AD Security project 2 ICTPSC02VX/DX George Pluimakers Schooljaar
Even voorstellen... George Pluimakers, informatiearchitect bij de Nederlandse Spoorwegen, hiervoor bij ANWB; > 25 jaar ervaring in ICT, waarvan >15 jaar in diverse consultancy functies (IMN, Ordina, VKA,..); Specialismen: business-IT alignment, architectuur, informatie management, opzetten/verbeteren van ICT-management en service management
Uitgangspunten ICTPSC02VX/DX Project projectmatig werken Praktijk- en Studentgestuurd (ROM-principe) Theorie én dan praktijk Opdracht: Rapportage –in groepjes van 2; 1 VT en 1 DT student Cesuur = 5,5 Modulewijzer en alle achtergrondinfo op webstek van het project, te bereiken via:
Wat gaan we doen? Theorie –Bedrijfskritische ICT en bedrijfsrisico’s –Relatie met Informatiebeveiligingsbeleid (module vorige owp) –Beschikbaarheid, Integriteit en Vertrouwelijkheid –BIV-classificatie –Checklist BIV Praktijkvoorbeelden Uitleg over opdracht Spreekuren Tussenrapportage - Oplevering
Planning project (owp 2) 18 novInleiding op project + theorie (1) 25 novTheorie (2) 2 decSpreekuur 9 decSpreekuur 16 decHerkansingen / Inleveren & bespreken 1 e concept 23/30 dec Kerstvakantie 6 jan Spreekuur 13 jan Inleveren/bespreken 2 e concept 20 janInleveren rapportage
Opdracht / rapportage (1) Casus organisatie Analyseren is gericht op toepassing van de verstrekte checklist voor Beschikbaarheid, Integriteit en Vertrouwelijkheid van de ICT op: –de laag bedrijfsprocessen; wat stellen deze voor eisen aan: –de laag software/applicaties –de laag infrastructuur –de betreffende data van deze software/applicaties … zie volgende slide
Opdracht / rapportage (2) Adviseren is gericht op het doen van aanbevelingen om veiligheidsrisico’s te verminderen voor onderkende bedrijfskritische ICT. De aanbevelingen dienen te helpen bij geconstateerde knelpunten verbeterpunten: –hoe Beschikbaarheid, Integriteit en/of Vertrouwelijkheid van welke software/infrastructuur/data concreet verbeteren –(beter) voldoen aan niet-functionele eisen; gaps dichten tussen huidige situatie en deze eisen. Voor elk aandachtspunt uit checklist voor Beschikbaar- heid, Integriteit en Vertrouwelijkheid 2 vragen beantwoord: –Hoe staat het ermee? (analyseren) –Wat kan er beter? (adviseren)
Rapportage A4, excl. titelpagina en inhoudsopgave Casus bedrijf = werkgever/klant van een student Kwaliteit gaat boven kwantiteit Template/sjabloon voor rapportage Beoordelingsmatrijs in modulewijzer Cijfer groepje = cijfer groepsleden MITS elk groepslid evenredig bijdraagt Inleveren (concept) per mail naar hro-
Bedrijfskritische ICT
Bedrijven kunnen vaak niet zonder ICT
Informatiebeveiliging het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. bron:
Informatiebeveiliging (2) Men doet dit door het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen die gebaseerd zijn op een (organisatieafhankelijke) risicoanalyse of een wettelijke verplichting. In Nederland valt hierbij te denken aan de WBP (Wet Bescherming Persoonsgegevens, de Telecommunicatie- wet en andere vigerende wet- en regelgeving. Ten aanzien van beursgenoteerde ondernemingen in de VS moet worden gedacht aan de Sarbanes-Oxley (SOX) wetgeving.
Informatiebeveiliging (3) Op basis van een risicoanalyse wordt het gewenste niveau van beveiliging bepaald. Daarbij wordt in de regel een BIV-klasse Beschikbaarheid, Integriteit (= betrouwbaarheid ) en Vertrouwelijkheid) ( =exclusiviteit ) bepaald Vaak uitgebreid met een indicatie voor controleerbaarheid (het belang om achteraf toegang en transacties te kunnen verifiëren). De Engelse term voor BIV is: CIA Triad: Confidentiality, Integrity en Availability
Beschikbaarheid Bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn –Continuïteit –Tijdigheid –Robuustheid Heeft een relatie met Business Continuity Management
Integriteit Geeft de mate aan waarin de informatie actueel en correct is. Kenmerken van integriteit zijn –juistheid –volledigheid –autorisatie van de transacties
Vertrouwelijkheid Is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden Het waarborgt dat: –alleen geautoriseerden toegang krijgen –dat informatie niet kan uitlekken.