Post on 29-Jul-2020
NORA sessie 3
Onderwerp:
Samen aan de slag!
Generiek raamwerk
16 jan. 2013
Expertgroep NORA katern Beveiliging
Jaap van der Veen
Bron: o.a: presentatie NCSC van dr .Wiekram Tewarie
1. Samenhang van normenkaders Beveiliging voor de overheid
2. Actualisering NORA dossier “Normen voor IT-voorzieningen” tot ISO-toepassingskader voor ontwerp: “Normen voor informatievoorzieningen”, met met integratie van relevante normen uit kaders als NCSC en BIR.
3. Opstellen cross-reference ISO <-> NORA Normen voor Informatievoorzieningen
4. Nieuwe content in lijn brengen met NORA principes, Wiki etc.
5. Kennisdeling
Opdracht NORA katern - B Expertgroep NORA
Randvoorwaarden:
a. Besluit: Onderscheid ontwerp- en toetsingskaders
b. Besluit: Verbreding BIR tot ISO-toepassingskader voor toetsing overheid
c. Opschaling van BIR-governance model ->overheidsbreed
Overig, (niet in katern)
- Verbreding BIR tot ISO-toepassingskader voor toetsing overheid
- Integratie bestaande overige kaders zoals NCSC voor toetsing
- Best practices voor overheidsorganisaties
1. Samenhang van normenkaders- Beveiliging voor de overheid
2. Actualisering NORA dossier “Normen voor IT-voorzieningen” tot ISO-toepassingskader voor ontwerp: “Normen voor informatievoorzieningen”, met met integratie van relevante normen uit kaders als NCSC en BIR.
Actie:
• Verdieping IB-functiemodel; beveiligingsbreed / universeel referentiemodel
• Het te beveiligen object staat centraal
• Samenwerking met CIP en NCSC; toepassing van SIVA model
Doel + aanpak Expertgroep NORA
• Samenwerking met CIP en NCSC; toepassing van SIVA model
• Terugkoppeling resultaten met stakeholders
a. Besluit: Onderscheid ontwerp- en toetsingskaders
b. Besluit: Verbreding BIR tot ISO-toepassingskader voor toetsing overheid
Actie:
• Model toepasbaar maken voor zowel ontwerp als audit:“Single design & audit framework”
Verdieping op IB-functiemodel
1. Functionele samenhang beveiligingsbreed2. Universele structuur voor referentiekaders
Expertgroep NORAVerdieping op NORA 3
Niet limitatief
Systeem
integriteit
.
Controleren
Continuïteitsvoorzieningen
Beschikbaarheid
Inspectie en misleiding
Integriteit & Vertrouwelijkheid Controleerbaarheid
- Controle- Alarmering- Rapportering
IB - functies
Vastleggen van gebeurtenissen
Objectmanager
Monitoringreports
2-factor authenticatie
IB - mechanismenDeponeren broncode
1-factor authenticatie
Directory services
Redundancy
WachtwoordFilterregel
Fysieke IB - objectenVirus
scanner
Crypto library
HSM
Uitwijkvoorziening
Mechanismebeheer
Loganalyse
Vulnerability scanning
X-509 CertificaatIDP
appliance
Directory server
RAS
Firewall
Host IDS software
B&R server
Escrowcontract
Token
Alerting services
BackupRestore
Logappliance
WA
AR
ME
EH
OE
WA
T
Key
Tokenbeheer
Antivirusmgt.Hash
- Identificatie- Authenticatie- Autorisatie
Zonering FilteringGeprogrammeerde controles
Onweerlegbaarheid berichtuitwisseling
. . . . . .
Loganalysetool
Content en virusscanning
. . .
In- en uitvoer controlesVerwerkingsbeheersing
Encryptie
Elektronische handtekening
. . .
