Informatiebeveiliging integreren in projecten (ISO 27002 6.1.5) John Heinrich Roos Informatiebeveiliging integreren in projecten 1
Inhoud Inhoudsopgave Voorwoord vanuit het perspectief informatiebeveiliging 7 Voorwoord vanuit het perspectief Projectmanagement 9 1 Inleiding 13 1.1 Informatiebeveiliging integreren in projecten 15 1.2 ISO 27001 informatiebeveiliging 15 1.3 ISO 21500 Projectmanagement 16 1.4 Toepassing en randvoorwaarden 16 Information security in project governance: Incidents and preventions 19 2 Project informatiebeveiligingsbeleid 25 2.1 Beleidsregels voor informatiebeveiliging in projecten 25 2.2 Beoordeling van informatiebeveiliging in projecten 26 2.3 Organiseren van informatiebeveiliging 26 2.4 Rollen en verantwoordelijkheden bij informatiebeveiliging in projecten 26 2.5 Scheiding van taken bij informatiebeveiliging in projecten 26 2.6 Projectcontact met overheidsinstanties 26 2.7 Projectcontact met speciale belangengroepen 27 2.8 Informatiebeveiliging in projectbeheer 27 2.9 Mobiele apparatuur en telewerken 27 2.10 Projectbeleid voor mobiele apparatuur 27 2.11 Telewerken bij projecten 28 3 Veilig personeel 29 3.1 Screening projectpersoneel 29 3.2 Project arbeidsvoorwaarden 29 3.3 Managementverantwoordelijkheden bij projecten 30 3.4 Projectbewustzijn, opleiding en training 30 3.5 Disciplinaire inbreukprocedures 30 3.6 Beëindiging of wijziging projectverantwoordelijkheden 31
Inhoud 4 Beheer van projectmiddelen 33 4.1 Inventarisatie van projectmiddelen 33 4.2 Eigendom projectmiddelen 33 4.3 Aanvaardbaar gebruik van projectmiddelen 34 4.4 Teruggeven van projectmiddelen 34 4.5 Classificatie van projectinformatie 34 4.6 Projectinformatie labelen 34 4.7 Behandelen van projectmiddelen 35 4.8 Beheer van verwijderbare projectmedia 35 4.9 Verwijderen van projectmedia 35 4.10 Projectmedia fysiek overdragen 35 5 Toegangsbeveiliging project 37 5.1 Projectbeleid voor toegangsbeveiliging 37 5.2 Toegang tot projectnetwerken en projectnetwerkdiensten 37 5.3 Gebruikers en projectmedewerkers toegang verlenen 38 5.4 Projectbeheer van speciale toegangsrechten 38 5.5 Projectbeheer van geheime authenticatie-informatie 38 5.6 Projectbeoordeling van toegangsrechten 38 5.7 Projecttoegangsrechten intrekken of aanpassen 38 5.8 Geheime authenticatie-informatie gebruiken 39 5.9 Projectbeperking tot projectinformatie 39 5.10 Beveiligde project inlogprocedures 39 5.11 Systeem voor wachtwoordbeheer bij projecten 39 5.12 Speciale systeemhulpmiddelen gebruiken bij projecten 39 5.13 Project toegangsbeveiliging op programma broncode 39 6 Cryptografie bij projecten 41 6.1 Projectbeleid cryptografische beheersmaatregelen 41 6.2 Cryptografisch sleutelbeheer bij projecten 41 7 Fysieke beveiliging en beveiliging van de projectomgeving 43 7.1 Fysieke beveiligingszone 43 7.2 Fysieke toegangsbeveiliging 43 7.3 Projectkantoren, -ruimten en -faciliteiten beveiligen 44 7.4 Projectbescherming tegen bedreigingen van buitenaf 44 7.5 Projectmatig werken in beveiligde gebieden 44 7.6 Laad- en loslocatie als projectbeheersing 44 7.7 Plaatsing en bescherming van projectapparatuur 44 7.8 Nutsvoorzieningen bij projecten 44 Informatiebeveiliging integreren in projecten 3
Inhoud 7.9 Beveiliging van projectbekabeling 44 7.10 Onderhoud van projectapparatuur 44 7.11 Verwijdering van projectmiddelen 45 7.12 Beveiliging van projectapparatuur en projectmiddelen buiten het terrein 45 7.13 Veilig verwijderen of hergebruiken van projectapparatuur 45 7.14 Onbeheerde projectapparatuur 45 7.15 Clean desk- en clean screen-projectbeleid 46 8 Beveiliging projectuitvoering 47 8.1 Project gedocumenteerde bedieningsprocedures 47 8.2 Project wijzigingsbeheer 47 8.3 Projectcapaciteitsbeheer en verwachting 48 8.4 Scheiding van OTAP 48 8.5 Projectbescherming tegen malware 49 8.6 Projectbeheersingsmaatregelen tegen malware 49 8.7 Back-up van projectinformatie 49 8.8 Projectgebeurtenissen registreren 49 8.9 Beschermen van projectinformatie in logbestanden 50 8.10 Projectlogbestanden van beheerders en operators 50 8.11 Projectkloksynchronisatie 50 8.12 Projectbeheersing operationele software 50 8.13 Beheer projecttechnische kwetsbaarheden 50 8.14 Beperkingen voor het projectmatig installeren van software 51 8.15 Beheersmaatregelen betreffende audits van informatiesystemen 51 9 Project communicatie-beveiliging 53 9.1 Projectbeheersmaatregelen voor netwerken 53 9.2 Projectbeveiliging van netwerkdiensten 53 9.3 Projectinformatietransport 54 9.4 Projectovereenkomsten over informatietransport 54 9.5 Elektronische projectberichten 54 9.6 Project vertrouwelijkheids- of geheimhoudingsovereenkomst 54 10 Projectacquisitie, ontwikkeling en onderhoud van informatiesystemen 55 10.1 Projectanalyse en specificatie van informatieeisen 55 10.2 Projectinformatie op openbare netwerken beveiligen 56 10.3 Projectinformatietransacties van toepassingsdiensten beschermen 56 10.4 Projectbeveiliging in ontwikkelprocessen en ondersteunende processen 56 10.5 Projectprocedures voor wijzigingsbeheer met betrekking tot systemen 56 10.6 Projecttechnische beoordeling bedieningsplatform 57 4 Informatiebeveiliging integreren in projecten
Inhoud 10.7 Projectbeperking op wijzigingen aan software pakketten 57 10.8 Projectprincipes voor engineering van beveiligde systemen 57 10.9 Beveiligde projectontwikkelomgeving 57 10.10 Projectuitbesteding softwareontwikkeling 57 10.11 Projecttesten van systeembeveiliging 57 10.12 Projectsysteem acceptatietest 57 10.13 Projectbescherming van testgegevens 58 11 Projectleveranciersrelaties 59 11.1 Informatiebeveiligingsbeleid voor leveranciersrelaties 59 11.2 Opnemen van projectbeveiligingsaspecten in leveranciersovereenkomsten 60 11.3 Toeleveringsketen van informatie- en communicatietechnologie 60 11.4 Monitoring en beoordeling van leveranciers na exploitatie 60 11.5 Beheer van veranderingen leveranciersdienstverlening 61 11.6 Projectverantwoordelijkheden en procedures bij informatie-beveiligingsincidenten 61 11.7 Projectrapportage van informatie-beveiligingsgebeurtenissen 61 11.8 Projectrapportage van zwakke plekken in de informatiebeveiliging 61 11.9 Projectbeoordeling van en besluitvorming 62 11.10 Projectrespons op informatie-beveiligingsincidenten 62 11.11 Lering uit projectinformatie-beveiligingsincidenten 62 11.12 Verzamelen van bewijsmateriaal 62 12 Informatiebeveiligingscontinuïteit borgen en naleven met PMO 65 12.1 Continuïteit en naleving 67 12.2 Intellectuele eigendomsrechten 67 12.3 Beschermen van registraties 67 12.4 Privacy en bescherming van persoonsgegevens 67 12.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen 67 12.6 Informatiebeveiligingsbeoordelingen 68 12.7 Naleving van beveiligingsbeleid en -normen 68 13 Interne audit op basis van ISO 19011 69 13.1 De implementatie-audit 70 13.2 Systeemtoets 70 13.3 Procestoets 70 13.4 Producttoets 70 13.5 Risicogestuurd toetsen 70 13.6 Privacy-impact toetsen 70 13.7 Data-impact toetsen 70 13.8 Business-impact analyse 71 Informatiebeveiliging integreren in projecten 5
Inhoud 14 Zes-stappen-auditmodel 73 14.1 Model voor een audit om conformiteit te toetsen 73 14.2 Schep kader 74 14.3 Stel uitgangspunten vast 74 14.4 Identificeer het proces 75 14.5 Zoek objectief bewijsmateriaal 76 14.6 Terugkoppeling 76 14.7 Toets verslag, analyse, besluitvorming en evaluatie 77 14.8 Sluiting 78 15 Bronnen 79 16 Checklist 81 Project informatiebeveiligingsbeleid 82 Veilig personeel 82 Beheer van projectmiddelen 82 Beheer van projectmiddelen 82 Toegangsbeveiliging project 83 Cryptografie bij projecten 83 Fysieke beveiliging en beveiliging van de projectomgeving 84 Beveiliging projectuitvoering 84 Project communicatiebeveiliging 84 Project-acquisitie, onwikkeling en onderhoud van informatiesystemen 85 Project leveranciersrelaties 85 Informatiebeveiligingscontinuïteit en naleving borgen met PMO 86 Audits/Assessments uitgevoerd? 86 17 DIA-vragenlijst 89 6 Informatiebeveiliging integreren in projecten
Voorwoord Voorwoord vanuit het perspectief informatiebeveiliging Bedrijven worden steeds meer informatie- en ICTgedreven. Dit betekent dat raden van bestuur, directieleden en raden van commissarissen zich moeten (gaan) bezighouden met deze kritische assets. De zekerheid en adviezen die Assurance / auditors & security specialisten hierover verschaffen, zouden daarom ook in deze gremia moeten landen. Dat zal beter lukken naarmate deze beroepsgroepen meer in staat zijn om het gesprek aan te gaan met directeuren, bestuurders en commissarissen over zaken die zij als belangrijk zien en naarmate het de beroepsgroep beter lukt om in dat licht bezien relevante activiteiten te ontplooien. Eén van die onderwerpen is de impactvolle programma s en projecten, ook hier wordt zekerheid en veiligheid verwacht. Met de intrede van cyber security in de boardroom wordt de vraag actueel hoe dit onderwerp te duiden. Vooral in relatie tot de snelle en gewenste ontwikkelingen in de wereld van Social, Mobile, Agile, Analytics en Internet of Things. Immers, deze ontwikkelingen zorgen voor een scala aan projecten en programma s. Maar hoe specificeren we het? Wie is verantwoordelijk en aansprakelijk? Dit is noodzakelijk om greep op de materie te krijgen. Het duiden is vooral lastig omdat de kritische assets (in dit geval data) doorgaans niet als zodanig op de balans staan en dus ook niet in het jaarverslag terugkomen. Zelden wordt de goodwill van de data op de balans tot uitdrukking gebracht. Daarom staat dit onderwerp in de meeste gevallen ook niet op het netvlies van de bestuurder (Raad van Bestuur) of de toezichthouder (Raad van Commissarissen). Maar ondertussen wordt in vele presentaties en informatieplannen expliciet aangegeven dat data het nieuwe goud is. Incidenten waarbij de bestuurdersaansprakelijkheid nadrukkelijk aan de orde is, doen hun intrede in de media en creëren daarmee de urgentie meer grip te krijgen op dit fenomeen. Een treurig dieptepunt vormde een Informatiebeveiliging integreren in projecten 7
Voorwoord incident bij de Nederlandse Zorgautoriteit. Hier ging het op werkelijk alle fronten mis. Er was sprake van falende systemen (vrije toegang tot data op de fileshares), falende processen (geen beleid en borging daarvan), falende projecten en falend toezicht. Sterker nog, het besturende orgaan maakte zich schuldig aan mismanagement en malversaties. Klokkenluider Gotlieb sloeg met de volgende woorden alarm: Helaas zie ik geen andere route dan het u te melden langs deze onsympathieke weg. De geest moet uit de fles en het deksel van de pot. Opdat het management tijdig kan bijsturen. Dit schreeuwt namelijk om interventie. Twee weken nadat hij dit dossier bij zijn werkgever had ingeleverd, pleegde Arthur Gotlieb zelfmoord (bron: NRC1). De toenemende politieke druk naar aanleiding van deze zaak leidde tot het aftreden van beide bestuurders van de NZa. De NZa-case gaat verder dan het niet goed omgaan met informatiebeveiligingsrisico s. Maar het belangrijkste signaal dat uitgaat van deze case is dat informatiebeveiliging (cyber security) in alle haarvaten van een projectorganisatie hoort te zitten. Informatiebeveiliging is een primaire verantwoordelijkheid van iedereen binnen de organisatie en zeker van de project-/programmamanager. Dit boekwerk geeft aan dat laatste handen en voeten, het biedt de project / programma manager een praktisch handvat om informatiebeveiliging te integreren in projecten. Lees het boek en gebruik deze zeker als checklist bij uw eerstvolgende project/programma. Dr. Barry Derksen MSc MMC CISA CGEIT Directeur i-inc.nl (I m in Control) Lid raad van bestuur ISACA NL-chapter (isaca.nl) Lid raad van bestuur Secure Software Alliance Associate Professor Vrije Universiteit Amsterdam (IT audit) 8 Informatiebeveiliging integreren in projecten
Voorwoord Voorwoord vanuit het perspectief projectmanagement In projecten wordt informatie- en documentmanagement steeds belangrijker. Soms als het fout gaat, komt het groot in het nieuws, maar de meeste uitglijders blijven buiten de schijnwerpers. Ze zijn daarom echter niet minder erg. De nieuwe aanpak van agile-werken vraagt daarbij om steeds meer openheid en delen van informatie, terwijl aan de andere kant privacy en security een steeds belangrijker plaats gaat innemen. De nieuwe security regelgeving gaat daarbij de regels nog meer aantrekken. Het kan dan ook niet meer zijn dat projectmanagers en andere projectbetrokkenen informatiemanagement links laten liggen. Hoe kan je voorkomen dat informatie gedeeld wordt met personen die daar geen recht op hebben of zelfs niet mogen weten? Hoe voorkom je dat gegevens worden gestolen of onterecht worden gepubliceerd op het internet? Hoe voorkom je dat informatie wordt gehackt? Hoe zorg je er voor dat persoonsgegevens worden beschermd, terwijl je toch je werk moet kunnen blijven doen? Dit vraagt om algemene beleidsrichtlijnen in organisaties maar vraagt er ook om dat je per project er vooraf goed over nadenkt, hoe je dit moet zeker stellen. Schakel daarvoor zo nodig een informatie- en veiligheidsdeskundige in. De projectmanager blijft echter eindverantwoordelijk voor de informatiebeveiliging in zijn project. Hij kan zich niet verstoppen achter de rug van een leverancier of achter de rug van zijn projectmedewerkers. De projectmanager is eindverantwoordelijk voor de privacy en security in zijn project, tenzij hij kan aantonen dat hij er alles aan heeft gedaan wat normaliter van een eindverantwoordelijke persoon mag worden verwacht. Je kunt daar niet mee wachten totdat problemen in informatiemanagement zich voordoen. Direct bij de start van een project moet de informatiebeveiliging voor het project worden ingeregeld. Daarbij gaat het om de fysieke beveiliging van de werkplaats, toegangsbeveiliging, screening van het personeel, beveiliging van Informatiebeveiliging integreren in projecten 9
Voorwoord netwerken, cryptografie van de gegevens, maar ook over te volgen procedures en werkinstructies en classificatie van gegevens. Ook dienen de ontwikkel-, test-, acceptatie- en de productieomgevingen te worden gescheiden om het risico van onbevoegde toegang te verminderen. Informatiebeveiliging moet dan ook altijd onderdeel zijn van de risicoanalyse die bij de start van het project wordt gehouden. Daarbij gaat het niet alleen om informatiebeveiliging tijdens het project maar ook van de ingebouwde informatiebeveiliging van het op te leveren projectproduct. nonchalance van de projectmedewerkers het grootste risico. Het werken via onbeveiligde Wifi, het verliezen van USB-sticks, het openen van onveilige e-mails, het laten slingeren van papieren, het altijd maar weer gebruiken van dezelfde wachtwoorden, etc. Bij het goed beveiligen van informatie moet je dan ook altijd uitgaan van een niet uit te bannen mate van onzorgvuldigheid van alle betrokkenen. Dat maakt informatiebeveiliging een uitdaging van de eerste orde. Ik raad dan ook iedereen aan zich verder in dit onderwerp te verdiepen. Ik wens u veel leesplezier. Een goede Project Management Office (PMO) kan een essentiële rol spelen bij de informatiebeveiliging in een project. Voor informatiebeveiliging vormt echter de Bert Hedeman Managing Partner HWP consulting Assessor International Project Management Association Hoofddocent Master of Project Management, Hogeschool Utrecht 10 Informatiebeveiliging integreren in projecten