Praktijkinstructie Beveiliging informatiesystemen 4 (CIN15.4/CREBO:50141)
pi.cin15.4.v1
© ECABO, 1 januari 1998
Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen, opgeslagen of gepubliceerd in enige vorm of wijze, hetzij elektronisch, kopieertechnisch, druktechnisch of fotografisch, zonder voorafgaande toestemming van ECABO. Correspondentie met betrekking tot overneming of reproductie: ECABO Postbus 1230 3800 BE AMERSFOORT
Praktijk
Inhoud Inleiding
3
Taak 1
Procedures ontwikkelen (eindterm 2)
5
Taak 2
Implementeren en beheren van een autorisatiemodel (eindterm 1 en 4)
7
Taak 3
Omgaan met risico’s van besmetting en ongeoorloofd gebruik van het informatiesysteem (eindterm 6 en 7)
Beveiliging informatiesystemen 4
10
Praktijk
Beveiliging informatiesystemen 4
Praktijk
Inleiding Het beveiligen van het operationele informatiesysteem is vaak een “sluitpost” tijdens de implementatie van zo’n systeem. Zonder goede beveiligingsmaatregelen werkt het informatiesysteem in technische zin correct. Elke gebruiker kan zonder beveiliging vanaf elke werkplek (intern of extern) alle beschikbare gegevens opvragen. Op deze manier werkt het systeem eigenlijk erg goed, maar ook erg onveilig! Om ongeoorloofd gebruik door medewerkers of door derden te voorkomen is het daarom noodzakelijk om beveiligingsmaatregelen te treffen. In taak 1 van deze praktijkinstructie leert u procedures te ontwikkelen voor de beveiliging van programmatuur, gegevens en documentatie. In taak 2 leert u besmetting door virussen en ongeoorloofd gebruik van het systeem te voorkomen en waar nodig te verhelpen. Tot slot leert u in taak 3 de opgestelde beveiligings-procedures te implementeren en te onderhouden.
Beveiliging informatiesystemen 4
3
Praktijk
Beveiliging informatiesystemen 4
4
Praktijk
Taak 1
Procedures ontwikkelen Om tot een goed beveiligd informatiesysteem te komen is het nodig eerst de mogelijke “gevaren” te inventariseren en te analyseren. Vervolgens moeten aan de hand van deze analyse eisen worden opgesteld waaraan het systeem qua beveiliging moet voldoen. In deze taak leert u de opgestelde eisen te vertalen naar procedures. Deze procedures moeten (zo veel mogelijk) bestaan uit geautomatiseerde activiteiten, maar ook uit richtlijnen waaraan de medewerkers zich moeten houden tijdens het gebruik van het informatiesysteem.
Doel
Aan het eind van deze taak kunt u: ä beveiligingseisen vertalen naar concrete procedures voor beveiliging van programmatuur, gegevens en documentatie (eindterm 2)
Activiteitenlijst Lees de activiteitenlijst door om een beeld van de taak te krijgen. -
Vragen
Beantwoord de vragen en bespreek de antwoorden met uw praktijkopleider. 1. 2. 3. 4.
5.
6.
Taak 1
Inventariseer en analyseer de knelpunten m.b.t. de beveiliging van het informatiesysteem. Stel een procedure op om de programmatuur te beschermen tegen besmetting door virussen en ongeoorloofd gebruik. Stel een procedure op om de gegevens te beschermen tegen besmetting door virussen en ongeoorloofd gebruik. Stel een procedure op om de documentatie te beschermen tegen ongeoorloofd gebruik. Schakel deskundigen in om de validiteit van uw procedures te controleren.
Welke eisen en richtlijnen worden er in uw organisatie gehanteerd met betrekking tot het ontwikkelen van procedures? Welke moderne en professionele beveiligingsconcepten en -hulpmiddelen zijn u bekend? Welke hiervan worden er in uw organisatie al gebruikt? Welke integriteitsregels van het besturings- en communicatiesysteem zijn u bekend? Welke worden er binnen uw organisatie gebruikt/gehanteerd? Heeft u binnen uw organisatie mogelijkheden om genomen beveiligingsmaatregelen te omzeilen of (tijdelijk) te deactiveren? Zo ja, welke? Zijn deze mogelijkheden ook bekend bij de gebruikers? Zo ja, welke gevolgen heeft dat? In het autorisatiemodel van uw organisatie is waarschijnlijk aangegeven waartoe de verschillende groepen gebruikers gemachtigd zijn. Is ook gedefinieerd wat niet is toegestaan? Welke hulpmiddelen staan u ter beschikking om te controleren of de genomen beveiligingsmaatregelen afdoende zijn en blijven? (Denk hierbij aan test-scripts en audittrails.)
