CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging
Uitgave van de Stichting Certificatie Grafimedia branche (SCGM)
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia
Pagina 2 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia
INHOUDSOPGAVE 1 2 3 4
INLEIDING ...................................................................................................................................... 5 TERMEN EN DEFINITIES .............................................................................................................. 8 SYSTEEMEISEN INFORMATIEBEVEILIGING ............................................................................ 10 RISICOBEOORDELING ............................................................................................................... 10 4.1 Inventarisatie en classificatie van informatie......................................................................... 10 4.2 Labeling en verwerking van informatie ................................................................................. 11 4.3 Risicobeoordeling.................................................................................................................. 12 5 BELEIDSDOCUMENT VOOR INFORMATIEBEVELIGING ......................................................... 12 6 VASTSTELLING VAN HET BASIS BEVEILIGINGS NIVEAU (BNN) ........................................... 13 7 Organisatie van de informatiebeveiliging ...................................................................................... 14 8 Beheer van bedrijfsmiddelen die verband houden met IT voorzieningen..................................... 15 9 Beveiliging van personeel ............................................................................................................. 15 10 Fysieke beveiliging en beveiliging van de omgeving ................................................................ 16 10.1 Beveiligde ruimten................................................................................................................. 16 10.2 Beveiliging van apparatuur.................................................................................................... 17 11 Beheer van communicatie en bedieningsprocessen ................................................................ 17 11.1 Bedieningsprocedures en verantwoordelijkheden ................................................................ 17 11.2 Beheer van de dienstverlening door een derde partij ........................................................... 18 11.3 Systeemacceptatie ................................................................................................................ 18 11.4 Bescherming tegen virussen, ‘mobile code’ en scripts. ........................................................ 18 11.5 Maken van een Back-up ....................................................................................................... 19 11.6 Beheer van netwerkbeveiliging ............................................................................................. 19 11.7 Bescherming van media........................................................................................................ 19 11.8 Uitwisseling van informatie.................................................................................................... 20 11.9 Diensten voor e-commerce ................................................................................................... 20 12 Bedrijfseisen ten aanzien van toegangsbeheersing ................................................................. 21 12.1 Toegangsbeleid..................................................................................................................... 21 12.2 Beheer van toegangsrechten van gebruikers ....................................................................... 21 12.3 Verantwoordelijkheden van gebruikers................................................................................. 22 12.4 Toegangsbeheersing voor netwerken................................................................................... 22 12.5 Toegangsbeheersing voor informatiesystemen en informatie .............................................. 23 12.6 Draagbare computers en telewerken.................................................................................... 23 13 Verwerving, ontwikkeling en onderhoud van informatiesystemen ............................................ 23 13.1 Beveiligingseisen voor informatiesystemen .......................................................................... 23 13.2 Correcte verwerking in toepassingen.................................................................................... 24 13.3 Beveiliging van systeembestanden....................................................................................... 24 13.4 Beveiliging bij ontwikkelings- en ondersteuningsprocessen ................................................. 25 13.5 Beheer van technische kwetsbaarheden .............................................................................. 25 14 CONTROLE OP- EN NALEVING VAN HET SYSTEEM VAN INFORMATIEBEVEILIGING.... 26 14.1 Controle op informatieverwerkingsactiviteiten ...................................................................... 26 14.2 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken ........................ 26
Versie: november 2011
© Copyright SCGM
Pagina 3 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche 14.3 Beheer van informatiebeveiligingsincidenten en –verbeteringen ......................................... 27 15 Bedrijfscontinuïteitsbeheer........................................................................................................ 27 15.1 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer........................................... 27 16 Naleving .................................................................................................................................... 28 16.1 Naleving van wettelijke voorschriften.................................................................................... 28 16.2 Naleving van beveiligingsbeleid en -normen en technische naleving .................................. 28 16.3 Overwegingen bij audits van informatiesystemen................................................................. 29 17 DIRECTIEBEOORDELING ....................................................................................................... 29 17.1 Beoordeling van het informatiebeveiligingsbeleid................................................................. 29 17.2 Onafhankelijke beoordeling van informatiebeveiliging.......................................................... 30
Pagina 4 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia
1
INLEIDING
Informatiebeveiliging wordt als gevolg van de digitalisering en de koppeling van informatiesystemen (internet) voor organisaties steeds belangrijker. Klanten en ook medewerkers stellen steeds meer eisen op dat vlak. Dit speelt in het bijzonder voor grafische ondernemingen die informatie vertalen naar een grafisch product en daarvoor informatie in de vorm van digitale ‘assets’ in beheer houden. Daarnaast is het van belang om bedrijfsinformatie te beschermen om de bedrijfscontinuïteit te waarborgen. Het ‘kwijtraken’ van orderinformatie bijvoorbeeld, schaadt direct het functioneren van de onderneming. Ook op het gebied van wet- en regelgeving heeft de onderneming te maken met het zorgvuldig beheer van informatie, bijvoorbeeld de wet- en regelgeving op het gebied van het beheer van personeelsgegevens. Organisaties en hun informatiesystemen en netwerken worden geconfronteerd met beveiligingsrisico’s uit allerlei bronnen, waaronder: computerfraude, spionage, sabotage, vandalisme, brand en overstromingen. Als gevolg van het internet zijn nieuwe oorzaken van schade ontstaan, zoals: computervirussen, computer hacking en ‘denial of service’-aanvallen. Deze vormen van schade komen steeds vaker voor en worden steeds ambitieuzer en vernuftiger. Informatiebeveiliging is de bescherming van informatie tegen een breed scala bedreigingen om de bedrijfscontinuïteit te waarborgen en bedrijfsrisico’s te minimaliseren. Informatiebeveiliging wordt bereikt door een geschikte verzameling beheersmaatregelen te treffen, waaronder beleid, werkwijzen, procedures, organisatiestructuren en programmatuur- en apparatuurfuncties. Deze beheersmaatregelen moeten worden vastgesteld, gecontroleerd, beoordeeld en waar nodig verbeterd om te waarborgen dat de specifieke beveiligings- en bedrijfsdoelstellingen van de organisatie worden bereikt. Dit behoort te worden gedaan in samenhang met andere bedrijfsbeheerprocessen (bijv. kwaliteitszorg). De Grafimedia Certificatienorm Informatiebeveiliging (hierna: GCI genoemd) is gebaseerd op de internationale norm voor informatiebeveiliging NEN-ISO/IEC: 27002. ISO 27002 is een security management systeem en is opgezet als een kwaliteitssysteem en sluit zodoende goed aan op het SCGM kwaliteitszorgsysteem. ISO 27002 is gebaseerd op drie pijlers die richting geven aan het effectief en efficiënt inrichten van de informatiebeveiliging, het gaat immers niet om het treffen van veel maatregelen, maar juist die maatregelen die nodig en effectief zijn. De drie peilers zijn: • De eigen beleidsuitgangspunten van de onderneming betreffende de gewenste beveiliging en de daarmee gemoeide risico’s; • Het risicoprofiel van de onderneming, door middel van wat zijn de specifieke risico’s die de onderneming loopt en hoe worden deze risico’s beoordeeld; • De ‘best practices’ die in ISO 27002 worden omschreven en zijn toegesneden op de grafische sector. Op basis van de drie pijlers wordt het Basis Beveiligings Niveau (BBN) vastgesteld zoals dat voor de onderneming moet (gaan) gelden. Daarnaast kunnen voor bepaalde processen of afdelingen additionele maatregelen worden gedefinieerd, die niet voor de gehele organisatie gelden. Vervolgens wordt de planning- en controlecyclus geïmplementeerd, waarmee feedback op de naleving wordt
Versie: november 2011
© Copyright SCGM
Pagina 5 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche gegeven, zodat bijgestuurd en verbeterd kan worden. Dit leidt tot een model voor invoering van informatiebeveiliging zoals onder weergegeven. Dit model is gebaseerd op de Demingcirkel.
