formeel is er dus geen sprake van een CSIRT of een vergelijkbaar team met een formeel mandaat. Intern gedecentraliseerd CSIRT Het team is verspreidt over de organisatie en/of geografische locaties. De toepassing zien we vaak bij grotere bedrijven waar de verantwoordelijkheid voor IT diensten is gesplitst over organisatiedelen en/of geografische locaties. Intern gecentraliseerd CSIRT Het team is centraal actief, veelal in gebruik bij grotere bedrijven waar de verantwoordelijkheid voor IT-diensten is gecentraliseerd. Coördinatie CSIRT Eigenlijk een incidentenafhandelingsteam, waarbij de beveiligingsincidenten niet alleen worden gecoördineerd maar vaak ook in samenwerking met de lijn worden opgelost en toekomstige herhaling voorkomen wordt. Om een keuze mogelijk te maken voor één van de organisatiemodellen, moet vooraf een expliciete keuze worden gemaakt welke diensten het team gaat aanbieden hoe de samenwerking met de bestaande IT organisatie vorm wordt gegeven, de volwassenheid en de ervaring van de lokale IT-afdelingen en welke mandaat het CSIRT verkrijgt. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 14 van 61
De organisatorische plaats Het antwoord op de vraag: Op welke wijze moet invulling worden gegeven aan de relatie tussen CSIRT en de IT organisatie?, kan alleen maar worden beantwoord indien duidelijk is vastgesteld op welke wijze CSIRT in het organigram is opgenomen. Aspecten die hierbij een belangrijke rol spelen zijn het mandaat van CSIRT, flexibiliteit, kennisdeling en volwassenheid van de bedrijfsprocessen c.q. organisatie. De volgende twee situaties komen vaak voor in de praktijk: 1. CSIRT is onderdeel van de IT organisatie; 2. De twee instanties opereren naast elkaar. De discussie over de taken en bevoegdheden van beide instanties, levert vaak de start van een verbeterproces op, zodanig dat de IT organisatie zich meer richt op het duurzaam inrichten van taken als security management, incidentmanagement en changemanagement, terwijl CSIRT vaak veel meer puur operationeel bezighoudt met het oplossen van plotseling optredende beveiligingsincidenten c.q. -crises. Vanuit de verschillende rollen en de organisatorische plaats van een CSIRT, zal intensieve communicatie moeten plaatsvinden met de huidige organisatie, waarbij aandacht is voor: 1. Communicatie over het bestaan en het mandaat van CSIRT in de organisatie; 2. De verdeling van de taken binnen de organisatie in de situatie dat er zowel een IT beheer organisatie als een CSIRT aanwezig is; 3. Informatievoorziening over opgetreden beveiligingsincidenten zowel richting de eigen interne organisatie als extern, naar vakorganisaties of derden. Het bestaan alsmede het efficiënt en effectief functioneren van een CSIRT is sterk afhankelijk van onvoorwaardelijke steun van het topmanagement van de organisatie inclusief een commitment van de IT Beheer organisatie. Indien deze belangrijke voorwaarde is vervuld, is er een taak weggelegd voor het CSIRT. Hierbij moet CSIRT zelf aangeven welke taken en verantwoordelijkheden binnen de organisatie aanwezig moeten zijn en de verdeling hiervan tussen de IT Beheer organisatie en CSIRT. Voor wat betreft de voorwaarden over het rapporteren van incidenten zijn een aantal richtlijnen beschikbaar waarvan één van de belangrijkste de Incident Reporting Guidelines van de internationale CERT organisatie is. Exchange the knowledge is the answer!! Tenslotte aandacht voor het gebruik van grote hoeveelheden data door een CSIRT. Om de oorspronkelijke missie van een CSIRT, het hoofd bieden aan onverwachte beveiligingscrises, mogelijk te maken, maakt CSIRT gebruik van veel gegevens, zoekt zij bewust naar verdwenen gegevens, vraagt gegevens op in beschikbare logboeken en fixeert gegevens om verdere manipulatie van deze gegevens te voorkomen. Essentieel voor het ongestoord en geautoriseerd verrichten van de beschreven diensten door een CSIRT, is het beschrijven van een juridisch kader. Dit juridische kader behoeft niet uitputtend te zijn, maar zal wel de juridische grenzen beschrijven voor het uitvoeren van vooraf gedefinieerde diensten, die het CSIRT verricht. Helaas zijn de juridische grenzen niet altijd duidelijk te omschrijven en zijn interpretaties op basis van de Jurisprudentie altijd aanwezig. Dit ontslaat het CSIRT of zijn/haar management er niet van een juridisch kader op te stellen door professionals die zowel de taal van de jurist als die van het CSIRT spreken. In geval van onduidelijkheden of twijfelgevallen, zullen deze professionals ter beschikking moeten staan om de specifieke situatie op wettelijke aspecten te toetsen en te beoordelen. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 15 van 61
Hoofdstuk 3 Gehouden interviews 3.1 Doel interviews Het doel van de interviews is om van de partijen die betrokken zijn bij de opzet en beoordeling van een CSIRT te vernemen welke aspecten van belang zijn. Dit geeft vervolgens inzicht in de praktijksituatie. Het begrippenkader en de gehouden interviews hebben geleid tot een verbeterd beeld van de verschillende oplossingsmogelijkheden voor de opzet van een referentiekader CSIRT. De geïnterviewden hebben in de rol van referent vervolgens een reactie gegeven op het toegestuurde referentiekader, welke uiteindelijk heeft geleid tot een definitief kader. Hiervoor zijn gesprekken gevoerd met mensen die betrokken zijn op de verschillende niveaus, dus zowel op strategisch -, tactisch - als op operationeel niveau. Met de volgende personen zijn interviews gehouden: Naam Functie Organisatie Mw. L. El Mhamdi Juriste Ministerie van Defensie - DTO Dhr. J. van Zessen Senior Manager Consultant Ministerie van Defensie Dhr. J. Schuurman Security Officer en voorzitter van SURFcert SURFnet Dhr. P. Kornelisse Director IT Advisory KPMG Dhr. M. Koek Coördinator Security Audits Fox - IT Dhr. M. van der Heide Security Officer KPN Internet Solutions Dhr. S. McIntyre Security Officer XS4All Internet B.V. Dhr. W. Hafkamp Tabel 2 Lijst met geïnterviewden Programmamanager Informatiebeveiliging Rabobank Om inzicht te krijgen in het begrip CSIRT, wat ze doen en welke aspecten van belang zijn, zijn aan de geïnterviewden de volgende onderwerpen voorgelegd: Kennismaking met de geïnterviewde en diens betrokkenheid binnen de organisatie; Wat is CSIRT? a. Wat doet CSIRT? b. Achtergrond van de organisatie waarbinnen CSIRT actief is; c. Structuur, organisatie en ophanging van CSIRT; d. Gehanteerde procedures en protocollen; e. Taken, rollen en diensten van CSIRT; f. Samenstelling CSIRT; g. Communicatie met en door CSIRT; h. De acceptatie van CSIRT binnen de organisatie; Verschillen tussen overheid en commerciële sector; Wat ziet u als belangrijkste aspecten van een referentiekader t.b.v.: a. Medewerkers die betrokken zijn bij de opzet van een CSIRT en b. Auditors die betrokken zijn bij de toetsing van een CSIRT. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 16 van 61
De gehouden interviews hadden over het algemeen een open karakter. De bovenstaande onderwerpen zijn weliswaar gebruikt om structuur aan de interviews te geven, maar toch is voldoende ruimte gelaten voor de eigen inbreng van de geïnterviewden. 3.2 Bevindingen vanuit interviews Uit de verschillende gehouden interviews is een aantal bevindingen naar voren gekomen waarvan de belangrijkste hieronder kort zijn samengevat. De volledige interviewverslagen zijn terug te vinden in bijlage F. De verslagen en de bevindingen hebben geholpen bij het opstellen van het referentiekader zoals in het volgende hoofdstuk wordt beschreven. Voer een risicoanalyseproces uit voordat een CSIRT actief wordt; De CSIRT-leden dienen adequate kennis en vaardigheden te hebben zowel op het technische, communicatieve als het management inhoudelijke vlak. Vanuit het hoger management dienen de juiste mandaten goed en duidelijk te zijn opgesteld; De taken, verantwoordelijkheden en bevoegdheden dienen te zijn uitgewerkt; Er dient een goede vertrouwensrelatie te zijn tussen het CSIRT en de IT-Beheersorganisatie; De communicatie met de IT-Beheersorganisatie en de gebruikersgroepen