Security, standaarden en architectuur

Vergelijkbare documenten

VIAG THEMADAG State of the art internet beveiliging

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

2. Analyse van Ist situatie; landschap van BIR, NORA 3, etc. 3. Visie op kaders en hoe zorgen we dat het werkt?

ICT en Overheid The Next Generation Internet must be Safe

FS FORUM STANDAARDISATIE 16 december 2014 Agendapunt 6. Open standaarden, adoptie Stuk 6. Oplegnotitie

Security Awareness Sessie FITZME, tbv de coaches

Samenwerken in vertrouwen!

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Colofon. Forum Standaardisatie. Expertadvies NEN-ISO/IEC 27001:2013 en 27002:2013. Datum 9 februari 2015

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

Voorstel Informatiebeveiliging beleid Twente

Hoe operationaliseer ik de BIC?

NORA Sessie mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

FS E. FORUM STANDAARDISATIE 13 december Advies. Agendapunt: 3E Betreft: Intake-advies voor Grip op SSD Aan:

Bureau Forum Standaardisatie. Overzicht reacties consultatieronde DANE Bijlagen: - Reactie KING - Reactie ministerie van BZK. Forum Standaardisatie

FS E. Forum Standaardisatie. Verkennend onderzoek NEN-ISO/IEC en Datum 27 november 2014

Gemeente Alphen aan den Rijn

FS B. Pagina 1 van 7

Verklaring van Toepasselijkheid

Opname TLS 1.2 op de lijst voor pas toe of leg uit. Stuurgroep Standaardisatie Datum: 2 april 2014 Versie 1.0

14. FS FORUM STANDAARDISATIE 28 oktober 2014 Agendapunt 05. Open standaarden, adoptie Stuk 05. Oplegnotitie. Bijlagen:

FS FORUM STANDAARDISATIE 19 oktober 2016 Agendapunt 4. Open standaarden, adoptie Stuknummer 4. Oplegnotitie adoptie

De app wordt volwassen kansen en valkuilen. Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

I N T E R C O M M U N A L E L E I E D A L 1

De maatregelen in de komende NEN Beer Franken

IB-Governance bij de Rijksdienst. Complex en goed geregeld

8. Status aanvullend expertonderzoek CMIS (contentmanagement systeem standaard)

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Norm ICT-beveiligingsassessments DigiD

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Expertadvies functioneel toepassingsgebieden internet veiligheidstandaarden

FS FORUM STANDAARDISATIE 22 april 2015 Agendapunt 2. Open standaarden, lijsten Stuknummer 2. Oplegnotitie lijsten

Welkom bij parallellijn 1 On the Move uur

DE MOEDER ALLER BASELINES

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Opname OAuth 2.0-standaard op de lijst met open standaarden. Opname OAuth 2.0-standaard op de lijst met open standaarden

Samenwerking in Uitvoering

Informatiebeveiliging

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Standaarden toepassen

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Rfc Afgeleide principes 35-40

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?

Forum Standaardisatie. Expertadvies functioneel toepassingsgebieden internet- en beveiligingsstandaarden

Informatiebeveiliging

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Presentatie NORA/MARIJ

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

Dit is een presenteerbaar werkdocument voor de expertgroep Actualiseren NORA-3 Het bevat views van de huidige situatie (Ist) en ideeën waar in

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Leveranciers en Logius een verleidelijke combinatie!

NORA sessie 3. Samenaande slag! Generiek raamwerk. Onderwerp: 16 jan Expertgroep NORA katern Beveiliging. Jaap van der Veen

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

BABVI/U Lbr. 12/015

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

FORUM STANDAARDISATIE 11 oktober 2017

Handreiking Implementatie Specifiek Suwinetnormenkader

Aanmelding van een nieuwe standaard

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Forum Standaardisatie. Wilhelmina van Pruisenweg AN Den Haag. Postbus JE Den Haag.

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

FS D VERDUIDELIJKING FUNCTIONEEL TOEPASSINGSGEBIEDEN. Eindrapport

Het Forum Standaardisatie wordt geadviseerd om de aangemelde standaard Kerberos niet in behandeling te nemen voor opname op de lijst.

