ISF uittreksel H1. Basisbegrippen van IT beveiliging Informatieplan Concrete invulling van het informatiebeveiligingsbeleid als onderdeel van het organisatiebeleid. Vierde productiefactor Informatie Beveiligingsincident Een gebeurtenis die de betrouwbaarheid van de informatie of de informatieverwerking kan verstoren. Waarde van informatie Kwaliteit van de informatie Belang van de informatie Kwaliteitseisen voor informatie Betrouwbaarheid==BIV Beschikbaarheid Tijdigheid Continuïteit Beschikbaarheid Integriteit Correctheid Volledigheid Geldigheid Authenticiteit Onweerlegbaarheid Nauwkeurigheid Controleerbaarheid Vertrouwelijkheid Exclusiviteit Betrouwbaarheid Continuïteit(-management) Verantwoordelijkheid van de lijnmanagers Beleid Continuïteitsplan o Welke bedreigingen? o Kans op bedreigingen? o Schade? o Maatregelen. Risicoanalyse Maatregelen Bedreigingen Menselijke bedeigingen o Onopzettelijke Illegale software Foutieve invoer verwijderen een beschadigen gegevens Niet goed opbergen gegevensdragers Binnenhalen kwaadaardige programmatuur
Ondeskundig gebruik van apparatuur Slordige omgang met autorisaties en wachtwoorden Niet uitloggen Schade bij bouwwerkzaamheden o Opzettelijke Inbraak Sabotage Kopieren van vertrouwelijke informatie Ongeautoriseerd wijzigen van gegevens Afluisteren of aftappen Verspreiden van kwaadaardige programmatuur Veroorzaken van storingen Bedrijfsspionage Vandalisme Terrorisme Misbruik van identiteit Niet houden aan voorschriften Niet-menselijke bedreigingen en storingen o Natuur Storm Bliksem Brand Ziekte o Storingen Stroomstoringen Storingen in de airconditioning Kortsluiting Fouten in hard of software Bronnen van menselijke bedreigingen Personeel Hacker Terrorist Crimineel Klanten Concurrenten Informatiebeveiliging Maatregelen waarborgen: Betrouwbaarheid (BIV) van de informatie Informatievoorziening Bedrijsmiddelen Kwaadaardige software Virus Worm Trojan Horse Logische bom Hoax Spam Bedreigingenanalyse Geeft inzicht in bedreigingen en gevolgen (uitgesplitst in BIV). Kwetsbaarheid De mate waarin een object gevoelig is voor een bepaalde bedreiging. Risico = kans x schade
Risicomanagement Risico s identificeren en tot ene aanvaardbaar risico terug te brengen Soorten risicoanalyse Standaard vragenlijst Voordelen: Goedkoop, snel in te voeren, normeerbaar, inzicht, bewustwording. Nadelen: Sluit niet aan, statisch, info beveiliging voor hackers o Quick scan Minst uitgebreid Geen specifieke organisatie eisen o Baseline checklist Uitgebreider en diepgaander Aangepast aan eigen organisatie Bijvoorbeeld op basis van: Code voor informatiebeveiliging Kwalitatieve risicoanalyse Voordelen, Maatwerk, dynamisch, hackers minder inzicht. Nadelen: Complex, tijd, kosten en levert (soms) te veel informatie op. Risico s worden geanalyseerd en de mogelijke schade geschat: o Omvang o Relatieve zwaarte o Afhankelijkheidsanalyse Hoe afhankelijk zijn bedrijfsprocessen van de betrouwbaarheid en welke eisen stel je aan betrouwbaarheid. o Configuratieanalyse Objecten en relaties tussen objecten worden onder de loep genomen. o Kwetsbaarheisanalyse Welke objecten zijn kwestbaar voor bereigingen en hoe kwestbaar. o Maatregelenanalyse Maatregelen zodanig dat alleen acceptabele risico s overblijven Kwantitatieve risicoanalyse Risico s gekwantificeerd in meetbare criteria, meestal geld. Vaak als aanvulling op de kwalitatieve risicoanalyse. Voordelen t.o.v. kwalitatieve : Meer inzicht in de schade Nadelen t.o.v. kwalitatieve : Meer inzicht nodig bij bepalen schade object. Risicobeperkende maatregelen Kans en/of schade verminderen: Backups Virusscanner Wachtwoorden vernieuwen Registratie verdachte handelingen verzekeringen Fysieke toegangscontrole Clear desk policy Uitwijkprocedures Risicoanalyse binnen ITIL CRAMM (kwalitatief) CCTA Risico Analyse Management Methode Risicoanalyse, 3 factoren: Middelen Bedreigingen Kwetsbaarheden
