CSIRT vanuit een IT-audit perspectief

CSIRT vanuit een IT-audit perspectief

D

Dagelijks verschijnen in de media berichten dat de interne – én externe beveiliging bij nationale en internationale bedrijven vaak tekortschiet. De beveiligingsincidenten worden uitvoerig toegelicht, waarbij echter meer de symptomen worden besproken die worden waargenomen dan dat de werkelijke oorzaak wordt behandeld. Binnen de betreffende organisatie is ook niet altijd duidelijk wát er precies aan de hand is. Eén van de mogelijke oplossingen is de aanwezigheid van een team van mensen binnen de onderneming, die niet alleen de incidenten constateren, analyseren en oplossen, maar ook de oorzaken aanpakken met als belangrijkste doel een herhaling in de toekomst te voorkomen. Een algemene benaming voor een dergelijk team is een CSIRT (Computer Security Incident Response Team). In dit artikel wordt een CSIRT besproken vanuit een IT-audit perspectief.

ROB SCHAAP EN ERWIN DEN BAK

NBBUSFHFMFO
WBO
POEFS
BOEFSF
UPF gang tot gebouwen en technische apparatuur.

veel organisaties een vast agendapunt geworden binnen de Raad van Bestuur en Raad van Commissarissen. Ook wordt de functie van CIO (Chief t

&YUFSOF
CFWFJMJHJOH
CFIFFSTJOHT &YUFSOF
CFWFJMJHJOH
TUBBU
EF
MBBUTUF
Information Officer) in toenemende maatregelen in het kader van het KBSFO
FYUSB
JO
EF
CFMBOHTUFMMJOH
WPPSBM
NBUF
CJOOFO
EF
POEFSOFNJOHFO
POEFS HFCSVJL
WBO
CFTDIJLCBSF
UFDIOPMP als gevolg van de ontwikkelingen op TDIFJEFO
FO
JOHFWVME
%F
$*0
JT
WFS HJF
[PBMT
JOUFSOFU
FYUFSOF
TPVSDJOH
onze ‘digitale snelweg’. Particulieren antwoordelijk voor het beheer van de WBO
DPNQVUFSDBQBDJUFJU
XFCBQQMJ en organisaties communiceren elke informatie en fungeert tegelijkertijd als EBH
WJB
EJU
NFEJVN
XBBSCJK
WFSUSPV innovator van informatieproducten. caties et cetera; t

*OUFSOF
MPHJTDIF
CFWFJMJHJOH
HFBV welijke gegevens over en weer worden Tot de verantwoordelijkheid van de tomatiseerde informatiesystemen gestuurd. Dit zijn vaak gegevens die CIO hoort ook het inrichten van de zijn steeds gebruikersvriendelijker, van groot belang zijn bij zowel de beveiligingsorganisatie en het toezien maar zorgen daardoor steeds meer organisaties als de particulieren. op de werking van deze organisatie. voor een eenvoudige toegang (ook %FSEFO
LVOOFO
EBO
PPL
FSH
HFÕOUF &S
JT
EBO
PPL
FFO
BBOUBM
POUXJLLFMJO ongewenste). Ook de toegang tot de resseerd zijn in deze gegevens. data binnen het netwerk vereist .FEF
BMT
HFWPMH
IJFSWBO
JT
JOGPSNBUJF gen waar te nemen die van invloed beveiliging in zijn algemeenheid en [JKO
PQ
IFU
HFCJFE
WBO
EF
FYUFSOF
grote aandacht; t

'ZTJFLF
CFWFJMJHJOH
CFWFJMJHJOHT FYUFSOF
CFWFJMJHJOH
JO
IFU
CJK[POEFS
JO
beveiliging: Informatiebeveiliging wordt vaak onderscheiden naar de volgende gebieden:

8

de EDP-Auditor nummer 4 | 2009

Verantwoording Dit artikel is gebaseerd op een referaat dat is geschreven ter afronding van de IT Audit Opleiding aan de VU Amsterdam. Doel van het onderzoek is het aanreiken van een referentiekader voor de IT-autitor die betrokken is bij de oprichting of audit van een CSIRT. Via literatuuronderzoek is allereerst nagegaan wat een CSIRT is en doet. Ook is gekeken naar de positie van een CSIRT binnen de organisatie en welke diensten het kan leveren. Hiertoe zijn onder meer publicaties vanuit universiteiten, de Nederlandse wet- en regelgeving en bestaande literatuur bestudeerd. Uit de vergelijking van de kenmerken van een CSIRT en de taken van de IT-auditor, kunnen verschillende aandachtsgebieden worden afgeleid die een rol spelen bij het functioneren van een CSIRT. De resultaten van het literatuuronderzoek zijn vervolgens voorgelegd aan deskundigen uit de praktijk en daarbij is gevraagd naar hun mening en eventuele aanvullingen. De deskundigen zijn verantwoordelijk voor of nauw betrokken bij de informatiebeveiliging binnen de eigen organisatie. Tenslotte zijn de resultaten van het literatuur- en het praktijkonderzoek én de reacties van de deskundigen gebruikt om een referentiekader op te stellen.

t
7
FSIPHJOH
WBO
IFU
CFWFJMJHJOHTCF wustzijn binnen de organisaties en de maatschappij; t

)FU
FFOEVJEJH
CFMFHHFO
WBO
FFO
autoriteit op het gebied van Infor matie (beveiligings) Management; t

&FOEVJEJHIFJE
WPPS
IFU
DFOUSBMF
punt binnen de organisatie waar de processen voor risicobeheersing en calamiteiten beginnen en eindigen; t

4BNFOXFSLJOH
[PXFM
OBUJPOBBM
BMT
internationaal op het gebied van informatiebeveiliging. Informatiebeveiliging wordt niet meer gezien als een noodzakelijk kwaad op het moment dat er beveili gingsincidenten optreden, maar als een structureel onderdeel van de UPUBMF
CFWFJMJHJOHTPSHBOJTBUJF
&FO
beveiligingsincident is een gebeurte nis of het constateren van een gebeur tenis, die een bedreiging vormt of kan gaan vormen voor de vertrouwelijk heid, beschikbaarheid en/of integri teit van gegevens in de (geautomati seerde) informatiesystemen binnen de organisatie. Om de impact van beveiligingsinci denten te kunnen verminderen, is een

T-Mobile lekt per ongeluk gegevens van 30 miljoen klanten: ‘Wederom heeft T-Mobile geblunderd met het beheer van haar klantgegevens. Na de (eerdere) diefstal van zeventien miljoen klantgegevens, heeft de telecomaanbieder nu zelf de informatie van 30 miljoen klanten per ongeluk on line gezet. T-Mobile heeft inmiddels beterschap aangekondigd en beloofd de beveiliging aan te scherpen.’ Gemeenten laks met privacyregels: ‘Gemeenten hebben moeite om zich te houden aan de procedures rond bescherming en beveiliging van persoonsgegevens. De Inspectie Werk en Inkomen stipt dit aan in een recent onderzoek, nadat eerder al het College Bescherming Persoongegevens (CBP) aan de bel trok. Veel gemeenten kunnen geen inzicht bieden in de manier waarop zij de beveiliging regelen van persoonsgegevens. Het overgrote deel van de gemeenten gaf aan dat een benodigd beveiligingsplan ontbreekt en dat er geen speciale functionarissen zijn aangesteld.’ Potentieel beveiligingslek in Adobe Reader: ‘Op het eigen weblog waarschuwt het Adobe Product Security Incident Response Team voor een mogelijk beveiligingslek in Adobe Reader 9.1 en 8.1.4. Door een lek in de software kan een aanvaller willekeurige programmacode uitvoeren met de rechten van de ingelogde gebruiker.’ Bron: Security.nl

