Security, standaarden en architectuur Landelijk Architectuur Congres 2014 26 november 2014 Jaap van der Veen Strategisch architect Ministerie van Financiën Bart Knubben Senior adviseur Bureau Forum Standaardisatie
2
Standaarden, architectuur en informatiebeveiliging Standaarden zorgen voor uniformiteit Architectuur zorgt voor samenhang Betere en kostenefficiëntere Informatiebeveiliging 3
Relevante pas-toe-of-leg-uit-standaarden Strategisch NEN-ISO 27001(2005) Tactisch NEN-ISO 27002 (2007) Operationeel SAML: Eenmalig inloggen (DigiD/ eherkenning) TLS (bijv. https): Versleuteling gegevensuitwisseling DNSSEC: Domeinnaambeveiliging DKIM/SPF: E-mailauthenticatie/anti-phishing Digikoppeling: Veilige berichtuitwisseling 4
Filmpje beveiligingsstandaarden Zie: https://www.forumstandaardisatie.nl/actueel/filmpjes/#c10979 5
Maar er zijn meer kaders en ontwikkelingen Strategisch NEN-ISO 27001 (2013) VIR, VIR-BI Tactisch NEN-ISO 27002 (2013) Sectorale overheidsbaselines IB, nl. BIR/BIG/BIWA/IBI NORA, katern IB Operationeel SAML,TLS (bijv. https), DNSSEC, DKIM/SPF en Digikoppeling Gangbare standaarden Forum: o.a., SHA-2, AES en IPsec ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC) en DigiD-audits Methode Grip op secure sofware development (SSD) van CIP 6
Beveiliging en kaders Beveiliging Fysiek Personeel Informatie Continuïteit Bestaande Kaders PDCA-cyclus ISO 27001 Thema gebaseerd ISO 27002 Principe gebaseerd Baseline x VIR VIR-BI NORA baselines BIR BIG Sectorale Baselines HBB NCSC 7
Van norm naar Architectuur Metamodel Doel view Functie Gedrag Structuur Goal View Function View Behaviour View Structure View Goal Model effectueert principe eis patroon wordt gerealiseerd door Function Model effectueert wordt gerealiseerd door Behaviour Model effectueert wordt gerealiseerd door Structure Model Audit Elementen Ontwerp & Audit elementen Audit Principes Ontwerp & Audit principes 8
ISO 27001 norm P-D-C-A controlcyclus 9
ISO 27002 norm thema indeling Doel Beheers maatregel Impl. richtlijn Opzet ISO 27002-2013 Risico gebaseerd, diverse thema s 1. Inleiding 2. Normatieve verwijzingen 3. Termen en definities 4. Structuur van de norm 5. Informatiebeveiligingsbeleid 6. Organiseren IB 7. Veilig personeel 8. Beheer bedrijfsmiddelen 9. Toegangsbeveiliging 10. Cryptografie 11. Fysieke beveiliging 12. Beveiliging bedrijfsvoering 13. Communicatiebeveiliging 14. Aquisitie, Ontwikkeling, Onderhoud 15. Leveranciersrelaties 16. Beheer IB-incidenten 17. IB aspecten van bedrijfscontinuïteit 18. Naleving Beleid Toetsing Voorzieningen 10
Baseline x logische structuur Doel Principe Eis Maatregel Algemeen beleid Specifiek beleid Uitvoering Waarom en Wat moet op concern niveau zijn bepaald en ontworpen Waarom en Wat moet op lokaal niveau zijn bepaald en ontworpen Hoe (wanneer/waar) moet op lokaal niveau zijn geïmplementeerd Specifiek control Algemeen control Wat en Hoe moet op lokaal niveau beheerst worden Wat en Hoe moet op concern niveau beheerst worden 11
Baseline x logische structuur Algemeen beleid Specifiek beleid Uitvoering Strategisch beleid - Management betrokkenheid beveiliging - Coördineren beveiliging Beleid Tactisch beleid - Functiescheiding - Toegangsbeleid Mens Proces en Techniek - Toegang gegevens - Applicaties - Systemen - Netwerken Voorzieningen Specifiek control Algemeen control Toetsing - Registratie (logging) - Controle en Signalering Toetsing - P-D-C-A - Rapportering Toetsing 12
NORA metamodel Doel-> principe -> eis Doelen Principes Eisen Toegang Scheiding Toegang Maatregel (patroon) 13
Conclusie en uitdaging Voor nu: 1. Goede IB-standaarden (incl. baselines en architectuurkaders) zijn beschikbaar. Gebruik deze! 2. Eis relevante standaarden ook van leverancier. Voor (nabije) toekomst: 1. Volg de ontwikkelingen via o.a. NORA en Forum Standaardisatie. 2. Verdergaande harmonisatie/standaardisatie (naar één Baseline Informatiebeveiliging Overheid?). 14
Verdere vragen? Over standaarden? Bureau Forum Standaardisatie: Tel: 070-888 7776 E-mail: forumstandaardisatie@logius.nl Over beveiliging in de architectuur? Ga naar het katern Beveiliging noraonline.nl 15
Extra sheets 16
NORA toepassing Eisen -> Architectuur 17
Normontwikkeling 2020 naar een BBO 18
Wat maakt standaarden open? Non-profit beheer Toegankelijke, transparante besluitvorming Beschikbare specificatie (max marginale kosten) Geen royalties (I.E.) 19
Forum Standaardisatie besluit Nationaal Beraad DO adviseert Forum Standaardisatie ondersteunt Bureau 20
Lijsten met open standaarden 1. Pas toe of leg uit -lijst (sinds 2008) Status: verplicht Eerste versie: 5 standaarden, nu: 36 standaarden Pas toe: Bij aanschaf van ICT-systemen; Leg uit: Alleen met zwaarwegende reden via jaarverslag. 2. Lijst met gangbare standaarden Status: aanbevolen Reeds breed geadopteerd 21
Open standaarden en goed opdrachtgeverschap 1. Ontwerpen: Welke koppelvlakken kent het systeem en welke standaarden heb ik daarvoor nodig? 2. Aanbesteden: Hoe formuleer ik dat ik deze standaarden nodig heb? 3. Testen: Hoe controleer ik of ik gekregen heb wat ik nodig heb? 22