BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode
Datum
Auteur
Versie
24/08/2006
A. Huet - A. Staquet
V1.0
Inhoud 1
DOELSTELLING VAN HET DOCUMENT........................................................................................................ 2
2
DEFINITIES ..................................................................................................................................................... 2
3
PRINCIPE ........................................................................................................................................................ 3
4
BIJZONDER GEVAL VAN SYSTEMEN DIE GECLASSIFICEERDE INFORMATIE VERWERKEN ................ 3
5
RISICOMETING............................................................................................................................................... 4
6
STAP 1 : ANALYSE VAN HET BELANG VAN HET SYSTEEM ...................................................................... 5
7
STAP 2 : EVALUATIE VAN DE DREIGINGEN EN KWETSBAARHEDEN...................................................... 6
8
STAP 3 : UITWERKING VAN VEILIGHEIDSMAATREGELEN........................................................................ 6
9
STAP 4 : EVALUATIE VAN HET RESTRISICO, VALIDATIE EN BESLISSING.............................................. 8
10
STAP 5 : REALISATIE .................................................................................................................................... 8
11
STAP 6 : KWALITEITSVERZEKERING .......................................................................................................... 9
1
RISK MANAGEMENT Risicobeheersing van de informatiesystemen van de Belgische federale overheid
1
Doelstelling van het document
Een aanpak voorstellen voor de beheersing van de risico’s van informatiesystemen, volgens de in de norm ISO 133351 beschreven principes. Deze aanpak voldoet aan de volgende doelstellingen :
de personen die verantwoordelijk zijn voor de activiteit bewust maken van de inherente risico’s van het
veiligheidsmaatregelen uitwerken die aangepast zijn aan de geïdentificeerde risico’s,
de verantwoordelijke personen in staat stellen om beslissingen te nemen over de veiligheid van het
informatiesysteem,
systeem (aanvaarding van het restrisico, kosten van de veiligheidsmaatregelen, …). Bijgevolg moet de aanpak eenvoudig en intuïtief zijn, zodat hij kan worden toegepast door de personen die verantwoordelijk zijn voor de activiteit, zonder noodzakelijk een beroep te moeten doen op informaticatechnici of veiligheidsexperts. Daarom is de methode niet gericht op het waarschijnlijkheidsaspect van het risico, dat de zaken ingewikkelder zou maken zonder een echte meerwaarde op te leveren2.
Definities3
2
Activiteit (“business”) : dienst die door de organisatie wordt geleverd, of intern proces dat nodig is voor deze dienst. Informatiesysteem: georganiseerd geheel van middelen dat informatie verwerkt met het oog op de ondersteuning van een activiteit. Eigenaar van het informatiesysteem (“business owner”) : persoon die verantwoordelijk is voor de door het informatiesysteem ondersteunde activiteit4. Actief (“asset”): elk element dat een (materiële of immateriële) waarde heeft voor de organisatie en verband houdt met het informatiesysteem. Voorbeelden : o
informatie: bestanden, databanken, documentatie, contracten, procedures, …
o
software: applicaties, systeemsoftware, …
o
fysieke middelen: materieel, informatiedragers, …
o
fysieke omgeving: gebouwen, stroomvoorziening, …
o
human resources.
Beschikbaarheid : toegankelijkheid van informatie of van een systeem op het gewenste ogenblik voor gemachtigde individuen, entiteiten of processen. Integriteit : verzekering van de correctheid van de informatie. Vertrouwelijkheid : ontoegankelijkheid van de informatie voor niet-gemachtigde individuen, entiteiten of processen. Bewijskracht : vermogen om handelingen eenduidig toe te schrijven aan een persoon of entiteit. Dreiging : handeling of gebeurtenis die schade kan toebrengen aan het informatiesysteem of de activiteit die het ondersteunt. Kwetsbaarheid : zwak punt van het systeem dat een dreiging concreet kan maken. 1
ISO/IEC TR 13335 (Information Technology – Guidelines for the management of IT Security).
2
Het is vaak moeilijk om een waarschijnlijkheid te bepalen van zeldzame gebeurtenissen of voor nieuwe technologieën of nieuwe dreigingen. Bovendien past men voor zeer onwaarschijnlijke gebeurtenissen met een grote impact meestal beter veiligheidsmaatregelen toe (die de impact en niet de waarschijnlijkheid beïnvloeden) ; in dit geval is niet de waarschijnlijkheid maar wel de prijs van de maatregelen de belangrijkste factor in de besluitvorming. 3
Definities gebaseerd op deze van de ISO.
