Een leidraad voor het opzetten van informatieveiligheid Beveiliging Een leidraad voor het opzetten van informatieveiligheid PIVO, 6 juni 2005 Carl Possemiers
Agenda Waarom? Wat is beveiliging? ISO 17799 Conclusies/samenvatting
Waarom? Parallellen met VERKEERSVEILIGHEID (wegverkeer) Daar wordt iedereen dagelijks mee geconfronteerd Is duidelijker aanwezig Men vindt dit normaal Kost mensenlevens Kost handenvol geld Veel partijen zijn erbij betrokken Niet altijd logisch Niet altijd praktisch Verschillende opvattingen en dus discussies
Waarom? (2) Wegverkeer bestaat al eeuwen Eerste auto (1886 - Benz) Het eerste verkeersslachtoffer: Bridget Driscoll (1896 - te Londen) Nu raken elk jaar 50 miljoen mensen gewond en sterven meer dan 1 miljoen mensen aan de gevolgen van auto-ongelukken. In België: 143 verkeersdoden per 1 miljoen inwoners Eurostat:
Waarom (3) Verkeersreglement Boetes (geld, straf,…) Rechtbanken Controle (politie, onbemande camera’s,…) Rijbewijs Opleiding Veiligere wagens (ABS, EDS, airbags, kreukzones,…) Veiligere infrastructuur (verkeerslichten -1940-, ronde punten, bruggen, scheiding van verkeer voetgangers en fietsers,…) Bewijzering (verkeersborden, markering, …) Hulpdiensten (MUG, Touring wegenhulp, takeldiensten, …)
Waarom (4) Verschillend soort wegverkeer (auto, moto, tram, fiets,voetganger,…) Gevolgen bij slechte werking: Ongelukken Menselijk drama Financieel (schade, verzekeringen) Files (tijdverlies, financieel verlies) Enzovoort, enzovoort… Dit kennen we en we vinden het normaal dat er verkeersveiligheid is!
Wat is beveiliging? Het gaat niet alleen over virussen en hackers ! Invullen volgens de ruimst mogelijk betekenis van de woord. Informatiebeveiliging beschermt tegen een breed scala van bedreigingen om: de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren het rendement van de organisatie te optimaliseren Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen Zowel fysisch (papier, materiaal, hardware) als digitaal (toepassingen en elektronische gegevens)
Wat is beveiliging? (2) Veiligheid wordt gekarakteriseerd als het waarborgen van: Vertrouwelijkheid (Confidentiality): informatie alleen toegankelijk voor zij die het mogen Integriteit (Integrity): correctheid en volledigheid van informatie en verwerking Beschikbaarheid (Availability): dat gebruikers op de juiste momenten tijdig toegang krijgen tot informatie en bedrijfsmiddelen
Wat is beveiliging? (3) We doen het voor de organisatie en zijn medewerkers Voor een goede werking Voor het imago Voor financiële reden Maar ook voor anderen : Naleving van de wet op de bescherming van de persoonlijke levenssfeer (wet op de privacy) Bescherming van de eigendommen Bescherming van de patenten Bescherming tegen piraterij Kruispuntbank Rijksregister
ISO 17799 Internationale standaard voor de uitwerking van een beveiligingsbeleid Een gemeenschappelijke basis te bieden (kader) voor de ontwikkeling van beveiligingsnormen en een effectief management ervan Het bevat aanbevelingen voor het initiëren, invoeren en handhaven van de beveiliging Niet alle adviezen en maatregelen hoeven van toepassing te zijn
ISO 17799 (2) Ga van start en leg het kader vast Reikwijdte van de invoering Personeel Externen Bedrijfsmiddelen Locaties Risico inschatting Probabiliteit Gevolgen Impact (financieel)
Beveiligingsbeleid Doel: Het bieden van sturing en ondersteuning van het management ten behoeve van informatiebeveiliging Beleidsdocument opstellen, goedkeuren, uitvaardigen, uitdragen aan alle medewerkers, handhaven In beleidsdocument staat: Definitie van informatiebeveiliging De doelstellingen De reikwijdte Het belang Een verklaring van de intenties Een omschrijving van de algemene en specifieke verantwoordelijkheden (rapportering) Verwijzingen naar documentatie die het beleid kan ondersteunen
