H1. Basisbegrippen van IT beveiliging Informatieplan Concrete invulling van het informatiebeveiligingsbeleid als onderdeel van het organisatiebeleid

ISF uittreksel H1. Basisbegrippen van IT beveiliging Informatieplan Concrete invulling van het informatiebeveiligingsbeleid als onderdeel van het organisatiebeleid. Vierde productiefactor Informatie Beveiligingsincident Een gebeurtenis die de betrouwbaarheid van de informatie of de informatieverwerking kan verstoren. Waarde van informatie • Kwaliteit van de informatie • Belang van de informatie Kwaliteitseisen voor informatie Betrouwbaarheid==BIV Beschikbaarheid • Tijdigheid • Continuïteit • Beschikbaarheid Integriteit • Correctheid • Volledigheid • Geldigheid • Authenticiteit • Onweerlegbaarheid • Nauwkeurigheid • Controleerbaarheid Vertrouwelijkheid • Exclusiviteit • Betrouwbaarheid Continuïteit(-management) Verantwoordelijkheid van de lijnmanagers • Beleid • Continuïteitsplan o Welke bedreigingen? o Kans op bedreigingen? o Schade? o Maatregelen. • Risicoanalyse • Maatregelen Bedreigingen •

Menselijke bedeigingen o Onopzettelijke …
Illegale software
Foutieve invoer
verwijderen een beschadigen gegevens
Niet goed opbergen gegevensdragers
Binnenhalen kwaadaardige programmatuur

•


Ondeskundig gebruik van apparatuur
Slordige omgang met autorisaties en wachtwoorden
Niet uitloggen
Schade bij bouwwerkzaamheden o Opzettelijke …
Inbraak
Sabotage
Kopieren van vertrouwelijke informatie
Ongeautoriseerd wijzigen van gegevens
Afluisteren of aftappen
Verspreiden van kwaadaardige programmatuur
Veroorzaken van storingen
Bedrijfsspionage
Vandalisme
Terrorisme
Misbruik van identiteit
Niet houden aan voorschriften Niet-menselijke bedreigingen en storingen o Natuur
Storm
Bliksem
Brand
Ziekte o Storingen
Stroomstoringen
Storingen in de airconditioning
Kortsluiting
Fouten in hard of software

Bronnen van menselijke bedreigingen • Personeel • Hacker • Terrorist • Crimineel • Klanten • Concurrenten Informatiebeveiliging Maatregelen waarborgen: • Betrouwbaarheid (BIV) van de informatie • Informatievoorziening • Bedrijsmiddelen Kwaadaardige software • Virus • Worm • Trojan Horse • Logische bom • Hoax • Spam Bedreigingenanalyse Geeft inzicht in bedreigingen en gevolgen (uitgesplitst in BIV). Kwetsbaarheid De mate waarin een object gevoelig is voor een bepaalde bedreiging. Risico = kans x schade

Risicomanagement Risico’s identificeren en tot ene aanvaardbaar risico terug te brengen Soorten risicoanalyse •

•

Standaard vragenlijst Voordelen: Goedkoop, snel in te voeren, normeerbaar, inzicht, bewustwording. Nadelen: Sluit niet aan, statisch, info beveiliging voor hackers o Quick scan
Minst uitgebreid
Geen specifieke organisatie eisen o Baseline checklist
Uitgebreider en diepgaander
Aangepast aan eigen organisatie
Bijvoorbeeld op basis van: Code voor informatiebeveiliging Kwalitatieve risicoanalyse Voordelen, Maatwerk, dynamisch, hackers minder inzicht. Nadelen: Complex, tijd, kosten en levert (soms) te veel informatie op. Risico’s worden geanalyseerd en de mogelijke schade geschat: o Omvang o Relatieve zwaarte o

Afhankelijkheidsanalyse Hoe afhankelijk zijn bedrijfsprocessen van de betrouwbaarheid en welke eisen stel je aan betrouwbaarheid.

o

Configuratieanalyse Objecten en relaties tussen objecten worden onder de loep genomen.

o

Kwetsbaarheisanalyse Welke objecten zijn kwestbaar voor bereigingen en hoe kwestbaar.

