Baseline(Informatiebeveiliging(HO((BIHO)( ( Auteur(s): SCIPR(SURFibo) Versie: 1.0 Datum: 1mei2015 Moreelsepark48 3511EPUtrecht Postbus19035 3501DAUtrecht 088<7873000 admin@surfnet.nl www.surfnet.nl INGBankNL54INGB0005936709 KvKUtrecht30090777 BTWNL0089.60.173.B01
BaselineInformatiebeveiligingHO(BIHO) Inhoudsopgave( 1 Inleiding(...(5 2 Context(...(6 3 Toepassen(BIHO(binnen(de(instelling(...(8 BIJLAGE(I:(Tabel(relevante(documenten(...(10 BIJLAGE(II:(Overzicht(geraadpleegde(externe(bronnen(...(12 4 BIJLAGE(III:(maatregelen(set(Baseline(Informatiebeveiliging(HO(...(14 SURFCommunityvoorInformatiebeveiligingenPRivacy,voorheenSURFibo)is eencommunityofpracticemetalsdoelenhetactiefstimulerenvanenrichting gevenaaninformatiebeveiligingenprivacybinnenhethogeronderwijs (universiteiten,hogescholen,onderzoeksinstellingenenuniversitairmedische centra).ditdoetscipronderanderedoorhetleverenvanpraktischbruikbare adviezen,beleidenleidraden. DitdocumentisvlakvoordenaamswijzigingvanSURFibonaarSCIPR geschreven.waarindetekstsurfibowordtgenoemd,moersciprgelezen worden. MeerinformatieoverSURFibostaatopwww.surf.nlonderhetthema Beveiliging enprivacy. DezepublicatieisgelicenseerdondereenCreativeCommonsNaamsvermelding3.0Unportedlicentie Meerinformatieoverdezelicentievindtuophttp://creativecommons.org/licenses/by/3.0/deed.nl
BaselineInformatiebeveiligingHO(BIHO) Versiebeheer:( Maart2015 EersteversieBaselineinformatiebeveiligingHO 3/62
BaselineInformatiebeveiligingHO(BIHO) 4
BaselineInformatiebeveiligingHO(BIHO) 1( Inleiding( HetdoorSURFiboontwikkeldemodelinformatiebeveiligingsbeleidsteltdathetHogerOnderwijsmet betrekkingtotinformatiebeveiligingderelevantemaatregelenconformiso<27002zaltreffen.de NederlandseoverheidhanteertdezeISO<standaardookalsnorm.Depraktijkwijstuitdathetinvoeren vandezeiso<standaardnieteenvoudigis,metalsbelangrijkeoorzaakzijngroteabstractheid waardoorerveeldiscussiekanzijnoverdevertalinginconcretemaatregelen. Deoverheidheefthet ICT<deel vanhaartactischevariantvandeiso<27002,debaseline InformatiebeveiligingRijksoverheid<TactischNormenKader(BIR<TNK),doorvertaaldnaaroperationele maatregelenenopgenomenindebir<oh(operationelehandreiking).ookinhethogeronderwijsis behoefteaanmeerconcretebeveiligingsmaatregelen.inditdocumentwordtdebirverdertoegelicht, waaromdezeookvoorhethogeronderwijsgeschiktisenhoedezebaselineinformatiebeveiliging HO(BIHO)toegepastkanworden. DitdocumentisbedoeldvoordegebruikersvandemaatregeleninhetHogerOnderwijs:de functionarisseninformatiebeveiligingzoalssecurityofficers,projectleidersvanict<projecten,ict< architectenenictbeheerders. 5
BaselineInformatiebeveiligingHO(BIHO) 6 2( Context( DenormenenmaatregelenindeBIRzijngebaseerdopeenvertrouwelijkheidsniveaudathoortbij gegevensmetdeclassificatie DepartementaalVertrouwelijk,vergelijkbaarmet VoorInternGebruik enhetniveauwbprisicoklasseii:verhoogdrisico.dittypegegevenskomtookveelvuldigvoorinhet HogerOnderwijs.SURFiboheeftvastgestelddathetrisicoprofielvoorhetHogerOnderwijsen Onderzoekzoalsweergegeveninhet CyberdreigingsbeeldSectorHogerOnderwijsen WetenschappelijkOnderzoek (2105)veelovereenkomstvertoontmethetrisicoprofielvan Rijksoverheid.Vanwegedegroteovereenkomsteninvertrouwelijkheidsniveauenrisicoprofielstelt SURFibodatdeBIR(inclusiefdeRijks<specifiekemaatregelen)alsbasiskandienenvooreen baselineinformatiebeveiligingvoorinstellingeninhethogeronderwijs(biho). HoepastdezeBIHOinhetSURFiboFrameworkInformatiebeveiliging,waarvaneengedeeltein onderstaaandeuitsnedeisweergegeven?relevantinhetkadervandebir<ohbinnenhetframework zijndevolgendedocumenten: Product Inhoud Dd HORA Eensetarchitectuurmodellenen principesvoorhethoger onderwijs,geïnspireerdopde NORA. BevatIB<principesen classificaties. 07< 2014 Starterkit informatiebeveiliging Eenuitgewerkteprocesgerichte aanpak(infasen)om informatiebeveiligingopgangte brengenenhouden. 12< 2010 ModelbeleidIB Template informatiebeveiligingsbeleid. 05< 2015 NormenkaderHO/ SURFaudit 85normenuitISO27002<2013 voorhethogeronderwijs,als basisvoordesurfauditdoor SURFstuurgroep Informatiebeveiligingenprivacy geaccordeerd. Baseline InformatiebeveiligingHO (BIHO) Operationelesetmaatregelen voorhethoopbasisvanbir< TNKenBIR<OH Nu
