Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet.
Door Jan Breeman BKWI Verantwoordingsrichtlijn
Verantwoording over de beveiliging van Suwinet
De Regeling SUWI schrijft voor dat de Suwipartijen zich jaarlijks aan de minister van SZW en IWI moeten verantwoorden over de beveiliging van Suwinet. Deze verantwoording moet worden afgelegd op basis van een edpaudit uitgevoerd door een register edp-auditor (RE). Hierbij wordt een onderscheid gemaakt tussen: de verantwoording over de gegevensuitwisseling (Art. 6.4) de verantwoording over de gegevensverwerking (Art. 5.22) Voor de het ontwikkelen van een verantwoordingsrichtlijn en een gezamenlijk gedragen normenkader is de Werkgroep Verantwoordingsrichtlijn ingericht.
Missie Werkgroep Verantwoordingsrichtlijn
Doel(stelling) van de verantwoording Afzonderlijke verantwoording door de Suwipartijen en een evenwichtig totaaloverzicht over de beveiliging van Suwinet als geheel Betere bescherming van de bedrijfsgevoelige informatie en reduceren van beveiligingsrisico’s Sneller en gemakkelijker herstel na een beveiligingsincident
Betrokkenen bij de audit(s) CWI, UWV, IB, BKWI, IWI, min. SZW SIOD, CP/ICT en SVB
Mijlpalen De verantwoordingsrichtlijn is in onderdelen ontwikkeld en als geheel opgeleverd
Activiteiten van de werkgroep Stappenplan
Omschrijving
Starten van het project
Zorg voor commitment van de directie / Raad van Bestuur; Selecteer en kwalificeer (opleiding) de leden van het projectteam.
Definitie van het Informatiebeveiliging Beheersysteem
Identificeren van de scope and reikwijdte van het framewerk voor Informatiebeveiligingbeheer is cruciaal voor het succes van het project.
Risico Assessment
Identificeer en evalueer dreigingen en kwetsbaarheden; Bereken de waarde van bijkomstige risico’s; Toets het niveau van naleving van het Normenkader; Inventariseer en evalueer de (bedrijfs)middelen die beschermd moeten worden.
Risico afhandeling
Ga na hoe welke controlemaatregelen geselecteerd en geïmplementeerd kunnen worden om de organisatie optimaal in staat te stellen de risico’s te reduceren tot een acceptabel risico.
Opleiding en bewustwording
Personeelsleden zijn veelal de zwakste schalek zijn in de informatiebeveiliging van de organisatie.
Audit voorbereiding
Ruim voordat de edp-audit plaatsvindt kunnen een penetratietest en een quick-scan mogelijke zwakke plekken aan het licht brengen en verholpen worden.
Audit
Neem lering uit meer over de uitgevoerde stappen van de edpauditor en certificeringinstanties.
Mijlpalen
29 Okt 2004
13 juli 2004 sept 2003 nov 2002
Verantwoordingsrichtlijn is vastgesteld
Het Normenkader is vastgesteld
Oplevering eerste concept van de Verantwoordingsrichtlijn en het Normenkader
Inrichting werkgroep voor de ontwikkeling van een Verantwoordingsrichtlijn
Wat is de Verantwoordingsrichtlijn
Een richtlijn voor elk van de Suwipartijen met als doel: een evenwichtig beeld te kunnen geven over de beveiliging van het Suwinet als geheel
Een handreiking voor de edp-auditor met: Opdracht aan de auditor Doelstelling van de audit Afbakening van de audit Te hanteren criteria bij de audit De uitvoeringsnormen voor de audit Het format voor de rapportage
Voor wie is de richtlijn bedoeld?
