AD Security project 2 ICTPSC02VX/DX

Slides:



Advertisements
Verwante presentaties
De zin en onzin van escrow
Advertisements

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
ICT-beschikbaarheid Business Continuity.
Organisatorische gevolgen van de privacywetgeving
Informatiebeveiliging
Subsetten & Anonimiseren
Veiligheidsincidenten de afgelopen maand? 21 mei
Testdata Management Ketentest
Accreditatierichtlijn beveiliging van bestanden
Klassieke AO Leseenheid1
Kwaliteit en betrouwbaarheid van simulaties ir. Rudolf van Mierlo Efectis Nederland BV.
Wat kunnen wij voor uw organisatie betekenen ? Even voorstellen
Hoofdstuk 7 Procesmanagement.
Hoofdstuk 5 Secundaire data, online databases en gestandaardiseerde informatiebronnen.
Kennisuitwisseling in LOK Landelijk onderwijsweb Kennistechnologie Evert van de Vrie Kennisuitwisseling in LOK Landelijk onderwijsweb Kennistechnologie.
SLM College 2 Discussie outsourcing Service design.
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Hoofdstuk 1 Begripsbepaling AO/BIV
Roadmap Toekomstbeeld 2016 Informatievoorziening Zorg en Ondersteuning
© de vries business consultancy, 2008
Introductie OHSAS
Acceptatiemanagement conform B-Accept Winand van Drenth
Edukoppeling certificering
Risk Based Testing van pakketsoftware
Module I Informatica Dhr. C. Walters. Het belang van informatie Gegevens  Informatie  Besluitvorming Gegevens = Data, Raw Material Informatie = Gegevens.
Hoofdstuk 6 ICT en management h6.
SURF Juridisch normenkader cloudservices
6 stappen in Risico management
Maturity Scan HAN en nu verder! Presentatie Maturity Scan HAN
Keuzes in regionale samenwerking Eerste verkennende regiobijeenkomst declaratieprocessen.
DE ARBOWET In deze presentatie zal worden ingegaan op de hoofdlijnen van de Arbeidsomstandighedenwet (Arbowet). In deze presentatie wordt geen aandacht.
Agenda Inleiding en Lagerhuis: Proces management en proces keten optimalisatie gaat ons helpen inzicht te krijgen in de impact van toekomstige veranderingen.
Wat is een backup? Een back-up is een reservekopie van gegevens die zich op een gegevensdrager (bv. de harde schijf) bevinden.
Beheer van ICT voorzieningen: wat is dat?
AD Security project 2 ICTPSC02VX/DX George Pluimakers Schooljaar
Project Architectuur en Beheer BI2-DT en Inf2-DT Module CMIPRJ25DT George Pluimakers en Jacques Wetzels Studiejaar 2011/2012 Opdracht 3.
Project Architectuur en Beheer BI2-DT en Inf2-DT Module CMIPRJ25DT George Pluimakers en Jacques Wetzels Studiejaar 2010/2011 Opdracht 3.
Beheer in BedrijfsContext AD ICT Leerjaar 2 George Pluimakers Module: ICTBBC01DX Studiejaar 2013/2014.
Beheermodel van M. Looijen
De Bouwplaats-ID, een goed idee?
Start Inhoud introductie BiSL Informatiesysteem, gegeven Informatiebeleid Positionering: Beheer informatiesystemen BiSL als informatiearchitectuur.
Hulpmiddelen voor bepalen activiteiten
A Waarde voor het onderwijsproces  Inzet van sociale media maakt onderwijs kwalitatief beter: o Effectiever / Efficiënter / Activerender o Bewuste ingezet,
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
In het hoger onderwijs Identity Management. partner in IGI Group Peter Jurg.
De compliance officer: Blijver en bijter Jaap Koelewijn 16 november 2006.
Doelstellingen, Implementatie en Ervaringen met Single Sign On.
Het Virtueel Kantoor Een eerste toelichting op het Virtueel Kantoor voor pgo-organisaties.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Gebruikers- ondersteuning Change support Tactisch support Strategisch support Management support Monitoring Educatie Management- informatie Behoefte- management.
SOA en Business Process Management Hoofdstuk 5 uit Web Services van Manes, blz. 122 t/m blz. 129.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Datacenter versus Cloud
Grip op veiligheid en risico’s op de werkplek en het voorkomen van verzuim Hoe zorg ik voor een goed beleid om (financiële) risico’s van veiligheid zoveel.
Financiële rechtmatigheid
Format Presentatie CISO aan gemeentebestuur
Strategisch support Management support Strategie Tactisch support
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Escrow, is dat niet iets van vroeger?
IBP-beleid en AVG mei 2018.
Risicoanalyse … waarom?
IBP-beleid en AVG mei 2018.
Strategisch support Management support Strategie Tactisch support
Risicoanalyse … waarom?
Is testen een project op zich?
Cursus Interne auditor
Stap drie bij projecten
Passende technische en organisatorische beveiliging:
Risicoanalyse … waarom?
Transcript van de presentatie:

