Risico Analyse. Een verkenning. Publicatie van de CIO Interest Group Informatiebeveiliging

CIG Informatiebeveiliging

Risico Analyse Een verkenning

Publicatie van de CIO Interest Group Informatiebeveiliging CIO Platform Nederland, september 2012 www.cio-platform.nl/publicaties

CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012


Van de opstellers De aandacht voor informatiebeveiliging bij de leden van het CIO Platform neemt exponentieel toe. Cyberaanvallen zijn aan de orde van de dag en zelfs partijen die beveiligingscertificaten uitgeven lijken niet meer veilig (lees daarover ook onze publicatie “Digitale veiligheid”, juni 2012). Om als organisatie periodiek te kunnen meten of je voldoende maatregelen hebt getroffen op gebied van informatiebeveiliging is voor de leden van het platform de ledenbenchmarktool “BMTool” ontwikkeld. De BMTool is een perfect tool is om periodiek te kunnen meten hoe je er als organisatie voorstaat. Het is daarnaast ook noodzakelijk om tijdig te kunnen sturen en anticiperen op risico’s die we als organisaties lopen. Daarom hebben wij, op verzoek van veel leden, als Interest Group Informatiebeveiliging publicatie gemaakt over Risico Analyse. Dit document beschrijft welke methoden voor risico analyse er bestaan en in hoofdstuk vijf beschrijven we mogelijkheden om de resultaten uit de BMTool te kunnen gebruiken voor de uitvoering van een risico analyse. Het uitwerken van dit onderwerp is voor ons een leerzaam traject geweest. We zijn er van overtuigd dat we met deze publicatie nog meer waarde kunnen toevoegen aan het gebruik van de BMTool en jou als lezer inzichten kunnen bieden op gebied van risico analyse en risico management. De opstellers (zie pagina 56).

CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 2 van 58


Managementsamenvatting Het CIO Platform onderkent het grote belang van informatiebeveiliging voor de informatievoorziening van haar leden. Om haar leden te ondersteunen bij het inrichten van informatiebeveiliging heeft ze in het recente verleden een benchmarktool (BMTool) ontwikkeld. De BMTool stelt leden in staat om onderling de status van informatiebeveiliging te vergelijken op basis van de door de leden getroffen beveiligingsmaatregelen. Om de ingevoerde resultaten daadwerkelijk te kunnen vergelijken is het van belang te weten om welke redenen een organisatie beveiligingsmaatregelen heeft getroffen. De onderbouwing voor de maatregelen is een risicoanalyse. De werkgroep Informatiebeveiliging heeft daarom een taakgroep ingesteld met als opdracht het thema risicoanalyse te verkennen. Dit rapport bevat de resultaten van deze verkenning. De resultaten van de werkgroep zijn:

Afbakening van het onderwerp risicoanalyse op basis van internationale standaarden Beschrijving van methodes voor de uitvoering van risicoanalyse Aanbeveling voor een methode voor risicoanalyse voor de leden De relatie tussen risicoanalyse en de BMTool Aanbeveling voor het uitbreiden van de BMTool met vragen over de risicoanalyse uitgevoerd door de organisatie.

Het onderwerp risicoanalyse is terug te vinden in de internationale standaard voor risicomanagement: ISO 31000. Hierin wordt de risicoanalyse aangeduid als risicobeoordeling. ISO 31000 is een norm voor risicomanagement, het overkoepelend proces voor het beheersen van risico's. Voor risicoanalyse alleen bestaat ook een andere norm ISO 27005. Samen met ISO 27001 en 27002 wordt een volledig managementsysteem voor informatiebeveiliging gevormd. In dit rapport staat het begrip ‘risicoanalyse’ voor een drietal deelprocessen: risico-identificatie, risicoschatting en risico-evaluatie. De eerste activiteit, risico-identificatie, betreft het in kaart brengen van de relevante risico’s. De omvang van de geïdentificeerde risico’s uit stap 1 wordt vervolgens bepaald tijdens de tweede stap, risicoschatting.



De laatste stap, risico-evaluatie, richt zich op het vergelijken van de omvang van de geïdentificeerde risico’s met de van te voren bepaalde risico criteria. De 3 deelprocessen komen zowel in ISO31000 als in ISO 27005 voor. De BMTool is gebaseerd op de set maatregelen uit ISO 27002. Omdat dit rapport de relatie met de BMTool wil aangeven, wordt ISO 27005 gevolgd. Het rapport behandelt 4 basismethodes voor risicoanalyse en geeft een aanbeveling voor een integrale RA methode.

Deze methode begint met het uitvoeren van een baselinetoets door middel van een business impact analyse. In deze toets wordt bepaald of de standaard maatregelen in de baseline afdoende zijn om de risico’s te beheersen. De baselinetoets is gebaseerd op een BIV classificatie van de informatie die deel uitmaakt van de scope. De impact wordt daarbij uitgedrukt in de van te voren bepaalde risico criteria. De BIV score wordt vervolgens vergeleken met de BIV score van de baseline. Als de score lager is dan de baseline volstaan de baseline maatregelen. Als de BIV score hoger is dan die van de baseline is het noodzakelijk om een uitgebreide risicoanalyse uit te voeren. Als geen statistische data beschikbaar is, resteert een kwalitatieve risicoschatting. De BMTool voorziet in het vastleggen van het basis beveiligingsniveau, het scoren van de volwassenheid van de beveiligingsmaatregelen en het kunnen vergelijken met de aangesloten branchegenoten.



Het vastleggen van het beveiligingsniveau zou gebaseerd moeten zijn op een risicoanalyse. De output van de risicoanalyse zou dus als input moeten dienen voor de BMTool. De vergelijkbaarheid van de resultaten van de BMTool, vooral tussen organisaties onderling is gebaat bij een indicatie van de kwaliteit van het proces dat geleid heeft tot de selectie van maatregelen, de risicoanalyse. De volgende aspecten zijn hierbij bepalend:

Scope: toepassingsgebied (scope) waar de maatregelen ingevuld in de BMTool betrekking op hebben Risicobehandeling: risicoattitude van de organisatie (Risk appetite) Kwaliteit: conformiteit met ISO 27005

Voor deze drie aspecten geeft dit rapport vragen en stellingen die kunnen worden opgenomen in de BMTool.



Inhoudsopgave 1

2

Inleiding....................................................................................................................................7 1.1 1.2 1.3 1.4 1.5

Aanleiding.......................................................................................... 7 Probleemstelling ................................................................................ 8 Doelstelling en Opdracht................................................................... 9 Werkwijze ........................................................................................10 Leeswijzer ........................................................................................11

Risicoanalyse in context..............................................................................................12

2.1 2.2 2.3 2.4

Risicoanalyse in ISO 31000 .............................................................12 Risicoanalyse in ISO 27001 .............................................................14 Risicoanalyse in ISO 27005 .............................................................15 Overzicht van normen .....................................................................18

3 Methodes voor Risicoanalyse .................................................................................. 19 3.1 Conformiteit van een risicoanalyse .................................................19 3.2 Risicoanalyse methodes ..................................................................21 3.3 Relevante criteria .............................................................................30

4 Aanbeveling voor een RA methode ..................................................................... 33 5 Risicoanalyse en de BMTool ..................................................................................... 37

6

5.1 5.2 5.3 5.4

BMTool, platform voor benchmarking ............................................37 RA output is BMTool input ..............................................................38 Verklaring van toepasselijkheid weergeven in de BMTool..............40 BMTool en risicoanalyse ..................................................................41

Uitbreiding van de BMTool........................................................................................43

6.1 Toepassingsgebied van de maatregelen ........................................44 6.2 Risicoattitude van de organisatie ....................................................47 6.3 Kwaliteit van de risicoanalyse..........................................................49

7 Referenties ........................................................................................................................... 50

Bijlage 1: Essentiële maatregelen uit ISO 27002 .................................................. 51 Bijlage 2: Risicomanagement conform ISO 31000 ..............................................52

Bijlage 3: Risicomanagement conform ISO 27005 .............................................. 53

Bijlage 4: Kwaliteit van RA methode............................................................................. 54 Deelnemers CIG Informatiebeveiliging ...................................................................... 56 CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 6 van 58


1

Inleiding

De CIO Interest Group Informatie Beveiliging (CIG-IB) is een van de interest groups van het CIO Platform Nederland. De CIG-IB dient als kennisplatform op het gebied van Informatie Beveiliging (IB). Een van de onderwerpen opgepakt door deze werkgroep is het onderling kunnen vergelijken van organisaties, welke lid zijn van het CIO Platform Nederland, op het gebied van informatiebeveiliging. Binnen de CIG-IB is de werkgroep Benchmarking samengesteld om een benchmark methodiek te ontwikkelen inclusief bijpassende tooling. Deze tooling wordt Benchmark Tool, kortweg BMTool genoemd. De BMTool maakt het mogelijk om de beheersmaatregelen voor informatiebeveiliging, ingevoerd bij de verschillende deelnemers, onderling te vergelijken. De maatregelen in de benchmark tool zijn gebaseerd op de de-facto standaard voor informatiebeveiliging, NEN-ISO 27002 (NEN-ISO, 2007). Conform deze norm moet de selectie van maatregelen gebaseerd zijn op een risicoanalyse. Het CIO Platform heeft daarom de CIG-IB verzocht de relatie tussen risicoanalyse en de BMTool nader te verkennen. Dit document beschrijft de resultaten van deze verkenning. 1.1

Aanleiding

Een presentatie van Ton Arrachart (CIO van Van Oord Dredging), gegeven tijdens de CIG-IB bijeenkomst van 6 oktober 2010, vormt de aanleiding tot het instellen van de werkgroep. Ton wil op een efficiëntere en kortcyclische manier meten waar zijn organisatie staat op het gebied van risicoanalyse en informatiebeveiliging. De vraagstelling richt zich daarbij in eerste instantie op uitwisseling van ervaringen op het gebied van metrieken. Tijdens de CIG-IB vergadering van 24 november 2010 lichtten een aantal leden daarom de binnen hun organisatie gebruikte metrieken toe. Tijdens deze vergadering worden er twee werkgroepen geformeerd. Een werkgroep zal zich richten op het uitwerken van een methodiek voor risicoanalyse die algemeen toepasbaar is en te koppelen aan de BMTool. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 7 van 58


De andere werkgroep zal zich richten op de definitie van Key Perfomance Indicatoren (KPI's). Dit document beschrijft de resultaten van de eerste werkgroep. De andere werkgroep is nog niet van start gegaan. Uit de discussies in de werkgroep is gebleken dat het noodzakelijk is om een relatie te leggen tussen risico’s en maatregelen. Dit rapport bevat hiervoor al enkele resultaten, die vooral gebaseerd zijn op de werkzaamheden van de leden van het CIO Platform werkzaam in de academische ziekenhuizen. 1.2

Probleemstelling

Het doel van het BMTool is het onderling kunnen vergelijken van het niveau van Informatiebeveiliging. De tool volgt de maatregelen volgens de standaard NENISO 27002 (NEN-ISO, 2007) in de vorm van stellingen. De beantwoording van de stellingen geeft een oordeel over het niveau van de implementatie van de maatregelen binnen de organisatie. Deze beantwoording maakt daarbij gebruik van een volwassenheidsmodel. Een organisatie kan haar volwassenheid vergelijken met andere organisaties door haar antwoorden op de stellingen te vergelijken met de antwoorden van andere organisaties. Maar is de vergelijking wel zinvol als niet duidelijk is op grond van welke overwegingen de maatregelen zijn getroffen en de antwoorden zijn gegeven? Conform de gehanteerde norm dient de selectie van maatregelen gebaseerd te zijn op een risicoanalyse. Een organisatie zou dus ter onderbouwing van de genomen maatregelen ten minste een risicoanalyse moeten hebben uitgevoerd. Er bestaan daarnaast ook nog verschillende methodes voor risicoanalyse. Het is dus niet alleen de vraag of een organisatie een risicoanalyse uitvoert, maar het is ook relevant te weten of die risicoanalyse voldoende diepgang heeft. Voldoende diepgang betekent hierin dat de diepgang passend is voor het te analyseren risico.



