Voorwoord Voor u ligt de handleiding ZekeRE-business. Deze handleiding is bestemd voor de IT-auditor die in opdracht van een cliënt de beheersmaatregelen met betrekking tot elektronisch zakendoen door cliënt beoordeelt en aanbevelingen doet ter verbetering van die beheersing, met als mogelijke doelstelling voor cliënt het certificaat ZekeRE-business te verkrijgen. Tevens dient deze handleiding ter informatie voor de cliënt van IT-auditor, zodat hij of zij meer inzicht krijgt in de procedure die IT-auditor volgt ter beoordeling van het ebusinessproces. In deze handleiding ligt het accent op Internet. Echter, ook andere vormen van elektronische communicatie, zoals EDI (Electronic Data Interchange) kunnen conform deze handleiding worden beoordeeld. In deze handleiding wordt de 3e persoon enkelvoud als hij aangeduid. In alle gevallen wordt zowel de mannelijke als vrouwelijke vorm bedoeld.
1
2
Inhoudsopgave 1 1.1 1.2 1.3 1.4 1.5 1.6 1.7 2 3 4 4.1 4.2 4.3 4.4 4.5 4.6 4.7 5 5.1 5.2 6 6.1 6.1.1 6.1.2 6.1.3 6.2 6.2.1 6.2.2 6.3 7 8
Inleiding Algemeen Initiatief en doel van het product E-businessprofielen Onderdelen ZekeRE-business Reikwijdtebeperking van het product Handreiking IT-auditor Gedrags- en beroepsregels Perceptie opdrachtgevende instantie Vaststellen e-b2b-profiel Scope ZekeRE-business Inleiding Strekking ZekeRE-business Onderzoek De scope nader beschouwd Hyperlinks Meerdere websites e-b2b Grensbepaling scope Objecten en kwaliteitsaspecten Objecten Kwaliteitsaspecten De ZekeRE-business-audit Het intakegesprek De gesprekspunten Voorlopige beëindiging relatie ZekeRE-business Afstemmen van het e-b2b-profiel Uitvoering van de audit passend bij het e-b2b-profiel offerte Het uitvoeren van een audit passend bij het gevonden profiel Rapportages Het afgeven van het ZekeRE-business-certificaat Het herhaald onderzoek
5 5 5 5 6 6 6 6 7 7 8 8 8 8 8 9 9 9 10 10 10 12 12 12 12 13 13 13 13 13 15 15
Bijlage A: Doelstellingenmatrix (objecten en normen) Bijlage B: Relatie tussen de normen ZekeRE Business en de beveiligings-doelstellingen van de (nieuwe) Code voor Informatiebeveiliging: 2000 Bijlage C: Beheerprocessen Bijlage D: Conceptuele architectuur van een ZekeRE-business-b2b-toepassing Bijlage E: ZekeRE-business-mededeling afgegeven door een gekwalificeerde EDP-auditor (RE)
3
4
1 1.1
Inleiding Algemeen
Zaken doen via het Internet is niet meer weg te denken uit onze samenleving: het aantal toepassingen is legio, met een hoge mate van diversiteit. Het karakter en het gebruik van Internet bieden veel mogelijkheden die inbreuk kunnen doen op de voor het zaken doen gewenste mate van vertrouwen in de veilige wijze van elektronisch communiceren. Vertrouwen alleen is nimmer voldoende. Vertrouwen dient te worden verdiend en door waarborgen te worden omgeven om dit vertrouwen te kunnen handhaven. Het gebruik van Internet verandert daar niets aan. De middelen om te komen tot de vereiste waarborgen zullen veranderen en moeten worden aangepast aan het gebruik van Internet. ZekeRE-business is ontwikkeld om deze waarborgen te kunnen bieden. 1.2
Initiatief en doel van het product
ZekeRE-business is ontwikkeld op initiatief van NOREA, de beroepsorganisatie van gekwalificeerde IT-auditors in Nederland. RE, in NOREA en in ZekeRE-business, staat voor Register EDP-auditors. Het product is tot stand gekomen in samenwerking met toonaangevende bedrijven en organisaties op het gebied van IT-auditing. Het product ZekeRE-business heeft als doel om de gekwalificeerde IT-auditor en diens opdrachtgever een handvat te geven om in een aantal stappen na te gaan of en in welke mate het zaken doen via Internet als veilig kan worden beschouwd respectievelijk kan worden gemaakt. Indien de opdrachtgevende organisatie (cliënt) dat wil, kan onder voorwaarden een certificaat worden afgegeven. Dit certificaat is openbaar en wordt door NOREA geregistreerd. De geldigheidsduur van dit certificaat is zes maanden. Organisaties en de stand van techniek zijn aan continue verandering onderhevig. Dit maakt het noodzakelijk iedere zes maanden het onderzoek in het kader van ZekeRE-business te actualiseren.
5
1.3
E-businessprofielen
Met de indeling en onderverdeling in e-businessprofielen wordt beoogd een kader te scheppen voor de beoordeling van de specifieke risico’s en het vereiste veiligheidsniveau dat is afgestemd op de aard van de onderneming van de opdrachtgever. De volgende e-businessprofielen worden onderscheiden: § Aanvullend: E-business is een aanvulling op of uitbreiding van de normale bedrijfsactiviteiten. Beveiliging en inperking van risico’s zijn impliciet wettelijk vereist. Opdrachtgevende organisatie treedt op als goed huisvader; § Belangrijk: E-business is voor de onderneming van strategisch belang. Het beveiligingsniveau zal dan ook aan strengere eisen dienen te voldoen; § Essentieel: E-business van de organisatie heeft maatschappelijke impact. Schending van de beveiliging heeft dan ook maatschappelijke gevolgen.
Goed huisvaderschap geeft de ondergrens aan van de zorgvuldigheidsnorm: er kan pas sprake zijn van goed huisvaderschap als aan de wettelijke eisen is voldaan. Deze ondergrens kan ook (negatief) worden geformuleerd. Zolang dit niveau niet is bereikt, bestaat de situatie van onzorgvuldigheid. Dit is een situatie waarbij sprake is van toerekenbare tekortkomingen. Op dit moment (en dat zal voorlopig ook wel zo blijven) bestaan er nauwelijks organisaties waarbij het falen van haar e-businessactiviteiten maatschappelijke impact heeft. De reden hiervoor is dat er voor maatschappelijk belangrijke producten/diensten altijd alternatieven beschikbaar zijn, enerzijds (in veel gevallen) binnen de organisatie en anderzijds bij de concurrentie of branchegenoten. Hierdoor blijven er voor de uitwerking en beoordeling slechts twee e-businessprofielen over, te weten aanvullend (het minimum) en belangrijk.
1.4
Onderdelen ZekeRE-business
Het product ZekeRE-business is opgebouwd uit de volgende onderdelen: 1. een intakegesprek op basis waarvan het ebusinessprofiel wordt vastgesteld; 2. de bepaling van de e-business scope voor de organisatie; 3. het vaststellen van de normenset gebaseerd op de ZekeRE-business doelstellingenmatrix, rekening houdend met het vastgestelde e-businessprofiel; 4. het uitvoeren van een audit passend bij het vastgestelde profiel; 5. het uitbrengen van een afsluitende rapportage; 6. het desgewenst afgeven en registreren van een certificaat passend bij het e-businessprofiel. In dit document worden deze onderdelen van ZekeREbusiness beschreven. 1.5
Reikwijdtebeperking van het product
ZekeRE-business richt zich primair op het marktsegment business-to-business e-commerce, oftewel elektronische handel tussen bedrijven, hierna verder aangeduid als eb2b. Bij de beoordeling van e-b2b-dienstverlening door banken en verzekeringsmaatschappijen zal de IT-auditor nadrukkelijk rekening moeten houden met de specifieke eisen die in dat verband door toezichthoudende instanties worden gesteld. Eventuele certificering kan uitsluitend plaatsvinden nadat relevante regelingen en richtlijnen op naleving zijn getoetst. 1.6
Handreiking IT-auditor
NOREA stelt aan de IT-auditor, die een onderdeel van ZekeRE-business uitvoert, naast de inhoud van dit rapport op haar website www.norea.nl materiaal beschikbaar dat vrij gebruikt kan worden. De registratie van een certificaat is aan stringente spelregels onderworpen. 1.7
Gedrags- en beroepsregels
Bij het uitvoeren van een opdracht die gerekend kan worden tot het terrein van ZekeRE-business (zie hierna), is de IT-auditor gehouden aan het reglement Gedrags- en 6
Beroepsregels Register EDP-auditors (GBRE) zoals gepubliceerd in het NOREA-jaarboek en aan de richtlijnen die krachtens het GBRE eveneens gepubliceerd zijn in het NOREA-jaarboek.
