Versie 1.0 Augustus 2011 © Secure Connection BV
© 2011 Secure Connection BV
pagina 1
BV
Secure Connection A link to be trusted
Inhoudsopgave 1 2
Inleiding ........................................................................................ 3 Beschrijving van de Quick Process Scan ............................................. 4 2.1 Inleiding ...................................................................................... 4 2.2 De business impact analyse ........................................................... 5 2.3 Eisen van wet- en regelgeving en vanuit contracten.......................... 6 2.4 De selectie van objecten binnen de scope van de analyse .................. 6 2.5 De selectie van controls ................................................................ 7 3 Beschrijving van de functies van Quick Process Scan ........................... 9 3.1 Inleiding ...................................................................................... 9 3.2 Quick Process Scan in de webapplicatie ......................................... 10 3.2.1 Het starten van de webapplicatie ............................................ 10 3.2.2 De analyse in de webapplicatie ............................................... 11 3.2.3 Afdrukken resultaten ............................................................. 11 3.3 Quick Process Scan in StandardGUI .............................................. 12 3.3.1 Het starten van Quick Process Scan in StandardGUI .................. 12 3.3.2 De vragen in StandardGUI ..................................................... 13 3.3.3 De analyse in StandardGUI .................................................... 14 3.3.4 Afdrukken van de antwoorden ................................................ 15 3.3.5 Afdrukken van de resultaten .................................................. 15 3.3.6 Data bestanden .................................................................... 15 4 Bijlage A: Overzicht BIV eisen......................................................... 16 4.1 Vertrouwelijkheid ....................................................................... 16 4.2 Integriteit .................................................................................. 17 4.3 Beschikbaarheid ......................................................................... 18 5 Bijlage B: Impactwaardes .............................................................. 19 6 Bijlage C: Maatregelgroepen versus eisen en objecten binnen de scope. 20
© 2011 Secure Connection BV
pagina 2
BV
Secure Connection A link to be trusted
1 Inleiding Deze gebruikershandleiding beschrijft de “Quick Process Scan”. De Quick Process Scan is een analyse van bedrijfsprocessen, gebaseerd op een Quick Scan. De basis voor deze scan wordt gevormd door een impact analyse en een analyse van relevante wet- en regelgeving en contracten. Op basis van de impact analyse en de eisen vanuit wet- en regelgeving en contracten worden eisen m.b.t. de Beschikbaarheid, Integriteit en Vertrouwelijkheid van het te onderzoeken bedrijfsproces (BIV eisen) vastgesteld. Gebaseerd op de BIV eisen en de informatievoorziening en infrastructuur waar het betreffende proces van afhankelijk is, wordt een set van controls samengesteld die de BIV eisen waarborgen. Van de Quick Process Scan is door ons een applicatie gebouwd, die met StandardGUI kan worden ingeladen. StandardGUI is onze applicatie browser. Voor meer informatie hierover kunt terecht op onze website. Daarnaast kan de Quick Process Scan via onze webapplicatie worden uitgevoerd. De Quick Process Scan is een laagdrempelig analyse programma, geschikt voor managers. Er is geen specialistische kennis nodig om het programma te gebruiken en kan een waardevolle bijdrage leveren in de risico management cyclus: - Het uitvoeren van impact analyses - Het formuleren van een basis beveiligingsniveau gebaseerd op impact analyses - Het vaststellen of een bedrijfsproces kritisch is (voor bijvoorbeeld bedrijfscontinuiteit) Het invullen van de ongeveer 35 vragen kost als het als interview wordt uitgevoerd, inclusief toelichting, ongeveer een uur. Op basis van self assessment door proceseigenaren zal dit ongeveer 30-45 minuten tijd kosten. Quick Process Scan kan ook een waardevolle bijdrage leveren in Security Awareness van managers. Zij worden aangezet om na te denken over hun beveiligingsrisico’s en afwegingen te maken. Tenslotte is het gebruik van een programma als Quick Process Scan, met name in organisaties waar meerdere proces (impact-) analyses uitgevoerd moeten worden een enorme tijdbesparing ten opzichte van handwerk of werk met spreadsheets. Als u opmerkingen / aanvullingen of suggesties heeft, laat het ons weten. Dit kan via onze website (http://www.seccon.nl) onder contact.
© 2011 Secure Connection BV
pagina 3
BV
Secure Connection A link to be trusted
2 Beschrijving van de Quick Process Scan 2.1
Inleiding
De Quick Process Scan is een aanpak om op een relatief eenvoudig en snelle manier de BIV eisen vanuit een bedrijfsproces aan de informatievoorziening waar het betreffende bedrijfsproces afhankelijk van is, in kaart te brengen. De redenen om deze analyse uit te voeren kunnen zijn: - In kaart brengen van de generieke BIV eisen vanuit meerdere bedrijfsprocessen om zo een basis beveiligingsniveau voor de organisatie vast te stellen; - In kaart brengen van kritische bedrijfsprocessen in het kader van Business Continuity; - Als eerste stap in een meer gedetailleerde analyse van een ondersteunend informatiesysteem (dit kan met Quick System Scan worden uitgevoerd). De controls die Quick Process Scan op basis van de resultaten selecteert zijn generiek. Met Quick System Scan kan worden ingezoomd op een (informatie-) systeem en meer gedetailleerde controls worden geselecteerd. De Quick Process Scan is gebaseerd op: 1. Een Business Impact Analyse (BIA) van het bedrijfsproces 2. Een analyse van eisen vanuit wet- en regelgeving en contracten 3. Een analyse van de informatievoorziening en infrastructuur waar het betreffende bedrijfsproces afhankelijk van is. De Business Impact Analyse is een analyse van de impact van inbreuken op de beschikbaarheid van het bedrijfsproces en van de informatie die door het bedrijfsproces worden gebruikt / verwerkt, de integriteit en de vertrouwelijkheid van de genoemde informatie. De uitkomsten zijn de eerder genoemde BIV eisen. De eisen vanuit wet- en regelgeving en contracten worden gebruikt om maatregelen te selecteren, onafhankelijk van de resultaten impact analyse. Een analyse van de informatievoorziening en infrastructuur houdt in dat op hoofdlijnen wordt nagegaan welke groepen van componenten relevant zijn voor de analyse. Dit wordt gebruikt om de controls toe te spitsen op deze componenten en onnodige controls (bijvoorbeeld m.b.t. een smartphone, terwijl er helemaal geen smartphones worden gebruikt) te vermijden. In de volgende paragrafen worden bovengenoemde analyses verder uitgewerkt.
© 2011 Secure Connection BV
pagina 4
BV
Secure Connection A link to be trusted
2.2 Bij 1. 2. 3. 4.
De business impact analyse
de Business Impact Analyse worden 4 typen impact onderscheiden: Financiële impact Operationele impact Juridische impact Imago impact
Financiële impact is directe impact en kunnen herstelkosten zijn, extra inhuur, aanschaf middelen, reparatie om de gevolgen van de impact te bestrijden. Operationele impact is het productieverlies wat wordt geleden. Operationele impact is vaak verbonden met inbreuken op de beschikbaarheid, maar dit hoeft niet altijd zo te zijn. Foute informatie bijvoorbeeld (inbreuk op de integriteit) kan leiden tot fouten in producten, waardoor het product opnieuw moet worden geproduceerd. Juridische impact is impact die te maken kan hebben met het overtreden van regels (bijvoorbeeld er is een inbreuk geweest op de vertrouwelijkheid, er ligt een medisch dossier op straat). In dat geval kan er een bestuurlijke boete worden uitgedeeld door het College Bescherming Persoonsgegevens. Er kunnen andere vormen van inbreuken zijn (denk hierbij bijvoorbeeld aan de Sarbanes Oxley wetgeving) dat inbreuken kunnen leiden tot strafvervolging van het senior management. Het is ook mogelijk dat benadeelden een civiele procedure starten en schadevergoeding eisen. Het is niet altijd zo dat hiervoor een wet moet zijn overtreden. Ook inbreuken op beschikbaarheid, integriteit of vertrouwelijkheid die niet het gevolg zijn van het overtreden van regels kunnen leiden tot schade bij afnemers, klanten, burgers en leiden tot schade vergoedingen. Imago impact is indirecte impact. Deze schade is vaak na langere tijd merkbaar, omdat bijvoorbeeld klanten niet meer terugkomen, wat tot omzet verlies leidt. De impact vragen bestaan uit vragen over de impact van inbreuken op de beschikbaarheid, impact van inbreuken op de integriteit en impact van inbreuken op de vertrouwelijkheid. Bij het aspect beschikbaarheid wordt de vraag gesteld na hoeveel uren onbeschikbaarheid van het betreffende bedrijfsproces de impact “Hoog” is. Dit wordt voor de 4 typen impact, zoals hierboven genoemd, gevraagd. Een hulp bij het inschatten van deze impact is de tabel in bijlage B. Voor integriteit en vertrouwelijkheid moet de impact worden ingeschat in termen van “zeer laag”, “laag”, “gemiddeld”, “hoog” en “zeer hoog”.
© 2011 Secure Connection BV
pagina 5
BV
Secure Connection A link to be trusted
2.3
Eisen van wet- en regelgeving en vanuit contracten
De beveiligingseisen vanuit wet- en regelgeving en vanuit contracten zijn gerelateerd aan de volgende onderwerpen: 1. Bewaartermijnen Beschikbaarheid 2. Business Continuity Beschikbaarheid 3. Maximale Uitvalsduur Beschikbaarheid 4. Maximaal dataverlies Beschikbaarheid 5. Functiescheiding Integriteit 6. Het 4 –ogen principe Integriteit 7. Privacy Vertrouwelijkheid 8. Classificatie van informatie Vertrouwelijkheid
2.4 De selectie van objecten binnen de scope van de analyse De volgende componenten worden in Quick Process Scan onderscheiden: 1. Gebouwen en kantoorruimten a. b. c. d.
Geen Gebouwen Kantoorruimten Zowel gebouwen als kantoorruimten
2. Computerruimten en technische ruimten a. b. c. d.
Geen Computerruimten Technische ruimten Computerruimten en technische ruimten
3. Kantoorautomatisering a. Nee b. Ja, in eigen beheer c. Ja, beheer uitbesteed 4. Email en internet a. Nee b. Ja, in eigen beheer c. Ja, beheer uitbesteed 5. Applicaties en databases a. Nee b. Ja, in eigen beheer c. Ja, beheer uitbesteed
© 2011 Secure Connection BV
pagina 6
BV
Secure Connection A link to be trusted
6. Uitwisseling van gegevens a. Nee b. Ja 7. Externe toegang tot gegevens door ketenpartners en telewerken a. b. c. d.
Nee Ja, klanten en/of leveranciers Ja, medewerkers (telewerken) Ja, klanten, leveranciers en medewerkers
8. Mobiele telefonie a. Nee, b. Ja, mobiele telefoons c. Ja, mobiele telefoons en smartphones 9. Software ontwikkeling a. Nee b. Ja, in eigen beheer c. Ja, uitbesteed 10.Onderhoud en technisch beheer a. Nee b. Ja, in eigen beheer c. Ja, uitbesteed
2.5
De selectie van controls
De geselecteerde controls worden in twee stappen geselecteerd. 1. De verzamelfase (preselectie) a. Alle proces gerelateerde controls worden geselecteerd b. Afhankelijk van de objecten binnen de scope worden controls geselecteerd. c. Alle controls die met van toepassing zijnde eisen vanuit weten regelgeving en contracten te maken hebben 2. De nabewerkingsfase a. Afhankelijk van de hoogte van de BIV eisen wordt de verzameling uit de verzamelfase gefilterd. Hierbij wordt geen filtering toegepast voor de controls die onder 1 c) zijn geselecteerd.
© 2011 Secure Connection BV
pagina 7
BV
Secure Connection A link to be trusted
De maatregelen zijn gegroepeerd in 48 maatregelgroepen. Deze zijn ook zichtbaar in het rapport. Zie verder bijlage C voor meer details over deze maatregelgroepen. Let op!! Quick Process Scan selecteert geen algemene security controls op organisatieniveau en security principles, zoals het opstellen van een strategisch informatie beveiligingsbeleid, de principes van functiescheiding (de onderliggende controls worden wel geselecteerd, indien van toepassing) etc. Deze algemene security controls worden geselecteerd in een Quick Organization Scan. Deze zal in een later stadium door Secure Connection worden geïntroduceerd.
© 2011 Secure Connection BV
pagina 8
BV
Secure Connection A link to be trusted
3 Beschrijving van de functies van Quick Process Scan 3.1
Inleiding
De Quick Process Scan kan op twee manieren worden uitgevoerd: - Via de webapplicatie - Via StandardGUI Met de webapplicatie heeft u niet alle mogelijkheden die StandardGUI biedt. Het gebruik van de webapplicatie is gratis. U kunt StandardGUI gratis downloaden en installeren. Tevens is er aan aantal applicaties voor StandardGUI gratis. Voor het gebruik van Quick Process Scan voor StandardGUI betaalt u een bedrag per kwartaal. Zie hiervoor onze website. Het gebruik van de webapplicatie heeft de volgende beperkingen: - er is geen maatregeltrace (u ziet dus niet waarom welke maatregelen zijn geselecteerd) - uw ingevoerde gegevens worden niet opgeslagen - u kunt de resultaten alleen in pdf formaat krijgen - u kunt geen overzicht krijgen van de antwoorden die zijn ingevuld U moet het gebruik van de webapplicatie ook als trial zien, met de aantekening dat de vragen, de analyses, de maatregelselectie en ook de resultaten volledig zijn. Hier zijn dus GEEN beperkingen! In dit hoofdstuk worden beide varianten behandeld. De webapplicatie en StandardGUI maken beiden gebruik van dezelfde backend (SecconServer). Het verschil is dat StandardGUI de Quick Process Scan applicatie download en lokaal uitvoert en dat voor de webapplicatie Quick Process Scan aan de serverzijde wordt uitgevoerd.
© 2011 Secure Connection BV
pagina 9
BV
Secure Connection A link to be trusted
3.2 Quick Process Scan in de webapplicatie 3.2.1 Het starten van de webapplicatie U start de webapplicatie op onze SecconServer. U kunt de link ook vinden op onze website: http://www.seccon.nl. In onderstaand plaatje ziet u een schermafdruk van vraag B.020. 1 3
2
U kunt naar een volgende vraag navigeren door op “volgende vraag” te drukken. Verder kunt u naar een vorige vraag door de backtoets van de browser. Let er op dat u ALLE vragen beantwoord! Alleen dan kan een analyse worden gestart. 1. URL van de webapplicatie Door op de link op onze website of hier te klikken krijgt u het startscherm van de webapplicatie van Quick Process Scan. 2. Volgende Vraag U kunt naar de volgende vraag navigeren door op “volgende vraag” drukken 3. De backtoets van uw browser Hiermee kunt u naar de vorige vraag.
© 2011 Secure Connection BV
pagina 10
BV
Secure Connection A link to be trusted
3.2.2 De analyse in de webapplicatie Als u in de webapplicatie alle vragen hebt doorlopen, dan krijgt u na de laatste vraag de analyse knop. Als u de analyse start krijgt u een overzicht van alle maatregelen op het scherm.
3.2.3 Afdrukken resultaten Om de resultaten te kunnen afdrukken moet u geheel naar beneden scrollen in het analysescherm (zie bovenstaande schermafdruk). Hier vind u de knop “download result”. De resultaten worden in pdf vorm (ingepakt in een zip file) via uw browser naar u gezonden. Let op! Het is afhankelijk van de browser en de instellingen waar deze zip file terecht komt. In veel gevallen krijgt u een pop-up scherm waarbij u de keuze kunt maken om het bestand te unzippen en te bekijken of eerst lokaal op te slaan.
© 2011 Secure Connection BV
pagina 11
BV
Secure Connection A link to be trusted
3.3 Quick Process Scan in StandardGUI 3.3.1 Het starten van Quick Process Scan in StandardGUI
1 2 3 4 5 6 7 8 9
In bovenstaande screenshot ziet u het startscherm van Quick Process Scan in StandardGUI. Quick Process Scan is geopend onder een tab van StandardGUI. U heeft nu de volgende functies: 1. NewFile Het starten van een nieuwe analyse. Quick Process Scan vraagt u om een naam voor het antwoordbestand. Dit bestand wordt opgeslagen in een eerder door u in StandardGUI aangegeven directory (onder Options/Directories) en heeft de extensie “.ist”. 2. OpenFile Als u een bestaande analyse wilt openen, zal Quick Process Scan de file handler openen. Standaard wordt deze geopend bij de door u opgegeven directory in StandardGUI. U kunt nu de gewenste analyse starten door het juiste bestand te kiezen. Zodra u een analyse (nieuw of bestaand) heeft geopend, ziet u het bestand en het pad rechts onder in de status balk.
© 2011 Secure Connection BV
pagina 12
BV
Secure Connection A link to be trusted
BELANGRIJK: Een afgeronde analyse kan niet meer worden gewijzigd! Als u een afgeronde analyse opent en u wilt wijzigingen maken, zal het systeem u vragen of u deze wijzigingen wilt bewaren onder een andere naam. De afgeronde analyse blijft ongewijzigd. De reden hiervoor is vanuit audit perspectief. Een auditor kan veilig een afgeronde analyse starten, zonder bang te hoeven zijn dat deze per ongeluk wordt gewijzigd.
3.3.2 De vragen in StandardGUI 3. StartQuestions Als u op “StartQuestions” drukt, zal het vragenpaneel worden geopend. De eerste vraag zal verschijnen. Er zijn drie typen vragen: a. Open (tekst) vragen. U kunt deze vragen beantwoorden in free form tekst. Deze vragen worden niet gebruikt voor de analyse zelf, maar voor het overzicht van de resultaten. U zult ze hier terugvinden. b. Multiple choice vragen met één optie mogelijk. U kunt hier één optie aangeven. c. Multiple choice Vragen met meerdere opties. U kunt hier één of meerdere opties kiezen. Let er op dat u tenminste één optie kiest. U dient alle vragen te beantwoorden voordat u de analyse kan starten. 4 and 5. Next en Previous U kunt met deze knoppen navigeren door de vragen.
© 2011 Secure Connection BV
pagina 13
BV
Secure Connection A link to be trusted
3.3.3 De analyse in StandardGUI 6. Analyse Nadat u alle vragen heeft beantwoord, kunt u de analyse starten. Quick Process Scan zal u vragen of u ook de analyse trace wil zien.
Als u “Ja” kiest, zal de trace in een aparte tab in StandardGUI verschijnen. In onderstaand plaatje is een voorbeeld van een dergelijke trace.
De opbouw van de trace is als volgt: U vindt eerst een vraag met vraagnummer en de vraagcategorie. Dan ziet u welke optie u op deze vraag heeft gekozen.
© 2011 Secure Connection BV
pagina 14
BV
Secure Connection A link to be trusted
Vervolgens zie u welke maatregelen op basis van uw keuze zijn geselecteerd in de voorselectie. Aan het einde van de tracé ziet u de nabewerking (filtering op basis van de BIV eisen). De geselecteerde controls met de maatregelgroepen worden weergegeven in de hoofdtab van het programma.
3.3.4 Afdrukken van de antwoorden 7. PrinList U kunt de ingevulde vragenlijst afdrukken, nadat u een analyse heeft afgerond, door op “PrintList” te drukken. Er wordt dan in de door u ingestelde directory (in StandardGUI ingesteld) een pdf bestand opgeslagen. U kijgt vervolgens de vraag of u de vragenlijst wilt openen. Als u “nee” aangeeft, wordt het bestand opgeslagen en niet verder geopend.
3.3.5 Afdrukken van de resultaten 8. PrintReport De resultaten van de analyse kunnen worden weergegeven in een analyse rapport. U dient dan eerst de analyse te hebben afgerond. Als u op “PrintReport” drukt, krijgt u de vraag of u het rapport in pdf of rtf wil. Vervolgens krijgt u de vraag om een nieuwe bestandsnaam te kiezen voor het rapport. Tenslotte krijgt u de vraag of u het rapport direct wilt openen of dat u het alleen wilt opslaan. Het rapport wordt opgeslagen in de door u aangegeven directory.
3.3.6 Data bestanden Zoals eerder aangegeven worden analysebestanden, net als de ingevulde vragenlijst en het rapport opgeslagen in de door u in StandardGUI aangegeven directory. 9. SaveFile Als u een analysebestand wilt opslaan, terwijl de analyse nog niet is voltooid, zal Quick System Scan u vragen of het bestaande bestand wilt overschrijven. Voor een afgeronde analyse geldt, zoals eerder aangegeven, dat u deze alleen onder een andere naam kan opslaan. Afsluiten Quick Process Scan of StandardGUI Als u op het moment van sluiten van Quick Process Scan (via File/Exit of via het kruisje rechtsboven) een afgeronde analyse had, zal Quick Process Scan direct afsluiten. Als het analyse bestand echter nog niet was afgerond, zal Quick Process Scan vragen of dit bestand moet worden opgeslagen.
© 2011 Secure Connection BV
pagina 15
BV
Secure Connection A link to be trusted
4 Bijlage A: Overzicht BIV eisen 4.1
Vertrouwelijkheid
Zeer hoog - Een beperkt aantal expliciet geautoriseerde personen hebben toegang tot de informatie - Informatie wordt niet gedeeld met anderen buiten de geautoriseerde personen - Er dient onder alle omstandigheden te zijn geborgd dat alleen de geautoriseerde personen toegang krijgen door middel van: o Mandatory access control o Persoonsgebonden toegang o Labeling van informatie o Isolatie van informatie o Sterke authenticatie o Logging van alle toegang en toegangspogingen o Regelmatige controles op uitgegeven autorisaties o Hoge eisen aan de fysieke omgeving Hoog - Alleen een specifieke groep van personen hebben op basis van hun functie toegang tot de informatie - Informatie wordt alleen gedeeld met personen buiten de groep als het senior management hier expliciet toestemming voor heeft gegeven. - Er dient te zijn geborgd dat alleen de specifieke groep van personen toegang kan krijgen door middel van: o Discretionary access control o Persoonsgebonden toegang o Logische segmentering van informatie o Sterke authenticatie o Logging van alle toegang en toegangspogingen o Regelmatige controles op uitgegeven autorisaties Gemiddeld - Toegang tot deze informatie is op basis van functieprofiel - Informatie kan worden gedeeld (ter bepaling van de eigenaar) op basis van “need-to-know” - Er is geborgd dat alleen geautoriseerde personen toegang krijgen tot de informatie door middel van: o Discretionary access control o Persoonsgebonden toegang o Logging van toegang en toegangspogingen o Controles op uitgegeven autorisaties
© 2011 Secure Connection BV
pagina 16
BV
Secure Connection A link to be trusted
Laag - Toegang tot informatie op basis van lidmaatschap van een groep (organisatiedeel, afdeling, functiegroep, beroepsgroep, etc) - Informatie kan worden gedeeld. Hiervoor zijn algemene regels vastgesteld. Zeer laag - The informatie is publiek beschikbaar. Er zijn geen beperkingen ten aanzien van de toegang.
4.2
Integriteit
Zeer hoog - Er mogen geen fouten in de informatie voorkomen. Een fout, zelfs een kleine fout is niet acceptabel - De informatie moet volledig geverifieerd zijn - De informatie mag alleen door meerdere personen tegelijkertijd worden geopend. Dit wordt technisch afgedwongen - Invoer en controle zijn niet in één persoon verenigd Hoog - Er mag slechts een enkele kleine afwijking in de informatie voorkomen. Meerdere fouten zijn niet acceptabel - De informatie moet volledig geverifieerd zijn - Invoer en controle zijn niet in één persoon verenigd Gemiddeld - Er mogen geen grote afwijkingen of terugkerende kleine afwijkingen voorkomen in de informatie - Informatie moet zijn gecontroleerd voordat deze wordt vrijgegeven. - Invoer en controle zijn zo veel mogelijk gescheiden Laag - De informatie is slechts beperkt foutgevoelig. Een aantal afwijkingen is acceptabel - Er is een elementaire controle op informatie voordat deze wordt vrijgegeven Zeer laag - Er zijn geen eisen gesteld aan de integriteit van de informatie
© 2011 Secure Connection BV
pagina 17
BV
Secure Connection A link to be trusted
4.3
Beschikbaarheid
Zeer hoog Informatie mag niet langer dan 4 uur onbeschikbaar zijn. Hoog Informatie mag niet langer dan 8 uur onbeschikbaar zijn. Gemiddeld Informatie mag niet langer dan 24 uur onbeschikbaar zijn. Laag Informatie mag niet langer dan 40 uur onbeschikbaar zijn. Zeer laag Informatie mag langer dan 40 uur onbeschikbaar zijn. N.b. Andere beschikbaarheidsaspecten, zoals dataverlies zijn in de eisen vanuit wet- en regelgeving en contracten opgenomen. Het gaat hier zuiver om de beschikbaarheid (het kunnen gebruiken) van informatie op het moment dat het nodig is.
© 2011 Secure Connection BV
pagina 18
Secure Connection BV A link to be trusted
5 Bijlage B: Impactwaardes In onderstaande tabel zijn de impactwaardes en hun betekenis weergegeven. Ranking Financieel Operationeel Juridisch Zeer laag Zeer lage of geen financiële Zeer lage of geen Zeer lage of geen impact. operationele impact. juridische impact. Laag Kosten voor herstel die Personeel moet extra Boetes of claims van echter niet tot financiële werken voor het herstel. beperkte omvang. problemen leiden. Er is geen serieuze vertraging van de productie. Gemiddeld Kosten voor herstel. Deze Een tijdelijke vertraging Boeten of claims van leiden niet direct tot in de productie die relatief beperkte omvang financiële problemen. alleen met de inzet van die echter bij herhaling tot Herhaling van de inbreuk extra personeel (al dan serieuze problemen kunnen kan echter wel tot serieuze niet ingehuurd) kan leiden. financiële problemen leiden. worden opgelost. Hoog Hoge kosten voor herstel Een ernstige vertraging Hoge boetes of die tot serieuze financiële of in de productie. strafvervolging van senior budget problemen leiden. Afspraken over levering management c.q. hoge kunnen niet worden claims. nagekomen. Zeer hoog Zeer hoge herstelkosten die Zeer ernstige vertraging Zeer hoge boetes of claims tot ernstige financiële in de productie. Er kan die tot faillissement van de problemen leiden en zelfs lange tijd niet worden organisatie kan leiden het faillissement van de geleverd. en/of strafvervolging van organisatie tot gevolg senior management voor kunnen hebben. een ernstig delict.
© 2011 Secure Connection BV
Imago Zeer lage of geen impact op het imago. Een aantal klanten zijn tijdelijk ontevreden.
Klanten zijn niet tevreden. Publicaties in media / internet. Tijdelijke ophef die echter ernstig kan worden bij herhaling. Verlies van klanten. Negatieve publicaties. Verlies van vertrouwen bij de bevolking. Definitief verlies van klanten. Blijvend negatief imago onder de bevolking.
page 19
Secure Connection BV A link to be trusted
6 Bijlage C: Maatregelgroepen versus eisen en objecten binnen de scope. De tabel op de volgende pagina geeft de selectie van maatregelgroepen aan in relatie tot: 1) Proces: De proces gerelateerde maatregelgroepen worden in de voorselectie altijd geselecteerd 2) Eisen vanuit wet- en regelgeving en contracten. Deze maatregelgroepen worden geselecteerd, afhankelijk van het niveau van de bijbehorende eisen vanuit wet- en regelgeving en contracten 3) Objecten binnen de scope van de analyse. Dit zijn informatievoorziening- of infrastructuur objecten die al dan niet binnen de scope van de analyse zijn meegenomen. Deze maatregelgroepen worden geselecteerd, afhankelijk van de scope van de analyse. De nummers tussen de haakjes in de kop van de tabel verwijzen naar de vraagnummers. Een “x” in de tabel betekent dat de corresponderende maatregelgroep (in de rij), of een subset hiervan is geselecteerd, afhankelijk van het antwoord wat op de betreffende vraag (in de kolom) is gegeven. De maatregelen in de voorselectie worden nabewerkt (gefilterd) op basis van de BIV eisen uit de impact analyse. De “trace” in de Quick Process Scan (alleen via StandardGUI) geeft exact inzicht welke maatregel waarom wordt geselecteerd. Onderstaande tabel geeft dit alleen op het niveau van een maatregelgroep aan.
© 2011 Secure Connection BV
page 20
Secure Connection BV A link to be trusted
Nr
Maatregelgroepen
P
Application controls Auditing en controle Authenticatie Autorisatiebeheer Backup, archivering and restore Bescherming tegen schadelijke programmatuur Beveiligd printen Beveiliging van datamedia Beveiliging van de PDA Beveiliging van documenten Beveiliging van systemen Beveiligingsincidenten Business Continuity Capaciteitsbeheer
© 2011 Secure Connection BV
(E.090) Technisch beheer
(E.080) Systeem ontwikkeling
(E.070) Telecommunicatie
(E.060) Externe toegang
(E.050) Uitwisseling informatie
(E.040) Applicatie en database
(E.030) Email en internet
(E.020) Kantoor automatisering
(E.010) Computer ruimten
(E.001) Gebouwen en kantoor
(D.010) classificatie
(D.001) privacy
Eisen B
1 2 3 4 5 6 7 8 9 10 11 12 13 14
(C.020) 4-ogen principe
(C.010) functiescheiding
(B.020) Bedrijfscontinuiteit
(B.035) maximale uitvalsduur
(B.030) maximaal dataverlies
(B.010) archiveringseis
Proces geralateerd
Table C.1: selection of rules versus requirements and objects within scope.
Objecten binnen de scope I
V x
x x x
x x x
x
x
x x
x x x
x x
x x x
x x
x x
x
page 21
Nr
15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Maatregelgroepen
Classificatie Clear desk Configuratiebeheer Contractbeheer E-commerce Email beveiliging Encryptie bij opslag Encryptie van verbindingen Escrow Exploitatie van systemen Externe verbindingen Fysieke beveiliging Fysieke beveiliging kritische ruimten Functiescheiding Gebruikersprocedures
© 2011 Secure Connection BV
x
P B
x
x x
x
I
x x
x
x
Eisen
x
x x x
x
x
(E.090) Technisch beheer
(E.080) Systeem ontwikkeling
(E.070) Telecommunicatie
(E.060) Externe toegang
(E.050) Uitwisseling informatie
(E.040) Applicatie en database
(E.030) Email en internet
(E.020) Kantoor automatisering
(E.010) Computer ruimten
(E.001) Gebouwen en kantoor
(D.010) classificatie
(D.001) privacy
(C.020) 4-ogen principe
(C.010) functiescheiding
(B.020) Bedrijfscontinuiteit
(B.035) maximale uitvalsduur
(B.030) maximaal dataverlies
(B.010) archiveringseis
Proces geralateerd
BV Secure Connection A link to be trusted
V Objecten binnen de scope
x x x x
x
x x x x x
x x x
x
page 22
Secure Connection BV
Identity management Installatie and onderhoud Logging en Monitoring Logische toegangsbeveiliging Naleving Netwerkbeveiliging Ontwikkeling en selectieproces Opleiding en training Organisatorische inrichting van IB Outsourcing Patch management Personeelsbeleid Persoonsgegevens Scheiding van omgevingen Security Governance
© 2011 Secure Connection BV
(E.070) Telecommunicatie
(E.060) Externe toegang
(E.050) Uitwisseling informatie
(E.040) Applicatie en database
(E.030) Email en internet
(E.020) Kantoor automatisering
(E.010) Computer ruimten
(E.001) Gebouwen en kantoor
(D.010) classificatie
(D.001) privacy
(C.020) 4-ogen principe
(C.010) functiescheiding
Eisen B
30 31 32 33 34 35 36 37 38 39 40 41 42 43 44
(B.020) Bedrijfscontinuiteit
(B.035) maximale uitvalsduur
(B.030) maximaal dataverlies
P
(E.090) Technisch beheer
Maatregelgroepen
(E.080) Systeem ontwikkeling
Nr
(B.010) archiveringseis
Proces geralateerd
A link to be trusted
x
x x
Objecten binnen de scope I
V
x x x x
x x
x x x
x
x
x
x x x
x
x
x
x x
x x x x
page 23
Nr
45 46 47 48 Maatregelgroepen
Telewerken Uitwisseling van informatie Verwerving Wijzigingsbeheer
© 2011 Secure Connection BV
P B I
Eisen
x x
(E.090) Technisch beheer
(E.080) Systeem ontwikkeling
(E.070) Telecommunicatie
(E.060) Externe toegang
(E.050) Uitwisseling informatie
(E.040) Applicatie en database
(E.030) Email en internet
(E.020) Kantoor automatisering
(E.010) Computer ruimten
(E.001) Gebouwen en kantoor
(D.010) classificatie
(D.001) privacy
(C.020) 4-ogen principe
(C.010) functiescheiding
(B.020) Bedrijfscontinuiteit
(B.035) maximale uitvalsduur
(B.030) maximaal dataverlies
(B.010) archiveringseis
Proces geralateerd
BV Secure Connection A link to be trusted
V Objecten binnen de scope x
x x x
page 24