NORA sessie 3

Onderwerp:

Samen aan de slag!

Generiek raamwerk

16 jan. 2013

Expertgroep NORA katern Beveiliging

Jaap van der Veen

Bron: o.a: presentatie NCSC van dr .Wiekram Tewarie

1. Samenhang van normenkaders Beveiliging voor de overheid

2. Actualisering NORA dossier “Normen voor IT-voorzieningen” tot ISO-toepassingskader voor ontwerp: “Normen voor informatievoorzieningen”, met met integratie van relevante normen uit kaders als NCSC en BIR.

3. Opstellen cross-reference ISO <-> NORA Normen voor Informatievoorzieningen

4. Nieuwe content in lijn brengen met NORA principes, Wiki etc.

5. Kennisdeling

Opdracht NORA katern - B Expertgroep NORA

Randvoorwaarden:

a. Besluit: Onderscheid ontwerp- en toetsingskaders

b. Besluit: Verbreding BIR tot ISO-toepassingskader voor toetsing overheid

c. Opschaling van BIR-governance model ->overheidsbreed

Overig, (niet in katern)

- Verbreding BIR tot ISO-toepassingskader voor toetsing overheid

- Integratie bestaande overige kaders zoals NCSC voor toetsing

- Best practices voor overheidsorganisaties

1. Samenhang van normenkaders- Beveiliging voor de overheid

2. Actualisering NORA dossier “Normen voor IT-voorzieningen” tot ISO-toepassingskader voor ontwerp: “Normen voor informatievoorzieningen”, met met integratie van relevante normen uit kaders als NCSC en BIR.

Actie:

• Verdieping IB-functiemodel; beveiligingsbreed / universeel referentiemodel

• Het te beveiligen object staat centraal

• Samenwerking met CIP en NCSC; toepassing van SIVA model

Doel + aanpak Expertgroep NORA

• Samenwerking met CIP en NCSC; toepassing van SIVA model

• Terugkoppeling resultaten met stakeholders

a. Besluit: Onderscheid ontwerp- en toetsingskaders

b. Besluit: Verbreding BIR tot ISO-toepassingskader voor toetsing overheid

Actie:

• Model toepasbaar maken voor zowel ontwerp als audit:“Single design & audit framework”

Verdieping op IB-functiemodel

1. Functionele samenhang beveiligingsbreed2. Universele structuur voor referentiekaders

Expertgroep NORAVerdieping op NORA 3

Niet limitatief

Systeem

integriteit

.

Controleren

Continuïteitsvoorzieningen

Beschikbaarheid

Inspectie en misleiding

Integriteit & Vertrouwelijkheid Controleerbaarheid

- Controle- Alarmering- Rapportering

IB - functies

Vastleggen van gebeurtenissen

Objectmanager

Monitoringreports

2-factor authenticatie

IB - mechanismenDeponeren broncode

1-factor authenticatie

Directory services

Redundancy

WachtwoordFilterregel

Fysieke IB - objectenVirus

scanner

Crypto library

HSM

Uitwijkvoorziening

Mechanismebeheer

Loganalyse

Vulnerability scanning

X-509 CertificaatIDP

appliance

Directory server

RAS

Firewall

Host IDS software

B&R server

Escrowcontract

Token

Alerting services

BackupRestore

Logappliance

WA

AR

ME

EH

OE

WA

T

Key

Tokenbeheer

Antivirusmgt.Hash

- Identificatie- Authenticatie- Autorisatie

Zonering FilteringGeprogrammeerde controles

Onweerlegbaarheid berichtuitwisseling

. . . . . .

Loganalysetool

Content en virusscanning

. . .

In- en uitvoer controlesVerwerkingsbeheersing

Encryptie

Elektronische handtekening

. . .

Poort- / IP-adresfiltering

IDS/IDPLoad balancing

SIVA RaamwerkStructuur Inhoud, Vorm, Analysevolgorde

Samenwerking met CIP-wg Normen

Rule-based versus

Principle-based

Discipline Rule-based Principle-based

Accounting Gedetailleerde criteria Conceptual Framework

IT Auditing Controls

Algemeen & Detail(Wie, Wat, Hoe, Wanneer)

“Conceptual Framework”

Algemene controls:Principles (Wie, Wat en Waarom)

Expertgroep NORA

(Wie, Wat, Hoe, Wanneer) Principles (Wie, Wat en Waarom)

Detail controls:Principle driven rules (Indicatoren)(o.a. Hoe , op welke wijze, wanneer)

Niet methodisch Methodisch o.b.v. hulpmiddelen (raamwerk)Voldoet aan bepaalde criteria

ISO 27002, BIR, NIST, COBIT NORA 3, HBB, NCSC

Principle-based

Conceptual Framework-based

Conceptueel raamwerk

Principe • Bron/ het eerste / basis concept / basis voor redenering

• Fundamentele waarheid/uitspraak.

• Drukt relatie tussen twee of meer concepten of variabelenGeeft aan welke acties er genomen moeten worden,

• Minder afhankelijk van technologische ontwikkelingen• Stabieler, omdat ze gebaseerd zijn op neutrale elementen

Expertgroep NORA

Concept • Object, eenheid van gedachte, • Neutrale elementen,• Bouwstenen van principes

Framework • Model, • Vertegenwoordigt domeinen• Vereenvoudigt de presentatie van concepten en hun relaties

Hoe kaders ontstaan

Referentiekader

(RFK)

Omgevings-

M

R

MM

RISO 27002SoGP

.........

Expertgroep NORA

Omgevings-aspecten

R

M

MR

R

M

SoGPNist

Cobit

Conditioneel Resource Management

Gebundeld, maar weinig samenhang

Principle-based

Referentiekader

(RFK)

CM

R

MM

RISO 27002

SoGP

.........

Expertgroep NORA

Geen nieuwe normen verzinnen, maar structureren en combineren!

R

M

HulpmiddelenOmgevings-

aspecten

R

M

MR

R

M

SoGP

Nist

Cobit

Functionele samenhang

Conditioneel Resource Management

Hulpmiddelen voor structuur

SIVA Raamwerk

Component Symbool Kenmerk

Structuur Lagenstructuur “patroon van domeinen” Om de doelomgeving in samenhang te kunnenontwerpenOm de auditomgeving in samenhang te kunnenanalyseren

Inhoudsconstructie en analyse:

Expertgroep NORA

InhoudInhoudsconstructie en analyse: “patroon van neutrale bouwstenen”“patroon van neutrale auditelementen”

VormFormuleringsvoorschriftInterpretatie (syntax/semantiek)(“patroon van formuleren”)

Analysevolgorde

Volgorde van de ontwerp of analyse van de lagenstructuur (M,Mo,Mi)

Criteria voorReferentiekaders

Expertgroep NORA

Promotieresultaat WT

ç

Relatie Hulpmiddelen: : Structuur, Inhoud, Vo, Vorm enAnalysevolgorde Analysevolgorde

Expertgroep NORA

7-la

gen O

SI

BIV + C IB-functies Mechanismen

Architectuurv.Objecten

lagen O

SI

Opbouw in lagen en kolommen vergeleken met NORA-3 model

Structuuren

Structuur ((MacroMacro) ) Expertgroep NORA

en Volgorde

“A structure is essential if we are to effectively interrelate and interpret our observations in any field of knowledge”

en

Structuur ((MacroMacro) )

en

“without a structure, knowledge is merely a collection of observation, practices and conflicting incidents”

(Forrester, 1990)

Structuur ((MacroMacro) )

We redeneren vanuit het object van ontwerp/onderzoek

Structuur ((MacroMacro) ) model van “de Leeuw”

uit systeemleer en Management cyclus

Conditionele asp.: wetten, beleid, strategie, richtlijn

Design Implementation Management : Starreveld

Resource asp.: Appl. Database, Infra

Mgt/beheers asp.: Problem & Changemgt

Ontwerp

Conditioneel Resource Management

Algemeen gedeelte (Beleidsaspecten)

SIVA raamwerk vs NORA3S

ystee

Controleren

Continuïteitsvoorzieningen

Beschikbaarheid Integriteit & Vertrouwelijkheid Controleerbaarheid

- Controle- Alarmering- Rapportering

IB - functies

Vastleggen van gebeurtenissen

IB - mechanismenDeponeren broncode

1-factor authenticatie

Directory services

Redundancy

Mechanismebeheer

Alerting services

WA

T

- Identificatie- Authenticatie- Autorisatie

Zonering FilteringGeprogrammeerde controles

Onweerlegbaarheid berichtuitwisseling

In- en uitvoer controlesVerwerkingsbeheersing

Encryptie

Expertgroep NORA

Algemeen gedeelte (beheerprocessen)

Niet limitatief

emintegriteit

.