Risicomanagement: Tegenmaatregelen o Risicobeperking o Uitwijkmogelijkheden Welke risicomethode? Urgentie Kwetsbaarheid Organisatiecultuur Volwassenheid Organisatie van de informatiebeveiliging Proces informatiebeveiliging Beleid & organisatie Risicoanalyse Maatregelen Implementatie Bewaking Evaluatie Informatiebeveiligingsplan Maakt informatiebeveiligingsbeleid compleet. Bevat: Beveiligingsmaatregelen + reden Middelen Richtlijnen En verder: Doelstellingen Te beveiligen objecten Organisatie Taken, bevoegdheden, verantwoordelijkheden Beveiligingseisen en randvoorwaarden Objecten risico s een maatregelen Registratie en afhandeling van beveiligingsincidenten Calamiteitenplan Opleidingsplan Plannen voor bevoordeling beveiligingsbewustzijn Algemene beveiligingstaken Directie Eindverantwoordelijkheid informatiebeveiliging Opstellen informatiebeveiligingsbeleid Management Implementatie Medewerkers Correct gebruik Externe medewerkers Vallen onder degene die inhuurt Personeelszaken Geheimhoudingsverklaringen Verwijderen accounts Huishoudelijk regelement
Facilitair beheer Alleen toegang geautoriseerde personen Service desk Registratie beveiligingsincidenten Specifieke beveiligingsfuncties Security officer (Strategisch niveau) Opstellen informatiebeveiligingsbeleid (beveiligingsplan) Adviseur (informatie) beveiliging Interne audits Uitvoeren Risicoanalyses Security specialist (Tactisch niveau) Standaarden ontwikkelen Selecteren applicatiepakketten Interne controlemaatregelen Beheerder informatiebeveiliging (Operationeel niveau) Implementatie Beheren van authorisaties Autorisatiebeheerder Randvoorwaarden autorisaties Toekennen, wijzigen, intrekken van autorisaties Systeembeheerder Manusje van alles in kleine organisaties Standaarden informatiebeveiliging ITIL Security Management Eisen van de (interne) klant Beveiligingsparagraaf in SLA Operationeel Level agreement (OLA, Interne dienstverleners) Underpinning Contracts (UC, externe dienstverleners) Code voor informatiebeveiliging Van Nederlans Normalisatie Instituut Voorschrift Informatiebeveiliging Rijksdienst (VIR) Gebruik binnen de overheid ISO-Standaarden 14516 Trusted Third Party Certificatie Externe certificatie. Voorbeelden: ISO 17799 (Vader van Nederlandse code voor informatiebeveiliging) Common criteria (productcertificatie) Orange book (militaire wereld, vertrouwelijkheid) ITSEC (Vertrouwelijkheid en integriteit gegevensverwerking) Certificatieproces: Aanvraag
Proefonderzoek Documentatieonderzoek Implementatieonderzoek Evaluatie Beslissing centificaat Auditors Interne auditor Externe IT-auditor (meestal een accountantskantoor)
H2. Informatiebeveiliging ICT-Infrastructuur Geheel aan automatiseringsmiddelen voor opslaan, transporteren en representeren van gegevens en hardware, basisprogrammatuur inclusief documentatie en procedures Indeling van te beveiligen objecten Basisinfrastructurele voorzieningen Terreinen en gebouwen Watervoorzieningen Elektriciteitsvoorzieningen Klimaatvoorziening Telefoon, fax etc. Draadloze telecommunicatie (Bluetooth) Hardware Apparatuur Informatiedragers Software Basisprogrammatuur (Besturingsprogramma s) Gegevensopslagprogrammatuur (DMS) Programmeermiddelen Beveiligingsprogrammatuur Datacommunicatievoorzieningen Datacommunicatieapperatuur Routers, hubs, bridges etc. Netwerkkabels Datacommunicatieprogrammatuur zoals e-mail clients, browsers, EDI etc. Documentatie (in de zin van informatiebeveiliging) Beschrijving van systemen, applicaties, procedures etc. Informatie De gegevens op informatiedragers De gegevens onderweg tijdens datacommunicatie Beveiligingsmaatregelen Indeling naar betrouwbaarheidsaspect Beschikbaarheid Integriteit Vertrouwelijkheid Indeling naar effect Preventieve beveiligingsmaatregelen o Permanent Brandwerende deur Firewall o Getriggerd UPS Detectieve beveiligingsmaatregelen Heeft alleen zin in combinatie met getrigged preventieve- of repressive maatregelen. o Virusscanner o Rookdetector Represieve beveiligingsmaatregelen o Brandblussers o Uitwijkvoorzieningen