BaselineInformatiebeveiligingHO(BIHO) Juridischnormenkader CloudServices Toetsmodelwaaraandediensten vaneenleverancier(van cloudservices)getoetstwordt. 11< 2013 Technische handreikingen Defactostandaardszoals OWASP. Diver s BijhetopstellenvandesetoperationelemaatregelenvoorhetHogerOnderwijsopbasisvandeBIR isgeconstateerddathetonderscheidtussendetactischenormenuitdebir<tnkendeoperationele maatregelenuitdebir<ohnietconsequentwordtgehanteerd. Daaromisbeslotenbijhetsamenstellenvande bestpractice maatregelensetvoorhetho,debiho uitbeidedocumententeputten. DeBIHObestaatuittweedelen,heteerstedeelbevatdenormenuithetnormenkaderHOaangevuld metconcretemaatregelenuitdebireninsommigegevallenisdaar evidence 1 of)umccloud 2 )aan toegevoegd.hettweededeelbevatnormenuitdebir<tnkdienietinhetnormenkaderho voorkomen.hetrijksteltdezenormenverplicht,hetisvoorstelbaardatdebihoenbir<tnknaar elkaarzullengroeien. Hetisnietverplichtomde bestpractice letterlijkovertenemen,maardoordezezovolledigmogelijk tevolgen,komtdeinstellinginlijnmethetnormenkaderho/surfauditnormenkader.hetadviesaan deinstellingenisomdeinvullingvanallemaatregelenconformhetprincipe"pastoeofleguit"vastte leggen. InbijlageIIIisdeBIHOopgenomen,dezeisookinExcelformaattedownloadenvandeSURFibosite. 1 deevidence<lijstuitsurfaudit,opgestelddoorinternal<auditorsho 2 "normdocumentclouddiensten"vandegezamenlijkeuniversitairemedischecentra 7
BaselineInformatiebeveiligingHO(BIHO) 3( Toepassen(BIHO(binnen(de(instelling( GeadviseerdwordtomdeICT<maatregelenuitdeBIHOalsvolgttoetepassen: 1. Stelvastdatdeset bestpractice ICT<beveiligingsmaatregelendenormisl 2. Bepaaldegapmetdeset bestpractice ICT<beveiligingsmaatregelen,daarvoorkanhet onderstaandschemawordengebruikt: GAP<analyse Impactanalyse Aanwezig(Is(de( maatregel( geïmplementeerd( ( ja/nee/( gedeeltelijk/( nvt/onbekend Hoe( geïmplementeerd Omschrijving(hoe(en( waar( (instellingsbreed( /onderdeel) geïmplementeerd Eigenaar(van( de(maatregel( naam( /afdeling ( Status Actiehouder( Wie(is( aanspreekbaar/( verantwoordelijk( voor( implementatie(van( de(maatregel Planning( Datum(( gereed Geaccept eerd( risico( =( manage menty( besluit Indekolom Aanwezig kunnendevolgendekeuzesgemaaktworden: Ja:Demaatregelisaanwezig.Vulookdevindplaatsin,wiedemaatregeluitvoert,waarde maatregelisvastgelegdenoverigebijzonderheden. Nee:Erisnietsgevonden. Gedeeltelijk:Demaatregelisgedeeltelijkgeïmplementeerd. Nietvantoepassing:Demaatregelisnietvantoepassing.Vuldaarbijookeenredenin Onbekend:Onduidelijkoferietsisdatvoldoet. Vervolgenskanhetdeel Impactanalyse wordeningevuld,doorvoordenognietgenomen maatregelenofdeonbekendemaatregelenkaneenstatuswordenaangegeven: Geïmplementeerd:Eenmaatregelisvollediggeïmplementeerd. Deelsgeïmplementeerd:Eenmaatregelisdeelsaanwezig. 8
BaselineInformatiebeveiligingHO(BIHO) Teimplementeren:Demaatregelgaatgeïmplementeerdwordenbinnenafzienbaretijd. Nietgeïmplementeerd:Demaatregelmoetnoggeïmplementeerdworden. Nietvantoepassing:Demaatregelisnietvantoepassing. Nognietonderzocht:Demaatregelisnognietonderzocht. Overgedragen:Demaatregelisovergedragen(bijvoorbeeldaaneenandere beheerorganisatie). Geaccepteerdrisico:Eenmaatregelwordtnietgenomen,hetrisicodatgelopenwordtdoor hetnietnemenwordtgeaccepteerd. 3. Vervolgenskaneenplanvanaanpakwordenopgesteldwaarinwordtbeschrevenhoede uitkomstenvandegap<analysewordenafgehandeld.ditplanvanaanpakisdaarmeeonderdeelvan depdca<cyclus. 4. Tenslottekaneenpeer<reviewofeenexterneaudituitgevoerdwordenomtecheckenofde juistemaatregelenzijngenomenenof(opbasisvandeevidence<lijst)hetgewenste volwassenheidsniveauisbereikt. 9