2
Perceptie opdrachtgevende instantie
ZekeRE-business beoogt een antwoord te zijn op de behoefte van managers aan steun en zekerheid bij het gebruik van de elektronische snelweg, bijvoorbeeld voor het afhandelen van bedrijfsprocessen en contacten met zakelijke relaties (e-business). In alle opzichten is het World Wide Web een afspiegeling van de werkelijkheid. Door het wegvallen van grenzen in afstand en tijd is de creativiteit, maar ook de criminaliteit onbegrensd. Uit tal van voorbeelden is dan ook gebleken dat er naast voordelen ook risico’s zijn verbonden aan het zaken doen via de elektronische snelweg. De risico’s van de virtuele wereld zijn heel reëel. Naast het benutten van de mogelijkheden dienen er dammen te worden opgeworpen tegen de bedreigingen. Een opdrachtgever dient over de mogelijkheden en gevaren geïnformeerd te worden. ZekeRE-business is daarbij een hulpmiddel.
3
Vaststellen e-b2b-profiel
De kans dat risico’s en bedreigingen ten gevolge van eb2b zich voordoen verschilt per organisatie. De gevolgen van risico’s en bedreigingen die zich manifesteren verschillen eveneens en zijn mede afhankelijk van de aard van een onderneming. Maatregelen dienen op deze bedreigingen te worden afgestemd waarbij het risico mede bepalend is voor de omvang van de kosten van te treffen maatregelen. Bij het vaststellen van de maatregelen dient rekening te worden gehouden met het zogenaamde e-b2b-profiel. Om het e-b2b-profiel van een organisatie te kunnen vaststellen zal de IT-auditor samen met de klant moeten vaststellen of de e-b2b-activiteiten van strategisch belang zijn voor de klant. Hierbij moet antwoord worden gegeven op vragen als: § Wat is de reden van de klant om e-b2b-activiteiten te ontplooien (klanten, concurrenten, nieuwe kansen, marketing, trends, strategische samenwerkingen, etc.)? § Welke voordelen verwacht het management van e-b2bactiviteiten? § In welke mate is de klant afhankelijk van Internet voor de uitvoering van haar primaire bedrijfsprocessen? § Wat is de focus van de e-b2b-activiteiten (ISP, ASP, content provider, community, etc.)? § Wat is de huidige status van de e-b2b-activiteiten (actief, in ontwikkeling, in overweging)? § Wat zijn de operationele eisen die de klant aan de eb2b-activiteiten stelt (zoals beschikbaarheid en vertrouwelijkheid)? § Wat zijn de belangrijkste bedreigingen van het succes van de e-b2b-activiteiten? In veel gevallen is het niet mogelijk om een eenduidig antwoord te geven op de vraag of e-b2b voor een organisatie van strategisch belang is. Door het beantwoorden van vragen, zoals hierboven geformuleerd, wordt wel een gevoel gecreëerd en kan op basis daarvan een inschatting plaatsvinden: is e-b2b van strategisch belang, dan is de classificatie belangrijk van toepassing, in alle andere gevallen is dit de classificatie aanvullend.
7
4
Scope ZekeRE-business
4.1
Inleiding
ZekeRE-business richt zich op het elektronisch zaken doen tussen bedrijven. Maar daarmee zijn de grenzen van ZekeRE-business nog niet aangegeven. Deze grenzen worden in dit hoofdstuk uitgewerkt. 4.2
Strekking ZekeRE-business
De IT-auditor verschaft aan de opdrachtgever vertrouwen en zekerheid dat hij de in het kader van ZekeRE-business van belang zijnde zaken adequaat heeft georganiseerd. Daardoor kan de blijvend betrouwbare werking van enerzijds de e-business en anderzijds van de getroffen maatregelen worden gegarandeerd. De toereikendheid van die maatregelen wordt door de IT-auditor in het kader van ZekeRE-business beoordeeld. De van belang zijnde zaken kunnen bestaan uit mensen en middelen die een meer dan marginale invloed hebben op de betrouwbare werking van de e-b2b. In geval delen van de e-b2b-activiteiten zijn uitbesteed aan derde organisaties, behoren ook de mensen en middelen van desbetreffende organisatie tot de scope van ZekeRE-business. De scope van ZekeRE-business bestaat uit alle activiteiten die worden uitgevoerd in het kader van e-b2b, alsmede alle maatregelen die zijn getroffen om het gewenste kwaliteitsniveau te kunnen (blijven) handhaven. De scope wordt dus niet beperkt tot de organisatie van de opdrachtgever. 4.3
Onderzoek
Het door de IT-auditor uit te voeren onderzoek heeft betrekking op de e-b2b-processen van opdrachtgevende instantie (cliënt) en de daarbij behorende informatievoorziening. Indien de opdrachtgever gebruik maakt van een externe Internet Service Provider (ISP), dan is een actueel en onafhankelijk oordeel over de opzet, bestaan en de werking van het relevante deel van de organisatie van de ISP noodzakelijk. 8
4.4
De scope nader beschouwd
Wordt de scope van e-b2b nader geanalyseerd, dan zijn de volgende processen te onderkennen: § De wijze waarop (contractuele) afspraken worden gemaakt met de e-b2b-handelspartners en de daarbij afgegeven garanties; § Het ontwerpen, onderhouden en beheren van de inhoud van databases met gegevens inzake de te leveren producten of diensten inclusief de bijbehorende webpagina’s; § Het opzetten, onderhouden en beheren van databases met transactiegegevens, waarbij het kan gaan om zowel logistieke als financiële gegevens van de klanten van opdrachtgevende instantie; § Het opzetten, onderhouden en beheren van de hardware en software die de databases met productgegevens en transactiegegevens in stand houden; § Het opzetten, onderhouden en beheren van de conventionele middelen die de e-b2b ondersteunen; § Het tijdig en met de juiste kwalitatieve en kwantitatieve capaciteiten aanwezig zijn van mensen en (IT-)middelen die nodig zijn om e-b2b op het gewenste niveau te krijgen en te houden; § Het sluiten, onderhouden en beheren van contracten inzake diensten en producten die in het kader van eb2b moeten worden ingezet en waarvan aantoonbare afhankelijkheden bestaan. Kijken we naar e-b2b binnen het verkoopproces (de te leveren producten en diensten), dan worden bijvoorbeeld de volgende activiteiten onderscheiden: § Het ontvangen van een bestelling inzake een aan te schaffen product of af te nemen dienst; § Het versturen van een bevestiging inzake de bestelling; § Het fysiek uitleveren van hetgeen is besteld conform de afgesproken voorwaarden; § Het opmaken en versturen van facturen inzake de geleverde producten of de afgenomen diensten; § De ontvangst van de aan de verkoop verbonden revenuen.
De hiervoor onderkende activiteiten zijn op een zodanige wijze georganiseerd, dat door het samenspel van mensen en (IT-)middelen, het beoogde doel van het bedrijven van e-b2b op de meest betrouwbare wijze wordt gerealiseerd. 4.5
Hyperlinks
Hyperlinks naar websites van andere organisaties worden door de IT-auditor geïnventariseerd en waar nodig bij de oordeelsvorming betrokken. 4.6
Meerdere websites e-b2b
Indien een opdrachtgevende instantie beschikt over meerdere websites waar e-b2b wordt uitgevoerd, dan dienen aanvullende afspraken te worden vastgelegd over de reikwijdte van de oordeelsvorming. 4.7
Grensbepaling scope
Per opdracht dienen de grenzen van de scope exact te worden bepaald en beschreven. Er mag immers geen enkel misverstand bestaan over hetgeen wel of niet tot de scope behoort. Ook het definiëren van interfaces tussen Internet en de bestaande (traditionele) organisatie is daarbij van groot belang. De volgende onderwerpen dienen in de grensbepaling te worden betrokken, waarbij indicaties zijn gegeven over hetgeen wel of niet tot de scope kan of moet worden gerekend. Tot de scope wordt gerekend: § de Internetkoppeling en indien aanwezig de webpagina’s; § de bescherming van gegevens (opslag en transport van data). Deze data kunnen in daarvoor in aanmerking komende gevallen worden beschermd met encryptie, controlegetallen en andere vormen om het transport van gegevens controleerbaar en/of beschermd te laten verlopen; § de aantekeningen in de administratie van de opdrachtgevende instantie van de verkoop van producten, het leveren van diensten alsmede de vastlegging van ontvangsten behoort tot de scope van ZekeRE-business; 9
§ de infrastructuur en de inhoud van de database met gegevens over de te verkopen producten of de te leveren diensten zal over het algemeen geheel tot de scope van ZekeRE-business moeten worden gerekend. Nagegaan dient te worden of alle gegevens ontstaan binnen de jurisdictie van cliënt (de opdrachtgevende instantie) en op welke wijze en in welke mate de betrouwbaarheid van die gegevens wordt vastgesteld. Van de gegevens die van elders worden betrokken dient vast te staan dat de betrouwbaarheid overeenkomt met de verwachting van cliënt. Tot de scope worden niet gerekend: § de infrastructuur vanaf de ISP van de verkoper naar de e-b2b-partner(s); § het daadwerkelijke logistieke transport van goederen.
5
Objecten en kwaliteitsaspecten
5.1
Objecten
Binnen e-b2b worden de volgende objecten van onderzoek onderscheiden: 1. 2. 3. 4.
5.
6.
7.
8.