dient goed te worden verzorgd; Het uitwisselen van kennis binnen het CSIRT, met de IT- Beheerorganisatie, de gebruikers en met de vakorganisaties moet geregeld zijn; Toetsing van de afhandeling van beveiligingsincidenten en calamiteiten; De continuïteit en beschikbaarheid van het CSIRT dient te worden gewaarborgd (denk aan het personele verloop en het wegvallen van kennis); Op welke wijze is de vertrouwelijkheid van de gegevens van derden gewaarborgd; Attentie voor de juridische kant vooral ook bij het verkrijgen van informatie t.b.v. de bewijslast; Het hebben van een instrument voor het meten van de effectiviteit en efficiency van het team. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 17 van 61
Hoofdstuk 4 Referentiekader CSIRT 4.1 Inleiding Dit hoofdstuk beschrijft de resultaten van het onderzoek die hebben geleid tot het opstellen van een referentiekader. In dit hoofdstuk staat de tweede centrale onderzoeksvraag centraal: Hoe is het referentiekader ingericht welke door een IT-auditor gebruikt kan worden voor het uitvoeren van een audit van een CSIRT of welke de organisatie kan gebruiken voor de opzet van een CSIRT? Het referentiekader is ontstaan op basis van de bestudeerde literatuur en empirische gegevensverzameling. De gehouden interviews en de terugkoppeling van de geïnterviewden op het referentiekader zijn in het instrument verwerkt. Bij het opstellen van het referentiekader zijn afwegingen en keuzes gemaakt ten aanzien van de opgenomen beheersmaatregelen. Een toelichting op de gemaakte keuzes en afwegingen is opgenomen in hoofdstuk 5. In paragraaf 4.2 zijn de aandachtspunten opgenomen die samen het referentiekader vormen. Tevens wordt de onderlinge samenhang van de opgenomen categorieën toegelicht. Paragraaf 4.3 geeft kort weer hoe het referentiekader kan worden toegepast. 4.2 Beschrijving van het referentiekader In deze paragraaf volgt een beschrijving van het totale referentiekader als instrument. De samenstelling en -hang van de verschillende categorieën worden kort toegelicht alsook de waardering die per controlemaatregel van het audit werkprogramma kan worden gegeven. Samenstelling en samenhang Het totale referentiekader zoals dat in dit hoofdstuk wordt beschreven, is samengesteld uit een aantal categorieën, te weten: CSIRT audit werkprogramma; Organisatorische randvoorwaardelijke aspecten; Juridische randvoorwaardelijke aspecten; Technische randvoorwaardelijke aspecten. Het CSIRT audit werkprogramma vormt hierbij het voornaamste onderdeel, maar mag niet los worden gezien van de andere categorieën. Om ervoor te zorgen dat het instrument een toegevoegde waarde levert aan de organisatie of auditor is het van belang dat bij de opzet of audit van een CSIRT naar de onderlinge samenhang van de categorieën wordt gekeken. Bij het niet toepassen van alle categorieën bij de oordeelsvorming, bestaat het risico dat een beperkt beeld wordt gevormd met betrekking tot de status van het CSIRT. Voorafgaand aan een beschrijving van de verschillende categorieën van het referentiekader wordt eerst toegelicht welke kwaliteitsaspecten een rol hebben gespeeld bij de totstandkoming van het referentiekader. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 18 van 61
Kwaliteitsaspecten Op basis van de bestudeerde literatuur en de empirische gegevensverzameling zijn de risico s geïnventariseerd en gerelateerd aan kwaliteitsaspecten. De aandachtspunten die vanuit de interviews naar voren zijn gekomen zijn mede bepalend geweest bij het vaststellen welke kwaliteitsaspecten van belang zijn. Hieronder worden de van toepassing zijnde kwaliteitsaspecten kort beschreven: Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de IT - processen; Continuïteit: de mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben; Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd 1. Diensten In het referentiekader zijn alleen aspecten opgenomen, die van toepassing zijn op een beperkt aantal diensten die door een CSIRT geleverd kunnen worden. Dit referentiekader kan dus niet