Beveiliging Een leidraad voor het opzetten van informatieveiligheid PIVO, 6 juni 2005 Carl...
-
Upload
maurits-visser -
Category
Documents
-
view
216 -
download
0
Transcript of Beveiliging Een leidraad voor het opzetten van informatieveiligheid PIVO, 6 juni 2005 Carl...
BeveiligingEen leidraad voor het opzetten van informatieveiligheid
PIVO, 6 juni 2005Carl Possemiers
2
Agenda
• Waarom?• Wat is beveiliging?• ISO 17799• Conclusies/samenvatting
3
Waarom?
Parallellen met VERKEERSVEILIGHEID (wegverkeer)
• Daar wordt iedereen dagelijks mee geconfronteerd
• Is duidelijker aanwezig
• Men vindt dit normaal
• Kost mensenlevens
• Kost handenvol geld
• Veel partijen zijn erbij betrokken
• Niet altijd logisch
• Niet altijd praktisch
• Verschillende opvattingen en dus discussies
4
Waarom? (2)
• Wegverkeer bestaat al eeuwen
• Eerste auto (1886 - Benz)
• Het eerste verkeersslachtoffer: Bridget Driscoll (1896 - te Londen)
• Nu raken elk jaar 50 miljoen mensen gewond en sterven meer dan 1 miljoen mensen aan de gevolgen van auto-ongelukken.
• In België: 143 verkeersdoden per 1 miljoen inwoners
5
Waarom (3)
• Verkeersreglement
• Boetes (geld, straf,…)
• Rechtbanken
• Controle (politie, onbemande camera’s,…)
• Rijbewijs
• Opleiding
• Veiligere wagens (ABS, EDS, airbags, kreukzones,…)
• Veiligere infrastructuur (verkeerslichten -1940-, ronde punten, bruggen, scheiding van verkeer voetgangers en fietsers,…)
• Bewijzering (verkeersborden, markering, …)
• Hulpdiensten (MUG, Touring wegenhulp, takeldiensten, …)
6
Waarom (4)
• Verschillend soort wegverkeer (auto, moto, tram, fiets,voetganger,…)
• Gevolgen bij slechte werking:– Ongelukken– Menselijk drama– Financieel (schade, verzekeringen)– Files (tijdverlies, financieel verlies)– Enzovoort, enzovoort…
• Dit kennen we en we vinden het normaal dat er verkeersveiligheid is!
7
Wat is beveiliging?
• Het gaat niet alleen over virussen en hackers !
• Invullen volgens de ruimst mogelijk betekenis van de woord.• Informatiebeveiliging beschermt tegen een breed scala van
bedreigingen om:– de continuïteit van de bedrijfsvoering te waarborgen, – de schade voor de organisatie te minimaliseren – het rendement van de organisatie te optimaliseren
• Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen
• Zowel fysisch (papier, materiaal, hardware) als digitaal (toepassingen en elektronische gegevens)
8
Wat is beveiliging? (2)
Veiligheid wordt gekarakteriseerd als het waarborgen van:
1. Vertrouwelijkheid (Confidentiality): informatie alleen toegankelijk voor zij die het mogen
2. Integriteit (Integrity): correctheid en volledigheid van informatie en verwerking
3. Beschikbaarheid (Availability): dat gebruikers op de juiste momenten tijdig toegang krijgen tot informatie en bedrijfsmiddelen
9
Wat is beveiliging? (3)
• We doen het voor de organisatie en zijn medewerkers– Voor een goede werking
– Voor het imago
– Voor financiële reden
• Maar ook voor anderen :– Naleving van de wet op de bescherming
van de persoonlijke levenssfeer (wet op de privacy)
– Bescherming van de eigendommen
– Bescherming van de patenten
– Bescherming tegen piraterij
– Kruispuntbank
– Rijksregister
10
ISO 17799
• Internationale standaard voor de uitwerking van een beveiligingsbeleid
• Een gemeenschappelijke basis te bieden (kader) voor de ontwikkeling van beveiligingsnormen en een effectief management ervan
• Het bevat aanbevelingen voor het initiëren, invoeren en handhaven van de beveiliging
• Niet alle adviezen en maatregelen hoeven van toepassing te zijn
11
ISO 17799 (2)
• Ga van start en leg het kader vast
• Reikwijdte van de invoering– Personeel– Externen– Bedrijfsmiddelen– Locaties
• Risico inschatting– Probabiliteit– Gevolgen– Impact– (financieel)
12
Beveiligingsbeleid
Doel: Het bieden van sturing en ondersteuning van het management ten behoeve van informatiebeveiliging
• Beleidsdocument opstellen, goedkeuren, uitvaardigen, uitdragen aan alle medewerkers, handhaven