Ten slotte geeft een organisatie in de BMTool aan welke maatregelen zij heeft genomen. Het is daarbij relevant voor welke onderdeel (of systemen) van de organisatie deze maatregelen genomen zijn. Een organisatie kan bijvoorbeeld besluiten om aan te geven wat het basisniveau van informatiebeveiliging is binnen haar organisatie. Dit basisniveau is het stelsel van maatregelen dat getroffen wordt voor al haar systemen. Een andere organisatie kan besluiten de maatregelen genomen voor haar meest kritische systemen in de BMTool op te nemen. Deze maatregelen zullen in het algemeen uitgebreider zijn dan het basisniveau. Als deze twee organisaties het niveau van informatiebeveiliging met elkaar willen vergelijken, leidt het verschil in scope allicht tot verkeerde conclusies. Naast de onderbouwing door middel van een risicoanalyse, is het daarom ook noodzakelijk een uitspraak te doen over de scope (reikwijdte) van de genomen maatregelen. Tenslotte worden maatregelen genomen om risico te mitigeren. Bepaalde risico’s kunnen voor de ene organisatie volkomen acceptabel zijn en voor een andere totaal niet. De risicoacceptatie (risicoattitude) van een organisatie speelt daarom een beslissende rol in welke risico’s een organisatie wil mitigeren door het treffen van beheersmaatregelen. 1.3

Doelstelling en Opdracht

De werkgroep risicoanalyse stelt zich tot doel de leden van het CIO Platform een handreiking te bieden bij het uitvoeren van risicoanalyse. Deze handreiking zal de deelnemers hulp bieden bij het uitvoeren van risicoanalyses. De handreiking moet ook de vergelijkbaarheid van de resultaten opgenomen in de BMTool verhogen. Uiteraard draagt het uitvoeren van de risicoanalyse zelf bij tot het ontstaan van een betere balans tussen de genomen maatregelen en het dreigingenniveau. De opdracht voor de werkgroep kan als volgt worden geformuleerd:

Werk vanuit risicoperspectief eisen en methoden uit om de vergelijkbaarheid van de resultaten van de BMTool te vergroten. De aspecten scope van de risicoanalyse, de risicoacceptatie en de volwassenheid van de risicoanalyse dienen hierbij te worden belicht.



Geef aan hoe de invoer in de BMTool onderbouwd kan worden door middel van een (soort) risicoanalyse (of extra antwoorden) Geef aan welke eigenschappen een risicoanalyse moet hebben om vergelijkbaarheid van maatregelen te kunnen beoordelen

Kort samengevat is de opdracht: “Pak het thema risicoanalyse op, werk een methode uit die algemeen toepasbaar is en die te koppelen is aan de BMTool” 1.4

Werkwijze

In een aantal vergaderingen met wisselende bezetting heeft de werkgroep de vraagstelling uitgediept. Allereerst is de relatie tussen risicoanalyse en de BMTool verkend. Door bronnenonderzoek en een enquête onder deelnemers van CIG-IB is het proces van risicoanalyse en methodieken in kaart gebracht. De eerste resultaten zijn tijdens de CIG-IB vergadering van 16 maart 2011 gepresenteerd. Daar is besloten dat de werkgroep de volgende verdiepingslag zal maken:

zichtbaar maken van verschillen tussen methodieken voor risicoanalyse vaststellen eisen aan methodieken en tooling toetsen bestaande methodieken aan eisen kiezen voor een methodiek uiteindelijk keuze voor aanschaf of nieuwbouw tooling die past bij methodiek.

Het laatste onderdeel is tijdens de daaropvolgende vergadering van de CIG-IB op 18 mei 2011 vooralsnog buiten scope geplaatst. De werkgroep heeft tijdens de verdere uitwerking van de probleemstelling besloten om aan te geven op welke wijze de bestaande BMTool uitgebreid kan worden. Deze aanvullingen richten zich op het verhogen van de vergelijkbaarheid van organisaties die gebruik maken van de BMTool. Deze uitbreidingen richten zich op het beschrijven van het toepassingsgebied (scope) van de ingevulde maatregelen, de risicohouding (risicoacceptatie) van de organisatie en de volwassenheid van de organisatie in het uitvoeren van de risicoanalyse. Deze uitbreidingen komen aan de orde in het laatste hoofdstuk van dit rapport.



1.5

Leeswijzer

Deze publicatie is als volgt opgebouwd:

Hoofdstuk 1: Inleiding Beschrijft zaken als aanleiding, doelstelling en werkwijze.

Hoofdstuk 2: Risicoanalyse in Context Geeft een afbakening van het onderwerp en duidt de relatie met (internationale, erkende) standaarden.

Hoofdstuk 3: Overzicht van RA methodes Beschrijft de eigenschappen waaraan een RA methode moet voldoen om vergelijkbaarheid van de resultaten in de BMTool te ondersteunen en beschrijft een aantal RA methodes en hun eigenschappen.

Hoofdstuk 4: Aanbeveling voor een RA methode Biedt een RA methode aan voor organisaties die nog geen methode hebben of op zoek zijn naar een verbeterde methode.

Hoofdstuk 5: Relatie Risicoanalyse en BMTool Beschrijft de samenhang tussen de (resultaten van de) risicoanalyse en de maatregelen in de BMTool.

Hoofdstuk 6: Uitbreiding BMTool Beschrijft mogelijke uitbreidingen van de BMTool die een onderbouwing geven van de selectie maatregelen en die de vergelijkbaarheid verhogen.



2

Risicoanalyse in context

Informatiebeveiliging richt zich op het beheersen van de risico's voor een organisatie voortkomend uit het gebruik van informatie als bedrijfsmiddel. Informatiebeveiliging kan daarom beschouwd worden als een van de disciplines die zich richt op het beheersen van operationele risico's. Operationele risico's zijn de risico's geassocieerd met de bedrijfsvoering van een organisatie. Dit hoofdstuk verkent eerst de rol van de risicoanalyse in het overkoepelend proces voor het beheersen van risico's: risicomanagement. Dit proces wordt beschreven aan de hand van de internationale standaard voor risicomanagement, ISO 31000 (NEN-ISO, 2009). Daarna wordt de rol van risicoanalyse in informatiebeveiliging beschreven. Deze beschrijving maakt gebruik van de standaard voor informatiebeveiliging, ISO 27001 (NEN-ISO, 2005), en de gerelateerde standaard voor het management van informatiebeveiligingsrisico’s, ISO 27005 (NEN-ISO, 2011). De laatste sectie van dit hoofdstuk bevat een samenvattend overzicht van de besproken normen. 2.1

Risicoanalyse in ISO 31000

ISO 31000 (NEN-ISO, 2009), de internationale standaard voor risicomanagement, biedt een uitgebreide beschrijving voor het uitvoeren van risicomanagement in een organisatie. Omdat deze standaard breed geaccepteerd wordt, gebruiken we deze als uitgangspunt voor de afbakening van het onderwerp van dit rapport: risicoanalyse. Een overzicht van risicomanagement conform ISO 31000 is weergegeven in Bijlage 2. ISO 31000 onderkent twee onderdelen (of processen) voor risicomanagement. Het eerste proces, aangeduid met raamwerk, richt zich op het inrichten en onderhouden van het gehele managementsysteem voor risicomanagement. Dit proces biedt daarmee een raamwerk (framework) voor risicomanagement.



Het andere proces bevat de daadwerkelijke uitvoering van risicomanagement. Dit proces wordt aangeduid als “Process”. Dit uitvoerende proces voor risicomanagement bestaat uit drie hoofdactiviteiten:

het bepalen van de context voor het risicomanagement, het beoordelen (assessment) van de risico’s en de behandeling (treatment) van de risico's (maatregelen).

Daarnaast zijn er nog twee flankerende activiteiten:

monitoren en evaluatie communicatie

De beoordeling van risico’s is onderverdeeld in drie deelactiviteiten: risicoidentificatie, risicoanalyse en risico-evaluatie. Het eerste onderdeel, risico-identificatie, betreft het in kaart brengen van de relevante risico’s. De omvang van de geïdentificeerde risico’s worden vervolgens tijdens de tweede stap, risicoanalyse, geschat. De laatste stap richt zich op het vergelijken van de omvang van de geïdentificeerde risico’s met de van te voren bepaalde risico criteria. Tijdens deze stap wordt bepaald of het risico acceptabel is. Als het risico niet acceptabel is, zal in de volgende activiteit (risicobehandeling) bepaald gaan worden op welke wijze het risico zal worden afgehandeld. Voorbeelden van afhandeling zijn daarbij het risico mijden, het risico overdragen of maatregelen nemen om de omvang van het risico te verkleinen. Het onderwerp van dit rapport is risicoanalyse. Conform de definitie van ISO31000 zou dit betekenen dat dit rapport alleen het schatten van risico’s behandelt. Tijdens de discussies van de werkgroep is echter gebleken dat dit een te beperkte interpretatie is. Dit rapport richt zich op alle stappen van de activiteit risicobeoordeling, zoals omschreven in ISO 31000. Om verwarring te voorkomen zal in de rest van dit rapport het woord risicoanalyse worden gebruikt voor deze risicobeoordeling. De deelactiviteit risicoanalyse, onderdeel van risicobeoordeling, zal verder worden aangeduid met risicoschatting.



2.2


ISO 27001 (NEN-ISO, 2005) is de toonaangevende standaard voor informatiebeveiliging. Deze standaard beschrijft de wijze waarop een organisatie grip kan krijgen op risico's gerelateerd aan het gebruik van informatie in haar bedrijfsvoering. De standaard stelt daarbij het inrichten van een managementsysteem voor informatiebeveiliging (Information Security Management System) centraal. Dit managementsysteem is gebaseerd op de welbekende Deming-cirkel. Deze cirkel bestaat uit vier fases: plan, do, check en act. De plan fase van het ISMS bevat de activiteiten gerelateerd aan het identificeren en analyseren van de risico's. De plan fase omvat daartoe de volgende activiteiten: 1. 2. 3. 4. 5. 6.

Vaststellen welke benadering voor risicobeoordeling wordt gekozen; Risico’s identificeren; De risico’s analyseren en beoordelen; Opties voor de behandeling van de risico’s identificeren en beoordelen; Beheersdoelstellingen en maatregelen voor de risico’s kiezen; Goedkeuring van de directie verkrijgen voor de voorgestelde overblijvende risico’s.

De bovenstaande activiteiten kunnen als volgt afgebeeld worden op het model voor risicomanagement conform ISO 31000: Activiteit 1 valt onder het opzetten van het raamwerk voor risicomanagement. De activiteiten 2 en 3 zijn af te beelden op het onderdeel risicobeoordeling van ISO 31000. De activiteiten 4, 5 en 6 vallen onder de hoofdactiviteit afhandeling van risico’s van ISO 31000. Zoals in de voorgaande paragraaf richt dit rapport zich op de hoofdactiviteit risicobeoordeling. Dit betekent dat dit rapport zich beperkt tot de activiteiten 2 en 3 van de plan fase voor het opstellen van een ISMS. ISO 27001 bevat ook definities van risicoanalyse, risicobeoordeling en risicoevaluatie. De definities opgenomen in ISO 27001 zijn overgenomen uit ISO/IEC Guide 73 2002 (NEN-ISO, 2002). Deze begrippen worden als volgt gedefinieerd:



Risicobeoordeling: het proces van risicoanalyse en risico-evaluatie Risicoanalyse: systematisch gebruik van informatie om bronnen te identificeren en risico’s in te schatten Risico-evaluatie: proces waarin het ingeschatte risico wordt afgewogen tegen vastgestelde risicocriteria om te bepalen in welke mate het risico significant is

De gegeven definities wijken enigszins af van de onderverdeling in ISO 31000. Dit is een gevolg van het feit dat ISO 31000 van een latere datum is dan ISO 270001. Zoals in de voorgaande paragraaf al aangegeven zullen wij de term risicoanalyse hanteren voor alle activiteiten vallend onder risicobeoordeling. In dit rapport zijn risicoanalyse en risicobeoordeling synoniem. 2.3


