Een leidraad voor het opzetten van informatieveiligheid

Slides:



Advertisements
Verwante presentaties
Analyse van incidenten
Advertisements

De zin en onzin van escrow
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Menno Karres Lead Auditor
Ontwikkeling van het Netwerk Naamkunde
Rijksgebouwendienst schrijft BIM voor
Testdata Management Ketentest
Internet beveiliging checklist. Overzicht Wensen Internetgebruik Risico’s Internetgebruik Oorzaken van onveilige situaties Beveiligingsbeleid Checklist.
Electronic Resource Management (ERM) Els Schaerlaekens Anet Gebruikersdag 15 juni 2011.
Kwaliteitshandboek CLB Genk-Maasland.
1 KM2.0 Bijeenkomst De Praktijk NUON: ‘Hoe gaan we om met vergrijzing?’
Ronde (Sport & Spel) Quiz Night !
© 2006 Consilience B.V.1. 2 E-Dienstverlening in de praktijk Noordwijk, 5 september 2006 K.P.Majoor Adviseur Consilience B.V.
Accreditatierichtlijn beveiliging van bestanden
Resultaten enquête veiligheidsbeleid CLB-GO!
Keuzeondersteunend model voor inbouwpakketten bij herbestemmingsprojecten Eindcolloquium Wiebrand Bunt.
VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.
Klassieke AO Leseenheid1
Inkomensverzorger voor de sector zorg en welzijn
Risicomanagement Beperking van vrijheid of ruimte voor kansen
door Thom Beuker WELKOM
XBRL / SBR Train de Trainer sessie Deel 2 A (van 3) 28 november 2012 SBR-Team Vanaf 1 januari 2013 is SBR de standaard voor financiële rapportages.
…in goede en kwade dagen De zakelijke kanten van een romantisch partnerschap: corruptie vermijden en aanpakken.
TUDelft Knowledge Based Systems Group Zuidplantsoen BZ Delft, The Netherlands Caspar Treijtel Multi-agent Stratego.
WWB proces + Inbedding in Risicomanagement ISO 31000
Veiligheidsinitiatieven Veiligheid krijgt onze continue aandacht Leuven, 24 oktober 2005 Carl Possemiers.
Overzicht initiatieven op het vlak van beveiliging PIVO, 6 juni 2005 Carl Possemiers, Freddy Deprez.
Beschermde planten en dieren binnen omgevingsvergunning
22 november 2011 Kwaliteit door meten Josje Everse En hoe de zelfevaluatie daarbij kan helpen…
Hoofdstuk 1 Begripsbepaling AO/BIV
Auditprogramma 2007 Resultaten Raadgevend Comité - 27 februari 2008
JE EIGEN VEILIGE PUBLIEKE TAAK
1 Controleplan 2005 Raadgevend comité Hotel President – donderdag 21 april 2005.
© L.A.F.M. Kerklaan HCG 1 16 november 2001Juridisch bibliothecarissen Het managen van de juridische bibliotheek Het kwaliteitshandboek als praktisch instrument.
© de vries business consultancy, 2008
Introductie OHSAS
Aenova Software Hans van der Last Algemeen Directeur Aenova Software
Kwaliteit in productie
De financiële functie: Integrale bedrijfsanalyse©
Onsight Managed Security Services
Van papier naar digitaal Casus Digital born materiaal
Cursus man review medische laboratoria 2004 De management review Cursus voor het succesvol uitvoeren van de management review G. De Schrijver M.D., Ph.D.
{ Workshop 1 Verantwoordelijkheden, procedures, openbaarheid Peter Horsman.
september 2009 Aanbevelingen van Compliance professionals
E-Government binnen de sociale zekerheid
1 Zie ook identiteit.pdf willen denkenvoelen 5 Zie ook identiteit.pdf.
Recordkeeping - in 7 stappen naar een digitaal archief
Module I Informatica Dhr. C. Walters. Het belang van informatie Gegevens  Informatie  Besluitvorming Gegevens = Data, Raw Material Informatie = Gegevens.
Pagina 1 © VHIC Processen van recordmanagement › Wat zijn onze records? › Hoe lang moeten we ze bewaren? › Hoe vinden we ze terug ( binnen hun context)
Een zorgsysteem voor betere arbeidsomstandigheden
“Kijken, denken en doen met voor risico”
Hoofdstuk 6 ICT en management h6.
Cegeka & TenForce Ronde tafel 17/06/2014 Doelstellingenmanagement VO.
Change Management Doel
Risico Inventarisatie & Evaluatie (RIE) bij - een tussenstand - 1.
Certificering van assetmanagement
Het Virtueel Kantoor Een eerste toelichting op het Virtueel Kantoor voor pgo-organisaties.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
IBP-beleid en AVG mei 2018.
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
Risicoanalyse … waarom?
IBP-beleid en AVG mei 2018.
Risicoanalyse … waarom?
Is testen een project op zich?
Wet op de privacy.
Cybersecurity, samen staan we sterk!
Risicoanalyse … waarom?
Transcript van de presentatie:

Een leidraad voor het opzetten van informatieveiligheid Beveiliging Een leidraad voor het opzetten van informatieveiligheid PIVO, 6 juni 2005 Carl Possemiers

Agenda Waarom? Wat is beveiliging? ISO 17799 Conclusies/samenvatting

Waarom? Parallellen met VERKEERSVEILIGHEID (wegverkeer) Daar wordt iedereen dagelijks mee geconfronteerd Is duidelijker aanwezig Men vindt dit normaal Kost mensenlevens Kost handenvol geld Veel partijen zijn erbij betrokken Niet altijd logisch Niet altijd praktisch Verschillende opvattingen en dus discussies

Waarom? (2) Wegverkeer bestaat al eeuwen Eerste auto (1886 - Benz) Het eerste verkeersslachtoffer: Bridget Driscoll (1896 - te Londen) Nu raken elk jaar 50 miljoen mensen gewond en sterven meer dan 1 miljoen mensen aan de gevolgen van auto-ongelukken. In België: 143 verkeersdoden per 1 miljoen inwoners Eurostat:

Waarom (3) Verkeersreglement Boetes (geld, straf,…) Rechtbanken Controle (politie, onbemande camera’s,…) Rijbewijs Opleiding Veiligere wagens (ABS, EDS, airbags, kreukzones,…) Veiligere infrastructuur (verkeerslichten -1940-, ronde punten, bruggen, scheiding van verkeer voetgangers en fietsers,…) Bewijzering (verkeersborden, markering, …) Hulpdiensten (MUG, Touring wegenhulp, takeldiensten, …)

Waarom (4) Verschillend soort wegverkeer (auto, moto, tram, fiets,voetganger,…) Gevolgen bij slechte werking: Ongelukken Menselijk drama Financieel (schade, verzekeringen) Files (tijdverlies, financieel verlies) Enzovoort, enzovoort… Dit kennen we en we vinden het normaal dat er verkeersveiligheid is!

Wat is beveiliging? Het gaat niet alleen over virussen en hackers ! Invullen volgens de ruimst mogelijk betekenis van de woord. Informatiebeveiliging beschermt tegen een breed scala van bedreigingen om: de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren het rendement van de organisatie te optimaliseren Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen Zowel fysisch (papier, materiaal, hardware) als digitaal (toepassingen en elektronische gegevens)

Wat is beveiliging? (2) Veiligheid wordt gekarakteriseerd als het waarborgen van: Vertrouwelijkheid (Confidentiality): informatie alleen toegankelijk voor zij die het mogen Integriteit (Integrity): correctheid en volledigheid van informatie en verwerking Beschikbaarheid (Availability): dat gebruikers op de juiste momenten tijdig toegang krijgen tot informatie en bedrijfsmiddelen

Wat is beveiliging? (3) We doen het voor de organisatie en zijn medewerkers Voor een goede werking Voor het imago Voor financiële reden Maar ook voor anderen : Naleving van de wet op de bescherming van de persoonlijke levenssfeer (wet op de privacy) Bescherming van de eigendommen Bescherming van de patenten Bescherming tegen piraterij Kruispuntbank Rijksregister

ISO 17799 Internationale standaard voor de uitwerking van een beveiligingsbeleid Een gemeenschappelijke basis te bieden (kader) voor de ontwikkeling van beveiligingsnormen en een effectief management ervan Het bevat aanbevelingen voor het initiëren, invoeren en handhaven van de beveiliging Niet alle adviezen en maatregelen hoeven van toepassing te zijn

ISO 17799 (2) Ga van start en leg het kader vast Reikwijdte van de invoering Personeel Externen Bedrijfsmiddelen Locaties Risico inschatting Probabiliteit Gevolgen Impact (financieel)

Beveiligingsbeleid Doel: Het bieden van sturing en ondersteuning van het management ten behoeve van informatiebeveiliging Beleidsdocument opstellen, goedkeuren, uitvaardigen, uitdragen aan alle medewerkers, handhaven In beleidsdocument staat: Definitie van informatiebeveiliging De doelstellingen De reikwijdte Het belang Een verklaring van de intenties Een omschrijving van de algemene en specifieke verantwoordelijkheden (rapportering) Verwijzingen naar documentatie die het beleid kan ondersteunen

Beveiligingsbeleid (2) Beoordeling en evaluatie Beleid dient een “eigenaar” te hebben verantwoordelijk voor handhaving en evaluatie Evaluatie als reactie op Beveiligingsincidenten Wijzigingen van organisatorische aard Wijzigingen van technische infrastructuur Periodieke evaluaties Effectiviteit van het beleid Kosten en effect van de maatregelen Het effect van verandering in technologie

Beveiligingsorganisatie Doel: Het managen van de informatiebeveiliging binnen de organisatie Door: Forum samen te stellen Werkgroep(en) met management, informaticaverantwoordelijken, gebruikers, externen,… Toekennen van taken en verantwoordelijkheden Autorisatieproces voor procedures en nieuwe bedrijfsmiddelen Specialistisch advies over informatiebeveiliging Samenwerking tussen de organisaties

Beveiligingsorganisatie (2) Beveiliging van toegang door derden en uitbesteding Informatiebeveiliging ook van toepassing op derden, niet alleen op eigen personeel Identificeren van risico’s van toegang door derden Soorten toegang (fysieke en logische) Redenen van toegang Op afstand versus op locatie Beveiligingseisen in contracten met derden

Classificatie en beheer van de bedrijfsmiddelen Doel: Het handhaven van een adequate bescherming van bedrijfsmiddelen en waarborgen dat ze een passend niveau van beveiliging krijgen Eigenaars aanduiden Inventaris van alle bedrijfsmiddelen zoals informatie (alle andere soorten elektronische informatie (in systeemsoftware, applicatiesoftware, in databases, in bestanden op de fileserver, in mails,…), handleidingen, archief, contracten,… Software: toepassingen, CD-ROM, licenties en licentienummers, Fysieke bedrijfsmiddelen: computers, printers, netwerkapparatuur, telefooncentrales, faxen, Diensten: verwarming, verlichting, elektriciteit, airconditioning, alarmcentrale, … Aangeven hoe kritisch, prioritair en mate van beveiliging

Classificatie en beheer van de bedrijfsmiddelen (2) Opstellen van richtlijnen voor het classificeren Procedures voor het labelen en verwerken van informatie Nodig om: Naar wie de informatie moet verspreid worden (kopiëren, mailen,..) Hoe de informatieverspreiding te beperken (oa. autorisatieproces) Hoe kritisch is deze informatie Hoe gebeurt de opslag van de informatie Vernietiging ervan Zowel van toepassing op informatie als op bedrijfsmiddelen

Beveiligingseisen ten aanzien van het personeel Doel: Het verminderen van de risico’s van menselijke fouten, diefstal, fraude of misbruik van voorzieningen Beveiligingseisen in de functieomschrijving Screening tijdens aanwerving en een goed personeelsbeleid Geheimhoudingsverklaring Voldoende training voor de gebruikers: bewustwording van de gevaren en ook juist gebruik van de bedrijfsmiddelen Reageren op beveiligingsincidenten Disciplinaire maatregelen: tuchtprocedure of technische ingrepen

Fysieke beveiliging en beveiliging van de omgeving Doel: Het voorkomen van ongeautoriseerde toegang tot, schade aan of verstoring van de gebouwen en informatie van de organisatie De fysieke beveiliging van de omgeving duidelijk vastleggen Opdeling in publieke zones, interne zones en beveiligde zones Inbraak- en branddetectiesystemen Lokalen en kasten op slot (sleutelplan) Receptie Externen begeleiden of werken met badges Registratie van internen en externen

