Platform Integrale Beveiliging VBN regio Amsterdam & Platform Integrale Beveiliging Informatiebeveiling & fysieke beveiliging Hoezo twee werelden?! 11 mei 2006 - Integrale beveiliging VBN / PIB

Ib & Fb; hoezo twee werelden? 16:15 Introductie Douwe en Platform 16:25 Borg-regeling => Ib? Discussie 16:40 Code => Fb? 17:00 Integrale beveiliging bij Defensie 17:30 Pauze demonstratie risico-analyse tool fysiek beveiliging 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB Douwe de Jong Gecertificeerd informaticadeskundige lid NVBI Security manager Informatiebeveiliging; methodische aanpak; RA Fysieke beveiliging; DHM Huidig aandachtsgebied: raamwerk risico-afweging Vertegenwoording VBN in het Centraal College van Deskundigen Informatiebeveiliging (ECP.nl) www.dejong-itadvies.nl www.nvbi.nl 11 mei 2006 - Integrale beveiliging VBN / PIB

Platform Integrale Beveiliging Doelstelling: Het Platform Integrale Beveiliging beoogt een platform te zijn voor verschillende beveiligingsdiciplines; het fungeert als klankbord voor integratie-aspecten en het ontwikkelt initiatieven op het gebied van integrale beveiliging. Integraal omdat het Platform openstaat voor alle security disciplines. Beveiliging omdat in eerste instantie beveiliging het vertrekpunt is en niet veiligheid. 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB Fb & Ib; 2 werelden? < - - van MKB tot - - - - - - - - - - - - - - - - - - ‘groot’ - - - > Fb: BORG-regelingen ?? Ib: ?? Code v Ib 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB BORG & ICT voor het MKB Een selectie uit een presentatie van Ivo te Rietmolen tijdens het congres Integrale Veiligheid najaar 2003 11 mei 2006 - Integrale beveiliging VBN / PIB

BORG & ICT voor het MKB Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk

Stappen bij selectie van maatregelen BORG bepalen BORG risicoklasse bepalen BORG maatregelclusters ICT bepalen ICT risicoklasse bepalen ICT maatregelclusters BORG & ICT selectie maatregelclusters

Bepaling risicoklassen BORG aard object (productiebedrijf, kantoor, …) 5 - 8 pt ligging object (buiten, binnen gebied) 4 - 6 pt waarde & attractiviteit goederen 2 - 12 pt ICT aard ict (primair proces, onder-steunend proces, ...) 5 - 8 pt ligging ict (fysiek en logisch) 4 - 6 pt waarde & attractiviteit info 2 - 12 pt voor anderen (branche * info type) voor MKB (misbaarheid * herstelbaarheid) indeling info type conform CBP

Risicoklassen m.b.t. bedrijven en instellingen BORG klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 - 20 pt klasse 4: > 20 pt ICT klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 -20 pt klasse 4: > 20 pt

Maatregelen indeling BORG ICT organisatorisch bouwkundig elektronisch compartimentering meeneembeperking alarmopvolging ICT organisatorisch (beleid, IB organisatie, toezicht op naleving, ...) voorschriften (procedures, huisregels, bewustwording, ...) logische toegang (user ids, passwords, anti-virus, netwerk, firewall, …) continuïteit (UPS, back-up, calamiteitenplan, uitwijk,..)

Maatregelclusters BORG ICT klasse 1: Bn of Bs+Es klasse 2: Bn+Es of Bs+Es+Cn klasse 3: Bz+En of Bs+En+Cn klasse 4: Bz+Ez of Bn+Ez+Cz ICT klasse 1: iO1+iV1+iL1+iC1 klasse 2: iO1+iV1+iL2+iC2 of … (6 pt) klasse 3: iO2+iV2+iL2+iC2 of … (8 pt) klasse 4: iO3+iV2+iL2+iC3 of … (10 pt) indeling niveaus conform Common Criteria

Maatregelen CvIB Voorbeeld iO1 = eindverantwoordelijke IB, controle door de ‘lijn’, ... iO2 = beleid, eigenaars bedrijfsmiddelen, overzicht bedrijfsmiddelen, opleiding & training IB, incidentmelding & afhandeling, interne audits, … iO3 = beleidsreview, classificatie bedrijfsmiddelen, IB in functie-omschrijvingen, geheimhoudingsverklaring, screening vertrouwensfuncties, incidentrapportage, externe audits, ...