NJY
WBO
CFWFJMJHJOHTNBBUSFHFMFO
nodig voor de detectie, preventie en correctie van deze incidenten. De maatregelen moeten zowel technisch als organisatorisch van aard zijn, zoals is beschreven in de Code voor Infor NBUJFCFWFJMJHJOH
<*40>
EJF
BMT
CFTU
practice door veel organisaties wordt geïmplementeerd. Onderdeel van het geheel van maat regelen zou ook kunnen zijn het opzetten en operationeel laten werken van een team van mensen, die onder EFFM
VJUNBLFO
WBO
EF
*5CFIFFSPSHB nisatie en zich bezighouden met CFWFJMJHJOHTJODJEFOUFO
FFO
$4*35 OPBOUW ARTIKEL )FU
BSUJLFM
JT
BMT
WPMHU
JOHFEFFME
XJK
HBBO
FFSTU
JO
PQ
$4*35
"BO
EF
PSEF
LPNFO
EF
SPM
EJF
FFO
$4*35
LBO
WFS vullen binnen de totale beveiligings PSHBOJTBUJF
EF
UBLFO
EJF
FFO
$4*35
zou kunnen vervullen en het organi satorische kader waarbinnen een $4*35
LBO
GVODUJPOFSFO In een volgend hoofdstuk reiken we een referentiekader aan dat als hulp middel kan dienen bij het opzetten WBO
FFO
$4*35
FO
BMT
NFFUMBU
CJK
IFU


nader beoordelen van een operatio OFFM
XFSLFOE
$4*35 Daarna beschrijven we observaties vanuit de praktijk over een juiste en volledige toepassing van het referen tiekader en tenslotte geven we nog antwoorden op vragen die wij onszelf hebben gesteld. CSIRT $4*35
TUBBU
WPPS
$PNQVUFS
4FDV rity Incident Response Team en wordt veelvuldig gebruikt als syno niem voor de beschermde term $&351, Computer Emergency Response Team. "OEFSF
TZOPOJFNFO
EJF
WFFM
XPSEFO
gebruikt zijn: IRT (Incident Response Team), CIRT (Computer Incident 3FTQPOTF
5FBN
FO
4&35
4FDVSJUZ
&NFSHFODZ
3FTQPOTF
5FBN  &FO
$4*35
JT
FFO
HSPFQ
WBO
NFOTFO
die verantwoordelijk is voor het in behandeling nemen van beveiligings incidenten en het oplossen daarvan. &FO
$4*35
LBO
PPL
CFUSPLLFO
[JKO
bij het bepalen, implementeren en uitvoeren van preventieve maatrege len. Dit is mede afhankelijk van de organisatievorm en doelstelling de EDP-Auditor nummer 4 | 2009

9

XBBSWPPS
XPSEU
HFLP[FO
%F
EJFO TUFO
WBO
FFO
$4*35
XPSEFO
PWFS
IFU
BMHFNFFO
VJUHFWPFSE
WPPS
FFO
HFEFGJ nieerde klantgroep. In de meeste HFWBMMFO
[JKO
EJU
EF
CVTJOFTT
FO
*5
afdelingen van de eigen organisatie. )FU
JT
OJFU
BMUJKE
OPPE[BLFMJKL
PN
FFO
BG[POEFSMJKL
$4*35
PQ
UF
SJDIUFO
%F
taken kunnen ook organisatorisch worden ondergebracht in de CFTUBBOEF
*5CFIFFSPSHBOJTBUJF
%JU
is mede afhankelijk van de omvang van de organisatie, het gewenste niveau van informatiebeveiliging en EF
EJFOTUFO
EJF
JO
IFU
LBEFS
WBO
JOGPS matiebeveiliging verricht worden. De XFSL[BBNIFEFO
WBO
FFO
$4*35
[JKO
JO
EF
NFFTUF
HFWBMMFO
[P
TQFDJBMJT tisch, dat hiervoor speciaal getrainde functionarissen nodig zijn. Doelstelling %F
EPFMTUFMMJOHFO
WBO
FFO
$4*35
[JKO
onder meer afhankelijk van de missie en doelstellingen van de organisatie en de organisatorische plaats van het $4*35
0Q
CBTJT
WBO
IFU
IBOECPFL
$4*35
WBO
EF
$BSOFHJF
.FMMPO
6OJ WFSTJUZ
<$"3/>
IFCCFO
XJK
HFLP zen voor de volgende (generieke) doelstelling: ‘Het bijdragen aan het behalen van het gewenste beveiligingsniveau als een voorwaarde voor een betrouwbare bedrijfsvoering en het minimaliseren van bedreigingen en schade als gevolg van pogingen tot het binnendringen tot de systemen door onbevoegden.’ Diensten De meest voorkomende diensten die FFO
$4*35
WFSSJDIU
[JKO
JO
UBCFM

opgenomen. Reactieve diensten

"GIBOLFMJKL
WBO
EF
CFTDISFWFO
NJTTJF
systemen en netwerken, of het FO
EPFTUFMMJOHFO
WBO
IFU
$4*35
FO
beperken van de schade; de vraag vanuit interne (en mogelijk t

)FU
MFWFSFO
WBO
PQMPTTJOHFO
FOPG
FYUFSOF
LMBOUFO
[BM
FFO
LFV[F
schadebeperkende maatregelen; moeten worden gemaakt. t

)FU
[PFLFO
OBBS
JOCSFVLFO t

)FU
GJMUFSFO
WBO
OFUXFSLWFSLFFS Reactieve diensten worden op afroep t

)FU
BBOTUVSFO
WBO
IFU
IFSTUFMMFO
VJUHFWPFSE
OB
FFO
JODJEFOU
PG
CFWFJMJ patchen of opnieuw opbouwen van gingsverzoek, virusmelding, vaststellen systemen; ongeoorloofde toegang et cetera. De t

)FU
WBTUMFHHFO
WBO
JODJEFOUHFSFMB SFBDUJFWF
GVODUJF
XPSEU
WBBL
WFSHFMF teerde gegevens; LFO
NFU
EF
CSBOEXFFSGVODUJF
EVT
SFB t

