BUSINESS RISK MANAGEMENT



Vergelijkbare documenten
Business Continuity Management

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST?

ISMS (Information Security Management System)

Gemeente Alphen aan den Rijn

De maatregelen in de komende NEN Beer Franken

Informatiebeveiliging in de praktijk gebracht! Een pragmatische aanpak van IT-beveiliging.

Informatiebeveiligingsbeleid

Veiligheid in gezondheidszorg.nl

Het Sebyde aanbod. Secure By Design

De logica achter de ISA s en het interne controlesysteem

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

Readiness Assessment ISMS

Informatieveiligheid, de praktische aanpak

ISO/IEC in een veranderende IT wereld

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

HP ITSM Assessment Services HP Services

"Baselines: eigenwijsheid of wijsheid?"

ALGEMENE VOORWAARDEN FEDICT DIENSTEN

Deontologische Code. Deze Deontologische Code is zowel op individuen als op entiteiten die interne auditdiensten verlenen van toepassing.

Risico Management. Arbeidsinspectie. Jan Slijpen Teamleider MHC-Zuid Directie MHC. Toepassing Risico Management door AI

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Praktische handleiding FSMA_2018_07 van 22/05/2018

TROWA. Visie en scope Informatiemodel Waterschapsverordening. Datum : : 2.0, definitief

informatieveiligheidsbeleid (Doc. Ref. : isms.004.hierar. ; Doc. Ref.(BCSS) : V hierarch.v5.ivn)

SVHT-IT. Mission statement

1. Methode van risicoanalyse Matrix risico-inschatting

Van principes naar normenkaders. Jan Dros Belastingdienst/Amsterdam Gerrit Wesselink UWV

Stop met het gebruik van de methode van Kinney als kwantitatieve risicoevaluatiemethode

Hoe fysiek is informatiebeveiliging?

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Verklaring van Toepasselijkheid

Informatiebeveiliging voor gemeenten: een helder stappenplan

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Kwaliteitsmanagement: de verandering communiceren!

Personeel & Organisatie (P&O) Financiën

Risicomanagement en NARIS gemeente Amsterdam

INTERNE AUDIT: ALGEMENE PRINCIPES VOOR DE ORGANISATIE EN DE UITVOERING

BEHEER VAN DE REGISTRATIES IN VERBAND MET DE ACTIVITEITEN VAN BELAC

Personeel & Organisatie (P&O) Financiën

Je kunt de presentatie na afloop van elke les downloaden. Ga naar : Kies voor de map Systeemontwikkeling

A.Z. Sint Jan A.V. - apotheek. procedure. interne audit

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement

Leen Poppeliers VOV-beurs Leuven, 16 november 2007 met steun van

weer wat nieuws KEMA KEMA Reden van verandering KLANT- & PRESTATIEGERICHT! Oude norm was onvoldoende KEMA Quality B.V.

1 Brief met formeel verzoek tot goedkeuring

Stappenplan naar GDPR compliance

Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens 1

Professioneel beheer. Altijd kunnen vertrouwen op uw (bedrijfskritische) informatiesystemen

Overzicht bepalingen inhoud Veiligheidsrapport in het Brzo 2015, Seveso III en de Rrzo Maart 2016

Beleidslijn informatieveiligheid en privacy Draadloze netwerken

BiSL Scenario s. Informatiebeleid. Bijlage E Best practice Verzamelen objectieve gegevens. Hans van der Linden, Remko van der Pols

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Bedrijfscontinuïteit met behulp van een BCMS

Clausules betreffende de verwerking van persoonsgegevens

Curriculum Vitae Ishak Atak. Naam : Ishak Atak Roepnaam : Ishak. Woonplaats : Utrecht Geboorte datum :

Informatiebeveiliging

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Hoezo dé nieuwe ISO-normen?

