Risico Analyse Een verkenning Publicatie van de CIO Interest Group Informatiebeveiliging CIO Platform Nederland, september 2012 www.cio-platform.nl/publicaties CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012
Van de opstellers De aandacht voor informatiebeveiliging bij de leden van het CIO Platform neemt exponentieel toe. Cyberaanvallen zijn aan de orde van de dag en zelfs partijen die beveiligingscertificaten uitgeven lijken niet meer veilig (lees daarover ook onze publicatie Digitale veiligheid, juni 2012). Om als organisatie periodiek te kunnen meten of je voldoende maatregelen hebt getroffen op gebied van informatiebeveiliging is voor de leden van het platform de ledenbenchmarktool BMTool ontwikkeld. De BMTool is een perfect tool is om periodiek te kunnen meten hoe je er als organisatie voorstaat. Het is daarnaast ook noodzakelijk om tijdig te kunnen sturen en anticiperen op risico s die we als organisaties lopen. Daarom hebben wij, op verzoek van veel leden, als Interest Group Informatiebeveiliging publicatie gemaakt over Risico Analyse. Dit document beschrijft welke methoden voor risico analyse er bestaan en in hoofdstuk vijf beschrijven we mogelijkheden om de resultaten uit de BMTool te kunnen gebruiken voor de uitvoering van een risico analyse. Het uitwerken van dit onderwerp is voor ons een leerzaam traject geweest. We zijn er van overtuigd dat we met deze publicatie nog meer waarde kunnen toevoegen aan het gebruik van de BMTool en jou als lezer inzichten kunnen bieden op gebied van risico analyse en risico management. De opstellers (zie pagina 56). CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 2 van 58
Managementsamenvatting Het CIO Platform onderkent het grote belang van informatiebeveiliging voor de informatievoorziening van haar leden. Om haar leden te ondersteunen bij het inrichten van informatiebeveiliging heeft ze in het recente verleden een benchmarktool (BMTool) ontwikkeld. De BMTool stelt leden in staat om onderling de status van informatiebeveiliging te vergelijken op basis van de door de leden getroffen beveiligingsmaatregelen. Om de ingevoerde resultaten daadwerkelijk te kunnen vergelijken is het van belang te weten om welke redenen een organisatie beveiligingsmaatregelen heeft getroffen. De onderbouwing voor de maatregelen is een risicoanalyse. De werkgroep Informatiebeveiliging heeft daarom een taakgroep ingesteld met als opdracht het thema risicoanalyse te verkennen. Dit rapport bevat de resultaten van deze verkenning. De resultaten van de werkgroep zijn: Afbakening van het onderwerp risicoanalyse op basis van internationale standaarden Beschrijving van methodes voor de uitvoering van risicoanalyse Aanbeveling voor een methode voor risicoanalyse voor de leden De relatie tussen risicoanalyse en de BMTool Aanbeveling voor het uitbreiden van de BMTool met vragen over de risicoanalyse uitgevoerd door de organisatie. Het onderwerp risicoanalyse is terug te vinden in de internationale standaard voor risicomanagement: ISO 31000. Hierin wordt de risicoanalyse aangeduid als risicobeoordeling. ISO 31000 is een norm voor risicomanagement, het overkoepelend proces voor het beheersen van risico's. Voor risicoanalyse alleen bestaat ook een andere norm ISO 27005. Samen met ISO 27001 en 27002 wordt een volledig managementsysteem voor informatiebeveiliging gevormd. In dit rapport staat het begrip risicoanalyse voor een drietal deelprocessen: risico-identificatie, risicoschatting en risico-evaluatie. De eerste activiteit, risico-identificatie, betreft het in kaart brengen van de relevante risico s. De omvang van de geïdentificeerde risico s uit stap 1 wordt vervolgens bepaald tijdens de tweede stap, risicoschatting. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 3 van 58
