1 Informatiebeveiliging If there is a wrong way to do something, then someone will do it. Edward A. Murphy, Jr. - 1949 If anything can go wrong, it will.

Slides:



Advertisements
Verwante presentaties
Update on EduStandard: public-private platform in Dutch education Henk Nijstad, Kennisnet / november 2013.
Advertisements

Kwalificaties op EQF niveau 5
Agenda Blok 1 - Evolutie van Cloud Computing
Ervaringen van een BPOS Partner T-BENCH Danny Otten.
Atos, Atos and fish symbol, Atos Origin and fish symbol, Atos Consulting, and the fish itself are registered trademarks of Atos Origin SA. August 2006.
Order placed Should be Nederland Netherlands can be removed here, just Scancorner Instead of ‘undefined’ -> ‘geen’ New logo should be displayed here. COUNTS.
Requirements -People are able to make their own memorial page, called a memori -The website will be build first in Dutch for extension.nl, then copied.
Een alternatief voorstel Naar aanleiding van bestudering van de IAASB voorstellen denkt de NBA na over een alternatief. Dit alternatief zal 26 september.
Deltion College Engels C1 Gesprekken voeren [Edu/002]/ subvaardigheid lezen thema: Order, order…. can-do : kan een bijeenkomst voorzitten © Anne Beeker.
Global e-Society Complex België - Regio Vlaanderen e-Regio Provincie Limburg Stad Hasselt Percelen.
1 Co-Design at Chess-iT Guus Bosman. 2 Afstuderen bij Chess Net.Footworks tot augustus 2003 Afstuderen augustus 2003 tot maart 2004 Chess full-time vanaf.
Teams on the frontline Geert Stroobant De Heide - Balans
Ronde (Sport & Spel) Quiz Night !
Copyright © 2008 Tele Atlas. All rights reserved. Zet uw Business Data op de kaart: Locaties in eTOM ®
Open Access en de universiteit IQ healthcare Bart Staal.
Business Productivity Online Suite
Voorziening levensonderhoud Religieuze Instituten Paul Op Heij ‘s-Hertogenbosch, 25 september 2013 The future depends on what you do today.
Vaardig? Een spectrum aan vaardigheden! Van informatie- naar media- naar exploratievaardig? Of e-Research & e-learning literate? Collaboration literate??
Accessible Instructional Materials. § Discussion: Timely access to appropriate and accessible instructional materials is an inherent component.
RHODODENDRON.
High quality internet for higher Education and Research 1 TF-LCPM: Exchanging new ideas New ideas within SURFnet Sharing with other NRENs
Introduction multimedia. convergence standards retrieval applications & technology.
Corporate Communications February 2011 Succesvol met Outsourcing Gerben Edelijn, CEO Thales Nederland.
AGENDA Het programma start om uur en eindigt om uur met aansluitend een dinerbuffet tot uur. Er is voldoende ruimte om met uw collega.
© 2004 IBM Corporation Guts Wissema, OpenSource & Linux Sales, IBM Open Document Format.
VVW Toervaren. Onderwerpen Type AIS transponders Verplichting / Toelating gebruik Praktijk voorbeelden van op het schip Praktijk voorbeelden vanop de.
GOVERNANCE & COMPLIANCE ADVISORY Onderzoek kwaliteit beleidsuitvoering vergunningverlening en -handhaving Gemeente Almelo Internal Audit, Risk and Compliance.
7/20/2014 | 1 › Vakgroep Belastingrecht Prof. Dr. I.J.J. Burgers › Faculteit Rechtsgeleerdheid › Vakgroep Accounting › Faculteit Economie en Bedrijfskunde.
IST Status Gerrit van Nieuwenhuizen IST-MIT meeting BNL, July 24, 2008
Beyond Big Grid – Amsterdam 26 september 2012 Enquette 77 ingevulde enquettes, waarvan 60 met gebruikservaring = Mainly Computer Science.
Identification Documents Port of Ghent All documents in this leaflet are copies of identification/legitimation documents that authorise persons to access.
EIE/06/075/SI From January 2007 to March 2009 Nationale Workshop Energiebesparing Introductie van E-BAG.
SQL injections en meer... PERU. web application vulnerabilities Cross Site Scripting (21.5%) SQL Injection (14%) PHP includes (9.5%) Buffer overflows.
Woensdag 23 juli 2014 volgende vorige algemeen ziekenhuis Sint-Jozef Malle Dementia pathway: a condition specific approach Patrick De Wit, MD Thierry Laporta,
