Quint Wellington Redwood ©2002 BORG & ICT voor het MKB Maatregelen uit de Code voor...
-
Upload
francisca-bauwens -
Category
Documents
-
view
223 -
download
7
Transcript of Quint Wellington Redwood ©2002 BORG & ICT voor het MKB Maatregelen uit de Code voor...
Quint Wellington Redwood ©2002
BORG & ICT voor het MKB
Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Doel en doelgroep
Doel beveiligingsmaatregelen eenvoudig selecteerbaar verbeterde totale beveiliging tegen relatief lagere
kosten
Gericht op continuïteit van organisatieprocessen ICT organisaties of afdelingen MKB
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Integratie risicomanagement
Beleid
Organisatie
Selectie maatregelen
Toepassing maatregelen
Personeel Materieel Informatie Financiën•ziekte•motivatie•kennis•...
•brand•inbraak•diefstal•...
•afluisteren•virus•hacker•...
•valuta•rente•claims•...
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Risico’s materieel
Schade als percentage van omzet: 0.17%(bron: Jaarboek Beveiliging)
Kans op externe criminaliteit: 42%(bron: Stichting Trendmeter 1998)
Verdelingkansen
(bron: Jaarboek Beveiliging)
0% 5% 10% 15% 20% 25%
Bedreiging
Diefstal
Inbraak
Vernieling
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Risico’s informatie
Schade als percentage van omzet: 0.16%(bron: CSI/FBI 2001)
Verdelingschade
(bron: CSI/FBI 2001)
0.00% 0.02% 0.04% 0.06% 0.08%
Diefstal vertrouwelijke info
Financiele fraude
Virussen
Misbruik van toegang
Hacker
Telecom fraude
Diefstal van laptop
Ongeautoriseerde toegang
Sabotage van data
Denial of service
Afluisteren telecom
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Bedreigingen MKB
Materieel BORG
onbevoegde indringing(inbraak, diefstal)
Overige regelingen brand bliksem ...
Informatie ICT hoog
virussen stroomuitval brand / waterschade
ICT midden diefstal gegevens door
hacker diefstal computers uitval internet
ICT laag niet zakelijk gebruik
internet door mdws veranderen website
(bron: Kwint 2002)
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Informatiebedreigingen MKB reëel?
(bron: Kwint 2002, Crypsys 2003)
0% 20% 40% 60% 80% 100%
Anti-virus
Actuele anti-virus
UPS
Controle UPS
Firewall
Onderhouden firewall
Back-ups (volledig)
Controle back-ups
Computers niet ongezien benaderen
Belangrijke computers in afgesloten ruimte
Regels voor (zakelijk) gebruik internet
Continuiteitsplan ICT
Onafhankelijke controle
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Preventieve uitgaven voor beveiliging
Materieel 0.21% omzet
(bron: Beveiligings jaarboek)
Informatie 0.16% - 0.32% omzet
(bron: Heliview 2002, Gartner 2001)
(16% automatiserings-budget)
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Conclusie informatiebeveiliging MKB
Passende maatregelen ontbreken veelal afhankelijkheid van informatie niet onderkend kennis maatregelen ontbreekt
(bron: Kwint 2002)
MKB wil pragmatische hulp bij informatiebeveiliging
Tijd voor BORG en CvIB (Code voor Informatiebeveiliging)?
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Essentie BORG en CvIB
BORG kwaliteitssysteem erkenning
beveiligingsbedrijven en -installaties
Nationaal Centrum voor Preventie (NCP)
CvIB beste praktijkmethoden
voor bedrijfsleven NEN-norm, afgeleid
van ISO-norm, verzameling informatiebeveiligings-maatregelen
Min EZ / NNI
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Bij integratie te behouden principes
BORG assets als te
beschermen objecten risicoklassen eenvoudige bepaling
risicoklasse elke maatregel heeft
bepaalde zwaarte sommige maatregelen
zijn uitwisselbaar certificering van
installatie geeft premiereductie
CvIB informatie als primair te
beschermen ‘objecten’ BIV breed scala aan
bedreigingen, risico’s en maatregelen
onderscheid tussen objectgroepen mogelijk, met elk een passend beveiligingsregime
certificering van proces mogelijk
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Stappen bij selectie van maatregelen
BORG bepalen BORG
risicoklasse bepalen BORG
maatregelclusters
ICT bepalen ICT
risicoklasse bepalen ICT
maatregelclusters
• BORG & ICT• samenstellen maatregelmix
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Bepaling risicoklassen
BORG aard object
(productiebedrijf, kantoor, …)5 - 8 pt
ligging object(buiten, binnen gebied)4 - 6 pt
waarde & attractiviteit goederen2 - 12 pt
ICT aard automatisering
(primair proces, onder-steunend proces, ...) 5 - 8 pt
ligging automatisering(fysiek en logisch)4 - 6 pt
waarde & attractiviteit info2 - 12 pt
voor anderen (branche * info type)
voor MKB (misbaarheid * herstelbaarheid)
indeling info type conform
CBP
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Risicoklassenm.b.t. bedrijven en instellingen
BORG klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 - 20 pt klasse 4: > 20 pt
ICT klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 -20 pt klasse 4: > 20 pt
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Maatregelen indeling
BORG organisatorisch bouwkundig elektronisch compartimentering
meeneembeperking alarmopvolging
ICT organisatorisch
(beleid, IB organisatie, toezicht op naleving, ...)
voorschriften(procedures, huisregels, bewustwording, ...)
logische toegang(user ids, passwords, anti-virus, netwerk, firewall, …)
continuïteit(UPS, back-up, calamiteitenplan, uitwijk,..)
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Maatregelclusters
BORG klasse 1: Bn of Bs+Es klasse 2: Bn+Es of
Bs+Es+Cn klasse 3: Bz+En of
Bs+En+Cn klasse 4: Bz+Ez of
Bn+Ez+Cz
ICT klasse 1:
iO1+iV1+iL1+iC1 klasse 2:
iO1+iV1+iL2+iC2 of … (6 pt)
klasse 3: iO2+iV2+iL2+iC2 of … (8 pt)
klasse 4: iO3+iV2+iL2+iC3 of … (10 pt)
indeling niveaus conform Common
Criteria
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Maatregelen CvIB
Voorbeeld iO1 = eindverantwoordelijke IB, controle door de
‘lijn’, ... iO2 = beleid, eigenaars bedrijfsmiddelen, overzicht
bedrijfsmiddelen, opleiding & training IB, incidentmelding & afhandeling, interne audits, …
iO3 = beleidsreview, classificatie bedrijfsmiddelen, IB in functie-omschrijvingen, geheimhoudingsverklaring, screening vertrouwensfuncties, incidentrapportage, externe audits, ...
Quint Wellington Redwood ©2002
B o r g & I C T v o o r h e t M K B 1 2 n o v 2 0 0 3
Definitieve selectie maatregelenmix
Afweging ICT maatregelen tegen BORG maatregelen