Visie Best practices ISO 27002
Inventarisatiefase
Risicoanalyse en beleid informatiebeveiliging (ACT) controleren behaalde resultaten en bereikte doelen (CHECK)
Risicoanalyse
CONTINUE VERBETERING
Beleidsbepaling
plan voor invoeren of bijsturen van Basis Beveiligings Niveau (PLAN)
invoeren of bijsturen van het Basis Beveiligings Niveau (DO)
Het gaat dus bij de ISO 27002 norm om het nemen van een relevante set aan maatregelen afgestemd op het beleid en het risicoprofiel van uw onderneming, waarbij de ISO 27002 norm geldt als een set van ‘best practices’. De Grafimedia Certificatienorm Informatiebeveiliging is in dit verband een vertaalslag van de ISO 27002 norm naar het grafisch bedrijf. In de GCI/ISO 27002 norm zijn de volgende onderwerpen (risicogebieden) opgenomen: • Beveiligingsbeleid; • Organisatie van informatiebeveiliging; • Beheer van bedrijfsmiddelen; • Personele beveiligingseisen; • Fysieke beveiliging en beveiliging van de omgeving; • Beheer van communicatie en bedieningsprocessen; • Toegangsbeveiliging; • Verwerving, ontwikkeling en onderhoud van informatiesystemen; • Beheer van informatiebeveiligingsincidenten; • Bedrijfscontinuïteitsbeheer; • Naleving. Als startpunt voor informatiebeveiliging zijn een aantal beheersmaatregelen van belang, namelijk de beheersmaatregelen die vanuit wet- en regelgeving essentieel zijn en de beheersmaatregelen die als algemene basis gelden voor het realiseren van informatiebeveiliging.
Pagina 6 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia
De relevante wet- en regelgeving betreffen: • bescherming van persoonsgegevens; • bescherming van specifieke bedrijfsdocumenten; • intellectuele eigendomsrechten en rechten op digitaal materiaal. Tot de basis beheersmaatregelen behoren: • beleidsdocument voor informatiebeveiliging; • toewijzen van verantwoordelijkheden voor informatiebeveiliging; • bewustmaken van informatiebeveiliging en opleiden/trainen; • correcte verwerking in bedrijfstoepassingen; • beheer van technische kwetsbaarheid; • beheer van bedrijfscontinuïteit; • beheer van informatiebeveiligingsincidenten en -verbeteringen. Conform de ISO 27002 norm zijn in de GCI norm de beveiliging beheersmaatregelen ingedeeld naar onderwerp. Per onderwerp wordt omschreven: • Een beheersdoelstelling die vermeldt wat er moet worden bereikt. • De beheersmaatregelen, de specifieke maatregelen om aan de beheersdoelstelling te voldoen. • Implementatierichtlijnen, die nadere informatie geeft om de implementatie van de beheersmaatregel te ondersteunen en om de beheersdoelstelling te realiseren. Bij een aantal onderdelen worden praktische voorbeelden aangegeven die grafimedia organisaties kunnen overnemen. Sommige richtlijnen zullen niet in alle gevallen van toepassing zijn. • Overige informatie, geeft nadere informatie waarmee rekening moet worden gehouden, bijvoorbeeld juridische overwegingen, verwijzingen naar andere normen of naar ‘best practices’. De certificering van het GCI omvat het toetsen van het Basis Beveiligings Niveau (BBN), ten opzichte van het risicoprofiel en de beleidsuitgangspunten op basis van de ‘best practices.’ Voorts wordt het proces getoetst waarmee het BBN gerealiseerd en gehandhaafd gaat worden. Dat betekent dat niet noodzakelijkerwijs alle doelstellingen ingevoerd hoeven te zijn. De certificeringsaudit heeft tot doel vast te stellen of het juiste BBN wordt gehanteerd en of het proces van interne controle zodanig is ingericht dat het BBN wordt gehandhaafd. Bij de certificeringsaudit wordt rekening gehouden met de diversiteit van de grafische bedrijven ten aanzien van de bedrijfsgrootte, aard van de productieprocessen en de aard van de producten en diensten die worden aangeboden. De GCI is opgesteld voor de Grafimedia branche en is derhalve van toepassing op elke organisatie die: • Een vorm van grafimedia dienstverlening kent; • een intern systeem van informatiebeveiliging wil invoeren, handhaven en verbeteren; • ervan verzekerd wil zijn dat het door haar vastgestelde informatiebeveiligingsbeleid met de daaraan verbonden risico’s op alle niveaus wordt nageleefd; • een dergelijke naleving van het informatiebeveiligingsbeleid aantoonbaar wil maken voor derden; • haar Basis Beveiligings Niveau BBN door de externe certificatie-instantie Stichting Certificatie Grafimedia branche wil laten certificeren en registreren.
Versie: november 2011
© Copyright SCGM
Pagina 7 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche De certificatienorm is omschreven in de hoofdstukken 4 t/m 17 en geeft de eisen aan waaraan het systeem van informatiebeveiliging moet voldoen. De wijze van invulling die door de organisatie aan deze eisen wordt gegeven, wordt bepaald door het beleid van de organisatie, de aard en omvang van de risico’s die samenhangen met procesmatige activiteiten, de relevante wet- en regelgeving en de overige omstandigheden waarbinnen de organisatie moet opereren. De organisatie is zelf verantwoordelijk voor de passendheid van haar systeem van informatiebeveiliging teneinde de relevante wet- en regelgeving op de juiste wijze na te leven en beveiligingsrisico’s te voorkomen dan wel zoveel mogelijk te beperken. Tevens heeft de organisatie de plicht om de wijze waarop invulling is gegeven aan deze eisen aantoonbaar en inzichtelijk te maken voor de certificerende instantie.