In samenwerking met het Europees Sociaal Fonds en het Hefboomkrediet The role of APEL in career coaching and competence management Competence navigation.
SPLA Service Provider License Agreement
Client Management met ConfigMgr Jannes Alink – Management.
Netwerk Algorithms: Shortest paths1 Shortest paths II Network Algorithms 2004.
De digitale coach Het verbeteren van een plan van aanpak Steven Nijhuis, coördinator projecten FNT Deze presentatie staat op:
De digitale coach Het verbeteren van een plan van aanpak Steven Nijhuis, coördinator projecten FNT Deze presentatie staat op:
Bedrijfsspecifieke extensies Standaard Rekeningschema
2009 Tevredenheidsenquête Resultaten Opleidingsinstellingen.
1 Van Harvard naar MIPS. 2 3 Van Harvard naar MIPS Microprocessor without Interlocked Pipeline Stages Verschillen met de Harvard machine: - 32 Registers.
PLAYBOY Kalender 2006 Dit is wat mannen boeit!.
Vrije Universiteit amsterdamPostacademische Cursus Informatie Technologie Universal Modeling Language … why you need models? Models are necessary to communicate,
Automation SolutionsMFG/Pro Dutch usergroup 8 februari 2007 ISA S88 & S95 Het gebruik van deze normen in de productie.
Tussentoets Digitale Techniek. 1 november 2001, 11:00 tot 13:00 uur. Opmerkingen: 1. Als u een gemiddeld huiswerkcijfer hebt gehaald van zes (6) of hoger,
F REE R IDING IN P ROJECTS Recognize it today, Deal with it tomorrow, Prevent it in the next project Toine Andernach Focus Centre of Expertise on Education,
Geheugen, distributie en netwerken Netwerken: de basis voor distributie van gegevens en taken (processen) –bestaan zo’n 40 jaar, zeer snelle ontwikkeling.
Organizing Organization is the deployment of resources to achieve strategic goals. It is reflected in Division of labor into specific departments & jobs.
Ontwikkeling van een organisatie door evolutie en revolutie
Deltion College Engels C1 Schrijven [Edu/002] thema: CV and letter of application can-do : kan complexe zakelijke teksten schrijven © Anne Beeker Alle.
Deltion College Engels B1 En Spreken/Presentaties [Edu/007] Thema: Soap(s) can-do : kan met enig detail verslag doen van ervaringen, in dit geval, rapporteren.
Deltion College Engels B1 Schrijven [Edu/004]/ subvaardigheid lezen thema: reporting a theft can-do : kan formulieren waarin meer informatie gevraagd wordt,
Deltion College Engels C1 Gesprekken voeren [Edu/006] thema: ‘I was wondering what you think of…’ can-do : kan deelnemen aan de conversatie bij zeer formele.
Writing exercise This one goes into your language portfolio!!! You have until the end of the week to hand it in… (So you have a little longer than it says.
Telecommunicatie en Informatieverwerking UNIVERSITEIT GENT Didactisch materiaal bij de cursus Academiejaar
Telecommunicatie en Informatieverwerking UNIVERSITEIT GENT Didactisch materiaal bij de cursus Academiejaar
Marcel Crok | De staat van het klimaat Lezing KNAW klimaatbrochure Seminar | Maandag 12 december | Nieuwspoort Den Haag.
© Copyright VIMC 2009 Telecom Expense Management A Discussion Ed Vonk
Rational Unified Process RUP Jef Bergsma. Iterations –Inception –Elaboration –Construction –Transition De kernbegrippen (Phases)
© Shopping 2020 TITLE Date Subtitle Logo Gastheer Logo Voorzitter.
Combining pattern-based and machine learning methods to detect definitions for eLearning purposes Eline Westerhout & Paola Monachesi.
EML en IMS Learning Design
Sustainable employability in Tourism The human factor October 24, 2014 Where Europe Meets the Americas.
Logistics: a driver for innovation Low costs High value Flexibility now and later Superior technology Timwood - T > No transport - I > No Inventory - M.
Het geheim van Linked Data Marcel ReuversGeonovum CB-NL 20 november 2014.
Key Process Indicator Sonja de Bruin
IBM Software A vehicle manufacturer deploys business rules in one hour instead of a week IBM Operational Decision Manager software helps speed new business.
Transcript van de presentatie:

1 Informatiebeveiliging If there is a wrong way to do something, then someone will do it. Edward A. Murphy, Jr If anything can go wrong, it will. Murphy’s law

2 Ernst J. Oud Senior Consultant Remote Managed Services Getronics Business Continuity BV Botter Postbus AE Lelystad The Netherlands Telefoon Telefax Ernst J. Oud Senior Consultant Remote Managed Services Getronics Business Continuity BV Botter Postbus AE Lelystad The Netherlands Telefoon Telefax mobile:

3 Agenda  Code voor Informatiebeveiliging; verleden, heden en toekomst  Certificering tegen de Code  Ervaringen uit de praktijk

4 Informatiebeveiliging Hoe?

5 Integrated Security Methodology Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie Maatregelen Organisatie Bewustwording Projectgroep Risico-analyse Audit

6 Operationeel : de gereedschappen Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie Maatregelen Organisatie Bewustwording Projectgroep Risico-analyse Audit Security Scan Business Impact Analysis A&K Analyse Code voor Informatiebeveiliging ITIL Security Management CRAMM Wet Persoonsregistraties, Wet Computercriminaliteit … Bijstelling

7 Standaards voor informatiebeveiliging  Code voor Informatiebeveiliging (BS 7799)  Wetgever: WPR, WCC, ARBO...  Branche voorschriften “Memorandum omtrent de beschikbaarheid en continuïteit van geautomatiseerde gegevensverwerking in het bankwezen” De Nederlandsche Bank - 20/09/1988  ISO (in wording)  Voorschrift Informatiebeveiliging Rijksdienst (VIR)  Regeling Informatiebeveiliging Politie (RIP)

8 Code voor Informatiebeveiliging (BS 7799) “Een leidraad voor beleid en implementatie” 10 essentiële en fundamentele maatregelen 109 maatregelen totaal Certificatie mogelijkheid (vgl. ISO 9000) - KEMA/KPMG Uitgave NNI - Delft

9 De 10 essentiële en fundamentele maatregelen Management -Toewijzing van verantwoordelijkheden voor informatiebeveiliging -Naleving van de wetgeving inzake bescherming van persoonsgegevens -Beleidsdocument voor informatiebeveiliging Procedures -Het rapporteren van beveiligingsincidenten -Het proces van continuïteitsplanning -Naleving van het beveiligingsbeleid Maatregelen -Opleiding en training voor informatiebeveiliging -Viruscontrole -Voorkomen van het onrechtmatig kopiëren van programmatuur -Beveiliging van bedrijfsdocumenten

10 Code voor Informatiebeveiliging Verleden, heden en toekomst

11 Ontstaan van BS 7799  Initiatief van Marks & Spencer - UK  Belangrijkste reden: toename outsourcing contracten  Met enkele multinationals ontstaat BS 7799  Gevolg : een praktijkdocument

12 Ontstaan van de Code voor Informatiebeveiliging  Initiatief van Marks & Spencer - UK  Belangrijkste reden: toename outsourcing contracten  Met enkele multinationals ontstaat BS 7799  Introductie eind 1995 in Nederland: vertaling/aanpassing  Multinationals i.s.m. Ministerie van EZ en NNI  Initiatieven ter introductie ook bij het MKB

13 Waarom een standaard?  Geeft duidelijke regels tussen organisaties  Verschaft externe partijen duidelijkheid  Hanteerbaar als ‘normen en waarden’  Controleerbaar; fungeert als peilstok  Leidt tot ontstaan van producten/diensten

14 Types standaards Beveiligings- beleid Algemene voorschriften Technische inrichtings- documenten Organisatori- sche inrichtings- documenten Productiehandleidingen Gebruikershandleidingen Procedures en werkin- structies STRATEGISCH OPERATIONEEL TACTISCH STRATEGISCHE STANDAARDEN (VIR) SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL) ALGEMENE STANDAARDEN (BS 7799) OBJECTGERICHTE STANDAARDEN (BPM) Bron: Informatiebeveiliging Praktijkjournaal Jaargang 2, Nummer 3, Bladzijde 3

15 Verschillen BS 7799 en Code voor Informatiebeveiliging  Leesbaarheid  Verwijzingen naar Nederlandse wetgeving  BS 7799 Part 2 - Management van informatiebeveiliging  ITIL Security Management in NL bruikbaar als substituut  c-cure ICIT  c-cure  ICIT

Tactisch : ITIL Security Management KLANT definieert eisen gebaseerd op bedrijfsprocessen RAPPORTAGE conform SLASLA tussen klant en provider PLAN: Service Level Agreement Onderliggende contracten Operational Level Agreements Beleidslijnen IMPLEMENTEER: Bewustwording / Classificatie Fysieke, logische, organisatorische maatregelen Incidentbeheer ONDERHOUD: Leer Verbeter planning Verbeter implementatie Verbeter evaluatiemethodes EVALUEER: Interne audits Externe audits Zelfcontrole Beveiligingsincidenten BEHEER: Inrichten organisatie Management raamwerk Verantwoordelijkheden Hulpmiddelen Service Provider implementeert SLA volgens ITIL Security Management BRON: ITIL Security Management - CCTA 1999

