Standaarden, is door de bomen het bos nog te zien?

Standaarden, is door de bomen het bos nog te zien? Datum : 29-04-2009 Status : Definitief Teamnummer : 922 Studenten : Mark van der Beek, Ranil Korf en Hendrik Jan Smit Begeleider : Bart Bokhorst RE RA 1

Inhoudsopgave Hoofdstuk 1: Onderzoeksopzet...3 1.1 Inleiding... 3 1.2 Onderzoeksvraag + deelvragen... 3 1.3 Overwegingen... 3 1.4 Methode... 4 1.5 De expertbrief... 4 1.6 Opbouw theorieonderzoek... 5 Hoofdstuk 2: ISO...6 2.1 Inleiding... 6 2.2 ISO en Informatiebeveiliging... 6 Hoofdstuk 3: NIST...8 3.1 Inleiding... 8 3.2 NIST en Informatiebeveiliging... 8 Hoofdstuk 4: ISF...11 4.1 Inleiding... 11 4.2 ISF en Informatiebeveiliging... 11 Hoofdstuk 5: CoBiT...15 5.1 Inleiding... 15 5.2 Het raamwerk... 15 Hoofdstuk 6: Vergelijking ISO / NIST / ISF / CoBiT...18 6.1 Selectiecriteria... 18 6.2 Breedte criterium... 21 6.3 Overall conclusie... 23 Hoofdstuk 7: Vergelijking ISO 27002 en NIST SP 800-53...24 7.1 Samenvatting van ISO 27002 onderwerpen versus NIST SP 800-53 onderwerpen... 24 7.2 Vergelijking in detail... 25 7.2.1 ISO Hoofdstuk 6: Organisatie van informatiebeveiliging... 26 7.2.2 ISO Hoofdstuk 7: Beheer van bedrijfsmiddelen... 27 7.2.3 ISO Hoofdstuk 8: Beveiliging van personeel... 28 7.2.4 ISO Hoofdstuk 9: Fysieke beveiliging en beveiliging van de omgeving... 30 7.2.5 ISO Hoofdstuk 10: Beheer van communicatie- en bedieningsprocessen... 31 7.2.6 ISO Hoofdstuk 11: Toegangsbeveiliging... 33 7.2.7 ISO Hoofdstuk 12: Verwerving, ontwikkeling en onderhoud van informatiesystemen... 34 7.2.8 ISO Hoofdstuk 13: Information security incident management... 36 7.2.9 ISO Hoofdstuk 14 Bedrijfscontinuïteitsbeheer... 37 7.2.10 ISO Hoofdstuk 15: Compliance... 39 7.3 Conclusie... 40 Hoofdstuk 8: Conclusies en reflectie...41 8.1 Conclusies... 41 8.1.1 Beantwoording deelvraag 1... 41 8.1.2 Beantwoording deelvraag 2... 42 8.1.3 Beantwoording deelvraag 3... 43 8.1.4 Beantwoording deelvraag 4... 43 8.1.5 Overall conclusie... 44 8.2 Vervolgonderzoek... 44 8.3 Reflectie... 44 Bijlagen...46 2

Hoofdstuk 1: Onderzoeksopzet 1.1 Inleiding Tegenwoordig kunnen we niet meer om standaarden heen. Van een standaard voor het zetten van thee (ISO 3103) tot een standaard die drieletter codes definieert voor valuta (ISO 4217). Ook binnen het werkveld informatiebeveiliging zijn diverse nationale maar ook internationale standaarden aanwezig. In de afgelopen periode lijkt het aantal standaarden binnen de informatieveiling zelfs exponentieel te groeien. In bijlage 4 is een overzicht (niet limitatief) gegeven van het scala aan standaarden. Door alle standaarden zien we soms door de bomen het bos niet meer. De input voor deze standaarden wordt allemaal geleverd door informatiebeveiligers en zijn gebaseerd op de hetzelfde gedachtegoed. Op basis van deze gegevens zou kunnen worden geconcludeerd dat alle standaarden inhoudelijk niet van elkaar verschillen. Middels ons afstudeeronderzoek willen wij bijdragen aan een overzicht van standaarden die relevant zijn voor informatiebeveiliging en hoe een keuze kan worden gemaakt voor een standaard. 1.2 Onderzoeksvraag + deelvragen Doelstelling: het geven van een praktisch advies aan de gebruikers van IBstandaarden. De probleemstelling die wij willen beantwoorden middels ons onderzoek is de volgende: Welke standaarden kunnen waarvoor het best worden gebruikt? Om op de bovenstaande hoofdvraag een antwoord te geven is de hoofdvraag opgesplitst in de volgende deelvragen: 1. Welke relevante standaarden / best practices zijn er op het gebied van informatiebeveiliging? 2. Wat zijn criteria waarop de diverse standaarden van elkaar kunnen worden onderscheiden? Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden. 3. Welke stappen moeten worden doorlopen bij het selectieproces van standaarden? 4. Wat zijn in hoofdlijnen overeenkomsten en verschillen tussen NIST SP 800-53 en ISO 27002? 1.3 Overwegingen Bij deelvraag 1 is gekozen om vier standaarden nader te beschrijven uit het scala van standaarden. Wij hebben gekozen voor NIST, ISO, ISF en COBIT. 3