Beleid e-security strategie organisatie. (Internationale) Wet- en regelgeving (‘e-legal’). Contractvoorwaarden. Interne Invloeden: 1 Aanschaf of ontwikkeling; 2 Interne hosting of uitbesteding Infrastructuur; 3 Systeem ontwikkelmethodiek; 4 Systeem ontwikkelstandaarden. Transacties: 1 On line transacties; 2 Berichtenverkeer; 3 Back-office/logisitiek Infrastructuur/architectuur: 1 Algemene normen voor de infrastructuur; 2 Businesspartner infrastructuur; 3 Datacommunicatienetwerk en controlezone; 4 Externe communicatiezone; 5 Applicatieserverzone; 6 Dataserverzone. Beheerorganisatie ICT: 1 Content beheer; 2 Dienstenniveaubeheer; 3 Capaciteitsbeheer; 4 Calamiteitenbeheersing; 5 Beschikbaarheidbeheer; 6 Beveiligingsbeheer; 7 Financieel beheer; 8 Configuratiebeheer; 9 Incidentbeheer; 10Probleembeheer; 11Wijzigingsbeheer. Beheerorganisatie niet-ICT: 1 Beheer virtuele logistieke organisatie; 2 Beheer virtuele financiële organisatie.
De kwaliteitscriteria worden toegepast bij de beoordeling van een samenstel van objecten die voor de specifieke
10
aard van de organisatie als kenmerkend kunnen worden aangemerkt. 5.2
Kwaliteitsaspecten
Per object van onderzoek binnen ZekeRE-business wordt over elk van toepassing zijnd kwaliteitscriterium een oordeel gevormd. Binnen de context van de NOREA normen en standaarden worden de gehanteerde kwaliteitsaspecten als volgt gedefinieerd: § Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruik maken van IT-processen; § Integriteit: de mate waarin het object (gegevens en informatie-, technische en processystemen) in overeenstemming is met de afgebeelde werkelijkheid; § Continuïteit: de mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben; § Controleerbaarheid: de mate waarin het mogelijk is kennis te verkrijgen over de structurering en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. De criteria Authenticiteit en Onweerlegbaarheid maken deel uit van het kwaliteitscriterium Integriteit. Aangezien het specifieke criteria zijn voor het beoordelen van e-b2b worden ze afzonderlijk getoond. § Authenticiteit: de echtheid van de bron van gegevens zoals deze door de wederpartij worden ontvangen. Van belang voor de inhoud van de berichten zelf als voor de berichtenstroom. § Onweerlegbaarheid : de ontvanger kan het bericht van de ontvangst niet ontkennen, de verzender kan het bericht van de verzending niet ontkennen. Opgemerkt wordt, dat in de literatuur de kwaliteitsaspecten continuïteit, exclusiviteit en integriteit ook wel worden aangetroffen onder de noemer
‘beveiliging’. Dit begrip heeft qua reikwijdte echter veelal betrekking op de meer fysieke aspecten die met ICT te maken hebben. De in de literatuur gehanteerde begrippen ‘betrouwbaarheid’ en ‘continuïteit’ zijn de samenvoeging van de in de NOREA-definitiestructuur gehanteerde begrippen beschikbaarheid, exclusiviteit, integriteit en controleerbaarheid.
11
6
De ZekeRE-business-audit
Wanneer een organisatie bij het realiseren van haar doelen gebruik maakt van e-b2b of daartoe wil overgaan, is het zinvol een beroep te doen op de kennis, kunde en ervaring van een daartoe gespecialiseerde IT-auditor. Voordat een IT-auditor een offerte uitbrengt voor het uitvoeren van een onderzoek op basis van de ZekeREbusiness-criteria, moet de auditor zich een beeld vormen van de organisatie van de opdrachtgever. Het vaststellen van het e-b2b-profiel is nodig om in een audit te kunnen vaststellen of de getroffen maatregelen toereikend zijn om aan de doelstellingen behorend bij ZekeRE-business te voldoen en welk verbeteringstraject er eventueel moet worden ingezet. De bedoelde beeldvorming vindt in dit onderdeel van het product ZekeRE-business plaats. 6.1
Het intakegesprek
Een intakegesprek in het kader van e-b2b wijkt niet af van enig ander gesprek dat een IT-auditor aan het begin van een opdracht met een opdrachtgever heeft. De invalshoek is specifiek en de vervolgstappen hebben een eigen karakter. Inhoud en vorm van het gesprek zijn niet aan specifieke regels gebonden. Het gesprek moet de opdrachtgever duidelijk maken wat ZekeRE-business inhoudt en voldoende informatie opleveren om het e-businessprofiel te kunnen vaststellen. Tenslotte dient de opdrachtgever een globale indruk te krijgen van de maatregelen die zouden moeten zijn (of worden) getroffen om aan de doelstellingen van ZekeRE-business te voldoen. 6.1.1 De gesprekspunten De volgende punten kunnen in een intakegesprek aan de orde komen. Niet alle punten behoeven te worden besproken, bovendien kan de diepgang variëren. Het gaat er immers om het vergaren van voldoende informatie om tot een offerte te kunnen komen voor het uitvoeren van een (deel-)onderzoek in het kader van ZekeRE-business. De gesprekspunten zijn in de volgende categorieën onder te brengen: 12
E-b2b profielschets § Onderwerpen die een indruk geven van het karakter van de organisatie; § Onderwerpen die een indruk geven van de succesfactoren respectievelijk de te behalen doelen met e-b2b; § Onderwerpen die uitspraken doen over de verwachtingen van het zaken doen via Internet en een eventueel voor ogen staand groeipad. Normenset en onderzoek § Onderwerpen die een indicatie van de risico’s en bedreigingen, verbonden aan de e-b2b geven; § Onderwerpen die een eerste indruk van de vereiste mate van betrouwbaarheid en continuïteit geven die men met het zaken doen via Internet wenst na te streven; § Onderwerpen die een globaal inzicht geven in de wijze waarop de e-b2b is georganiseerd. Certificering en planning § Onderwerpen met betrekking tot de noodzaak en het doel van certificering; § Verkrijgen van het ZekeRE-business-certificaat; § De gewenste planning; § De herhalingsonderzoeken. 6.1.2 Voorlopige beëindiging relatie ZekeRE-business Indien de uitkomsten van het kennismakingsgesprek laten zien, dat de organisatie voorlopig nog niet klaar is voor de vervolgstappen zoals die in ZekeRE-business zijn opgenomen, kan de relatie, wat dit onderwerp betreft, voorlopig worden beëindigd. Op het moment dat de organisatie wel met een redelijke mate van zekerheid door de verdere stappen van ZekeRE-business komt, kan de relatie worden voortgezet. Uiteraard kan de IT-auditor met cliënt een traject afspreken dat leidt tot het met succes kunnen uitvoeren van een onderzoek. Het afgeven van een certificaat behoort hierbij tot de mogelijke doelstellingen.
6.1.3 Afstemmen van het e-b2b-profiel In vele gevallen zal tijdens het kennismakingsgesprek een inschatting van het e-b2b-profiel kunnen worden gemaakt. De gevolgen van risico’s en bedreigingen in het kader van e-b2b zijn per organisatie verschillend en onder meer afhankelijk van de aard van een onderneming. Dit betekent dat maatregelen op deze bedreigingen dienen te worden afgestemd. Uiteraard is de aard van het risico en de kans dat deze optreedt bepalend voor de omvang van de kosten van te treffen maatregelen. Bij het vaststellen van deze maatregelen dient om deze reden rekening te worden gehouden met het zogenaamde e-b2b-profiel. Wanneer uit het kennismakingsgesprek de indruk wordt gekregen dat het uitvoeren van een onderzoek naar ZekeRE-business zinvol is, dan zal een conceptofferte worden uitgebracht waarin de scope van het onderzoek wordt aangegeven. Daarnaast zal aan de opdrachtgever worden gevraagd om (een) beleidsdocument(en), waarin het organisatiebeleid inzake de onderscheiden objecten of aandachtsgebieden is vastgelegd. De IT-auditor zal zijn oordeelsvorming mede baseren op het door de opdrachtgever vastgestelde beleid. De volgende aandachtspunten kunnen in deze fase worden afgewikkeld: § Het opstellen van een conceptofferte aan de hand van de uitkomsten van het kennismakingsgesprek en de door de klant gegeven indicaties waarmee, bij het uitvoeren van het onderzoek rekening moet worden gehouden (voor zover deze passen in de context van deze productbeschrijving); § Het definitief vaststellen van het e-b2b-profiel; § Het inventariseren van de relevante beleidsdocumenten; § Het uitvoeren van de ter zake gegeven instructies door de eigen organisatie en het verkrijgen van de vereiste instemmingen; § Het doorspreken van de conceptofferte met de klant; § Het zonodig aanpassen van de conceptofferte op de in het vorige punt naar voren gekomen zaken; § Het uitbrengen van de definitieve offerte.
