Modellen, Raamwerken en Methode s

Vergelijkbare documenten
"Baselines: eigenwijsheid of wijsheid?"

Seriously Seeking Security

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Readiness Assessment ISMS

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Informatiebeveiliging & ISO/IEC 27001:2013

Maturity van security architectuur

HET GAAT OM INFORMATIE

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Control driven cyber defense

Business as (un)usual

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

ISO/IEC in een veranderende IT wereld

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

Volwassen Informatiebeveiliging

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

LIO NOREA bijeenkomst 4 februari 2019

Werkgroep ISO TestNet thema-avond 9 oktober 2014

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

HP ITSM Assessment Services HP Services

Opleiding PECB IT Governance.

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST?

Advies inzake Risicobenadering

Incidenten in de Cloud. De visie van een Cloud-Provider

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart Cross reference ISM - COBIT

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

NS in beweging, Security als business enabler september 2008

ISO CTG Europe

ISO9001:2015, in vogelvlucht. Door Tjarko Vrugt

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

PinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening

Cyber Security Assessment (NOREA-CSA) Analyse Cyber Security Standaarden en Frameworks

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Opleiding PECB ISO 9001 Quality Manager.

Welkom bij parallellijn 1 On the Move uur

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Enterprisearchitectuur

Offshore Outsourcing van Infrastructure Management

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Identity & Access Management & Cloud Computing

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

Beleidslijn informatieveiligheid en privacy Draadloze netwerken

ISO/IEC Governance of InformationTechnology. Yvette Backer ASL BiSL Foundation. 16 juni ISO Governance of Information Technoloy 1

Bedrijfscontinuïteit met behulp van een BCMS

Snel naar ISO20000 met de ISM-methode

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

Bijlage IV Een betrouwbare internetstemvoorziening en de onderbouwing daarvan voor het publiek

Stichting NIOC en de NIOC kennisbank

BiZZdesign. Bouwen van sterke en wendbare organisaties met behulp van standaarden, methode, technieken en tools. Research & Development

Hartelijk welkom! DNV GL 2016 SAFER, SMARTER, GREENER

Het Sebyde aanbod. Secure By Design

IT risk management voor Pensioenfondsen

Gemeente Alphen aan den Rijn

2 e webinar herziening ISO 14001

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

Het wat en hoe van risicomanagement. LOKmml-bijeenkomst donderdag 24 maart 2016

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

CERTIFICERING NEN 7510

Naar een nieuw Privacy Control Framework (PCF)

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Informatiebeveiliging & Privacy - by Design

ISACA NL C**** in a day Inspiratiesessie CRISC

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)

weer wat nieuws KEMA KEMA Reden van verandering KLANT- & PRESTATIEGERICHT! Oude norm was onvoldoende KEMA Quality B.V.

Business Continuity Management

Verantwoordingsrichtlijn

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Internettechnlogie, systteem- en netwerkbeheer MODULECODE STUDIEPUNTEN 10 VRIJSTELLING MOGELIJK ja

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Information security officer: Where to start?

Verschillen en overeenkomsten tussen SOx en SAS 70

ISO 41001; a game changer for Facility Management?!

Privacy & Data event 18 mei Privacy by Design. Jan Rochat, Chief Technology Officer

IT Service CMM. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Een framework voor applicatiebeheer

De maatregelen in de komende NEN Beer Franken

ISO 9001: Business in Control 2.0

Wat kan BIM betekenen voor de gebouwbeheerder?

Hoe fysiek is informatiebeveiliging?

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Missie organisatie scope status 2015 ketenborging.nl

Brochure ISO Foundation

ISO 9001: Niets aan de hand! Enkele cosmetische wijzigingen... of toch niet?

IT Service CMM. White paper. Frank Niessink. Versie 1.0.2, 30 november Copyright 2001 Software Engineering Research Centre All rights reserved.