4
Het betreft meestal de hoofdgebruiker van het informatiesysteem en niet de ICT-verantwoordelijke.
2
RISK MANAGEMENT Risicobeheersing van de informatiesystemen van de Belgische federale overheid
3
Principe
De benadering bestaat in:
de schatting van het belang van het informatiesysteem met betrekking tot eventuele veiligheidsproblemen : wat zijn de eindgevolgen voor de organisatie in haar geheel van eventuele gebreken van de vier gebruikelijke veiligheidsfactoren (beschikbaarheid, integriteit, vertrouwelijkheid, bewijskracht) ?
de identificatie van de dreigingen en de zwakke punten van het systeem ;
de uitwerking van veiligheidsmaatregelen die het risico tot een aanvaardbaar niveau beperken.
De eigenaar van het informatiesysteem is de eerste verantwoordelijk voor het goede verloop van deze aanpak. De voorwaarden voor de ontwikkeling en exploitatie van het systeem maken samen met de audit deel uit van het risicobeheer. De essentie van de aanpak (stappen 1 tot 4) moet vroeg in de ontwikkeling van het systeem plaatsvinden.
4
Bijzonder geval van systemen die geclassificeerde informatie verwerken
De documentatie van het risico van dergelijke systemen bevat vaak informatie waarvan de kennis kwaadwillige handelingen kan vergemakkelijken. Bijgevolg moeten de personen die meewerken aan de risicoanalyse normaal over een machtiging beschikken die minstens overeenkomt met het classificatieniveau van het (toekomstige) systeem, en moet de geproduceerde (voorlopige en definitieve) informatie op hetzelfde niveau worden geclassificeerd5.
5
Classificatie kan worden herzien volgens de resultaten van de risicoanalyse.
3
RISK MANAGEMENT Risicobeheersing van de informatiesystemen van de Belgische federale overheid
5
Risicometing
De eventuele veiligheidsgebreken worden geëvalueerd op hun uiteindelijke gevolgen voor het geheel van de organisatie ("business risk") :
volgens de aard van de gevolgen : o
code C : aantasting van belangen die de classificatie van de informatie rechtvaardigt (in de betekenis van de Belgische wet en/of de relevante internationale regels voor het beschouwde systeem)
o
code O : dreiging voor de openbare orde
o
code F : financieel verlies
o
code J : juridische gevolgen
o
code I : aantasting van het imago van de openbare dienst
o
code S : sociale en menselijke gevolgen
o
code X : andere (te preciseren)
volgens de ernst van de gevolgen (op een logaritmische schaal van 1 tot 4).
De volgende metriek wordt voorgesteld6 : Aard van de gevolgen Openbare orde
Financiële verliezen (in miljoen €)
Juridisch
Imago van de Overheids-dienst
Sociaal en menselijke
Anderen (te preciseren) X
Ernst
Classificatie C
O
F
J
I
S
1
(Beperkte verspreiding)
Plaatselijke en tijdelijke verstoring
<1
Iintern sancties aan het Bestuur
Occasionele klachten
Onthulling van weinig gevoelige persoonlijke gegevens
2
Vertrouwelijk
Dreiging voor de openbare orde
1 - 10
Rechtsvervolging
Occasionele kritiek in de media
Tijdelijke aantasting van de reputatie
3
Geheim
Moeilijkheid om de publieke orde te handhaven
10 - 100
Veroordeling van de overheid
Ernstige kritiek in de media
Ernstige aantasting van de integriteit of de reputatie
4
Zeer geheim
Openbare orde ernstig in gevaar
> 100
Internationale veroordeling van de overheid
Blijvende aantasting
Verlies van mensenleven/Ernstige aantasting van de reputatie
6 Deze tabel dient uitsluitend voor de evaluatie van het risico volgens verscheidene criteria en niet voor het bepalen van een equivalentie tussen gevolgen van verschillende aard. De tabel mag bijvoorbeeld niet worden gebruikt om een equivalentie te bepalen tussen menselijke en financiële verliezen.