13
6.2 Uitvoering van de audit passend bij het e-b2bprofiel Na afronding van het onderzoek naar het e-b2b-profiel, kan worden overgegaan tot het uitbrengen van een offerte voor het vaststellen van de normenset behorend bij de doelstellingenmatrix van ZekeRE-business en het uitvoeren van een audit passend bij het gevonden profiel. 6.2.1 offerte De uit te brengen offerte heeft betrekking op het opstellen van de normenset en het uitvoeren van een audit. 6.2.2 Het uitvoeren van een audit passend bij het gevonden profiel Nadat het e-b2b-profiel is vastgesteld en de bijbehorende scope is gedefinieerd kan de audit worden uitgevoerd. De opdrachtgever wordt gevraagd om toelichting of documentatie van het organisatiebeleid inzake de onderscheiden objecten of aandachtsgebieden en een beschrijving van de getroffen maatregelen gericht op de kwaliteitsaspecten van e-b2b. De IT-auditor stelt de doelstellingen c.q. normen vast waaraan de e-b2b organisatie moet voldoen. Voor een duidelijk inzicht in de doelstellingen behorend bij ZekeRE-business is een indeling gemaakt die aansluit bij de objecten die binnen de scope van e-b2b kunnen worden aangetroffen. Per object zijn doelstellingen gedefinieerd en gerubriceerd naar kwaliteitscriterium. De wijze waarop deze doelstellingen kunnen worden gerealiseerd zijn zeer divers. Bij de realisatie zijn mensen en (technische) middelen betrokken die aan continue verandering onderhevig zijn. De IT-auditor bepaalt op basis van professional judgement of het samenstel van getroffen maatregelen voldoende is voor het bereiken van elk van deze doelstellingen. 6.3
Rapportages
Inzake de bevindingen over de uitvoering van een opdracht in het kader van ZekeRE-business doet de ITauditor rechtstreeks verslag aan cliënt.
Op de volgende momenten rapporteert de IT-auditor aan cliënt: § ter bevestiging van het intakegesprek alsmede het vaststellen van het e-b2b-profiel; § ter afsluiting van het uitvoeren van een audit naar de geïmplementeerde maatregelen op basis van het vastgestelde profiel. Deze rapportage bevat eveneens het oordeel en de normen waarop het oordeel is gebaseerd. Wanneer tot een opdracht wordt besloten met als resultaat een certificaat, dient (minimaal) elke zes maanden het onderzoek te worden geactualiseerd en wordt op basis van een nieuwe verklaring de geldigheid van het certificaat verlengd.
14
7 Het afgeven van het ZekeRE-businesscertificaat Dit certificaat is openbaar en wordt door NOREA geregistreerd. De geldigheidsduur van dit certificaat is beperkt tot zes maanden. De echtheid van het ZekeRE-business certificaat kan door iedere gebruiker worden vastgesteld door navraag te doen bij de NOREA. Indien het certificaat op een website staat afgebeeld is het mogelijk, door op het certificaat te klikken, te worden doorgelinkt naar de website van de NOREA waar de echtheid wordt bevestigd. Bij ieder certificaat worden ook de doelstellingen van ZekeRE-business getoond teneinde de gebruiker een beeld te geven van de reikwijdte. Registratie van het certificaat wordt uitgevoerd op basis van de ZekeRE-business-verklaring zoals deze door een gekwalificeerde IT-auditor wordt afgegeven. Daarover zijn aan NOREA registratiekosten verschuldigd, te weten NLG 2.500,- (EUR 1.134,-) voor een eerste registratie en NLG 1.000,- (EUR 454,-) voor een herhaald onderzoek.
15
8
Het herhaald onderzoek
De geldigheidsduur van het ZekeRE-business-certificaat is 6 maanden. Organisaties en de stand van techniek zijn immers aan continue verandering onderhevig. Dit maakt het noodzakelijk iedere zes maanden de getroffen maatregelen in het kader van ZekeRE-business opnieuw te beoordelen en de rapportage te actualiseren.
Bijlage A: Doelstellingenmatrix (objecten en normen)
1.3.
1.4.
1.5.
1.6.
16
X
X
X
X
X
X
X
X
Beschikbaarheid
1.2.
Controleerbaarheid
1.1.
Onweerlegbaarheid
e-security beleid Toegepast op de zes componenten van de IT-omgeving: Proces: alomvattend informatie beveiligingsprogramma; taken en verantwoordelijkheden in relatie tot algemeen informatiebeveiligingsbeleid duidelijk gedefinieerd strategie voor de beoordeling van nieuwe technieken; verantwoordelijkheden voor beoordelen, managen en monitoren van IT-gerelateerde risico’s; risico-analyse methodiek voor periodieke beoordeling e-security risico’s Applicatie Policy’s betreffende: systeemontwikkelinglevenscyclus-standaarden; software make – versus – buy beslissingen. Datamanagement Policy’s betreffende: data ownership; databaseontwerp en –management; gebruik en beveiliging van bedrijfsinformatie; gebruik en beveiliging van werknemers, cliënten of overige persoonlijke data. Platform Policy’s betreffende: standaard ondersteunde hardware -en softwareplatform; verantwoordelijkheden betreffende platform planning, ontwerp, back-up en beveiliging. Netwerk Policy’s betreffende: goedgekeurde leveranciers en service/product specificaties; verantwoordelijkheden voor netwerkplanning, ontwerp, back-up en beveiliging. Fysiek Policy’s betreffende: verantwoordelijkheden voor informatievoorziening locaties en apparatuur; beveiliging van notebook computers en content buiten kantoor; Onderhoud en support policy’s.
Authenticiteit
1.
Kwaliteitscriteria
Integriteit
Normen
Exclusiviteit
Nr.
X
X
X
X
X
X
X
X
X
X
Beschikbaarheid
Controleerbaarheid
Onweerlegbaarheid
(Inter-)nationale wet- en regelgevingI Compliance: Alle (internationale) wet- en regelgeving dient te worden nageleefd, inclusief de mogelijk van toepassing zijnde branchespecifieke wet- en regelgeving: informatieplichten; intellectuele eigendomsrechten; privacy (WPR/WBP); computercriminaliteit (WCC(II)); overeenkomstenrecht (elektronische handtekening); bewijs en bewaren; geschillenbeslechting en toepasselijk recht; etc.
Integriteit
2. 2.1.
Kwaliteitscriteria
Authenticiteit
Normen
Exclusiviteit
Nr.
X X X X X X
Specifieke eisen van de: OPTA; STE; DNB; Verzekeringskamer; Registratiekamer; etc.
I
Toelichting juridisch onderzoek Object van onderzoek kunnen zijn: De website van de beoordeelde organisatie: Contracten/SLA’s met webhosters, webdesigners, webbouwers, ISP’s, betaalorganisaties, leveranciers, adverteerders, transporteurs, businesspartners, etc. Het onderzoek dient te worden uitgevoerd door een juridische specialist met voldoende actuele kennis van de toepasselijke wet- en regelgeving. De eisen dienen periodiek opnieuw te worden beoordeeld. 17
4.2. 4.3.
18
Beschikbaarheid
4. 4.1.
Controleerbaarheid
3.
Onweerlegbaarheid
Concrete eisen: Indien gegevens van bezoekers van de website worden opgeslagen in een database, dan dient deze registratie te worden aangemeld bij de Registratiekamer (tenzij wettelijk vrijgesteld). Op de website dient informatie te staan over de verkoop- en leveringsvoorwaarden en deze dienen expliciet door de afnemer te worden geaccepteerd. Op de website dienen de NAW-gegevens e.d. van de organisatie te zijn vermeld. Het privacybeleid dient eenvoudig toegankelijk op de website te zijn gepubliceerd. Voor het gebruik van logo’s, merknamen, plaatjes, foto’s, etc. van anderen dient toestemming te zijn gevraagd van de desbetreffende rechthebbende, tenzij deze toestemming wettelijk niet nodig is (o.a. citaten met bronvermelding). Alle kosten inclusief BTW, verzend- en administratiekosten moeten de businesspartner voor het sluiten van de overeenkomst op ondubbelzinnige wijze bekend worden gemaakt. De intellectuele eigendomsrechten ter herkenning van de organisatie (logo’s, handelsmerken, etc.) dienen te zijn geregistreerd. Alle eigendomsrechten met betrekking tot de website (denk aan rechten van de betrokken softwarebureaus) dienen in eigen bezit te zijn. Vastgesteld dient te zijn of de e-businessactiviteiten zijn verzekerd. Contractvoorwaarden De voorwaarden uit het contract tussen de businesspartners moeten vertaald worden naar prestatie-eisen die gesteld worden aan de e-businesstoepassing Interne invloeden Aanschaf of ontwikkeling Er dient een scheiding te zijn aangebracht tussen de ontwikkelwebsite en de productiewebsite. De technische en functionele systeemdocumentatie dient up-to-date te zijn De E-business software bij voorkeur gecertificeerd is door een onafhankelijke derde partij Bij voorkeur dient een Third Party Mededeling aanwezig te zijn. Interne hosting of uitbesteding infrastructuur De prestatie-eisen voor de e-business toepassingen moeten vertaald worden naar eisen aan de ebusiness infrastructuur Systeem ontwikkelmethodiek Voor het ontwikkelen van software dient een gestandaardiseerde methodiek te worden toegepast.
Integriteit
2.2.
Kwaliteitscriteria
Authenticiteit
Normen
Exclusiviteit
Nr.
X X X X X X
X X
X
X X X
X X X X X X X X X X X X X
X X
19
Beschikbaarheid
5.2
Controleerbaarheid
5. 5.1.