Wij hebben voor NIST gekozen omdat deze binnen de opleiding wordt gebruikt. Voor ISO omdat deze standaard veel in de praktijk wordt toegepast. Voor de ISF omdat door deze standaard veel gebruik gemaakt wordt van ISO en zodoende goed vergelijkbaar kan zijn. Tenslotte hebben wij COBIT betrokken omdat deze standaard de afgelopen jaar sterk in opkomst is. Bij deelvraag 4 is gekozen om 2 specifieke standaarden van NIST en ISO te vergelijken. Wij hebben ISO en NIST gekozen, omdat NIST erg toegankelijk (gratis) is en gebruikt wordt binnen de opleiding. ISO hebben wij geselecteerd omdat deze standaarden veel worden gebruikt, zoals is vastgesteld op basis van informatie van experts uit de expertsessie. Binnen deze standaarden hebben wij gekozen om NIST SP 800-53 en ISO 27002 met elkaar te vergelijken. Deze standaarden zijn de meeste algemene en goed onderling vergelijkbare van de tientallen standaarden op het gebied van informatiebeveiliging binnen NIST en ISO. Ze bieden een (vergelijkbare) basis voor informatiebeveiliging door het bieden van een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie. 1.4 Methode Om antwoord te geven op de deelvragen 1, 2 en 4 zullen we een theorieonderzoek uitvoeren. Om antwoord te geven op deelvraag 2 en 3 hebben we gekozen voor het schrijven van een expertbrief in de hoedanigheid van Ghost Writer. Deze mogelijkheid werd aangeboden door het Platform voor InformatieBeveiliging (PVIB). De Expertbrief is opgenomen als bijlage 6. Zoals uit voorgaande blijkt zal om antwoord te geven op deelvraag 2, naast de informatie uit de expertsessie, ook theorieonderzoek worden uitgevoerd. 1.5 De expertbrief Een expertbrief is een korte publicatie die op basis van een discussie tussen een aantal deskundigen aan een grotere gemeenschap ter beschikking wordt gesteld. Doel van deze publicatie is om hiermee een grotere groep personen aan het denken te zetten waardoor: De bewustwording voor het onderwerp wordt verhoogd; Er op basis van meningen van anderen een visie kan worden ontwikkeld; Kennisdeling plaatsvindt tussen deskundigen; Deze kennis vervolgens op een vrij toegankelijke wijze ter beschikking wordt gesteld, bijvoorbeeld via een Internet-gemeenschap of via de website van het PvIB die kennisdeling tot doelstelling heeft verheven. Het proces voor de totstandkoming van de expertbrief bestaat uit een voorbereidingsfase, de expertbriefsessie, de schrijf- en review-fase, de publicatiefase en de evaluatie van de expertbrief. Alle fases zijn uitgewerkt in draaiboeken die het organisatiecomité (facilitator, co-facilitator, probleemeigenaar en ghostwriter) gebruikt om het proces te begeleiden. Deze draaiboeken worden regelmatig aangepast op basis van nieuwe leerervaringen. 4

Om de expertbrief efficiënt tot stand te laten komen is er sprake van een duidelijke rolverdeling, welke allen het organisatiecomité vormen: Probleemeigenaar Ghostwriter Facilitator Co-facilitator Om tot de experbrief te komen zullen we de rol van Ghost Writer vervullen. Een Ghost Writer is een de schrijver die op basis van de gevoerde discussies een boeiend en prikkelend artikel schrijft. 1.6 Opbouw theorieonderzoek In het vervolg van dit theorieonderzoek zal antwoord worden gegeven op de deelvragen 1, 2 en 4. Hiertoe zullen in de navolgende hoofdstukken de diverse informatiebeveiligingsstandaarden: ISO (hoofdstuk 2), NIST (hoofdstuk 3), ISF (hoofdstuk 4) en COBIT (hoofdstuk 5) worden beschreven. Vervolgens zullen deze standaarden in hoofdstuk 6 aan een aantal criteria worden onderworpen om vast te stellen in hoeverre de standaarden van elkaar kunnen worden onderscheiden. Daarna zal in hoofdstuk 7 een vergelijking plaatsvinden tussen ISO 27002 en NIST SP 800-53, waarbij per hoofdonderwerp uit ISO 27002 steeds 1 maatregel in detail zal worden vergeleken met de bijhorende NIST SP 800-53 maatregel(en). In onderstaande figuur zijn de diverse hoofdstukken uit dit theorieonderzoek, de verschillende deelvragen en onze centrale probleemstelling conceptueel in kaart gebracht. Theorieonderzoek Expertsessie Deelvraag 1 Hoofdstukken 2+3+4+5 Deelvraag 2 Deelvraag 2 Hoofdstuk 6 Deelvraag 3 Expertbrief Deelvraag 4 Hoofdstuk 7 Probleemstelling: Welke standaarden kunnen waarvoor het best worden gebruikt? 5

