De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

AD Security project 2 ICTPSC02VX/DX George Pluimakers Diederik de Vries Schooljaar 2013-2014.

Verwante presentaties


Presentatie over: "AD Security project 2 ICTPSC02VX/DX George Pluimakers Diederik de Vries Schooljaar 2013-2014."— Transcript van de presentatie:

1 AD Security project 2 ICTPSC02VX/DX George Pluimakers Diederik de Vries Schooljaar

2 Wat hebben we gedaan? Voorgesteld Projectoutline neergezet –Analyseren –Adviseren Rapport –Aanpassing aan inhoud Waarom informatiebeveiliging CIA, BIV Bedrijfskritische processen, beschikbaarheid

3 Beschikbaarheid Bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn –Continuïteit –Tijdigheid –Robuustheid Heeft een relatie met Business Continuity Management

4 Integriteit Geeft de mate aan waarin de informatie actueel en correct is. Kenmerken van integriteit zijn –juistheid –volledigheid –autorisatie van de transacties

5 Vertrouwelijkheid? 5

6 Vertrouwelijkheid Is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden Het waarborgt dat: –alleen geautoriseerden toegang krijgen –dat informatie niet kan uitlekken.

7 Risico analyse Bij een risicoanalyse worden bedreigingen (risico’s) benoemd en in kaart gebracht Een risicoanalyse is een methode waarbij de benoemde risico's worden gekwantificeerd door het bepalen van de kans dat een dreiging zich voordoet en de gevolgen daarvan: Risico = Kans * Gevolg Is de eerste stap binnen het risicomanagement(proces)

8 Informatiebeveiliging (in de zorg) : Het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. Naast het borgen van deze kwaliteitscriteria vereist de norm ook dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht, voordat kan worden gesproken van adequate informatiebeveiliging bron:

9 Bedrijfskritische ICT - software We spreken van bedrijfskritische ICT, als verstoring of uitval hiervan zeer nadelige impact heeft op de bedrijfsvoering, en dan met name op primaire bedrijfsprocessen. Software is bedrijfskritisch wanneer hiermee gegevens worden verwerkt die een hoge mate van continuïteit moeten kennen. bron:

10 Ieder bedrijf heeft wel iets van bedrijfskritische ICT/applicaties, maar … Bank: ING, Rabobank,.. Verzekeraar: Achmea,.. NS Gasunie KPN Eneco Rijkswaterstaat: bv. Besturen Deltawerken Belastingdienst UWV Gemeente …

11 Ezelsbruggetje voor de BIV factoren… Voorbeeld internetbankieren bij de ING. Jij wil online inzien hoeveel je saldo is op een bepaald moment. 'Mijn ING' moet op dat moment dus beschikbaar zijn. Vervolgens moet je inloggen. Dit is vertrouwelijkheid, door middel van je gebruikersnaam en wachtwoord, ben jij de enige die kan inloggen op jouw bankaccount. Als je eenmaal bent ingelogd, wil je dat je saldo juist is. Je wilt niet dat er staat dat je saldo 200 euro is, terwijl dit in werkelijkheid 2000 euro is. Dit is integriteit.

12 Beveiligingsklassen Let op! Wederom voorbeeld! Laag Middel Hoog

13 Beveiligingsklassen ‘Laag’ Voor deze server zijn de volgende maatregelen van toepassing  Backup, patchmanagement  Geen authenticatie benodigd  Alleen openbare informatie  Verlies tot een week is acceptabel  Downtime tot een dag is acceptabel Geautomatiseerd adresboek? Patch-download server?

14 Beveiligingsklassen ‘middel’ Voor deze server zijn de volgende maatregelen van toepassing:  Backup, patchmanagement, logging  Authenticatie voor studenten: gebruikersnaam en wachtwoord  Authenticatie voor docenten: gebruikersnaam, wachtwoord, token  Informatie is alleen toegankelijk voor geauthoriseerden  Verlies van gegevens tot een dag is moeilijk, maar acceptabel  Downtime tot 4 uur is acceptabel Fileserver?