Beveiligingsbeleid (2) Beoordeling en evaluatie Beleid dient een “eigenaar” te hebben verantwoordelijk voor handhaving en evaluatie Evaluatie als reactie op Beveiligingsincidenten Wijzigingen van organisatorische aard Wijzigingen van technische infrastructuur Periodieke evaluaties Effectiviteit van het beleid Kosten en effect van de maatregelen Het effect van verandering in technologie
Beveiligingsorganisatie Doel: Het managen van de informatiebeveiliging binnen de organisatie Door: Forum samen te stellen Werkgroep(en) met management, informaticaverantwoordelijken, gebruikers, externen,… Toekennen van taken en verantwoordelijkheden Autorisatieproces voor procedures en nieuwe bedrijfsmiddelen Specialistisch advies over informatiebeveiliging Samenwerking tussen de organisaties
Beveiligingsorganisatie (2) Beveiliging van toegang door derden en uitbesteding Informatiebeveiliging ook van toepassing op derden, niet alleen op eigen personeel Identificeren van risico’s van toegang door derden Soorten toegang (fysieke en logische) Redenen van toegang Op afstand versus op locatie Beveiligingseisen in contracten met derden
Classificatie en beheer van de bedrijfsmiddelen Doel: Het handhaven van een adequate bescherming van bedrijfsmiddelen en waarborgen dat ze een passend niveau van beveiliging krijgen Eigenaars aanduiden Inventaris van alle bedrijfsmiddelen zoals informatie (alle andere soorten elektronische informatie (in systeemsoftware, applicatiesoftware, in databases, in bestanden op de fileserver, in mails,…), handleidingen, archief, contracten,… Software: toepassingen, CD-ROM, licenties en licentienummers, Fysieke bedrijfsmiddelen: computers, printers, netwerkapparatuur, telefooncentrales, faxen, Diensten: verwarming, verlichting, elektriciteit, airconditioning, alarmcentrale, … Aangeven hoe kritisch, prioritair en mate van beveiliging
Classificatie en beheer van de bedrijfsmiddelen (2) Opstellen van richtlijnen voor het classificeren Procedures voor het labelen en verwerken van informatie Nodig om: Naar wie de informatie moet verspreid worden (kopiëren, mailen,..) Hoe de informatieverspreiding te beperken (oa. autorisatieproces) Hoe kritisch is deze informatie Hoe gebeurt de opslag van de informatie Vernietiging ervan Zowel van toepassing op informatie als op bedrijfsmiddelen
Beveiligingseisen ten aanzien van het personeel Doel: Het verminderen van de risico’s van menselijke fouten, diefstal, fraude of misbruik van voorzieningen Beveiligingseisen in de functieomschrijving Screening tijdens aanwerving en een goed personeelsbeleid Geheimhoudingsverklaring Voldoende training voor de gebruikers: bewustwording van de gevaren en ook juist gebruik van de bedrijfsmiddelen Reageren op beveiligingsincidenten Disciplinaire maatregelen: tuchtprocedure of technische ingrepen
Fysieke beveiliging en beveiliging van de omgeving Doel: Het voorkomen van ongeautoriseerde toegang tot, schade aan of verstoring van de gebouwen en informatie van de organisatie De fysieke beveiliging van de omgeving duidelijk vastleggen Opdeling in publieke zones, interne zones en beveiligde zones Inbraak- en branddetectiesystemen Lokalen en kasten op slot (sleutelplan) Receptie Externen begeleiden of werken met badges Registratie van internen en externen
Fysieke beveiliging en beveiliging van de omgeving (2) Doel: Het voorkomen van verlies, schade of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering Plaatsing en beveiliging van apparatuur tegen (diefstal, brand, rook, brand, stof, vocht ,..) Stroomvoorziening (stroomkringen, UPS, noodgenerator) Beveiliging van kabels Onderhoud van bedrijfsmiddelen Beveiliging buiten de locatie Een “clear desk” en “clean screen” beleid Vocht: condensatie, water, drank