BaselineInformatiebeveiligingHO(BIHO) 10 BIJLAGE(I:(Tabel(relevante(documenten( Product Inhoud Dd Starterkit informatiebeveiliging Eenuitgewerkteprocesgerichteaanpak(infasen)om informatiebeveiligingopgangtebrengenenhouden. 12<2010 ModelbeleidIB SURFiboTemplateinformatiebeveiligingsbeleid 05<2015 NEN<ISO27001:2013 InternationalespecificatievaneisenwaaraaneenISMS (InformationSecurityManagementSystem)ofwel managementsysteemvoorinformatiebeveiliging)moet voldoen. 2013 NEN<ISO27002:2013 Eenpraktischesetmaatregelenwaarmee informatiebeveiliginggeïmplementeerdkanworden. 2013 SURFaudit6<cluster Denormenset(85normen)doorSURFiboopgesteldvoor hethogeronderwijsopgesteldopbasisvaniso<27002:2013 02<2015 Juridischnormenkader CloudServices SURFToetsmodelwaaraandedienstenvaneenleverancier vancloudservicesgetoetstkanwordenopsecurity&privacy. 11<2013 BIRTNK HettactischenormenkadervandeBIR.DeTNKisverplicht bijderijksoverheid(pastoeofleguit/complyorexplain). HetiseenverbijzonderingvanNEN<ISO27002.Het beoogdeniveauvandebaselineis departementaal vertrouwelijkenwbprisicoklasseii 12<2<2012 QuickScanBIR HetuitvoerenvandeQuickScanBIRgeeftaanofdeBIR maatregelenvoldoendezijnvoorbeveiligingvanspecifieke processenmetondersteunendeinformatiesystemen. 21<01< 2014 Technischebaselines BaselineszoalsdeApplicationSecurityVerification StandaardvanOWASP,detechnicalbaselinesvanENISA, destandaardendiedoorhetnistzijnvoorgesteldenhet raamwerkbeveiligingvanwebapplicatiesdoorhetncsc. (Defactostandaards) HORA Eensetarchitectuurmodellenen principesvoorhethoger onderwijs,geïnspireerdopdenora. 07<2014
BaselineInformatiebeveiligingHO(BIHO) Bevatbeperkt(enkeleprincipes)rondIB. IBA SURFiboInformatieBeveiligingsArchitectuur 11<2012 11
BaselineInformatiebeveiligingHO(BIHO) BIJLAGE(II:(Overzicht(geraadpleegde(externe(bronnen( BIRYOH(www.earonline.nl/images/.../BIR_Operationele_Handreiking_v1_0.pdf) ENISA(http://www.enisa.europa.eu/)( Relevantemaatregelenin: http://www.enisa.europa.eu/activities/resilience<and<ciip/incidents<reporting/technical< guideline<on<minimum<security<measures/technical<guideline<on<minimum<security<measures http://www.enisa.europa.eu/activities/resilience<and<ciip/incidents< reporting/technical%20guidelines%20on%20incident%20reporting/technical<guideline<on<incident< reporting http://www.enisa.europa.eu/activities/stakeholder<relations/nis<brokerage<1/brokerage<model< for<network<and<information<security<in<education http://www.enisa.europa.eu/activities/identity<and<trust/library/deliverables/algorithms<key< sizes<and<parameters<report http://www.enisa.europa.eu/activities/identity<and<trust/library/deliverables/recommended< cryptographic<measures<securing<personal<data NIST((http://www.nist.gov/information<technology<portal.cfm)( InteressantisdeconfiguratiehandleidingdievoorveelgebruikteITcomponentenbeschikbaaris: https://web.nvd.nist.gov/view/ncp/repository?startindex=0 metbijvoorbeeldvoorfirefox(viaeenzusterorganisatiecenterforinternetsecurity): https://benchmarks.cisecurity.org/tools2/cis_mozilla_firefox_24_esr_benchmark_v1.0.0.pdf OWASP((http://www.owasp.org/)( OWASPlevertvooraldeApplicationSecurityVerificationStandaard (https://www.owasp.org/images/5/58/owasp_asvs_version_2.pdf)endriehow<to's: Howtodevelopsecureapplications:https://github.com/OWASP/DevGuidemetmeestconcreet https://github.com/owasp/devguide/tree/master/03<build,ideaalvoorontwikkelaars,dehowtotest applicationsecurity(eenuitgebreide,praktischegidshoetetesten)endehowtocodereview. NCSC((www.ncsc.nl) Interessantzijndealerts(bekendekwetsbaarhedenmetoplossing)enhetraamwerkbeveiliging webapplicaties: https://www.ncsc.nl/dienstverlening/response<op<dreigingen<en< incidenten/beveiligingsadviezen 12