17 Ervaringen sinds 1995  Bruikbaar instrument bij implementatie maatregelen  Sleutelmaatregelen implementeren motiveert  Diverse organisaties nu gecertificeerd  Interesse uit alle branches, inclusief overheid  Helpt bij implementatie VIR

18 Zwakke punten  Geeft weinig steun bij selecteren van maatregelen

19 Van risico’s naar maatregelenCRAMM THREATCOUNTERMEASUREMAATREGEL UIT CODE …. Misuse of System Resources Communications Infiltration by Insiders … Network Access Controls7.4.3 GEBRUIKERSAUTHENTICATIE... … Communications Infiltration by Contracted... Service Providers …

20 Zwakke punten  Geeft weinig steun bij selecteren van maatregelen  Vooral ‘wat’ maar weinig ‘hoe’

21 Van ‘wat’ naar ‘hoe’ Baseline Protection Manual S 4.48 Password protection under Windows NT For each user, access to a Windows NT system must be protected by a password. User accounts without a password are not allowed to exist, as they constitute a potential weak point in the system. It is important that users too are familiar with the protective function of the passwords, since the co-operation of users naturally contributes to the security of the overall system. Setting up a new user is performed with the aid of the utility User Manager via the control command "New User". At the same time an initial password with a maximum of 14 characters must be entered in the fields "Password" and "Confirm Password". For passwords under Windows NT the use of upper and lower case letters must be observed. A meaningful initial password should be allocated which is notified to the user. Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort. The option "User Must Change Password At Next Log-On" should be set with all new accounts, so that the log-on password is not retained. On the other hand the option "User Cannot Change Password" should only be used in exceptional cases, for instance for pre-defined accounts in the training operation. The option "Password Never Expires" should only be used for user accounts to which a service is assigned with the aid of the system control option "Services" (for example the reproduction service), as it cancels the setting "Maximum Password Age" in the Accounts Policy and prevents the password from expiring. Zie : S 4.48 Password protection under Windows NT For each user, access to a Windows NT system must be protected by a password. User accounts without a password are not allowed to exist, as they constitute a potential weak point in the system. It is important that users too are familiar with the protective function of the passwords, since the co-operation of users naturally contributes to the security of the overall system. Setting up a new user is performed with the aid of the utility User Manager via the control command "New User". At the same time an initial password with a maximum of 14 characters must be entered in the fields "Password" and "Confirm Password". For passwords under Windows NT the use of upper and lower case letters must be observed. A meaningful initial password should be allocated which is notified to the user. Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort. The option "User Must Change Password At Next Log-On" should be set with all new accounts, so that the log-on password is not retained. On the other hand the option "User Cannot Change Password" should only be used in exceptional cases, for instance for pre-defined accounts in the training operation. The option "Password Never Expires" should only be used for user accounts to which a service is assigned with the aid of the system control option "Services" (for example the reproduction service), as it cancels the setting "Maximum Password Age" in the Accounts Policy and prevents the password from expiring. Zie :

22 Zwakke punten  Geeft weinig steun bij selecteren van maatregelen  Vooral ‘wat’ maar weinig ‘hoe’  Geen kwantificering te bereiken ‘niveau’  Ondersteunende producten ontbreken  Code begint verouderd te raken

23 Tips en aanbevelingen bij implementatie  Projectmethode (bijvoorbeeld ISM) belangrijk  Leg link met ISO 9000  Kennis van bedrijfsprocessen cruciaal  Commitment van directie noodzakelijk  Budget moet beschikbaar zijn  Doelstelling moet duidelijk zijn

24 Doelstelling Security Scan (nulmeting) risicodekkende selectie uit 109 maatregelen alleen 10 sleutelmaatregelen Van rood naar groen of naar oranje? Via pad 1 en 2 of direct via pad 3?

25 Zie ook: Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr. 3 en nr. 10

26 Code voor Informatiebeveiliging - toekomst  Revisie BS 7799 Part 1 is in april 1999 vrijgegeven  Revisie van Code voor Informatiebeveiliging vrijwel gereed  Dus Code 2.0 en aanpassingen certificatie (?)

27 Redenen voor revisie  Outsourcing  Informatieverwerking niet alleen op computersystemen  Steeds meer mobiele computers  Toenemende communicatie via openbare netwerken  Meer kwaadaardige software dan alleen virussen  Disaster Recovery  Business Continuity Management

28 Belangrijkste wijzigingen volgens BSI(1)   Global changes were made to replace ‘ IT’ with ‘ information’ where appropriate, and the term ‘ information processing’ was introduced to cover the wide range of possible ways to work with, transmit and store information.   More detailed information on risk assessment was included in the Introduction.   The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners.   Text has been added to describe what the risks of third party access are, what should be included in a third party contract and a new subsection on outsourcing.

29 Belangrijkste wijzigingen volgens BSI(2)   Text on the valuation and importance of assets has been added, and the concept of information classification has been broadened to cover the general aspect of information labelling, including integrity and availability labels.   Computer and Network Management has been renamed ‘ Communications and Operations Management’ and extended to cover a wide interpretation of information processing. This includes additional text on computers, networks, mobile computing and communications, voice mail and communications, messaging, multimedia, postal services, fax machines, and any other existing or developing technology for the processing and communication of information.   The discussion on viruses has been broadened to any unauthorised or malicious software.   BS 7799 was changed to be more ‘ technology independent’.

30 Belangrijkste wijzigingen volgens BSI(3)   The section on data and software exchange has been extended to cover electronic commerce and publicly available systems.   New subsections on mobile computing and teleworking were added.   Cryptographic techniques including new subsections on cryptographic policy, digital signatures and key management. Also new subsections have been added on output validation, covert channels and Trojan code.   Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan.   Compliance – this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR), audit, evidence and cryptographic regulations.

31 Extra vermeldenswaard:  Nu 8 sleutelmaatregelen i.p.v. 10  En 139 maatregelen in totaal standaard geavanceerd

32

33 Gedetailleerd overzicht van alle wijzigingen Zie: Informatiebeveiliging Praktijkjournaal - Jaargang 2, nummer 2

34 Toekomst?  Code wordt steeds belangrijker  Code wordt deel van kwaliteitsmanagement  Code wordt deel van IT beheerssystemen (ITIL ?)  Ondersteunende producten (Proteus; UK)  Informatiebeveiliging deel van EDP audit ...

35 Informatiebeveiliging Certificering NIMMER EEN DOEL OP ZICHZELF !

36 Certificering - de werkwijze  Conformiteitsverklaring opstellen Selectie of Uitsluiting Onderbouwing (risicoanalyse)  Eigen of externe beoordeling  Certificatie proces doorlopen Guided certification ProefauditCertificatieaudit  Onderhoudscontract afsluiten

37 Certificatie - het ICIT certificatieschema BS7799 Part 1 Reeds bestaande maatre- gelen Eigen vereisten Eigen beoordeling CertificatieBeoordeling Criteria Procedures Resultaat Manage- ment raam- werk Certificaat Eigen verklaring Confor- miteits- verklaring Confor- miteits- verklaring (BS 7799 Part 2) = Raad voor Accreditatie

38 Het certificaat Hier de naam van uw organisatie !

39 Informatiebeveiliging Praktijkervaringen

40 Kritische succesfactoren volgens de Code  De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het management.  Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning bieden.  Het dient duidelijk te zijn wat de beveiligingsrisico's (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie is.  Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemers.  Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normen.

41 Ervaringen uit de praktijk(1)  Continuiteitsplanning is struikelblok  Vertalen naar de praktijk bij de organisatie is moeilijk  Betrekken van alle medewerkers is noodzakelijk

42 Licensing the user! Systeem verantwoordelijkheid en procedures Effectieve selectie van wachtwoorden Fysieke beveiliging van het systeem Juist gebruik van het systeem Rapportage van incidenten Bedrijfsspecifieke belangen Bron: Virus Bulletin - augustus 1999

43 Ervaringen uit de praktijk  Continuiteitsplanning is struikelblok  Vertalen naar de praktijk bij de organisatie is moeilijk  Betrekken van alle medewerkers is noodzakelijk  Juiste ‘scope’ kiezen  Commitment  Risicoanalyse geen sinecure  Code bevat veel subjectieve uitspraken  Koppel informatiebeveiliging aan kwaliteitsmanagement Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2, nummer 10

44 Nuttige adressen Stichting ICIT Postbus AG Leiderdorp Tel.: Nederlands Normalisatie Instituut Postbus GB Delft Tel.: British Standards Institute 389 Chiswick High Road London W4 4AL Tel.: KEMA Registered Quality Nederland BV Postbus ET Arnhem Tel.: KPMG Certification BV Postbus MC Amstelveen Tel.: Getronics Business Continuity BV Postbus AE Lelystad Tel.:

45 Informatiebeveiliging If there is a wrong way to do something, then someone will do it. Edward A. Murphy, Jr If anything can go wrong, it will. Murphy’s law