De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

AD Security project 2 ICTPSC02VX/DX

GepubliceerdAlfred Maas Laatst gewijzigd meer dan 8 jaar geleden

Verwante presentaties

Presentatie over: "AD Security project 2 ICTPSC02VX/DX"— Transcript van de presentatie:

1 AD Security project 2 ICTPSC02VX/DX
George Pluimakers Diederik de Vries Schooljaar

2 Wat hebben we gedaan? Voorgesteld Projectoutline neergezet Rapport
Analyseren Adviseren Rapport Aanpassing aan inhoud Waarom informatiebeveiliging CIA, BIV Bedrijfskritische processen, beschikbaarheid

3 Beschikbaarheid Bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn Continuïteit Tijdigheid Robuustheid Heeft een relatie met Business Continuity Management

4 Integriteit Geeft de mate aan waarin de informatie actueel en correct is. Kenmerken van integriteit zijn juistheid volledigheid autorisatie van de transacties

5 Vertrouwelijkheid?

6 Vertrouwelijkheid Is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden Het waarborgt dat: alleen geautoriseerden toegang krijgen dat informatie niet kan uitlekken.

7 Risico analyse Bij een risicoanalyse worden bedreigingen (risico’s) benoemd en in kaart gebracht Een risicoanalyse is een methode waarbij de benoemde risico's worden gekwantificeerd door het bepalen van de kans dat een dreiging zich voordoet en de gevolgen daarvan: Risico = Kans * Gevolg Is de eerste stap binnen het risicomanagement(proces)

8 Informatiebeveiliging (in de zorg):
Het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. Naast het borgen van deze kwaliteitscriteria vereist de norm ook dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht, voordat kan worden gesproken van adequate informatiebeveiliging bron:

9 Bedrijfskritische ICT - software
We spreken van bedrijfskritische ICT, als verstoring of uitval hiervan zeer nadelige impact heeft op de bedrijfsvoering, en dan met name op primaire bedrijfsprocessen. Software is bedrijfskritisch wanneer hiermee gegevens worden verwerkt die een hoge mate van continuïteit moeten kennen. bron:

10 .. zeker niet alles is bedrijfskritisch
Ieder bedrijf heeft wel iets van bedrijfskritische ICT/applicaties, maar … Bank: ING, Rabobank, .. Verzekeraar: Achmea, .. NS Gasunie KPN Eneco Rijkswaterstaat: bv. Besturen Deltawerken Belastingdienst UWV Gemeente … .. zeker niet alles is bedrijfskritisch

11 Ezelsbruggetje voor de BIV factoren…
Voorbeeld internetbankieren bij de ING. Jij wil online inzien hoeveel je saldo is op een bepaald moment. 'Mijn ING' moet op dat moment dus beschikbaar zijn. Vervolgens moet je inloggen. Dit is vertrouwelijkheid, door middel van je gebruikersnaam en wachtwoord, ben jij de enige die kan inloggen op jouw bankaccount. Als je eenmaal bent ingelogd, wil je dat je saldo juist is. Je wilt niet dat er staat dat je saldo 200 euro is, terwijl dit in werkelijkheid 2000 euro is. Dit is integriteit.

12 Beveiligingsklassen Let op! Wederom voorbeeld! Laag Middel Hoog

13 Beveiligingsklassen Geautomatiseerd adresboek? Patch-download server?
‘Laag’ Voor deze server zijn de volgende maatregelen van toepassing Backup, patchmanagement Geen authenticatie benodigd Alleen openbare informatie Verlies tot een week is acceptabel Downtime tot een dag is acceptabel Geautomatiseerd adresboek? Patch-download server?

14 Beveiligingsklassen N@Tschool? Fileserver? ‘middel’
Voor deze server zijn de volgende maatregelen van toepassing: Backup, patchmanagement, logging Authenticatie voor studenten: gebruikersnaam en wachtwoord Authenticatie voor docenten: gebruikersnaam, wachtwoord, token Informatie is alleen toegankelijk voor geauthoriseerden Verlies van gegevens tot een dag is moeilijk, maar acceptabel Downtime tot 4 uur is acceptabel Fileserver?

15 Beveiligingsklassen ‘kritiek’
Voor deze server zijn de volgende maatregelen van toepassing: Backup, patchmanagement, logging, encryptie Authenticatie alleen voor docenten: gebruikersnaam, wachtwoord, token, alleen HR netwerk Informatie is alleen toegankelijk voor geauthoriseerden Verlies tot een uur is acceptabel Server wordt permanent gecopieerd naar extern datacenter

16 Het risico van onder- en overclassificatie
Systemen in een te hoge beveiligingsklasse geplaatst, bijv. vanwege een onterecht hoge eis aan de beschikbaarheid. Leidt tot onnodig hoge kosten en functionele beperkingen. Systemen in een te lage beveiligingsklasse geplaatst, bijv. om redenen van (korte termijn) kostenbesparingen. Het is daarom noodzakelijk na te gaan wat de gevolgen zijn van een bedreiging. Bij de classificatie moet niet de beleving van de bedreiging, maar een reële inschatting van de gevolgen daarvan bepalend zijn.

17 Classificatie NEN / ISO17799 (2005) / ISO27002 (2007)
Laag Risico (A) Middel Risico (B) Hoog Risico (C) Continuïteit (informatie op juiste tijd en plaats?) Applicatie niet langer down dan 4 dagen Applicatie tussen de 1-4 dagen down Applicatie minder dan een dag down Integriteit (Klopt mijn informatie volledig en juist?) Foutieve informatie heeft nauwelijks invloed op correcte uitvoering van het bedrijfsproces Foutieve informatie is hinderlijk, maar een goede uitvoering is mogelijk Foutieve informatie maakt een goede uitvoering van het proces onmogelijk Exclusiviteit (Alleen beschikbaar voor bevoegden) Gegevens zijn intern en extern niet vertrouwelijk Gegevens zijn op afdelingsniveau vertrouwelijk Gegevens zijn voor de eigenaar ervan vertrouwelijk

18 Classificatie NEN / ISO17799 (2005) / ISO27002 (2007)
Laag Risico (A) Middel Risico (B) Hoog Risico (C) Continuïteit (informatie op juiste tijd en plaats?) Applicatie niet langer down dan 4 dagen Applicatie tussen de 1-4 dagen down Applicatie minder dan een dag down Integriteit (Klopt mijn informatie volledig en juist?) Foutieve informatie heeft nauwelijks invloed op correcte uitvoering van het bedrijfsproces Foutieve informatie is hinderlijk, maar een goede uitvoering is mogelijk Foutieve informatie maakt een goede uitvoering van het proces onmogelijk Exclusiviteit (Alleen beschikbaar voor bevoegden) Gegevens zijn intern en extern niet vertrouwelijk Gegevens zijn op afdelingsniveau vertrouwelijk Gegevens zijn voor de eigenaar ervan vertrouwelijk 1 2 3 1 2 3 1 2 3

19 Let op met de classificatie!
Een norm eist dat je een invulling hebt Hóe je ‘m invult is een tweede! Applicaties kunnen down zijn voor een week, of voor een uur -> Dit is afhankelijk van het bedrijf!

20 BIV-klassen - voorbeelden
Elk criterium van BIV wordt gescoord: 1 = laag, 2 = middel, 3 = hoog Een bedrijfskritische applicatie en bijbehorende data kent bijvoorbeeld een BIV-classificatie van 333 Een laag geclassificeerde applicatie en bijbehorende server zou als 111 geclassificeerd zijn. Op basis van deze classificatie pas je maatregelen toe… Alhoewel.

21 Classificatie NEN / ISO17799 Voorbeeld: Apotheek

22 Checklist BIV Jullie gaan aan de slag met een checklist BIV uit NEN7510 Bedacht voor de zorgsector, maar ook uitstekend toepasbaar in andere sectoren In de opdracht gaan jullie voor elk van de aandachtspunten uit deze checklist voor Beschikbaarheid, Integriteit en Vertrouwelijkheid 2 vragen beantwoorden: Hoe staat het ermee? (analyseren) Wat kan er beter? (adviseren)

23 Checklist BIV (2) Je loopt de gehele checklist door. Sommige zaken zijn verplicht uit te zoeken! De andere zaken zijn goed voor meer punten.

24 Checklist BIV - concreet
We lopen er even doorheen…

25 Beschikbaarheid - Algemeen
Continuïteitsstrategie Continuïteitsplan(nen) Continuïteitsvoorzieningen (uitwijk, e.d.) Noodprocedures Stand-by regelingen Externe toegang leveranciers

26 Beschikbaarheid - Algemeen
Spreiding over locaties Garantie / onderhoudscontracten Escrow Veroorzaker schade aansprakelijk stellen Deskundigheid intern en extern beschikbaar Signalering incidenten Loggen / analyse incidenten

27 Beschikbaarheid - Fysiek
Brandbeveiliging Waterdetectie Bliksembeveiliging Noodstroomvoorzieningen UPS op kritische apparatuur Toegang computerruimte Toegang Patchruimten Kluizen

28 Beschikbaarheid - Apparatuur
Dubbel uitvoeren / clustering servers Reserve hardware Actieve componenten Bekabeling / goten etc. Datacommunicatie (lijnen etc.) Telefooncentrales Werkstations op reserve Set-up Pc's (master / ghost image)

29 Beschikbaarheid Programmatuur en gegevens
Back-up procedures Versiebeheer documenten Systeemprogrammatuur Maatregelen tegen malware Installeren programma's (procedures en middelen) Updates / upgrades programma’s Maatregelen downloaden Toegang management directories

