Inrichtingsvoorstel SURFaudit, April 2011, versie 1.2
pagina 1 / 9
Inrichtingsvoorstel SURFaudit April 2011 Versie 1.2, Alf Moens, voor advies naar CIO Beraad, CvDUR en Comit In juni 2010 heeft het bestuur van het platform ICT en Bedrijfsvoering ingestemd met een procesmatige invulling van SURFaudit. Dit voorstel beschrijft een aantal keuzes voor de inrichting van SURFaudit. Na verwerking van de adviezen van CIO beraad, CvDUR en Comit wordt het inrichtingsvoorstel door de Stuurgroep SURFaudit voorgelegd aan het Platformbestuur voor accordering. De Stuurgroep SURFaudit vraagt het CIO Beraad, de CvDUR en de Comit in te stemmen met doelstelling en ambitie van SURFaudit (hoofdstuk 3), en met de keuzes ten aanzien van de soorten assessments (5.1), het normenkader (5.2) en het scoringsmechanisme (5.3), en een positief advies over de invoering te geven aan het bestuur van het Platform ICT en Bedrijfsvoering.
1. Samenvatting Voor SURFaudit is een normenkader opgesteld dat bestaat uit de belangrijkste elementen van ISO 270021. Als scoringsmechanisme wordt voorgesteld om CMM te gebruiken. SURFaudit komt beschikbaar in een aantal vormen, van self-‐assessment tot beoordelende, onafhankelijke audit. Op korte termijn worden ‘tools’ geselecteerd die het gebruik van SURFaudit ondersteunen. Gebruik van het BMtool van het CIO Platform (zie par. 8.2) lijkt het meest voor de hand te liggen. Ook zal het CMM-‐niveau dat wordt nagestreefd, nog vastgesteld moeten worden. Het normenkader wordt in de komende periode nader uitgewerkt. Daarbij wordt een directe relatie gelegd tussen beveiligingsmaatregelen en de toetsing daarvan.
2. Wat hier aan vooraf ging In 2008 is het niveau van informatiebeveiliging van een flink aantal Hoger Onderwijs instellingen gemeten. Dit leverde voor zowel de instellingen als voor SURF een schat aan informatie op. In 2009 en 2010 zijn nog verschillende metingen uitgevoerd en is er voor het eerst een referentiekader gebruikt, om aan te geven waar een instelling eigenlijk zou moeten staan. De projectmatige benadering van de metingen is in 2010 afgesloten met een besluit op bestuurlijk niveau om voor de komende vier jaar op een procesmatige manier de volwassenheid van informatiebeveiliging te meten.
3. Doelstelling en Ambitie 3.1 Doel SURFaudit2 SURF stelt zich ten doel om in de komende planperiode (2010 – 2014) het niveau van informatiebeveiliging in de sector Hoger Onderwijs te verbeteren en te borgen. Informatiebeveiliging is van groot belang voor onderwijsinstellingen omdat: 1 ISO27002, Code voor Informatiebeveiliging, internationale standard voor informatiebeveiliging. 2 Zoals beschreven in de notitie “Vertrouwen in Informatiebeveiliging in het Hoger Onderwijs, “In-‐Control” met SURFaudit”, april 2010.
Inrichtingsvoorstel SURFaudit, April 2011, versie 1.2
pagina 2 / 9
• hiermee een belangrijke bijdrage geleverd wordt aan de continuïteit van de bedrijfsvoering; • het essentieel is voor de integriteit van de informatiehuishouding; en • het een invulling geeft aan de maatschappelijke verantwoordelijkheid van de instelling met betrekking tot de zorg ten aanzien van studenten en medewerkers en ten aanzien van kennisverwerving en kennisdisseminatie.