2
TERMEN EN DEFINITIES
Voor de toepassing van deze norm gelden onderstaande termen en definities: audit trail zodanige vastlegging van gegevens dat de verwerkingsresultaten achteraf kunnen worden gecontroleerd bedreiging potentiële oorzaak van een ongewenst incident dat een systeem of organisatie schade kan toebrengen. bedrijfsmiddel alles dat waarde heeft voor de organisatie beheersmaatregel middel om risico te beheersen, waaronder beleid, procedures, richtlijnen, werkwijzen of organisatiestructuren, die administratief, technisch, beheersmatig of juridisch van aard kunnen zijn. beleid de verklaring van de organisatie ten aanzien van haar visie en de daaruit voortvloeiende doelstellingen welke zij voornemens is te realiseren in het kader van informatiebeveiliging. certificaatautoriteit organisatie die gerechtigd is om digitale certificatie uit te geven. Demingcirkel: Of Plan-Do-Check-Act (PDCA cyclus) genoemd. Dit model kan worden gehanteerd bij vrijwel elke verbeteractiviteit en omvat de volgende stappen: Plan: ontwikkel een plan om de kwaliteit te verbeteren Do: voer het plan uit, eerst kleinschalig Check: Evalueer de resultaten om door te starten of het Plan aan te passen Act: Bevestig de aanpak of bestudeer de gevolgen van aanpassingen derde partij persoon of entiteit die wat betreft de zaak in kwestie, als onafhankelijk van de betrokken partijen wordt gezien. digital assets Elke vorm van content en/of media die in digitale vorm is opgeslagen. digital rights management (DRM) een techniek om digitale rechten van makers of uitgevers (de 'rechthebbenden') van werken (b.v. afbeeldingen, teksten) digitaal te beheren.
Pagina 8 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia IT voorzieningen elk(e) systeem, dienst of infrastructuur voor informatieverwerking, of de fysieke locaties waarin ze zijn ondergebracht. informatiebeveiliging behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie; daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen. informatiebeveiligingsgebeurtenis vastgestelde status van een systeem, dienst of netwerk die duidt op een mogelijke overtreding van het beleid voor informatiebeveiliging of een falen van beveiligingsvoorzieningen, die relevant kan zijn voor beveiliging. informatiebeveiligingsincident afzonderlijke gebeurtenis of een serie ongewenste of onverwachte informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze nadelige gevolgen voor de bedrijfsvoering hebben en een bedreiging vormen voor de informatiebeveiliging. kwetsbaarheid zwakte van een bedrijfsmiddel of groep bedrijfsmiddelen die door een of meer bedreigingen kan worden benut. mobile code Software die tussen systemen wordt uitgewisseld, zonder expliciete installatie door de gebruiker. Mobile code heeft over het algemeen de vorm van een script of macro. richtlijn beschrijving die verduidelijkt wat behoort te worden gedaan en hoe, om de doelstellingen te bereiken die in het beleid zijn vastgelegd. risico combinatie van de waarschijnlijkheid van een gebeurtenis en het gevolg ervan. risicoacceptatie het accepteren van risico’s op basis van een evaluatie van risico’s aan de hand van vooraf vastgestelde criteria. risicoanalyse systematisch gebruik van informatie om bronnen te identificeren en de risico's in te schatten. risicobeheer gecoördineerde activiteiten om een organisatie sturing te geven en te bewaken met betrekking tot risico’s. risicobehandeling proces van keuze en implementatie van maatregelen om risico's te verlagen. risicobeoordeling algeheel proces van risicoanalyse en risico-evaluatie. risico-evaluatie proces waarin het ingeschatte risico wordt afgewogen tegen vastgestelde risicocriteria om te bepalen in welke mate het risico significant is.
Versie: november 2011
© Copyright SCGM
Pagina 9 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche
3
SYSTEEMEISEN INFORMATIEBEVEILIGING
In de hoofdstukken 4 t/m 17 worden de systeemeisen m.b.t. informatiebeveiliging omschreven. In hoofdstuk 4 wordt ingegaan op het classificeren van informatie, risico analyse en het beoordelen van de risico’s. Hoofdstuk 5 beschrijft de ontwikkeling en vastlegging van beleidsuitgangspunten. Op basis van de risico analyse en de beleidsuitgangspunten wordt een eerste set aan maatregelen gedefinieerd, die gelden als het Basis BeveiligingsNiveau (BBN) voor de organisatie. De opzet van het BBN wordt in hoofdstuk 6 beschreven. In de hoofdstuk 7 tot en met 15 worden de beheersdoelstellingen en beheersmaatregelen die in het BBN worden toegepast beschreven. Niet alle maatregelen zijn voor elk bedrijf even relevant, de relevantie worden bepaald door het risicoprofiel en de beleidsuitgangspunten. De beheersmaatregelen worden ondersteund door ‘best practices’ die in deel 2, de toelichting op de norm worden beschreven. In deel 2 toelichting op de norm worden voor de verschillende beheersmaatregelen de implementatierichtlijnen aangegeven en eventuele overige informatie. De onderneming kan de aangegeven beheersmaatregelen, implementatierichtlijnen en overige informatie doorlezen en vaststellen in welke mate deze relevant zijn en op basis daarvan deze opnemen in het eigen BBN. In hoofdstuk 16 worden de beheersmaatregelen voor de controle op en de naleving van informatiebeveiliging toegelicht. In hoofdstuk 17 de beheersmaatregelen met betrekking tot de directiebeoordeling.
4
RISICOBEOORDELING
4.1
Inventarisatie en classificatie van informatie
Doelstelling: Bewerkstelligen dat informatie een geschikt niveau van bescherming krijgt. Informatie behoort te worden geclassificeerd om bij het verwerken van de informatie de noodzaak, prioriteiten en verwachte graad van bescherming te kunnen aangeven. Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. Er behoort een informatieclassificatieschema te worden gebruikt om adequate niveaus van bescherming te definiëren en de noodzaak voor aparte verwerkingsmaatregelen te communiceren.
Beheersmaatregel Informatie behoort te worden geïnventariseerd en vervolgens worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie en/of voor de klant. De informatiestromen worden beschreven in een informatiestroom diagram. Implementatierichtlijnen Het inventariseren van de informatie wordt gedaan door het opstellen van een informatiestroom diagram. Een informatiestroom diagram is een grafische voorstelling van de informatiestromen in een
Pagina 10 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia organisatie en tussen organisaties. In bijlage D van de toelichting op de norm is een voorbeeld opgenomen van een informatiestroomdiagram. Classificaties en de bijbehorende beschermende beheersmaatregelen voor informatie behoren rekening te houden met de zakelijke behoefte aan het delen van informatie of het beperken ervan en de invloed van deze behoeften op het bedrijf. Het classificatieschema behoort eenvoudig te zijn, door gebruik te maken van een beperkt aantal classificatiecategorieën. Overige informatie Het beschermingsniveau kan worden beoordeeld door het analyseren van de vertrouwelijkheid, integriteit en beschikbaarheid en eventuele andere eisen voor de informatie die wordt beschouwd. Na verloop van tijd is informatie vaak niet langer gevoelig of kritiek, bijvoorbeeld wanneer de informatie is openbaar gemaakt. Ook daarmee behoort rekening te worden gehouden, omdat overclassificatie kan leiden tot de implementatie van overbodige beheersmaatregelen die leiden tot onnodige extra uitgaven.