als een volledig referentiekader worden beschouwd. De basis voor het referentiekader heeft betrekking op de volgende drie diensten van een CSIRT: Coördinatie van beveiligingsincidenten (incident response); Voorlichting; Advies; Coördinatie van beveiligingsincidenten Deze primaire dienst dient altijd geleverd te worden. Zonder deze taak zou een CSIRT zichzelf eigenlijk geen CSIRT mogen noemen. Coördinatie van beveiligingsincidenten houdt in: het oprichten en operationeel houden van een meldpunt voor beveiligingsincidenten, het coördineren en bewaken van een adequate afhandeling daarvan. Voorlichting Het geven van voorlichting over preventie van incidenten en actuele bedreigingen. Hieronder valt ook het doorgeven van waarschuwingen van andere CSIRT s. Het delen van kennis met anderen is tevens een belangrijk onderdeel van deze dienst ter bevordering van de kennis en kunde van alle betrokkenen. Daarnaast moet het leiden tot het sneller kunnen afhandelen van beveiligingsincidenten. Advies Advisering ten aanzien van ICT-beveiligingsaspecten en het beveiligingsbeleid. Een CSIRT kan gevraagd en ongevraagd advies uitbrengen om specifieke beveiligingsproblemen te helpen oplossen dan wel verminderen. 1 Definities kwaliteitsaspecten ontleend aan IT auditing aangeduid (NOREA geschrift 1) Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 19 van 61
4.2.1 Het CSIRT audit werkprogramma CSIRT audit werkprogramma Organisatorische aspecten Referentiekader Juridische aspecten Technische aspecten In deze paragraaf wordt het CSIRT audit werkprogramma toegelicht. Per onderdeel wordt kort aangegeven wat daarvan de inhoud is. Het doel van deze paragraaf is om de lezer inzicht te geven in de opzet van het werkprogramma. Om die reden is niet het hele werkprogramma opgenomen, maar slechts een voorbeeld. Het complete werkprogramma is terug te vinden in bijlage E. Het werkprogramma is als volgt opgebouwd: Audit doelstellingen Audit scopes Doelstelling controlemaatregel Verwacht resultaat Waardering CSIRT audit werkprogramma/toetsingskader Audit doelstellingen: Het waarborgen dat bedrijfsmiddelen adequaat worden bewaakt en beschermd; Het waarborgen dat beleid en procedures met betrekking tot computerincidenten, inbraakdetectie of noodreactieproces, overeenkomen met standaarden en best practices; Het waarborgen dat noodzakelijke middelen worden ingezet om computerincidenten of inbraakpogingen te kunnen voorkomen of detecteren en dat medewerkers adequaat zijn opgeleid; Het waarborgen dat rollen en verantwoordelijkheden van primaire functies die zijn betrokken bij het reageren op computerincidenten, inbraakpogingen of noodgevallen zijn ontwikkeld en gecommuniceerd binnen de organisatie; Het waarborgen dat computer beveiligingsincidenten, inbraakpogingen en noodgevallen worden geëscaleerd naar het van toepassing zijnde managementniveau overeenkomstig standaarden en best practices. Tabel 3 CSIRT werkprogramma audit doelstellingen De bovenstaande doelstellingen geven dus aan welke audit doelstellingen door middel van de te controleren maatregelen dienen te worden gewaarborgd. Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 20 van 61
CSIRT Audit werkprogramma/toetsingskader Audit Scope: A. Bekijken en evalueren van alle ontwikkelde beleidsdocumenten, procedures en formulieren met betrekking tot computer incidenten, inbraakdetectie of het noodreactieproces; B. Bekijken en evalueren van het gebruik van het risicoanalyseproces om het computer beveiligingsincident, inbraakdetectie en noodreactieproces te kunnen vaststellen; C. Bekijken en evalueren van de aanschaf van de inzet van middelen die er voor zijn ontwikkeld om een computer beveiligingsincident of inbraakpoging te kunnen voorkomen en detecteren; D. Bekijken en evalueren van de gebruikerstrainingen van computer beveiligingsincident en inbraakdetectie programmatuur; E. Bekijken en evalueren van de rollen en verantwoordelijkheden van primaire functies die betrokken zijn bij het reageren op computer beveiligingsincidenten, inbraakdetectie