Checklist van Verplichte Documentatie vereist door ISO/IEC (2013 Revisie)

Beveiligingsbeleid Stichting Kennisnet

Inhoudsopgave. Inleiding... 9

De laatste ontwikkelingen op het gebied van NEN-EN normering de nieuwe norm is compleet

FACTSHEET DATALEK. Inleiding

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

Informatiebeveiligingsbeleid

ISO55000: Harde norm voor assetmanagement in de context van organisatiecultuur AMC Seminar 2014

SEE INFORMATION DIFFERENTLY ARCHIEF- EN INFORMATIEBEHEER: EEN GOED BEGIN IS HET HALVE WERK BASISKENNIS OVER RETENTIESCHEMA'S

Beveiligen van PDF documenten (deel 3)

MACHINEVEILIGHEID: RISICOBEOORDELING EN -REDUCTIE

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT Informatieveiligheid omdat het moet!

Beleidslijn informatieveiligheid en privacy Logbeheer

DATAMODELLERING DATA MAPPING MODEL

Norm inzake de toepassing van de ISA's in Belgie

Hartelijk welkom! DNV GL 2016 SAFER, SMARTER, GREENER

E-Procurement. Federale Dienst e-procurement. Waldo Van den Broeck

Information security officer: Where to start?

Doel van de opleiding informatieveiligheid

ISA 710, TER VERGELIJKING OPGENOMEN INFORMATIE - OVEREENKOMSTIGE CIJFERS EN VERGELIJKENDE FINANCIELE OVERZICHTEN

ISO CTG Europe

Transcriptie:

BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT... 2 2 DEFINITIES... 2 3 PRINCIPE... 3 4 BIJZONDER GEVAL VAN SYSTEMEN DIE GECLASSIFICEERDE INFORMATIE VERWERKEN... 3 5 RISICOMETING...4 6 STAP 1 : ANALYSE VAN HET BELANG VAN HET SYSTEEM...5 7 STAP 2 : EVALUATIE VAN DE DREIGINGEN EN KWETSBAARHEDEN...6 8 STAP 3 : UITWERKING VAN VEILIGHEIDSMAATREGELEN... 6 9 STAP 4 : EVALUATIE VAN HET RESTRISICO, VALIDATIE EN BESLISSING...8 1 STAP 5 : REALISATIE... 8 11 STAP 6 : KWALITEITSVERZEKERING...9 1

1 Doelstelling van het document Een aanpak voorstellen voor de beheersing van de risico s van informatiesystemen, volgens de in de norm ISO 13335 1 beschreven principes. Deze aanpak voldoet aan de volgende doelstellingen : de personen die verantwoordelijk zijn voor de activiteit bewust maken van de inherente risico s van het informatiesysteem, veiligheidsmaatregelen uitwerken die aangepast zijn aan de geïdentificeerde risico s, de verantwoordelijke personen in staat stellen om beslissingen te nemen over de veiligheid van het systeem (aanvaarding van het restrisico, kosten van de veiligheidsmaatregelen, ). Bijgevolg moet de aanpak eenvoudig en intuïtief zijn, zodat hij kan worden toegepast door de personen die verantwoordelijk zijn voor de activiteit, zonder noodzakelijk een beroep te moeten doen op informaticatechnici of veiligheidsexperts. Daarom is de methode niet gericht op het waarschijnlijkheidsaspect van het risico, dat de zaken ingewikkelder zou maken zonder een echte meerwaarde op te leveren 2. 2 Definities 3 Activiteit ( business ) : dienst die door de organisatie wordt geleverd, of intern proces dat nodig is voor deze dienst. Informatiesysteem: georganiseerd geheel van middelen dat informatie verwerkt met het oog op de ondersteuning van een activiteit. Eigenaar van het informatiesysteem ( business owner ) : persoon die verantwoordelijk is voor de door het informatiesysteem ondersteunde activiteit 4. Actief ( asset ): elk element dat een (materiële of immateriële) waarde heeft voor de organisatie en verband houdt met het informatiesysteem. Voorbeelden : o informatie: bestanden, databanken, documentatie, contracten, procedures, o software: applicaties, systeemsoftware, o fysieke middelen: materieel, informatiedragers, o fysieke omgeving: gebouwen, stroomvoorziening, o human resources. Beschikbaarheid : toegankelijkheid van informatie of van een systeem op het gewenste ogenblik voor gemachtigde individuen, entiteiten of processen. Integriteit : verzekering van de correctheid van de informatie. Vertrouwelijkheid : ontoegankelijkheid van de informatie voor niet-gemachtigde individuen, entiteiten of processen. Bewijskracht : vermogen om handelingen eenduidig toe te schrijven aan een persoon of entiteit. Dreiging : handeling of gebeurtenis die schade kan toebrengen aan het informatiesysteem of de activiteit die het ondersteunt. Kwetsbaarheid : zwak punt van het systeem dat een dreiging concreet kan maken. 1 ISO/IEC TR 13335 (Information Technology Guidelines for the management of IT Security). 2 Het is vaak moeilijk om een waarschijnlijkheid te bepalen van zeldzame gebeurtenissen of voor nieuwe technologieën of nieuwe dreigingen. Bovendien past men voor zeer onwaarschijnlijke gebeurtenissen met een grote impact meestal beter veiligheidsmaatregelen toe (die de impact en niet de waarschijnlijkheid beïnvloeden) ; in dit geval is niet de waarschijnlijkheid maar wel de prijs van de maatregelen de belangrijkste factor in de besluitvorming. 3 Definities gebaseerd op deze van de ISO. 4 Het betreft meestal de hoofdgebruiker van het informatiesysteem en niet de ICT-verantwoordelijke. 2