Hoofdstuk 2: ISO Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk ISO nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en enkele belangrijke standaarden binnen ISO. 2.1 Inleiding ISO is ontstaan uit twee organisaties - ISA (Internationale Federatie van de Nationale Standaardiserende Verenigingen) gevestigd in New York in 1926, en UNSCC (United Nations Standards Coordinating Committee), opgezet in 1944. In oktober 1946, besloten de afgevaardigden van 25 landen, die bij het Instituut van Civiel ingenieurs in Londen samenkwamen, een nieuwe internationale organisatie op te richten, met als doel: Het vergemakkelijken van de internationale coördinatie en de standaardisering van industriële standaarden. De nieuwe organisatie, de Internationale Organisatie voor Normalisatie (ISO), startte officieel op 23 februari 1947. ISO is de grootste ontwikkelaar en uitgever van internationale standaarden ter wereld en heeft inmiddels meer dan 16 500 internationale standaarden gepubliceerd. Tegenwoordig is ISO een netwerk van de nationale standaardeninstituten uit 157 landen, met een Centraal Secretariaat in Genève, Zwitserland, dat het systeem coördineert. De totale standaardenlijst van ISO bestaat uit tal van reeksen die verschillende onderwerpen omvatten zoals van ISO 13406-2 (waarin is vastgelegd hoeveel defecte pixels een beeldscherm mag bevatten), ISO 216 (voor het formaat van een vel papier, dat in de meeste landen in de wereld wordt gebruikt) tot aan ISO 27001 (standaard voor informatiebeveiliging) 2.2 ISO en Informatiebeveiliging ISO heeft een breed scala aan standaarden voor Informatiebeveiliging (zie bijlage 5 ISO Standaarden). Wij hebben er voor gekozen om ISO 27002 er uit te lichten. De inhoud sluit het beste aan bij de overige geselecteerde standaarden en maakt derhalve een vergelijking mogelijk. In de volgende paragraaf wordt de oorsprong en inhoud van ISO 27002 nader toegelicht. ISO en IEC (the International Electrotechnical Commission) hebben op het gebied van informatie technologie een samenwerkingsverband in de vorm van technische commissies. In deze commissies zijn nationale lichamen, die lid zijn van ISO of IEC, vertegenwoordigd. De voornaamste taak van deze gezamenlijke technische commissies is het ontwerpen van internationale standarden ten behoeve van de standaardisatie in de specifieke technische werkvelden. Ontwerpversies van internationale standaarden die zijn aangenomen door de gezamenlijke commissies, worden ter stemming voorgelegd aan de leden. Publicatie als internationale standaard vereist een goedkeuring van ten minste 75% van de stemmen die zijn uitgebracht. Op het gebied van informatietechnologie hebben ISO en IEC een gezamenlijke technische commissie opgericht, ISO/IEC JTC 1. Binnen deze commissie is een Managementsysteem voor informatiebeveiliging (ISMS) opgesteld. Deze standaard omvat een verzameling van internationale standaarden voor de vereisten voor 6

veiligheidsbeheer, risicobeheer, metriek en meting, en implementatie begeleiding van de informatiebeveiliging. Deze standaarden werden uitgegeven in ISO/IEC 27001. Samengevat houdt deze standaard in dat ontwerp en de implementatie van ISMS (ISO/IEC 27001) in een organisatie wordt beïnvloed door de behoeften en doelstellingen, veiligheidsvereisten, de bedrijfsprocessen, de grootte en de structuur van de organisatie. Deze en hun ondersteunende systemen worden geacht, eens in de zo veel tijd, aan verandering onderhevig te zijn. ISO procesbenadering 1 voor efficiënt en hanteerbaar informatiebeveiligingsbeheer, benadrukt onderstaande punten: a) het begrip van de informatiebeveiligingsvereisten van een organisatie en de behoefte om een beleid op te stellen en doelstellingen voor informatiebeveiliging; b) uitvoerbare en werkende controles om de informatiebeveiligingsrisico's van een organisatie in de context te beheren. c) de controle en het monitoren van de prestaties en de doeltreffendheid van ISMS; d) voortdurende verbetering die op de objectieve meting wordt gebaseerd. In veel gevallen wordt gelijktijdig met ISO/IEC 27001 de Code of Practice for Information Security management geïmplementeerd (ISO/IEC 27002). Deze biedt de organisatie bepaalde maatregelen die een organisatie kan gebruiken om informatiebeveiligingsrisico s in kaart te brengen en te minimaliseren. Deze maatregelen, die essentieel zijn voor een gedegen informatiebeveiliging binnen een organisatie, worden per onderwerp in ISO/IEC 27002 behandeld. Ieder hoofdonderwerp is verdeeld in verschillende paragrafen, beginnend met een doelstelling en bijbehorende samenvatting van de gewenste situatie. Vervolgens wordt in detail de maatregel beschreven. Onderstaand staan de hoofdonderwerpen genoemd: 1. Beveiligingsbeleid 2. Organisatie van informatiebeveiliging 3. Beheer van bedrijfsmiddelen 4. Beveiliging van Personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van communicatie- en bedieningsprocessen 7. Toegangsbeveiliging 8. Verwerving, ontwikkeling en onderhoud van informatiesystemen 9. Beheer van informatiebeveiligingsincidenten 10.Bedrijfscontinuiïteitsbeheer 11.Naleving Er behoort echter op te worden gewezen dat hoewel alle beheersmaatregelen in deze standaard belangrijk zijn, de relevantie van een beheersmaatregel altijd behoort te worden vastgesteld in het licht van de specifieke risico's waarmee de organisatie wordt geconfronteerd. Hoewel de bovengenoemde benadering dus wordt beschouwd als een goed uitgangspunt, moet deze niet worden toegepast in plaats van het selecteren van beheersmaatregelen op basis van een risicobeoordeling. 1 De toepassing van een systeem van processen binnen een organisatie, samen met de identificatie en interactie van deze processen, en hun beheer, kunnen als procesbenadering worden beschouwd. 7