IT Service CMM en ASL Een vergelijking

Toets NEN 7510 voor FG in de zorg

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement

Pijlers van Beheer. Bram van der Vos

Berry Kok. Navara Risk Advisory

DYNAMIC INFRASTRUCTURE Helping build a smarter planet

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Checklist van Verplichte Documentatie vereist door ISO/IEC (2013 Revisie)

Transcriptie:

In Control of Under Control? De auditor in het informatiebeveiligingsbos. Leon Kuunders (lkuunders@trusted-id.nl) Gebaseerd op Alphabet Soup van Benjamin Tomhave. Gebruikt met toestemming. CCA-NCND 2.5

Definities Modellen Raamwerken Methode s Controle / Conclusie Overzicht

This page intentionally left blank.

Model: Een abstract, conceptueel denkbeeld dat processen, variabelen en relaties verbeeld zonder specifieke richtlijnen voor implementatie. Abstract: niet door aanschouwing verkregen maar door redenering afgeleid Conceptueel: als in concept, ontwerp

Raamwerk (Framework): Een elementair denkbeeld dat aannames, concepten, waardes en richtlijnen vastlegd, en daarbij instructies geeft voor de implementatie.

Methode: Een doelgericht denkbeeld dat specifieke richtlijnen, procedure s en regels vastlegd voor implementatie van een taak of functie.

Standaard: Een specificatie opgesteld middels een open, geformaliseerd ontwikkeltraject, waarbij de inbreng is beoordeelt en na stemming is opgenomen.

M1: The McCumber Cube (1991) Information Systems Security: Comprehensive Model - focus op Information States, Critical Information Characteristics en Security Measures - http://www.cnss.gov/assets/pdf/nstissi_4011.pdf - abstract - geen richtlijnen

The McCumber Cube

De McCumber Cube gebruikt door RCC (nu PinkRoccade). Een zijde ingevuld door vertrouwelijkheid, integriteit en continuïteit. De andere zijde ingevuld door maatregelen die je kunt treffen: fysieke, organisatorische en logische, c.q. programmeerbare maatregelen. En kenmerken van die maatregelen kunnen dan zijn dat ze preventief zijn, repressief of herstellend. Dan heb je 3 x 3 x 3 = 27 minikubusjes. En elk van die kubusjes bevat vervolgens een pakket maatregelen waarmee een bepaald facet van de informatiebeveiliging wordt aangepakt. (uit interview met Albert Brouwer, CvIB.nl)

Wat zijn Raamwerken Engels Framework Nederlands b.v. Schema s Richtlijnen voor maatregelen, zonder op een specifieke taak te richten. (Een elementair denkbeeld dat aannames, concepten, waardes en richtlijnen vastlegd, en daarbij instructies geeft voor de implementatie.)

S1: Cobit Control Objectives for Information and related Technology http://www.isaca.org/cobit/ Geeft een aanpak voor het ontwerpen, implementeren en testen van IT controls. Bevat kritische succesfactoren, sleutelindicatoren en prestatieindicatoren. Geeft richtlijnen voor het uitvoeren van een audit. Bevat vier domeinen : Planning & Organisatie, Acquisitie en Implementatie, Oplevering & Ondersteuning en Monitoring.

S1: Cobit Control Objectives for Information and related Technology Verbeterd de controle op IT middelen. Geen Informatiebeveiliging Framework. Bevat 1 verwijzing naar informatiebeveiliging uit de 34 richtlijnen. Informatiebeveiliging is holistisch van aard. Cobit is exclusief IT gericht.

S2: Common Criteria for Information Technology Security Evaluation ISO/IEC 15408, CC http://www.commoncriteriaportal.org/ Maakt beschrijven van beveiligingsprincipes in software en hardware mogelijk. Wordt gebruikt door fabrikanten om de beveiligingsvoorwaarden van producten te beschrijven. Kern Evaluated Assurance Levels (gebaseerd op business processen) en Protection Profile (de beveiligingsvoorwaarden).

S3: COSO Enterprise Risk Management Integrated Framework (1987) The Committee of Sponsoring Organizations of the Treadway Commission Enterprise Risk Management Integrated Framework. http://www.coso.org/ Geeft een integrale aanpak voor de organisatiebrede implementatie van risico-management. Categoriën: Strategie, Operationeel, Rapportage, Naleving. Top-down aanpak (consistent met Sox). Gaat uitgebreid in op het identificeren en beheersen van bedrijfsrisico s.

