De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Beveiliging Een leidraad voor het opzetten van informatieveiligheid PIVO, 6 juni 2005 Carl Possemiers.

Verwante presentaties


Presentatie over: "Beveiliging Een leidraad voor het opzetten van informatieveiligheid PIVO, 6 juni 2005 Carl Possemiers."— Transcript van de presentatie:

1 Beveiliging Een leidraad voor het opzetten van informatieveiligheid PIVO, 6 juni 2005 Carl Possemiers

2 2 Agenda •Waarom? •Wat is beveiliging? •ISO •Conclusies/samenvatting

3 3 Waarom? Parallellen met VERKEERSVEILIGHEID (wegverkeer) •Daar wordt iedereen dagelijks mee geconfronteerd •Is duidelijker aanwezig •Men vindt dit normaal •Kost mensenlevens •Kost handenvol geld •Veel partijen zijn erbij betrokken •Niet altijd logisch •Niet altijd praktisch •Verschillende opvattingen en dus discussies

4 4 Waarom? (2) •Wegverkeer bestaat al eeuwen •Eerste auto ( Benz) •Het eerste verkeersslachtoffer: Bridget Driscoll ( te Londen) •Nu raken elk jaar 50 miljoen mensen gewond en sterven meer dan 1 miljoen mensen aan de gevolgen van auto-ongelukken. •In België: 143 verkeersdoden per 1 miljoen inwoners

5 5 Waarom (3) •Verkeersreglement •Boetes (geld, straf,…) •Rechtbanken •Controle (politie, onbemande camera’s,…) •Rijbewijs •Opleiding •Veiligere wagens (ABS, EDS, airbags, kreukzones,…) •Veiligere infrastructuur (verkeerslichten , ronde punten, bruggen, scheiding van verkeer voetgangers en fietsers,…) •Bewijzering (verkeersborden, markering, …) •Hulpdiensten (MUG, Touring wegenhulp, takeldiensten, …)

6 6 Waarom (4) •Verschillend soort wegverkeer (auto, moto, tram, fiets,voetganger,…) •Gevolgen bij slechte werking: –Ongelukken –Menselijk drama –Financieel (schade, verzekeringen) –Files (tijdverlies, financieel verlies) –Enzovoort, enzovoort… •Dit kennen we en we vinden het normaal dat er verkeersveiligheid is!

7 7 Wat is beveiliging? •Het gaat niet alleen over virussen en hackers ! •Invullen volgens de ruimst mogelijk betekenis van de woord. •Informatiebeveiliging beschermt tegen een breed scala van bedreigingen om: –de continuïteit van de bedrijfsvoering te waarborgen, –de schade voor de organisatie te minimaliseren –het rendement van de organisatie te optimaliseren •Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen •Zowel fysisch (papier, materiaal, hardware) als digitaal (toepassingen en elektronische gegevens)

8 8 Wat is beveiliging? (2) Veiligheid wordt gekarakteriseerd als het waarborgen van: 1.Vertrouwelijkheid (Confidentiality): informatie alleen toegankelijk voor zij die het mogen 2.Integriteit (Integrity): correctheid en volledigheid van informatie en verwerking 3.Beschikbaarheid (Availability): dat gebruikers op de juiste momenten tijdig toegang krijgen tot informatie en bedrijfsmiddelen

9 9 Wat is beveiliging? (3) •We doen het voor de organisatie en zijn medewerkers –Voor een goede werking –Voor het imago –Voor financiële reden •Maar ook voor anderen : –Naleving van de wet op de bescherming van de persoonlijke levenssfeer (wet op de privacy) –Bescherming van de eigendommen –Bescherming van de patenten –Bescherming tegen piraterij –Kruispuntbank –Rijksregister

10 10 ISO •Internationale standaard voor de uitwerking van een beveiligingsbeleid •Een gemeenschappelijke basis te bieden (kader) voor de ontwikkeling van beveiligingsnormen en een effectief management ervan •Het bevat aanbevelingen voor het initiëren, invoeren en handhaven van de beveiliging •Niet alle adviezen en maatregelen hoeven van toepassing te zijn

11 11 ISO (2) •Ga van start en leg het kader vast •Reikwijdte van de invoering –Personeel –Externen –Bedrijfsmiddelen –Locaties •Risico inschatting –Probabiliteit –Gevolgen –Impact –(financieel)

12 12 Beveiligingsbeleid Doel: Het bieden van sturing en ondersteuning van het management ten behoeve van informatiebeveiliging •Beleidsdocument opstellen, goedkeuren, uitvaardigen, uitdragen aan alle medewerkers, handhaven •In beleidsdocument staat: –Definitie van informatiebeveiliging –De doelstellingen –De reikwijdte –Het belang –Een verklaring van de intenties –Een omschrijving van de algemene en specifieke verantwoordelijkheden (rapportering) –Verwijzingen naar documentatie die het beleid kan ondersteunen

13 13 Beveiligingsbeleid (2) •Beoordeling en evaluatie •Beleid dient een “eigenaar” te hebben verantwoordelijk voor handhaving en evaluatie •Evaluatie als reactie op –Beveiligingsincidenten –Wijzigingen van organisatorische aard –Wijzigingen van technische infrastructuur •Periodieke evaluaties –Effectiviteit van het beleid –Kosten en effect van de maatregelen –Het effect van verandering in technologie

14 14 Beveiligingsorganisatie Doel: Het managen van de informatiebeveiliging binnen de organisatie Door: –Forum samen te stellen –Werkgroep(en) met management, informaticaverantwoordelijken, gebruikers, externen,… –Toekennen van taken en verantwoordelijkheden –Autorisatieproces voor procedures en nieuwe bedrijfsmiddelen –Specialistisch advies over informatiebeveiliging –Samenwerking tussen de organisaties

15 15 Beveiligingsorganisatie (2) Beveiliging van toegang door derden en uitbesteding •Informatiebeveiliging ook van toepassing op derden, niet alleen op eigen personeel •Identificeren van risico’s van toegang door derden •Soorten toegang (fysieke en logische) •Redenen van toegang •Op afstand versus op locatie •Beveiligingseisen in contracten met derden

16 16 Classificatie en beheer van de bedrijfsmiddelen Doel: Het handhaven van een adequate bescherming van bedrijfsmiddelen en waarborgen dat ze een passend niveau van beveiliging krijgen •Eigenaars aanduiden •Inventaris van alle bedrijfsmiddelen zoals –informatie (alle andere soorten elektronische informatie (in systeemsoftware, applicatiesoftware, in databases, in bestanden op de fileserver, in mails,…), handleidingen, archief, contracten,… –Software: toepassingen, CD-ROM, licenties en licentienummers, –Fysieke bedrijfsmiddelen: computers, printers, netwerkapparatuur, telefooncentrales, faxen, –Diensten: verwarming, verlichting, elektriciteit, airconditioning, alarmcentrale, … •Aangeven hoe kritisch, prioritair en mate van beveiliging

17 17 Classificatie en beheer van de bedrijfsmiddelen (2) •Opstellen van richtlijnen voor het classificeren •Procedures voor het labelen en verwerken van informatie •Nodig om: –Naar wie de informatie moet verspreid worden (kopiëren, mailen,..) –Hoe de informatieverspreiding te beperken (oa. autorisatieproces) –Hoe kritisch is deze informatie –Hoe gebeurt de opslag van de informatie –Vernietiging ervan •Zowel van toepassing op informatie als op bedrijfsmiddelen

18 18 Beveiligingseisen ten aanzien van het personeel Doel: Het verminderen van de risico’s van menselijke fouten, diefstal, fraude of misbruik van voorzieningen •Beveiligingseisen in de functieomschrijving •Screening tijdens aanwerving en een goed personeelsbeleid •Geheimhoudingsverklaring •Voldoende training voor de gebruikers: bewustwording van de gevaren en ook juist gebruik van de bedrijfsmiddelen •Reageren op beveiligingsincidenten •Disciplinaire maatregelen: tuchtprocedure of technische ingrepen

19 19 Fysieke beveiliging en beveiliging van de omgeving Doel: Het voorkomen van ongeautoriseerde toegang tot, schade aan of verstoring van de gebouwen en informatie van de organisatie •De fysieke beveiliging van de omgeving duidelijk vastleggen •Opdeling in publieke zones, interne zones en beveiligde zones •Inbraak- en branddetectiesystemen •Lokalen en kasten op slot (sleutelplan) •Receptie •Externen begeleiden of werken met badges •Registratie van internen en externen

20 20 Fysieke beveiliging en beveiliging van de omgeving (2) Doel: Het voorkomen van verlies, schade of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering •Plaatsing en beveiliging van apparatuur tegen (diefstal, brand, rook, brand, stof, vocht,..) •Stroomvoorziening (stroomkringen, UPS, noodgenerator) •Beveiliging van kabels •Onderhoud van bedrijfsmiddelen •Beveiliging buiten de locatie •Een “clear desk” en “clean screen” beleid

21 21 Beheer van communicatie- en bedieningsprocessen Doel: Het garanderen van een correcte en veilige bediening van IT- voorzieningen •Gedocumenteerde bedieningsprocedures •Het beheer van wijzigingen •Procedures voor behandelen van incidenten •Functiescheiding •Extern beheer van voorzieningen

22 22 Beheer van communicatie- en bedieningsprocessen (2) Doel: Het risico van systeemstoringen beperken tot een minimum •Capaciteitsplanning •Acceptatie van systemen –Hardware –Software –Procedures –Cursussen –Testen –Fall-back scenario •Bescherming tegen kwaadaardige software

23 23 Beheer van communicatie- en bedieningsprocessen (3) Doel: Het risico van systeemstoringen beperken tot een minimum en het handhaven van de integriteit en beschikbaarheid van informatie en bedrijfsmiddelen •Nemen van back-ups •Bijhouden van een logboek •Maatregelen voor het computernetwerk •Beheer van verwijderbare computermedia •Afvoer van media •Beheer van het uitwisselen van informatie •Beveiliging tijdens transport

24 24 Toegangsbeveiliging Doel: Het beheersen van de toegang tot informatie •Zakelijke eisen en een beleid •Regels voor toegangsbeveiliging •Registratie van gebruikers •Wachtwoordmanagement •Beheer van gebruikerswachtwoorden •Beheer en beveiliging van netwerkverbindingen •Toegangsbeheer van de werkstations •Toegangsbeheer van de toepassingen

25 25 Toegangsbeveiliging •Monitoring van toegang tot en gebruik van systemen •Vastleggen van beveiligingsrelevante activiteiten •Procedures en risicogebieden •Evalueren van de gebeurtenissen •Synchronisatie van de systeemklokken •Extra aandacht en uitzonderingen –Mobiele computers –Telewerken –Externe verbindingen van derden

26 26 Ontwikkeling en onderhoud van systemen Doel: Waarborgen dat beveiliging wordt ingebouwd in informatiesystemen •Specificatie van de beveiligingseisen ten aanzien van een systeem •Validatie van: –Invoergegevens –Interne gegevensverwerking –Uitvoergegevens •Cryptografische beveiliging (encryptie en digitale handtekening) •Beheersing van operationele software

27 27 Continuïteitsmanagement Doel: Het reageren op verstoringen van bedrijfsactiviteiten en het beschermen van de kritieke bedrijfsprocessen tegen de effecten van grootschalige storingen •In kaart brengen van de kritische bedrijfsprocessen en de bedrijfsmiddelen die hieraan gekoppeld zijn •De waarschijnlijkheid dat zich specifieke calamiteiten voordoen •De impact ervan bepalen •Wat is de tijd dat deze bedrijfsprocessen en de daaraan gekoppelde bedrijfsmiddelen terug “up-and-running” moeten zijn •Opstellen van een continuïteitsplan (strategisch en praktisch) •Testen en actualiseren van de plannen •Indekken (verzekeringen, leveranciers, derden)

28 28 Naleving Doel: Het voorkomen van schending van wettelijke, reglementaire of contractuele verplichtingen of beveiligingseisen •Identificeren waar welke verplichtingen of eisen van toepassing zijn •Beveiliging van bedrijfsdocumenten •De nodige maatregelen treffen om te voorkomen •Controle op naleving •Verzamelen van bewijsmateriaal

29 29 Waarom vertwijfeling? •Het is heel uitgebreid •Het is complex •Het kan veel geld kosten •Het kost veel tijd •Men (management en personeel) ziet geen voordelen alleen nadelen •Men denkt dat dit een éénmalige inspanning is maar dit is een continu proces •Andere zaken hebben meer prioriteit totdat …..

30 30 Conclusies/samenvatting •Ga er mee van start, je kan niet zonder •Zorg dat het management erachter staat •Zorg ook dat het personeel erachter staat (sensibilisatie) •Niet alleen de verantwoordelijkheid van informaticus •Doe een beroep op experts •Pak dit planmatig aan •Focus op de belangrijke zaken •Zorg dat het haalbaar is •Het hoeft zeker niet duur te zijn

31 31 Vragen


Download ppt "Beveiliging Een leidraad voor het opzetten van informatieveiligheid PIVO, 6 juni 2005 Carl Possemiers."

Verwante presentaties


Ads door Google