Presentatie ISO27001 in de praktijk
MOA bijeenkomst 16 mei 2013
Even voorstellen Rob de Leur – Business partner ORBEDO
Risicomanagement
Informatiebeveiliging
Procesmanagement
Informatiebeveiliging - korte introductie -
Informatiebeveiliging richt zich op het betrouwbaar functioneren van informatiesystemen en daarmee de betrouwbaarheid van de informatie. Het in voldoende mate waarborgen van: • Beschikbaarheid • Juistheid • Vertrouwelijkheid
ISMS ISO27001 • • •
Internationale standaard voor informatiebeveiliging Raamwerk om informatiebeveiliging structureel in te richten en blijvend te verbeteren Risicogedreven, bedrijfsdoelen en -processen staan centraal
Een eigen Information Security Management System: • Vanuit eigen kwaliteitsoogpunt • Als onderscheidend vermogen • Omdat de klant het eist
Vertrouwen hebben en geven dat belangrijke informatie in veilige handen is!
Een kantoor
Opzet ISO27001 - Complexe norm -
Opdeling • Algemeen deel (PDCA) à la ISO9001 • Bijlage met 133 beheersmaatregelen Uitsluitingen mogelijk Eigen scope bepaling
Onderdelen van informatiebeveiliging
Opzet ISO27001 centraal Gelijk andere managementsystemen • Plan Do Check Act – risico gedreven
Beheer: • Documenten • Registraties
Directie verantwoordelijkheid • Beheer middelen • Training, bewustzijn en bekwaamheid
Interne ISMS audits Directiebeoordeling Continue verbeteren • Corrigerend • Preventief
Zonder inzicht geen uitzicht Klantvragen • Waar staan we? • Hoeveel tijd gaat het ons kosten? • Hoeveel geld gaat het ons kosten qua begeleiding en certificering? • Mogelijke tijdslijnen?
Fasering ISO27001 traject ISO27001 Gap Analyse IB statuut Risico-analyse Opzet ISMS Doorvoeren beheersmaatregelen Bijhouden Statement of Applicability Interne audits + Directiebeoordeling Certificering (optioneel)
Go/No Go Richtlijn Nuancering Structuur Inhoud Status Check Bevestiging
Werkwijze Stuurgroep
Begeleider
Bedrijf
Resources Projectmanagement / Begeleiden IB functionaris ISMS
Templates
Uitvoering
Rol begeleider • Projectmanagement • Begeleiding aktie-verantwoordelijken • Aansturing en beoordeling resultaten • Inbreng ISO27001 toolbox • Training ISO27001 auditoren • Begeleiding IB functionaris Begeleiding o.b.v. nacalculatie of fixed price
Aanpak in blokken
ISO27001 Gap Analyse Doel • Inzicht in benodigde tijd • Inzicht in kosten begeleiding • Mogelijke planning
Gerealiseerd = vastgelegd en geïmplementeerd Volledig gerealiseerd Deels gerealiseerd Nog niet gerealiseerd
Volledig inzicht in: • Status • Benodigde tijd • Kostenplaatje Adequate informatie voor besluitvorming!
Blok Beleid – IB statuut • Beleidsmatige uitgangspunten op alle beheersdoelstellingen • Richtinggevend voor beheersmaatregelen • Basis voor medewerkersboekje
Blok Beleid – risico analyse • Basis: informatiesoorten en middelen • Output: geclassificeerde informatiesoorten met dreigingen en gewogen beheersmaatregelen • Uitvoeren impact analyse: potentiële schade • Uitvoeren dreigingen analyse: potentiële gevaren • Juistheid, vertrouwelijkheid en beschikbaarheid • Sprint methodiek
ORBEDO Risico Analyse I Gereed Extra
Overzicht Informatiesoorten
RA Impact analyse
Risico niveaus
Risico gebieden
Integriteit
Hoog
Kosten
Vertrouwelijkheid
Middel
Imago
Beschikbaarheid
Laag
Juridisch
Risico aspecten
RESULTAAT Geclassificeerde informatiesoorten o.b.v. de risico score totaal en per risico aspect
• Hoog risicovol • Gemiddeld risicovol • Laag risicovol
Concretiseren VB Kosten Laag tot € 1.000
Middel tot € 10.000 Hoog vanaf € 100.000
ORBEDO Risico Analyse I Gereed Extra
Overzicht Informatiesoorten
RA Dreigingenanalyse
Risico aspecten
Dreigingen niveaus
Integriteit
Waarschijnlijk
Vertrouwelijkheid
Mogelijk
Beschikbaarheid
Nihil
RESULTAAT I
RESULTAAT II
Geïnventariseerde dreigingen met dreiging niveau voor de informatiesoorten
Overzicht voor en per Hoog en Gemiddeld risicovolle informatiesoort met koppeling dreigingen en beheersdoelstellingen en indicatie van restrisico
Blok ISMS • Verschijningsvorm: papier of digitaal • Prima werkende free software WIKI toepassingen • Toegankelijkheid op basis van autorisaties • Versiebeheer • Wijzigingsbeheer
• Inrichting systeemprocedures (à la ISO9001) • Directiebeoordeling • Interne audits, corrigerende en preventieve maatregelen • Document- en registratiebeheer
Personeel
• Screening • Informatiebeveiligingsbewustzijn • Geïnformeerd zijn (bv. Procedures en calamiteitenplan) • Onderwerp bij functionerings- en beoordelingsgesprekken • Signaleren (potentiële) risico’s • In- en uitdienst protocol
Derden Klanten • Contractueel • De klanteisen op het gebied van informatiebeveiliging • Het niveau van informatiebeveiliging van de organisatie • Sanctiebeleid • Wijze van communicatie en monitoring Leveranciers • Contractueel • De eisen die de organisatie stelt op het gebied van informatiebeveiliging • Het niveau van informatiebeveiliging van de leverancier • Sanctiebeleid • Wijze van communicatie en monitoring
Blok Fysiek • Toegang pand (sleutel, keycard, sensor) • Personeel, bezoekers en rokers (stok tussen de deur)
• Toegang (speciale) ruimten • Computer servers, netwerk, noodstroom
• Expeditieruimten, achterdeur, nooduitgang • Ontsluiten en sluiten pand • Sleutelprocedure en adequaat beheer • In en uitdiensttreding
• Plaatsing en onderhoud apparatuur • Inbraak en rook detectie
Blok Fysiek • Meenemen bedrijfseigendommen • Laptops, smartphones, USB sticks
• Verwijderen apparatuur • Verschoond van informatie programmatuur
Blok ICT • Gebruik en toegang (servers, netwerk, applicatie, werkplek) • Antivirus, Firewall, Autorisatie
• Registratie beveiligingsincidenten • Centraal meldpunt (Helpdesk/ Servicedesk) • Problemen oplossen en herhaling voorkomen • Registratie bedrijfsmiddelen • Eigenaren • Onderlinge relaties
• Organiseren wijzigingen • Eigenaren bedrijfsmiddelen betrekken • Plannen, uitvoeren en accepteren
Blok ICT • Beheren van de juiste versies (contracten, programma’s) • Applicatiebeheer (autorisatie, toegang, gebruik) • Aanschaf voorwaarden, licenties
• Functiescheiding (ontwikkelaar en uitvoerder) • Logging voor reconstructie
• Continuïteit (stroomuitval, back-up/restore en uitwijk) • Capaciteit (toe en afname server, netwerk en disk) • Geïntegreerd beheren • Best practice (ITIL, ITSM, BISL en ASL)
• Opensource middelen (OTRS, WIKI)
ICT ontwikkelingen…. In the cloud
ICT ontwikkelingen…. In the cloud • Hoe is de opslag beveiligd? • Wie kan er bij? • Waar wordt de data opgeslagen? • Hoe is de communicatie afgeschermd? • Hoe groter de omgeving, des te groter het aantal (potentiële) cybercriminelen • Cloud leveranciers monitoren?!
Doorvoeren beheersmaatregelen • Richting is bepaald (IB statuut) • Dreigingniveau vastgesteld (Risico-analyse) Niet alle beheersmaatregelen (133) even zwaar aanzetten • Validatie voor weging beheersmaatregelen • Beheersmaatregelen kunnen uitgesloten worden
Bijhouden Statement of Applicability • Overzichtdocument • Vertaling per beheersmaatregel van implementatie • Verwijzing naar onderliggende informatie • Verantwoordelijke per beheersmaatregel
• SoA volgt ontwikkeling ISMS • Statusdocument voor stuurgroep • Onderdeel van certificaat
ORBEDO SOA I Gereed Extra Overzicht Beheersdoelstellingen met Beheersmaatregelen
Van toepassing
Verantwoordelijke
Verklaring
Referentie
Validatie
Doeltreffendheid vaststelling
• Beleid
• Meet methode
• Contractueel
• Procesverwijzing
• Risico Analyse
• Interne audits
ISO27001 Certificering • Keuze voor best passende • Wel of niet geaccrediteerd • Kennis van vakgebied • Prijsstelling
• 2 fasen • Fase 1: documentstudie • Fase 2: interviews • Contract voor 3 jaar • Uitgifte o.b.v. getoetste scope incl. SoA
Wie is verantwoordelijk voor de informatiebeveiliging?
Top 10 succesfactoren 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Beleid Managementsteun Organisatie Passende maatregelen Cultuur Kennis Budget Communicatie Awareness Evaluatie en onderhoud
Hints & Tips • Stel realistisch ambitieniveau vast • Integreer zoveel mogelijk in bestaande managementsystemen • Gebruik bestaande bekende middelen en processen • Gefaseerd = Beheerst • Maak er geen verplichtnummer van maar een uitdaging • Communiceren = betrekken = draagvlak