3 Principe De benadering bestaat in: de schatting van het belang van het informatiesysteem met betrekking tot eventuele veiligheidsproblemen : wat zijn de eindgevolgen voor de organisatie in haar geheel van eventuele gebreken van de vier gebruikelijke veiligheidsfactoren (beschikbaarheid, integriteit, vertrouwelijkheid, bewijskracht)? de identificatie van de dreigingen en de zwakke punten van het systeem ; de uitwerking van veiligheidsmaatregelen die het risico tot een aanvaardbaar niveau beperken. De eigenaar van het informatiesysteem is de eerste verantwoordelijk voor het goede verloop van deze aanpak. De voorwaarden voor de ontwikkeling en exploitatie van het systeem maken samen met de audit deel uit van het risicobeheer. De essentie van de aanpak (stappen 1 tot 4) moet vroeg in de ontwikkeling van het systeem plaatsvinden. 4 Bijzonder geval van systemen die geclassificeerde informatie verwerken De documentatie van het risico van dergelijke systemen bevat vaak informatie waarvan de kennis kwaadwillige handelingen kan vergemakkelijken. Bijgevolg moeten de personen die meewerken aan de risicoanalyse normaal over een machtiging beschikken die minstens overeenkomt met het classificatieniveau van het (toekomstige) systeem, en moet de geproduceerde (voorlopige en definitieve) informatie op hetzelfde niveau worden geclassificeerd 5. 5 Classificatie kan worden herzien volgens de resultaten van de risicoanalyse. 3

5 Risicometing De eventuele veiligheidsgebreken worden geëvalueerd op hun uiteindelijke gevolgen voor het geheel van de organisatie ("business risk") : volgens de aard van de gevolgen : o code C : aantasting van belangen die de classificatie van de informatie rechtvaardigt (in de betekenis van de Belgische wet en/of de relevante internationale regels voor het beschouwde systeem) o code O : dreiging voor de openbare orde o code F : financieel verlies o code J : juridische gevolgen o code I : aantasting van het imago van de openbare dienst o code S : sociale en menselijke gevolgen o code X : andere (te preciseren) volgens de ernst van de gevolgen (op een logaritmische schaal van 1 tot 4). De volgende metriek wordt voorgesteld 6 : Ernst Classificatie Openbare orde Financiële verliezen (in miljoen ) Juridisch Imago van de Overheids-dienst Sociaal en menselijke Anderen (te preciseren) C O F J I S X 1 (Beperkte verspreiding) Plaatselijke en tijdelijke verstoring Aard van de gevolgen < 1 Iintern sancties aan het Bestuur Occasionele klachten Onthulling van weinig gevoelige persoonlijke gegevens 2 Vertrouwelijk Dreiging voor de openbare orde 3 Geheim Moeilijkheid om de publieke orde te handhaven 4 Zeer geheim Openbare orde ernstig in gevaar 1-1 Rechtsvervolging Occasionele kritiek in de media Tijdelijke aantasting van de reputatie 1-1 Veroordeling van de overheid Ernstige kritiek in de media Ernstige aantasting van de integriteit of de reputatie > 1 Internationale veroordeling van de overheid Blijvende aantasting Verlies van mensenleven/ernstige aantasting van de reputatie 6 Deze tabel dient uitsluitend voor de evaluatie van het risico volgens verscheidene criteria en niet voor het bepalen van een equivalentie tussen gevolgen van verschillende aard. De tabel mag bijvoorbeeld niet worden gebruikt om een equivalentie te bepalen tussen menselijke en financiële verliezen. 4