Hoofdstuk 3: NIST Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het National Institute of Standards and Technology (NIST) nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en enkele belangrijke publicaties van NIST. 3.1 Inleiding Van geautomatiseerde kassa s en nucleaire klokken naar mammogrammen en halfgeleiders, ontelbare producten en diensten steunen in zekere zin op de technologie, meetinstrumenten en standaarden verzorgd door het NIST. NIST is opgericht in 1901. NIST is een onderdeel van het Amerikaanse ministerie van Economische Zaken waar standaarden worden ontwikkeld ter bevordering van de innovatie (en industriële concurrentie) in de VS. Dit ter versterking van de economische veiligheid en ter verbetering van de kwaliteit van het leven in het algemeen. 3.2 NIST en Informatiebeveiliging In Amerika schaart zich men met betrekking tot informatiebeveiliging achter de Federal Information Security Act (FISMA). Deze wet werd door het parlement ( Congress ) aangenomen als onderdeel van de Electronic Government Act van 2002. De FISMA erkent het belang van informatiebeveiliging van de informatievoorziening van de federale overheden. Hierbij wordt informatiebeveiliging gedefinieerd als het beschermen van de integriteit, vertrouwelijkheid en beschikbaarheid van informatie en informatiesystemen. De FISMA droeg het National Institute of Standards and Technology (NIST) op om standaarden te ontwikkelen die door alle federale overheden gebruikt kunnen worden om informatie en informatiesystemen te categoriseren (risicogebaseerd) en afhankelijk van deze risicoclassificatie adequate informatiebeveiliging toe te passen. Tevens dienden er minimale beveiligingseisen en implementatierichtlijnen te worden ontwikkeld ter ondersteuning. NIST heeft hiertoe standaarden, richtlijnen en andere publicaties ontwikkeld en uitgebracht om federale overheden te ondersteunen in het uitvoeren van de FISMA van 2002. Deze publicaties kunnen als volgt worden ingedeeld: Federal Information processing standards (FIPS) zijn ontwikkeld in overeenstemming met FISMA. FIPS zijn goedgekeurd door het Ministerie van Economische Zaken en zijn bindend. Begeleidende documenten en aanbevelingen zijn in de NIST Special Publications (SP) 800-series uitgebracht. Het Amerikaanse OMB (The Office of Management en Budget) heeft verklaard dat NIST richtlijnen gevolgd moeten worden. Andere security-verwante publicaties, waaronder interdepartementale en interne rapporten (NISTIRs) en ITL (Information Technology Library) bulletins, verzorgen technische en overige informatie over de activiteiten van NIST. Deze publicaties zijn enkel verplicht wanneer dit is gespecificeerd door de OMB. 8

NIST gaat uit van een risico-/impactanalyse: hoe kwetsbaar is het ondersteunde bedrijfsproces en wat zijn de gevolgen van verstoringen, resulterend in de driedeling hoog, gemiddeld en lage impact. De opgestelde standaarden betreffen baseline standaarden aangevuld met een impact-afhankelijke delta. Momenteel zijn er meer dan 250 NIST publicaties uitgebracht. Hieronder worden 2 belangrijke standaarden en richtlijnen nader toegelicht: FIPS Publication 200 ( Minimum Security Requirements for Federal Information and Information Systems ): specificeert de minimale beveiligingseisen (risicogebaseerd) voor informatie en informatiesystemen over zeventien onderkende beveiligingsgerelateerde gebieden ( control families ): 1. Access control; 2. Awareness and training; 3. Audit and accountability; 4.Certification, accreditation, and security assessments; 5. Configuration management; 6. Contingency planning; 7. Identification and authentication; 8. Incident response; 9. Maintenance; 10. Media protection; 11. Physical and environmental protection; 12. Planning; 13. Personnel security; 14. Risk assessment; 15. Systems and services acquisition; 16. System and communications protection; 17. System and information integrity. In NIST SP 800-53 ( Recommended Security Controls for Federal Information Systems') worden de minimale beveiligingsmaatregelen (management, operationele en technische beveiligingsmaatregelen) opgesomd die getroffen dienen te zijn per risicoclassificatie: laag, gemiddeld en hoog. Dit per control family. Deze standaard biedt een basis voor informatiebeveiliging door het bieden van een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie. 9