Het doel van SURFaudit is om als HO-‐instellingen individueel en collectief zicht te krijgen op de zwakke plekken in de informatiebeveiliging en –waar zinvol gemeenschappelijk-‐ maatregelen te nemen ter versterking. Doelstelling is om d.m.v. SURFaudit tegelijkertijd te stimuleren en te borgen dat het hoger onderwijs als sector de informatiebeveiliging professionaliseert en op een minimaal niveau waarborgt. Hierbij onderkent SURF dat er grote verschillen zijn tussen de instellingen. SURF zal dan ook actief beleid voeren om alle instellingen op een basis beveiligingsniveau te krijgen, al blijft dit uiteindelijk een verantwoordelijkheid van de instelling zelf. 3.2 Ambitie SURFaudit De ambitie is dat SURFaudit zich tot 2015 ontwikkelt als hét audit instrument om compliance op het gebied van informatiebeveiliging aan te tonen. SURFaudit vervangt uiteindelijk de afzonderlijke audits die HO-‐instellingen met betrekking tot de informatiebeveiliging inzetten, inclusief het IT-‐control deel van jaarrekeningen. De HO-‐ instellingen beschikken met SURFaudit over een instrument dat efficiëntie biedt, toegesneden is op het HO en een goede vergelijking mogelijk maakt tussen de HO-‐ instellingen onderling, maar ook met andere sectoren. De SURF-‐organisatie ondersteunt SURFaudit pro-‐actief en neemt het instrument als uitgangspunt bij beveiligingseisen van relevante SURF-‐services als SURFnet, Studielink, SURFfederatie, persoonscertificaten en SURFinternetpinnen. Diepgaande technische tests op individuele informatiesysteem of infrastructuurcomponenten, zoals penetratietesten en code-‐reviews, worden niet door SURFaudit vervangen.
4. Planning Momenteel, april 2011, zijn het normenkader, het scoringsmechanisme en de assessment methodes uitgewerkt en worden voorgelegd voor besluitvorming, eind mei 2011. Hier kunnen instellingen vanaf september 2011 mee aan de slag. In het tweede kwartaal van 2011 wordt het normenkader verder uitgewerkt met toelichtingen en toetsingsvragen. Daarnaast worden in dezelfde periode hulpmiddelen voor assessments geselecteerd of ontwikkeld. Vanaf 2012 wordt het mogelijk beoordelende audits uit te laten voeren. In 2012 wordt beoogd bij 5 instellingen beoordelende audits uit te laten voeren en in 2013 nog eens bij 15. Van alle instellingen wordt verwacht dat zij in 2015 tenminste éénmaal een beoordelende audit hebben laten uitvoeren. Vanaf 2015 wordt gestreefd naar een synchronisatie van de beoordelende audits (zie par. 5.1). In een later stadium kan besloten worden over uitbreiding van het normenkader, van de subset die nu in paragraaf 5.2 beschreven staat, tot, in stappen, de hele set van toetselementen van ISO 27002.