Beveiliging informatiesystemen 4
5
Praktijk
Opdrachten
Taak 1
De opdrachten zijn een uitwerking van de activiteitenlijst. Voordat u de opdrachten gaat uitvoeren dient u na te gaan of het werk in uw bedrijf/organisatie op de hiervoor beschreven wijze gebeurt of dat de activiteitenlijst moet worden aangepast. Pas de activiteitenlijst, in overleg met uw praktijkopleider, zo nodig aan. Voer daarna de opdrachten uit. 1.
Onderzoek welke procedures er in uw organisatie aanwezig zijn met betrekking tot de bescherming van: programmatuur, tegen virussen en ongeoorloofd gebruik (denk o.a. aan copyrights en autorisatie op menustructuurniveau) gegevens, tegen virussen en ongeoorloofd gebruik (specificeer o.a. de beveiliging op bestands- en recordniveau) documentatie, tegen ongeoorloofd gebruik (denk aan de programmabibliotheek en aan de mate van actualiteit van de systeem- en gebruikersdocumentatie). Bespreek met uw praktijkopleider welke procedures in aanmerking komen voor actualisering of voor verdere detaillering. Bespreek tevens mogelijke hiaten in de beveiligingsstructuur van de organisatie en adviseer uw praktijkopleider bij het (eventueel) opstellen van nieuwe procedures. Stel op basis van dit overleg een aantal procedures op of stel een of meer procedures bij. Hanteer bij het opstellen of wijzigen van procedures de bedrijfsrichtlijnen en gebruik de in de organisatie aanwezige hulpmiddelen.
2.
Laat de opgestelde of aangepaste procedures controleren/valideren door uw praktijkopleider, een collega automatiseringsmedewerker, een (toekomstige) gebruiker van de procedure(s) en zo mogelijk ook door een externe deskundige. Om de hulp in te roepen van een externe deskundige heeft u uiteraard toestemming nodig van uw praktijkopleider. Als alternatief kunt u de docent van uw school om advies vragen. Houd hierbij wel rekening met het feit dat bedrijfsgevoelige informatie pas na uitdrukkelijke toestemming ter beschikking gesteld mag worden aan derden. Let op: het gaat hier alleen om de controle van de procedures en niet om de controle op de goede werking van de procedures.
Beveiliging informatiesystemen 4
6
Praktijk
Taak 2
Implementeren en beheren van een autorisatiemodel Nadat de beveiligingsprocedures zijn opgesteld (taak 1), is de volgende stap om ze zo snel mogelijk te implementeren. In deze taak leert u de technische voorzieningen aan te brengen en de gebruikers te ondersteunen met betrekking tot uitvoering van de richtlijnen. Na implementatie moet het operationele beveiligingssysteem worden beheerd en onderhouden.
Doel
Aan het eind van deze taak kunt u: ä op grond van gegeven richtlijnen de autorisatie van het informatiesysteem beheren (eindterm 1) ä met behulp van software de toegang vanuit een LAN/stand-alone computer naar een WAN beperken (eindterm 4)
Activiteitenlijst Lees de activiteitenlijst door om een beeld van de taak te krijgen. -
Vragen
Beantwoord de vragen en bespreek de antwoorden met uw praktijkopleider. 1. 2.
3.
4.
5.
6.
7.
Taak 2
Onderhoud en beheer het logisch autorisatiemodel. Pas het informatiesysteem aan aan het autorisatiemodel. Informeer en instrueer de gebruikers over (te nemen) technische en procedurele beveiligingsmaatregelen. Test de procedure(s) na elke (kleine) wijziging m.b.t. beveiliging. Zie toe op het gedisciplineerd gebruik van de beveiligingsprocedures.
Beschikt uw organisatie over een beveiligingsplan? Zo ja, welke elementen hieruit zijn voor u van belang? Wat zijn met betrekking tot beveiliging belangrijke kenmerken van de informatie-push-methode en van de informatie-pull-methode? Welke van de twee methoden wordt door uw organisatie gebruikt? Motiveer uw antwoord. Zijn aan de gebruikers van het netwerksysteem beperkingen (login restrictions) opgelegd? Zo ja, beschrijf in grote lijnen welke vormen van beperkingen worden gebruikt. Maakt uw organisatie gebruik van intranetconcepten en/of -technieken? Zo ja, beschrijf de toepassingsgebieden. Is het mogelijk vanuit het intranet naar het internet te komen en vice versa? Welke beveiligingsmaatregelen zijn binnen uw organisatie getroffen om vertrouwelijke bedrijfsinformatie af te schermen voor onbevoegden? Geef dit globaal aan. Maakt uw organisatie gebruik van huurlijnen of van ISDN-telefoonverbindingen? Zo ja, voor welke toepassingen? Zijn er procedures om de toegang tot deze lijnen te beperken? Wellicht hebben een of meer gebruikers binnen uw organisatie de mogelijkheid om informatie van het internet op te roepen. Heeft uw organisatie maatregelen genomen om onnodige of ongewilde informatie af te schermen? Zo ja, op welke manier?
Beveiliging informatiesystemen 4
7
Praktijk
Opdrachten
Taak 2
De opdrachten zijn een uitwerking van de activiteitenlijst. Voordat u de opdrachten gaat uitvoeren dient u na te gaan of het werk in uw bedrijf/organisatie op de hiervoor beschreven wijze gebeurt of dat de activiteitenlijst moet worden aangepast. Pas de activiteitenlijst, in overleg met uw praktijkopleider, zo nodig aan. Voer daarna de opdrachten uit. 1.
Beheer het logisch autorisatiemodel op: werkplekniveau operating-systemniveau netwerkniveau resource-niveau (netwerkprinter, cd-romspeler, mailserver e.d.) directoryniveau (domain/site/server) gui-niveau groepsniveau gebruikersniveau. Zorg dat gedurende uw praktijkperiode elke wijziging op een van bovenstaande niveaus meteen wordt doorgevoerd en/of gedocumenteerd in het autorisatiemodel.
2.
Inventariseer voor implementatie alle nieuwe of aangepaste procedures met betrekking tot de systeembeveiliging op (mogelijke) gevolgen voor de gebruikers. Stel alle betrokken gebruikers vooraf op de hoogte van aanpassingen die u binnenkort gaat aanbrengen.
3.
Implementeer de (nieuwe) procedures in een testomgeving. Breng alle noodzakelijke technische voorzieningen aan en richt deze in volgens de specificaties in het autorisatiemodel.
4.
Test de aangebrachte voorzieningen in technische en functionele zin. Laat uw praktijkopleider en ook zo mogelijk een (externe) deskundige de beveiligingstoepassing, inclusief handmatige procedures, uitvoerig testen. Als u en uw praktijkopleider (en eventueel de externe deskundige) overtuigd zijn van de goede werking, laat dan vervolgens een (toekomstige) gebruiker de test verrichten. Hij zal vanwege zijn materiedeskundigheid vanuit een andere invalshoek de test uitvoeren en zaken “uitproberen” waaraan u wellicht (nog) niet heeft gedacht (opties, uitwijkmogelijkheden) of zaken tegenkomen die voor u wel logisch zijn, maar voor een gebruiker niet. Stel de inrichting van de hard- en softwarecomponenten en de handmatige procedures bij aan de hand van de testbevindingen. Operationaliseer tot slot de nieuwe en volledig uitgeteste voorzieningen en procedures. Ga na of de procedures werkbaar zijn voor de gebruikers.
5.
Bespreek met uw praktijkopleider op welke wijze u in de komende periode toezicht houdt op het gedisciplineerd gebruik van de beveiligingsprocedures. Enkele vragen die u zich kunt stellen zijn: houden gebruikers zich aan de adviezen m.b.t. periodieke wachtwoordwijzigingen? hoe wordt met toegangsrestricties omgegaan bij afwezigheid (ziekte, vakantie) van een gebruiker?
Beveiliging informatiesystemen 4
8
Praktijk
-
Taak 2
loggen de gebruikers uit als ze (even) hun werkplek verlaten of houden ze de verbinding in stand (denk ook aan de internet-verbindingen e.d.)? hangen er “beruchte” gele post-it briefjes met wachtwoorden op beeldschermen? maken medewerkers gebruik van “een andere login-naam met meer rechten” om snel iets te kunnen inzien?
Beveiliging informatiesystemen 4
9
Praktijk
Taak 3
Omgaan met risico’s van besmetting en ongeoorloofd gebruik van het informatiesysteem Hoe goed de genomen beveiligingsmaatregelen ook zijn, het gevaar van besmetting door een virus ligt altijd op de loer. Ook moet er rekening mee gehouden worden dat er altijd “figuren” zijn binnen maar vooral van buiten de organisatie die proberen de getroffen maatregelen te omzeilen. In deze taak leert u steeds alert te zijn en te blijven op mogelijke risico’s. Voor het geval dat het informatiesysteem toch “doelwit” is geweest van besmetting door computervirussen of van ongeoorloofd gebruik, leert u de gevolgen hiervan te verhelpen.
Doel
Aan het eind van deze taak kunt u: ä bij gebruik van een modem de risico's ten aanzien van besmetting en ongeoorloofd gebruik van het informatiesysteem beperken (eindterm 6) ä bij gebruik van een modem de gevolgen van besmetting en ongeoorloofd gebruik verhelpen binnen het informatiesysteem (eindterm 7)
Werkplan
Lees het werkplan door om een beeld van de taak te krijgen. Stap 1 Controleer alle systemen op mogelijke besmetting van gegevens door computervirussen die via modemconnecties het informatiesysteem kunnen binnentreden. Controleer bijvoorbeeld met behulp van testprogramma’s of de virusdetectie functioneert. Stap 2 Verhelp alle gesignaleerde besmettingsproblemen. Deze stap mag alleen worden uitgevoerd als een virus spontaan en zonder opzet binnenkomt. U mag dus nooit zelf een virus met opzet binnen de organisatie brengen om ervaring op te doen met het bestrijden van virussen! Stap 3 Controleer alle systemen en procedures op mogelijke hiaten met betrekking tot het voorkomen van ongeoorloofd gebruik van de gegevens. Stap 4 Verhelp alle gesignaleerde problemen met betrekking tot het ongeoorloofd gebruik.
Vragen
Beantwoord de vragen en bespreek de antwoorden met uw praktijkopleider. 1.
2. 3.
4.
Taak 3
Welke technische en procedurele hulpmiddelen ten behoeve van virus-protectie en -bestrijding zijn u bekend? Welke zijn binnen uw organisatie aanwezig en/of in gebruik? Welke wettelijke bepalingen met betrekking tot computervredebreuk, privacy, en copyright zijn u bekend? Welke zijn binnen uw organisatie van toepassing? Wat zijn de oorzaken en mogelijke gevolgen van inbreuk op bedrijfsgegevens door middel van “hacking”? Is uw organisatie al eens met hacking in aanraking gekomen? Zo ja, wat waren de gevolgen? Welke beveiligingsconcepten kent u om het informatiesysteem te behoeden voor ongeoorloofde toegang? Welk concept zou u binnen uw organisatie willen invoeren? En waarom?
Beveiliging informatiesystemen 4
10
Praktijk
Opdrachten
Taak 3
De opdrachten zijn een uitwerking van het werkplan. Voordat u de opdrachten gaat uitvoeren dient u na te gaan of het werk in uw bedrijf/organisatie op de hiervoor beschreven wijze gebeurt of dat het werkplan moet worden aangepast. Pas het werkplan, in overleg met uw praktijkopleider, zo nodig aan. Voer daarna de opdrachten uit. 1.
Controleer alle systemen die onder uw verantwoordelijkheid vallen op de handhaving van de maatregelen tegen besmetting van gegevens door computervirussen. Richt u hierbij specifiek op risico’s die het gebruik van modems met zich meebrengt. Controleer de technische voorzieningen op correcte werking en op actualiteit. Controleer tevens of de procedurele handelingen volgens de geldende richtlijnen worden uitgevoerd. (Worden verbindingen tijdig (automatisch) verbroken? Worden wachtwoorden tijdig vernieuwd? Zijn tijdelijke testconfiguraties, bijvoorbeeld in het callbacksysteem, verwijderd na gebruik, etc.) Leg uw bevindingen schriftelijk vast en bespreek deze met uw praktijkopleider.
2.
Attendeer de gebruikers op de noodzaak van het instandhouden van de procedures met betrekking tot virusprotectie. Wijs erop dat hoewel uitvoering van de procedures hier en daar ongemakken met zich meebrengt, ze vaak ernstige problemen voorkomen. Pleeg zo nodig overleg met uw praktijkopleider over de vragen en opmerkingen van gebruikers.
3.
Controleer de beschreven herstelprocedure bij het ontstaan van virusproblemen. Neem steekproeven om te testen of de organisatie binnen korte tijd eventuele schade kan herstellen zonder de voortgang van de werkzaamheden in gevaar te brengen. Breng over uw bevindingen verslag uit aan uw praktijkopleider. U mag nooit zelf een virus met opzet binnen de organisatie brengen om ervaring op te doen met het bestrijden ervan!
4.
Controleer alle systemen en procedures op mogelijke hiaten met betrekking tot het voorkomen van ongeoorloofd gebruik, via modemconnecties, van de gegevens in het informatiesysteem. Gebruik hierbij de u ter beschikking staande hulpmiddelen (testscripts, audittrails etc.), en inbel- en inlogbestanden en andere security-voorzieningen. Breng over uw bevindingen verslag uit aan uw praktijkopleider.
5.
Verhelp gedurende een bepaalde tijd alle gesignaleerde problemen met betrekking tot het ongeoorloofd gebruik, via modemconnecties, van de gegevens in het informatiesysteem. Registreer elke onregelmatigheid in de systeemdocumentatie. Meld ernstige onregelmatigheden meteen aan uw praktijkopleider. Maak na afloop van de periode een kort verslag van uw werkzaamheden.
Beveiliging informatiesystemen 4
11
