Informatiebeveiligingsbeleid



Vergelijkbare documenten
Baseline informatiebeveiliging (minimale maatregelen)

Set van minimale IB maatregelen van AVANS Hogeschool. 1 Inleiding Doel Voor wie? Risico en maatregelen...

Gemeente Alphen aan den Rijn

Beveiligingsbeleid Stichting Kennisnet

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

Security Health Check

Informatiebeveiligingsbeleid

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Informatiebeveiligingsbeleid extern

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Analyse Security Audits 2016

Beknopt overzicht van bedreigingen en maatregelen

0.1 Opzet Marijn van Schoote 4 januari 2016

Systeemconfiguratie Policy VICnet/SPITS

ISO 27001:2013 Informatiebeveiligingsbeleid extern

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

HUISREGELS COMPUTERGEBRUIK

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

AVG GAP Analyse. En verwerkingsregistratie. security management audits advies - ethisch hacken netwerkscans

ISO 27001:2013 INFORMATIE VOOR KLANTEN

TOESTELBELEID. VZW Katholiek Basisonderwijs Hasselt Zuid voor: De Tuimelaar De Krullevaar

TOESTELBELEID. VZW Katholiek Basisonderwijs Stevoort Hasselt voor: Vrije Basisschool Stevoort

Informatiebeveiligingsplan

Norm 1.3 Beveiligingsplan

TOESTELBELEID. VZW Zusters van Liefde J.M. voor: Kleuterschool en Lagere school De Waaier

2015; definitief Verslag van bevindingen

Don Bosco Onderwijscentrum VZW voor: Don Bosco Halle Technisch Instituut / Centrum Leren & Werken

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

1. Beveiligingsbijlage

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Verwerkersovereenkomst Openworx

Technische en organisatorische beveiligingsmaatregelen

Verklaring van Toepasselijkheid

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Factsheet Penetratietest Infrastructuur

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Vrije Basisschool voor Buitengewoon Onderwijs de Wikke

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

TOESTELBELEID. Don Bosco Onderwijscentrum VZW voor: Don Bosco Genk. Deze nota maakt deel uit van het informatieveiligheid- en privacybeleid (IVPB).

TOESTELBELEID. VZW Sint-Augustinusinstituut voor: Sint-Augustinusinstituut(en)

(Door)ontwikkeling van de applicatie en functionaliteiten

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

IVPB Toestelbeleid Guldensporencollege

Gedragscode ICT-functionarissen Universiteit Twente

Informatiebeveiliging en Privacy; beleid CHD

Toestelbeleid. Katholiek Onderwijs Vilvoorde VZW. Met volgende instellingen: Basisonderwijs: De Biekorf De Knipoog De Lampion

TOESTELBELEID. KBSM Leuven vzw voor: basisschool Sancta Maria. Deze nota maakt deel uit van het informatieveiligheid- en privacybeleid (IVPB).

Privacy Policy v Stone Internet Services bvba

BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT

Besluit informatiebeheer Veiligheidsregio Utrecht

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

Informatiebeveiligings- en privacy beleid

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

PRIVACY POLICY. Savvy Congress APRIL 26, SAVVY CONGRESS Postbus 226, 3340 AE, Hendrik-Ido-Ambacht, Nederland

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1

VZW KOGA TOESTELBELEID

TOESTELBELEID. Schoolcomite Sint-Jan Baptiste de la Salle vzw

VZW VZW KATHOLIEKE SCHOLEN REGIO GENT CENTRUM

Beveiligingsbijlage Teachers Channel

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Beleid Informatiebeveiliging InfinitCare

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Sint-Lutgardisbasisschool Zandbergen Informatieveiligheids- en privacybeleid

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Deze nota maakt deel uit van het informatieveiligheid- en privacy beleid (IVPB).

Hoe operationaliseer ik de BIC?

