De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Een leidraad voor het opzetten van informatieveiligheid

GepubliceerdMaurits Visser Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "Een leidraad voor het opzetten van informatieveiligheid"— Transcript van de presentatie:

1 Een leidraad voor het opzetten van informatieveiligheid
Beveiliging Een leidraad voor het opzetten van informatieveiligheid PIVO, 6 juni 2005 Carl Possemiers

2 Agenda Waarom? Wat is beveiliging? ISO 17799 Conclusies/samenvatting

3 Waarom? Parallellen met VERKEERSVEILIGHEID (wegverkeer)
Daar wordt iedereen dagelijks mee geconfronteerd Is duidelijker aanwezig Men vindt dit normaal Kost mensenlevens Kost handenvol geld Veel partijen zijn erbij betrokken Niet altijd logisch Niet altijd praktisch Verschillende opvattingen en dus discussies

4 Waarom? (2) Wegverkeer bestaat al eeuwen Eerste auto (1886 - Benz)
Het eerste verkeersslachtoffer: Bridget Driscoll ( te Londen) Nu raken elk jaar 50 miljoen mensen gewond en sterven meer dan 1 miljoen mensen aan de gevolgen van auto-ongelukken. In België: 143 verkeersdoden per 1 miljoen inwoners Eurostat:

5 Waarom (3) Verkeersreglement Boetes (geld, straf,…) Rechtbanken
Controle (politie, onbemande camera’s,…) Rijbewijs Opleiding Veiligere wagens (ABS, EDS, airbags, kreukzones,…) Veiligere infrastructuur (verkeerslichten , ronde punten, bruggen, scheiding van verkeer voetgangers en fietsers,…) Bewijzering (verkeersborden, markering, …) Hulpdiensten (MUG, Touring wegenhulp, takeldiensten, …)

6 Waarom (4) Verschillend soort wegverkeer (auto, moto, tram, fiets,voetganger,…) Gevolgen bij slechte werking: Ongelukken Menselijk drama Financieel (schade, verzekeringen) Files (tijdverlies, financieel verlies) Enzovoort, enzovoort… Dit kennen we en we vinden het normaal dat er verkeersveiligheid is!

7 Wat is beveiliging? Het gaat niet alleen over virussen en hackers !
Invullen volgens de ruimst mogelijk betekenis van de woord. Informatiebeveiliging beschermt tegen een breed scala van bedreigingen om: de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren het rendement van de organisatie te optimaliseren Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen Zowel fysisch (papier, materiaal, hardware) als digitaal (toepassingen en elektronische gegevens)

8 Wat is beveiliging? (2) Veiligheid wordt gekarakteriseerd als het waarborgen van: Vertrouwelijkheid (Confidentiality): informatie alleen toegankelijk voor zij die het mogen Integriteit (Integrity): correctheid en volledigheid van informatie en verwerking Beschikbaarheid (Availability): dat gebruikers op de juiste momenten tijdig toegang krijgen tot informatie en bedrijfsmiddelen

9 Wat is beveiliging? (3) We doen het voor de organisatie en zijn medewerkers Voor een goede werking Voor het imago Voor financiële reden Maar ook voor anderen : Naleving van de wet op de bescherming van de persoonlijke levenssfeer (wet op de privacy) Bescherming van de eigendommen Bescherming van de patenten Bescherming tegen piraterij Kruispuntbank Rijksregister

10 ISO 17799 Internationale standaard voor de uitwerking van een beveiligingsbeleid Een gemeenschappelijke basis te bieden (kader) voor de ontwikkeling van beveiligingsnormen en een effectief management ervan Het bevat aanbevelingen voor het initiëren, invoeren en handhaven van de beveiliging Niet alle adviezen en maatregelen hoeven van toepassing te zijn

11 ISO 17799 (2) Ga van start en leg het kader vast
Reikwijdte van de invoering Personeel Externen Bedrijfsmiddelen Locaties Risico inschatting Probabiliteit Gevolgen Impact (financieel)

12 Beveiligingsbeleid Doel: Het bieden van sturing en ondersteuning van het management ten behoeve van informatiebeveiliging Beleidsdocument opstellen, goedkeuren, uitvaardigen, uitdragen aan alle medewerkers, handhaven In beleidsdocument staat: Definitie van informatiebeveiliging De doelstellingen De reikwijdte Het belang Een verklaring van de intenties Een omschrijving van de algemene en specifieke verantwoordelijkheden (rapportering) Verwijzingen naar documentatie die het beleid kan ondersteunen

13 Beveiligingsbeleid (2)
Beoordeling en evaluatie Beleid dient een “eigenaar” te hebben verantwoordelijk voor handhaving en evaluatie Evaluatie als reactie op Beveiligingsincidenten Wijzigingen van organisatorische aard Wijzigingen van technische infrastructuur Periodieke evaluaties Effectiviteit van het beleid Kosten en effect van de maatregelen Het effect van verandering in technologie

14 Beveiligingsorganisatie
Doel: Het managen van de informatiebeveiliging binnen de organisatie Door: Forum samen te stellen Werkgroep(en) met management, informaticaverantwoordelijken, gebruikers, externen,… Toekennen van taken en verantwoordelijkheden Autorisatieproces voor procedures en nieuwe bedrijfsmiddelen Specialistisch advies over informatiebeveiliging Samenwerking tussen de organisaties

15 Beveiligingsorganisatie (2)
Beveiliging van toegang door derden en uitbesteding Informatiebeveiliging ook van toepassing op derden, niet alleen op eigen personeel Identificeren van risico’s van toegang door derden Soorten toegang (fysieke en logische) Redenen van toegang Op afstand versus op locatie Beveiligingseisen in contracten met derden

16 Classificatie en beheer van de bedrijfsmiddelen
Doel: Het handhaven van een adequate bescherming van bedrijfsmiddelen en waarborgen dat ze een passend niveau van beveiliging krijgen Eigenaars aanduiden Inventaris van alle bedrijfsmiddelen zoals informatie (alle andere soorten elektronische informatie (in systeemsoftware, applicatiesoftware, in databases, in bestanden op de fileserver, in mails,…), handleidingen, archief, contracten,… Software: toepassingen, CD-ROM, licenties en licentienummers, Fysieke bedrijfsmiddelen: computers, printers, netwerkapparatuur, telefooncentrales, faxen, Diensten: verwarming, verlichting, elektriciteit, airconditioning, alarmcentrale, … Aangeven hoe kritisch, prioritair en mate van beveiliging

17 Classificatie en beheer van de bedrijfsmiddelen (2)
Opstellen van richtlijnen voor het classificeren Procedures voor het labelen en verwerken van informatie Nodig om: Naar wie de informatie moet verspreid worden (kopiëren, mailen,..) Hoe de informatieverspreiding te beperken (oa. autorisatieproces) Hoe kritisch is deze informatie Hoe gebeurt de opslag van de informatie Vernietiging ervan Zowel van toepassing op informatie als op bedrijfsmiddelen

18 Beveiligingseisen ten aanzien van het personeel
Doel: Het verminderen van de risico’s van menselijke fouten, diefstal, fraude of misbruik van voorzieningen Beveiligingseisen in de functieomschrijving Screening tijdens aanwerving en een goed personeelsbeleid Geheimhoudingsverklaring Voldoende training voor de gebruikers: bewustwording van de gevaren en ook juist gebruik van de bedrijfsmiddelen Reageren op beveiligingsincidenten Disciplinaire maatregelen: tuchtprocedure of technische ingrepen

19 Fysieke beveiliging en beveiliging van de omgeving
Doel: Het voorkomen van ongeautoriseerde toegang tot, schade aan of verstoring van de gebouwen en informatie van de organisatie De fysieke beveiliging van de omgeving duidelijk vastleggen Opdeling in publieke zones, interne zones en beveiligde zones Inbraak- en branddetectiesystemen Lokalen en kasten op slot (sleutelplan) Receptie Externen begeleiden of werken met badges Registratie van internen en externen

20 Fysieke beveiliging en beveiliging van de omgeving (2)
Doel: Het voorkomen van verlies, schade of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering Plaatsing en beveiliging van apparatuur tegen (diefstal, brand, rook, brand, stof, vocht ,..) Stroomvoorziening (stroomkringen, UPS, noodgenerator) Beveiliging van kabels Onderhoud van bedrijfsmiddelen Beveiliging buiten de locatie Een “clear desk” en “clean screen” beleid Vocht: condensatie, water, drank

21 Beheer van communicatie- en bedieningsprocessen
Doel: Het garanderen van een correcte en veilige bediening van IT- voorzieningen Gedocumenteerde bedieningsprocedures Het beheer van wijzigingen Procedures voor behandelen van incidenten Functiescheiding Extern beheer van voorzieningen

22 Beheer van communicatie- en bedieningsprocessen (2)
Doel: Het risico van systeemstoringen beperken tot een minimum Capaciteitsplanning Acceptatie van systemen Hardware Software Procedures Cursussen Testen Fall-back scenario Bescherming tegen kwaadaardige software

23 Beheer van communicatie- en bedieningsprocessen (3)
Doel: Het risico van systeemstoringen beperken tot een minimum en het handhaven van de integriteit en beschikbaarheid van informatie en bedrijfsmiddelen Nemen van back-ups Bijhouden van een logboek Maatregelen voor het computernetwerk Beheer van verwijderbare computermedia Afvoer van media Beheer van het uitwisselen van informatie Beveiliging tijdens transport

24 Toegangsbeveiliging Doel: Het beheersen van de toegang tot informatie
Zakelijke eisen en een beleid Regels voor toegangsbeveiliging Registratie van gebruikers Wachtwoordmanagement Beheer van gebruikerswachtwoorden Beheer en beveiliging van netwerkverbindingen Toegangsbeheer van de werkstations Toegangsbeheer van de toepassingen

25 Toegangsbeveiliging Monitoring van toegang tot en gebruik van systemen
Vastleggen van beveiligingsrelevante activiteiten Procedures en risicogebieden Evalueren van de gebeurtenissen Synchronisatie van de systeemklokken Extra aandacht en uitzonderingen Mobiele computers Telewerken Externe verbindingen van derden

26 Ontwikkeling en onderhoud van systemen
Doel: Waarborgen dat beveiliging wordt ingebouwd in informatiesystemen Specificatie van de beveiligingseisen ten aanzien van een systeem Validatie van: Invoergegevens Interne gegevensverwerking Uitvoergegevens Cryptografische beveiliging (encryptie en digitale handtekening) Beheersing van operationele software

27 Continuïteitsmanagement
Doel: Het reageren op verstoringen van bedrijfsactiviteiten en het beschermen van de kritieke bedrijfsprocessen tegen de effecten van grootschalige storingen In kaart brengen van de kritische bedrijfsprocessen en de bedrijfsmiddelen die hieraan gekoppeld zijn De waarschijnlijkheid dat zich specifieke calamiteiten voordoen De impact ervan bepalen Wat is de tijd dat deze bedrijfsprocessen en de daaraan gekoppelde bedrijfsmiddelen terug “up-and-running” moeten zijn Opstellen van een continuïteitsplan (strategisch en praktisch) Testen en actualiseren van de plannen Indekken (verzekeringen, leveranciers, derden)

28 Naleving Doel: Het voorkomen van schending van wettelijke, reglementaire of contractuele verplichtingen of beveiligingseisen Identificeren waar welke verplichtingen of eisen van toepassing zijn Beveiliging van bedrijfsdocumenten De nodige maatregelen treffen om te voorkomen Controle op naleving Verzamelen van bewijsmateriaal Alle wettelijke vormen, auteursrechten, software, MP3, interne keuken(regels), verzamelen: binnen wettelijk kader en interne afspraken, kwaliteit en volledigheid van bewijsmateriaal

29 Waarom vertwijfeling? Het is heel uitgebreid Het is complex
Het kan veel geld kosten Het kost veel tijd Men (management en personeel) ziet geen voordelen alleen nadelen Men denkt dat dit een éénmalige inspanning is maar dit is een continu proces Andere zaken hebben meer prioriteit totdat …..

30 Conclusies/samenvatting
Ga er mee van start, je kan niet zonder Zorg dat het management erachter staat Zorg ook dat het personeel erachter staat (sensibilisatie) Niet alleen de verantwoordelijkheid van informaticus Doe een beroep op experts Pak dit planmatig aan Focus op de belangrijke zaken Zorg dat het haalbaar is Het hoeft zeker niet duur te zijn

31 Vragen

Download ppt "Een leidraad voor het opzetten van informatieveiligheid"

Verwante presentaties

Analyse van incidenten

Analyse van incidenten
De zin en onzin van escrow

De zin en onzin van escrow
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Menno Karres Lead Auditor

Menno Karres Lead Auditor
Ontwikkeling van het Netwerk Naamkunde

Ontwikkeling van het Netwerk Naamkunde
Rijksgebouwendienst schrijft BIM voor

Rijksgebouwendienst schrijft BIM voor
Testdata Management Ketentest

Testdata Management Ketentest
Internet beveiliging checklist. Overzicht Wensen Internetgebruik Risico’s Internetgebruik Oorzaken van onveilige situaties Beveiligingsbeleid Checklist.

Internet beveiliging checklist. Overzicht Wensen Internetgebruik Risico’s Internetgebruik Oorzaken van onveilige situaties Beveiligingsbeleid Checklist.
Electronic Resource Management (ERM) Els Schaerlaekens Anet Gebruikersdag 15 juni 2011.

Electronic Resource Management (ERM) Els Schaerlaekens Anet Gebruikersdag 15 juni 2011.
Kwaliteitshandboek CLB Genk-Maasland.

Kwaliteitshandboek CLB Genk-Maasland.
1 KM2.0 Bijeenkomst De Praktijk. 2 3 4 NUON: ‘Hoe gaan we om met vergrijzing?’

1 KM2.0 Bijeenkomst De Praktijk NUON: ‘Hoe gaan we om met vergrijzing?’
Ronde (Sport & Spel) Quiz Night !

Ronde (Sport & Spel) Quiz Night !
© 2006 Consilience B.V.1. 2 E-Dienstverlening in de praktijk Noordwijk, 5 september 2006 K.P.Majoor Adviseur Consilience B.V.

© 2006 Consilience B.V.1. 2 E-Dienstverlening in de praktijk Noordwijk, 5 september 2006 K.P.Majoor Adviseur Consilience B.V.
Accreditatierichtlijn beveiliging van bestanden

Accreditatierichtlijn beveiliging van bestanden
Resultaten enquête veiligheidsbeleid CLB-GO!

Resultaten enquête veiligheidsbeleid CLB-GO!
Keuzeondersteunend model voor inbouwpakketten bij herbestemmingsprojecten Eindcolloquium Wiebrand Bunt.

Keuzeondersteunend model voor inbouwpakketten bij herbestemmingsprojecten Eindcolloquium Wiebrand Bunt.
VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.

VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.
Klassieke AO Leseenheid1

Klassieke AO Leseenheid1
Inkomensverzorger voor de sector zorg en welzijn

Inkomensverzorger voor de sector zorg en welzijn
Risicomanagement Beperking van vrijheid of ruimte voor kansen

Risicomanagement Beperking van vrijheid of ruimte voor kansen

Verwante presentaties

Ads door Google