De diverse publicaties zijn staan niet op zichzelf; ze vormen gezamenlijk het beveiligingsproces. Schematisch kan een deel van de publicaties als volgt in kaart worden gebracht: Beveiligingserkenning (certificatie en accreditatie) De certificering en accreditering gebaseerd op de doeltreffendheid van beveiligingsmaatregelen en overblijvende risico SP 800-37 Verificatie van de effectiviteit van de beveiligingsmaatregelen Het meten van de doeltreffendheid van de beveiligingsmaatregelen middels testen en evaluatie SP 800-53A (en SP 800-37) Risicoanalyse Het analyseren van de bedreigingen voor en kwetsbaarheden van informatie en informatiesystemen en de potentiële impact dat het verlies van vertrouwelijkheid, integriteit of beschikbaarheid zou hebben SP 800-30 Informatie en informatiesystemen Categorisatie van informatie en informatiesystemen Definieert categorieën van informatie en informatiesystemen conform de niveaus van risico voor vertrouwelijkheid, integriteit en beschikbaarheid; Deelt informatietypen in naar veiligheidscategorieën. FIPS 199 en SP 800-60 Selectie en implementatie van beveiligingsmaatregelen Management, operationele en technische controles (d.w.z., voorzorgsmaatregelen en tegenmaatregelen) die bestaan of geïmplementeerd dienen te worden om informatie en informatiesystemen te beschermen FIPS 200 en SP 800-53 Beveiligingsplan (planning) Documenteert de beveiligingseisen en beveiligingsmaatregelen die bestaan of geïmplementeerd dienen te worden voor de bescherming van informatie en informatiesystemen SP 800-18 De vele NIST publicaties kunnen op drie manieren toegankelijk en overzichtelijk worden weergegeven: per onderwerp, beveiligingsgebieden en wettelijke vereisten. Alle verschillende NIST publicaties zijn (op de geschetste manieren) op de website 2 terug te vinden. Om een idee te krijgen van de vele publicaties die er geschreven zijn, zijn in onderstaande tabel de huidige aantallen opgenomen: Type publicatie aantal FIPS 18 NIST Special Publications (SP) 104 800-series NIST Interagency Reports 47 (NISTIRs) ITL Security Bulletins 122 2 www.csrc.nist.gov 10

Hoofdstuk 4: ISF Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het Information Security Forum (ISF) nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en de opbouw van de The Standard of Good Practice. 4.1 Inleiding Het Information Security Forum (ISF) is een internationale onafhankelijke non-profit organisatie gericht op benchmarking en best practices in informatiebeveiliging. Het ISF werd in 1989 opgericht als Europees security forum maar heeft haar missie en lidmaatschap in 1990 uitgebreid, zodat het nu honderden leden omvat, inclusief een groot aantal bedrijven uit de Fortune 500 uit Noord-Amerika, Azië en andere locaties over de wereld. Groepen van leden worden als clusters in Europa, Afrika, Azië, het Midden-Oosten en Noord-Amerika georganiseerd. Het ISF heeft het hoofdkwartier in Londen, Engeland gevestigd. Het ledenbestand van de ISF is internationaal en omvat grote organisaties in vervoer, financiële diensten, chemische/farmaceutisch, productie, overheid, detailhandel, media, telecommunicatie, energie, vervoer, en andere sectoren. De agenda van het ISF wordt volledig door haar leden bepaald, welke ook de volledige financiering regelen. 4.2 ISF en Informatiebeveiliging Het ISF richt zich op een aantal gebieden, waarop zij producten levert die verkrijgbaar zijn wanneer een organisatie lid is. Dit betreffen de volgende producten: 1. onderzoek en onderzoeksrapporten 2. Faciliteiten om kennis te delen 3. Tools en methodologie Onderzoek en onderzoeksrapporten Het ISF verricht onderzoek naar allerlei onderwerpen door het organiseren van workshops waarin experts worden uitgenodigd. Hierdoor zijn diverse rapporten beschikbaar over een breed scala aan onderwerpen, bijvoorbeeld: privacy, wireless network security etc. Faciliteiten om kennis te delen Het ISF heeft een internationaal programma met hierin werkgroepen, regionale bijeenkomsten, seminars en een wereldwijd congres. Deze programma s kunnen ook worden gebruikt voor trainingen. Tools en methodologie De ISF heeft een scala aan praktische tools en checklisten. Bijvoorbeeld: security status survey, security health check. De ISF Standard of Good practice for information security is echter gratis. Het doel van deze standaard is: organisaties, inclusief nietleden, te helpen om best practices te volgen en risico s te verminderen. Het resultaat is een belangrijke tool voor het verbeteren van de kwaliteit en doeltreffendheid van 11