Het onderwerp informatiebeveiliging heeft sinds enkele jaren een afzonderlijke normenreeks in de ISO. De reeks gereserveerd voor informatiebeveiliging is de 27000 reeks. De ISO 27001, besproken in de voorgaande paragraaf, heeft als onderwerp het managementsysteem voor informatiebeveiliging. Andere normen in deze reeks behandelen onderdelen van het managementsysteem in detail. ISO 27002 (NEN-ISO, 2007) behandelt bijvoorbeeld de maatregelen, de best practices, die opgenomen kunnen zijn in het managementsysteem. ISO 27002 bevat dus de maatregelen om de risico’s te beheersen (risicobehandeling conform ISO 31000). ISO 27005 beschrijft het proces en technieken voor het managen van risico’s. Deze meest recente versie van deze norm is opgesteld in 2011. Deze versie is uitgebracht nadat ISO 31000 is opgesteld. Het risicomanagement proces beschreven in ISO 27005 sluit daarom naadloos aan op ISO 31000. Dit geldt ook voor de in ISO 27005 gehanteerde terminologie. Zoals in de voorgaande paragraaf geconstateerd wijkt ISO 27001 daarentegen deels af van ISO 31000. Conform de inleiding van ISO 27005 biedt de standaard richtlijnen voor het inrichten van informatie risicomanagement. De standaard geeft daarbij vooral invulling aan de eisen die ISO 27001 stelt aan dit proces. De standaard geeft echter geen specifieke methode voor het inrichten van het risico management proces zelf. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 15 van 58


Het staat een organisatie vrij zelf invulling te geven aan dit proces. In overeenstemming met ISO 31000 definieert ISO 27005 een risico als het effect van onzekerheid op doelstellingen. Vanwege deze definitie kunnen risico’s zowel een positief effect hebben als ook een negatief effect. Risico’s met een positief effect worden vaak ook aangeduid als kansen. De meeste organisaties zullen informatie risicomanagement vooral inzetten voor het managen van risico’s met negatieve effecten1. Het meenemen van risico’s met positief effect is in het merendeel van de organisaties nog onderbelicht en zal in dit document niet verder aan de orde komen. ISO 27005 biedt geen invulling van het proces om te komen tot het raamwerk of proces voor risicomanagement (het linkerdeel van de figuur uit Bijlage 1). Vanuit een abstract standpunt kan ISO 27001 beschouwd worden als het middel om invulling te geven aan dat deel van de figuur. ISO 27001 beschrijft immers het managementsysteem (het raamwerk) voor het behandelen van risico’s in het domein informatiebeveiliging. De processtappen weergeven in het linkerdeel van de figuur kunnen beschouwd worden als het doorlopen van de plan-do-check-act fases van het ISMS voor informatiebeveiliging. Het verkrijgen van commitment is daarbij onderdeel van de start van het opzetten van een ISMS. ISO 27005 biedt vervolgens richtlijnen voor de invulling van het proces voor risicomanagement (het rechterdeel van de figuur uit Bijlage 2). ISO 27005 bevat een waardevolle, alternatieve weergave van het risicomanagement proces. De weergave in ISO 27005 breidt de weergave opgenomen in ISO 31000 uit met twee beslispunten:

Een beslispunt na de risicobeoordeling Een beslispunt na de risicobehandeling

Deze weergave legt de nadruk op het iteratieve karakter van risicomanagement. Na de risicobeoordeling is er een beslispunt waarin bepaald wordt of de risicobeoordeling afdoende is geweest.

1 De nieuwe versie van de ISO27001 (verwacht in 2013) gaat daarom ook in op kansen en

niet alleen op bedreigingen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 16 van 58


Als deze beoordeling afdoende is, kan overgegaan worden tot risicobehandeling. Als deze beoordeling niet afdoende is, kan de risicobeoordeling nogmaals worden doorlopen. In de volgende iteratie kunnen daarbij andere methodes worden ingezet. Daarnaast kan in een volgende iteratie specifieke risico’s in een groter detail worden geanalyseerd. Het beslispunt na risicobehandeling heeft een vergelijkbaar doel. Als na risicobehandeling blijkt dat het restrisico niet acceptabel is, kan in een volgende iteratie het restrisico verder worden gereduceerd. Bijlage 3 geeft een overzicht van ISO 27005. De figuur geeft ook aan hoe deze zich verhoudt tot ISO 31000. De figuur laat duidelijk zien dat ISO 27005 een iteratieve benadering hanteert voor het risicoanalyse proces. ISO 27005 introduceert op de beschreven wijze een risicogedreven aanpak in het risicomanagement proces zelf. De iteratieve aanpak biedt namelijk de mogelijkheid om eerst alle risico’s in algemene zin in kaart te brengen en vervolgens de grootste risico’s in een volgende iteratie in een grotere mate van detail te gaan beoordelen. Het eerste beslispunt in het risicoproces van ISO 27005 (zie bijlage 3) wordt daarbij gebruikt om de diepgang van de risicoanalyse te laten variëren. De eerste iteratie zal daarbij gebruik moeten maken van een methode die per risico relatief weinig inspanning vergt. De volgende iteratie zal gebruik maken van een methode waarmee risico’s beter beoordeeld kunnen worden, bijvoorbeeld een methode waarbij de omvang van het risico beter geschat kan worden. Deze iteratieve aanpak leidt ertoe dat de organisatie haar inspanning in risicomanagement zal richten op het aanpakken van de voor haar significante risico’s. ISO 27005 adopteert de processtappen voor risicobeoordeling zoals ook opgenomen in ISO 31000. De risicobeoordeling bestaat uit de stappen risicoidentificatie, risicoanalyse (risicoschatting) en risico-evaluatie. Deze stappen worden in het volgende hoofdstuk nader beschreven.



2.4

Overzicht van normen

De onderstaande tabel vat de beschrijvingen van de normen uit de voorgaande secties samen. De tabel geeft voor elk van de normen het toepassingsgebied van de norm, de relatie van de norm tot het onderwerp van dit rapport (risicoanalyse) en de processtappen voor de risicoanalyse conform de norm. Norm

ISO 31000

ISO 27001

ISO 27005

Toepassings-

Risicomanagement

Informatiebeveiliging

Risicomanagement toegespitst op

gebied

informatiebeveiliging

Relatie tot

Managementsysteem

Managementsysteem

Processtappen voor

risicoanalyse

(Raamwerk) en

voor beheersing IB

risicomanagement

Processtappen Processtappen

Risico-identificatie Risicoanalyse (Risicoschatting in dit rapport)

risico’s Risicoanalyse (omvat

Conform ISO31000

risico-identificatie en risicoschatting) Risico-evaluatie

Risico-evaluatie

Kort samengevat kan gesteld worden dat ISO 27001 samen met ISO 27005 invulling geeft aan ISO 31000 voor het risicogebied informatiebeveiliging. ISO 27001 beschrijft immers een managementsysteem voor het beheersen van het betreffende risicogebied en ISO 27005 geeft invulling aan het specifieke proces voor risicobehandeling. ISO 27001 kan dus afgebeeld worden op de linkerkant (het raamwerk) van ISO 31000 zoals weergegeven in Bijlage 2 en ISO 27005 op de rechterkant van dezelfde afbeelding. Het volgende hoofdstuk zal verder ingaan op de verschillende aspecten die in een risicoanalyse moeten worden meegenomen.



3

Methodes voor Risicoanalyse

Het voorgaande hoofdstuk heeft geleid tot een afbakening van het onderwerp van dit document, namelijk de risicoanalyse als onderdeel van het hele proces voor risicomanagement. Het bevat daarnaast ook een beschrijving van de ISO 27005. Dit hoofdstuk richt zich op het beschrijven van verschillende methodes voor het uitvoeren van een risicoanalyse. Uitgangspunt is daarbij dat een methode in principe zou moeten voldoen aan de stappen zoals beschreven in ISO 27005. Deze keuze is gebaseerd op het feit dat de ISO 27000 serie de de-facto standaard is voor informatiebeveiliging. Deze conclusie heeft ertoe geleid dat de BMTool zich baseert op ISO 27002, de set met maatregelen. Naar analogie hiervan wordt de ISO 27005 geadopteerd als standaard voor risicoanalyse. Dit hoofdstuk gaat daarom allereerst verder in op de relevante stappen uit ISO 27005. Vervolgens worden een aantal mogelijkheden voor het uitvoeren van risicoanalyses beschreven. Het hoofdstuk eindigt met een overzicht van voor- en nadelen van de gepresenteerde methodes. De vergelijking met ISO 27005 evenals het overzicht van voor- en nadelen leidt tot een aantal criteria van een risicoanalyse methode. Leden die nog niet over een methodiek beschikken kunnen deze criteria gebruiken om een methode te kiezen. De gepresenteerde criteria zijn ook de basis voor de opzet van een integrale methode. Deze methode wordt verder uitgewerkt in het volgende hoofdstuk. 3.1

Conformiteit van een risicoanalyse

Zoals bovenstaand aangegeven stellen we dat een risicoanalyse methode dient te voldoen aan de richtlijnen voortkomend uit ISO 27005. Deze standaard beschrijft vooral de processtappen die onderdeel uitmaken van een adequate risicoanalyse. De belangrijkste eigenschap van een risicoanalyse methode is daarmee conformiteit aan ISO 27005. Conformiteit aan ISO 27005 definiëren we als de mate waarin een methode alle relevante aspecten van de risicobeoordeling zoals beschreven in ISO 27005 invult. Deze sectie werkt dit aspect nader uit. De basis hiervoor is de beschrijving van CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 19 van 58


risicoanalyse zoals opgenomen in de ISO 27005. De ISO 27005 beschrijft de risicoanalyse door voor elk onderdeel de input, de actie en de output weer te geven. De beoordeling van de conformiteit richt zich op het bepalen of alle relevantie acties (activiteiten) daadwerkelijk zijn uitgevoerd. ISO 27005 werkt elk van de processtappen van het risicomanagement proces uit in een hoofdstuk. De processtap risicoanalyse is uitgewerkt in hoofdstuk 8 van de standaard. De risicoanalyse is gebaseerd op een dreigingen- en kwetsbaarhedenanalyse. De identificatie van risico’s omvat daarom de volgende activiteiten (met bijbehorend hoofdstuk / sectie uit ISO 27005):

Identificatie van informatie en informatiehulpmiddelen (assets) (8.2.2) Identificatie van mogelijke dreigingen en bronnen voor deze dreigingen (8.2.3) Identificatie van bestaande maatregelen (8.2.4) Identificatie van kwetsbaarheden (8.2.5) Identificatie van de gevolgen van het optreden van een dreiging die een kwetsbaarheid exploiteert. (8.2.6)

Nadat de risico’s geïdentificeerd zijn, wordt in de risicoschatting de omvang van de risico’s bepaald. De standaard onderscheidt daarbij een kwalitatieve en een kwantitatieve risicoschatting. Een kwalitatieve schatting drukt risico’s uit in algemene termen, zoals hoog, middel en laag. De omvang van een risico zal vaak geschat worden door zowel de gevolgen (impact) van een risico als ook de kans op optreden (likelihood) van een risico eerst afzonderlijk te schatten. Vervolgens wordt de omvang van het risico afgeleid uit deze afzonderlijke schattingen gebruik makend van een tabel. Een kwantitatieve risicoanalyse drukt risico’s uit in numerieke waardes. Vergelijkbaar met een kwantitatieve risicoanalyse kunnen daarbij ook eerst de gevolgen en de kans op optreden afzonderlijk worden geschat. De omvang volgt dan door de twee uitkomsten van deze schattingen met elkaar te vermenigvuldigen. De laatste stap van de risicoanalyse, de risico-evaluatie, richt zich op het evalueren van de risico’s, gebruik makend van de risico evaluatie criteria. Deze stap resulteert in een prioritering van de risico’s in lijn met de risico evaluatiecriteria. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 20 van 58


ISO 27005 bevat enkele bijlagen, die hulp kunnen bieden bij het verder invullen van de bovenbeschreven stappen in het proces voor risicobeoordeling. Voor dit proces zijn vooral Annex B, Annex C, Annex D en Annex E van ISO 27005 relevant. De conformiteit aan ISO 27005 wordt getoetst door na te gaan of bovenstaande stappen doorlopen zijn. Dit aspect wordt nader uitgewerkt in hoofdstuk 6. Uit bovenstaande beschrijving blijkt dat in de laatste stap van de risicobeoordeling, de risico-evaluatie, de risicocriteria een belangrijke rol spelen. De risicocriteria geven aan welke risico’s al dan niet acceptabel zijn voor de organisatie. Vanwege de rol die deze criteria in de beoordeling spelen worden deze ook meegenomen in het bepalen van de conformiteit. 3.2

Risicoanalyse methodes

Het reduceren van risico’s tot een aanvaardbaar niveau is een uitdagend proces, niet in de laatste plaats omdat de beschikbare menskracht en middelen beperkt zijn. Het is dus noodzakelijk deze middelen optimaal in te zetten. De inzet van deze beperkte middelen moet ertoe leiden dat hiermee een maximaal mogelijke reductie in risico’s wordt bereikt. Het maken van de juiste keuzes is dan ook essentieel. Het uitvoeren van een risicoanalyse is het geijkte middel om tot de juiste keuzes te komen. De verscheidenheid in de methoden voor het uitvoeren van een risicoanalyse is groot. De keuze van de meest geschikte methode is afhankelijk van een aantal variabelen. In deze sectie wordt een aantal soorten risicoanalyse besproken en dan vooral de onderscheidende kenmerken. Aan de hand van deze kenmerken, het ambitieniveau en de fase waarin een bedrijf zich bevindt, kan een gefundeerde keuze voor een type risicoanalyse worden ondersteund. Het doel is drieledig:

Een organisatie kan de kwaliteit van zijn methode toetsen; Een organisatie kan zijn methode aanvullen; Een organisatie (zonder methode) kan een methode invoeren.

