Handreiking classificatie
Universiteit Leiden
1
Versie beheer
Versie 0.1
14 april 2015
Eerste concept door Marco Gosselink
Versie 0.2
21 april 2015
Tweede concept na opmerkingen J-W Brock.
Versie 0.3
12 mei 2015
Derde concept na opmerkingen Erik Adriaens en informatiemanagers.
Versie 1.0
15 juni 2015
Definitieve versie
2
Inhoudsopgave
1. Inleiding 2. Beveiligingskaders en uitgangspunten 2.1 Beschikbaarheid 2.2 Integriteit 2.3 Vertrouwelijkheid 3. Beveiligingsklassen 3.1 Beveiligingsklasse basis risico 3.2 Beveiligingsklasse verhoogd risico 3.3 Beveiligingsklasse hoog risico 4. Rollen en verantwoordelijkheden in relatie tot een ICT-voorziening 5. Classificatie 5.1 Wat is classificatie 5.2 Het risico van over- of onderclassificatie 5.3 De opdrachtgever van de classificatie 5.4 Het classificeren
4 5 5 5 5 7 7 7 7 8 9 9 9 9 10
Bijlage:
1. Achtergrondvragen bij de risicoanalyse 2. De risicoanalyse zelf
12 14
3
1.Inleiding
Dit document beschrijft de classificatierichtlijn, waarmee de systeemeigenaren (c.q. de opdrachtgevers van ICT-projecten) voor zichzelf kunnen bepalen wat het belang van de gegevens in hun systeem is voor het onderwijs, onderzoek en bedrijfsvoering van de Universiteit Leiden. Deze richtlijn richt zich dus op de eigenaren van ICT-voorzieningen of eigenaren van informatie of data dat in een systeem aanwezig is. Zij zijn immers als (gemandateerd) eindeverantwoordelijke ook verantwoordelijk voor het implementeren en handhaven van de beveiligingsmaatregelen. Het zijn ook deze eigenaren die beslissen over de classificatie van hun ICT-voorziening of data. Zij kunnen hierbij geadviseerd worden door informatiemanagers, security officers en de security manager. Afhankelijk van deze classificatie worden vervolgens de maatregelen uit de maatregelendatabase voor het betreffende systeem voorgeschreven. Deze richtlijn is een hulpmiddel om tot een classificatie te komen en deze nader te onderbouwen. Hiertoe wordt een classificatiemethode en vragenlijst aangeboden. In diverse gevallen zal niet direct eenduidig een classificatie uit de bus rollen, maar zal de toegekende classificatie het resultaat zijn van een zorgvuldige afweging van de verkregen informatie. Hierbij speelt ook een kosten/baten analyse een rol: hoe hoger de beveiligingsklasse, hoe meer beveiligingsmaatregelen getroffen moeten worden en hoe hoger de kosten. Daarnaast is het risico dat men wenste te accepteren een belangrijke factor. Separaat aan de classificatierichtlijn is een baseline van maatregelen ontwikkeld. Als de klasse is bepaald dan kunnen maatregelen worden genomen. Alle systemen moeten voldoen aan de baseline van maatregelen voor interne systemen (die door het ISSC worden gehost) of de baseline van maatregelen voor externe systemen (in geval van hosting in de cloud). Daarnaast is het mogelijk dat nog meer maatregelen moeten worden genomen. De scope van de classificatie heeft betrekking op gegevens die zich in systemen bevinden. Dit kunnen systemen zijn voor bedrijfsvoering, onderwijs en onderzoek. Onder de informatiesystemen vallen de basisinfrastructuur (met onder andere netwerken, werkplekken en opslag), concernsystemen en specifieke (onderzoeks)systemen van eenheden. De systemen kunnen lokaal draaien maar ook in de cloud aanwezig zijn. Op beide locaties is deze Handreiking Classificatie van toepassing. Zowel de security manager, informatiemanagers/security officers en onderzoekers kunnen een classificatie uitvoeren. De informatie- of systeemeigenaar is aanspreekbaar op de toepassing van de maatregelen die uit de classificatie voortkomen. De securitymanager is verantwoordelijk voor het onderhoud van dit document.