BaselineInformatiebeveiligingHO(BIHO) https://www.ncsc.nl/dienstverlening/expertise<advies/kennisdeling/whitepapers/raamwerk< beveiliging<webapplicaties.html SANS((www.sans.org) 13
BaselineInformatiebeveiligingHO(BIHO) 4" BIJLAGE"III:"maatregelen"set"Baseline"Informatiebeveiliging"HO" Legenda: Bronnen:" BIR BaselineInformatiebeveiligingRijksdienst BIR>TNK BIR>TactischNormenkader BIR>OH BIR>OperationeleHandreiking Evidence Elementuitdeevidence>lijstopgestelddoorinternal>auditorsHO ISO ElementuitISO27002:2013 UMCcloud Elementuit"normdocumentclouddiensten"vandegezamenlijkeUniversitaireMediceCentra NORA NederlandseOverheidReferentieArchitectuur (O) Maatregeluit<bron>isaangepastvoordeOnderwijssector " " 14
BaselineInformatiebeveiligingHO(BIHO) " Afkortingen"en"Begrippen"" RA(S)CImatrix matrixmetrollenineenproces:responsible,accountable,(tooffersupport,)tobeconsulted,tobeinformed BIA BusinessImpactAnalyses PIA PrivacyImpactAssessment OTAP Ontwikkeling,Test,AcceptatieenProductie BYOD BringYourOwnDevice DMZ DeMilitarizedZone NAT NetworkAddressTranslation:eentechnologiewaarbijeenprive>adresrangewordtverbondenmetinternetviaeenroutermet1openbaar netwerkadres DNS DomeinNameSystem spoofing Zichvoordoenalsiemand/ietsanders(andermansnaam,IP>adresetc.) zero>footprint Applicatieskunnenwordengebruiktzondersoftwareinstallatieopdeclientenzonderachterlatingvanapplicatiedataopdeclient reverseproxy Eenproxyserverdienamenseenclientdataophaaltbijmeerderservers,doorgaansineeninternnetwerk. hardened Eenverhoogdbeveiligingsniveaudoorbeperkingvanhetaantalkwetsbareconfiguratieonderdelen multifunctionalsapparatenmetmeerderefunctioneledoelen,meestalprinten,kopiërenenscannen/faxen 15
BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"1:"Beleid"en"organisatie" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" 1.1 5.1.1.1 Beleidsregels"voor"informatiebeveiliging:"" Tenbehoevevaninformatiebeveiligingiseenreeksbeleidsregels gedefinieerdengoedgekeurddoorhetbestuur." Hetbestuurvandeinstellingsteltbeleidvoorinformatiebeveiliging vast. BIR>TNK 1.2 5.1.1.2 Beleidsregels"voor"informatiebeveiliging: Debeleidsregelsvoorinformatiebeveiligingzijngepubliceerden gecommuniceerdaanmedewerkersenrelevanteexternepartijen." Hetdoorhetbestuurvastgesteldeinformatiebeveiligingbeleidwordt gepubliceerdengecommuniceerdaanmedewerkersenrelevante externepartijen(bijv.innieuwsbrieven,opinternewebsitesenin jaargesprekkenmetmedewerkers) Evidence 16
BaselineInformatiebeveiligingHO(BIHO) 1.3 5.1.2 Beoordeling"van"het"informatiebeveiligingsbeleid:"" Hetbeleidvoorinformatiebeveiligingwordtmetgeplandetussenpozen ofalszichsignificanteveranderingenvoordoen,beoordeeldomte waarborgendathetvoortdurendpassend,adequaatendoeltreffendis." Deinformatiebeveiligingsfunctionarisbiedtjaarlijkseenverslagover dekwaliteitvaninformatiebeveiligingaanaanbestuurencio. Alsonderdeelvandejaarrekeningcontrolebeoordeeltde huisaccountantjaarlijksdeinformatiebeveiliging. Deinstellinglaatzichtweejaarlijksbeoordelentijdenseenpeer> review BIR>TNK 1.4 6.1.1 Taken"en"verantwoordelijkheden"informatiebeveiliging:"" Alleverantwoordelijkhedenbijinformatiebeveiligingzijngedefinieerd entoegewezen." (O)Hetlijnmanagementwaarborgtdatde informatiebeveiligingsdoelstellingenwordenvastgesteld,voldoen aandekaderszoalsgesteldinhetbeleidsdocumentenzijn geïntegreerdinderelevanteprocessen. BIR>TNK (O)Functiebeschrijvingen,mandateringsbesluitenen/ofRACI matricesbevattenverantwoordelijkhedenvoorhetopstellen, onderhouden,vaststellenvanentoezichthoudenop informatiebeveiliging. BIR>TNK (O)Eriseendisciplinairprocesvastgelegdvoormedewerkersdie inbreukmakenophetbeveiligings>en/ofprivacybeleid. BIR>TNK 1.5 6.1.5 Informatiebeveiliging"in"projectbeheer:"" Informatiebeveiligingkomtaandeordeinprojectbeheer,ongeachthet