De laatste stap, risico-evaluatie, richt zich op het vergelijken van de omvang van de geïdentificeerde risico s met de van te voren bepaalde risico criteria. De 3 deelprocessen komen zowel in ISO31000 als in ISO 27005 voor. De BMTool is gebaseerd op de set maatregelen uit ISO 27002. Omdat dit rapport de relatie met de BMTool wil aangeven, wordt ISO 27005 gevolgd. Het rapport behandelt 4 basismethodes voor risicoanalyse en geeft een aanbeveling voor een integrale RA methode. Deze methode begint met het uitvoeren van een baselinetoets door middel van een business impact analyse. In deze toets wordt bepaald of de standaard maatregelen in de baseline afdoende zijn om de risico s te beheersen. De baselinetoets is gebaseerd op een BIV classificatie van de informatie die deel uitmaakt van de scope. De impact wordt daarbij uitgedrukt in de van te voren bepaalde risico criteria. De BIV score wordt vervolgens vergeleken met de BIV score van de baseline. Als de score lager is dan de baseline volstaan de baseline maatregelen. Als de BIV score hoger is dan die van de baseline is het noodzakelijk om een uitgebreide risicoanalyse uit te voeren. Als geen statistische data beschikbaar is, resteert een kwalitatieve risicoschatting. De BMTool voorziet in het vastleggen van het basis beveiligingsniveau, het scoren van de volwassenheid van de beveiligingsmaatregelen en het kunnen vergelijken met de aangesloten branchegenoten. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 4 van 58
Het vastleggen van het beveiligingsniveau zou gebaseerd moeten zijn op een risicoanalyse. De output van de risicoanalyse zou dus als input moeten dienen voor de BMTool. De vergelijkbaarheid van de resultaten van de BMTool, vooral tussen organisaties onderling is gebaat bij een indicatie van de kwaliteit van het proces dat geleid heeft tot de selectie van maatregelen, de risicoanalyse. De volgende aspecten zijn hierbij bepalend: Scope: toepassingsgebied (scope) waar de maatregelen ingevuld in de BMTool betrekking op hebben Risicobehandeling: risicoattitude van de organisatie (Risk appetite) Kwaliteit: conformiteit met ISO 27005 Voor deze drie aspecten geeft dit rapport vragen en stellingen die kunnen worden opgenomen in de BMTool. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 5 van 58
Inhoudsopgave 1 Inleiding...7 1.1 Aanleiding... 7 1.2 Probleemstelling... 8 1.3 Doelstelling en Opdracht... 9 1.4 Werkwijze... 10 1.5 Leeswijzer... 11 2 Risicoanalyse in context...12 2.1 Risicoanalyse in ISO 31000... 12 2.2 Risicoanalyse in ISO 27001... 14 2.3 Risicoanalyse in ISO 27005... 15 2.4 Overzicht van normen... 18 3 Methodes voor Risicoanalyse... 19 3.1 Conformiteit van een risicoanalyse... 19 3.2 Risicoanalyse methodes... 21 3.3 Relevante criteria... 30 4 Aanbeveling voor een RA methode... 33 5 Risicoanalyse en de BMTool... 37 5.1 BMTool, platform voor benchmarking... 37 5.2 RA output is BMTool input... 38 5.3 Verklaring van toepasselijkheid weergeven in de BMTool... 40 5.4 BMTool en risicoanalyse... 41 6 Uitbreiding van de BMTool...43 6.1 Toepassingsgebied van de maatregelen... 44 6.2 Risicoattitude van de organisatie... 47 6.3 Kwaliteit van de risicoanalyse...49 7 Referenties... 50 Bijlage 1: Essentiële maatregelen uit ISO 27002... 51 Bijlage 2: Risicomanagement conform ISO 31000...52 Bijlage 3: Risicomanagement conform ISO 27005... 53 Bijlage 4: Kwaliteit van RA methode... 54 Deelnemers CIG Informatiebeveiliging... 56 CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 6 van 58
1 Inleiding De CIO Interest Group Informatie Beveiliging (CIG-IB) is een van de interest groups van het CIO Platform Nederland. De CIG-IB dient als kennisplatform op het gebied van Informatie Beveiliging (IB). Een van de onderwerpen opgepakt door deze werkgroep is het onderling kunnen vergelijken van organisaties, welke lid zijn van het CIO Platform Nederland, op het gebied van informatiebeveiliging. Binnen de CIG-IB is de werkgroep Benchmarking samengesteld om een benchmark methodiek te ontwikkelen inclusief bijpassende tooling. Deze tooling wordt Benchmark Tool, kortweg BMTool genoemd. De BMTool maakt het mogelijk om de beheersmaatregelen voor informatiebeveiliging, ingevoerd bij de verschillende deelnemers, onderling te vergelijken. De maatregelen in de benchmark tool zijn gebaseerd op de de-facto standaard voor informatiebeveiliging, NEN-ISO 27002 (NEN-ISO, 2007). Conform deze norm moet de selectie van maatregelen gebaseerd zijn op een risicoanalyse. Het CIO Platform heeft daarom de CIG-IB verzocht de relatie tussen risicoanalyse en de BMTool nader te verkennen. Dit document beschrijft de resultaten van deze verkenning. 