Fysieke beveiliging en beveiliging van de omgeving (2) Doel: Het voorkomen van verlies, schade of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering Plaatsing en beveiliging van apparatuur tegen (diefstal, brand, rook, brand, stof, vocht ,..) Stroomvoorziening (stroomkringen, UPS, noodgenerator) Beveiliging van kabels Onderhoud van bedrijfsmiddelen Beveiliging buiten de locatie Een “clear desk” en “clean screen” beleid Vocht: condensatie, water, drank

Beheer van communicatie- en bedieningsprocessen Doel: Het garanderen van een correcte en veilige bediening van IT- voorzieningen Gedocumenteerde bedieningsprocedures Het beheer van wijzigingen Procedures voor behandelen van incidenten Functiescheiding Extern beheer van voorzieningen

Beheer van communicatie- en bedieningsprocessen (2) Doel: Het risico van systeemstoringen beperken tot een minimum Capaciteitsplanning Acceptatie van systemen Hardware Software Procedures Cursussen Testen Fall-back scenario Bescherming tegen kwaadaardige software

Beheer van communicatie- en bedieningsprocessen (3) Doel: Het risico van systeemstoringen beperken tot een minimum en het handhaven van de integriteit en beschikbaarheid van informatie en bedrijfsmiddelen Nemen van back-ups Bijhouden van een logboek Maatregelen voor het computernetwerk Beheer van verwijderbare computermedia Afvoer van media Beheer van het uitwisselen van informatie Beveiliging tijdens transport

Toegangsbeveiliging Doel: Het beheersen van de toegang tot informatie Zakelijke eisen en een beleid Regels voor toegangsbeveiliging Registratie van gebruikers Wachtwoordmanagement Beheer van gebruikerswachtwoorden Beheer en beveiliging van netwerkverbindingen Toegangsbeheer van de werkstations Toegangsbeheer van de toepassingen

Toegangsbeveiliging Monitoring van toegang tot en gebruik van systemen Vastleggen van beveiligingsrelevante activiteiten Procedures en risicogebieden Evalueren van de gebeurtenissen Synchronisatie van de systeemklokken Extra aandacht en uitzonderingen Mobiele computers Telewerken Externe verbindingen van derden

Ontwikkeling en onderhoud van systemen Doel: Waarborgen dat beveiliging wordt ingebouwd in informatiesystemen Specificatie van de beveiligingseisen ten aanzien van een systeem Validatie van: Invoergegevens Interne gegevensverwerking Uitvoergegevens Cryptografische beveiliging (encryptie en digitale handtekening) Beheersing van operationele software

Continuïteitsmanagement Doel: Het reageren op verstoringen van bedrijfsactiviteiten en het beschermen van de kritieke bedrijfsprocessen tegen de effecten van grootschalige storingen In kaart brengen van de kritische bedrijfsprocessen en de bedrijfsmiddelen die hieraan gekoppeld zijn De waarschijnlijkheid dat zich specifieke calamiteiten voordoen De impact ervan bepalen Wat is de tijd dat deze bedrijfsprocessen en de daaraan gekoppelde bedrijfsmiddelen terug “up-and-running” moeten zijn Opstellen van een continuïteitsplan (strategisch en praktisch) Testen en actualiseren van de plannen Indekken (verzekeringen, leveranciers, derden)

Naleving Doel: Het voorkomen van schending van wettelijke, reglementaire of contractuele verplichtingen of beveiligingseisen Identificeren waar welke verplichtingen of eisen van toepassing zijn Beveiliging van bedrijfsdocumenten De nodige maatregelen treffen om te voorkomen Controle op naleving Verzamelen van bewijsmateriaal Alle wettelijke vormen, auteursrechten, software, MP3, interne keuken(regels), verzamelen: binnen wettelijk kader en interne afspraken, kwaliteit en volledigheid van bewijsmateriaal

Waarom vertwijfeling? Het is heel uitgebreid Het is complex Het kan veel geld kosten Het kost veel tijd Men (management en personeel) ziet geen voordelen alleen nadelen Men denkt dat dit een éénmalige inspanning is maar dit is een continu proces Andere zaken hebben meer prioriteit totdat …..

Conclusies/samenvatting Ga er mee van start, je kan niet zonder Zorg dat het management erachter staat Zorg ook dat het personeel erachter staat (sensibilisatie) Niet alleen de verantwoordelijkheid van informaticus Doe een beroep op experts Pak dit planmatig aan Focus op de belangrijke zaken Zorg dat het haalbaar is Het hoeft zeker niet duur te zijn

Vragen