Beheer van communicatie- en bedieningsprocessen Doel: Het garanderen van een correcte en veilige bediening van IT- voorzieningen Gedocumenteerde bedieningsprocedures Het beheer van wijzigingen Procedures voor behandelen van incidenten Functiescheiding Extern beheer van voorzieningen
Beheer van communicatie- en bedieningsprocessen (2) Doel: Het risico van systeemstoringen beperken tot een minimum Capaciteitsplanning Acceptatie van systemen Hardware Software Procedures Cursussen Testen Fall-back scenario Bescherming tegen kwaadaardige software
Beheer van communicatie- en bedieningsprocessen (3) Doel: Het risico van systeemstoringen beperken tot een minimum en het handhaven van de integriteit en beschikbaarheid van informatie en bedrijfsmiddelen Nemen van back-ups Bijhouden van een logboek Maatregelen voor het computernetwerk Beheer van verwijderbare computermedia Afvoer van media Beheer van het uitwisselen van informatie Beveiliging tijdens transport
Toegangsbeveiliging Doel: Het beheersen van de toegang tot informatie Zakelijke eisen en een beleid Regels voor toegangsbeveiliging Registratie van gebruikers Wachtwoordmanagement Beheer van gebruikerswachtwoorden Beheer en beveiliging van netwerkverbindingen Toegangsbeheer van de werkstations Toegangsbeheer van de toepassingen
Toegangsbeveiliging Monitoring van toegang tot en gebruik van systemen Vastleggen van beveiligingsrelevante activiteiten Procedures en risicogebieden Evalueren van de gebeurtenissen Synchronisatie van de systeemklokken Extra aandacht en uitzonderingen Mobiele computers Telewerken Externe verbindingen van derden
Ontwikkeling en onderhoud van systemen Doel: Waarborgen dat beveiliging wordt ingebouwd in informatiesystemen Specificatie van de beveiligingseisen ten aanzien van een systeem Validatie van: Invoergegevens Interne gegevensverwerking Uitvoergegevens Cryptografische beveiliging (encryptie en digitale handtekening) Beheersing van operationele software
Continuïteitsmanagement Doel: Het reageren op verstoringen van bedrijfsactiviteiten en het beschermen van de kritieke bedrijfsprocessen tegen de effecten van grootschalige storingen In kaart brengen van de kritische bedrijfsprocessen en de bedrijfsmiddelen die hieraan gekoppeld zijn De waarschijnlijkheid dat zich specifieke calamiteiten voordoen De impact ervan bepalen Wat is de tijd dat deze bedrijfsprocessen en de daaraan gekoppelde bedrijfsmiddelen terug “up-and-running” moeten zijn Opstellen van een continuïteitsplan (strategisch en praktisch) Testen en actualiseren van de plannen Indekken (verzekeringen, leveranciers, derden)
Naleving Doel: Het voorkomen van schending van wettelijke, reglementaire of contractuele verplichtingen of beveiligingseisen Identificeren waar welke verplichtingen of eisen van toepassing zijn Beveiliging van bedrijfsdocumenten De nodige maatregelen treffen om te voorkomen Controle op naleving Verzamelen van bewijsmateriaal Alle wettelijke vormen, auteursrechten, software, MP3, interne keuken(regels), verzamelen: binnen wettelijk kader en interne afspraken, kwaliteit en volledigheid van bewijsmateriaal
Waarom vertwijfeling? Het is heel uitgebreid Het is complex Het kan veel geld kosten Het kost veel tijd Men (management en personeel) ziet geen voordelen alleen nadelen Men denkt dat dit een éénmalige inspanning is maar dit is een continu proces Andere zaken hebben meer prioriteit totdat …..
Conclusies/samenvatting Ga er mee van start, je kan niet zonder Zorg dat het management erachter staat Zorg ook dat het personeel erachter staat (sensibilisatie) Niet alleen de verantwoordelijkheid van informaticus Doe een beroep op experts Pak dit planmatig aan Focus op de belangrijke zaken Zorg dat het haalbaar is Het hoeft zeker niet duur te zijn
Vragen