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Beleidslijn informatieveiligheid en privacy Draadloze netwerken

Halfjaarlijkse meting Informatieveiligheidsstandaarden BFS Begin 2017

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

NORA dossier Informatiebeveiliging. Architectuur Aanpak

FS FORUM STANDAARDISATIE 08 maart Agendapunt 2. Open standaarden, lijsten Stuknummer 2. Oplegnotitie lijsten

SAMENHANG IN ICT- BEVEILIGINGSSTANDAARDEN. Verkenning en strategie voor de overheid

FS FORUM STANDAARDISATIE 10 juni 2015 Agendapunt 2. Open standaarden, lijsten

Norm ICT-beveiligingsassessments DigiD

DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie

Platform Rijksoverheid Online. Kwaliteitsprogramma en Kwaliteitsrichtlijnen

PIANOo-congres 2017 Vragen om open standaarden bij inkopen Wob Rombouts (Inkoop3.0)

Hartelijk welkom! DNV GL 2016 SAFER, SMARTER, GREENER

Security Health Check

S. Nicolasen, B. Duindam, K. v.d. Heuvel, D. Wering. Advies: Bijgaande raadsinformatiebrief goedkeuren en naar raad verzenden.

tekst raadsvoorstel Rekenkameronderzoek Digitale Veiligheid

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Informatieveiligheid AB 23 maart 2017 Coenraad Doeser Programmamanager informatieveiligheid

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Doorontwikkeling NORA

Stuurgroep open standaarden Datum: 22 augustus 2012 Versie 1.0

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

FS FORUM STANDAARDISATIE 10 juni 2015 Agendapunt 3:Adoptie open standaarden Stuknummer 3: Oplegnotitie adoptie

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

Notitie. Inleiding. Reacties uit de openbare consultatie

Bedrijvenbijeenkomst informatiebeveiliging en privacy

FORUM STANDAARDISATIE 10 oktober 2018 Agendapunt 3A - Plaatsing TLS 1.3 op pas-toe-of-leg-uit lijst

Transcriptie:

Security, standaarden en architectuur Landelijk Architectuur Congres 2014 26 november 2014 Jaap van der Veen Strategisch architect Ministerie van Financiën Bart Knubben Senior adviseur Bureau Forum Standaardisatie

2

Standaarden, architectuur en informatiebeveiliging Standaarden zorgen voor uniformiteit Architectuur zorgt voor samenhang Betere en kostenefficiëntere Informatiebeveiliging 3

Relevante pas-toe-of-leg-uit-standaarden Strategisch NEN-ISO 27001(2005) Tactisch NEN-ISO 27002 (2007) Operationeel SAML: Eenmalig inloggen (DigiD/ eherkenning) TLS (bijv. https): Versleuteling gegevensuitwisseling DNSSEC: Domeinnaambeveiliging DKIM/SPF: E-mailauthenticatie/anti-phishing Digikoppeling: Veilige berichtuitwisseling 4

Filmpje beveiligingsstandaarden Zie: https://www.forumstandaardisatie.nl/actueel/filmpjes/#c10979 5

Maar er zijn meer kaders en ontwikkelingen Strategisch NEN-ISO 27001 (2013) VIR, VIR-BI Tactisch NEN-ISO 27002 (2013) Sectorale overheidsbaselines IB, nl. BIR/BIG/BIWA/IBI NORA, katern IB Operationeel SAML,TLS (bijv. https), DNSSEC, DKIM/SPF en Digikoppeling Gangbare standaarden Forum: o.a., SHA-2, AES en IPsec ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC) en DigiD-audits Methode Grip op secure sofware development (SSD) van CIP 6

Beveiliging en kaders Beveiliging Fysiek Personeel Informatie Continuïteit Bestaande Kaders PDCA-cyclus ISO 27001 Thema gebaseerd ISO 27002 Principe gebaseerd Baseline x VIR VIR-BI NORA baselines BIR BIG Sectorale Baselines HBB NCSC 7