15 Beveiligingsklassen ‘kritiek’ Voor deze server zijn de volgende maatregelen van toepassing:  Backup, patchmanagement, logging, encryptie  Authenticatie alleen voor docenten: gebruikersnaam, wachtwoord, token, alleen HR netwerk  Informatie is alleen toegankelijk voor geauthoriseerden  Verlies tot een uur is acceptabel  Server wordt permanent gecopieerd naar extern datacenter

16 Het risico van onder- en overclassificatie Systemen in een te hoge beveiligingsklasse geplaatst, bijv. vanwege een onterecht hoge eis aan de beschikbaarheid. Leidt tot onnodig hoge kosten en functionele beperkingen. Systemen in een te lage beveiligingsklasse geplaatst, bijv. om redenen van (korte termijn) kostenbesparingen. Het is daarom noodzakelijk na te gaan wat de gevolgen zijn van een bedreiging. Bij de classificatie moet niet de beleving van de bedreiging, maar een reële inschatting van de gevolgen daarvan bepalend zijn.

17 Classificatie NEN / ISO17799 (2005) / ISO27002 (2007) Laag Risico (A)Middel Risico (B)Hoog Risico (C) Continuïteit (informatie op juiste tijd en plaats?) Applicatie niet langer down dan 4 dagen Applicatie tussen de 1-4 dagen down Applicatie minder dan een dag down Integriteit (Klopt mijn informatie volledig en juist?) Foutieve informatie heeft nauwelijks invloed op correcte uitvoering van het bedrijfsproces Foutieve informatie is hinderlijk, maar een goede uitvoering is mogelijk Foutieve informatie maakt een goede uitvoering van het proces onmogelijk Exclusiviteit (Alleen beschikbaar voor bevoegden) Gegevens zijn intern en extern niet vertrouwelijk Gegevens zijn op afdelingsniveau vertrouwelijk Gegevens zijn voor de eigenaar ervan vertrouwelijk 17

18 Classificatie NEN / ISO17799 (2005) / ISO27002 (2007) Laag Risico (A)Middel Risico (B)Hoog Risico (C) Continuïteit (informatie op juiste tijd en plaats?) Applicatie niet langer down dan 4 dagen Applicatie tussen de 1-4 dagen down Applicatie minder dan een dag down Integriteit (Klopt mijn informatie volledig en juist?) Foutieve informatie heeft nauwelijks invloed op correcte uitvoering van het bedrijfsproces Foutieve informatie is hinderlijk, maar een goede uitvoering is mogelijk Foutieve informatie maakt een goede uitvoering van het proces onmogelijk Exclusiviteit (Alleen beschikbaar voor bevoegden) Gegevens zijn intern en extern niet vertrouwelijk Gegevens zijn op afdelingsniveau vertrouwelijk Gegevens zijn voor de eigenaar ervan vertrouwelijk

19 Let op met de classificatie! Een norm eist dat je een invulling hebt Hóe je ‘m invult is een tweede! Applicaties kunnen down zijn voor een week, of voor een uur -> Dit is afhankelijk van het bedrijf! 19

20 BIV-klassen - voorbeelden Elk criterium van BIV wordt gescoord: 1 = laag, 2 = middel, 3 = hoog Een bedrijfskritische applicatie en bijbehorende data kent bijvoorbeeld een BIV-classificatie van 333 Een laag geclassificeerde applicatie en bijbehorende server zou als 111 geclassificeerd zijn. Op basis van deze classificatie pas je maatregelen toe… Alhoewel.

21 Classificatie NEN / ISO17799 Voorbeeld: Apotheek

22 Checklist BIV Jullie gaan aan de slag met een checklist BIV uit NEN7510 Bedacht voor de zorgsector, maar ook uitstekend toepasbaar in andere sectoren In de opdracht gaan jullie voor elk van de aandachtspunten uit deze checklist voor Beschikbaarheid, Integriteit en Vertrouwelijkheid 2 vragen beantwoorden: 1.Hoe staat het ermee? (analyseren) 2.Wat kan er beter? (adviseren)

23 Checklist BIV (2) Je loopt de gehele checklist door. Sommige zaken zijn verplicht uit te zoeken! De andere zaken zijn goed voor meer punten.