Inrichtingsvoorstel SURFaudit, April 2011, versie 1.2
pagina 3 / 9
5. Voorstel voor Normenkader, Scoring en Assessments
Dit hoofdstuk beschrijft voorstellen voor de inrichting van SURFaudit. Aan het Platformbestuur wordt gevraagd hier mee in te stemmen en de inrichting van SURFaudit conform deze voorstellen goed te keuren. 5.1 Soorten Assessments SURFaudit kent 4 soorten assessments, oplopend in zwaarte van self-‐service tot een onafhankelijke beoordeling. Van iedere instelling wordt verwacht dat zij eenmaal in de 4 jaar een beoordelende audit laat uitvoeren en de resultaten aanlevert voor de benchmarkcijfers. Er wordt naar gestreefd dat alle instellingen in hetzelfde jaar deze audit laten uitvoeren. Een samenvatting van de resultaten van de beoordelende audit van een instelling wordt openbaar3, de details blijven vertrouwelijk, over verspreiding daarvan beslist een instelling zelf. 5.1.1 Self-‐assessment Een instelling bepaalt zelf hoe zij er voor staat. Dat kan op een deelgebied, dat kan voor een deel van de organisatie, dat kan voor een informatiesysteem. De hulpmiddelen van SURFaudit maken dit mogelijk. Een instelling kan dit assessment zo vaak uitvoeren als men wil. De instellingen wordt gevraagd om een maal per jaar een assessment resultaat beschikbaar te stellen voor het samenstellen van een benchmark. Hiermee wordt inzicht gekregen op algemene zwakke plekken waar gezamenlijk aan verbetering gewerkt kan worden, door innovatie of door aanvullende starterkits en handreikingen. 5.1.2 Begeleid Self-‐assessment Wanneer een instelling meer onafhankelijkheid en zorgvuldigheid in de zelf-‐beoordeling wil brengen kan er begeleiding worden ingeschakeld. Hierbij kijkt een onafhankelijke persoon mee in het assessment proces. Dat kan een collega informatiebeveiliger van een andere instelling zijn of een beveiligingsspecialist van een externe partij. De resultaten van dit assessment zijn alleen beschikbaar voor de instelling. 5.1.3 Proef audit Een proef audit is een voorbereiding op een beoordelende audit en wordt door een externe partij uitgevoerd. De resultaten van de proefaudit zijn alleen beschikbaar voor de instelling. 5.1.4 Beoordelende audit In een beoordelende audit wordt het niveau van informatiebeveiliging beoordeeld. Hierbij wordt het normenkader en beoogde niveau gehanteerd. Voor verschillende toetselementen zal ook “in het proces” gekeken, naar de “werking” van de genomen maatregelen en niet alleen naar de “opzet” en het “bestaan”4. Voor het uitvoeren van beoordelende audits (en proef audits) worden met gerenommeerde organisaties afspraken gemaakt over methode en voorwaarden. Een beoordelende audit gebeurt op initiatief van de instelling en op kosten van de instelling.
3 Vorm en inhoud nader vast te stellen, vergelijkbaar met de resultaten van visitaties en accreditatie onderzoeken. 4 Opzet: Hoe het bedacht is, Bestaan: of het ook zo ingericht is, Werking: of er ook op die manier uitgevoerd wordt.
Inrichtingsvoorstel SURFaudit, April 2011, versie 1.2
pagina 4 / 9
5.1.5 Benchmark De resultaten van de beoordelende audits worden gebruikt om de benchmarkcijfers Hoger Onderwijs vast te stellen. Dit geeft, een keer in de vier jaar, de “officiële” stand van zaken van informatiebeveiliging in het Hoger Onderwijs. Daarnaast worden de self-‐ assessments gegevens gebruikt voor tussentijdse benchmarks. Door het gebruik van gelijke normen en middelen zoals in andere branches (gezondheidszorg, overheid, bedrijfsleven) worden gehanteerd kunnen ook vergelijkingen gemaakt worden met benchmarkcijfers van die andere branches.