4
RISK MANAGEMENT Risicobeheersing van de informatiesystemen van de Belgische federale overheid
6
Stap 1 : Analyse van het belang van het systeem
Het belang van het systeem wordt gemeten aan de gevolgen voor de organisatie van gebreken van de volgende veiligheidsfactoren: beschikbaarheid, integriteit, vertrouwelijkheid en bewijskracht. Men moet deze gevolgen dus documenteren volgens de in §5 beschreven risicometing. Dit moet gebeuren voor elk actief (“asset”) van het informatiesysteem, los van de eventuele dreigingen en kwetsbaarheden en zonder rekening te houden met de mogelijke veiligheidsmaatregelen. Het vertrekpunt van deze evaluatie is vaak een document dat de gebruiks- en verantwoordelijkheidslimieten van het systeem bepaalt. Voorbeelden van dergelijke documenten :
"Liability and responsibility policy" (bijvoorbeeld voor een betaalsysteem).
"Certification Practice Statement" (voor een PKI).
Documentair model7 (een tabel per actief) : Systeembelang Aard van de gevolgen C
O
F
J
I
S
X
Maximaal ernst
Beschikbaarheid Onbeschikbaarheid:
< 5 min
0
5 min tot 1 uur
0
1 uur tot 1 dag
0
1 dag tot 1 week
0
1 week tot 1 maand
0
> 1 maand
0
Integriteit Toevallige beschadiging
0
Opzettelijke beschadiging
0
Verlies van transacties: 1
0
10
0
100
0
1 000
0
10 000
0
Vertrouwelijk Onthulling aan niet-gemachtigde personen
0
Bewijskracht Niet-bewijskrachtige aard van de registraties
0
Men kan meestal met gezond verstand de activa zodanig groeperen dat men het aantal in te vullen tabellen kan beperken. In kolommen C / O / F / J / I / S / X wordt de ernst van de gevolgen van veiligheidsgebreken geëvalueerd (1 tot 4, volgens de in § 5 beschreven risicometing). De laatste kolom geeft de maximale ernst per regel. Het resultaat van deze stap is een totaalbeeld van het risico dat het geanalyseerde systeem inhoudt voor de organisatie.
7
De hier getoonde documentaire modellen zijn afkomstig van de tool die de methode vergezelt.
5
RISK MANAGEMENT Risicobeheersing van de informatiesystemen van de Belgische federale overheid
7
Stap 2 : Evaluatie van de dreigingen en kwetsbaarheden
Norm ISO 13335 (deel 3, bijlagen C en D) geeft een standaardlijst van de dreigingen en kwetsbaarheden. Men moet de kwetsbaarheden en hun gevolgen documenteren, rekening houdend met het in stap 1 geëvalueerde belang en met de verschillende plausibele dreigingen. Documentair model8 : Aard van de gevolgen C
Kwetsbaarheden
O
F
J
I
S
X
Maximaal ernst
Omgeving en infrastructuur
0
Hardware
0
Software
0
Comminucatie
0
Documenten
0
Personeel
0
Andere algemene kwetsbaarheden
0
Na deze stap is de eigenaar van het informatiesysteem zich bewust van het risico dat bepaalde gebreken opleveren en van de scenario’s die tot risico’s kunnen leiden.
8
Stap 3 : Uitwerking van veiligheidsmaatregelen
De veiligheidsmaatregelen worden als volgt ingedeeld:
Basismaatregelen Dit zijn algemene maatregelen die in de betrokken organisatie worden toegepast. Normaal worden ze beschreven in de reglementen van de organisatie en in de richtlijnen van het federale Information Security Management Forum. De basismaatregelen maken de beheersing mogelijk van een groot gedeelte van de in stap 2 geïdentificeerde dreigingen en kwetsbaarheden. Zij omvatten9 : o
voor het projectbeheer : PMBOK (Project Management Body Of Knowledge),
o
voor de ontwikkeling : UML (Unified Modeling Language), aangevuld met methoden zoals
o
voor het servicebeheer : ITIL (IT Infrastructure Library),
o
of een equivalent.
Unified Process of Spiral Development,
Specifieke maatregelen voor het geanalyseerde systeem Men moet bijkomende veiligheidsmaatregelen overwegen, afhankelijk van het in stappen 1 en 2 geëvalueerde risico.
8 De 7 regels van de tabel komen overeen met de titels van bijlage D van de norm ISO 13335 (deel 3). Men moet over de tekst van de norm beschikken om de tabel in te vullen. Ref.: www.iso.org (zoek op “13335” “standards”) en www.ibn.be . 9
Aan te vullen lijst.