1.1 Aanleiding Een presentatie van Ton Arrachart (CIO van Van Oord Dredging), gegeven tijdens de CIG-IB bijeenkomst van 6 oktober 2010, vormt de aanleiding tot het instellen van de werkgroep. Ton wil op een efficiëntere en kortcyclische manier meten waar zijn organisatie staat op het gebied van risicoanalyse en informatiebeveiliging. De vraagstelling richt zich daarbij in eerste instantie op uitwisseling van ervaringen op het gebied van metrieken. Tijdens de CIG-IB vergadering van 24 november 2010 lichtten een aantal leden daarom de binnen hun organisatie gebruikte metrieken toe. Tijdens deze vergadering worden er twee werkgroepen geformeerd. Een werkgroep zal zich richten op het uitwerken van een methodiek voor risicoanalyse die algemeen toepasbaar is en te koppelen aan de BMTool. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 7 van 58
De andere werkgroep zal zich richten op de definitie van Key Perfomance Indicatoren (KPI's). Dit document beschrijft de resultaten van de eerste werkgroep. De andere werkgroep is nog niet van start gegaan. Uit de discussies in de werkgroep is gebleken dat het noodzakelijk is om een relatie te leggen tussen risico s en maatregelen. Dit rapport bevat hiervoor al enkele resultaten, die vooral gebaseerd zijn op de werkzaamheden van de leden van het CIO Platform werkzaam in de academische ziekenhuizen. 1.2 Probleemstelling Het doel van het BMTool is het onderling kunnen vergelijken van het niveau van Informatiebeveiliging. De tool volgt de maatregelen volgens de standaard NEN- ISO 27002 (NEN-ISO, 2007) in de vorm van stellingen. De beantwoording van de stellingen geeft een oordeel over het niveau van de implementatie van de maatregelen binnen de organisatie. Deze beantwoording maakt daarbij gebruik van een volwassenheidsmodel. Een organisatie kan haar volwassenheid vergelijken met andere organisaties door haar antwoorden op de stellingen te vergelijken met de antwoorden van andere organisaties. Maar is de vergelijking wel zinvol als niet duidelijk is op grond van welke overwegingen de maatregelen zijn getroffen en de antwoorden zijn gegeven? Conform de gehanteerde norm dient de selectie van maatregelen gebaseerd te zijn op een risicoanalyse. Een organisatie zou dus ter onderbouwing van de genomen maatregelen ten minste een risicoanalyse moeten hebben uitgevoerd. Er bestaan daarnaast ook nog verschillende methodes voor risicoanalyse. Het is dus niet alleen de vraag of een organisatie een risicoanalyse uitvoert, maar het is ook relevant te weten of die risicoanalyse voldoende diepgang heeft. Voldoende diepgang betekent hierin dat de diepgang passend is voor het te analyseren risico. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 8 van 58
Ten slotte geeft een organisatie in de BMTool aan welke maatregelen zij heeft genomen. Het is daarbij relevant voor welke onderdeel (of systemen) van de organisatie deze maatregelen genomen zijn. Een organisatie kan bijvoorbeeld besluiten om aan te geven wat het basisniveau van informatiebeveiliging is binnen haar organisatie. Dit basisniveau is het stelsel van maatregelen dat getroffen wordt voor al haar systemen. Een andere organisatie kan besluiten de maatregelen genomen voor haar meest kritische systemen in de BMTool op te nemen. Deze maatregelen zullen in het algemeen uitgebreider zijn dan het basisniveau. Als deze twee organisaties het niveau van informatiebeveiliging met elkaar willen vergelijken, leidt het verschil in scope allicht tot verkeerde conclusies. Naast de onderbouwing door middel van een risicoanalyse, is het daarom ook noodzakelijk een uitspraak te doen over de scope (reikwijdte) van de genomen maatregelen. Tenslotte worden maatregelen genomen om risico te mitigeren. Bepaalde risico s kunnen voor de ene organisatie volkomen acceptabel zijn en voor een andere totaal niet. De risicoacceptatie (risicoattitude) van een organisatie speelt daarom een beslissende rol in welke risico s een organisatie wil mitigeren door het treffen van beheersmaatregelen. 1.3 Doelstelling en Opdracht De werkgroep risicoanalyse stelt zich tot doel de leden van het CIO Platform een handreiking te bieden bij het uitvoeren van risicoanalyse. Deze handreiking zal de deelnemers hulp bieden bij het uitvoeren van risicoanalyses. De handreiking moet ook de vergelijkbaarheid van de resultaten opgenomen in de BMTool verhogen. Uiteraard draagt het uitvoeren van de risicoanalyse zelf bij tot het ontstaan van een betere balans tussen de genomen maatregelen en het dreigingenniveau. De opdracht voor de werkgroep kan als volgt worden geformuleerd: Werk vanuit risicoperspectief eisen en methoden uit om de vergelijkbaarheid van de resultaten van de BMTool te vergroten. De aspecten scope van de risicoanalyse, de risicoacceptatie en de volwassenheid van de risicoanalyse dienen hierbij te worden belicht. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 9 van 58
