ISF uittreksel H1. Basisbegrippen van IT beveiliging Informatieplan Concrete invulling van het informatiebeveiligingsbeleid als onderdeel van het organisatiebeleid. Vierde productiefactor Informatie Beveiligingsincident Een gebeurtenis die de betrouwbaarheid van de informatie of de informatieverwerking kan verstoren. Waarde van informatie • Kwaliteit van de informatie • Belang van de informatie Kwaliteitseisen voor informatie Betrouwbaarheid==BIV Beschikbaarheid • Tijdigheid • Continuïteit • Beschikbaarheid Integriteit • Correctheid • Volledigheid • Geldigheid • Authenticiteit • Onweerlegbaarheid • Nauwkeurigheid • Controleerbaarheid Vertrouwelijkheid • Exclusiviteit • Betrouwbaarheid Continuïteit(-management) Verantwoordelijkheid van de lijnmanagers • Beleid • Continuïteitsplan o Welke bedreigingen? o Kans op bedreigingen? o Schade? o Maatregelen. • Risicoanalyse • Maatregelen Bedreigingen •
Menselijke bedeigingen o Onopzettelijke … Illegale software Foutieve invoer verwijderen een beschadigen gegevens Niet goed opbergen gegevensdragers Binnenhalen kwaadaardige programmatuur
•
Ondeskundig gebruik van apparatuur Slordige omgang met autorisaties en wachtwoorden Niet uitloggen Schade bij bouwwerkzaamheden o Opzettelijke … Inbraak Sabotage Kopieren van vertrouwelijke informatie Ongeautoriseerd wijzigen van gegevens Afluisteren of aftappen Verspreiden van kwaadaardige programmatuur Veroorzaken van storingen Bedrijfsspionage Vandalisme Terrorisme Misbruik van identiteit Niet houden aan voorschriften Niet-menselijke bedreigingen en storingen o Natuur Storm Bliksem Brand Ziekte o Storingen Stroomstoringen Storingen in de airconditioning Kortsluiting Fouten in hard of software
Bronnen van menselijke bedreigingen • Personeel • Hacker • Terrorist • Crimineel • Klanten • Concurrenten Informatiebeveiliging Maatregelen waarborgen: • Betrouwbaarheid (BIV) van de informatie • Informatievoorziening • Bedrijsmiddelen Kwaadaardige software • Virus • Worm • Trojan Horse • Logische bom • Hoax • Spam Bedreigingenanalyse Geeft inzicht in bedreigingen en gevolgen (uitgesplitst in BIV). Kwetsbaarheid De mate waarin een object gevoelig is voor een bepaalde bedreiging. Risico = kans x schade
Risicomanagement Risico’s identificeren en tot ene aanvaardbaar risico terug te brengen Soorten risicoanalyse •
•
Standaard vragenlijst Voordelen: Goedkoop, snel in te voeren, normeerbaar, inzicht, bewustwording. Nadelen: Sluit niet aan, statisch, info beveiliging voor hackers o Quick scan Minst uitgebreid Geen specifieke organisatie eisen o Baseline checklist Uitgebreider en diepgaander Aangepast aan eigen organisatie Bijvoorbeeld op basis van: Code voor informatiebeveiliging Kwalitatieve risicoanalyse Voordelen, Maatwerk, dynamisch, hackers minder inzicht. Nadelen: Complex, tijd, kosten en levert (soms) te veel informatie op. Risico’s worden geanalyseerd en de mogelijke schade geschat: o Omvang o Relatieve zwaarte o
Afhankelijkheidsanalyse Hoe afhankelijk zijn bedrijfsprocessen van de betrouwbaarheid en welke eisen stel je aan betrouwbaarheid.
o
Configuratieanalyse Objecten en relaties tussen objecten worden onder de loep genomen.
o
Kwetsbaarheisanalyse Welke objecten zijn kwestbaar voor bereigingen en hoe kwestbaar.