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Werkplekbeveiliging in de praktijk

Informatiebeveiligingsbeleid Drukkerij van der Eems

TOESTELBELEID Deze nota maakt deel uit van het informatieveiligheid- en privacybeleid (IVPB)

TOESTELBELEID. VZW KOBA NoordkAnt voor: JOMA secundair Merksem. Deze nota maakt deel uit van het informatieveiligheid- en privacybeleid (IVPB).

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

vzw Onderwijsinrichting van de Ursulinen te Onze-Lieve-Vrouw-Waver

Informatiebeveiligingsbeleid

NEN 7510: een ergernis of een hulpmiddel?

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Informatiebeveiligingsbeleid

Aan welke eisen moet het beveiligingsplan voldoen?

Remote Toegang Policy VICnet/SPITS

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Informatieveiligheid in de steiger

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Integriteits- en gedragscode ICT-functionarissen UM

Factsheet Penetratietest Informatievoorziening

Privacy statement Arch Football

i\ r:.. ING. 1 8 FEB 2016

De impact van Cybercrime & GDPR

Transcriptie:

Informatiebeveiligingsbeleid Minimale Maatregelen Universiteit Leiden Versie 5 8 juli 2004

Inhoudsopgave 1 Inleiding 3 1.1 Uitgangspunten 3 1.2 Minimumniveau van beveiliging 3 2 Minimale set maatregelen 4 2.1 Organisatie 4 2.2 Classificatie en beheer van bedrijfsmiddelen 4 2.3 Personeel en Gebruikers 4 2.4 Fysieke beveiliging 4 2.5 Beheer van communicatie- en bedieningsprocessen 5 2.6 Toegangsbeveiliging 5 2.7 Ontwikkeling en onderhoud van systemen 6 2.8 Controle en naleving 8 Pagina 2 van 8

Het College van Bestuur besluit, 1 Inleiding Dit document beschrijft de minimale maatregelen, die nodig zijn om universiteitsbreed een minimaal niveau van informatiebeveiliging te kunnen waarborgen. Deze set minimale maatregelen is van kracht geworden op 8 juli 2004 en kan worden aangehaald als Minimale maatregelen Informatiebeveiliging Universiteit Leiden. 1.1 Uitgangspunten De verzameling minimum maatregelen zijn gebaseerd op: Informatiebeveiligingsbeleid Universiteit Leiden; Besluiten genomen in het overleg van de Security Manager met de Security Officers. In de markt geaccepteerde opvattingen. Op dit moment wordt hiervoor de IT baseline Protection Manual van het Duitse Bundesamt für Sicherheit in der Informationstechnik genomen De directeur of bestuurder verantwoordelijk voor informatiebeveiliging is verantwoordelijk voor invoering van de minimale maatregelen in zijn eenheid. 1.2 Minimumniveau van beveiliging Voor het samenstellen van een niveau van informatiebeveiliging met welke methode dan ook, is een overzicht nodig van de Informatiesystemen, hun doel en hun eigenaar. Het maken en bijhouden van zo een overzicht is dan ook een onderdeel van de minimale set maatregelen. Met dit overzicht in de hand kan uit één van de beschikbare standaardwerken een common-sense minimum niveau worden vastgesteld. Daarnaast vormen security incidenten aanwijzingen waar voor de Universiteit Leiden specifieke kwetsbaarheden liggen. Voor de jaarlijkse aanpassing van het minimum niveau wordt dan ook gebruik gemaakt van een analyse van de incidenten uit de periode voorafgaand aan het vaststellen van het minimumniveau. Het juist en volledig registreren van security incidenten is onderdeel van de minimum set maatregelen. Pagina 3 van 8

2 Minimale set maatregelen 2.1 Organisatie 1. De verschillende rollen als gedefinieerd in het informatiebeveiligingsbeleid zijn belegd. 2. Minimaal zijn de functieomschrijvingen voorzien van een overzicht van werkafspraken waarin aangegeven is welke taken op het gebied informatiebeveiliging verricht moeten worden door de persoon die de functie uitoefent. 3. Er is functiescheiding aangebracht tussen ontwikkeling, exploitatie en gebruik van informatiesystemen enerzijds en auditing van [de beveiliging / het correct functioneren van] informatiesystemen anderzijds. 2.2 Classificatie en beheer van bedrijfsmiddelen 4. Er wordt een CMDB onderhouden t.b.v. alle IT componenten die onderdeel uitmaken van de informatievoorziening van de Universiteit en van belang zijn voor het goed functioneren hiervan. 5. Er is een administratie waarin wordt bijgehouden welke informatiesystemen aanwezig zijn, voor welk doel en wie de eigenaar is. Tevens bevat deze administratie referenties naar de CMDB en de risicoaanduiding van de verwerkte informatie (zie de bijlage Risicobeheersing ). 6. Er wordt een sluitend licentiebeheer gevoerd. 7. Er is een overzicht aanwezig van alle kabels, leidingen en luchtkanalen in het gebouw die relevant zijn voor de informatievoorziening. 2.3 Personeel en Gebruikers 8. Het bestaan en de consequenties van de Gedragscode voor Computergebruik wordt regelmatig onder de aandacht gebracht van alle gebruikers van Informatievoorzieningen van de Universiteit Leiden. In ieder geval wanneer medewerkers in dienst treden en wanneer studenten een studie beginnen aan de Universiteit Leiden. 9. Er is een exit-procedure waarmee toegangsrechten tot informatievoorzieningen van medewerkers en studenten die de faculteit/het onderdeel verlaten worden ingetrokken. 2.4 Fysieke beveiliging 10. Deuren van werkkamers en serverruimten zijn afsluitbaar middels een slot van goede kwaliteit (2 sterren of hoger) voorzover deze ruimten toegang bieden tot informatie en/of informatiesystemen waarop dit beleid van toepassing is. Voor deze afsluitbare ruimten is een sluitend sleutelplan aanwezig. 11. Beveiligde ruimten waarin universitaire gegevens worden verwerkt zoals serverruimten en archiefruimten zijn niet als zodanig herkenbaar. 12. Serverruimten bevatten geen ramen. Indien dit onvermijdelijk is zijn de ramen voorzien van inbraakwerend glas en een ondoorzichtige folie, tenzij de ramen Pagina 4 van 8

praktisch gezien onbereikbaar zijn voor personen (bijvoorbeeld aan de buitenzijde op de tiende verdieping van een gebouw). In geen geval mogen de ramen worden geopend. 13. Serverruimten beschikken over klimaatcontrole, die een temperatuur van maximaal +30 graden Celsius handhaaft en een relatieve luchtvochtigheid van minstens 30% en maximaal 70%. 14. Het klimaat in serverruimten wordt regelmatig, bij voorkeur automatisch, gecontroleerd en indien de temperatuur en/of de luchtvochtigheid de in het vorige artikel gestelde waarden te buiten gaat wordt corrigerende actie ondernomen. 15. Serverruimten beschikken over een UPS die korte schommelingen (omlaag én omhoog) in, en uitval tot tenminste 30 minuten van, de netspanning kan opvangen. 16. Archiefruimten voor opslag van papieren documenten alsmede serverruimten zijn tenminste voorzien van rookmelders en handblussers. 2.5 Beheer van communicatie- en bedieningsprocessen 17. Ten behoeve van gevoelige communicatie en communicatie van gevoelige gegevens is voorzien in een versleutelde e-mail voorziening. Tenminste het personeel van de afdeling P&O (indien aanwezig) en het hogere management zijn op de hoogte gebracht van het bestaan van deze voorziening en de risico s van het niet gebruiken van deze voorziening. 18. Wachtwoorden worden nergens in leesbare tekst opgeslagen. 19. Er dient gebruik gemaakt te worden van veilige netwerkprotocollen zoals ssh, https, imaps, pop3s etc. ter vervanging van hun niet-versleutelde tegenhangers. 2.6 Toegangsbeveiliging 20. Iedere eenheid heeft een concrete beschrijving van rollen en verantwoordelijkheden van de verschillende (soorten) gebruikers van een informatiesysteem. 21. De beschrijving van de rollen en verantwoordelijkheden van de verschillende (soorten) gebruikers van een informatiesysteem onderkent minimaal het verschil tussen invoerende, controlerende, beherende en autoriserende werkzaamheden. 22. Archiefruimten die persoonsgegevens bevatten zijn slechts toegankelijk voor direct betrokken medewerkers. Anderen dan medewerkers van de betrokken ICT-afdeling mogen slechts toegang hebben tot serverruimten onder begeleiding van een medewerker van die ICT afdeling. 23. Werkstations zijn voorzien van een schermbeveiliging die na maximaal 5 minuten inactiviteit wordt geactiveerd. De eindgebruiker mag deze beveiliging niet kunnen uitschakelen. Pagina 5 van 8