X
Onweerlegbaarheid
Systeemontwikkelstandaarden Voor het ontwikkelen van software dienen standaarden te worden gebruikt. Transacties On line transacties. Transactiesysteem. De beschikbaarheid van het transactiesysteem moet zijn gewaarborgd. Transacties tijdens transport. De businesspartners moeten vaststellen wie namens beide partijen bevoegd zijn om ebusinesstransacties aan te gaan. De businesspartners moeten maatregelen treffen om ongeautoriseerde wijziging van de inhoud van de transacties tijdens transport tegen te gaan. De businesspartners moeten om vernietiging van de transactie tijdens transport tegen te gaan overeenkomen op welke wijze een businesstransactie moet worden bevestigd. De businesspartners moeten maatregelen treffen om ‘replay’ van transacties tegen te gaan. Transacties binnen het transactiesysteem. De organisatie moet een zodanig autorisatiemechanisme hebben dat uitsluitend daartoe bevoegde medewerkers toegang hebben tot e-business transacties van zaken partners. De organisatie moet maatregelen treffen om onbevoegd gebruik van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd wijzigen van de inhoud van de e-businesstransactie tegen te gaan . De organisatie moet maatregelen treffen om ongeautoriseerd verwijderen van de inhoud van de e-business transactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd kopiëren van de inhoud van de e-businesstransactie tegen te gaan. Berichtenverkeer Berichtensysteem De beschikbaarheid van het postbussysteem moet zijn gewaarborgd Bericht Tijdens transport: De businesspartners moeten vaststellen wie namens beiden partijen bevoegd zijn om ebusinesstransacties aan te gaan. De businesspartners moeten maatregelen treffen om ongeautoriseerde wijziging van de inhoud van de berichten tijdens transport tegen te gaan.
Integriteit
4.4.
Kwaliteitscriteria
Authenticiteit
Normen
Exclusiviteit
Nr.
X X
X X X X
X X X X X
X
X X X X X X X X X X X X X X X X X X X X
X
X X X X
Nr.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X X
X X X X X
X X X
X X X
X X X
X X X X
Beschikbaarheid
X
X
X X X
Controleerbaarheid
X
Onweerlegbaarheid
Integriteit
X
Authenticiteit
20
De businesspartners moeten om vernietiging van het bericht tijdens transport tegen te gaan overeenkomen op welke wijze een businesstransactie moet worden bevestigd. De businesspartners moeten maatregelen treffen om ‘replay’ van transacties tegen te gaan. Binnen het postbussysteem: De organisatie moet een zodanig autorisatiemechanisme hebben dat uitsluitend daartoe bevoegde medewerkers toegang hebben tot e-businessberichten van zaken partners De organisatie moet maatregelen treffen om onbevoegd gebruik van de inhoud van de e-business transactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd wijzigen van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd verwijderen van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd kopiëren van de inhoud van de e-businesstransactie tegen te gaan. Backoffice / logistiek De correcte ontvangst en verwerking van de e-businesstransactie moet naar de opdrachtgever worden bevestigd. De bij een transactie betrokken partij dient te kunnen worden geïdentificeerd, bijvoorbeeld door een elektronische handtekening. Alle transacties (berichten) dienen te worden geregistreerd. Alle transacties dienen een uniek volgnummer te worden toegekend. Alle transacties dienen te worden bevestigd. De bestaanbaarheid van elke transactie en de inhoud dienen direct bij ontvangst te worden gecontroleerd. De geweigerde transacties worden in een afzonderlijk bestand vastgelegd. Ontvangen transacties worden beoordeeld aan de hand van de aanwezige transactieprofielen per handelspartner. Er is een speciale autorisatieprocedure voor het wijzigen van transacties. Er is een audit trail met voldoende informatie met bewijs van het bestaan van de transacties alsmede de status van deze transacties. De integriteit van de audit trail dient voldoende te zijn gewaarborgd. De juistheid en volledigheid van de primaire vastlegging van transacties in de ebusinessapplicatie dienen te worden vastgesteld.
Kwaliteitscriteria
Exclusiviteit
5.3
Normen
Nr.
Beschikbaarheid
X X
Controleerbaarheid
21
X
Onweerlegbaarheid
6.4.
Authenticiteit
6.3.
Integriteit
6.2.
Voordat vertrouwelijke informatie wordt verstrekt (denk aan prijslijsten, productieplanningen, productspecificaties) dient de identiteit te worden gecontroleerd. De herkomst en juistheid van elektronische facturen wordt gecontroleerd. Een netwerk van controletotalen dient te worden gebruikt voor het controleren van de volledigheid en juistheid van de e-businesstoepassingen. Infrastructuur/architectuur Algemene normen voor de infrastructuur (Vertrouwelijke) data mogen niet op een systeem staan, dat een directe communicatiemogelijkheid heeft met systemen in een niet-vertrouwde omgeving. Uitwijkapparatuur dient aanwezig te zijn of uitwijk dient anderszins te zijn geregeld. Businesspartner infrastructuur Afspraken met betrekking tot – bijvoorbeeld - service niveaus, reactietijden en kosten met de partner dienen formeel te worden vastgelegd in een Service Level Agreement, hierna SLA genoemd. Naleving van de door de partner dient periodiek te worden gecontroleerd en gerapporteerd. Datacommunicatienetwerk en controlezone Er dient een controle en sturing op het dataverkeer aanwezig te zijn. Voorbeelden zijn een firewall of packet filtering. Er dient een controle plaats te vinden op virussen, zowel uitgaand als inkomend. Voorbeelden van maatregelen zijn virusscanners of een viruswall. De datacommunicatieapparatuur dient adequaat te zijn geconfigureerd, alleen noodzakelijke protocollen en dataverkeer mogen zijn geconfigureerd. Indien er sprake is van een complex netwerk, dient netwerkmanagement te worden gehanteerd. Externe communicatiezone Systemen moeten zo min mogelijk informatie verstrekken over zichzelf en het omliggende netwerk aan niet-geautoriseerden. De meest recente (security) patches en fixes moeten worden geïnstalleerd. Indien mogelijk, moeten zo min mogelijk user id’s aangemaakt te worden.
Kwaliteitscriteria
Exclusiviteit
6. 6.1.
Normen
X X
X X
X
X X
X
X
X X X
X X
X
X X X
X
X
X
X
X
X
X
X
X X
X
X X
X X
X X
X
22
Beschikbaarheid
7. 7.1
Controleerbaarheid
6.6.
Onweerlegbaarheid
Applicatieserverzone Op systemen mag alleen die software staan die nodig is voor het kunnen uitoefenen van de bedoelde taken. Van gebruikte software moeten robuuste versies worden gebruikt. Alleen geautoriseerde gebruikers dienen toegang te worden verleend tot de applicatie server(s). Adequate regels en normen t.a.v. gebruik van wachtwoorden dienen te zijn geïmplementeerd. Alle wijzigingen dienen te worden gedocumenteerd (Veranderbeheer of Change Management). De voor de applicaties benodigde infrastructuur dient op adequate manier beveiligd te zijn tegen fysieke bedreigingen. De voor de applicaties benodigde infrastructuur dient op adequate manier beveiligd te zijn tegen logische bedreigingen (hackers, virussen etc.). Dataserverzone Betrouwbaarheid en continuïteit van de communicatie met de applicatieserver(s) moet zijn gewaarborgd. De databaseserver(s) dien(t)(en) adequaat te zijn geconfigureerd, alleen noodzakelijke protocollen en dataverkeer mogen worden gebruikt. Er dient gebruik te worden gemaakt van dubbele dataopslag (bijvoorbeeld een RAID systeem) Beheerorganisatie ICT Contentbeheer De website dient in voldoende mate te zijn beveiligd. Alle overeengekomen voorschriften dienen te worden nageleefd. Website Er dienen adequate procedures te zijn voor detectie, logging en melding van (beveiliging-) incidenten. De eigenaar van de website dient wijzigingen goed te keuren. Op de website dient informatie te staan over de aard van de informatie, diensten en/of goederen die worden aangeboden. Er dienen maatregelen te zijn getroffen ter waarborging van het beleid m.b.t. privacyissues (inclusief detectie en correctie). Er dienen maatregelen te zijn geïmplementeerd zodat herleidbaar is wie wijzigingen aan de website heeft aangebracht.
Integriteit
6.5.
Kwaliteitscriteria
Authenticiteit
Normen
Exclusiviteit
Nr.
X X
X X
X
X
X X
X
X
X
X X
X X
X
X X X
X
X
X
X
X X
X X
X
X
X X
X X X X
X
X X X X
X X
X
X
X
X X
X
X X X X X
Nr.
