De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

BORG & ICT voor het MKB Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk.

Verwante presentaties


Presentatie over: "BORG & ICT voor het MKB Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk."— Transcript van de presentatie:

1 BORG & ICT voor het MKB Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk

2 Doel en doelgroep Doel Gericht op
beveiligingsmaatregelen eenvoudig selecteerbaar verbeterde totale beveiliging tegen relatief lagere kosten Gericht op continuïteit van organisatieprocessen ICT organisaties of afdelingen MKB

3 Integratie risicomanagement
Personeel Materieel Informatie Financiën ziekte motivatie kennis ... brand inbraak diefstal ... afluisteren virus hacker ... valuta rente claims ... Beleid Organisatie Selectie maatregelen Toepassing maatregelen

4 Schade als percentage van omzet: 0.17%
Risico’s materieel Schade als percentage van omzet: 0.17% (bron: Jaarboek Beveiliging) Kans op externe criminaliteit: 42% (bron: Stichting Trendmeter 1998) Verdeling kansen

5 Schade als percentage van omzet: 0.16% Verdeling schade
Risico’s informatie Schade als percentage van omzet: 0.16% (bron: CSI/FBI 2001) Verdeling schade

6 Bedreigingen MKB Materieel BORG Overige regelingen Informatie ICT hoog
(bron: Kwint 2002) Materieel BORG onbevoegde indringing (inbraak, diefstal) Overige regelingen brand bliksem ... Informatie ICT hoog virussen stroomuitval brand / waterschade ICT midden diefstal gegevens door hacker diefstal computers uitval internet ICT laag niet zakelijk gebruik internet door mdws veranderen website

7 Informatiebedreigingen MKB reëel?
(bron: Kwint 2002, Crypsys 2003)

8 Preventieve uitgaven voor beveiliging
Materieel 0.21% omzet (bron: Beveiligings jaarboek) Informatie 0.16% % omzet (bron: Heliview 2002, Gartner 2001) (16% automatiserings-budget)

9 Conclusie informatiebeveiliging MKB
Passende maatregelen ontbreken veelal afhankelijkheid van informatie niet onderkend kennis maatregelen ontbreekt (bron: Kwint 2002) MKB wil pragmatische hulp bij informatiebeveiliging Tijd voor BORG en CvIB (Code voor Informatiebeveiliging)?

10 Essentie BORG en CvIB BORG CvIB kwaliteitssysteem
erkenning beveiligingsbedrijven en -installaties Nationaal Centrum voor Preventie (NCP) CvIB beste praktijkmethoden voor bedrijfsleven NEN-norm, afgeleid van ISO-norm, verzameling informatiebeveiligings-maatregelen Min EZ / NNI

11 Bij integratie te behouden principes
BORG assets als te beschermen objecten risicoklassen eenvoudige bepaling risicoklasse elke maatregel heeft bepaalde zwaarte sommige maatregelen zijn uitwisselbaar certificering van installatie geeft premiereductie CvIB informatie als primair te beschermen ‘objecten’ BIV breed scala aan bedreigingen, risico’s en maatregelen onderscheid tussen objectgroepen mogelijk, met elk een passend beveiligingsregime certificering van proces mogelijk

12 Stappen bij selectie van maatregelen
BORG bepalen BORG risicoklasse bepalen BORG maatregelclusters ICT bepalen ICT risicoklasse bepalen ICT maatregelclusters BORG & ICT samenstellen maatregelmix

13 Bepaling risicoklassen
BORG aard object (productiebedrijf, kantoor, …) pt ligging object (buiten, binnen gebied) pt waarde & attractiviteit goederen pt ICT aard automatisering (primair proces, onder-steunend proces, ...) pt ligging automatisering (fysiek en logisch) pt waarde & attractiviteit info pt voor anderen (branche * info type) voor MKB (misbaarheid * herstelbaarheid) indeling info type conform CBP

14 Risicoklassen m.b.t. bedrijven en instellingen
BORG klasse 1: < 14 pt klasse 2: pt klasse 3: pt klasse 4: > 20 pt ICT klasse 1: < 14 pt klasse 2: pt klasse 3: pt klasse 4: > 20 pt

15 Maatregelen indeling BORG ICT organisatorisch bouwkundig elektronisch
compartimentering meeneembeperking alarmopvolging ICT organisatorisch (beleid, IB organisatie, toezicht op naleving, ...) voorschriften (procedures, huisregels, bewustwording, ...) logische toegang (user ids, passwords, anti-virus, netwerk, firewall, …) continuïteit (UPS, back-up, calamiteitenplan, uitwijk,..)

16 Maatregelclusters BORG ICT klasse 1: Bn of Bs+Es
klasse 2: Bn+Es of Bs+Es+Cn klasse 3: Bz+En of Bs+En+Cn klasse 4: Bz+Ez of Bn+Ez+Cz ICT klasse 1: iO1+iV1+iL1+iC1 klasse 2: iO1+iV1+iL2+iC2 of … (6 pt) klasse 3: iO2+iV2+iL2+iC2 of … (8 pt) klasse 4: iO3+iV2+iL2+iC3 of … (10 pt) indeling niveaus conform Common Criteria

17 Maatregelen CvIB Voorbeeld
iO1 = eindverantwoordelijke IB, controle door de ‘lijn’, ... iO2 = beleid, eigenaars bedrijfsmiddelen, overzicht bedrijfsmiddelen, opleiding & training IB, incidentmelding & afhandeling, interne audits, … iO3 = beleidsreview, classificatie bedrijfsmiddelen, IB in functie-omschrijvingen, geheimhoudingsverklaring, screening vertrouwensfuncties, incidentrapportage, externe audits, ...

18 Definitieve selectie maatregelenmix
Afweging ICT maatregelen tegen BORG maatregelen


Download ppt "BORG & ICT voor het MKB Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk."

Verwante presentaties


Ads door Google