Het opstellen van een informatiebeveiligingsplan - Douwe de Jong - februari 2004 Pag. 1

Het opstellen van een informatiebeveiligingsplan

een praktisch aanpak

Inleiding

Iedere organisatie doet aan beveiliging; anti-virussoftware en firewalls behoren tot de standaard ict-

uitrusting, bedrijfsgebouwen zijn beveiligd tegen inbraak, etc. En toch blijkt dat soms niet afdoende te

zijn. Is er dan sprake van nalatigheid of van overmacht? Wanneer is een beveiligingsplan compleet?

En ben je in dat geval bestand tegen alle mogelijke dreigingen? In dit document wordt een praktische

aanpak geschetst om een evenwichtig informatiebeveiligingsplan op te stellen.

Risicoafweging

Aan elk beveiligingsplan gaat een soort van risico-afweging vooraf. Belangrijkste elementen zijn

daarbij:

• In hoeverre is een organisatie afhankelijk van de informatievoorziening? Ga uit van de

bedrijfsprocessen en van de wet- en regelgeving; druk die afhankelijkheid uit in de drie

betrouwbaarheidseisen beschikbaarheid, exclusiviteit en integriteit.

• In hoeverre is de organisatie, in het bijzonder de informatievoorziening, kwetsbaar? Bepaal

dreigingen die als relevant worden beschouwd; beschrijf dreigingsscenario's.

Bij de overheid wordt voor de beveiliging van de informatievoorziening uitgegaan van het Voorschrift

Informatiebeveiliging Rijksdienst, afgekort VIR. Het VIR schrijft een Afhankelijkheids- en

Kwetsbaarheidsanalyse voor om te bepalen waarom er beveiligd moet worden en in welke mate dat

moet gebeuren.

Maar ook bij het bedrijfsleven is een vorm van risico-afweging nodig om te kunnen beoordelen of de

getroffen maatregelen in verhouding staan tot de te beveiligen belangen.

Code voor Informatiebeveiliging

Voor de inrichting van een beveiligingsplan wordt voor zowel de overheid als het bedrijfsleven in

toenemende mate de Code voor Informatiebeveiliging als leidraad genomen. Het ziet er naar uit dat

deze Code een algemeen geaccepteerde standaard wordt voor het hele werkgebied

informatiebeveiliging. De Code bevat een groot aantal beveiligingsmaatregelen; het eerste deel kan

worden gezien als leidraad voor implementatie van een beveiligingsplan, het tweede deel is

normstellend voor eventuele audits en certificering.

Gestructureerde aanpak

In schema 1 is een aanpak geschetst om te komen tot een informatiebeveiligingsplan. Begin met het

bepalen van (beleids)uitgangspunten, ook wel beveiligingsarchitectuur genoemd, als basis voor de

inventarisatie van processen, systemen (Afhankelijkheidsanalyse) en dreigingen (1e deel

Kwetsbaarheidsanalyse). Dat zijn de belangrijkste ingrediënten voor de risico-afweging om te komen

tot beveiligingsmaatregelen.

Activiteit 1; het opstellen van een beveiligingsarchitectuur

De grondslag voor een beveiligingsarchitectuur is een tabel met betrouwbaarheidseisen per

normklasse. Niet elk informatiesysteem heeft eenzelfde beveiligingsniveau nodig; ga bijvoorbeeld uit

van de niveau's laag, gemiddeld, hoog en zeer hoog (normklassen). Bepaal vervolgens voor de

verschillende normklassen de gewenste betrouwbaarheidseisen ten aanzien van:

• beschikbaarheid (gericht op de applicatie; is die op de juiste tijd en plaats beschikbaar?)

• exclusiviteit (gericht op communicatie; is informatie alleen toegankelijk voor wie bedoeld?)

• integriteit (gericht op de informatie; is die volledig en juist?)

In tabel 2 is een voorbeeld opgenomen; de invulling zal voor elke organisatie verschillend zijn.

Beveiliging wordt vooral bepaald door wet- en regelgeving. Soms gaat het om concrete eisen, soms

om aanbevelingen waaraan een organisatie zich kan conformeren. Het zijn aanknopingspunten om in

Het opstellen van een informatiebeveiligingsplan - Douwe de Jong - februari 2004 Pag. 2

de eerder genoemde tabel concrete eisen te stellen en in sommige gevallen is er zelfs een rechtstreekse

relatie met beveiligingsmaatregelen.

