Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdAlfred Maas Laatst gewijzigd meer dan 9 jaar geleden
1
AD Security project 2 ICTPSC02VX/DX
George Pluimakers Diederik de Vries Schooljaar
2
Wat hebben we gedaan? Voorgesteld Projectoutline neergezet Rapport
Analyseren Adviseren Rapport Aanpassing aan inhoud Waarom informatiebeveiliging CIA, BIV Bedrijfskritische processen, beschikbaarheid
3
Beschikbaarheid Bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn Continuïteit Tijdigheid Robuustheid Heeft een relatie met Business Continuity Management
4
Integriteit Geeft de mate aan waarin de informatie actueel en correct is. Kenmerken van integriteit zijn juistheid volledigheid autorisatie van de transacties
5
Vertrouwelijkheid?
6
Vertrouwelijkheid Is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden Het waarborgt dat: alleen geautoriseerden toegang krijgen dat informatie niet kan uitlekken.
7
Risico analyse Bij een risicoanalyse worden bedreigingen (risico’s) benoemd en in kaart gebracht Een risicoanalyse is een methode waarbij de benoemde risico's worden gekwantificeerd door het bepalen van de kans dat een dreiging zich voordoet en de gevolgen daarvan: Risico = Kans * Gevolg Is de eerste stap binnen het risicomanagement(proces)
8
Informatiebeveiliging (in de zorg):
Het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. Naast het borgen van deze kwaliteitscriteria vereist de norm ook dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht, voordat kan worden gesproken van adequate informatiebeveiliging bron:
9
Bedrijfskritische ICT - software
We spreken van bedrijfskritische ICT, als verstoring of uitval hiervan zeer nadelige impact heeft op de bedrijfsvoering, en dan met name op primaire bedrijfsprocessen. Software is bedrijfskritisch wanneer hiermee gegevens worden verwerkt die een hoge mate van continuïteit moeten kennen. bron:
10
.. zeker niet alles is bedrijfskritisch
Ieder bedrijf heeft wel iets van bedrijfskritische ICT/applicaties, maar … Bank: ING, Rabobank, .. Verzekeraar: Achmea, .. NS Gasunie KPN Eneco Rijkswaterstaat: bv. Besturen Deltawerken Belastingdienst UWV Gemeente … .. zeker niet alles is bedrijfskritisch
11
Ezelsbruggetje voor de BIV factoren…
Voorbeeld internetbankieren bij de ING. Jij wil online inzien hoeveel je saldo is op een bepaald moment. 'Mijn ING' moet op dat moment dus beschikbaar zijn. Vervolgens moet je inloggen. Dit is vertrouwelijkheid, door middel van je gebruikersnaam en wachtwoord, ben jij de enige die kan inloggen op jouw bankaccount. Als je eenmaal bent ingelogd, wil je dat je saldo juist is. Je wilt niet dat er staat dat je saldo 200 euro is, terwijl dit in werkelijkheid 2000 euro is. Dit is integriteit.
12
Beveiligingsklassen Let op! Wederom voorbeeld! Laag Middel Hoog
13
Beveiligingsklassen Geautomatiseerd adresboek? Patch-download server?
‘Laag’ Voor deze server zijn de volgende maatregelen van toepassing Backup, patchmanagement Geen authenticatie benodigd Alleen openbare informatie Verlies tot een week is acceptabel Downtime tot een dag is acceptabel Geautomatiseerd adresboek? Patch-download server?
14
Beveiligingsklassen N@Tschool? Fileserver? ‘middel’
Voor deze server zijn de volgende maatregelen van toepassing: Backup, patchmanagement, logging Authenticatie voor studenten: gebruikersnaam en wachtwoord Authenticatie voor docenten: gebruikersnaam, wachtwoord, token Informatie is alleen toegankelijk voor geauthoriseerden Verlies van gegevens tot een dag is moeilijk, maar acceptabel Downtime tot 4 uur is acceptabel Fileserver?