De Verantwoordingsrichtlijn is ontwikkeld voor de partijen binnen het Suwidomein. Alle organisaties die gebruik maken van het Suwinet moeten zich verantwoorden volgens deze verantwoordingsrichtlijn. De Suwipartijen zijn: CWI, UWV, IB, GSD’s, BKWI
Organisaties die naar verwachting in de nabije toekomst aan zullen sluiten zijn: SIOD, SVB
Opbouw van de Verantwoordingsrichtlijn
Er is bewust voor gekozen de Verantwoordingsrichtlijn, het Normenkader en de Rapportagemodellen te integreren, zodat één document aan de edp-auditor overhandigd kan worden. De Verantwoordingsrichtlijn beschrijft: De uitvoeringsnormen (eisen) aan de audit De afbakening van de scope en diepgang van het onderzoek De kwaliteitscriteria voor de toetsing Exclusiviteit, Integriteit, Beschikbaarheid en Controleerbaarheid
De toetsing van Opzet, Bestaan en Werking De toetsing van de werking (Handreiking voor de auditor)
De weging van de bevindingen De rapportage Rapportage door de Suwipartijen Model rapportage voor de Suwipartijen en voor het BKWI Model rapportage voor het Samenvattend Overzicht over de beveiliging van Suwinet
Onderdelen van de Verantwoordingsrichtlijn
Het normenkader (in augustus vastgesteld) De essentiële normen (in september vastgesteld) De criteria voor het oordeel van de auditor (in september vastgesteld) De weging van de normen (in september vastgesteld) Het format van de rapportage (in september vastgesteld) De werking (operationeel per 2005, wordt nog uitgewerkt )
Schematische weergave van het Suwinet A = Domein van de Suwipartij B = Deel van het domein van de Suwipartij dat: § ondersteund wordt door de gegevensuitwisseling via Suwinet § faciliteiten biedt ten behoeve van de gegevensuitwisseling via Suwinet C = Het Suwinet
A CWI B
UWV B
BKWI C
B
IB
B Gemeenten A
A
SVB A
B SIOD A
Reikwijdte van de edp-audit voor de beveiliging van Suwinet CWI
UWV
SVB
IB
GSD’s
SIOD
A
A
A
A
A
A
B
B
B
B
B
C BKWI
A = omgeving van de Suwipartij B = deel van de omgeving van de Suwipartij dat: a) ondersteund wordt door de gegevensuitwisseling via Suwinet b) faciliteiten biedt ten behoeve van de gegevensuitwisseling via Suwinet C = Suwinet
De verantwoording over de beveiliging van Suwinet volgens Art. 6.4. Regeling SUWI omvat de vlakken B en C
Reikwijdte (vervolg) Alle aspecten die deel uitmaken van de gegevensuitwisseling via Suwinet vallen binnen de reikwijdte van het beveiligingsbeleid, het beveiligingsplan en de verantwoording voor Suwinet
Suwinet
Reikwijdte van het beleid
De tien aandachtsgebieden Strategisch
1. Beveiligingbeleid 2. Organisatie beveiliging 3.Classificatie & contrôle van (hulp)middelen
7. Toegang controle
10. Naleving
4. Personele beveiliging
Operationeel
8. Systeem ontwikkeling & onderhoud
5. Physical and environmental security
6. Communicatie & operatieoneel beheer
9. Continuïteits beheer
Rapportage
Jaarlijks op 15 maart moeten de Suwipartijen de eigen verantwoording en de Security Officer van het BKWI de Samenvattende Rapportage aangeleverd hebben aan IWI en ministerie. In de praktijk worden de rapportages van de Suwipartijen vlak voor de 15e vastgesteld en omdat de Samenvattende Rapportage op basis van de vastgestelde rapportage samengesteld moet worden, is dit vaak een probleem. De Verantwoordingsrichtlijn bevat modellen voor de afzonderlijke en gezamenlijke rapportages
Potentiële obstakels & succesfactoren
Toegewezen personeel en middelen Externe expertise Ruime kennis van risicobeheerfuncties (beheer) en processen (operationeel beheer) Angst, weerstand voor veranderingen; Risico van continuïteit Verhoogde kosten;
Frequente communicatie Bewustwording van manager en personeelsleden;
Ontoereikende kennis voor de geselecteerde aanpak;
Betrokkenheid en medeverantwoordelijkheid van het directie of Raad van Bestuur
Schijnbaar onmogelijke taak
Gestructureerde aanpak
Voordelen
De verantwoording op basis van een gezamenlijk normenkader biedt de mogelijkheid de beveiliging te structureren en biedt de basis voor: Verhoogd wederzijds vertrouwen tussen de partijen; Handvat voor de borging van de beveiliging. Verbeterde privacy praktijk en naleving van privacy wetgeving Potentieel lagere kosten voor computer risicoverzekeringen;
Toekomst
Omdat de Verantwoordingsrichtlijn is ontwikkeld vanuit de Code voor Informatiebeveiliging, kunnen de Suwipartijen te zijner tijd besluiten tot het laten certtificeren van de beveiliging van Suwinet. Het audit proces kan door de volgende instanties worden uitgevoerd: Interne audit Dit is de basis om het beveiligingsproces binnen de eigen organisatie te borgen
Externe audit Dit is de basis voor de verantwoording over uitbestede diensten (TPM-verklaring)
Edp-audit door een BSI Register-auditor (officiële certificatie) Dit is de basis voor de verantwoording naar de minister
Geraadpleegde bronnen
Regeling SUWI Stelselontwerp Suwinet (Bijlage XIII bij de Regeling SUWI) Beveiliging Suwinet, Bijlage XIV bij de Regeling SUWI Beveiligingsbeleid Suwinet Keten-SLA Handleiding Oordelen van gekwalificeerde IT-auditors (uitgave van NOREA – de beroepsorganisatie van IT-auditors) Richtlijn Assurance-opdrachten (RAC 100) NIVRA Code voor Informatiebeveiliging 2000 (gebaseerd op de BS7799) Achtergrondstudies en Verkenningen 23 – Beveiliging van Persoonsgegevens (CBP)
Tot besluit
Informatie over de Verantwoordingsrichtlijn edp-audit Suwinet en het SuwinetNormenkader kunt u vinden op www.bkwi.nl. U kunt ook contact opnemen met de Security Officer van het BKWI: 0208513748
Einde presentatie
Hartelijk dank voor uw aandacht
