Agenda • Het belang van informatiebeveiliging en toelichting op ISO 27001/2 norm en best practices (Albert Noppen) • De praktijk van de invoering van de norm (Frits Ruwhoff, SMG groep) • pauze
• Best practices beheer grafische data (Edwin Middeljans, Storage Architects) • Informatiebeveiliging bij software ontwikkeling en integratie van systemen (Roelof Janssen) MediaAlliantie
6 september 2012
Code voor Informatiebeveiliging ISO/IEC 27001/27002: management systeem voor informatiebeveiliging Een essentieel onderdeel voor de Continuïteit van uw onderneming
Ir. Albert Noppen
MediaAlliantie
6 september 2012
Ondernemingen zijn volledig afhankelijk van ICT toepassingen
MediaAlliantie
6 september 2012
MediaAlliantie
6 september 2012
Cijfers PWC (2011) • 64% van de Nederlandse ondernemingen ervaart vormen van cybercrime / inbraak • 70% van de inbraken wordt veroorzaakt door interne medewerkers • 28% van de ondernemingen heeft geen maatregelen getroffen • 20% van de ondernemingen heeft maatregelen getroffen die de bedrijfscontinuïteit ‘waarborgen’.
MediaAlliantie
6 september 2012
Noodzaak norm informatiebeveiliging • Bedrijfscontinuiteit hangt ervan af • Steeds meer klanten vragen om bewijs dat er maatregelen zijn getroffen (omdat ze het ook zelf hebben opgezet) • Onderdeel van tenders • Eisen t.a.v. openbaarmaking van gegevens i.h.k.v. te publiceren media • Bescherming digitaal materiaal dat onder auteursrecht valt
MediaAlliantie
6 september 2012
Branchespecifieke onderwerpen • Beheer van digitale data van derden (beeldmateriaal)
• Toegang tot digitale data (beeldbank, web to print) • Verwerking en beheer van adresgegevens (DM/ variabele data print) • SaaS-overeenkomsten (web to print) • Software scripting (indesign server, workflow scripting, FTP t.b.v. aanleveren digitaal materiaal)
MediaAlliantie
6 september 2012
SCGM-ISO norm 27002 Informatiebeveiliging • Opgezet als kwaliteitsmanagement systeem (KMS) en gebaseerd op de ISO norm 27001/27002 • Security Management System is gebaseerd op drie peilers: – De eigen beleidsuitgangspunten – Het risicoprofiel van de onderneming – De ‘best practices’ aan maatregelen
• BBN: Basis Beveiligings Niveau, de maatregelen die passen bij het risicoprofiel van de onderneming MediaAlliantie
6 september 2012
Het invoeringsmodel Visie Best practices ISO 27002
Inventarisatiefase
Risicoanalyse en beleid informatiebeveiliging (ACT) controleren behaalde resultaten en bereikte doelen (CHECK)
Beleidsbepaling
CONTINUE VERBETERING
Risicoanalyse
plan voor invoeren of bijsturen van Basis Beveiligings Niveau (PLAN)
invoeren of bijsturen van het Basis Beveiligings Niveau (DO)
Audit door SCGM
MediaAlliantie
Ondersteuning Dienstencentrum
6 september 2012
ISO 27002 audit/certificering • Afgifte van een ‘in control statement’ • Beoordeling van het proces of zorgvuldig is gekomen tot het Basis Beveiligings Niveau: – Een maatregel wordt zo snel mogelijk geïmplementeerd – Een maatregel wordt gepland – Als de organisatie van mening is dat voor haar een maatregel niet relevant is, dan geldt de regel:’pas toe, en leg uit’.
• De ‘best practices’ zijn toegesneden op de bedrijfsprocessen binnen de communicatie branche (reclame en ontwerp, uitgeverijen, DM, grafimedia) MediaAlliantie
6 september 2012
Risico analyse • Opstellen van een classificatie van informatie / informatiesysteem • Opstellen van een architectuurschema van de informatiestromen binnen het bedrijf • Moet leiden tot een Risico profiel • Beoordeling op de aspecten per informatiesysteem: – Beschikbaarheid – Integriteit; – Vertrouwelijkheid.