4.2 Labeling en verwerking van informatie Beheersmaatregel Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd. Implementatierichtlijnen De procedures voor het labelen van informatiebedrijfsmiddelen moeten zowel fysieke als elektronische hulpmiddelen omvatten. Uitvoer van systemen die informatie bevatten die als gevoelig of kritiek wordt geclassificeerd, behoort van het benodigde classificatielabel (in de uitvoer) te zijn voorzien. Het label behoort de classificatie te weer te geven volgens de regels van 4.1. Items die hiervoor in aanmerking komen zijn afgedrukte rapporten, weergaven op het beeldscherm, beschreven media (bijvoorbeeld tapes, schijven, cd's), Opslagsystemen/Back-up systemen (Raid systemen, NAS, etc.) elektronische berichten en bestandsoverdrachten (inclusief FTP infrastructuur). Voor elk classificatieniveau behoren verwerkingsprocedures te worden opgesteld, waaronder beveiligd verwerken, opslag, transmissie, declassificatie en vernietiging. Hierbij horen ook de procedures voor de beheersketen en voor het registreren van gebeurtenissen die relevant zijn voor de beveiliging. Overeenkomsten met externe partijen waar het delen van informatie aan de orde is behoren procedures te omvatten voor de identificatie van de classificatie van die informatie en voor het interpreteren van de classificatielabels van andere organisaties. Overige informatie Het labelen van digitale informatie verloopt via een beschrijving van een procedure of via metadata.
Versie: november 2011
© Copyright SCGM
Pagina 11 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche
4.3
Risicobeoordeling Het bedrijf behoort risico’s te identificeren, te kwantificeren en een prioriteit toe te kennen aan de hand van de criteria voor risicoacceptatie en doelstellingen die relevant zijn voor de organisatie. De resultaten behoren richting te geven bij het bepalen van passende prioriteiten voor het beheersen van informatiebeveiligingsrisico’s en voor het implementeren van beheersmaatregelen om zich tegen deze risico’s te beschermen.
Beheersmaatregel Het opstellen van een risicoprofiel op basis van het schatten van de aard en omvang van de risico’s (risicoanalyse) en het vergelijken van de ingeschatte risico’s met de risicocriteria. Het opstellen van een risicoprofiel en het beoordelen van de risico’s behoren periodiek te worden uitgevoerd om in te spelen op wijzigingen in de beveiligingseisen en de risicosituatie, bijv. in de bedrijfsmiddelen, bedreigingen en kwetsbaarheden. Deze risicobeoordelingen behoren systematisch te worden uitgevoerd om vergelijkbare en reproduceerbare resultaten te kunnen verkrijgen. Implementatierichtlijnen De risicobeoordeling van de informatiebeveiliging behoort, om effectief te zijn, een goed beschreven toepassingsgebied te hebben en behoort, waar van toepassing, relaties te leggen met risicobeoordelingen op andere gebieden. Bij het opstellen van een risicoprofiel gaat het om het bepalen van de kwetsbaarheid van de organisatie per risicogebied, gecombineerd met de te nemen maatregelen om deze te verminderen. Onderliggend kunnen de kosten daarvan worden aangegeven, om een afweging te maken tussen het te lopen risico versus de benodigde investering(en). Aan de te nemen maatregelen wordt een tijdsplanning gehangen om ook in de tijd de maatregelen te beoordelen. Overige informatie Er zijn verschillende formele methoden voor het in kaart brengen van informatiebeveiliging risico’s. In bijlage A van de toelichting op de norm is de stoplicht methode opgenomen dat als hulpmiddel kan dienen om de risico’s in kaart te brengen, de mogelijke maatregelen en de prioriteiten om deze op te lossen. De methode geeft een overzichtelijke indeling van het risicoprofiel in de tijd.
5
BELEIDSDOCUMENT VOOR INFORMATIEBEVELIGING De directie behoort een duidelijke beleidsrichting aan te geven die in overeenstemming is met de bedrijfsdoelstellingen en te demonstreren dat het informatiebeveiliging ondersteunt en zich hiertoe verplicht, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid voor de hele organisatie.
Pagina 12 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia Beheersmaatregel Een document met informatiebeveiligingsbeleid behoort door de directie te worden goedgekeurd en gepubliceerd en kenbaar te worden gemaakt aan alle werknemers en relevante externe partijen. Implementatierichtlijnen Het beleidsdocument voor informatiebeveiliging behoort de betrokkenheid van de directie te verwoorden, evenals de benadering van de organisatie ten aanzien van het beheer van informatiebeveiliging. Het beleidsdocument behoort tenminste de volgende informatie te bevatten: a) een definitie van informatiebeveiliging, de algemene doelstellingen en reikwijdte ervan en het belang van informatiebeveiliging als een instrument dat het gezamenlijke gebruik van informatie mogelijk maakt; b) een intentieverklaring van de directie ter ondersteuning van de doelstellingen en uitgangspunten van informatiebeveiliging in overeenstemming met de bedrijfsstrategie en -doelstellingen; c) een kader voor het stellen van beheersdoelstellingen en beheersmaatregelen, waaronder de structuur van risicobeoordeling en risicobeheer; d) een beknopte uiteenzetting van beleid, uitgangspunten, normen en nalevingeisen ten aanzien van de beveiliging, die voor de organisatie van specifiek belang zijn, waaronder: • naleving van verplichtingen in het kader van wet- en regelgeving en contracten; • eisen met betrekking tot beveiligingsscholing, -training en bewustwording; • beheerproces van bedrijfscontinuïteit; • gevolgen van het niet naleven van informatiebeveiligingsbeleid; e) vaststelling van de algemene en specifieke verantwoordelijkheden voor het beheer van informatiebeveiliging, waaronder het rapporteren van beveiligingsincidenten; f) verwijzingen naar documentatie die het beleid kan ondersteunen, bijvoorbeeld meer gedetailleerde beveiligingsrichtlijnen en procedures voor specifieke informatiesystemen of beveiligingsvoorschriften die door gebruikers behoren te worden nageleefd. Dit informatiebeveiligingsbeleid behoort kenbaar te worden gemaakt aan gebruikers in de gehele organisatie, in een vorm die geschikt, toegankelijk en begrijpelijk is voor de lezer. Overige informatie Het informatiebeveiligingsbeleid kan onderdeel uitmaken van een algemeen beleidsdocument. Indien het informatiebeveiligingsbeleid buiten de organisatie wordt verspreid, moet erop worden gelet geen gevoelige informatie bekend te maken. In bijlage B van de toelichting op de norm is een overzicht opgenomen van onderwerpen die deel kunnen uitmaken van de beleidsuitgangspunten.
6
VASTSTELLING VAN HET BASIS BEVEILIGINGS NIVEAU (BNN)
Op basis van de risico analyse en de beleidsuitgangspunten wordt een eerste set aan maatregelen gedefinieerd, die geldt als het basis beveiligingsniveau (BBN) voor de organisatie. De vereiste maatregelen worden afgeleid van de hierna in deze norm beschreven maatregelen. Deze maatregelen worden dus toegepast op basis van de risico analyse en het vastgestelde beleid.