24. Het lokale netwerk is onderverdeeld in aparte en gescheiden segmenten voor tenminste gebruikers, servers en beheer, dmz en extern. Deze scheiding wordt d.m.v. netwerk filtering afgedwongen. 25. Verkeer tussen de verschillende segmenten is denied by default. Dit geldt ook voor uitgaand verkeer. Mailverkeer (SMTP) mag slechts verlopen via expliciet daartoe aangewezen mail-relays. 26. Er is een administratie waarin wordt bijgehouden welke verkeersstromen worden toegestaan en waarom. 27. Ethernet netwerken dienen gebruik te maken van switch-port beveiliging tegen spoofing van MAC-adressen. 2.7 Ontwikkeling en onderhoud van systemen 28. Alle informatiesystemen hebben een eigenaar, functioneel beheerder en een technisch beheerder. Systemen bieden niet meer functionaliteit dan strikt noodzakelijk. 29. Vóór invoering van een nieuw informatiesysteem wordt bepaald in welke risicocategorie de informatie die dit systeem verwerkt valt en wat de invloed van dit nieuwe systeem is op de bestaande omgeving. Hiervoor geldt de methodiek en de drie categorieën basis risico, verhoogd risico en zeer hoog risico zoals gedefinieerd in de bijlage Risicobeheersing. 30. Voor systemen die in de categorie basis risico vallen volstaan de minimale maatregelen. 31. Voor systemen die in de categorie verhoogd risico vallen wordt een aanvullende risicoanalyse uitgevoerd. Deze analyse kan door de eigenaar, in samenwerking met de ICT afdeling worden uitgevoerd. 32. Voor systemen die informatie verwerken uit de categorie zeer hoog risico wordt een aanvullende risico analyse uitgevoerd door, dan wel onder toezicht van, een beveiligingsexpert. 33. Informatie uit de categorie verhoogd risico of zeer hoog risico mag niet gebruikt worden voor testdoeleinden. 34. Alle server-, cliënt- en netwerksystemen die informatie verwerken uit de categorie basis risico voldoen aan de relevante "level-1" baselines als gedefinieerd door het CIS (Center for Internet Security). 35. Alle server-, cliënt- en netwerksystemen die informatie verwerken uit de in de categorie verhoogd risico voldoen aan de relevante "level-2" baselines als gedefinieerd door het CIS. 36. Een informatiesysteem wordt pas onderdeel van de operationele IT omgeving na een formele goedkeuring en acceptatie van de ICT-afdeling. 37. Er wordt voor alle servers en netwerkcomponenten een beheerd logboek bijgehouden. Pagina 6 van 8