30 Integriteit Beleid ontwikkeling informatiesystemen
Scheiding Ontwikkeling – Test – Acceptatie – Productie (OTAP) Versiebeheer applicaties Onderhoud applicaties Testen applicaties Integriteitscontrole databases en bestanden Instructies gebruikers Procedures voor invoer, verwerking en uitvoer Externe toegang leveranciers Onderhoud ICT-middelen

31 Vertrouwelijkheid Toegangsbeveiligingsbeleid
Richtlijnen en procedures toegangsbeveiliging Autorisatiebeheer Functiescheiding Clean desk en clear screen Controles Sancties Privacyreglement Externe audit

32 Informatiebeveiliging controleren (analyseren)
Het realiseren van het overeengekomen niveau van beveiliging is een taak die in de regel wordt toebedeeld aan een iemand die zich beroepshalve met het vakgebied bezighoudt.

33 Informatiebeveiliging controleren (analyseren) (2)
Toezicht vindt plaats vanuit de IT-audit discipline en diverse wettelijke toezichthouders. Door het uitvoeren van IT-audits en privacy audits kan worden vastgesteld of het overeengekomen niveau van beveiliging is gerealiseerd. Ook kan een organisatie worden gecertificeerd op basis van de Code voor Informatiebeveiliging en de internationale standaard ISO (dus wederom een audit!) Hoe is de scheiding tussen uitvoerende en controlerende macht?

34 Informatiebeveiliging verbeteren (adviseren)
Informatiebeveiliging is een onderwerp dat goed verankerd moet zijn in het topmanagement van de organisatie en is gebaseerd op het creëren van draagvlak bij gebruikers Een bewustwordingsprogramma kan dan ook de invoering van de beveiligingsmaatregelen ondersteunen Geen security zonder draagvlak!

35 Maatregelen na risicoanalyse
preventie: het voorkomen dat iets gebeurt of het verminderen van de kans dat het gebeurt; repressie: het beperken van de schade wanneer een bedreiging optreedt; correctie: het instellen van maatregelen die worden geactiveerd zodra iets is gebeurd om het effect hiervan (deels) terug te draaien acceptatie: geen maatregelen, men accepteert de kans en het mogelijke gevolg van een bedreiging; manipulatie: het wijzigen van parameters in de berekening om tot een gewenst resultaat te komen. Verzekeren: door het inschakelen van een derde partij monetair verlies verzachten indien een incident plaatsvind

36 Conclusie

Download ppt "AD Security project 2 ICTPSC02VX/DX"

Verwante presentaties

De zin en onzin van escrow

De zin en onzin van escrow
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
ICT-beschikbaarheid Business Continuity.

ICT-beschikbaarheid Business Continuity.
Organisatorische gevolgen van de privacywetgeving

Organisatorische gevolgen van de privacywetgeving
Informatiebeveiliging

Informatiebeveiliging
Subsetten & Anonimiseren

Subsetten & Anonimiseren
Veiligheidsincidenten de afgelopen maand? 21 mei 2012 2.

Veiligheidsincidenten de afgelopen maand? 21 mei
Testdata Management Ketentest

Testdata Management Ketentest
Accreditatierichtlijn beveiliging van bestanden

Accreditatierichtlijn beveiliging van bestanden
Klassieke AO Leseenheid1

Klassieke AO Leseenheid1
Kwaliteit en betrouwbaarheid van simulaties ir. Rudolf van Mierlo Efectis Nederland BV.

Kwaliteit en betrouwbaarheid van simulaties ir. Rudolf van Mierlo Efectis Nederland BV.
Wat kunnen wij voor uw organisatie betekenen ? Even voorstellen

Wat kunnen wij voor uw organisatie betekenen ? Even voorstellen
Hoofdstuk 7 Procesmanagement.

Hoofdstuk 7 Procesmanagement.
Hoofdstuk 5 Secundaire data, online databases en gestandaardiseerde informatiebronnen.

Hoofdstuk 5 Secundaire data, online databases en gestandaardiseerde informatiebronnen.
Kennisuitwisseling in LOK Landelijk onderwijsweb Kennistechnologie Evert van de Vrie Kennisuitwisseling in LOK Landelijk onderwijsweb Kennistechnologie.

Kennisuitwisseling in LOK Landelijk onderwijsweb Kennistechnologie Evert van de Vrie Kennisuitwisseling in LOK Landelijk onderwijsweb Kennistechnologie.
SLM College 2 Discussie outsourcing Service design.

SLM College 2 Discussie outsourcing Service design.
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.

SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Hoofdstuk 1 Begripsbepaling AO/BIV

Hoofdstuk 1 Begripsbepaling AO/BIV
Roadmap Toekomstbeeld 2016 Informatievoorziening Zorg en Ondersteuning

Roadmap Toekomstbeeld 2016 Informatievoorziening Zorg en Ondersteuning
© de vries business consultancy, 2008

© de vries business consultancy, 2008

Verwante presentaties

Ads door Google