Versie: november 2011
© Copyright SCGM
Pagina 13 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche In het overzicht van het basis beveiligingsniveau, zijn de volgende onderdelen opgenomen: • het betreffende onderwerp of onderdeel waar de beveiliging betrekking op heeft; • de doelstelling die in dit kader binnen dit onderwerp/onderdeel gerealiseerd moet gaan worden; • een indeling naar prioriteit waarin de doelstelling gerealiseerd moet worden en waarin het belang van het treffen van de maatregelen wordt vastgesteld; • een uitwerking en toelichting op de uitwerking van de te nemen maatregelen; • een beschrijving van de status, waarin de realisatie van de te nemen maatregelen wordt vastgesteld. In Bijlage C van de toelichting op de norm is een voorbeeld rapportage opgenomen van een BBN.
7
ORGANISTATIE VAN DE INFORMATIEBEVEILIGING
Doelstelling: organisatorische beheersing van de informatiebeveiliging binnen de organisatie. De organisatie heeft taken, verantwoordelijkheden en bevoegdheden omschreven en toegewezen, aangevuld met een omschrijving van de coördinatie en de inrichting en uitvoering van communicatie.
Beleidsmaatregelen: • De directie behoort actief informatiebeveiliging binnen de organisatie te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. • Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies. • Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd. • Er behoort een goedkeuringsproces voor vernieuwde en nieuwe IT voorzieningen te worden vastgesteld en geïmplementeerd. • Eisen voor vertrouwelijkheid of geheimhoudingsovereenkomst die een weerslag vormen van de behoefte van de organisatie aan bescherming van informatie behoren te worden vastgesteld en regelmatig te worden beoordeeld. • Indien er ten behoeve van informatiebeveiliging contacten met relevante overheidsinstanties nodig zijn, moeten deze contacten worden onderhouden en afspraken/werkwijzen worden gedocumenteerd. • Indien relevant behoren er geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden. • De directie behoort van werknemers, ingehuurd personeel en externe gebruikers te eisen dat ze beveiliging toepassen overeenkomstig vastgesteld beleid en vastgestelde procedures en werkinstructies van de organisatie. • Alle werknemers van de organisatie en, voorzover van toepassing, ingehuurd personeel en externe gebruikers, behoren geschikte instructie en waar nodig training en bijscholing te krijgen met betrekking tot beleid, procedures en werkzaamheden van de organisatie, voorzover relevant voor hun functie.
Pagina 14 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia •
Er behoort een formeel disciplinair proces te zijn vastgesteld voor werknemers die inbreuk op de beveiliging hebben gepleegd.
De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 7 (toelichting op de norm).
8
BEHEER VAN BEDRIJFSMIDDELEN DIE VERBAND HOUDEN MET IT VOORZIENINGEN Doelstelling: Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie, die verband houden met IT voorzieningen.
Beheersmaatregelen: • Alle bedrijfsmiddelen die verband houden met IT voorzieningen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden. • Er behoort een overzicht te zijn van de systeemarchitectuur waarin de IT voorzieningen zijn omschreven en de wijze waarop deze middels netwerkvoorzieningen gekoppeld zijn. In bijlage E van de toelichting op de norm is een voorbeeld van een systeemarchitectuur opgenomen. • Alle informatie en bedrijfsmiddelen die verband houden met IT voorzieningen behoren een ‘eigenaar’, dwz een persoon die verantwoordelijk is voor het gebruik of beheer van een voorziening, te hebben in de vorm van een aangewezen deel van de organisatie. • Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met IT voorzieningen. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 8 (toelichting op de norm).
9
BEVELIGING VAN PERSONEEL
Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen.
Beheermaatregelen: • De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie.
Versie: november 2011
© Copyright SCGM
Pagina 15 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche •
Verificatie van de achtergrond van alle kandidaten voor een diensverband, ingehuurd personeel en externe gebruikers behoren te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoren evenredig te zijn aan de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's. Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging behoren te zijn vastgelegd. De verantwoordelijkheden voor beëindiging of wijziging van het dienstverband behoren duidelijk te zijn vastgesteld en toegewezen. Alle werknemers, ingehuurd personeel en externe gebruikers behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben te retourneren bij beëindiging van hun dienstverband, contract of overeenkomst. De toegangsrechten van alle werknemers, ingehuurd personeel en externe gebruikers tot informatie en IT voorzieningen behoren te worden geblokkeerd bij beëindiging van het dienstverband, het contract of de overeenkomst, of behoort na wijziging te worden aangepast.
•
• •
•
De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 9 (toelichting op de norm).
10
FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING
10.1 Beveiligde ruimten Doelstelling: Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie.
Beheersmaatregelen: • Er behoren toegangsbeveiligingen (toegangsdeuren of -poorten met kaartsloten) te worden aangebracht om ruimten te beschermen waar zich informatie en IT voorzieningen bevinden. • Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten. • Er behoort fysieke beveiliging van kantoren, ruimten en faciliteiten te worden ontworpen en toegepast indien dat voor informatiebeveiliging relevant is. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 10.1 (toelichting op de norm).
Pagina 16 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia
10.2 Beveiliging van apparatuur Doelstelling: het voorkomen van verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten.
Beheersmaatregelen: • Apparatuur behoort zo te worden geplaatst en beschermd dat risico's van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang wordt verminderd. • Voeding- en telecommunicatiekabels die voor data verkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen aftappen of beschadiging te worden beschermd. • Apparatuur behoort op correcte wijze te worden onderhouden, om te waarborgen dat deze voortdurend beschikbaar is en in goede staat verkeert. • Informatieverwerkende apparatuur in gebruik buiten de terreinen behoort te worden beveiligd waarbij rekening wordt gehouden met de risico's van werken buiten het terrein van de organisatie. • Alle apparatuur die opslagmedia bevat, behoort te worden gecontroleerd om te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur zijn verwijderd of veilig zijn overschreven voordat de apparatuur wordt verwijderd. • Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 10.2 (toelichting op de norm).
11
BEHEER VAN COMMUNICATIE EN BEDIENINGSPROCESSEN
11.1 Bedieningsprocedures en verantwoordelijkheden Doelstelling: Waarborgen van een correcte en veilige bediening van IT voorzieningen.
Beheersmaatregelen: • Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben. • Wijzigingen in IT voorzieningen en informatiesystemen behoren te worden beheerst. • In het geval dat een organisatie zelf programmatuur of scripts ontwikkelt, behoren de faciliteiten voor ontwikkeling en testen van de productie te zijn gescheiden om het risico van verstoring van de productie of onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 11.1 (toelichting op de norm).
Versie: november 2011
© Copyright SCGM
Pagina 17 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche
11.2 Beheer van de dienstverlening door een derde partij Doelstelling: Geschikt niveau van informatiebeveiliging en dienstverlening implementeren en bijhouden in overeenstemming met de overeenkomsten voor dienstverlening door een derde partij.