o Back-up and recovery Correctieve beveiligingsmaatregelen o Herstelt de schade o Beveiliging eigenlijk al doorbroken Beveiligingen naar werkwijze Fysieke beveiligingsmaatregelen o Anti-inbraakmiddelen o Overspanningsbeveiliging o Klimaatbeheersing Technische beveiligingsmaatregelen o Autorisatie o Encryptie o Logging o Authenticatie Iets dat je weet Iets dat je hebt Biometrie o Bridges en gateways o Firewall o Logging en monitoring Eventueel met Intrusion Detection System o Backup en redundatie Organisatorische maatregelen o Taken, bevoegdheden en verantwoordelijkheden o IT-auditing o Uitwijkvoorzieningen o Regels over fysieke inrichting (Apperatuur niet onder een dak i.v.m. lekkage) o Organisaorische inrichting Functiescheiding o Regels (clean desk policy)
H3. Continuïteit van de IT-dienstverlening Calamiteit Als een bedrijfsproces ernstig stagneert of stil komt te liggen Calamiteitenplan Wie doet wat, wanneer en hoe als er een calamiteit is. Belangrijkste onderdelen: Doelstellingen Samenstelling crisisteam Draaiboek Uitwijkplan Soorten uitwijk Geen uitwijk Alleen Backups terugzetten etc. Cold site Ruimte is geheel voorbereid op installeren van de benodigde computerapperatuur, stroomvoorziening en airco. Warm site Volledig met hard en software ingericht, bij calamiteit backups terugzetten. Hot site Parallelpocessing, meteen omschakelen mogelijk Pooled site Gedeelde warm site, goedkoper Mobiele uitwijk Container naar locatie Bilaterale uitwijk Twee partijen spreken af te delen Uitwijkplan Geeft uitvoering aan het uitwijkproces
H4. Juridische aspecten van de ICT Grondwet Art. 10 Persoonlike levenssfeer Art. 13 Brief en communicatiegeheim Bekende wetten: Wet GBA Auteurswet Rechten auteur (50-70 jaar na dood): Niet ongeoorloofd wijzigen werk Verveelvoudigen Openbaar maken Reverse engeneering, licentie gebruker mag soms sourcecode gebruken voor interoperabiliteit Wet Bescherming Persoonsgegevens Oud: WPR Registratiekamer Nieuw: WPB College persoonsgegevens (Bijna) alle handelingen m.b.t. persoongegevens. Uitgesloten: Politie AIVD GBA Taken CBP: Advies Toetsen Bemiddelen Onderzoeken Privacy Enhencing Technologies (PET) Basis art 17. EG richtlijn en artikel 13 WPB. PET ICT maatregelen om persoonsgegevens te elimineren of verminderen, zonder verlies van functionaliteit Met encryptie, evt. met TTP. Identiteitsdomein Om naar naam te verwijzen Pseudo-identiteitsdomein Bijvoorbeeld diagnostische of behandelgegevens Functionaris gegevensbescherming (WBP) Toezicht Melden aan CBP Klachtenbehandeling Bevoegdheden
Alle ruimtes betreden Inzage Onderzoeken Positie Staffunctie Contactpersoon voor CBP Wet computercriminaliteit (WCC) Bescherming voor: Beschikbaarheid Integriteit Exclusieviteit Provider is niet aansprakelijk Strafbaar: Binnendringen Wederechtelijk wijzigen (zelf zonder beveiliging) Beschadigen Burgerlijk wetboek Taak voor account in continuïteit Wet op de telecommunicatievoorzieningen Over openbare netwerken Voorschrift Informatiebeveiliging Rijksdienst Voor overheid en inclusief A & K analyse. Overig: Contract of overeenkomst (Inclusief SLA) Outsoursing Lease-overeenkomst SLA Gedragscode voor e-commerce (door Electronic Commerce Platform) o Betrouwbaarheid o Transparantie Juridische procedures Arbitrage (Nederlands Arbitrage Instituut) Minitrial (goedkoper, commissie van 3 personen) Aangifte (bij overtreding) Civiele procedure (onrechtmatige daad)