• Uitvoering op basis van een standaard vragenlijst MediaAlliantie
6 september 2012
Voorbeeld risicobeoordeling Verkoop informatie E-commerce Financiële informatie Order informatie DTP/Prepress data operationeel DTP/prepress Back-up Warehouse en distributie informatie Office toepassingen Personele archief
MediaAlliantie
Beschikbaarheid
Integriteit
Vertrouwelijkheid
Maximale uitvalsduur
Maximale gegevensverlies
gevoelig (B2)
gevoelig (I2)
gevoelig (V2)
4 uur
1 dag
Gevoelig (B2)
Gevoelig (I2)
Standaard (V2)
4 uur
1 dag
standaard (B2)
Kritiek (I3)
gevoelig (V2)
1 dag
1 dag
Kritiek (B3)
standaard (I2)
standaard (V2)
1 dag
1 week
standaard (B1)
gevoelig (I2)
gevoelig (V2)
1 dag
1 dag
Standaard (B1)
standaard (I1)
standaard (V1)
1 dag
1 week
standaard (B1)
standaard (I1)
standaard (V1)
4 uur
1 dag
standaard (B1)
standaard (I1)
standaard (V1)
1 dag
1 week
standaard (B1)
Gevoelig (I2)
Gevoelig (V2)
1 week
1 maand
6 september 2012
Het Basis Beveiligings Niveau Onderwerp Communicatie en bedieningsprocessen
Doelstelling 11.3 Systeemplanning en acceptatie
11.4 Bescherming tegen kwaadaardige apparatuur
11.5 Maken van Back-ups
11.6 Netwerkbeheer
MediaAlliantie
Nodig Uitwerking Gezien de huidige ontwikkelingen zijn er geen nieuwe systemen 0 11.3.1 gepland.
Status OK
+
OK. Let op voor Er zijn technische maatregelen getroffen en er is een gedragscode uitzetten voor de gebruikers. Op elke server is een firewall geactiveerd. 11.4.1 automatische Virussoftware updates vinden automatisch plaats. FTP voor updates van aanleveren van klantdata verloopt via een DMZ. programmatuur.
++
Er worden dagelijks back-ups gemaakt van productiebestanden 11.5.1. om verlies van werk tegen te gaan. Van vertrouwelijke informatie worden encrypted een back-up gemaakt.
++
Externe verbinding met het netwerk alleen mogelijk via een VPN. Gebruik van Virusscan en Spamfilter. Grootte van e-mailberichten is beperkt. Bestanden die groot beslag leggen op netwerkverkeer 11.6.1. worden uitgefilterd. Productiedata worden via apart high performance productienetwerk geregeld.
OK
OK
6 september 2012 Bron: Wiebe Zijlstra
Basis beheersmaatregelen • Relevante wetgeving: – Bescherming van persoonsgegevens – Bescherming van bedrijfsdocumenten – Intellectuele eigendomsrechten en copyrights
• Beleidsdocument
• Toewijzen van taken, verantwoordelijkheden en bevoegdheden (TVB’s) • Bewustwording en opleiding • Correcte werking bedrijfstoepassingen • Beheer technische kwetsbaarheid
• Beheer van incidenten en verbeteringen MediaAlliantie
6 september 2012
Overzicht ‘best practices’ • Organisatie van de informatiebeveiliging: – Betrokkenheid directie – Toewijzing taken, verantwoordelijkheden en bevoegdheden (TVB’s) – Coördinatie en afstemming beleid, risicoprofiel en uitvoering maatregelen – Procedures (bijv. goedkeuring nieuwe IT voorzieningen, geheimhouding) – Beoordeling van informatiebeveiliging
• Beveiliging van informatie waartoe externe partijen toegang hebben (klanten, leveranciers, uitbestedings partijen) MediaAlliantie
6 september 2012
Overzicht ‘best practices’ • Fysieke beveiliging van kantoren/afdelingen
• Beveiliging van infrastructuur • Beveiliging van apparatuur (intern of bij derden) • Beheer en documentatie van bedieningsprocedures
• Aparte faciliteiten voor ontwikkeling, testen en operationeel functioneren van software • Beheer dienstverlening door derde partijen MediaAlliantie
6 september 2012
Overzicht ‘best practices’ • Bescherming systemen (netwerkbeveiliging, losse apparatuur en media) • Maken van Back-ups en verwijderen data en media
• Beheer systeemdocumentatie • Beleid en procedures voor informatie-uitwisseling (overeenkomsten) • Beheer e-mail verkeer • E-commerce en online transacties
• Informatievoorziening op de website MediaAlliantie
6 september 2012
Overzicht ‘best practices’ • Controle procedures: – Toepassen logbestanden – Controle systeemgebruik – Procedures rapportage incidenten en follow-up
• Toegangbeveiliging (beleid, beheer rechten, authenticatie, gebruik passwords en controle)
• Verwerving, ontwikkeling en onderhoud van informatiesystemen: – Correctie verwerking in toepassingen – Beheer broncode programmatuur (afspraken) – Procedures voor wijzigingen MediaAlliantie
6 september 2012
Overzicht ‘best practices’ • Bedrijfscontinuiteitsbeheer: – Risico analyse en opstellen van plannen – Testen, onderhoud en herbeoordelen van deze plannen