Beheersmaatregelen: • Er behoort te worden bewerkstelligd dat de definities van dienstverlening, niveaus van dienstverlening en beveiligingsmaatregelen zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en worden bijgehouden door die derde partij. • De diensten, rapporten en registraties die door de derde partij worden geleverd, behoren regelmatig te worden gecontroleerd en beoordeeld. • Wijzigingen in de dienstverlening door derden, waaronder het bijhouden en verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, behoren te worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en -processen en met heroverweging van risico's. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 11.2 (toelichting op de norm).
11.3 Systeemacceptatie Doelstelling: Het risico van systeemstoringen tot een minimum beperken.
Beheersmaatregelen: • Er behoren aanvaardingscriteria te worden vastgesteld voor nieuwe informatiesystemen, upgrades en nieuwe versies en er behoort een geschikte test van het systeem of de systemen te worden uitgevoerd De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 11.3 (toelichting op de norm).
11.4 Bescherming tegen virussen, ‘mobile code’ en scripts Doelstelling: Beschermen van de integriteit van programmatuur en informatie.
Pagina 18 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia Beheersmaatregelen: • Er behoren maatregelen te worden getroffen voor detectie van virussen, preventie tegen virussen en herstellen van apparatuur geïnfecteerd door virussen en er behoren geschikte procedures te worden ingevoerd om het bewustzijn van de gebruikers te vergroten. • Als gebruik van ‘mobile code’ is toegelaten, behoort de configuratie te bewerkstelligen dat de geautoriseerde ‘mobile code’ functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, en behoort te worden voorkomen dat onbevoegde ‘mobile code’ wordt uitgevoerd. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 11.4 (toelichting op de norm).
11.5 Maken van een Back-up Doelstelling: Handhaven van de integriteit en beschikbaarheid van informatie en IT voorzieningen.
Beheersmaatregelen: • Er behoren back-upkopieën van informatie en programmatuur te worden gemaakt en regelmatig te worden getest overeenkomstig het vastgestelde back-upbeleid. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 11.5 (toelichting op de norm).
11.6 Beheer van netwerkbeveiliging Doelstelling: Bewerkstelligen van de bescherming van informatie in netwerken en bescherming van de ondersteunende infrastructuur.
Beheersmaatregelen: • Netwerken behoren adequaat te worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 11.6 (toelichting op de norm).
11.7 Bescherming van media Doelstelling: Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van media die van belang zijn voor de bedrijfsactiviteiten.
Versie: november 2011
© Copyright SCGM
Pagina 19 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche
Beheersmaatregelen: • Er behoren procedures te zijn vastgesteld voor het beheer van transporteerbare media. • Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures. • Er behoren procedures te worden vastgesteld voor de behandeling, uitwisseling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking, misbruik of gebruik zonder toestemming in het kader van copyright bescherming. • Systeemdocumentatie behoort te worden beschermd tegen onbevoegde toegang. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 11.7 (toelichting op de norm).
11.8 Uitwisseling van informatie Doelstelling: Handhaven van beveiliging van informatie en programmatuur die wordt uitgewisseld binnen een organisatie en met enige externe partij (klant, toeleverancier, etc.).
Beheersmaatregelen: • Er behoren formeel beleid, formele procedures en formele beheersmaatregelen te zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen. • Er behoren overeenkomsten te worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen (klanten/toeleveranciers). • Media die informatie bevatten behoren te worden beschermd tegen onbevoegde toegang, misbruik of corruptie tijdens transport buiten de fysieke begrenzing van de organisatie. • Informatie die een rol speelt bij elektronische berichtuitwisseling behoort op geschikte wijze te worden beschermd. • Beleid en procedures behoren te worden ontwikkeld en geïmplementeerd om informatie te beschermen die een rol speelt bij de onderlinge koppeling van systemen voor bedrijfsinformatie. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 11.8 (toelichting op de norm).
11.9 Diensten voor e-commerce Doelstelling: Bewerkstelligen van de beveiliging van diensten voor e-commerce en veilig gebruik ervan.
Beheersmaatregelen: • Informatie die een rol speelt bij elektronische handel (o.a. web to print applicaties) en die via het internet wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en modificatie.
Pagina 20 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia •
•
Informatie die een rol speelt bij onlinetransacties (bijvoorbeeld een betalingssysteem als onderdeel van een web to print applicatie) behoort te worden beschermd om onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen. De betrouwbaarheid van de informatie die beschikbaar wordt gesteld op een openbaar toegankelijk systeem (bijvoorbeeld een bedrijfswebsite op internet) behoort te worden beschermd om onbevoegde modificatie te voorkomen.
De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 11.9 (toelichting op de norm).
12
BEDRIJFSEISEN TEN AANZIEN VAN TOEGANGSBEHEERSING
12.1 Toegangsbeleid Doelstelling: Beheersen van de toegang tot informatie.
Beheersmaatregelen: • Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 12.1 (toelichting op de norm).
12.2 Beheer van toegangsrechten van gebruikers Doelstelling: Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot informatiesystemen voorkomen.
Beheersmaatregelen: • Er behoren formele procedures voor het registreren en afmelden van gebruikers te zijn vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle informatiesystemen en diensten. • De toewijzing en het gebruik van speciale bevoegdheden behoren te worden beperkt en beheerst. • De toewijzing van wachtwoorden behoort met een formeel beheerproces te worden beheerst. • De directie behoort de toegangsrechten van gebruikers regelmatig te beoordelen in een formeel proces.
Versie: november 2011
© Copyright SCGM
Pagina 21 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 12.2 (toelichting op de norm).
12.3 Verantwoordelijkheden van gebruikers Doelstelling: Voorkomen van onbevoegde toegang door gebruikers, en van beschadiging of diefstal van informatie en IT voorzieningen.
Beheersmaatregelen: • Gebruikers behoren goede beveiligingsgewoontes in acht te nemen bij het kiezen en gebruiken van wachtwoorden. • Gebruikers behoren te bewerkstelligen dat onbeheerde apparatuur passend is beschermd. • Er behoort een ‘clear desk’-beleid voor papier en verwijderbare opslagmedia en een ‘clear screen’-beleid voor IT voorzieningen te worden ingesteld wanneer gewerkt wordt met gevoelige informatie. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 12.3 (toelichting op de norm).
12.4 Toegangsbeheersing voor netwerken Doelstelling: Het voorkomen van onbevoegde toegang tot netwerkdiensten.
Beheersmaatregelen: • Gebruikers behoort alleen toegang te worden verleend tot diensten waarvoor ze specifiek bevoegd zijn. • Er behoren geschikte authenticatiemethoden te worden gebruikt om toegang van gebruikers op afstand te beheersen. • Automatische identificatie van apparatuur behoort te worden overwogen als methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren. • De fysieke en logische toegang tot poorten voor diagnose en configuratie behoort te worden beheerst. • Groepen informatiediensten, gebruikers en informatiesystemen behoren op netwerken te worden gescheiden. • Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de organisatie overschrijden, behoren de toegangsmogelijkheden voor gebruikers te worden beperkt, overeenkomstig het toegangsbeleid en de eisen van bedrijfstoepassingen. • Netwerken behoren te zijn voorzien van beheersmaatregelen voor netwerkroutering, om te bewerkstelligen dat computerverbindingen en informatiestromen niet in strijd zijn met het toegangsbeleid voor de bedrijfstoepassingen.