soortproject." Deontwikkel>enprojectmethodiekenvandeorganisatiebeschrijven devereisteaandachtvoorinformatiebeveiliging,bevattemplates metbeveiligingsparagraafengeefteenduidelijkerolvoorde informatiebeveiligingsfunctionaris. EenBIAisverplichtbijprojectenmetgroteimpactofhoge risicoklasseenbetrefthetpersoonsgegevensdaniseenpia verplicht. Evidence 1.6 6.2.1.1 Beleid"voor"mobiele"apparatuur: Beleidenondersteunendebeveiligingsmaatregelenzijnvastgesteld omderisico sdiehetgebruikvanmobieleapparatuurmetzich meebrengttebeheren." Perrisicoklasseisvastgesteldof,enwelke,mobieledatadragers wordentoegestaan.toegangtotgegevensbronnenwordttechnisch (onafhankelijkvandelocatie)afgedwongen. BIR>OH 17
BaselineInformatiebeveiligingHO(BIHO) 1.7 8.2.1 Classificatie"van"informatie: Informatieisgeclassificeerdmetbetrekkingtotwettelijkeeisen, waarde,belangengevoeligheidvooronbevoegdebekendmakingof wijziging." (O)Deorganisatieheefteeninformatieclassificatierichtlijn(zoalsde SURFibo"Richtlijnclassificatie")opgesteld. BIR>TNK (O)Deeigenaarvandeinformatiekenteenclassificatievoor beschikbaarheid,integriteit,vertrouwelijkheideneventueleandere kwaliteitscriteriatoe. BIR>TNK Declassificatiewordtjaarlijksenbijgrotewijzigingenuitgevoerddan welherijkt. Evidence 1.8 8.2.2 Informatie"labelen:" Ominformatietelabeleniseenpassendereeksprocedures ontwikkeldengeïmplementeerdinovereenstemmingmethet informatieclassificatieschemadatisvastgestelddoordeorganisatie." Deorganisatieheeftproceduresvoorhetlabelenvaninformatie vastgesteldengecommuniceerd.tedenkenvaltaanhetlabelen vanmetnamepapierendocumenten,dossiersenbackups. BIR>TNK 1.9 10.1.1.1 Beleid"inzake"het"gebruik"van"cryptografische" beheersmaatregelen:"" Terbeschermingvaninformatieiseenbeleidvoorhetgebruikvan cryptografischebeheersmaatregelenontwikkeldengeïmplementeerd" Deorganisatieheeftmiddelsbeleidvastgesteldwelke cryptografischevoorzieningenvoorwelketoepassingeningezet worden. BIR>OH Dedataopharddisksinlaptopsisversleuteld(volgenshetpre>boot harddiskencryptieprincipe). BIR>OH Vertrouwelijkegegevenswordenalleenversleuteldopgeslagenop mobieledatadragers. (Zie https://www.aivd.nl/onderwerpen/infobeveiliging/beveiligingsproduct e/goedgekeurde/) BIR>OH 18
BaselineInformatiebeveiligingHO(BIHO) 1.10 10.1.1.2 Beleid"inzake"het"gebruik"van"cryptografische"beheersF" maatregelen:"" Terbeschermingvaninformatiezijnertoolsofapplicatiesaanwezig waarmeehetbeleidvoorhetgebruikvancryptografische beheersmaatregelenwordtgeïmplementeerd." (O)Decryptografischebeveiligingsvoorzieningenencomponenten voldoenaanalgemeengangbarebeveiligingscriteria,zoals: >NIST(US)/CSE(Canada)FIPS140>2 (http://en.wikipedia.org/wiki/fips_140)i >hetnationaalbureauvoorverbindingsbeveiliging(aivd/nbv)op https://www.aivd.nl/onderwerpen/infobeveiliging/beveiligingsproduct e/inzetadviezen/ BIR>TNK DaarwaarmogelijkzijnICTproductengebruiktdievolgenseen internationaalgeaccepteerdestandaard/organisatiegeëvalueerd zijn. Waarhetnietmogelijkismetgoedgekeurdeproductentewerken wordtgebruikgemaaktvanrobuustealgoritmenmeteenvoldoende langesleutel.voorverbindings>endataencryptieisditminimaal AESmeteensleutellengtevan256bitsofgelijkwaardig.Voorhash algoritmenisditminimaalsha2ofgelijkwaardig. BIR>OH ZieBIR>OHaanbevelingbij10.1.1.1hierboven. BIR>OH 1.11 11.2.5 Verwijdering"van"bedrijfsmiddelen:"" Apparatuur,informatieensoftwarewordtnietzondertoestemming voorafvandelocatiemeegenomen." DeICTgedragsregelsbevattendeclausuledatapparatuur, informatieenprogrammatuurvandeorganisatiepasna toestemmingvandelocatiekanwordenmeegenomen. BIR>TNK 19
