Beveiliging op ordeHoe kunnen scholen aantonen dat hun (informatie)beveiliging goed geregeld is

9 oktober 2019

Elly Dingemanse

2

Informatiebeveiliging en privacy (IBP)

Relatie informatiebeveiliging en privacy

Informatiebeveiliging is een belangrijke voorwaarde is voor privacy.

Omgekeerd is de zorgvuldige omgang met persoonsgegevens (privacy)noodzakelijk is voor een juiste informatiebeveiliging.

AVG en ISO27001/2 hangen met elkaar samen en hebben een overlap

3

Er was eens…

4

Informatiebeveiliging in het mboNiet alleen maatschappelijk druk, maar ook druk vanuit de overheid om maatregelen te nemen en beleid op informatiebeveiliging te maken.

2015: programma informatiebeveiliging

Doel: het stimuleren en ondersteunen van instellingen bij het ontwikkelen en uitvoeren van een informatiebeveiligingsbeleid.

5

Informatiebeveiliging in het mbo► Informatiebeveiligingsbeleid is een start; maar wanneer weet je of het voldoende is.

► Wereldwijde standaard voor informatiebeveiliging: ISO 27001 en 27002

► Vanuit beveiligingsrisico’s is een set van maatregelen, processen en procedures vastgelegd in (iso)normen.

Normenkader IB opgedeeld in Clusters:

► Beleid en organisatie► Personeel en studenten ► Ruimten en apparatuur ► Continuïteit ► Toegangsbeveiliging en integriteit ► Controle en logging

6

Informatiebeveiliging in het po/vo

Hoe zat dat in het po/vo?

Het beschermen van de privacy van jonge kinderen staat hierbij voorop.

Ouders geven veel (persoons)gegevens in bruikleen aan de school. Zij moeten er op kunnen vertrouwen dat er zorgvuldig met de persoonsgegevens (privacy) van hun kinderen en hunzelf wordt omgegaan.

Wet bescherming persoonsgegevens en het vrijstellingsbesluit waren de basis voor het verwerken van (persoons)gegevens van leerlingen en hun ouders in het po/vo.

7

En dan is het 25 mei 2018Sinds 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving:

de Algemene Verordening Gegevensbescherming (AVG)

► Bevat basisregels voor het verwerken van persoonsgegevens. ► Niet alleen AVG naleven, maar ook kunnen aantonen dat je dat doet.► Aanvullende bepalingen rondom toestemming, DPIA, register voor

verwerkingsactiviteiten, meldplicht beveiligingsincidenten en registratieplicht ► Passende beveiliging waarborgen door de juiste technische en

organisatorische maatregelen te nemen. (art. 5f, 24 en 32)► ISO27001/2 wereldwijd erkende norm op het gebied van informatiebeveiliging

8

po/vo

► Gestart vanuit privacy

► Aanpak IBP van Kennisnet bevat formats en richtlijnen voor implementatie AVG

► ISO27001/2 is meegenomen in Aanpak IBP

► Aanpak IBP wordt uitgebreid met richtlijnen en formats IB

mbo en po/vo ontmoeten elkaar rondom IBPmbo

► Gestart vanuit informatiebeveiliging

► Normenkader en toetsingskader ontwikkelt op basis van ISO27001/2

► Implementatie AVG vanuit normenkader op basis van documenten in het Framework mbo van Sambo-ict.

► Normen- /toetsingskader IB uitgebreid met P

Zowel mbo als po/vo moeten AVG en ISO27001/2 kunnen onderbouwen

9

mbo en po/vo ontmoeten elkaar rondom IBPStatus zomer 2018:

mbo: Mbo-normenkader IB en P moet aangepast worden. Aansluiten op de AVG en opgenomen ISO-statements heroverwegen. Toetsingskader IBP moet eenvoudiger.

po/vo: Ondersteuning op gebied van informatiebeveiliging ontbreekt.

Initiatief: Werkgroep vanuit mbo, po en vo gaat toetsingskader IBP aanpassen zodat het voor de gehele sector bruikbaar wordt.

10

Uitgangspunten voor po/vo:

• Dezelfde cluster indeling en ISO-statements voor mbo en po/vo

• Volwassenheid op 2 niveaus beschrijven

• Het theoretisch kader is voor mbo en po/vo hetzelfde. Basis om aan te tonen of je in control bent

11

Resultaat• Toetsingskader IBP 4.0; 6 clusters aangevuld met privacycluster 7

• Vertaalslag van de ISO-statements naar een eenvoudige:

• Bewijslast wordt ondersteunt met praktische documenten: gehanteerd document vanuit de Aanpak 2.0

• Akkoord van de werkgroepen IBP vanuit de po- en vo-raad om dit kader in zijn hoedanigheid uit te werken tot sector breed kader.

• Documenten Aanpak 2.0 worden op basis van dit toetsingskader aangevuld met richtlijnen en formats voor informatiebeveiliging.

Elly DingemanseInformatiemanager en privacy officer

e.dingemanse@dalton-dordrecht.nl

Hoe werkt het in de praktijkContinuïteit als voorbeeld

9 oktober 2019

Jordy van den ElshoutSr. Adviseur Informatiebeveiliging

2

Verschillende niveaus► Het toetsingskader kent verschillende

niveaus

► De Monitor IBP (2018): ► “Scholen zijn goed op weg met IBP”► Aandacht vereist op ‘Continuïteit’

► Welke beveiligingsmaatregelen kan je daarvoor treffen?

► Aan de hand van het vlinderdasmodel

3

Vlinderdasmodel

Preventief

Reactief

Gevolg

Gevolg

Gevolg

Oorzaak

Oorzaak

Oorzaak

Maatregelen

Preventief

Preventief

Reactief

Reactief

Maatregelen –

die klaar staanom de impact te

‘beperken’

Maatregelen –

die de kans op een incident

‘verkleinen’

X

4

Continuïteit: Preventieve maatregelen

Preventief

Reactief

Gevolg

Gevolg

Gevolg

Oorzaak

Oorzaak

Oorzaak

Maatregelen

Preventief

Preventief

Reactief

Reactief

X

Malware infectie

12.2.1 Bescherming tegen

Malware

Hardware defect

Misbruik account-gegevens

9.4.2Beveiligde inlog,

zoals 2FA

X17.2.1 Redundante

componenten

5

Continuïteit: Reactieve maatregelen

Preventief

Reactief

Gevolg

Gevolg

Gevolg

Oorzaak

Oorzaak

Oorzaak

Maatregelen

Preventief

Preventief

Reactief

Reactief

X

Versnelt handelen

16.1.5Respons op incidenten

Minimaliseert gegevensverlies

12.3.1 Back-up en/of

12.4.1 logfiles

17.1 Continuïteitsplan

Biedt ondersteuning

X

6

Vlinderdasmodel voor Continuïteit

X

Maatregelen

Preventief

Oorzaak

Oorzaak

Oorzaak

Preventief

Preventief

Malware infectie

12.2.1Bescherming tegen

Malware

Hardware defect

Misbruik account-gegevens

17.2.1Redundante

componenten

9.4.2Beveiligde inlog,

zoals 2FA

16.1.5Respons op incidenten

Minimaliseert gegevensverlies

Biedt ondersteuning

12.3.1 Back-up en/of

12.4.1 logfiles

17.1 Continuïteitsplan

Versnelt handelen

7

Verhoogt het niveau

Verstuur een incident als oefening

Controleer de benodigde middelen

Doorloop de stappen met het team

17.1.3 Continuïteit evalueren

Evalueer dit met het team

16.1.5Respons op incidenten

17.1.1 Continuïteitsplan

12.3.1 Back-up en/of 12.4.1 logfiles

1.

2.

3.

4.

5.

Calamiteit oefenen

Zorg voor verbeteracties; plan

een volgende oefening

Vragen?

Jordy van den ElshoutSr. Adviseur Informatiebeveiliging

IBP@kennisnet.nl