4
2.Beveiligingskaders en uitgangspunten
Informatiebeveiliging kent drie aspecten - beschikbaarheid, integriteit en vertrouwelijkheid - die gezamenlijk het gehele veld van beveiliging beschrijven. Met betrekking tot deze begrippen, is voor de ICT-voorzieningen ook een centrale lijn vastgesteld. Het beveiligingskader voor de classificatie wordt uitgewerkt naar twee dimensies, zoals in onderstaand voorbeeld: Basis risico Beschikbaarheid Integriteit Vertrouwelijkheid
Verhoogd risico
Hoog risico
x x x
In dit hoofdstuk worden de drie beveiligingsbegrippen en de drie beveiligingsklassen nader uitgewerkt. Verder wordt in deze paragraaf ingegaan op de diverse rollen en verantwoordelijkheden ten aanzien van de ICT-voorzieningen en in het bijzonder op de rol van de systeemeigenaar, als eindverantwoordelijke voor de classificatie.
2.1 Beschikbaarheid Onder beschikbaarheid wordt verstaan: waarborgen dat gebruikers op de juiste momenten toegang hebben tot informatie. Elementen die beschikbaarheid bepalen zijn bijvoorbeeld een betrouwbare stroomvoorziening, adequate brandbeveiliging, de aanwezigheid van een actueel continuiteitsplan, betrouwbare reservekopieën en het ontbreken van zogeheten single points of failure. Andere aspecten zijn het bestaan van voldoende toegangsmogelijkheden voor het beoogde aantal gelijktijdige gebruikers en bescherming tegen zogeheten denial-of-service aanvallen.
2.2 Integriteit Onder integriteit wordt verstaan: het waarborgen van de juistheid en de volledigheid van informatie en verwerking. Elementen van integriteit zijn bijvoorbeeld het aanbrengen van wijzigingen door geautoriseerde personen, geldigheidscontroles (bijvoorbeeld of een ingevoerde datum wel aan het format voldoet) en het registreren van wijzigingen. Verder training van kerngebruikers, het tegengaan van schaduwbestanden en het gebruik van licentieservers.
2.3 Vertrouwelijkheid Onder vertrouwelijkheid wordt verstaan: waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn. Elementen van vertrouwelijkheid zijn bijvoorbeeld versleuteling van informatie en (harde) authenticatie van de gebruiker zodra deze zich toegang tot de gegevens wil verschaffen. Verder autorisatie naar rol, clear desk en gecontroleerde afvoer.
5
Samenvattend: aspecten en kenmerken van informatiebeveiliging en daaraan gerelateerde bedreigingen: Aspect
Kenmerk
Bedreiging
Beschikbaarheid
Tijdigheid
Vertraging
Continuïteit Correctheid
Uitval Wijziging
Volledigheid
Verwijdering
Integriteit
Toevoeging
Vertrouwelijkheid
Geldigheid
Veroudering
Authenticiteit
Vervalsing
Onweerlegbaarheid
Verloochening
Exclusiviteit
Onthulling
Onbedoeld gebruik
Misbruik
6
Voorbeelden van bedreiging Overbelasting van infrastructuur Defect in infrastructuur Ongeautoriseerd wijzigen van gegevens; virusinfectie; typefout Ongeautoriseerd wissen van gegevens Ongeautoriseerd toevoegen van gegevens Gegevens niet up-todate houden Frauduleuze transactie Ontkennen een bepaald bericht te hebben verstuurd Afluisteren van netwerk; hacking Privégebruik
3. Beveiligingsklassen
3.1 Beveiligingsklasse “basis risico” De classificatie basis risico (standaard risico) betekent dat het betreffende systeem moet voldoen aan alle minimale eisen die aan alle ICT-voorzieningen gesteld worden. Het pakket aan standaard beveiligingsmaatregelen wordt ook wel de baseline beveiliging genoemd. De baseline beveiliging is dus het geheel van maatregelen dat getroffen moet worden ook al geeft de classificatie geen aanleiding tot extra maatregelen. Als een systeem de classificatie basis risico krijgt, betekent dit dus dat alle standaard beveiligingsmaatregelen die voor dit systeem relevant zijn, moeten worden geïmplementeerd. Voor een server betekent dit bijvoorbeeld dat er o.a. een standaard backup procedure van toepassing moet zijn, dat er een procedure voor monitoring en het implementeren van security patches moet zijn.