6 Stap 1 : Analyse van het belang van het systeem Het belang van het systeem wordt gemeten aan de gevolgen voor de organisatie van gebreken van de volgende veiligheidsfactoren: beschikbaarheid, integriteit, vertrouwelijkheid en bewijskracht. Men moet deze gevolgen dus documenteren volgens de in 5 beschreven risicometing. Dit moet gebeuren voor elk actief ( asset ) van het informatiesysteem, los van de eventuele dreigingen en kwetsbaarheden en zonder rekening te houden met de mogelijke veiligheidsmaatregelen. Het vertrekpunt van deze evaluatie is vaak een document dat de gebruiks- en verantwoordelijkheidslimieten van het systeem bepaalt. Voorbeelden van dergelijke documenten : "Liability and responsibility policy" (bijvoorbeeld voor een betaalsysteem). "Certification Practice Statement" (voor een PKI). Documentair model 7 (een tabel per actief) : Systeembelang Aard van de gevolgen C O F J I S X Maximaal ernst Beschikbaarheid Onbeschikbaarheid: < 5 min 5 min tot 1 uur 1 uur tot 1 dag 1 dag tot 1 week 1 week tot 1 maand > 1 maand Integriteit Toevallige beschadiging Opzettelijke beschadiging Verlies van transacties: 1 1 1 1 1 Vertrouwelijk Onthulling aan niet-gemachtigde personen Bewijskracht Niet-bewijskrachtige aard van de registraties Men kan meestal met gezond verstand de activa zodanig groeperen dat men het aantal in te vullen tabellen kan beperken. In kolommen C / O / F / J / I / S / X wordt de ernst van de gevolgen van veiligheidsgebreken geëvalueerd (1 tot 4, volgens de in 5 beschreven risicometing). De laatste kolom geeft de maximale ernst per regel. Het resultaat van deze stap is een totaalbeeld van het risico dat het geanalyseerde systeem inhoudt voor de organisatie. 7 De hier getoonde documentaire modellen zijn afkomstig van de tool die de methode vergezelt. 5

7 Stap 2 : Evaluatie van de dreigingen en kwetsbaarheden Norm ISO 13335 (deel 3, bijlagen C en D) geeft een standaardlijst van de dreigingen en kwetsbaarheden. Men moet de kwetsbaarheden en hun gevolgen documenteren, rekening houdend met het in stap 1 geëvalueerde belang en met de verschillende plausibele dreigingen. Documentair model 8 : Aard van de gevolgen Kwetsbaarheden C O F J I S X Maximaal ernst Omgeving en infrastructuur Hardware Software Comminucatie Documenten Personeel Andere algemene kwetsbaarheden Na deze stap is de eigenaar van het informatiesysteem zich bewust van het risico dat bepaalde gebreken opleveren en van de scenario s die tot risico s kunnen leiden. 8 Stap 3 : Uitwerking van veiligheidsmaatregelen De veiligheidsmaatregelen worden als volgt ingedeeld: Basismaatregelen Dit zijn algemene maatregelen die in de betrokken organisatie worden toegepast. Normaal worden ze beschreven in de reglementen van de organisatie en in de richtlijnen van het federale Information Security Management Forum. De basismaatregelen maken de beheersing mogelijk van een groot gedeelte van de in stap 2 geïdentificeerde dreigingen en kwetsbaarheden. Zij omvatten 9 : o voor het projectbeheer : PMBOK (Project Management Body Of Knowledge), o voor de ontwikkeling : UML (Unified Modeling Language), aangevuld met methoden zoals Unified Process of Spiral Development, o voor het servicebeheer : ITIL (IT Infrastructure Library), o of een equivalent. Specifieke maatregelen voor het geanalyseerde systeem Men moet bijkomende veiligheidsmaatregelen overwegen, afhankelijk van het in stappen 1 en 2 geëvalueerde risico. 8 De 7 regels van de tabel komen overeen met de titels van bijlage D van de norm ISO 13335 (deel 3). Men moet over de tekst van de norm beschikken om de tabel in te vullen. Ref.: www.iso.org (zoek op 13335 standards ) en www.ibn.be. 9 Aan te vullen lijst. 6

