Het opstellen van een informatiebeveiligingsplan een ... · PDF fileHet opstellen van een...
Transcript of Het opstellen van een informatiebeveiligingsplan een ... · PDF fileHet opstellen van een...
Het opstellen van een informatiebeveiligingsplan - Douwe de Jong - februari 2004 Pag. 1
Het opstellen van een informatiebeveiligingsplan
een praktisch aanpak
Inleiding
Iedere organisatie doet aan beveiliging; anti-virussoftware en firewalls behoren tot de standaard ict-
uitrusting, bedrijfsgebouwen zijn beveiligd tegen inbraak, etc. En toch blijkt dat soms niet afdoende te
zijn. Is er dan sprake van nalatigheid of van overmacht? Wanneer is een beveiligingsplan compleet?
En ben je in dat geval bestand tegen alle mogelijke dreigingen? In dit document wordt een praktische
aanpak geschetst om een evenwichtig informatiebeveiligingsplan op te stellen.
Risicoafweging
Aan elk beveiligingsplan gaat een soort van risico-afweging vooraf. Belangrijkste elementen zijn
daarbij:
• In hoeverre is een organisatie afhankelijk van de informatievoorziening? Ga uit van de
bedrijfsprocessen en van de wet- en regelgeving; druk die afhankelijkheid uit in de drie
betrouwbaarheidseisen beschikbaarheid, exclusiviteit en integriteit.
• In hoeverre is de organisatie, in het bijzonder de informatievoorziening, kwetsbaar? Bepaal
dreigingen die als relevant worden beschouwd; beschrijf dreigingsscenario's.
Bij de overheid wordt voor de beveiliging van de informatievoorziening uitgegaan van het Voorschrift
Informatiebeveiliging Rijksdienst, afgekort VIR. Het VIR schrijft een Afhankelijkheids- en
Kwetsbaarheidsanalyse voor om te bepalen waarom er beveiligd moet worden en in welke mate dat
moet gebeuren.
Maar ook bij het bedrijfsleven is een vorm van risico-afweging nodig om te kunnen beoordelen of de
getroffen maatregelen in verhouding staan tot de te beveiligen belangen.
Code voor Informatiebeveiliging
Voor de inrichting van een beveiligingsplan wordt voor zowel de overheid als het bedrijfsleven in
toenemende mate de Code voor Informatiebeveiliging als leidraad genomen. Het ziet er naar uit dat
deze Code een algemeen geaccepteerde standaard wordt voor het hele werkgebied
informatiebeveiliging. De Code bevat een groot aantal beveiligingsmaatregelen; het eerste deel kan
worden gezien als leidraad voor implementatie van een beveiligingsplan, het tweede deel is
normstellend voor eventuele audits en certificering.
Gestructureerde aanpak
In schema 1 is een aanpak geschetst om te komen tot een informatiebeveiligingsplan. Begin met het
bepalen van (beleids)uitgangspunten, ook wel beveiligingsarchitectuur genoemd, als basis voor de
inventarisatie van processen, systemen (Afhankelijkheidsanalyse) en dreigingen (1e deel
Kwetsbaarheidsanalyse). Dat zijn de belangrijkste ingrediënten voor de risico-afweging om te komen
tot beveiligingsmaatregelen.
Activiteit 1; het opstellen van een beveiligingsarchitectuur
De grondslag voor een beveiligingsarchitectuur is een tabel met betrouwbaarheidseisen per
normklasse. Niet elk informatiesysteem heeft eenzelfde beveiligingsniveau nodig; ga bijvoorbeeld uit
van de niveau's laag, gemiddeld, hoog en zeer hoog (normklassen). Bepaal vervolgens voor de
verschillende normklassen de gewenste betrouwbaarheidseisen ten aanzien van:
• beschikbaarheid (gericht op de applicatie; is die op de juiste tijd en plaats beschikbaar?)
• exclusiviteit (gericht op communicatie; is informatie alleen toegankelijk voor wie bedoeld?)
• integriteit (gericht op de informatie; is die volledig en juist?)
In tabel 2 is een voorbeeld opgenomen; de invulling zal voor elke organisatie verschillend zijn.
Beveiliging wordt vooral bepaald door wet- en regelgeving. Soms gaat het om concrete eisen, soms
om aanbevelingen waaraan een organisatie zich kan conformeren. Het zijn aanknopingspunten om in
Het opstellen van een informatiebeveiligingsplan - Douwe de Jong - februari 2004 Pag. 2
de eerder genoemde tabel concrete eisen te stellen en in sommige gevallen is er zelfs een rechtstreekse
relatie met beveiligingsmaatregelen.