Geef aan hoe de invoer in de BMTool onderbouwd kan worden door middel van een (soort) risicoanalyse (of extra antwoorden) Geef aan welke eigenschappen een risicoanalyse moet hebben om vergelijkbaarheid van maatregelen te kunnen beoordelen Kort samengevat is de opdracht: Pak het thema risicoanalyse op, werk een methode uit die algemeen toepasbaar is en die te koppelen is aan de BMTool 1.4 Werkwijze In een aantal vergaderingen met wisselende bezetting heeft de werkgroep de vraagstelling uitgediept. Allereerst is de relatie tussen risicoanalyse en de BMTool verkend. Door bronnenonderzoek en een enquête onder deelnemers van CIG-IB is het proces van risicoanalyse en methodieken in kaart gebracht. De eerste resultaten zijn tijdens de CIG-IB vergadering van 16 maart 2011 gepresenteerd. Daar is besloten dat de werkgroep de volgende verdiepingslag zal maken: zichtbaar maken van verschillen tussen methodieken voor risicoanalyse vaststellen eisen aan methodieken en tooling toetsen bestaande methodieken aan eisen kiezen voor een methodiek uiteindelijk keuze voor aanschaf of nieuwbouw tooling die past bij methodiek. Het laatste onderdeel is tijdens de daaropvolgende vergadering van de CIG-IB op 18 mei 2011 vooralsnog buiten scope geplaatst. De werkgroep heeft tijdens de verdere uitwerking van de probleemstelling besloten om aan te geven op welke wijze de bestaande BMTool uitgebreid kan worden. Deze aanvullingen richten zich op het verhogen van de vergelijkbaarheid van organisaties die gebruik maken van de BMTool. Deze uitbreidingen richten zich op het beschrijven van het toepassingsgebied (scope) van de ingevulde maatregelen, de risicohouding (risicoacceptatie) van de organisatie en de volwassenheid van de organisatie in het uitvoeren van de risicoanalyse. Deze uitbreidingen komen aan de orde in het laatste hoofdstuk van dit rapport. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 10 van 58
1.5 Leeswijzer Deze publicatie is als volgt opgebouwd: Hoofdstuk 1: Inleiding Beschrijft zaken als aanleiding, doelstelling en werkwijze. Hoofdstuk 2: Risicoanalyse in Context Geeft een afbakening van het onderwerp en duidt de relatie met (internationale, erkende) standaarden. Hoofdstuk 3: Overzicht van RA methodes Beschrijft de eigenschappen waaraan een RA methode moet voldoen om vergelijkbaarheid van de resultaten in de BMTool te ondersteunen en beschrijft een aantal RA methodes en hun eigenschappen. Hoofdstuk 4: Aanbeveling voor een RA methode Biedt een RA methode aan voor organisaties die nog geen methode hebben of op zoek zijn naar een verbeterde methode. Hoofdstuk 5: Relatie Risicoanalyse en BMTool Beschrijft de samenhang tussen de (resultaten van de) risicoanalyse en de maatregelen in de BMTool. Hoofdstuk 6: Uitbreiding BMTool Beschrijft mogelijke uitbreidingen van de BMTool die een onderbouwing geven van de selectie maatregelen en die de vergelijkbaarheid verhogen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 11 van 58
2 Risicoanalyse in context Informatiebeveiliging richt zich op het beheersen van de risico's voor een organisatie voortkomend uit het gebruik van informatie als bedrijfsmiddel. Informatiebeveiliging kan daarom beschouwd worden als een van de disciplines die zich richt op het beheersen van operationele risico's. Operationele risico's zijn de risico's geassocieerd met de bedrijfsvoering van een organisatie. Dit hoofdstuk verkent eerst de rol van de risicoanalyse in het overkoepelend proces voor het beheersen van risico's: risicomanagement. Dit proces wordt beschreven aan de hand van de internationale standaard voor risicomanagement, ISO 31000 (NEN-ISO, 2009). Daarna wordt de rol van risicoanalyse in informatiebeveiliging beschreven. Deze beschrijving maakt gebruik van de standaard voor informatiebeveiliging, ISO 27001 (NEN-ISO, 2005), en de gerelateerde standaard voor het management van informatiebeveiligingsrisico s, ISO 27005 (NEN-ISO, 2011). De laatste sectie van dit hoofdstuk bevat een samenvattend overzicht van de besproken normen. 