en noodgevallen; F. Bekijken en evalueren van het computer beveiligingsincident, inbraak of noodescalatieproces. Tabel 4 CSIRT werkprogramma audit scope Het werkprogramma geeft naast de audit doelstellingen en audit scopes per audit scope aan welke controlemaatregelen behandeld dienen te worden en wat daarvan het verwacht resultaat zou moeten zijn. Nadat voldoende inzicht is verkregen met betrekking tot de behandelde controlemaatregel kan per maatregel een waardering worden gegeven. Onderstaand een voorbeeld van een audit scope met daarbij een voorbeeld van de te behandelen controlemaatregel en het verwacht resultaat. Audit Scope A Bekijken en evalueren van alle beleidsdocumenten, procedures en formulieren m.b.t. computer beveiligingsincidenten, inbraakdetectie of het noodreactieproces om te waarborgen dat deze in overeenstemming zijn met standaarden en best practices. Doelstelling controlemaatregel Verwacht resultaat Waardering (N/B/A/O) A1. Verkrijg een kopie van alle beleidsen proceduredocumenten die zijn gebruikt bij het documenteren van het computer beveiligingsincident, inbraak of noodreactieproces. Een recente versie van alle beleiden procedure documenten zou aanwezig moeten zijn. Deze documenten dienen op het hoogste managementniveau te zijn geaccordeerd. Tabel 5 Voorbeeld uitwerking CSIRT audit werkprogramma Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 21 van 61
Waardering van de auditaspecten van het werkprogramma Bij het hanteren van het audit werkprogramma kan per controlemaatregel worden aangegeven wat daarvan de status is. In Tabel 6 zijn de vier keuzemogelijkheden opgenomen. Afkorting Omschrijving N Niet afdoende B Behoeft aandacht/verbetering A Afdoende O Onbekend Tabel 6 Waardering van de auditaspecten Toelichting (N)iet afdoende Bij het toetsen van een controlemaatregel is vastgesteld dat deze niet in afdoende mate aanwezig is. (B)ehoeft aandacht/verbetering Bij het toetsen van een controlemaatregel is vastgesteld dat deze aanwezig is, maar niet afdoende en dus voor verbetering in aanmerking komt. (A)fdoende De getoetste controlemaatregel is aanwezig en voldoet aan de verwachtingen. (O)nbekend De status van de getoetste controlemaatregel is onbekend en kon niet in voldoende mate worden vastgesteld. Het gebruik van het werkprogramma en het geven van een waardering voor elk van de controlemaatregelen heeft niet het doel om een absoluut negatief dan wel positief oordeel te kunnen geven. Het heeft slechts de bedoeling om bij betrokkenen en belanghebbenden van een CSIRT consensus te bereiken over de status van het CSIRT en inzichtelijk te krijgen welke mogelijke risico s een organisatie loopt t.a.v. de informatiebeveiliging van de betreffende organisatie. 4.2.2 Organisatorische randvoorwaardelijke aspecten CSIRT Audit werkprogramma Organisatorische aspecten Referentiekader Juridische aspecten Technische aspecten In het voorgaande hoofdstuk is het begrippenkader van informatiebeveiliging en CSIRT behandeld ingedeeld naar diensten en activiteiten. Op basis van dat kader wordt in deze paragraaf een referentiekader opgesteld voor de organisatorische, juridische en technische aspecten. Deze referentiekaders stelt een organisatie in staat de status van CSIRT binnen een organisatie vast te stellen. Voor wat betreft de technische aandachtspunten is geen uitputtend onderzoek verricht naar de infrastructuur. Wel is op applicatieniveau nagedacht over enkele mogelijkheden om informatie terug te vinden en veilig te stellen in het geval het vergaren van bewijsmateriaal van belang is. Verantwoordelijkheden, bevoegdheden en taken van een CSIRT Het waarborgen van de beschikbaarheid, integriteit en exclusiviteit van de ICT-infrastructuur binnen een organisatie en de daarin opgenomen informatie vereist een specifieke deskundigheid. Deskundigheid die enerzijds in staat is interne en externe dreigingen te onderkennen en te vertalen in concreet te nemen maatregelen, anderzijds Vrije Universiteit Amsterdam CSIRT vanuit een IT-audit perspectief 22 van 61