)FU
POEFS[PFLFO
WBO
TUPSJOHFO geert snel op een bepaalde gebeurtenis. Rollen en organisatorische plaats Proactieve diensten leveren assistentie Binnen de rollen die in de praktijk FO
JOGPSNBUJF
WPPS
EF
HFBVUPNBUJ veelvuldig voorkomen, bestaat een seerde informatiediensten met als onderscheid naar de plaats binnen de EPFM
IFU
WFJMJHTUFMMFO
WBO
EF
WFSUSPV organisatie en de soort taken die XFMJKLIFJE
JOUFHSJUFJU
FO
CFTDIJLCBBS worden verricht. heid van systemen en netwerken. In het eerste geval is een onderscheid )PPGEEPFM
JT
IFU
WPPSLØNFO
WBO
HFNBBLU
OBBS
FFO
DFOUSBMF
QMBBUT
CJK CFWFJMJHJOHTJODJEFOUFO
FO
IFU
WFS voorbeeld op het hoofdkantoor, of NJOEFSFO
WBO
IFU
FGGFDU
WBO
CFWFJMJ FFO
EFDFOUSBMF
QMBBUT
PQ
EF
WFSTDIJM gingsincidenten wanneer deze zich lende vestigingen. toch manifesteren. De taken die worden verricht variëren WBO
FFO
UFBN
EBU
EF
JODJEFOUFO
BGIBO Beveiligingsbeheer en diensten beveili- EFMU
UPU
FO
NFU
IFU
UFBN
EBU
PQMFJ gingskwaliteit ondersteunen bestaande dingen verzorgt en de organisatie bedrijfsprocessen en kunnen ook CFXVTU
NBBLU
WBO
NPHFMJKLF
CFWFJMJ onafhankelijk van incidentbeheer gings)gevaren. functioneren. Om een keuze te maken voor een organisatiemodel, moet vooraf een 0Q
CBTJT
WBO
VJUHFWPFSE
MJUFSBUVVS
FYQMJDJFUF
LFV[F
XPSEFO
HFNBBLU
en praktijkonderzoek, met daarin XFMLF
EJFOTUFO
IFU
UFBN
HBBU
BBOCJF NFFHFOPNFO
EF
NFOJOHFO
WBO
EFT den en, hoe de samenwerking met de LVOEJHFO
IFCCFO
XF
LVOOFO
DPO CFTUBBOEF
*5CFIFFSPSHBOJTBUJF
WPSN
cluderen dat de primaire taak van een wordt gegeven. Ook moet worden $4*35
WPPSBM
JODJEFOUCFIBOEFMJOH
bepaald wat het mandaat van het en incidentcoördinatie is, waaronder $4*35
[BM
[JKO
%F[F
LFV[FT
[VMMFO
de volgende activiteiten vallen: POEFS
NFFS
BGIBOHFO
WBO
EF
WPMXBT senheid en de ervaring van de lokale t

)FU
OFNFO
WBO
NBBUSFHFMFO
UFS
*5BGEFMJOHFO bescherming van de betreffende

Proactieve diensten

Beveiligingsbeheer en diensten beveiligingskwaliteit

Alarmeren en waarschuwen

Mededelingen en waarschuwingen communiceren

Risicoanalyse uitvoeren

Incident coördinatie

Technologische bewaking

Beveiligingsadvies

Afhandeling en coördinatie kwetsbaarheden

Beveiligingsaudits of -onderzoeken

Calamiteiten – en continuïteitsanalyse

Afhandeling en coördinatie besmettingen

Analyse van beveiligingsmiddelen, applicaties en infrastructuur

Beveiligingsbewustwording bevorderen

Begeleiding forensisch onderzoek

Intrusion en detection diensten ontwikkelen

Educatie en opleiding verzorgen

Tabel 1 – Voorbeeld voorkomende CSIRT diensten (Bron: Handbook for Computer Security Incident Response Teams - Carnegie Mellon University)

10

de EDP-Auditor nummer 4 | 2009

%F
FYQMJDJFUF
BBOEBDIUTQVOUFO
EJF
VJU
deze interviews naar voren zijn geko men, zijn mede bepalend geweest bij het vaststellen van de belangrijkste kwaliteitsaspecten, te weten: t

&YDMVTJWJUFJU
EF
NBUF
XBBSJO
VJU sluitend geautoriseerde personen via goedgekeurde procedures en toegekende bevoegdheden gebruik NBLFO
WBO
EF
*5QSPDFTTFO
FO
data; t

$POUJOVÕUFJU
EF
NBUF
XBBSJO
FFO
object continu beschikbaar is en de gegevensverwerking ongestoord REFERENTIEKADER voortgang kan hebben; We gaan achtereenvolgens in op de t

$ POUSPMFFSCBBSIFJE
EF
NBUF
LXBMJUFJUTBTQFDUFO
IFU
$4*35
BVEJU
waarin het mogelijk is kennis te t

$4*35
JT
POEFSEFFM
WBO
EF
*5 werkprogramma, de randvoorwaar verkrijgen over de structurering beheerorganisatie; delijke aspecten waaronder organisa (documentatie) en werking van een t

%F
UXFF
JOTUBOUJFT
PQFSFSFO
OBBTU
torische, juridische en technische object. Tevens omvat dit kwaliteits elkaar. aspecten en tenslotte bespreken we aspect de mate waarin het mogelijk het praktisch nut van het referentie is vast te stellen dat de informatie De discussie over de taken en LBEFS
WPPS
EF
*5BVEJUPS verwerking in overeenstemming bevoegdheden van beide instanties met de eisen ten aanzien van de levert vaak de start van een verbeter )FU
$4*35
BVEJU
XFSLQSPHSBNNB
overige kwaliteitsaspecten is uitge QSPDFT
PQ
[PEBOJH
EBU
EF
*5CFIFFS vormt hierbij het voornaamste onder WPFSE
organisatie zich meer richt op het deel, maar mag niet los worden gezien duurzaam inrichten van taken als van de randvoorwaarden. Om ervoor CSIRT audit werkprogramma 4FDVSJUZNBOBHFNFOU
*ODJEFOUNB te zorgen dat het instrument een toe Om de lezer inzicht te geven in de nagement en Changemanagement, gevoegde waarde levert aan de organi PQ[FU
WBO
IFU
$4*35
BVEJU
XFSLQSP UFSXJKM
IFU
$4*35
[JDI
WBBL
WFFM
satie en/of auditor, moet bij de opzet gramma, is per onderdeel kort aange meer puur operationeel bezighoudt PG
BVEJU
WBO
FFO
$4*35
OBBS
EF
geven wat daarvan de inhoud is. Om met het oplossen van optredende onderlinge samenhang van de onder die reden is niet het hele werkpro beveiligingsincidenten. delen worden gekeken. gramma opgenomen, maar slechts %F
WPPS
FO
OBEFMFO
WBO
CPWFO "MT
OJFU
BMMF
POEFSEFMFO
CJK
EF
PPS een voorbeeld per onderdeel. staande modellen zijn afhankelijk deelsvorming worden toegepast, van de omvang van de organisatie en bestaat het risico dat een beperkt )FU
XFSLQSPHSBNNB
JT
BMT
WPMHU
de volwassenheid van de bestaande beeld wordt gevormd van de status opgebouwd: *5CFIFFSPSHBOJTBUJF
&FO
QSBLUJTDIF
WBO
IFU
$4*35 t
"VEJUEPFMTUFMMJOHFO verschijningsvorm kan zijn dat er een t
"VEJUTDPQF BG[POEFSMJKLF
$4*35
BBOXF[JH
JT
7PPSEBU
XF
EF
WFSTDIJMMFOEF
POEFS t
%PFMTUFMMJOH
DPOUSPMFNBBUSFHFM OBBTU
EF
CFTUBBOEF
*5CFIFFSPSHBOJ delen van het referentiekader t
7FSXBDIU
SFTVMUBBU TBUJF
JOEJFO
EF
$4*35
TQFDJBMJTUJ beschrijven, lichten we eerst toe welke t
8BBSEFSJOH sche taken uitvoert, die niet separaat kwaliteitsaspecten een rol hebben [JKO
CFMFHE
CJK
EF
CFTUBBOEF
*5 gespeeld bij de totstandkoming van %F
EPFMTUFMMJOHFO
JO
UBCFM