Twee voorbeelden:
- Het College Bescherming Persoonsgegevens heeft, om te voldoen aan de Wet Bescherming
Persoonsgegevens, een raamwerk gemaakt waarin wordt aanbevolen persoonsgegevens in te delen in
risicoklassen; per risicoklasse zijn passende beveiligingsmaatregelen opgesomd.
- Bij de overheid is de regeling VIR-bijzondere-informatie van toepassing. Daarin worden, met
verwijzing naar de Code, voor de risicoklasse "departementaal vertrouwelijk" specifieke
beveiligingsmaatregelen voorgeschreven. Ook het bedrijfsleven kan hierop inspelen als het om
uitwisseling van vertrouwelijke informatie gaat.
Activiteit 2; de inventarisatie van bedrijfsprocessen en informatiesystemen
Een beveiligingsonderzoek begint met de inventarisatie van processen en systemen. Maak gebruik van
de typering betrouwbaarheidseisen per normklasse (tabel 2) om een eenduidige afweging te maken
over de toe te kennen betrouwbaarheidseisen.
Activiteit 3; de inventarisatie van dreigingen
Daarna worden alle mogelijke dreigingen geïnventariseerd om de relevante dreigingen te bepalen.
Bedenk daarbij of de kans op het voorkomen van die dreiging reëel is en of een organisatie schade
ondervindt van die eventuele dreiging. Besteed in het bijzonder aandacht aan onbevoegde indringing;
niet alleen van buiten af maar vooral van binnen uit.
Activiteit 4; het afwegen van risico's
De risico-afweging legt de vertaalslag van eisen naar maatregelen. Een aantal maatregelen volgt uit de
beveiligingsarchitectuur, de overige worden bepaald door de gestelde betrouwbaarheidseisen, rekening
houdend met relevante dreigingen. Randvoorwaarde in deze fase is de bereidheid dan wel
mogelijkheid de benodigde middelen beschikbaar te stellen.
Maatregelen worden opgenomen in een beveiligingsplan; dit plan heeft een dynamisch karakter en zal
continu moeten worden bijgesteld, hetzij door veranderende omstandigheden, hetzij na periodieke
evaluatie.
Gefaseerde aanpak
Als informatiebeveiliging nog niet formeel is ingericht is de volgende fasering aan te bevelen; in veel
gevallen, met name als reeds ervaring is met een methodische aanpak, kan de eerste fase worden
overgeslagen en kan meteen het basis beveiligingsniveau worden bepaald.
Fase I: begin met een quick scan
Maak een eerste aanzet voor beleidsuitgangspunten cq beveiligingsarchitectuur; ga uit van concrete
gegevens en van gezond verstand. Onderzoek de hoofdprocessen met de bijbehorende belangrijkste
systemen en organiseer een workshop om gezamenlijk relevante dreigingen te inventariseren. Ga de
beveiligingseisen uit deel II van de Code na met eventueel de bijbehorende reeds getroffen
beveiligingsmaatregelen (IST-situatie). Ga daarna vanuit de beleidsuitgangspunten, de
interviewresultaten en de relevante dreigingen bepalen welke eis van toepassing is en en zo ja welke
aanvullende maatregelen nodig zijn (SOLL-situatie).
Fase II: bepaal een basis beveiligingsniveau
Met fase I is veel ervaring opgedaan. Herhaal de activiteiten maar dan diepgaander; na de quick scan
is duidelijk welke elementen meer aandacht verdienen. Richt je op een beveiligingsniveau dat geldt
voor de meeste informatiesystemen en leg beleidsmatig vast dat dit het basisbeveiligingsniveau is. In
veel gevallen zal de normklasse Hoog het basisniveau zijn; in omgevingen met decentrale
verantwoordelijkheden zal de lat lager liggen.
Het opstellen van een informatiebeveiligingsplan - Douwe de Jong - februari 2004 Pag. 3
Fase III: bepaal extra beveiligingseisen
Systemen waarvoor het basisbeveiligingsniveau onvoldoende is moeten apart worden onderzocht en
dat resulteert meestal in eaanvullende beveiligingsmaatregelen.