BaselineInformatiebeveiligingHO(BIHO) 1.12 13.2.1 Beleid"en"procedures"voor"informatietransport: Terbeschermingvanhetinformatietransport,datviaallesoorten communicatiefaciliteitenverloopt,zijnformelebeleidsregels, proceduresenbeheersmaatregelenvoortransportvankracht." (O)Bijtransportvanvertrouwelijkeinformatieoveronvertrouwde netwerken,zoalshetinternet,dientaltijdgeschikteencryptiete wordentoegepast. BIR>TNK BIR>OH (O)Erzijnproceduresopgesteldengeïmplementeerdvooropslag vanvertrouwelijkeinformatieopverwijderbaremedia. BIR>TNK (O)Verwijderbaremediametvertrouwelijkeinformatiemogenniet onbeheerdwordenachtergelatenopplaatsendietoegankelijkzijn zondertoegangscontrole BIR>TNK (O)Hetmeenemenvaninstellingsvertrouwelijkeinformatiebuiten gecontroleerdgebiedvindtuitsluitendplaatsindienditvoorde uitoefeningvandefunctienoodzakelijkis. BIR>TNK (O)Fysiekeverzendingvanbijzondereinformatiedientte geschiedenmetgoedgekeurdemiddelen,waardoordeinhoudniet zichtbaar,nietkenbaareninbreukdetecteerbaaris. BIR>TNK (O)Digitaledocumentenwaarderdenrechtenaankunnenontlenen wordenverzondenmetgebruikmakingvaneencertificaat uitgegevendooreenerkenderootca(certificateauthority)encsp (CertificateServiceProvider).. BIR>TNK (O)Eriseen(spam)filtergeactiveerdvoore>mailberichten. BIR>TNK Erwordenstandaardcommunicatieprotocollengebruiktdiegeen afbreukdoenaanhetgewenstebeveiligingsniveau. BIR>OH 20
BaselineInformatiebeveiligingHO(BIHO) 1.13 13.2.2 Overeenkomsten"over"informatietransport: Erzijnovereenkomstenvastgesteldvoorhetbeveiligdtransporteren vanbedrijfsinformatietussendeorganisatieenexternepartijen." 1.14 14.1.1 Analyse"en"specificatie"van"informatiebeveiligingseisen: Deeisendieverbandhoudenmetinformatiebeveiligingzijn opgenomenindeeisenvoornieuweinformatiesystemenenvoor uitbreidingenvanbestaandeinformatiesystemen" Overeenkomstenbehorenbetrekkingtehebbenophetbeveiligd transporterenvanbedrijfsinformatietussendeorganisatieen externepartijen. Deeisendieverbandhoudenmetinformatiebeveiligingbehorente wordenopgenomenindeeisenvoornieuweinformatiesystemenof vooruitbreidingenvanbestaandeinformatiesystemen. ISO Evidence 1.15 15.1.2 Opnemen"van"beveiligingsaspecten"in"leveranciersovereenF" komsten:" Allerelevanteinformatiebeveiligingseisenzijnvastgestelden overeengekomenmetelkeleverancierdietoegangheefttotit> infrastructuurelemententenbehoevevandeinformatievande organisatie,ofdezeverwerkt,opslaat,communiceertofbiedt." (O)Voorafgaandaanhetafsluitenvaneencontractvooruitbesteding ofexterneinhuurisbepaaldwelkewaardeengevoeligheidde informatie(bijv.risicoklassevanwbp)heeftwaarmeedederde partijinaanrakingkankomenenofhierbijeventueelaanvullende beveiligingsmaatregelennodigzijn. BIR>TNK Bijovereenkomstenmet(cloud)leverancierswordthetJuridisch normenkadervansurftoegepast. Evidence (O)Indienexternepartijensystemenbeherenwaarin persoonsgegevensverwerktworden,wordteen bewerkerovereenkomst(conformwbpartikel14)afgesloten. BIR>TNK 1.16 15.1.3 Toeleveringsketen"van"informatieF"en"communicatieF" technologie: Overeenkomstenmetleveranciersbevatteneisendiebetrekking hebbenopdeinformatiebeveiligingsrisico sinverbandmetde toeleveringsketenvandedienstenenproductenophetgebiedvan informatie>encommunicatietechnologie." Alsergebruiktgemaaktwordtvanonderaannemersdangelden daardezelfdebeveiligingseisenvooralsvoordecontractant.de hoofdaannemerisverantwoordelijkvoordeborgingbijde onderaannemervandegemaakteafspraken. (BijtoepassingvanhetJuridischnormenkadervanSURFisaan dezeeisvoldaan.) BIR>TNK 21
BaselineInformatiebeveiligingHO(BIHO) 1.17 16.1.1 Verantwoordelijkheden"en"procedures: Directieverantwoordelijkhedenen>procedureszijnvastgesteldomeen snelle,doeltreffendeenordelijkeresponsop informatiebeveiligingsincidententebewerkstelligen." Directieverantwoordelijkhedenen>proceduresbehorenteworden vastgesteldomeensnelle,doeltreffendeenordelijkeresponsop informatiebeveiligingsincidententebewerkstelligen ISO Beveiligingsincidentenwordenmeteen(volgenseenvooraf opgesteldeprocedure)aande(corporate)informationsecurity Officeren/ofICT>beveiligingsmanagergemeld.Bewijsmateriaal