Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn
Verantwoording over de beveiliging van Suwinet De Regeling SUWI schrijft voor dat de Suwipartijen zich jaarlijks aan de minister van SZW en IWI moeten verantwoorden over de beveiliging van Suwinet. Deze verantwoording moet worden afgelegd op basis van een edpaudit uitgevoerd door een register edp-auditor (RE). Hierbij wordt een onderscheid gemaakt tussen: de verantwoording over de gegevensuitwisseling (rt. 6.4) de verantwoording over de gegevensverwerking (rt. 5.22) Voor de het ontwikkelen van een verantwoordingsrichtlijn en een gezamenlijk gedragen normenkader is de Werkgroep Verantwoordingsrichtlijn ingericht.
Missie Werkgroep Verantwoordingsrichtlijn Doel(stelling) van de verantwoording fzonderlijke verantwoording door de Suwipartijen en een evenwichtig totaaloverzicht over de beveiliging van Suwinet als geheel Betere bescherming van de bedrijfsgevoelige informatie en reduceren van beveiligingsrisico s Sneller en gemakkelijker herstel na een beveiligingsincident Betrokkenen bij de audit(s) CWI, UWV, IB, BKWI, IWI, min. SZW SIOD, CP/ICT en SVB Mijlpalen De verantwoordingsrichtlijn is in onderdelen ontwikkeld en als geheel opgeleverd
ctiviteiten van de werkgroep Stappenplan Starten van het project Definitie van het Informatiebeveiliging Beheersysteem Risico ssessment Risico afhandeling Opleiding en bewustwording udit voorbereiding udit Omschrijving Zorg voor commitment van de directie / Raad van Bestuur; Selecteer en kwalificeer (opleiding) de leden van het projectteam. Identificeren van de scope and reikwijdte van het framewerk voor Informatiebeveiligingbeheer is cruciaal voor het succes van het project. Identificeer en evalueer dreigingen en kwetsbaarheden; Bereken de waarde van bijkomstige risico s; Toets het niveau van naleving van het Normenkader; Inventariseer en evalueer de (bedrijfs)middelen die beschermd moeten worden. Ga na hoe welke controlemaatregelen geselecteerd en geïmplementeerd kunnen worden om de organisatie optimaal in staat te stellen de risico s te reduceren tot een acceptabel risico. Personeelsleden zijn veelal de zwakste schalek zijn in de informatiebeveiliging van de organisatie. Ruim voordat de edp-audit plaatsvindt kunnen een penetratietest en een quick-scan mogelijke zwakke plekken aan het licht brengen en verholpen worden. Neem lering uit meer over de uitgevoerde stappen van de edpauditor en certificeringinstanties.
Mijlpalen 29 Okt 2004 2004 Verantwoordingsrichtlijn is vastgesteld 13 juli 2004 Het Normenkader is vastgesteld nov 2002 sept 2003 Oplevering eerste concept van de Verantwoordingsrichtlijn en het Normenkader Inrichting werkgroep voor de ontwikkeling van een Verantwoordingsrichtlijn
Wat is de Verantwoordingsrichtlijn Een richtlijn voor elk van de Suwipartijen met als doel: een evenwichtig beeld te kunnen geven over de beveiliging van het Suwinet als geheel Een handreiking voor de edp-auditor met: Opdracht aan de auditor Doelstelling van de audit fbakening van de audit Te hanteren criteria bij de audit De uitvoeringsnormen voor de audit Het format voor de rapportage
Voor wie is de richtlijn bedoeld? De Verantwoordingsrichtlijn is ontwikkeld voor de partijen binnen het Suwidomein. lle organisaties die gebruik maken van het Suwinet moeten zich verantwoorden volgens deze verantwoordingsrichtlijn. De Suwipartijen zijn: CWI, UWV, IB, GSD s, BKWI Organisaties die naar verwachting in de nabije toekomst aan zullen sluiten zijn: SIOD, SVB
Opbouw van de Verantwoordingsrichtlijn Er is bewust voor gekozen de Verantwoordingsrichtlijn, het Normenkader en de Rapportagemodellen te integreren, zodat één document aan de edp-auditor overhandigd kan worden. De Verantwoordingsrichtlijn beschrijft: De uitvoeringsnormen (eisen) aan de audit De afbakening van de scope en diepgang van het onderzoek De kwaliteitscriteria voor de toetsing Exclusiviteit, Integriteit, Beschikbaarheid en Controleerbaarheid De toetsing van Opzet, Bestaan en Werking De toetsing van de werking (Handreiking voor de auditor) De weging van de bevindingen De rapportage Rapportage door de Suwipartijen Model rapportage voor de Suwipartijen en voor het BKWI Model rapportage voor het Samenvattend Overzicht over de beveiliging van Suwinet