HFWFO
BBO
CFIFFSPSHBOJTBUJF
&FO
POHFTUPPSEF
het referentiekader. welke auditdoelstellingen door uitoefening van de taken van een middel van de te controleren maatre $4*35
[JKO
EBO
PPL
HFXBBSCPSHE
FO
Kwaliteitsaspecten gelen dienen te worden gewaarborgd. zijn niet afhankelijk van de aanwe Op basis van beschikbare literatuur [JHF
DBQBDJUFJU
CJK
EF
*5CFIFFSPSHB en uitgevoerde interviews met functi )FU
XFSLQSPHSBNNB
HFFGU
EF
BVEJU nisatie. onarissen, verantwoordelijk voor de doelstellingen en auditscope aan, informatiebeveiliging binnen diverse welke controlemaatregelen behan 7BOVJU
EF
WFSTDIJMMFOEF
SPMMFO
FO
EF
organisaties, zijn de beveiligingsri deld dienen te worden en wat daar organisatorische plaats van een sico’s geïnventariseerd en gekoppeld van het verwachte resultaat zou $4*35
[BM
JOUFOTJFWF
DPNNVOJDBUJF
aan de verschillende kwaliteitsaspec NPFUFO
[JKO
/BEBU
WPMEPFOEF
JO[JDIU
is verkregen in de behandelde con moeten plaatsvinden met de huidige ten.

De vraag op welke wijze invulling moet worden gegeven aan de relatie UVTTFO
$4*35
FO
EF
*5CFIFFSPSHB nisatie, kan alleen maar worden beantwoord indien duidelijk is op XFMLF
XJK[F
$4*35
PSHBOJTBUPSJTDI
een plek heeft gekregen. "TQFDUFO
EJF
IJFSCJK
FFO
CFMBOHSJKLF
rol spelen, zijn het mandaat van $4*35
GMFYJCJMJUFJU
LFOOJTEFMJOH
FO
volwassenheid van de bedrijfsproces sen en de organisatie. De volgende twee vaak voorkomende situaties zijn ontleend aan bekende PSHBOJTBUJFNPEFMMFO
WPPS
$4*35T
<,*-->

organisatie, waarbij aandacht is voor: t

EF
DPNNVOJDBUJF
PWFS
IFU
CFTUBBO
FO
IFU
NBOEBBU
WBO
FFO
$4*35
JO
de organisatie; t

EF
WFSEFMJOH
WBO
EF
UBLFO
CJOOFO
de organisatie, in de situatie dat er [PXFM
FFO
*5CFIFFSPSHBOJTBUJF
BMT
FFO
$4*35
BBOXF[JH
JT t

E F
JOGPSNBUJFWPPS[JFOJOH
PWFS
opgetreden beveiligingsincidenten zowel richting de eigen interne PSHBOJTBUJF
BMT
FYUFSO
OBBS
WBLPSHB nisaties of derden.

de EDP-Auditor nummer 4 | 2009

11

CSIRT audit werkprogramma/toetsingskader Audit doelstellingen: t
5PPO
BBO
EBU
FS
XBBSCPSHFO
[JKO
EBU
CFESJKGTNJEEFMFO
BEFRVBBU
XPSEFO
CFXBBLU
FO
CFTDIFSNE t
5PPO
BBO
EBU
FS
XBBSCPSHFO
[JKO
EBU
CFMFJE
FO
QSPDFEVSFT
NFU
CFUSFLLJOH
UPU
DPNQVUFSJODJEFOUFO
JOCSBBLEFUFDUJF
PG
OPPESFBDUJFQSPDFT
PWFSFFOLPNFO
NFU
TUBOEBBSEFO
FO
CFTU
QSBDUJDFT t

5PPO
BBO
EBU
FS
XBBSCPSHFO
[JKO
EBU
OPPE[BLFMJKLF
NJEEFMFO
XPSEFO
JOHF[FU
PN
DPNQVUFSJODJEFOUFO
PG
JOCSBBLQPHJOHFO
UF
LVOOFO
WPPSLPNFO
PG
EFUFDUFSFO
FO
EBU
NFEFXFSLFST
BEFRVBBU
[JKO
PQHFMFJE t

5PPO
BBO
EBU
FS
XBBSCPSHFO
[JKO
EBU
SPMMFO
FO
WFSBOUXPPSEFMJKLIFEFO
WBO
QSJNBJSF
GVODUJFT
EJF
[JKO
CFUSPLLFO
CJK
IFU
SFBHFSFO
PQ
DPNQVUFSJODJEFOUFO
JOCSBBLQPHJOHFO
PG
OPPEHFWBMMFO
[JKO
POUXJLLFME
FO
HFDPNNVOJDFFSE
CJOOFO
EF
PSHBOJTBUJF t

5PPO
BBO
EBU
FS
XBBSCPSHFO
[JKO
EBU
DPNQVUFS
CFWFJMJHJOHTJODJEFOUFO
JOCSBBLQPHJOHFO
FO
OPPEHFWBMMFO
XPSEFO
HFÑTDBMFFSE
OBBS
IFU
WBO
UPFQBTTJOH
[JKOEF
NBOBHFNFOUOJWFBV
PWFSFFOLPNTUJH
standaarden en best practices.

Tabel 2 – Voorbeeld uitwerking audit doelstellingen

CSIRT audit werkprogramma/toetsingskader Audit Scope: A.

#FPPSEFMFO
WBO
BMMF
POUXJLLFMEF
CFMFJETEPDVNFOUFO
QSPDFEVSFT
FO
GPSNVMJFSFO
NFU
CFUSFLLJOH
UPU
DPNQVUFS
JODJEFOUFO
JOCSBBLEFUFDUJF
PG
IFU
OPPESFBDUJFQSPDFT

B.

#FPPSEFMFO
WBO
IFU
HFCSVJL
WBO
IFU
SJTJDPBOBMZTFQSPDFT
PN
IFU
DPNQVUFS
CFWFJMJHJOHTJODJEFOU
JOCSBBLEFUFDUJF
FO
OPPESFBDUJFQSPDFT
UF
LVOOFO
WBTUTUFMMFO

C.

#FPPSEFMFO
WBO
EF
BBOTDIBG
WBO
EF
JO[FU
WBO
NJEEFMFO
EJF
FS
WPPS
[JKO
POUXJLLFME
PN
FFO
DPNQVUFS
CFWFJMJHJOHTJODJEFOU
PG
JOCSBBLQPHJOH
UF
LVOOFO
WPPSLPNFO
FO
EFUFDUFSFO

D.

#FPPSEFMFO
WBO
EF
HFCSVJLFSTUSBJOJOHFO
WBO
DPNQVUFS
CFWFJMJHJOHTJODJEFOU
FO
JOCSBBLEFUFDUJF
QSPHSBNNBUVVS

E.

