PACT met nieuwe invulling operationeel

Vergelijkbare documenten
Eindrapport Stimulering beveiliging

Voorstel voor een nieuwe invulling van de PACT dienstverlening

Eindrapportage resultaten Stimulering Gebruik Onderzoeker & Docent

Dienst Dienstoverstijgend Federatief Groepsmanagement: SURFteams. indi

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Skype voor SURFcontact

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Eindrapport Stimulering SURFfederatie

Security Operations Center

CYBERDREIGINGSBEELD 2015

PinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening

Eindrapportage klanttevredenheids- /instellingenonderzoek 2010

Taskforce Informatiebeveiligingsbeleid.

Scholingsaanbod najaar voor actieve vrijwilligers van ANBO

Informatiebeveiliging in het Hoger Onderwijs nog niet Volwassen

Remote instrumentation

Kickstart-aanpak. Een start maken met architectuur op basis van best practices.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

PQR Lifecycle Services. Het begint pas als het project klaar is

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

MEDISCHE INCIDENTEN. Hoe gaat u daar mee om?

Bedrijvenbijeenkomst informatiebeveiliging en privacy

Informatiebeveiligingsbeleid

Handleiding voor het SURF Groene ICT Maturity Model

Communicatie verenigingen KNVB 2014

DDoS en netwerkbeschikbaarheid. Xander Jansen Niels den Otter

College van Burgemeester en wethouders gemeente Tynaarlo

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Kamervragen! In drie eenvoudige stappen op de agenda van de Tweede Kamer. of toch liever niet.

Rapport evaluatie speeddaten met uitzendbureaus op de vestigingen van het WERKbedrijf

SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation

Een Information Security Management System: iedereen moet het, niemand doet het.

Organisatie info AGORA-beroepsvereniging

Service Level Management DAP Template

Volwassen Informatiebeveiliging

Plan van Aanpak. <naam school> en Edutrainers samen op weg. Versie: EXPEDITIE

Beschrijving DCTF Werkgroep Workflow

Algemeen bestuur. Vergadering 15 december 2016 Agendapunt 7 Onderwerp Evaluatie en doorontwikkeling Wmo-toezicht. Korte samenvatting onderwerp:

De dienstverlening van SURFnet Onderzoek onder aangesloten instellingen. - Eindrapportage -

Sociale Verzekeringsbank Document Afspraken en Procedures (DAP) Bijlage N, behorend bij het Beschrijvend document

Jaarwerkplan 2019 Van Servet naar tafellaken Hersenletsel.nl

Structuur Lokaal Toeristische Adviesraad LTA

Resultaten marktscan SURFfederatie

Innovatie in een veranderd risicolandschap

DE CCR IN VOORAF

DSM case: Geef handen en voeten aan DI in 3 stappen. Elise Goosens, Go Sens! Voormalig project director DI DSM. Partners:

NORA Sessie mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

Beleidsmedewerker Onderwijs

Bijeenkomst Co-Creatieteams en kennissessie NPO

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Functieprofiel: Manager Functiecode: 0202

Beïnvloeding Samen sta je sterker

Onderwerp: Risico inventarisatie project rwzi Utrecht Nummer: Dit onderwerp wordt geagendeerd ter kennisneming ter consultering ter advisering

Datum: 23 oktober 2014 Versie: 1.0 Definitief. Publicatiedatum Bestek: 10 september 2014 Referentie: van 9

Klachtenregeling. van de. Stichting Purmerendse Scholengemeenschap

HUISHOUDELIJK REGLEMENT CLIËNTENRAAD LISTER

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

REKENKAMERCOMMISSIE TYNAARLO JAARVERSLAG Rekenkamercommissie Tynaarlo Jaarverslag 2007, vastgesteld 6 maart

Vragenlijst zelfevaluatie RvC

De zelfcontrole BRO. Algemene toelichting bij de vragenlijst. Versie Datum 14 april 2018 Status. Definitief concept

Communicatieplan Cantorclin

HBO-I: DE ANDERE SKILLS PROJECTSCHOLEN OPDRACHT WERKGROEP DE ANDERE SKILLS

E-resultaat aanpak. Meer aanvragen en verkopen door uw online klant centraal te stellen

idialoog Versie 1.0 Status Definitief Directoraat-Generaal Wonen, Bouwen en Integratie

