Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers
Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam bij: • ROC Leeuwenborgh • saMBO-ICT • Kennisnet
Positionering
• Hoe borgen we de privacy van studenten en leerlingen? • Welke beveiligingskaders zijn nodig binnen de keten? • Wat betekent dit voor onderwijsinstellingen en leveranciers?
Inhoud 1. 2. 3.
Informatiebeveiliging en privacybescherming: waarom? Beveiliging en privacy in de keten: het ROSA Katern P&B Van keten naar sector naar instelling/leverancier: de MBO Taskforce IBB
Informatiebeveiliging en privacybescherming: waarom? Schade voor de onderwijsinstelling: - Boetes -Imagoschade - Verstoorde processen - Gederfde inkomsten -Extra administratieve lasten (verscherpt toezicht)
Privacy- en beveiligingsrisico’s
Schade voor de sector: -Afnemend vertrouwen (in diploma’s, en in het onderwijs/de sector i.h.a.)
Schade voor de onderwijsvolger - Stigmatisering - Ongelijke behandeling - Ongewenst vindbaar zijn
Beveiliging en privacy in de keten: het ROSA Katern P&B • Basisniveau privacy en informatiebeveiliging: • • • • •
Informatiebeveiliging door ketenpartijen. Ketenbrede waarborging van vertrouwelijkheid en integriteit; Ketenbrede waarborging van beschikbaarheid in ketenprocessen; Ketenbrede waarborging van controleerbaarheid; Ketenbrede governance van privacy- en beveiligingsmaatregelen
Beveiliging en privacy in de keten: het ROSA Katern P&B • Basisniveau privacy en informatiebeveiliging: • Informatiebeveiliging door ketenpartijen.
Conformeer je aan de ‘Code voor informatiebeveiliging’ (ISO 27001/27002)
Beveiliging en privacy in de keten: het ROSA Katern P&B • Basisniveau privacy en informatiebeveiliging: • Ketenbrede waarborging van vertrouwelijkheid en integriteit;
• Voorkom onrechtmatige toegang en verspreiding van gegevens • Voorkom aantasting van integriteit van gegevens • Zorg dat handelingen herleidbaar zijn • Waarborg de toewijzing van persoonsgebonden gegevens • Voer proactief technisch beheer uit • Gebruik technieken voor veilig programmeren • Bewaar gegevens niet langer dan strikt noodzakelijk • Voorkom ongewenste traceerbaarheid en vindbaarheid van personen
Beveiliging en privacy in de keten: het ROSA Katern P&B • Basisniveau privacy en informatiebeveiliging:
• Ketenbrede waarborging van beschikbaarheid in ketenprocessen;
• Zorg ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaar zijn • Waarborg de continuïteit van de dienstverlening (ook bij calamiteiten)
Beveiliging en privacy in de keten: het ROSA Katern P&B • Basisniveau privacy en informatiebeveiliging:
• Ketenbrede waarborging van controleerbaarheid;
• Maak duidelijk welke eisen en verwachtingen je hebt t.a.v. ketenpartners • Zorg voor voldoende meet- en controlepunten • Wees transparant over de genomen privacy- en beveiligingsmaatregelen • Maak afspraken over de te realiseren ambitieniveaus en spreek elkaar daarop aan
Beveiliging en privacy in de keten: het ROSA Katern P&B • Basisniveau privacy en informatiebeveiliging:
• Ketenbrede governance van privacy- en beveiligingsmaatregelen
• Werk aan het opstellen en gebruik maken van sectorbrede frameworks en baselines • Zorg voor een goede incident response
Casus: de MBO Taskforce IBB • Informatiebeveiliging en privacy (IBP) in de MBO sector • Doel: Aanbieden handreikingen, op basis van best
practices uit het Hoger Onderwijs en MBO sector, voor de implementatie van een werkend informatiebeveiligings- en privacy beleid.
Inhoud 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Informatiebeveiliging en privacy in de keten Start op basis van een framework Stap 1: roadmap Stap 2: risico analyse Stap 3: normen- en compliance kader Stap 4: beleid Stap 5: inrichting organisatie Stap 6: awareness Stap 7: informatie en privacy audit Vragen?