Poort- / IP-adresfiltering
IDS/IDPLoad balancing
SIVA RaamwerkStructuur Inhoud, Vorm, Analysevolgorde
Samenwerking met CIP-wg Normen
Rule-based versus
Principle-based
Discipline Rule-based Principle-based
Accounting Gedetailleerde criteria Conceptual Framework
IT Auditing Controls
Algemeen & Detail(Wie, Wat, Hoe, Wanneer)
“Conceptual Framework”
Algemene controls:Principles (Wie, Wat en Waarom)
Expertgroep NORA
(Wie, Wat, Hoe, Wanneer) Principles (Wie, Wat en Waarom)
Detail controls:Principle driven rules (Indicatoren)(o.a. Hoe , op welke wijze, wanneer)
Niet methodisch Methodisch o.b.v. hulpmiddelen (raamwerk)Voldoet aan bepaalde criteria
ISO 27002, BIR, NIST, COBIT NORA 3, HBB, NCSC
Principle-based
Conceptual Framework-based
Conceptueel raamwerk
Principe • Bron/ het eerste / basis concept / basis voor redenering
• Fundamentele waarheid/uitspraak.
• Drukt relatie tussen twee of meer concepten of variabelenGeeft aan welke acties er genomen moeten worden,
• Minder afhankelijk van technologische ontwikkelingen• Stabieler, omdat ze gebaseerd zijn op neutrale elementen
Expertgroep NORA
Concept • Object, eenheid van gedachte, • Neutrale elementen,• Bouwstenen van principes
Framework • Model, • Vertegenwoordigt domeinen• Vereenvoudigt de presentatie van concepten en hun relaties
Hoe kaders ontstaan
Referentiekader
(RFK)
Omgevings-
M
R
MM
RISO 27002SoGP
.........
Expertgroep NORA
Omgevings-aspecten
R
M
MR
R
M
SoGPNist
Cobit
Conditioneel Resource Management
Gebundeld, maar weinig samenhang
Principle-based
Referentiekader
(RFK)
CM
R
MM
RISO 27002
SoGP
.........
Expertgroep NORA
Geen nieuwe normen verzinnen, maar structureren en combineren!
R
M
HulpmiddelenOmgevings-
aspecten
R
M
MR
R
M
SoGP
Nist
Cobit
Functionele samenhang
Conditioneel Resource Management
Hulpmiddelen voor structuur
SIVA Raamwerk
Component Symbool Kenmerk
Structuur Lagenstructuur “patroon van domeinen” Om de doelomgeving in samenhang te kunnenontwerpenOm de auditomgeving in samenhang te kunnenanalyseren
Inhoudsconstructie en analyse:
Expertgroep NORA
InhoudInhoudsconstructie en analyse: “patroon van neutrale bouwstenen”“patroon van neutrale auditelementen”
VormFormuleringsvoorschriftInterpretatie (syntax/semantiek)(“patroon van formuleren”)
Analysevolgorde
Volgorde van de ontwerp of analyse van de lagenstructuur (M,Mo,Mi)
Criteria voorReferentiekaders
Expertgroep NORA
Promotieresultaat WT
ç
Relatie Hulpmiddelen: : Structuur, Inhoud, Vo, Vorm enAnalysevolgorde Analysevolgorde
Expertgroep NORA
7-la
gen O
SI
BIV + C IB-functies Mechanismen
Architectuurv.Objecten
lagen O
SI
Opbouw in lagen en kolommen vergeleken met NORA-3 model
Structuuren
Structuur ((MacroMacro) ) Expertgroep NORA
en Volgorde
“A structure is essential if we are to effectively interrelate and interpret our observations in any field of knowledge”
en
Structuur ((MacroMacro) )
en
“without a structure, knowledge is merely a collection of observation, practices and conflicting incidents”
(Forrester, 1990)
Structuur ((MacroMacro) )
We redeneren vanuit het object van ontwerp/onderzoek
Structuur ((MacroMacro) ) model van “de Leeuw”
uit systeemleer en Management cyclus
Conditionele asp.: wetten, beleid, strategie, richtlijn
Design Implementation Management : Starreveld
Resource asp.: Appl. Database, Infra
Mgt/beheers asp.: Problem & Changemgt
Ontwerp
Conditioneel Resource Management
Algemeen gedeelte (Beleidsaspecten)
SIVA raamwerk vs NORA3S
ystee
Controleren
Continuïteitsvoorzieningen
Beschikbaarheid Integriteit & Vertrouwelijkheid Controleerbaarheid
- Controle- Alarmering- Rapportering
IB - functies
Vastleggen van gebeurtenissen
IB - mechanismenDeponeren broncode
1-factor authenticatie
Directory services
Redundancy
Mechanismebeheer
Alerting services
WA
T
- Identificatie- Authenticatie- Autorisatie
Zonering FilteringGeprogrammeerde controles
Onweerlegbaarheid berichtuitwisseling
In- en uitvoer controlesVerwerkingsbeheersing
Encryptie
Expertgroep NORA
Algemeen gedeelte (beheerprocessen)
Niet limitatief
emintegriteit
.
Inspectie en misleiding
Objectmanager
Monitoringreports
2-factor authenticatie
Redundancy
WachtwoordFilterregel
Fysieke IB - objectenVirus
scanner
Crypto library
HSM
Uitwijkvoorziening
Loganalyse
Vulnerability scanning
X-509 CertificaatIDP
appliance
Directory server
RAS
Firewall
Host IDS software
B&R server
Escrowcontract
Token
BackupRestore
Logappliance
WA
AR
ME
EH
OE
Key
Tokenbeheer
Antivirusmgt.Hash
. . . . . .
Loganalysetool
Content en virusscanning
. . .
Elektronische handtekening
. . .
Poort- / IP-adresfiltering
IDS/IDPLoad balancing
Overeenkomst NORA-3 en nieuwe lagenstructuur
Gelijkvormigheid normenkaders
bijv.: Vastleggen gebeurtenissen
Mobile devicesWeb apps Data warehouse
Gelijkvormigheid geeft overzicht en inzicht
Structuur ((MacroMacro) )
Lagenstructuur van modellen
Inhoud
Expertgroep NORA
Inhoud
Lagenstructuur ((inhoudinhoud) )
Onderwerpen voor principes
Expertgroep NORAInhoud
Ontwerp +
Ontwerp +
Views
Expertgroep NORAInhoud
Bundeling van view-aspecten in modellen
Expertgroep NORAInhoud
Expertgroep NORAInhoud met NORA-3 voorbeeld
Vertrouwelijkheid
Vorm
Vorm
Expertgroep NORA
Standaard syntax voor principe en norm
Herijking van principes
Ontwerpprincipe
Ingevuld voorbeeld
� Herformulering van Normen (Principes),
� Herschikken op de lagenstructuur
Abstractie van de laag
Actortypen
Actietypen
Herijking van normen Expertgroep NORA
Ingevuld voorbeeld
� Auditobject neutraal
� Organisatie neutraal
� Baseline neutraal
� Context-bewust en object van onderzoek centraal
Voordeel van aanpak Expertgroep NORA
� Eenduidige formulering
� Ondersteunt hergebruik (bij verandering van onderwerp)
� Toevoeging mogelijk met behoud van structuur
� Audits van verschillende onderzoeken beter aan elkaar te
relateren (bijv. Logius- Suwi normenkaders) (efficientie voordelen)
� Herbruikbare principes
Betekenis voor overheidsorganisaties
Expertgroep NORA
� Mogelijkheden om indicatoren te koppelen aan (algemene)
principes (Indicatoren zijn context afhankelijke elementen)
� Betere relatie audit en ICT praktijk
Wat levert het op?
� Eenduidige referentiekaders binnen de overheid
� Eenduidige opzet van de inhoud en definitie van
normen/principes en bevordering van hergebruik
� Beter afspraken te maken met bestuurder en managers
Expertgroep NORA
� Beter afspraken te maken met bestuurder en managers
� Aansluiting bij overige overheidsreferentie-/normenkaders
� Van aan elkaar te releateren baselines Beveiliging binnen
overheid naar samenvoeging tot één.
Betekenis voor partijen en
Wat is er gebeurd en wat moet er gebeuren?
� NORA Sessie 3: Bespreking van SIVA model
Bespreking van Structuur ; middle-out, middle-in
Bespreking van Objecten model
Bespreking van formuleringsvoorschrift
Expertgroep NORA
mogelijke resultaten � Activiteiten (NORA-CIP-NCSC)
Benoemen van objecten per norm
Formulering van principes per object
Aanvullen van ontbrekende principes en indicatoren
Afstemmen met betrokken partijen