Van norm naar Architectuur Metamodel Doel view Functie Gedrag Structuur Goal View Function View Behaviour View Structure View Goal Model effectueert principe eis patroon wordt gerealiseerd door Function Model effectueert wordt gerealiseerd door Behaviour Model effectueert wordt gerealiseerd door Structure Model Audit Elementen Ontwerp & Audit elementen Audit Principes Ontwerp & Audit principes 8

ISO 27001 norm P-D-C-A controlcyclus 9

ISO 27002 norm thema indeling Doel Beheers maatregel Impl. richtlijn Opzet ISO 27002-2013 Risico gebaseerd, diverse thema s 1. Inleiding 2. Normatieve verwijzingen 3. Termen en definities 4. Structuur van de norm 5. Informatiebeveiligingsbeleid 6. Organiseren IB 7. Veilig personeel 8. Beheer bedrijfsmiddelen 9. Toegangsbeveiliging 10. Cryptografie 11. Fysieke beveiliging 12. Beveiliging bedrijfsvoering 13. Communicatiebeveiliging 14. Aquisitie, Ontwikkeling, Onderhoud 15. Leveranciersrelaties 16. Beheer IB-incidenten 17. IB aspecten van bedrijfscontinuïteit 18. Naleving Beleid Toetsing Voorzieningen 10

Baseline x logische structuur Doel Principe Eis Maatregel Algemeen beleid Specifiek beleid Uitvoering Waarom en Wat moet op concern niveau zijn bepaald en ontworpen Waarom en Wat moet op lokaal niveau zijn bepaald en ontworpen Hoe (wanneer/waar) moet op lokaal niveau zijn geïmplementeerd Specifiek control Algemeen control Wat en Hoe moet op lokaal niveau beheerst worden Wat en Hoe moet op concern niveau beheerst worden 11

Baseline x logische structuur Algemeen beleid Specifiek beleid Uitvoering Strategisch beleid - Management betrokkenheid beveiliging - Coördineren beveiliging Beleid Tactisch beleid - Functiescheiding - Toegangsbeleid Mens Proces en Techniek - Toegang gegevens - Applicaties - Systemen - Netwerken Voorzieningen Specifiek control Algemeen control Toetsing - Registratie (logging) - Controle en Signalering Toetsing - P-D-C-A - Rapportering Toetsing 12

NORA metamodel Doel-> principe -> eis Doelen Principes Eisen Toegang Scheiding Toegang Maatregel (patroon) 13

Conclusie en uitdaging Voor nu: 1. Goede IB-standaarden (incl. baselines en architectuurkaders) zijn beschikbaar. Gebruik deze! 2. Eis relevante standaarden ook van leverancier. Voor (nabije) toekomst: 1. Volg de ontwikkelingen via o.a. NORA en Forum Standaardisatie. 2. Verdergaande harmonisatie/standaardisatie (naar één Baseline Informatiebeveiliging Overheid?). 14

Verdere vragen? Over standaarden? Bureau Forum Standaardisatie: Tel: 070-888 7776 E-mail: forumstandaardisatie@logius.nl Over beveiliging in de architectuur? Ga naar het katern Beveiliging noraonline.nl 15

Extra sheets 16

NORA toepassing Eisen -> Architectuur 17

Normontwikkeling 2020 naar een BBO 18

Wat maakt standaarden open? Non-profit beheer Toegankelijke, transparante besluitvorming Beschikbare specificatie (max marginale kosten) Geen royalties (I.E.) 19

Forum Standaardisatie besluit Nationaal Beraad DO adviseert Forum Standaardisatie ondersteunt Bureau 20

Lijsten met open standaarden 1. Pas toe of leg uit -lijst (sinds 2008) Status: verplicht Eerste versie: 5 standaarden, nu: 36 standaarden Pas toe: Bij aanschaf van ICT-systemen; Leg uit: Alleen met zwaarwegende reden via jaarverslag. 2. Lijst met gangbare standaarden Status: aanbevolen Reeds breed geadopteerd 21

Open standaarden en goed opdrachtgeverschap 1. Ontwerpen: Welke koppelvlakken kent het systeem en welke standaarden heb ik daarvoor nodig? 2. Aanbesteden: Hoe formuleer ik dat ik deze standaarden nodig heb? 3. Testen: Hoe controleer ik of ik gekregen heb wat ik nodig heb? 22