Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB)
Inhoud 1. 2. 3. 4.
Voorstelronde Over uw rol Maatregelen De diepte in…
Voorstelronde • Naam • Organisatie • Waarom deze workshop?
Privacy en beveiliging: Uw rol Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen
Verantwoordelijke
Bewerker
De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt
Degene aan wie persoonsgegevens worden verstrekt
Ontvanger
Degene op wie een persoonsgegeven betrekking heeft
Betrokkene
Privacy en beveiliging: Uw rol Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen
Degene aan wie persoonsgegevens worden verstrekt
Artikel 13, Wbp De verantwoordelijke(!) legt passende technische en organisatorische maatregelen ten uitvoer om Verantwoordelijke Bewerker Ontvanger persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend De natuurlijke persoon, Degene op wie een rechtspersoon of ieder ander diegelet of op de risico's die de verwerking beveiligingsniveau en de persoonsgegeven het bestuursorgaan alleen of te gegevens met zich meebrengen. De aard vandat, te beschermen betrekking heeft zamen metmaatregelen anderen, het doel van en zijn er mede op gericht onnodige verzameling en de middelen voor de verwerking van verdere verwerking van persoonsgegevens te voorkomen. persoonsgegevens vaststelt
Betrokkene
Maatregelen • Welke maatregelen en instrumenten gebruikt uw organisatie? • Wat ontbreekt er nog?
Maatregelen MBO
HO
Normenkader SURFaudit SURF Juridisch normenkader cloudservices HO
Toetsingskaders MBO Taskforce IBB
ROSA katern P&B, SION Certificeringsschema
Studielink aansluitvoorwaarden
Privacyconvenant Doorbraakproject onderwijs en ict
PO
Kwalificatie OSO
VO
In detail MBO
HO
Normenkader SURFaudit SURF Juridisch normenkader cloudservices HO
Toetsingskaders MBO Taskforce IBB
ROSA katern P&B, SION Certificeringsschema
Studielink aansluitvoorwaarden
Privacyconvenant Doorbraakproject onderwijs en ict
PO
Kwalificatie OSO
VO
Roadmap
Roadmap
Beschrijving urgentie informatiebeveiliging en privacy met als logische vervolgstap het opzetten van Informatiebeveiliging en privacy beleid binnen de MBO instelling.
Formulering van de opdracht voor de kwartiermaker. Benoemen van de faciliteiten. Vastleggen van de kaders (bijvoorbeeld normenkader ISO 27001-2).
1. Aanleiding
2. Opdracht
3. Inventarisatie
4. Nulmeting
5. Verbeterplan
Inventarisaties architecturen (proces, data, applicatie en netwerk). Gesprekken met medewerkers binnen MBO instelling. Eerste globale BIV classificatie en ranking van IT voorzieningen. Beleid nulmeting. Technische nulmeting. Proces nulmeting. Risico’s en uitdagingen. Verbeterplan. Uitvoeren audit(s)
Risicoanalyse
Risicoanalyse De risico’s gegroepeerd: 1A 1B 2
3 4
Beleid, organisatie en personeel Informatiebeveiliging Beleid, organisatie en personeel Privacy Cluster: 1, 2 en 7 Techniek en externe koppelingen Cluster: 3, 4 en 9 Applicaties en audit Cluster: 5 en 6 Examineren Cluster: 8
Normen- en toetsingskader
Beleid en organisatie Nr.
ISO27002 Statement 6.2.1.1
Beleid voor mobiele apparatuur: Er dient beleid te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beheren.
I
10.1.1.1
Beleid inzake het gebruik van cryptografische beheersmaatregelen: Ter bescherming van informatie behoort een beleid voor het gebruik van crypto grafische beheersmaatregelen te worden ontwikkeld.
P
1.10
10.1.1.2
Beleid inzake het gebruik van cryptografische beheersmaatregelen: Ter bescherming van informatie zijn er tools of applicaties aanwezig waarmee het beleid voor het gebruik van crypto grafische beheersmaatregelen wordt geïmplementeerd.
P
1.11
11.2.5
Verwijdering van bedrijfsmiddelen: Apparatuur, informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring.
P
1.6 1.9
1.12 1.13 1.16 1.18
13.2.1
13.2.2
15.1.3
16.1.2
Beleid en procedures voor informatietransport: Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. Overeenkomsten over informatietransport: Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
Toeleveringsketen van informatie- en communicatietechnologie: Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. Rapportage van informatiebeveiligingsgebeurtenissen: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.
B
B
I
B
Beleid
Inrichting organisatie
Inrichting organisatie Scholing informatiebeveiliging • Masterclasses • Themaconferenties Positionering • Governance • Functiebeschrijving en waardering (IBP coördinator en IBP manager)
Awareness
Informatie- en privacy-audit
Informatie- en privacy-audit Audit stappen
• • • •
Self assessment Interne audit Peer audit Externe audit
Vragen / meer info… Meer informatie? Mails zijn welkom:
Ludo Cuijpers
[email protected] Remco de Boer
[email protected]
Bibliografie • ROSA Katern P&B http://www.edustandaard.nl/fileadmin/edustandaard/user_upload/ROSA_K atern_Privacy_en_informatie_beveiliging_v1.0.docx
• Normenkader SURFaudit https://www.surf.nl/diensten-en-producten/surfaudit/normenkadersurfaudit/index.html
• SURF Juridisch normenkader cloudservices https://www.surf.nl/kennis-en-innovatie/kennisbank/2013/juridischnormenkader-cloud-services-hoger-onderwijs.html
• Privacyconvenant Doorbraakproject ict en onderwijs http://doorbraakonderwijsenict.nl/
• MBO Taskforce IBB http://www.kennisnet.nl/themas/informatiemanagement/informatiebeveili ging/