Inrichtingsvoorstel SURFaudit, April 2011, versie 1.2
pagina 5 / 9
5.2 Normenkader SURFaudit wordt stapsgewijs uitgebreid. Voor de eerste fase die in 2011 start is een selectie gemaakt van de belangrijkste toetselementen, 36 van de 133 toetselementen van ISO 27002. Dit zijn de essentiële aspecten van informatiebeveiliging die op orde moeten zijn. Deze selectie is bepaald op basis van de selectie van toetselementen die in de zorg5 gebruikt is bij de NEN7510 audits in 2010, en getoetst aan het in 2009 opgestelde referentiekader informatiebeveiliging Hoger Onderwijs. De toetselementen zijn in 5 clusters samengebracht. Deze clusters kunnen onder meer gebruikt worden om overzichtelijke rapportages te maken. Cluster
ISO 27002
1 Beleid & Organisatie
5.1.1
Beleidsdocument voor informatiebeveiliging
5.1.2
Evaluatie en actualisering
6.1.1
Bestuurlijke verankering
6.1.3
Toewijzing en vastlegging van verantwoordelijkheden voor IB
Toetselement
10.8.1 Beleid voor gegevensuitwisseling 10.8.2 Overeenkomsten 12.1.1 Analyse en specificatie van beveiligingseisen 15.1.4 Bescherming van persoonsgegevens 13.1.1 Rapporten beveiligingsincidenten 13.2.1 Verantwoordelijkheden en procedures incidentafhandeling. 2
8.1.3 Personeel, studenten en gasten
3 Ruimten & Apparatuur
8.2.2
Arbeidscontract/voorwaarden Bewustwording, opleiding en training voor informatiebeveiliging
8.3.3
Blokkering van toegang
9.1.2
Fysieke toegangsbeveiliging
9.1.5
Werken in beveiligde ruimten
9.2.4
Onderhoud van apparatuur
11.3.3 Clear desk en clear screen policy 4 Continuïteit
10.1.2 Beheer van wijzigingen 10.4.1 Maatregelen tegen kwaadaardige programmatuur 10.5.1 Reservekopieën 14.1.1 Het proces van continuïteitsbeheer 14.1.2 Bepaling van de continuïteitsstrategie 14.1.3 Ontw. en impl. continuïteitsvoorzieningen & –plannen 14.1.4 Structuur voor continuïteitsplannen
5 Toegangsbeveiliging
11.1.1 Toegangsbeleid 10.8.4 Geautomatiseerde gegevensuitwisseling (tussen systemen) 10.9.2 Transacties “on line” (tussen personen en systemen) 11.2.1 Registratie van gebruikers (is incl autorisatie) 11.5.2 Gebruikersidentificatie en authenticatie 11.4.6 Beheersmaatregelen voor netwerkverbindingen 11.4.5 Scheiding van netwerken 11.2.2 Beheer van speciale bevoegdheden 11.5.1 Inlogprocedures 11.3.1 Gebruik van wachtwoorden en authenticatiemiddelen 11.6.1 Beperken van toegang tot informatie 11.6.2 Isoleren gevoelige systemen
Tabel 1: Normenkader SURFaudit
5 Zoals vastgesteld door de Nederlandse Vereniging van Ziekenhuizen.
Inrichtingsvoorstel SURFaudit, April 2011, versie 1.2
pagina 6 / 9
5.3 Scoring Voor de beoordeling van het voldoen aan elk van de toetselementen is een vast mechanisme nodig. Voorgesteld wordt om hiervoor CMM6 te gebruiken en daarmee het scoringsmechanisme van het CIO Platform Nederland over te nemen. Aan dit mechanisme wordt de voorkeur gegeven boven de methode die in de zorg gebruik wordt (zie ook paragraaf 8.2: de ziekenhuizen gaan deels over op het gebruik van CMM). Met het CMM model is in de voorlopers van SURFaudit ervaring opgedaan bij het meten van identity management en security incident management. In tabel 2 staan de definities7 van de CMM niveaus. 0
Non-‐existent
Management processes are not applied at all.
Complete lack of any recognisable processes. The enterprise has not even recognised that there is an issue to be addressed.
1
Initial/Ad Hoc
There is evidence that the enterprise has recognised that the issues exist and need Processes are ad hoc and to be addressed. There are, however, no standardised processes; instead, there are disorganised. ad hoc approaches that tend to be applied on an individual or case-‐by-‐case basis. The overall approach to management is disorganised.
Repeatable but Intuitive
Processes follow a regular pattern.
Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures, and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals and, therefore, errors are likely.
3
Defined Process
Processes are documented and communicated.
Procedures have been standardised and documented, and communicated through training. It is mandated that these processes should be followed; however, it is unlikely that deviations will be detected. The procedures themselves are not sophisticated but are the formalisation of existing practices.
4
Managed and Measurable
Management monitors and measures compliance with procedures and takes Processes are monitored action where processes appear not to be working effectively. Processes are under and measured. constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way.