2.1 Risicoanalyse in ISO 31000 ISO 31000 (NEN-ISO, 2009), de internationale standaard voor risicomanagement, biedt een uitgebreide beschrijving voor het uitvoeren van risicomanagement in een organisatie. Omdat deze standaard breed geaccepteerd wordt, gebruiken we deze als uitgangspunt voor de afbakening van het onderwerp van dit rapport: risicoanalyse. Een overzicht van risicomanagement conform ISO 31000 is weergegeven in Bijlage 2. ISO 31000 onderkent twee onderdelen (of processen) voor risicomanagement. Het eerste proces, aangeduid met raamwerk, richt zich op het inrichten en onderhouden van het gehele managementsysteem voor risicomanagement. Dit proces biedt daarmee een raamwerk (framework) voor risicomanagement. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 12 van 58
Het andere proces bevat de daadwerkelijke uitvoering van risicomanagement. Dit proces wordt aangeduid als Process. Dit uitvoerende proces voor risicomanagement bestaat uit drie hoofdactiviteiten: het bepalen van de context voor het risicomanagement, het beoordelen (assessment) van de risico s en de behandeling (treatment) van de risico's (maatregelen). Daarnaast zijn er nog twee flankerende activiteiten: monitoren en evaluatie communicatie De beoordeling van risico s is onderverdeeld in drie deelactiviteiten: risicoidentificatie, risicoanalyse en risico-evaluatie. Het eerste onderdeel, risico-identificatie, betreft het in kaart brengen van de relevante risico s. De omvang van de geïdentificeerde risico s worden vervolgens tijdens de tweede stap, risicoanalyse, geschat. De laatste stap richt zich op het vergelijken van de omvang van de geïdentificeerde risico s met de van te voren bepaalde risico criteria. Tijdens deze stap wordt bepaald of het risico acceptabel is. Als het risico niet acceptabel is, zal in de volgende activiteit (risicobehandeling) bepaald gaan worden op welke wijze het risico zal worden afgehandeld. Voorbeelden van afhandeling zijn daarbij het risico mijden, het risico overdragen of maatregelen nemen om de omvang van het risico te verkleinen. Het onderwerp van dit rapport is risicoanalyse. Conform de definitie van ISO31000 zou dit betekenen dat dit rapport alleen het schatten van risico s behandelt. Tijdens de discussies van de werkgroep is echter gebleken dat dit een te beperkte interpretatie is. Dit rapport richt zich op alle stappen van de activiteit risicobeoordeling, zoals omschreven in ISO 31000. Om verwarring te voorkomen zal in de rest van dit rapport het woord risicoanalyse worden gebruikt voor deze risicobeoordeling. De deelactiviteit risicoanalyse, onderdeel van risicobeoordeling, zal verder worden aangeduid met risicoschatting. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 13 van 58
2.2 Risicoanalyse in ISO 27001 ISO 27001 (NEN-ISO, 2005) is de toonaangevende standaard voor informatiebeveiliging. Deze standaard beschrijft de wijze waarop een organisatie grip kan krijgen op risico's gerelateerd aan het gebruik van informatie in haar bedrijfsvoering. De standaard stelt daarbij het inrichten van een managementsysteem voor informatiebeveiliging (Information Security Management System) centraal. Dit managementsysteem is gebaseerd op de welbekende Deming-cirkel. Deze cirkel bestaat uit vier fases: plan, do, check en act. De plan fase van het ISMS bevat de activiteiten gerelateerd aan het identificeren en analyseren van de risico's. De plan fase omvat daartoe de volgende activiteiten: 1. Vaststellen welke benadering voor risicobeoordeling wordt gekozen; 2. Risico s identificeren; 3. De risico s analyseren en beoordelen; 4. Opties voor de behandeling van de risico s identificeren en beoordelen; 5. Beheersdoelstellingen en maatregelen voor de risico s kiezen; 6. Goedkeuring van de directie verkrijgen voor de voorgestelde overblijvende risico s. De bovenstaande activiteiten kunnen als volgt afgebeeld worden op het model voor risicomanagement conform ISO 31000: Activiteit 1 valt onder het opzetten van het raamwerk voor risicomanagement. De activiteiten 2 en 3 zijn af te beelden op het onderdeel risicobeoordeling van ISO 31000. De activiteiten 4, 5 en 6 vallen onder de hoofdactiviteit afhandeling van risico s van ISO 31000. Zoals in de voorgaande paragraaf richt dit rapport zich op de hoofdactiviteit risicobeoordeling. Dit betekent dat dit rapport zich beperkt tot de activiteiten 2 en 3 van de plan fase voor het opstellen van een ISMS. ISO 27001 bevat ook definities van risicoanalyse, risicobeoordeling en risicoevaluatie. De definities opgenomen in ISO 27001 zijn overgenomen uit ISO/IEC Guide 73 2002 (NEN-ISO, 2002). Deze begrippen worden als volgt gedefinieerd: CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 14 van 58