3.2 Beveiligingsklasse “verhoogd risico” De classificatie verhoogd risico betekent dat een inbreuk op de beschikbaarheid integriteit of vertrouwelijkheid van een ICT-voorziening een verstoring veroorzaakt in één van de primaire processen, maar niet van zeer ernstige of onomkeerbare aard. Voor systemen met de classificatie verhoogd risico zal ten opzichte van de baseline beveiliging een aanvullend pakket beveiligingsmaatregelen voorgeschreven worden. Hierbij kan men bijvoorbeeld denken aan sterke authenticatie van gebruikers bij toegangscontrole, back-up voorzieningen, enz. De classificatie verhoogd risico brengt dus extra maatregelen en extra kosten met zich mee. De maatregelen zullen doorgaans nog een algemeen, gestandaardiseerd karakter hebben, waarbij de kosten tot uiting kunnen komen als extra kosten in de dienstverleningsovereenkomst Bij incidenten zullen voorzieningen met een classificatie verhoogd risico een hogere prioriteit krijgen bij herstelwerkzaamheden.
3.3 Beveiligingsklasse “hoog risico” De classificatie hoog risico wordt gereserveerd voor die systemen waarbij aantasting van beschikbaarheid, integriteit dan wel vertrouwelijkheid een zeer ernstige of onomkeerbare verstoring van een van de primaire processen veroorzaakt, ernstige schade toebrengt aan het imago of een wetsovertreding inhoudt. Enkele voorbeelden zijn: openbaarmaking door een hacker van persoonlijke gegevens of aantasting van de juistheid van de studievoortganggegevens (schending van integriteit), Voor systemen met de classificatie hoog risico geldt dat bovenop de maatregelen voor systemen met de classificatie verhoogd risico extra maatregelen getroffen dienen te worden. Dit kunnen weer gestandaardiseerde maatregelen zijn, maar er kan ook een vorm van maatwerk plaatsvinden. De classificatie hoog risico dient zeer terughoudend te worden gebruikt. Deze classificatie brengt namelijk de hoogste beveiligingskosten per te beveiligen systeem met zich mee. Het is de systeemeigenaar die bepaalt of deze classificatie juist is en welk restrisico acceptabel is.
7
4. Rollen en verantwoordelijkheden in relatie tot een ICT-voorziening
Zoals in het informatiebeveiligingsbeleid al wordt genoemd kunnen in relatie tot een ICT-voorziening verschillende rollen of functies worden onderscheiden. Denk hierbij aan de systeemeigenaar, de functioneel beheerder, applicatiebeheerder, technisch beheerder en de gebruiker.
Tabel met rollen en verantwoordelijkheden bij een ICT-voorzieninbg Rol
Verantwoordelijkheid
Systeemeigenaar Informatie-eigenaar Data-eigenaar
Heeft beslissingsrecht over de ICTvoorziening/informatie/data. Stelt de afspraken en procedures rondom autorisatie vast Zorgt voor training en opleiding De systeemeigenaar draagt zorg voor (c.q. delegeert) het functioneel beheer, applicatiebeheer en technisch beheer. Is verantwoordelijk voor (de ondersteuning van) het feitelijk gebruik van de ICT-voorziening Kent autorisaties toe Is verantwoordelijk voor een juiste implementatie en opvolging van de beveiligingsmaatregelen Is verantwoordelijk voor het beheer van een gebruikersapplicatie (configuratie, parametrisering, patchbeleid, etc.) Voert overleg met (de systeemeigenaar), de functioneel beheerders en technisch beheerders Ziet toe op een juiste functionele werking van een applicatie Is verantwoordelijk voor het technisch beheer van de ICT-voorziening en eventuele ondersteunende ICTvoorzieningen Voert overleg met (de systeemeigenaar), de functioneel beheerder en de applicatiebeheerder Ziet toe op een juiste technische werking van de ICTvoorziening en de beveiligingshulpmiddelen Gebruikt de ICT-voorziening op de juiste wijze Meldt onregelmatigheden in de beveiliging van de ICTvoorziening.