Maatregelenanalyse Maatregelen zodanig dat alleen acceptabele risico’s overblijven Kwantitatieve risicoanalyse Risico’s gekwantificeerd in meetbare criteria, meestal geld. Vaak als aanvulling op de kwalitatieve risicoanalyse. Voordelen t.o.v. kwalitatieve…: Meer inzicht in de schade Nadelen t.o.v. kwalitatieve…: Meer inzicht nodig bij bepalen schade object. o

•

Risicobeperkende maatregelen Kans en/of schade verminderen: • Backups • Virusscanner • Wachtwoorden vernieuwen • Registratie verdachte handelingen • verzekeringen • Fysieke toegangscontrole • Clear desk policy • Uitwijkprocedures Risicoanalyse binnen ITIL • CRAMM (kwalitatief) • CCTA Risico Analyse • Management Methode Risicoanalyse, 3 factoren: • Middelen • Bedreigingen • Kwetsbaarheden

Risicomanagement: • Tegenmaatregelen o Risicobeperking o Uitwijkmogelijkheden Welke risicomethode? • Urgentie • Kwetsbaarheid • Organisatiecultuur • Volwassenheid Organisatie van de informatiebeveiliging Proces informatiebeveiliging • Beleid & organisatie • Risicoanalyse • Maatregelen • Implementatie • Bewaking • Evaluatie Informatiebeveiligingsplan Maakt informatiebeveiligingsbeleid compleet. Bevat: • Beveiligingsmaatregelen + reden • Middelen • Richtlijnen En verder: • Doelstellingen • Te beveiligen objecten • Organisatie • Taken, bevoegdheden, verantwoordelijkheden • Beveiligingseisen en –randvoorwaarden • Objecten risico’s een maatregelen • Registratie en afhandeling van beveiligingsincidenten • Calamiteitenplan • Opleidingsplan • Plannen voor bevoordeling beveiligingsbewustzijn Algemene beveiligingstaken Directie • Eindverantwoordelijkheid informatiebeveiliging • Opstellen informatiebeveiligingsbeleid Management • Implementatie Medewerkers • Correct gebruik Externe medewerkers • Vallen onder degene die inhuurt Personeelszaken • Geheimhoudingsverklaringen • Verwijderen accounts • Huishoudelijk regelement

Facilitair beheer • Alleen toegang geautoriseerde personen Service desk • Registratie beveiligingsincidenten Specifieke beveiligingsfuncties Security officer (Strategisch niveau) • Opstellen informatiebeveiligingsbeleid (beveiligingsplan) • Adviseur (informatie) beveiliging • Interne audits • Uitvoeren Risicoanalyses Security specialist (Tactisch niveau) • Standaarden ontwikkelen • Selecteren applicatiepakketten • Interne controlemaatregelen Beheerder informatiebeveiliging (Operationeel niveau) • Implementatie • Beheren van authorisaties Autorisatiebeheerder • Randvoorwaarden autorisaties • Toekennen, wijzigen, intrekken van autorisaties Systeembeheerder • Manusje van alles in kleine organisaties Standaarden informatiebeveiliging ITIL Security Management • • • •

Eisen van de (interne) klant Beveiligingsparagraaf in SLA Operationeel Level agreement (OLA, Interne dienstverleners) Underpinning Contracts (UC, externe dienstverleners)

Code voor informatiebeveiliging • Van Nederlans Normalisatie Instituut Voorschrift Informatiebeveiliging Rijksdienst (VIR) • Gebruik binnen de overheid ISO-Standaarden • 14516 Trusted Third Party Certificatie Externe certificatie. Voorbeelden: • ISO 17799 (Vader van Nederlandse code voor informatiebeveiliging) • Common criteria (productcertificatie) • Orange book (militaire wereld, vertrouwelijkheid) • ITSEC (Vertrouwelijkheid en integriteit gegevensverwerking) Certificatieproces: • Aanvraag

• • • • •

Proefonderzoek Documentatieonderzoek Implementatieonderzoek Evaluatie Beslissing centificaat

Auditors • •

Interne auditor Externe IT-auditor (meestal een accountantskantoor)

H2. Informatiebeveiliging ICT-Infrastructuur Geheel aan automatiseringsmiddelen voor opslaan, transporteren en representeren van gegevens en hardware, basisprogrammatuur inclusief documentatie en procedures Indeling van te beveiligen objecten Basisinfrastructurele voorzieningen • Terreinen en gebouwen • Watervoorzieningen • Elektriciteitsvoorzieningen • Klimaatvoorziening • Telefoon, fax etc. • Draadloze telecommunicatie (Bluetooth) Hardware • Apparatuur • Informatiedragers Software • Basisprogrammatuur (Besturingsprogramma’s) • Gegevensopslagprogrammatuur (DMS) • Programmeermiddelen • Beveiligingsprogrammatuur Datacommunicatievoorzieningen • Datacommunicatieapperatuur • Routers, hubs, bridges etc. • Netwerkkabels • Datacommunicatieprogrammatuur zoals e-mail clients, browsers, EDI etc. Documentatie (in de zin van informatiebeveiliging) • Beschrijving van systemen, applicaties, procedures etc. Informatie • De gegevens op informatiedragers • De gegevens onderweg tijdens datacommunicatie Beveiligingsmaatregelen Indeling naar betrouwbaarheidsaspect • Beschikbaarheid • Integriteit • Vertrouwelijkheid Indeling naar effect • Preventieve beveiligingsmaatregelen o Permanent
Brandwerende deur
Firewall o Getriggerd
UPS • Detectieve beveiligingsmaatregelen Heeft alleen zin in combinatie met getrigged preventieve- of repressive maatregelen. o Virusscanner o Rookdetector • Represieve beveiligingsmaatregelen o Brandblussers o Uitwijkvoorzieningen