24 Checklist BIV - concreet We lopen er even doorheen…

25 Beschikbaarheid - Algemeen Continuïteitsstrategie Continuïteitsplan(nen) Continuïteitsvoorzieningen (uitwijk, e.d.) Noodprocedures Stand-by regelingen Externe toegang leveranciers 25

26 Beschikbaarheid - Algemeen Spreiding over locaties Garantie / onderhoudscontracten Escrow Veroorzaker schade aansprakelijk stellen Deskundigheid intern en extern beschikbaar Signalering incidenten Loggen / analyse incidenten 26

27 Beschikbaarheid - Fysiek Brandbeveiliging Waterdetectie Bliksembeveiliging Noodstroomvoorzieningen UPS op kritische apparatuur Toegang computerruimte Toegang Patchruimten Kluizen 27

28 Beschikbaarheid - Apparatuur Dubbel uitvoeren / clustering servers Reserve hardware Actieve componenten Bekabeling / goten etc. Datacommunicatie (lijnen etc.) Telefooncentrales Werkstations op reserve Set-up Pc's (master / ghost image) 28

29 Beschikbaarheid Programmatuur en gegevens Back-up procedures Versiebeheer documenten Systeemprogrammatuur Maatregelen tegen malware Installeren programma's (procedures en middelen) Updates / upgrades programma’s Maatregelen downloaden Toegang management directories 29

30 Integriteit Beleid ontwikkeling informatiesystemen Scheiding Ontwikkeling – Test – Acceptatie – Productie (OTAP) Versiebeheer applicaties Onderhoud applicaties Testen applicaties Integriteitscontrole databases en bestanden Instructies gebruikers Procedures voor invoer, verwerking en uitvoer Externe toegang leveranciers Onderhoud ICT-middelen 30

31 Vertrouwelijkheid Toegangsbeveiligingsbeleid Richtlijnen en procedures toegangsbeveiliging Autorisatiebeheer Functiescheiding Clean desk en clear screen Controles Sancties Privacyreglement Externe audit 31

32 Informatiebeveiliging controleren (analyseren) Het realiseren van het overeengekomen niveau van beveiliging is een taak die in de regel wordt toebedeeld aan een iemand die zich beroepshalve met het vakgebied bezighoudt.

33 Informatiebeveiliging controleren (analyseren) (2) Toezicht vindt plaats vanuit de IT-audit discipline en diverse wettelijke toezichthouders. Door het uitvoeren van IT-audits en privacy audits kan worden vastgesteld of het overeengekomen niveau van beveiliging is gerealiseerd. Ook kan een organisatie worden gecertificeerd op basis van de Code voor Informatiebeveiliging en de internationale standaard ISO (dus wederom een audit!) Hoe is de scheiding tussen uitvoerende en controlerende macht?

34 Informatiebeveiliging verbeteren (adviseren) Informatiebeveiliging is een onderwerp dat goed verankerd moet zijn in het topmanagement van de organisatie en is gebaseerd op het creëren van draagvlak bij gebruikers Een bewustwordingsprogramma kan dan ook de invoering van de beveiligingsmaatregelen ondersteunen Geen security zonder draagvlak!

35 Maatregelen na risicoanalyse preventie: het voorkomen dat iets gebeurt of het verminderen van de kans dat het gebeurt; repressie: het beperken van de schade wanneer een bedreiging optreedt; correctie: het instellen van maatregelen die worden geactiveerd zodra iets is gebeurd om het effect hiervan (deels) terug te draaien acceptatie: geen maatregelen, men accepteert de kans en het mogelijke gevolg van een bedreiging; manipulatie: het wijzigen van parameters in de berekening om tot een gewenst resultaat te komen. Verzekeren: door het inschakelen van een derde partij monetair verlies verzachten indien een incident plaatsvind

36 Conclusie


Download ppt "AD Security project 2 ICTPSC02VX/DX George Pluimakers Diederik de Vries Schooljaar 2013-2014."

Verwante presentaties


Ads door Google