security maatregelen door het opstellen van high level principes samen met een praktische handleiding. The Standard of Good Practice is een belangrijke publicatie uit het ISF programma. Het is ontwikkeld in een aantal jaren en is gebaseerd op drie hoofdgroepen van activiteiten. 1. Een intensief werkprogramma waarin experts participeren van het ISF management team welke onderzoeken verrichten. 2. Analyse en integratie van informatiebeveiliging gerelateerde standaarden (o.a. ISO 27002 and COBIT v4.1), wet- en regelgeving (o.a. Sarbanes-Oxley Act 2002, Payment Card Industry (PCI) Data Security Standard, Basel II 1998, en de EU (regelgeving inzake data protectie) 3. Betrokkenheid van ISF leden, waarbij gebruik wordt gemaakt van workshops, interviews en resultaten uit het informatiebeveiligingonderzoek. De standaard dekt zes belangrijke onderdelen van informatiebeveiliging, waarvan elk onderdeel is gericht op een bepaald type of omgeving. De standaard richt zich op de wijze waarop informatiebeveiliging de kritieke business processen van een organisatie ondersteunt. Deze processen zijn steeds meer afhankelijk van op IT gebaseerde business applicaties. Dus het aspect van informatiebeveiliging welke zich richt op de kritieke business applicaties staat centraal bij de opzet van de standaard. Zoals afgebeeld in figuur 1. Figuur 1: hoe aspecten van de standaard samenhangen. Computer Installations and Networks verzorgen de onderliggende infrastructuur waarop kritieke applicaties draaien. De End User Environment dekt de maatregelen die betrekking hebben op het beveiligen van bedrijfs- en desktopapplicaties, die worden gebruikt door individuele gebruikers om informatie te verwerken en voor het ondersteunen van de business. Systems Development is gericht op hoe nieuwe 12

applicaties worden ontwikkeld en Security Management richt zich op high-level besturing en beheersing van informatiebeveiliging. Een korte samenvatting van ieder onderdeel staat in de onderstaande tabel: Elk onderdeel binnen de standaard omvat een principe en een op hoog niveau beschreven doelstelling. Elk principe verzorgt een overzicht van wat moet worden gedaan om de standaard te implementeren en schetst de reden waarom deze acties noodzakelijk zijn. 13

De standaard bestaat uit zes verschillende aspecten. Onderstaande tabel toont het aantal gebieden en onderdelen van elk aspect. Na het principe en de op hoog niveau beschreven doelstelling worden vervolgens de gestelde eisen beschreven om het doel te bereiken. 14

Hoofdstuk 5: COBIT Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het COBIT-framework: de Control Objectives for Information and related Technology (COBIT), nader worden beschreven. Hierbij zal in worden gegaan op de uitgevende organisatie de Information Systems Audit and Control Association (ISACA), de relatie met informatiebeveiliging en de opbouw van de COBIT. 5.1 Inleiding De Information Systems Audit and Control Association (ISACA) is een Amerikaanse beroepsvereniging van IT-auditors en informatiebeveiligers. De ISACA is opgericht en 1967 en heeft als doel de uitoefening van het audit vakgebied op een hoger plan te brengen door het professionaliseren van de leden van de vereniging. Dat gebeurt onder meer door het faciliteren van onderzoek op de vakgebieden en het inrichten van een register van professionals die voldoen aan de eisen om ingeschreven te kunnen worden. ISACA stelt verschillende onderzoeksrapporten en publicaties beschikbaar op het gebied van audit, compliance en governance. Eén van de bekendste publicaties is het COBIT-framework. Dit werd eind jaren negentig ontwikkeld door ISACA en het IT Governance Institute (ITGI) en het betreft een algemeen raamwerk voor algemene IT-beheersmaatregelen. 5.2 Het raamwerk Het COBIT Framework is gebaseerd op het principe dat organisaties voorzien dienen te worden van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. Om de organisatiedoelstellingen te realiseren moet de informatie voldoen aan een zevental kwaliteitscriteria om de organisatie en haar bedrijfsprocessen goed aan te kunnen sturen. Deze criteria zijn effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en betrouwbaarheid. De informatie wordt voortgebracht door IT-processen en vier categorieën van informatiemiddelen: informatie, applicaties, infrastructuur en mensen. De informatiemiddelen worden beheerst via IT-processen, die zijn ingedeeld in 4 domeinen: Planning en organisatie Acquisitie en Implementatie Levering en Ondersteuning Bewaking De domeinen komen op een logische manier overeen met de verschillende fasen in de levenscyclus van informatiesystemen. Binnen elk van de onderscheiden domeinen definieert COBIT een aantal beheersingsdoelstellingen op procesniveau, welke in onderstaande tabel zijn weergegeven. Tabel 1: De beheersdoelstelling op procesniveau in COBIT per domein (vrij vertaald): 15