5
Optimised
Processes have been refined to a level of good practice, based on the results of Good practices are continuous improvement and maturity modelling with other enterprises. IT is followed and automated. used in an integrated way to automate the workflow, providing tools to improve quality and effectiveness, making the enterprise quick to adapt.
2
Tabel 2: CMM scoringsmodel
Het CMM niveau dat wordt nagestreefd als normwaarde is nog niet vastgesteld. Vooralsnog wordt er van uitgegaan dat CMM niveau 3 als minimum gehanteerd moet worden.
6 Capability Maturity Model: Oorspronkelijk opgezet door Carnegie-‐Mellon als maat voor de betrouwbaarheid van software ontwikkeling. 7 CMM komt in verschillende varianten: Dit is de CMM definitie die gebruikt wordt in COBIT 4.
Inrichtingsvoorstel SURFaudit, April 2011, versie 1.2
pagina 7 / 9
6. Openstaande vragen In dit document zijn de eerste stappen van de inrichting van SURFaudit beschreven. Aan de hand van het Normenkader en het Scoringsmechanisme kunnen de eerste metingen al uitgevoerd worden. De inrichting van SURFaudit is hiermee nog niet klaar, er zijn nog een aantal zaken die in 2011 gerealiseerd moeten worden. 6.1 Plaats en positie SURFaudit Het normenkader is, op inhoud, vergeleken met de aansluiteisen van SURFnet, SURFfederatie, Studielink en enkele andere diensten van(via) SURFnet. Dit zijn de eerste “audits” die SURFaudit kan gaan vervangen. Om de ambitie van SURFaudit te realiseren is het nodig om met een aantal auditpartijen afspraken te gaan maken over plaats en positie van SURFaudit. Hiervoor is al contact met KPMG en voert het CIO Platform Nederland overleg met Norea. Het maken van dit soort afspraken kan deels op sector niveau gebeuren, maar zal ook voor een deel door een instelling zelf moeten gebeuren. Op korte termijn zal gestart worden om samen met enkele instellingen te bekijken hoe hun bestaande audits kunnen overgaan naar SURFaudit. 6.2 Gewenst en/of vereist niveau Er is nog geen CMM-‐niveau vastgesteld als toetsingsnorm. Hiervoor wordt gekeken naar hetgeen al in gebruik is bij andere kwaliteitsmetingen in het Hoger Onderwijs en wordt advies gevraagd aan CIOberaad, CvDUR en COMIT. Een mogelijkheid is om een onderscheid te maken tussen streefniveau (bijvoorbeeld CMM-‐4) en vereist niveau (CMM-‐3). 6.3 Hulpmiddelen Voor de uitvoering van de SURFaudit metingen en het vastleggen en vergelijken (binnen en buiten een instelling) van de resultaten zijn hulpmiddelen, afspraken en instructies nodig. Het BMtool van het CIO Platform Nederland is een veelbelovend hulpmiddel om in te zetten ter ondersteuning van de audits. De keuze van hulpmiddelen zal zich in eerste instantie richten op het beoordelen van de toepasbaarheid van het BMtool. 6.4 Meetcriteria per toetselement, koppeling met baseline informatiebeveiliging Voor het normenkader is een uitgebreidere beschrijving van de toetselementen beschikbaar. Daarnaast is het hand om een koppeling te leggen tussen het normenkader en de baseline informatiebeveiliging Hoger Onderwijs. Deze baseline wordt in 2011 uitgewerkt en hierbij wordt gelijk de koppeling naar het normenkader meegenomen.