Normen
Kwaliteitscriteria
X
Beschikbaarheid
X
Controleerbaarheid
X
Onweerlegbaarheid
23
X X
X
Authenticiteit
7.3
X
Integriteit
Exclusiviteit
7.2
Voordat eventuele registratie van hits plaatsvindt, dienen adequate maatregelen te zijn getroffen. Dienstenniveaubeheer Er dienen duidelijke afspraken te zijn gemaakt met de provider over het serviceniveau door de provider. Afspraken met betrekking tot service niveaus met de provider dienen formeel te zijn vastgelegd in een SLA. Er dienen duidelijke afspraken te zijn gemaakt in geval van geschillen tussen klant en de provider. De provider dient periodiek te rapporteren aan de klant over geleverde prestaties. Naleving van serviceniveaus door de provider dient periodiek te worden geëvalueerd met behulp van formele rapportages over serviceniveaus. Capaciteitsbeheer Het capaciteitsbeheer van e-business en daarmee verwante applicaties dient adequaat te zijn geregeld
X
X X X
X
X
X X X X X
Beschikbaarheid
24
Controleerbaarheid
7.5
Onweerlegbaarheid
Calamiteitenbeheersing Er dient periodiek een kwetsbaarheidanalyse te worden uitgevoerd gericht op de ebusinessapplicaties. Er dient periodiek een volledige data back-up te worden gemaakt van de database server(s). De back-up en recovery van transactiegegevens en audit trail-bestanden dienen te zijn gewaarborgd. Back-up tapes dienen te worden opgeslagen op een externe locatie in een afgesloten kluis. Er dient periodiek een restore test te worden uitgevoerd van de database server(s). Er dienen adequate procedure te zijn geïmplementeerd om cliënten tijdig te informeren indien de website korte of langere tijd niet beschikbaar is. Er dienen noodprocedures en -richtlijnen te zijn geïmplementeerd om te zorgen voor adequaat optreden in geval van calamiteiten en zeer urgente wijzigingen. De overeengekomen diensten dienen aan een andere provider overdraagbaar te zijn. De voor de e-business dienstverlening noodzakelijke netwerkverbindingen binnen de organisatie of met de buitenwereld dienen te voorzien in de continuïteitsbehoefte van de organisatie. Bij problemen dienen alternatieve verbindingen voorhanden te zijn. De voor de e-business dienstverlening noodzakelijke infrastructuur binnen de organisatie of bij derde partijen dient te voorzien in de continuïteitsbehoefte van de organisatie. Bij problemen dienen alternatieven voorhanden te zijn. Er dient te zijn geanalyseerd in hoeverre het logistieke proces afhankelijk is van de infrastructuur en waar kwetsbaarheden en bedreigingen m.b.t. de infrastructuur bestaan. Beschikbaarheidbeheer De beschikbaarheid van de IT-infrastructuur die noodzakelijk is voor de e-businessactiviteiten wordt permanent gevolgd en periodiek geëvalueerd. De beschikbaarheid van de IT-diensten die noodzakelijk is voor de e-businessactiviteiten wordt permanent gevolgd en periodiek geëvalueerd.
Integriteit
7.4
Kwaliteitscriteria
Authenticiteit
Normen
Exclusiviteit
Nr.
X
X X
X
X X
X X X X X X X X X X
X X
X
X
X X X
X X
X
X X
X
X X
X
X X
X X
X
X X
X
X
X
X
X
X
X X
X
X
X
X X
X
Beschikbaarheid
X
X X
Controleerbaarheid
25
X
X X
Onweerlegbaarheid
Beveiligingsbeheer Er dient adequaat beveiligingsbeheer (Security Management), inclusief rapportage te zijn geïmplementeerd. Er dienen adequate maatregelen te zijn getroffen gericht op toegangscontrole. Elke gebruiker dient zichzelf te authenticeren om toegang te krijgen tot de website door middel van een user id/ wachtwoord combinatie, al dan niet in combinatie met tokens zoals smartcards. Er dienen adequate regels t.a.v. het gebruik van wachtwoorden van toepassing te zijn Alleen geautoriseerde gebruikers dienen toegang te worden verleend tot de database server(s) Er dient functiescheiding te zijn tussen het beheer van de site, het beheer van de inhoud van de site (contentbeheer) en het beheer van de lay-out van de site Er dient een historisch overzicht van wijzigingen in bevoegdheden te worden bijgehouden De business partners moeten maatregelen treffen om ongeautoriseerde kennisname van de inhoud van de berichten tijdens transport tegen te gaan Er dienen adequate maatregelen tegen ongeautoriseerd gebruik van privé-gegevens te zijn geïmplementeerd. Er dienen adequate procedures voor detectie, logging en melding van (beveiliging-) incidenten te zijn geïmplementeerd. Er dient een veilig mechanisme te worden gebruikt om sessies tussen browsers en de webserver te beschermen. Een gesloten enveloppen procedure voor wachtwoorden behorende bij gebruikers accounts met hoge systeemtoegangsrechten dient aanwezig te zijn. Het berichtenverkeer moet adequaat beschermd zijn tegen toegang door ongeautoriseerden. De eisen die aan het encryptie algoritme worden gesteld dienen overeen te komen met de gevoeligheid van de gegevens. Het autorisatie mechanisme van de organisatie moet waarborgen dat uitsluitend op geautoriseerde wijze toegang tot cliënten gegevens kan worden verkregen. Contentbestanden dienen in voldoende mate te zijn afgeschermd. De databaseserver(s) en bijbehorende componenten dienen fysiek te zijn geplaatst in een veilige afgesloten locatie om deze machines te beschermen tegen vuur, schade en vandalisme.
Authenticiteit
7.6
Kwaliteitscriteria
Integriteit
Normen
Exclusiviteit
Nr.
X
Nr.
Normen
Beschikbaarheid
Controleerbaarheid
Onweerlegbaarheid
26
Integriteit
Volledigheidshalve genoemd als beheerproces, doch valt buiten de scope van ZekeRE-business.
Authenticiteit
1
Exclusiviteit
Financieel beheer1 Configuratiebeheer Alle bij e-businessactiviteiten betrokken apparatuur en programmatuur zijn volledig en juist geregistreerd. 7.9 Incidentbeheer Er is een op continue basis, dan wel op overeengekomen tijden, een helpdesk bereikbaar waar vragen, klachten en incidenten rondom E-business activiteiten kunnen worden gemeld. De gestelde vragen, klachten en incidenten dienen direct te worden vastgelegd alsmede de door de helpdesk aangereikte oplossing. De helpdesk dient erop toe te zien dat alle meldingen binnen de afgesproken tijden worden opgelost De activiteiten van de helpdesk worden periodiek geëvalueerd 7.10 Probleembeheer Er dient adequaat probleembeheer (Problem Management) te zijn geïmplementeerd (inclusief rapportage). Er dienen afdoende maatregelen te zijn getroffen voor foutdetectie. Het gebruik van Internetsystemen dient te worden gelogd op problemen en foutmeldingen. Onderhoudsprocedures dienen periodiek te worden uitgevoerd. Er dient adequate ondersteuning door leveranciers en Service Providers te zijn geregeld in geval van klachten, storingen of problemen. 7.11 Wijzigingsbeheer De wijzigingsbeheerprocedure voor databasewijzigingen dient te zijn gedocumenteerd. Er dient een formele goedkeuringsprocedure voor databasewijzigingen te zijn geïmplementeerd. De implicaties voor het beveiligingsniveau van een databasewijziging dienen telkens te worden bepaald. Alle databasewijzigingen dienen te kunnen worden herleid naar individuele personen. Alle databasewijzigingen dienen te worden vastgelegd. Alle databasewijzigingen dienen te zijn voorzien van een versienummer. 7.7 7.8
Kwaliteitscriteria
X X X X
X X X
X
X X
X
X
X
X
X X
X X
X
X
X X
X X X
X
X
X
X X X
X X
X X X
X X X X
X
X X X
27
Beschikbaarheid
Er dient een adequaat stelsel van maatregelen voor AO/IC te bestaan. Er dient sprake te zijn van een adequate autorisatieprocedure, waarmee ongeautoriseerde toegang tot gegevens tot een minimum wordt beperkt. Iedere order dient te worden gevolgd door een betrouwbare orderbevestiging richting de afnemer. Daarbij dienen in ieder geval een betrouwbare leverdatum en een betrouwbare bevestiging van de prijs aanwezig te zijn. Daar waar het geautomatiseerde logistieke proces afhankelijk is van zogenaamde sleutelfunctionarissen (personen die verantwoordelijke zijn voor cruciale handelingen in het proces), dient vervanging bij wegvallen van deze functionarissen geregeld te zijn. Applicatie Er is sprake van inzichtelijke en duidelijk gedocumenteerde verwerkingprocessen waarbij eventuele ontkoppelpunten tussen virtuele en traditionele processen identificeerbaar zijn. Alleen geautoriseerde functionarissen mogen toegang hebben tot de logistieke applicatie (zowel de test, acceptatie als ontwikkelomgeving). Er is sprake van een adequaat stelsel van procedures voor verander-, probleem- en incidentbeheer. Er dient een certificaat of ‘oordeel betrouwbare werking’ voor de applicatie te bestaan, afgegeven voor de basisapplicatie of de bedrijfsspecifieke omgeving. In de applicatie dienen geprogrammeerde invoercontroles te bestaan om zo de kwaliteit van de ingevoerde gegevens te waarborgen. Het formaat van ingevoerde gegevens dient te voldoen aan eisen zoals gesteld door de applicatie. De werking van transacties dient te worden gecontroleerd door een stelsel van geprogrammeerde verwerkingscontroles. Kritische acties dienen te worden gevolgd middels een audit trail. Er dient te zijn geanalyseerd in hoeverre het logistieke proces afhankelijk is van de applicatie en waar kwetsbaarheden en bedreigingen m.b.t. de applicatie bestaan. De voor de applicaties benodigde infrastructuur dient op adequate manier beveiligd te zijn tegen fysieke bedreigingen.