Twee voorbeelden:

- Het College Bescherming Persoonsgegevens heeft, om te voldoen aan de Wet Bescherming

Persoonsgegevens, een raamwerk gemaakt waarin wordt aanbevolen persoonsgegevens in te delen in

risicoklassen; per risicoklasse zijn passende beveiligingsmaatregelen opgesomd.

- Bij de overheid is de regeling VIR-bijzondere-informatie van toepassing. Daarin worden, met

verwijzing naar de Code, voor de risicoklasse "departementaal vertrouwelijk" specifieke

beveiligingsmaatregelen voorgeschreven. Ook het bedrijfsleven kan hierop inspelen als het om

uitwisseling van vertrouwelijke informatie gaat.

Activiteit 2; de inventarisatie van bedrijfsprocessen en informatiesystemen

Een beveiligingsonderzoek begint met de inventarisatie van processen en systemen. Maak gebruik van

de typering betrouwbaarheidseisen per normklasse (tabel 2) om een eenduidige afweging te maken

over de toe te kennen betrouwbaarheidseisen.

Activiteit 3; de inventarisatie van dreigingen

Daarna worden alle mogelijke dreigingen geïnventariseerd om de relevante dreigingen te bepalen.

Bedenk daarbij of de kans op het voorkomen van die dreiging reëel is en of een organisatie schade

ondervindt van die eventuele dreiging. Besteed in het bijzonder aandacht aan onbevoegde indringing;

niet alleen van buiten af maar vooral van binnen uit.

Activiteit 4; het afwegen van risico's

De risico-afweging legt de vertaalslag van eisen naar maatregelen. Een aantal maatregelen volgt uit de

beveiligingsarchitectuur, de overige worden bepaald door de gestelde betrouwbaarheidseisen, rekening

houdend met relevante dreigingen. Randvoorwaarde in deze fase is de bereidheid dan wel

mogelijkheid de benodigde middelen beschikbaar te stellen.

Maatregelen worden opgenomen in een beveiligingsplan; dit plan heeft een dynamisch karakter en zal

continu moeten worden bijgesteld, hetzij door veranderende omstandigheden, hetzij na periodieke

evaluatie.

Gefaseerde aanpak

Als informatiebeveiliging nog niet formeel is ingericht is de volgende fasering aan te bevelen; in veel

gevallen, met name als reeds ervaring is met een methodische aanpak, kan de eerste fase worden

overgeslagen en kan meteen het basis beveiligingsniveau worden bepaald.

Fase I: begin met een quick scan

Maak een eerste aanzet voor beleidsuitgangspunten cq beveiligingsarchitectuur; ga uit van concrete

gegevens en van gezond verstand. Onderzoek de hoofdprocessen met de bijbehorende belangrijkste

systemen en organiseer een workshop om gezamenlijk relevante dreigingen te inventariseren. Ga de

beveiligingseisen uit deel II van de Code na met eventueel de bijbehorende reeds getroffen

beveiligingsmaatregelen (IST-situatie). Ga daarna vanuit de beleidsuitgangspunten, de

interviewresultaten en de relevante dreigingen bepalen welke eis van toepassing is en en zo ja welke

aanvullende maatregelen nodig zijn (SOLL-situatie).

Fase II: bepaal een basis beveiligingsniveau

Met fase I is veel ervaring opgedaan. Herhaal de activiteiten maar dan diepgaander; na de quick scan

is duidelijk welke elementen meer aandacht verdienen. Richt je op een beveiligingsniveau dat geldt

voor de meeste informatiesystemen en leg beleidsmatig vast dat dit het basisbeveiligingsniveau is. In

veel gevallen zal de normklasse Hoog het basisniveau zijn; in omgevingen met decentrale

verantwoordelijkheden zal de lat lager liggen.

Het opstellen van een informatiebeveiligingsplan - Douwe de Jong - februari 2004 Pag. 3

Fase III: bepaal extra beveiligingseisen

Systemen waarvoor het basisbeveiligingsniveau onvoldoende is moeten apart worden onderzocht en

dat resulteert meestal in eaanvullende beveiligingsmaatregelen.