Inrichtingsvoorstel SURFaudit, April 2011, versie 1.2
pagina 8 / 9
7. Verantwoording Het voorstel zoals in het vorige hoofdstuk geformuleerd is opgesteld door de maturity werkgroep van SURFibo. Deze bestaat uit: Anita Polderdijk-‐Rijntjes (Hogeschool Windesheim) René Ritzen (Universiteit Utrecht) Martin Romijn (Hogeschool Utrecht) Bart van den Heuvel (Maastricht University) Alf Moens (SURFfoundation) De maturity werkgroep was voor deze gelegenheid versterkt met Deborah Hofland van KPMG. De resultaten van de werkgroep zijn besproken in de stuurgroep SURFaudit. De stuurgroep bestaat uit vertegenwoordigers van CIO Beraad, CvDUR, COMIT, SURFfoundation en SURFnet.
8. Achtergronden
Voor het opstellen van het voorstel is gebruik gemaakt van ervaringen en resultaten binnen het Hoger Onderwijs, binnen de zorg (ziekenhuizen) en binnen het landelijk CIO Platform. 8.1 De zorg De Nederlandse ziekenhuizen waren verplicht om voor eind 2010 aan te tonen dat zijn voldoen aan een door de NVZ8 opgestelde deelnorm van de NEN75109. De deelnorm bestaat uit 35 toetselementen van de NEN7510, gegroepeerd in 5 clusters. Van de ziekenhuizen wordt verwacht dat zij eind 2010 per cluster gemiddeld niveau 2 scoren, dat wil zeggen dat zij voor deze toetselementen beveiligingsmaatregelen moeten hebben geïmplementeerd. In de zorg wordt het volgende scoringsmodel gebruikt: Niveau Omschrijving Het toetselement krijgt weinig of geen aandacht of er zijn uitsluitend plannen om met 1 het normelement aan de slag te gaan. Het toetselement is in de instelling geïmplementeerd, de controle op 2 doeltreffendheid heeft nog niet plaatsgevonden. Het toetselement is geïmplementeerd op alle voor de informatiebeveiliging meest 3 4
kritieke plaatsen in de instelling en de doeltreffendheid is op zijn minst 1 keer door de instelling gecontroleerd. Het toetselement is breed in de instelling geïmplementeerd en de doeltreffendheid wordt structureel door de instelling gecontroleerd.
Alle ziekenhuizen dienen uiteindelijk op niveau 4 te zitten. De inspectie Volksgezondheid verwacht van alle ziekenhuizen dat zij per eind 2010 per cluster uit het normenkader gemiddeld op niveau 2 staan. Er is nog geen datum (jaar) vastgesteld waarop zij niveau 4 behaald moeten hebben. 8 Nederlandse Vereniging van Ziekenhuizen 9 Nederlandse norm voor informatiebeveiliging in de zorg, afgeleid van ISO27002
Inrichtingsvoorstel SURFaudit, April 2011, versie 1.2
pagina 9 / 9
De UMC’s hebben gezamenlijk besloten het BMtool van het CIO Platform te gaan gebruiken voor het meten van volwassenheid. Via de NVZ kunnen ook alle andere ziekenhuizen hier gebruik van maken. Zij zullen daarbij gebruik maken van CMM als scoringsmodel. 8.2 CIO Platform Nederland Het CIO Platform Nederland10 is het netwerk van CIO’s en ICT eindverantwoordelijken van grote organisaties. Stichting SURF participeert in dit netwerk, evenals een viertal UMC’s. Het CIO Platform heeft een aantal ‘Interest Groups’, onder meer voor informatiebeveiliging. Het CIO Platform heeft afgesproken dat de leden het niveau van informatiebeveiliging meten en dat de meetgegevens in benchmark vorm voor de leden beschikbaar komen. De CIG informatiebeveiliging heeft hiervoor een hulpmiddelen laten ontwikkelen, een meetmethode geselecteerd en normering afgesproken. In 2011 zijn verschillende leden begonnen met meten. Middels het BMtool (benchmarktool) kunnen de leden zelf hun stand van zaken in kaart brengen. Het CIO Platform heeft gekozen om CMM te gebruiken als scoringsmethode.
10 http://www.cio-‐platform.nl