S3: COSO Enterprise Risk Management Integrated Framework (1987) In lijn met ISO/IEC 17799. Bevat geen richtlijnen voor het bepalen en verminderen van risico s. Geeft hulp voor het bepalen en integreren van complementaire methode s.

S4: Information Security Management Maturity Model Geeft richtlijnen voor het verbeteren van een Information Security Management Systems (ISMS). http://www.isecom.org/projects/ism3.shtml Gebruikt het Capability Maturity Model. Doel is het voorkomen en verminderen van (beveiligings)incidenten. Vier uitgangspunten: Documentatie (generiek), Strategisch Management, Tactisch Management en Operationeel Management.

S4: Information Security Management Maturity Model Leent veel uit andere schema s of raamwerken zoals ISO/IEC 17799. Geeft geen richtlijnen voor de implementatie van een ISMS. Kan worden ingezet voor het testen van de effectiviteit van een geïmplementeerd ISMS.

S5: INFOSEC Assurance Capability Maturity Model (IA-CMM) http://www.iatrp.com/iacmm.cfm Geeft handreikingen voor het selecteren en implementeren van verbeteringsstrategiën van het informatiebeveiligingsniveau. Maakt gebruik van definities uit SSE-CMM (Security Software Engineering Capability Maturity Model, ISO/IEC 21827). Controle gebieden: Provide Training, Coordinate with Customer Organization, Specify Initial INFOSEC Needs, Assess Threat, Assess Vulnerability, Assess Impact, Assess INFOSEC Risk, Provide Analysis and Results

S6: ISF Standard of Good Practice The Information Security Forum Standard of Good Practice http://www.isfsecuritystandard.com/ Benadert informatiebeveiliging vanuit een zakelijk perspectief. Focust op de afspraken die nodig zijn om zakelijke risico s die aan kritische informatiesystemen zijn gekoppeld te beheersen. Vijf aspecten: Beveligingsmanagement (bedrijfsbreed), Kritische Business Applicaties, Computer Installaties, Netwerk en Systeem Ontwikkeling.

S6: ISF Standard of Good Practice Geeft per onderzocht aspect de algemeen toepasbare best practices voor informatiebeveiliging. Is gedetailleerd van opzet. Kan goed gebruikt worden in combinatie met ISO/IEC 17799 of COSO.

S7: ISO 17799 / ISO 27001 ISO/IEC 17799:2005 Information technology Security techniques Code of practice for information security management. http://www.iso.org/ 17799: richtlijnen voor het ontwikkelen van beveiligingsstandaarden en beveiligingsmanagement bij een organisatie. 27001: eisen voor het opzetten, implementeren, gebruiken, controleren, herzien, onderhouden en verbeteren van een gedocumenteerd ISMS binnen de context van de zakelijke risico s.

S7: ISO 17799 / ISO 27001 17799 geeft richtlijnen voor de invoer van informatiebeveiligingsmaatregelen. 27001 geeft richtlijnen voor het managen van informatiebeveiliging en het controleren van het niveau. Start bij de business en het identificeren en analyseren van risico s. Is gericht op het verminderen van die (zakelijke) risico s. Lijkt op COSO wat betreft aanpak. Is flexibeler in de implementatie van het ISMS dan COSO.

S7a: ISO 17799 / ISO 27001 in de zorg: NEN 7510 Nieuwe norm toegespitst op de zorg vastgesteld door NEN Normcommissie 303001. Gebaseerd op de Code voor Informatiebeveiliging, de nederlandstalige ISO 17799. Uitgebreid met eisen uit ENV 12924 (Medical informatics - Security categorisation and protection for healthcare information systems). Toetsbare varianten voor drie organisatievormen: NEN 7511-1 (complexe organisaties), NEN 7511-2 (groepspraktijken), NEN 7511-3 (zelfstandigen).