#FPPSEFMFO
WBO
EF
SPMMFO
FO
WFSBOUXPPSEFMJKLIFEFO
WBO
QSJNBJSF
GVODUJFT
EJF
CFUSPLLFO
[JKO
CJK
IFU
SFBHFSFO
PQ
DPNQVUFS
CFWFJMJHJOHTJODJEFOUFO
JOCSBBLEFUFDUJF
FO
OPPEHFWBMMFO

F.

Beoordelen van het computer beveiligingsincident, inbraak of noodescalatieproces.

Tabel 3 – Voorbeeld uitwerking audit scopes

WBO
EF
*$5JOGSBTUSVDUVVS
QMVT
toepassingen) is toegewezen en belegd binnen een organisatie; In tabel 4 geven we een voorbeeld van t

&FO
HFTQFDJBMJTFFSE
UFBN
JT
HFGPS meerd dat gevraagd en ongevraagd FFO
BVEJUTDPQF
NFU
EBBSCJK
FFO
WPPS voorstellen doet over uit te voeren CFFME
WBO
EF
UF
CFIBOEFMFO
DPOUSPMF PQMPTTJOHFO
JO
SFMBUJF
UPU
CFWFJMJ maatregel en het verwachte resultaat. HJOHTSJTJDPT
FO
PQHFUSFEFO
JODJEFO UFO
JO
EF
*$5JOGSBTUSVDUVVS 7PPS
EF
PQSJDIUJOH
WBO
FFO
$4*35
BMT
POEFSEFFM
WBO
EF
UPUBMF
CFWFJMJ gingsorganisatie, moet een aantal ICT-infrastructuur randvoorwaarden worden vervuld in /BBTU
IFU
PQ
CBTJT
WBO
ESFJHJOHTCFFM de organisatorische, juridische en EFO
FO
SJTJDPJOTDIBUUJOHFO
QFSNB UFDIOJTDIF
TGFFS
)JFSOB
OPFNFO
XF
OFOU
NPOJUPSFO
WBO
EF
*$5JOGSB structuur, en het nemen van hiervan de belangrijkste. maatregelen ter voorkoming van het Organisatorische randvoorwaar- manifest worden van dreigingen, is IFU
$4*35
UFWFOT
EF
WSBBHCBBL
FO
den adviseur voor de organisatie op het Verantwoordelijkheden, bevoegdheden gebied van de informatiebeveiliging. en taken t

%F
WFSBOUXPPSEFMJKLIFJE
WPPS
IFU
Mandaat CSIRT WSPFHUJKEJH
POEFSLFOOFO
FO
BOBMZ )FU
NBOEBBU
WBO
FFO
$4*35
NPFU
TFSFO
WBO
ESFJHJOHFO
PQ
EF
DPOUJ CJOOFO
FFO
PSHBOJTBUJF
EPPS
EF
EJSFD OVÕUFJU
FYDMVTJWJUFJU
FO
JOUFHSJUFJU
tie worden bepaald én formeel trolemaatregel kan per maatregel een waardering worden gegeven.

12

de EDP-Auditor nummer 4 | 2009

CFLSBDIUJHE
&OLFMF
CFMBOHSJKLF
punten hierbij zijn: t

#JOOFO
EF
PSHBOJTBUJF
IFFGU
IFU
$4*35
IFU
NBOEBBU
PN
BMMF
OPPE [BLFMJKLF
POEFS[PFLT

FO
SBQQPSUB gewerkzaamheden uit te voeren die CJOOFO
IFU
LBEFS
WBO
IFU
$4*35
noodzakelijk zijn; t

)FU
$4*35
IFFGU
IFU
NBOEBBU
PN
JO
TBNFOTQSBBL
NFU
EF
JOGPSNBUJF manager corrigerende acties uit te [FUUFO
CJOOFO
EF
CFIFFSEF
PNHF vingen; t

)FU
$4*35
IFFGU
HFFO
PQTQPSJOHT CFWPFHEIFJE
)FU
$4*35
LBO
hierbij echter wel ondersteuning verlenen. Inbedding CSIRT in de organisatie /BBTU
EF
XJK[F
XBBSPQ
EF
QSPDFTTFO
UFO
BBO[JFO
WBO
POEFS[PFL
FO
WBTU legging worden ingericht, is het ook van belang de betreffende processen op een correcte wijze in te bedden in EF
PSHBOJTBUJF
EVT
EF
$4*35PSHBOJ

Audit Scope A Beoordelen van alle beleidsdocumenten, procedures en formulieren m.b.t. computer beveiligingsincidenten, inbraakdetectie of het noodreactieproces om te waarborgen dat deze in overeenstemming zijn met standaarden en best practices. Doelstelling controlemaatregel

Verwacht resultaat

Verkrijg een kopie van alle beleids- en proceduredocumenten die zijn gebruikt bij het documenteren van het computer beveiligingsincident, inbraak of noodreactieproces.

Waardering

Een recente versie van alle beleid- en procedure documenten zou aanwezig moeten zijn. Deze documenten dienen op het hoogste managementniveau te zijn geaccordeerd.

Niet afdoende Behoeft aandacht/verbetering Afdoende Onbekend

Tabel 4 – Voorbeeld uitwerking controlemaatregel

Voorbeelden uitwerking Organisatorische aandachtspunten De organisatie beschikt over geaccepteerd en door de hoogste leiding geaccordeerd en gecommuniceerd informatiebeveiligingsbeleid. Aan de CSIRT-organisatie zijn door het hoger management de juiste mandaten toegekend voor zowel reguliere taken als voor situaties m.b.t. calamiteiten. De functie informatiebeveiliging is in de organisatie belegd waarbij onderscheid wordt gemaakt tussen werkzaamheden op strategisch, tactisch en operationeel niveau. De werkwijzen van de informatiebeveiligingsfunctie zijn vastgelegd in de vorm van formele procedures en werkinstructies.

Tabel 5 – Voorbeelden van enkele organisatorische aspecten Voorbeeld uitwerking Juridische aandachtspunten Bij de inrichting en de uitvoering van het CSIRT en computer incident reactie proces dient de werkgever zich te houden aan de wet- en regelgeving. In dit verband wordt met name gewezen op de Europese richtlijnen, de Wet Bescherming Persoonsgegevens en de regelgeving van de toezichthoudende instanties. Er dient een dossier te worden opgebouwd van de incidenten die zich in het verleden hebben voorgedaan. In vele gevallen is het plegen van meerdere incidenten noodzakelijk alvorens verregaande disciplinaire maatregelen kunnen worden genomen. %F
NFEFXFSLFS
WBO
EF
FJHFO
PSHBOJTBUJF
EJFOU
OB
IFU
QMFHFO
WBO
FFO
JODJEFOU
EBU
OJFU
[XBBS
HFOPFH
JT
WPPS
IFU
OFNFO
WBO
WFSSFHBBOEF
EJTDJQMJOBJSF
NBBUSFHFMFO
FFO
PGGJDJÑMF
XBBSTDIVXJOH
te krijgen. Indien het tot een rechtszaak komt is het voor de rechter van belang te weten of de verdachte officieel gewaarschuwd is voor het plegen van incidenten.