CIG Informatiebeveiliging Risicobeoordeling: het proces van risicoanalyse en risico-evaluatie Risicoanalyse: systematisch gebruik van informatie om bronnen te identificeren en risico s in te schatten Risico-evaluatie: proces waarin het ingeschatte risico wordt afgewogen tegen vastgestelde risicocriteria om te bepalen in welke mate het risico significant is De gegeven definities wijken enigszins af van de onderverdeling in ISO 31000. Dit is een gevolg van het feit dat ISO 31000 van een latere datum is dan ISO 270001. Zoals in de voorgaande paragraaf al aangegeven zullen wij de term risicoanalyse hanteren voor alle activiteiten vallend onder risicobeoordeling. In dit rapport zijn risicoanalyse en risicobeoordeling synoniem. 2.3 Risicoanalyse in ISO 27005 Het onderwerp informatiebeveiliging heeft sinds enkele jaren een afzonderlijke normenreeks in de ISO. De reeks gereserveerd voor informatiebeveiliging is de 27000 reeks. De ISO 27001, besproken in de voorgaande paragraaf, heeft als onderwerp het managementsysteem voor informatiebeveiliging. Andere normen in deze reeks behandelen onderdelen van het managementsysteem in detail. ISO 27002 (NEN-ISO, 2007) behandelt bijvoorbeeld de maatregelen, de best practices, die opgenomen kunnen zijn in het managementsysteem. ISO 27002 bevat dus de maatregelen om de risico s te beheersen (risicobehandeling conform ISO 31000). ISO 27005 beschrijft het proces en technieken voor het managen van risico s. Deze meest recente versie van deze norm is opgesteld in 2011. Deze versie is uitgebracht nadat ISO 31000 is opgesteld. Het risicomanagement proces beschreven in ISO 27005 sluit daarom naadloos aan op ISO 31000. Dit geldt ook voor de in ISO 27005 gehanteerde terminologie. Zoals in de voorgaande paragraaf geconstateerd wijkt ISO 27001 daarentegen deels af van ISO 31000. Conform de inleiding van ISO 27005 biedt de standaard richtlijnen voor het inrichten van informatie risicomanagement. De standaard geeft daarbij vooral invulling aan de eisen die ISO 27001 stelt aan dit proces. De standaard geeft echter geen specifieke methode voor het inrichten van het risico management proces zelf. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 15 van 58
Het staat een organisatie vrij zelf invulling te geven aan dit proces. CIG Informatiebeveiliging In overeenstemming met ISO 31000 definieert ISO 27005 een risico als het effect van onzekerheid op doelstellingen. Vanwege deze definitie kunnen risico s zowel een positief effect hebben als ook een negatief effect. Risico s met een positief effect worden vaak ook aangeduid als kansen. De meeste organisaties zullen informatie risicomanagement vooral inzetten voor het managen van risico s met negatieve effecten1. Het meenemen van risico s met positief effect is in het merendeel van de organisaties nog onderbelicht en zal in dit document niet verder aan de orde komen. ISO 27005 biedt geen invulling van het proces om te komen tot het raamwerk of proces voor risicomanagement (het linkerdeel van de figuur uit Bijlage 1). Vanuit een abstract standpunt kan ISO 27001 beschouwd worden als het middel om invulling te geven aan dat deel van de figuur. ISO 27001 beschrijft immers het managementsysteem (het raamwerk) voor het behandelen van risico s in het domein informatiebeveiliging. De processtappen weergeven in het linkerdeel van de figuur kunnen beschouwd worden als het doorlopen van de plan-do-check-act fases van het ISMS voor informatiebeveiliging. Het verkrijgen van commitment is daarbij onderdeel van de start van het opzetten van een ISMS. ISO 27005 biedt vervolgens richtlijnen voor de invulling van het proces voor risicomanagement (het rechterdeel van de figuur uit Bijlage 2). ISO 27005 bevat een waardevolle, alternatieve weergave van het risicomanagement proces. De weergave in ISO 27005 breidt de weergave opgenomen in ISO 31000 uit met twee beslispunten: Een beslispunt na de risicobeoordeling Een beslispunt na de risicobehandeling Deze weergave legt de nadruk op het iteratieve karakter van risicomanagement. Na de risicobeoordeling is er een beslispunt waarin bepaald wordt of de risicobeoordeling afdoende is geweest. 