AD Security project 2 ICTPSC02VX/DX George Pluimakers hro-g.pluimakers@xs4all.nl Diederik de Vries hro@diederik.nl Schooljaar 2013-2014

Wat hebben we gedaan? Voorgesteld Projectoutline neergezet Rapport Analyseren Adviseren Rapport Aanpassing aan inhoud Waarom informatiebeveiliging CIA, BIV Bedrijfskritische processen, beschikbaarheid

Beschikbaarheid Bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn Continuïteit Tijdigheid Robuustheid Heeft een relatie met Business Continuity Management

Integriteit Geeft de mate aan waarin de informatie actueel en correct is. Kenmerken van integriteit zijn juistheid volledigheid autorisatie van de transacties

Vertrouwelijkheid?

Vertrouwelijkheid Is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden Het waarborgt dat: alleen geautoriseerden toegang krijgen dat informatie niet kan uitlekken.

Risico analyse Bij een risicoanalyse worden bedreigingen (risico’s) benoemd en in kaart gebracht Een risicoanalyse is een methode waarbij de benoemde risico's worden gekwantificeerd door het bepalen van de kans dat een dreiging zich voordoet en de gevolgen daarvan: Risico = Kans * Gevolg Is de eerste stap binnen het risicomanagement(proces)

Informatiebeveiliging (in de zorg): Het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. Naast het borgen van deze kwaliteitscriteria vereist de norm ook dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht, voordat kan worden gesproken van adequate informatiebeveiliging bron: http://www.nen7510.org/publicaties/3420

Bedrijfskritische ICT - software We spreken van bedrijfskritische ICT, als verstoring of uitval hiervan zeer nadelige impact heeft op de bedrijfsvoering, en dan met name op primaire bedrijfsprocessen. Software is bedrijfskritisch wanneer hiermee gegevens worden verwerkt die een hoge mate van continuïteit moeten kennen. bron: http://www.it-notaris.nl/295/quickscan-bedrijfskritische-software

.. zeker niet alles is bedrijfskritisch Ieder bedrijf heeft wel iets van bedrijfskritische ICT/applicaties, maar … Bank: ING, Rabobank, .. Verzekeraar: Achmea, .. NS Gasunie KPN Eneco Rijkswaterstaat: bv. Besturen Deltawerken Belastingdienst UWV Gemeente … .. zeker niet alles is bedrijfskritisch

Ezelsbruggetje voor de BIV factoren… Voorbeeld internetbankieren bij de ING. Jij wil online inzien hoeveel je saldo is op een bepaald moment. 'Mijn ING' moet op dat moment dus beschikbaar zijn. Vervolgens moet je inloggen. Dit is vertrouwelijkheid, door middel van je gebruikersnaam en wachtwoord, ben jij de enige die kan inloggen op jouw bankaccount. Als je eenmaal bent ingelogd, wil je dat je saldo juist is. Je wilt niet dat er staat dat je saldo 200 euro is, terwijl dit in werkelijkheid 2000 euro is. Dit is integriteit.

Beveiligingsklassen Let op! Wederom voorbeeld! Laag Middel Hoog

Beveiligingsklassen Geautomatiseerd adresboek? Patch-download server? ‘Laag’ Voor deze server zijn de volgende maatregelen van toepassing Backup, patchmanagement Geen authenticatie benodigd Alleen openbare informatie Verlies tot een week is acceptabel Downtime tot een dag is acceptabel Geautomatiseerd adresboek? Patch-download server?

Beveiligingsklassen N@Tschool? Fileserver? ‘middel’ Voor deze server zijn de volgende maatregelen van toepassing: Backup, patchmanagement, logging Authenticatie voor studenten: gebruikersnaam en wachtwoord Authenticatie voor docenten: gebruikersnaam, wachtwoord, token Informatie is alleen toegankelijk voor geauthoriseerden Verlies van gegevens tot een dag is moeilijk, maar acceptabel Downtime tot 4 uur is acceptabel N@Tschool? Fileserver?

Beveiligingsklassen ‘kritiek’ Voor deze server zijn de volgende maatregelen van toepassing: Backup, patchmanagement, logging, encryptie Authenticatie alleen voor docenten: gebruikersnaam, wachtwoord, token, alleen HR netwerk Informatie is alleen toegankelijk voor geauthoriseerden Verlies tot een uur is acceptabel Server wordt permanent gecopieerd naar extern datacenter

Het risico van onder- en overclassificatie Systemen in een te hoge beveiligingsklasse geplaatst, bijv. vanwege een onterecht hoge eis aan de beschikbaarheid. Leidt tot onnodig hoge kosten en functionele beperkingen. Systemen in een te lage beveiligingsklasse geplaatst, bijv. om redenen van (korte termijn) kostenbesparingen. Het is daarom noodzakelijk na te gaan wat de gevolgen zijn van een bedreiging. Bij de classificatie moet niet de beleving van de bedreiging, maar een reële inschatting van de gevolgen daarvan bepalend zijn.

Classificatie NEN / ISO17799 (2005) / ISO27002 (2007) Laag Risico (A) Middel Risico (B) Hoog Risico (C) Continuïteit (informatie op juiste tijd en plaats?) Applicatie niet langer down dan 4 dagen Applicatie tussen de 1-4 dagen down Applicatie minder dan een dag down Integriteit (Klopt mijn informatie volledig en juist?) Foutieve informatie heeft nauwelijks invloed op correcte uitvoering van het bedrijfsproces Foutieve informatie is hinderlijk, maar een goede uitvoering is mogelijk Foutieve informatie maakt een goede uitvoering van het proces onmogelijk Exclusiviteit (Alleen beschikbaar voor bevoegden) Gegevens zijn intern en extern niet vertrouwelijk Gegevens zijn op afdelingsniveau vertrouwelijk Gegevens zijn voor de eigenaar ervan vertrouwelijk

Classificatie NEN / ISO17799 (2005) / ISO27002 (2007) Laag Risico (A) Middel Risico (B) Hoog Risico (C) Continuïteit (informatie op juiste tijd en plaats?) Applicatie niet langer down dan 4 dagen Applicatie tussen de 1-4 dagen down Applicatie minder dan een dag down Integriteit (Klopt mijn informatie volledig en juist?) Foutieve informatie heeft nauwelijks invloed op correcte uitvoering van het bedrijfsproces Foutieve informatie is hinderlijk, maar een goede uitvoering is mogelijk Foutieve informatie maakt een goede uitvoering van het proces onmogelijk Exclusiviteit (Alleen beschikbaar voor bevoegden) Gegevens zijn intern en extern niet vertrouwelijk Gegevens zijn op afdelingsniveau vertrouwelijk Gegevens zijn voor de eigenaar ervan vertrouwelijk 1 2 3 1 2 3 1 2 3

Let op met de classificatie! Een norm eist dat je een invulling hebt Hóe je ‘m invult is een tweede! Applicaties kunnen down zijn voor een week, of voor een uur -> Dit is afhankelijk van het bedrijf!

BIV-klassen - voorbeelden Elk criterium van BIV wordt gescoord: 1 = laag, 2 = middel, 3 = hoog Een bedrijfskritische applicatie en bijbehorende data kent bijvoorbeeld een BIV-classificatie van 333 Een laag geclassificeerde applicatie en bijbehorende server zou als 111 geclassificeerd zijn. Op basis van deze classificatie pas je maatregelen toe… Alhoewel.

Classificatie NEN / ISO17799 Voorbeeld: Apotheek

Checklist BIV Jullie gaan aan de slag met een checklist BIV uit NEN7510 Bedacht voor de zorgsector, maar ook uitstekend toepasbaar in andere sectoren In de opdracht gaan jullie voor elk van de aandachtspunten uit deze checklist voor Beschikbaarheid, Integriteit en Vertrouwelijkheid 2 vragen beantwoorden: Hoe staat het ermee? (analyseren) Wat kan er beter? (adviseren)

Checklist BIV (2) Je loopt de gehele checklist door. Sommige zaken zijn verplicht uit te zoeken! De andere zaken zijn goed voor meer punten.

Checklist BIV - concreet We lopen er even doorheen…

Beschikbaarheid - Algemeen Continuïteitsstrategie Continuïteitsplan(nen) Continuïteitsvoorzieningen (uitwijk, e.d.) Noodprocedures Stand-by regelingen Externe toegang leveranciers

Beschikbaarheid - Algemeen Spreiding over locaties Garantie / onderhoudscontracten Escrow Veroorzaker schade aansprakelijk stellen Deskundigheid intern en extern beschikbaar Signalering incidenten Loggen / analyse incidenten

Beschikbaarheid - Fysiek Brandbeveiliging Waterdetectie Bliksembeveiliging Noodstroomvoorzieningen UPS op kritische apparatuur Toegang computerruimte Toegang Patchruimten Kluizen

Beschikbaarheid - Apparatuur Dubbel uitvoeren / clustering servers Reserve hardware Actieve componenten Bekabeling / goten etc. Datacommunicatie (lijnen etc.) Telefooncentrales Werkstations op reserve Set-up Pc's (master / ghost image)

Beschikbaarheid Programmatuur en gegevens Back-up procedures Versiebeheer documenten Systeemprogrammatuur Maatregelen tegen malware Installeren programma's (procedures en middelen) Updates / upgrades programma’s Maatregelen downloaden Toegang management directories

Integriteit Beleid ontwikkeling informatiesystemen Scheiding Ontwikkeling – Test – Acceptatie – Productie (OTAP) Versiebeheer applicaties Onderhoud applicaties Testen applicaties Integriteitscontrole databases en bestanden Instructies gebruikers Procedures voor invoer, verwerking en uitvoer Externe toegang leveranciers Onderhoud ICT-middelen

Vertrouwelijkheid Toegangsbeveiligingsbeleid Richtlijnen en procedures toegangsbeveiliging Autorisatiebeheer Functiescheiding Clean desk en clear screen Controles Sancties Privacyreglement Externe audit

Informatiebeveiliging controleren (analyseren) Het realiseren van het overeengekomen niveau van beveiliging is een taak die in de regel wordt toebedeeld aan een iemand die zich beroepshalve met het vakgebied bezighoudt.

Informatiebeveiliging controleren (analyseren) (2) Toezicht vindt plaats vanuit de IT-audit discipline en diverse wettelijke toezichthouders. Door het uitvoeren van IT-audits en privacy audits kan worden vastgesteld of het overeengekomen niveau van beveiliging is gerealiseerd. Ook kan een organisatie worden gecertificeerd op basis van de Code voor Informatiebeveiliging en de internationale standaard ISO 27001 (dus wederom een audit!) Hoe is de scheiding tussen uitvoerende en controlerende macht?

Informatiebeveiliging verbeteren (adviseren) Informatiebeveiliging is een onderwerp dat goed verankerd moet zijn in het topmanagement van de organisatie en is gebaseerd op het creëren van draagvlak bij gebruikers Een bewustwordingsprogramma kan dan ook de invoering van de beveiligingsmaatregelen ondersteunen Geen security zonder draagvlak!

Maatregelen na risicoanalyse preventie: het voorkomen dat iets gebeurt of het verminderen van de kans dat het gebeurt; repressie: het beperken van de schade wanneer een bedreiging optreedt; correctie: het instellen van maatregelen die worden geactiveerd zodra iets is gebeurd om het effect hiervan (deels) terug te draaien acceptatie: geen maatregelen, men accepteert de kans en het mogelijke gevolg van een bedreiging; manipulatie: het wijzigen van parameters in de berekening om tot een gewenst resultaat te komen. Verzekeren: door het inschakelen van een derde partij monetair verlies verzachten indien een incident plaatsvind

Conclusie

Feedback: Privacy Policy Feedback
Over het project: SlidePlayer Gebruiksaanwijzing

© 2024 SlidePlayer.nl Inc. All rights reserved.