NEN 7510 - hoofdstukken 1. Onderwerp en toepassingsgebied 2. Normatieve verwijzingen 3. Termen en definities 4. Structuur van de norm 5. Beveiligingsbeleid 6. Organiseren van informatiebeveiliging 7. Beheer van middelen voor de informatievoorziening 8. Beveiligingseisen t.a.v. personeel 9. Fysieke beveiliging en beveiliging van de omgeving 10. Operationeel beheer van informatie en comm. voorzieningen 11. Toegangsbeveiliging 12. Aanschaf, ontwikkeling en onderhoud van informatiesystemen 13. Continuïteitsbeheer 14. Naleving 15. Beveiligingsincidenten

S8: ITIL / BS 15000 ITIL: Information Technology Infrastructure Library BS 15000: Information Technology Service Management Standard http://www.itil.co.uk/ http://www.bs15000.org.uk/ ITIL is een standaard die helpt bij het opzetten van IT Service Management (ITSM) raamwerk. BS15000 geeft in deel 1 instructies voor het opzetten van een ITSM en in deel 2 instructies voor certificering van dat systeem. Niet specifiek gericht op informatiebeveiliging.

S9: New Basel Capital Accord (BASEL-II) International Convergence of Capital Measurement and Capital Standards: A Revised Framework http://www.bis.org/ Gericht op internationale organisaties uit de banksector. Doel is veiligstellen van de integriteit van kapitaal (geldstromen). Niet specifiek gericht op informatiebeveiliging.

S10: NIST SP 800-14 (1996) National Institute of Standards and Technology, Special Publication 800-14, Generally Accepted Principles and Practices for Securing Information Technology Systems http://www.nist.gov/ Geeft een basis voor het vaststellen en herzien van het IT beveiliging programma. Oud, maar concepten en generieke richtlijnen zijn nog steeds geldig. Gebruikt bij opstellen van BS 7799. Vervangen door ISO 17799.

S11: Systems Security Engineering Capability Maturity Model (SSE-CMM) http://www.sse-cmm.org/ Geeft de eisen voor het implementeren en verbeteren van beveiligingsfuncties in een systeem, of serie van systemen, uit het Information Technology Security (ITS) domain. Bekijkt gebreken of incidenten en onderzoekt welk proces op welke wijze daarvoor verantwoordelijk is, met als doel dat proces aan te passen. Verwacht voorspelbaarheid in processen en gedefinieerde controlepunten rondom processen. Gericht op de technische bedrijfstak (bouw, ontwikkeling).

Een doelgericht denkbeeld dat specifieke richtlijnen, procedure s en regels vastlegd voor implementatie van een taak of functie.

E1: INFOSEC Assessment Methodology (IAM) http://www.iatrp.com/iam.cfm Levert een gestandaardiseerde aanpak voor de analyse van de stand van zaken op het gebeid van informatiebeveiliging voor geautomatiseerde informatiesystemen. Onderdeel van het IA-CMM schema. Geeft een beoordeling op hoog niveau van specifiek systeem zodat potentiële kwetsbaarheden (en dus risico s) kunnen worden geïdentificeerd. Onderverdeeld in drie fases: pre-assessment (voor-beoordeling), on-site activities, post-assessment (na-beoordeling). Niet technisch van opzet. Lijkt op een SAS 70 Type II beoordeling.

E2: INFOSEC Evaluation Methodology (IEM) http://www.iatrp.com/iem.cfm Methode voor het technisch vaststellen van kwetsbaarheden in systemen en het bevestigen van de actuele stand der zaken van die systemen. Onderdeel van het IA-CMM schema. Controleert de systemen hands-on. Drie fases: pre-evaluatie, on-site, post-evaluatie. Gebruikt als input de rapporten opgeleverd bij de IAM fases.

E3: ISACA Standards for IS Auditing Information Systems Audit and Control Association Standards for Information Systems Auditing http://www.isaca.org/ Geeft een gedetailleerde methode voor de uitvoering van audits van informatie systemen. Beïnvloedt COBIT (ook van ISAS). Wordt continue bijgewerkt zodat nieuws regelgeving direct met audits wordt meegenomen.