Inspectie en misleiding

Objectmanager

Monitoringreports

2-factor authenticatie

Redundancy

WachtwoordFilterregel

Fysieke IB - objectenVirus

scanner

Crypto library

HSM

Uitwijkvoorziening

Loganalyse

Vulnerability scanning

X-509 CertificaatIDP

appliance

Directory server

RAS

Firewall

Host IDS software

B&R server

Escrowcontract

Token

BackupRestore

Logappliance

WA

AR

ME

EH

OE

Key

Tokenbeheer

Antivirusmgt.Hash

. . . . . .

Loganalysetool

Content en virusscanning

. . .

Elektronische handtekening

. . .

Poort- / IP-adresfiltering

IDS/IDPLoad balancing

Overeenkomst NORA-3 en nieuwe lagenstructuur

Gelijkvormigheid normenkaders

bijv.: Vastleggen gebeurtenissen

Mobile devicesWeb apps Data warehouse

Gelijkvormigheid geeft overzicht en inzicht

Structuur ((MacroMacro) )

Lagenstructuur van modellen

Inhoud

Expertgroep NORA

Inhoud

Lagenstructuur ((inhoudinhoud) )

Onderwerpen voor principes

Expertgroep NORAInhoud

Ontwerp +

Ontwerp +

Views

Expertgroep NORAInhoud

Bundeling van view-aspecten in modellen

Expertgroep NORAInhoud

Expertgroep NORAInhoud met NORA-3 voorbeeld

Vertrouwelijkheid

Vorm

Vorm

Expertgroep NORA

Standaard syntax voor principe en norm

Herijking van principes

Ontwerpprincipe

Ingevuld voorbeeld

� Herformulering van Normen (Principes),

� Herschikken op de lagenstructuur

Abstractie van de laag

Actortypen

Actietypen

Herijking van normen Expertgroep NORA

Ingevuld voorbeeld

� Auditobject neutraal

� Organisatie neutraal

� Baseline neutraal

� Context-bewust en object van onderzoek centraal

Voordeel van aanpak Expertgroep NORA

� Eenduidige formulering

� Ondersteunt hergebruik (bij verandering van onderwerp)

� Toevoeging mogelijk met behoud van structuur

� Audits van verschillende onderzoeken beter aan elkaar te

relateren (bijv. Logius- Suwi normenkaders) (efficientie voordelen)

� Herbruikbare principes

Betekenis voor overheidsorganisaties

Expertgroep NORA

� Mogelijkheden om indicatoren te koppelen aan (algemene)

principes (Indicatoren zijn context afhankelijke elementen)

� Betere relatie audit en ICT praktijk

Wat levert het op?

� Eenduidige referentiekaders binnen de overheid

� Eenduidige opzet van de inhoud en definitie van

normen/principes en bevordering van hergebruik

� Beter afspraken te maken met bestuurder en managers

Expertgroep NORA

� Beter afspraken te maken met bestuurder en managers

� Aansluiting bij overige overheidsreferentie-/normenkaders

� Van aan elkaar te releateren baselines Beveiliging binnen

overheid naar samenvoeging tot één.

Betekenis voor partijen en

Wat is er gebeurd en wat moet er gebeuren?

� NORA Sessie 3: Bespreking van SIVA model

Bespreking van Structuur ; middle-out, middle-in

Bespreking van Objecten model

Bespreking van formuleringsvoorschrift

Expertgroep NORA

mogelijke resultaten � Activiteiten (NORA-CIP-NCSC)

Benoemen van objecten per norm

Formulering van principes per object

Aanvullen van ontbrekende principes en indicatoren

Afstemmen met betrokken partijen