Fase IV: periodiek onderhoud

Uitgangspunten en randvoorwaarden waarop de informatiebeveiliging is gebaseerd zullen regelmatig

wijzigen; denk aan uitbreiding van de ict-infrastructuur, verhuizingen, nieuwe dreigingsprofielen en

gewijzigd beleid. Evalueer het beveiligingsplan regelmatig en doorloop periodiek de

beveiligingsactiviteiten om het plan actueel te houden.

Geautomatiseerde ondersteuning

Nagenoeg elke beveiligingsadviseur heeft een software tool beschikbaar op basis van de maatregelen

uit de Code voor Informatiebeveiliging. Een dergelijk tool kan de doorlooptijd van de verschillende

stappen aanzienlijk verkorten. Voor het leereffect én voor de bewustwording is het aan te bevelen in

de beginfase de exercitie handmatig uit te voeren; voor grote bedrijven en instellingen is

geautomatiseerde ondersteuning voor de onderhoudsfase een must.

Tot slot

De geschetste aanpak is geschikt voor zowel overheid als het bedrijfsleven. De overheid moet voldoen

aan het VIR en richtlijnen als gevolg van wetgeving zijn welkom ter ondersteuning van de eigen

risico-afweging. Maar ook voor het bedrijfsleven kan het handig zijn om zich daarbij aan te sluiten;

regelgeving mag dan een vrijblijvend karakter hebben, wetgeving geldt voor iedereen.

De geschetste aanpak hoeft weinig geld en tijd te kosten. Dit geldt met name voor fase I waarbij

eventuele beveiligingslekken snel zichtbaar zijn. Fase II vergt meer aandacht en fase III is afhankelijk

van het aantal informatiesystemen waarvoor extra onderzoek nodig is. Belangrijkste randvoorwaarde

is dat de verantwoordelijkheid voor beveiliging goed is geregeld en dat alle medewerkers zich bewust

zijn van het belang van beveiliging.

Literatuur

Code voor informatiebeveiliging; een leidraad voor beleid en implementatie

Te bestellen via www.nni.nl

Praktijkgids Code voor Informatiebeveiliging

Ernst J. Oud; isbn 90 52671 427x

Informatiebeveiliging voor de overheid; een praktische aanpak

http://www.hec.nl/docs/informatiebeveiliging.pdf

Dikke muren en firewalls; Controllers Magazine oktober 2003

Douwe de Jong

Het opstellen van een informatiebeveiligingsplan - Douwe de Jong - februari 2004 Pag. 4

L-laag

G-Gemiddeld

H-Hoog

ZH-Zeer Hoog

Normklasse:

Typering:

Criterium:

Geen Lastig maar ook

niet meer

Ernstige verstoring

van de bestuurlijke

productie, planning

en controll

Veiligheid burger

of financiële positie

van de organisatie

in gevaar

Beschikbaarheid

Gericht op applicatie

juiste tijd en plaats?

Onnodig

er hoeven geen

garanties te

worden gegeven

Wenselijk

een enkele keer

uitval is

aanvaardbaar

Noodzakelijk

nauwelijks uitval

gedurende

kantoortijd

Onmisbaar

slechts in

uitzonderlijke

gevallen niet

operationeel

Exclusiviteit

Gericht op

communicatie

alleen voor wie

bedoeld?

Openbaar

afscherming niet

relevant

Afgeschermd

informatie alleen

toegankelijk voor

personeel

Cruciaal

vertrouwelijke

informatie alleen

toegankelijk voor

direct betrokkenen

Dwingend

zeer vertrouwelijke

informatie

Integriteit

Gericht op informatie

volledig en juist?

Onnodig

geen extra interne

bescherming

nodig

Wenselijk

inbreuk op int.

lastig en verstoort

de procesgang

Noodzakelijk

inbreuk op int.

veroorzaakt

mogelijk schade

Onontbeerlijk

inbreuk op int.

heeft ernstige

consequenties voor

derden

Tabel 2 - Typering betrouwbaarheidseisen per normklasse

SOLL

IST

4

Risico

afweging

3

Inventarisatie

dreigingen

2

Inventarisatie

processen en

systemen

Mogelijke

dreigingen

Betrouwbaar

heidseisen

Relevante

dreigingen

“Speelruimte”

vanuit politiek,

directie,

financieel e.d.

Beveiligingsplan

Beveiligingsplan

Processen

systemen

Wet- en

regelgeving

Beleids

plannen

Normen en

richtlijnen

1

Beveiligings-

architectuur

Schema 1 – Opstellen informatiebeveiligingsplan