6
RISK MANAGEMENT Risicobeheersing van de informatiesystemen van de Belgische federale overheid
Deze maatregelen worden gekenmerkt door
hun werkwijze : o
preventie (code PV) : maatregel die de waarschijnlijkheid van een incident maar niet zijn ernst
o
bescherming (code PT) : maatregel die de ernst van een incident maar niet zijn
vermindert [voorbeeld : rookverbod] ;
waarschijnlijkheid vermindert [voorbeeld : automatisch blussysteem] ;
hun lokalisatie : ICT (code IT): technische maatregel [voorbeelden : mirroring, PKI, geprogrammeerde dubbele
o
interventie]; bij de gebruiker (code US voor “user”) : maatregel die betrekking heeft op het gedrag van de
o
gebruikers of op administratieve procedures [voorbeeld: een controlelijst prikken] ;
hun initiële en herhalende kosten ;
de veiligheidsfactor(en) die ze beïnvloeden: beschikbaarheid, integriteit, vertrouwelijkheid en/of bewijskracht.
Documentaire modellen10 :
Beschrijving van de maatregel: [1]
[2]
[3]
[4]
Werkwijze (PV of PT ) : Lokalisatie (IT of US ) : Initiële kosten: Herhalende kosten: Beïnvloede veiligheidsfactoren Beschikbaarheid Onbeschikbaarheid:
< 5 min 5 min tot 1 uur 1 uur tot 1 dag 1 dag tot 1 week 1 week tot 1 maand > 1 maand
Integriteit Toevallige beschadiging Opzettelijke beschadiging Verlies van transacties: 1 10 100 1 000 10 000 Vertrouwelijk Onthulling aan niet-gemachtigde personen Bewijskracht Niet-bewijskrachtige aard van de registraties
10
Indien nodig aan te vullen met gedetailleerde verklaringen.
7
RISK MANAGEMENT Risicobeheersing van de informatiesystemen van de Belgische federale overheid
9
Stap 4 : Evaluatie van het restrisico, validatie en beslissing
Men moet de tabellen van stap 1 opnieuw invullen, deze keer rekening houdend met de in stap 3 ontwikkelde veiligheidsmaatregelen. Het resultaat is het verwachte restrisico voor het systeem.
Restrisiko Maximaal ernst
Aard van de gevolgen C
O
F
J
I
S
X
Maximaal ernst
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
Indien de balans tussen de kosten van de veiligheidsmaatregelen en het restrisico onaanvaardbaar wordt geacht, moet men stap 3 herhalen tot men een gepast compromis vindt. De gekozen oplossingen, hun kosten en het verwachte restrisico moeten door de eigenaar van het informatiesysteem expliciet worden aanvaard voor de realisatie begint.
10 Stap 5 : Realisatie Pro memorie.
8
RISK MANAGEMENT Risicobeheersing van de informatiesystemen van de Belgische federale overheid
11 Stap 6 : Kwaliteitsverzekering Om volledig te zijn, moet de aanpak passen in een doorlopend proces dat een auditfase omvat.
Business? Business owner?
Bron: KB van 02/10/2002 over de interne audit in de federale openbare diensten (FOD P&O)
De audit van het informatiesysteem en de oplossing van de eventuele zwakke punten die men vaststelt volgen het onderstaande minimale schema : In stap 1 bepaald risiconiveau 1 4
3
2
1
Uitvoering van de audit
Voor ingebruikneming
Voor ingebruikneming
Voor ingebruikneming
Binnen de 6 maanden na de ingebruikneming
Oplossing van de vastgestelde zwakke punten
Voor ingebruikneming
Voor ingebruikneming
Binnen de 6 maanden na de ingebruikneming
Binnen de 12 maanden na de audit
Jaarlijks
Jaarlijks
Om de 2 jaar
Om de 4 jaar
Binnen de 6 maanden
Binnen de 6 maanden
Binnen de 6 maanden
Binnen de 12 maanden
Bij de ingebruikneming
Na de ingebruikneming Uitvoering van de audits Oplossing van de vastgestelde zwakke punten
De auditors moeten volledig onafhankelijk zijn van de met de ontwikkeling en de werking van het informatiesysteem belaste organisaties.
9