Tabel 6 – Voorbeelden van enkele juridische aspecten

satie te integreren in de bestaande organisatie. 6JU
IFU
FFSEFS
CFTDISFWFO
XFSLQSP gramma kan worden afgeleid dat voor goed onderzoek en vastlegging van digitaal bewijs veel verschillende spe cialismen nodig zijn. Zo is er behoefte aan technisch geschoolde functionarissen voor het onderzoek naar de oorzaken en oplossingen van incidenten, aan func tionarissen met kennis van de betref fende bedrijfsprocessen, aan juridi sche medewerkers en aan informatiebeveiligingsspecialisten. In UBCFM

JT
FFO
WPPSCFFME
VJUHFXFSLU
van mogelijke organisatorische aspec ten. Tenslotte zal aandacht moeten worden geschonken aan de verant

woording over de uitgevoerde werk [BBNIFEFO
EPPS
IFU
$4*35
*O
EF
QSBLUJKL
SBQQPSUFFSU
IFU
$4*35
veelal rechtstreeks over de verrichte werkzaamheden aan een lid van de Raad van Bestuur of aan de CIO indien deze geen deel uitmaakt van de Raad van Bestuur. Juridische randvoorwaarden In het kader van dit artikel is het niet doenlijk om alle juridische aspecten te behandelen en daarom beperken we ons tot de meest relevante. Deze zijn opgenomen in tabel 6 en worden hieronder toegelicht. Afbakening )FU
UF
CFTDIPVXFO
XPSEU
BGHFCB kend door de scope te beperken tot handelingen die gepleegd worden met

geautomatiseerde middelen. Daarbij wordt ook enige aandacht besteed aan handelingen gepleegd door het eigen personeel, aangezien uit onder zoek is gebleken dat veelal deze doel groep betrokken is bij beveiligingsin cidenten. Binnen het proces van incident response zijn er onderwer pen die een juridisch karakter kennen onder andere opsporing en afhande ling. Bij het opsporen van de oorzaak van een incident kan de vraag gesteld worden wat het juridische kader is waarmee rekening gehouden moet worden, indien bewijsmateriaal verza meld wordt nadat geconstateerd is of vermoed wordt dat een persoon straf bare handelingen heeft gepleegd. Deze vraag is van cruciaal belang de EDP-Auditor nummer 4 | 2009

13

omdat onrechtmatig verkregen bewijs door de rechter terzijde wordt gelegd en dus niet wordt meegenomen bij de bewijsopbouw. Dit kan betekenen dat er te weinig bewijs overblijft waardoor de zaak verloren is. Bewijsvergaring 7PPS
EF
CFXJKTWFSHBSJOH
JT
EF
WSBBH
WBO
CFMBOH
XFMLF
NJEEFMFO
EF
XFSL gever ter beschikking staan om bewijs UF
WFS[BNFMFO
CFUSFGGFOEF
FFO
NPHF lijk) incident. In een aantal wetten [JKO
EF
SFHFMT
PQHFOPNFO
EJF
HFIBO UFFSE
NPFUFO
XPSEFO
PN
PQ
SFDIU NBUJHF
XJK[F
EF
IBOEFMJOHFO
WBO
QFS sonen te mogen controleren. De belangrijkste wetten in dit kader zijn EF
(SPOEXFU
EF
8FU
PQ
0OEFSOF mingsraden, de Wet Bescherming 1FSTPPOTHFHFWFOT
8#1
<.*/*>
en de Wet Computer Criminaliteit II <&+63>


dat het niet is toegestaan bepalingen in een contract op te nemen die in strijd zijn met de WBP. Dit betekent dat er voor de werkgever vrijwel geen mogelijkheden zijn om eigen beleid te ontwikkelen op de WBP. De WBP is voor digitaal onderzoek met name van belang indien, met behulp van HFBVUPNBUJTFFSEF
TZTUFNFO
HFHF vensverzamelingen over personen XPSEFO
BBOHFMFHE
FO
JOEJFO
FS
EJHJ UBBM
CFFME
FO
HFMVJETGSBHNFOUFO
worden opgeslagen. Tevens is de 8#1
WBO
CFMBOH
JOEJFO
FS
OBBS
BBO MFJEJOH
WBO
FFO
JODJEFOU
FFO
NFEF werker wordt ontslagen. In sommige gevallen is de reden voor ontslag op TUBBOEF
WPFU
FWJEFOU
*O
BOEFSF
HFWBM MFO
FDIUFS
IPFGU
FFO
BG[POEFSMJKL
JODJ dent niet van een dusdanige zwaarte te zijn dat ontslag op staande voet gerechtvaardigd is. Bij het herhaald voorkomen van incidenten kan dit FDIUFS
XFM
IFU
HFWBM
[JKO
*O
EF
KVSJT prudentie is terug te vinden dat een goede registratie van incidenten OPPE[BLFMJKL
JT
6JU
EF
SFHJTUSBUJF
moet blijken welke incidenten het betrof en dat de betrokkene hiervoor een officiële waarschuwing heeft gekregen.

de verrichte werkzaamheden van een $4*35 Technische randvoorwaarden Wanneer een beveiligingsincident heeft plaatsgevonden en binnen de organisatie is geëscaleerd, zullen de CFUSPLLFOF
$4*35
MFEFO
[PWFFM
mogelijk bewijs en informatie gaan WFS[BNFMFO
0PL
IJFSJO
LVOOFO
UFDI nische hulpmiddelen een rol spelen en de organisatie moet technische hulpmiddelen ter beschikking hebben bij het analyseren en onderzoeken van een beveiligingsincident.