Functioneel beheerder
Applicatiebeheerder
Technisch beheerder
Gebruiker
De eigenaar van bepaalde informatie in een ICT-voorziening is verantwoordelijk voor de classificatie. Het is immers ook de eigenaar die het beslissingsrecht heeft over de ICT-voorziening en die de kosten draagt die verband houden met de beveiliging. NB. De term systeemeigenaar wordt hier niet in juridische zin bedoeld, immers het formele eigendom ligt bij het College van Bestuur.
8
5. Classificatie
5.1 Wat is classificatie Bij het classificatieproces wordt van een ICT-voorziening vastgesteld wat de beveiligingsklasse (basis risico, verhoogd risico, hoog risico) is voor elk van de beveiligingsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Zodra de vaststelling van de beveiligingsklasse voor bovenstaande aspecten heeft plaatsgevonden kan aan de hand van de baseline van maatregelen bepaald worden welk pakket maatregelen van toepassing is. Classificatie van ICT-voorzieningen en het treffen van de bijbehorende beveiligingsmaatregelen is geen eenmalige activiteit, maar een cyclus die op basis van nieuwe inzichten en beveiligingsincidenten elke drie jaar herhaald moet worden, en die dan telkens kan leiden tot bijstelling van classificatie en beveiligingsmaatregelen. Een bijkomende reden van classificatie is kostenbesparing door beheersbaarheid van standaardisatie.
5.2 Het risico van over- of onderclassificatie Er dient gewaakt te worden voor over- en onderclassificatie. Bij overclassificatie worden systemen in een te hoge beveiligingsklasse geplaatst, bijvoorbeeld vanwege een onterecht hoge eis aan de beschikbaarheid. Dit kan leiden tot onnodige kosten en functionele beperkingen. Bij onderclassificatie worden systemen in een te lage beveiligingsklasse geplaatst, bijvoorbeeld om redenen van kostenbesparing. Het is daarom noodzakelijk na te gaan wat de gevolgen zijn van een bedreiging. Bij de classificatie moet niet de beleving van de bedreiging maar een reële inschatting van de gevolgen daarvan bepalend zijn.
5.3 De opdrachtgever van de classificatie ICT-voorziening ligt deze verantwoordelijkheid bij de opdrachtgever van het ontwikkeltraject. Dit zal meestal de systeemeigenaar zijn. Het is wenselijk dat de systeemeigenaar zich bij het classificeren laat bijstaan door de functioneel beheerder of door anderen. Voor een nog niet geclassificeerde ICT-voorziening geldt dat de systeemeigenaar verantwoordelijk is voor eventuele schade en dat voor dergelijke voorzieningen altijd de baseline van maatregelen geldt.
9
5.4 Het classificeren
Classificatie van systemen voor bedrijfsvoering, onderwijs en onderzoek. Bij het classificeren wordt gebruik gemaakt van een tweetal vragenlijsten: 1. Een lijst met algemene vragen over het systeem en de gegevens 2. Een scenariolijst waarin scenario’s worden bekeken aan de hand van de kenmerken beschikbaarheid, integriteit en vertrouwelijkheid. Deze scenario’s bepalen de classificatieklasse. Ad.1 de lijst met algemene vragen betreffende het (toekomstige) systeem: wat voor systeem is het, wat is het doel van het systeem, welke gegevens worden verwerkt, etc. Ad.2 bij de scenariolijst gaat het om de volgende scenario’s: -
schade aan het (hoofd)bedrijfsproces directe financiële schade (inbreuk op) overeenkomsten reputatieschade persoonsschade (inbreuk op) wet- en regelgeving
Bij elk van deze scenario’s wordt gekeken naar de informatiebeveiligingsaspecten beschikbaarheid, vertrouwelijkheid en integriteit en wordt gekeken of de impact laag/midden/hoog is. Op basis van de score op deze kenmerken worde classificatie gemaakt. Nadat de classificatie heeft plaatsgevonden maakt de security manager, informatiemanager/security officer of onderzoeker een rapportage van de bevindingen. Deze wordt aan de systeemeigenaar gestuurd en daarna vindt er een gesprek plaats over de bevindingen en over de maatregelen die worden genomen. De classificatie van gegevens in een systeem dat voor onderzoek en onderwijs wordt gebruikt wordt in principe op dezelfde wijze verricht als de classificatie van gegevens in concernsystemen. De scenario’s worden doorgenomen en op basis daarvan de risicoklasse bepaald. De procedure kan verschillen omdat bij concernsystemen de security manager, informatiemanager/ security officer van het ISSC de risicoanalyse verricht en bij systemen ten behoeve van onderzoek zal dit door de informatiemanager/informatiemanager van de desbetreffende faculteit worden verricht.
