Quint Wellington Redwood ©2002 BORG & ICT voor het MKB Maatregelen uit de Code voor...

Quint Wellington Redwood ©2002

BORG & ICT voor het MKB

Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk


B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3

Doel en doelgroep

Doel beveiligingsmaatregelen eenvoudig selecteerbaar verbeterde totale beveiliging tegen relatief lagere

kosten

Gericht op continuïteit van organisatieprocessen ICT organisaties of afdelingen MKB



Integratie risicomanagement

Beleid

Organisatie

Selectie maatregelen

Toepassing maatregelen

Personeel Materieel Informatie Financiën•ziekte•motivatie•kennis•...

•brand•inbraak•diefstal•...

•afluisteren•virus•hacker•...

•valuta•rente•claims•...



Risico’s materieel

Schade als percentage van omzet: 0.17%(bron: Jaarboek Beveiliging)

Kans op externe criminaliteit: 42%(bron: Stichting Trendmeter 1998)

Verdelingkansen

(bron: Jaarboek Beveiliging)

0% 5% 10% 15% 20% 25%

Bedreiging

Diefstal

Inbraak

Vernieling



Risico’s informatie

Schade als percentage van omzet: 0.16%(bron: CSI/FBI 2001)

Verdelingschade

(bron: CSI/FBI 2001)

0.00% 0.02% 0.04% 0.06% 0.08%

Diefstal vertrouwelijke info

Financiele fraude

Virussen

Misbruik van toegang

Hacker

Telecom fraude

Diefstal van laptop

Ongeautoriseerde toegang

Sabotage van data

Denial of service

Afluisteren telecom



Bedreigingen MKB

Materieel BORG

onbevoegde indringing(inbraak, diefstal)

Overige regelingen brand bliksem ...

Informatie ICT hoog

virussen stroomuitval brand / waterschade

ICT midden diefstal gegevens door

hacker diefstal computers uitval internet

ICT laag niet zakelijk gebruik

internet door mdws veranderen website

(bron: Kwint 2002)



Informatiebedreigingen MKB reëel?

(bron: Kwint 2002, Crypsys 2003)

0% 20% 40% 60% 80% 100%

Anti-virus

Actuele anti-virus

UPS

Controle UPS

Firewall

Onderhouden firewall

Back-ups (volledig)

Controle back-ups

Computers niet ongezien benaderen

Belangrijke computers in afgesloten ruimte

Regels voor (zakelijk) gebruik internet

Continuiteitsplan ICT

Onafhankelijke controle



Preventieve uitgaven voor beveiliging

Materieel 0.21% omzet

(bron: Beveiligings jaarboek)

Informatie 0.16% - 0.32% omzet

(bron: Heliview 2002, Gartner 2001)

(16% automatiserings-budget)



Conclusie informatiebeveiliging MKB

Passende maatregelen ontbreken veelal afhankelijkheid van informatie niet onderkend kennis maatregelen ontbreekt

(bron: Kwint 2002)

MKB wil pragmatische hulp bij informatiebeveiliging

Tijd voor BORG en CvIB (Code voor Informatiebeveiliging)?



Essentie BORG en CvIB

BORG kwaliteitssysteem erkenning

beveiligingsbedrijven en -installaties

Nationaal Centrum voor Preventie (NCP)

CvIB beste praktijkmethoden

voor bedrijfsleven NEN-norm, afgeleid

van ISO-norm, verzameling informatiebeveiligings-maatregelen

Min EZ / NNI



Bij integratie te behouden principes

BORG assets als te

beschermen objecten risicoklassen eenvoudige bepaling

risicoklasse elke maatregel heeft

bepaalde zwaarte sommige maatregelen

zijn uitwisselbaar certificering van

installatie geeft premiereductie

CvIB informatie als primair te

beschermen ‘objecten’ BIV breed scala aan

bedreigingen, risico’s en maatregelen

onderscheid tussen objectgroepen mogelijk, met elk een passend beveiligingsregime

certificering van proces mogelijk



Stappen bij selectie van maatregelen

BORG bepalen BORG

risicoklasse bepalen BORG

maatregelclusters

ICT bepalen ICT

risicoklasse bepalen ICT

maatregelclusters

• BORG & ICT• samenstellen maatregelmix



Bepaling risicoklassen

BORG aard object

(productiebedrijf, kantoor, …)5 - 8 pt

ligging object(buiten, binnen gebied)4 - 6 pt

waarde & attractiviteit goederen2 - 12 pt

ICT aard automatisering

(primair proces, onder-steunend proces, ...) 5 - 8 pt

ligging automatisering(fysiek en logisch)4 - 6 pt

waarde & attractiviteit info2 - 12 pt

voor anderen (branche * info type)

voor MKB (misbaarheid * herstelbaarheid)

indeling info type conform

CBP



Risicoklassenm.b.t. bedrijven en instellingen

BORG klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 - 20 pt klasse 4: > 20 pt

ICT klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 -20 pt klasse 4: > 20 pt



Maatregelen indeling

BORG organisatorisch bouwkundig elektronisch compartimentering

meeneembeperking alarmopvolging

ICT organisatorisch

(beleid, IB organisatie, toezicht op naleving, ...)

voorschriften(procedures, huisregels, bewustwording, ...)

logische toegang(user ids, passwords, anti-virus, netwerk, firewall, …)

continuïteit(UPS, back-up, calamiteitenplan, uitwijk,..)



Maatregelclusters

BORG klasse 1: Bn of Bs+Es klasse 2: Bn+Es of

Bs+Es+Cn klasse 3: Bz+En of

Bs+En+Cn klasse 4: Bz+Ez of

Bn+Ez+Cz

ICT klasse 1:

iO1+iV1+iL1+iC1 klasse 2:

iO1+iV1+iL2+iC2 of … (6 pt)

klasse 3: iO2+iV2+iL2+iC2 of … (8 pt)

klasse 4: iO3+iV2+iL2+iC3 of … (10 pt)

indeling niveaus conform Common

Criteria



Maatregelen CvIB

Voorbeeld iO1 = eindverantwoordelijke IB, controle door de

‘lijn’, ... iO2 = beleid, eigenaars bedrijfsmiddelen, overzicht

bedrijfsmiddelen, opleiding & training IB, incidentmelding & afhandeling, interne audits, …

iO3 = beleidsreview, classificatie bedrijfsmiddelen, IB in functie-omschrijvingen, geheimhoudingsverklaring, screening vertrouwensfuncties, incidentrapportage, externe audits, ...



Definitieve selectie maatregelenmix

Afweging ICT maatregelen tegen BORG maatregelen

Quint Wellington Redwood ©2002 BORG & ICT voor het MKB Maatregelen uit de Code voor...

Documents

Transcript of Quint Wellington Redwood ©2002 BORG & ICT voor het MKB Maatregelen uit de Code voor...