DE Conferentie 2006 Ton Cremers
-
Upload
digitaal-erfgoedconferentie -
Category
Education
-
view
819 -
download
0
description
Transcript of DE Conferentie 2006 Ton Cremers
1
DE DIGITALE BRANDOEFENING
Ton Cremershttp://www.museum-security.org
2
DE digitale brandoefening
13 december 2006 2
Programma
‘Stoomcursus’ Informatiebeveiliging
Risico-inventarisatie, risico-analyse
Aan de slag
DE digitale brandoefening“red de digitale data” strategie: aanbevelingen
3
DE digitale brandoefening
13 december 2006 3
Workshop, dus:
INTERACTIEF
4
DE digitale brandoefening
13 december 2006 4
introductieronde
OrganisatiePlaats binnen organisatieInformatiebeveiligingsbeleid?continuïteitsplanning / calamiteitenplanningKnelpunten / zorgenGrootste risico?
5
DE digitale brandoefening
13 december 2006 5
ProgrammaStoomcursus Informatiebeveiliging
Risico-inventarisatie, risico-analyse
Aan de slag
DE digitale brandoefening“red de digitale data” strategie: aanbevelingen
6
DE digitale brandoefening
13 december 2006 6
Wat is informatiebeveiliging?
Bescherming van persoonsgegevensBescherming BedrijfsdocumentenBescherming Intellectueel eigendom
Waarom:Waarborgen bedrijfscontinuiteitVerminderen risico’sOptimaliseren investeringsrendement
7
DE digitale brandoefening
13 december 2006 7
beveiligingsbeleid
Informatiebeveiligingsbeleid
Beoordeling van het informatiebeveiligingsbeleid
8
DE digitale brandoefening
13 december 2006 8
Beleid
De directie behoort beleidsrichting aan te geven en duidelijk te maken dat informatiebeveiliging wordt ondersteund en gehandhaafd
9
DE digitale brandoefening
13 december 2006 9
beheersmaatregelen
Beleidsdocument (rol van de directie)Toewijzen verantwoordelijkhedenBewustwording, scholing en trainingBeheer technische kwetsbaarheid (gebouw, netwerken, hardware)Incidentenregistratie en verbeterin-gen
10
DE digitale brandoefening
13 december 2006 10
Kritische succesfactoren / bedrijfscultuur
Betrokkenheid en steun op alle managementniveausGoed begrip beveiligingseisen en risicobeheerRichtlijnen/normen voor ALLE mede-werkersFinanciele middelenTraining beveiligings bewustzijn
11
DE digitale brandoefening
13 december 2006 11
Hoe wordt het beleid vorm gegeven?
Doelen vaststellenBeleid vaststellenControle op effectiviteitBeschikbaar stellen middelen‘eigenaars’ aanwijzenBedrijfscultuur/bewustzijn stimulerenWaarborgen: kwaliteitssystemenaudits
12
DE digitale brandoefening
13 december 2006 12
Risicobeoordeling en risicobehandeling
Beoordelen van beveiligingsrisco’sInventariserenAnalyserenRegistratie incidenten
Behandelen van beveiligingsrisico’s Verminderen / beheersenAanvaardenEliminerenverplaatsen
13
DE digitale brandoefening
13 december 2006 13
Organisatie van informatiebeveiliging.
Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Toewijzing van verantwoordelijk-heden voor informatiebeveiliging Onafhankelijke beoordeling van informatiebeveiliging Externe partijen
14
DE digitale brandoefening
13 december 2006 14
Organisatie Intern
Toekennen van rollen en verantwoordelijkhedenHandelen overeenkomstig vastgesteld beleidVaststellen hoe op te treden bij niet-nalevingVaststellen van informatieclassificatieOpleiding en traininggeheimhoudingsovereenkomst
15
DE digitale brandoefening
13 december 2006 15
geheimhoudingsovereenkomst
Definitie: wat moet beschermd worden (strekking inhoudelijk)Eigendom van informatieLooptijd (strekking in tijd)Hoe te beëindigen?Need-to-know principesanctie
16
DE digitale brandoefening
13 december 2006 16
Beheer van bedrijfsmiddelen
Verantwoordelijkheid voor bedrijfs-middelen Inventarisatie van bedrijfsmiddelen
Aanvaardbaar gebruik van bedrijfs-middelen
Classificatie van informatieRichtlijnen voor classificatie Labeling en verwerking van informatie
17
DE digitale brandoefening
13 december 2006 17
Beveiliging van personeel
Screening Binnen ethische kaders!
Rollen en verantwoordelijkheden Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheid
Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging
18
DE digitale brandoefening
13 december 2006 18
Personeel, vervolg…
Disciplinaire maatregelen Beëindiging of wijziging van dienst-verband Beëindiging van verantwoordelijk-heden Retournering van bedrijfsmiddelen Blokkering van toegangsrechten
19
DE digitale brandoefening
13 december 2006 19
Fysieke beveiliging en beveiliging van de omgeving
Beveiligde ruimtenFysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Werken in beveiligde ruimten Openbare toegang en gebieden voor laden en lossen Beveiliging van apparatuur
20
DE digitale brandoefening
13 december 2006 20
Fysieke beveiliging, vervolg..
Nutsvoorzieningen Beveiliging van kabels Beveiliging van apparatuur buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendom-men
21
DE digitale brandoefening
13 december 2006 21
Beheer van communicatie- en bedieningsprocessen
Bedieningsprocedures en verantwoor-delijkheden‘eigenaar’ bepalen en functiescheiding Scheiding van faciliteiten voor ontwikkeling, testen en productie Controle en beoordeling van dienst-verlening door een derde partij Bescherming tegen virussen en ‘mobile code’
22
DE digitale brandoefening
13 december 2006 22
Beheer van processen, vervolg
Reservekopieën maken (back-ups) Beheer van netwerkbeveiliging Beheer van verwijderbare media Beveiliging van systeemdocumentatie Fysieke media die worden getransporteerd Elektronisch berichtenuitwisseling Openbaar beschikbare informatie en E-commerceRegistratie van storingen, audits, beschermde logbestanden
23
DE digitale brandoefening
13 december 2006 23
Toegangsbeveiliging
Beheer van toegangsrechten van gebruikers Registratie van gebruikers Beheer van gebruikerswachtwoorden en toegangsrechten‘Clear desk’- en ‘clear screen’-beleid Authenticatie van gebruikers bij externe verbindingen Time-out van sessies (Beperking van verbindingstijd )Draagbare computers en communicatievoorzieningen Telewerken
24
DE digitale brandoefening
13 december 2006 24
Verwerving, ontwikkeling en onderhoud van informatiesystemen
Analyse en specificatie van beveili-gingseisen Cryptografische beheersmaatregelen Beveiliging van systeembestanden Restricties op wijzigingen in programmatuurpakketten
25
DE digitale brandoefening
13 december 2006 25
incidenten
Rapportage van informatiebeveili-gingsgebeurtenissen Rapportage van zwakke plekken in de beveiligingRapporteren over acties n.a.v. meldingen
26
DE digitale brandoefening
13 december 2006 26
Naleving
Naleving van wettelijke voorschriften Bescherming van bedrijfsdocumenten Naleving van beveiligingsbeleid en -normen
AUDITS
27
DE digitale brandoefening
13 december 2006 27
ProgrammaStoomcursus Informatiebeveiliging
Risico-inventarisatie, risico-analyse
Aan de slag
DE digitale brandoefening“red de digitale data” strategie: aanbevelingen
28
DE digitale brandoefening
13 december 2006 28
Risico-inventarisatie, risico-analyse
Risico uitgedrukt als de relatie tussen kans op een incident/schade en het gevolg/effect:
R = K * E
29
DE digitale brandoefening
13 december 2006 29
30
DE digitale brandoefening
13 december 2006 30
ProgrammaStoomcursus Informatiebeveiliging
Risico-inventarisatie, risico-analyse
Aan de slag….
DE digitale brandoefening“red de digitale data” strategie: aanbevelingen
31
DE digitale brandoefening
13 december 2006 31
Aan de slag… (10 minuten)
Risico-analyse5 risico’sClassificeren aan de hand van analyse
32
DE digitale brandoefening
13 december 2006 32
Bedrijfscontinuïteitsbeheer
33
DE digitale brandoefening
13 december 2006 33
34
DE digitale brandoefening
13 december 2006 34
Bedrijfscontinuïteitsbeheer
35
DE digitale brandoefening
13 december 2006 35
BedrijfscontinuïteitsbeheerDE digitale brandoefening
Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoorde-ling Continuïteitsplannen ontwikkelen en implementeren waaronder informatie-beveiliging Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen
36
DE digitale brandoefening
13 december 2006 36
BedrijfscontinuïteitsbeheerDE digitale brandoefening
WaarschuwingslijstenberredderingVervangende apparatuurRol interne en externe partijen vaststellenVeilig stellen DATA en Applicaties: vooraf
Transportabiliteit data over netwerken en via backups vergemakkelijkt continuïteitsbeheer?
37
DE digitale brandoefening
13 december 2006 37
DE digitale brandoefening
De praktijk: welke maatregelen zijn genomen“red de digitale data” strategie: aanbevelingen
38
DE digitale brandoefening
13 december 2006 38
LEESVOER
NEN-ISO/IEC 17799, juni 2005; “Code voor informatiebeveiliging”
(vertaling van: ISO/IEC 1779, 2000: “Code of practice for information security management”)
39
DE DIGITALE BRANDOEFENING
Ton Cremershttp://www.museum-security.org