38. Wijzigingen aan IT-systemen worden vooraf gepland en goedgekeurd middels een change-procedure. 39. Periodiek wordt de integriteit van alle server en netwerksystemen geverifieerd. Dit kan geautomatiseerd geschieden. 40. Er is een procedure ingericht die zorg draagt voor het tijdig en correct aanbrengen van veiligheidsupdates op systemen. 41. De logfiles van alle server- en netwerksystemen worden op een centraal punt verzameld, en periodiek nagelopen op onregelmatigheden. Onregelmatigheden die geen duidelijke (onschuldige) verklaring kennen, worden als security incident aangemerkt, geregistreerd en onderzocht. 42. Default of standaard wachtwoorden moeten op alle systemen worden vervangen door niet-standaard wachtwoorden. Wachtwoorden zijn minimaal 6 karakters lang en opgebouwd uit letters + cijfers. 43. Er is een databack-up policy overeengekomen met de gebruikers, die gebaseerd is op wensen en behoeften van de gebruikers. Backup-tapes worden tenminste éénmaal per jaar gecontroleerd op leesbaarheid. Bij twijfel over de kwaliteit van de tape wordt deze gedupliceerd teneinde een kopie van goede kwaliteit te verkrijgen. 44. Tenminste de maand-backuptapes worden off-site opgeslagen. Overige tapes worden bewaard in een ruimte die zich niet in de nabijheid van de computerruimte(n) bevindt. 45. Archivering wordt uitgevoerd op applicatieniveau. Het is geen functie van het backup-procedé. 46. Er is een anti-virus concept gedocumenteerd en geïmplementeerd dat zowel e-mail stromen als desktops en servers beschermt tegen computervirussen. De gekozen virusoplossing wordt geautomatiseerd up-to-date gehouden. 47. In principe is het de verantwoordelijkheid van de ICT-afdeling om zorg te dragen voor correct functionerende en beveiligde werkplekken en systemen gebruikers hebben geen systeembeheerrechten en kunnen geen nieuwe applicaties installeren. Een dergelijke werkplek is een gesloten werkplek. 48. In gevallen waar dit niet mogelijk is, wordt deze verantwoordelijkheid overgedragen aan een systeemeigenaar/hoofdgebruiker. Deze overdracht wordt geformaliseerd d.m.v. een overeenkomst. Er is dan sprake van een open werkplek. Met deze overdracht wordt het o.a. de verantwoordelijkheid van de systeemeigenaar/hoofdgebruiker dat aan alle maatregelen uit deze minimum set wordt voldaan. 49. Security incidenten worden geregistreerd op dezelfde wijze als overige (ICT) incidenten. Op verzoek kan er een rapportage worden gemaakt die een overzicht geeft van alleen de security incidenten. De volgende incidenten worden in ieder geval gezien als security incident en moeten als zodanig in een rapportage kunnen worden opgenomen: Niet verklaarbare onregelmatigheden in logfiles van systemen en applicaties; Falen van een integriteitscontrole t.b.v. een informatiesysteem of informatiebron; Pagina 7 van 8

Verlies van een informatiebron; Uitval van informatiesystemen, ongeacht de oorzaak (verlies van beschikbaarheid); (vermoedelijke) inbraak op een systeem; (vermoeden van) misbruik van een systeem door een legitieme gebruiker; (vermoeden van) een grote virusuitbraak op het universitaire- en/of lokale netwerk; (mogelijk) zeer bedreigende virusuitbraak op het Internet. 50. Voor de afhandeling van deze security incidenten is een verantwoordelijke aangewezen en is een procedure opgesteld. 2.8 Controle en naleving 51. Periodiek, tenminste 4x per jaar, wordt de gehele ICT (netwerk) omgeving gescanned op aanwezigheid van zwakke plekken m.b.v. een vulnerabilityscanner. 52. Tenminste twee keer per jaar peilt de Security Officer naleving en voortgang m.b.t. de minimum set, en op basis van deze peiling wordt gerapporteerd aan de faculteitsdirectie en de Security Manager. 53. Minimaal éénmaal per jaar worden de security incidenten over de laatste 12 maanden verzameld en geanalyseerd. Dit is mede ten behoeve van de vaststelling van het minimum niveau door de Security Manager. 54. Deze rapportages worden door de faculteitsdirectie en de security manager gebruikt om het proces informatiebeveiliging (bij) te sturen. Pagina 8 van 8

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback