Presentatie ISO27001 in de praktijk MOA bijeenkomst 16 mei 2013
Even voorstellen Rob de Leur Business partner ORBEDO Procesmanagement Informatiebeveiliging Risicomanagement
Informatiebeveiliging - korte introductie - Informatiebeveiliging richt zich op het betrouwbaar functioneren van informatiesystemen en daarmee de betrouwbaarheid van de informatie. Het in voldoende mate waarborgen van: Beschikbaarheid Juistheid Vertrouwelijkheid
ISMS ISO27001 Internationale standaard voor informatiebeveiliging Raamwerk om informatiebeveiliging structureel in te richten en blijvend te verbeteren Risicogedreven, bedrijfsdoelen en -processen staan centraal Een eigen Information Security Management System: Vanuit eigen kwaliteitsoogpunt Als onderscheidend vermogen Omdat de klant het eist Vertrouwen hebben en geven dat belangrijke informatie in veilige handen is!
Een kantoor
Opzet ISO27001 - Complexe norm - Opdeling Algemeen deel (PDCA) à la ISO9001 Bijlage met 133 beheersmaatregelen Uitsluitingen mogelijk Eigen scope bepaling
Onderdelen van informatiebeveiliging
Opzet ISO27001 centraal Gelijk andere managementsystemen Plan Do Check Act risico gedreven Beheer: Documenten Registraties Directie verantwoordelijkheid Beheer middelen Training, bewustzijn en bekwaamheid Interne ISMS audits Directiebeoordeling Continue verbeteren Corrigerend Preventief
Zonder inzicht geen uitzicht Klantvragen Waar staan we? Hoeveel tijd gaat het ons kosten? Hoeveel geld gaat het ons kosten qua begeleiding en certificering? Mogelijke tijdslijnen?
Fasering ISO27001 traject ISO27001 Gap Analyse IB statuut Risico-analyse Opzet ISMS Doorvoeren beheersmaatregelen Bijhouden Statement of Applicability Interne audits + Directiebeoordeling Certificering (optioneel) Go/No Go Richtlijn Nuancering Structuur Inhoud Status Check Bevestiging
Werkwijze Stuurgroep Begeleider Bedrijf ISMS Projectmanagement / Begeleiden Resources IB functionaris Templates Uitvoering
Rol begeleider Projectmanagement Begeleiding aktie-verantwoordelijken Aansturing en beoordeling resultaten Inbreng ISO27001 toolbox Training ISO27001 auditoren Begeleiding IB functionaris Begeleiding o.b.v. nacalculatie of fixed price
Aanpak in blokken
ISO27001 Gap Analyse Doel Inzicht in benodigde tijd Inzicht in kosten begeleiding Mogelijke planning Gerealiseerd = vastgelegd en geïmplementeerd Volledig gerealiseerd Deels gerealiseerd Nog niet gerealiseerd Volledig inzicht in: Status Benodigde tijd Kostenplaatje Adequate informatie voor besluitvorming!
Blok Beleid IB statuut Beleidsmatige uitgangspunten op alle beheersdoelstellingen Richtinggevend voor beheersmaatregelen Basis voor medewerkersboekje
Blok Beleid risico analyse Basis: informatiesoorten en middelen Output: geclassificeerde informatiesoorten met dreigingen en gewogen beheersmaatregelen Uitvoeren impact analyse: potentiële schade Uitvoeren dreigingen analyse: potentiële gevaren Juistheid, vertrouwelijkheid en beschikbaarheid Sprint methodiek
ORBEDO Risico Analyse I Gereed Overzicht Extra Informatiesoorten Risico aspecten Risico niveaus Risico gebieden Integriteit Hoog Kosten RA Impact analyse Vertrouwelijkheid Beschikbaarheid Middel Laag Imago Juridisch RESULTAAT Geclassificeerde informatiesoorten o.b.v. de risico score totaal en per risico aspect Hoog risicovol Gemiddeld risicovol Laag risicovol Concretiseren VB Kosten Laag tot 1.000 Middel tot 10.000 Hoog vanaf 100.000
ORBEDO Risico Analyse I Gereed Overzicht RA Informatiesoorten Dreigingenanalyse Risico aspecten Integriteit Vertrouwelijkheid Beschikbaarheid Extra Dreigingen niveaus Waarschijnlijk Mogelijk Nihil RESULTAAT I Geïnventariseerde dreigingen met dreiging niveau voor de informatiesoorten RESULTAAT II Overzicht voor en per Hoog en Gemiddeld risicovolle informatiesoort met koppeling dreigingen en beheersdoelstellingen en indicatie van restrisico
Blok ISMS Verschijningsvorm: papier of digitaal Prima werkende free software WIKI toepassingen Toegankelijkheid op basis van autorisaties Versiebeheer Wijzigingsbeheer Inrichting systeemprocedures (à la ISO9001) Directiebeoordeling Interne audits, corrigerende en preventieve maatregelen Document- en registratiebeheer
Personeel Screening Informatiebeveiligingsbewustzijn Geïnformeerd zijn (bv. Procedures en calamiteitenplan) Onderwerp bij functionerings- en beoordelingsgesprekken Signaleren (potentiële) risico s In- en uitdienst protocol
Derden Klanten Contractueel De klanteisen op het gebied van informatiebeveiliging Het niveau van informatiebeveiliging van de organisatie Sanctiebeleid Wijze van communicatie en monitoring Leveranciers Contractueel De eisen die de organisatie stelt op het gebied van informatiebeveiliging Het niveau van informatiebeveiliging van de leverancier Sanctiebeleid Wijze van communicatie en monitoring
Blok Fysiek Toegang pand (sleutel, keycard, sensor) Personeel, bezoekers en rokers (stok tussen de deur) Toegang (speciale) ruimten Computer servers, netwerk, noodstroom Expeditieruimten, achterdeur, nooduitgang Ontsluiten en sluiten pand Sleutelprocedure en adequaat beheer In en uitdiensttreding Plaatsing en onderhoud apparatuur Inbraak en rook detectie
Blok Fysiek Meenemen bedrijfseigendommen Laptops, smartphones, USB sticks Verwijderen apparatuur Verschoond van informatie programmatuur
Blok ICT Gebruik en toegang (servers, netwerk, applicatie, werkplek) Antivirus, Firewall, Autorisatie Registratie beveiligingsincidenten Centraal meldpunt (Helpdesk/ Servicedesk) Problemen oplossen en herhaling voorkomen Registratie bedrijfsmiddelen Eigenaren Onderlinge relaties Organiseren wijzigingen Eigenaren bedrijfsmiddelen betrekken Plannen, uitvoeren en accepteren
Blok ICT Beheren van de juiste versies (contracten, programma s) Applicatiebeheer (autorisatie, toegang, gebruik) Aanschaf voorwaarden, licenties Functiescheiding (ontwikkelaar en uitvoerder) Logging voor reconstructie Continuïteit (stroomuitval, back-up/restore en uitwijk) Capaciteit (toe en afname server, netwerk en disk) Geïntegreerd beheren Best practice (ITIL, ITSM, BISL en ASL) Opensource middelen (OTRS, WIKI)
ICT ontwikkelingen. In the cloud
ICT ontwikkelingen. In the cloud Hoe is de opslag beveiligd? Wie kan er bij? Waar wordt de data opgeslagen? Hoe is de communicatie afgeschermd? Hoe groter de omgeving, des te groter het aantal (potentiële) cybercriminelen Cloud leveranciers monitoren?!
Doorvoeren beheersmaatregelen Richting is bepaald (IB statuut) Dreigingniveau vastgesteld (Risico-analyse) Niet alle beheersmaatregelen (133) even zwaar aanzetten Validatie voor weging beheersmaatregelen Beheersmaatregelen kunnen uitgesloten worden
Bijhouden Statement of Applicability Overzichtdocument Vertaling per beheersmaatregel van implementatie Verwijzing naar onderliggende informatie Verantwoordelijke per beheersmaatregel SoA volgt ontwikkeling ISMS Statusdocument voor stuurgroep Onderdeel van certificaat
ORBEDO SOA I Gereed Extra Overzicht Beheersdoelstellingen met Beheersmaatregelen Van toepassing Verantwoordelijke Verklaring Referentie Validatie Beleid Contractueel Risico Analyse Doeltreffendheid vaststelling Meet methode Procesverwijzing Interne audits
ISO27001 Certificering Keuze voor best passende Wel of niet geaccrediteerd Kennis van vakgebied Prijsstelling 2 fasen Fase 1: documentstudie Fase 2: interviews Contract voor 3 jaar Uitgifte o.b.v. getoetste scope incl. SoA
Wie is verantwoordelijk voor de informatiebeveiliging?
Top 10 succesfactoren 1. Beleid 2. Managementsteun 3. Organisatie 4. Passende maatregelen 5. Cultuur 6. Kennis 7. Budget 8. Communicatie 9. Awareness 10. Evaluatie en onderhoud
Hints & Tips Stel realistisch ambitieniveau vast Integreer zoveel mogelijk in bestaande managementsystemen Gebruik bestaande bekende middelen en processen Gefaseerd = Beheerst Maak er geen verplichtnummer van maar een uitdaging Communiceren = betrekken = draagvlak