7FFM
POEFS[PFL
WJOEU
QMBBUT
NFU
FFO
verzameling losse programmaatjes waartussen geen of weinig verband WBMU
UF
POEFSLFOOFO
&FO
EFSHFMJKLF
werkwijze komt de efficiency van onderzoeken niet ten goede. De oplossing hiervoor is gevonden in het ontwikkelen van geïntegreerde suites In tegenstelling tot de wetgeving in de XBBSJO
EF
NFFTU
WPPSLPNFOEF
UFDI 7FSFOJHEF
4UBUFO
JT
JO
EF
&VSPQFTF
nische handelingen zijn geïntegreerd. wetgeving de bescherming van de (FÕOUFHSFFSEF
TPGUXBSF
TVJUFT
CFWBU privacy veel stringenter vastgelegd. UFO
PWFS
IFU
BMHFNFFO
FFO
WFS[BNF ;PBMT
SFFET
HFTUFME
XPSEU
POSFDIU ling van de hierboven genoemde matig verkregen bewijs afgestraft met functionaliteit voor het kopiëren van CFXJKTVJUTMVJUJOH
7FFMBM
XPSEU
JO
EJU
gegevens, het digitaal tekenen van HFWBM
EF
QSJWBDZ
HFTDIPOEFO
"BOHF deze gegevens, het zoeken binnen [JFO
IFU
DPOUSPMFSFO
WBO
EF
IBOEFMJO *O
HFWBM
WBO
FFO
[FMGTUBOEJH
GVODUJP deze gegevens en het terugzetten van gen van medewerkers een inbreuk op OFSFOE
$4*35
CJOOFO
EF
PSHBOJTBUJF
LPQJFÑO
PQ
TDIPOF
TZTUFNFO
&FO
EF
QSJWBDZ
LBO
CFUFLFOFO
FO
EVT
VJU is ook aandacht nodig voor de (on) voorbeeld van een uitwerking van de mondt in onrechtmatig verkregen mogelijkheden van de uitvoering van technische aspecten is opgenomen in CFXJKT
XPSEU
POEFSTUBBOE
FFSTU
JOHF EF
PWFSFFOHFLPNFO
UBLFO
FO
EJFO tabel 7. gaan op de juridische aspecten van TUFO
WBO
FFO
$4*35
"BOEBDIUTQVO het begrip privacy. UFO
IJFSCJK
[JKO
POEFS
BOEFSF
HFIFJN Praktisch nut voor de IT-auditor houdingsverklaringen, &ÏO
WBO
EF
CFMBOHSJKLTUF
EPFMTUFMMJO Wet Bescherming Persoonsgegevens LMBDIUFOSFHJTUSBUJF
JODMVTJFG
POBGIBO HFO
WBO
FFO
$4*35
JT
IFU
CJKESBHFO
(WBP) kelijk onderzoek naar de klachten, aan het realiseren en in stand houden %F
8#1
IFFGU
CFUSFLLJOH
PQ
QFS CFTDIFSNJOH
QFSTPPOTHFHFWFOT
BOUF van, het vooraf gedefinieerde, niveau soonsgegevens en bevat voorschriften DFEFOUFOPOEFS[PFL
CJK
JOEJFOTUUSF van informatiebeveiliging binnen de van dwingend recht wat wil zeggen EJOH
UPU
FFO
$4*35
JOUFSOF
BVEJU
PQ
onderneming. Voorbeeld uitwerking Technische aandachtspunten Zowel op systeem als op applicatieniveau worden van alle relevante events loggingsgegevens bijgehouden. %F
PSHBOJTBUJF
IFFGU
FFO
JOUSVTJPO
EFUFDUJPO
TZTUFFN
HFÕNQMFNFOUFFSE
XBBSWBO
IFU
HFCSVJLTLBEFS
JT
CFTDISFWFO
FO
EF
TJHOBMFO
VJU
EJU
TZTUFFN
XPSEFO
PQ
BEFRVBUF
XJK[F
HFDPNNVOJDFFSE
NFU
EF
CSIRT-organisatie. De organisatie beschikt over hulpmiddelen voor het uitvoeren van systeemonderzoeken. Mogelijke onderdelen hiervan zijn disk-cloning software en zoekprogrammatuur.

Tabel 7 – Voorbeelden van enkele technische aspecten

14

de EDP-Auditor nummer 4 | 2009

De onderneming is er dan bij gebaat dat preventie en afhandeling van beveiligingsincidenten binnen de onderneming een plaats hebben HFLSFHFO
)JFSNFF
XJMMFO
XF
CFOB drukken dat het inrichten van een $4*35
CJOOFO
EF
POEFSOFNJOH
FFO
onderdeel moet vormen van een groter geheel aan beheersingsmaatre gelen op het gebied van informatiebe veiliging. 7BOVJU
EF
CJKESBHF
WBO
FFO
$4*35
aan het realiseren en in stand houden van de informatiebeveiliging binnen de onderneming, is het van belang dat EF
*5BVEJUPS
WPPS
[JKO
BVEJU
FO
adviesfunctie een referentiekader ter beschikking heeft, dat niet alleen de auditdoelstellingen, scope van de audit en noodzakelijke controlemaat regelen nader uitwerkt, maar ook FYQMJDJFU
EF
OPPE[BLFMJKLF
SBOEWPPS waarden op organisatorisch, juridisch en technisch gebied vermeldt en detailleert. De toegevoegde waarde van een der gelijk referentiekader zal dan ook bestaan op een tweetal gebieden: t

7FSTUFSLJOH
WBO
EF
CBTJT
WPPS
IFU
niveau van de algehele interne fysieke en logische toegangsbeveili ging binnen de organisatie; t

&FO
IVMQNJEEFM
CJK
EF
PQ
FO
JOSJDIUJOH
WBO
FFO
$4*35
FO
IFU
kunnen uitvoeren van een audit op de uitgevoerde taken, verantwoor delijkheden en bevoegdheden van FFO
$4*35
CJOOFO
EF
HFTUFMEF
randvoorwaarden.

de beveiligingsorganisatie op haar beurt dat de voornaamste aandachts punten bij de oprichting worden JOHFWVME
)FU
DSFEP
JT
AWPPSLPNFO
JT
beter dan genezen’. OBSERVATIES Bij de uitwerking van het referen tiekader is als uitgangspunt de onderzochte literatuur genomen, waaronder de Code voor Informatie CFWFJMJHJOH
<*40>
Dit referentiekader is besproken met functionarissen verantwoordelijk WPPS
JOGPSNBUJFCFMFJE
CJOOFO
/FEFS landse organisaties waarin zij werk [BBN
[JKO
%F
/FEFSMBOETF
PSHBOJTB ties zijn grote ondernemingen in de sectoren Telecom, Dienstverlening *5
FO
"DDPVOUBODZ Binnen deze organisaties is ten tijde van de interviews in alle gevallen een $4*35
BBOXF[JH
7BOVJU
EF[F
gesprekken zijn aanvullingen aan het oorspronkelijke referentiekader toe gevoegd, met als resultaat dat het nu beschikbare referentiekader meer aansluit bij de praktische omstandig heden dan ten tijde van de interviews. De toetsing van het oorspronkelijke referentiekader aan de praktijk is slechts voor wat betreft de opzet uit HFWPFSE
&S
IFFGU
EBO
PPL
HFFO
GFJUF lijke audit of beoordeling van de XFSLJOH
WBO
FFO
$4*35
PG
WFSHFMJK kend orgaan plaatsgevonden.

werking van de genoemde aspecten is altijd noodzakelijk aangezien de JOSJDIUJOH
WBO
IFU
$4*35
TUFSL
afhankelijk is van de organisatie en de uit te voeren taken van het $4*35
%JU
HFMEU
PPL
WPPS
EF
UPF passing op strategisch, tactisch en operationeel niveau; t

.BBL
EVT
EVJEFMJKL
BBO
EF
JOUFSOF
PG
FYUFSOF
LMBOUFO
WBO
IFU
$4*35
wat de taken zijn en ook wat de taken niet zijn en verkrijg voor de uit te voeren taken het mandaat van de hoogste leiding. 6JUFSBBSE
JT
PPL
FFO
BBOUBM
WFSTDIJM len geconstateerd tussen het opge stelde (theoretische) referentiekader en de praktijksituaties. Bij een nadere bestudering van deze verschillen blijkt dat de reden van deze verschillen vaak terug te voeren is op de soort organisatie en de wijze waarop hier invulling is gegeven aan het geheel van maatregelen van de JOUFSOF
FO
FYUFSOF
JOGPSNBUJFCFWFJMJ ging. "MT
BBOWVMMJOH
PQ
IFU
VJUHFXFSLUF
referentiekader zijn als verschillen tussen theorie en praktijk te noemen:

t

*O
EF
QSBLUJKL
WBO
EF
HFÕOUFSWJFXEF
functionarissen zijn niet alleen de JOSJDIUJOHTBTQFDUFO
WBO
FFO
$4*35
van wezenlijk belang, maar komen de organisatorische, juridische en /BBS
BBOMFJEJOH
WBO
EF
BGTUFNNJOH
technische aspecten bijna dagelijks met de geïnterviewde functionarissen aan de orde bij de afhandeling van kunnen de volgende observaties beveiligingsincidenten; worden samengevat: t