•

o Back-up and recovery Correctieve beveiligingsmaatregelen o Herstelt de schade o Beveiliging eigenlijk al doorbroken

Beveiligingen naar werkwijze •

•

•

Fysieke beveiligingsmaatregelen o Anti-inbraakmiddelen o Overspanningsbeveiliging o Klimaatbeheersing Technische beveiligingsmaatregelen o Autorisatie o Encryptie o Logging o Authenticatie
Iets dat je weet
Iets dat je hebt
Biometrie o Bridges en gateways o Firewall o Logging en monitoring
Eventueel met Intrusion Detection System o Backup en redundatie Organisatorische maatregelen o Taken, bevoegdheden en verantwoordelijkheden o IT-auditing o Uitwijkvoorzieningen o Regels over fysieke inrichting (Apperatuur niet onder een dak i.v.m. lekkage) o Organisaorische inrichting
Functiescheiding o Regels (clean desk policy)

H3. Continuïteit van de IT-dienstverlening Calamiteit Als een bedrijfsproces ernstig stagneert of stil komt te liggen Calamiteitenplan Wie doet wat, wanneer en hoe als er een calamiteit is. Belangrijkste onderdelen: • Doelstellingen • Samenstelling crisisteam • Draaiboek • Uitwijkplan Soorten uitwijk • •

• • • • •

Geen uitwijk Alleen Backups terugzetten etc. Cold site Ruimte is geheel voorbereid op installeren van de benodigde computerapperatuur, stroomvoorziening en airco. Warm site Volledig met hard en software ingericht, bij calamiteit backups terugzetten. Hot site Parallelpocessing, meteen omschakelen mogelijk Pooled site Gedeelde warm site, goedkoper Mobiele uitwijk Container naar locatie Bilaterale uitwijk Twee partijen spreken af te delen

Uitwijkplan Geeft uitvoering aan het uitwijkproces

H4. Juridische aspecten van de ICT Grondwet • •

Art. 10 Persoonlike levenssfeer Art. 13 Brief en communicatiegeheim

Bekende wetten: • Wet GBA Auteurswet Rechten auteur (50-70 jaar na dood): • Niet ongeoorloofd wijzigen werk • Verveelvoudigen • Openbaar maken • Reverse engeneering, licentie gebruker mag soms sourcecode gebruken voor interoperabiliteit Wet Bescherming Persoonsgegevens Oud: • WPR • Registratiekamer Nieuw: • WPB • College persoonsgegevens (Bijna) alle handelingen m.b.t. persoongegevens. Uitgesloten: • Politie • AIVD • GBA Taken CBP: • Advies • Toetsen • Bemiddelen • Onderzoeken Privacy Enhencing Technologies (PET) Basis art 17. EG richtlijn en artikel 13 WPB. PET ICT maatregelen om persoonsgegevens te elimineren of verminderen, zonder verlies van functionaliteit Met encryptie, evt. met TTP. Identiteitsdomein Om naar naam te verwijzen Pseudo-identiteitsdomein Bijvoorbeeld diagnostische of behandelgegevens

Functionaris gegevensbescherming (WBP) • • •

Toezicht Melden aan CBP Klachtenbehandeling

Bevoegdheden

• • •

Alle ruimtes betreden Inzage Onderzoeken

Positie • Staffunctie • Contactpersoon voor CBP Wet computercriminaliteit (WCC) Bescherming voor: • Beschikbaarheid • Integriteit • Exclusieviteit Provider is niet aansprakelijk Strafbaar: • Binnendringen • Wederechtelijk wijzigen (zelf zonder beveiliging) • Beschadigen Burgerlijk wetboek Taak voor account in continuïteit

Wet op de telecommunicatievoorzieningen Over openbare netwerken Voorschrift Informatiebeveiliging Rijksdienst Voor overheid en inclusief A & K analyse. Overig: • • • • •

Contract of overeenkomst (Inclusief SLA) Outsoursing Lease-overeenkomst SLA Gedragscode voor e-commerce (door Electronic Commerce Platform) o Betrouwbaarheid o Transparantie

Juridische procedures • • • •

Arbitrage (Nederlands Arbitrage Instituut) Minitrial (goedkoper, commissie van 3 personen) Aangifte (bij overtreding) Civiele procedure (onrechtmatige daad)