De vier basisvormen van risicoanalyse zijn:

Quick-scan Baseline

(op basis standaard checklist, “10 geboden”); (minimum niveau checklist – bv. externe norm ISO 27002);



Kwalitatief Kwantitatief

(bepaalt rangorde van risico’s); (bepaalt waarde van risico’s).

De vier vormen worden in deze sectie beschreven. De eerste twee genoemde methodes voldoen niet aan de conformiteiteis. Ze bevatten niet alle noodzakelijke stappen opgenomen in ISO 27005. De methodes worden desondanks beschreven, omdat ze eenvoudig in gebruik zijn. Daarnaast worden in het volgende hoofdstuk deze methodes gecombineerd met de twee andere methodes tot een integrale methode. De integrale methode voldoet wel aan conformiteit met ISO 27005. De beschrijving van methodes is vrij gebaseerd op het document (Dam). De auteurs van dat document zijn op hun beurt schatplichtig aan (Paul Overbeek, 2005). 3.2.1 Quick-scan De quick-scan risicoanalyse maakt gebruik van een standaard vragenlijst, die is gebaseerd op een externe norm. Hierdoor zal geen rekening kunnen worden gehouden met de organisatiespecifieke situaties. De quick-scan bevat niet alle activiteiten zoals beschreven in ISO 270005. Het is feitelijk slechts een GAP analyse: een analyse waarin de daadwerkelijk genomen maatregelen worden vergeleken met een verzameling van maatregelen. De standaard vragenlijst voor de quick-scan omvat basismaatregelen en de analyse maakt inzichtelijk in hoeverre daaraan wordt voldaan. Inzicht in de omvang van de restrisico’s ontbreekt echter. De quick-scan risicoanalyse komt in verschillende vormen voor, afhankelijk van de gebruikte vragenlijst. De vragenlijst kan zijn gebaseerd op basismaatregelen, die altijd moeten worden genomen om een basisniveau van beveiliging te bereiken, zoals de essentiële maatregelen uit ISO 27002, zie Bijlage 1. Andere quick-scans zijn gebaseerd op een specifiek onderwerp, zoals de SANS top 20 (SANS) of de analyse van kwetsbaarheden in Web-applicaties volgens OWASP (OWASP). De vragenlijst is dus afgestemd op het onderwerp, de scope, van de risicoanalyse. Het effect van een quick-scan is tweeledig. Ten eerste biedt het inzicht in de implementatie van de maatregelen en de beveiligingsbeleving van de organisatie. Ten tweede gaat de organisatie nadenken over de wijze waarop informatiebeveiliging is gerealiseerd. De quick-scan is een goed stimulerend CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 22 van 58


middel voor het beveiligingsbewustzijn. Voor- en nadelen De voordelen van deze methode zijn dat het snel inzicht verschaft in de informatiebeveiliging, het de bewustwording en het nadenken over informatiebeveiliging stimuleert. Het is een snelle en eenvoudige methode, gebaseerd op een algemeen aanvaardbare norm. Hierdoor is het eenvoudig om de uitkomst van verschillende organisaties of afdelingen met elkaar te vergelijken. Het herhaaldelijk uitvoeren van de quick-scan, maakt het mogelijk om de vooruitgang of de achteruitgang met betrekking tot het informatiebeveiligingsbeleid te ontdekken. Een belangrijk nadeel van deze methode is dat deze een algemene lijst hanteert, waardoor er niet wordt gelet op organisatiespecifieke situaties en bedreigingen en de inhoud van de methode snel kan verouderen. De diepgang van de quickscan is dus beperkt. Toepassingsgebied Deze methode is uitermate geschikt voor organisaties die snel een globale stand van zaken willen weten met betrekking tot informatiebeveiliging of voor organisaties die net begonnen zijn met informatiebeveiliging. De methode zal waarschijnlijk te globaal zijn voor organisaties die al langer bezig zijn met informatiebeveiliging of die meer eisen stellen aan de diepgang. Deze analysemethode kan geheel door een externe deskundige worden uitgevoerd, waardoor er geen interne expertise nodig is. De quick-scan kan snel worden uitgevoerd, waardoor de kosten ook voor kleinere organisaties op te brengen zijn. Wanneer organisaties veel bedrijfsspecifieke informatiesystemen hebben, dan is de quick-scan geen goede keuze.

3.2.2 Baseline risicoanalyse De baseline risicoanalyse biedt meer diepgang dan de quick-scan methode. Het doel van deze methode is het komen tot een minimum niveau van beveiliging binnen de gehele organisatie. Door middel van een checklist wordt geverifieerd CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 23 van 58


of de belangrijkste bedrijfsprocessen al dan niet aan de eigen baseline voldoen. De baseline is een stelsel van eigen of overgenomen beveiligingsnormen (zoals ISO 27002 of NEN 7511) die in de gehele organisatie wordt doorgevoerd. Dit is tevens de filosofie achter de BM-Tool. De baseline risicoanalyse is evenals de quick-scan geen risicoanalyse conform ISO 27005. Het is ook enkel een gap analyse. De baseline geldt weliswaar voor de gehele organisatie, maar daarmee is het nog niet noodzakelijk om voor ieder bedrijfsproces de baseline volledig te implementeren. De baseline is gebaseerd op de algemeen binnen de organisatie onderkende beveiligingsbehoefte. Om te bepalen of deze methodiek passend is kan voor een beperkt aantal toonaangevende bedrijfsprocessen een eenvoudige kwalitatieve risicoanalyse (zie paragraaf 3.2.3) worden uitgevoerd. De uitkomst hiervan wordt normstellend geacht voor de gehele organisatie. Een dergelijke combinatie van methodes vormt ook de basis voor de integrale methode gepresenteerd in het volgende hoofdstuk. De baseline checklist risicoanalyse is een methode die, net als de quick-scan methode, gebruikt maakt van een vragenlijst. De verschillen zitten echter in het feit dat de baseline checklist kijkt naar een bepaald minimum niveau van de beveiliging (security baseline) en dat de vragenlijst kan worden aangepast aan de specifieke situaties binnen de organisatie. Baselines kunnen worden gezien in het licht van een bottom-up benadering, waarbij een stelsel algemeen geldende beveiligingsmaatregelen wordt gedefinieerd voor de 'gemiddelde' organisatie of het 'gemiddelde' bedrijfsonderdeel, onder normale omstandigheden. Door het implementeren van deze baselines kan een organisatie er zeker van zijn dat de meest voorkomende en ernstigste risico's onder normale, algemeen geldende omstandigheden voldoende zijn afgedekt.



Om meer bescherming te bieden aan bepaalde onderdelen met een hoog risico of om zich ervan te verzekeren dat sommige unieke situaties worden gedekt, zal een organisatie alsnog een risicoanalyse dienen uit te voeren teneinde dekking te bieden aan buitengewone situaties die niet door baseline beveiligingsmaatregelen worden afgedekt. Voor- en nadelen De voordelen van deze methode zijn dat het inzicht verschaft in de mate van informatiebeveiliging, het de bewustwording en het nadenken over informatiebeveiliging stimuleert, het een redelijk snelle en eenvoudige methode is, het resultaten geeft die getoetst kunnen worden aan een externe norm en het een basisniveau van beveiliging voor de gehele organisatie levert. Doordat de Baseline Checklist niet een vaststaande lijst is, kan deze aangepast worden naar de maatstaven van de eigen organisatie. De nadelen van deze methode zijn dat het een methode is die snel kan verouderen door het statische karakter en dat het een beperkte diepgang heeft, al is de diepgang groter dan bij de quick-scan methode. Toepassingsgebied Deze methode is geschikt voor organisaties die een beperkte hoeveelheid middelen beschikbaar hebben voor de risicoanalyse, maar die toch een nauwkeuriger beeld willen hebben dan dat verkregen kan worden met de quickscan methode. 3.2.3 Kwalitatieve risicoanalyse De kwalitatieve risicoanalyse is een vorm van een risicoanalyse waarbij daadwerkelijk over een beoordeling van risico’s kan worden gesproken, in het licht van de bedrijfsbelangen en in het licht van de bedreigingen in de operationele situatie. De kwalitatieve risicoanalyse is een methode die de risico’s niet uitdrukt in exacte getallen, maar die klassen van bedreigingen samenstelt. Deze klassen van bedreigingen kunnen vervolgens worden weergegeven in een grafiek, zodat eenvoudig de onderlinge verhoudingen en gevolgen kunnen worden afgelezen. Er worden voor de te analyseren objecten schattingen van de mogelijke risico’s gemaakt.



Deze schattingen worden gebaseerd op de schatting van de schade die op zal treden als de objecten getroffen worden door een bedreiging die deel uitmaakt van de verzameling relevante bedreigingen. Het uitgangspunt bij een kwalitatieve risicoanalyse is het beveiligingsbeleid, waarin ondermeer wordt aangegeven hoe de organisatie omgaat met risico’s. Uit dit beveiligingsbeleid kan worden afgeleid of een organisatie een risicodragend, risiconeutraal of risicomijdend beleid voert. Dit gegeven is erg van belang bij het bepalen van de maatregelen, aangezien het beleid bepaalt waar de juiste balans ligt tussen de te lopen risico’s en de kosten van de maatregelen om de risico’s te beperken. Daarnaast kan eruit worden afgeleid voor welke processen en systemen de risicoanalyse uitgevoerd dient te worden. Het beleid bepaalt daarmee welke risicocriteria voor de organisatie gelden. De kwalitatieve risicoanalyse wordt uitgevoerd conform de stappen vastgelegd in ISO 27005. Deze zijn beschreven in de eerste sectie van dit hoofdstuk. Voor- en nadelen Een kwalitatieve risicoanalyse geeft een goed beeld van de onderlinge verschillen tussen risico’s. De resultaten sluiten daarbij geven een goed beeld van het gewenste beveiligingsniveau van de organisatie en sluiten daardoor goed aan de beveiligingsbehoefte van de organisatie. Deze methode kent ook enkele nadelen. De methode kost relatief veel tijd en is tamelijk complex. De risico’s worden uitgedrukt in kwalitatieve termen, zoals hoog, midden en laag. Dit betekent dat risico’s niet bij elkaar kunnen worden opgeteld. De interpretatie van de gebruikte termen is daarbij subjectief. Toepassingsgebied De kwalitatieve risicoanalyse is voor grote organisaties. Het kost veel tijd om een zeer uitgebreide risicoanalyse te doen. Om de kwalitatieve risicoanalyse uit te voeren is veel expertise nodig. Deze expertise moet in de organisatie aanwezig zijn of extern worden aangetrokken. Dit zijn over het algemeen grote investeringen. De organisatie moet hier een toereikend budget voor hebben, wat bij veel kleinere organisaties niet haalbaar is.



Het uitvoeren van een kwalitatieve risicoanalyse levert een grote hoeveelheid aan informatie op. Het management moet bereid zijn om deze omvangrijke hoeveelheid aan informatie te doorgronden. Het is daarom belangrijk om van te voren goed te kijken wat de kans van slagen is voor deze methode. 3.2.4 Kwantitatieve risicoanalyse De meest uitgebreide vorm voor risicoanalyse is de kwantitatieve risicoanalyse. Daarom gelden voor deze analysemethode bijna dezelfde regels als voor de bovenstaande methode. Het grote voordeel van deze methode is dat er een beter inzicht wordt gegeven in de schades die de gevolgen zijn van de risico’s. Wanneer binnen een organisatie wordt gekozen voor de kwalitatieve risicoanalyse dan kan de kwantitatieve analysemethode een goede toevoeging zijn. Voor specifieke informatiesystemen kan de kwantitatieve analysemethode gebruikt worden. Het is onmogelijk om voor alle systemen een dergelijke analyse uit te voeren, maar voor de bedrijfskritische systemen kan het een beter inzicht geven in de gevaren. De kwantitatieve risicoanalyse is de meest uitgebreide vorm van risicoanalyse. Bij deze analysemethode worden de risico’s gekwantificeerd in meetbare criteria, zoals kosten. Hiervoor kan de formule Risico = Kans × Schade worden gebruikt om de risico’s te berekenen. Gezien het feit dat er gebruik wordt gemaakt van een formule is het bij deze methode noodzakelijk dat van alle bedreigingen die op een object van toepassing zijn, er bekend moet zijn wat de kans van optreden is en hoe groot de desbetreffende schade dan bij benadering zal zijn. Doordat deze gegevens niet gemakkelijk af te leiden zijn zullen deze geschat moeten worden, wat het een tijdrovende en kostbare methode maakt. Deze methode zal daarom in veel gevallen alleen toegepast worden in specifieke situaties. Voor- en nadelen De voordelen van deze analyse zijn dat het een heel precies inzicht geeft in de schade als gevolg van bepaalde dreigingen en dat het een goede aanvulling is op de kwalitatieve risicoanalyse. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 27 van 58


Het is eenduidig: Risico = Kans * Gevolg (in €), dus geeft precies inzicht in mogelijke schades. Er is een directe kosten/baten afweging mogelijk en er is minder kans op misverstanden of interpretatieverschillen. De nadelen van deze methode zijn dat het zeer lastig is om exact te bepalen wat het schadebedrag zal zijn en hoe groot de kans op een incident is. Daarnaast is het ook een zeer kostbare en tijdrovende methode. Toepassingsgebied Deze methode is daarom het meest geschikt als aanvulling op een kwalitatieve risicoanalyse voor kritieke informatiesystemen of voor organisaties waar de beveiliging van informatie zeer belangrijk is. Deze methode is absoluut niet geschikt voor organisaties die net beginnen met informatiebeveiliging, aangezien deze methode voor hen veel te complex is. Voorwaarde voor een succesvolle uitvoering is bovendien dat alle bedreigingen, de kans van optreden (0 tot 1) of te verwachten jaarlijkse frequentie per bedreigingen en de schade bij optreden van bedreiging (in €€) bekend zijn. Het resultaat is risico's in termen van geld.



Output

Input/ voorwaarden

3.2.5 Schema methoden risicoanalyse Het onderstaande schema biedt een overzicht van de bovenbeschreven methodes. Quick-Scan

Baseline

Kwalitatief

Kwantitatief

Standaard vragenlijst

Vragenlijst op basis

Beveiligingsbeleid:

Bekend zijn:

op externe norm.

van externe norm, evt.

risicodragend, -

- de scope (uit kwal.

‘Top 10’ of specifiek

aangepast aan eigen

neutraal, -mijdend

analyse)

onderwerp.

organisatie Schaal kans (bv 1 t/m

- de kans van

3)

optreden (0 tot 1)

Schaal impact (bv 1

- de schade bij

t/m 5)

optreden (in €))

Globaal inzicht in

Minimaal niveau van

Klassen van

Risico's in termen van

beveiliging

beveiliging voor hele

bedreigingen

geld

Bewustwording

organisatie

Onderlinge

Bewustwording

verhoudingen tussen

Input voor beleid

risico's

Checklist invullen

Conform ISO 27005

Conform ISO 27005

en kwalitatieve

en kwantitatieve

risicoschatting

risicoschatting

Stappen

Checklist invullen

Kenmerken

- alle bedreigingen

Snel

Redelijk snel en

Vrij uitgebreid

Aanvulling/opvolging

Eenvoudig

eenvoudig

Organisatiespecifiek

op kwalitatieve methode eenduidig: Risico = Kans * Gevolg

Voordelen

(in €) Vergelijkbaarheid

Vergelijkbaar met

Goed beeld van

Precies inzicht in

organisaties wat

andere organisaties en

onderlinge verschillen

mogelijke schades (let

betreft dezelfde

in de tijd

tussen risico's

op voorwaarden)

vragenlijst (norm)

Levert basisniveau

Goed beeld in eigen

Risico's kunnen

voor gehele

beveiligingsniveau

worden opgeteld

organisatie

Resultaat sluit aan bij

Directe kosten/baten

eigen

afweging mogelijk

beveiligingsbehoefte

Minder kans op misverstanden of interpretatieverschillen


Nadelen


Quick-Scan

Baseline

Kwalitatief

Kwantitatief

Basis is algemene

Statisch, veroudert

Kost vrij veel tijd

Maatwerk

norm

snel

Tamelijk complex

Tijdrovend

Levert geen absolute

Kostbaar

waarden op; risico's

Kansbegrip ontbreekt

kunnen niet worden

vaak

Niet organisatiespecifiek

Beperkte diepgang

opgeteld

voor

Niet geschikt

Toepassings-gebied

Interpretatieverschillen

3.3

Organisaties, die

Organisatie met

(grote) Organisatie

Specifieke

beginnen met

beperkte middelen,

met redelijke ervaring

onderwerpen

beveiliging en snel

maar beter resultaat

met

een globaal inzicht

willen dan quick-scan

informatiebeveiliging Noodzaak beveiliging

willen

is redelijk hoog

Organisaties, die al

Organisaties, die al

Organisatie, die

Organisaties, die

langer bezig zijn met

langer bezig zijn met

starten met

starten met

beveiliging en/of meer

beveiliging en/of meer

informatiebeveiliging

beveiliging

diepgang willen

diepgang willen

Onvoldoende draagvlak

Relevante criteria

Op basis van bovenstaande karakteristieken is het vervolgens van belang te onderzoeken welke criteria nu doorslaggevend zijn om tot een goede keuze te komen. Ook de onderlinge afhankelijkheid tussen de methoden kan van invloed zijn op de volgorde. De volgende criteria worden onderscheiden: Conformiteit De methode voldoet aan de conformiteiteis door alle processtappen uit ISO 27005 af te dekken. Expertise en ervaring met informatiebeveiliging De organisatie die start met informatiebeveiliging kiest voor de quick-scan of baseline benadering. Voor beide methoden zijn kant-en-klare vragenlijsten beschikbaar en er wordt snel resultaat behaald. De uitvoering kan eventueel door een externe deskundige worden uitgevoerd, zodat interne deskundigheid geen voorwaarde is. De beperkte diepgang moet dan voor lief worden genomen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 30 van 58


Budget/Tijd De benodigde tijd is afhankelijk van de gekozen methode, maar ook van de gekozen scope. Binnen beperkte tijd kan een quick-scan, een vrij volledige baseline analyse of een kwalitatieve of kwantitatieve analyse op een beperkt domein worden uitgevoerd. Bekendheid met dreigingen, kansen en schades Slechts wanneer in hoge mate bekend is welke dreigingen er zijn, hoe groot de kans of frequentie van optreden is en wat de potentiële schade is, kan worden gekozen voor een kwantitatieve risicoanalyse. Wanneer dit niet het geval is, levert deze methode slechts een schijnbare nauwkeurigheid op. Als deze gegevens bekend zijn, levert deze methode resultaten op, die het minst ter discussie zullen staan en waarvan de risico’s in termen van geld goed met elkaar kunnen worden vergeleken. Vergelijkingsmogelijkheden Teneinde genomen maatregelen en de onderbouwing daarvan te kunnen vergelijken met andere organisaties, moet aan een aantal voorwaarden zijn voldaan. Het zal duidelijk zijn dat het hanteren van een organisatie specifieke methode ook organisatie specifieke resultaten oplevert. Ook binnen een bepaalde branche kan dit tot verschillende uitkomsten leiden. In geval van een quick-scan of baseline risicoanalyse zullen de vragenlijsten op externe normen moeten zijn gebaseerd, die in hoge mate overeenkomen, zoals bv. NEN 7510 en ISO 27001/27002. Volgordelijkheid In principe kan bij voldoende budget en menskracht zonder voortraject een kwalitatieve of kwantitatieve risicoanalyse worden uitgevoerd. Ook onder die voorwaarde is uitvoering van de quick-scan of baseline analyse aanbevolen, omdat het rendement hiervan hoog is en de kans op mislukking laag. Deze methodes leveren draagvlak, focus op de belangrijkste zaken, een aanzet voor beveiligingsbeleid en een set richtlijnen voor de gehele organisatie. Bovenstaande criteria leiden tot de volgende aanpak.



Integrale methode De integrale methode houdt in dat voor de informatie binnen de scope van de risicoanalyse een korte analyse wordt uitgevoerd tegen de criteria van beveiliging; Beschikbaarheid, Integriteit en Vertrouwelijkheid. Deze BIV-analyse bepaalt het risicoprofiel voor de onderzochte scope. Bij een laag risicoprofiel volstaat een basisbeveiligingsniveau op basis van de Baseline. Voor een midden risicoprofiel wordt een aanvullende analyse overwogen. Voor systemen met een hoog risicoprofiel zou een kwalitatieve of kwantitatieve risicoanalyse moeten worden uitgevoerd. Systemen met een hoog risicoprofiel zullen in het algemeen systemen zijn waarmee zeer vertrouwelijke gegevens worden verwerkt, de beschikbaarheid van de gegevens hoog moet zijn en/of de vereiste betrouwbaarheid zeer hoog is. Deze aanpak is gebaseerd op de methode voor risicoanalyse beschreven in (Paul Overbeek, 2005). Het volgende hoofdstuk bevat een verdere detaillering van deze aanpak.



4

Aanbeveling voor een RA methode

Dit hoofdstuk presenteert een integrale methode voor het uitvoeren van een risicoanalyse. Deze methode integreert de verschillende methodes gepresenteerd in het voorgaande hoofdstuk in een gecombineerde methode. De methode maakt het mogelijk om de inspanning gemoeid met de risicoanalyse af te stemmen op het belang (noodzaak) van een diepgaande analyse. Het belang is groter naar mate de waarde van de informatie (assets) in scope van de risicoanalyse groter is. De risicoanalyse zelf wordt daarmee conform een risicogedreven aanpak uitgevoerd: meer inspanning indien het risico groter is. De integrale methode biedt daarmee ook de mogelijkheid de risicoanalyse iteratief uit te voeren, zoals ook beschreven in ISO 27005. Voorafgaand aan de risicoanalyse is het noodzakelijk de reikwijdte (scope) van de risicoanalyse te bepalen. De scope van een risicoanalyse kan variëren van een hele organisatie tot een server. Voorbeelden van scope zijn: 1. 2. 3. 4. 5.

Een organisatie Een onderdeel van de organisatie, zoals divisie of afdeling Een bedrijfsproces Een informatiesysteem Een of meerdere systeemcomponenten, zoals servers

Naast het bepalen van de scope is het noodzakelijk om risicocriteria te bepalen. De risicocriteria bepalen allereerst of een eenvoudige risicoanalyse conform een baseline aanpak volstaat. De risicocriteria bepalen daarnaast ook welke restrisico’s acceptabel zijn. De genoemde risicocriteria hebben betrekking op aspecten zoals: 1. Omvang van financiële schade 2. Omvang van imagoschade 3. Omvang van privacyschade Deze risicocriteria moeten bij voorkeur afgestemd worden op de aard van de bedrijfsvoering van de organisatie. De risicocriteria spelen een rol in het beschrijven van de risicoacceptatie (risicoattitude van een organisatie).



Ze geven allereerst weer welke risicoaspecten van belang zijn voor de organisatie. Daarnaast beschrijven ze welke risico’s de organisatie acceptabel vindt. De risicocriteria en de scope zijn belangrijke aspecten om na te gaan of de resultaten (maatregelen) ingevuld in de BMTool daadwerkelijk vergelijkbaar zijn. De risicocriteria geven inzicht in overeenkomsten en verschillen in de risicoacceptatie (risicoattitude) van de organisatie. De scope biedt inzicht in de omvang van de informatie (assets) waarop de genomen maatregelen betrekking hebben. Beide aspecten, criteria en scope, worden om deze reden verder uitgewerkt in hoofdstuk 6. Onderstaand stroomschema geeft de methode voor de risicoanalyse weer. Conform ISO 27005 is het mogelijk de diepgang af te stemmen op het belang van de onderdelen in scope en kan de methode iteratief worden uitgevoerd. De methode bestaat uit een aantal stappen. Voorbeelden voor het uitvoeren van die stappen zijn opgenomen in bijlagen van dit rapport. De methode is gebaseerd op de methode beschreven in (Paul Overbeek, 2005).

De methode begint met het uitvoeren van een baselinetoets door middel van een business impact analyse. In deze toets wordt bepaald of de standaard maatregelen opgenomen in de baseline afdoende zijn om de risico’s te beheersen.



De baselinetoets is gebaseerd op het bepalen van een BIV classificatie van de informatie die deel uitmaakt van de scope. De BIV classificatie bepaalt voor elk van de criteria Beschikbaarheid, Integriteit en Vertrouwelijkheid de gevolgen (impact) van het materialiseren van het risico van het aantasten van het betreffende criterium. De score voor de beschikbaarheid bepaalt daarom bijvoorbeeld de gevolgen van het niet beschikbaar zijn van de informatie (assets) die onderdeel zijn van de scope van de risicoanalyse. De impact (gevolgen) worden daarbij uitgedrukt in de van te voren bepaalde risico criteria. De BIV score wordt vervolgens vergeleken met de BIV score van de baseline.

Als de score lager is dan de baseline volstaan de baseline maatregelen. Als de BIV score hoger is dan die van de baseline is het noodzakelijk om een uitgebreide risicoanalyse uit te voeren. De risicoanalyse is dan een uitgebreide risicoanalyse zoals beschreven in het voorgaande hoofdstuk.

De wijze waarop de risicoschatting in de risicoanalyse kan worden uitgevoerd is afhankelijk van de beschikbaarheid van (statistische) data. Een kwantitatieve schatting is eigenlijk alleen mogelijk als er informatie beschikbaar is over de kans van optreden van een risico. Samen met de schatting voor gevolgen kan dan de omvang van het risico kwantitatief geschat worden. Als geen statistische data beschikbaar is, resteert een kwalitatieve risicoschatting.



De kwantitatieve risicoschatting kan gebruik maken van verschillende methodes voor het schatten van risico’s. Een mogelijke opzet is als volgt: 1. Stel de waarde van de belangrijkste risicodragers vast 2. Stel per risicofactor de jaarlijkse frequentie vast (historie, statistische tabellen) 3. Stel per risicofactor de kosten vast van potentiële maatregelen 4. Stel per risicofactor de Annual Loss Expectancy (ALE) vast (zie (Wikipedia) voor een definitie) 5. Bereken het verschil tussen de ALE voor en na uitvoering van de tegenmaatregel 6. ROI=Waarde van de maatregel = ALE voor - ALE na - jaarlijkse kosten van maatregel 7. Maatregelen kiezen met ROI > 0 Het uitvoeren van een kwantitatieve analyse kan meer inspanning vergen dat het uitvoeren van een kwalitatieve analyse. Uitvoering van een kwantitatieve analyse vergt immers de beschikbaarheid van (statistische) data. Een organisatie kan daarom ook beslissen om eerst een kwalitatieve analyse uit te voeren. Als de resultaten van de kwalitatieve analyse aangeven dat het risico hoog is, kan daarna alsnog voor een kwantitatieve risicoanalyse worden gekozen. Zoals aangegeven gaat de bovenbeschreven methode uit van het beschikbaar zijn van een baseline. De betreffende baseline kan daarbij op verschillende manieren worden verkregen. Voor de hand liggende mogelijkheden zijn: 1. een organisatiebrede risicoanalyse voor kenmerkende systemen; 2. een baseline hanteren opgesteld voor een sector. De BMTool kan daarbij gebruikt worden voor het bepalen van sector brede baseline. De relatie tussen de BMTool en de risicoanalyse is het onderwerp van het volgende hoofdstuk.



5

Risicoanalyse en de BMTool

Dit hoofdstuk verkent de relatie tussen de BMTool en risicoanalyse. De werking van de BMTool wordt allereerst kort beschreven. Vervolgens komt het huidige gebruik van de BMTool aan de orde. Vervolgens worden drie scenario’s beschreven om de BMTool te gebruiken voor opslag van een baseline. Tenslotte wordt beschreven hoe de BMTool ingezet kan worden voor risicoanalyse. De uitbreiding van de BMTool is het onderwerp van het volgend hoofdstuk. 5.1

BMTool, platform voor benchmarking

Het CIO Platform Nederland heeft zijn experts op het gebied van informatiebeveiliging ingezet om een methodiek te ontwikkelen, waarmee de volwassenheid van maatregelen voor informatiebeveiliging kan worden vastgelegd. Door de resultaten te vergelijken, kunnen sterke en zwakke schakels in de informatiebeveiliging worden vastgesteld. Ultieme doelstelling is de aangesloten organisaties elkaar te laten helpen de zwakke schakels te elimineren door gebruik te maken van de kennis en ervaring van de leden die hier juist sterk scoren. Werkwijze en middelen Om bovenstaande mogelijk te maken is een werkwijze ontwikkeld en is de BMTool gerealiseerd. De werkwijze gaat uit van een aantal stappen: 1. 2. 3. 4.

risicoanalyse; vaststellen beveiligingsmaatregelen; scoren volwassenheid beveiligingsmaatregelen; benchmarken.

De BMTool voorziet in het vastleggen van het basis beveiligingsniveau (2) op basis van een risico analyse, het scoren van de volwassenheid van de beveiligingsmaatregelen (3) en het kunnen vergelijken met de aangesloten branchegenoten (4). De BMTool werkt met stellingen, gebaseerd op de norm ISO 27002 voor het scoren van de beveiligingsmaatregelen. Voor de zorginstellingen is de BMTool ook compliant met de NEN 7510 norm. De volwassenheid wordt afgemeten aan de CobiT 4.1 CMMmatrix. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 37 van 58


De werkwijze en de BMTool maken het ook mogelijk units binnen een organisatie onderling te vergelijken en regelmatig een interne benchmark uit te voeren om inzicht te krijgen in de vooruitgang op het gebied van informatiebeveiliging in de tijd. De BMTool is nooit ontworpen als risicoanalyse tool. Wel is vanaf het ontwerp rekening gehouden met aansluitbaarheid op andere processen van informatiebeveiliging. Voor de huidige versie van de BMTool is door het CIO Platform bepaald dat tot 2013 geen grote wijzigingen zullen plaatsvinden op de werking van de BMTool. In dit hoofdstuk wordt bekeken hoe een Risicoanalyse bruikbaar gemaakt kan worden binnen de huidige BMTool. 5.2

RA output is BMTool input

Na het bepalen van de scope en de informatieclassificatie ontstaat er vanuit de risicoanalyse een set te nemen beheersmaatregelen die geselecteerd zijn vanuit de norm. Deze selectie wordt beschreven in de Verklaring van Toepasselijkheid (ISO27001) en ondertekend door het verantwoordelijke management. Zij tekenen voor de te nemen maatregelen en de restrisico’s. De beheersmaatregelen uit de Verklaring van Toepasselijkheid kan als lijst met beheersmaatregelen van de norm in de BMTool worden ingelezen. De uitvoer van de risicoanalyse is dus een set te nemen beheersmaatregelen. De BMTool bevat dan een weergave van de beheersmaatregelen genomen om de risico’s te beheersen. Deze beschrijven dus de uitkomst van het proces risicobehandeling conform ISO 31000 en ISO 27005. Het onderwerp van dit rapport, risicoanalyse (risicobeoordeling), is de verantwoording of rationale van de genomen maatregelen. De risicoanalyse is daarmee het fundament voor de beheersmaatregelen beschreven in de verklaring van toepasselijkheid. De verklaring van toepasselijkheid kan weergegeven worden in de BMTool. De volgende sectie geeft aan hoe de BMTool daarvoor kan worden ingezet. De beheersmaatregelen worden gekozen op basis van de uitkomst van de risicoanalyse. De risicoanalyse geeft de omvang van de risico’s weer. Het is dan echter nog niet zonder meer duidelijk welke maatregelen te treffen om de risico’s te mitigeren. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 38 van 58


Het is dus noodzakelijk om inzicht te krijgen in de relatie tussen risico’s en maatregelen. Concreet betekent dat inzicht in de effectiviteit van maatregelen nodig is: de effectiviteit van maatregelen. Zoals in de inleiding aangegeven, zou oorspronkelijk een andere werkgroep zich bezig gaan houden met dit onderwerp. Omdat deze werkgroep niet van start is gegaan, stellen we voor gebruik te gaan maken van de inspanningen van de academische ziekenhuizen op dit gebied. Een van de uitkomsten van deze inspanning is een matrix die de relatie weergeeft tussen dreigingen en beheersmaatregelen. De matrix geeft weer welke beheersmaatregel effectief is tegen welke dreiging. De in dit rapport voorgestelde methode voor risicoanalyse bevat een dreigingenanalyse. De output van deze stap kan dus gebruikt worden om met behulp van de matrix de te nemen maatregelen te identificeren. Merk op dat dit maatregelen zijn die als aanvulling op de maatregelen uit baseline gebruikt dienen te worden. Daarbij geldt dat deze methode vooral van toepassing is bij het uitvoeren van een kwalitatieve en kwantitatieve risicoanalyse. Bij het uitvoeren van een kwantitatieve risicoanalyse zal de matrix gebruikt worden als voorselectie van maatregelen. In dit geval zal de maatregel pas daadwerkelijk opgenomen worden als deze een positieve waarde heeft (zie het voorbeeld voor een kwantitatieve risicoanalyse uit voorgaand hoofdstuk). Concreet leidt dit tot de volgende stappen.

Bepaal of baseline afdoende is (op basis van Business Impact Analyse). Zo nee, voer kwantitatieve / kwalitatieve risicoanalyse uit waarbij risico’s bepaald worden rekening houdend met de maatregelen uit de baseline. Bepaal of risico’s acceptabel zijn of gemitigeerd moeten worden op basis van de risico criteria. Als de risico’s gemitigeerd worden selecteer maatregelen voor dreigingen uit risicoanalyse (in zoverre niet afgedekt door maatregelen uit baseline). In geval van kwantitatieve risicoanalyse: bepaal invoering van maatregel op basis van positieve waarde.

De beschreven matrix is opgenomen in een afzonderlijk document (UMC).



5.3

Verklaring van toepasselijkheid weergeven in de BMTool

Deze sectie beschrijft een drietal scenario’s voor het weergeven van de verklaring van toepasselijkheid in de BMTool. Scenario 1: Handmatig invoeren De BMTool V1.x is nog niet ingericht om per beheersmaatregel aan te geven of deze van toepassing is of niet. Een workaround is het werken met de baseline in de BMTool. Echter vanuit de stellingen is niet zichtbaar of de beheersmaatregel wel of niet van toepassing is. Hiervoor zal handmatig per beheersmaatregel aangegeven moeten worden of deze wel of niet van toepassing is. Dit kan bijvoorbeeld in het commentaarveld of door de beheersmaatregelen die van toepassing zijn, alvast op niveau 1 te zetten. De set met beheersmaatregelen blijft dan compleet. Scenario 2: Inlezen als nieuwe set vanuit de risicoanalyse Een andere methode is de beheersmaatregelen die van toepassing zijn als nieuwe lijst in te lezen in de BMTool. De functie van benchmarken vervalt dan omdat alleen dezelfde normensets met elkaar vergeleken kunnen worden. Scenario 3: Inlezen beheersmaatregelen als de baseline Om de benchmark functionaliteit toch te kunnen gebruiken samen met de toepasselijk verklaarde beheersmaatregelen, kan gebruik worden gemaakt van de baselinefunctie. Hiervoor wordt in de BMTool de actieve stellingenset van de norm geopend. Deze actieve stellingenset kan in de BMTool opgeslagen worden als type BaseLine. Nu worden in de BMTool de toepasbaar verklaarde beheersmaatregelen vanuit de risicoanalyse voorzien van een gewenst antwoordniveau. De beheersmaatregelen die niet van toepassing zijn, moeten bij het beantwoorden op niveau één2 gezet worden. De set kan nu als BaseLine worden opgeslagen en bij de rapportage worden gebruikt om de beheersmaatregelen tegen de RA-BaseLine af te zetten.

2 De BMTool vereist een 100% ingevulde stellingenset in verband met de benchmark. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 40 van 58


Er kan een oneindig aantal RisicoAnalyses als BaseLine worden aangebracht binnen de BMTool. In de rapportage kan gekozen worden voor de betreffende BaseLine. Deze wordt dan als groene bolletjes zichtbaar ten opzichte van de ingevulde audit resultaten in het blauw. Zie afbeelding op de volgende pagina. De baseLines kunnen ook via de BMTool eenvoudig beschikbaar gesteld worden aan alle organisaties in de branche.

5.4

BMTool en risicoanalyse

De BMTool kan op verschillende wijzen worden ingezet bij het proces van risicoanalyse. De tool kan, zoals al beschreven, allereerst ingezet worden bij het uitvoeren van een quick-scan of baseline toets. De BMTool heeft ook de mogelijkheid om Excelbestanden te importeren. Zo kan een selectie van bestaande stellingenset van de norm als nieuwe stellingenset worden ingelezen of als een de norm voor een quick-scan of baseline toets.



De tool kan vervolgens gebruikt worden voor het vergelijken van de beheersmaatregelen van toepassing op de scope van de risicoanalyse met de gekozen norm. De BMTool wordt hiermee de-facto ingezet voor het uitvoeren van een zogenaamde gap analyse. Deze gap analyse resulteert in een overzicht van het verschil tussen de maatregelen die genomen zijn voor de assets in scope van de risicoanalyse en de maatregelen die conform de norm aanwezig hadden moeten zijn. Het geconstateerde verschil in maatregelen moet vervolgens geanalyseerd worden om te bepalen hoe groot het overblijvend risico is en of dat restrisico acceptabel is voor de organisatie. De BMTool kan ook worden gebruikt om de kwaliteit van de risicoanalyse te meten. Dit aspect wordt verder uitgewerkt in het volgende hoofdstuk.



6

Uitbreiding van de BMTool

De doelstelling van de werkgroep is de vergelijkbaarheid van de resultaten opgenomen in de BMTool te vergroten. De vergelijkbaarheid van de resultaten is allereerst gebaat bij een indicatie van de kwaliteit van het proces dat geleid heeft tot de selectie van maatregelen. Conform ISO 27001 is deze kwaliteit alleen gewaarborgd als deze keuze tot stand is gekomen door een risicoanalyse. Deze risicoanalyse moet daarbij conformiteit hebben met ISO 27005. Naast de kwaliteit van de risicoanalyse is vergelijkbaarheid ook gebaat bij inzicht in de reikwijdte (scope) waar de maatregelen ingevuld in de BMTool betrekking op hebben. De verzameling maatregelen geldend voor een enkele server is bijvoorbeeld niet vergelijkbaar met de verzameling maatregelen geldend voor de hele organisatie. Nog belangrijker is het de scope te kennen als de verzameling van maatregelen een zelfde omvang heeft. Dit is bijvoorbeeld aan de orde voor de maatregelen opgenomen in een baseline van een organisatie en de maatregelen betrekking hebbend op de meest kritische systemen van een organisatie. De verzameling maatregelen zal een vergelijkbaar karakter hebben, echter in het laatste geval, zijn de maatregelen veelal stringenter. De meeste organisaties zullen in de BMTool de maatregelen uit de baseline opnemen. Een organisatie die de maatregelen voor haar meest kritische systemen aangeeft zou ten onrechte de conclusie kunnen trekken dat haar maatregelen te stringent zijn. De vergelijkbaarheid wordt tenslotte ook beïnvloed door de risicoattitude van de organisatie. De risicoattitude bepaalt op welke wijze de organisatie omgaat met risico’s, met andere woorden welke risico’s zij acceptabel vindt en welke niet. De risicoattitude heeft daarbij een nauwe relatie met de risicocriteria. Deze bepalen immers of de baseline volstaat voor een informatiehulpmiddel en bepaalt daarnaast of restrisico’s acceptabel zijn. De risicocriteria vormen daarmee de maat voor de risicoattitude van een organisatie.



Samenvattend zijn de volgende aspecten van belang voor de vergelijkbaarheid van de maatregelen in de BMTool:

Het toepassingsgebied van de maatregelen uitgedrukt in de reikwijdte (scope) De risicoattitude van de organisatie uitgedrukt in de risicocriteria De kwaliteit van de achterliggende risicoanalyse uitgedrukt in de conformiteit met ISO27005

Elk van deze aspecten komt aan de orde in een afzonderlijk onderdeel van dit hoofdstuk. 6.1

Toepassingsgebied van de maatregelen

Om het toepassingsgebied waarop de risicoanalyse wordt uitgevoerd nauwkeuriger te bepalen, onderscheiden we de volgende twee aspecten, die gezamenlijk de scope vormen: de primaire bedrijfsaspecten die vaak de kernactiviteiten van de organisatie bevatten en de ondersteunende aspecten die op hun beurt de kernactiviteiten ondersteunen. De twee primaire bedrijfsaspecten zijn als volgt onder te verdelen: 1. Primaire bedrijfsaspecten: Bedrijfsprocessen en activiteiten; Bedrijfsinformatie 2. Ondersteunende aspecten moeten geïdentificeerd en beschreven worden. Al deze aspecten kunnen kwetsbaarheden bevatten die door een bepaalde dreiging misbruikt kunnen worden. Ondersteunende aspecten3, waarvan primaire bedrijfsaspecten afhankelijk zijn: Hardware Onder hardware verstaan we alle fysieke onderdelen welke ondersteunend zijn aan de bedrijfsprocessen Software Hieronder valt alle programmatuur welke bijdraagt aan de verwerking van bedrijfsgegevens.

3 Deze aspecten zijn ook te ordenen door gebruik te maken van het begrip MAPGOOD:

M(ens), A(pparatuur), Programmatuur, G(egevens), O(rganisatie), O(mgeving) en D(iensten). Gegevens en Diensten komen in de hier gehanteerde indeling niet voor. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012 - pagina 44 van 58


Netwerk Alle communicatie apparatuur welke wordt gebruikt voor het verbinden van (computer) apparatuur Personeel Alle (groepen van) medewerkers die betrokken zijn bij de informatie systemen Locatie Alle bedrijfshuisvesting en de voorzieningen om deze huisvesting te gebruiken voor (de ondersteuning van) de bedrijfsprocessen Organisatie De organisatievorm en de daarin gehanteerde procedures

Om daadwerkelijk het toepassingsgebied van de risicoanalyse te bepalen moeten stellingen/vragen aan de BMTool worden toegevoegd. Een eerste set van vragen wordt gebruikt om te bepalen welke bedrijfsprocessen en –informatie zijn meegenomen in de risicoanalyse. Vervolgens wordt dit verder uitgediept voor de (relevante) ondersteunende aspecten. De resultante van dit proces is een duidelijk omschreven toepassingsgebied. Indien een organisatie nog geen risicoanalyses heeft uitgevoerd is hierbij ook een risicogedreven aanpak aan te bevelen: begin bij de bedrijfsprocessen en informatie waarin de organisatie mogelijk de grootste risico’s onderkent. Dit zijn vaak de primaire bedrijfsprocessen en is gekoppeld aan de behandeling van de primaire bedrijfsinformatie. Enkele voorbeelden van primaire bedrijfsprocessen en activiteiten:

Processen en activiteiten die door verlies of degradatie niet meer kunnen bijdragen aan het behalen van de bedrijfsdoelstelling; Processen en activiteiten waarvan wijzigingen een hoge mate van invloed hebben op het behalen van de bedrijfsdoelstelling; Processen en activiteiten die voor de organisatie de vereiste contractuele- en wettelijke regelgeving verwezenlijken.

Enkele voorbeelden van primaire bedrijfsinformatie:

Vitale informatie voor het uitvoeren van de bedrijfsdoelstelling of missie; Persoonsgegevens die volgens de WBP afgeschermd moeten zijn; Informatie die nodig is voor het bereiken van strategische doelstelling van de organisatie;



Voor de ondersteunende aspecten volgen hieronder (per aspectgebied) enkele voorbeeldvragen. Deze vragen kunnen gebruikt worden om bij de primaire bedrijfsaspecten de meest relevante ondersteunende aspecten te ondersteunen. Deze vragen worden gesteld ten aanzien van de ondersteunende aspecten in het licht van de primaire bedrijfsaspecten. Hardware: Hoe groot is de kans en impact van het niet juist functioneren of uitval van apparatuur? Hoe groot is de kans en impact van ongeautoriseerde aanpassingen van apparatuur? Hoe groot is de kans en impact van verlies of diefstal van apparatuur of gegevens dragers? Software: Hoe groot is de kans en impact van het niet juist functioneren of uitval van software? Hoe groot is de kans en impact van ongeautoriseerde aanpassingen van software? Netwerk: Hoe groot is de kans en impact van het niet juist functioneren of uitvallen van netwerk- en communicatievoorzieningen? Hoe groot is de kans dat het netwerk wordt afgeluisterd. Personeel: Hoe groot is de kans en impact van bedienings- en verwerkingsfouten van gebruikers? Hoe groot is de kans en impact van bedienings- en verwerkingsfouten van beheerders Hoe groot is de kans en impact van afwezigheid of uitval van medewerkers? Locatie: Hoe groot is de kans en impact van het optreden van een natuurramp? Hoe groot is de kans en impact dat externe voorzieningen uitvallen (bv stroom voorziening)? Hoe groot is de kans en impact van een externe aanval? Hoe groot is de kans en impact van een verstoring van de klimaatbeheersing



Organisatie: In welke mate zijn er beleidskaders (richtlijnen) aanwezig? Beschikt de organisatie over voldoende kennis? Zijn relevante verantwoordelijkheden en bevoegdheden beschreven? Hoe groot is de kans en impact van het optreden van een calamiteit binnen de organisatie? Hoe zijn de taken/verantwoordelijkheden van derden (bv: leverancier) beschreven? Door het beantwoorden van een dergelijke set basisvragen wordt duidelijk op welke primaire en ondersteunende aspecten binnen de organisatie de grootste risico’s worden gelopen. Dit geeft de organisatie daarmee richting voor het toepassingsgebied waarop de risicoanalyse moet worden uitgevoerd. 6.2

Risicoattitude van de organisatie

Voordat een risico evaluatie (de laatste stap in de risk assessment fase volgens ISO31000) kan worden uitgevoerd is het noodzakelijk om risicocriteria vast te stellen. Op basis van deze vooraf vastgestelde criteria wordt besloten of er maatregelen moeten worden getroffen om risico’s te ondervangen. De risicocriteria zijn een afgeleide van de bedrijfswaarden, -doelen en –middelen van de organisatie. Voor een deel kunnen deze criteria ook door externe factoren zijn bepaald. Denk dan bijvoorbeeld aan weten regelgeving en andere eisen waaraan een organisatie moet voldoen. De risicocriteria vormen een middel om de risicoattitude van een organisatie uit te drukken. Deze attitude geeft weer in welke mate een organisatie bepaalde soort(en) risico’s wel of niet accepteert.



Voor het bepalen van risicocriteria voor een organisatie kunnen de volgende factoren in ogenschouw worden genomen:

Welke oorzaken en gevolgen kunnen er optreden en hoe worden deze gemeten? Hoe bepaal je de waarschijnlijkheid dat iets optreedt? Binnen welk tijdsbestek moet iets optreden?/ Hoe wordt het risiconiveau bepaald? Wat is de rol en perceptie van de stakeholders? Criteria op grond waarvan wordt besloten dat een maatregel moet worden geïmplementeerd Criteria op grond waarvan wordt besloten dat een risico acceptabel is Moeten risico combinaties worden meegenomen, en zo ja, hoe en welke combinaties?

Deze criteria zijn gebaseerd op de volgende(soort) bronnen:

Overeengekomen proces doelen Criteria opgenomen in specificaties/ontwerpen Algemene bronnen Algemeen geaccepteerde standaarden, zoals veiligheidsvoorschriften Wet- en regelgeving Risk appetite van de organisatie

Uitgaande van bovenstaande factoren kunnen in de BMTool bijvoorbeeld de volgende vragen/stellingen worden toegevoegd:

Hoe groot is de maximaal toelaatbare (financiële) schade (absoluut: uitgedrukt in Euro’s of relatief: percentage van de omzet/winst) Hoe groot is de maximale onbeschikbaarheid van de dienstverlening (uitgedrukt in tijd: uren/dagen) Hoe hoog zijn de maximaal acceptabele herstelkosten (absoluut: uitgedrukt in Euro’s) Hoe hoog zijn de maximaal acceptabele kosten van imago schade door exposure in de media (absoluut: uitgedrukt in Euro’s; lokaal, nationaal, internationaal)



Deze lijst kan worden aangevuld met organisatie specifieke vragen. Hiervoor kan gekeken worden naar de volgende aspecten:

Is er sprake van inbreuk op wetgeving Is er sprake van persoonlijk letsel Is er sprake van verlies van technologische voorsprong op concurrentie Is er sprake van verzwakking van een onderhandelingspositie Is er sprake van verlies van middelen (geld, bezit) Is er sprake van (technische) reputatie schade

De bovenstaande aspecten kunnen als vragen expliciet worden opgenomen in de BMTool. Een alternatief is vragen op te nemen waarbij een organisatie het relatief belang van de verschillende criteria kan weergeven, bijvoorbeeld door een prioriteitsvolgorde weer te geven of per criterium een kwalitatieve beschrijving (hoog, midden, laag) op te geven. 6.3

Kwaliteit van de risicoanalyse

De kwaliteit van risicoanalyse wordt bepaald door de conformiteit met ISO 27005. De conformiteit met ISO 27005 is gedefinieerd in Conformiteit van een risicoanalyse. De conformiteit wordt bepaald door na te gaan of alle onderdelen van een risicoanalyse conform ISO 27005 zijn doorlopen. De stappen van een risicoanalyse conform ISO 27005 zijn omgezet in stellingen. Deze stellingen zijn opgenomen in Bijlage 4.



7

Referenties

NEN-ISO. (2009). NEN-ISO 31000:2009 nl: Risicomanagement - Principes en richtlijnen. Delft: NEN. NEN-ISO. (2005). NEN-ISO/IEC 27001:2005 nl Informatietechnologie Beveiligingstechnieken - Managementsystemen voor Informatiebeveiliging Eisen. Delft: NEN. NEN-ISO. (2007). NEN-ISO/IEC 27002:2007 nl Informatietechnologie Beveiligingstechnieken - Code voor informatiebeveiliging. Delft: NEN. NEN-ISO. (2011). NEN-ISO/IEC 27005:2011 en Information technology - Security techniques - Information security risk management. Delft: NEN. NEN-ISO. (2002). NPR-ISO/IEC Guide 73:2002 en Risicomanagement Verklarende woordenlijst - Richtlijnen voor het gebruik in normen. Delft: NEN. Michiel Dam, Danny Hammelink en Kevin Wessels. (sd). Opgeroepen op 10 juni, 2012, van https://lab.cs.ru.nl/BusinessRules/Information_security_in_the_medical_domain Paul Overbeek, E. R. (2005). Informatiebeveiliging onder controle. OWASP. (sd). OWASP Top Ten Project. Opgeroepen op 10 juni, 2012, van OWASP: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project SANS. (sd). Critical Security Controls. Opgeroepen op 10 juni 2012, van SANS: http://www.sans.org/critical-security-controls/ Wikipedia. (sd). Annualized Loss Expectancy. Opgeroepen op 7 Juli, 2012, van Wikipedia: http://en.wikipedia.org/wiki/Annualized_Loss_Expectancy UMC. (sd). Handreiking Maatregelen vs Bedreigingen UMC v01. Opgeroepen op 25 juni, 2012, van CIO Platform: http://online.cioplatform.nl/documents/action=download&load=clean&file_id=2548



Bijlage 1: Essentiële maatregelen uit ISO 27002 Een aantal beheersmaatregelen kan worden beschouwd als een goed uitgangspunt voor het implementeren van informatiebeveiliging. Ze zijn gebaseerd op essentiële wettelijke eisen of ze worden algemeen beschouwd als gebruikelijke praktijk voor informatiebeveiliging. Tot de beheersmaatregelen die vanuit wettelijk oogpunt van essentieel belang zijn voor een organisatie behoren, afhankelijk van de toepasselijke wetgeving: a) bescherming van persoonsgegevens (zie 15.1.4); b) bescherming van specifieke bedrijfsdocumenten (zie 15.1.3); c) intellectuele eigendomsrechten (zie 15.1.2). Tot de beheersmaatregelen die worden beschouwd als gebruikelijke praktijk voor informatiebeveiliging behoren: a) beleidsdocument voor informatiebeveiliging (zie 5.1.1); b) toewijzen van verantwoordelijkheden voor informatiebeveiliging (zie 6.1.3); c) bewustmaken van informatiebeveiliging en opleiden en trainen voor (zie 8.2.2); d) correcte verwerking in toepassingen (zie 12.2); e) beheer van technische kwetsbaarheid (zie 12.6); f) beheer van bedrijfscontinuïteit (zie 14); g) beheer van informatiebeveiligingsincidenten en -verbeteringen (zie 13.2). Deze beheersmaatregelen gelden voor de meeste organisaties en in de meeste omgevingen. Er behoort echter op te worden gewezen dat, hoewel alle beheersmaatregelen in deze norm belangrijk zijn, de relevantie van een beheersmaatregel altijd behoort te worden vastgesteld in het licht van de specifieke risico's waarmee de organisatie wordt geconfronteerd. Hoewel de bovengenoemde benadering dus wordt beschouwd als een goed uitgangspunt, moet deze niet worden toegepast in plaats van het selecteren van beheersmaatregelen op basis van een risicobeoordeling.



Bijlage 2: Risicomanagement conform ISO 31000



Bijlage 3: Risicomanagement conform ISO 27005



Bijlage 4: Kwaliteit van RA methode Activiteit

Ref.

Stelling

Bepalen van de context

7.1

De organisatie bepaalt de externe en interne context voor het managen van informatie risico’s. Dit omvat het bepalen van de basiscriteria voor informatierisicomanagement, definiëren van de scope en de grenzen en het inrichten van een geschikte organisatie voor het uitvoeren van informatierisicomanagement.

Aanpak voor risicomanagement

7.2.1

De organisatie definieert haar aanpak voor risicomanagement. Deze aanpak houdt rekening met de aspecten omschreven in 7.2.2, 7.2.3 en 7.2.4. De organisatie stelt voldoende menskracht beschikbaar voor het uitvoeren van risicomanagement.

Bepalen van criteria voor risico-evaluatie

7.2.2

De organisatie definieert criteria voor het evalueren van risico’s.

Bepalen van criteria voor gevolgen

7.2.3

De organisatie definieert criteria voor het bepalen van de gevolgen van incidenten

Bepalen van criteria voor acceptatie van risico’s

7.2.4

De organisatie definieert criteria voor het accepteren van risico’s

Risicobeoordeling

8.1

De organisatie identificeert de risico’s, beschrijft deze kwalitatief of kwantitatief en prioriteert deze ten opzichte van risicoevaluatie criteria en doelstellingen die relevant zijn voor de organisatie

Risico-identificatie Identificatie van bezittingen (assets)

De onderstaande stellingen kunnen ook samengevat worden in een enkele stelling. 8.2.2

De organisatie identificeert de bezittingen relevant voor de scope van de risicobeoordeling



Identificatie van dreigingen

8.2.3

De organisatie identificeert de relevante dreigingen en de bronnen voor deze dreigingen.

Identificatie van bestaande maatregelen

8.2.4

De organisatie identificeert de relevante bestaande en geplande maatregelen

Identificatie van kwetsbaarheden

8.2.5

De organisatie identificeert de kwetsbaarheden die geëxploiteerd kunnen worden door de geïdentificeerde dreigingen en de kunnen leiden tot schade aan de geïdentificeerde bezittingen

Identificatie van gevolgen

8.2.6

De organisatie identificeert de gevolgen van het aantasten van de beschikbaarheid, integriteit en de vertrouwelijkheid van haar bezittingen.

Risicoanalyse

De onderstaande stellingen kunnen ook samengevat worden in een enkele stelling.

Bepalen van gevolgen

8.3.2

De organisatie bepaalt de gevolgen voor haar bedrijfsvoering van een mogelijk of daadwerkelijk beveiligingsincident. Zij houdt daarbij rekening met de gevolgen van het doorbreken van haar informatiebeveiliging zoals het aantasten van de beschikbaarheid, integriteit en vertrouwelijkheid van haar bezittingen

Bepalen van de kansen op een incident

8.3.3

De organisatie bepaalt de kans op optreden van de incidenten.

Bepalen van risiconiveau

8.3.4

De organisatie bepaalt het risico voor elk van de relevante incidenten

Risico-evaluatie

8.4

De organisatie vergelijkt de risico’s met de criteria voor het evalueren en accepteren van risico’s



Deelnemers CIG Informatiebeveiliging Organisatie Schiphol Group Coöperatie VGZ UA NXP Semiconductors Netherlands B.V. Holland Casino De Nederlandsche Bank PostNL Tweede Kamer der Staten-Generaal Belastingdienst Royal Vopak Telegraaf Media ICT ABN AMRO Bank UMC Utrecht LUMC CJIB Facilicom SNS REAAL Marel Food Systems ECT Delta N.V. PGGM Belastingdienst Nederlandse Spoorwegen Sociale Verzekeringsbank Stichting SURF PostNL Océ Espria Gemeente Haarlemmermeer Nutreco CBS

Voornaam Hans Hendrikus Kay Erwin Edwin Dick Marcus Gerrit Jan Carlos Ernst Martijn Evert Jan Erik Henk Anton Rolf Rob Ruud Wim Piet Peter Joseph Pamela Alf Robert Eric Erik Michael Peggy Roel

Achternaam Aldenkamp Beck Behnke Bosma Bouwmeester Brandt Bremer Brendeke Cordova Niewold de Rijk Dekker Evers Flikkenschild Gomis Harder Heggie Janssen Jongejan Joosse Kalverda Konings Mager Mercera Moens Moonen Piepers Pieters Pols Roothans Rot



Deelnemers CIG Informatiebeveiliging (vervolg) Organisatie Ahold / Albert Heijn Eneco PostNL De Nederlandsche Bank UMC Groningen Havenbedrijf Rotterdam UMC Groningen Randstad Holding LUMC Kluwer Transavia.com Rabobank Nederland Schiphol Group CIO Platform CIO Platform CIO Platform

Voornaam Collin Anne Michel Ewoud Ron Chris Leon Sander Margot Nico Ronald Jan Wil Rik Ronald Foppe

Achternaam Schaap Spoelstra Tinga van Bentem van den Bosch van den Hooven van der Krogt van der Velden van Ditmarsch Veenkamp Verstraeten Wessels Weterings van Embden Verbeek Vogd


“

D vereniging van ICT De eindverantwoordelijken nisat van in grote organisaties e de vraagzijde

“

www.cio-platform.nl

CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012

Risico Analyse. Een verkenning. Publicatie van de CIO Interest Group Informatiebeveiliging

Recommend Documents