Controleerbaarheid
Organisatie
Onweerlegbaarheid
Beheerorganisatie niet-ICT Beheer virtuele logistieke organisatie
Authenticiteit
8. 8.1.
Kwaliteitscriteria
Integriteit
Normen
Exclusiviteit
Nr.
X X X X X X X X X X X X X X X X
X X
X
X
X
X
X X X X
X
X X
X
X X X
X
X X
X
X
X X
X X
X
Nr.
Normen
X
Beschikbaarheid
Controleerbaarheid
Onweerlegbaarheid
Integriteit
X X
Authenticiteit
28
Exclusiviteit
De voor de applicaties benodigde infrastructuur dient op adequate manier beveiligd te zijn tegen logische bedreigingen (hackers, virsussen etc.). Het dient mogelijk te zijn een volledig functionele applicatieomgeving op te bouwen in geval van calamiteiten. De procedure hiervoor dient periodiek te worden getoetst op een juiste werking. Aansluitend op de kwetsbaarheidanalyse, dient er een plan te bestaan om de continuïteit van de applicatie te waarborgen (Business Continuity Planning). Dit continuïteitsplan dient periodiek te worden getoetst op een juiste werking. Bij wijzigingen in de applicatie of infrastructuur of bij nieuwe bedreigingen en kwetsbaarheden dient het plan te worden aangepast; Data Alleen geautoriseerde functionarissen mogen toegang hebben tot de logistieke gegevens (zowel in de test, acceptatie als ontwikkelomgeving). Aanpassen, toevoegen en verwijderen van logistieke gegevens (al dan niet via de logistieke applicatie) dient te worden gevolgd middels een audit trail. Ongeautoriseerde logische toegang tot de logistieke gegevens dient te worden ondervangen door een systeem voor inbraakdetectie (“Intrusion Detection”). Op grond van (handmatige of automatische) melding van een logische inbraak dienen acties tot bescherming en herstel te worden uitgevoerd. Deze acties kunnen zowel handmatig als automatisch plaatsvinden. Er dient te zijn geanalyseerd in hoeverre het logistieke proces afhankelijk is van de gegevensopslag en waar kwetsbaarheden en bedreigingen m.b.t. de gegevensopslag bestaan. Om herstel in geval van calamiteiten mogelijk te maken, dient een historie van de doorgevoerde transacties (ongewijzigd) beschikbaar te zijn (“Archive logs”). Het dient mogelijk te zijn de volledige gegevensopslag opnieuw op te bouwen in geval van calamiteiten. De procedure hiervoor dient periodiek te worden getoetst op een juiste werking. De voor de gegevensopslag benodigde infrastructuur dient op adequate manier beveiligd te zijn tegen fysieke bedreigingen.
Kwaliteitscriteria
X X X
X
X
X
X
X
X
X
X X
X
X X
X X X X X X X
Kwaliteitscriteria
Beschikbaarheid
Controleerbaarheid
29
X
Onweerlegbaarheid
Beheer virtuele financiële organisatie De AO/IC dient zodanig te zijn ingericht dat toezeggingen aan/afspraken met X businesspartners overeenkomstig worden uitgevoerd. Uit de AO/IC blijkt dat de organisatie toezeggingen aan / afspraken met businesspartners nakomt (audit trail) De correcte ontvangst en verwerking van de e-businesstransactie moet naar de opdrachtgever worden bevestigd. In de financiële organisatie zijn voldoende waarborgen getroffen waardoor de continue werking van deze organisatie wordt gegarandeerd overeenkomstig de afspraken met de businesspartners
Authenticiteit
8.2.
Integriteit
Normen
Exclusiviteit
Nr.
X X X X
X
X X
Bijlage B: Relatie tussen de normen ZekeRE Business en de beveiligings-doelstellingen van de (nieuwe) Code voor Informatiebeveiliging: 2000 nr. 1. 1.1.
Normen ZekeRE Business e-security beleid Proces
1.2.
Applicatie
1.3. 1.4. 1.5. 1.6. 2. 2.1. 2.2. 3. 4. 4.1. 4.2. 4.3. 4.4. 5. 5.1.
Datamanagement Platform Netwerk Fysiek (Inter-)nationale wet- en regelgeving Compliance Concrete eisen Contractvoorwaarden Interne invloeden Aanschaf of ontwikkeling Interne hosting of uitbesteding infrastructuur Systeemontwikkelmethodiek Systeemontwikkelstandaarden Transacties On line-transacties.
5.2
Berichtenverkeer
5.3
Backoffice / logistiek
6. 6.1.
Infrastructuur/architectuur Algemene normen voor de infrastructuur
6.2. 6.3. 6.4. 6.5.
Businesspartner infrastructuur Datacommunicatienetwerk en controle zone Externe communicatiezone Applicatieserverzone
6.6.
Dataserverzone
30
Beveiligingsdoelstellingen Code voor Informatiebeveiliging:2000 4.1 Beveiligingsbeleid 4.2 Beveiligingsorganisatie 4.3 Classificatie en beheer van bedrijfsmiddelen 4.1 Beveiligingsbeleid 4.8 Ontwikkeling en onderhoud van systemen 4.3 Classificatie en beheer van bedrijfsmiddelen 4.2 Beveiligingsorganisatie 4.2 Beveiligingsorganisatie 4.5 Fysieke beveiliging en beveiliging omgeving 4.10 Naleving 4.10 Naleving 4.6 Beheer van communicatie- en bedieningsprocessen 4.6 Beheer van communicatie- en bedieningsprocessen 4.9 Continuïteitsmanagement 4.6 Beheer van communicatie- en bedieningsprocessen 4.9 Continuïteitsmanagement 4.6 Beheer van communicatie- en bedieningsprocessen 4.8 Ontwikkeling en onderhoud van systemen 4.9 Continuïteitsmanagement 4.7 Toegangsbeveiliging 4.9 Continuïteitsmanagement 4.6 Beheer van communicatie- en bedieningsprocessen 4.6 Beheer van communicatie- en bedieningsprocessen 4.5 Fysieke beveiliging en beveiliging van de omgeving 4.7 Toegangsbeveiliging 4.9 Continuïteitsmanagement
nr. 7. 7.1 7.2 7.3 7.4 7.5 7.6
Normen ZekeRE Business Beheerorganisatie ICT Contentbeheer Dienstenniveaubeheer Capaciteitsbeheer Calamiteitenbeheersing Beschikbaarheidbeheer Beveiligingsbeheer
7.7 7.8 7.9 7.10 7.11 8. 8.1. 8.2.