Maatregelenanalyse Maatregelen zodanig dat alleen acceptabele risico’s overblijven Kwantitatieve risicoanalyse Risico’s gekwantificeerd in meetbare criteria, meestal geld. Vaak als aanvulling op de kwalitatieve risicoanalyse. Voordelen t.o.v. kwalitatieve…: Meer inzicht in de schade Nadelen t.o.v. kwalitatieve…: Meer inzicht nodig bij bepalen schade object. o
•
Risicobeperkende maatregelen Kans en/of schade verminderen: • Backups • Virusscanner • Wachtwoorden vernieuwen • Registratie verdachte handelingen • verzekeringen • Fysieke toegangscontrole • Clear desk policy • Uitwijkprocedures Risicoanalyse binnen ITIL • CRAMM (kwalitatief) • CCTA Risico Analyse • Management Methode Risicoanalyse, 3 factoren: • Middelen • Bedreigingen • Kwetsbaarheden
Risicomanagement: • Tegenmaatregelen o Risicobeperking o Uitwijkmogelijkheden Welke risicomethode? • Urgentie • Kwetsbaarheid • Organisatiecultuur • Volwassenheid Organisatie van de informatiebeveiliging Proces informatiebeveiliging • Beleid & organisatie • Risicoanalyse • Maatregelen • Implementatie • Bewaking • Evaluatie Informatiebeveiligingsplan Maakt informatiebeveiligingsbeleid compleet. Bevat: • Beveiligingsmaatregelen + reden • Middelen • Richtlijnen En verder: • Doelstellingen • Te beveiligen objecten • Organisatie • Taken, bevoegdheden, verantwoordelijkheden • Beveiligingseisen en –randvoorwaarden • Objecten risico’s een maatregelen • Registratie en afhandeling van beveiligingsincidenten • Calamiteitenplan • Opleidingsplan • Plannen voor bevoordeling beveiligingsbewustzijn Algemene beveiligingstaken Directie • Eindverantwoordelijkheid informatiebeveiliging • Opstellen informatiebeveiligingsbeleid Management • Implementatie Medewerkers • Correct gebruik Externe medewerkers • Vallen onder degene die inhuurt Personeelszaken • Geheimhoudingsverklaringen • Verwijderen accounts • Huishoudelijk regelement
Facilitair beheer • Alleen toegang geautoriseerde personen Service desk • Registratie beveiligingsincidenten Specifieke beveiligingsfuncties Security officer (Strategisch niveau) • Opstellen informatiebeveiligingsbeleid (beveiligingsplan) • Adviseur (informatie) beveiliging • Interne audits • Uitvoeren Risicoanalyses Security specialist (Tactisch niveau) • Standaarden ontwikkelen • Selecteren applicatiepakketten • Interne controlemaatregelen Beheerder informatiebeveiliging (Operationeel niveau) • Implementatie • Beheren van authorisaties Autorisatiebeheerder • Randvoorwaarden autorisaties • Toekennen, wijzigen, intrekken van autorisaties Systeembeheerder • Manusje van alles in kleine organisaties Standaarden informatiebeveiliging ITIL Security Management • • • •
Eisen van de (interne) klant Beveiligingsparagraaf in SLA Operationeel Level agreement (OLA, Interne dienstverleners) Underpinning Contracts (UC, externe dienstverleners)
Code voor informatiebeveiliging • Van Nederlans Normalisatie Instituut Voorschrift Informatiebeveiliging Rijksdienst (VIR) • Gebruik binnen de overheid ISO-Standaarden • 14516 Trusted Third Party Certificatie Externe certificatie. Voorbeelden: • ISO 17799 (Vader van Nederlandse code voor informatiebeveiliging) • Common criteria (productcertificatie) • Orange book (militaire wereld, vertrouwelijkheid) • ITSEC (Vertrouwelijkheid en integriteit gegevensverwerking) Certificatieproces: • Aanvraag
• • • • •
Proefonderzoek Documentatieonderzoek Implementatieonderzoek Evaluatie Beslissing centificaat
Auditors • •
Interne auditor Externe IT-auditor (meestal een accountantskantoor)
H2. Informatiebeveiliging ICT-Infrastructuur Geheel aan automatiseringsmiddelen voor opslaan, transporteren en representeren van gegevens en hardware, basisprogrammatuur inclusief documentatie en procedures Indeling van te beveiligen objecten Basisinfrastructurele voorzieningen • Terreinen en gebouwen • Watervoorzieningen • Elektriciteitsvoorzieningen • Klimaatvoorziening • Telefoon, fax etc. • Draadloze telecommunicatie (Bluetooth) Hardware • Apparatuur • Informatiedragers Software • Basisprogrammatuur (Besturingsprogramma’s) • Gegevensopslagprogrammatuur (DMS) • Programmeermiddelen • Beveiligingsprogrammatuur Datacommunicatievoorzieningen • Datacommunicatieapperatuur • Routers, hubs, bridges etc. • Netwerkkabels • Datacommunicatieprogrammatuur zoals e-mail clients, browsers, EDI etc. Documentatie (in de zin van informatiebeveiliging) • Beschrijving van systemen, applicaties, procedures etc. Informatie • De gegevens op informatiedragers • De gegevens onderweg tijdens datacommunicatie Beveiligingsmaatregelen Indeling naar betrouwbaarheidsaspect • Beschikbaarheid • Integriteit • Vertrouwelijkheid Indeling naar effect • Preventieve beveiligingsmaatregelen o Permanent Brandwerende deur Firewall o Getriggerd UPS • Detectieve beveiligingsmaatregelen Heeft alleen zin in combinatie met getrigged preventieve- of repressive maatregelen. o Virusscanner o Rookdetector • Represieve beveiligingsmaatregelen o Brandblussers o Uitwijkvoorzieningen
•
o Back-up and recovery Correctieve beveiligingsmaatregelen o Herstelt de schade o Beveiliging eigenlijk al doorbroken
Beveiligingen naar werkwijze •
•
•
Fysieke beveiligingsmaatregelen o Anti-inbraakmiddelen o Overspanningsbeveiliging o Klimaatbeheersing Technische beveiligingsmaatregelen o Autorisatie o Encryptie o Logging o Authenticatie Iets dat je weet Iets dat je hebt Biometrie o Bridges en gateways o Firewall o Logging en monitoring Eventueel met Intrusion Detection System o Backup en redundatie Organisatorische maatregelen o Taken, bevoegdheden en verantwoordelijkheden o IT-auditing o Uitwijkvoorzieningen o Regels over fysieke inrichting (Apperatuur niet onder een dak i.v.m. lekkage) o Organisaorische inrichting Functiescheiding o Regels (clean desk policy)
H3. Continuïteit van de IT-dienstverlening Calamiteit Als een bedrijfsproces ernstig stagneert of stil komt te liggen Calamiteitenplan Wie doet wat, wanneer en hoe als er een calamiteit is. Belangrijkste onderdelen: • Doelstellingen • Samenstelling crisisteam • Draaiboek • Uitwijkplan Soorten uitwijk • •
• • • • •
Geen uitwijk Alleen Backups terugzetten etc. Cold site Ruimte is geheel voorbereid op installeren van de benodigde computerapperatuur, stroomvoorziening en airco. Warm site Volledig met hard en software ingericht, bij calamiteit backups terugzetten. Hot site Parallelpocessing, meteen omschakelen mogelijk Pooled site Gedeelde warm site, goedkoper Mobiele uitwijk Container naar locatie Bilaterale uitwijk Twee partijen spreken af te delen
Uitwijkplan Geeft uitvoering aan het uitwijkproces
H4. Juridische aspecten van de ICT Grondwet • •
Art. 10 Persoonlike levenssfeer Art. 13 Brief en communicatiegeheim
Bekende wetten: • Wet GBA Auteurswet Rechten auteur (50-70 jaar na dood): • Niet ongeoorloofd wijzigen werk • Verveelvoudigen • Openbaar maken • Reverse engeneering, licentie gebruker mag soms sourcecode gebruken voor interoperabiliteit Wet Bescherming Persoonsgegevens Oud: • WPR • Registratiekamer Nieuw: • WPB • College persoonsgegevens (Bijna) alle handelingen m.b.t. persoongegevens. Uitgesloten: • Politie • AIVD • GBA Taken CBP: • Advies • Toetsen • Bemiddelen • Onderzoeken Privacy Enhencing Technologies (PET) Basis art 17. EG richtlijn en artikel 13 WPB. PET ICT maatregelen om persoonsgegevens te elimineren of verminderen, zonder verlies van functionaliteit Met encryptie, evt. met TTP. Identiteitsdomein Om naar naam te verwijzen Pseudo-identiteitsdomein Bijvoorbeeld diagnostische of behandelgegevens
Functionaris gegevensbescherming (WBP) • • •
Toezicht Melden aan CBP Klachtenbehandeling
Bevoegdheden
• • •
Alle ruimtes betreden Inzage Onderzoeken
Positie • Staffunctie • Contactpersoon voor CBP Wet computercriminaliteit (WCC) Bescherming voor: • Beschikbaarheid • Integriteit • Exclusieviteit Provider is niet aansprakelijk Strafbaar: • Binnendringen • Wederechtelijk wijzigen (zelf zonder beveiliging) • Beschadigen Burgerlijk wetboek Taak voor account in continuïteit
Wet op de telecommunicatievoorzieningen Over openbare netwerken Voorschrift Informatiebeveiliging Rijksdienst Voor overheid en inclusief A & K analyse. Overig: • • • • •
Contract of overeenkomst (Inclusief SLA) Outsoursing Lease-overeenkomst SLA Gedragscode voor e-commerce (door Electronic Commerce Platform) o Betrouwbaarheid o Transparantie
Juridische procedures • • • •
Arbitrage (Nederlands Arbitrage Instituut) Minitrial (goedkoper, commissie van 3 personen) Aangifte (bij overtreding) Civiele procedure (onrechtmatige daad)