• Naleving van wettelijke voorschriften: – Bescherming van bedrijfsdocumenten (financiële informatie) – Bescherming van persoonsgegevens (personeelsdossiers) – Intellectuele eigendomsrechten (omgang met materiaal waarop deze van toepassing zijn)
MediaAlliantie
6 september 2012
Overzicht ‘Best practices’ • Technische maatregelen: begin met overzicht van gebruikte systemen en architectuur
MediaAlliantie
6 september 2012
Overzicht ‘Best practices’ Systeembeveiliging en computersystemen Bescherming tegen: Worms, Adware, Spyware en Virussen: • Installeren firewall en virus scanning software (windows defender/windows firewall of anderen) • Toepassen van ‘system hardening’, d.i. het beperken van functies voor de gebruiker en het scheiden van systeem functies. Raadpleeg de internationale standaard voor beveiliging van het Center for Internet Security (CIS), de benchmark documenten: http://www.cisecurity.org/resources-publications/ Bescherming tegen Trojans en Rootkits: • Microsoft Baseline Security Analyzer (uitvoeren scans op computersystemen); • Analyse van Rootkits: bijvoorbeeld door F-secure Blacklight • Troubleshooting mbv Sysinternals http://technet.microsoft.com/enus/sysinternals/bb842062 MediaAlliantie
6 september 2012
Overzicht ‘Best practices’ Netwerkverkeer analyse • Netwerkmonitoring mbv een netwerksniffer, bijvoorbeeld wireshark; • Monitoren van Poorten, bijvoorbeeld mbv Netstat • Monitoren verkeer van het netwerk naar en van internet: Proxyserver Digitale authenticatie (toegangsbeveiliging) • Data authenticatie: toepassen van Hashing, bijvoorbeeld SHA1 algoritme, voor Windows is software beschikbaar (sha1sum) • Gebruikers authenticatie: gebruik van sterke wachtwoorden en Token (USB stick token)
MediaAlliantie
6 september 2012
Overzicht ‘Best practices’ Netwerkverkeer beveiligingen • Installatie van een Firewall (op basis van een combinatie van packet filtering en application layer firewall), of statefull firewall (packet inspection) • Intrusion Detection System/Intrusion Prevention System (bijvoorbeeld op basis van Snort http://www.snort.org/ ) • Unified Threat Management (combinatie van voornoemde toepassingen) • VPN: site to site VPN en remote access VPN, op basis van een combinatie van L2TP/Ipsec Draadloze netwerkbeveiliging: • WPA2 personal beveiliging, of • WPA2 enterprise, mbv bijvoorbeeld RADIUS op de server en de router(s).
MediaAlliantie
6 september 2012
Overzicht ‘Best practices’ Beveiliging van internet verkeer • Bescherming tegen ‘afluisteren’ van het internet verkeer. Toepassen van HTTPS, gebruik van het Secure Socket Layer Protocol (SSL). Invoeren op basis van de op de server ingevoerde Certificaat Service (bijv. MS Windows ISS). Beveiliging van FTP server is op dezelfde wijze te realiseren door configuratie van FTPS (FTP op basis van SSL/TLS settingen). • E-mail versleuteling: bijvoorbeeld door gebruik van PGP e-mail versleuteling of ingebouwd bij de mailserver (MS Exchange)
MediaAlliantie
6 september 2012
Overzicht ‘Best practices’ Verzenden van bestanden/data mbv encryptie of digitale certificaten • Encryptie: symmetrisch of asymmetrisch. Bijvoorbeeld Symmetrisch mbv Rescript software voor (virtuele) digitale schijven. •
Digitale certificaten: – bijvoorbeeld PGP certificaat (Open PGP) – of middels Publieke Key Infrastructuur. Te installeren vanuit de Windows Server applicatie.
MediaAlliantie
6 september 2012
Overzicht ‘Best practices’ Beveiliging van media/datadragers
Encryptie: • Gekoppeld aan de gebruikersnaam: bijvoorbeeld op basis van EFS, onderdeel van Windows Server • Specifieke software, bijvoorbeeld Blowfish advanced • Versleutelde virtuele disk: mbv specifieke software, bijvoorbeeld TrueCrypt of FreeOTFE Laptop beveiliging: • Versleutelde disk, mbv True Cript
MediaAlliantie
6 september 2012
Aanpak en ondersteuning 1. Aanschaf norm SCGM ISO 27002 en toelichting best practices bij SCGM (Amstelveen); 2. Uitvoeren van risico analyse en invoeren van maatregelen –
Adviestraject via Dienstencentrum: (inventarisatie, risico analyse, voorbeeld documenten/procedures; concept handboek)
3. Aanvraag en uitvoeren pre-audit SCGM 4. Audit SCGM 5. Certificaat (+ kunstwerk en muurbordje) MediaAlliantie
6 september 2012
Code voor Informatiebeveiliging
vragen ?
Ir. Albert Noppen
MediaAlliantie
6 september 2012