1 De nieuwe versie van de ISO27001 (verwacht in 2013) gaat daarom ook in op kansen en niet alleen op bedreigingen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 16 van 58
Als deze beoordeling afdoende is, kan overgegaan worden tot risicobehandeling. Als deze beoordeling niet afdoende is, kan de risicobeoordeling nogmaals worden doorlopen. In de volgende iteratie kunnen daarbij andere methodes worden ingezet. Daarnaast kan in een volgende iteratie specifieke risico s in een groter detail worden geanalyseerd. Het beslispunt na risicobehandeling heeft een vergelijkbaar doel. Als na risicobehandeling blijkt dat het restrisico niet acceptabel is, kan in een volgende iteratie het restrisico verder worden gereduceerd. Bijlage 3 geeft een overzicht van ISO 27005. De figuur geeft ook aan hoe deze zich verhoudt tot ISO 31000. De figuur laat duidelijk zien dat ISO 27005 een iteratieve benadering hanteert voor het risicoanalyse proces. ISO 27005 introduceert op de beschreven wijze een risicogedreven aanpak in het risicomanagement proces zelf. De iteratieve aanpak biedt namelijk de mogelijkheid om eerst alle risico s in algemene zin in kaart te brengen en vervolgens de grootste risico s in een volgende iteratie in een grotere mate van detail te gaan beoordelen. Het eerste beslispunt in het risicoproces van ISO 27005 (zie bijlage 3) wordt daarbij gebruikt om de diepgang van de risicoanalyse te laten variëren. De eerste iteratie zal daarbij gebruik moeten maken van een methode die per risico relatief weinig inspanning vergt. De volgende iteratie zal gebruik maken van een methode waarmee risico s beter beoordeeld kunnen worden, bijvoorbeeld een methode waarbij de omvang van het risico beter geschat kan worden. Deze iteratieve aanpak leidt ertoe dat de organisatie haar inspanning in risicomanagement zal richten op het aanpakken van de voor haar significante risico s. ISO 27005 adopteert de processtappen voor risicobeoordeling zoals ook opgenomen in ISO 31000. De risicobeoordeling bestaat uit de stappen risicoidentificatie, risicoanalyse (risicoschatting) en risico-evaluatie. Deze stappen worden in het volgende hoofdstuk nader beschreven. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 17 van 58
2.4 Overzicht van normen De onderstaande tabel vat de beschrijvingen van de normen uit de voorgaande secties samen. De tabel geeft voor elk van de normen het toepassingsgebied van de norm, de relatie van de norm tot het onderwerp van dit rapport (risicoanalyse) en de processtappen voor de risicoanalyse conform de norm. Norm ISO 31000 ISO 27001 ISO 27005 Toepassings- gebied Risicomanagement Informatiebeveiliging Risicomanagement toegespitst op informatiebeveiliging Relatie tot risicoanalyse Managementsysteem (Raamwerk) en Processtappen Managementsysteem voor beheersing IB risico s Processtappen voor risicomanagement Processtappen Risico-identificatie Risicoanalyse (Risicoschatting in dit rapport) Risicoanalyse (omvat risico-identificatie en risicoschatting) Risico-evaluatie Conform ISO31000 Risico-evaluatie Kort samengevat kan gesteld worden dat ISO 27001 samen met ISO 27005 invulling geeft aan ISO 31000 voor het risicogebied informatiebeveiliging. ISO 27001 beschrijft immers een managementsysteem voor het beheersen van het betreffende risicogebied en ISO 27005 geeft invulling aan het specifieke proces voor risicobehandeling. ISO 27001 kan dus afgebeeld worden op de linkerkant (het raamwerk) van ISO 31000 zoals weergegeven in Bijlage 2 en ISO 27005 op de rechterkant van dezelfde afbeelding. Het volgende hoofdstuk zal verder ingaan op de verschillende aspecten die in een risicoanalyse moeten worden meegenomen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 18 van 58