)FU
PQTUBSUFO
WBO
FFO
$4*35
[BM
t

%F
JOEFMJOH
OBBS
BVEJU
XFSLQSP altijd vanuit de uitkomsten van een gramma én organisatorische, juri risicoanalyse plaats moeten vinden. "MT
IVMQNJEEFM
WPPS
EF
BVEJUPS
CFWBU
dische en technische voorwaarden In de bestudeerde theorie is de risi het referentiekader dus aanknopings is op een juiste manier toegepast; coanalyse al uitgevoerd en is beslo punten om de organisatie bij te staan t

%F
HFOPFNEF
BTQFDUFO
[JKO
BMT
UFO
PN
FFO
$4*35
PQ
UF
SJDIUFO bij de totstandkoming van een redelijk compleet te beschouwen t

*O
EF
VJUXFSLJOH
WBO
EF
EJFOTU
trai$4*35
0Q
POEFSEFMFO
WBO
IFU
SFGF met als algemene opmerking dat ning en opleiding is in dit kader uit rentiekader zou het de auditor in afhankelijk van de organisatorische gegaan van opleiding en training staat moeten stellen de organisatie te rol en aan te bieden diensten slechts EPPS
FJHFO
QFSTPOFFM
&S
[JKO
FDIUFS
adviseren over de belangrijkste zaken een beperkt aantal aspecten van ook organisaties die dit uitbeste EFO
XBBSCJK
FYUSB
BBOEBDIU
die de beveiligingsorganisatie dient in toepassing kan zijn; geschonken zou moeten worden te regelen. De kennis en ervaring van t

%F
EJFQHBOH
WPPS
IFU
EPFM
EF
aan privacy van gegevens en secu de auditor wordt op deze wijze con opzet en het auditen van een rity. DSFFU
UPFHFQBTU
)JFSEPPS
XBBSCPSHU
$4*35
JT
WPMEPFOEF
/BEFSF
VJU de EDP-Auditor nummer 4 | 2009

15

VRAGEN EN ANTWOORDEN /B
BGMPPQ
WBO
IFU
POEFS[PFL
IFCCFO
we teruggeblikt op het onderzoek zelf en de opgedane kennis en ervaring. Daarbij hebben we onszelf tevens een aantal vragen gesteld.

$4*35
EJF
NFO
BMT
PSHBOJTBUJF
WPPS
ogen heeft. Is de opzet van het referentiekader van zowel het werkprogramma als de verschillende randvoorwaarden volledig geweest?

Is er inzicht verschaft in de rol en taken van een CSIRT en de organisatorische plaats?

De belangrijkste opmerking in dit kader is dat het werkprogramma niet los gezien mag worden van de in te +B
/B
BGTUFNNJOH
WBO
EF
SPMMFO
FO
vullen organisatorische, juridische en taken, zoals beschreven in de theorie, technische voorwaarden. met de feitelijke invulling hiervan in #JOOFO
EF
PSHBOJTBUJF
[BM
EF
EJTDVT de praktijk, is de conclusie dat een sie, binnen welke voorwaarden het verscheidenheid van deze rollen en $4*35
[JKO
SPM
LBO
FO
NBH
TQFMFO
taken in de praktijk voorkomen. De eerst in volle omvang gevoerd moeten uitgangspunten en afspraken die worden met alle betrokkenen voordat CJOOFO
EF
POEFSOFNJOH
XPSEFO
WBTU NFU
EF
PQCPVX
WBO
IFU
XFSLQSP gelegd, zijn van bepalende invloed op gramma begonnen kan gaan worden. in welke breedte en diepte de rollen en taken worden toegepast. Praktische toepassing bereikt? De twee organisatiemodellen voor 6JU
EF
HFWPFSEF
HFTQSFLLFO
CMJKLU
FFO
$4*35
[JKO
CFJEF
BBOHFUSPGGFO
EBU
IFU
SFGFSFOUJFLBEFS
BMT
JOTUSV CJOOFO
EF
CFTDISFWFO
POEFSOFNJO ment in de auditpraktijk toepasbaar HFO
"SHVNFOUFO
PN
FFO
LFV[F
UF
is. Wij menen dat er behoefte is aan maken tussen de twee modellen zijn een referentiekader en dat het door op de eerste plaats de volwassenheid ons opgestelde referentiekader van WBO
EF
BBOXF[JHF
*5CFIFFSPSHBOJ toegevoegde waarde kan zijn voor TBUJF
FO
PQ
EF
UXFFEF
QMBBUT
EF
WFS EF
*5BVEJUPS
5FS
BGTMVJUJOH
OPH
FFO
schillende rollen en taken van het advies voor kleinere organisaties. Kleinere organisaties dienen na te gaan of de verschillende diensten WBO
FFO
$4*35
CJOOFO
EF
FJHFO
R.(Rob) Schaap RA is zelfstandig adviseur organisatie ingevuld zouden moeten op het gebied van het ontzorgen van organiXPSEFO
*OEJFO
EF[F
WSBBH
CFWFTUJ saties bij vraagstukken op het gecombineerde gend wordt beantwoord, dan dient gebied van de business en het deze organisatie ook na te gaan op IT-management. welke wijze de invoering, werking en evaluatie van deze diensten is gewaarborgd. De organisatorische plaats waar deze diensten worden WFSSJDIU
[BM
WBBL
EF
CFTUBBOEF
*5 beheerorganisatie zijn.

E.R. (Erwin) den Bak EMITA bc. is sinds 1 augustus 2009 als IT-auditor werkzaam bij de Rijksauditdienst. Het artikel is gebaseerd op de afstudeerscriptie van de auteurs in het kader van de afronding van de IT Audit opleiding aan de Vrije Universiteit in Amsterdam. Dit artikel schreven de auteurs op persoonlijke titel.

16

de EDP-Auditor nummer 4 | 2009

5FOTMPUUF
XJMMFO
XJK
XFM
HSBBH
PQNFS LFO
EBU
EF
XBBSEF
WBO
IFU
SFGFSFOUJF kader in de praktijk nog aangetoond moet worden. We zijn dan ook benieuwd naar ervaringen van collega *5BVEJUPST
EJF
EJU
SFGFSFOUJFLBEFS
gaan toepassen. Met andere woorden: de werking van het raamwerk is nog niet aangetoond en vervolgonderzoek is dus noodzakelijk. ■

Literatuur [CARN02] Carnegie Mellon University, CSIRT services, Carnegie Mellon University, 2002. [ISO05] ISO, Code voor Informatiebeveiliging - NEN-ISO/IEC 17799:2005, 2005. [EJUR08] eJure, Wet Computer Criminaliteit, http://www. ejure.nl, 2008. [MINI02] Ministerie van Justitie, Handleiding Wet Bescherming Persoonsgegevens, http://www.justitie.nl, 2002. [KILL03] Killcrece G., Kossakowski K.P., Ruefle R., Zajicek M., Organizational Models for CSIRTs (CMU/SEI-2003HB-001), Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2003. [NORE98] Norea, IT-auditing aangeduid, NOREA geschrift no. 1, NOREA, 1998. Noot i CERT maakt deel uit van het Software Engineering Institute. Het Software Engineering Institute wordt beheerd door Carnegie Mellon University voor de US Department of Defense.