wordthierbijoverhandigd. BIR>OH 1.18 16.1.2 Rapportage"van"informatiebeveiligingsgebeurtenissen:"" Informatiebeveiligingsgebeurtenissenwordenzosnelmogelijkviade juisteleidinggevendeniveausgerapporteerd." (O)Eriseencontactpersoonaangewezenvoorhetrapporterenvan beveiligingsincidenten.voorintegriteitsschendingenisookeen vertrouwenspersoonaangewezendiemeldingeninontvangst neemt. BIR>TNK Procedureszijnschriftelijkvastgelegdenmaatregelenzijnaanwezig omalledelenen/ofdefunctionaliteitvaneenclouddienst onmiddelijkbuitengebruiktestelleningevalvaneen beveiligingsincident. UMCclou d 1.19 18.1.3 Beschermen"van"registraties:"" Registratieswordeninovereenstemmingmetwettelijke,regelgevende, contractueleenbedrijfseisenbeschermdtegenverlies,vernietiging, vervalsing,onbevoegdetoegangenonbevoegdevrijgave." a)deinstellingverstrektrichtlijnenvoorhetbewaren,opslaan, behandelenenverwijderenvanregistratieseninformatiei b)deinstellingstelteenbewaarschemaopwaarinregistratiesende periodedatzemoetenwordenbewaard,zijnvastgelegdi c)deinstellinghoudteeninventarisoverzichtbijvanbronnenvan belangrijkeinformatie. BIR>TNK 22
BaselineInformatiebeveiligingHO(BIHO) 1.20 18.1.4 Privacy"en"bescherming"van"persoonsgegevens: Privacyenbeschermingvanpersoonsgegevensworden,voorzover vantoepassing,gewaarborgdinovereenstemmingmetrelevantewet> enregelgeving." a)alleverwerkingenwaarinpersoonsgegevenszijnopgenomen,zijn geïnventariseerdi b)relevantewet>enregelgevingisgeïnventariseerdi c)passendemaatregelenvoorbeveiligingzijnvastgesteldi d)vastgesteldemaatregelenzijngeïmplementeerdi e)maatregelenwordenjaarlijksgecontroleerdopjuiste implementatie. Evidence 1.21 6.1.2.1 Scheiding"van"taken:"" Conflicterendetakenenverantwoordelijkhedenzijngescheidenomde kansoponbevoegdofonbedoeldwijzigenofmisbruikvande bedrijfsmiddelenvandeorganisatieteverminderen." 1.Niemandineenorganisatieofprocesmagopuitvoerendniveau rechtenhebbenomeengehelecyclusvanhandelingenineen kritischinformatiesysteemtebeheersen.ditinverbandmethet risicodathijofzijzichzelfofanderenonrechtmatigbevoordeeltofde organisatieschadetoebrengt.ditgeldtvoorzowel informatieverwerkingalsbeheeracties. 2.Eriseenscheidingtussenbeheertakenenoverigegebruikstaken. Beheerswerkzaamhedenwordenalleenuitgevoerdwanneer ingelogdalsbeheerder,normalegebruikstakenalleenwanneer ingelogdalsgebruiker. 3.Vóórdeverwerkingvangegevensdiedeintegriteitvankritieke informatieofkritiekeinformatiesystemenkunnenaantastenworden dezegegevensdooreentweedepersoongeïnspecteerden geaccepteerd.vandeacceptatiewordteenlogbijgehouden. 4.Verantwoordelijkhedenvoorbeheerenwijzigingvangegevensen bijbehorendeinformatiesysteemfunctiesmoeteneenduidig toegewezenzijnaanéénspecifieke(beheerders)rol. BIR>TNK 23
BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"2:"Personeel,"studenten"en"gasten" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" 2.1 7.1.2 Arbeidsvoorwaarden: Decontractueleovereenkomstmetmedewerkersencontractanten vermeldthunverantwoordelijkhedenvoorinformatiebeveiligingendie vandeorganisatie." Dealgemenevoorwaardenvanhet(arbeids)contractvan medewerkersencontractantenbevattendewederzijdse verantwoordelijkhedentenaanzienvanbeveiliging.hetis aantoonbaardatmedewerkersbekendzijnmethun verantwoordelijkhedenophetgebiedvanbeveiliging. BIR>TNK (O)Indieneenmedewerkerofcontractantspeciale verantwoordelijkhedenheeftt.a.v.informatiebeveiligingdanishem datvoorindiensttreding(ofbijfunctiewijziging),bijvoorkeurinde aanstellingsbriefofbijhetafsluitenvanhetcontract,aantoonbaar duidelijkgemaakt. BIR>TNK 24