Domein Planning en organisatie Acquisitie en Implementatie Levering en Ondersteuning Bewaking Beheersingsdoelstelling PO1. Definieer een strategisch plan PO2. Definieer de informatiearchitectuur PO3. Bepaal de technologische koers PO4. Definieer de IT-organisatie en de bijbehorende relaties PO5. Beheer de IT-investering PO6. Communiceer de doelstellingen en de koers van het management PO7. Beheer personele zaken PO8. Zorg voor naleving van externe vereisten PO9. Onderzoek relevante risico s PO10. Beheer projecten PO11. Beheer kwaliteit AI1. Identificeer mogelijke geautomatiseerde oplossingen voor het ondersteunen van de bedrijfsvoering AI2. Verwerf en onderhoud de toepassingsprogrammatuur AI3. Verwerf en onderhoud de technische infrastructuur AI4. Ontwikkel en onderhoud procedures AI5. Installeer en accrediteer systemen AI6. Beheer wijzigingen DS1. Definieer en beheer dienstenniveaus DS2. Beheer diensten die door derden worden geleverd DS3. Beheer prestaties en capaciteit DS4. Zorg voor continue dienstverlening DS5. Waarborg de systeemveiligheid DS6. Identificeer de kosten en wijs deze toe DS7. Leid gebruikers op DS8. Assisteer en adviseer klanten DS9. Beheer de configuratie DS10. Beheer problemen en incidenten DS11. Beheer gegevens DS12. Beheer faciliteiten DS13. Regel de dagelijkse bediening M1. Bewaak de processen M2. Beoordeel de effectiviteit van het interne beheer M3. Verkrijg zekerheid door het inschakelen van een onafhankelijke derde M4. Zorg voor een onafhankelijke beoordeling De beheersingsdoelstellingen op procesniveau zijn verder uitgewerkt in doelstellingen op het niveau van activeiten. In totaal telt het raamwerk meer dan 300 maatregelen. Bij elk van de 34 IT-processen kent COBIT een aantal managementinstrumenten zoals: Control objectives: de beheerdoelstellingen per IT-proces. Bij elk van de 34 processen horen meerdere detailed control objectives. Management handleiding (op activiteitniveau): de input en output van het proces en een RACI -chart (Responsible, Accountible, Consulted and/or Informed) Performance indicatoren en resultaatmetrieken. 16

Volwassenheidsniveaus van organisaties op een schaal van 0 tot en met 5, waarbij 0 staat voor 'non-existence' en 5 staat voor optimised'. Audit guidelines; richtlijnen voor interviews, informatie en tests die kunnen worden uitgevoerd. Het IT Governance framework is er op gericht de organisatie een redelijke zekerheid te bieden dat de ondersteunende IT-processen een bijdrage leveren aan de realisatie van de overkoepelende organisatiedoelstellingen. Onderstaande figuur geeft inzicht in de onderlinge samenhang tussen de organisatiedoelstellingen en de informatievoorziening vanuit de CobiT-domeinen en de bijbehorende IT-processen, kwaliteitscriteria en informatiemiddelen. Figuur 1: COBIT Framework 4.1. (www.isaca.org) COBIT staat momenteel vooral in de vernieuwde belangstelling doordat deze bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd. 17