Doel cliëntenparticipatie (Bergeijk, Bladel, Eersel en Oirschot)

Service Level. Versie 1.8. Afsprakenstelsel eherkenning - Service Level - v1.8

VOORSTEL AB AGENDAPUNT :

MR De Meie. Vragen, besluiten en actiepunten MR De Meie


Naam van de schoolexterne interventie: Radick

Datum: L.Bongarts J.Wauben, JP Spelthan, S.Niekamp Mariena van der Slot, Ineke van der Laan, Alf Schösser

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Platform Maatschappelijke Ondersteuning Jaarverslag 2012

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst (v ) Versie 0.3. Datum 20 juli 2017 Status

Trust & Identity Innovatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

COMMUNICATIEPLAN CO2-REDUCTIESYSTEEM 3.C.2_1 VERSIE: 01 06/05/2013

is een online platform waar medisch professionals en zorginstellingen elkaar eenvoudig en snel kunnen vinden, zonder tussenkomst van derden.

Service Niveau Overeenkomst Digikoppeling

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Vertrouwen in ketens. Jean-Paul Bakkers

Reglement voor Technische Commissies:

Leidraad omgevingsbeheer huisvesting arbeidsmigranten voormalige grafische school in Blaarthem

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst. Versie Datum 21 maart 2018 Status. Definitief concept

Integrated Audit in het Erasmus MC

De werkgroep ziet ook voor 2011 de volgende opdracht voor zichzelf:

Informatiebeveiliging: Hoe voorkomen we issues?

Eerste Hulp bij Teamontwikkeling. Inhoud. Doel. Een set tools die je kunt inzetten tijdens teamvergaderingen.

Informatieveiligheid AB 23 maart 2017 Coenraad Doeser Programmamanager informatieveiligheid

Koppeling OCS aan SURFcontact

4. Bij voorkeur zal de raad van toezicht van Stichting P60 bij de werving van nieuwe toezichthouders buiten het eigen netwerk zoeken.

Meer aandacht voor de onderstroom is meer resultaat

eflectietool Reflectietool Reflectietool Reflectietool Test jezelf op professioneel ondersteunen

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Aanvullend aan dit systeem wordt de instelling periodiek bezocht door een auditpanel van het CZO.

1. Onderwerp van de klacht schending van wetenschappelijke integriteit bij uitbrengen deskundigenbericht aan rechtbank

Plan van Aanpak CO 2 -reductieprogramma A. Hak Neutraal 2020

Transcriptie:

indi-2009-12-023 PACT met nieuwe invulling operationeel Project : SURFworks Projectjaar : 2009 Projectmanager : Maurice van den Akker Auteur(s) : Maurice van den Akker Opleverdatum : december 2009 Versie : 1.1 Samenvatting SURFnet wil in 2009 de dienst PACT (Programma voor de Accreditatie van CERT s) meer laten aansluiten op de behoeftes van de Computer Emergency Response Teams (CERT s) van aangesloten instellingen. Uit onderzoek eerder dit jaar is geconcludeerd dat er onder de huidige en potentiële PACT-leden voornamelijk behoefte is aan het delen van informatie rondom incident management en andere operationele security kwesties, maar dat de PACTdienstverlening hier nog onvoldoende invulling aan geeft. Ook is gebleken dat veel (nietuniversitaire) instellingen de PACT-accreditatie voor CERT-teams zien als een te zwaar en te ingrijpend proces en daarom minder snel hiertoe geneigd zijn. Op basis van de bevindingen is daarom besloten om PACT-accreditatie op een andere, meer praktische wijze vorm te geven. De PACT-dienstverlening is daarom vervangen door een drietal facultatief af te nemen vormen van dienstverlening (waarvan één nog in ontwikkeling is): 1. Starterskit Incident Management, inclusief workshop: met behulp van dit startpakket worden instellingen op weg geholpen bij de inrichting van een CERT. De aansluitende workshop loodst de instelling door de starterskit en besluit met de accreditatie van het CERT team door SURFcert. 2. SWIM (SURFnet Werkgroep Incident Management). SWIM is de naam van een actieve werkgroep op het gebied van security op het operationele vlak, zoals het uitvoeren van de CERT-functie. Deze werkgroep komt periodiek samen en bestaat inmiddels uit ruim vijftig personen uit de SURFnet doelgroep. 3. SURFaudit (in ontwikkeling): SURFaudit is de werktitel voor een methodiek in ontwikkeling, waarmee de mate van volwassenheid op onder andere het gebied van security incident management, maar ook informatiebeveiliging en identity management, kan worden gemeten.

2 Colofon Programmalijn : Stimulering gebruik & support Onderdeel : Beveiliging Activiteit : 7.1 Deliverable : SWIM: PACT met nieuwe invulling operationeel Toegangsrechten : Publiek Externe partij : S-cure Dit project is tot stand gekomen met steun van SURF, de organisatie die ICT vernieuwingen in het hoger onderwijs en onderzoek initieert, regisseert en stimuleert door onder meer het financieren van projecten. Meer informatie over SURF is te vinden op de website (www.surf.nl).

3 6 dingen die je moet weten over de nieuwe invulling van PACT Context Wat is het? Voor wie is het? SURFnet wil in 2009 de dienst PACT (Programma voor de Accreditatie van CERTs) meer laten aansluiten bij de behoeften van de CERT teams van aangesloten instellingen. PACT, als vorm van dienstverlening, is hierbij vervangen door een drietal facultatief af te nemen vormen van dienstverlening. Ten eerste het starterspakket en de workshop voor beginnende CERT s, ten tweede de community SWIM (SURFnet Werkgroep Incident Management), gericht op operationele security en ten derde de methodiek onder de werktitel SURFaudit voor instellingen die hun invulling van (onder andere) incident management willen toetsen aan harde criteria. Het starterspakket bestaat uit een set van documenten en templates, die in een dagdeel (de workshop) besproken worden en zullen leiden tot zowel verbeteracties op het gebied van security incident management als tot accreditatie van de CERT-functie door SURFnet/SURFcert. SWIM is een community die zich richt op het delen van informatie rondom aspecten van operationele security met focus op incident management. De community deelt deze informatie door middel van reguliere bijeenkomsten (1x per 5 maanden) en online-samenwerkingtools. De methodiek die is ontwikkeld onder de werktitel SURFaudit is bedoeld om het niveau van volwassenheid op de gebieden security incident management, informatiebeveiliging en identity management te kunnen meten. Het starterspakket en de workshop zijn bedoeld voor instellingen die hun CERTfunctie meer structuur en inhoud willen geven. SWIM is bedoeld voor personen binnen instellingen uit de doelgroep die zich actief bezighouden met alle aspecten rondom operationele security issues c.q. incident management, en die hierover kennis willen delen en vergaren. SURFaudit is bedoeld voor instellingen die processen op het gebied van de drie genoemde thema s willen toetsen aan (harde) criteria. Hoe werkt het? N.v.t. Wat kan je ermee? N.v.t. Extra (Bijlagen, Thema, Gerelateerde thema s) Bijlage I: Nieuwe invulling PACT (toelichting)

4 Bijlage I: Nieuwe invulling PACT SURFnet wil in 2009 de dienst PACT (Programma voor de Accreditatie van CERTs) meer laten aansluiten op de behoeftes van de Computer Emergency Response Teams (CERT s) van aangesloten instellingen. Uit onderzoek eerder dit jaar is geconcludeerd dat er onder de huidige en potentiële PACT-leden voornamelijk behoefte is aan het delen van informatie rondom incident management, maar dat de PACT-dienstverlening hier nog onvoldoende invulling aan geeft. Ook is gebleken dat veel (niet-universitaire) instellingen de PACTaccreditatie voor CERT-teams zien als een te zwaar en te ingrijpend proces en daarom minder snel hiertoe geneigd zijn. Op basis van de bevindingen is daarom besloten om PACTaccreditatie op een andere, meer praktische wijze vorm te geven. De PACT-dienstverlening is daarom vervangen door een drietal facultatief af te nemen vormen van dienstverlening (waarvan één nog in ontwikkeling is): 1. Starterskit Incident Management, inclusief workshop: met behulp van deze starterskit worden instellingen op weg geholpen bij de inrichting van een CERT. De aansluitende workshop loodst de instelling door de starterskit en besluit met de accreditatie van het CERT team door SURFcert. 2. SWIM (SURFnet Werkgroep Incident Management). SWIM is de naam van een actieve werkgroep op het gebied van security op het operationele vlak, zoals het uitvoeren van de CERT-functie. Deze werkgroep komt periodiek samen en bestaat inmiddels uit ruim vijftig personen uit de SURFnet doelgroep. 3. SURFaudit (in ontwikkeling): SURFaudit is de werktitel voor een methodiek in ontwikkeling, waarmee de mate van volwassenheid op onder andere het gebied van security incident management, maar ook informatiebeveiliging en identity management, kan worden gemeten. Accreditatie van de CERT-functie (Starterskit en de workshop) Het oude PACT-accreditatieproces was het afsluitende onderdeel van het stimuleren van beveiligingsteams -programma van SURFnet, als onderdeel van het door stichting SURF gefinancierde SURFworks-project. In dit programma werd de Computer Emergency Response Team van een instelling (CERT) een aantal malen bezocht door een expert op het gebied van Computer Security Incident Management. Deze expert hield interviews, formuleerde adviezen die werden geëvalueerd in volgende sessies en stuurde aan op inbedding van security incident management in de gehele organisatie. Het proces werd door middel van een officiële PACT-accreditatie beëindigd, waarna het geaccrediteerde team onderdeel mocht uitmaken van de PACT-community. Omdat het PACT-accreditatieproces, behalve door de universiteiten, door veel instellingen als te zwaar werd gezien en daardoor te weinig werd benut, is in het najaar van 2009 een lichtere variant geïntroduceerd. Deze lichtere variant bestaat uit een zogenaamd starterspakket, gevolgd door een workshop. Het starterspakket bestaat uit een aantal documenten en templates die instellingen zelf kunnen gebruiken om de organisatie rondom security incident management in kaart te brengen. In de workshop die niet langer dan een dagdeel in beslag neemt, worden deze documenten doorgewerkt en vastgesteld. Na deze exercitie is de CERT-functie van een instelling volgens de normen van SURFnet/SURFcert ingericht en daarmee geaccrediteerd 1. Deze accreditatie is voldoende om dit CERT-team of, anders gezegd: de leden die deze CERT-functie uitoefenen, toe te laten tot de SWIMcommunity die als vervanger van de PACT-community is opgericht. SWIM wordt in de laatste paragraaf nader toegelicht. 1 Accreditatie staat overigens los van de mate van volwassenheid (maturity) van een CERT.

5 De community (SWIM) SWIM is de naam van een community, en vervangt sinds de oprichting op 24 november 2009 de oude PACT-community. SWIM, wat staat voor SURFnet Werkgroep Incident Management, is bedoeld voor personen binnen de instellingen die zich bezig houden met security op het operationele vlak, zoals het uitvoeren van de CERT-functie, en is daarmee breder dan de PACT-community, die zich uitsluitend richtte op PACT-geaccrediteerde teams. SWIM is gestart met een bijeenkomst op 24 november 2009. Aan de bijeenkomst hebben ruim vijftig personen uit de SURFnet doelgroep deelgenomen. In die eerste bijeenkomst zijn er presentaties gehouden en is er gediscussieerd over incident management in het algemeen en specifieke incidenten in het bijzonder. Ook is de vorm en invulling van SWIM aan de orde geweest. Zo is er een voorzitter uit de doelgroep gekozen en is bepaald dat de secretarisfunctie door SURFnet zal worden vervuld. De SWIM-bijeenkomst is afgesloten met een sociaal programma in de vorm van een gezamenlijk diner. SWIM zal, zo is voorlopig besloten, regulier één keer per vijf maanden bijeenkomen. On-line samenwerkingtools worden in de tussenliggende periode gebruikt om bij te dragen aan de doelstellingen. Een registratie/verslag van de eerste bijeenkomst volgt op de volgende pagina s. Omdat de groep van deelnemers behoefte blijkt te hebben aan een bepaald niveau van vertrouwen, is besloten dat deelname aan SWIM voorbehouden zal zijn aan die professionals uit de doelgroep die bereid zijn een bepaald niveau van geheimhouding te onderschrijven. Dat werkt wederzijds: zo zullen de deelnemers zich vrijer voelen om ook gevoelige of voor de instelling wellicht wat ongemakkelijke incidenten te bespreken. Mate van volwassenheid (SURFaudit) In 2009 is in opdracht van stichting SURF en SURFnet gezamenlijk een methodiek onder de werktitel SURFaudit ontwikkeld waarmee op het gebied van beveiliging en dan met name op het gebied van informatiebeveiliging, security incident management en identity management de mate van volwassenheid kan worden gemeten. Dit geeft instellingen inzicht in de eigen mate van volwassenheid, de relatieve volwassenheid ten opzichte van andere instellingen, en de verbeterpunten rondom de genoemde thema s. Het verplicht stellen van een bepaald volwassenheidsniveau voor een bepaald doel, bijvoorbeeld door SURFnet aan de instelling of door de SURFfederatie aan haar leden behoort tot de mogelijkheden van deze methodiek.