15
Beveiligingsklassen ‘kritiek’
Voor deze server zijn de volgende maatregelen van toepassing: Backup, patchmanagement, logging, encryptie Authenticatie alleen voor docenten: gebruikersnaam, wachtwoord, token, alleen HR netwerk Informatie is alleen toegankelijk voor geauthoriseerden Verlies tot een uur is acceptabel Server wordt permanent gecopieerd naar extern datacenter
16
Het risico van onder- en overclassificatie
Systemen in een te hoge beveiligingsklasse geplaatst, bijv. vanwege een onterecht hoge eis aan de beschikbaarheid. Leidt tot onnodig hoge kosten en functionele beperkingen. Systemen in een te lage beveiligingsklasse geplaatst, bijv. om redenen van (korte termijn) kostenbesparingen. Het is daarom noodzakelijk na te gaan wat de gevolgen zijn van een bedreiging. Bij de classificatie moet niet de beleving van de bedreiging, maar een reële inschatting van de gevolgen daarvan bepalend zijn.
17
Classificatie NEN / ISO17799 (2005) / ISO27002 (2007)
Laag Risico (A) Middel Risico (B) Hoog Risico (C) Continuïteit (informatie op juiste tijd en plaats?) Applicatie niet langer down dan 4 dagen Applicatie tussen de 1-4 dagen down Applicatie minder dan een dag down Integriteit (Klopt mijn informatie volledig en juist?) Foutieve informatie heeft nauwelijks invloed op correcte uitvoering van het bedrijfsproces Foutieve informatie is hinderlijk, maar een goede uitvoering is mogelijk Foutieve informatie maakt een goede uitvoering van het proces onmogelijk Exclusiviteit (Alleen beschikbaar voor bevoegden) Gegevens zijn intern en extern niet vertrouwelijk Gegevens zijn op afdelingsniveau vertrouwelijk Gegevens zijn voor de eigenaar ervan vertrouwelijk
18
Classificatie NEN / ISO17799 (2005) / ISO27002 (2007)
Laag Risico (A) Middel Risico (B) Hoog Risico (C) Continuïteit (informatie op juiste tijd en plaats?) Applicatie niet langer down dan 4 dagen Applicatie tussen de 1-4 dagen down Applicatie minder dan een dag down Integriteit (Klopt mijn informatie volledig en juist?) Foutieve informatie heeft nauwelijks invloed op correcte uitvoering van het bedrijfsproces Foutieve informatie is hinderlijk, maar een goede uitvoering is mogelijk Foutieve informatie maakt een goede uitvoering van het proces onmogelijk Exclusiviteit (Alleen beschikbaar voor bevoegden) Gegevens zijn intern en extern niet vertrouwelijk Gegevens zijn op afdelingsniveau vertrouwelijk Gegevens zijn voor de eigenaar ervan vertrouwelijk 1 2 3 1 2 3 1 2 3
19
Let op met de classificatie!
Een norm eist dat je een invulling hebt Hóe je ‘m invult is een tweede! Applicaties kunnen down zijn voor een week, of voor een uur -> Dit is afhankelijk van het bedrijf!
20
BIV-klassen - voorbeelden
Elk criterium van BIV wordt gescoord: 1 = laag, 2 = middel, 3 = hoog Een bedrijfskritische applicatie en bijbehorende data kent bijvoorbeeld een BIV-classificatie van 333 Een laag geclassificeerde applicatie en bijbehorende server zou als 111 geclassificeerd zijn. Op basis van deze classificatie pas je maatregelen toe… Alhoewel.
21
Classificatie NEN / ISO17799 Voorbeeld: Apotheek
22
Checklist BIV Jullie gaan aan de slag met een checklist BIV uit NEN7510 Bedacht voor de zorgsector, maar ook uitstekend toepasbaar in andere sectoren In de opdracht gaan jullie voor elk van de aandachtspunten uit deze checklist voor Beschikbaarheid, Integriteit en Vertrouwelijkheid 2 vragen beantwoorden: Hoe staat het ermee? (analyseren) Wat kan er beter? (adviseren)
23
Checklist BIV (2) Je loopt de gehele checklist door. Sommige zaken zijn verplicht uit te zoeken! De andere zaken zijn goed voor meer punten.
24
Checklist BIV - concreet
We lopen er even doorheen…
25
Beschikbaarheid - Algemeen
Continuïteitsstrategie Continuïteitsplan(nen) Continuïteitsvoorzieningen (uitwijk, e.d.) Noodprocedures Stand-by regelingen Externe toegang leveranciers
26
Beschikbaarheid - Algemeen
Spreiding over locaties Garantie / onderhoudscontracten Escrow Veroorzaker schade aansprakelijk stellen Deskundigheid intern en extern beschikbaar Signalering incidenten Loggen / analyse incidenten
27
Beschikbaarheid - Fysiek
Brandbeveiliging Waterdetectie Bliksembeveiliging Noodstroomvoorzieningen UPS op kritische apparatuur Toegang computerruimte Toegang Patchruimten Kluizen
28
Beschikbaarheid - Apparatuur
Dubbel uitvoeren / clustering servers Reserve hardware Actieve componenten Bekabeling / goten etc. Datacommunicatie (lijnen etc.) Telefooncentrales Werkstations op reserve Set-up Pc's (master / ghost image)
29
Beschikbaarheid Programmatuur en gegevens
Back-up procedures Versiebeheer documenten Systeemprogrammatuur Maatregelen tegen malware Installeren programma's (procedures en middelen) Updates / upgrades programma’s Maatregelen downloaden Toegang management directories
30
Integriteit Beleid ontwikkeling informatiesystemen
Scheiding Ontwikkeling – Test – Acceptatie – Productie (OTAP) Versiebeheer applicaties Onderhoud applicaties Testen applicaties Integriteitscontrole databases en bestanden Instructies gebruikers Procedures voor invoer, verwerking en uitvoer Externe toegang leveranciers Onderhoud ICT-middelen
31
Vertrouwelijkheid Toegangsbeveiligingsbeleid
Richtlijnen en procedures toegangsbeveiliging Autorisatiebeheer Functiescheiding Clean desk en clear screen Controles Sancties Privacyreglement Externe audit
32
Informatiebeveiliging controleren (analyseren)
Het realiseren van het overeengekomen niveau van beveiliging is een taak die in de regel wordt toebedeeld aan een iemand die zich beroepshalve met het vakgebied bezighoudt.
33
Informatiebeveiliging controleren (analyseren) (2)
Toezicht vindt plaats vanuit de IT-audit discipline en diverse wettelijke toezichthouders. Door het uitvoeren van IT-audits en privacy audits kan worden vastgesteld of het overeengekomen niveau van beveiliging is gerealiseerd. Ook kan een organisatie worden gecertificeerd op basis van de Code voor Informatiebeveiliging en de internationale standaard ISO (dus wederom een audit!) Hoe is de scheiding tussen uitvoerende en controlerende macht?
34
Informatiebeveiliging verbeteren (adviseren)
Informatiebeveiliging is een onderwerp dat goed verankerd moet zijn in het topmanagement van de organisatie en is gebaseerd op het creëren van draagvlak bij gebruikers Een bewustwordingsprogramma kan dan ook de invoering van de beveiligingsmaatregelen ondersteunen Geen security zonder draagvlak!
35
Maatregelen na risicoanalyse
preventie: het voorkomen dat iets gebeurt of het verminderen van de kans dat het gebeurt; repressie: het beperken van de schade wanneer een bedreiging optreedt; correctie: het instellen van maatregelen die worden geactiveerd zodra iets is gebeurd om het effect hiervan (deels) terug te draaien acceptatie: geen maatregelen, men accepteert de kans en het mogelijke gevolg van een bedreiging; manipulatie: het wijzigen van parameters in de berekening om tot een gewenst resultaat te komen. Verzekeren: door het inschakelen van een derde partij monetair verlies verzachten indien een incident plaatsvind
36
Conclusie
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.