3 Methodes voor Risicoanalyse Het voorgaande hoofdstuk heeft geleid tot een afbakening van het onderwerp van dit document, namelijk de risicoanalyse als onderdeel van het hele proces voor risicomanagement. Het bevat daarnaast ook een beschrijving van de ISO 27005. Dit hoofdstuk richt zich op het beschrijven van verschillende methodes voor het uitvoeren van een risicoanalyse. Uitgangspunt is daarbij dat een methode in principe zou moeten voldoen aan de stappen zoals beschreven in ISO 27005. Deze keuze is gebaseerd op het feit dat de ISO 27000 serie de de-facto standaard is voor informatiebeveiliging. Deze conclusie heeft ertoe geleid dat de BMTool zich baseert op ISO 27002, de set met maatregelen. Naar analogie hiervan wordt de ISO 27005 geadopteerd als standaard voor risicoanalyse. Dit hoofdstuk gaat daarom allereerst verder in op de relevante stappen uit ISO 27005. Vervolgens worden een aantal mogelijkheden voor het uitvoeren van risicoanalyses beschreven. Het hoofdstuk eindigt met een overzicht van voor- en nadelen van de gepresenteerde methodes. De vergelijking met ISO 27005 evenals het overzicht van voor- en nadelen leidt tot een aantal criteria van een risicoanalyse methode. Leden die nog niet over een methodiek beschikken kunnen deze criteria gebruiken om een methode te kiezen. De gepresenteerde criteria zijn ook de basis voor de opzet van een integrale methode. Deze methode wordt verder uitgewerkt in het volgende hoofdstuk. 3.1 Conformiteit van een risicoanalyse Zoals bovenstaand aangegeven stellen we dat een risicoanalyse methode dient te voldoen aan de richtlijnen voortkomend uit ISO 27005. Deze standaard beschrijft vooral de processtappen die onderdeel uitmaken van een adequate risicoanalyse. De belangrijkste eigenschap van een risicoanalyse methode is daarmee conformiteit aan ISO 27005. Conformiteit aan ISO 27005 definiëren we als de mate waarin een methode alle relevante aspecten van de risicobeoordeling zoals beschreven in ISO 27005 invult. Deze sectie werkt dit aspect nader uit. De basis hiervoor is de beschrijving van CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 19 van 58
risicoanalyse zoals opgenomen in de ISO 27005. De ISO 27005 beschrijft de risicoanalyse door voor elk onderdeel de input, de actie en de output weer te geven. De beoordeling van de conformiteit richt zich op het bepalen of alle relevantie acties (activiteiten) daadwerkelijk zijn uitgevoerd. ISO 27005 werkt elk van de processtappen van het risicomanagement proces uit in een hoofdstuk. De processtap risicoanalyse is uitgewerkt in hoofdstuk 8 van de standaard. De risicoanalyse is gebaseerd op een dreigingen- en kwetsbaarhedenanalyse. De identificatie van risico s omvat daarom de volgende activiteiten (met bijbehorend hoofdstuk / sectie uit ISO 27005): Identificatie van informatie en informatiehulpmiddelen (assets) (8.2.2) Identificatie van mogelijke dreigingen en bronnen voor deze dreigingen (8.2.3) Identificatie van bestaande maatregelen (8.2.4) Identificatie van kwetsbaarheden (8.2.5) Identificatie van de gevolgen van het optreden van een dreiging die een kwetsbaarheid exploiteert. (8.2.6) Nadat de risico s geïdentificeerd zijn, wordt in de risicoschatting de omvang van de risico s bepaald. De standaard onderscheidt daarbij een kwalitatieve en een kwantitatieve risicoschatting. Een kwalitatieve schatting drukt risico s uit in algemene termen, zoals hoog, middel en laag. De omvang van een risico zal vaak geschat worden door zowel de gevolgen (impact) van een risico als ook de kans op optreden (likelihood) van een risico eerst afzonderlijk te schatten. Vervolgens wordt de omvang van het risico afgeleid uit deze afzonderlijke schattingen gebruik makend van een tabel. Een kwantitatieve risicoanalyse drukt risico s uit in numerieke waardes. Vergelijkbaar met een kwantitatieve risicoanalyse kunnen daarbij ook eerst de gevolgen en de kans op optreden afzonderlijk worden geschat. De omvang volgt dan door de twee uitkomsten van deze schattingen met elkaar te vermenigvuldigen. De laatste stap van de risicoanalyse, de risico-evaluatie, richt zich op het evalueren van de risico s, gebruik makend van de risico evaluatie criteria. Deze stap resulteert in een prioritering van de risico s in lijn met de risico evaluatiecriteria. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 20 van 58