6 Registratie/verslag eerste SWIM-bijeenkomst VERSLAG SWIM BIJEENKOMST #1 (CONCEPT) =================================== datum: 24 november tijd: vanaf 12:30 locatie: SURFnet Utrecht 12:30 ontvangst met broodjes ----------------------------- We mogen 51 deelnemers ontvangen uit alle geledingen van SURFnet. 13:15 formele start SWIM ------------------------- Jacques Schuurman, SURFcert voorzitter, zit SWIM ad interim voor. Don Stikvoort is secretaris. SURFnet-directeur Erwin Bleumink heet allen welkom en benadrukt het vertrouwen dat onze "community" in brede kring geniet - tot aan de Tweede Kamer toe. Het belang van adequate beveiliging kan moeilijk onderschat worden. Daarom met genoegen dit startschot voor SWIM. SURFnet ondersteunt dit initiatief graag. 13:30 voorstelronde -------------------- Alle aanwezigen stellen zich voor. Een intekenlijst gaat rond. Een lijst van SWIM deelnemers zal in een later stadium vastgesteld en gedeeld worden binnen deze groep. 13:45 intro SWIM : achtergrond en ideeën ----------------------------------------- Jacques heet allen welkom en legt de achtergrond van SWIM uit. In SURF-IBO werken de op SURFnet aangesloten instellingen samen op het gebied van security beleidskwesties. SURFcert is natuurlijk de CERT van SURFnet, voor haar klanten. Deze klanten gaven de afgelopen 2 jaar regelmatig aan dat er behoefte was aan een forum voor operationele security. Dat is SWIM geworden. SWIM is er dus voor en nadrukkelijk ook *door* de deelnemers. Don legt uit dat SURFcert sinds 1991 bestaat, en dat het daaruit voortgevloeide concept van de "Site Security Contact" contractueel is vastgelegd - elke klant heeft zo'n SSC. Maar de SSC's zitten steeds vaker op beleidsniveau en de contactpunten voor SURFcert zijn nu in de regel lokale CERTs. Met de PACT accreditatie en CVPO projecten heeft SURF dit gestimuleerd. PACT wordt thans omgevormd in een administratief keurmerk van SURFcert. SWIM is in wezen een logisch voortvloeisel uit deze projecten. 14:10 Erasmus MC-CERT stelt zich voor -------------------------------------- Marcel de Wijs stelt Erasmus MC-CERT voor. Zie bijlage.

