Standaarden, is door de bomen het bos nog te zien?

Standaarden, is door de bomen het bos nog te zien?

Datum Status Teamnummer Studenten Begeleider

: : : : :

29-04-2009 Definitief 922 Mark van der Beek, Ranil Korf en Hendrik Jan Smit Bart Bokhorst RE RA

1

Inhoudsopgave Hoofdstuk 1: Onderzoeksopzet ..................................................................................3 § 1.1 Inleiding ...................................................................................................................... 3 § 1.2 Onderzoeksvraag + deelvragen .............................................................................................. 3 § 1.3 Overwegingen ................................................................................................................ 3 § 1.4 Methode....................................................................................................................... 4 § 1.5 De expertbrief ................................................................................................................ 4 § 1.6 Opbouw theorieonderzoek ................................................................................................... 5

Hoofdstuk 2: ISO ..................................................................................................6 § 2.1 Inleiding ...................................................................................................................... 6 § 2.2 ISO en Informatiebeveiliging................................................................................................ 6

Hoofdstuk 3: NIST ................................................................................................8 § 3.1 Inleiding ...................................................................................................................... 8 § 3.2 NIST en Informatiebeveiliging .............................................................................................. 8

Hoofdstuk 4: ISF.................................................................................................11 § 4.1 Inleiding .................................................................................................................... 11 § 4.2 ISF en Informatiebeveiliging .............................................................................................. 11

Hoofdstuk 5: CoBiT .............................................................................................15 § 5.1 Inleiding .................................................................................................................... 15 § 5.2 Het raamwerk............................................................................................................... 15

Hoofdstuk 6: Vergelijking ISO / NIST / ISF / CoBiT........................................................18 § 6.1 Selectiecriteria.............................................................................................................. 18 § 6.2 Breedte criterium ........................................................................................................... 21 § 6.3 Overall conclusie ........................................................................................................... 23

Hoofdstuk 7: Vergelijking ISO 27002 en NIST SP 800-53 ..................................................24 § 7.1 Samenvatting van ISO 27002 onderwerpen versus NIST SP 800-53 onderwerpen .................................... 24 § 7.2 Vergelijking in detail....................................................................................................... 25 § 7.2.1 ISO Hoofdstuk 6: Organisatie van informatiebeveiliging ............................................................. 26 § 7.2.2 ISO Hoofdstuk 7: Beheer van bedrijfsmiddelen ....................................................................... 27 § 7.2.3 ISO Hoofdstuk 8: Beveiliging van personeel .......................................................................... 28 § 7.2.4 ISO Hoofdstuk 9: Fysieke beveiliging en beveiliging van de omgeving ............................................. 30 § 7.2.5 ISO Hoofdstuk 10: Beheer van communicatie- en bedieningsprocessen ............................................. 31 § 7.2.6 ISO Hoofdstuk 11: Toegangsbeveiliging .............................................................................. 33 § 7.2.7 ISO Hoofdstuk 12: Verwerving, ontwikkeling en onderhoud van informatiesystemen ............................. 34 § 7.2.8 ISO Hoofdstuk 13: Information security incident management....................................................... 36 § 7.2.9 ISO Hoofdstuk 14 Bedrijfscontinuïteitsbeheer ........................................................................ 37 § 7.2.10 ISO Hoofdstuk 15: Compliance ....................................................................................... 39 § 7.3 Conclusie ................................................................................................................... 40

Hoofdstuk 8: Conclusies en reflectie...........................................................................41 § 8.1 Conclusies .................................................................................................................. 41 § 8.1.1 Beantwoording deelvraag 1.............................................................................................. 41 § 8.1.2 Beantwoording deelvraag 2.............................................................................................. 42 § 8.1.3 Beantwoording deelvraag 3.............................................................................................. 43 § 8.1.4 Beantwoording deelvraag 4.............................................................................................. 43 § 8.1.5 Overall conclusie ......................................................................................................... 44 § 8.2 Vervolgonderzoek.......................................................................................................... 44 § 8.3 Reflectie .................................................................................................................... 44

Bijlagen ...........................................................................................................46

2

Hoofdstuk 1: Onderzoeksopzet § 1.1 Inleiding Tegenwoordig kunnen we niet meer om standaarden heen. Van een standaard voor het zetten van thee (ISO 3103) tot een standaard die drieletter codes definieert voor valuta (ISO 4217). Ook binnen het werkveld informatiebeveiliging zijn diverse nationale maar ook internationale standaarden aanwezig. In de afgelopen periode lijkt het aantal standaarden binnen de informatieveiling zelfs exponentieel te groeien. In bijlage 4 is een overzicht (niet limitatief) gegeven van het scala aan standaarden. Door alle standaarden zien we soms door de bomen het bos niet meer. De input voor deze standaarden wordt allemaal geleverd door informatiebeveiligers en zijn gebaseerd op de hetzelfde gedachtegoed. Op basis van deze gegevens zou kunnen worden geconcludeerd dat alle standaarden inhoudelijk niet van elkaar verschillen. Middels ons afstudeeronderzoek willen wij bijdragen aan een overzicht van standaarden die relevant zijn voor informatiebeveiliging en hoe een keuze kan worden gemaakt voor een standaard. § 1.2 Onderzoeksvraag + deelvragen Doelstelling: het geven van een praktisch advies aan de gebruikers van IBstandaarden. De probleemstelling die wij willen beantwoorden middels ons onderzoek is de volgende: Welke standaarden kunnen waarvoor het best worden gebruikt? Om op de bovenstaande hoofdvraag een antwoord te geven is de hoofdvraag opgesplitst in de volgende deelvragen: 1. Welke relevante standaarden / best practices zijn er op het gebied van informatiebeveiliging? 2. Wat zijn criteria waarop de diverse standaarden van elkaar kunnen worden onderscheiden? Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden. 3. Welke stappen moeten worden doorlopen bij het selectieproces van standaarden? 4. Wat zijn in hoofdlijnen overeenkomsten en verschillen tussen NIST SP 800-53 en ISO 27002? § 1.3 Overwegingen Bij deelvraag 1 is gekozen om vier standaarden nader te beschrijven uit het scala van standaarden. Wij hebben gekozen voor NIST, ISO, ISF en COBIT. 3

Wij hebben voor NIST gekozen omdat deze binnen de opleiding wordt gebruikt. Voor ISO omdat deze standaard veel in de praktijk wordt toegepast. Voor de ISF omdat door deze standaard veel gebruik gemaakt wordt van ISO en zodoende goed vergelijkbaar kan zijn. Tenslotte hebben wij COBIT betrokken omdat deze standaard de afgelopen jaar sterk in opkomst is. Bij deelvraag 4 is gekozen om 2 specifieke standaarden van NIST en ISO te vergelijken. Wij hebben ISO en NIST gekozen, omdat NIST erg toegankelijk (gratis) is en gebruikt wordt binnen de opleiding. ISO hebben wij geselecteerd omdat deze standaarden veel worden gebruikt, zoals is vastgesteld op basis van informatie van experts uit de expertsessie. Binnen deze standaarden hebben wij gekozen om ‘NIST SP 800-53’ en ‘ISO 27002’ met elkaar te vergelijken. Deze standaarden zijn de meeste algemene en goed onderling vergelijkbare van de tientallen standaarden op het gebied van informatiebeveiliging binnen NIST en ISO. Ze bieden een (vergelijkbare) basis voor informatiebeveiliging door het bieden van een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie.

§ 1.4 Methode Om antwoord te geven op de deelvragen 1, 2 en 4 zullen we een theorieonderzoek uitvoeren. Om antwoord te geven op deelvraag 2 en 3 hebben we gekozen voor het schrijven van een expertbrief in de hoedanigheid van “Ghost Writer”. Deze mogelijkheid werd aangeboden door het Platform voor InformatieBeveiliging (PVIB). De Expertbrief is opgenomen als bijlage 6. Zoals uit voorgaande blijkt zal om antwoord te geven op deelvraag 2, naast de informatie uit de expertsessie, ook theorieonderzoek worden uitgevoerd. § 1.5 De expertbrief Een expertbrief is een korte publicatie die op basis van een discussie tussen een aantal deskundigen aan een grotere gemeenschap ter beschikking wordt gesteld. Doel van deze publicatie is om hiermee een grotere groep personen aan het denken te zetten waardoor: • De bewustwording voor het onderwerp wordt verhoogd; • Er op basis van meningen van anderen een visie kan worden ontwikkeld; • Kennisdeling plaatsvindt tussen deskundigen; • Deze kennis vervolgens op een vrij toegankelijke wijze ter beschikking wordt gesteld, bijvoorbeeld via een Internet-gemeenschap of via de website van het PvIB die kennisdeling tot doelstelling heeft verheven. Het proces voor de totstandkoming van de expertbrief bestaat uit een voorbereidingsfase, de expertbriefsessie, de schrijf- en review-fase, de publicatiefase en de evaluatie van de expertbrief. Alle fases zijn uitgewerkt in draaiboeken die het organisatiecomité (facilitator, co-facilitator, probleemeigenaar en ghostwriter) gebruikt om het proces te begeleiden. Deze draaiboeken worden regelmatig aangepast op basis van nieuwe leerervaringen. 4

Om de expertbrief efficiënt tot stand te laten komen is er sprake van een duidelijke rolverdeling, welke allen het organisatiecomité vormen: • Probleemeigenaar • Ghostwriter • Facilitator • Co-facilitator Om tot de experbrief te komen zullen we de rol van “Ghost Writer” vervullen. Een “Ghost Writer” is een de schrijver die op basis van de gevoerde discussies een boeiend en prikkelend artikel schrijft. § 1.6 Opbouw theorieonderzoek In het vervolg van dit theorieonderzoek zal antwoord worden gegeven op de deelvragen 1, 2 en 4. Hiertoe zullen in de navolgende hoofdstukken de diverse informatiebeveiligingsstandaarden: ISO (hoofdstuk 2), NIST (hoofdstuk 3), ISF (hoofdstuk 4) en COBIT (hoofdstuk 5) worden beschreven. Vervolgens zullen deze standaarden in hoofdstuk 6 aan een aantal criteria worden onderworpen om vast te stellen in hoeverre de standaarden van elkaar kunnen worden onderscheiden. Daarna zal in hoofdstuk 7 een vergelijking plaatsvinden tussen ISO 27002 en NIST SP 800-53, waarbij per hoofdonderwerp uit ISO 27002 steeds 1 maatregel in detail zal worden vergeleken met de bijhorende NIST SP 800-53 maatregel(en). In onderstaande figuur zijn de diverse hoofdstukken uit dit theorieonderzoek, de verschillende deelvragen en onze centrale probleemstelling conceptueel in kaart gebracht. Theorieonderzoek Deelvraag 1

Expertsessie

Hoofdstukken 2+3+4+5 Deelvraag 2

Deelvraag 2

Expertbrief

Hoofdstuk 6 Deelvraag 3

Deelvraag 4

Hoofdstuk 7

Probleemstelling: Welke standaarden kunnen waarvoor het best worden gebruikt?

5

Hoofdstuk 2: ISO Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk ISO nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en enkele belangrijke standaarden binnen ISO. § 2.1 Inleiding ISO is ontstaan uit twee organisaties - ISA (Internationale Federatie van de Nationale Standaardiserende Verenigingen) gevestigd in New York in 1926, en UNSCC (United Nations Standards Coordinating Committee), opgezet in 1944. In oktober 1946, besloten de afgevaardigden van 25 landen, die bij het Instituut van Civiel ingenieurs in Londen samenkwamen, een nieuwe internationale organisatie op te richten, met als doel: Het vergemakkelijken van de internationale coördinatie en de standaardisering van industriële standaarden. De nieuwe organisatie, de Internationale Organisatie voor Normalisatie (ISO), startte officieel op 23 februari 1947. ISO is de grootste ontwikkelaar en uitgever van internationale standaarden ter wereld en heeft inmiddels meer dan 16 500 internationale standaarden gepubliceerd. Tegenwoordig is ISO een netwerk van de nationale standaardeninstituten uit 157 landen, met een Centraal Secretariaat in Genève, Zwitserland, dat het systeem coördineert. De totale standaardenlijst van ISO bestaat uit tal van reeksen die verschillende onderwerpen omvatten zoals van ISO 13406-2 (waarin is vastgelegd hoeveel defecte pixels een beeldscherm mag bevatten), ISO 216 (voor het formaat van een vel papier, dat in de meeste landen in de wereld wordt gebruikt) tot aan ISO 27001 (standaard voor informatiebeveiliging) § 2.2 ISO en Informatiebeveiliging ISO heeft een breed scala aan standaarden voor Informatiebeveiliging (zie bijlage 5 ISO Standaarden). Wij hebben er voor gekozen om ISO 27002 er uit te lichten. De inhoud sluit het beste aan bij de overige geselecteerde standaarden en maakt derhalve een vergelijking mogelijk. In de volgende paragraaf wordt de oorsprong en inhoud van ISO 27002 nader toegelicht. ISO en IEC (the International Electrotechnical Commission) hebben op het gebied van informatie technologie een samenwerkingsverband in de vorm van technische commissies. In deze commissies zijn nationale lichamen, die lid zijn van ISO of IEC, vertegenwoordigd. De voornaamste taak van deze gezamenlijke technische commissies is het ontwerpen van internationale standarden ten behoeve van de standaardisatie in de specifieke technische werkvelden. Ontwerpversies van internationale standaarden die zijn aangenomen door de gezamenlijke commissies, worden ter stemming voorgelegd aan de leden. Publicatie als internationale standaard vereist een goedkeuring van ten minste 75% van de stemmen die zijn uitgebracht. Op het gebied van informatietechnologie hebben ISO en IEC een gezamenlijke technische commissie opgericht, ISO/IEC JTC 1. Binnen deze commissie is een Managementsysteem voor informatiebeveiliging (ISMS) opgesteld. Deze standaard omvat een verzameling van internationale standaarden voor de vereisten voor 6

veiligheidsbeheer, risicobeheer, metriek en meting, en implementatie begeleiding van de informatiebeveiliging. Deze standaarden werden uitgegeven in ISO/IEC 27001. Samengevat houdt deze standaard in dat ontwerp en de implementatie van ISMS (ISO/IEC 27001) in een organisatie wordt beïnvloed door de behoeften en doelstellingen, veiligheidsvereisten, de bedrijfsprocessen, de grootte en de structuur van de organisatie. Deze en hun ondersteunende systemen worden geacht, eens in de zo veel tijd, aan verandering onderhevig te zijn. ISO procesbenadering1 voor efficiënt en hanteerbaar informatiebeveiligingsbeheer, benadrukt onderstaande punten: a) b) c) d)

het begrip van de informatiebeveiligingsvereisten van een organisatie en de behoefte om een beleid op te stellen en doelstellingen voor informatiebeveiliging; uitvoerbare en werkende controles om de informatiebeveiligingsrisico's van een organisatie in de context te beheren. de controle en het monitoren van de prestaties en de doeltreffendheid van ISMS; voortdurende verbetering die op de objectieve meting wordt gebaseerd.

In veel gevallen wordt gelijktijdig met ISO/IEC 27001 de ‘Code of Practice for Information Security management’ geïmplementeerd (ISO/IEC 27002). Deze biedt de organisatie bepaalde maatregelen die een organisatie kan gebruiken om informatiebeveiligingsrisico’s in kaart te brengen en te minimaliseren. Deze maatregelen, die essentieel zijn voor een gedegen informatiebeveiliging binnen een organisatie, worden per onderwerp in ISO/IEC 27002 behandeld. Ieder hoofdonderwerp is verdeeld in verschillende paragrafen, beginnend met een doelstelling en bijbehorende samenvatting van de gewenste situatie. Vervolgens wordt in detail de maatregel beschreven. Onderstaand staan de hoofdonderwerpen genoemd: 1. Beveiligingsbeleid 2. Organisatie van informatiebeveiliging 3. Beheer van bedrijfsmiddelen 4. Beveiliging van Personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van communicatie- en bedieningsprocessen 7. Toegangsbeveiliging 8. Verwerving, ontwikkeling en onderhoud van informatiesystemen 9. Beheer van informatiebeveiligingsincidenten 10.Bedrijfscontinuiïteitsbeheer 11.Naleving Er behoort echter op te worden gewezen dat hoewel alle beheersmaatregelen in deze standaard belangrijk zijn, de relevantie van een beheersmaatregel altijd behoort te worden vastgesteld in het licht van de specifieke risico's waarmee de organisatie wordt geconfronteerd. Hoewel de bovengenoemde benadering dus wordt beschouwd als een goed uitgangspunt, moet deze niet worden toegepast in plaats van het selecteren van beheersmaatregelen op basis van een risicobeoordeling. 1 De toepassing van een systeem van processen binnen een organisatie, samen met de identificatie en interactie van deze processen, en hun beheer, kunnen als „procesbenadering “ worden beschouwd.

7

Hoofdstuk 3: NIST Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het ‘National Institute of Standards and Technology’ (NIST) nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en enkele belangrijke publicaties van NIST. § 3.1 Inleiding Van geautomatiseerde kassa’s en nucleaire klokken naar mammogrammen en halfgeleiders, ontelbare producten en diensten steunen in zekere zin op de technologie, meetinstrumenten en standaarden verzorgd door het NIST. NIST is opgericht in 1901. NIST is een onderdeel van het Amerikaanse ministerie van Economische Zaken waar standaarden worden ontwikkeld ter bevordering van de innovatie (en industriële concurrentie) in de VS. Dit ter versterking van de economische veiligheid en ter verbetering van de kwaliteit van het leven in het algemeen. § 3.2 NIST en Informatiebeveiliging In Amerika schaart zich men met betrekking tot informatiebeveiliging achter de ‘Federal Information Security Act’ (FISMA). Deze wet werd door het parlement (‘Congress’) aangenomen als onderdeel van de ‘Electronic Government Act’ van 2002. De FISMA erkent het belang van informatiebeveiliging van de informatievoorziening van de federale overheden. Hierbij wordt informatiebeveiliging gedefinieerd als het beschermen van de integriteit, vertrouwelijkheid en beschikbaarheid van informatie en informatiesystemen. De FISMA droeg het National Institute of Standards and Technology (NIST) op om standaarden te ontwikkelen die door alle federale overheden gebruikt kunnen worden om informatie en informatiesystemen te categoriseren (risicogebaseerd) en afhankelijk van deze risicoclassificatie adequate informatiebeveiliging toe te passen. Tevens dienden er minimale beveiligingseisen en implementatierichtlijnen te worden ontwikkeld ter ondersteuning. NIST heeft hiertoe standaarden, richtlijnen en andere publicaties ontwikkeld en uitgebracht om federale overheden te ondersteunen in het uitvoeren van de FISMA van 2002. Deze publicaties kunnen als volgt worden ingedeeld: • ‘Federal Information processing standards’ (FIPS) zijn ontwikkeld in overeenstemming met FISMA. FIPS zijn goedgekeurd door het Ministerie van Economische Zaken en zijn bindend. • Begeleidende documenten en aanbevelingen zijn in de ‘NIST Special Publications (SP) 800-series’ uitgebracht. Het Amerikaanse OMB (The Office of Management en Budget) heeft verklaard dat NIST richtlijnen gevolgd moeten worden. • Andere security-verwante publicaties, waaronder interdepartementale en interne rapporten (NISTIRs) en ITL (Information Technology Library) bulletins, verzorgen technische en overige informatie over de activiteiten van NIST. Deze publicaties zijn enkel verplicht wanneer dit is gespecificeerd door de OMB. 8

NIST gaat uit van een risico-/impactanalyse: hoe kwetsbaar is het ondersteunde bedrijfsproces en wat zijn de gevolgen van verstoringen, resulterend in de driedeling hoog, gemiddeld en lage impact. De opgestelde standaarden betreffen ‘baseline’ standaarden aangevuld met een impact-afhankelijke delta. Momenteel zijn er meer dan 250 NIST publicaties uitgebracht. Hieronder worden 2 belangrijke standaarden en richtlijnen nader toegelicht: • FIPS Publication 200 (‘Minimum Security Requirements for Federal Information and Information Systems’): specificeert de minimale beveiligingseisen (risicogebaseerd) voor informatie en informatiesystemen over zeventien onderkende beveiligingsgerelateerde gebieden (‘control families’): 1. Access control; 2. Awareness and training; 3. Audit and accountability; 4.Certification, accreditation, and security assessments; 5. Configuration management; 6. Contingency planning; 7. Identification and authentication; 8. Incident response; 9. Maintenance; 10. Media protection; 11. Physical and environmental protection; 12. Planning; 13. Personnel security; 14. Risk assessment; 15. Systems and services acquisition; 16. System and communications protection; 17. System and information integrity. • In NIST SP 800-53 (‘Recommended Security Controls for Federal Information Systems') worden de minimale beveiligingsmaatregelen (management, operationele en technische beveiligingsmaatregelen) opgesomd die getroffen dienen te zijn per risicoclassificatie: laag, gemiddeld en hoog. Dit per ‘control family’. Deze standaard biedt een basis voor informatiebeveiliging door het bieden van een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie.

9

De diverse publicaties zijn staan niet op zichzelf; ze vormen gezamenlijk het beveiligingsproces. Schematisch kan een deel van de publicaties als volgt in kaart worden gebracht: Risicoanalyse Het analyseren van de bedreigingen voor en kwetsbaarheden van informatie en informatiesystemen en de potentiële impact dat het verlies van vertrouwelijkheid, integriteit of beschikbaarheid zou hebben

Categorisatie van informatie en informatiesystemen

SP 800-30

Definieert categorieën van informatie en informatiesystemen conform de niveaus van risico voor vertrouwelijkheid, integriteit en beschikbaarheid; Deelt informatietypen in naar veiligheidscategorieën.

Beveiligingserkenning (certificatie en accreditatie)

FIPS 199 en SP 800-60

De certificering en accreditering gebaseerd op de doeltreffendheid van beveiligingsmaatregelen en overblijvende risico

SP 800-37

Selectie en implementatie van beveiligingsmaatregelen

Informatie en informatiesystemen

Management, operationele en technische controles (d.w.z., voorzorgsmaatregelen en tegenmaatregelen) die bestaan of

Verificatie van de effectiviteit van de beveiligingsmaatregelen

geïmplementeerd dienen te worden om informatie en informatiesystemen te beschermen

FIPS 200 en SP 800-53

Het meten van de doeltreffendheid van de beveiligingsmaatregelen middels testen en evaluatie

SP 800-53A (en SP 800-37) Beveiligingsplan (planning) Documenteert de beveiligingseisen en beveiligingsmaatregelen die bestaan of geïmplementeerd dienen te worden voor de bescherming van informatie en informatiesystemen

SP 800-18

De vele NIST publicaties kunnen op drie manieren toegankelijk en overzichtelijk worden weergegeven: per onderwerp, beveiligingsgebieden en wettelijke vereisten. Alle verschillende NIST publicaties zijn (op de geschetste manieren) op de website2 terug te vinden. Om een idee te krijgen van de vele publicaties die er geschreven zijn, zijn in onderstaande tabel de huidige aantallen opgenomen: Type publicatie FIPS NIST Special Publications (SP) 800-series NIST Interagency Reports (NISTIRs) ITL Security Bulletins 2

aantal 18 104 47 122

www.csrc.nist.gov 10

Hoofdstuk 4: ISF Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het Information Security Forum (ISF) nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en de opbouw van de The Standard of Good Practice. § 4.1 Inleiding Het Information Security Forum (ISF) is een internationale onafhankelijke non-profit organisatie gericht op benchmarking en best practices in informatiebeveiliging. Het ISF werd in 1989 opgericht als Europees security forum maar heeft haar missie en lidmaatschap in 1990 uitgebreid, zodat het nu honderden leden omvat, inclusief een groot aantal bedrijven uit de Fortune 500 uit Noord-Amerika, Azië en andere locaties over de wereld. Groepen van leden worden als clusters in Europa, Afrika, Azië, het Midden-Oosten en Noord-Amerika georganiseerd. Het ISF heeft het hoofdkwartier in Londen, Engeland gevestigd. Het ledenbestand van de ISF is internationaal en omvat grote organisaties in vervoer, financiële diensten, chemische/farmaceutisch, productie, overheid, detailhandel, media, telecommunicatie, energie, vervoer, en andere sectoren. De agenda van het ISF wordt volledig door haar leden bepaald, welke ook de volledige financiering regelen.

§ 4.2 ISF en Informatiebeveiliging Het ISF richt zich op een aantal gebieden, waarop zij producten levert die verkrijgbaar zijn wanneer een organisatie lid is. Dit betreffen de volgende producten: 1. onderzoek en onderzoeksrapporten 2. Faciliteiten om kennis te delen 3. Tools en methodologie Onderzoek en onderzoeksrapporten Het ISF verricht onderzoek naar allerlei onderwerpen door het organiseren van workshops waarin experts worden uitgenodigd. Hierdoor zijn diverse rapporten beschikbaar over een breed scala aan onderwerpen, bijvoorbeeld: privacy, wireless network security etc. Faciliteiten om kennis te delen Het ISF heeft een internationaal programma met hierin werkgroepen, regionale bijeenkomsten, seminars en een wereldwijd congres. Deze programma’s kunnen ook worden gebruikt voor trainingen. Tools en methodologie De ISF heeft een scala aan praktische tools en checklisten. Bijvoorbeeld: security status survey, security health check. De ISF Standard of Good practice for information security is echter gratis. Het doel van deze standaard is: organisaties, inclusief nietleden, te helpen om best practices te volgen en risico’s te verminderen. Het resultaat is een belangrijke tool voor het verbeteren van de kwaliteit en doeltreffendheid van 11

security maatregelen door het opstellen van high level principes samen met een praktische handleiding. The Standard of Good Practice is een belangrijke publicatie uit het ISF programma. Het is ontwikkeld in een aantal jaren en is gebaseerd op drie hoofdgroepen van activiteiten. 1. Een intensief werkprogramma waarin experts participeren van het ISF management team welke onderzoeken verrichten. 2. Analyse en integratie van informatiebeveiliging gerelateerde standaarden (o.a. ISO 27002 and COBIT v4.1), wet- en regelgeving (o.a. Sarbanes-Oxley Act 2002, Payment Card Industry (PCI) Data Security Standard, Basel II 1998, en de EU (regelgeving inzake data protectie) 3. Betrokkenheid van ISF leden, waarbij gebruik wordt gemaakt van workshops, interviews en resultaten uit het informatiebeveiligingonderzoek. De standaard dekt zes belangrijke onderdelen van informatiebeveiliging, waarvan elk onderdeel is gericht op een bepaald type of omgeving. De standaard richt zich op de wijze waarop informatiebeveiliging de kritieke business processen van een organisatie ondersteunt. Deze processen zijn steeds meer afhankelijk van op IT gebaseerde business applicaties. Dus het aspect van informatiebeveiliging welke zich richt op de kritieke business applicaties staat centraal bij de opzet van de standaard. Zoals afgebeeld in figuur 1.

Figuur 1: hoe aspecten van de standaard samenhangen. Computer Installations and Networks verzorgen de onderliggende infrastructuur waarop kritieke applicaties draaien. De End User Environment dekt de maatregelen die betrekking hebben op het beveiligen van bedrijfs- en desktopapplicaties, die worden gebruikt door individuele gebruikers om informatie te verwerken en voor het ondersteunen van de business. Systems Development is gericht op hoe nieuwe 12

applicaties worden ontwikkeld en Security Management richt zich op high-level besturing en beheersing van informatiebeveiliging. Een korte samenvatting van ieder onderdeel staat in de onderstaande tabel:

Elk onderdeel binnen de standaard omvat een principe en een op hoog niveau beschreven doelstelling. Elk principe verzorgt een overzicht van wat moet worden gedaan om de standaard te implementeren en schetst de reden waarom deze acties noodzakelijk zijn.

13

De standaard bestaat uit zes verschillende aspecten. Onderstaande tabel toont het aantal gebieden en onderdelen van elk aspect.

Na het principe en de op hoog niveau beschreven doelstelling worden vervolgens de gestelde eisen beschreven om het doel te bereiken.

14

Hoofdstuk 5: COBIT

Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het COBIT-framework: de ‘Control Objectives for Information and related Technology’ (COBIT), nader worden beschreven. Hierbij zal in worden gegaan op de uitgevende organisatie de ‘Information Systems Audit and Control Association’ (ISACA), de relatie met informatiebeveiliging en de opbouw van de COBIT. § 5.1 Inleiding De ‘Information Systems Audit and Control Association’ (ISACA) is een Amerikaanse beroepsvereniging van IT-auditors en informatiebeveiligers. De ISACA is opgericht en 1967 en heeft als doel de uitoefening van het audit vakgebied op een hoger plan te brengen door het professionaliseren van de leden van de vereniging. Dat gebeurt onder meer door het faciliteren van onderzoek op de vakgebieden en het inrichten van een register van professionals die voldoen aan de eisen om ingeschreven te kunnen worden. ISACA stelt verschillende onderzoeksrapporten en publicaties beschikbaar op het gebied van audit, compliance en governance. Eén van de bekendste publicaties is het COBIT-framework. Dit werd eind jaren negentig ontwikkeld door ISACA en het ‘IT Governance Institute’ (ITGI) en het betreft een algemeen raamwerk voor algemene IT-beheersmaatregelen. § 5.2 Het raamwerk Het COBIT Framework is gebaseerd op het principe dat organisaties voorzien dienen te worden van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. Om de organisatiedoelstellingen te realiseren moet de informatie voldoen aan een zevental kwaliteitscriteria om de organisatie en haar bedrijfsprocessen goed aan te kunnen sturen. Deze criteria zijn effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en betrouwbaarheid. De informatie wordt voortgebracht door IT-processen en vier categorieën van informatiemiddelen: informatie, applicaties, infrastructuur en mensen. De informatiemiddelen worden beheerst via IT-processen, die zijn ingedeeld in 4 domeinen: • Planning en organisatie • Acquisitie en Implementatie • Levering en Ondersteuning • Bewaking De domeinen komen op een logische manier overeen met de verschillende fasen in de levenscyclus van informatiesystemen. Binnen elk van de onderscheiden domeinen definieert COBIT een aantal beheersingsdoelstellingen op procesniveau, welke in onderstaande tabel zijn weergegeven. Tabel 1: De beheersdoelstelling op procesniveau in COBIT per domein (vrij vertaald):

15

Domein

Planning en organisatie

Acquisitie en Implementatie

Levering en Ondersteuning

Bewaking

Beheersingsdoelstelling PO1. Definieer een strategisch plan PO2. Definieer de informatiearchitectuur PO3. Bepaal de technologische koers PO4. Definieer de IT-organisatie en de bijbehorende relaties PO5. Beheer de IT-investering PO6. Communiceer de doelstellingen en de koers van het management PO7. Beheer personele zaken PO8. Zorg voor naleving van externe vereisten PO9. Onderzoek relevante risico’s PO10. Beheer projecten PO11. Beheer kwaliteit AI1. Identificeer mogelijke geautomatiseerde oplossingen voor het ondersteunen van de bedrijfsvoering AI2. Verwerf en onderhoud de toepassingsprogrammatuur AI3. Verwerf en onderhoud de technische infrastructuur AI4. Ontwikkel en onderhoud procedures AI5. Installeer en accrediteer systemen AI6. Beheer wijzigingen DS1. Definieer en beheer dienstenniveaus DS2. Beheer diensten die door derden worden geleverd DS3. Beheer prestaties en capaciteit DS4. Zorg voor continue dienstverlening DS5. Waarborg de systeemveiligheid DS6. Identificeer de kosten en wijs deze toe DS7. Leid gebruikers op DS8. Assisteer en adviseer klanten DS9. Beheer de configuratie DS10. Beheer problemen en incidenten DS11. Beheer gegevens DS12. Beheer faciliteiten DS13. Regel de dagelijkse bediening M1. Bewaak de processen M2. Beoordeel de effectiviteit van het interne beheer M3. Verkrijg zekerheid door het inschakelen van een onafhankelijke derde M4. Zorg voor een onafhankelijke beoordeling

De beheersingsdoelstellingen op procesniveau zijn verder uitgewerkt in doelstellingen op het niveau van activeiten. In totaal telt het raamwerk meer dan 300 maatregelen. Bij elk van de 34 IT-processen kent COBIT een aantal managementinstrumenten zoals: •

Control objectives: de beheerdoelstellingen per IT-proces. Bij elk van de 34 processen horen meerdere detailed control objectives.

•

Management handleiding (op activiteitniveau): de input en output van het proces en een ‘RACI’-chart (Responsible, Accountible, Consulted and/or Informed)

•

Performance indicatoren en resultaatmetrieken. 16

•

Volwassenheidsniveaus van organisaties op een schaal van 0 tot en met 5, waarbij 0 staat voor 'non-existence' en 5 staat voor ‘optimised'.

•

Audit guidelines; richtlijnen voor interviews, informatie en tests die kunnen worden uitgevoerd.

Het IT Governance framework is er op gericht de organisatie een redelijke zekerheid te bieden dat de ondersteunende IT-processen een bijdrage leveren aan de realisatie van de overkoepelende organisatiedoelstellingen. Onderstaande figuur geeft inzicht in de onderlinge samenhang tussen de organisatiedoelstellingen en de informatievoorziening vanuit de CobiT-domeinen en de bijbehorende IT-processen, kwaliteitscriteria en informatiemiddelen.

Figuur 1: COBIT Framework 4.1. (www.isaca.org)

COBIT staat momenteel vooral in de vernieuwde belangstelling doordat deze bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd.

17

Hoofdstuk 6: Vergelijking ISO / NIST / ISF / COBIT Om een antwoord te geven op deelvraag twee zullen in dit hoofdstuk ISO, NIST, ISF en COBIT tegen een aantal ontwikkelde selectie criteria worden gehouden. Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden. Eerst zullen de selectiecriteria worden beschreven en vervolgens zullen wij de standaarden tegenover deze criteria in een tabel beschrijven. Het breedte criterium zal dan vervolgens nog verder worden uitgewerkt waarbij leemtes op gebied van onderwerpen tussen ISO, NIST en ISF worden geidentificeerd ter onderbouwing van dit criterium. Het diepte criterium voor de NIST en ISO is verder uitgewerkt in hoofdstuk 7. COBIT hebben wij hierbij buiten beschouwing gelaten omdat de standaard geen beveiligingsstandaard alleen is en een ander doel beoogt. § 6.1 Selectiecriteria3 Om een goede afweging te maken tussen bepaalde standaarden moeten ze onderling vergeleken kunnen worden. Hiertoe zijn selectiecriteria opgesteld. Wij hebben hierbij gekozen voor vier standaarden die onderling vergelijkbaar zijn: ISO 27002, NIST SP 800-53, ISF Standard of Good Practice en CoBiT 4.1. Waar nodig zal worden verwezen naar overige standaarden uit de betreffende reeks (bijvoorbeeld in het geval van ISO, naar ISO 27001). Daarnaast is het goed om in het achterhoofd te houden dat de selectiecriteria niet perse een positieve of negatieve impact hebben op een keuze. Bijvoorbeeld een breed geaccepteerde standaard betekent niet meteen dat deze het beste past bij een bepaalde organisatie. Of dat minder brede standaarden niet nog steeds zeer bruikbaar zijn op bepaalde onderdelen omdat deze standaarden erg diepgaand zijn uitgewerkt. Met andere woorden, de factoren zijn bruikbaar om de verschillende standaarden te vergelijken, echter men kan niet verwachten dat een ‘hogere’ score altijd beter is. In het navolgende worden allereerst de onderscheiden criteria toegelicht. Breedte Dekt de betreffende standaard de belangrijkste beveiligingsdomeinen die de organisatie als belangrijk identificeert? Domeinen kunnen zowel IT als niet IT gerelateerd zijn (zoals fysieke en personele beveiliging). Diepte: Bevatten de standaarden informatie op zowel strategisch, tactisch als operationeel gebied? Bijvoorbeeld: ISO werkt doelstellingen, beheersingsmaatregelen en implementatierichtlijnen gedetailleerd uit (tactisch en operationeel gebied) waar CobiT meer algemene doelstellingen geeft en minder concreet over de invulling er van spreekt (strategisch).

3

De criteria zijn ontwikkeld en getoetst op basis van de expertsessie. De breedte en diepte criteria zijn verder op basis van literatuuronderzoek uitgewerkt. De resultaten van deze expertsessie zijn opgenomen in de expertbrief ‘Een standaard Keuze’ van eind januari beschikbaar op www.pvib.nl. De expertbrief is eveneens opgenomen als bijlage aan dit onderzoek. 18

Flexibiliteit: Kunnen andere gebruikers dan informatiebeveiligers de standaarden gebruiken? Bijvoorbeeld het management en/of auditor voor het aantonen van interne beheersing. Ratio: Beschrijven de standaarden de redenen van de opgesomde maatregelen? Doordat de ratio is opgenomen is het voor gebruikers makkelijker om de toepasbaarheid en consistentie vast te stellen. Acceptatie: Hoe breed zijn de standaarden geaccepteerd binnen het vakgebied? Is er bijvoorbeeld veel discussie omtrent de inhoud van bepaalde standaarden of is er een algemene, negatieve of positieve, mening over gebruik van bepaalde standaarden. Taal: Zijn de standaarden alleen in het Engels te verkrijgen, of is er ook een Nederlandse vertaling beschikbaar? Kosten: Gaan er kosten gepaard met de aanschaf van standaarden? Zijn er eventueel delen gratis? De kanttekening die hierbij wel moet worden gemaakt is dat de kosten voor de bronliteratuur ten opzichte van het totale invoeringstraject van de standaarden marginaal zijn. In de onderstaande tabel zijn de eerder besproken standaarden gepositioneerd ten aanzien van de criteria. Het breedte criterium is nader uitgewerkt in paragraaf 6.2.

19

Criteria

Breedte:

Diepte:

Flexibiliteit:

ISO • Dekt de hoofdgebiede n van IB • Onderwerpen overzichtelijk gerangschikt

NIST • Dekt de hoofdgebieden van IB • Onderwerpen versnipperd behandeld • Veel productstandaarden

• Tactisch en operationeel • Management cyclus is opgenomen in 27001.

• Tactisch en operationeel • Tactisch niet heel uitgebreid uitgewerkt in NIST SP 80053, echter wel verder, verspreid, uitgewerkt in overige NIST reeksen.

•

• Weinig gebruik door anderen dan IB specialisten

• Weinig gebruik door anderen dan IB specialisten.

•

• Doelstellingen hangen samen met richtlijnen

• Op basis van een risk assessment kunnen de minimale beveiligingsmaa t- regelen worden geselecteerd (NIST SP 14, FIPS 199+200). • Verplicht voor US federale overheid • Private sector beperkt.

Ratio:

Acceptatie:

Taal:

Kosten:

• Meest geaccepteerd e standaard in Nederland

• Nederlands en Engels • Gehele reeks betaald

• •

• • •

•

•

COBIT Beperkt op het gebied van IB Niet specifiek IB, gericht op de beheersing van IT in het algemeen Strategisch en tactisch Operationeel niet uitgewerkt. Verwijst naar ISO Kent ook specifieke COBIT Practices en Security Baselines Veel gebruik door anderen dan IB specialisten Verbondenheid met audit processen (auditor) Elementen hangen samen met business drivers en input en output

• Goede ondersteuning voor Sox compliance • Breed geaccepteerd

• Engels

• Engels

• Gehele reeks gratis

• Betaald

ISF • Dekt de hoofdgebieden van IB • Periodieke update en eventuele aanpassingen • Tactisch en operationeel

• Weinig gebruik door anderen dan IB specialisten

• Principes hangen samen met doelstellingen

• Niet breed geaccepteerd • Met name geaccepteerd door leden ISF. • Bv niet in US • Engels • De standaard (SGOP) is gratis. • Overige producten tegen een betaald lidmaatschap. 20

§ 6.2 Breedte criterium In deze paragraaf hebben wij ISO 27002, NIST SP 800-53 en de ISF met elkaar vergeleken op onderwerpen (en maatregelen) ter verdere onderbouwing van het breedte criterium. Bij de vergelijking hebben we ISO 27002 als uitgangpunt genomen, omdat deze naar onze mening het meest wordt gebruikt in de praktijk. ISO 27002 vs NIST SP 800-53 Wij hebben zowel de maatregelen vanuit ISO 27002 tegenover NIST SP 800-53 afgezet als wel andersom. Hierdoor komen de witte vlakken vanuit beide gezichtpunten naar voren. De volledige mapping is opgenomen in de bijlage 1 en 2. De volgende 3 maatregelen uit ISO 27002 zijn niet terug te leiden naar NIST SP 80053: ISO Maatregel 1156 1162 1224

ISO Beschrijving Limitation of connection time Sensitive system isolation Output data validation

ISO Hoofdstuk ACCESS CONTROL ACCESS CONTROL INFORMATION SYSTEMS ACQUISITION, DEVELOPMENT AND MAINTENANCE

De volgende 16 maatregelen uit NIST SP 800-53 zijn niet terug te leiden naar ISO 27002: NIST Maatregel NIST Hoofdstuk AT-4 Awareness and Training CA-5 Certification, Accreditation, and Security Assessments CM-6 Configuration Management CM-7 Configuration Management IR-3 IR-5 IR-7 PL-2 PL-3 SC-4 SC-6 SC-11 SC-15 SI-6 SI-8 SI-11

Incident Response Incident Response Incident Response Planning Planning System and Communications Protection System and Communications Protection System and Communications Protection System and Communications Protection System and Information Integrity System and Information Integrity System and Information Integrity

NIST Beschrijving Security Training Records Plan of Action and Milestones Configuration Settings Least Functionality Incident Response Testing and Exercises Incident Monitoring Incident Response Assistance System Security Plan System Security Plan Update Information in Shared Resources Resource Priority Trusted Path Collaborative Computing Security Functionality Verification Spam Protection Error Handling

Uit de mapping zoals opgenomen in bijlage 1 en 2 komt naar voren dat maatregelen van ISO 27002 staan verspreid over meerdere maatregelen uit NIST SP 800-53. Ter illustratie is hieronder ISO maatregel 915 weergegeven en de bijbehorende NIST maatregelen. Echter dit is andersom geredeneerd ook zo, maatregelen van NIST SP 21

800-53 staan verspreid over meerdere ISO 27002 maatregelen. In de detailvergelijking in het volgende hoofdstuk zullen een aantal maatregelen nader inhoudelijk worden bekeken om zodoende een uitspraak te kunnen doen over de inhoud van de maatregelen. ISO Maatregel ISO Beschrijving

915

ISO Hoofdstuk PHYSICAL AND ENVIRONMENTAL Working in secure areas SECURITY PHYSICAL AND ENVIRONMENTAL Working in secure areas SECURITY PHYSICAL AND ENVIRONMENTAL Working in secure areas SECURITY PHYSICAL AND ENVIRONMENTAL Working in secure areas SECURITY PHYSICAL AND ENVIRONMENTAL Working in secure areas SECURITY PHYSICAL AND ENVIRONMENTAL Working in secure areas SECURITY PHYSICAL AND ENVIRONMENTAL Working in secure areas SECURITY PHYSICAL AND ENVIRONMENTAL Working in secure areas SECURITY PHYSICAL AND ENVIRONMENTAL Working in secure areas SECURITY PHYSICAL AND ENVIRONMENTAL Working in secure areas SECURITY

NIST Maatregel AT-2 AT-3 PL-4 PS-6 PE-2 PE-4 PE-6 PE-7 PE-8 PE-3

Conclusie ISO 27002 tov NIST 800-53 Uit de vergelijking met ISO 27002 en NIST 800-53 blijkt dat het aantal witte vlekken ten opzichte van elkaar beperkt is. Dit wat betreft de aantallen maar ook wat betreft de inhoud. Hierdoor is dit geen onderscheidende factor om voor een bepaalde standaard te kiezen. De indeling van maatregelen is verschillend tussen beide standaarden. Dit blijkt o.a. uit de hoofstukken indeling en uit het feit dat maatregelen van ISO staan verspreid over meerdere NIST maatregelen en vice versa. In het volgende hoofdstuk zullen een aantal maatregelen inhoudelijk in detail worden vergeleken. Een keuze voor een bepaalde standaard kan dus worden gemaakt op basis van de hoofdstuk indeling. ISO 27002 vs ISF Wij hebben zowel de maatregelen vanuit ISO 27002 tegenover de ISF afgezet als wel andersom. Hierdoor komen de witte vlakken vanuit beide gezichtpunten naar voren. De volledige mapping is opgenomen in de bijlage 3. De volgende maatregelen uit ISO 27002 zijn niet terug te leiden naar de ISF: ISO maatregel 616 617 1323

ISO beschrijving Contact with authorities Contact with special interest groups Collection of evidence

22

Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: ISF maatregel 32 48

ISF beschrijving Installation process Power supplies

Uit de mapping zoals opgenomen in bijlage 3 komt naar voren dat maatregelen van ISO 27002 staan verspreid over meerdere maatregelen uit de ISF. Echter dit is andersom geredeneerd ook zo.Maatregelen van de ISF staan verspreid over meerdere ISO 27002 maatregelen. Gezien de omvang van dit onderzoek is geen detailvergelijking gemaakt om inhoudelijk een uitspraak te doen over de overeenkomende maatregelen. Conclusie ISO 27002 tov ISF Uit de vergelijking met ISO 27002 en ISF blijkt dat het aantal witte vlekken ten opzichte van elkaar beperkt is. Hierdoor is dit geen onderscheidende factor om voor een bepaalde standaard te kiezen. De indeling van maatregelen is verschillend tussen beide standaarden. Dit blijkt o.a. uit de hoofstukken indeling en uit het feit dat maatregelen van ISO staan verspreid over meerdere ISF maatregelen en vice versa. Een keuze voor een bepaalde standaard kan dus worden gemaakt op basis van de hoofdstuk indeling. § 6.3 Overall conclusie In dit hoofdstuk hebben wij NIST, ISF, ISO en COBIT aan een aantal criteria onderworpen. Hieruit komt o.a. het volgende naar voren: • NIST: is in tegenstelling tot de anderen geheel gratis te verkrijgen, echter alleen in het Engels. Bovendien worden de onderwerpen versnipperd behandeld in tegenstelling tot ISO en ISF. • ISF: is minder geaccepteerd en wordt met name gebruikt door leden van ISF. • ISO: is per onderwerp overzichtelijk gerangschikt. Tevens is dit de meest geaccepteerde standaard in Nederland. • COBIT: is een standaard is die niet specifiek gericht is op informatiebeveiliging en daardoor minder goed vergelijkbaar. Dit leidt ook tot het feit dat COBIT in tegenstelling tot NIST, ISF en ISO, door anderen dan IB specialisten wordt gebruikt. Tevens bevat de standaard geen uitgewerkte informatie op operationeel gebied. Uit nader onderzoek van het breedte criterium blijkt dat de witte vlekken beperkt zijn tussen ISO, ISF en NIST. Een mogelijk selectiecriterium zou de indeling van de hoofdstukken kunnen zijn welke wel verschillend is. Om vast te stellen of NIST en ISO inhoudelijk van elkaar verschillen en op basis hiervan een keuze kan worden gemaakt zal in het volgende hoofdstuk per onderwerp 1 maatregel in detail worden vergeleken van ISO 27002 en NIST SP 800-53.

23

Hoofdstuk 7: Vergelijking ISO 27002 en NIST SP 800-53 Om een antwoord te geven op de vierde deelvraag zullen in dit hoofdstuk NIST SP 800-53 en ISO 27002 met elkaar worden vergeleken. Hiertoe zullen de hoofdonderwerpen van beide standaarden naast elkaar worden gezet. Om vast te stellen of NIST en ISO inhoudelijk van elkaar verschillen en op basis hiervan een keuze kan worden gemaakt zal in dit hoofdstuk per onderwerp 1 maatregel in detail worden vergeleken van ISO 27002 en NIST SP 800-53 (uitgangspunt is ISO; bijlage 1). Deze gekozen standaarden zijn de meeste algemene en goed onderling vergelijkbare van de tientallen standaarden op het gebied van informatiebeveiliging binnen NIST en ISO. Bij de vergelijking hebben wij gebruik gemaakt van de officiële Nederlandse vertaling NEN-ISO/IEC 27002 (nl) Informatietechnologie - Beveiligingstechnieken - Code voor informatiebeveiliging (ISO/IEC 27002:2005, IDT) ICS 35.040 november 2007 en NIST 800-53-rev2-Final welke in het Engels is gelaten gezien vertaling kan leiden tot onjuiste vergelijkingen. § 7.1 Samenvatting van ISO 27002 onderwerpen versus NIST SP 800-53 onderwerpen Onderstaand zijn schematisch de onderwerpen van ISO 27002 en de onderwerpen van NIST SP 800-53 weergegeven. In de laatste kolom staat een verwijzing naar de voornaamste hoofdstukken van ISO, waarin het betreffende onderwerp van NIST wordt behandeld.

Beide standaarden bevatten een vergelijkbare opbouw en doelstelling. De standaarden bieden een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie. 24

§ 7.2 Vergelijking in detail In deze paragraaf zal een vergelijking gemaakt worden tussen voorbeeldmaatregelen uit ISO 27002 en NIST SP 800-53 per gemeenschappelijk hoofdonderwerp. De volgende voorbeeldmaatregelen worden vergeleken: Hoofdstuk ISO

6. Organisatie van informatiebeveiliging

Beheersmaatregel uit Beheersmaatregel uit ISO 27002 NIST SP 800-53 Dit hoofdonderwerp uit ISO is niet te herleiden naar een hoofdonderwerp in NIST. In NIST wordt in elk hoofdstuk 1 control gewijd aan beleid. Zo is in de mapping van ISO naar NIST ook te zien dat de controls 5.1.1 en 5.1.2 uit ISO zijn gemapped aan XX-1 controls van NIST (alle eerste controls van elk hoofdstuk). Een detailvergelijking is hier dan ook niet goed te maken. NIST heeft deze controls uitgewerkt over meerdere controls (versnipperd). 6.1.7 Contact with special AT-5 Contacts with Security interest group Groups and Associations

7. Beheer van bedrijfsmiddelen

7.2.1 Classification guidelines

RA-2 Security Categorization

8. Beveiliging van personeel 9. Fysieke beveiliging en beveiliging van de omgeving 10. Beheer van communicatie- en bedieningsprocessen 11. Toegangsbeveiliging

8.1.2 Screening

PS-3 Personeel Screening

9.2.6 Secure disposal or reuse of equipment

MP-6 Media Sanitization and Disposal

10.10.6 Synchronisatie van systeemklokken

AU-8 Tijdstempel

11.2.3 Beheer van gebruikerswachtwoorden 12.2.1 Input data validation

IA-5 Authenticator Management SI-10 Information Accuracy, Completeness, Validity, and Authenticity

13.2.2 Learning from information security incidents 14.1.5 Testing, maintaining and re-assessing business continuity plans 15.3.2 Protection of information systems audit tools

IR-4 Incident Handling

5. Beveiligingsbeleid

12 Verwerving, ontwikkeling en onderhoud van informatiesystemen 13. Information security incident management 14 Bedrijfscontinuïteitsbehee r 15. Compliance

CP-2 Contingency Plan CP-4 Contingency Plan Testing and Exercises AU-9 Protection of Audit Information

Onderstaand wordt per (ISO) hoofdstuk het volgende beschreven: - een maatregel die ISO hiervoor heeft geformuleerd - de bijbehorende maatregel(en) die NIST hiervoor heeft geformuleerd - een vergelijking tussen beide 25

§ 7.2.1 ISO Hoofdstuk 6: Organisatie van informatiebeveiliging NEN-ISO/IEC 27002: 6.1.7 Contact met speciale belangengroepen Beheersmaatregel Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden. Implementatierichtlijnen Het lidmaatschap van bepaalde belangengroeperingen of forums behoort te worden beschouwd als een middel om: a) kennis te vergroten van beproefde werkwijzen (‘best practice’) en op de hoogte te blijven van de laatste stand van zaken op het gebied van informatiebeveiliging; b) te waarborgen dat kennis en begrip van het vakgebied informatiebeveiliging volledig actueel en compleet zijn; c) vroegtijdig signalen te krijgen van waarschuwingen, adviezen en ‘patches’ die verband houden met aanvallen en kwetsbaarheden; d) toegang te verkrijgen tot deskundig informatiebeveiligingsadvies; e) informatie over nieuwe technologieën, producten, bedreigingen of kwetsbaarheden te delen en uit te wisselen; f) geschikte aanspreekpunten te leveren wanneer men te maken heeft met informatiebeveiligingsincidenten (zie ook 13.2.1); Overige informatie Er kunnen overeenkomsten voor gezamenlijk gebruik van informatie worden opgezet om de samenwerking en coördinatie van beveiligingszaken te verbeteren. Dergelijke overeenkomsten zouden eisen moeten vaststellen voor de bescherming van gevoelige informatie. NIST SP 800.53: AT-5 Contacts with Security Groups and Associations Control: The organization establishes and maintains contacts with special interest groups, specialized forums, professional associations, news groups, and/or peer groups of security professionals in similar organizations to stay up to date with the latest recommended security practices, techniques, and technologies and to share the latest security-related information including threats, vulnerabilities, and incidents. Supplemental Guidance: To facilitate ongoing security education and training for organizational personnel in an environment of rapid technology changes and dynamic threats, the organization establishes and institutionalizes contacts with selected groups and associations within the security community. The groups and associations selected are in keeping with the organization’s mission requirements. Information sharing activities regarding threats, vulnerabilities, and incidents related to information systems are consistent with applicable laws, Executive Orders, directives, policies, regulations, standards, and guidance. Control Enhancements: None.

26

Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van beide maatregelen hebben dezelfde strekking 2. Diepte: ISO geeft aan, naast de informatie die ook in NIST staat beschreven, dat ook eisen moeten worden gesteld aan overeenkomsten voor gezamenlijk gebruik van informatie. 3. Toegankelijkheid: zowel in ISO als in NIST wordt niet verwezen naar andere stukken. § 7.2.2 ISO Hoofdstuk 7: Beheer van bedrijfsmiddelen NEN-ISO/IEC 27002: 7.2.1 Richtlijnen voor classificatie: Beheersmaatregel Informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Implementatierichtlijnen Classificaties en de bijbehorende beschermende beheersmaatregelen voor informatie behoren rekening te houden met de zakelijke behoefte aan het delen van informatie of het beperken ervan en de invloed van deze behoeften op het bedrijf. In richtlijnen voor classificatie behoren de conventies voor initiële classificatie en herclassificatie door de tijd heen te worden opgenomen; in overeenstemming met een eerder vastgesteld toegangsbeleid (zie 11.1.1). Het definiëren, periodiek beoordelen en op het juiste niveau houden van de classificatie van een bedrijfsmiddel behoort de verantwoordelijkheid te zijn van de eigenaar van het bedrijfsmiddel (zie 7.1.2). De classificatie behoort rekening te houden met het verzameleffect genoemd in 10.7.2. Er behoort te worden nagedacht over het aantal classificatiecategorieën en de te verwachten voordelen van het gebruik ervan. Te complexe schema's kunnen omslachtig en onrendabel worden of onpraktisch blijken te zijn. Classificatielabels op documenten van andere organisaties behoren met enige voorzichtigheid te worden geïnterpreteerd; er worden wellicht andere definities gehanteerd voor dezelfde of vergelijkbare labels. Overige informatie Het beschermingsniveau kan worden beoordeeld door het analyseren van de vertrouwelijkheid, integriteit en beschikbaarheid en eventuele andere eisen voor de informatie die wordt beschouwd. Na verloop van tijd is informatie vaak niet langer gevoelig of kritiek, bijvoorbeeld wanneer de informatie is openbaar gemaakt. Ook daarmee behoort rekening te worden gehouden, omdat overclassificatie kan leiden tot de implementatie van overbodige beheersmaatregelen die leiden tot onnodige extra uitgaven. Het tegelijk bestuderen van documenten met soortgelijke beveiligingseisen bij het toewijzen van classificatieniveaus kan helpen bij het vereenvoudigen van de classificatietaak. In het algemeen is de classificatie die aan informatie wordt gegeven een snelle manier om te bepalen hoe deze informatie moet worden verwerkt en beschermd. NIST SP 800.53: RA-2 Security Categorization Control: 27

The organization categorizes the information system and the information processed, stored, or transmitted by the system in accordance with applicable laws, Executive Orders, directives, policies, regulations, standards, and guidance and documents the results (including supporting rationale) in the system security plan. Designated seniorlevel officials within the organization review and approve the security categorizations. Supplemental Guidance: The applicable federal standard for security categorization of nonnational security information and information systems is FIPS 199. The organization conducts FIPS 199 security categorizations as an organization-wide activity with the involvement of the chief information officer, senior agency information security officer, information system owners, and information owners. The organization also considers potential impacts to other organizations and, in accordance with the USA PATRIOT Act of 2001 and Homeland Security Presidential Directives, potential national-level impacts in categorizing the information system. As part of a defense-in-depth protection strategy, the organization considers partitioning higher-impact information systems into separate physical domains (or environments) and restricting or prohibiting network access in accordance with an organizational assessment of risk. NIST Special Publication 800-60 provides guidance on determining the security categories of the information types resident on the information system. Related security controls: MP-4, SC-7. Control Enhancements: None. Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van beide maatregelen hebben dezelfde strekking 2. Diepte: de onderwerpen die behandeld worden zijn hetzelfde 3. Toegankelijkheid: ISO beschrijft alle informatie in de maatregel zelf. NIST verwijst naar andere documentatie en verwijst daarnaast ook naar specifieke Amerikaanse richtlijnen welke niet direct relevant zijn voor niet Amerikaanse bedrijven. § 7.2.3 ISO Hoofdstuk 8: Beveiliging van personeel NEN-ISO/IEC 27002: 8.1.2 Screening Beheersmaatregel Verificatie van de achtergrond van alle kandidaten voor een diensverband, ingehuurd personeel en externe gebruikers behoren te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoren evenredig te zijn aan de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's.

28

Implementatierichtlijnen De screening behoort rekening te houden met alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en/of arbeidswetgeving, en behoort, mits toegelaten, het volgende mee te nemen: a) beschikbaarheid van positieve referenties, bijvoorbeeld één zakelijke en één persoonlijke; b) controle van (de volledigheid en nauwkeurigheid van) het curriculum vitae van de sollicitant; c) bevestiging van vermelde academische en professionele kwalificaties; d) onafhankelijke identiteitscontrole (paspoort of vergelijkbaar document); e) meer gedetailleerde controles, zoals op kredietwaardigheid of strafblad. Waar bij een eerste aanstelling of promotie sprake is van een functie waarbij de betrokkene toegang heeft tot IT-voorzieningen en in het bijzonder indien daarmee gevoelige informatie wordt verwerkt, bijvoorbeeld financiële informatie of zeer vertrouwelijke informatie, behoort de organisatie eveneens verdere, meer gedetailleerde controles te overwegen. De criteria en beperkingen van de screening behoren in procedures te zijn gedefinieerd, bijvoorbeeld wie is gerechtigd om personen te screenen en hoe, wanneer en waarom screening wordt uitgevoerd. Een screeningproces behoort ook te worden uitgevoerd voor ingehuurd personeel en externe gebruikers. Indien ingehuurd personeel via een uitzendbureau worden ingehuurd, behoren in het contract met dit bureau duidelijk de verantwoordelijkheden van het bureau te worden gespecificeerd ten aanzien van de screening en de meldingsprocedures die het bureau moet volgen indien de screening nog niet is voltooid of indien de resultaten aanleiding geven tot twijfel of zorg. Op overeenkomstige wijze behoren in de overeenkomst met de derde partij (zie ook 6.2.3) duidelijk de verantwoordelijkheden en de meldingsprocedures voor de screening te worden gespecificeerd. Informatie over alle kandidaten die worden overwogen voor functies in de organisatie behoort te worden verzameld en verwerkt in overeenstemming met de geldende weten regelgeving in het relevante rechtsgebied. Afhankelijk van de toepasselijke wetgeving behoren de kandidaten van tevoren te worden geïnformeerd over de screeningactiviteiten. NIST SP 800.53: PS-3 Personeel Screening Control: The organization screens individuals requiring access to organizational information and information systems before authorizing access. Supplemental Guidance: Screening is consistent with: (i) 5 CFR 731.106; (ii) Office of Personnel Management policy, regulations, and guidance; (iii) organizational policy, regulations, and guidance; (iv) FIPS 201 and Special Publications 800-73, 800-76, and 800-78; and (v) the criteria established for the risk designation of the assigned position. Control Enhancements: None.

29

Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de beschreven ISO maatregel is breder, echter de beschreven elementen komen in NIST wel weer terug in de verdere uitleg van de maatregel. 2. Diepte: de onderwerpen die behandeld worden zijn hetzelfde 3. Toegankelijkheid: ISO beschrijft alle informatie in de maatregel zelf. NIST verwijst naar andere documentatie. § 7.2.4 ISO Hoofdstuk 9: Fysieke beveiliging en beveiliging van de omgeving NEN-ISO/IEC 27002: 9.2.6 Veilig verwijderen of hergebruiken van apparatuur Beheersmaatregel Alle apparatuur die opslagmedia bevat, behoort te worden gecontroleerd om te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur zijn verwijderd of veilig zijn overschreven voordat de apparatuur wordt verwijderd. Implementatierichtlijnen Opslagmedia met gevoelige informatie behoren, in plaats van volgens standaardmethoden te worden gewist of geformatteerd, fysiek te worden vernietigd of de informatie behoort te worden vernietigd, verwijderd of overschreven met technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen. Overige informatie Het kan nodig zijn om voor beschadigde opslagmedia die gevoelige gegevens bevatten een risicobeoordeling uit te voeren om te bepalen of ze behoren te worden vernietigd, gerepareerd of verwijderd. Informatie kan worden gecompromitteerd door onzorgvuldig verwijderen of hergebruikt van apparatuur (zie ook 10.7.2). NIST SP 800.53: MP-6 Media Sanitization and Disposal Control: The organization sanitizes information system media, both digital and non-digital, prior to disposal or release for reuse. Supplemental Guidance: Sanitization is the process used to remove information from information system media such that there is reasonable assurance, in proportion to the confidentiality of the information, that the information cannot be retrieved or reconstructed. Sanitization techniques, including clearing, purging, and destroying media information, prevent the disclosure of organizational information to unauthorized individuals when such media is reused or disposed. The organization uses its discretion on sanitization techniques and procedures for media containing information deemed to be in the public domain or publicly releasable, or deemed to have no adverse impact on the organization or individuals if released for reuse or disposed. NIST Special Publication 800-88 provides guidance on media sanitization. The National Security Agency also provides media sanitization guidance and maintains a listing of approved sanitization products at http://www.nsa.gov/ia/government/mdg.cfm.

30

Control Enhancements: (1) The organization tracks, documents, and verifies media sanitization and disposal actions. (2) The organization periodically tests sanitization equipment and procedures to verify correct performance. Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van beide maatregelen heeft dezelfde strekking 2. Diepte: de onderwerpen die behandeld worden zijn hetzelfde. NIST verwijst naar een aparte publicatie betreffende media opschoning. 3. Toegankelijkheid: beide maatregelen zijn goed op zich zelfstaand leesbaar en evengoed toegankelijk. § 7.2.5 ISO Hoofdstuk 10: Beheer van communicatie- en bedieningsprocessen NEN-ISO/IEC 27002: 10.10.6 Synchronisatie van systeemklokken Beheersmaatregel De klokken van alle relevante informatiesystemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron. Implementatierichtlijnen Waar een computer of communicatieapparatuur over een ‘real-time’-klok beschikt, behoort deze te worden ingesteld volgens een overeengekomen standaard, bijvoorbeeld Universal Coordinated Time (UCT) of de plaatselijke standaardtijd. Omdat van sommige klokken bekend is dat ze na verloop van tijd voor- of achterlopen, behoort er een procedure te zijn om ze regelmatig te controleren op significante afwijkingen en ze gelijk te zetten. De juiste interpretatie van het datum/tijdformaat is belangrijk om te kunnen waarborgen dat de tijdaanduiding overeenkomt met de werkelijke datum/tijd. Er behoort rekening te worden gehouden met plaatselijke bijzonderheden (bijvoorbeeld zomertijd). Overige informatie Een juiste instelling van systeemklokken is van wezenlijk belang om de nauwkeurigheid van auditlogbestanden te waarborgen. Deze logbestanden kunnen nodig zijn voor onderzoek of als bewijs in juridische of disciplinaire zaken. Onnauwkeurige auditlogbestanden kunnen dergelijke onderzoeken belemmeren en de geloofwaardigheid van dat bewijsmateriaal schaden. Als moederklok voor logsystemen kan een klok worden gebruikt die verbonden is met een radiotijdsein van een nationale atoomklok. Er kan een netwerktijdprotocol worden gebruikt om alle servers synchroon te houden met de moederklok.

31

NIST SP 800.53: AU-8 Timestamps Control: The information system provides time stamps for use in audit record generation. Supplemental Guidance: Time stamps (including date and time) of audit records are generated using internal system clocks. Control Enhancements: (1) The organization synchronizes internal information system clocks [Assignment: organization-defined frequency]. Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de maatregel is in ISO breder beschreven, echter het uiteindelijk effect is hetzelfde als in NIST. 2. Diepte: ISO beschrijft de maatregel gedetailleerder. Er staat namelijk ook in beschreven waar aan moet worden gedacht bij het implementeren van deze maatregel, hier gaat NIST niet op in. 3. Toegankelijkheid: beide maatregelen zijn goed op zich zelfstaand leesbaar en evengoed toegankelijk.

32

§ 7.2.6 ISO Hoofdstuk 11: Toegangsbeveiliging NEN-ISO/IEC 27002: 11.2.3 Beheer van gebruikerswachtwoorden Beheersmaatregel De toewijzing van wachtwoorden behoort met een formeel beheerproces te worden beheerst. Implementatierichtlijnen Het proces behoort de volgende eisen te omvatten: a) gebruikers behoren te worden verplicht een verklaring te ondertekenen dat zij hun persoonlijke wachtwoorden geheimhouden en groepswachtwoorden uitsluitend aan leden van de groep kenbaar maken; deze ondertekende verklaring zou kunnen worden opgenomen in het arbeidscontract (zie 8.1.3); b) wanneer gebruikers hun eigen wachtwoorden moeten bijhouden, behoren ze aanvankelijk een beveiligd tijdelijk wachtwoord toegewezen te krijgen (zie 11.3.1) dat ze onmiddellijk moeten wijzigen; c) procedures vaststellen om de identiteit van een gebruiker te controleren voordat hem een nieuw, vervangend of tijdelijk wachtwoord wordt verstrekt; d) tijdelijke wachtwoorden behoren op een veilige manier te worden uitgegeven aan gebruikers; gebruik via derden of gebruik van onbeschermde e-mailberichten (ongecodeerde tekst) behoort te worden vermeden; e) tijdelijke wachtwoorden behoren uniek te zijn voor een persoon en mogen niet te raden zijn; f) gebruikers behoren de ontvangst van wachtwoorden te bevestigen; g) wachtwoorden behoren nooit in onbeschermde vorm te worden opgeslagen op computersystemen; h) standaardwachtwoorden van leveranciers behoren te worden veranderd na installatie van systemen of programmatuur. Overige informatie Wachtwoorden zijn een gebruikelijk middel om de identiteit van een gebruiker te verifiëren voordat toegang wordt verleend tot een informatiesysteem of -dienst in overeenstemming met de autorisatie van de gebruiker. Er zijn andere technologieën voor gebruikersidentificatie en authenticatie beschikbaar, zoals biometrie, bijvoorbeeld vingerafdrukverificatie, handtekeningverificatie en het gebruik van ‘hardware tokens’, bijvoorbeeld smartcards, die waar passend behoren te worden overwogen. NIST SP 800.53: IA-5 Authenticator Management Control: The organization manages information system authenticators by: (i) defining initial authenticator content; (ii) establishing administrative procedures for initial authenticator distribution, for lost/compromised, or damaged authenticators, and for revoking authenticators; (iii) changing default authenticators upon information system installation; and (iv) changing/refreshing authenticators periodically.

33

Supplemental Guidance: Information system authenticators include, for example, tokens, PKI certificates, biometrics, passwords, and key cards. Users take reasonable measures to safeguard authenticators including maintaining possession of their individual authenticators, not loaning or sharing authenticators with others, and reporting lost or compromised authenticators immediately. For password-based authentication, the information system: (i) protects passwords from unauthorized disclosure and modification when stored and transmitted; (ii) prohibits passwords from being displayed when entered; (iii) enforces password minimum and maximum lifetime restrictions; and (iv) prohibits password reuse for a specified number of generations. For PKI-based authentication, the information system: (i) validates certificates by constructing a certification path to an accepted trust anchor; (ii) establishes user control of the corresponding private key; and (iii) maps the authenticated identity to the user account. In accordance with OMB policy and related E-authentication initiatives, authentication of public users accessing federal information systems (and associated authenticator management) may also be required to protect nonpublic or privacy-related information. FIPS 201 and Special Publications 800-73, 800-76, and 800-78 specify a personal identity verification (PIV) credential for use in the unique identification and authentication of federal employees and contractors. NIST Special Publication 800-63 provides guidance on remote electronic authentication. Control Enhancements: None. Conclusie vergelijking maatregelen ISO en NIST De vergelijking is niet geheel te maken. Dit wordt veroorzaakt doordat de ene maatregel beheer van wachtwoorden behandelt terwijl de andere het beheer van authenticatie apparaten behandelt. Er zitten wel enige overeenkomsten in. Beheer van gebruikerswachtwoorden wordt verder niet behandeld in NIST. Hieruit moeten we concluderen dat dit een witte vlek is voor NIST ten opzichte van ISO. Op basis van onderwerpen was het wel logisch om deze maatregelen tegenover elkaar te mappen. Echter op basis van deze detailvergelijking komen we toch tot een andere conclusie. § 7.2.7 ISO Hoofdstuk 12: Verwerving, ontwikkeling en onderhoud van informatiesystemen NEN-ISO/IEC 27002: 12.2.1 Validatie van invoergegevens Beheersmaatregel Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn. Implementatierichtlijnen Er behoren controles te worden uitgevoerd op de invoer van zakelijke transacties, vaste gegevens (bijvoorbeeld namen en adressen, kredietlimieten, referentienummers van klanten) en parametertabellen (bijvoorbeeld verkoopprijzen, valutawisselkoersen, belastingtarieven). De volgende richtlijnen behoren te worden overwogen: a) tweevoudige invoer of andere vormen van invoercontroles, zoals grenswaarde controles of limietvelden

34

voor bepaalde series invoergegevens, om de volgende fouten te ontdekken: 1) waarden die buiten het geldige bereik vallen; 2) ongeldige tekens in invoervelden; 3) ontbrekende of onvolledige gegevens; 4) overschrijding van boven- en ondergrenzen voor gegevensvolumes; 5) ongeautoriseerde of inconsistente beheersgegevens; b) periodieke beoordeling van de inhoud van sleutelvelden of gegevensbestanden om hun geldigheid en integriteit te bevestigen; c) controle van papieren invoerdocumenten op ongeautoriseerde wijzigingen (voor alle wijzigingen in invoerdocumenten behoort toestemming te worden gegeven); d) procedures voor het reageren op fouten bij geldigheidscontrole; e) procedures voor het testen van de plausibiliteit van invoergegevens; f) definiëren van verantwoordelijkheden van al het personeel dat betrokken is bij het gegevensinvoerproces; g) aanmaken van een logbestand van de activiteiten die tijdens het gegevensinvoerproces plaatsvinden (zie 10.10.1). Overige informatie Het automatisch onderzoeken en valideren van invoergegevens kan worden overwogen als middel om de kans op fouten te verminderen en om standaardaanvallen, waaronder ‘buffer overflow’ en het tussenvoegen van programmaregels, te verhinderen. NIST SP 800.53: SI-10 Information Accuracy, Completeness, Validity, and Authenticity Control: The information system checks information for accuracy, completeness, validity, and authenticity. Supplemental Guidance: Checks for accuracy, completeness, validity, and authenticity of information are accomplished as close to the point of origin as possible. Rules for checking the valid syntax of information system inputs (e.g., character set, length, numerical range, acceptable values) are in place to verify that inputs match specified definitions for format and content. Inputs passed to interpreters are prescreened to prevent the content from being unintentionally interpreted as commands. The extent to which the information system is able to check the accuracy, completeness, validity, and authenticity of information is guided by organizational policy and operational requirements. Control Enhancements: None.

35

Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van beide maatregelen hebben dezelfde strekking 2. Diepte: de onderwerpen die behandeld worden zijn hetzelfde. De beschrijving van ISO is wel gedetailleerder. Er wordt bijvoorbeeld aandacht besteed aan welke specifieke organisatie- richtlijnen het betreft, waarbij NIST alleen organisatie richtlijnen noemt. 3. Toegankelijkheid: beide maatregelen zijn goed op zich zelfstaand leesbaar en evengoed toegankelijk. § 7.2.8 ISO Hoofdstuk 13: Information security incident management NEN-ISO/IEC 27002: 13.2.2 Leren van informatiebeveiligingsincidenten Beheersmaatregel Er behoren mechanismen te zijn ingesteld waarmee de aard, omvang en kosten van informatiebeveiligingsincidenten kunnen worden gekwantificeerd en gecontroleerd. Implementatierichtlijnen De informatie verkregen uit het beoordelen van informatiebeveiligingsincidenten behoort te worden gebruikt om terugkerende of zeer ingrijpende incidenten te identificeren. Overige informatie Uit de beoordeling van informatiebeveiligingsincidenten kan de noodzaak blijken van uitgebreidere of aanvullende beheersmaatregelen om de frequentie, schade en kosten van toekomstige incidenten te beperken. Ook kan de informatie worden gebruikt bij de beoordeling van het beveiligingsbeleid (zie 5.1.2). NIST SP 800.53: IR-4 Incident Handling Control: The organization implements an incident handling capability for security incidents that includes preparation, detection and analysis, containment, eradication, and recovery. Supplemental Guidance: Incident-related information can be obtained from a variety of sources including, but not limited to, audit monitoring, network monitoring, physical access monitoring, and user/administrator reports. The organization incorporates the lessons learned from ongoing incident handling activities into the incident response procedures and implements the procedures accordingly. Related security controls: AU-6, PE-6. Control Enhancements: (1) The organization employs automated mechanisms to support the incident handling process.

36

Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van de NIST maatregel heeft een bredere strekking. 2. Diepte: ISO behandelt enkel het ‘leren’ van incidenten waar NIST meerdere aspecten van het incidentenproces behandelt. 3. Toegankelijkheid: beide maatregelen verwijzen beide naar andere delen in hetzelfde document en zijn evengoed toegankelijk. § 7.2.9 ISO Hoofdstuk 14 Bedrijfscontinuïteitsbeheer NEN-ISO/IEC 27002: 14.1.5 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen Maatregel Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geüpdate, om te bewerkstelligen dat ze actueel en doeltreffend blijven. Implementatierichtlijnen Bedrijfscontinuïteitsplannen behoren te waarborgen dat alle leden van het herstelteam en andere betrokken medewerkers op de hoogte zijn van de plannen en van hun verantwoordelijkheid voor bedrijfscontinuïteit en informatiebeveiliging en hun rol kennen wanneer een plan in werking wordt gesteld. In het testschema voor het (de) bedrijfscontinuïteitsplan(nen) behoort te worden aangegeven hoe en wanneer elk onderdeel van het(de) continuïteitsplan(nen) wordt getest. Elk onderdeel van de plannen behoort regelmatig te worden getest. Er kunnen verschillende technieken behoren te worden gebruikt om er zeker van te zijn dat het (de) plan(nen) daadwerkelijk functioneren. Dit behoort bijvoorbeeld te omvatten: a) gezamenlijk doorlopen van diverse scenario's (bespreking van de bedrijfsherstelprocedures aan de hand van voorbeelden van onderbrekingen); b) simulaties (in het bijzonder om mensen te trainen in hun rol na een incident en bij crisisbeheer); c) testen van technische herstelprocedures (om te waarborgen dat informatiesystemen doeltreffend kunnen worden hersteld); d) testen van herstel op een andere locatie (waarbij bedrijfsprocessen parallel aan hersteloperaties worden uitgevoerd, op een andere plaats dan de hoofdlocatie); e) testen van voorzieningen en diensten van leveranciers (om te waarborgen dat externe diensten en producten in overeenstemming zijn met contractuele verplichtingen); f) realistische oefeningen (waarbij wordt getoetst dat organisatie, personeel, apparatuur, voorzieningen en processen bestand zijn tegen onderbrekingen). Deze technieken kunnen door elke organisatie worden gebruikt. Ze behoren te worden toegepast op een manier die past bij het specifieke herstelplan. De testresultaten behoren te worden vastgelegd, en handelingen om waar nodig de plannen te verbeteren behoren te worden uitgevoerd. Er behoren verantwoordelijkheden te worden toegewezen voor regelmatige beoordeling van elk bedrijfscontinuïteitsplan. Het vaststellen van veranderingen in de werkwijze van de organisatie die nog niet hun neerslag hebben gevonden in de bedrijfscontinuïteitsplannen, behoort te worden gevolgd door een adequate update van het desbetreffende plan. Dit formele proces van wijzigingenbeheer behoort te waarborgen dat de geüpdate plannen worden verspreid en bekrachtigd door regelmatige beoordeling van het plan als geheel.

37

Voorbeelden van veranderingen waar updaten van bedrijfscontinuïteitsplannen behoort te worden overwogen zijn aanschaf van nieuwe apparatuur of een upgraden van systemen, en veranderingen in: a) personeel; b) adressen of telefoonnummers; c) bedrijfsstrategie; d) locatie, voorzieningen en bronnen; e) wetgeving; f) ingehuurd personeel, leveranciers en belangrijke klanten; g) processen, of nieuwe of ingetrokken processen; h) risico's (operationeel en financieel). NIST SP 800.53: CP-2 Contingency Plan Control: The organization develops and implements a contingency plan for the information system addressing contingency roles, responsibilities, assigned individuals with contact information, and activities associated with restoring the system after a disruption or failure. Designated officials within the organization review and approve the contingency plan and distribute copies of the plan to key contingency personnel. Supplemental Guidance: None. Control Enhancements: The organization coordinates contingency plan development with organizational elements responsible for related plans. Enhancement Supplemental Guidance: Examples of related plans include Business Continuity Plan, Disaster Recovery Plan, Continuity of Operations Plan, Business Recovery Plan, Incident Response Plan, and Emergency Action Plan. (2) The organization conducts capacity planning so that necessary capacity for information processing, telecommunications, and environmental support exists during crisis situations. NIST SP 800.53: CP-4 Contingency Plan Testing and Exercises Control: The organization: (i) tests and/or exercises the contingency plan for the information system [Assignment: organization-defined frequency, at least annually] using [Assignment: organization-defined tests and/or exercises] to determine the plan’s effectiveness and the organization’s readiness to execute the plan; and (ii) reviews the contingency plan test/exercise results and initiates corrective actions.

38

Supplemental Guidance: There are several methods for testing and/or exercising contingency plans to identify potential weaknesses (e.g., full-scale contingency plan testing, functional/tabletop exercises). The depth and rigor of contingency plan testing and/or exercises increases with the FIPS 199 impact level of the information system. Contingency plan testing and/or exercises also include a determination of the effects on organizational operations and assets (e.g., reduction in mission capability) and individuals arising due to contingency operations in accordance with the plan. NIST Special Publication 800-84 provides guidance on test, training, and exercise programs for information technology plans and capabilities. Control Enhancements: (1) The organization coordinates contingency plan testing and/or exercises with organizational elements responsible for related plans. Enhancement Supplemental Guidance: Examples of related plans include Business Continuity Plan, Disaster Recovery Plan, Continuity of Operations Plan, Business Recovery Plan, Incident Response Plan, and Emergency Action Plan. (2) The organization tests/exercises the contingency plan at the alternate processing site to familiarize contingency personnel with the facility and available resources and to evaluate the site’s capabilities to support contingency operations. (3) The organization employs automated mechanisms to more thoroughly and effectively test/exercise the contingency plan by providing more complete coverage of contingency issues, selecting more realistic test/exercise scenarios and environments, and more effectively stressing the information system and supported missions. Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van beide maatregelen hebben dezelfde strekking. De maatregel CP-2 van NIST wordt grotendeels beschreven in een andere ISO maatregel. Wij hebben dan ook alleen de informatie meegenomen die betrekking heeft op testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen. Op basis hiervan kunnen we concluderen dat de maatregelen dezelfde strekking hebben. 2. Diepte: de onderwerpen die behandeld worden zijn grotendeels hetzelfde. 3. Toegankelijkheid: ISO beschrijft alle informatie in de maatregel zelf. NIST verwijst naar andere documentatie. § 7.2.10 ISO Hoofdstuk 15: Compliance NEN-ISO/IEC 27002: 15.3.2 Bescherming van hulpmiddelen voor audits van informatiesystemen Beheersmaatregel Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbuik of compromittering te voorkomen. Implementatierichtlijnen De hulpmiddelen voor systeemaudits, bijvoorbeeld programmatuur of gegevensbestanden, behoren te worden gescheiden van ontwikkelingssystemen en productiesystemen en behoren niet te worden opgeslagen in magneetbandbibliotheken of gebruikersruimte, tenzij hiervoor aanvullende beschermingsmaatregelen van een geschikt niveau zijn getroffen.

39

Overige informatie Indien derden bij een audit zijn betrokken bestaat het risico dat de audithulpmiddelen en de informatie waartoe toegang is verkregen door deze derde partij worden misbruikt. Maatregelen zoals genoemd in 6.2.1 (beoordelen van risico’s) en in 9.1.2 (fysieke toegang beperken) kunnen worden overwogen om dit risico aan te pakken, en alle eruit voorbloeiende maatregelen zoals het onmiddellijk wijzigen van de wachtwoorden die aan auditors zijn bekend gemaakt. NIST SP 800.53: AU-9 Protection of audit information Control: The information system protects audit information and audit tools from unauthorized access, modification, and deletion. Supplemental Guidance: Audit information includes all information (e.g., audit records, audit settings, and audit reports) needed to successfully audit information system activity. Control Enhancements: (1) The information system produces audit records on hardware-enforced, write-once media. Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van de maatregelen hebben dezelfde strekking. 2. Diepte: ISO is uitgebreider. ISO gaat ook in op situaties, waarbij derden bij een audit worden betrokken en de bijkomende risico’s daarvan. 3. Toegankelijkheid: beide maatregelen zijn goed op zich zelfstaand leesbaar en evengoed toegankelijk.

§ 7.3 Conclusie Uit de detailvergelijkingen kunnen wij de volgende conclusies trekken: • De strekking van de maatregelen zijn bijna altijd hetzelfde. Echter voor één maatregel is vastgesteld dat deze toch niet overeenkomt. Hierdoor zou het mogelijk zijn dat wanneer alle maatregelen in detail worden bekeken meer witte vlekken worden geïdentificeerd. Gezien de omvang van ons onderzoek valt dat buiten ons bereik. Echter dit is een punt om bij een vervolg onderzoek mee in ogenschouw te nemen. • Indien alleen NIST SP 800-53 en ISO 27002 worden beschouwd, is ISO uitgebreider omdat in NIST veelal wordt verwezen naar andere publicaties c.q. richtlijnen. Hieruit kan worden opgemaakt dat ISO toegankelijker is. Echter indien de overige publicaties wel worden meegenomen dan is NIST in veel gevallen uitgebreider. • NIST verwijst soms specifiek naar regelgeving voor de Amerikaanse overheid c.q. wet- en regelgeving. Deze is niet relevant voor Nederlandse overheden en bedrijven. • Informatiebeveiligingsbeleid is in NIST wijd verspreid over allerlei verschillende maatregelen ten opzichte van 1 maatregel binnen ISO. Hierdoor kan wel worden geconcludeerd dat het informatiebeveiligingsbeleid op een gedetailleerder niveau is uitgewerkt in NIST.

40

Hoofdstuk 8: Conclusies en reflectie In dit laatste hoofdstuk worden de belangrijkste conclusies behandeld die voortkomen uit de gestelde centrale onderzoeksvragen. Deze onderzoeksvragen, gepresenteerd in hoofdstuk één, zijn een afgeleide van de doelstelling van het onderzoek. In paragraaf 8.2 zullen de mogelijkheden tot vervolgonderzoek worden weergegeven en tot slot zal een reflectie worden gegeven op het onderzoek en de resultaten die hieruit naar voren zijn gekomen. § 8.1 Conclusies Middels dit afstudeeronderzoek willen wij bijdragen aan een overzicht van standaarden die relevant zijn voor informatiebeveiliging. Daarnaast willen wij ondersteuning bieden bij het keuzeproces voor een standaard. De doelstelling is het geven van een praktisch advies aan de gebruikers van IB-standaarden. De probleemstelling die wij hebben willen beantwoorden middels ons onderzoek is: Welke standaarden kunnen waarvoor het best worden gebruikt? Om op de bovenstaande hoofdvraag een antwoord te geven is de hoofdvraag opgesplitst in de volgende deelvragen: 1. Welke relevante standaarden / best practices zijn er op het gebied van informatiebeveiliging? 2. Wat zijn criteria waarop de diverse standaarden van elkaar kunnen worden onderscheiden? Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden. 3. Welke stappen moeten worden doorlopen bij het selectieproces van standaarden? 4. Wat zijn in hoofdlijnen overeenkomsten en verschillen tussen NIST SP 800-53 en ISO 27002? Onderstaand geven wij allereerst de conclusies per deelvraag, gebaseerd op ons onderzoek, weer. Vervolgens besluiten we deze paragraaf met een overall conclusie. § 8.1.1 Beantwoording deelvraag 1 Hier is gekozen om vier standaarden nader te beschrijven uit het scala van standaarden. Wij hebben gekozen voor ISO, NIST, ISF en COBIT. ISO Enkele relevante en bekende informatiebeveiligingsstandaarden van ISO, met betrekking tot informatiebeveiliging, betreffen ISO 27001 en ISO 27002. ISO 27001 specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ‘Information Security Management System’ (ISMS). ISO 27002, beter bekend als de ‘Code voor Informatiebeveiliging’, beschrijft maatregelen, die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. Naast deze standaarden heeft ISO vele gedetailleerde (operationele) informatiebeveiligingstandaarden uitgegeven. 41

NIST Een relevante en bekende standaard van NIST betreft NIST SP 800-53: ‘Recommended Security Controls for Federal Information Systems'. In deze standaard worden de minimale beveiligingsmaatregelen opgesomd voor het realiseren van een acceptabel niveau van informatiebeveiliging. Naast deze standaard heeft NIST vele gedetailleerde (operationele) informatiebeveiligingstandaarden uitgegeven. ISF The Standard of Good Practice (SGOP) is een belangrijke publicatie uit het ISF programma. Deze standaarden bieden gedetailleerde documentatie van geïdentificeerde ‘best practices’ voor informatiebeveiliging. CoBiT Eind jaren negentig werd een algemeen raamwerk voor algemene ITbeheersmaatregelen ontwikkeld door ISACA en het IT Governance Institute (ITGI). Dit zijn de’Control Objectives for Information and related Technology’, oftewel CoBiT. Het CobiT framework is gebaseerd op het principe dat organisaties voorzien dienen te worden van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. CoBiT staat momenteel vooral in de belangstelling doordat deze bij uitstek geschikt is, om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd. § 8.1.2 Beantwoording deelvraag 2 Om een goede afweging te maken tussen bepaalde standaarden moeten ze onderling vergeleken kunnen worden. De volgende criteria zijn naar aanleiding van de expertsessie en een literatuurstudie opgesteld: • breedte • diepte • flexibiliteit • ratio • kosten • acceptatie • taal Naast het ontwikkelen hebben wij de NIST, ISF, ISO en CoBiT tegen deze criteria aangehouden. Onderstaand volgen enkele belangrijke conclusies: • NIST: is in tegenstelling tot de anderen geheel gratis te verkrijgen, echter alleen in het Engels. Bovendien worden de onderwerpen versnipperd behandeld in tegenstelling tot ISO en ISF. • ISF: is minder geaccepteerd en wordt met name gebruikt door leden van ISF. • ISO: is per onderwerp overzichtelijk gerangschikt. Tevens is dit de meest geaccepteerde standaard in Nederland.

42

•

CoBiT: is een standaard die niet specifiek gericht is op informatiebeveiliging en daardoor minder goed vergelijkbaar. Dit leidt ook tot het feit dat CoBiT in tegenstelling tot NIST, ISF en ISO, door anderen dan IB specialisten wordt gebruikt. Tevens bevat de standaard geen uitgewerkte informatie op operationeel gebied.

Uit nader onderzoek van het breedte criterium blijkt dat de witte vlekken beperkt zijn tussen ISO, ISF en NIST. Een mogelijk selectiecriterium zou de indeling van de hoofdstukken kunnen zijn welke wel verschillend is. De conclusie dat de witte vlekken beperkt zijn zit hem wellicht in het feit dat de standaarden worden ontwikkeld vanuit werkgroepen, bestaande uit IB’ers. Hier vinden meerdere reviews plaats. Bovendien wordt er vaak, zoals beschreven in Paragraaf 2.2, gestemd over de aanname van nieuwe standaarden. Stemgerechtigde zijn wederom gebruikers van de desbetreffende standaard. Aangezien de gebruikers betrokken zijn bij de totstandkoming van de standaard, is het niet verwonderlijk dat er beperkte witte vlekken zijn tussen de door ons geselecteerde standaarden § 8.1.3 Beantwoording deelvraag 3 Om een keuze te maken voor standaarden die passend zijn voor een organisatie is het belangrijk om een gedegen selectieproces in te gaan. Het proces bestaat uit de volgende stappen: 1. Bepalen ‘key stakeholders’; Deze stap in het proces draagt bij aan het creëren van een breed draagvlak en acceptatie voor de gekozen standaarden. 2. Vaststelen score criteria van de ‘key stakeholders’; Het zijn de ‘key stakeholders’ die bepalen wat de belangrijkste aspecten zijn in de keuze voor bepaalde standaarden. Om de ‘key stakeholders’ handvatten te bieden zijn in ons onderzoek criteria opgesteld waarmee standaarden van elkaar kunnen worden onderscheiden. 3. Keuze (o.b.v. gewogen criteria); Deze keuze is gebaseerd op de verschillende wegingen per criteria, toegekend door de diverse stakeholders en uitgesproken door het verantwoordelijke management. Hierbij is het van belang dat de keuze van bepaalde standaarden aansluit op de bedrijfsdoelstellingen. 4. ‘Nazorg’; De laatste stap betreft de nazorg van de gemaakte keuze, ofwel is de keuze nog steeds de juiste. Als de standaarden slecht blijken te zijn geïmplementeerd, was het wellicht de verkeerde keuze en moeten andere standaarden worden overwogen. § 8.1.4 Beantwoording deelvraag 4 Uit de detailvergelijkingen, tussen NIST en ISO, kunnen wij de volgende conclusies trekken: • De strekking van de maatregelen zijn bijna altijd hetzelfde. • Indien alleen NIST 800-53 en ISO 27002 worden beschouwd, is ISO uitgebreider omdat in NIST veelal wordt verwezen naar andere publicaties c.q. richtlijnen. Hieruit kan worden opgemaakt dat ISO toegankelijker is. Echter indien de overige publicaties wel worden meegenomen dan is NIST in veel gevallen uitgebreider. • NIST verwijst soms specifiek naar regelgeving voor de Amerikaanse overheid c.q. wet- en regelgeving. Deze zijn niet relevant voor Nederlandse overheden en bedrijven.

43

•

Informatiebeveiligingsbeleid is in NIST wijd verspreid over allerlei verschillende maatregelen ten opzichte van 1 maatregel binnen ISO. Hierdoor kan wel worden geconcludeerd dat het informatiebeveiligingsbeleid op een gedetailleerder niveau is uitgewerkt in NIST.

§ 8.1.5 Overall conclusie Op de centrale vraag ”Welke standaarden kunnen waarvoor het best worden gebruikt?” kunnen wij concluderen dat de uiteindelijke keuze voor een standaard afhankelijk is van het doel wat men wil bereiken en de eigenschappen van een standaard die de betreffende organisatie als belangrijk beoordeeld. De diverse eigenschappen van standaarden zijn aan de hand van de onderzochte criteria te onderkennen. Als praktische handreiking voor de gebruikers van IB standaarden is op hoofdlijnen een proces geschetst welke ondersteuning biedt bij het kiezen van standaarden. Als hulpmiddel zijn belangrijke selectiecriteria onderscheiden die een rol spelen in het proces om te komen tot een selectie van standaarden. § 8.2 Vervolgonderzoek Door de complexiteit van de materie en de beperkte tijd waarin dit onderzoek heeft plaatsgevonden, zijn er nog vele vragen onbeantwoord gebleven, die wellicht in een volgende expertsessie en/of scriptie onderzoek behandeld zouden kunnen worden: 1. Zijn we in staat om op basis van deze aanzet een volledig raamwerk te maken van alle verschillende standaarden die bestaan? 2. Een aantal selectiecriteria zijn onderkend. Welke selectiecriteria zijn nog meer te onderkennen? 3. Zijn de weergegeven standaarden correct ‘gescoord’ op de onderkende selectiecriteria? § 8.3 Reflectie Wij hebben ons vooraf gerealiseerd dat het onwaarschijnlijk is dat onze probleemstelling in één onderzoek volledig beantwoord kon worden. Dit aangezien er nog zeer weinig beschikbare literatuur over dit onderwerp voorhanden is en het scala aan standaarden gigantisch. Hiertoe hebben we in ons ook onderzoek ook reeds een afbakening aangebracht. Het feit dat er weinig beschikbare literatuur over dit onderwerp (het keuzeproces en onderscheidende criteria) voorhanden is, heeft ons overigens wel bevreemd. Al jarenlang worden diverse standaarden gehanteerd binnen bedrijven en worden er keuzes gemaakt voor bepaalde standaarden. Echter over dit keuzeproces en, als handvat hierbij een raamwerk met de verschillende standaarden, is opvallend weinig tot niets daadwerkelijk uitgewerkt in de huidige literatuur. Ons onderzoek heeft geresulteerd in een raamwerk met daarin gepositioneerd enkele bekende beveiligingsstandaarden. Daarnaast is op hoofdlijnen een proces geschetst welke kan helpen bij het kiezen van standaarden (of alleen bepaalde delen).

44

Wij denken dat bovenstaand resultaat van toegevoegde waarde is bij het verder uitwerken van het keuzeproces en het raamwerk. Wij verwachten dan ook, met de door ons voorgestelde aanpak, dat er een doorstart zal worden gemaakt naar een serieuze aanpak die kan doorgroeien tot een methodiek. Wij hebben dit onderzoek als zeer leerzaam ervaren. Het heeft ons namelijk een overzicht gegeven van het scala aan standaarden en de opbouw en inhoud van standaarden. Dit is voor ons zeer nuttig gezien standaarden in de praktijk veel worden gebruikt. Tot slot willen wij de heer Bart Bokhorst (begeleider VU Amsterdam) bedanken voor zijn inspirerende begeleiding, zijn enthousiasme voor het onderwerp en zijn opbouwende opmerkingen, die hebben geleid tot een dieper inzicht in de materie van IB-standaarden.

45

Bijlagen

46

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 511 512 611 611 611 612 612 612 612 612 612 612 612 613 613 613 613 613 614 614 614 615 615 615 616 616 616 617 618 618

ISO Beschrijving ISO Hoofdstuk Information security policy document SECURITY POLICY Review of the information security policy SECURITY POLICY Management commitment to information securi ORGANIZATION OF INFORMATION SECURITY Management commitment to information securi ORGANIZATION OF INFORMATION SECURITY Management commitment to information securi ORGANIZATION OF INFORMATION SECURITY Information security co-ordination ORGANIZATION OF INFORMATION SECURITY Information security co-ordination ORGANIZATION OF INFORMATION SECURITY Information security co-ordination ORGANIZATION OF INFORMATION SECURITY Information security co-ordination ORGANIZATION OF INFORMATION SECURITY Information security co-ordination ORGANIZATION OF INFORMATION SECURITY Information security co-ordination ORGANIZATION OF INFORMATION SECURITY Information security co-ordination ORGANIZATION OF INFORMATION SECURITY Information security co-ordination ORGANIZATION OF INFORMATION SECURITY Allocation of information security responsibilitie ORGANIZATION OF INFORMATION SECURITY Allocation of information security responsibilitie ORGANIZATION OF INFORMATION SECURITY Allocation of information security responsibilitie ORGANIZATION OF INFORMATION SECURITY Allocation of information security responsibilitie ORGANIZATION OF INFORMATION SECURITY Allocation of information security responsibilitie ORGANIZATION OF INFORMATION SECURITY Authorization process for information processin ORGANIZATION OF INFORMATION SECURITY Authorization process for information processin ORGANIZATION OF INFORMATION SECURITY Authorization process for information processin ORGANIZATION OF INFORMATION SECURITY Confidentiality agreements ORGANIZATION OF INFORMATION SECURITY Confidentiality agreements ORGANIZATION OF INFORMATION SECURITY Confidentiality agreements ORGANIZATION OF INFORMATION SECURITY Contact with authorities ORGANIZATION OF INFORMATION SECURITY Contact with authorities Contact with authorities Contact with special interest group Independent review of information security Independent review of information security

ORGANIZATION OF INFORMATION SECURITY ORGANIZATION OF INFORMATION SECURITY ORGANIZATION OF INFORMATION SECURITY ORGANIZATION OF INFORMATION SECURITY ORGANIZATION OF INFORMATION SECURITY

NIST Maatregel XX-1 controls XX-1 controls XX-1 controls SP 800-39 SP 800-37 CP-2 CP-4 IR-4 PL-1 PL-6 SA-2 SP 800-30 SP 800 300-37 XX-1 controls AC-5 AC-6 SP 800-39 SP 800-37 CA-1 CA-6 SP 800-37 PL-4 PS-6 SA-9 Myltiple controls with contact reference (e.g., IR-6, SI-5) SP 800-39 SP 800-37 AT-5 CA-2 CA-7

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 618 618 621 621 621 621 621 622 622 622 623 623 623 711 712 713 713 721 722 722 722 722 811 811 811 811 811 811 811 811 811

ISO Beschrijving ISO Hoofdstuk Independent review of information security ORGANIZATION OF INFORMATION SECURITY Independent review of information security ORGANIZATION OF INFORMATION SECURITY Identification of risks related to external parties ORGANIZATION OF INFORMATION SECURITY Identification of risks related to external parties ORGANIZATION OF INFORMATION SECURITY Identification of risks related to external parties ORGANIZATION OF INFORMATION SECURITY Identification of risks related to external parties ORGANIZATION OF INFORMATION SECURITY Identification of risks related to external parties ORGANIZATION OF INFORMATION SECURITY Addressing security when dealing with customeORGANIZATION OF INFORMATION SECURITY Addressing security when dealing with customeORGANIZATION OF INFORMATION SECURITY Addressing security when dealing with customeORGANIZATION OF INFORMATION SECURITY Addressing security in third party agreements ORGANIZATION OF INFORMATION SECURITY Addressing security in third party agreements ORGANIZATION OF INFORMATION SECURITY Addressing security in third party agreements ORGANIZATION OF INFORMATION SECURITY Inventory of assets ASSET MANAGEMENT Ownership of assets ASSET MANAGEMENT Acceptable use of assets ASSET MANAGEMENT Acceptable use of assets ASSET MANAGEMENT Classification guidelines ASSET MANAGEMENT Information labeling and handling ASSET MANAGEMENT Information labeling and handling ASSET MANAGEMENT Information labeling and handling ASSET MANAGEMENT Information labeling and handling ASSET MANAGEMENT Roles and responsibilities HUMAN RESOURCES SECURITY Roles and responsibilities HUMAN RESOURCES SECURITY Roles and responsibilities HUMAN RESOURCES SECURITY Roles and responsibilities HUMAN RESOURCES SECURITY Roles and responsibilities HUMAN RESOURCES SECURITY Roles and responsibilities HUMAN RESOURCES SECURITY Roles and responsibilities HUMAN RESOURCES SECURITY Roles and responsibilities HUMAN RESOURCES SECURITY Roles and responsibilities HUMAN RESOURCES SECURITY

NIST Maatregel SP 800-39 SP 800-37 CA-3 RA-3 SA-1 SA-9 SC-7 AC-8 AT-2 PL-4 CA-3 PS-7 SA-9 CM-8 CM-8 AC-20 PL-4 RA-2 AC-16 MP-2 MP-3 SC-16 XX-1 controls AC-5 AC-6 AC-8 AC-20 AT-2 AT-3 PL-4 PS-2

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 811 811 811 812 813 813 813 813 821 821 821 821 822 822 822 823 831 831 832 832 833 833 833 911 912 912 912 912 913 913 913

ISO Beschrijving ISO Hoofdstuk Roles and responsibilities HUMAN RESOURCES SECURITY Roles and responsibilities HUMAN RESOURCES SECURITY Roles and responsibilities HUMAN RESOURCES SECURITY Screening HUMAN RESOURCES SECURITY Terms and conditions of employment HUMAN RESOURCES SECURITY Terms and conditions of employment HUMAN RESOURCES SECURITY Terms and conditions of employment HUMAN RESOURCES SECURITY Terms and conditions of employment HUMAN RESOURCES SECURITY Management responsibilities HUMAN RESOURCES SECURITY Management responsibilities HUMAN RESOURCES SECURITY Management responsibilities HUMAN RESOURCES SECURITY Management responsibilities HUMAN RESOURCES SECURITY Information security awareness, education, andHUMAN RESOURCES SECURITY Information security awareness, education, andHUMAN RESOURCES SECURITY Information security awareness, education, andHUMAN RESOURCES SECURITY Disciplinary process HUMAN RESOURCES SECURITY Termination responsibilities HUMAN RESOURCES SECURITY Termination responsibilities HUMAN RESOURCES SECURITY Return of assets HUMAN RESOURCES SECURITY Return of assets HUMAN RESOURCES SECURITY Removal of access rights HUMAN RESOURCES SECURITY Removal of access rights HUMAN RESOURCES SECURITY Removal of access rights HUMAN RESOURCES SECURITY Physical security perimeter PHYSICAL AND ENVIRONMENTAL SECURITY Physical entry controls PHYSICAL AND ENVIRONMENTAL SECURITY Physical entry controls PHYSICAL AND ENVIRONMENTAL SECURITY Physical entry controls PHYSICAL AND ENVIRONMENTAL SECURITY Physical entry controls PHYSICAL AND ENVIRONMENTAL SECURITY Securing offices, rooms, and facilities PHYSICAL AND ENVIRONMENTAL SECURITY Securing offices, rooms, and facilities PHYSICAL AND ENVIRONMENTAL SECURITY Securing offices, rooms, and facilities PHYSICAL AND ENVIRONMENTAL SECURITY

NIST Maatregel PS-6 PS-7 SA-9 PS-3 AC-20 PL-4 PS-6 PS-7 PL-4 PS-6 PS-7 SA-9 AT-2 AT-3 IR-2 PS-8 PS-4 PS-5 PS-4 PS-5 AC-2 PS-4 PS-5 PE-3 PE-3 PE-5 PE-6 PE-7 PE-3 PE-4 PE-5

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 914 914 914 914 914 914 914 915 915 915 915 915 915 915 915 915 915 916 916 916 921 921 922 922 922 922 922 923 923 924 925

ISO Beschrijving ISO Hoofdstuk Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY Public access, delivery, and loading areas PHYSICAL AND ENVIRONMENTAL SECURITY Public access, delivery, and loading areas PHYSICAL AND ENVIRONMENTAL SECURITY Public access, delivery, and loading areas PHYSICAL AND ENVIRONMENTAL SECURITY Equipment siting and protection PHYSICAL AND ENVIRONMENTAL SECURITY Equipment siting and protection PHYSICAL AND ENVIRONMENTAL SECURITY Supporting utilities PHYSICAL AND ENVIRONMENTAL SECURITY Supporting utilities PHYSICAL AND ENVIRONMENTAL SECURITY Supporting utilities PHYSICAL AND ENVIRONMENTAL SECURITY Supporting utilities PHYSICAL AND ENVIRONMENTAL SECURITY Supporting utilities PHYSICAL AND ENVIRONMENTAL SECURITY Cabling security PHYSICAL AND ENVIRONMENTAL SECURITY Cabling security PHYSICAL AND ENVIRONMENTAL SECURITY Equipment maintenance PHYSICAL AND ENVIRONMENTAL SECURITY Security of equipment off-premises PHYSICAL AND ENVIRONMENTAL SECURITY

NIST Maatregel CP-family PE-1 PE-9 PE-10 PE-11 PE-13 PE-15 AT-2 AT-3 PL-4 PS-6 PE-2 PE-4 PE-6 PE-7 PE-8 PE-3 PE-2 PE-7 PE-16 PE-1 PE-18 PE-1 PE-9 PE-11 PE-12 PE-14 PE-4 PE-9 MA-family MP-5

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 925 926 927 927 1011 1012 1012 1012 1012 1013 1014 1021 1022 1023 1023 1031 1031 1031 1031 1031 1032 1032 1032 1032 1032 1041 1041 1041 1041 1041 1041

ISO Beschrijving ISO Hoofdstuk NIST Maatregel Security of equipment off-premises PHYSICAL AND ENVIRONMENTAL SECURITY PE-17 Secure disposal or re-use of equipment PHYSICAL AND ENVIRONMENTAL SECURITY MP-6 Removal of property PHYSICAL AND ENVIRONMENTAL SECURITY MP-5 Removal of property PHYSICAL AND ENVIRONMENTAL SECURITY PE-16 Documented operating procedures COMMUNICATIONS AND OPERATIONS MANAGEMXX-1 controls Change management COMMUNICATIONS AND OPERATIONS MANAGEMCM-1 Change management COMMUNICATIONS AND OPERATIONS MANAGEMCM-3 Change management COMMUNICATIONS AND OPERATIONS MANAGEMCM-4 Change management COMMUNICATIONS AND OPERATIONS MANAGEMCM-5 Segregation of duties COMMUNICATIONS AND OPERATIONS MANAGEMAC-5 Separation of development, test, and operation COMMUNICATIONS AND OPERATIONS MANAGEMCM-2 Service delivery COMMUNICATIONS AND OPERATIONS MANAGEMSA-9 Monitoring and review of third party services COMMUNICATIONS AND OPERATIONS MANAGEMSA-9 Managing changes to third party services COMMUNICATIONS AND OPERATIONS MANAGEMRA-3 Managing changes to third party services COMMUNICATIONS AND OPERATIONS MANAGEMSA-9 Capacity management COMMUNICATIONS AND OPERATIONS MANAGEMAU-4 Capacity management COMMUNICATIONS AND OPERATIONS MANAGEMAU-5 Capacity management COMMUNICATIONS AND OPERATIONS MANAGEMCP-2 Capacity management COMMUNICATIONS AND OPERATIONS MANAGEMSA-2 Capacity management COMMUNICATIONS AND OPERATIONS MANAGEMSC-5 System acceptance COMMUNICATIONS AND OPERATIONS MANAGEMCA-2 System acceptance COMMUNICATIONS AND OPERATIONS MANAGEMCA-6 System acceptance COMMUNICATIONS AND OPERATIONS MANAGEMCM-3 System acceptance COMMUNICATIONS AND OPERATIONS MANAGEMCM-4 System acceptance COMMUNICATIONS AND OPERATIONS MANAGEMSA-11 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMAC-19 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMAT-2 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSA-8 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSC-2 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSC-3 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSC-7

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 1041 1041 1041 1042 1042 1042 1042 1042 1042 1042 1051 1061 1061 1061 1061 1061 1061 1061 1061 1061 1061 1061 1061 1061 1061 1061 1062 1062 1062 1071 1071

ISO Beschrijving Controls against malicious code Controls against malicious code Controls against malicious code Controls against mobile code Controls against mobile code Controls against mobile code Controls against mobile code Controls against mobile code Controls against mobile code Controls against mobile code Information back-up Network controls Network controls Network controls Network controls Network controls Network controls Network controls Network controls Network controls Network controls Network controls Network controls Network controls Network controls Network controls Security of network services Security of network services Security of network services Management of removable media Management of removable media

ISO Hoofdstuk NIST Maatregel COMMUNICATIONS AND OPERATIONS MANAGEMSC-14 COMMUNICATIONS AND OPERATIONS MANAGEMSI-3 COMMUNICATIONS AND OPERATIONS MANAGEMSI-7 COMMUNICATIONS AND OPERATIONS MANAGEMSA-8 COMMUNICATIONS AND OPERATIONS MANAGEMSC-2 COMMUNICATIONS AND OPERATIONS MANAGEMSC-3 COMMUNICATIONS AND OPERATIONS MANAGEMSC-7 COMMUNICATIONS AND OPERATIONS MANAGEMSC-14 COMMUNICATIONS AND OPERATIONS MANAGEMSC-8 COMMUNICATIONS AND OPERATIONS MANAGEMSC-18 COMMUNICATIONS AND OPERATIONS MANAGEMCP-9 COMMUNICATIONS AND OPERATIONS MANAGEMAC-4 COMMUNICATIONS AND OPERATIONS MANAGEMAC-17 COMMUNICATIONS AND OPERATIONS MANAGEMAC-20 COMMUNICATIONS AND OPERATIONS MANAGEMCA-3 COMMUNICATIONS AND OPERATIONS MANAGEMCP-8 COMMUNICATIONS AND OPERATIONS MANAGEMPE-5 COMMUNICATIONS AND OPERATIONS MANAGEMSC-7 COMMUNICATIONS AND OPERATIONS MANAGEMSC-8 COMMUNICATIONS AND OPERATIONS MANAGEMSC-9 COMMUNICATIONS AND OPERATIONS MANAGEMSC-10 COMMUNICATIONS AND OPERATIONS MANAGEMSC-19 COMMUNICATIONS AND OPERATIONS MANAGEMSC-20 COMMUNICATIONS AND OPERATIONS MANAGEMSC-21 COMMUNICATIONS AND OPERATIONS MANAGEMSC-22 COMMUNICATIONS AND OPERATIONS MANAGEMSC-23 COMMUNICATIONS AND OPERATIONS MANAGEMSA-9 COMMUNICATIONS AND OPERATIONS MANAGEMSC-8 COMMUNICATIONS AND OPERATIONS MANAGEMSC-9 COMMUNICATIONS AND OPERATIONS MANAGEMMP-family COMMUNICATIONS AND OPERATIONS MANAGEMPE-16

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 1072 1073 1073 1074 1074 1081 1081 1081 1081 1081 1081 1081 1081 1081 1081 1081 1082 1082 1083 1084

1085 1085 1091 1091 1091 1091 1091 1091 1092

ISO Beschrijving Disposal of media Information handling procedures Information handling procedures Security of system documentation Security of system documentation Information exchange policies and procedures Information exchange policies and procedures Information exchange policies and procedures Information exchange policies and procedures Information exchange policies and procedures Information exchange policies and procedures Information exchange policies and procedures Information exchange policies and procedures Information exchange policies and procedures Information exchange policies and procedures Information exchange policies and procedures Exchange agreements Exchange agreements Physical media in transit Electronic messaging

ISO Hoofdstuk NIST Maatregel COMMUNICATIONS AND OPERATIONS MANAGEMMP-6 COMMUNICATIONS AND OPERATIONS MANAGEMMP-family COMMUNICATIONS AND OPERATIONS MANAGEMSI-12 COMMUNICATIONS AND OPERATIONS MANAGEMMP-4 COMMUNICATIONS AND OPERATIONS MANAGEMSA-5 COMMUNICATIONS AND OPERATIONS MANAGEMAC-1 COMMUNICATIONS AND OPERATIONS MANAGEMAC-3 COMMUNICATIONS AND OPERATIONS MANAGEMAC-4 COMMUNICATIONS AND OPERATIONS MANAGEMAC-17 COMMUNICATIONS AND OPERATIONS MANAGEMAC-20 COMMUNICATIONS AND OPERATIONS MANAGEMCA-3 COMMUNICATIONS AND OPERATIONS MANAGEMPL-4 COMMUNICATIONS AND OPERATIONS MANAGEMPS-6 COMMUNICATIONS AND OPERATIONS MANAGEMSC-7 COMMUNICATIONS AND OPERATIONS MANAGEMSC-16 COMMUNICATIONS AND OPERATIONS MANAGEMSI-9 COMMUNICATIONS AND OPERATIONS MANAGEMCA-3 COMMUNICATIONS AND OPERATIONS MANAGEMSA-9 COMMUNICATIONS AND OPERATIONS MANAGEMMP-5 COMMUNICATIONS AND OPERATIONS MANAGEMMultiple controls; electronic messaging not addresses separately in SP 800-53

Business information systems Business information systems Electronic commerce Electronic commerce Electronic commerce Electronic commerce Electronic commerce Electronic commerce On-Line Transactions

COMMUNICATIONS AND OPERATIONS MANAGEMCA-1 COMMUNICATIONS AND OPERATIONS MANAGEMCA-3 COMMUNICATIONS AND OPERATIONS MANAGEMAU-10 COMMUNICATIONS AND OPERATIONS MANAGEMSC-7 COMMUNICATIONS AND OPERATIONS MANAGEMSC-8 COMMUNICATIONS AND OPERATIONS MANAGEMSC-9 COMMUNICATIONS AND OPERATIONS MANAGEMSC-3 COMMUNICATIONS AND OPERATIONS MANAGEMSC-14 COMMUNICATIONS AND OPERATIONS MANAGEMSC-3

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 1092 1092 1092 1092 1093 10101 10101 10101 10101 10101 10101 10101 10102 10102 10102 10102 10102 10102 10102 10103 10104 10105 10105 10105 10106 1111 1111 1111 1111 1111 1111

ISO Beschrijving On-Line Transactions On-Line Transactions On-Line Transactions On-Line Transactions Publicly available information Audit logging Audit logging Audit logging Audit logging Audit logging Audit logging Audit logging Monitoring system use Monitoring system use Monitoring system use Monitoring system use Monitoring system use Monitoring system use Monitoring system use Protection of log information Administrator and operator logs Fault logging Fault logging Fault logging Clock synchronization Access control policy Access control policy Access control policy Access control policy Access control policy Access control policy

ISO Hoofdstuk NIST Maatregel COMMUNICATIONS AND OPERATIONS MANAGEMSC-7 COMMUNICATIONS AND OPERATIONS MANAGEMSC-8 COMMUNICATIONS AND OPERATIONS MANAGEMSC-9 COMMUNICATIONS AND OPERATIONS MANAGEMSC-14 COMMUNICATIONS AND OPERATIONS MANAGEMSC-14 COMMUNICATIONS AND OPERATIONS MANAGEMAU-1 COMMUNICATIONS AND OPERATIONS MANAGEMAU-2 COMMUNICATIONS AND OPERATIONS MANAGEMAU-3 COMMUNICATIONS AND OPERATIONS MANAGEMAU-4 COMMUNICATIONS AND OPERATIONS MANAGEMAU-5 COMMUNICATIONS AND OPERATIONS MANAGEMAU-8 COMMUNICATIONS AND OPERATIONS MANAGEMAU-11 COMMUNICATIONS AND OPERATIONS MANAGEMAU-1 COMMUNICATIONS AND OPERATIONS MANAGEMAU-6 COMMUNICATIONS AND OPERATIONS MANAGEMAU-7 COMMUNICATIONS AND OPERATIONS MANAGEMPE-6 COMMUNICATIONS AND OPERATIONS MANAGEMPE-8 COMMUNICATIONS AND OPERATIONS MANAGEMSC-7 COMMUNICATIONS AND OPERATIONS MANAGEMSI-4 COMMUNICATIONS AND OPERATIONS MANAGEMAU-9 COMMUNICATIONS AND OPERATIONS MANAGEMAU-2 COMMUNICATIONS AND OPERATIONS MANAGEMAU-2 COMMUNICATIONS AND OPERATIONS MANAGEMAU-6 COMMUNICATIONS AND OPERATIONS MANAGEMSI-2 COMMUNICATIONS AND OPERATIONS MANAGEMAU-8 ACCESS CONTROL AC-1 ACCESS CONTROL AC-5 ACCESS CONTROL AC-6 ACCESS CONTROL AC-17 ACCESS CONTROL AC-19 ACCESS CONTROL CM-5

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 1111 1111 1121 1121 1121 1121 1121 1122 1122 1122 1122 1122 1122 1123 1124 1124 1131 1131 1132 1132 1132 1132 1132 1132 1133 1141 1141 1141 1141 1141 1142

ISO Beschrijving Access control policy Access control policy User registration User registration User registration User registration User registration Privilege management Privilege management Privilege management Privilege management Privilege management Privilege management User password management Review of user access rights Review of user access rights Password use Password use Unattended user equipment Unattended user equipment Unattended user equipment Unattended user equipment Unattended user equipment Unattended user equipment Clear desk and clear screen policy Policy on use of network services Policy on use of network services Policy on use of network services Policy on use of network services Policy on use of network services User authentication for external connections

ISO Hoofdstuk ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL ACCESS CONTROL

NIST Maatregel MP-1 SI-9 AC-1 AC-2 IA-5 PE-1 PE-2 AC-1 AC-2 AC-6 PE-1 PE-2 SI-9 IA-5 AC-2 PE-2 IA-2 IA-5 AC-11 IA-2 PE-3 PE-5 PE-18 SC-10 AC-11 AC-1 AC-5 AC-6 AC-17 AC-20 AC-17

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 1142 1142 1142 1143 1143 1144 1144 1144 1144 1144 1144 1145 1145 1145 1146 1146 1146 1146 1147 1147 1151 1151 1151 1151 1151 1151 1151 1152 1152 1152 1153

ISO Beschrijving ISO Hoofdstuk User authentication for external connections ACCESS CONTROL User authentication for external connections ACCESS CONTROL User authentication for external connections ACCESS CONTROL Equipment identification in networks ACCESS CONTROL Equipment identification in networks ACCESS CONTROL Remote diagnostic and configuration port prote ACCESS CONTROL Remote diagnostic and configuration port prote ACCESS CONTROL Remote diagnostic and configuration port prote ACCESS CONTROL Remote diagnostic and configuration port prote ACCESS CONTROL Remote diagnostic and configuration port prote ACCESS CONTROL Remote diagnostic and configuration port prote ACCESS CONTROL Segregation in networks ACCESS CONTROL Segregation in networks ACCESS CONTROL Segregation in networks ACCESS CONTROL Network connection control ACCESS CONTROL Network connection control ACCESS CONTROL Network connection control ACCESS CONTROL Network connection control ACCESS CONTROL Network routing control ACCESS CONTROL Network routing control ACCESS CONTROL Secure log-on procedures ACCESS CONTROL Secure log-on procedures ACCESS CONTROL Secure log-on procedures ACCESS CONTROL Secure log-on procedures ACCESS CONTROL Secure log-on procedures ACCESS CONTROL Secure log-on procedures ACCESS CONTROL Secure log-on procedures ACCESS CONTROL User identification and authentication ACCESS CONTROL User identification and authentication ACCESS CONTROL User identification and authentication ACCESS CONTROL Password management system ACCESS CONTROL

NIST Maatregel AC-20 CA-3 IA-2 AC-19 IA-3 AC-3 AC-6 AC-17 PE-3 MA-3 MA-4 AC-4 SA-8 SC-7 AC-3 AC-6 AC-17 SC-7 AC-4 AC-17 AC-7 AC-8 AC-9 AC-10 IA-2 IA-6 SC-10 IA-2 IA-4 IA-5 IA-2

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 1153 1154 1154 1155 1155 1156 1161 1161 1161 1161 1162 1171 1171 1171 1171 1171 1172 1172 1172 1172 1172 1172 1211 1211 1211 1221 1222 1222 1222 1223 1223

ISO Beschrijving ISO Hoofdstuk NIST Maatregel Password management system ACCESS CONTROL IA-5 Use of system utilities ACCESS CONTROL AC-3 Use of system utilities ACCESS CONTROL AC-6 Session time-out ACCESS CONTROL AC-11 Session time-out ACCESS CONTROL SC-10 Limitation of connection time ACCESS CONTROL (Leeg) Information access restriction ACCESS CONTROL AC-3 Information access restriction ACCESS CONTROL AC-6 Information access restriction ACCESS CONTROL AC-14 Information access restriction ACCESS CONTROL CM-5 Sensitive system isolation ACCESS CONTROL (Leeg) Mobile computing and communications ACCESS CONTROL AC-1 Mobile computing and communications ACCESS CONTROL AC-17 Mobile computing and communications ACCESS CONTROL AC-19 Mobile computing and communications ACCESS CONTROL PL-4 Mobile computing and communications ACCESS CONTROL PS-6 Teleworking ACCESS CONTROL AC-1 Teleworking ACCESS CONTROL AC-4 Teleworking ACCESS CONTROL AC-17 Teleworking ACCESS CONTROL PE-17 Teleworking ACCESS CONTROL PL-4 Teleworking ACCESS CONTROL PS-6 Security requirements analysis and specificatio INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-1 Security requirements analysis and specificatio INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-3 Security requirements analysis and specificatio INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-4 Input data validation INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-10 Control of internal processing INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-7 Control of internal processing INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-9 Control of internal processing INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-10 Message integrity INFORMATION SYSTEMS ACQUISITION, DEVELOPAU-10 Message integrity INFORMATION SYSTEMS ACQUISITION, DEVELOPSC-8

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 1223 1224 1231

1232 1232 1241 1241 1241 1241 1241 1241 1241 1241 1242

1243 1243 1243 1243 1243 1251 1251 1251 1252 1252 1252 1253 1253

ISO Beschrijving Message integrity Output data validation Policy on the use of cryptographic controls

Key management Key management Control of operational software Control of operational software Control of operational software Control of operational software Control of operational software Control of operational software Control of operational software Control of operational software Protection of system test data

ISO Hoofdstuk NIST Maatregel INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-7 INFORMATION SYSTEMS ACQUISITION, DEVELOP(leeg) INFORMATION SYSTEMS ACQUISITION, DEVELOPMultiple controls address cryptography (e.g., IA-7, SC-8, SC-9, SC-12, SC-13)

INFORMATION SYSTEMS ACQUISITION, DEVELOPSC-12 INFORMATION SYSTEMS ACQUISITION, DEVELOPSC-17 INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-1 INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-2 INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-3 INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-4 INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-5 INFORMATION SYSTEMS ACQUISITION, DEVELOPPL-4 INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-6 INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-7 INFORMATION SYSTEMS ACQUISITION, DEVELOPMultiple controls; protection of test data not addresses seperately in SP 800-53 (e.g., AC-3, AC-4) Access control to program source code INFORMATION SYSTEMS ACQUISITION, DEVELOPAC-3 Access control to program source code INFORMATION SYSTEMS ACQUISITION, DEVELOPAC-6 Access control to program source code INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-5 Access control to program source code INFORMATION SYSTEMS ACQUISITION, DEVELOPMA-5 Access control to program source code INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-10 Change control procedures INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-1 Change control procedures INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-3 Change control procedures INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-10 Technical review of applications after operating INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-3 Technical review of applications after operating INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-4 Technical review of applications after operating INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-2 Restrictions on changes to software packages INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-3 Restrictions on changes to software packages INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-4

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 1253 1254 1254 1255 1255 1255 1255 1255 1255 1255 1261 1261 1261 1261 1311 1311 1311 1311 1311 1312 1312 1312 1312 1321 1322 1323 1323 1411 1411 1411 1412

ISO Beschrijving ISO Hoofdstuk NIST Maatregel Restrictions on changes to software packages INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-5 Information leakage INFORMATION SYSTEMS ACQUISITION, DEVELOPAC-4 Information leakage INFORMATION SYSTEMS ACQUISITION, DEVELOPPE-19 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-1 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-4 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-6 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-7 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-8 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-9 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-11 Control of technical vulnerabilities INFORMATION SYSTEMS ACQUISITION, DEVELOPRA-3 Control of technical vulnerabilities INFORMATION SYSTEMS ACQUISITION, DEVELOPRA-5 Control of technical vulnerabilities INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-2 Control of technical vulnerabilities INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-5 Reporting information security events INFORMATION SECURITY INCIDENT MANAGEMENAU-6 Reporting information security events INFORMATION SECURITY INCIDENT MANAGEMENIR-1 Reporting information security events INFORMATION SECURITY INCIDENT MANAGEMENIR-6 Reporting information security events INFORMATION SECURITY INCIDENT MANAGEMENSi-4 Reporting information security events INFORMATION SECURITY INCIDENT MANAGEMENSI-5 Reporting security weaknesses INFORMATION SECURITY INCIDENT MANAGEMENPL-4 Reporting security weaknesses INFORMATION SECURITY INCIDENT MANAGEMENSI-2 Reporting security weaknesses INFORMATION SECURITY INCIDENT MANAGEMENSI-4 Reporting security weaknesses INFORMATION SECURITY INCIDENT MANAGEMENSI-5 Responsibilities and procedures INFORMATION SECURITY INCIDENT MANAGEMENIR-1 Learning from information security incidents INFORMATION SECURITY INCIDENT MANAGEMENIR-4 Collection of evidence INFORMATION SECURITY INCIDENT MANAGEMENAU-9 Collection of evidence INFORMATION SECURITY INCIDENT MANAGEMENIR-4 CP-1 Including information security in the business coBUSINESS CONTINUITY MANAGEMENT CP-2 Including information security in the business coBUSINESS CONTINUITY MANAGEMENT Including information security in the business coBUSINESS CONTINUITY MANAGEMENT CP-4 Business continuity and risk assessment BUSINESS CONTINUITY MANAGEMENT RA Familiy

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 1412 1412 1413 1414 1414 1415 1415 1511 1511 1512 1513 1513 1513 1513 1513 1513 1513 1514 1514 1515 1515 1515 1515 1515 1515 1516 1516 1521 1521 1521 1521

ISO Beschrijving ISO Hoofdstuk Business continuity and risk assessment BUSINESS CONTINUITY MANAGEMENT Business continuity and risk assessment BUSINESS CONTINUITY MANAGEMENT Developing and implementing continuity plans i BUSINESS CONTINUITY MANAGEMENT Business continuity planning framework BUSINESS CONTINUITY MANAGEMENT Business continuity planning framework BUSINESS CONTINUITY MANAGEMENT Testing, maintaining and re-assessing businessBUSINESS CONTINUITY MANAGEMENT Testing, maintaining and re-assessing businessBUSINESS CONTINUITY MANAGEMENT Identification of applicable legislation COMPLIANCE Identification of applicable legislation COMPLIANCE Intellectual property rights (IPR) COMPLIANCE Protection of organizational records COMPLIANCE Protection of organizational records COMPLIANCE Protection of organizational records COMPLIANCE Protection of organizational records COMPLIANCE Protection of organizational records COMPLIANCE Protection of organizational records COMPLIANCE Protection of organizational records COMPLIANCE Data protection and privacy of personal informaCOMPLIANCE Data protection and privacy of personal informaCOMPLIANCE Prevention of misuse of information processing COMPLIANCE Prevention of misuse of information processing COMPLIANCE Prevention of misuse of information processing COMPLIANCE Prevention of misuse of information processing COMPLIANCE Prevention of misuse of information processing COMPLIANCE Prevention of misuse of information processing COMPLIANCE Regulation of cryptographic controls COMPLIANCE Regulation of cryptographic controls COMPLIANCE Compliance with security policies and standard COMPLIANCE Compliance with security policies and standard COMPLIANCE Compliance with security policies and standard COMPLIANCE Compliance with security policies and standard COMPLIANCE

NIST Maatregel CP-2 PM-9 CP Familiy CP-2 CP-4 CP-2 CP-4 XX-1 controls IA-7 SA-6 AU-9 AU-11 CP-9 MP-1 MP-4 SA-5 SI-12 SI-12 PL-5 AU-6 PS-6 PS-8 SA-7 AC-8 PL-4 IA-7 SC-13 XX-1 controls AC-2 CA-2 CA-7

Bijlage 1: mapping van ISO naar de NIST

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

ISO Maatregel 1521 1521 1521 1522 1522 1522 1531 1531 1531 1532

ISO Beschrijving ISO Hoofdstuk Compliance with security policies and standard COMPLIANCE Compliance with security policies and standard COMPLIANCE Compliance with security policies and standard COMPLIANCE Technical compliance checking COMPLIANCE Technical compliance checking COMPLIANCE Technical compliance checking COMPLIANCE Information systems audit controls COMPLIANCE Information systems audit controls COMPLIANCE Information systems audit controls COMPLIANCE Protection of information systems audit tools COMPLIANCE

NIST Maatregel IA-7 PE-8 SI-12 RA-5 CA-2 CA-7 AU-1 AU-2 PL-6 AU-9

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-1 Access Control AC-2 Access Control AC-2 Access Control AC-2 Access Control AC-2 Access Control AC-2 Access Control AC-3 Access Control AC-3 Access Control AC-3 Access Control AC-3 Access Control AC-3 Access Control AC-3 Access Control AC-4 Access Control AC-4 Access Control

NIST Beschrijving Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Access Control Policy and Procedures Account Management Account Management Account Management Account Management Account Management Access Enforcement Access Enforcement Access Enforcement Access Enforcement Access Enforcement Access Enforcement Information Flow Enforcement Information Flow Enforcement

ISO Maatregel 511 512 611 613 811 1011 1081 1111 1121 1122 1141 1171 1172 1511 1512 833 1121 1122 1124 1521 1081 1144 1146 1154 1161 1242 1061 1081

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk AC-4 Access Control AC-4 Access Control AC-4 Access Control AC-4 Access Control AC-4 Access Control AC-5 Access Control AC-5 Access Control AC-5 Access Control AC-5 Access Control AC-5 Access Control AC-6 Access Control AC-6 Access Control AC-6 Access Control AC-6 Access Control AC-6 Access Control AC-6 Access Control AC-6 Access Control AC-6 Access Control AC-6 Access Control AC-6 Access Control AC-7 Access Control AC-8 Access Control AC-8 Access Control AC-8 Access Control AC-8 Access Control AC-9 Access Control AC-10 Access Control AC-11 Access Control

NIST Beschrijving Information Flow Enforcement Information Flow Enforcement Information Flow Enforcement Information Flow Enforcement Information Flow Enforcement Separation of Duties Separation of Duties Separation of Duties Separation of Duties Separation of Duties Least Privilege Least Privilege Least Privilege Least Privilege Least Privilege Least Privilege Least Privilege Least Privilege Least Privilege Least Privilege Unsuccessful Login Attempts System Use Notification System Use Notification System Use Notification System Use Notification Previous Logon Notification Concurrent Session Control Session Lock

ISO Maatregel 1145 1147 1172 1242 1254 613 811 1013 1111 1141 613 811 1111 1122 1141 1144 1146 1154 1161 1243 1151 622 811 1151 1515 1151 1151 1132

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk AC-11 Access Control AC-11 Access Control AC-12 Access Control AC-12 Access Control AC-13 Access Control AC-13 Access Control AC-14 Access Control AC-15 Access Control AC-16 Access Control AC-17 Access Control AC-17 Access Control AC-17 Access Control AC-17 Access Control AC-17 Access Control AC-17 Access Control AC-17 Access Control AC-17 Access Control AC-17 Access Control AC-17 Access Control AC-18 Access Control AC-18 Access Control AC-18 Access Control AC-19 Access Control AC-19 Access Control AC-19 Access Control AC-19 Access Control AC-20 Access Control AC-20 Access Control

NIST Beschrijving ISO Maatregel Session Lock 1133 Session Lock 1155 Session Termination 1132 Session Termination 1155 Supervision and Review—Access Control 1124 Supervision and Review—Access Control 10102 Permitted Actions without Identification or A 1161 Automated Marking 722 Automated Labeling 722 Remote Access 1061 Remote Access 1081 Remote Access 1111 Remote Access 1141 Remote Access 1142 Remote Access 1144 Remote Access 1146 Remote Access 1147 Remote Access 1171 Remote Access 1172 Wireless Access Restrictions 1142 Wireless Access Restrictions 1171 Wireless Access Restrictions 1172 Access Control for Portable and Mobile Dev 1041 Access Control for Portable and Mobile Dev 1111 Access Control for Portable and Mobile Dev 1143 Access Control for Portable and Mobile Dev 1171 Use of External Information Systems 713 Use of External Information Systems 811

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel AC-20 Access Control Use of External Information Systems 813 AC-20 Access Control Use of External Information Systems 1061 AC-20 Access Control Use of External Information Systems 1081 AC-20 Access Control Use of External Information Systems 1141 AC-20 Access Control Use of External Information Systems 1142 Awareness and Tra Security Awareness and Training Policy and 511 AT-1 Awareness and Tra Security Awareness and Training Policy and 512 AT-1 Awareness and Tra Security Awareness and Training Policy and 611 AT-1 Awareness and Tra Security Awareness and Training Policy and 613 AT-1 Awareness and Tra Security Awareness and Training Policy and 811 AT-1 Awareness and Tra Security Awareness and Training Policy and 1011 AT-1 Awareness and Tra Security Awareness and Training Policy and 1511 AT-1 Awareness and Tra Security Awareness and Training Policy and 1521 AT-1 Awareness and Tra Security Awareness 622 AT-2 Awareness and Tra Security Awareness 811 AT-2 Awareness and Tra Security Awareness 822 AT-2 Awareness and Tra Security Awareness 915 AT-2 Awareness and Tra Security Awareness 1041 AT-2 Awareness and Tra Security Training 811 AT-3 Awareness and Tra Security Training 822 AT-3 Awareness and Tra Security Training 915 AT-3 Awareness and Tra Security Training Records (leeg) AT-4 Awareness and Tra Contacts with Security Groups and Associat 617 AT-5 Audit and Accounta Audit and Accountability Policy and Procedu 511 AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 512 AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 611 AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 613 AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 811 AU-1

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 1011 Audit and Accounta Audit and Accountability Policy and Procedu 10102 AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 1511 AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 1521 AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 1531 AU-1 Audit and Accounta Auditable Events 10101 AU-2 Audit and Accounta Auditable Events 10104 AU-2 Audit and Accounta Auditable Events 10105 AU-2 Audit and Accounta Auditable Events 1531 AU-2 Audit and Accounta Content of Audit Records 10101 AU-3 Audit and Accounta Audit Storage Capacity 10101 AU-4 Audit and Accounta Audit Storage Capacity 10103 AU-4 Audit and Accounta Response to Audit Processing Failures 1031 AU-5 Audit and Accounta Response to Audit Processing Failures 10103 AU-5 Audit and Accounta Audit Monitoring, Analysis, and Reporting 10102 AU-6 Audit and Accounta Audit Monitoring, Analysis, and Reporting 10105 AU-6 Audit and Accounta Audit Monitoring, Analysis, and Reporting 1311 AU-6 Audit and Accounta Audit Monitoring, Analysis, and Reporting 1515 AU-6 Audit and Accounta Audit Reduction and Report Generation 10102 AU-7 Audit and Accounta Time Stamps 10101 AU-8 Audit and Accounta Time Stamps 10106 AU-8 Audit and Accounta Protection of Audit Information 1323 AU-9 Audit and Accounta Protection of Audit Information 1513 AU-9 Audit and Accounta Protection of Audit Information 1532 AU-9 Audit and Accounta Protection of Audit Information 10103 AU-9 Audit and Accounta Non-repudiation 1091 AU-10 Audit and Accounta Non-repudiation 1223 AU-10 Audit and Accounta Audit Record Retention 10102 AU-11

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel AU-11 Audit and Accounta Audit Record Retention 1513 Audit and Accounta Audit Record Retention 10101 AU-11 511 CA-1 Certification, AccredCertification, Accreditation, and Security Ass 512 CA-1 Certification, AccredCertification, Accreditation, and Security Ass 611 CA-1 Certification, AccredCertification, Accreditation, and Security Ass 613 CA-1 Certification, AccredCertification, Accreditation, and Security Ass 614 CA-1 Certification, AccredCertification, Accreditation, and Security Ass 811 CA-1 Certification, AccredCertification, Accreditation, and Security Ass 1011 CA-1 Certification, AccredCertification, Accreditation, and Security Ass 1511 CA-1 Certification, AccredCertification, Accreditation, and Security Ass 1521 CA-1 Certification, AccredCertification, Accreditation, and Security Ass 618 CA-2 Certification, AccredSecurity Assessments 1032 CA-2 Certification, AccredSecurity Assessments 1521 CA-2 Certification, AccredSecurity Assessments 1522 CA-2 Certification, AccredSecurity Assessments 621 CA-3 Certification, AccredInformation System Connections 623 CA-3 Certification, AccredInformation System Connections 1061 CA-3 Certification, AccredInformation System Connections 1081 CA-3 Certification, AccredInformation System Connections 1082 CA-3 Certification, AccredInformation System Connections 1085 CA-3 Certification, AccredInformation System Connections 1142 CA-3 Certification, AccredInformation System Connections 1032 CA-4 Certification, AccredSecurity Certification (leeg) CA-5 Certification, AccredPlan of Action and Milestones 614 CA-6 Certification, AccredSecurity Accreditation 1032 CA-6 Certification, AccredSecurity Accreditation 618 CA-7 Certification, AccredContinuous Monitoring 1521 CA-7 Certification, AccredContinuous Monitoring

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel CA-7 Certification, AccredContinuous Monitoring 1522 511 CM-1 Configuration Mana Configuration Management Policy and Proc 512 CM-1 Configuration Mana Configuration Management Policy and Proc 611 CM-1 Configuration Mana Configuration Management Policy and Proc 613 CM-1 Configuration Mana Configuration Management Policy and Proc 811 CM-1 Configuration Mana Configuration Management Policy and Proc 1011 CM-1 Configuration Mana Configuration Management Policy and Proc 1012 CM-1 Configuration Mana Configuration Management Policy and Proc 1241 CM-1 Configuration Mana Configuration Management Policy and Proc 1251 CM-1 Configuration Mana Configuration Management Policy and Proc 1511 CM-1 Configuration Mana Configuration Management Policy and Proc 1521 CM-1 Configuration Mana Configuration Management Policy and Proc 1241 CM-2 Configuration Mana Baseline Configuration 1014 CM-2 Configuration Mana Baseline Configuration 1011 CM-3 Configuration Mana Configuration Change Control 1012 CM-3 Configuration Mana Configuration Change Control 1032 CM-3 Configuration Mana Configuration Change Control 1241 CM-3 Configuration Mana Configuration Change Control 1251 CM-3 Configuration Mana Configuration Change Control 1252 CM-3 Configuration Mana Configuration Change Control 1253 CM-3 Configuration Mana Configuration Change Control 1012 CM-4 Configuration Mana Monitoring Configuration Changes 1032 CM-4 Configuration Mana Monitoring Configuration Changes 1241 CM-4 Configuration Mana Monitoring Configuration Changes 1252 CM-4 Configuration Mana Monitoring Configuration Changes 1253 CM-4 Configuration Mana Monitoring Configuration Changes 1012 CM-5 Configuration Mana Access Restrictions for Change 1111 CM-5 Configuration Mana Access Restrictions for Change

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel CM-5 Configuration Mana Access Restrictions for Change 1161 1241 CM-5 Configuration Mana Access Restrictions for Change 1243 CM-5 Configuration Mana Access Restrictions for Change 1253 CM-5 Configuration Mana Access Restrictions for Change (leeg) CM-6 Configuration Mana Configuration Settings (leeg) CM-7 Configuration Mana Least Functionality 711 CM-8 Configuration Mana Information System Component Inventory 712 CM-8 Configuration Mana Information System Component Inventory 511 CP-1 Contingency Planni Contingency Planning Policy and Procedure 512 CP-1 Contingency Planni Contingency Planning Policy and Procedure 611 CP-1 Contingency Planni Contingency Planning Policy and Procedure 613 CP-1 Contingency Planni Contingency Planning Policy and Procedure 811 CP-1 Contingency Planni Contingency Planning Policy and Procedure 914 CP-1 Contingency Planni Contingency Planning Policy and Procedure 1011 CP-1 Contingency Planni Contingency Planning Policy and Procedure 1012 CP-1 Contingency Planni Contingency Planning Policy and Procedure 1411 CP-1 Contingency Planni Contingency Planning Policy and Procedure 1413 CP-1 Contingency Planni Contingency Planning Policy and Procedure 1511 CP-1 Contingency Planni Contingency Planning Policy and Procedure 1521 CP-1 Contingency Planni Contingency Planning Policy and Procedure CP-2 Contingency Planni Contingency Plan 612 CP-2 Contingency Planni Contingency Plan 914 CP-2 Contingency Planni Contingency Plan 1031 CP-2 Contingency Planni Contingency Plan 1411 CP-2 Contingency Planni Contingency Plan 1412 CP-2 Contingency Planni Contingency Plan 1413 CP-2 Contingency Planni Contingency Plan 1414 CP-2 Contingency Planni Contingency Plan 1415

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel CP-3 Contingency Planni Contingency Training 822 CP-3 Contingency Planni Contingency Training 914 CP-3 Contingency Planni Contingency Training 1413 CP-4 Contingency Planni Contingency Plan Testing and Exercises 612 CP-4 Contingency Planni Contingency Plan Testing and Exercises 914 CP-4 Contingency Planni Contingency Plan Testing and Exercises 1411 CP-4 Contingency Planni Contingency Plan Testing and Exercises 1413 CP-4 Contingency Planni Contingency Plan Testing and Exercises 1414 CP-4 Contingency Planni Contingency Plan Testing and Exercises 1415 CP-5 Contingency Planni Contingency Plan Update 1413 CP-5 Contingency Planni Contingency Plan Update 1415 CP-6 Contingency Planni Alternate Storage Site 914 CP-6 Contingency Planni Alternate Storage Site 1413 CP-7 Contingency Planni Alternate Processing Site 914 CP-7 Contingency Planni Alternate Processing Site 1413 CP-8 Contingency Planni Telecommunications Services 914 CP-8 Contingency Planni Telecommunications Services 1061 CP-8 Contingency Planni Telecommunications Services 1413 CP-9 Contingency Planni Information System Backup 914 CP-9 Contingency Planni Information System Backup 1051 CP-9 Contingency Planni Information System Backup 1413 CP-9 Contingency Planni Information System Backup 1513 914 CP-10 Contingency Planni Information System Recovery and Reconstit 1413 CP-10 Contingency Planni Information System Recovery and Reconstit 511 IA-1 Identification and AuIdentification and Authentication Policy and 512 IA-1 Identification and AuIdentification and Authentication Policy and 611 IA-1 Identification and AuIdentification and Authentication Policy and 613 IA-1 Identification and AuIdentification and Authentication Policy and

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel IA-1 Identification and AuIdentification and Authentication Policy and 811 1011 IA-1 Identification and AuIdentification and Authentication Policy and 1121 IA-1 Identification and AuIdentification and Authentication Policy and 1511 IA-1 Identification and AuIdentification and Authentication Policy and 1521 IA-1 Identification and AuIdentification and Authentication Policy and 1132 IA-2 Identification and AuUser Identification and Authentication 1151 IA-2 Identification and AuUser Identification and Authentication 1152 IA-2 Identification and AuUser Identification and Authentication 1153 IA-2 Identification and AuUser Identification and Authentication 1143 IA-3 Identification and AuDevice Identification and Authentication 1152 IA-4 Identification and AuIdentifier Management 1121 IA-5 Identification and AuAuthenticator Management 1123 IA-5 Identification and AuAuthenticator Management 1131 IA-5 Identification and AuAuthenticator Management 1152 IA-5 Identification and AuAuthenticator Management 1153 IA-5 Identification and AuAuthenticator Management 1151 IA-6 Identification and AuAuthenticator Feedback 1231 IA-7 Identification and AuCryptographic Module Authentication 1511 IA-7 Identification and AuCryptographic Module Authentication 1516 IA-7 Identification and AuCryptographic Module Authentication 1521 IA-7 Identification and AuCryptographic Module Authentication IR-1 Incident Response Incident Response Policy and Procedures 511 IR-1 Incident Response Incident Response Policy and Procedures 512 IR-1 Incident Response Incident Response Policy and Procedures 611 IR-1 Incident Response Incident Response Policy and Procedures 613 IR-1 Incident Response Incident Response Policy and Procedures 811 IR-1 Incident Response Incident Response Policy and Procedures 1011 IR-1 Incident Response Incident Response Policy and Procedures 1311

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk IR-1 Incident Response IR-1 Incident Response IR-1 Incident Response IR-2 Incident Response IR-3 Incident Response IR-4 Incident Response IR-4 Incident Response IR-4 Incident Response IR-5 Incident Response IR-6 Incident Response IR-6 Incident Response IR-7 Incident Response MA-1 Maintenance MA-1 Maintenance MA-1 Maintenance MA-1 Maintenance MA-1 Maintenance MA-1 Maintenance MA-1 Maintenance MA-1 Maintenance MA-1 Maintenance MA-2 Maintenance MA-3 Maintenance MA-3 Maintenance MA-4 Maintenance MA-4 Maintenance MA-5 Maintenance MA-5 Maintenance

NIST Beschrijving ISO Maatregel Incident Response Policy and Procedures 1321 Incident Response Policy and Procedures 1511 Incident Response Policy and Procedures 1521 Incident Response Training 822 Incident Response Testing and Exercises (leeg) Incident Handling 612 Incident Handling 1322 Incident Handling 1323 Incident Monitoring (leeg) Incident Reporting 616 Incident Reporting 1311 Incident Response Assistance (leeg) 511 System Maintenance Policy and Procedures 512 System Maintenance Policy and Procedures 611 System Maintenance Policy and Procedures 613 System Maintenance Policy and Procedures 811 System Maintenance Policy and Procedures 924 System Maintenance Policy and Procedures 1011 System Maintenance Policy and Procedures 1511 System Maintenance Policy and Procedures 1521 System Maintenance Policy and Procedures Controlled Maintenance 924 Maintenance Tools 924 Maintenance Tools 1144 Remote Maintenance 924 Remote Maintenance 1144 Maintenance Personnel 1243 Maintenance Personnel 924

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk MA-6 Maintenance MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-1 Media Protection MP-2 Media Protection MP-2 Media Protection MP-2 Media Protection MP-3 Media Protection MP-3 Media Protection MP-3 Media Protection MP-4 Media Protection MP-4 Media Protection MP-4 Media Protection MP-4 Media Protection MP-5 Media Protection MP-5 Media Protection MP-5 Media Protection MP-5 Media Protection

NIST Beschrijving Timely Maintenance Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Protection Policy and Procedures Media Access Media Access Media Access Media Labeling Media Labeling Media Labeling Media Storage Media Storage Media Storage Media Storage Media Transport Media Transport Media Transport Media Transport

ISO Maatregel 924 511 512 611 613 811 1011 1071 1072 1073 1111 1511 1513 1521 722 1071 1073 722 1071 1073 1071 1073 1074 1513 925 927 1071 1073

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel MP-5 Media Protection Media Transport 1083 MP-6 Media Protection Media Sanitization and Disposal 926 MP-6 Media Protection Media Sanitization and Disposal 1071 MP-6 Media Protection Media Sanitization and Disposal 1072 MP-6 Media Protection Media Sanitization and Disposal 1073 511 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 512 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 611 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 613 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 811 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 914 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 921 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 922 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1011 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1111 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1121 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1122 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1511 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1521 PE-1 Physical and EnviroPhysical and Environmental Protection Polic 915 PE-2 Physical and EnviroPhysical Access Authorizations 1121 PE-2 Physical and EnviroPhysical Access Authorizations 1122 PE-2 Physical and EnviroPhysical Access Authorizations 1124 PE-2 Physical and EnviroPhysical Access Authorizations 911 PE-3 Physical and EnviroPhysical Access Control 912 PE-3 Physical and EnviroPhysical Access Control 913 PE-3 Physical and EnviroPhysical Access Control 915 PE-3 Physical and EnviroPhysical Access Control 916 PE-3 Physical and EnviroPhysical Access Control

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving PE-3 Physical and EnviroPhysical Access Control PE-3 Physical and EnviroPhysical Access Control PE-4 Physical and EnviroAccess Control for Transmission Medium PE-4 Physical and EnviroAccess Control for Transmission Medium PE-4 Physical and EnviroAccess Control for Transmission Medium PE-5 Physical and EnviroAccess Control for Display Medium PE-5 Physical and EnviroAccess Control for Display Medium PE-5 Physical and EnviroAccess Control for Display Medium PE-5 Physical and EnviroAccess Control for Display Medium PE-6 Physical and EnviroMonitoring Physical Access PE-6 Physical and EnviroMonitoring Physical Access PE-6 Physical and EnviroMonitoring Physical Access PE-7 Physical and EnviroVisitor Control PE-7 Physical and EnviroVisitor Control PE-7 Physical and EnviroVisitor Control PE-8 Physical and EnviroAccess Records PE-8 Physical and EnviroAccess Records PE-8 Physical and EnviroAccess Records PE-9 Physical and EnviroPower Equipment and Power Cabling PE-9 Physical and EnviroPower Equipment and Power Cabling PE-9 Physical and EnviroPower Equipment and Power Cabling PE-10 Physical and EnviroEmergency Shutoff PE-11 Physical and EnviroEmergency Power PE-11 Physical and EnviroEmergency Power PE-12 Physical and EnviroEmergency Lighting PE-13 Physical and EnviroFire Protection PE-14 Physical and EnviroTemperature and Humidity Controls PE-15 Physical and EnviroWater Damage Protection

ISO Maatregel 1132 1144 913 915 923 912 913 1061 1132 912 915 10102 912 915 916 915 10102 1521 914 922 923 914 914 922 922 914 922 914

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel PE-16 Physical and EnviroDelivery and Removal 916 927 PE-16 Physical and EnviroDelivery and Removal 1071 PE-16 Physical and EnviroDelivery and Removal 925 PE-17 Physical and EnviroAlternate Work Site 1172 PE-17 Physical and EnviroAlternate Work Site 921 PE-18 Physical and EnviroLocation of Information System Components 1132 PE-18 Physical and EnviroLocation of Information System Components 1254 PE-19 Physical and EnviroInformation Leakage PL-1 Planning Security Planning Policy and Procedures 511 PL-1 Planning Security Planning Policy and Procedures 512 PL-1 Planning Security Planning Policy and Procedures 611 PL-1 Planning Security Planning Policy and Procedures 612 PL-1 Planning Security Planning Policy and Procedures 613 PL-1 Planning Security Planning Policy and Procedures 811 PL-1 Planning Security Planning Policy and Procedures 1011 PL-1 Planning Security Planning Policy and Procedures 1511 PL-1 Planning Security Planning Policy and Procedures 1521 PL-2 Planning System Security Plan (leeg) PL-3 Planning System Security Plan Update (leeg) PL-4 Planning Rules of Behavior 615 PL-4 Planning Rules of Behavior 622 PL-4 Planning Rules of Behavior 713 PL-4 Planning Rules of Behavior 811 PL-4 Planning Rules of Behavior 813 PL-4 Planning Rules of Behavior 821 PL-4 Planning Rules of Behavior 915 PL-4 Planning Rules of Behavior 1081 PL-4 Planning Rules of Behavior 1171

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk PL-4 Planning PL-4 Planning PL-4 Planning PL-4 Planning PL-5 Planning PL-6 Planning PL-6 Planning PS-1 Personnel Security PS-1 Personnel Security PS-1 Personnel Security PS-1 Personnel Security PS-1 Personnel Security PS-1 Personnel Security PS-1 Personnel Security PS-1 Personnel Security PS-2 Personnel Security PS-3 Personnel Security PS-4 Personnel Security PS-4 Personnel Security PS-4 Personnel Security PS-5 Personnel Security PS-5 Personnel Security PS-5 Personnel Security PS-6 Personnel Security PS-6 Personnel Security PS-6 Personnel Security PS-6 Personnel Security PS-6 Personnel Security

NIST Beschrijving ISO Maatregel Rules of Behavior 1172 Rules of Behavior 1241 Rules of Behavior 1312 Rules of Behavior 1515 Privacy Impact Assessment 1514 Security-Related Activity Planning 612 Security-Related Activity Planning 1531 Personnel Security Policy and Procedures 511 Personnel Security Policy and Procedures 512 Personnel Security Policy and Procedures 611 Personnel Security Policy and Procedures 613 Personnel Security Policy and Procedures 811 Personnel Security Policy and Procedures 1011 Personnel Security Policy and Procedures 1511 Personnel Security Policy and Procedures 1521 Position Categorization 811 Personnel Screening 812 Personnel Termination 831 Personnel Termination 832 Personnel Termination 833 Personnel Transfer 831 Personnel Transfer 832 Personnel Transfer 833 Access Agreements 615 Access Agreements 811 Access Agreements 813 Access Agreements 821 Access Agreements 915

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk PS-6 Personnel Security PS-6 Personnel Security PS-6 Personnel Security PS-6 Personnel Security PS-7 Personnel Security PS-7 Personnel Security PS-7 Personnel Security PS-7 Personnel Security PS-8 Personnel Security PS-8 Personnel Security RA-1 Risk Assessment RA-1 Risk Assessment RA-1 Risk Assessment RA-1 Risk Assessment RA-1 Risk Assessment RA-1 Risk Assessment RA-1 Risk Assessment RA-1 Risk Assessment RA-1 Risk Assessment RA-2 Risk Assessment RA-2 Risk Assessment RA-3 Risk Assessment RA-3 Risk Assessment RA-3 Risk Assessment RA-3 Risk Assessment RA-3 Risk Assessment RA-3 Risk Assessment RA-4 Risk Assessment

NIST Beschrijving Access Agreements Access Agreements Access Agreements Access Agreements Third-Party Personnel Security Third-Party Personnel Security Third-Party Personnel Security Third-Party Personnel Security Personnel Sanctions Personnel Sanctions Risk Assessment Policy and Procedures Risk Assessment Policy and Procedures Risk Assessment Policy and Procedures Risk Assessment Policy and Procedures Risk Assessment Policy and Procedures Risk Assessment Policy and Procedures Risk Assessment Policy and Procedures Risk Assessment Policy and Procedures Risk Assessment Policy and Procedures Security Categorization Security Categorization Risk Assessment Risk Assessment Risk Assessment Risk Assessment Risk Assessment Risk Assessment Risk Assessment Update

ISO Maatregel 1081 1171 1172 1515 623 811 821 813 823 1515 511 512 611 613 811 1011 1412 1511 1521 721 1412 621 1023 1261 1412 41 42 41

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel RA-5 Risk Assessment Vulnerability Scanning 1261 RA-5 Risk Assessment Vulnerability Scanning 1522 511 SA-1 System and ServiceSystem and Services Acquisition Policy and 512 SA-1 System and ServiceSystem and Services Acquisition Policy and 611 SA-1 System and ServiceSystem and Services Acquisition Policy and 613 SA-1 System and ServiceSystem and Services Acquisition Policy and 621 SA-1 System and ServiceSystem and Services Acquisition Policy and 811 SA-1 System and ServiceSystem and Services Acquisition Policy and 1011 SA-1 System and ServiceSystem and Services Acquisition Policy and 1211 SA-1 System and ServiceSystem and Services Acquisition Policy and 1255 SA-1 System and ServiceSystem and Services Acquisition Policy and 1511 SA-1 System and ServiceSystem and Services Acquisition Policy and 1521 SA-1 System and ServiceSystem and Services Acquisition Policy and 612 SA-2 System and ServiceAllocation of Resources 1031 SA-2 System and ServiceAllocation of Resources 1211 SA-3 System and ServiceLife Cycle Support 1211 SA-4 System and ServiceAcquisitions 1255 SA-4 System and ServiceAcquisitions 1074 SA-5 System and ServiceInformation System Documentation 1513 SA-5 System and ServiceInformation System Documentation 1241 SA-6 System and ServiceSoftware Usage Restrictions 1255 SA-6 System and ServiceSoftware Usage Restrictions 1512 SA-6 System and ServiceSoftware Usage Restrictions 1241 SA-7 System and ServiceUser Installed Software 1255 SA-7 System and ServiceUser Installed Software 1512 SA-7 System and ServiceUser Installed Software 1041 SA-8 System and ServiceSecurity Engineering Principles 1042 SA-8 System and ServiceSecurity Engineering Principles

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel SA-8 System and ServiceSecurity Engineering Principles 1145 1255 SA-8 System and ServiceSecurity Engineering Principles 615 SA-9 System and ServiceExternal Information System Services 621 SA-9 System and ServiceExternal Information System Services 623 SA-9 System and ServiceExternal Information System Services 811 SA-9 System and ServiceExternal Information System Services 821 SA-9 System and ServiceExternal Information System Services 1021 SA-9 System and ServiceExternal Information System Services 1022 SA-9 System and ServiceExternal Information System Services 1023 SA-9 System and ServiceExternal Information System Services 1062 SA-9 System and ServiceExternal Information System Services 1082 SA-9 System and ServiceExternal Information System Services 1255 SA-9 System and ServiceExternal Information System Services 1243 SA-10 System and ServiceDeveloper Configuration Management 1251 SA-10 System and ServiceDeveloper Configuration Management 1255 SA-10 System and ServiceDeveloper Configuration Management 1032 SA-11 System and ServiceDeveloper Security Testing 1255 SA-11 System and ServiceDeveloper Security Testing 511 SC-1 System and CommuSystem and Communications Protection Po 512 SC-1 System and CommuSystem and Communications Protection Po 611 SC-1 System and CommuSystem and Communications Protection Po 613 SC-1 System and CommuSystem and Communications Protection Po 811 SC-1 System and CommuSystem and Communications Protection Po 1011 SC-1 System and CommuSystem and Communications Protection Po 1511 SC-1 System and CommuSystem and Communications Protection Po 1521 SC-1 System and CommuSystem and Communications Protection Po 1041 SC-2 System and CommuApplication Partitioning 1042 SC-2 System and CommuApplication Partitioning

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving SC-3 System and CommuSecurity Function Isolation SC-3 System and CommuSecurity Function Isolation SC-3 System and CommuSecurity Function Isolation SC-3 System and CommuSecurity Function Isolation SC-4 System and CommuInformation in Shared Resources SC-5 System and CommuDenial of Service Protection SC-6 System and CommuResource Priority SC-7 System and CommuBoundary Protection SC-7 System and CommuBoundary Protection SC-7 System and CommuBoundary Protection SC-7 System and CommuBoundary Protection SC-7 System and CommuBoundary Protection SC-7 System and CommuBoundary Protection SC-7 System and CommuBoundary Protection SC-7 System and CommuBoundary Protection SC-7 System and CommuBoundary Protection SC-7 System and CommuBoundary Protection SC-8 System and CommuTransmission Integrity SC-8 System and CommuTransmission Integrity SC-8 System and CommuTransmission Integrity SC-8 System and CommuTransmission Integrity SC-8 System and CommuTransmission Integrity SC-8 System and CommuTransmission Integrity SC-8 System and CommuTransmission Integrity SC-9 System and CommuTransmission Confidentiality SC-9 System and CommuTransmission Confidentiality SC-9 System and CommuTransmission Confidentiality SC-9 System and CommuTransmission Confidentiality

ISO Maatregel 1041 1042 1091 1092 (leeg) 1031 (leeg) 621 1041 1042 1061 1081 1091 1092 10102 1145 1146 1042 1061 1062 1091 1092 1223 1231 1061 1062 1091 1092

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel SC-9 System and CommuTransmission Confidentiality 1231 1061 SC-10 System and CommuNetwork Disconnect 1132 SC-10 System and CommuNetwork Disconnect 1151 SC-10 System and CommuNetwork Disconnect 1155 SC-10 System and CommuNetwork Disconnect (leeg) SC-11 System and CommuTrusted Path 1232 SC-12 System and CommuCryptographic Key Establishment and Mana 1231 SC-13 System and CommuUse of Cryptography 1516 SC-13 System and CommuUse of Cryptography 1041 SC-14 System and CommuPublic Access Protections 1042 SC-14 System and CommuPublic Access Protections 1091 SC-14 System and CommuPublic Access Protections 1092 SC-14 System and CommuPublic Access Protections 1093 SC-14 System and CommuPublic Access Protections (leeg) SC-15 System and CommuCollaborative Computing 722 SC-16 System and CommuTransmission of Security Parameters 1081 SC-16 System and CommuTransmission of Security Parameters 1232 SC-17 System and CommuPublic Key Infrastructure Certificates 1042 SC-18 System and CommuMobile Code 1061 SC-19 System and CommuVoice Over Internet Protocol 1061 SC-20 System and CommuSecure Name /Address Resolution Service ( 1061 SC-21 System and CommuSecure Name /Address Resolution Service ( 1061 SC-22 System and CommuArchitecture and Provisioning for Name/Add 1061 SC-23 System and CommuSession Authenticity 511 SI-1 System and InformaSystem and Information Integrity Policy and 512 SI-1 System and InformaSystem and Information Integrity Policy and 611 SI-1 System and InformaSystem and Information Integrity Policy and 613 SI-1 System and InformaSystem and Information Integrity Policy and

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel SI-1 System and InformaSystem and Information Integrity Policy and 811 1011 SI-1 System and InformaSystem and Information Integrity Policy and 1511 SI-1 System and InformaSystem and Information Integrity Policy and 1521 SI-1 System and InformaSystem and Information Integrity Policy and 10105 SI-2 System and InformaFlaw Remediation 1252 SI-2 System and InformaFlaw Remediation 1261 SI-2 System and InformaFlaw Remediation 1312 SI-2 System and InformaFlaw Remediation 1041 SI-3 System and InformaMalicious Code Protection 10102 SI-4 System and InformaInformation System Monitoring Tools and Te 1311 SI-4 System and InformaInformation System Monitoring Tools and Te 1312 SI-4 System and InformaInformation System Monitoring Tools and Te 10102 SI-5 System and InformaSecurity Alerts, Advisories, and Directives 1311 SI-5 System and InformaSecurity Alerts, Advisories, and Directives 1312 SI-5 System and InformaSecurity Alerts, Advisories, and Directives (leeg) SI-6 System and InformaSecurity Functionality Verification 1041 SI-7 System and InformaSoftware and Information Integrity 1222 SI-7 System and InformaSoftware and Information Integrity 1223 SI-7 System and InformaSoftware and Information Integrity (leeg) SI-8 System and InformaSpam Protection 1081 SI-9 System and InformaInformation Input Restrictions 1111 SI-9 System and InformaInformation Input Restrictions 1122 SI-9 System and InformaInformation Input Restrictions 1222 SI-9 System and InformaInformation Input Restrictions 1221 SI-10 System and InformaInformation Accuracy, Completeness, Validi 1222 SI-10 System and InformaInformation Accuracy, Completeness, Validi (leeg) SI-11 System and InformaError Handling 1073 SI-12 System and InformaInformation Output Handling and Retention

Bijlage 2: mapping van NIST naar ISO

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel SI-12 System and InformaInformation Output Handling and Retention 1513 1514 SI-12 System and InformaInformation Output Handling and Retention 1521 SI-12 System and InformaInformation Output Handling and Retention

Bijlage 3: mapping van ISO naar de ISF Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

ISO maatregel 511 512 611 611 612 612 613 613 614 615 616 617 618 621 621 621 622 622 623 623 711 711 712 713 713 713 713 713 721 721 721 722 811 812 813 821 822 822 823 823 831 832 832 833 833 833 911 912 913 914

ISO beschrijving Information security policy document Review of the information security policy Management commitment to information security Management commitment to information security Information security co-ordination Information security co-ordination Allocation of information security responsibilities Allocation of information security responsibilities Authorization process for information processing facilities Confidentiality agreements Contact with authorities Contact with special interest groups Independent review of information security Identification of risks related to external parties Identification of risks related to external parties Identification of risks related to external parties Addressing security when dealing with customers Addressing security when dealing with customers Addressing security in third party agreements Addressing security in third party agreements Inventory of assets Inventory of assets Ownership of assets Acceptable use of assets Acceptable use of assets Acceptable use of assets Acceptable use of assets Acceptable use of assets Classification guidelines Classification guidelines Classification guidelines Information labeling and handling Roles and responsibilities Screening Terms and conditions of employment Management responsibilities Information security awareness, education, and training Information security awareness, education, and training Disciplinary process Disciplinary process Termination responsibilities Return of assets Return of assets Removal of access rights Removal of access rights Removal of access rights Physical security perimeter Physical entry controls Securing offices, rooms, and facilities Protecting against external and environmental threats

ISF Maatregel 30 56 30 41 39 54 28 54 72 65

56 27 43 70 43 70 43 70 4 37 54 14 21 35 46 75 5 9 34 25 54 65 65 41 57 58 30 57 65 4 54 1 24 54 45 45 45 22

Bijlage 3: mapping van ISO naar de ISF Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

ISO maatregel 914 915 916 921 922 922 922 923 923 923 924 924 924 925 925 926 927 927 1011 1012 1013 1014 1021 1021 1021 1022 1022 1023 1023 1031 1032 1032 1032 1032 1041 1042 1051 1061 1061 1061 1062 1062 1062 1071 1072 1073 1074 1074 1081 1082

ISO beschrijving Protecting against external and environmental threats Working in secure areas Public access, delivery, and loading areas Equipment siting and protection Supporting utilities Supporting utilities Supporting utilities Cabling security Cabling security Cabling security Equipment maintenance Equipment maintenance Equipment maintenance Security of equipment off-premises Security of equipment off-premises Secure disposal or re-use of equipment Removal of property Removal of property Documented operating procedures Change management Segregation of duties Separation of development, test, and operational facilities Service delivery Service delivery Service delivery Monitoring and review of third party services Monitoring and review of third party services Managing changes to third party services Managing changes to third party services Capacity management System acceptance System acceptance System acceptance System acceptance Controls against malicious code Controls against mobile code Information back-up Network controls Network controls Network controls Security of network services Security of network services Security of network services Management of removable media Disposal of media Information handling procedures Security of system documentation Security of system documentation Information exchange policies and procedures Exchange agreements

ISF Maatregel 45 45 45 22 22 45 53 22 45 53 22 45 53 52 76 21 4 54 54 8 54 12 43 61 70 43 61 8 56 66 50 67 68 69 40 40 6 42 59 60 42 59 60 21 21 21 11 42 70 70

Bijlage 3: mapping van ISO naar de ISF Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

ISO maatregel 1083 1084 1084 1084 1084 1085 1085 1085 1085 1091 1091 1091 1091 1091 1092 1092 1092 1093 1093 10101 10101 10102 10102 10103 10103 10103 10104 10104 10105 10106 1111 1111 1121 1121 1121 1122 1122 1122 1123 1123 1124 1124 1124 1131 1131 1131 1131 1131 1131 1131

ISO beschrijving Physical media in transit Electronic messaging Electronic messaging Electronic messaging Electronic messaging Business information systems Business information systems Business information systems Business information systems Electronic commerce Electronic commerce Electronic commerce Electronic commerce Electronic commerce On-line transactions On-line transactions On-line transactions Publicly available information Publicly available information Audit logging Audit logging Monitoring system use Monitoring system use Protection of log information Protection of log information Protection of log information Administrator and operator logs Administrator and operator logs Fault logging Clock synchronization Access control policy Access control policy User registration User registration User registration Privilege management Privilege management Privilege management User password management User password management Review of user access rights Review of user access rights Review of user access rights Password use Password use Password use Password use Password use Password use Password use

ISF Maatregel 21 14 33 63 73 5 9 34 64 3 13 49 71 74 11 38 49 25 26 36 66 36 66 5 25 34 36 66 66 18 1 30 1 24 71 1 52 54 1 72 1 24 56 1 2 3 10 16 20 24

Bijlage 3: mapping van ISO naar de ISF Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

ISO maatregel 1131 1131 1131 1131 1131 1131 1131 1131 1131 1131 1131 1132 1132 1133 1133 1133 1133 1133 1141 1141 1142 1142 1142 1143 1143 1143 1144 1144 1145 1145 1145 1145 1146 1146 1146 1146 1147 1147 1147 1151 1151 1151 1152 1152 1152 1152 1153 1153 1154 1154

ISO beschrijving Password use Password use Password use Password use Password use Password use Password use Password use Password use Password use Password use Unattended user equipment Unattended user equipment Clear desk and clear screen policy Clear desk and clear screen policy Clear desk and clear screen policy Clear desk and clear screen policy Clear desk and clear screen policy Policy on use of network services Policy on use of network services User authentication for external connections User authentication for external connections User authentication for external connections Equipment identification in networks Equipment identification in networks Equipment identification in networks Remote diagnostic and configuration port protection Remote diagnostic and configuration port protection Segregation in networks Segregation in networks Segregation in networks Segregation in networks Network connection control Network connection control Network connection control Network connection control Network routing control Network routing control Network routing control Secure log-on procedures Secure log-on procedures Secure log-on procedures User identification and authentication User identification and authentication User identification and authentication User identification and authentication Password management system Password management system Use of system utilities Use of system utilities

ISF Maatregel 30 46 49 51 52 57 58 67 71 72 74 30 52 9 21 23 30 45 7 30 1 24 71 4 10 71 17 51 17 31 42 55 1 24 30 71 10 16 17 1 62 71 1 24 71 72 1 72 3 23

Bijlage 3: mapping van ISO naar de ISF Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

ISO maatregel 1155 1155 1156 1156 1161 1161 1161 1161 1161 1162 1162 1162 1162 1162 1171 1171 1171 1171 1172 1172 1211 1211 1211 1211 1211 1221 1221 1221 1221 1222 1222 1222 1222 1223 1223 1223 1223 1223 1223 1224 1224 1224 1224 1231 1231 1232 1232 1241 1241 1241

ISO beschrijving Session time-out Session time-out Limitation of connection time Limitation of connection time Information access restriction Information access restriction Information access restriction Information access restriction Information access restriction Sensitive system isolation Sensitive system isolation Sensitive system isolation Sensitive system isolation Sensitive system isolation Mobile computing and communications Mobile computing and communications Mobile computing and communications Mobile computing and communications Teleworking Teleworking Security requirements analysis and specification Security requirements analysis and specification Security requirements analysis and specification Security requirements analysis and specification Security requirements analysis and specification Input data validation Input data validation Input data validation Input data validation Control of internal processing Control of internal processing Control of internal processing Control of internal processing Message integrity Message integrity Message integrity Message integrity Message integrity Message integrity Output data validation Output data validation Output data validation Output data validation Policy on the use of cryptographic controls Policy on the use of cryptographic controls Key management Key management Control of operational software Control of operational software Control of operational software

ISF Maatregel 23 76 16 62 1 3 30 71 72 1 9 17 25 42 33 46 63 73 51 52 2 5 9 19 34 2 3 12 19 2 3 13 19 2 3 11 12 19 34 2 3 12 19 11 30 11 30 2 3 40

Bijlage 3: mapping van ISO naar de ISF Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

ISO maatregel 1241 1242 1243 1243 1243 1243 1243 1251 1251 1251 1251 1251 1252 1252 1252 1253 1253 1253 1254 1255 1255 1261 1261 1261 1311 1311 1311 1311 1312 1312 1312 1312 1312 1312 1312 1312 1312 1321 1321 1321 1321 1322 1322 1322 1322 1322 1323 1411 1411 1411

ISO beschrijving Control of operational software Protection of system test data Access control to program source code Access control to program source code Access control to program source code Access control to program source code Access control to program source code Change control procedures Change control procedures Change control procedures Change control procedures Change control procedures Technical review of applications after operating system changes Technical review of applications after operating system changes Technical review of applications after operating system changes Restrictions on changes to software packages Restrictions on changes to software packages Restrictions on changes to software packages Information leakage Outsourced software development Outsourced software development Control of technical vulnerabilities Control of technical vulnerabilities Control of technical vulnerabilities Reporting information security events Reporting information security events Reporting information security events Reporting information security events Reporting security weaknesses Reporting security weaknesses Reporting security weaknesses Reporting security weaknesses Reporting security weaknesses Reporting security weaknesses Reporting security weaknesses Reporting security weaknesses Reporting security weaknesses Responsibilities and procedures Responsibilities and procedures Responsibilities and procedures Responsibilities and procedures Learning from information security incidents Learning from information security incidents Learning from information security incidents Learning from information security incidents Learning from information security incidents Collection of evidence Including information security in the business continuity management process Including information security in the business continuity management process Including information security in the business continuity management process

ISF Maatregel 47 69 12 15 44 71 72 8 15 44 47 68 8 47 69 8 15 44 9 12 43 4 23 60 28 29 30 54 2 4 12 28 29 30 54 67 69 28 29 30 54 18 28 29 30 57 7 41 57

Bijlage 3: mapping van ISO naar de ISF Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

ISO maatregel 1412 1412 1413 1413 1413 1414 1415 1511 1511 1511 1511 1511 1512 1512 1512 1513 1513 1513 1513 1514 1514 1514 1515 1515 1515 1516 1516 1521 1521 1522 1531 1531 1531 1531 1531 1532 1532 1532 1532 1532

ISO beschrijving Business continuity and risk assessment Business continuity and risk assessment Developing and implementing continuity plans including information security Developing and implementing continuity plans including information security Developing and implementing continuity plans including information security Business continuity planning framework Testing, maintaining and re-assessing business continuity plans Identification of applicable legislation Identification of applicable legislation Identification of applicable legislation Identification of applicable legislation Identification of applicable legislation Intellectual property rights (ipr) Intellectual property rights (ipr) Intellectual property rights (ipr) Protection of organizational records Protection of organizational records Protection of organizational records Protection of organizational records Data protection and privacy of personal information Data protection and privacy of personal information Data protection and privacy of personal information Prevention of misuse of information processing facilities Prevention of misuse of information processing facilities Prevention of misuse of information processing facilities Regulation of cryptographic controls Regulation of cryptographic controls Compliance with security policies and standards Compliance with security policies and standards Technical compliance checking Information systems audit control Information systems audit control Information systems audit control Information systems audit control Information systems audit control Protection of information systems audit tools Protection of information systems audit tools Protection of information systems audit tools Protection of information systems audit tools Protection of information systems audit tools

ISF Maatregel 7 27 7 41 57 7 7 26 28 38 43 70 38 43 70 5 25 34 38 25 26 38 14 33 38 11 38 30 38 38 56 1 41 54 56 1 9 45 56 71

Bijlage 4: totaaloverzicht IB

D

De kubus van McCumber voor Information Assurance

InfoSEC model

Ook: kubus van Bautz WCC

Wet op de computercriminaliteit Voorheen: Wet Persoonsregistratie

Risico analyse en plannings methode Carnegie Mellon / CERT D CMM

Wet voor de bescherming van persoonsgegevens D

Mi.i.v. 1-9-2001 WBP College Bescherming Persoonsgegevens

Octave

Zie ook:

D CMMI

Wetgeving

D CBP

D SSE-CMM

Documenten Archiefwet WGBO

Wet op de geneeskundige behandelingsovereenkomst

D

 Common Body of Knowledge

CISSP

Certificering op het gebied van SecMgmt D D

Common Criteria v3



Common Criteria for IT Security Evaluation = NEN 15408

Voorloper:

D Bundesamt fur Sicherheit in der Informationstechnik BSI

Best practices voor IT inrichting

Manual 2004

Baseline Protection Manual

Gedragscode van de zorgverzekeraar Convenant Privacy NPCF-ZN

D Zorgverzekeraars NL

D

Gedragscode bescherming persoonsgegevens zorgverzekeraar

Generally Accepted System Security Principles

GASSP

Nu: GAISP

Protocol materiële controle

Sprint Branche

Speerpuntenonderzoek M&O-beleid

Voor complexe organisaties

D CTZ

D

Regeling administratie en controle ziekenfondsen ZFW

D Citicus One Opgevolgd door

IRAM

D Verbond Nederlandse Verzekeraars

Gedragscode Verzekeraars

D D KNMG

Richtlijnen inzake het omgaan met medische gegevens

Overige regelgeving

ROB

National Institute of Standards en Technology D Computer Security Resource Center

Business Continuity planning en crisismanagement Financiële Instellingen Risicoanalyse Methode

ISF Standard of good practice

Guidelines

Vragenlijst ICT-risico´s bij verzekeraars en pensioenfondsen

D

SARA

The Information Security forum

NIST-CSRC

DNB

FIRM

 Bijlage D: Beoordelingscriteria beheersing

 Visie op toezicht 2006-2010

D

Overheid

BCM

Business Continuity Model

Rainbow series VIR D Rijksarchiefinspectie D Binnenlandse zaken D

D Guidelines

D Asis International

Rijksoverheid

D Security Toolkit

Best practices Modellen

Code Tabaksblat

Mitre

Security Normen & Standaarden

D Common Vulnerabilities and Exposures Platform Informatiebeveiliging

Rol van accountant bij controle op jaarrekening D SAS70 verklaring IT Governance institute

Voor outsourcing:

PViB Sarbanes Oxley Genootschap voor Informatiebeveilging

a.k.a. SOX

D IT Control objectives

D Health Insurance Portability and Accountability Act

 Basisnormen IB

HIPAA

US D GTAG

Vergelijkbaar met NEN7510

Internationale regelgeving

D Revised International Capital Framework Bancaire wereld Intenationaal opererend

Institute of D Internal Auditors

D FFIEC

Information Technology Examination Handbook

gebaseerd op

D GAIT Guide to Assessment of general IT controls

Basel II

Operationeel Risico management framework

Global Technology Audit Guide

Krediet risico's Verzekeraars

Financiële reservers - risicomanagement D Solvency II

 Windows Server 2003

EU

Waarschijnlijk 2010 van kracht D Data Protection Commisionar

D

 Defense in Depth

D Security Configuration Guides

NSA

 Infosec Glossary  BEA WebLogic Platform Security Guide

Data Protection Directive

D International Fincial Reporting Standard

IFRS

Voor NL: Code Tabaksblat Gedragsregels voor D

IT governance D

Auditing Six Sigma

17799 Self assessment checklist Risico beheer

CoBIT

Enterprise Risk Management

D Coso

D Cramm

Integrated Framework

PAS 65

DRM toolkit

D Microsoft Operations Framework

D

MOF

D

IT Service CMM

D Security Risk Self-Assessment

Coras Cosso

Checklist

Tools

D BSI-DISC guideline

Beheer

IT Security Management

 ITIL 

Geïntegreerde informatiebeveiliging

D

GrIB

D Cobra Ondersteund A&K analyse Achterhaald

Security Normen en Standaarden.mmp - 11-11-2008 - v93 - Bert van Ingen

Esaka

IT Service Continuity managment

Bijlage 5: overzicht ISO standaarden

Informatiebeveiliging in de zorg

Algemeen

NEN 7511-1 2005 NEN 7511-2 2005 

Subs

NEN 7511-3

NEN 7510

2005

Vertrouwensbasis voor gegevensuitwisseling

Kwaliteit

2004

ISO 9001

NEN 7512 2005

Governance

Afgeleid van NEN-ISO 17799:2005 Beveiligde gebruikeridentificatie voor de gezondheidszorg

Beheer en veiligheid voor authenticatie door middel van wachtwoorden

ISO 9000

NEN-EN 12251

normcie 303001



Risicomanagement

1997

normcie 390012

Beveiliging van communicatie

Beveiligde gegevenselementen

ENV 13608-2

Opvolger van

ISO/IEC PRF 29382

2008

NPR-ISO/IEC Guide 73

NVN-ENV 12924

Indeling van beveiliging en bescherming van informatiesystemen in de gezondheidszorg

ENV 13608-1

ISO 38500

Medische Informatica

2004

Concepten en terminologie

Corporate Governance of Information Technology



Verklarende woordenlijst Richtlijnen voor het gebruik in normen

2002  BS 31100

Code of Practice for Risk Management

Draft 2008

2000 ENV 13608

2000 ENV 13608-3

Kanalen voor beveiligde gegevens

System Security Engineering

2000

D

Capability Maturity Model

NEN-ISO 21827

D

2002 BS 25777 series

BS 25777-1



Managing and planning

Techniques for the management of IT Security Wordt vervangen door ISO/IEC 13335-2 Selection of Safeguards Wordt vervangen door ISO/IEC 13335-2 Management guidance on network security Wordt vervangen door ISO/IEC 18028-1



D

ISO/IEC TR 13335-2

 BCM Part 2- Specification

BS 25999-2 

GIMTS

ISO/IEC TR 13335-3

ISO 25999 series

ISO/IEC 13335

Business Continuity

Guidelines for the management of IT security

ISO/IEC TR 13335-4 2000



Opvolger van PAS 77

2001

PAS 56:2003

D

BIP 2142

The Route Map to Business Continuity Management.

2007

Gerelateerd

ISO Security

ISO/IEC TR 13335-5

D

BIP 2151

D

BIP 2034

D

BIP2143

Auditing Business Continuity Management Plans Disaster and Emergency Management Systems Delivering successful business continuity management exercises Nieuwe nummering voor CvIB

Information security management

M.i.v. 2007

Evaluatiecriteria voor IT veiligheid 15408-1

Information security management system

2005



15408-2

ISO/IEC 15408

2005 15408-3 2005

Security information objects for access control

Information Technology I

Network Security Architecture





Gelijk aan: ISO17799:2005 

ISO 27002

Information Technology II normcie 381027

18028-2

ISO 27003 D ISO 27000 series Information Security Managment

BS 7799-1

Information security management system implementation guidance



Voorloper

Measuring the effectiveness of your ISMS implementations based on ISO/IEC 27001

Information security risk management ISO/IEC 18028



IT Network Security

18028-4

ISO 27005



18028-5

ISO 27006 2007

2006

Overview and framework

D

15443-1

Assurance methods

D

15443-2

ISO 15443

Analysis of assurance methods

D

15443-3

IT security assurance



Service Management

ISO 24762 2008

Asset management Specification for the optimized management of physical assets

D PAS 55-1

Guidelines for the application of PAS 55-1

D PAS 55-2

2008

2008

Security Normen en Standaarden - ISO.mmp - 12-11-2008 - v19 - Bert van Ingen

ISO versie van BS 7799-3

PAS 55

2006 Requirements for bodies providing audit and certification of information security management systems

ISO 27007

ISMS Auditor Guidelines

ISO 27011

Information security management guidelines for telecommunications

ISO 20000-1

Specification

2005

ISO 20000 series

Guidelines for information and communications technology disaster recovery services



2008

2005 

BIP 0074 2006

2005

Securing communications across networks using virtual private networks

Code of practice for information security management

Information security management metrics and measurements ISO 27004

18028-3

Securing remote access

Code voor informatiebeveiliging

2005

NEN-ISO/IEC 15816

2006



NEN-ISO/IEC 17799

Voorheen

2007

2006 Securing communications between networks using security gateways

Managementsysteem voor informatiebeveiliging

2002/2000

18028-1



NEN 7799-2 2004



Security Techniques

2002 Vervangt ISO/IEC TR 13335-5



Voorheen Code of Practice

normcie 381027

2004

ISO 27001 2005

=Common Criteria

invulling van

NPR-ISO/IEC TR 15446

Guide for the production of Protection Profiles and Security Targets

Network Security Management

 Draft

2007

1998 



2006

1997 

 BCM Part 1- Code of practice

BS 25999-1

ISO/IEC 13335-1 2004

Vervangen door ISO/IEC 13335-1

Code of practice for information and communications technology

draft

ICT Continuity

Concepts and models

SSE-CMM



ISO 20000-2 2005

Code of practice

 CvIB controls

Bijlage 6: expert brief

PvIB Expertbrief – Januari 2009 1

Een Standaard keuze!

Mark van der Beek Ranil Korf Hendrik-Jan Smit Vincent Alwicher Bart Bokhorst Erno Duinhoven Bert van Ingen Kees Jongejans

De aanleiding voor deze expertbrief is de groeiende behoefte aan een methode die leidt tot een adequate selectie van te implementeren informatiebeveiligingstandaarden. Door de vele standaarden die inmiddels bestaan binnen het vakgebied, zien we soms door de bomen het bos niet meer. Welke standaarden moeten we wanneer hanteren? Zijn alle standaarden even zinvol en/of toepasbaar in elke sector? Wat voor soort standaarden zijn er? Zomaar een greep uit de vragen die over dit onderwerp spelen. Deze expertgroep heeft zich gebogen over de vraag hoe zo’n proces eruit zou kunnen zien om te komen tot een adequate selectie van informatiebeveiligingstandaarden. Pagina 2

INLEIDING

3

DE

3

STANDAARDEN

EN SITUATIESCHETS

Jeroen Lambregts Paul Petraeus Steven Timmer

O N D E R ZO E K S VR A G E N

VOOR I N F O R M A T I EB E V E I L I G I N G

• •

Standaarden in het algemeen Standaarden binnen informatiebeveiliging

5

P R O C E S V O O R S EL E C T I E • De te doorlopen stappen

7

H U L P MI D D E L :

9

DISCUSSIEPUNTEN

10

SELECTIECRITERIA



CONCLUSIES 

EN VERVOLG

Standaarden voor informatiebeveiliging

2

I NLEIDING EN SITUATIESCHETS Tegenwoordig kunnen we niet meer om standaarden heen. Van een standaard voor het zetten van thee (ISO 3103) tot een standaard die drieletter codes definieert voor valuta (ISO 4217). Overal kom je ze tegen. Ook binnen het werkveld informatiebeveiliging hebben we met diverse nationale maar ook internationale standaarden te maken. In de afgelopen periode lijkt het aantal standaarden zelfs exponentieel te zijn gegroeid. Deze wildgroei aan standaarden binnen het vakgebied informatiebeveiliging dwingt tot het maken van keuzes. Immers het conformeren aan alle bestaande standaarden brengt hoge kosten met zich mee en is praktisch onmogelijk. Er is een groot aantal redenen die het maken van een weloverwogen keuze van een standaard rechtvaardigen, zoals: • Standaarden zijn er in overvloed; • Standaarden overlappen elkaar vaak; • Standaarden richten zich op verschillende partijen en/of niveaus in organisaties; • Standaarden kunnen verschillende structuren en benaderingen hebben; • Standaarden worden in verschillende talen aangeboden; • Standaarden kunnen zich richten op verschillende soorten controls, zoals: proces controls, business controls, technische controls, applicatieve controls, user controls, etcetera; • Standaarden kunnen variëren van technologie-afhankelijk tot technologieonafhankelijk; • Standaarden worden aangeboden en /of verplicht gesteld door diverse partijen; De grote hoeveelheid aan beschikbare standaarden maakt het voor een organisatie een uitdaging om te komen tot een adequate selectie van standaarden. Adequaat betekent onder meer dat de gekozen standaarden bijdragen aan het behalen van de bedrijfsdoelstellingen en dat wordt voldaan aan de vereisten en ‘best practices’ van een mogelijke externe (regulerende) omgeving. Tevens dienen de gekozen standaarden te passen bij de cultuur en de volwassenheid van een organisatie. De vraag is nu hoe men kan komen tot een juiste selectie van standaarden. Een specifieke methodiek om te komen tot een keuze bestaat helaas niet. Dit is natuurlijk vreemd aangezien standaarden een uiterst relevant onderdeel vormen binnen het vakgebied informatiebeveiliging. Een groep van informatiebeveiligingsexperts heeft tijdens een expertsessie, naar aanleiding van bovenstaande situatieschets, gekeken hoe het selectieproces van informatiebeveiligingstandaarden eruit zou kunnen zien. Het streven is om uiteindelijk een ‘standaard’ te ontwikkelen die een proces beschrijft voor het selecteren van standaarden. Deze publicatie is een weergave van de resultaten van de expertsessie en is tot stand gekomen met medewerking van de op de voorpagina genoemde personen met Vincent Alwicher als probleemeigenaar, Erno Duinhoven als facilitator en Mark van der Beek, Ranil Korf en Hendrik-Jan Smit als ghostwriters, in het kader van hun afstudeeronderzoek (IT-audit opleiding) aan de Vrije Universiteit te Amsterdam.

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

Standaarden voor informatiebeveiliging

D E ONDERZOEKSVRAGEN De expertgroep heeft zich gebogen over de volgende centrale vraagstelling: Wat is het ideale proces voor het selecteren van de meest geschikte en effectieve set van informatiebeveilingstandaarden? Om deze vraag te beantwoorden zijn we tijdens de expertsessie tot de volgende twee deelvragen gekomen, welke de expertgroep graag wil beantwoorden: • •

Welke stappen moeten worden doorlopen bij het selectieproces? Wat zijn de criteria waarop je de diverse standaarden van elkaar kan onderscheiden? Hierdoor kan een gerichte keuze gemaakt worden tussen verschillende (gedeeltes van) standaarden.

De expertgroep heeft zich vooraf gerealiseerd dat het onwaarschijnlijk is dat deze vragen in één expertsessie volledig beantwoord konden worden. Uiteindelijk wil zij door vervolgactiviteiten wel graag een volledig antwoord kunnen formuleren. Bovenal verwacht de expertgroep, met de in deze expertbrief voorgestelde aanpak, een doorstart te maken naar een serieuze aanpak die kan doorgroeien tot een methodiek.

S TANDAARDEN VOOR INFORMATIEBEVEILIGING Standaarden in het algemeen Wat is nu precies een standaard? Een standaard zet een principe of norm neer en kan aangeven hoe deze moet worden uitgewerkt en geïmplementeerd. In essentie is het een set van ‘best practices’ die zijn ontwikkeld door experts in het vakgebied. Standaarden ontstaan door praktijkervaring en beschikbare bestaande kennis in het vakgebied te combineren. Hier dient een zorgvuldig proces van totstandkoming aan vooraf te gaan wil het zinvolle resultaten opleveren. Er kan onderscheid gemaakt worden in: • Bedrijfsspecifieke standaard (gehanteerd binnen een bepaalde organisatie) • Industriestandaard (gehanteerd door een min of meer officiële groep bedrijven) • De facto standaard (door de markt zelf bepaald) • De jure standaard (door bevoegd overheidsorgaan voorgeschreven) Standaarden binnen informatiebeveiliging Er bestaan diverse standaarden binnen het vakgebied informatiebeveiliging. Het toepassen van informatiebeveiligingstandaarden is bedoeld om de beveiliging van informatie te optimaliseren, met name gericht op de aspecten: vertrouwelijkheid, integriteit en beschikbaarheid. In het navolgende zullen enkele belangrijke uitgevende organisaties van standaarden, met daarbij een aantal belangrijke standaarden, worden toegelicht. Het is niet de bedoeling een compleet overzicht te geven, maar om een indruk te geven van de diversiteit aan beschikbare standaarden.

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

3

Standaarden voor informatiebeveiliging

4

ISO De International Organization for Standardization (ISO) is een internationale organisatie die normen vaststelt. De organisatie is een samenwerkingsverband van nationale standaardisatieorganisaties in 156 landen. ISO heeft op het gebied van informatie technologie een samenwerkingsverband met IEC (the International Electrotechnical Commission), waaruit onder andere de ISO 27000 serie is ontstaan. Enkele relevante en bekende informatiebeveiligingsstandaarden van ISO, met betrekking tot informatiebeveiliging, betreffen ISO 27001 en ISO 27002. De ISO 27001 specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ‘Information Security Management System’ (ISMS). ISO 27002, beter bekend als de ‘Code voor Informatiebeveiliging’, beschrijft normen en maatregelen, die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. Naast deze standaarden heeft ISO vele gedetailleerde (operationele) informatiebeveiligingstandaarden uitgegeven. NIST De ‘National Institute of Standards and Technology’ (NIST) is een onderdeel van het Amerikaanse ministerie van Economische Zaken. Bij NIST worden standaarden, voor Amerikaanse overheidsinstanties ontwikkeld ter bevordering van de innovatie en industriële concurrentie in de VS. Een relevante en bekende standaard van NIST betreft NIST SP 800-53: ‘Recommended Security Controls for Federal Information Systems'. In deze standaard worden de minimale beveiligingsmaatregelen opgesomd voor het realiseren van een acceptabel niveau van informatiebeveiliging. Naast deze standaard heeft NIST vele gedetailleerde (operationele) informatiebeveiligingstandaarden uitgegeven. ISF Het Information Security Forum (ISF) is een internationale onafhankelijke non-profit organisatie gericht op benchmarking en best practices van informatiebeveiliging. The Standard of Good Practice (SGOP) is een belangrijke publicatie uit het ISF programma. Deze standaarden bieden gedetailleerde documentatie van geïdentificeerde ‘best practices’ voor informatiebeveiliging. ISACA De ‘Information Systems Audit and Control Association’ (ISACA) is een Amerikaanse beroepsvereniging van IT-auditors en informatiebeveiligers. ISACA heeft als doel de uitoefening van het audit vakgebied op een hoger plan te brengen door het verder professionaliseren van het vakgebied en de leden van de vereniging te ondersteunen bij het uitoefenen van hun vak. Eind jaren negentig werd een algemeen raamwerk voor algemene IT-beheersmaatregelen ontwikkeld door ISACA en het IT Governance Institute (ITGI). Dit zijn de’Control Objectives for Information and related Technology’, oftewel CoBiT. Het CobiT framework is gebaseerd op het principe dat organisaties voorzien dienen te worden van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. CoBiT staat momenteel vooral in de vernieuwde belangstelling doordat deze bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

Standaarden voor informatiebeveiliging

COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd.

P ROCES VOOR SELECTIE Om een keuze te maken voor standaarden die passend zijn voor een organisatie is het belangrijk om een gedegen selectieproces in te gaan. Echter voordat wordt gestart met het selectieproces, is het belangrijk te beseffen dat het in principe een keuze is voor de middellange tot lange termijn (>2 jaar). Het heroverwegen van gemaakte keuzes en overstappen naar andere standaarden is niet wenselijk. Dit hangt samen met kosten die het implementeren van standaarden met zich mee brengt, maar ook de (extra) kosten die gemaakt moeten worden indien men overschakelt naar andere standaarden. Hier kan men bijvoorbeeld denken aan de opgedane kennis en ervaring met een standaard die verloren gaat bij het overstappen naar een andere standaard. De te doorlopen stappen In deze paragraaf schetsen wij globaal een proces dat organisaties kunnen hanteren om te komen tot een keuze voor standaarden. Het proces bestaat uit de volgende stappen: 1. Bepalen ‘key stakeholders’; 2. Vaststelen score criteria van de ‘key stakeholders’; 3. Keuze (o.b.v. gewogen criteria); 4. ‘Nazorg’. De verschillende stappen worden hieronder nader uitgewerkt. Stap 1: Bepalen ‘key stakeholders’ De eerste stap is het bepalen van de ‘key stakeholders’ met betrekking tot informatiebeveiliging binnen de organisatie. Bijvoorbeeld de afdeling Internal Audit, de Information Security Officer, de CEO en de CFO. Deze stap in het proces draagt bij aan het creëren van een breed draagvlak en acceptatie voor de gekozen standaarden. Zonder dit draagvlak zal het implementeren van de gekozen standaarden een moeizaam proces worden en zal het wellicht vertraging van de implementatie met zich meebrengen. Stap 2: Input ‘key stakeholders’ Het zijn de ‘key stakeholders’ die bepalen wat de belangrijkste aspecten zijn in de keuze voor bepaalde standaarden. Om de ‘key stakeholders’ handvatten te bieden zijn hier criteria opgesteld waarmee standaarden van elkaar kunnen worden onderscheiden. De volgende criteria zijn naar aanleiding van de expertsessie en een literatuurstudie opgesteld: • breedte • diepte • flexibiliteit • ratio • kosten • acceptatie • taal

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

5

Standaarden voor informatiebeveiliging

6

Deze lijst is niet uitputtend en kan voor individuele situaties aangevuld worden. Het inzicht hoe bepaalde standaarden ‘scoren’ op de diverse criteria is essentieel in het keuzeproces. Nadat het gehele proces is geschetst, zullen we een omschrijving geven van de verschillende criteria en is een eerste exercitie gedaan om de eerder besproken standaarden te positioneren op basis van deze criteria. De naar aanleiding hiervan ontstane tabel is een belangrijk hulpmiddel bij het selectieproces. Stap 3: Keuze (o.b.v. gewogen criteria) De volgende stap in het proces is het uiteindelijk komen tot een keuze voor de meest passende standaard(en). Deze keuze is gebaseerd op de verschillende wegingen per criteria, toegekend door de diverse stakeholders en wordt uitgesproken door het verantwoordelijke management. Hierbij is het van belang dat de keuze van bepaalde standaarden aansluit op de bedrijfsdoelstellingen. Stap 4: ‘Nazorg’ De laatste stap betreft de nazorg van de gemaakte keuze, ofwel is de keuze nog steeds de juiste. Als de standaarden slecht blijken te zijn geïmplementeerd, was het wellicht de verkeerde keuze en moeten andere standaarden worden overwogen.

In de volgende figuur is het proces schematisch weergegeven:

Stap 1:

Bepalen key stakeholders ‘Scoren’ +

‘Wegen’ Stap 2:

Input key stakeholders Hulpmiddel: Criteria

Stap 3:

Keuze (o.b.v. gewogen criteria) ‘Uitkomst’

Stap 4:

Nazorg

Om het uiteindelijke gebruik van de standaarden te vergemakkelijken wordt geadviseerd aan te sluiten bij dominante stromen die bepaalde zaken voorschrijven binnen de organisatie, bijvoorbeeld: compliance, risicomanagement, kwaliteitsdenken, -etc. Hiermee wordt het draagvlak en de acceptatie vergroot.

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

Standaarden voor informatiebeveiliging

H ULPMIDDEL : SELECTIECRITERIA Om een goede afweging te maken tussen bepaalde standaarden moeten ze onderling vergeleken kunnen worden. Hiertoe zijn selectiecriteria opgesteld. Wij hebben hierbij gekozen voor vier standaarden die onderling vergelijkbaar zijn: ISO 27002, NIST SP 800-53, ISF Standard of Good Practice en COBIT 4.1. Waar nodig zal worden verwezen naar overige standaarden uit de betreffende reeks (bijvoorbeeld in het geval van ISO, naar ISO 27001). Daarnaast is het goed om in het achterhoofd te houden dat de selectiecriteria niet per se een positieve of negatieve impact hebben op een keuze. Bijvoorbeeld een breed geaccepteerde norm betekent niet meteen dat deze het beste past bij een bepaalde organisatie. Of dat minder brede standaarden niet nog steeds zeer bruikbaar zijn op bepaalde onderdelen omdat deze standaarden erg diepgaand zijn uitgewerkt. Met andere woorden, de factoren zijn bruikbaar om de verschillende standaarden te vergelijken, echter men kan niet verwachten dat een ‘hogere’ score altijd beter is. In het navolgende worden allereerst de onderscheiden criteria toegelicht. Breedte Dekt de betreffende standaard de belangrijkste beveiligingsdomeinen die de organisatie als belangrijk identificeert? Domeinen kunnen zowel IT als niet IT gerelateerd zijn (zoals fysieke en personele beveiliging). Diepte: Bevatten de standaarden informatie op zowel strategisch, tactisch als operationeel gebied? Bijvoorbeeld: ISO werkt doelstellingen, beheersingsmaatregelen en implementatierichtlijnen gedetailleerd uit (tactisch en operationeel gebied) waar CobiT meer algemene doelstellingen geeft en minder concreet over de invulling er van spreekt (strategisch). Flexibiliteit: Kunnen andere gebruikers dan informatiebeveiligers de standaarden gebruiken? Bijvoorbeeld het management en/of auditor voor het aantonen van interne beheersing. Ratio: Beschrijven de standaarden de redenen van de opgesomde maatregelen? Doordat de ratio is opgenomen is het voor gebruikers makkelijker om de toepasbaarheid en consistentie vast te stellen. Acceptatie: Hoe breed zijn de standaarden geaccepteerd binnen het vakgebied? Is er bijvoorbeeld veel discussie omtrent de inhoud van bepaalde standaarden of is er een algemene, negatieve of positieve, mening over gebruik van bepaalde standaarden. Taal: Zijn de standaarden alleen in het Engels te verkrijgen, of is er ook een Nederlandse vertaling beschikbaar? Kosten: Gaan er kosten gepaard met de aanschaf van standaarden? Zijn er eventueel delen gratis? De kanttekening die hierbij wel moet worden gemaakt is dat de kosten voor de bronliteratuur ten opzichte van het totale invoeringstraject van de standaarden marginaal zijn. (cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

7

Standaarden voor informatiebeveiliging

8

In de onderstaande tabel zijn de eerder besproken standaarden gepositioneerd ten aanzien van de criteria. Criteria

1

Breedte

Diepte:

Flexibiliteit:

ISO

NIST

• Dekt de hoofdgebieden van IB • Onderwerpen overzichtelijk gerangschikt

• Dekt de hoofdgebieden van IB • Onderwerpen versnipperd behandeld • Veel productstandaarden • Tactisch en operationeel • Tactisch niet heel uitgebreid uitgewerkt in NIST SP 800-53, echter wel verder, verspreid, uitgewerkt in overige NIST reeksen. • Weinig gebruik door anderen dan IB specialisten .

• Tactisch en operationeel • Management cyclus is opgenomen in 27001.

• Weinig gebruik door anderen dan IB specialisten • Doelstellingen hangen samen met richtlijnen

Ratio:

Acceptatie:

Taal:

• Meest geaccepteerde norm in Nederland

• Nederlands en Engels • Gehele reeks betaald

• Op basis van een risk assessment kunnen de minimale beveiligingsmaatregelen worden geselecteerd (NIST SP 14, FIPS 199+200). • Verplicht voor US federale overheid • Private sector beperkt.

COBIT • •

Beperkt op het gebied van IB Niet specifiek IB, gericht op de beheersing van IT in het algemeen

• Strategisch en tactisch • Operationeel niet uitgewerkt. • Verwijst naar ISO • Kent ook specifieke COBIT Practices en Security Baselines

• Tactisch en operationeel

• Veel gebruik door anderen dan IB specialisten • Verbondenheid met audit processen (auditor) • Elementen hangen samen met business drivers en input en output

• Weinig gebruik door anderen dan IB specialisten

• Goede ondersteuning voor Sox compliance • Breed geaccepteerd

• Niet breed geaccepteerd • Met name geaccepteerd door leden ISF. • Bv niet in US • Engels

• Engels

• Engels

• Gehele reeks gratis

• Betaald

Kosten:

1

ISF • Dekt de hoofdgebieden van IB • Periodieke update en eventuele aanpassingen

• Principes hangen samen met doelstellingen

• De standaard (SGOP) is gratis. • Overige producten tegen een betaald lidmaatschap.

Voor meer informatie over de uitkomsten met betrekking tot dit criterium verwijzen wij naar het gerelateerde afstudeeronderzoek “Standaarden, is door de bomen het bos nog te zien?”

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

Standaarden voor informatiebeveiliging

9 D ISCUSSIEPUNTEN Tijdens de expertsessie zijn discussies gevoerd over verschillende aspecten en invalshoeken. Niet elke discussie was relevant voor het beantwoorden van de onderzoeksvraag van deze expertbrief. Wij vinden het wel relevant om deze discussiepunten hier vast te leggen, omdat bepaalde onderwerpen als input kunnen dienen voor eventuele (vervolg)expertbrieven. Ontwerpcriteria voor standaarden Uit discussie is gebleken dat een aantal criteria wel als erg nuttig worden ervaren. Echter geen van de standaarden heeft deze criteria verwerkt. Hierbij betreft het de volgende criteria: • De mate waarin de standaard proces- en productnormen onderscheiden; • De mate waarin de verhouding klant versus leverancier is verwerkt; • De mate waarin een volwassenheidsmodel is opgenomen in de standaarden; • De mate van prioriteitsstelling binnen de standaarden aan de hand van een risicomodel. ISO 27001 als standaardnorm: de linking pin naar andere beveiligingsstandaarden ISO 27001 wordt in de meeste gevallen gezien als een referentiekader en kan daarmee worden beschouwd als de linking pin. Sommige standaarden verwijzen zelfs naar ISO 27001, zoals bijvoorbeeld COBIT. Mapping Het nut van mapping blijft een punt van discussie. Op dit moment zijn er mappings tussen standaarden uitgevoerd welke alle voornamelijk gericht zijn op overeenkomsten. Een overzicht welke gericht is op de hiaten lijkt veel zinvoller, aangezien dan duidelijk wordt welke onderwerpen missen wanneer voor bepaalde standaarden wordt gekozen. Het idee van een ‘draaitabel’ wordt geopperd. Dit maakt het mogelijk de mapping uit verschillende invalshoeken te bekijken. Overkoepelende standaard voor standaarden Een algemeen toepasbare overkoepelende standaard voor standaarden lijkt niet nuttig. Indien er een standaard voor standaarden zou bestaan, welke alle informatie zou bevatten van de huidige standaarden, zou deze groot en onoverzichtelijk zijn en niet toegankelijk. Uitbesteden van IT Het kan voorkomen dat een aanbieder (aan wie IT werkzaamheden zijn uitbesteed) beschikt over een reeks gebruikte standaarden. Het is mogelijk dat deze niet voldoen aan de eisen van de afnemer. Deze wenst vaak dat voldaan wordt aan zijn standaarden en daarmee komt de aanbieder in een lastige situatie gezien de vaak vele afnemers. Ook komt de relatie tussen aanbieder en afnemer in vrijwel geen enkele standaard terug. Gezien de ontwikkelingen in de markt, waarbij steeds meer activiteiten worden uitbesteed, is de vraag of deze ketenafhankelijkheid en verhoudingen zijn verwerkt in een standaard, steeds belangrijker. Bijvoorbeeld bij ISO is hierover niets te vinden. Vorig jaar heeft de NOREA, in samenwerking met het PVIB, hiervoor een apart studierapport uitgegeven.

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

Standaarden voor informatiebeveiliging

10

C ONCLUSIES EN VERVOLG De expertgroep is er deels in geslaagd om antwoorden te geven op de gestelde vragen. Er is op hoofdlijnen een proces geschetst welke kan helpen bij het kiezen van standaarden (of alleen bepaalde delen). Het geschetste proces behoeft echter nog nadere uitwerking, in detail, om daadwerkelijk een praktisch handvat te bieden bij het selecteren van standaarden. Er zijn belangrijke selectiecriteria onderscheiden die een rol spelen in het proces om te komen tot een selectie van standaarden. Daarnaast is een eerste aanzet gegeven enkele relevante standaarden naar deze selectiecriteria te ‘scoren’. Tot slot zijn in de discussie nuttige constateringen gedaan die kunnen helpen bij het verder uitwerken van de openstaande punten. Hoe verder? Door de complexiteit van de materie en de beperkte tijd waarin dit onderwerp besproken is, zijn er nog vele vragen onbeantwoord gebleven: 1. Zijn we in staat om op basis van deze aanzet een raamwerk te maken van verschillende standaarden die bestaan? 2. Een aantal selectiecriteria zijn onderkend. Welke selectiecriteria zijn nog meer te onderkennen? 3. Zijn de weergegeven standaarden correct ‘gescoord’ op de onderkende selectiecriteria? Daarnaast waren er nog en groot aantal vragen die bij de opzet van de probleemstelling buiten beschouwing zijn gelaten zoals opgenomen in bijlage 1.

Deze expertbrief is niet meer dan een aanzet om een bredere vakinhoudelijke discussie op gang te brengen, waarbij de input van zoveel mogelijk betrokkenen gewenst is. De expertgroep nodigt u dan ook uit om te reageren. U kunt uw reacties sturen naar [email protected]. Ook indien u deze expertbrief heeft kunnen waarderen stellen wij een emailtje op prijs! Op de site www.ibpedia.nl kunt u meewerken aan verdere verrijking en kennisdeling over IBstandaarden en andere onderwerpen met betrekking tot informatiebeveiliging. Iedereen is van harte uitgenodigd om hieraan deel te nemen.

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

Standaarden voor informatiebeveiliging

B IJLAGE 1 Definities - Wat is de definitie van een standaard? - Wat zijn de definities van gebruikte termen in de standaard? - Moeten standaarden termen gebruiken als moeten of mogen en is dat relevant, waarom? En in welke omstandigheden? Structuur van de standaarden - Wat voor type IB standaarden zijn er? - Zijn er verschillende gebruikersgroepen? Waarom (niet), wie zijn zij? - Moeten standaarden gekoppeld zijn met organisatiedoelstellingen? Waarom (niet)? - Is een link met bedrijfsprocessen belangrijk? Waarom (niet)? En hoe zou dit er uit zien? - Is een link met architectuur belangrijk? Waarom (niet)? En hoe zou dit er uit zien? Selectie van standaarden - Welke organisaties kunnen goede kwalitatieve standaarden uitgeven? - Wat is een betrouwbare organisatie? Wat zijn hiervoor de criteria? - Hoe beïnvloedt het volwassenheidsniveau van de organisatie de selectie en het gebruik van standaarden? - Hebben organisaties verschillende behoeften met betrekking tot standaarden? Waarom (niet)? Bijvoorbeeld: o organisaties waarbij IT kern activiteit is o organisaties waarbij IT niet kern activiteit is o organisaties die hun IT activiteiten hebben uitbesteed o organisaties die wel en niet vallen onder wet- en regelgeving van de overheid met betrekking tot IB. - Hoe wordt de kwaliteit van standaarden bepaald? Wat zijn hiervoor de criteria? Hoe is de continuïteit van standaarden gewaarborgd? - Zijn er verschillen in kwaliteit van standaarden uitgegeven door een commerciële of niet commerciële instelling? Implementatie van standaarden - Hoe worden de toepassingsgebieden en de maatregelen in scope van standaarden bepaald? - Wanneer is een implementatie van standaarden succesvol? Wat zijn hiervoor de criteria? Hoe kan dat worden gemeten?

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

11

Standaarden voor informatiebeveiliging

12

L ITERATUURLIJST Voor het tot stand brengen van deze expertbrief heeft de werkgroep de volgende literatuur geraadpleegd: Main bodies: • ISO 27000 reeks • • •

NIST reeks ISF SOGP COBIT 4.1

http://www.27000.org/ http://www.iso27001security.com/ http://www2.nen.nl/nen/servlet/dispatcher.Dispatcher?id=1924 37 http://csrc.nist.gov/ https://www.securityforum.org/ http://www.isaca.org/

Artikelen: • Aligning COBIT 4.1, ITIL v3 and ISO/IEC 27002 for business benefit, ITGI and OGC, 2008

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

Standaarden voor informatiebeveiliging

APPENDIX G EBRUIKTE LICENTIEVORM De expertbrief wordt gepubliceerd onder de volgende licentie: http://creativecommons.org/licenses/by/3.0/nl/

Deze pagina ziet er op het moment van schrijven als volgt uit:

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

13

Standaarden voor informatiebeveiliging

14

W ORDT LID VAN HET P V IB, SPEEL OP Z EKER EN BEVEILIG SAMEN …

Informatiebeveiliging is reeds jaren lang een noodzakelijk, spannend en dynamisch vakgebied. Vrijwel alle beroepen hebben meer dan ooit te maken met vertrouwelijkheid, beschikbaarheid en integriteit van informatie. Of u nu als directeur, manager, adviseur of programmeur werkzaam bent. Het Platform voor Informatiebeveiliging kan u behulpzaam zijn bij al uw vraagstukken op het gebied van informatiebeveiliging. Wat is het Platform voor Informatiebeveiliging? Het PvIB is een open, breed samengesteld platform waarin professionals elkaar vinden om professioneel inhoud te geven aan informatiebeveiliging, door het uitwisselen van ideeën, informatie, kennis, inzichten en vooral veel praktijkervaring. Wat willen wij bereiken? Wij willen de fysieke, (systeem)technische & organisatorische beveiliging van gegevens en van de gegevensverwerkende middelen tegen inbreuken van binnenuit of buitenaf bevorderen. Ook willen wij de uitwisseling van kennis en ervaring en het netwerken van de in het vakgebied werkzame personen bevorderen. Bijvoorbeeld door middel van deze expertbrief. De doelgroep De doelgroep van het PvIB omvat iedereen, die door studie of beroepshalve te maken heeft met informatiebeveiliging, of hiervoor een bijzondere belangstelling heeft. Het snel groeiende ledenbestand kent vele disciplines zoals studenten, informatiearchitecten, technici, managers, organisatieadviseurs, juristen, beveiligingsfunctionarissen en IT auditors. Onze leden komen voort uit alle mogelijke opleidingen, bedrijven, overheden, organisaties en leveranciers. Voor de diverse soorten van lidmaatschap verwijzen wij u gaarne naar: https://www.pvib.nl/abonnementsinformatie

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.