IBP in de keten Samenvatting voortgang informatie- en privacy beleid in de keten: • Hoger onderwijs: op orde • MBO: bijna op orde • VO: initiatieven op instelling niveau • PO: niet bekend, wel initiatieven rond Privacy De sterkte van de keten wordt bepaald door de zwakste schakel.
Draagvlak MBO: bijna op orde!! Draagvlak…. • Betrekken van mensen in taskforce en werkgroepen • Scholing, 1e masterclass voor 20 instellingen afgerond! 2e masterclass groep van 20 deelnemers gestart • Input vanuit instellingen op de cruciale documenten zoals de roadmap • 1e expertconferentie voor het mbo op 22 april Het is van groot belang om als sector te opereren. Op dit moment doet al ¾ van de instellingen op een of andere manier mee!
Samenwerking MBO: bijna op orde!! • Structurele aanpak met en voor de sector, gezamenlijke afspraken en normen • Sectorbrede aanpak naar OC&W (inspectie) • Sectorbrede aanpak naar leveranciers, bijvoorbeeld kaders clouddiensten, bewerkingsovereenkomsten, privacyafspraken e.d. • Gezamenlijke werkdocumenten • Benchmark voor de sector • Werkbare aanpak De aanpak moet voor de instellingen ook haalbaar zijn.
Roadmap
Roadmap
Beschrijving urgentie informatiebeveiliging en privacy met als logische vervolgstap het opzetten van Informatiebeveiliging en privacy beleid binnen de MBO instelling.
Formulering van de opdracht voor de kwartiermaker. Benoemen van de faciliteiten. Vastleggen van de kaders (bijvoorbeeld normenkader ISO 27001-2).
1. Aanleiding
2. Opdracht
3. Inventarisatie
4. Nulmeting
5. Verbeterplan
Inventarisaties architecturen (proces, data, applicatie en netwerk). Gesprekken met medewerkers binnen MBO instelling. Eerste globale BIV classificatie en ranking van IT voorzieningen. Beleid nulmeting. Technische nulmeting. Proces nulmeting. Risico’s en uitdagingen. Verbeterplan. Uitvoeren audit(s)
Risicoanalyse
Risicoanalyse De risico’s gegroepeerd: 1A 1B 2
3 4
Beleid, organisatie en personeel Informatiebeveiliging Beleid, organisatie en personeel Privacy Cluster: 1, 2 en 7 Techniek en externe koppelingen Cluster: 3, 4 en 9 Applicaties en audit Cluster: 5 en 6 Examineren Cluster: 8
Normen- en toetsingskader
Beleid en organisatie Nr.
ISO27002 Statement 6.2.1.1
Beleid voor mobiele apparatuur: Er dient beleid te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beheren.
I
10.1.1.1
Beleid inzake het gebruik van cryptografische beheersmaatregelen: Ter bescherming van informatie behoort een beleid voor het gebruik van crypto grafische beheersmaatregelen te worden ontwikkeld.
P
1.10
10.1.1.2
Beleid inzake het gebruik van cryptografische beheersmaatregelen: Ter bescherming van informatie zijn er tools of applicaties aanwezig waarmee het beleid voor het gebruik van crypto grafische beheersmaatregelen wordt geïmplementeerd.
P
1.11
11.2.5
Verwijdering van bedrijfsmiddelen: Apparatuur, informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring.
P
1.6 1.9
1.12 1.13 1.16 1.18
13.2.1
13.2.2
15.1.3
16.1.2
Beleid en procedures voor informatietransport: Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. Overeenkomsten over informatietransport: Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
Toeleveringsketen van informatie- en communicatietechnologie: Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. Rapportage van informatiebeveiligingsgebeurtenissen: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.
B
B
I
B
Beleid
Inrichting organisatie
Inrichting organisatie Scholing informatiebeveiliging • Masterclasses • Themaconferenties Positionering • Governance • Functiebeschrijving en waardering (IBP coördinator en IBP manager)
Awareness
Informatie- en privacy-audit
Informatie- en privacy-audit Audit stappen
• • • •
Self assessment Interne audit Peer audit Externe audit
Vragen / meer info… Meer informatie? Mails zijn welkom:
Ludo Cuijpers
[email protected] Remco de Boer
[email protected]