7 Er wordt gediscussieerd over het uitvoeren van persoonsonderzoeken. Dit moet goed geregeld zijn - wie dit mag aanvragen, wie dit moet goedkeuren, wie het mag uitvoeren, hoe de geheimhouding geregeld is, aan wie gerapporteerd wordt. Aangeraden wordt om vooral terughoudend te zijn met dit soort onderzoek. Sedat Capkin (SARA) vraagt naar de bevoegdheden van de CERT. Marcel vertelt dat ze vooral ondersteunend werken. "Zwaardere" procedures lopen als regel via de CISO. Bert Moorlag (UMCG) vraagt hoe de rolverdeling is tussen IT afdeling en CERT. Marcel benadrukt dat de CERT voroal ondersteunt, maar wel vrij in beweging is en dus gevraagd en ongevraagd adviezen kan uitbrengen. 14:30 SURFcert en beveiligingstools ------------------------------------ Wim Biemolt (SURFcert) vertelt over SURFcert en haar beveiligingstools. Deze presentatie zal zodra beschikbaar over de SWIM lijst verspreid worden. 15:00 --- pauze --- -------------------- 15:30 CERT opzet en maturity ------------------------------- Don vertelt over de ondersteuning die hij namens SURFnet mag aanbieden bij de vorming van lokale CERT functies. (voorheen bekend als CVPO en PACT) Er zijn thans 26 lokale CERTs geregistreerd, maar dat aantal zal binnen een paar maanden de 40 passeren omdat een hele reeks SURFnet klanten bezig is met het inrichten of formaliseren van incident beheer (lees: CERT). Om hierbij te helpen is nu een "CERT Starterkit" beschikbaar. Deze is op aanvraag te krijgen bij je SURFnet AA contactpersoon - of bij zender dezes. Deze starterkit bevat niet alleen direct bruikbare argumenten ter ondersteuning van CERT vorming, maar ook concrete voorbeelden van de belangrijkste documentatie, zoals de service beschrijving conform RFC-2350 en een "operational framework". Als vervolg daarop zijn in elk geval tot 15 januari CERT Workshops beschikbaar, waarbij Don langskomt om aan de hand van de Starterkit concreet invulling te geven aan een en ander - afgestemd op de behoefte van de bewuste instelling. Deze workshops vertegenwoordigen een hoge commerciele waarde maar zijn vooralsnog "gratis". Maak er gebruik van! Wat hier het gevolg van is is dat voor deze klanten een lokale CERT geregistreerd kan worden bij SURFcert (voorheen: PACT). De webpagina's van SURFcert met lokale CERTs en de PACT webpagina's worden in december geïntegreerd en up-to-date gebracht. SWIM is natuurlijk de logische plek waar al deze lokale CERTs bijeenkomen, samen met SURFcert. Maar tenzij deze vergadering anders beslist is het de bedoeling die klanten die dicht tegen CERT vorming aanzitten vooral te stimuleren om met SWIM mee te doen. De inrichting van een CERT functie of interface volgt dan (bijna) vanzelf. Daarnaast blijven de SURFcert themabijeenkomsten gewoon doorgaan, gericht op alle klanten - SWIM is daarbij meer voor "gevorderden".

8 TRANSITS blijft in stand als bewezen waarde - de beste introductiecursus voor nieuwe CERT leden en hen die een CERT functie inrichten. Qua CERT Maturity vertelt Don over het SURFaudit pilot project. Hierin worden de staat van Informatiebeveiliging algemeen, de beveiliging van Identity Management en Incident Management gemeten in één lange audit day. Deze pilot wordt thans door Moens, Jurg en Stikvoort in opdracht van SURF uitgevoerd - het idee is dat dit in 2010 verder wordt uitgewerkt zodat het in 2011 een vaste waarde kan worden. In beginsel zouden dan meer partijen deze audit moeten kunnen uitvoeren, en zou SURF de normering moeten bewaken. Ook het financieringsmodel moet uitgewerkt worden. Het Incident Management (CERT) deel van deze audit kent 50 parameters onderverdeeld in de categorieën Organisatie, "People", Tools en Processen. Op elke parameter kan als volgt gescoord worden: 0 = afwezig, niet beschikbaar, n/a 1 = impliciet, tussen de oren (niet opgeschreven) 2 = expliciet, vastgelegd 3 = expliciet en goedgekeurd, "rubberstamped" 4 = idem als 3 maar tevens onderdeel van een onafhankelijk controle proces Een normering is in ontwikkeling. Deze maakt het mogelijk om grafisch in één oogopslag te zien waar een CERT functie staat t.o.v. die norm. Peter Timmermans merkt op dat als bepaalde parameters "not applicable" zijn (in tegenstelling tot "not available"), er dan geen 0 gescoord zou moeten worden, maar een n.v.t. Anders wordt de score nodeloos en onterecht gedrukt. Don neemt dit mee in de SURFaudit evaluatie. 16:00 Calamiteiten ------------------- Hermine de Vos (Saxion) geeft aan de aanwezigen in overweging na te dneken over wat er allemaal te doen staat in het geval van calamiteiten, en hoe dat van te voren geregeld en geformaliseerd moet worden. Het niveau waarop hiervoor zaken geregeld zijn blijkt zeer divers - ongeveer 25% van de aanwezigen denkt een calamiteitenplan te hebben. Mark Bakker (HS Utrecht) beschrijft een calamiteitenplanning op basis van draaiboeken die zeer doordacht klinkt. Ongeveer 10% doet firedrills. Dit wordt zeer sterk aangeraden. Sedat Capkin (SARA) vraagt of dit bij SWIM hoort of bij SURF-IBO. Het antwoord is voorlopig: bij beide, want er zitten zowel beleidsaspecten als operationele aspecten aan. Meenemen in de afstemming met SURF-IBO [ACTIE Ewald/Don] Hermine is bereid Saxion's calamiteitenplan i.o. als template ter beschikking te stellen zodra het beschikbaar zal zijn. [ACTIE Hermine] 16:10 Incident trends ---------------------- Teun Nijssen (SURFcert & UVT) vertelt over incident trends. Zie bijlage. Twee dringende adviezen uit deze presentatie:

9 1) flow monitoring (en "follow-up") is *essentieel* - dit zal in de meeste audits niet gevraagd worden, maar is des te belangrijker ; 2) * check websites * op aanwezigheid XSS ("Cross-site scripting") 16:30 discussie SWIM --------------------- Don leidt de discussie, Jacques maakt aantekeningem. De volgende punten worden besproken: o naamgeving: de naam SWIM ontmoet geen bezwaren. Er komen ook geen alternatieven naar voren. De nieuwe voorzitter zal de naamskeuze weer aan de orde stellen per e-mail. o doel: SWIM richt zich op aspecten van operationele security met een speciaal focus op incident management. Daarbij wordt uitgegaan van concrete acties op het moment dat die opportuun zijn, zonder compleetheid of continuiteit te beogen. Er is een overlap met SURF-IBO (beleid), waardoor afstemming tussen beide nodig is. o doelgroep: In principe volgt de doelgroep uit de doorsnede van het doel van SWIM met de SURFnet doelgroep. De vergadering besluit daarbij echter dat er een vorm van ballotage moet komen, en een geheimhoudingsverklaring. Hiervoor moet een voorstel worden gemaakt. [ACTIE Ewald/Don] o programmagroep: Op dit moment bestaat de programmagroep uit Hermine de Vos, Remon Klein Tank en Jacques Schuurman. Don begeleidt deze groep. Andere vrijwilligers zijn welkom! o frequentie: 1x per 5 maanden wordt als uitgangspunt aanvaard. o locatie: liefst centraal, zoals bij SURFnet. o communicatie: er wordt besloten dat er een e-mail distributielijst met archief komt, plus een SURFgroep voor SWIM. [ACTIE Jacques] o voorzitter: Ewald Beekman (AMC) heeft zich bereid verklaard voorzitter te worden. Er melden zich geen andere kandidaten. Ewald stelt zich kort voor. Op verzoek van Don verlaat Ewald de zaal. De vergadering is unaniem voor Ewald's benoeming tot voorzitter. Ewald wordt weer binnen gevraagd en verwelkomd als voorzitter van SWIM. o secretaries: SURFnet heeft Don Stikvoort gevraagd als ambtelijk secretaris op te treden, tegen betaling. Dit houdt ook verslaglegging in. [ACTIE Don] Daarnaast zal Don ook inhoudelijk bijdragen, op vrijwillige basis, zoals alle SWIM deelnemers. 17:30 samen naar diner in Utrecht ---------------------------------- In verheugend groten getale gaan we samen naar Grieks restaurant "Taverna" aan de Oude Gracht, waar de eerste SWIM bijeenkomst in een uitstekende sfeer wordt afgesloten. Balans van acties ----------------- [SWIM#1-1] Ewald Beekman & Don Stikvoort

10 Afstemming met SURF-IBO. status: nieuw [SWIM#1-2] Hermine de Vos Saxion's calamiteitenplan i.o. als template ter beschikking te stellen zodra dat opportuun is. [ACTIE Hermine] [SWIM#1-3] Ewald Beekman & Don Stikvoort Voorstel ballotage & geheimhoudingsverklaring voor SWIM. status: nieuw [SWIM#1-4] Jacques Schuurman Aanmaken e-mail distributielijst (met archief) en SURFgroep voor SWIM. status: klaar [SWIM#1-5] Don Stikvoort Rapportage maken en verspreiden van SWIM#1 status: klaar

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback