Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002...

41
Informatiebeveiliging in het Hoger Onderwijs Compliance and Control SAMBO-ICT - 16 januari 2014 - Alf Moens

Transcript of Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002...

Page 1: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

Informatiebeveiliging in het Hoger

Onderwijs

Compliance and Control

SAMBO-ICT - 16 januari 2014 - Alf Moens

Page 2: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

2

Wat ga ik u brengen?

• Framework Informatiebeveiliging, best practices uit het onderwijs

• Normenkader voor informatiebeveiliging: Wat moet een onderwijsinstellingen tenminste geregeld hebben?

• Tools voor Compliance en Control: SURFaudit

• En... hoe je dit allemaal organiseert

2

Page 3: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

3

• Alf Moens ([email protected])

• Coordinator Informatiebeveiliging & Privacy - SURF

– SURF werkmaatschappijen en coordinatie HO

• Parttime docent HU

• Vice voorzitter Platform voor Informatiebeveiliging

• (Security Manager 2003-2012)

• MISM / Lead Auditor ISO 27001 / ISO 27005 Risk Manager

WhoAmI

3

Page 4: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

4

IB&P@SURF: SAFE

4

Page 5: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

5

Higer Ed. in the Netherlands

5

Page 6: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

6

Waarom beveiligen?

6

Page 7: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

7

Compliance and Control

• Vertrouwen noodzakelijk voor intensieve samenwerking

• Wettelijke regels:

– Privacy wetten, worden flink aangescherpt met de EPV (vanaf 2014)

– Telecom wet,Wetten computercriminilateit

– Bewaarplichten

• Accountantscontrole

– verantwoording voor jaarrekening

– verantwoording voor subsidie projecten

– substantieel belang (boetes EPV)

• Aansluitvoorwaarden

– SURFnet, SURFconext

• Contractuele bepalingen

– opdrachtgevers

– internationale partners

• Open data?

• Publieke opinie en IMAGO

7

Hoe realiseer je Compliance en Control? - Commitment - Normenkader IB - Meten met SURFaudit - Framework IB&P HO

Page 8: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

8

Contractuele bepalingen

• Onderzoekspartners stellen eisen aan opslag en verwerking van gegevens

• Voor, tijdens en na het onderzoek

• Wat vragen/eisen opdrachtgevers/partners?

–informele inventarisatie bij een van de universiteiten

8

Page 10: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

10 10

Informatiebeveiliging

Page 11: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

11 11

Informatiebeveiliging

Page 12: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

12 12

Informatiebeveiliging

Page 13: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

13 13

PRIVACY

Informatiebeveiliging

Page 14: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

14 14

Informatiebeveiliging

PRIVACY

CYBERanything

Page 15: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

15 15

PRIVACY

CYBERanything

Informatiebeveiliging

Page 16: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

16

• Neelie Kroes:

• Stef Blok:

• Informatiebeveiliging prominente plaats in iStrategie

16

Page 17: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

17

Waarom Beveiligen?

17

CBP

EPV

Datalekken

Page 18: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

18

18

Page 19: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

19

19

Page 20: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

20 20

Page 21: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

21 • de start van SURFaudit...

Pilot SURFaudit

Meting Incident Management voor CERT vorming

Metingen maturity informatiebeveiliging

BIS: Geïntegreerde aanpak

referentiekader IB

normen voor SIM en IdM

certificering studielink

draagvlak voor normen

normen toetsen

Programma van eisen

Selectie meetpartijen

draagvlak voor methode en kosten

2010 2008 2009 2011

Meting Identity Management voor SURFfederatie

BIM: metingen komen bij elkaar

2007

Proefmetingen maturity Informatiebeveiliging

De markt meet,? borging bij SURF

Mixed financiering?

Scenario(‘s) testen

Bestuurlijk, CIO, ICT, Beveiliger

21

Page 22: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

22

SURFaudit

• 2011: bencharkmeting met 16 instellingen

–normenkader 2011, 5 clusters

• 2013: benchmarkmeting met

–11 a 12 universiteiten

–15 hogescholen

–normenkader 2013, 6 clusters, uitbreiding met privacy

• 2014: opzetten onafhankelijk beoordeling met peer-auditing

22

Page 23: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

23

23

Page 24: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

24 24

Informatiebeveiliging van project naar proces

Page 25: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

25

Informatiebeveiliging: Hoe komen we

verder?

• Samenwerken

• Delen

• Ondersteunen

25

Page 26: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

26

IB&P@SURF: SAFE

26

Page 27: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

27

security communities

27

Page 28: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

28

28

Page 29: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

29

Informatiebeveiliging: Hoe staan we er

voor?

• In 2008:

–IT beveiliging en fysieke beveiliging goed op orde

–Universiteiten net iets verder dan hogescholen

• In 2011:

–geen grote verschillen meer

–techniek nog steeds op orde

• In 2013

–Eerste hogescholen maken serieus werk van compliance aangestuurd vanuit bestuurlijk niveau

29

Page 30: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

30

SURFaudit consists of

• a control framework,

– based on ISO27002, a selection of controls that at least must be implemented in Higher Education.

– in 2013 expanded based on clearified privacy regulations

• a scoring scale and

– 5 levels based on CMM

• a benchmarktool,

– with build in scoring, explanation, required evidence, reporting and comparison

• with broad commitment from security officers, ICT managers, CIO’s and boardmembers of the institutions

• But still voluntary.

• Same methods and tools are used in healthcare (hospitals) and amongst members CIO Platform (major Dutch companies).

• SURFaudit is part of the Information Security Framework HO-NL.

• It’s a combination of organisational, personell and technical controls!

30

Page 31: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

31

Normenkader

2013

31

Uitbreiding 2013 opb richtsnoer WBP

10.10 Logging en Controle

12.2 Correcte verwerking in toepassingssystemen

12.6 Beheer van technische kwetsbaarheden

6.1.5 Geheimhoudingsovereenkomsten

12.3 Encryptie en hashing

9.2.6 Omgang met e-waste

15.2.1 Controle op naleving binnen de organisatie

15.2.2 Controle op technische naleving

12.5.5 code review

10.3.2 Test van nieuwe en gewijzigde informatiesystemen

Bij cloud/uitbesteding:

6.2.3 beveiligingseisen in bewerkersovereenkomst

7.2 differentiatie van verwerkte persoonsgegevens (classificatie)

10.2.2 controle en beoordeling van dienstverlening

13.1.2 Beoordeling en afhandeling van incidenten en lekken

10.2.3 beheer van wijzigingen in de dienstverlening

Page 32: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

32

Normenkader Hoger Onderwijs

Clusters

32

Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten 3. Ruimten & Apparatuur 4. Continuiteit 5. Toegangsbeveiliging en integriteit 6. Logging en controle

Page 33: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

33

Normenkader Hoger Onderwijs:

ISO27002 normen

33

Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten 3. Ruimten & Apparatuur 4. Continuiteit 5. Toegangsbeveiliging en integriteit 6. Logging en controle

Norm ISO 27002:2007

Wijzigingsbeheer 10.1.2, 10.2.3

Backup & Restore 10.5.1

Beheer kwetsbaarheden 12.6.1

Bedrijfscontinuiteit 14.1 (alle)

Page 34: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

34

Normenkader Hoger Onderwijs:

Bewijsmateriaal

34

Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten 3. Ruimten & Apparatuur 4. Continuiteit 5. Toegangsbeveiliging en integriteit 6. Logging en controle

Norm ISO 27002:2007

Wijzigingsbeheer 10.1.2, 10.2.3

Backup & Restore 10.5.1

Beheer kwetsbaarheden 12.6.1

Bedrijfscontinuiteit 14.1 (alle)

Opzet: 1. Beschrijving van de organisatie mbt OTAP; 2. Kopie procesbeschrijving "change management proces"; Bestaan ( maakt onderscheid in incidenten, kleine - en grote changes en spoedwijzigingen ): 1. Kopie van informatie waaruit blijkt dat de organisatie conform de procesbeschrijving heeft gewerkt. Te denken aan: - Kopie gehanteerd RFC formulier (lijncontrole); inclusief taken en verantwoordelijkheden rondom CM en ontwep documentatie - Kopie impactanalyse van de wijziging (lijncontrole); - Kopie acceptatieformulier , inclusief testuitkomsten (lijncontrole) en testplannen; - Schermprint van de change die van ontwikkelomgeving naar productie omgeving wordt geimplementeerd (lijncontrole) - Kopie eerste meldingen bij in productie inname en trainingen 2. kopie van informatie waaruit blijkt dat de organisatie controle achteraf heeft uitgevoerd op spoedwijzigingen. Zowel gebruikers als beheersomgeving infrastructuur.

Page 35: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

35

Different types of assessments

and audits

Self-assesment

Self-assesment

with peer support

Peer Audit

Audit

ISO 27001

certification

Amount of work

Value

Page 36: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

36

CMM scoring mechanism

36

Page 37: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

37

6 Universiteiten

Niv

ea

u

Omschrijving

0 Non-existent

1 Initial/Ad Hoc

2 Repeatable but

Intuitive

3 Defined Process

4 Managed and

Measurable

5 Optimised

SURFaudit Benchmark 2011

9 Hogescholen

Page 38: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

38

Use and re-use

• Framework informatiebeveiliging en normenkader zijn gebaseerd op internationale standaards en de EU wetgeving: Zijn vrij becshikbaar

• Benchmark getallen zijn/wordne gepubliceerd

–Landelijke benchmark?

• Tooling die nu gebruikt wordt is een commercieel product

38

Page 39: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

39 39 13

Page 40: Informatiebeveiliging in het Hoger Onderwijs - saMBO-ICT · Normenkader Hoger Onderwijs: ISO27002 normen Zes Clusters: 1. Beleid en Organisatie 2. Medewerkers, studenten en gasten

Project Regie in de Cloud referentie Architectuur (HORA) Classificatie van gegevens Juridisch Normenkader

SIG Digitale Rechten Kennisbank Vraagbaak Intellectueel eigendom

SURFacademy: Privacy Curriculum Introductie Europese richtlijn. Privacy impact Assessments Privacy Beleid Impact wetenschappelijk Onderzoek

SURFibo Leidraden Security en Privacy CERT/IBO Security congres

SURF: Rapporten en papers Patriot Act en FISA Uitspraak CBP over cloud Persoonsgegevens in Botnets Authenticatie voor informatiesystemen Rechtmatig operationeel handelen

SURFnet/SURFconext Step-up Authenticatie (as-a-service) SURFcertificaten