Deze maatregelen worden gekenmerkt door hun werkwijze : o o hun lokalisatie : o o preventie (code PV) : maatregel die de waarschijnlijkheid van een incident maar niet zijn ernst vermindert [voorbeeld : rookverbod] ; bescherming (code PT) : maatregel die de ernst van een incident maar niet zijn waarschijnlijkheid vermindert [voorbeeld : automatisch blussysteem] ; ICT (code IT): technische maatregel [voorbeelden : mirroring, PKI, geprogrammeerde dubbele interventie]; bij de gebruiker (code US voor user ) : maatregel die betrekking heeft op het gedrag van de gebruikers of op administratieve procedures [voorbeeld: een controlelijst prikken] ; hun initiële en herhalende kosten ; de veiligheidsfactor(en) die ze beïnvloeden: beschikbaarheid, integriteit, vertrouwelijkheid en/of bewijskracht. Documentaire modellen 1 : Beschrijving van de maatregel: Beïnvloede veiligheidsfactoren Beschikbaarheid Onbeschikbaarheid: Integriteit Toevallige beschadiging Opzettelijke beschadiging Werkwijze (PV [1] of PT [2] ) : Lokalisatie (IT [3] of US [4] ) : Initiële kosten: < 5 min 5 min tot 1 uur 1 uur tot 1 dag 1 dag tot 1 week Herhalende kosten: 1 week tot 1 maand > 1 maand Verlies van transacties: 1 Vertrouwelijk 1 1 1 1 Onthulling aan niet-gemachtigde personen Bewijskracht Niet-bewijskrachtige aard van de registraties 1 Indien nodig aan te vullen met gedetailleerde verklaringen. 7

9 Stap 4 : Evaluatie van het restrisico, validatie en beslissing Men moet de tabellen van stap 1 opnieuw invullen, deze keer rekening houdend met de in stap 3 ontwikkelde veiligheidsmaatregelen. Het resultaat is het verwachte restrisico voor het systeem. Maximaal ernst Restrisiko Aard van de gevolgen C O F J I S X Maximaal ernst Indien de balans tussen de kosten van de veiligheidsmaatregelen en het restrisico onaanvaardbaar wordt geacht, moet men stap 3 herhalen tot men een gepast compromis vindt. De gekozen oplossingen, hun kosten en het verwachte restrisico moeten door de eigenaar van het informatiesysteem expliciet worden aanvaard voor de realisatie begint. 1 Stap 5 : Realisatie Pro memorie. 8

11 Stap 6 : Kwaliteitsverzekering Om volledig te zijn, moet de aanpak passen in een doorlopend proces dat een auditfase omvat. Business? Business owner? De audit van het informatiesysteem en de oplossing van de eventuele zwakke punten die men vaststelt volgen het onderstaande minimale schema : Bij de ingebruikneming Bron: KB van 2/1/22 over de interne audit in de federale openbare diensten (FOD P&O) In stap 1 bepaald risiconiveau 1 4 3 2 1 Uitvoering van de audit Voor ingebruikneming Voor ingebruikneming Voor ingebruikneming Binnen de 6 maanden na de ingebruikneming Oplossing van de vastgestelde zwakke punten Voor ingebruikneming Voor ingebruikneming Binnen de 6 maanden na de ingebruikneming Binnen de 12 maanden na de audit Na de ingebruikneming Uitvoering van de audits Jaarlijks Jaarlijks Om de 2 jaar Om de 4 jaar Oplossing van de vastgestelde zwakke punten Binnen de 6 maanden Binnen de 6 maanden Binnen de 6 maanden Binnen de 12 maanden De auditors moeten volledig onafhankelijk zijn van de met de ontwikkeling en de werking van het informatiesysteem belaste organisaties. 9

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback