1 Version 1.0 Augustus 2011 Secure Connection 2011 Secure Connection pagina 12 Index 1 Inleiding De Quick System Scan Inleiding Decompositie van een (...
Inleiding ........................................................................................ 3 De Quick System Scan ..................................................................... 5 2.1 Inleiding ................................................................................... 5 2.2 Decompositie van een (informatie-) systeem ................................ 6 2.3 Nadere detaillering van de decompositie ....................................... 8 2.3.1 Laag 1: De gebruiks- en beheeromgeving van het informatiesysteem ................................................................................. 8 2.3.2 Laag 2: De functionele applicatie architectuur .......................... 8 2.3.3 Laag 3: de technische applicatie architectuur ........................... 9 2.3.4 Laag 5: De ICT-componenten ................................................ 9 2.3.5 Toekomstige uitbreidingen .................................................. 10 2.4 De kwetsbaarheidsanalyse ........................................................ 11 2.5 Maatregelanalyse..................................................................... 13 3 Beschrijving van de functies van Quick System Scan ......................... 16 3.1 Inleiding ................................................................................. 16 3.2 Quick System Scan in de webapplicatie ...................................... 17 3.2.1 Het starten van de webapplicatie ............................................ 17 3.2.2 De analyse in de webapplicatie ............................................ 18 3.2.3 Afdrukken resultaten ............................................................. 18 3.3 Quick System Scan in StandardGUI ........................................... 19 3.3.1 Het starten van Quick System Scan in StandardGUI ............... 19 3.3.2 De vragen in StandardGUI ..................................................... 21 3.3.3 De analyse in StandardGUI ................................................. 22 3.3.4 Afdrukken van de antwoorden ................................................ 23 3.3.5 Afdrukken van de resultaten .................................................. 23 3.3.6 Data bestanden .................................................................... 23 3.3.7 Afsluiten Quick System Scan of StandardGUI ......................... 23 4 Bijlage A: Maatregelgroepen versus kwetsbaarheden en objecten binnen de scope. ................................................................................................ 24
1 Inleiding De complexiteit van hedendaagse ICT-systemen wordt steeds groter. Dit komt voor een belangrijk deel doordat systemen steeds meer gekoppeld worden en daardoor een samenstel zijn van vele componenten in de ICT-infrastructuur. De keuze van een juist niveau van informatiebeveiliging voor deze ICTsystemen is essentieel. Zonder goede beveiligingsvoorzieningen zouden bijvoorbeeld E-banking systemen, betaalsystemen, maar ook ERP-systemen, beveiligingssystemen, datawarehouses etc niet kunnen functioneren. Een organisatie is veelal zo afhankelijk van het juist functioneren van de ICTinfrastructuur geworden dat verstoringen hierin ernstige gevolgen hebben voor de bedrijfsvoering. Secure Connection wil met haar analyse programma’s een bijdrage leveren aan het efficiënt en succesvol beveiligen van bedrijfsprocessen (Quick Process Scan) en systemen (Quick System Scan), zonder te verzanden in uitgebreide en complexe risico analyses. De kennis die voor onze analyse programma’s is gebruikt, is gebaseerd op onze jarenlange ervaring met beveiliging binnen de overheid en het bedrijfsleven. Deze gebruikershandleiding beschrijft Quick System Scan. De Quick System Scan is een analyse van bedrijfsprocessen, gebaseerd op een Quick Scan. De basis voor deze scan is de kwetsbaarheidsanalyse. Quick System Scan vraagt om de inschatting van de frequentie waarmee dreigingen manifest worden (gebruik maken van bepaalde kewtsbaarheden) en incidenten veroorzaken. Gebaseerd op de ingeschatte frequentie en het niveau van de eisen vanuit de bedrijfsprocessen (de BIV eisen, zie Quick Process Scan), worden beveiligingsmaatregelen geadviseerd die de risico’s tot een acceptabel niveau terugbrengen. Van de Quick System Scan is door ons een applicatie gebouwd, die met StandardGUI kan worden ingeladen. StandardGUI is onze applicatie browser. Voor meer informatie hierover kunt terecht op onze website. Daarnaast kan de Quick System Scan ook als webapplicatie worden uitgevoerd. Beide uitvoeringen worden in deze gebruikershandleiding behandeld. De Quick System Scan is een laagdrempelig analyse programma, geschikt voor security specialisten, (functioneel-) beheerders en eigenaren van systemen die de beveiligingsrisico’s van hun systeem in kaart willen brengen. Er is slechts beperkte kennis van beveiliging nodig om het programma te kunnen gebruiken.
Het invullen van de vragen kost als het als interview wordt uitgevoerd, inclusief toelichting, ongeveer drie kwartier tot een uur, afhankelijk van het systeem. Op basis van self assessment door proceseigenaren zal dit ongeveer 30-45 minuten tijd kosten. Quick System Scan kan ook een waardevolle bijdrage leveren bij het vaststellen van de Project Start Architectuur. De maatregelen kunnen dan indicatief zijn voor de beveiligingsvoorzieningen (en de kosten hieraan verbonden) die moeten worden getroffen om het systeem veilig te laten werken. Wij hopen dat Quick System Scan een waardevolle bijdrage levert aan de beveiliging van uw systemen. Als u opmerkingen / aanvullingen of suggesties heeft, laat het ons weten. Dit kan via onze website (http://www.seccon.nl) onder contact.
De Quick System Scan is een gestructureerde analyse van kwetsbaarheden van een systeem en een maatregel analyse, om de beveiligingsrisico’s tot een acceptabel niveau terug te brengen. Op basis van de geanalyseerde kwetsbaarheden en de eisen vanuit de processen, de eisen m.b.t. beschikbaarheid, integriteit en vertrouwelijkheid (BIV eisen genoemd) worden de beveiligingsrisico’s vastgesteld. De BIV eisen kunnen worden geanalyseerd met Quick Process Scan1 De mate van kwetsbaarheid van het systeem voor bepaalde dreigingen is evenredig met de te verwachten frequentie waarmee deze dreigingen zullen optreden, ofwel de kans dat deze dreigingen optreden. Een hoge kwetsbaarheid betekent een hoge kans op optreden van de dreigingen die gebruik kunnen maken van de kwetsbaarheid. Stel: een webapplicatie heeft een hoge kwetsbaarheid voor het invoeren van “escape” karakters. Elke webapplicatie die via het internet is ontsloten krijgt te maken met pogingen zoals cross site scripting, SQL injection, etc. De kans dat deze aanvallen ook succesvol zijn (en dus tot een incident leiden) is evenredig met de mate waarin de webapplicatie kwetsbaar is voor dergelijke aanvallen. Een kwetsbaarheid wordt per deel van een informatiesysteem vastgesteld, omdat het niet mogelijk is om een algemene uitspraak te doen voor een bepaalde kwetsbaarheid voor het gehele systeem. De risico’s worden vervolgens vastgesteld op basis van R = K x S, waarbij: K = kans en is mate van kwetsbaarheid van een (deel van ) het informatiesysteem voor het manifest worden van een incident S = schade en is een maat voor de eis die vanuit de business is gesteld aan het informatiesysteem. Tenslotte worden de maatregelen per deel van het informatiesysteem geselecteerd, afhankelijk van: (1) Het risiconiveau R = K x S (2) De kenmerken en eigenschappen van het betreffende deel van het informatiesysteem.
1
Quick Process Scan is een analyse product van Secure Connection
Teneinde bovengenoemde analyse gestructureerd uit te kunnen voeren, worden 3 stappen onderscheiden: Deze stappen zijn: (1) Decompositie van het informatiesysteem (2) Kwetsbaarheidsanalyse per deel van het informatiesysteem en vaststellen van het Risiconiveau (3) Maatregelanalyse op basis van het risiconiveau en de kenmerken en eigenschappen van het betreffende deel van het systeem
2.2
Decompositie van een (informatie-) systeem
Een analyse van een object kan op twee manieren plaatsvinden: Analyse op basis van de “black-box” benadering. Hierbij blijft het object als zodanig een black-box waar niet in kan worden gekeken. Door middel van een analyse van input en output kan vervolgens een uitspraak worden gedaan over de eigenschappen en kenmerken van het betreffende object. Indien een object complex is, is deze benadering niet mogelijk omdat er niet of heel moeilijk een causaal verband is te leggen tussen output van input. In dat geval zal het object in delen moeten worden opgesplitst, zodanig dat over een afzonderlijk deel van het object wel een uitspraak valt te doen. In de Quick System Scan is gekozen voor een opdeling in hiërarchische lagen. Hierbij stelt een willekeurige laag eisen aan de onderliggende laag en faciliteert de bovenliggende laag. Elke laag is vervolgens weer opgedeeld in delen die qua techniek of qua functionaliteit bij elkaar horen. Omdat bij de keuze van de delen is gekozen voor een clustering van techniek en functionaliteit is geen limitatieve indeling mogelijk. Met andere woorden: in elke laag is een oneindige aantal mogelijke clusters te bedenken. In de Quick System Scan worden drie lagen onderscheiden, terwijl de onderliggende ICT-infrastructuur vervolgens uit twee lagen bestaat. In het plaatje hieronder zijn deze in totaal 5 lagen getekend:
Laag 5 behoort tot de ICT-infrastructuur en wordt nader geanalyseerd in de “Infrastructuur analyse”. Deze analyse is op dit moment nog niet beschikbaar. Laag 5 is de diepste laag en bevat de hardware en software ICT-componenten. Dit zijn onder meer netwerkcomponenten, servers, PC's, maar ook meer specifieke componenten, zoals een database, (hulp-)programmatuur en dergelijke. In het algemeen zal laag 5 een algemene faciliterende laag zijn die voor meerdere informatiesystemen diensten levert. Laag 4 behoort net als laag 5 tot de ICT-infrastructuur en wordt, net als laag 5 nader geanalyseerd in de “Infrastructuur analyse”. Deze laag is een samenstel van ICT-componenten en kan bijvoorbeeld een Web omgeving, een thin client omgeving of een Cliënt-Server omgeving zijn. Ook deze laag zal in het algemeen faciliterend zijn voor meerdere informatiesystemen. Laag 3, de technische architectuur van het systeem betreft de wijze waarop het informatiesysteem / applicatie technisch is opgebouwd. Zo kan de verwerking lokaal plaatsvinden, centraal plaats vinden of kan de verwerking zowel lokaal als centraal plaatsvinden. Ook kan een er sprake zijn van een zogenaamde “three tier” model, waarbij lokaal de user interface actief is, centraal de systeemlogica actief is en er sprake is van bijvoorbeeld een databasemanagementsysteem die vanuit de systeemlogica wordt benaderd. Laag 2, de functionele architectuur van het systeem betreft de functionaliteit (user-interface, toegangscontrole, verwerking van gegevens, opslag van gegevens ). Voor wat beveiliging omvat deze laag de logische toegangsbeveiliging (identificatie, authenticatie, autorisatie), de security logging, invoercontroles, uitvoercontroles en verbandcontroles. Laag 1 is de gebruiks- en beheer omgeving van het informatiesysteem. Deze laag beperkt zich tot de directe laag om het informatiesysteem heen en omvat de gebruikers, functioneel beheerders, applicatiebeheerders en technische beheerders, inclusief hun directe omgeving. De fysieke omgeving is NIET meegenomen in de analyse. Dit is gedaan omdat deze fysieke omgeving generiek is en derhalve buiten de scope van Quick System Scan valt. De fysieke omgeving wordt geanalyseerd in Quick Process Scan.
2.3.1 Laag 1: De gebruiks- en beheeromgeving van het informatiesysteem Deze laag heeft een raakvlak met de algemene (ICT-) omgeving uit Quick Process Scan. Decompositie en Kwetsbaarheidsanalyse in deze laag leidt tot maatregelen die dicht tegen het maatregeladvies van Quick Process Scan aanzitten, maar wel specifiek van toepassing zijn voor het betreffende informatiesysteem. Deze laag “om” het informatiesysteem kent de volgende componentgroepen: De gebruikersomgeving De functionele beheeromgeving De applicatie beheer omgeving Het te analyseren informatiesysteem kan bestaan uit één of meerdere van bovenstaande componentgroepen. Per componentgroep wordt een aantal kwetsbaarheden gevraagd. Hierbij kan gekozen worden uit Laag, Midden, Hoog of “Niet van toepassing”. 2.3.2 Laag 2: De functionele applicatie architectuur Laag 2 bevat onderstaande componentgroepen. Een informatiesysteem kan in één van onderstaande componentgroepen vallen: (1) Enterprise Resource Planning (ERP-) Systeem o Personeels informatie systeem o Telefoonlijst van het personeel of van derden (leveranciers of klanten) o Financieel systeem o Logistiek systeem (2) Workflowmanagement systeem o Post registratie systeem o Overige workflow management systemen (3) Content Management Systeem o Content Management Systeem (4) E-business systeem o E-banking systeem o Koop- / betaalsysteem o Overige E-business systemen (5) Publicatie systeem o Intern publicatie systeem o Extern publicatie systeem (6) Communicatie systeem o Email systeem (7) Infrastructuur systeem o Internet toegang systeem o Telewerk systeem
o Terminal services systeem (8) Overige systemen o Expert systeem o KA-systeem o Planning en Control systeem o Overig 2.3.3 Laag 3: de technische applicatie architectuur De technische applicatie architectuur geeft aan op welk technisch concept het informatiesysteem is gebouwd. Onderscheiden wordt de volgende technische concepten: Stand-alone Client-server, Terminal based (Terminal Server) Terminal – Host based WEB based Bovenstaande componenten zijn hoofdcomponenten die op zich weer als volgt zijn onder te verdelen: Stand-alone - Software én data lokaal - Software lokaal, data (deels) centraal Client server Onderverdeling naar lokatie client en server: - client en server in hetzelfde netwerk - client en server in verschillende netwerken Terminal based Onderverdeling naar lokatie (thin-)client en (terminal-)server - thin client en terminal server in hetzelfde netwerk - thin client en terminal server in verschillende netwerken WEB based Onderverdeling naar lokatie WEB browser en WEB server - WEB browser en WEB server in hetzelfde netwerk (Intranet) - WEB browser in eigen netwerk, WEB server in ander netwerk - WEB server in eigen netwerk, WEB browser in ander netwerk 2.3.4 Laag 5: De ICT-componenten In SystemAnalysis wordt in laag 4: De technische infrastructuur en laag 5: de ICT-componenten geen kwetsbaarheidsanalyse gehouden. Wél kan in SystemAnalysis worden aangegeven welke ICT-componenten relevant zijn voor het betreffende informatiesysteem. Afhankelijk van het informatiesysteem wordt een subset van onderstaande componenten weergegeven: -
database server file- en printserver email server webserver terminalserver netwerk (LAN( netwerk (WAN) koppelvlak met extern netwerk koppelvlak met het internet Virtual Private Network Operating Systeem PC in netwerk PC stand alone Terminal Laptop Modem Scanner Printer Plotter CD ROM caroussel Mass Storage Device Personal Digital Assistant (PDA) Documenten Digitale Media Applicatie Programmatuur
2.3.5 Toekomstige uitbreidingen Zoals eerder gesteld is de indeling in laag 2, 3 en 5 niet limitatief. Secure Connection zal in de toekomst nieuwe componenten introduceren, zoals mobiele webtechnologie (de “app” wereld), tablet PC’s en communicatie systemen.
In de kwetsbaarheidsanalyse wordt nagegaan in hoeverre een component kwetsbaar is voor verstoringen die tot aantasting van de Beschikbaarheid, de Integriteit en/of de Vertrouwelijkheid leiden. Hiertoe wordt per component nagegaan wat de impact is op verstoringen in termen van Hoog, Midden of Laag. Afhankelijk van het niveau van de beveiligingseisen (Beschikbaarheid, Integriteit en Vertrouwelijkheid) wordt een risico niveau per component, per kwetsbaarheid vastgesteld. Hiertoe wordt de onderstaande tabel gehanteerd, Tabel 2.3.1: Het risico als functie van de mate van impact op beschikbaarheid, integriteit of beschikbaarheid en de mate van kwetsbaarheid
Impact B,I,V
zeer laag
laag
gemiddeld
hoog
zeer hoog
laag
zeer laag
zeer laag
laag
gemiddeld
gemiddeld
gemiddeld
laag
laag
gemiddeld
gemiddeld
hoog
hoog
gemiddeld
gemiddeld
hoog
hoog
zeer hoog
kwetsbaarheid
De risiconiveaus worden gebruikt om de maatregelen te kunnen selecteren.
Figure2.3.1. Overzicht van de risico’s als functie van kwetsbaarheid en impact..
De maatregelen zijn bedoeld om de risico’s tot een acceptabel niveau terug te brengen. Wat acceptabel is, bepaalt de manager. De voorgestelde maatregelen moeten dan ook als een advies worden gezien. Met de voorgestelde maatregelen
worden de risico’s in ieder geval teruggebracht tot in de “groene zones” (zie bovenstaand plaatje). Uit figuur 2.3.1. zou op te maken zijn dat bij een B, I of V eis van “4” of “5” nooit tot een acceptabel risico zou kunnen worden gekomen. Dit komt omdat de BIV eisen uit de Quick Process Scan eisen zijn, afgeleid van impacts die zijn ingeschat ZONDER rekening te houden met eventuele maatregelen die getroffen zijn. Door impactverlagende maatregelen te kiezen (repressieve of correctieve maatregelen) kan de uiteindelijke impact worden verlaagd, waardoor het “groene” gebied alsnog kan worden gehaald. Voor het inschatten van de kwetsbaarheden geldt eenzelfde verhaal. Deze moeten worden ingeschat zonder rekening te houden met eventuele maatregelen die al getroffen zijn. Voorbeeld: een systeem, waarbij gebruikers regelmatig afdrukken moeten maken van gevoelige informatie is kwetsbaar voor onbevoegde inzage van gegevens via print-out (kwetsbaarheid O1), ook al is er al een maatregel getroffen (bijvoorbeeld de gebruikers moeten altijd een pincode op de printer invoeren, voordat er wordt geprint). Quick System Scan zal in de maatregel analyse vervolgens tot de conclusie komen dat het nodig is dat de gebruiker fysiek bij de printer moet zijn, voordat er een afdruk wordt gemaakt. Er wordt hiervoor een maatregel geselecteerd. Vervolgens zal in de GAP analyse blijken dat deze maatregel al is ingevoerd. In onderstaande tabel zijn de soorten kwetsbaarheden per hiërarchische laag weergegeven. Table 2.3.2: Overzicht kwetsbaarheden Nr Kwetsbaarheid O1 O2
O3 O4
O5 O6 O7 O8
Aspect
Groep
Laag 1: De gebruiks- en beheeromgeving Onbevoegde inzage van gegevens via print-out. V Gebruik Onjuist werken of uitval van het systeem door B,I Gebruik onbekendheid van de gebruiker met de applicatie. Fouten of inconsistentie in de gegevens door I Gebruik onjuiste invoer van de gebruiker. Fraude door een medewerker, gebruik makend I Gebruik van zwakke plekken in de gebruiksprocedures van het informatiesysteem en de controls in de applicatie. Ongeautoriseerde toegang ten gevolge van I,V Gebruik gebruikersfouten of slordigheden. Fouten bij het verlenen van autorisaties, waar- B,I,V Functioneel door onbevoegde inzage of mutatie ontstaat. beheer Fouten in de programmatuur door onvoldoende B,I,V Functioneel gebruikers acceptatie testen. beheer Geen onderhoud meer aan de programmatuur B,I,V Functioneel door de leverancier (t.g.v. faillissement, beheer wijziging beleid)
Fouten bij de installatie of update van de B Applicatie applicatie, waardoor onjuist werken of beheer onbeschikbaarheid van de applicatie. O10 Uitval of onjuist werken van de programmatuur B,I Applicatie ten gevolge van onvoldoende testen van het beheer systeem. Laag 2:De functionele architectuur F1 Fouten in de gegevens door onvolkomenheden I Functioneel in het systeem. F2 (tijdelijke) onbeschikbaarheid van gegevens B Functioneel F3 Verlies van historische, niet meer operationele B Functioneel gegevens. F4 Verlies van gegevens door fouten in het B Functioneel systeem. F5 Uitval / onjuist werken van het systeem door B,I,V Functioneel ongecontroleerde updates F6 Onbevoegde inzage in gegevens door fouten in V Functioneel het systeem. F7 Verkeerde toewijzing van autorisaties t.g.v. een V Functioneel niet goed functionerend autorisatiesysteem F8 Ontkenning van ontvangst van een bericht of I Functioneel van verzending van een bericht Laag 3: De technische applicatie architectuur A1 Onbevoegde ontsluiting van gegevens door V Technisch middel van onderscheppen van de communicatie A2 Uitval van het systeem ten gevolge van een te B Technisch hoge belasting A3 Onbevoegde toegang tot het systeem door IV Technisch onvolkomenheden in de programmatuur A4 Verminking of vernietiging van gegevens door B,I Technisch onvolkomenheden in de programmatuur A5 Uitval van het systeem ten gevolge van een B Technisch DOS aanval A6 Onbevoegde wijzigingen door onvolkomenheden B,I,V Technisch in de programmatuur A7 Ontsluiting van gegevens van de gebruiker door I,V Technisch onvolkomenheden in de programmatuur
2.5
Maatregelanalyse
In de maatregelanalyse wordt nagegaan welke maatregelen getroffen dienen te worden om de geconstateerde risico’s uit de vorige stap terug te brengen tot een beheersbaar niveau.
Hierbij zal een mix van preventieve en detectieve/repressieve en correctieve maatregelen worden gekozen. Preventieve maatregelen verkleinen de kans op het optreden van verstoringen en verlagen daarmee het risico. Repressieve maatregelen (in combinatie met detectieve maatregelen) kunnen de directe schade als gevolg van verstoringen verkleinen en verlagen daarmee ook het risico. Correctieve maatregelen kunnen de gevolgschade als gevolg van zeer ernstige verstoringen (calamiteiten) verkleinen en verkleinen daarmee ook bepaalde risico’s. Maatregelen kunnen verder betrekking hebben op:
Laag 1: De omgeving van het informatiesysteem: Dit zijn vooral organisatorische en procedurele maatregelen, gericht op het juist gebruik en beheer van het informatiesysteem. Laag 2: Dit zijn maatregelen die de functionaliteit van het systeem betreffen, zoals de logische toegangsbeveiliging, de wijze van autorisaties toekennen en de loggings. Laag 3: Dit zijn de maatregelen die de technische kant van het systeem betreffen en hebben betrekking op ondermeer de wijze waarop gegevens worden opgeslagen, (al dan niet encrypt), gegevens worden verzonden (over een communicatiekanaal, al dan niet encrypt), achterdeuren in het informatiesysteem, of de mogelijkheid om de gegevens van het informatiesysteem via andere kanalen dan via het informatiesysteem te kunnen benaderen. Laag 4: Deze maatregelen zijn maatregelen m.b.t. de ICT-infrastructuur. Voor zover relevant worden deze maatregelen toegepast ter aanvulling van maatregelen uit laag 3. Laag 5: Deze maatregelen betreffen maatregelen, specifiek voor een ICTcomponent. In de system analysis worden deze componenten niet geanalyseerd. Wel wordt nagegaan welke type componenten (router, switch, Email server, etc) van toepassing zijn voor het systeem. Op basis hiervan worden maatregelen geselecteerd die betrekking hebben op een router, een firewall, een email server etc.
Maatregelen worden op twee manieren in de system analysis geselecteerd:
Op basis van de risiconiveaus uit de kwetsbaarheidsanalyse worden één of meerdere maatregelen geselecteerd. Maatregelen zijn dus specifiek voor een bepaald risiconiveau voor een bepaald component. Het kan zijn dat op basis van een risiconiveau bijvoorbeeld laag 3 ook maatregelen uit laag 4 worden geselecteerd of andersom. Alle maatregelen die relevant zijn en bijdragen aan een reductie van het risiconiveau tot een aanvaardbaar niveau worden geselecteerd.
Op basis van de geselecteerde ICT-componenten worden componentspecifieke maatregelen geselecteerd ter aanvulling van de maatregelen uit de risiconiveau’s.
Het is zondermeer mogelijk dat een bepaalde maatregelen vanuit meerdere kwetsbaarheden wordt geselecteerd. De geselecteerde maatregelen uit de maatregelanalyse moeten dus vervolgens uniek gemaakt tot een set waarin elke maatregel slechts eenmaal voorkomt. Het vervolgens invoeren van deze set van maatregelen houdt niet in dat er dan geen enkel beveiligingsrisico meer wordt gelopen. Beveiligingsrisico’s kunnen nooit tot “nul” worden gereduceerd. Wel is het mogelijk om de risico’s tot een acceptabel en beheersbaar niveau terug te brengen.
3 Beschrijving van de functies van Quick System Scan 3.1
Inleiding
De Quick System Scan kan op twee manieren worden uitgevoerd: - Via de webapplicatie - Via StandardGUI Met de webapplicatie heeft u niet alle mogelijkheden die StandardGUI biedt. Het gebruik van de webapplicatie is gratis. U kunt StandardGUI gratis downloaden en installeren. Tevens is er aan aantal applicaties voor StandardGUI gratis. Voor het gebruik van Quick System Scan voor StandardGUI betaalt u een bedrag per kwartaal. Zie hiervoor onze website. Het gebruik van de webapplicatie heeft de volgende beperkingen: - er is geen maatregeltrace (u ziet dus niet waarom welke maatregelen zijn geselecteerd) - uw ingevoerde gegevens worden niet opgeslagen - u kunt de resultaten alleen in pdf formaat krijgen - u kunt geen overzicht krijgen van de antwoorden die zijn ingevuld U moet het gebruik van de webapplicatie ook als trial zien, met de aantekening dat de vragen, de analyses, de maatregelselectie en ook de resultaten volledig zijn. Hier zijn dus GEEN beperkingen! In dit hoofdstuk worden beide varianten behandeld. De webapplicatie en StandardGUI maken beiden gebruik van dezelfde backend (SecconServer). Het verschil is dat StandardGUI de Quick System Scan applicatie download en lokaal uitvoert en dat voor de webapplicatie Quick System Scan aan de serverzijde wordt uitgevoerd.
3.2 Quick System Scan in de webapplicatie 3.2.1 Het starten van de webapplicatie U start de webapplicatie op onze SecconServer. U kunt de link ook vinden op onze website: http://www.seccon.nl. In onderstaand plaatje ziet u een schermafdruk van vraag D.1. 1 3
2
U kunt naar een volgende vraag navigeren door op “volgende vraag” te drukken. Verder kunt u naar een vorige vraag door de backtoets van de browser. Let er op dat u ALLE vragen beantwoord! Alleen dan kan een analyse worden gestart. 1. URL van de webapplicatie Door op de link op onze website of hier te klikken krijgt u het startscherm van de webapplicatie van Quick Process Scan. 2. Volgende Vraag U kunt naar de volgende vraag navigeren door op “volgende vraag” drukken 3. De backtoets van uw browser Hiermee kunt u naar de vorige vraag.
3.2.2 De analyse in de webapplicatie Als u in de webapplicatie alle vragen hebt doorlopen, dan krijgt u na de laatste vraag de analyse knop. Als u de analyse start krijgt u een overzicht van alle maatregelen op het scherm.
3.2.3 Afdrukken resultaten Om de resultaten te kunnen afdrukken moet u geheel naar beneden scrollen in het analysescherm (zie bovenstaande schermafdruk). Hier vind u de knop “download result”. De resultaten worden in pdf vorm (ingepakt in een zip file) via uw browser naar u gezonden. Let op! Het is afhankelijk van de browser en de instellingen waar deze zip file terecht komt. In veel gevallen krijgt u een pop-up scherm waarbij u de keuze kunt maken om het bestand te unzippen en te bekijken of eerst lokaal op te slaan.
3.3 Quick System Scan in StandardGUI 3.3.1 Het starten van Quick System Scan in StandardGUI
1 2 3 4 5 6 7 8 9
In bovenstaande screenshot ziet u het startscherm van Quick System Scan in StandardGUI. Quick System Scan is geopend onder een tab van StandardGUI. U heeft nu de volgende functies: 1. NewFile Het starten van een nieuwe analyse. Quick System Scan vraagt u om een naam voor het antwoordbestand. Dit bestand wordt opgeslagen in een eerder door u in StandardGUI aangegeven directory (onder Options/Directories) en heeft de extensie “.ist”. 2. OpenFile Als u een bestaande analyse wilt openen, zal Quick System Scan de file handler openen. Standaard wordt deze geopend bij de door u opgegeven directory in StandardGUI. U kunt nu de gewenste analyse starten door het juiste bestand te kiezen. Zodra u een analyse (nieuw of bestaand) heeft geopend, ziet u het bestand en het pad rechts onder in de status balk.
BELANGRIJK: Een afgeronde analyse kan niet meer worden gewijzigd! Als u een afgeronde analyse opent en u wilt wijzigingen maken, zal het systeem u vragen of u deze wijzigingen wilt bewaren onder een andere naam. De afgeronde analyse blijft ongewijzigd. De reden hiervoor is vanuit audit perspectief. Een auditor kan veilig een afgeronde analyse starten, zonder bang te hoeven zijn dat deze per ongeluk wordt gewijzigd.
3.3.2 De vragen in StandardGUI 3. StartQuestions Als u op “StartQuestions” drukt, zal het vragenpaneel worden geopend. De eerste vraag zal verschijnen. Er zijn drie typen vragen: a. Open (tekst) vragen. U kunt deze vragen beantwoorden in free form tekst. Deze vragen worden niet gebruikt voor de analyse zelf, maar voor het overzicht van de resultaten. U zult ze hier terugvinden. b. Multiple choice vragen met één optie mogelijk. U kunt hier één optie aangeven. c. Multiple choice Vragen met meerdere opties. U kunt hier één of meerdere opties kiezen. Let er op dat u tenminste één optie kiest. U dient alle vragen te beantwoorden voordat u de analyse kan starten. 4 and 5. Next en Previous U kunt met deze knoppen navigeren door de vragen.
3.3.3 De analyse in StandardGUI 6. Analyse Nadat u alle vragen heeft beantwoord, kunt u de analyse starten. Quick System Scan zal u vragen of u ook de analyse trace wil zien.
Als u “Ja” kiest, zal de trace in een aparte tab in StandardGUI verschijnen. In onderstaand plaatje is een voorbeeld van een dergelijke trace.
Dan ziet u welke optie u op deze vraag heeft gekozen. Vervolgens zie u welke maatregelen op basis van uw keuze zijn geselecteerd in de voorselectie. Aan het einde van de tracé ziet u de nabewerking (filtering op basis van de BIV eisen). De geselecteerde controls met de maatregelgroepen worden weergegeven in de hoofdtab van het programma.
3.3.4 Afdrukken van de antwoorden 7. PrinList U kunt de ingevulde vragenlijst afdrukken, nadat u een analyse heeft afgerond, door op “PrintList” te drukken. Er wordt dan in de door u ingestelde directory (in StandardGUI ingesteld) een pdf bestand opgeslagen. U kijgt vervolgens de vraag of u de vragenlijst wilt openen. Als u “nee” aangeeft, wordt het bestand opgeslagen en niet verder geopend.
3.3.5 Afdrukken van de resultaten 8. PrintReport De resultaten van de analyse kunnen worden weergegeven in een analyse rapport. U dient dan eerst de analyse te hebben afgerond. Als u op “PrintReport” drukt, krijgt u de vraag of u het rapport in pdf of rtf wil. Vervolgens krijgt u de vraag om een nieuwe bestandsnaam te kiezen voor het rapport. Tenslotte krijgt u de vraag of u het rapport direct wilt openen of dat u het alleen wilt opslaan. Het rapport wordt opgeslagen in de door u aangegeven directory.
3.3.6 Data bestanden Zoals eerder aangegeven worden analysebestanden, net als de ingevulde vragenlijst en het rapport opgeslagen in de door u in StandardGUI aangegeven directory. 9. SaveFile Als u een analysebestand wilt opslaan, terwijl de analyse nog niet is voltooid, zal Quick System Scan u vragen of het bestaande bestand wilt overschrijven. Voor een afgeronde analyse geldt, zoals eerder aangegeven, dat u deze alleen onder een andere naam kan opslaan.
3.3.7 Afsluiten Quick System Scan of StandardGUI Als u op het moment van sluiten van Quick System Scan (via File/Exit of via het kruisje rechtsboven) een afgeronde analyse had, zal Quick System Scan direct afsluiten. Als het analyse bestand echter nog niet was afgerond, zal Quick System Scan vragen of dit bestand moet worden opgeslagen.
4 Bijlage A: Maatregelgroepen versus kwetsbaarheden en objecten binnen de scope. De tabel op the volgende pagina geeft de selectie van maatregelgroepen weer versus: 1) Kwetsbaarheden. Afhankelijk van de waarde van de kwetsbaarheid en de BIV eisen wordt het risico berekend en een of meer maatregelen geselecteerd. 2) De functionaliteit van het systeem. Afhankelijk van de functionaliteit van het systeem worden maatreglen geselecteerd uit de bijbehorende maatregelgroepen. 3) (infrastructuur) objecten binnen de scope. Afhankelijk welke objecten relevant zijn binnen de analyse, worden de bijbehorende maatregelgroepen geselecteerd.