BaselineInformatiebeveiligingHO(BIHO) 2.2 7.2.2 Bewustzijn,"opleiding"en"training"ten"aanzien"van" "informatiebeveiliging: Allemedewerkersvandeorganisatieen,voorzoverrelevant, contractantenkrijgeneenpassendebewustzijnsopleidingen>training enregelmatigebijscholingvanbeleidsregelsenproceduresvande organisatie,voorzoverrelevantvoorhunfunctie." Erzijngeschikteproceduresingevoerdomhetbewustzijnvande gebruikerstevergrotentenaanzienvanhetgevaarvanvirussenen dergelijke,zoals: >publicatie/verspreidingbeeidsregels >periodiekeawarenessprogramma'szoalsvia nieuwsbrieven/flyersi >installatievanbeveiligingsprogrammatuurdiewaarschuwtbij onvertrouwdecontenti >periodiekebesprekingvanictgedragsregels. ISO 2.3 9.2.6 Toegangsrechten"intrekken"of"aanpassen: Detoegangsrechtenvanallemedewerkersenexternegebruikersvoor informatieeninformatieverwerkendefaciliteitenwordenbijbeëindiging vanhundienstverband,contractofovereenkomstverwijderd,enbij wijzigingenwordenzeaangepast." ISO 2.4 11.2.9 Clear"desk F"en" clear"screen Fbeleid: Eriseen'cleardesk'>beleidvoorpapierendocumentenen verwijderbareopslagmediaeneen'clearscreen'beleidvoor informatieverwerkendefaciliteiteningesteld." (O)Schermbeveiligingsprogrammatuur(eenscreensaver)maaktna eenperiodevaninactiviteitvanmaximaal15minutenalleinformatie ophetbeeldschermonleesbaarenontoegankelijk. BIR>TNK (O)Werkstationlockwordtautomatischgeactiveerdbijhet verwijderenvaneentoken(indienaanwezig). BIR>TNK Opmobielewerkplekkenwordthetzero>footprintprincipe toegepast. BIR>OH AdresboekenentelefoongidsenwaarinlocatiesmetgevoeligeIT voorzieningenstaanzijnnietaanweziginvrijtoegankelijke gebieden. Evidence 25
BaselineInformatiebeveiligingHO(BIHO) 2.5 13.2.4 VertrouwelijkheidsF"of"geheimhoudingsovereenkomst:"" Eisenvoorvertrouwelijkheids>ofgeheimhoudingsovereenkomstendie debehoeftenvandeorganisatiebetreffendehetbeschermenvan informatieweerspiegelen,zijnvastgesteldenwordenregelmatig beoordeeldengedocumenteerd." Deorganisatieheeftactuelevertrouwelijkheids>of geheimhoudingsovereenkomsteningebruik. Evidence 2.6 16.1.3 Rapportage"van"zwakke"plekken"in"de"informatiebeveiliging: Vanmedewerkersencontractantendiegebruikmakenvande informatiesystemenen>dienstenvandeorganisatiewordtgeëistdatzij deinsystemenofdienstenwaargenomenofvermeendezwakke plekkenindeinformatiebeveiligingregistrerenenrapporteren." a)deictgedragsregelsdragengebruikersopvermeendeof waargenomenzwakkebeveiligingsplekkentemeldeni b)meldpuntenzijngecommuniceerdaanallewerknemers, ingehuurdpersoneelenexternegebruikers. Evidence 2.7 7.1.1.1 Screening:"" Verificatievandeachtergrondvanallekandidatenvooreen dienstverbandwordtuitgevoerdinovereenstemmingmetrelevante wet>enregelgevingenethischeoverwegingenenstaatinverhouding totdebedrijfseisen,declassificatievandeinformatiewaartoetoegang wordtverleendendevastgestelderisico s." Bijaanstellingwordendegegevensdiedemedewerkerheeft verstrektoverzijnarbeidsverledenenscholinggeverifieerd. Voorvertrouwensfunctiesoffunctiesdievanwegehunroltoegang totgevoeligeofvertrouwelijkegegevenshebben(zoalsbijv.it> beheerders)kanoverwogeneenrelevanteverklaringomtrent Gedrag(VOG)tevragenofeenviaveiligheidsonderzoekeen VerklaringgeenBezwaar(VGB)teverkrijgen. BIR>TNK 26
BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"3:"Ruimtes"en"apparatuur" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" 3.1 6.2.1.2 Beleid"voor"mobiele"apparatuur: Erdienenbeveiligingsmaatregelentewordenvastgesteldomde risico sdiehetgebruikvanmobieleapparatuurmetzichmeebrengtte beperken." ISO 3.2 8.3.2 Verwijderen"van"media:"" Mediawordenovereenkomstigformeleproceduresopeenveiligeen beveiligdemanierverwijderdalszenietlangernodigzijn." (O)Erzijnproceduresvastgesteldeninwerkingvoorverwijderen vanvertrouwelijkedataendevernietigingvanverwijderbaremedia. VerwijderenvandatawordtgedaanmeteenSecureErasevoor apparatenwaarditmogelijkis.inoverigegevallenwordtdedata tweekeeroverschrevenmetvastedata,éénkeermetrandomdata envervolgenswordtgeverifieerdofhetoverschrijvenisgelukt.zie ook9.2.6 BIR>TNK Backupmediawordenpasnavernietigingvandedataerop hergebruiktvooranderesystemen. BIR>OH 27