BORG & ICT Integrale risicoafweging: BORG en ICT-gerelateerde maatregelclusters Evenwichtige mix van beveiligingsmaatregelen (afhankelijk van de actuele situatie)

11 mei 2006 - Integrale beveiliging VBN / PIB Fb & Ib; 2 werelden? < - - van MKB tot - - - - - - - - - - - - - - - - - - ‘groot’ - - - > Fb: BORG-regelingen ?? Ib: ?? Code v Ib 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB BORG & ICT < - - van MKB tot - - - - - - - - - - - - - - - - - - ‘groot’ - - - > Fb: BORG-regelingen ?? Ib: & ICT Code v Ib met risico-afweging! 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB Borg & ICT; hoe verder? AIVD 2-11-2004 Integrale bev overheid: Ib leading Andere Overheid: handreikingen mbt beveiliging BEI-invalshoek: Borg & ICT => handreiking B? Initiatief in samenwerking met EZ(MKB) en Cbp Maar . . vanaf 2-11-2004 andere prioriteiten EZ Ondersteuning MKB? CCV Belangstelling beroepsonderwijs? ? 11 mei 2006 - Integrale beveiliging VBN / PIB

Code voor fysieke beveiliging Een reëel perspectief? 11 mei 2006 - Integrale beveiliging VBN / PIB

Code voor fysieke beveiliging? Nee: te veel vrijheidsgraden Ja: per gebiedsindeling Ja: risico-afweging op basis van SPRINT analyseer business impact en bedreigingen beoordeel ‘bijbehorende’ maatregelen Start: als aanvulling op Informatiebeveiliging; integrale toepassing 11 mei 2006 - Integrale beveiliging VBN / PIB

Fb-tool; gebiedsindeling Observatiegebied openbaar, voor publiek toegankelijk Beveiligd gebied personeelsgebied Vitaal gebied aanvullende toegangsbeperkende maatregelen ivm vitale processen; serverruimtes, telefooncentrale, accountantsdienst, etc 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB Fb-tool; klustering - 1 Algemeen Beleid & voorschriften Toegangsregeling Beheer gebouwen & (bedrijfsmiddelen) Brandvoorzieningen Huisregels Maatregelen agv calamiteiten Observatiegebied Inrichting en toezicht buiten Inrichting en toezicht binnen 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB Fb-tool; klustering - 2 Beveiligd gebied Toegangsbeperkende maatregelen Bouwkundige en technische voorzieningen Electronische voorzieningen Vitaal gebied Aanvullende voorzieningen inbraak Aanvullende voorzieningen overig Bijzondere voorschriften 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB In de pauze demo door Peter Bras InfoSecure 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB Hoe verder? De Fb-tool is beschikbaar In proeftuin nog de ‘puntjes op de i’ Eventueel maatwerk mogelijk Net als Code slechts een hulpmiddel Maar . . is er behoefte aan? en wat levert het op? 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB Fb & Ib: 2 werelden? < - - van MKB tot - - - - - - - - - - - - - - - - - - ‘groot’ - - - > Fb: BORG-regelingen - middensegment; aanvulling Borg - in combinatie met Ib = integraal! Ib: & ICT Code v Ib met risico-afweging! 11 mei 2006 - Integrale beveiliging VBN / PIB

11 mei 2006 - Integrale beveiliging VBN / PIB Fb & Ib: een uitdaging! < - - van MKB tot - - - - - - - - - - - - - - - - - - ‘groot’ - - - > Fb: BORG-regelingen - middensegment; aanvulling BORG - in combinatie met Ib = integraal! Ib: & ICT Code v Ib met risico-afweging! 11 mei 2006 - Integrale beveiliging VBN / PIB

Integrale beveiliging bij Defensie Bart Goes 11 mei 2006 - Integrale beveiliging VBN / PIB