Hoofdstuk 6: Vergelijking ISO / NIST / ISF / COBIT Om een antwoord te geven op deelvraag twee zullen in dit hoofdstuk ISO, NIST, ISF en COBIT tegen een aantal ontwikkelde selectie criteria worden gehouden. Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden. Eerst zullen de selectiecriteria worden beschreven en vervolgens zullen wij de standaarden tegenover deze criteria in een tabel beschrijven. Het breedte criterium zal dan vervolgens nog verder worden uitgewerkt waarbij leemtes op gebied van onderwerpen tussen ISO, NIST en ISF worden geidentificeerd ter onderbouwing van dit criterium. Het diepte criterium voor de NIST en ISO is verder uitgewerkt in hoofdstuk 7. COBIT hebben wij hierbij buiten beschouwing gelaten omdat de standaard geen beveiligingsstandaard alleen is en een ander doel beoogt. 6.1 Selectiecriteria 3 Om een goede afweging te maken tussen bepaalde standaarden moeten ze onderling vergeleken kunnen worden. Hiertoe zijn selectiecriteria opgesteld. Wij hebben hierbij gekozen voor vier standaarden die onderling vergelijkbaar zijn: ISO 27002, NIST SP 800-53, ISF Standard of Good Practice en CoBiT 4.1. Waar nodig zal worden verwezen naar overige standaarden uit de betreffende reeks (bijvoorbeeld in het geval van ISO, naar ISO 27001). Daarnaast is het goed om in het achterhoofd te houden dat de selectiecriteria niet perse een positieve of negatieve impact hebben op een keuze. Bijvoorbeeld een breed geaccepteerde standaard betekent niet meteen dat deze het beste past bij een bepaalde organisatie. Of dat minder brede standaarden niet nog steeds zeer bruikbaar zijn op bepaalde onderdelen omdat deze standaarden erg diepgaand zijn uitgewerkt. Met andere woorden, de factoren zijn bruikbaar om de verschillende standaarden te vergelijken, echter men kan niet verwachten dat een hogere score altijd beter is. In het navolgende worden allereerst de onderscheiden criteria toegelicht. Breedte Dekt de betreffende standaard de belangrijkste beveiligingsdomeinen die de organisatie als belangrijk identificeert? Domeinen kunnen zowel IT als niet IT gerelateerd zijn (zoals fysieke en personele beveiliging). Diepte: Bevatten de standaarden informatie op zowel strategisch, tactisch als operationeel gebied? Bijvoorbeeld: ISO werkt doelstellingen, beheersingsmaatregelen en implementatierichtlijnen gedetailleerd uit (tactisch en operationeel gebied) waar CobiT meer algemene doelstellingen geeft en minder concreet over de invulling er van spreekt (strategisch). 3 De criteria zijn ontwikkeld en getoetst op basis van de expertsessie. De breedte en diepte criteria zijn verder op basis van literatuuronderzoek uitgewerkt. De resultaten van deze expertsessie zijn opgenomen in de expertbrief Een standaard Keuze van eind januari beschikbaar op www.pvib.nl. De expertbrief is eveneens opgenomen als bijlage aan dit onderzoek. 18

Flexibiliteit: Kunnen andere gebruikers dan informatiebeveiligers de standaarden gebruiken? Bijvoorbeeld het management en/of auditor voor het aantonen van interne beheersing. Ratio: Beschrijven de standaarden de redenen van de opgesomde maatregelen? Doordat de ratio is opgenomen is het voor gebruikers makkelijker om de toepasbaarheid en consistentie vast te stellen. Acceptatie: Hoe breed zijn de standaarden geaccepteerd binnen het vakgebied? Is er bijvoorbeeld veel discussie omtrent de inhoud van bepaalde standaarden of is er een algemene, negatieve of positieve, mening over gebruik van bepaalde standaarden. Taal: Zijn de standaarden alleen in het Engels te verkrijgen, of is er ook een Nederlandse vertaling beschikbaar? Kosten: Gaan er kosten gepaard met de aanschaf van standaarden? Zijn er eventueel delen gratis? De kanttekening die hierbij wel moet worden gemaakt is dat de kosten voor de bronliteratuur ten opzichte van het totale invoeringstraject van de standaarden marginaal zijn. In de onderstaande tabel zijn de eerder besproken standaarden gepositioneerd ten aanzien van de criteria. Het breedte criterium is nader uitgewerkt in paragraaf 6.2. 19

Criteria ISO NIST COBIT ISF Breedte: Dekt de hoofdgebiede n van IB Onderwerpen overzichtelijk gerangschikt Diepte: Flexibiliteit: Ratio: Acceptatie: Taal: Kosten: Tactisch en operationeel Management cyclus is opgenomen in 27001. Weinig gebruik door anderen dan IB specialisten Doelstellingen hangen samen met richtlijnen Meest geaccepteerd e standaard in Nederland Nederlands en Engels Gehele reeks betaald Dekt de hoofdgebieden van IB Onderwerpen versnipperd behandeld Veel productstandaarden Tactisch en operationeel Tactisch niet heel uitgebreid uitgewerkt in NIST SP 800-53, echter wel verder, verspreid, uitgewerkt in overige NIST reeksen. Weinig gebruik door anderen dan IB specialisten. Op basis van een risk assessment kunnen de minimale beveiligingsmaa t- regelen worden geselecteerd (NIST SP 14, FIPS 199+200). Verplicht voor US federale overheid Private sector beperkt. Beperkt op het gebied van IB Niet specifiek IB, gericht op de beheersing van IT in het algemeen Strategisch en tactisch Operationeel niet uitgewerkt. Verwijst naar ISO Kent ook specifieke COBIT Practices en Security Baselines Veel gebruik door anderen dan IB specialisten Verbondenheid met audit processen (auditor) Elementen hangen samen met business drivers en input en output Goede ondersteuning voor Sox compliance Breed geaccepteerd Dekt de hoofdgebieden van IB Periodieke update en eventuele aanpassingen Tactisch en operationeel Weinig gebruik door anderen dan IB specialisten Principes hangen samen met doelstellingen Niet breed geaccepteerd Met name geaccepteerd door leden ISF. Bv niet in US Engels Engels Engels Gehele reeks gratis Betaald De standaard (SGOP) is gratis. Overige producten tegen een betaald lidmaatschap. 20