Onderdelen van de Verantwoordingsrichtlijn Het normenkader (in augustus vastgesteld) De essentiële normen (in september vastgesteld) De criteria voor het oordeel van de auditor (in september vastgesteld) De weging van de normen (in september vastgesteld) Het format van de rapportage (in september vastgesteld) De werking (operationeel per 2005, wordt nog uitgewerkt )
Schematische weergave van het Suwinet = Domein van de Suwipartij B = Deel van het domein van de Suwipartij dat: ondersteund wordt door de gegevensuitwisseling via Suwinet faciliteiten biedt ten behoeve van de gegevensuitwisseling via Suwinet C = Het Suwinet CWI B BKWI C B UWV B SVB B Gemeenten IB B SIOD
Reikwijdte van de edp-audit voor de beveiliging van Suwinet CWI UWV SVB IB GSD s SIOD B B B B B C BKWI = omgeving van de Suwipartij B = deel van de omgeving van de Suwipartij dat: a) ondersteund wordt door de gegevensuitwisseling via Suwinet b) faciliteiten biedt ten behoeve van de gegevensuitwisseling via Suwinet C = Suwinet De verantwoording over de beveiliging van Suwinet volgens rt. 6.4. Regeling SUWI omvat de vlakken B en C
Reikwijdte (vervolg) lle aspecten die deel uitmaken van de gegevensuitwisseling via Suwinet vallen binnen de reikwijdte van het beveiligingsbeleid, het beveiligingsplan en de verantwoording voor Suwinet Suwinet Reikwijdte van het beleid
De tien aandachtsgebieden Strategisch 1. Beveiligingbeleid 2. Organisatie beveiliging 3.Classificatie & contrôle van (hulp)middelen 7. Toegangcontrole 10. Naleving 4. Personele beveiliging 5. Physical and environmental security Operationeel 8. Systeem ontwikkeling & onderhoud 6. Communicatie & operatieoneel beheer 9. Continuïteits beheer
Rapportage Jaarlijks op 15 maart moeten de Suwipartijen de eigen verantwoording en de Security Officer van het BKWI de Samenvattende Rapportage aangeleverd hebben aan IWI en ministerie. In de praktijk worden de rapportages van de Suwipartijen vlak voor de 15e vastgesteld en omdat de Samenvattende Rapportage op basis van de vastgestelde rapportage samengesteld moet worden, is dit vaak een probleem. De Verantwoordingsrichtlijn bevat modellen voor de afzonderlijke en gezamenlijke rapportages
Potentiële obstakels & succesfactoren Toegewezen personeel en middelen Externe expertise Ruime kennis van risicobeheerfuncties (beheer) en processen (operationeel beheer) ngst, weerstand voor veranderingen; Risico van continuïteit Verhoogde kosten; Ontoereikende kennis voor de geselecteerde aanpak; Schijnbaar onmogelijke taak Frequente communicatie Bewustwording van manager en personeelsleden; Betrokkenheid en medeverantwoordelijkheid van het directie of Raad van Bestuur Gestructureerde aanpak
Voordelen De verantwoording op basis van een gezamenlijk normenkader biedt de mogelijkheid de beveiliging te structureren en biedt de basis voor: Verhoogd wederzijds vertrouwen tussen de partijen; Handvat voor de borging van de beveiliging. Verbeterde privacy praktijk en naleving van privacy wetgeving Potentieel lagere kosten voor computer risicoverzekeringen;
Toekomst Omdat de Verantwoordingsrichtlijn is ontwikkeld vanuit de Code voor Informatiebeveiliging, kunnen de Suwipartijen te zijner tijd besluiten tot het laten certtificeren van de beveiliging van Suwinet. Het audit proces kan door de volgende instanties worden uitgevoerd: Interne audit Dit is de basis om het beveiligingsproces binnen de eigen organisatie te borgen Externe audit Dit is de basis voor de verantwoording over uitbestede diensten (TPM-verklaring) Edp-audit door een BSI Register-auditor (officiële certificatie) Dit is de basis voor de verantwoording naar de minister
Geraadpleegde bronnen Regeling SUWI Stelselontwerp Suwinet (Bijlage XIII bij de Regeling SUWI) Beveiliging Suwinet, Bijlage XIV bij de Regeling SUWI Beveiligingsbeleid Suwinet Keten-SL Handleiding Oordelen van gekwalificeerde IT-auditors (uitgave van NORE de beroepsorganisatie van IT-auditors) Richtlijn ssurance-opdrachten (RC 100) NIVR Code voor Informatiebeveiliging 2000 (gebaseerd op de BS7799) chtergrondstudies en Verkenningen 23 Beveiliging van Persoonsgegevens (CBP)
Tot besluit Informatie over de Verantwoordingsrichtlijn edp-audit Suwinet en het Suwinet- Normenkader kunt u vinden op www.bkwi.nl. U kunt ook contact opnemen met de Security Officer van het BKWI: 020-8513748
Einde presentatie Hartelijk dank voor uw aandacht