Pagina 22 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 12.4 (toelichting op de norm).
12.5 Toegangsbeheersing voor informatiesystemen en informatie Doelstelling: Voorkomen van onbevoegde toegang tot informatie in informatiesystemen.
Beheersmaatregelen: • Toegang tot informatie en functies van informatiesystemen door gebruikers en ondersteunend personeel behoort te worden beperkt overeenkomstig het vastgestelde toegangsbeleid. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 12.5 (toelichting op de norm).
12.6 Draagbare computers en telewerken Doelstelling: Waarborgen van informatiebeveiliging bij het gebruik van draagbare computers en faciliteiten voor telewerken.
Beheersmaatregelen: • Er behoort formeel beleid te zijn vastgesteld en er behoren geschikte beveiligingsmaatregelen te zijn getroffen ter bescherming tegen risico's van het gebruik van draagbare computers en communicatiefaciliteiten. • Er behoren beleid, operationele plannen en procedures voor telewerken/thuiswerken te worden ontwikkeld en geïmplementeerd. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 12.6 (toelichting op de norm).
13
VERWERKING, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN
13.1 Beveiligingseisen voor informatiesystemen Doelstelling: Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen.
Beheersmaatregelen: • Bij het opstellen van de eisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen behoren ook eisen voor beveiligingsmaatregelen te worden opgenomen. Bij het opstellen van de eisen voor nieuwe informatiesystemen of uitbreidingen van bestaande Versie: november 2011
© Copyright SCGM
Pagina 23 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche informatiesystemen behoren ook eisen voor beveiligingsmaatregelen te worden opgenomen. In het proces van aanschaf van informatiesystemen behoren deze eisen in het inkoopproces te worden meegenomen. In de contracten met de leverancier behoren de vastgestelde beveiligingseisen te zijn opgenomen. Waar de beveiligingsfunctionaliteit in een voorgesteld product niet voldoet aan de gestelde eis, behoren het geïntroduceerde risico en de daarmee verbonden beheersmaatregelen te worden heroverwogen alvorens het product aan te schaffen. Waar extra functionaliteit wordt geleverd die een beveiligingsrisico met zich meebrengt, behoort dit risico te worden uitgeschakeld of behoort de voorgestelde beheersstructuur opnieuw te worden beoordeeld om te bepalen of er voordeel te behalen is uit de extra functionaliteit die beschikbaar is. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 13.1 (toelichting op de norm).
13.2
Correcte verwerking in toepassingen
Doelstelling: Voorkomen van fouten, verlies, onbevoegde modificatie of misbruik van informatie in toepassingen.
Beheersmaatregelen: • Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn. • Er behoren validatiecontroles te worden opgenomen in toepassingen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken. • Gegevensuitvoer uit een toepassing behoort te worden gevalideerd, om te bewerkstelligen dat de verwerking van opgeslagen gegevens op de juiste manier plaatsvindt en geschikt is gezien de omstandigheden. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 13.2 (toelichting op de norm).
13.3 Beveiliging van systeembestanden Doelstelling: Beveiliging van systeembestanden bewerkstelligen.
Beheersmaatregelen: • Er behoren procedures te zijn vastgesteld om de installatie van programmatuur op productiesystemen te beheersen. • De toegang tot broncode van programmatuur behoort te worden beperkt. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 13.3 (toelichting op de norm). Pagina 24 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia
13.4 Beveiliging bij ontwikkelings- en ondersteuningsprocessen Doelstelling: Beveiliging van toepassingsprogrammatuur en -informatie handhaven.
Beheersmaatregelen: • De implementatie van wijzigingen in informatiesystemen behoort te worden beheerst door middel van formele procedures voor wijzigingsbeheer. • Bij wijzigingen in besturingssystemen behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te bewerkstelligen dat er geen nadelige gevolgen zijn voor de activiteiten of beveiliging van de organisatie. • Wijzigingen in programmatuurpakketten behoren te worden ontmoedigd, te worden beperkt tot noodzakelijke wijzigingen en alle wijzigingen behoren strikt te worden beheerst. • Er behoort te worden voorkomen dat zich gelegenheden voordoen om informatie te laten uitlekken. • Uitbestede ontwikkeling van programmatuur behoort onder supervisie te staan van en te worden gecontroleerd door de organisatie. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 13.4 (toelichting op de norm).
13.5 Beheer van technische kwetsbaarheden Doelstelling: Risico's verminderen als gevolg van benutting van gepubliceerde technische kwetsbaarheden.
Beheersmaatregelen: • Er behoort tijdig informatie te worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen voor behandeling van daarmee samenhangende risico's. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 13.5 (toelichting op de norm).
Versie: november 2011
© Copyright SCGM
Pagina 25 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche
14
CONTROLE OP- EN NALEVING VAN HET SYSTEEM VAN INFORMATIEBEVEILIGING
14.1 Controle op informatieverwerkingsactiviteiten Doelstelling: Ontdekken van onbevoegde informatieverwerkingsactiviteiten. Systemen behoren te worden gecontroleerd en informatiebeveiligingsgebeurtenissen behoren te worden geregistreerd. Er behoort gebruik te worden gemaakt van logbestanden van operators en storingsregistraties om te waarborgen dat de informatiesysteemproblemen worden vastgesteld.
Beheersmaatregelen: • Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen behoren te worden vastgelegd in audit-logbestanden. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. • Er behoren procedures te worden vastgesteld om het gebruik van IT voorzieningen te controleren. Het resultaat van de controleactiviteiten behoort regelmatig te worden beoordeeld. • Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen inbreuk en onbevoegde toegang. • Activiteiten van systeemadministrators en systeemoperators behoren in logbestanden te worden vastgelegd. • •
Storingen behoren in logbestanden te worden vastgelegd en te worden geanalyseerd en er behoren geschikte maatregelen te worden genomen. De klokken van alle relevante informatiesystemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron.
De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 14.1 (toelichting op de norm).
14.2 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken Doelstelling: Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden die verband houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen.
Beheersmaatregelen: • Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.
Pagina 26 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 14.2 (toelichting op de norm)
14.3 Beheer van informatiebeveiligingsincidenten en –verbeteringen Doelstelling: Bewerkstelligen dat een consistente en doeltreffende benadering wordt toegepast voor het beheer van informatiebeveiligingsincidenten.