Financieel beheer Configuratiebeheer Incidentbeheer Probleembeheer Wijzigingsbeheer Beheerorganisatie niet-ICT Beheer virtuele logistieke organisatie Beheer virtuele financiële organisatie
31
Beveiligingsdoelstellingen Code voor Informatiebeveiliging:2000 4.6 Beheer van communicatie- en bedieningsprocessen 9 Continuïteitsmanagement 4.9 Continuïteitsmanagement 4.2 Beveiligingsorganisatie 4.6 Beheer van communicatie- en bedieningsprocessen 4.7 Toegangsbeveiliging 4.4 Beveiligingseisen ten aanzien van personeel 4.6 Beheer van communicatie- en bedieningsprocessen 4.8 Ontwikkeling en onderhoud van systemen -
Bijlage C: Beheerprocessen Dienstenniveaubeheer Dienstenniveaubeheer is het proces dat overeenkomsten (Dienstenniveauovereenkomsten of Service Level Agreements, verder SLA genoemd) tot stand brengt tussen de beheerorganisatie van informatiesystemen en de gebruikers. Tevens worden de overeengekomen afspraken bewaakt en geëvalueerd. De deelprocessen die hiertoe behoren zijn: het identificeren van IT-behoeften, het verifiëren van de haalbaarheid van de diensten, het opstellen van SLA’s , het bewaken van de in het SLA overeengekomen normen en het rapporteren. Capaciteitsbeheer Dit is het proces dat zorgdraagt voor een zodanige inzet van de IT-middelen dat dit gebeurt op de juiste plaats, het juiste moment, in de juiste hoeveelheid en tegen verantwoorde kosten. Verder maakt het monitoren van de prestaties en de capaciteit van de IT-middelen deel uit van dit proces. De deelprocessen die hiertoe behoren zijn prestatiebeheer, middelenbeheer, vraagbeheersing, werklastbeheersing, applicatiedimensionering en capaciteitsplanning. Calamiteitenbeheer Calamiteitenbeheersing is het proces dat zorgt voor afdoende technische, financiële en organisatorische voorzieningen, zodat de continuïteit van de IT-diensten bij calamiteiten kan worden gewaarborgd. De deelprocessen die hiertoe behoren zijn risicoanalyse, risicobeheersing en het beheren en testen van een calamiteitenplan. Beschikbaarheidbeheer Dit is het proces dat de beschikbaarheid van de ITinfrastructuur en de IT-diensten bewaakt overeenkomstig de hierover gemaakte afspraken zoals deze in het SLA zijn vastgelegd. De deelprocessen die hiertoe behoren zijn planning van de beschikbaarheid van IT-infrastructuur, bewaking, toezicht en samenwerking met probleembeheer om op pro-actieve basis voorzorgsmaatregelen te nemen. Beveiligingsbeheer Beveiligingsbeheer is gericht op het inrichten, uitvoeren en 32
controleren van taken en verantwoordelijkheden die door de organisatie zijn vastgesteld op het gebied van de beveiliging van de geautomatiseerde gegevensverwerking. De deelprocessen die hiertoe behoren zijn risicoanalyse, het opstellen van het informatiebeveiligingsplan en het implementeren van beveiligingsmaatregelen. Financieel beheer Dit is het proces dat de bedrijfseconomische gegevens levert, zodat een optimale afweging tussen prijs en prestatie van de IT-dienstverlening plaats kan vinden. De deelprocessen die hiertoe behoren zijn het opstellen van een jaarlijkse begroting en het realiseren van de begroting. Financieel beheer valt buiten de scope van ZekeREbusiness en is volledigheidshalve vermeld. Configuratiebeheer Dit is het proces dat zorgt voor het beheer van informatie over de automatiseringsmiddelen. Er dient sprake te zijn van een eenduidige en betrouwbare registratie van apparatuur en programmatuur in de vorm van Configuratie Items (CI’s) Alle CI’s worden vastgelegd in een configuratiebeheerdatabase. De deelprocessen die hiertoe behoren zijn beheer van de configuratiebeheerdatabase, statusbewaking van de CI’s, verificatie en informatievoorziening. Incidentenbeheer Incidentbeheer (ook wel aangeduid als Helpdesk) is het proces dat ondersteuning biedt aan de gebruikers van ITdiensten. Vragen, klachten en incidentmeldingen van de gebruikers worden behandeld. Daartoe omvat het proces diverse deelprocessen, te weten: incidentregistratie, classificatie en toewijzing van incidenten, onderzoek en diagnose, oplossing en herstel, afsluiting en incident voortgangsbewaking met rapportage. Probleembeheer Probleembeheer is het proces dat als pro-actief is te beschouwen. Het classificeert de incidenten en onderzoekt
de oorzaak van problemen. Op grond van bevindingen wordt een wijzigingsvoorstel opgesteld dat tot oplossing van fouten moet leiden. De deelprocessen die hierbij onderscheiden worden zijn: probleemidentificatie en – registratie, probleemclassificatie, probleemonderzoek, foutbeheer en rapportage. Wijzigingsbeheer Wijzigingsbeheer is het proces dat ervoor zorgdraagt dat de aan een wijziging in de IT-infrastructuur gerelateerde problemen worden voorkomen. De wijzigingsvoorstellen kunnen komen uit de processen incidentbeheer en probleembeheer en hebben betrekking op de bestaande IT en IT-diensten. Ze kunnen ook rechtstreeks komen vanuit de gebruikersorganisatie die kenbaar maakt dat nieuwe functionaliteiten wenselijk zijn. De deelprocessen die hierbij onderscheiden worden zijn acceptatie van wijzigingsvoorstellen, beoordelen en plannen, coördineren en afsluiting, zodra wijzigingen zijn doorgevoerd. Tevens houdt het proces wijzigingsbeheer zich bezig met het accepteren, beheren en distribueren van operationele software. De deelprocessen die hierbij onderscheiden worden zijn: beheer van de programmabibliotheek, acceptatietesten, distributie, implementatie en rapportage.
33
Bijlage D: Conceptuele architectuur van een ZekeRE-business-b2b-toepassing Bij ZekeRE-business-B2B-toepassingen wordt een nietvertrouwd netwerk, bijvoorbeeld Internet, als medium gebruikt voor het uitwisseling van gegevens tussen de partners. De infrastructuur van de businesspartner, waarmee een contract of overeenkomst is gesloten, wordt ook als vertrouwd beschouwd. Onze ZekeRE-businessopdrachtgever heeft hier echter geen invloed op of zeggenschap over. De ZekeRE-business-opdrachtgever kan alleen invloed uitoefenen op dat gedeelte van de b2b-toepassing dat onder eigen beheer staat. Uitbesteden aan een hosting provider wordt hierbij ook beschouwd als onder eigen beheer staan. Bij ZekeRE-business-b2b-toepassingen wordt het onderstaande conceptuele architectuur model gebruikt. In het model worden verschillende zones gebruikt. Het uitgangspunt hierbij is dat er bij een zone die dicht bij het interne netwerk van de ZekeRE-business opdrachtgever is gesitueerd een groter vertrouwen in de communicatie bestaat dan bij een verder afgelegen zone. De verschillende zones worden tevens nader toegelicht.
Applicatieserverzone § In deze zone worden niet-routeerbare interne IPadressen gebruikt. § De systemen in deze zone mogen niet communiceren met systemen in Internet. § De systemen in deze zone communiceren ofwel met een systeem in de externe communicatie zone ofwel met een systeem in de database-serverzone. § Op de systemen in deze zone bevinden zich geen gegevens.
Externe communicatiezone § In deze zone kunnen op Internet routeerbare IPadressen worden gebruikt. § De systemen in deze zone mogen communicatie hebben met systemen in Internet. § In deze zone mogen zich geen data bevinden. § Systemen die in deze zone kunnen voorkomen zijn een webserver, mail relay server of een DNS server.
Datacommunicatie-controlezone § De grens tussen 2 zones wordt telkens gevormd door een zogenaamde datacommunicatie controle zone. § Al het dataverkeer dat tussen 2 zones plaatsvindt, wordt gecontroleerd door de systemen in deze zone. § Controle van dataverkeer kan zowel plaatsvinden op het niveau van de datapakketten als op de inhoud van de datapakketten. § Twee opeenvolgende datacommunicatie controle zones bestaan nooit uit componenten van één en dezelfde leverancier.
Database-serverzone § In deze zone worden niet-routeerbare interne IP adressen gebruikt. § De systemen in deze zone mogen niet communiceren met systemen in Internet. § De systemen in deze zone communiceren ofwel met een systeem in de applicatie server zone ofwel met een systeem in het interne netwerk. § Op de systemen in deze zone bevinden zich gegevens.
Gedemilitariseerde zone (DMZ) Een gebied tussen 2 datacommunicatie-controlezones wordt een gedemilitariseerde zone genoemd.
34
niet-vertrouwd netwerk zone
gedemilitariseerde zone (DMZ)
applicatie server zone
datacommunicatie controle zone
externe communicatie zone
datacommunicatie controle zone
datacommunicatie netwerk
datacommunicatie controle zone
business partner infrastructuur
gedemilitariseerde zone (DMZ)
onder beheer van ZekeRE-business opdrachtgever
Figuur 1: Conceptuele architectuur van een ZekeRE-business B2B toepassing
35
database server zone
Bijlage E: ZekeRE-business-mededeling afgegeven door een gekwalificeerde EDP-auditor (RE) Opdracht Wij hebben aan de hand van de ZekeRE-business-normen (zie bijlage A) een onderzoek uitgevoerd naar de opzet, het bestaan en de werking van de getroffen beheersmaatregelen met betrekking tot het ebusinessproces
van zoals gekoppeld aan haar website <WEBSITENAAM> (URL: ), inclusief de in het e-businesssysteem getroffen beheersmaatregelen. Het onderzoek was gericht op de exclusiviteit, integriteit, authenticiteit, onweerlegbaarheid, continuïteit en controleerbaarheid van dit proces, inclusief juridische aspecten en openheid van zaken. Werkzaamheden Het onderzoek is uitgevoerd in de periode t/m en omvatte ondermeer interviews met betrokken functionarissen, bestudering van relevante documentatie en deelwaarnemingen. Het onderzoek is verricht in overeenstemming met de Gedrags- en Beroepsregels voor Register EDP-auditors (GBRE) en wij zijn van mening dat onze auditwerkzaamheden zodanig zijn uitgevoerd dat een redelijke mate van zekerheid is verkregen voor het afgeven van ons oordeel. Beperkingen Het gebruik van Internettechnologie kent een aantal inherente beperkingen met betrekking tot de beheersmaatregelen ervan. Deze beperkingen zijn onvermijdbaar, waardoor het mogelijk is dat fouten niet (tijdig) worden ontdekt. Daarnaast hebben beheersmaatregelen te maken met veranderende omstandigheden (nieuw beschikbare technologie), waardoor de werking ervan kan worden aangetast. Auditresultaten uit het verleden bieden geen waarborgen voor de toekomst.
36
Oordeel Op basis van ons onderzoek zijn wij van mening dat de opzet, het bestaan en de werking van de getroffen beheersmaatregelen met betrekking tot het ebusinessproces van gedurende de periode t/m in materieel opzicht hebben voldaan aan de ZekeREbusiness-normen. ZekeRE-business-waarmerk (alleen in rapportage, niet op website) Het ZekeRE-business-waarmerk, dat mag worden geplaatst op de website <WEBSITENAAM> van (URL: ), is geldig tot