Fase IV: periodiek onderhoud
Uitgangspunten en randvoorwaarden waarop de informatiebeveiliging is gebaseerd zullen regelmatig
wijzigen; denk aan uitbreiding van de ict-infrastructuur, verhuizingen, nieuwe dreigingsprofielen en
gewijzigd beleid. Evalueer het beveiligingsplan regelmatig en doorloop periodiek de
beveiligingsactiviteiten om het plan actueel te houden.
Geautomatiseerde ondersteuning
Nagenoeg elke beveiligingsadviseur heeft een software tool beschikbaar op basis van de maatregelen
uit de Code voor Informatiebeveiliging. Een dergelijk tool kan de doorlooptijd van de verschillende
stappen aanzienlijk verkorten. Voor het leereffect én voor de bewustwording is het aan te bevelen in
de beginfase de exercitie handmatig uit te voeren; voor grote bedrijven en instellingen is
geautomatiseerde ondersteuning voor de onderhoudsfase een must.
Tot slot
De geschetste aanpak is geschikt voor zowel overheid als het bedrijfsleven. De overheid moet voldoen
aan het VIR en richtlijnen als gevolg van wetgeving zijn welkom ter ondersteuning van de eigen
risico-afweging. Maar ook voor het bedrijfsleven kan het handig zijn om zich daarbij aan te sluiten;
regelgeving mag dan een vrijblijvend karakter hebben, wetgeving geldt voor iedereen.
De geschetste aanpak hoeft weinig geld en tijd te kosten. Dit geldt met name voor fase I waarbij
eventuele beveiligingslekken snel zichtbaar zijn. Fase II vergt meer aandacht en fase III is afhankelijk
van het aantal informatiesystemen waarvoor extra onderzoek nodig is. Belangrijkste randvoorwaarde
is dat de verantwoordelijkheid voor beveiliging goed is geregeld en dat alle medewerkers zich bewust
zijn van het belang van beveiliging.
Literatuur
Code voor informatiebeveiliging; een leidraad voor beleid en implementatie
Te bestellen via www.nni.nl
Praktijkgids Code voor Informatiebeveiliging
Ernst J. Oud; isbn 90 52671 427x
Informatiebeveiliging voor de overheid; een praktische aanpak
http://www.hec.nl/docs/informatiebeveiliging.pdf
Dikke muren en firewalls; Controllers Magazine oktober 2003
Douwe de Jong
Het opstellen van een informatiebeveiligingsplan - Douwe de Jong - februari 2004 Pag. 4
L-laag
G-Gemiddeld
H-Hoog
ZH-Zeer Hoog
Normklasse:
Typering:
Criterium:
Geen Lastig maar ook
niet meer
Ernstige verstoring
van de bestuurlijke
productie, planning
en controll
Veiligheid burger
of financiële positie
van de organisatie
in gevaar
Beschikbaarheid
Gericht op applicatie
juiste tijd en plaats?
Onnodig
er hoeven geen
garanties te
worden gegeven
Wenselijk
een enkele keer
uitval is
aanvaardbaar
Noodzakelijk
nauwelijks uitval
gedurende
kantoortijd
Onmisbaar
slechts in
uitzonderlijke
gevallen niet
operationeel
Exclusiviteit
Gericht op
communicatie
alleen voor wie
bedoeld?
Openbaar
afscherming niet
relevant
Afgeschermd
informatie alleen
toegankelijk voor
personeel
Cruciaal
vertrouwelijke
informatie alleen
toegankelijk voor
direct betrokkenen
Dwingend
zeer vertrouwelijke
informatie
Integriteit
Gericht op informatie
volledig en juist?
Onnodig
geen extra interne
bescherming
nodig
Wenselijk
inbreuk op int.
lastig en verstoort
de procesgang
Noodzakelijk
inbreuk op int.
veroorzaakt
mogelijk schade
Onontbeerlijk
inbreuk op int.
heeft ernstige
consequenties voor
derden
Tabel 2 - Typering betrouwbaarheidseisen per normklasse
SOLL
IST
4
Risico
afweging
3
Inventarisatie
dreigingen
2
Inventarisatie
processen en
systemen
Mogelijke
dreigingen
Betrouwbaar
heidseisen
Relevante
dreigingen
“Speelruimte”
vanuit politiek,
directie,
financieel e.d.
Beveiligingsplan
Beveiligingsplan
Processen
systemen
Wet- en
regelgeving
Beleids
plannen
Normen en
richtlijnen
1
Beveiligings-
architectuur
Schema 1 – Opstellen informatiebeveiligingsplan