Beheersmaatregelen: • Er behoren leidinggevende verantwoordelijkheden en procedures te worden vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten te bewerkstelligen. • Er behoren mechanismen te zijn ingesteld waarmee de aard, omvang en kosten van informatiebeveiligingsincidenten kunnen worden gekwantificeerd en gecontroleerd. • Waar een vervolgprocedure tegen een persoon of organisatie na een informatiebeveiligingsincident juridische maatregelen omvat (civiel, arbeidsrechtelijk of strafrechtelijk), behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 14.3 (toelichting op de norm).
15
BEDRIJFSCONTINUÏTEITSBEHEER
15.1 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Doelstelling: Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen en om tijdig herstel te bewerkstelligen.
Beheersmaatregelen: • Er behoort een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie te worden ontwikkeld en bijgehouden, gericht op de naleving van eisen voor informatiebeveiliging die nodig zijn voor de continuïteit van de bedrijfsvoering. • Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor informatiebeveiliging. • Er behoren plannen te worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen.
Versie: november 2011
© Copyright SCGM
Pagina 27 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche •
•
Er behoort een kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud. Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geüpdate, om te bewerkstelligen dat ze actueel en doeltreffend blijven.
De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 15.1 (toelichting op de norm).
16
NALEVING
16.1 Naleving van wettelijke voorschriften Doelstelling: Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van enige beveiligingseisen.
Beheersmaatregelen: • De relevante wettelijke en regelgevende eisen, contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie. • Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten. • Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. • De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. • Gebruikers behoren ervan te worden weerhouden IT voorzieningen te gebruiken voor onbevoegde doeleinden. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 16.1 (toelichting op de norm)
16.2 Naleving van beveiligingsbeleid en -normen en technische naleving Doelstelling: Bewerkstelligen dat systemen voldoen aan het beveiligingsbeleid en de beveiligingsnormen van de organisatie.
Pagina 28 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia Beheersmaatregelen: • Managers behoren te bewerkstelligen dat alle beveiligingsprocedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van beveiligingsbeleid en -normen. • Informatiesystemen behoren regelmatig te worden gecontroleerd op naleving van implementatie van beveiligingsnormen. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 16.2 (toelichting op de norm)
16.3 Overwegingen bij audits van informatiesystemen Doelstelling: Doeltreffendheid van audits van het informatiesysteem maximaliseren en verstoring als gevolg van systeemaudits minimaliseren.
Beheersmaatregelen: • Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken. • Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbuik of compromittering te voorkomen. De implementatierichtlijnen en overige informatie worden beschreven in hoofdstuk 16.3 (toelichting op de norm).
17
DIRECTIEBEOORDELING
17.1 Beoordeling van het informatiebeveiligingsbeleid Beheersmaatregel Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, of zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft. Implementatierichtlijnen Het informatiebeveiligingsbeleid behoort een eigenaar te hebben die een door de directie goedgekeurde verantwoordelijkheid heeft voor het ontwikkelen, beoordelen en evalueren van het beveiligingsbeleid. In de beoordeling behoort te worden meegenomen welke mogelijkheden er voor verbetering zijn en of er wijzigingen zijn in de omgeving van de organisatie, bedrijfsomstandigheden, wettelijke voorwaarden of technische omgeving.
Versie: november 2011
© Copyright SCGM
Pagina 29 van 31
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia-branche Het informatiebeveiligingsbeleid behoort te worden beoordeeld door de directie (d.i. directiebeoordeling). De uitvoering van directiebeoordelingen (tijd, hoe vaak) behoort omschreven te zijn. Voor een optimale uitvoering van de directiebeoordeling is de volgende informatie nodig: a) terugkoppeling van belanghebbende partijen; b) resultaten van eventuele onafhankelijke beoordelingen; c) status van preventieve en corrigerende handelingen; d) resultaten van voorgaande directiebeoordelingen; e) naleving van het informatiebeveiligingsbeleid; f) veranderingen die van invloed zouden kunnen zijn op de aanpak van de organisatie voor het beheren van informatiebeveiliging, waaronder veranderingen in de omgeving van de organisatie, bedrijfsomstandigheden, beschikbaarheid van middelen, contractuele voorwaarden of voorwaarden uit wet- of regelgeving, of de technische omgeving; g) trends en ontwikkelingen in verband met bedreigingen en kwetsbaarheden; h) gerapporteerde informatiebeveiligingsgebeurtenissen; i) aanbevelingen verstrekt door leveranciers, afnemers, accountant of relevante autoriteiten. De resultaten van de directiebeoordeling behoren alle besluiten en handelingen te omvatten die verband houden met: a) verbetering van de aanpak van de organisatie voor het beheren van informatiebeveiliging en onderliggende processen; b) verbetering van beheersdoelstellingen en beheersmaatregelen; c) verbetering van de toewijzing van middelen en/of taken, verantwoordelijkheden en bevoegdheden. Er behoort een verslag van de directiebeoordeling te worden bijgehouden. Voor het herziene beleid behoort goedkeuring van de directie te worden verkregen.
17.2 Onafhankelijke beoordeling van informatiebeveiliging Beheersmaatregel De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, maatregelen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging. Implementatierichtlijnen De onafhankelijke beoordeling moet worden geïnitieerd door de directie. Een dergelijke onafhankelijke beoordeling is nodig om te waarborgen dat de organisatie een geschikte, toereikende en doeltreffende aanpak van het beheer van informatiebeveiliging hanteert. In de beoordeling behoren de mogelijkheden voor verbetering en de noodzaak om wijzigingen aan te brengen in de beveiligingsaanpak, waaronder het beleid en de beheersdoelstellingen, te worden meegenomen. Een dergelijke beoordeling moeten worden uitgevoerd door personen die onafhankelijk zijn ten opzichte van de omgeving die wordt beoordeeld, bijvoorbeeld de interne auditor, een onafhankelijke manager of een derde partij die in dergelijke beoordelingen is gespecialiseerd, voor zover zij beschikken over de juiste vaardigheden en ervaring.
Pagina 30 van 31
© Copyright SCGM
Versie: november 2011
Grafimedia Certificatienorm Informatiebeveiliging uitgegeven door de Stichting Certificatie Grafimedia De resultaten van de onafhankelijke beoordeling behoren te worden vastgelegd en aan de directie te worden gerapporteerd die de beoordeling heeft geïnitieerd. De verslagen behoren te worden bewaard. Indien in de onafhankelijke beoordeling wordt vastgesteld dat de aanpak en implementatie van het beheer van informatiebeveiliging van de organisatie ontoereikend zijn of niet in overeenstemming zijn met de koers voor informatiebeveiliging die is vastgelegd in het beleidsdocument over informatiebeveiliging, behoort de directie corrigerende maatregelen te nemen. Overige informatie Voor het regelmatig beoordelen van de beveiligingsmaatregelen is het in Bijlage C van de toelichting op de norm opgenomen schema Basis Beveiligings Niveau (BBN) nuttig om als leidraad te hanteren. Het is tevens mogelijk om externe beveiligings adviseur in te schakelen om delen van het beleid te beoordelen.
Versie: november 2011
© Copyright SCGM
Pagina 31 van 31