10
Bijlage
Het template voor de classificatie bestaat uit de volgende onderdelen:
1. Achtergrondvragen bij de risicoanalyse 2. De risicoanalyse zelf
Nadat de risicoanalyse is verricht wordt er een rapportage gemaakt.
11
Ad.1 Achtergrondvragen risicoanalyse
A1
Wat is de naamsaanduiding van het systeem?
A2
Specificeer naam en bereikbaarheidsgegevens van de eigenaar en de functionele beheerder vermeld ook het bedrijfsonderdeel waaronder het systeem valt
A3
Scope: wat behoort tot het systeem en wat niet?
A4
Voor welke functionele doelen wordt het systeem gebruikt? denk hier aan hoofdfuncties als administratie, onderwijs, publieksinformatie etc., en aan doelgroepen van gebruikers
A5
Welke typen gegevens worden vastgelegd? denk aan structuur (teksten, tabellen, plaatjes) en inhoud (meetresultaten, personalia, locaties, financiën) e.d.
A6
Worden historische gegevens vastgelegd, dan wel weggeschreven naar andere media? bedoeld is hier een interne en/of externe archiveringsfunctie en de regelmaat waar en waarmee dit gebeurt
A7
Hoe lang worden gegevens online bewaard nadat ze bedrijfsmatig zijn afgehandeld? specificeer de termijnen, bijvoorbeeld na een jaarafsluiting of na diploma-uitreiking of pensionering
A8
Hoe vindt het transport van authenticatiegegevens plaats van en naar het systeem? zijn er client/server-verbindingen of webinterfaces? met welke communicatieprotocols?
A9
Hoeveel personen hebben mutatiebevoegdheden? maak hierbij onderscheid: autorisatie van gebruikers, mutatie van systeemtabellen, invoer van transacties e.d. vermeld ook de rechten van (externe) consultants bij uitbreiding of onderhoud
A10
Hoeveel personen hebben raadpleegbevoegdheden? maak hierbij onderscheid: autorisatie van gebruikers, raadplegen van systeemtabellen, raadplegen van transacties, e.d. Vermeld ook de rechten van (externe) consultants bij uitbreiding of onderhoud
A11
Wat zijn de bronsystemen van dit systeem? bijvoorbeeld van bronsystemen voor organisatorische of persoonsgebonden gegevens
12
A12
Wat zijn de doelsystemen (de afnemende systemen) van dit systeem? specificeer per afnemend systeem de naamsaanduiding en de naam van de eigenaar;
A13
Is er sprake van ‘fatale’ onderbrekingsmomenten? denk hierbij aan formele peildatumrapportages, incidentele massa-verwerking, gegevensconversie, jaarafsluiting e.d.
A14
Aan welke wetgeving of regelgeving moet het systeem voldoen?
A15
Welke wettelijke bewaartermijnen zijn er voorgeschreven? denk hierbij aan de archiefwet, de wet bescherming persoonsgegevens, en fiscale of civiel-rechterlijke bewaartermijnen
A16
Wat is de juistheidsverwachting van de bedrijfsinformatie binnen het systeem? specificeer: laag, redelijk, hoog, zeer hoog
A17
Bevat het systeem informatie onder embargo of met een andere publicatiebeperking?
A18
Bevat het systeem persoonsgegevens?
A19
Welk type werkplekken zijn er voor raadpleging en/of mutatie van gegevens beschikbaar Kantoor/thuis/mobiel
A20
Hoe ziet het plaatje met de verbindingen tussen de systemen eruit?
13
Ad.2 De risicoanalyse zelf
Schadescenario’s nvt
L
Schade aan (hoofd) bedrijfsprocessen Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Directe fin. schade Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Overeenkomsten Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Imago-schade Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit
14
M
H
Persoonsschade Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Wet- en regelgeving en beleid Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit
NB. In het Excel spreadsheet van de risicoanalyse zijn de categorieën L(aag), M(idden) en H(oog) ingevuld zodat er een handvat is om de keuze te maken.
15