• In beleidsdocument staat:– Definitie van informatiebeveiliging
– De doelstellingen
– De reikwijdte
– Het belang
– Een verklaring van de intenties
– Een omschrijving van de algemene en specifieke verantwoordelijkheden (rapportering)
– Verwijzingen naar documentatie die het beleid kan ondersteunen
13
Beveiligingsbeleid (2)
• Beoordeling en evaluatie
• Beleid dient een “eigenaar” te hebben verantwoordelijk voor handhaving en evaluatie
• Evaluatie als reactie op – Beveiligingsincidenten
– Wijzigingen van organisatorische aard
– Wijzigingen van technische infrastructuur
• Periodieke evaluaties– Effectiviteit van het beleid
– Kosten en effect van de maatregelen
– Het effect van verandering in technologie
14
Beveiligingsorganisatie
Doel: Het managen van de informatiebeveiliging binnen de organisatie
Door:– Forum samen te stellen
– Werkgroep(en) met management, informaticaverantwoordelijken, gebruikers, externen,…
– Toekennen van taken en verantwoordelijkheden
– Autorisatieproces voor procedures en nieuwe bedrijfsmiddelen
– Specialistisch advies over informatiebeveiliging
– Samenwerking tussen de organisaties
15
Beveiligingsorganisatie (2)
Beveiliging van toegang door derden en uitbesteding
• Informatiebeveiliging ook van toepassing op derden, niet alleen op eigen personeel
• Identificeren van risico’s van toegang door derden
• Soorten toegang (fysieke en logische)
• Redenen van toegang
• Op afstand versus op locatie
• Beveiligingseisen in contracten met derden
16
Classificatie en beheer van de bedrijfsmiddelen
Doel: Het handhaven van een adequate bescherming van bedrijfsmiddelen en waarborgen dat ze een passend niveau van beveiliging krijgen
• Eigenaars aanduiden
• Inventaris van alle bedrijfsmiddelen zoals – informatie (alle andere soorten elektronische informatie (in systeemsoftware,
applicatiesoftware, in databases, in bestanden op de fileserver, in mails,…), handleidingen, archief, contracten,…
– Software: toepassingen, CD-ROM, licenties en licentienummers,
– Fysieke bedrijfsmiddelen: computers, printers, netwerkapparatuur, telefooncentrales, faxen,
– Diensten: verwarming, verlichting, elektriciteit, airconditioning, alarmcentrale, …
• Aangeven hoe kritisch, prioritair en mate van beveiliging
17
Classificatie en beheer van de bedrijfsmiddelen (2)
• Opstellen van richtlijnen voor het classificeren
• Procedures voor het labelen en verwerken van informatie
• Nodig om:– Naar wie de informatie moet verspreid worden (kopiëren, mailen,..)
– Hoe de informatieverspreiding te beperken (oa. autorisatieproces)
– Hoe kritisch is deze informatie
– Hoe gebeurt de opslag van de informatie
– Vernietiging ervan
• Zowel van toepassing op informatie als op bedrijfsmiddelen
18
Beveiligingseisen ten aanzien van het personeel
Doel: Het verminderen van de risico’s van menselijke fouten, diefstal, fraude of misbruik van voorzieningen
• Beveiligingseisen in de functieomschrijving
• Screening tijdens aanwerving en een goedpersoneelsbeleid
• Geheimhoudingsverklaring
• Voldoende training voor de gebruikers: bewustwording van de gevaren en ook juist gebruik van de bedrijfsmiddelen
• Reageren op beveiligingsincidenten
• Disciplinaire maatregelen: tuchtprocedure of technische ingrepen
19
Fysieke beveiliging en beveiliging van de omgeving
Doel: Het voorkomen van ongeautoriseerde toegang tot, schade aan of verstoring van de gebouwen en informatie van de organisatie
• De fysieke beveiliging van de omgeving duidelijk vastleggen
• Opdeling in publieke zones, interne zones en beveiligde zones
• Inbraak- en branddetectiesystemen
• Lokalen en kasten op slot (sleutelplan)
• Receptie
• Externen begeleiden of werken met badges
• Registratie van internen en externen
20
Fysieke beveiliging en beveiliging van de omgeving (2)
Doel: Het voorkomen van verlies, schade of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsvoering
• Plaatsing en beveiliging van apparatuur tegen (diefstal, brand, rook, brand, stof, vocht ,..)
• Stroomvoorziening (stroomkringen, UPS, noodgenerator)
• Beveiliging van kabels
• Onderhoud van bedrijfsmiddelen
• Beveiliging buiten de locatie
• Een “clear desk” en “clean screen” beleid
21
Beheer van communicatie- en bedieningsprocessen
Doel: Het garanderen van een correcte en veilige bediening van IT- voorzieningen
• Gedocumenteerde bedieningsprocedures
• Het beheer van wijzigingen
• Procedures voor behandelen van incidenten
• Functiescheiding
• Extern beheer van voorzieningen
22
Beheer van communicatie- en bedieningsprocessen (2)
Doel: Het risico van systeemstoringen beperken tot een minimum
• Capaciteitsplanning
• Acceptatie van systemen– Hardware– Software– Procedures– Cursussen– Testen– Fall-back scenario
• Bescherming tegen kwaadaardige software
23
Beheer van communicatie- en bedieningsprocessen (3)
Doel: Het risico van systeemstoringen beperken tot een minimum en het handhaven van de integriteit en beschikbaarheid van
informatie en bedrijfsmiddelen
• Nemen van back-ups
• Bijhouden van een logboek
• Maatregelen voor het computernetwerk
• Beheer van verwijderbare computermedia
• Afvoer van media
• Beheer van het uitwisselen van informatie
• Beveiliging tijdens transport
24
Toegangsbeveiliging
Doel: Het beheersen van de toegang tot informatie
• Zakelijke eisen en een beleid
• Regels voor toegangsbeveiliging
• Registratie van gebruikers
• Wachtwoordmanagement
• Beheer van gebruikerswachtwoorden
• Beheer en beveiliging van netwerkverbindingen
• Toegangsbeheer van de werkstations
• Toegangsbeheer van de toepassingen
25
Toegangsbeveiliging
• Monitoring van toegang tot en gebruik van systemen
• Vastleggen van beveiligingsrelevante activiteiten
• Procedures en risicogebieden
• Evalueren van de gebeurtenissen
• Synchronisatie van de systeemklokken
• Extra aandacht en uitzonderingen– Mobiele computers
– Telewerken
– Externe verbindingen van derden
26
Ontwikkeling en onderhoud van systemen
Doel: Waarborgen dat beveiliging wordt ingebouwd in informatiesystemen
• Specificatie van de beveiligingseisen ten aanzien van een systeem
• Validatie van:– Invoergegevens– Interne gegevensverwerking– Uitvoergegevens
• Cryptografische beveiliging (encryptie en digitale handtekening)
• Beheersing van operationele software
27
Continuïteitsmanagement
Doel: Het reageren op verstoringen van bedrijfsactiviteiten en het beschermen van de kritieke bedrijfsprocessen tegen de effecten van grootschalige storingen
• In kaart brengen van de kritische bedrijfsprocessen en de bedrijfsmiddelen die hieraan gekoppeld zijn
• De waarschijnlijkheid dat zich specifieke calamiteiten voordoen
• De impact ervan bepalen
• Wat is de tijd dat deze bedrijfsprocessen en de daaraan gekoppelde bedrijfsmiddelen terug “up-and-running” moeten zijn
• Opstellen van een continuïteitsplan (strategisch en praktisch)
• Testen en actualiseren van de plannen
• Indekken (verzekeringen, leveranciers, derden)
28
Naleving
Doel: Het voorkomen van schending van wettelijke, reglementaire of contractuele verplichtingen of beveiligingseisen
• Identificeren waar welke verplichtingen of eisen van toepassing zijn
• Beveiliging van bedrijfsdocumenten
• De nodige maatregelen treffen om te voorkomen
• Controle op naleving
• Verzamelen van bewijsmateriaal
29
Waarom vertwijfeling?
• Het is heel uitgebreid
• Het is complex
• Het kan veel geld kosten
• Het kost veel tijd
• Men (management en personeel) ziet geen voordelen alleen nadelen
• Men denkt dat dit een éénmalige inspanning is maar dit is een continu proces
• Andere zaken hebben meer prioriteit totdat …..
30
Conclusies/samenvatting
• Ga er mee van start, je kan niet zonder
• Zorg dat het management erachter staat
• Zorg ook dat het personeel erachter staat (sensibilisatie)
• Niet alleen de verantwoordelijkheid van informaticus
• Doe een beroep op experts
• Pak dit planmatig aan
• Focus op de belangrijke zaken
• Zorg dat het haalbaar is
• Het hoeft zeker niet duur te zijn
31
Vragen