E4: OCTAVE SM Operationally Critical Threat, Asset, and Vulnerability Evaluation SM http://www.cert.org/octave/ Geeft een methode die specifiek fosuct op het onderzoek naar operationeel risico, beveiligingsmaatregelen technologie. Drie fases: Build Asset-Based Threat Profiles, Identify Infrastructure Vulnerabilities, Develop Security Strategy and Plans. Levert onderzoek naar risico s op strategische en praktijk gerichte uitgangspunten. Gericht op zelf doen : een team van eigen analisten wordt getraind en ondersteund door een (externe) specialist.

E5: OSSTMM Open Source Security Testing Methodology Manual http://www.isecom.org/osstmm/ Geeft regels en richtlijnen voor het testen van software. Geeft aan hoe en wanneer events getest worden. Testen gebeurt vanuit een ongemachtigde omgeving. Gebruikt richtlijnen uit ITIL, ISO 17799, NIST, MITRE.

E6: Security Incident Policy Enforcement System http://www.isecom.org/projects/sipes.shtml Geeft een methode voor het opstellen en implementeren van een SIPES. Behandelt reacties op incidenten. Verouderd, niet compleet.

E7: SAS 70 Statement on Auditing Standards Number 70 http://www.sas70.com/ Is een samenvatting van Statements of Auditing Standards from the American Institute of Certified Public Accountants (AICPA). Was de de facto standaard voor audits voordat in 2002 de Sarbanes-Oxley Act werd aangenomen en de grote 4 besloten daarvoor COBIT te volgen. Twee fases: één richt zich op een documentonderzoek, twee controleert of systemen gehoorzamen aan de gedocumenteerde controles.

Controle, Controle, Conclusie Geen enkele methode voldoet aan alle eisen. Wetgeving/afspraken schrijven in de regel voor dat men common sense gebruikt bij het bewaken, openbaren en bewerken van informatie. De Payment Card Industry Data Security Standards (PCI DSS) is hiervan een goed voorbeeld.

Controle, Controle, Wetgeving Sarbanes-Oxley http://www.sox-online.com/sarbanes-oxley_news.html Tegengaan van illegale boekhoud praktijken. Schrijft de implementatie van interne controles voor. Schrijft jaarlijkse controle op de controles voor. Maakt bestuurders persoonlijk verantwoordelijk. Voor certificatie dient het COSO raamwerk gevolgd te worden.

Controle, Controle, Wetgeving Sarbanes-Oxley Information Security Policies, Procedures, Standards Risk Assessment Authentication Controls Authorization Controls (including Administrator/Super User level) User Access Administration (Granting, Terminating and Employee Transfers, Contractors) Security Logging and Monitoring Controls Other Technical Configurations Physical Security

Controle, Controle, Wetgeving Sarbanes-Oxley Systems Development and Change Management Controls Request/Approvals Prioritizations Development Standards SDLC Testing, QA, Migration Documentation Maintenance

Controle, Controle, Conclusie The information security management program should implement commonsense security measures to protect data and systems. These measures should include maintaining information security policies (reiterated), building a secure network, protecting stored and transmitted data, maintaining a vulnerability management program, implementing strong access control measures, regularly monitoring and testing networks and systems, and maintaining a business continuity and disaster recovery program that plans for backup, recovery, and contingency planning. The entire program should be assessed on a regular basis.

In Control? Waarmee? Cobit is te eng in de definite en kan daardoor niet aan alle wettelijke eisen voldoen. COSO ERM kan worden gebruikt maar dient te worden aangevuld met COBIT, OCTAVE, IA-CMM, IAM, IEM, ITIL, of zelfs ISO/IEC 17799.

In Control? Waarmee? ISO/IEC 17799 is het enige raamwerk dat voldoende flexibel is om in control te zijn. Kan eenvoudig worden uitgebreid of ingeperkt. Sluit goed aan op andere raamwerken en methode s.

Overzicht presentatie Modellen Schema s (Raamwerken) McCumber Cube Cobit IAM Methode s Common Criteria COSO ERM ISM3 IA-CMM ISF Standard IEM ISACA IS Auditing Standards OCTAVA OSSTMM SIPES ISO 17799/27001 SAS 70 ITIL/BS 15000 BASEL-II NIST SP 800-14 SSE-CMM

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback