1

Standaarden, is door de bomen

het bos nog te zien?

Datum : 29-04-2009 Status : Definitief Teamnummer : 922 Studenten : Mark van der Beek, Ranil Korf en Hendrik Jan Smit Begeleider : Bart Bokhorst RE RA

2

Inhoudsopgave

Hoofdstuk 1: Onderzoeksopzet ..................................................................................3 § 1.1 Inleiding ...................................................................................................................... 3 § 1.2 Onderzoeksvraag + deelvragen.............................................................................................. 3 § 1.3 Overwegingen ................................................................................................................ 3 § 1.4 Methode....................................................................................................................... 4 § 1.5 De expertbrief ................................................................................................................ 4 § 1.6 Opbouw theorieonderzoek ................................................................................................... 5

Hoofdstuk 2: ISO ..................................................................................................6 § 2.1 Inleiding ...................................................................................................................... 6 § 2.2 ISO en Informatiebeveiliging................................................................................................ 6

Hoofdstuk 3: NIST ................................................................................................8 § 3.1 Inleiding ...................................................................................................................... 8 § 3.2 NIST en Informatiebeveiliging .............................................................................................. 8

Hoofdstuk 4: ISF.................................................................................................11 § 4.1 Inleiding .................................................................................................................... 11 § 4.2 ISF en Informatiebeveiliging .............................................................................................. 11

Hoofdstuk 5: CoBiT .............................................................................................15 § 5.1 Inleiding .................................................................................................................... 15 § 5.2 Het raamwerk............................................................................................................... 15

Hoofdstuk 6: Vergelijking ISO / NIST / ISF / CoBiT........................................................18 § 6.1 Selectiecriteria.............................................................................................................. 18 § 6.2 Breedte criterium ........................................................................................................... 21 § 6.3 Overall conclusie ........................................................................................................... 23

Hoofdstuk 7: Vergelijking ISO 27002 en NIST SP 800-53 ..................................................24 § 7.1 Samenvatting van ISO 27002 onderwerpen versus NIST SP 800-53 onderwerpen .................................... 24 § 7.2 Vergelijking in detail....................................................................................................... 25 § 7.2.1 ISO Hoofdstuk 6: Organisatie van informatiebeveiliging ............................................................. 26 § 7.2.2 ISO Hoofdstuk 7: Beheer van bedrijfsmiddelen ....................................................................... 27 § 7.2.3 ISO Hoofdstuk 8: Beveiliging van personeel .......................................................................... 28 § 7.2.4 ISO Hoofdstuk 9: Fysieke beveiliging en beveiliging van de omgeving ............................................. 30 § 7.2.5 ISO Hoofdstuk 10: Beheer van communicatie- en bedieningsprocessen ............................................. 31 § 7.2.6 ISO Hoofdstuk 11: Toegangsbeveiliging .............................................................................. 33 § 7.2.7 ISO Hoofdstuk 12: Verwerving, ontwikkeling en onderhoud van informatiesystemen ............................. 34 § 7.2.8 ISO Hoofdstuk 13: Information security incident management....................................................... 36 § 7.2.9 ISO Hoofdstuk 14 Bedrijfscontinuïteitsbeheer ........................................................................ 37 § 7.2.10 ISO Hoofdstuk 15: Compliance ....................................................................................... 39 § 7.3 Conclusie ................................................................................................................... 40

Hoofdstuk 8: Conclusies en reflectie...........................................................................41 § 8.1 Conclusies .................................................................................................................. 41 § 8.1.1 Beantwoording deelvraag 1.............................................................................................. 41 § 8.1.2 Beantwoording deelvraag 2.............................................................................................. 42 § 8.1.3 Beantwoording deelvraag 3.............................................................................................. 43 § 8.1.4 Beantwoording deelvraag 4.............................................................................................. 43 § 8.1.5 Overall conclusie......................................................................................................... 44 § 8.2 Vervolgonderzoek.......................................................................................................... 44 § 8.3 Reflectie .................................................................................................................... 44

Bijlagen ...........................................................................................................46

3

Hoofdstuk 1: Onderzoeksopzet

§ 1.1 Inleiding Tegenwoordig kunnen we niet meer om standaarden heen. Van een standaard voor het zetten van thee (ISO 3103) tot een standaard die drieletter codes definieert voor valuta (ISO 4217). Ook binnen het werkveld informatiebeveiliging zijn diverse nationale maar ook internationale standaarden aanwezig. In de afgelopen periode lijkt het aantal standaarden binnen de informatieveiling zelfs exponentieel te groeien. In bijlage 4 is een overzicht (niet limitatief) gegeven van het scala aan standaarden. Door alle standaarden zien we soms door de bomen het bos niet meer. De input voor deze standaarden wordt allemaal geleverd door informatiebeveiligers en zijn gebaseerd op de hetzelfde gedachtegoed. Op basis van deze gegevens zou kunnen worden geconcludeerd dat alle standaarden inhoudelijk niet van elkaar verschillen. Middels ons afstudeeronderzoek willen wij bijdragen aan een overzicht van standaarden die relevant zijn voor informatiebeveiliging en hoe een keuze kan worden gemaakt voor een standaard.

§ 1.2 Onderzoeksvraag + deelvragen Doelstelling: het geven van een praktisch advies aan de gebruikers van IB-standaarden. De probleemstelling die wij willen beantwoorden middels ons onderzoek is de volgende: Welke standaarden kunnen waarvoor het best worden gebruikt? Om op de bovenstaande hoofdvraag een antwoord te geven is de hoofdvraag opgesplitst in de volgende deelvragen:

1. Welke relevante standaarden / best practices zijn er op het gebied van informatiebeveiliging?

2. Wat zijn criteria waarop de diverse standaarden van elkaar kunnen worden onderscheiden? Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden.

3. Welke stappen moeten worden doorlopen bij het selectieproces van standaarden?

4. Wat zijn in hoofdlijnen overeenkomsten en verschillen tussen NIST SP 800-53 en ISO 27002?

§ 1.3 Overwegingen Bij deelvraag 1 is gekozen om vier standaarden nader te beschrijven uit het scala van standaarden. Wij hebben gekozen voor NIST, ISO, ISF en COBIT.

4

Wij hebben voor NIST gekozen omdat deze binnen de opleiding wordt gebruikt. Voor ISO omdat deze standaard veel in de praktijk wordt toegepast. Voor de ISF omdat door deze standaard veel gebruik gemaakt wordt van ISO en zodoende goed vergelijkbaar kan zijn. Tenslotte hebben wij COBIT betrokken omdat deze standaard de afgelopen jaar sterk in opkomst is. Bij deelvraag 4 is gekozen om 2 specifieke standaarden van NIST en ISO te vergelijken. Wij hebben ISO en NIST gekozen, omdat NIST erg toegankelijk (gratis) is en gebruikt wordt binnen de opleiding. ISO hebben wij geselecteerd omdat deze standaarden veel worden gebruikt, zoals is vastgesteld op basis van informatie van experts uit de expertsessie. Binnen deze standaarden hebben wij gekozen om ‘NIST SP 800-53’ en ‘ISO 27002’ met elkaar te vergelijken. Deze standaarden zijn de meeste algemene en goed onderling vergelijkbare van de tientallen standaarden op het gebied van informatiebeveiliging binnen NIST en ISO. Ze bieden een (vergelijkbare) basis voor informatiebeveiliging door het bieden van een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie.

§ 1.4 Methode Om antwoord te geven op de deelvragen 1, 2 en 4 zullen we een theorieonderzoek uitvoeren. Om antwoord te geven op deelvraag 2 en 3 hebben we gekozen voor het schrijven van een expertbrief in de hoedanigheid van “Ghost Writer”. Deze mogelijkheid werd aangeboden door het Platform voor InformatieBeveiliging (PVIB). De Expertbrief is opgenomen als bijlage 6. Zoals uit voorgaande blijkt zal om antwoord te geven op deelvraag 2, naast de informatie uit de expertsessie, ook theorieonderzoek worden uitgevoerd.

§ 1.5 De expertbrief Een expertbrief is een korte publicatie die op basis van een discussie tussen een aantal deskundigen aan een grotere gemeenschap ter beschikking wordt gesteld. Doel van deze publicatie is om hiermee een grotere groep personen aan het denken te zetten waardoor:

• De bewustwording voor het onderwerp wordt verhoogd; • Er op basis van meningen van anderen een visie kan worden ontwikkeld; • Kennisdeling plaatsvindt tussen deskundigen; • Deze kennis vervolgens op een vrij toegankelijke wijze ter beschikking wordt

gesteld, bijvoorbeeld via een Internet-gemeenschap of via de website van het PvIB die kennisdeling tot doelstelling heeft verheven.

Het proces voor de totstandkoming van de expertbrief bestaat uit een voorbereidingsfase, de expertbriefsessie, de schrijf- en review-fase, de publicatiefase en de evaluatie van de expertbrief. Alle fases zijn uitgewerkt in draaiboeken die het organisatiecomité (facilitator, co-facilitator, probleemeigenaar en ghostwriter) gebruikt om het proces te begeleiden. Deze draaiboeken worden regelmatig aangepast op basis van nieuwe leerervaringen.

5

Om de expertbrief efficiënt tot stand te laten komen is er sprake van een duidelijke rolverdeling, welke allen het organisatiecomité vormen:

• Probleemeigenaar • Ghostwriter • Facilitator • Co-facilitator

Om tot de experbrief te komen zullen we de rol van “Ghost Writer” vervullen. Een “Ghost Writer” is een de schrijver die op basis van de gevoerde discussies een boeiend en prikkelend artikel schrijft.

§ 1.6 Opbouw theorieonderzoek In het vervolg van dit theorieonderzoek zal antwoord worden gegeven op de deelvragen 1, 2 en 4. Hiertoe zullen in de navolgende hoofdstukken de diverse informatiebeveiligingsstandaarden: ISO (hoofdstuk 2), NIST (hoofdstuk 3), ISF (hoofdstuk 4) en COBIT (hoofdstuk 5) worden beschreven. Vervolgens zullen deze standaarden in hoofdstuk 6 aan een aantal criteria worden onderworpen om vast te stellen in hoeverre de standaarden van elkaar kunnen worden onderscheiden. Daarna zal in hoofdstuk 7 een vergelijking plaatsvinden tussen ISO 27002 en NIST SP 800-53, waarbij per hoofdonderwerp uit ISO 27002 steeds 1 maatregel in detail zal worden vergeleken met de bijhorende NIST SP 800-53 maatregel(en). In onderstaande figuur zijn de diverse hoofdstukken uit dit theorieonderzoek, de verschillende deelvragen en onze centrale probleemstelling conceptueel in kaart gebracht.

Theorieonderzoek Expertsessie

Probleemstelling: Welke standaarden kunnen waarvoor het best worden gebruikt?

Deelvraag 1

Deelvraag 2

Deelvraag 4

Deelvraag 2

Deelvraag 3

Hoofdstukken 2+3+4+5

Hoofdstuk 6

Hoofdstuk 7

Expertbrief

6

Hoofdstuk 2: ISO

Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk ISO nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en enkele belangrijke standaarden binnen ISO.

§ 2.1 Inleiding ISO is ontstaan uit twee organisaties - ISA (Internationale Federatie van de Nationale Standaardiserende Verenigingen) gevestigd in New York in 1926, en UNSCC (United Nations Standards Coordinating Committee), opgezet in 1944. In oktober 1946, besloten de afgevaardigden van 25 landen, die bij het Instituut van Civiel ingenieurs in Londen samenkwamen, een nieuwe internationale organisatie op te richten, met als doel: Het vergemakkelijken van de internationale coördinatie en de standaardisering van industriële standaarden. De nieuwe organisatie, de Internationale Organisatie voor Normalisatie (ISO), startte officieel op 23 februari 1947. ISO is de grootste ontwikkelaar en uitgever van internationale standaarden ter wereld en heeft inmiddels meer dan 16 500 internationale standaarden gepubliceerd. Tegenwoordig is ISO een netwerk van de nationale standaardeninstituten uit 157 landen, met een Centraal Secretariaat in Genève, Zwitserland, dat het systeem coördineert. De totale standaardenlijst van ISO bestaat uit tal van reeksen die verschillende onderwerpen omvatten zoals van ISO 13406-2 (waarin is vastgelegd hoeveel defecte pixels een beeldscherm mag bevatten), ISO 216 (voor het formaat van een vel papier, dat in de meeste landen in de wereld wordt gebruikt) tot aan ISO 27001 (standaard voor informatiebeveiliging)

§ 2.2 ISO en Informatiebeveiliging ISO heeft een breed scala aan standaarden voor Informatiebeveiliging (zie bijlage 5 ISO Standaarden). Wij hebben er voor gekozen om ISO 27002 er uit te lichten. De inhoud sluit het beste aan bij de overige geselecteerde standaarden en maakt derhalve een vergelijking mogelijk. In de volgende paragraaf wordt de oorsprong en inhoud van ISO 27002 nader toegelicht. ISO en IEC (the International Electrotechnical Commission) hebben op het gebied van informatie technologie een samenwerkingsverband in de vorm van technische commissies. In deze commissies zijn nationale lichamen, die lid zijn van ISO of IEC, vertegenwoordigd. De voornaamste taak van deze gezamenlijke technische commissies is het ontwerpen van internationale standarden ten behoeve van de standaardisatie in de specifieke technische werkvelden. Ontwerpversies van internationale standaarden die zijn aangenomen door de gezamenlijke commissies, worden ter stemming voorgelegd aan de leden. Publicatie als internationale standaard vereist een goedkeuring van ten minste 75% van de stemmen die zijn uitgebracht. Op het gebied van informatietechnologie hebben ISO en IEC een gezamenlijke technische commissie opgericht, ISO/IEC JTC 1. Binnen deze commissie is een Managementsysteem voor informatiebeveiliging (ISMS) opgesteld. Deze standaard omvat een verzameling van internationale standaarden voor de vereisten voor

7

veiligheidsbeheer, risicobeheer, metriek en meting, en implementatie begeleiding van de informatiebeveiliging. Deze standaarden werden uitgegeven in ISO/IEC 27001. Samengevat houdt deze standaard in dat ontwerp en de implementatie van ISMS (ISO/IEC 27001) in een organisatie wordt beïnvloed door de behoeften en doelstellingen, veiligheidsvereisten, de bedrijfsprocessen, de grootte en de structuur van de organisatie. Deze en hun ondersteunende systemen worden geacht, eens in de zo veel tijd, aan verandering onderhevig te zijn. ISO procesbenadering1 voor efficiënt en hanteerbaar informatiebeveiligingsbeheer, benadrukt onderstaande punten: a) het begrip van de informatiebeveiligingsvereisten van een organisatie en de

behoefte om een beleid op te stellen en doelstellingen voor informatiebeveiliging;

b) uitvoerbare en werkende controles om de informatiebeveiligingsrisico's van een organisatie in de context te beheren.

c) de controle en het monitoren van de prestaties en de doeltreffendheid van ISMS;

d) voortdurende verbetering die op de objectieve meting wordt gebaseerd. In veel gevallen wordt gelijktijdig met ISO/IEC 27001 de ‘Code of Practice for Information Security management’ geïmplementeerd (ISO/IEC 27002). Deze biedt de organisatie bepaalde maatregelen die een organisatie kan gebruiken om informatiebeveiligingsrisico’s in kaart te brengen en te minimaliseren. Deze maatregelen, die essentieel zijn voor een gedegen informatiebeveiliging binnen een organisatie, worden per onderwerp in ISO/IEC 27002 behandeld. Ieder hoofdonderwerp is verdeeld in verschillende paragrafen, beginnend met een doelstelling en bijbehorende samenvatting van de gewenste situatie. Vervolgens wordt in detail de maatregel beschreven. Onderstaand staan de hoofdonderwerpen genoemd:

1. Beveiligingsbeleid 2. Organisatie van informatiebeveiliging 3. Beheer van bedrijfsmiddelen 4. Beveiliging van Personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van communicatie- en bedieningsprocessen 7. Toegangsbeveiliging 8. Verwerving, ontwikkeling en onderhoud van informatiesystemen 9. Beheer van informatiebeveiligingsincidenten 10.Bedrijfscontinuiïteitsbeheer 11.Naleving

Er behoort echter op te worden gewezen dat hoewel alle beheersmaatregelen in deze standaard belangrijk zijn, de relevantie van een beheersmaatregel altijd behoort te worden vastgesteld in het licht van de specifieke risico's waarmee de organisatie wordt geconfronteerd. Hoewel de bovengenoemde benadering dus wordt beschouwd als een goed uitgangspunt, moet deze niet worden toegepast in plaats van het selecteren van beheersmaatregelen op basis van een risicobeoordeling. 1 De toepassing van een systeem van processen binnen een organisatie, samen met de identificatie en interactie van deze processen, en hun beheer, kunnen als „procesbenadering “ worden beschouwd.

8

Hoofdstuk 3: NIST

Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het ‘National Institute of Standards and Technology’ (NIST) nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en enkele belangrijke publicaties van NIST.

§ 3.1 Inleiding Van geautomatiseerde kassa’s en nucleaire klokken naar mammogrammen en halfgeleiders, ontelbare producten en diensten steunen in zekere zin op de technologie, meetinstrumenten en standaarden verzorgd door het NIST. NIST is opgericht in 1901. NIST is een onderdeel van het Amerikaanse ministerie van Economische Zaken waar standaarden worden ontwikkeld ter bevordering van de innovatie (en industriële concurrentie) in de VS. Dit ter versterking van de economische veiligheid en ter verbetering van de kwaliteit van het leven in het algemeen.

§ 3.2 NIST en Informatiebeveiliging In Amerika schaart zich men met betrekking tot informatiebeveiliging achter de ‘Federal Information Security Act’ (FISMA). Deze wet werd door het parlement (‘Congress’) aangenomen als onderdeel van de ‘Electronic Government Act’ van 2002. De FISMA erkent het belang van informatiebeveiliging van de informatievoorziening van de federale overheden. Hierbij wordt informatiebeveiliging gedefinieerd als het beschermen van de integriteit, vertrouwelijkheid en beschikbaarheid van informatie en informatiesystemen. De FISMA droeg het National Institute of Standards and Technology (NIST) op om standaarden te ontwikkelen die door alle federale overheden gebruikt kunnen worden om informatie en informatiesystemen te categoriseren (risicogebaseerd) en afhankelijk van deze risicoclassificatie adequate informatiebeveiliging toe te passen. Tevens dienden er minimale beveiligingseisen en implementatierichtlijnen te worden ontwikkeld ter ondersteuning. NIST heeft hiertoe standaarden, richtlijnen en andere publicaties ontwikkeld en uitgebracht om federale overheden te ondersteunen in het uitvoeren van de FISMA van 2002. Deze publicaties kunnen als volgt worden ingedeeld:

• ‘Federal Information processing standards’ (FIPS) zijn ontwikkeld in overeenstemming met FISMA. FIPS zijn goedgekeurd door het Ministerie van Economische Zaken en zijn bindend.

• Begeleidende documenten en aanbevelingen zijn in de ‘NIST Special Publications (SP) 800-series’ uitgebracht. Het Amerikaanse OMB (The Office of Management en Budget) heeft verklaard dat NIST richtlijnen gevolgd moeten worden.

• Andere security-verwante publicaties, waaronder interdepartementale en interne rapporten (NISTIRs) en ITL (Information Technology Library) bulletins, verzorgen technische en overige informatie over de activiteiten van NIST. Deze publicaties zijn enkel verplicht wanneer dit is gespecificeerd door de OMB.

9

NIST gaat uit van een risico-/impactanalyse: hoe kwetsbaar is het ondersteunde bedrijfsproces en wat zijn de gevolgen van verstoringen, resulterend in de driedeling hoog, gemiddeld en lage impact. De opgestelde standaarden betreffen ‘baseline’ standaarden aangevuld met een impact-afhankelijke delta. Momenteel zijn er meer dan 250 NIST publicaties uitgebracht. Hieronder worden 2 belangrijke standaarden en richtlijnen nader toegelicht:

• FIPS Publication 200 (‘Minimum Security Requirements for Federal Information and Information Systems’): specificeert de minimale beveiligingseisen (risicogebaseerd) voor informatie en informatiesystemen over zeventien onderkende beveiligingsgerelateerde gebieden (‘control families’): 1. Access control; 2. Awareness and training; 3. Audit and accountability; 4.Certification, accreditation, and security assessments; 5. Configuration management; 6. Contingency planning; 7. Identification and authentication; 8. Incident response; 9. Maintenance; 10. Media protection; 11. Physical and environmental protection; 12. Planning; 13. Personnel security; 14. Risk assessment; 15. Systems and services acquisition; 16. System and communications protection; 17. System and information integrity.

• In NIST SP 800-53 (‘Recommended Security Controls for Federal Information Systems') worden de minimale beveiligingsmaatregelen (management, operationele en technische beveiligingsmaatregelen) opgesomd die getroffen dienen te zijn per risicoclassificatie: laag, gemiddeld en hoog. Dit per ‘control family’. Deze standaard biedt een basis voor informatiebeveiliging door het bieden van een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie.

10

De diverse publicaties zijn staan niet op zichzelf; ze vormen gezamenlijk het beveiligingsproces. Schematisch kan een deel van de publicaties als volgt in kaart worden gebracht: De vele NIST publicaties kunnen op drie manieren toegankelijk en overzichtelijk worden weergegeven: per onderwerp, beveiligingsgebieden en wettelijke vereisten. Alle verschillende NIST publicaties zijn (op de geschetste manieren) op de website2 terug te vinden. Om een idee te krijgen van de vele publicaties die er geschreven zijn, zijn in onderstaande tabel de huidige aantallen opgenomen:

Type publicatie aantal FIPS 18 NIST Special Publications (SP) 800-series

104

NIST Interagency Reports (NISTIRs)

47

ITL Security Bulletins 122

2 www.csrc.nist.gov

Informatie en informatie-systemen

Categorisatie van informatie en informatiesystemen

Definieert categorieën van informatie en informatiesystemen

conform de niveaus van risico voor vertrouwelijkheid,

integriteit en beschikbaarheid; Deelt informatietypen in naar

veiligheidscategorieën.

FIPS 199 en SP 800-60

Selectie en implementatie van beveiligingsmaatregelen

Management, operationele en technische controles (d.w.z.,

voorzorgsmaatregelen en tegenmaatregelen) die bestaan of

geïmplementeerd dienen te worden om informatie en

informatiesystemen te beschermen

FIPS 200 en SP 800-53

Risicoanalyse Het analyseren van de bedreigingen voor en

kwetsbaarheden van informatie en informatiesystemen en

de potentiële impact dat het verlies van vertrouwelijkheid,

integriteit of beschikbaarheid zou hebben

SP 800-30

Beveiligingsplan (planning) Documenteert de beveiligingseisen en beveiligingsmaatregelen

die bestaan of geïmplementeerd dienen te worden voor de

bescherming van informatie en informatiesystemen

SP 800-18

Verificatie van de effectiviteit van de beveiligingsmaatregelen

Het meten van de doeltreffendheid van de

beveiligingsmaatregelen middels testen en evaluatie

SP 800-53A (en SP 800-37)

Beveiligingserkenning (certificatie en accreditatie)

De certificering en accreditering gebaseerd op de

doeltreffendheid van beveiligingsmaatregelen en

overblijvende risico

SP 800-37

11

Hoofdstuk 4: ISF

Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het Information Security Forum (ISF) nader worden beschreven. Hierbij zal in worden gegaan op de organisatie, de relatie met informatiebeveiliging en de opbouw van de The Standard of Good Practice.

§ 4.1 Inleiding Het Information Security Forum (ISF) is een internationale onafhankelijke non-profit organisatie gericht op benchmarking en best practices in informatiebeveiliging. Het ISF werd in 1989 opgericht als Europees security forum maar heeft haar missie en lidmaatschap in 1990 uitgebreid, zodat het nu honderden leden omvat, inclusief een groot aantal bedrijven uit de Fortune 500 uit Noord-Amerika, Azië en andere locaties over de wereld. Groepen van leden worden als clusters in Europa, Afrika, Azië, het Midden-Oosten en Noord-Amerika georganiseerd. Het ISF heeft het hoofdkwartier in Londen, Engeland gevestigd. Het ledenbestand van de ISF is internationaal en omvat grote organisaties in vervoer, financiële diensten, chemische/farmaceutisch, productie, overheid, detailhandel, media, telecommunicatie, energie, vervoer, en andere sectoren. De agenda van het ISF wordt volledig door haar leden bepaald, welke ook de volledige financiering regelen.

§ 4.2 ISF en Informatiebeveiliging Het ISF richt zich op een aantal gebieden, waarop zij producten levert die verkrijgbaar zijn wanneer een organisatie lid is. Dit betreffen de volgende producten:

1. onderzoek en onderzoeksrapporten 2. Faciliteiten om kennis te delen 3. Tools en methodologie

Onderzoek en onderzoeksrapporten Het ISF verricht onderzoek naar allerlei onderwerpen door het organiseren van workshops waarin experts worden uitgenodigd. Hierdoor zijn diverse rapporten beschikbaar over een breed scala aan onderwerpen, bijvoorbeeld: privacy, wireless network security etc. Faciliteiten om kennis te delen Het ISF heeft een internationaal programma met hierin werkgroepen, regionale bijeenkomsten, seminars en een wereldwijd congres. Deze programma’s kunnen ook worden gebruikt voor trainingen. Tools en methodologie De ISF heeft een scala aan praktische tools en checklisten. Bijvoorbeeld: security status survey, security health check. De ISF Standard of Good practice for information security is echter gratis. Het doel van deze standaard is: organisaties, inclusief niet-leden, te helpen om best practices te volgen en risico’s te verminderen. Het resultaat is een belangrijke tool voor het verbeteren van de kwaliteit en doeltreffendheid van

12

security maatregelen door het opstellen van high level principes samen met een praktische handleiding.

The Standard of Good Practice is een belangrijke publicatie uit het ISF programma. Het is ontwikkeld in een aantal jaren en is gebaseerd op drie hoofdgroepen van activiteiten. 1. Een intensief werkprogramma waarin experts participeren van het ISF management team welke onderzoeken verrichten. 2. Analyse en integratie van informatiebeveiliging gerelateerde standaarden (o.a. ISO 27002 and COBIT v4.1), wet- en regelgeving (o.a. Sarbanes-Oxley Act 2002, Payment Card Industry (PCI) Data Security Standard, Basel II 1998, en de EU (regelgeving inzake data protectie) 3. Betrokkenheid van ISF leden, waarbij gebruik wordt gemaakt van workshops, interviews en resultaten uit het informatiebeveiligingonderzoek. De standaard dekt zes belangrijke onderdelen van informatiebeveiliging, waarvan elk onderdeel is gericht op een bepaald type of omgeving. De standaard richt zich op de wijze waarop informatiebeveiliging de kritieke business processen van een organisatie ondersteunt. Deze processen zijn steeds meer afhankelijk van op IT gebaseerde business applicaties. Dus het aspect van informatiebeveiliging welke zich richt op de kritieke business applicaties staat centraal bij de opzet van de standaard. Zoals afgebeeld in figuur 1.

Figuur 1: hoe aspecten van de standaard samenhangen. Computer Installations and Networks verzorgen de onderliggende infrastructuur waarop kritieke applicaties draaien. De End User Environment dekt de maatregelen die betrekking hebben op het beveiligen van bedrijfs- en desktopapplicaties, die worden gebruikt door individuele gebruikers om informatie te verwerken en voor het ondersteunen van de business. Systems Development is gericht op hoe nieuwe

13

applicaties worden ontwikkeld en Security Management richt zich op high-level besturing en beheersing van informatiebeveiliging. Een korte samenvatting van ieder onderdeel staat in de onderstaande tabel:

Elk onderdeel binnen de standaard omvat een principe en een op hoog niveau beschreven doelstelling. Elk principe verzorgt een overzicht van wat moet worden gedaan om de standaard te implementeren en schetst de reden waarom deze acties noodzakelijk zijn.

14

De standaard bestaat uit zes verschillende aspecten. Onderstaande tabel toont het aantal gebieden en onderdelen van elk aspect. Na het principe en de op hoog niveau beschreven doelstelling worden vervolgens de gestelde eisen beschreven om het doel te bereiken.

15

Hoofdstuk 5: COBIT

Om (gedeeltelijk) een antwoord te geven op deelvraag 1 zal in dit hoofdstuk het COBIT-framework: de ‘Control Objectives for Information and related Technology’ (COBIT), nader worden beschreven. Hierbij zal in worden gegaan op de uitgevende organisatie de ‘Information Systems Audit and Control Association’ (ISACA), de relatie met informatiebeveiliging en de opbouw van de COBIT.

§ 5.1 Inleiding De ‘Information Systems Audit and Control Association’ (ISACA) is een Amerikaanse beroepsvereniging van IT-auditors en informatiebeveiligers. De ISACA is opgericht en 1967 en heeft als doel de uitoefening van het audit vakgebied op een hoger plan te brengen door het professionaliseren van de leden van de vereniging. Dat gebeurt onder meer door het faciliteren van onderzoek op de vakgebieden en het inrichten van een register van professionals die voldoen aan de eisen om ingeschreven te kunnen worden. ISACA stelt verschillende onderzoeksrapporten en publicaties beschikbaar op het gebied van audit, compliance en governance. Eén van de bekendste publicaties is het COBIT-framework. Dit werd eind jaren negentig ontwikkeld door ISACA en het ‘IT Governance Institute’ (ITGI) en het betreft een algemeen raamwerk voor algemene IT-beheersmaatregelen.

§ 5.2 Het raamwerk Het COBIT Framework is gebaseerd op het principe dat organisaties voorzien dienen te worden van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. Om de organisatiedoelstellingen te realiseren moet de informatie voldoen aan een zevental kwaliteitscriteria om de organisatie en haar bedrijfsprocessen goed aan te kunnen sturen. Deze criteria zijn effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en betrouwbaarheid. De informatie wordt voortgebracht door IT-processen en vier categorieën van informatiemiddelen: informatie, applicaties, infrastructuur en mensen. De informatiemiddelen worden beheerst via IT-processen, die zijn ingedeeld in 4 domeinen:

• Planning en organisatie • Acquisitie en Implementatie • Levering en Ondersteuning • Bewaking

De domeinen komen op een logische manier overeen met de verschillende fasen in de levenscyclus van informatiesystemen. Binnen elk van de onderscheiden domeinen definieert COBIT een aantal beheersingsdoelstellingen op procesniveau, welke in onderstaande tabel zijn weergegeven. Tabel 1: De beheersdoelstelling op procesniveau in COBIT per domein (vrij vertaald):

16

Domein Beheersingsdoelstelling

Planning en organisatie

PO1. Definieer een strategisch plan PO2. Definieer de informatiearchitectuur PO3. Bepaal de technologische koers PO4. Definieer de IT-organisatie en de bijbehorende relaties PO5. Beheer de IT-investering PO6. Communiceer de doelstellingen en de koers van het management PO7. Beheer personele zaken PO8. Zorg voor naleving van externe vereisten PO9. Onderzoek relevante risico’s PO10. Beheer projecten PO11. Beheer kwaliteit

Acquisitie en Implementatie

AI1. Identificeer mogelijke geautomatiseerde oplossingen voor het ondersteunen van de bedrijfsvoering AI2. Verwerf en onderhoud de toepassingsprogrammatuur AI3. Verwerf en onderhoud de technische infrastructuur AI4. Ontwikkel en onderhoud procedures AI5. Installeer en accrediteer systemen AI6. Beheer wijzigingen

Levering en Ondersteuning

DS1. Definieer en beheer dienstenniveaus DS2. Beheer diensten die door derden worden geleverd DS3. Beheer prestaties en capaciteit DS4. Zorg voor continue dienstverlening DS5. Waarborg de systeemveiligheid DS6. Identificeer de kosten en wijs deze toe DS7. Leid gebruikers op DS8. Assisteer en adviseer klanten DS9. Beheer de configuratie DS10. Beheer problemen en incidenten DS11. Beheer gegevens DS12. Beheer faciliteiten DS13. Regel de dagelijkse bediening

Bewaking

M1. Bewaak de processen M2. Beoordeel de effectiviteit van het interne beheer M3. Verkrijg zekerheid door het inschakelen van een onafhankelijke derde M4. Zorg voor een onafhankelijke beoordeling

De beheersingsdoelstellingen op procesniveau zijn verder uitgewerkt in doelstellingen op het niveau van activeiten. In totaal telt het raamwerk meer dan 300 maatregelen.

Bij elk van de 34 IT-processen kent COBIT een aantal managementinstrumenten zoals:

• Control objectives: de beheerdoelstellingen per IT-proces. Bij elk van de 34 processen horen meerdere detailed control objectives.

• Management handleiding (op activiteitniveau): de input en output van het proces en een ‘RACI’-chart (Responsible, Accountible, Consulted and/or Informed)

• Performance indicatoren en resultaatmetrieken.

17

• Volwassenheidsniveaus van organisaties op een schaal van 0 tot en met 5, waarbij 0 staat voor 'non-existence' en 5 staat voor ‘optimised'.

• Audit guidelines; richtlijnen voor interviews, informatie en tests die kunnen worden uitgevoerd.

Het IT Governance framework is er op gericht de organisatie een redelijke zekerheid te bieden dat de ondersteunende IT-processen een bijdrage leveren aan de realisatie van de overkoepelende organisatiedoelstellingen. Onderstaande figuur geeft inzicht in de onderlinge samenhang tussen de organisatiedoelstellingen en de informatievoorziening vanuit de CobiT-domeinen en de bijbehorende IT-processen, kwaliteitscriteria en informatiemiddelen.

Figuur 1: COBIT Framework 4.1. (www.isaca.org)

COBIT staat momenteel vooral in de vernieuwde belangstelling doordat deze bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd.

18

Hoofdstuk 6: Vergelijking ISO / NIST / ISF / COBIT

Om een antwoord te geven op deelvraag twee zullen in dit hoofdstuk ISO, NIST, ISF en COBIT tegen een aantal ontwikkelde selectie criteria worden gehouden. Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden. Eerst zullen de selectiecriteria worden beschreven en vervolgens zullen wij de standaarden tegenover deze criteria in een tabel beschrijven. Het breedte criterium zal dan vervolgens nog verder worden uitgewerkt waarbij leemtes op gebied van onderwerpen tussen ISO, NIST en ISF worden geidentificeerd ter onderbouwing van dit criterium. Het diepte criterium voor de NIST en ISO is verder uitgewerkt in hoofdstuk 7. COBIT hebben wij hierbij buiten beschouwing gelaten omdat de standaard geen beveiligingsstandaard alleen is en een ander doel beoogt.

§ 6.1 Selectiecriteria3 Om een goede afweging te maken tussen bepaalde standaarden moeten ze onderling vergeleken kunnen worden. Hiertoe zijn selectiecriteria opgesteld. Wij hebben hierbij gekozen voor vier standaarden die onderling vergelijkbaar zijn: ISO 27002, NIST SP 800-53, ISF Standard of Good Practice en CoBiT 4.1. Waar nodig zal worden verwezen naar overige standaarden uit de betreffende reeks (bijvoorbeeld in het geval van ISO, naar ISO 27001). Daarnaast is het goed om in het achterhoofd te houden dat de selectiecriteria niet perse een positieve of negatieve impact hebben op een keuze. Bijvoorbeeld een breed geaccepteerde standaard betekent niet meteen dat deze het beste past bij een bepaalde organisatie. Of dat minder brede standaarden niet nog steeds zeer bruikbaar zijn op bepaalde onderdelen omdat deze standaarden erg diepgaand zijn uitgewerkt. Met andere woorden, de factoren zijn bruikbaar om de verschillende standaarden te vergelijken, echter men kan niet verwachten dat een ‘hogere’ score altijd beter is. In het navolgende worden allereerst de onderscheiden criteria toegelicht. Breedte Dekt de betreffende standaard de belangrijkste beveiligingsdomeinen die de organisatie als belangrijk identificeert? Domeinen kunnen zowel IT als niet IT gerelateerd zijn (zoals fysieke en personele beveiliging). Diepte: Bevatten de standaarden informatie op zowel strategisch, tactisch als operationeel gebied? Bijvoorbeeld: ISO werkt doelstellingen, beheersingsmaatregelen en implementatierichtlijnen gedetailleerd uit (tactisch en operationeel gebied) waar CobiT meer algemene doelstellingen geeft en minder concreet over de invulling er van spreekt (strategisch).

3 De criteria zijn ontwikkeld en getoetst op basis van de expertsessie. De breedte en diepte criteria zijn verder op basis van literatuuronderzoek uitgewerkt. De resultaten van deze expertsessie zijn opgenomen in de expertbrief ‘Een standaard Keuze’ van eind januari beschikbaar op www.pvib.nl. De expertbrief is eveneens opgenomen als bijlage aan dit onderzoek.

19

Flexibiliteit: Kunnen andere gebruikers dan informatiebeveiligers de standaarden gebruiken? Bijvoorbeeld het management en/of auditor voor het aantonen van interne beheersing. Ratio: Beschrijven de standaarden de redenen van de opgesomde maatregelen? Doordat de ratio is opgenomen is het voor gebruikers makkelijker om de toepasbaarheid en consistentie vast te stellen. Acceptatie: Hoe breed zijn de standaarden geaccepteerd binnen het vakgebied? Is er bijvoorbeeld veel discussie omtrent de inhoud van bepaalde standaarden of is er een algemene, negatieve of positieve, mening over gebruik van bepaalde standaarden. Taal: Zijn de standaarden alleen in het Engels te verkrijgen, of is er ook een Nederlandse vertaling beschikbaar? Kosten: Gaan er kosten gepaard met de aanschaf van standaarden? Zijn er eventueel delen gratis? De kanttekening die hierbij wel moet worden gemaakt is dat de kosten voor de bronliteratuur ten opzichte van het totale invoeringstraject van de standaarden marginaal zijn. In de onderstaande tabel zijn de eerder besproken standaarden gepositioneerd ten aanzien van de criteria. Het breedte criterium is nader uitgewerkt in paragraaf 6.2.

20

Criteria ISO NIST COBIT ISF

Breedte:

• Dekt de hoofdgebieden van IB

• Onderwerpen overzichtelijk gerangschikt

• Dekt de hoofdgebieden van IB

• Onderwerpen versnipperd behandeld

• Veel product-standaarden

• Beperkt op het gebied van IB

• Niet specifiek IB, gericht op de beheersing van IT in het algemeen

• Dekt de hoofdgebieden van IB

• Periodieke update en eventuele aanpassingen

Diepte:

• Tactisch en operationeel

• Management cyclus is opgenomen in 27001.

• Tactisch en operationeel

• Tactisch niet heel uitgebreid uitgewerkt in NIST SP 800-53, echter wel verder, verspreid, uitgewerkt in overige NIST reeksen.

• Strategisch en tactisch

• Operationeel niet uitgewerkt.

• Verwijst naar ISO

• Kent ook specifieke COBIT Practices en Security Baselines

• Tactisch en operationeel

Flexibiliteit:

• Weinig gebruik door anderen dan IB specialisten

• Weinig gebruik door anderen dan IB specialisten.

• Veel gebruik door anderen dan IB specialisten

• Verbondenheid met audit processen (auditor)

• Weinig gebruik door anderen dan IB specialisten

Ratio:

• Doelstellingen hangen samen met richtlijnen

• Op basis van een risk assessment kunnen de minimale beveiligingsmaat- regelen worden geselecteerd (NIST SP 14, FIPS 199+200).

• Elementen hangen samen met business drivers en input en output

• Principes hangen samen met doelstellingen

Acceptatie:

• Meest geaccepteerde standaard in Nederland

• Verplicht voor US federale overheid

• Private sector beperkt.

• Goede ondersteuning voor Sox compliance

• Breed geaccepteerd

• Niet breed geaccepteerd

• Met name geaccepteerd door leden ISF.

• Bv niet in US

Taal: • Nederlands

en Engels • Engels • Engels • Engels

Kosten:

• Gehele reeks betaald

• Gehele reeks gratis

• Betaald • De standaard (SGOP) is gratis.

• Overige producten tegen een betaald lidmaatschap.

21

§ 6.2 Breedte criterium In deze paragraaf hebben wij ISO 27002, NIST SP 800-53 en de ISF met elkaar vergeleken op onderwerpen (en maatregelen) ter verdere onderbouwing van het breedte criterium. Bij de vergelijking hebben we ISO 27002 als uitgangpunt genomen, omdat deze naar onze mening het meest wordt gebruikt in de praktijk. ISO 27002 vs NIST SP 800-53 Wij hebben zowel de maatregelen vanuit ISO 27002 tegenover NIST SP 800-53 afgezet als wel andersom. Hierdoor komen de witte vlakken vanuit beide gezichtpunten naar voren. De volledige mapping is opgenomen in de bijlage 1 en 2. De volgende 3 maatregelen uit ISO 27002 zijn niet terug te leiden naar NIST SP 800-53: ISO Maatregel ISO Beschrijving ISO Hoofdstuk

1156 Limitation of connection time ACCESS CONTROL 1162 Sensitive system isolation ACCESS CONTROL 1224 Output data validation INFORMATION SYSTEMS

ACQUISITION, DEVELOPMENT AND MAINTENANCE

De volgende 16 maatregelen uit NIST SP 800-53 zijn niet terug te leiden naar ISO 27002: NIST Maatregel NIST Hoofdstuk NIST Beschrijving AT-4 Awareness and Training Security Training Records CA-5 Certification, Accreditation, and

Security Assessments Plan of Action and Milestones

CM-6 Configuration Management Configuration Settings CM-7 Configuration Management Least Functionality

IR-3 Incident Response Incident Response Testing and Exercises

IR-5 Incident Response Incident Monitoring IR-7 Incident Response Incident Response Assistance PL-2 Planning System Security Plan PL-3 Planning System Security Plan Update

SC-4 System and Communications Protection Information in Shared Resources

SC-6 System and Communications Protection Resource Priority

SC-11 System and Communications Protection Trusted Path

SC-15 System and Communications Protection Collaborative Computing

SI-6 System and Information Integrity Security Functionality Verification SI-8 System and Information Integrity Spam Protection SI-11 System and Information Integrity Error Handling Uit de mapping zoals opgenomen in bijlage 1 en 2 komt naar voren dat maatregelen van ISO 27002 staan verspreid over meerdere maatregelen uit NIST SP 800-53. Ter illustratie is hieronder ISO maatregel 915 weergegeven en de bijbehorende NIST maatregelen. Echter dit is andersom geredeneerd ook zo, maatregelen van NIST SP

22

800-53 staan verspreid over meerdere ISO 27002 maatregelen. In de detailvergelijking in het volgende hoofdstuk zullen een aantal maatregelen nader inhoudelijk worden bekeken om zodoende een uitspraak te kunnen doen over de inhoud van de maatregelen. ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Working in secure areasPHYSICAL AND ENVIRONMENTAL SECURITY AT-2

Working in secure areasPHYSICAL AND ENVIRONMENTAL SECURITY AT-3

Working in secure areasPHYSICAL AND ENVIRONMENTAL SECURITY PL-4

Working in secure areasPHYSICAL AND ENVIRONMENTAL SECURITY PS-6

Working in secure areasPHYSICAL AND ENVIRONMENTAL SECURITY PE-2

Working in secure areasPHYSICAL AND ENVIRONMENTAL SECURITY PE-4

Working in secure areasPHYSICAL AND ENVIRONMENTAL SECURITY PE-6

Working in secure areasPHYSICAL AND ENVIRONMENTAL SECURITY PE-7

Working in secure areasPHYSICAL AND ENVIRONMENTAL SECURITY PE-8

915

Working in secure areasPHYSICAL AND ENVIRONMENTAL SECURITY PE-3

Conclusie ISO 27002 tov NIST 800-53 Uit de vergelijking met ISO 27002 en NIST 800-53 blijkt dat het aantal witte vlekken ten opzichte van elkaar beperkt is. Dit wat betreft de aantallen maar ook wat betreft de inhoud. Hierdoor is dit geen onderscheidende factor om voor een bepaalde standaard te kiezen. De indeling van maatregelen is verschillend tussen beide standaarden. Dit blijkt o.a. uit de hoofstukken indeling en uit het feit dat maatregelen van ISO staan verspreid over meerdere NIST maatregelen en vice versa. In het volgende hoofdstuk zullen een aantal maatregelen inhoudelijk in detail worden vergeleken. Een keuze voor een bepaalde standaard kan dus worden gemaakt op basis van de hoofdstuk indeling. ISO 27002 vs ISF Wij hebben zowel de maatregelen vanuit ISO 27002 tegenover de ISF afgezet als wel andersom. Hierdoor komen de witte vlakken vanuit beide gezichtpunten naar voren. De volledige mapping is opgenomen in de bijlage 3. De volgende maatregelen uit ISO 27002 zijn niet terug te leiden naar de ISF: ISO maatregel ISO beschrijving

616 Contact with authorities

617 Contact with special interest groups

1323 Collection of evidence

23

Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt:

ISF maatregel ISF beschrijving 32 Installation process 48 Power supplies

Uit de mapping zoals opgenomen in bijlage 3 komt naar voren dat maatregelen van ISO 27002 staan verspreid over meerdere maatregelen uit de ISF. Echter dit is andersom geredeneerd ook zo.Maatregelen van de ISF staan verspreid over meerdere ISO 27002 maatregelen. Gezien de omvang van dit onderzoek is geen detailvergelijking gemaakt om inhoudelijk een uitspraak te doen over de overeenkomende maatregelen. Conclusie ISO 27002 tov ISF Uit de vergelijking met ISO 27002 en ISF blijkt dat het aantal witte vlekken ten opzichte van elkaar beperkt is. Hierdoor is dit geen onderscheidende factor om voor een bepaalde standaard te kiezen. De indeling van maatregelen is verschillend tussen beide standaarden. Dit blijkt o.a. uit de hoofstukken indeling en uit het feit dat maatregelen van ISO staan verspreid over meerdere ISF maatregelen en vice versa. Een keuze voor een bepaalde standaard kan dus worden gemaakt op basis van de hoofdstuk indeling.

§ 6.3 Overall conclusie In dit hoofdstuk hebben wij NIST, ISF, ISO en COBIT aan een aantal criteria onderworpen. Hieruit komt o.a. het volgende naar voren:

• NIST: is in tegenstelling tot de anderen geheel gratis te verkrijgen, echter alleen in het Engels. Bovendien worden de onderwerpen versnipperd behandeld in tegenstelling tot ISO en ISF.

• ISF: is minder geaccepteerd en wordt met name gebruikt door leden van ISF. • ISO: is per onderwerp overzichtelijk gerangschikt. Tevens is dit de meest

geaccepteerde standaard in Nederland. • COBIT: is een standaard is die niet specifiek gericht is op informatiebeveiliging

en daardoor minder goed vergelijkbaar. Dit leidt ook tot het feit dat COBIT in tegenstelling tot NIST, ISF en ISO, door anderen dan IB specialisten wordt gebruikt. Tevens bevat de standaard geen uitgewerkte informatie op operationeel gebied.

Uit nader onderzoek van het breedte criterium blijkt dat de witte vlekken beperkt zijn tussen ISO, ISF en NIST. Een mogelijk selectiecriterium zou de indeling van de hoofdstukken kunnen zijn welke wel verschillend is. Om vast te stellen of NIST en ISO inhoudelijk van elkaar verschillen en op basis hiervan een keuze kan worden gemaakt zal in het volgende hoofdstuk per onderwerp 1 maatregel in detail worden vergeleken van ISO 27002 en NIST SP 800-53.

24

Hoofdstuk 7: Vergelijking ISO 27002 en NIST SP 800-53

Om een antwoord te geven op de vierde deelvraag zullen in dit hoofdstuk NIST SP 800-53 en ISO 27002 met elkaar worden vergeleken. Hiertoe zullen de hoofdonderwerpen van beide standaarden naast elkaar worden gezet. Om vast te stellen of NIST en ISO inhoudelijk van elkaar verschillen en op basis hiervan een keuze kan worden gemaakt zal in dit hoofdstuk per onderwerp 1 maatregel in detail worden vergeleken van ISO 27002 en NIST SP 800-53 (uitgangspunt is ISO; bijlage 1). Deze gekozen standaarden zijn de meeste algemene en goed onderling vergelijkbare van de tientallen standaarden op het gebied van informatiebeveiliging binnen NIST en ISO. Bij de vergelijking hebben wij gebruik gemaakt van de officiële Nederlandse vertaling NEN-ISO/IEC 27002 (nl) Informatietechnologie - Beveiligingstechnieken - Code voor informatiebeveiliging (ISO/IEC 27002:2005, IDT) ICS 35.040 november 2007 en NIST 800-53-rev2-Final welke in het Engels is gelaten gezien vertaling kan leiden tot onjuiste vergelijkingen.

§ 7.1 Samenvatting van ISO 27002 onderwerpen versus NIST SP 800-53 onderwerpen Onderstaand zijn schematisch de onderwerpen van ISO 27002 en de onderwerpen van NIST SP 800-53 weergegeven. In de laatste kolom staat een verwijzing naar de voornaamste hoofdstukken van ISO, waarin het betreffende onderwerp van NIST wordt behandeld.

Beide standaarden bevatten een vergelijkbare opbouw en doelstelling. De standaarden bieden een verzameling basisprincipes in de vorm van gecategoriseerde doelstellingen, beveiligingsrichtlijnen en tips voor implementatie.

25

§ 7.2 Vergelijking in detail In deze paragraaf zal een vergelijking gemaakt worden tussen voorbeeldmaatregelen uit ISO 27002 en NIST SP 800-53 per gemeenschappelijk hoofdonderwerp. De volgende voorbeeldmaatregelen worden vergeleken:

Hoofdstuk ISO Beheersmaatregel uit ISO 27002

Beheersmaatregel uit NIST SP 800-53

5. Beveiligingsbeleid Dit hoofdonderwerp uit ISO is niet te herleiden naar een hoofdonderwerp in NIST. In NIST wordt in elk hoofdstuk 1 control gewijd aan beleid. Zo is in de mapping van ISO naar NIST ook te zien dat de controls 5.1.1 en 5.1.2 uit ISO zijn gemapped aan XX-1 controls van NIST (alle eerste controls van elk hoofdstuk). Een detailvergelijking is hier dan ook niet goed te maken. NIST heeft deze controls uitgewerkt over meerdere controls (versnipperd).

6. Organisatie van informatiebeveiliging

6.1.7 Contact with special interest group

AT-5 Contacts with Security Groups and Associations

7. Beheer van bedrijfsmiddelen

7.2.1 Classification guidelines

RA-2 Security Categorization

8. Beveiliging van personeel

8.1.2 Screening PS-3 Personeel Screening

9. Fysieke beveiliging en beveiliging van de omgeving

9.2.6 Secure disposal or re-use of equipment

MP-6 Media Sanitization and Disposal

10. Beheer van communicatie- en bedieningsprocessen

10.10.6 Synchronisatie van systeemklokken

AU-8 Tijdstempel

11. Toegangsbeveiliging 11.2.3 Beheer van gebruikerswachtwoorden

IA-5 Authenticator Management

12 Verwerving, ontwikkeling en onderhoud van informatiesystemen

12.2.1 Input data validation SI-10 Information Accuracy, Completeness, Validity, and Authenticity

13. Information security incident management

13.2.2 Learning from information security incidents

IR-4 Incident Handling

14 Bedrijfscontinuïteitsbeheer

14.1.5 Testing, maintaining and re-assessing business continuity plans

CP-2 Contingency Plan CP-4 Contingency Plan Testing and Exercises

15. Compliance 15.3.2 Protection of information systems audit tools

AU-9 Protection of Audit Information

Onderstaand wordt per (ISO) hoofdstuk het volgende beschreven:

- een maatregel die ISO hiervoor heeft geformuleerd - de bijbehorende maatregel(en) die NIST hiervoor heeft geformuleerd - een vergelijking tussen beide

26

§ 7.2.1 ISO Hoofdstuk 6: Organisatie van informatiebeveiliging NEN-ISO/IEC 27002: 6.1.7 Contact met speciale belangengroepen Beheersmaatregel Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden. Implementatierichtlijnen Het lidmaatschap van bepaalde belangengroeperingen of forums behoort te worden beschouwd als een middel om: a) kennis te vergroten van beproefde werkwijzen (‘best practice’) en op de hoogte te blijven van de laatste stand van zaken op het gebied van informatiebeveiliging; b) te waarborgen dat kennis en begrip van het vakgebied informatiebeveiliging volledig actueel en compleet zijn; c) vroegtijdig signalen te krijgen van waarschuwingen, adviezen en ‘patches’ die verband houden met aanvallen en kwetsbaarheden; d) toegang te verkrijgen tot deskundig informatiebeveiligingsadvies; e) informatie over nieuwe technologieën, producten, bedreigingen of kwetsbaarheden te delen en uit te wisselen; f) geschikte aanspreekpunten te leveren wanneer men te maken heeft met informatiebeveiligingsincidenten (zie ook 13.2.1); Overige informatie Er kunnen overeenkomsten voor gezamenlijk gebruik van informatie worden opgezet om de samenwerking en coördinatie van beveiligingszaken te verbeteren. Dergelijke overeenkomsten zouden eisen moeten vaststellen voor de bescherming van gevoelige informatie. NIST SP 800.53: AT-5 Contacts with Security Groups and Associations Control: The organization establishes and maintains contacts with special interest groups, specialized forums, professional associations, news groups, and/or peer groups of security professionals in similar organizations to stay up to date with the latest recommended security practices, techniques, and technologies and to share the latest security-related information including threats, vulnerabilities, and incidents. Supplemental Guidance: To facilitate ongoing security education and training for organizational personnel in an environment of rapid technology changes and dynamic threats, the organization establishes and institutionalizes contacts with selected groups and associations within the security community. The groups and associations selected are in keeping with the organization’s mission requirements. Information sharing activities regarding threats, vulnerabilities, and incidents related to information systems are consistent with applicable laws, Executive Orders, directives, policies, regulations, standards, and guidance. Control Enhancements: None.

27

Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van beide maatregelen hebben dezelfde strekking 2. Diepte: ISO geeft aan, naast de informatie die ook in NIST staat beschreven, dat

ook eisen moeten worden gesteld aan overeenkomsten voor gezamenlijk gebruik van informatie.

3. Toegankelijkheid: zowel in ISO als in NIST wordt niet verwezen naar andere stukken.

§ 7.2.2 ISO Hoofdstuk 7: Beheer van bedrijfsmiddelen NEN-ISO/IEC 27002: 7.2.1 Richtlijnen voor classificatie: Beheersmaatregel Informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Implementatierichtlijnen Classificaties en de bijbehorende beschermende beheersmaatregelen voor informatie behoren rekening te houden met de zakelijke behoefte aan het delen van informatie of het beperken ervan en de invloed van deze behoeften op het bedrijf. In richtlijnen voor classificatie behoren de conventies voor initiële classificatie en herclassificatie door de tijd heen te worden opgenomen; in overeenstemming met een eerder vastgesteld toegangsbeleid (zie 11.1.1). Het definiëren, periodiek beoordelen en op het juiste niveau houden van de classificatie van een bedrijfsmiddel behoort de verantwoordelijkheid te zijn van de eigenaar van het bedrijfsmiddel (zie 7.1.2). De classificatie behoort rekening te houden met het verzameleffect genoemd in 10.7.2. Er behoort te worden nagedacht over het aantal classificatiecategorieën en de te verwachten voordelen van het gebruik ervan. Te complexe schema's kunnen omslachtig en onrendabel worden of onpraktisch blijken te zijn. Classificatielabels op documenten van andere organisaties behoren met enige voorzichtigheid te worden geïnterpreteerd; er worden wellicht andere definities gehanteerd voor dezelfde of vergelijkbare labels. Overige informatie Het beschermingsniveau kan worden beoordeeld door het analyseren van de vertrouwelijkheid, integriteit en beschikbaarheid en eventuele andere eisen voor de informatie die wordt beschouwd. Na verloop van tijd is informatie vaak niet langer gevoelig of kritiek, bijvoorbeeld wanneer de informatie is openbaar gemaakt. Ook daarmee behoort rekening te worden gehouden, omdat overclassificatie kan leiden tot de implementatie van overbodige beheersmaatregelen die leiden tot onnodige extra uitgaven. Het tegelijk bestuderen van documenten met soortgelijke beveiligingseisen bij het toewijzen van classificatieniveaus kan helpen bij het vereenvoudigen van de classificatietaak. In het algemeen is de classificatie die aan informatie wordt gegeven een snelle manier om te bepalen hoe deze informatie moet worden verwerkt en beschermd.

NIST SP 800.53: RA-2 Security Categorization Control:

28

The organization categorizes the information system and the information processed, stored, or transmitted by the system in accordance with applicable laws, Executive Orders, directives, policies, regulations, standards, and guidance and documents the results (including supporting rationale) in the system security plan. Designated senior-level officials within the organization review and approve the security categorizations. Supplemental Guidance: The applicable federal standard for security categorization of nonnational security information and information systems is FIPS 199. The organization conducts FIPS 199 security categorizations as an organization-wide activity with the involvement of the chief information officer, senior agency information security officer, information system owners, and information owners. The organization also considers potential impacts to other organizations and, in accordance with the USA PATRIOT Act of 2001 and Homeland Security Presidential Directives, potential national-level impacts in categorizing the information system. As part of a defense-in-depth protection strategy, the organization considers partitioning higher-impact information systems into separate physical domains (or environments) and restricting or prohibiting network access in accordance with an organizational assessment of risk. NIST Special Publication 800-60 provides guidance on determining the security categories of the information types resident on the information system. Related security controls: MP-4, SC-7. Control Enhancements: None. Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van beide maatregelen hebben dezelfde strekking 2. Diepte: de onderwerpen die behandeld worden zijn hetzelfde 3. Toegankelijkheid: ISO beschrijft alle informatie in de maatregel zelf. NIST verwijst

naar andere documentatie en verwijst daarnaast ook naar specifieke Amerikaanse richtlijnen welke niet direct relevant zijn voor niet Amerikaanse bedrijven.

§ 7.2.3 ISO Hoofdstuk 8: Beveiliging van personeel NEN-ISO/IEC 27002: 8.1.2 Screening Beheersmaatregel Verificatie van de achtergrond van alle kandidaten voor een diensverband, ingehuurd personeel en externe gebruikers behoren te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoren evenredig te zijn aan de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's.

29

Implementatierichtlijnen De screening behoort rekening te houden met alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en/of arbeidswetgeving, en behoort, mits toegelaten, het volgende mee te nemen: a) beschikbaarheid van positieve referenties, bijvoorbeeld één zakelijke en één persoonlijke; b) controle van (de volledigheid en nauwkeurigheid van) het curriculum vitae van de sollicitant; c) bevestiging van vermelde academische en professionele kwalificaties; d) onafhankelijke identiteitscontrole (paspoort of vergelijkbaar document); e) meer gedetailleerde controles, zoals op kredietwaardigheid of strafblad. Waar bij een eerste aanstelling of promotie sprake is van een functie waarbij de betrokkene toegang heeft tot IT-voorzieningen en in het bijzonder indien daarmee gevoelige informatie wordt verwerkt, bijvoorbeeld financiële informatie of zeer vertrouwelijke informatie, behoort de organisatie eveneens verdere, meer gedetailleerde controles te overwegen. De criteria en beperkingen van de screening behoren in procedures te zijn gedefinieerd, bijvoorbeeld wie is gerechtigd om personen te screenen en hoe, wanneer en waarom screening wordt uitgevoerd. Een screeningproces behoort ook te worden uitgevoerd voor ingehuurd personeel en externe gebruikers. Indien ingehuurd personeel via een uitzendbureau worden ingehuurd, behoren in het contract met dit bureau duidelijk de verantwoordelijkheden van het bureau te worden gespecificeerd ten aanzien van de screening en de meldingsprocedures die het bureau moet volgen indien de screening nog niet is voltooid of indien de resultaten aanleiding geven tot twijfel of zorg. Op overeenkomstige wijze behoren in de overeenkomst met de derde partij (zie ook 6.2.3) duidelijk de verantwoordelijkheden en de meldingsprocedures voor de screening te worden gespecificeerd. Informatie over alle kandidaten die worden overwogen voor functies in de organisatie behoort te worden verzameld en verwerkt in overeenstemming met de geldende wet- en regelgeving in het relevante rechtsgebied. Afhankelijk van de toepasselijke wetgeving behoren de kandidaten van tevoren te worden geïnformeerd over de screeningactiviteiten. NIST SP 800.53: PS-3 Personeel Screening Control: The organization screens individuals requiring access to organizational information and information systems before authorizing access. Supplemental Guidance: Screening is consistent with: (i) 5 CFR 731.106; (ii) Office of Personnel Management policy, regulations, and guidance; (iii) organizational policy, regulations, and guidance; (iv) FIPS 201 and Special Publications 800-73, 800-76, and 800-78; and (v) the criteria established for the risk designation of the assigned position. Control Enhancements: None.

30

Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de beschreven ISO maatregel is breder, echter de beschreven

elementen komen in NIST wel weer terug in de verdere uitleg van de maatregel. 2. Diepte: de onderwerpen die behandeld worden zijn hetzelfde 3. Toegankelijkheid: ISO beschrijft alle informatie in de maatregel zelf. NIST verwijst

naar andere documentatie.

§ 7.2.4 ISO Hoofdstuk 9: Fysieke beveiliging en beveiliging van de omgeving NEN-ISO/IEC 27002: 9.2.6 Veilig verwijderen of hergebruiken van apparatuur Beheersmaatregel Alle apparatuur die opslagmedia bevat, behoort te worden gecontroleerd om te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur zijn verwijderd of veilig zijn overschreven voordat de apparatuur wordt verwijderd. Implementatierichtlijnen Opslagmedia met gevoelige informatie behoren, in plaats van volgens standaardmethoden te worden gewist of geformatteerd, fysiek te worden vernietigd of de informatie behoort te worden vernietigd, verwijderd of overschreven met technieken die het onmogelijk maken de oorspronkelijke informatie terug te halen. Overige informatie Het kan nodig zijn om voor beschadigde opslagmedia die gevoelige gegevens bevatten een risicobeoordeling uit te voeren om te bepalen of ze behoren te worden vernietigd, gerepareerd of verwijderd. Informatie kan worden gecompromitteerd door onzorgvuldig verwijderen of hergebruikt van apparatuur (zie ook 10.7.2). NIST SP 800.53: MP-6 Media Sanitization and Disposal Control: The organization sanitizes information system media, both digital and non-digital, prior to disposal or release for reuse. Supplemental Guidance: Sanitization is the process used to remove information from information system media such that there is reasonable assurance, in proportion to the confidentiality of the information, that the information cannot be retrieved or reconstructed. Sanitization techniques, including clearing, purging, and destroying media information, prevent the disclosure of organizational information to unauthorized individuals when such media is reused or disposed. The organization uses its discretion on sanitization techniques and procedures for media containing information deemed to be in the public domain or publicly releasable, or deemed to have no adverse impact on the organization or individuals if released for reuse or disposed. NIST Special Publication 800-88 provides guidance on media sanitization. The National Security Agency also provides media sanitization guidance and maintains a listing of approved sanitization products at http://www.nsa.gov/ia/government/mdg.cfm.

31

Control Enhancements: (1) The organization tracks, documents, and verifies media sanitization and disposal actions. (2) The organization periodically tests sanitization equipment and procedures to verify correct performance. Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van beide maatregelen heeft dezelfde strekking 2. Diepte: de onderwerpen die behandeld worden zijn hetzelfde. NIST verwijst naar

een aparte publicatie betreffende media opschoning. 3. Toegankelijkheid: beide maatregelen zijn goed op zich zelfstaand leesbaar en

evengoed toegankelijk.

§ 7.2.5 ISO Hoofdstuk 10: Beheer van communicatie- en bedieningsprocessen NEN-ISO/IEC 27002: 10.10.6 Synchronisatie van systeemklokken Beheersmaatregel De klokken van alle relevante informatiesystemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron. Implementatierichtlijnen Waar een computer of communicatieapparatuur over een ‘real-time’-klok beschikt, behoort deze te worden ingesteld volgens een overeengekomen standaard, bijvoorbeeld Universal Coordinated Time (UCT) of de plaatselijke standaardtijd. Omdat van sommige klokken bekend is dat ze na verloop van tijd voor- of achterlopen, behoort er een procedure te zijn om ze regelmatig te controleren op significante afwijkingen en ze gelijk te zetten. De juiste interpretatie van het datum/tijdformaat is belangrijk om te kunnen waarborgen dat de tijdaanduiding overeenkomt met de werkelijke datum/tijd. Er behoort rekening te worden gehouden met plaatselijke bijzonderheden (bijvoorbeeld zomertijd). Overige informatie Een juiste instelling van systeemklokken is van wezenlijk belang om de nauwkeurigheid van auditlogbestanden te waarborgen. Deze logbestanden kunnen nodig zijn voor onderzoek of als bewijs in juridische of disciplinaire zaken. Onnauwkeurige auditlogbestanden kunnen dergelijke onderzoeken belemmeren en de geloofwaardigheid van dat bewijsmateriaal schaden. Als moederklok voor logsystemen kan een klok worden gebruikt die verbonden is met een radiotijdsein van een nationale atoomklok. Er kan een netwerktijdprotocol worden gebruikt om alle servers synchroon te houden met de moederklok.

32

NIST SP 800.53: AU-8 Timestamps Control: The information system provides time stamps for use in audit record generation. Supplemental Guidance: Time stamps (including date and time) of audit records are generated using internal system clocks. Control Enhancements: (1) The organization synchronizes internal information system clocks [Assignment: organization-defined frequency]. Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de maatregel is in ISO breder beschreven, echter het

uiteindelijk effect is hetzelfde als in NIST. 2. Diepte: ISO beschrijft de maatregel gedetailleerder. Er staat namelijk ook in

beschreven waar aan moet worden gedacht bij het implementeren van deze maatregel, hier gaat NIST niet op in.

3. Toegankelijkheid: beide maatregelen zijn goed op zich zelfstaand leesbaar en evengoed toegankelijk.

33

§ 7.2.6 ISO Hoofdstuk 11: Toegangsbeveiliging NEN-ISO/IEC 27002: 11.2.3 Beheer van gebruikerswachtwoorden Beheersmaatregel De toewijzing van wachtwoorden behoort met een formeel beheerproces te worden beheerst. Implementatierichtlijnen Het proces behoort de volgende eisen te omvatten: a) gebruikers behoren te worden verplicht een verklaring te ondertekenen dat zij hun persoonlijke wachtwoorden geheimhouden en groepswachtwoorden uitsluitend aan leden van de groep kenbaar maken; deze ondertekende verklaring zou kunnen worden opgenomen in het arbeidscontract (zie 8.1.3); b) wanneer gebruikers hun eigen wachtwoorden moeten bijhouden, behoren ze aanvankelijk een beveiligd tijdelijk wachtwoord toegewezen te krijgen (zie 11.3.1) dat ze onmiddellijk moeten wijzigen; c) procedures vaststellen om de identiteit van een gebruiker te controleren voordat hem een nieuw, vervangend of tijdelijk wachtwoord wordt verstrekt; d) tijdelijke wachtwoorden behoren op een veilige manier te worden uitgegeven aan gebruikers; gebruik via derden of gebruik van onbeschermde e-mailberichten (ongecodeerde tekst) behoort te worden vermeden; e) tijdelijke wachtwoorden behoren uniek te zijn voor een persoon en mogen niet te raden zijn; f) gebruikers behoren de ontvangst van wachtwoorden te bevestigen; g) wachtwoorden behoren nooit in onbeschermde vorm te worden opgeslagen op computersystemen; h) standaardwachtwoorden van leveranciers behoren te worden veranderd na installatie van systemen of programmatuur. Overige informatie Wachtwoorden zijn een gebruikelijk middel om de identiteit van een gebruiker te verifiëren voordat toegang wordt verleend tot een informatiesysteem of -dienst in overeenstemming met de autorisatie van de gebruiker. Er zijn andere technologieën voor gebruikersidentificatie en authenticatie beschikbaar, zoals biometrie, bijvoorbeeld vingerafdrukverificatie, handtekeningverificatie en het gebruik van ‘hardware tokens’, bijvoorbeeld smartcards, die waar passend behoren te worden overwogen. NIST SP 800.53: IA-5 Authenticator Management Control: The organization manages information system authenticators by: (i) defining initial authenticator content; (ii) establishing administrative procedures for initial authenticator distribution, for lost/compromised, or damaged authenticators, and for revoking authenticators; (iii) changing default authenticators upon information system installation; and (iv) changing/refreshing authenticators periodically.

34

Supplemental Guidance: Information system authenticators include, for example, tokens, PKI certificates, biometrics, passwords, and key cards. Users take reasonable measures to safeguard authenticators including maintaining possession of their individual authenticators, not loaning or sharing authenticators with others, and reporting lost or compromised authenticators immediately. For password-based authentication, the information system: (i) protects passwords from unauthorized disclosure and modification when stored and transmitted; (ii) prohibits passwords from being displayed when entered; (iii) enforces password minimum and maximum lifetime restrictions; and (iv) prohibits password reuse for a specified number of generations. For PKI-based authentication, the information system: (i) validates certificates by constructing a certification path to an accepted trust anchor; (ii) establishes user control of the corresponding private key; and (iii) maps the authenticated identity to the user account. In accordance with OMB policy and related E-authentication initiatives, authentication of public users accessing federal information systems (and associated authenticator management) may also be required to protect nonpublic or privacy-related information. FIPS 201 and Special Publications 800-73, 800-76, and 800-78 specify a personal identity verification (PIV) credential for use in the unique identification and authentication of federal employees and contractors. NIST Special Publication 800-63 provides guidance on remote electronic authentication. Control Enhancements: None. Conclusie vergelijking maatregelen ISO en NIST De vergelijking is niet geheel te maken. Dit wordt veroorzaakt doordat de ene maatregel beheer van wachtwoorden behandelt terwijl de andere het beheer van authenticatie apparaten behandelt. Er zitten wel enige overeenkomsten in. Beheer van gebruikerswachtwoorden wordt verder niet behandeld in NIST. Hieruit moeten we concluderen dat dit een witte vlek is voor NIST ten opzichte van ISO. Op basis van onderwerpen was het wel logisch om deze maatregelen tegenover elkaar te mappen. Echter op basis van deze detailvergelijking komen we toch tot een andere conclusie.

§ 7.2.7 ISO Hoofdstuk 12: Verwerving, ontwikkeling en onderhoud van informatiesystemen NEN-ISO/IEC 27002: 12.2.1 Validatie van invoergegevens Beheersmaatregel Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn. Implementatierichtlijnen Er behoren controles te worden uitgevoerd op de invoer van zakelijke transacties, vaste gegevens (bijvoorbeeld namen en adressen, kredietlimieten, referentienummers van klanten) en parametertabellen (bijvoorbeeld verkoopprijzen, valutawisselkoersen, belastingtarieven). De volgende richtlijnen behoren te worden overwogen: a) tweevoudige invoer of andere vormen van invoercontroles, zoals grenswaarde controles of limietvelden

35

voor bepaalde series invoergegevens, om de volgende fouten te ontdekken: 1) waarden die buiten het geldige bereik vallen; 2) ongeldige tekens in invoervelden; 3) ontbrekende of onvolledige gegevens; 4) overschrijding van boven- en ondergrenzen voor gegevensvolumes; 5) ongeautoriseerde of inconsistente beheersgegevens; b) periodieke beoordeling van de inhoud van sleutelvelden of gegevensbestanden om hun geldigheid en integriteit te bevestigen; c) controle van papieren invoerdocumenten op ongeautoriseerde wijzigingen (voor alle wijzigingen in invoerdocumenten behoort toestemming te worden gegeven); d) procedures voor het reageren op fouten bij geldigheidscontrole; e) procedures voor het testen van de plausibiliteit van invoergegevens; f) definiëren van verantwoordelijkheden van al het personeel dat betrokken is bij het gegevensinvoerproces; g) aanmaken van een logbestand van de activiteiten die tijdens het gegevensinvoerproces plaatsvinden (zie 10.10.1). Overige informatie Het automatisch onderzoeken en valideren van invoergegevens kan worden overwogen als middel om de kans op fouten te verminderen en om standaardaanvallen, waaronder ‘buffer overflow’ en het tussenvoegen van programmaregels, te verhinderen. NIST SP 800.53: SI-10 Information Accuracy, Completeness, Validity, and Authenticity Control: The information system checks information for accuracy, completeness, validity, and authenticity. Supplemental Guidance: Checks for accuracy, completeness, validity, and authenticity of information are accomplished as close to the point of origin as possible. Rules for checking the valid syntax of information system inputs (e.g., character set, length, numerical range, acceptable values) are in place to verify that inputs match specified definitions for format and content. Inputs passed to interpreters are prescreened to prevent the content from being unintentionally interpreted as commands. The extent to which the information system is able to check the accuracy, completeness, validity, and authenticity of information is guided by organizational policy and operational requirements. Control Enhancements: None.

36

Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van beide maatregelen hebben dezelfde strekking 2. Diepte: de onderwerpen die behandeld worden zijn hetzelfde. De beschrijving van

ISO is wel gedetailleerder. Er wordt bijvoorbeeld aandacht besteed aan welke specifieke organisatie- richtlijnen het betreft, waarbij NIST alleen organisatie richtlijnen noemt.

3. Toegankelijkheid: beide maatregelen zijn goed op zich zelfstaand leesbaar en evengoed toegankelijk.

§ 7.2.8 ISO Hoofdstuk 13: Information security incident management NEN-ISO/IEC 27002: 13.2.2 Leren van informatiebeveiligingsincidenten Beheersmaatregel Er behoren mechanismen te zijn ingesteld waarmee de aard, omvang en kosten van informatiebeveiligingsincidenten kunnen worden gekwantificeerd en gecontroleerd. Implementatierichtlijnen De informatie verkregen uit het beoordelen van informatiebeveiligingsincidenten behoort te worden gebruikt om terugkerende of zeer ingrijpende incidenten te identificeren. Overige informatie Uit de beoordeling van informatiebeveiligingsincidenten kan de noodzaak blijken van uitgebreidere of aanvullende beheersmaatregelen om de frequentie, schade en kosten van toekomstige incidenten te beperken. Ook kan de informatie worden gebruikt bij de beoordeling van het beveiligingsbeleid (zie 5.1.2). NIST SP 800.53: IR-4 Incident Handling Control: The organization implements an incident handling capability for security incidents that includes preparation, detection and analysis, containment, eradication, and recovery. Supplemental Guidance: Incident-related information can be obtained from a variety of sources including, but not limited to, audit monitoring, network monitoring, physical access monitoring, and user/administrator reports. The organization incorporates the lessons learned from ongoing incident handling activities into the incident response procedures and implements the procedures accordingly. Related security controls: AU-6, PE-6. Control Enhancements: (1) The organization employs automated mechanisms to support the incident handling process.

37

Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van de NIST maatregel heeft een bredere strekking. 2. Diepte: ISO behandelt enkel het ‘leren’ van incidenten waar NIST meerdere

aspecten van het incidentenproces behandelt. 3. Toegankelijkheid: beide maatregelen verwijzen beide naar andere delen in

hetzelfde document en zijn evengoed toegankelijk.

§ 7.2.9 ISO Hoofdstuk 14 Bedrijfscontinuïteitsbeheer NEN-ISO/IEC 27002: 14.1.5 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen Maatregel Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geüpdate, om te bewerkstelligen dat ze actueel en doeltreffend blijven. Implementatierichtlijnen Bedrijfscontinuïteitsplannen behoren te waarborgen dat alle leden van het herstelteam en andere betrokken medewerkers op de hoogte zijn van de plannen en van hun verantwoordelijkheid voor bedrijfscontinuïteit en informatiebeveiliging en hun rol kennen wanneer een plan in werking wordt gesteld. In het testschema voor het (de) bedrijfscontinuïteitsplan(nen) behoort te worden aangegeven hoe en wanneer elk onderdeel van het(de) continuïteitsplan(nen) wordt getest. Elk onderdeel van de plannen behoort regelmatig te worden getest. Er kunnen verschillende technieken behoren te worden gebruikt om er zeker van te zijn dat het (de) plan(nen) daadwerkelijk functioneren. Dit behoort bijvoorbeeld te omvatten: a) gezamenlijk doorlopen van diverse scenario's (bespreking van de bedrijfsherstelprocedures aan de hand van voorbeelden van onderbrekingen); b) simulaties (in het bijzonder om mensen te trainen in hun rol na een incident en bij crisisbeheer); c) testen van technische herstelprocedures (om te waarborgen dat informatiesystemen doeltreffend kunnen worden hersteld); d) testen van herstel op een andere locatie (waarbij bedrijfsprocessen parallel aan hersteloperaties worden uitgevoerd, op een andere plaats dan de hoofdlocatie); e) testen van voorzieningen en diensten van leveranciers (om te waarborgen dat externe diensten en producten in overeenstemming zijn met contractuele verplichtingen); f) realistische oefeningen (waarbij wordt getoetst dat organisatie, personeel, apparatuur, voorzieningen en processen bestand zijn tegen onderbrekingen). Deze technieken kunnen door elke organisatie worden gebruikt. Ze behoren te worden toegepast op een manier die past bij het specifieke herstelplan. De testresultaten behoren te worden vastgelegd, en handelingen om waar nodig de plannen te verbeteren behoren te worden uitgevoerd. Er behoren verantwoordelijkheden te worden toegewezen voor regelmatige beoordeling van elk bedrijfscontinuïteitsplan. Het vaststellen van veranderingen in de werkwijze van de organisatie die nog niet hun neerslag hebben gevonden in de bedrijfscontinuïteitsplannen, behoort te worden gevolgd door een adequate update van het desbetreffende plan. Dit formele proces van wijzigingenbeheer behoort te waarborgen dat de geüpdate plannen worden verspreid en bekrachtigd door regelmatige beoordeling van het plan als geheel.

38

Voorbeelden van veranderingen waar updaten van bedrijfscontinuïteitsplannen behoort te worden overwogen zijn aanschaf van nieuwe apparatuur of een upgraden van systemen, en veranderingen in: a) personeel; b) adressen of telefoonnummers; c) bedrijfsstrategie; d) locatie, voorzieningen en bronnen; e) wetgeving; f) ingehuurd personeel, leveranciers en belangrijke klanten; g) processen, of nieuwe of ingetrokken processen; h) risico's (operationeel en financieel). NIST SP 800.53: CP-2 Contingency Plan Control: The organization develops and implements a contingency plan for the information system addressing contingency roles, responsibilities, assigned individuals with contact information, and activities associated with restoring the system after a disruption or failure. Designated officials within the organization review and approve the contingency plan and distribute copies of the plan to key contingency personnel. Supplemental Guidance: None. Control Enhancements: The organization coordinates contingency plan development with organizational elements responsible for related plans.

Enhancement Supplemental Guidance: Examples of related plans include Business Continuity Plan, Disaster Recovery Plan, Continuity of Operations Plan, Business Recovery Plan, Incident Response Plan, and Emergency Action Plan. (2) The organization conducts capacity planning so that necessary capacity for information processing, telecommunications, and environmental support exists during crisis situations. NIST SP 800.53: CP-4 Contingency Plan Testing and Exercises Control: The organization: (i) tests and/or exercises the contingency plan for the information system [Assignment: organization-defined frequency, at least annually] using [Assignment: organization-defined tests and/or exercises] to determine the plan’s effectiveness and the organization’s readiness to execute the plan; and (ii) reviews the contingency plan test/exercise results and initiates corrective actions.

39

Supplemental Guidance: There are several methods for testing and/or exercising contingency plans to identify potential weaknesses (e.g., full-scale contingency plan testing, functional/tabletop exercises). The depth and rigor of contingency plan testing and/or exercises increases with the FIPS 199 impact level of the information system. Contingency plan testing and/or exercises also include a determination of the effects on organizational operations and assets (e.g., reduction in mission capability) and individuals arising due to contingency operations in accordance with the plan. NIST Special Publication 800-84 provides guidance on test, training, and exercise programs for information technology plans and capabilities. Control Enhancements: (1) The organization coordinates contingency plan testing and/or exercises with organizational elements responsible for related plans. Enhancement Supplemental Guidance: Examples of related plans include Business Continuity Plan, Disaster Recovery Plan, Continuity of Operations Plan, Business Recovery Plan, Incident Response Plan, and Emergency Action Plan. (2) The organization tests/exercises the contingency plan at the alternate processing site to familiarize contingency personnel with the facility and available resources and to evaluate the site’s capabilities to support contingency operations. (3) The organization employs automated mechanisms to more thoroughly and effectively test/exercise the contingency plan by providing more complete coverage of contingency issues, selecting more realistic test/exercise scenarios and environments, and more effectively stressing the information system and supported missions. Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van beide maatregelen hebben dezelfde strekking.

De maatregel CP-2 van NIST wordt grotendeels beschreven in een andere ISO maatregel. Wij hebben dan ook alleen de informatie meegenomen die betrekking heeft op testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen. Op basis hiervan kunnen we concluderen dat de maatregelen dezelfde strekking hebben.

2. Diepte: de onderwerpen die behandeld worden zijn grotendeels hetzelfde. 3. Toegankelijkheid: ISO beschrijft alle informatie in de maatregel zelf. NIST verwijst

naar andere documentatie.

§ 7.2.10 ISO Hoofdstuk 15: Compliance NEN-ISO/IEC 27002: 15.3.2 Bescherming van hulpmiddelen voor audits van informatiesystemen Beheersmaatregel Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbuik of compromittering te voorkomen. Implementatierichtlijnen De hulpmiddelen voor systeemaudits, bijvoorbeeld programmatuur of gegevensbestanden, behoren te worden gescheiden van ontwikkelingssystemen en productiesystemen en behoren niet te worden opgeslagen in magneetbandbibliotheken of gebruikersruimte, tenzij hiervoor aanvullende beschermingsmaatregelen van een geschikt niveau zijn getroffen.

40

Overige informatie Indien derden bij een audit zijn betrokken bestaat het risico dat de audithulpmiddelen en de informatie waartoe toegang is verkregen door deze derde partij worden misbruikt. Maatregelen zoals genoemd in 6.2.1 (beoordelen van risico’s) en in 9.1.2 (fysieke toegang beperken) kunnen worden overwogen om dit risico aan te pakken, en alle eruit voorbloeiende maatregelen zoals het onmiddellijk wijzigen van de wachtwoorden die aan auditors zijn bekend gemaakt. NIST SP 800.53: AU-9 Protection of audit information Control: The information system protects audit information and audit tools from unauthorized access, modification, and deletion. Supplemental Guidance: Audit information includes all information (e.g., audit records, audit settings, and audit reports) needed to successfully audit information system activity. Control Enhancements: (1) The information system produces audit records on hardware-enforced, write-once media. Conclusie vergelijking maatregelen ISO en NIST 1. Inhoud maatregel: de inhoud van de maatregelen hebben dezelfde strekking. 2. Diepte: ISO is uitgebreider. ISO gaat ook in op situaties, waarbij derden bij een

audit worden betrokken en de bijkomende risico’s daarvan. 3. Toegankelijkheid: beide maatregelen zijn goed op zich zelfstaand leesbaar en

evengoed toegankelijk.

§ 7.3 Conclusie Uit de detailvergelijkingen kunnen wij de volgende conclusies trekken: • De strekking van de maatregelen zijn bijna altijd hetzelfde. Echter voor één

maatregel is vastgesteld dat deze toch niet overeenkomt. Hierdoor zou het mogelijk zijn dat wanneer alle maatregelen in detail worden bekeken meer witte vlekken worden geïdentificeerd. Gezien de omvang van ons onderzoek valt dat buiten ons bereik. Echter dit is een punt om bij een vervolg onderzoek mee in ogenschouw te nemen.

• Indien alleen NIST SP 800-53 en ISO 27002 worden beschouwd, is ISO uitgebreider omdat in NIST veelal wordt verwezen naar andere publicaties c.q. richtlijnen. Hieruit kan worden opgemaakt dat ISO toegankelijker is. Echter indien de overige publicaties wel worden meegenomen dan is NIST in veel gevallen uitgebreider.

• NIST verwijst soms specifiek naar regelgeving voor de Amerikaanse overheid c.q. wet- en regelgeving. Deze is niet relevant voor Nederlandse overheden en bedrijven.

• Informatiebeveiligingsbeleid is in NIST wijd verspreid over allerlei verschillende maatregelen ten opzichte van 1 maatregel binnen ISO. Hierdoor kan wel worden geconcludeerd dat het informatiebeveiligingsbeleid op een gedetailleerder niveau is uitgewerkt in NIST.

41

Hoofdstuk 8: Conclusies en reflectie

In dit laatste hoofdstuk worden de belangrijkste conclusies behandeld die voortkomen uit de gestelde centrale onderzoeksvragen. Deze onderzoeksvragen, gepresenteerd in hoofdstuk één, zijn een afgeleide van de doelstelling van het onderzoek. In paragraaf 8.2 zullen de mogelijkheden tot vervolgonderzoek worden weergegeven en tot slot zal een reflectie worden gegeven op het onderzoek en de resultaten die hieruit naar voren zijn gekomen.

§ 8.1 Conclusies Middels dit afstudeeronderzoek willen wij bijdragen aan een overzicht van standaarden die relevant zijn voor informatiebeveiliging. Daarnaast willen wij ondersteuning bieden bij het keuzeproces voor een standaard. De doelstelling is het geven van een praktisch advies aan de gebruikers van IB-standaarden. De probleemstelling die wij hebben willen beantwoorden middels ons onderzoek is: Welke standaarden kunnen waarvoor het best worden gebruikt? Om op de bovenstaande hoofdvraag een antwoord te geven is de hoofdvraag opgesplitst in de volgende deelvragen: 1. Welke relevante standaarden / best practices zijn er op het gebied van

informatiebeveiliging? 2. Wat zijn criteria waarop de diverse standaarden van elkaar kunnen worden

onderscheiden? Hierdoor kan een gerichte keuze worden gemaakt tussen verschillende (gedeeltes van) standaarden.

3. Welke stappen moeten worden doorlopen bij het selectieproces van standaarden? 4. Wat zijn in hoofdlijnen overeenkomsten en verschillen tussen NIST SP 800-53 en

ISO 27002? Onderstaand geven wij allereerst de conclusies per deelvraag, gebaseerd op ons onderzoek, weer. Vervolgens besluiten we deze paragraaf met een overall conclusie.

§ 8.1.1 Beantwoording deelvraag 1 Hier is gekozen om vier standaarden nader te beschrijven uit het scala van standaarden. Wij hebben gekozen voor ISO, NIST, ISF en COBIT. ISO Enkele relevante en bekende informatiebeveiligingsstandaarden van ISO, met betrekking tot informatiebeveiliging, betreffen ISO 27001 en ISO 27002. ISO 27001 specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ‘Information Security Management System’ (ISMS). ISO 27002, beter bekend als de ‘Code voor Informatiebeveiliging’, beschrijft maatregelen, die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. Naast deze standaarden heeft ISO vele gedetailleerde (operationele) informatiebeveiligingstandaarden uitgegeven.

42

NIST Een relevante en bekende standaard van NIST betreft NIST SP 800-53: ‘Recommended Security Controls for Federal Information Systems'. In deze standaard worden de minimale beveiligingsmaatregelen opgesomd voor het realiseren van een acceptabel niveau van informatiebeveiliging. Naast deze standaard heeft NIST vele gedetailleerde (operationele) informatiebeveiligingstandaarden uitgegeven. ISF The Standard of Good Practice (SGOP) is een belangrijke publicatie uit het ISF programma. Deze standaarden bieden gedetailleerde documentatie van geïdentificeerde ‘best practices’ voor informatiebeveiliging. CoBiT Eind jaren negentig werd een algemeen raamwerk voor algemene IT-beheersmaatregelen ontwikkeld door ISACA en het IT Governance Institute (ITGI). Dit zijn de’Control Objectives for Information and related Technology’, oftewel CoBiT. Het CobiT framework is gebaseerd op het principe dat organisaties voorzien dienen te worden van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. CoBiT staat momenteel vooral in de belangstelling doordat deze bij uitstek geschikt is, om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd.

§ 8.1.2 Beantwoording deelvraag 2 Om een goede afweging te maken tussen bepaalde standaarden moeten ze onderling vergeleken kunnen worden. De volgende criteria zijn naar aanleiding van de expertsessie en een literatuurstudie opgesteld:

• breedte • diepte • flexibiliteit • ratio • kosten • acceptatie • taal

Naast het ontwikkelen hebben wij de NIST, ISF, ISO en CoBiT tegen deze criteria aangehouden. Onderstaand volgen enkele belangrijke conclusies:

• NIST: is in tegenstelling tot de anderen geheel gratis te verkrijgen, echter alleen in het Engels. Bovendien worden de onderwerpen versnipperd behandeld in tegenstelling tot ISO en ISF.

• ISF: is minder geaccepteerd en wordt met name gebruikt door leden van ISF. • ISO: is per onderwerp overzichtelijk gerangschikt. Tevens is dit de meest

geaccepteerde standaard in Nederland.

43

• CoBiT: is een standaard die niet specifiek gericht is op informatiebeveiliging en daardoor minder goed vergelijkbaar. Dit leidt ook tot het feit dat CoBiT in tegenstelling tot NIST, ISF en ISO, door anderen dan IB specialisten wordt gebruikt. Tevens bevat de standaard geen uitgewerkte informatie op operationeel gebied.

Uit nader onderzoek van het breedte criterium blijkt dat de witte vlekken beperkt zijn tussen ISO, ISF en NIST. Een mogelijk selectiecriterium zou de indeling van de hoofdstukken kunnen zijn welke wel verschillend is. De conclusie dat de witte vlekken beperkt zijn zit hem wellicht in het feit dat de standaarden worden ontwikkeld vanuit werkgroepen, bestaande uit IB’ers. Hier vinden meerdere reviews plaats. Bovendien wordt er vaak, zoals beschreven in Paragraaf 2.2, gestemd over de aanname van nieuwe standaarden. Stemgerechtigde zijn wederom gebruikers van de desbetreffende standaard. Aangezien de gebruikers betrokken zijn bij de totstandkoming van de standaard, is het niet verwonderlijk dat er beperkte witte vlekken zijn tussen de door ons geselecteerde standaarden

§ 8.1.3 Beantwoording deelvraag 3 Om een keuze te maken voor standaarden die passend zijn voor een organisatie is het belangrijk om een gedegen selectieproces in te gaan. Het proces bestaat uit de volgende stappen:

1. Bepalen ‘key stakeholders’; Deze stap in het proces draagt bij aan het creëren van een breed draagvlak en acceptatie voor de gekozen standaarden.

2. Vaststelen score criteria van de ‘key stakeholders’; Het zijn de ‘key stakeholders’ die bepalen wat de belangrijkste aspecten zijn in de keuze voor bepaalde standaarden. Om de ‘key stakeholders’ handvatten te bieden zijn in ons onderzoek criteria opgesteld waarmee standaarden van elkaar kunnen worden onderscheiden.

3. Keuze (o.b.v. gewogen criteria); Deze keuze is gebaseerd op de verschillende wegingen per criteria, toegekend door de diverse stakeholders en uitgesproken door het verantwoordelijke management. Hierbij is het van belang dat de keuze van bepaalde standaarden aansluit op de bedrijfsdoelstellingen.

4. ‘Nazorg’; De laatste stap betreft de nazorg van de gemaakte keuze, ofwel is de keuze nog steeds de juiste. Als de standaarden slecht blijken te zijn geïmplementeerd, was het wellicht de verkeerde keuze en moeten andere standaarden worden overwogen.

§ 8.1.4 Beantwoording deelvraag 4 Uit de detailvergelijkingen, tussen NIST en ISO, kunnen wij de volgende conclusies trekken: • De strekking van de maatregelen zijn bijna altijd hetzelfde. • Indien alleen NIST 800-53 en ISO 27002 worden beschouwd, is ISO uitgebreider

omdat in NIST veelal wordt verwezen naar andere publicaties c.q. richtlijnen. Hieruit kan worden opgemaakt dat ISO toegankelijker is. Echter indien de overige publicaties wel worden meegenomen dan is NIST in veel gevallen uitgebreider.

• NIST verwijst soms specifiek naar regelgeving voor de Amerikaanse overheid c.q. wet- en regelgeving. Deze zijn niet relevant voor Nederlandse overheden en bedrijven.

44

• Informatiebeveiligingsbeleid is in NIST wijd verspreid over allerlei verschillende maatregelen ten opzichte van 1 maatregel binnen ISO. Hierdoor kan wel worden geconcludeerd dat het informatiebeveiligingsbeleid op een gedetailleerder niveau is uitgewerkt in NIST.

§ 8.1.5 Overall conclusie Op de centrale vraag ”Welke standaarden kunnen waarvoor het best worden gebruikt?” kunnen wij concluderen dat de uiteindelijke keuze voor een standaard afhankelijk is van het doel wat men wil bereiken en de eigenschappen van een standaard die de betreffende organisatie als belangrijk beoordeeld. De diverse eigenschappen van standaarden zijn aan de hand van de onderzochte criteria te onderkennen. Als praktische handreiking voor de gebruikers van IB standaarden is op hoofdlijnen een proces geschetst welke ondersteuning biedt bij het kiezen van standaarden. Als hulpmiddel zijn belangrijke selectiecriteria onderscheiden die een rol spelen in het proces om te komen tot een selectie van standaarden.

§ 8.2 Vervolgonderzoek Door de complexiteit van de materie en de beperkte tijd waarin dit onderzoek heeft plaatsgevonden, zijn er nog vele vragen onbeantwoord gebleven, die wellicht in een volgende expertsessie en/of scriptie onderzoek behandeld zouden kunnen worden:

1. Zijn we in staat om op basis van deze aanzet een volledig raamwerk te maken van alle verschillende standaarden die bestaan?

2. Een aantal selectiecriteria zijn onderkend. Welke selectiecriteria zijn nog meer te onderkennen?

3. Zijn de weergegeven standaarden correct ‘gescoord’ op de onderkende selectiecriteria?

§ 8.3 Reflectie Wij hebben ons vooraf gerealiseerd dat het onwaarschijnlijk is dat onze probleemstelling in één onderzoek volledig beantwoord kon worden. Dit aangezien er nog zeer weinig beschikbare literatuur over dit onderwerp voorhanden is en het scala aan standaarden gigantisch. Hiertoe hebben we in ons ook onderzoek ook reeds een afbakening aangebracht. Het feit dat er weinig beschikbare literatuur over dit onderwerp (het keuzeproces en onderscheidende criteria) voorhanden is, heeft ons overigens wel bevreemd. Al jarenlang worden diverse standaarden gehanteerd binnen bedrijven en worden er keuzes gemaakt voor bepaalde standaarden. Echter over dit keuzeproces en, als handvat hierbij een raamwerk met de verschillende standaarden, is opvallend weinig tot niets daadwerkelijk uitgewerkt in de huidige literatuur. Ons onderzoek heeft geresulteerd in een raamwerk met daarin gepositioneerd enkele bekende beveiligingsstandaarden. Daarnaast is op hoofdlijnen een proces geschetst welke kan helpen bij het kiezen van standaarden (of alleen bepaalde delen).

45

Wij denken dat bovenstaand resultaat van toegevoegde waarde is bij het verder uitwerken van het keuzeproces en het raamwerk. Wij verwachten dan ook, met de door ons voorgestelde aanpak, dat er een doorstart zal worden gemaakt naar een serieuze aanpak die kan doorgroeien tot een methodiek. Wij hebben dit onderzoek als zeer leerzaam ervaren. Het heeft ons namelijk een overzicht gegeven van het scala aan standaarden en de opbouw en inhoud van standaarden. Dit is voor ons zeer nuttig gezien standaarden in de praktijk veel worden gebruikt. Tot slot willen wij de heer Bart Bokhorst (begeleider VU Amsterdam) bedanken voor zijn inspirerende begeleiding, zijn enthousiasme voor het onderwerp en zijn opbouwende opmerkingen, die hebben geleid tot een dieper inzicht in de materie van IB-standaarden.

46

Bijlagen

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel511 Information security policy document SECURITY POLICY XX-1 controls512 Review of the information security policy SECURITY POLICY XX-1 controls611 Management commitment to information securiORGANIZATION OF INFORMATION SECURITY XX-1 controls611 Management commitment to information securiORGANIZATION OF INFORMATION SECURITY SP 800-39611 Management commitment to information securiORGANIZATION OF INFORMATION SECURITY SP 800-37612 Information security co-ordination ORGANIZATION OF INFORMATION SECURITY CP-2612 Information security co-ordination ORGANIZATION OF INFORMATION SECURITY CP-4612 Information security co-ordination ORGANIZATION OF INFORMATION SECURITY IR-4612 Information security co-ordination ORGANIZATION OF INFORMATION SECURITY PL-1612 Information security co-ordination ORGANIZATION OF INFORMATION SECURITY PL-6612 Information security co-ordination ORGANIZATION OF INFORMATION SECURITY SA-2612 Information security co-ordination ORGANIZATION OF INFORMATION SECURITY SP 800-30612 Information security co-ordination ORGANIZATION OF INFORMATION SECURITY SP 800 300-37613 Allocation of information security responsibilitie ORGANIZATION OF INFORMATION SECURITY XX-1 controls613 Allocation of information security responsibilitie ORGANIZATION OF INFORMATION SECURITY AC-5613 Allocation of information security responsibilitie ORGANIZATION OF INFORMATION SECURITY AC-6613 Allocation of information security responsibilitie ORGANIZATION OF INFORMATION SECURITY SP 800-39613 Allocation of information security responsibilitie ORGANIZATION OF INFORMATION SECURITY SP 800-37614 Authorization process for information processinORGANIZATION OF INFORMATION SECURITY CA-1614 Authorization process for information processinORGANIZATION OF INFORMATION SECURITY CA-6614 Authorization process for information processinORGANIZATION OF INFORMATION SECURITY SP 800-37615 Confidentiality agreements ORGANIZATION OF INFORMATION SECURITY PL-4615 Confidentiality agreements ORGANIZATION OF INFORMATION SECURITY PS-6615 Confidentiality agreements ORGANIZATION OF INFORMATION SECURITY SA-9616 Contact with authorities ORGANIZATION OF INFORMATION SECURITY Myltiple controls with contact reference

(e.g., IR-6, SI-5)616 Contact with authorities ORGANIZATION OF INFORMATION SECURITY SP 800-39616 Contact with authorities ORGANIZATION OF INFORMATION SECURITY SP 800-37617 Contact with special interest group ORGANIZATION OF INFORMATION SECURITY AT-5618 Independent review of information security ORGANIZATION OF INFORMATION SECURITY CA-2618 Independent review of information security ORGANIZATION OF INFORMATION SECURITY CA-7

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

618 Independent review of information security ORGANIZATION OF INFORMATION SECURITY SP 800-39618 Independent review of information security ORGANIZATION OF INFORMATION SECURITY SP 800-37621 Identification of risks related to external parties ORGANIZATION OF INFORMATION SECURITY CA-3621 Identification of risks related to external parties ORGANIZATION OF INFORMATION SECURITY RA-3621 Identification of risks related to external parties ORGANIZATION OF INFORMATION SECURITY SA-1621 Identification of risks related to external parties ORGANIZATION OF INFORMATION SECURITY SA-9621 Identification of risks related to external parties ORGANIZATION OF INFORMATION SECURITY SC-7622 Addressing security when dealing with customeORGANIZATION OF INFORMATION SECURITY AC-8622 Addressing security when dealing with customeORGANIZATION OF INFORMATION SECURITY AT-2622 Addressing security when dealing with customeORGANIZATION OF INFORMATION SECURITY PL-4623 Addressing security in third party agreements ORGANIZATION OF INFORMATION SECURITY CA-3623 Addressing security in third party agreements ORGANIZATION OF INFORMATION SECURITY PS-7623 Addressing security in third party agreements ORGANIZATION OF INFORMATION SECURITY SA-9711 Inventory of assets ASSET MANAGEMENT CM-8712 Ownership of assets ASSET MANAGEMENT CM-8713 Acceptable use of assets ASSET MANAGEMENT AC-20713 Acceptable use of assets ASSET MANAGEMENT PL-4721 Classification guidelines ASSET MANAGEMENT RA-2722 Information labeling and handling ASSET MANAGEMENT AC-16722 Information labeling and handling ASSET MANAGEMENT MP-2722 Information labeling and handling ASSET MANAGEMENT MP-3722 Information labeling and handling ASSET MANAGEMENT SC-16811 Roles and responsibilities HUMAN RESOURCES SECURITY XX-1 controls811 Roles and responsibilities HUMAN RESOURCES SECURITY AC-5811 Roles and responsibilities HUMAN RESOURCES SECURITY AC-6811 Roles and responsibilities HUMAN RESOURCES SECURITY AC-8811 Roles and responsibilities HUMAN RESOURCES SECURITY AC-20811 Roles and responsibilities HUMAN RESOURCES SECURITY AT-2811 Roles and responsibilities HUMAN RESOURCES SECURITY AT-3811 Roles and responsibilities HUMAN RESOURCES SECURITY PL-4811 Roles and responsibilities HUMAN RESOURCES SECURITY PS-2

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

811 Roles and responsibilities HUMAN RESOURCES SECURITY PS-6811 Roles and responsibilities HUMAN RESOURCES SECURITY PS-7811 Roles and responsibilities HUMAN RESOURCES SECURITY SA-9812 Screening HUMAN RESOURCES SECURITY PS-3813 Terms and conditions of employment HUMAN RESOURCES SECURITY AC-20813 Terms and conditions of employment HUMAN RESOURCES SECURITY PL-4813 Terms and conditions of employment HUMAN RESOURCES SECURITY PS-6813 Terms and conditions of employment HUMAN RESOURCES SECURITY PS-7821 Management responsibilities HUMAN RESOURCES SECURITY PL-4821 Management responsibilities HUMAN RESOURCES SECURITY PS-6821 Management responsibilities HUMAN RESOURCES SECURITY PS-7821 Management responsibilities HUMAN RESOURCES SECURITY SA-9822 Information security awareness, education, andHUMAN RESOURCES SECURITY AT-2822 Information security awareness, education, andHUMAN RESOURCES SECURITY AT-3822 Information security awareness, education, andHUMAN RESOURCES SECURITY IR-2823 Disciplinary process HUMAN RESOURCES SECURITY PS-8831 Termination responsibilities HUMAN RESOURCES SECURITY PS-4831 Termination responsibilities HUMAN RESOURCES SECURITY PS-5832 Return of assets HUMAN RESOURCES SECURITY PS-4832 Return of assets HUMAN RESOURCES SECURITY PS-5833 Removal of access rights HUMAN RESOURCES SECURITY AC-2833 Removal of access rights HUMAN RESOURCES SECURITY PS-4833 Removal of access rights HUMAN RESOURCES SECURITY PS-5911 Physical security perimeter PHYSICAL AND ENVIRONMENTAL SECURITY PE-3912 Physical entry controls PHYSICAL AND ENVIRONMENTAL SECURITY PE-3912 Physical entry controls PHYSICAL AND ENVIRONMENTAL SECURITY PE-5912 Physical entry controls PHYSICAL AND ENVIRONMENTAL SECURITY PE-6912 Physical entry controls PHYSICAL AND ENVIRONMENTAL SECURITY PE-7913 Securing offices, rooms, and facilities PHYSICAL AND ENVIRONMENTAL SECURITY PE-3913 Securing offices, rooms, and facilities PHYSICAL AND ENVIRONMENTAL SECURITY PE-4913 Securing offices, rooms, and facilities PHYSICAL AND ENVIRONMENTAL SECURITY PE-5

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

914 Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY CP-family914 Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY PE-1914 Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY PE-9914 Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY PE-10914 Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY PE-11914 Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY PE-13914 Protecting against external and environmental tPHYSICAL AND ENVIRONMENTAL SECURITY PE-15915 Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY AT-2915 Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY AT-3915 Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY PL-4915 Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY PS-6915 Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY PE-2915 Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY PE-4915 Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY PE-6915 Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY PE-7915 Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY PE-8915 Working in secure areas PHYSICAL AND ENVIRONMENTAL SECURITY PE-3916 Public access, delivery, and loading areas PHYSICAL AND ENVIRONMENTAL SECURITY PE-2916 Public access, delivery, and loading areas PHYSICAL AND ENVIRONMENTAL SECURITY PE-7916 Public access, delivery, and loading areas PHYSICAL AND ENVIRONMENTAL SECURITY PE-16921 Equipment siting and protection PHYSICAL AND ENVIRONMENTAL SECURITY PE-1921 Equipment siting and protection PHYSICAL AND ENVIRONMENTAL SECURITY PE-18922 Supporting utilities PHYSICAL AND ENVIRONMENTAL SECURITY PE-1922 Supporting utilities PHYSICAL AND ENVIRONMENTAL SECURITY PE-9922 Supporting utilities PHYSICAL AND ENVIRONMENTAL SECURITY PE-11922 Supporting utilities PHYSICAL AND ENVIRONMENTAL SECURITY PE-12922 Supporting utilities PHYSICAL AND ENVIRONMENTAL SECURITY PE-14923 Cabling security PHYSICAL AND ENVIRONMENTAL SECURITY PE-4923 Cabling security PHYSICAL AND ENVIRONMENTAL SECURITY PE-9924 Equipment maintenance PHYSICAL AND ENVIRONMENTAL SECURITY MA-family925 Security of equipment off-premises PHYSICAL AND ENVIRONMENTAL SECURITY MP-5

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

925 Security of equipment off-premises PHYSICAL AND ENVIRONMENTAL SECURITY PE-17926 Secure disposal or re-use of equipment PHYSICAL AND ENVIRONMENTAL SECURITY MP-6927 Removal of property PHYSICAL AND ENVIRONMENTAL SECURITY MP-5927 Removal of property PHYSICAL AND ENVIRONMENTAL SECURITY PE-16

1011 Documented operating procedures COMMUNICATIONS AND OPERATIONS MANAGEMXX-1 controls1012 Change management COMMUNICATIONS AND OPERATIONS MANAGEMCM-11012 Change management COMMUNICATIONS AND OPERATIONS MANAGEMCM-31012 Change management COMMUNICATIONS AND OPERATIONS MANAGEMCM-41012 Change management COMMUNICATIONS AND OPERATIONS MANAGEMCM-51013 Segregation of duties COMMUNICATIONS AND OPERATIONS MANAGEMAC-51014 Separation of development, test, and operation COMMUNICATIONS AND OPERATIONS MANAGEMCM-21021 Service delivery COMMUNICATIONS AND OPERATIONS MANAGEMSA-91022 Monitoring and review of third party services COMMUNICATIONS AND OPERATIONS MANAGEMSA-91023 Managing changes to third party services COMMUNICATIONS AND OPERATIONS MANAGEMRA-31023 Managing changes to third party services COMMUNICATIONS AND OPERATIONS MANAGEMSA-91031 Capacity management COMMUNICATIONS AND OPERATIONS MANAGEMAU-41031 Capacity management COMMUNICATIONS AND OPERATIONS MANAGEMAU-51031 Capacity management COMMUNICATIONS AND OPERATIONS MANAGEMCP-21031 Capacity management COMMUNICATIONS AND OPERATIONS MANAGEMSA-21031 Capacity management COMMUNICATIONS AND OPERATIONS MANAGEMSC-51032 System acceptance COMMUNICATIONS AND OPERATIONS MANAGEMCA-21032 System acceptance COMMUNICATIONS AND OPERATIONS MANAGEMCA-61032 System acceptance COMMUNICATIONS AND OPERATIONS MANAGEMCM-31032 System acceptance COMMUNICATIONS AND OPERATIONS MANAGEMCM-41032 System acceptance COMMUNICATIONS AND OPERATIONS MANAGEMSA-111041 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMAC-191041 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMAT-21041 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSA-81041 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSC-21041 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSC-31041 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSC-7

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

1041 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSC-141041 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSI-31041 Controls against malicious code COMMUNICATIONS AND OPERATIONS MANAGEMSI-71042 Controls against mobile code COMMUNICATIONS AND OPERATIONS MANAGEMSA-81042 Controls against mobile code COMMUNICATIONS AND OPERATIONS MANAGEMSC-21042 Controls against mobile code COMMUNICATIONS AND OPERATIONS MANAGEMSC-31042 Controls against mobile code COMMUNICATIONS AND OPERATIONS MANAGEMSC-71042 Controls against mobile code COMMUNICATIONS AND OPERATIONS MANAGEMSC-141042 Controls against mobile code COMMUNICATIONS AND OPERATIONS MANAGEMSC-81042 Controls against mobile code COMMUNICATIONS AND OPERATIONS MANAGEMSC-181051 Information back-up COMMUNICATIONS AND OPERATIONS MANAGEMCP-91061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMAC-41061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMAC-171061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMAC-201061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMCA-31061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMCP-81061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMPE-51061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMSC-71061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMSC-81061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMSC-91061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMSC-101061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMSC-191061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMSC-201061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMSC-211061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMSC-221061 Network controls COMMUNICATIONS AND OPERATIONS MANAGEMSC-231062 Security of network services COMMUNICATIONS AND OPERATIONS MANAGEMSA-91062 Security of network services COMMUNICATIONS AND OPERATIONS MANAGEMSC-81062 Security of network services COMMUNICATIONS AND OPERATIONS MANAGEMSC-91071 Management of removable media COMMUNICATIONS AND OPERATIONS MANAGEMMP-family1071 Management of removable media COMMUNICATIONS AND OPERATIONS MANAGEMPE-16

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

1072 Disposal of media COMMUNICATIONS AND OPERATIONS MANAGEMMP-61073 Information handling procedures COMMUNICATIONS AND OPERATIONS MANAGEMMP-family1073 Information handling procedures COMMUNICATIONS AND OPERATIONS MANAGEMSI-121074 Security of system documentation COMMUNICATIONS AND OPERATIONS MANAGEMMP-41074 Security of system documentation COMMUNICATIONS AND OPERATIONS MANAGEMSA-51081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMAC-11081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMAC-31081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMAC-41081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMAC-171081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMAC-201081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMCA-31081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMPL-41081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMPS-61081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMSC-71081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMSC-161081 Information exchange policies and procedures COMMUNICATIONS AND OPERATIONS MANAGEMSI-91082 Exchange agreements COMMUNICATIONS AND OPERATIONS MANAGEMCA-31082 Exchange agreements COMMUNICATIONS AND OPERATIONS MANAGEMSA-91083 Physical media in transit COMMUNICATIONS AND OPERATIONS MANAGEMMP-51084 Electronic messaging COMMUNICATIONS AND OPERATIONS MANAGEMMultiple controls; electronic messaging

not addresses separately in SP 800-53

1085 Business information systems COMMUNICATIONS AND OPERATIONS MANAGEMCA-11085 Business information systems COMMUNICATIONS AND OPERATIONS MANAGEMCA-31091 Electronic commerce COMMUNICATIONS AND OPERATIONS MANAGEMAU-101091 Electronic commerce COMMUNICATIONS AND OPERATIONS MANAGEMSC-71091 Electronic commerce COMMUNICATIONS AND OPERATIONS MANAGEMSC-81091 Electronic commerce COMMUNICATIONS AND OPERATIONS MANAGEMSC-91091 Electronic commerce COMMUNICATIONS AND OPERATIONS MANAGEMSC-31091 Electronic commerce COMMUNICATIONS AND OPERATIONS MANAGEMSC-141092 On-Line Transactions COMMUNICATIONS AND OPERATIONS MANAGEMSC-3

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

1092 On-Line Transactions COMMUNICATIONS AND OPERATIONS MANAGEMSC-71092 On-Line Transactions COMMUNICATIONS AND OPERATIONS MANAGEMSC-81092 On-Line Transactions COMMUNICATIONS AND OPERATIONS MANAGEMSC-91092 On-Line Transactions COMMUNICATIONS AND OPERATIONS MANAGEMSC-141093 Publicly available information COMMUNICATIONS AND OPERATIONS MANAGEMSC-14

10101 Audit logging COMMUNICATIONS AND OPERATIONS MANAGEMAU-110101 Audit logging COMMUNICATIONS AND OPERATIONS MANAGEMAU-210101 Audit logging COMMUNICATIONS AND OPERATIONS MANAGEMAU-310101 Audit logging COMMUNICATIONS AND OPERATIONS MANAGEMAU-410101 Audit logging COMMUNICATIONS AND OPERATIONS MANAGEMAU-510101 Audit logging COMMUNICATIONS AND OPERATIONS MANAGEMAU-810101 Audit logging COMMUNICATIONS AND OPERATIONS MANAGEMAU-1110102 Monitoring system use COMMUNICATIONS AND OPERATIONS MANAGEMAU-110102 Monitoring system use COMMUNICATIONS AND OPERATIONS MANAGEMAU-610102 Monitoring system use COMMUNICATIONS AND OPERATIONS MANAGEMAU-710102 Monitoring system use COMMUNICATIONS AND OPERATIONS MANAGEMPE-610102 Monitoring system use COMMUNICATIONS AND OPERATIONS MANAGEMPE-810102 Monitoring system use COMMUNICATIONS AND OPERATIONS MANAGEMSC-710102 Monitoring system use COMMUNICATIONS AND OPERATIONS MANAGEMSI-410103 Protection of log information COMMUNICATIONS AND OPERATIONS MANAGEMAU-910104 Administrator and operator logs COMMUNICATIONS AND OPERATIONS MANAGEMAU-210105 Fault logging COMMUNICATIONS AND OPERATIONS MANAGEMAU-210105 Fault logging COMMUNICATIONS AND OPERATIONS MANAGEMAU-610105 Fault logging COMMUNICATIONS AND OPERATIONS MANAGEMSI-210106 Clock synchronization COMMUNICATIONS AND OPERATIONS MANAGEMAU-81111 Access control policy ACCESS CONTROL AC-11111 Access control policy ACCESS CONTROL AC-51111 Access control policy ACCESS CONTROL AC-61111 Access control policy ACCESS CONTROL AC-171111 Access control policy ACCESS CONTROL AC-191111 Access control policy ACCESS CONTROL CM-5

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

1111 Access control policy ACCESS CONTROL MP-11111 Access control policy ACCESS CONTROL SI-91121 User registration ACCESS CONTROL AC-11121 User registration ACCESS CONTROL AC-21121 User registration ACCESS CONTROL IA-51121 User registration ACCESS CONTROL PE-11121 User registration ACCESS CONTROL PE-21122 Privilege management ACCESS CONTROL AC-11122 Privilege management ACCESS CONTROL AC-21122 Privilege management ACCESS CONTROL AC-61122 Privilege management ACCESS CONTROL PE-11122 Privilege management ACCESS CONTROL PE-21122 Privilege management ACCESS CONTROL SI-91123 User password management ACCESS CONTROL IA-51124 Review of user access rights ACCESS CONTROL AC-21124 Review of user access rights ACCESS CONTROL PE-21131 Password use ACCESS CONTROL IA-21131 Password use ACCESS CONTROL IA-51132 Unattended user equipment ACCESS CONTROL AC-111132 Unattended user equipment ACCESS CONTROL IA-21132 Unattended user equipment ACCESS CONTROL PE-31132 Unattended user equipment ACCESS CONTROL PE-51132 Unattended user equipment ACCESS CONTROL PE-181132 Unattended user equipment ACCESS CONTROL SC-101133 Clear desk and clear screen policy ACCESS CONTROL AC-111141 Policy on use of network services ACCESS CONTROL AC-11141 Policy on use of network services ACCESS CONTROL AC-51141 Policy on use of network services ACCESS CONTROL AC-61141 Policy on use of network services ACCESS CONTROL AC-171141 Policy on use of network services ACCESS CONTROL AC-201142 User authentication for external connections ACCESS CONTROL AC-17

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

1142 User authentication for external connections ACCESS CONTROL AC-201142 User authentication for external connections ACCESS CONTROL CA-31142 User authentication for external connections ACCESS CONTROL IA-21143 Equipment identification in networks ACCESS CONTROL AC-191143 Equipment identification in networks ACCESS CONTROL IA-31144 Remote diagnostic and configuration port prote ACCESS CONTROL AC-31144 Remote diagnostic and configuration port prote ACCESS CONTROL AC-61144 Remote diagnostic and configuration port prote ACCESS CONTROL AC-171144 Remote diagnostic and configuration port prote ACCESS CONTROL PE-31144 Remote diagnostic and configuration port prote ACCESS CONTROL MA-31144 Remote diagnostic and configuration port prote ACCESS CONTROL MA-41145 Segregation in networks ACCESS CONTROL AC-41145 Segregation in networks ACCESS CONTROL SA-81145 Segregation in networks ACCESS CONTROL SC-71146 Network connection control ACCESS CONTROL AC-31146 Network connection control ACCESS CONTROL AC-61146 Network connection control ACCESS CONTROL AC-171146 Network connection control ACCESS CONTROL SC-71147 Network routing control ACCESS CONTROL AC-41147 Network routing control ACCESS CONTROL AC-171151 Secure log-on procedures ACCESS CONTROL AC-71151 Secure log-on procedures ACCESS CONTROL AC-81151 Secure log-on procedures ACCESS CONTROL AC-91151 Secure log-on procedures ACCESS CONTROL AC-101151 Secure log-on procedures ACCESS CONTROL IA-21151 Secure log-on procedures ACCESS CONTROL IA-61151 Secure log-on procedures ACCESS CONTROL SC-101152 User identification and authentication ACCESS CONTROL IA-21152 User identification and authentication ACCESS CONTROL IA-41152 User identification and authentication ACCESS CONTROL IA-51153 Password management system ACCESS CONTROL IA-2

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

1153 Password management system ACCESS CONTROL IA-51154 Use of system utilities ACCESS CONTROL AC-31154 Use of system utilities ACCESS CONTROL AC-61155 Session time-out ACCESS CONTROL AC-111155 Session time-out ACCESS CONTROL SC-101156 Limitation of connection time ACCESS CONTROL (Leeg)1161 Information access restriction ACCESS CONTROL AC-31161 Information access restriction ACCESS CONTROL AC-61161 Information access restriction ACCESS CONTROL AC-141161 Information access restriction ACCESS CONTROL CM-51162 Sensitive system isolation ACCESS CONTROL (Leeg) 1171 Mobile computing and communications ACCESS CONTROL AC-11171 Mobile computing and communications ACCESS CONTROL AC-171171 Mobile computing and communications ACCESS CONTROL AC-191171 Mobile computing and communications ACCESS CONTROL PL-41171 Mobile computing and communications ACCESS CONTROL PS-61172 Teleworking ACCESS CONTROL AC-11172 Teleworking ACCESS CONTROL AC-41172 Teleworking ACCESS CONTROL AC-171172 Teleworking ACCESS CONTROL PE-171172 Teleworking ACCESS CONTROL PL-41172 Teleworking ACCESS CONTROL PS-61211 Security requirements analysis and specificatio INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-11211 Security requirements analysis and specificatio INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-31211 Security requirements analysis and specificatio INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-41221 Input data validation INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-101222 Control of internal processing INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-71222 Control of internal processing INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-91222 Control of internal processing INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-101223 Message integrity INFORMATION SYSTEMS ACQUISITION, DEVELOPAU-101223 Message integrity INFORMATION SYSTEMS ACQUISITION, DEVELOPSC-8

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

1223 Message integrity INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-71224 Output data validation INFORMATION SYSTEMS ACQUISITION, DEVELOP(leeg)1231 Policy on the use of cryptographic controls INFORMATION SYSTEMS ACQUISITION, DEVELOPMultiple controls address cryptography

(e.g., IA-7, SC-8, SC-9, SC-12, SC-13)

1232 Key management INFORMATION SYSTEMS ACQUISITION, DEVELOPSC-121232 Key management INFORMATION SYSTEMS ACQUISITION, DEVELOPSC-171241 Control of operational software INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-11241 Control of operational software INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-21241 Control of operational software INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-31241 Control of operational software INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-41241 Control of operational software INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-51241 Control of operational software INFORMATION SYSTEMS ACQUISITION, DEVELOPPL-41241 Control of operational software INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-61241 Control of operational software INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-71242 Protection of system test data INFORMATION SYSTEMS ACQUISITION, DEVELOPMultiple controls; protection of test data

not addresses seperately in SP 800-53 (e.g., AC-3, AC-4)

1243 Access control to program source code INFORMATION SYSTEMS ACQUISITION, DEVELOPAC-31243 Access control to program source code INFORMATION SYSTEMS ACQUISITION, DEVELOPAC-61243 Access control to program source code INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-51243 Access control to program source code INFORMATION SYSTEMS ACQUISITION, DEVELOPMA-51243 Access control to program source code INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-101251 Change control procedures INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-11251 Change control procedures INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-31251 Change control procedures INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-101252 Technical review of applications after operatingINFORMATION SYSTEMS ACQUISITION, DEVELOPCM-31252 Technical review of applications after operatingINFORMATION SYSTEMS ACQUISITION, DEVELOPCM-41252 Technical review of applications after operatingINFORMATION SYSTEMS ACQUISITION, DEVELOPSI-21253 Restrictions on changes to software packages INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-31253 Restrictions on changes to software packages INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-4

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

1253 Restrictions on changes to software packages INFORMATION SYSTEMS ACQUISITION, DEVELOPCM-51254 Information leakage INFORMATION SYSTEMS ACQUISITION, DEVELOPAC-41254 Information leakage INFORMATION SYSTEMS ACQUISITION, DEVELOPPE-191255 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-11255 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-41255 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-61255 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-71255 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-81255 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-91255 Outsourced software development INFORMATION SYSTEMS ACQUISITION, DEVELOPSA-111261 Control of technical vulnerabilities INFORMATION SYSTEMS ACQUISITION, DEVELOPRA-31261 Control of technical vulnerabilities INFORMATION SYSTEMS ACQUISITION, DEVELOPRA-51261 Control of technical vulnerabilities INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-21261 Control of technical vulnerabilities INFORMATION SYSTEMS ACQUISITION, DEVELOPSI-51311 Reporting information security events INFORMATION SECURITY INCIDENT MANAGEMENAU-61311 Reporting information security events INFORMATION SECURITY INCIDENT MANAGEMENIR-11311 Reporting information security events INFORMATION SECURITY INCIDENT MANAGEMENIR-61311 Reporting information security events INFORMATION SECURITY INCIDENT MANAGEMENSi-41311 Reporting information security events INFORMATION SECURITY INCIDENT MANAGEMENSI-51312 Reporting security weaknesses INFORMATION SECURITY INCIDENT MANAGEMENPL-41312 Reporting security weaknesses INFORMATION SECURITY INCIDENT MANAGEMENSI-21312 Reporting security weaknesses INFORMATION SECURITY INCIDENT MANAGEMENSI-41312 Reporting security weaknesses INFORMATION SECURITY INCIDENT MANAGEMENSI-51321 Responsibilities and procedures INFORMATION SECURITY INCIDENT MANAGEMENIR-11322 Learning from information security incidents INFORMATION SECURITY INCIDENT MANAGEMENIR-41323 Collection of evidence INFORMATION SECURITY INCIDENT MANAGEMENAU-91323 Collection of evidence INFORMATION SECURITY INCIDENT MANAGEMENIR-41411 Including information security in the business coBUSINESS CONTINUITY MANAGEMENT CP-11411 Including information security in the business coBUSINESS CONTINUITY MANAGEMENT CP-21411 Including information security in the business coBUSINESS CONTINUITY MANAGEMENT CP-41412 Business continuity and risk assessment BUSINESS CONTINUITY MANAGEMENT RA Familiy

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

1412 Business continuity and risk assessment BUSINESS CONTINUITY MANAGEMENT CP-21412 Business continuity and risk assessment BUSINESS CONTINUITY MANAGEMENT PM-91413 Developing and implementing continuity plans iBUSINESS CONTINUITY MANAGEMENT CP Familiy1414 Business continuity planning framework BUSINESS CONTINUITY MANAGEMENT CP-21414 Business continuity planning framework BUSINESS CONTINUITY MANAGEMENT CP-41415 Testing, maintaining and re-assessing businessBUSINESS CONTINUITY MANAGEMENT CP-21415 Testing, maintaining and re-assessing businessBUSINESS CONTINUITY MANAGEMENT CP-41511 Identification of applicable legislation COMPLIANCE XX-1 controls1511 Identification of applicable legislation COMPLIANCE IA-71512 Intellectual property rights (IPR) COMPLIANCE SA-61513 Protection of organizational records COMPLIANCE AU-91513 Protection of organizational records COMPLIANCE AU-111513 Protection of organizational records COMPLIANCE CP-91513 Protection of organizational records COMPLIANCE MP-11513 Protection of organizational records COMPLIANCE MP-41513 Protection of organizational records COMPLIANCE SA-51513 Protection of organizational records COMPLIANCE SI-121514 Data protection and privacy of personal informaCOMPLIANCE SI-121514 Data protection and privacy of personal informaCOMPLIANCE PL-51515 Prevention of misuse of information processing COMPLIANCE AU-61515 Prevention of misuse of information processing COMPLIANCE PS-61515 Prevention of misuse of information processing COMPLIANCE PS-81515 Prevention of misuse of information processing COMPLIANCE SA-71515 Prevention of misuse of information processing COMPLIANCE AC-81515 Prevention of misuse of information processing COMPLIANCE PL-41516 Regulation of cryptographic controls COMPLIANCE IA-71516 Regulation of cryptographic controls COMPLIANCE SC-131521 Compliance with security policies and standard COMPLIANCE XX-1 controls1521 Compliance with security policies and standard COMPLIANCE AC-21521 Compliance with security policies and standard COMPLIANCE CA-21521 Compliance with security policies and standard COMPLIANCE CA-7

Bijlage 1: mapping van ISO naar de NIST

ISO Maatregel ISO Beschrijving ISO Hoofdstuk NIST Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen en hier tegenover zijn de NIST 800-53 maatregelen gezet. Indien ISO maatregel is genoemd in de eerste kolom maar geen NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

1521 Compliance with security policies and standard COMPLIANCE IA-71521 Compliance with security policies and standard COMPLIANCE PE-81521 Compliance with security policies and standard COMPLIANCE SI-121522 Technical compliance checking COMPLIANCE RA-51522 Technical compliance checking COMPLIANCE CA-21522 Technical compliance checking COMPLIANCE CA-71531 Information systems audit controls COMPLIANCE AU-11531 Information systems audit controls COMPLIANCE AU-21531 Information systems audit controls COMPLIANCE PL-61532 Protection of information systems audit tools COMPLIANCE AU-9

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO MaatregelAC-1 Access Control Access Control Policy and Procedures 511AC-1 Access Control Access Control Policy and Procedures 512AC-1 Access Control Access Control Policy and Procedures 611AC-1 Access Control Access Control Policy and Procedures 613AC-1 Access Control Access Control Policy and Procedures 811AC-1 Access Control Access Control Policy and Procedures 1011AC-1 Access Control Access Control Policy and Procedures 1081AC-1 Access Control Access Control Policy and Procedures 1111AC-1 Access Control Access Control Policy and Procedures 1121AC-1 Access Control Access Control Policy and Procedures 1122AC-1 Access Control Access Control Policy and Procedures 1141AC-1 Access Control Access Control Policy and Procedures 1171AC-1 Access Control Access Control Policy and Procedures 1172AC-1 Access Control Access Control Policy and Procedures 1511AC-1 Access Control Access Control Policy and Procedures 1512AC-2 Access Control Account Management 833AC-2 Access Control Account Management 1121AC-2 Access Control Account Management 1122AC-2 Access Control Account Management 1124AC-2 Access Control Account Management 1521AC-3 Access Control Access Enforcement 1081AC-3 Access Control Access Enforcement 1144AC-3 Access Control Access Enforcement 1146AC-3 Access Control Access Enforcement 1154AC-3 Access Control Access Enforcement 1161AC-3 Access Control Access Enforcement 1242AC-4 Access Control Information Flow Enforcement 1061AC-4 Access Control Information Flow Enforcement 1081

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

AC-4 Access Control Information Flow Enforcement 1145AC-4 Access Control Information Flow Enforcement 1147AC-4 Access Control Information Flow Enforcement 1172AC-4 Access Control Information Flow Enforcement 1242AC-4 Access Control Information Flow Enforcement 1254AC-5 Access Control Separation of Duties 613AC-5 Access Control Separation of Duties 811AC-5 Access Control Separation of Duties 1013AC-5 Access Control Separation of Duties 1111AC-5 Access Control Separation of Duties 1141AC-6 Access Control Least Privilege 613AC-6 Access Control Least Privilege 811AC-6 Access Control Least Privilege 1111AC-6 Access Control Least Privilege 1122AC-6 Access Control Least Privilege 1141AC-6 Access Control Least Privilege 1144AC-6 Access Control Least Privilege 1146AC-6 Access Control Least Privilege 1154AC-6 Access Control Least Privilege 1161AC-6 Access Control Least Privilege 1243AC-7 Access Control Unsuccessful Login Attempts 1151AC-8 Access Control System Use Notification 622AC-8 Access Control System Use Notification 811AC-8 Access Control System Use Notification 1151AC-8 Access Control System Use Notification 1515AC-9 Access Control Previous Logon Notification 1151AC-10 Access Control Concurrent Session Control 1151AC-11 Access Control Session Lock 1132

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

AC-11 Access Control Session Lock 1133AC-11 Access Control Session Lock 1155AC-12 Access Control Session Termination 1132AC-12 Access Control Session Termination 1155AC-13 Access Control Supervision and Review—Access Control 1124AC-13 Access Control Supervision and Review—Access Control 10102AC-14 Access Control Permitted Actions without Identification or A 1161AC-15 Access Control Automated Marking 722AC-16 Access Control Automated Labeling 722AC-17 Access Control Remote Access 1061AC-17 Access Control Remote Access 1081AC-17 Access Control Remote Access 1111AC-17 Access Control Remote Access 1141AC-17 Access Control Remote Access 1142AC-17 Access Control Remote Access 1144AC-17 Access Control Remote Access 1146AC-17 Access Control Remote Access 1147AC-17 Access Control Remote Access 1171AC-17 Access Control Remote Access 1172AC-18 Access Control Wireless Access Restrictions 1142AC-18 Access Control Wireless Access Restrictions 1171AC-18 Access Control Wireless Access Restrictions 1172AC-19 Access Control Access Control for Portable and Mobile Dev 1041AC-19 Access Control Access Control for Portable and Mobile Dev 1111AC-19 Access Control Access Control for Portable and Mobile Dev 1143AC-19 Access Control Access Control for Portable and Mobile Dev 1171AC-20 Access Control Use of External Information Systems 713AC-20 Access Control Use of External Information Systems 811

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

AC-20 Access Control Use of External Information Systems 813AC-20 Access Control Use of External Information Systems 1061AC-20 Access Control Use of External Information Systems 1081AC-20 Access Control Use of External Information Systems 1141AC-20 Access Control Use of External Information Systems 1142AT-1 Awareness and Tra Security Awareness and Training Policy and 511AT-1 Awareness and Tra Security Awareness and Training Policy and 512AT-1 Awareness and Tra Security Awareness and Training Policy and 611AT-1 Awareness and Tra Security Awareness and Training Policy and 613AT-1 Awareness and Tra Security Awareness and Training Policy and 811AT-1 Awareness and Tra Security Awareness and Training Policy and 1011AT-1 Awareness and Tra Security Awareness and Training Policy and 1511AT-1 Awareness and Tra Security Awareness and Training Policy and 1521AT-2 Awareness and Tra Security Awareness 622AT-2 Awareness and Tra Security Awareness 811AT-2 Awareness and Tra Security Awareness 822AT-2 Awareness and Tra Security Awareness 915AT-2 Awareness and Tra Security Awareness 1041AT-3 Awareness and Tra Security Training 811AT-3 Awareness and Tra Security Training 822AT-3 Awareness and Tra Security Training 915AT-4 Awareness and Tra Security Training Records (leeg)AT-5 Awareness and Tra Contacts with Security Groups and Associat 617AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 511AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 512AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 611AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 613AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 811

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 1011AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 10102AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 1511AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 1521AU-1 Audit and Accounta Audit and Accountability Policy and Procedu 1531AU-2 Audit and Accounta Auditable Events 10101AU-2 Audit and Accounta Auditable Events 10104AU-2 Audit and Accounta Auditable Events 10105AU-2 Audit and Accounta Auditable Events 1531AU-3 Audit and Accounta Content of Audit Records 10101AU-4 Audit and Accounta Audit Storage Capacity 10101AU-4 Audit and Accounta Audit Storage Capacity 10103AU-5 Audit and Accounta Response to Audit Processing Failures 1031AU-5 Audit and Accounta Response to Audit Processing Failures 10103AU-6 Audit and Accounta Audit Monitoring, Analysis, and Reporting 10102AU-6 Audit and Accounta Audit Monitoring, Analysis, and Reporting 10105AU-6 Audit and Accounta Audit Monitoring, Analysis, and Reporting 1311AU-6 Audit and Accounta Audit Monitoring, Analysis, and Reporting 1515AU-7 Audit and Accounta Audit Reduction and Report Generation 10102AU-8 Audit and Accounta Time Stamps 10101AU-8 Audit and Accounta Time Stamps 10106AU-9 Audit and Accounta Protection of Audit Information 1323AU-9 Audit and Accounta Protection of Audit Information 1513AU-9 Audit and Accounta Protection of Audit Information 1532AU-9 Audit and Accounta Protection of Audit Information 10103AU-10 Audit and Accounta Non-repudiation 1091AU-10 Audit and Accounta Non-repudiation 1223AU-11 Audit and Accounta Audit Record Retention 10102

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

AU-11 Audit and Accounta Audit Record Retention 1513AU-11 Audit and Accounta Audit Record Retention 10101CA-1 Certification, AccredCertification, Accreditation, and Security Ass 511CA-1 Certification, AccredCertification, Accreditation, and Security Ass 512CA-1 Certification, AccredCertification, Accreditation, and Security Ass 611CA-1 Certification, AccredCertification, Accreditation, and Security Ass 613CA-1 Certification, AccredCertification, Accreditation, and Security Ass 614CA-1 Certification, AccredCertification, Accreditation, and Security Ass 811CA-1 Certification, AccredCertification, Accreditation, and Security Ass 1011CA-1 Certification, AccredCertification, Accreditation, and Security Ass 1511CA-1 Certification, AccredCertification, Accreditation, and Security Ass 1521CA-2 Certification, AccredSecurity Assessments 618CA-2 Certification, AccredSecurity Assessments 1032CA-2 Certification, AccredSecurity Assessments 1521CA-2 Certification, AccredSecurity Assessments 1522CA-3 Certification, AccredInformation System Connections 621CA-3 Certification, AccredInformation System Connections 623CA-3 Certification, AccredInformation System Connections 1061CA-3 Certification, AccredInformation System Connections 1081CA-3 Certification, AccredInformation System Connections 1082CA-3 Certification, AccredInformation System Connections 1085CA-3 Certification, AccredInformation System Connections 1142CA-4 Certification, AccredSecurity Certification 1032CA-5 Certification, AccredPlan of Action and Milestones (leeg)CA-6 Certification, AccredSecurity Accreditation 614CA-6 Certification, AccredSecurity Accreditation 1032CA-7 Certification, AccredContinuous Monitoring 618CA-7 Certification, AccredContinuous Monitoring 1521

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

CA-7 Certification, AccredContinuous Monitoring 1522CM-1 Configuration Mana Configuration Management Policy and Proc 511CM-1 Configuration Mana Configuration Management Policy and Proc 512CM-1 Configuration Mana Configuration Management Policy and Proc 611CM-1 Configuration Mana Configuration Management Policy and Proc 613CM-1 Configuration Mana Configuration Management Policy and Proc 811CM-1 Configuration Mana Configuration Management Policy and Proc 1011CM-1 Configuration Mana Configuration Management Policy and Proc 1012CM-1 Configuration Mana Configuration Management Policy and Proc 1241CM-1 Configuration Mana Configuration Management Policy and Proc 1251CM-1 Configuration Mana Configuration Management Policy and Proc 1511CM-1 Configuration Mana Configuration Management Policy and Proc 1521CM-2 Configuration Mana Baseline Configuration 1241CM-2 Configuration Mana Baseline Configuration 1014CM-3 Configuration Mana Configuration Change Control 1011CM-3 Configuration Mana Configuration Change Control 1012CM-3 Configuration Mana Configuration Change Control 1032CM-3 Configuration Mana Configuration Change Control 1241CM-3 Configuration Mana Configuration Change Control 1251CM-3 Configuration Mana Configuration Change Control 1252CM-3 Configuration Mana Configuration Change Control 1253CM-4 Configuration Mana Monitoring Configuration Changes 1012CM-4 Configuration Mana Monitoring Configuration Changes 1032CM-4 Configuration Mana Monitoring Configuration Changes 1241CM-4 Configuration Mana Monitoring Configuration Changes 1252CM-4 Configuration Mana Monitoring Configuration Changes 1253CM-5 Configuration Mana Access Restrictions for Change 1012CM-5 Configuration Mana Access Restrictions for Change 1111

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

CM-5 Configuration Mana Access Restrictions for Change 1161CM-5 Configuration Mana Access Restrictions for Change 1241CM-5 Configuration Mana Access Restrictions for Change 1243CM-5 Configuration Mana Access Restrictions for Change 1253CM-6 Configuration Mana Configuration Settings (leeg)CM-7 Configuration Mana Least Functionality (leeg)CM-8 Configuration Mana Information System Component Inventory 711CM-8 Configuration Mana Information System Component Inventory 712CP-1 Contingency Planni Contingency Planning Policy and Procedure 511CP-1 Contingency Planni Contingency Planning Policy and Procedure 512CP-1 Contingency Planni Contingency Planning Policy and Procedure 611CP-1 Contingency Planni Contingency Planning Policy and Procedure 613CP-1 Contingency Planni Contingency Planning Policy and Procedure 811CP-1 Contingency Planni Contingency Planning Policy and Procedure 914CP-1 Contingency Planni Contingency Planning Policy and Procedure 1011CP-1 Contingency Planni Contingency Planning Policy and Procedure 1012CP-1 Contingency Planni Contingency Planning Policy and Procedure 1411CP-1 Contingency Planni Contingency Planning Policy and Procedure 1413CP-1 Contingency Planni Contingency Planning Policy and Procedure 1511CP-1 Contingency Planni Contingency Planning Policy and Procedure 1521CP-2 Contingency Planni Contingency Plan 612CP-2 Contingency Planni Contingency Plan 914CP-2 Contingency Planni Contingency Plan 1031CP-2 Contingency Planni Contingency Plan 1411CP-2 Contingency Planni Contingency Plan 1412CP-2 Contingency Planni Contingency Plan 1413CP-2 Contingency Planni Contingency Plan 1414CP-2 Contingency Planni Contingency Plan 1415

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

CP-3 Contingency Planni Contingency Training 822CP-3 Contingency Planni Contingency Training 914CP-3 Contingency Planni Contingency Training 1413CP-4 Contingency Planni Contingency Plan Testing and Exercises 612CP-4 Contingency Planni Contingency Plan Testing and Exercises 914CP-4 Contingency Planni Contingency Plan Testing and Exercises 1411CP-4 Contingency Planni Contingency Plan Testing and Exercises 1413CP-4 Contingency Planni Contingency Plan Testing and Exercises 1414CP-4 Contingency Planni Contingency Plan Testing and Exercises 1415CP-5 Contingency Planni Contingency Plan Update 1413CP-5 Contingency Planni Contingency Plan Update 1415CP-6 Contingency Planni Alternate Storage Site 914CP-6 Contingency Planni Alternate Storage Site 1413CP-7 Contingency Planni Alternate Processing Site 914CP-7 Contingency Planni Alternate Processing Site 1413CP-8 Contingency Planni Telecommunications Services 914CP-8 Contingency Planni Telecommunications Services 1061CP-8 Contingency Planni Telecommunications Services 1413CP-9 Contingency Planni Information System Backup 914CP-9 Contingency Planni Information System Backup 1051CP-9 Contingency Planni Information System Backup 1413CP-9 Contingency Planni Information System Backup 1513CP-10 Contingency Planni Information System Recovery and Reconstit 914CP-10 Contingency Planni Information System Recovery and Reconstit 1413IA-1 Identification and AuIdentification and Authentication Policy and 511IA-1 Identification and AuIdentification and Authentication Policy and 512IA-1 Identification and AuIdentification and Authentication Policy and 611IA-1 Identification and AuIdentification and Authentication Policy and 613

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

IA-1 Identification and AuIdentification and Authentication Policy and 811IA-1 Identification and AuIdentification and Authentication Policy and 1011IA-1 Identification and AuIdentification and Authentication Policy and 1121IA-1 Identification and AuIdentification and Authentication Policy and 1511IA-1 Identification and AuIdentification and Authentication Policy and 1521IA-2 Identification and AuUser Identification and Authentication 1132IA-2 Identification and AuUser Identification and Authentication 1151IA-2 Identification and AuUser Identification and Authentication 1152IA-2 Identification and AuUser Identification and Authentication 1153IA-3 Identification and AuDevice Identification and Authentication 1143IA-4 Identification and AuIdentifier Management 1152IA-5 Identification and AuAuthenticator Management 1121IA-5 Identification and AuAuthenticator Management 1123IA-5 Identification and AuAuthenticator Management 1131IA-5 Identification and AuAuthenticator Management 1152IA-5 Identification and AuAuthenticator Management 1153IA-6 Identification and AuAuthenticator Feedback 1151IA-7 Identification and AuCryptographic Module Authentication 1231IA-7 Identification and AuCryptographic Module Authentication 1511IA-7 Identification and AuCryptographic Module Authentication 1516IA-7 Identification and AuCryptographic Module Authentication 1521IR-1 Incident Response Incident Response Policy and Procedures 511IR-1 Incident Response Incident Response Policy and Procedures 512IR-1 Incident Response Incident Response Policy and Procedures 611IR-1 Incident Response Incident Response Policy and Procedures 613IR-1 Incident Response Incident Response Policy and Procedures 811IR-1 Incident Response Incident Response Policy and Procedures 1011IR-1 Incident Response Incident Response Policy and Procedures 1311

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

IR-1 Incident Response Incident Response Policy and Procedures 1321IR-1 Incident Response Incident Response Policy and Procedures 1511IR-1 Incident Response Incident Response Policy and Procedures 1521IR-2 Incident Response Incident Response Training 822IR-3 Incident Response Incident Response Testing and Exercises (leeg)IR-4 Incident Response Incident Handling 612IR-4 Incident Response Incident Handling 1322IR-4 Incident Response Incident Handling 1323IR-5 Incident Response Incident Monitoring (leeg)IR-6 Incident Response Incident Reporting 616IR-6 Incident Response Incident Reporting 1311IR-7 Incident Response Incident Response Assistance (leeg)MA-1 Maintenance System Maintenance Policy and Procedures 511MA-1 Maintenance System Maintenance Policy and Procedures 512MA-1 Maintenance System Maintenance Policy and Procedures 611MA-1 Maintenance System Maintenance Policy and Procedures 613MA-1 Maintenance System Maintenance Policy and Procedures 811MA-1 Maintenance System Maintenance Policy and Procedures 924MA-1 Maintenance System Maintenance Policy and Procedures 1011MA-1 Maintenance System Maintenance Policy and Procedures 1511MA-1 Maintenance System Maintenance Policy and Procedures 1521MA-2 Maintenance Controlled Maintenance 924MA-3 Maintenance Maintenance Tools 924MA-3 Maintenance Maintenance Tools 1144MA-4 Maintenance Remote Maintenance 924MA-4 Maintenance Remote Maintenance 1144MA-5 Maintenance Maintenance Personnel 1243MA-5 Maintenance Maintenance Personnel 924

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

MA-6 Maintenance Timely Maintenance 924MP-1 Media Protection Media Protection Policy and Procedures 511MP-1 Media Protection Media Protection Policy and Procedures 512MP-1 Media Protection Media Protection Policy and Procedures 611MP-1 Media Protection Media Protection Policy and Procedures 613MP-1 Media Protection Media Protection Policy and Procedures 811MP-1 Media Protection Media Protection Policy and Procedures 1011MP-1 Media Protection Media Protection Policy and Procedures 1071MP-1 Media Protection Media Protection Policy and Procedures 1072MP-1 Media Protection Media Protection Policy and Procedures 1073MP-1 Media Protection Media Protection Policy and Procedures 1111MP-1 Media Protection Media Protection Policy and Procedures 1511MP-1 Media Protection Media Protection Policy and Procedures 1513MP-1 Media Protection Media Protection Policy and Procedures 1521MP-2 Media Protection Media Access 722MP-2 Media Protection Media Access 1071MP-2 Media Protection Media Access 1073MP-3 Media Protection Media Labeling 722MP-3 Media Protection Media Labeling 1071MP-3 Media Protection Media Labeling 1073MP-4 Media Protection Media Storage 1071MP-4 Media Protection Media Storage 1073MP-4 Media Protection Media Storage 1074MP-4 Media Protection Media Storage 1513MP-5 Media Protection Media Transport 925MP-5 Media Protection Media Transport 927MP-5 Media Protection Media Transport 1071MP-5 Media Protection Media Transport 1073

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

MP-5 Media Protection Media Transport 1083MP-6 Media Protection Media Sanitization and Disposal 926MP-6 Media Protection Media Sanitization and Disposal 1071MP-6 Media Protection Media Sanitization and Disposal 1072MP-6 Media Protection Media Sanitization and Disposal 1073PE-1 Physical and EnviroPhysical and Environmental Protection Polic 511PE-1 Physical and EnviroPhysical and Environmental Protection Polic 512PE-1 Physical and EnviroPhysical and Environmental Protection Polic 611PE-1 Physical and EnviroPhysical and Environmental Protection Polic 613PE-1 Physical and EnviroPhysical and Environmental Protection Polic 811PE-1 Physical and EnviroPhysical and Environmental Protection Polic 914PE-1 Physical and EnviroPhysical and Environmental Protection Polic 921PE-1 Physical and EnviroPhysical and Environmental Protection Polic 922PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1011PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1111PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1121PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1122PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1511PE-1 Physical and EnviroPhysical and Environmental Protection Polic 1521PE-2 Physical and EnviroPhysical Access Authorizations 915PE-2 Physical and EnviroPhysical Access Authorizations 1121PE-2 Physical and EnviroPhysical Access Authorizations 1122PE-2 Physical and EnviroPhysical Access Authorizations 1124PE-3 Physical and EnviroPhysical Access Control 911PE-3 Physical and EnviroPhysical Access Control 912PE-3 Physical and EnviroPhysical Access Control 913PE-3 Physical and EnviroPhysical Access Control 915PE-3 Physical and EnviroPhysical Access Control 916

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

PE-3 Physical and EnviroPhysical Access Control 1132PE-3 Physical and EnviroPhysical Access Control 1144PE-4 Physical and EnviroAccess Control for Transmission Medium 913PE-4 Physical and EnviroAccess Control for Transmission Medium 915PE-4 Physical and EnviroAccess Control for Transmission Medium 923PE-5 Physical and EnviroAccess Control for Display Medium 912PE-5 Physical and EnviroAccess Control for Display Medium 913PE-5 Physical and EnviroAccess Control for Display Medium 1061PE-5 Physical and EnviroAccess Control for Display Medium 1132PE-6 Physical and EnviroMonitoring Physical Access 912PE-6 Physical and EnviroMonitoring Physical Access 915PE-6 Physical and EnviroMonitoring Physical Access 10102PE-7 Physical and EnviroVisitor Control 912PE-7 Physical and EnviroVisitor Control 915PE-7 Physical and EnviroVisitor Control 916PE-8 Physical and EnviroAccess Records 915PE-8 Physical and EnviroAccess Records 10102PE-8 Physical and EnviroAccess Records 1521PE-9 Physical and EnviroPower Equipment and Power Cabling 914PE-9 Physical and EnviroPower Equipment and Power Cabling 922PE-9 Physical and EnviroPower Equipment and Power Cabling 923PE-10 Physical and EnviroEmergency Shutoff 914PE-11 Physical and EnviroEmergency Power 914PE-11 Physical and EnviroEmergency Power 922PE-12 Physical and EnviroEmergency Lighting 922PE-13 Physical and EnviroFire Protection 914PE-14 Physical and EnviroTemperature and Humidity Controls 922PE-15 Physical and EnviroWater Damage Protection 914

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

PE-16 Physical and EnviroDelivery and Removal 916PE-16 Physical and EnviroDelivery and Removal 927PE-16 Physical and EnviroDelivery and Removal 1071PE-17 Physical and EnviroAlternate Work Site 925PE-17 Physical and EnviroAlternate Work Site 1172PE-18 Physical and EnviroLocation of Information System Components 921PE-18 Physical and EnviroLocation of Information System Components 1132PE-19 Physical and EnviroInformation Leakage 1254PL-1 Planning Security Planning Policy and Procedures 511PL-1 Planning Security Planning Policy and Procedures 512PL-1 Planning Security Planning Policy and Procedures 611PL-1 Planning Security Planning Policy and Procedures 612PL-1 Planning Security Planning Policy and Procedures 613PL-1 Planning Security Planning Policy and Procedures 811PL-1 Planning Security Planning Policy and Procedures 1011PL-1 Planning Security Planning Policy and Procedures 1511PL-1 Planning Security Planning Policy and Procedures 1521PL-2 Planning System Security Plan (leeg)PL-3 Planning System Security Plan Update (leeg)PL-4 Planning Rules of Behavior 615PL-4 Planning Rules of Behavior 622PL-4 Planning Rules of Behavior 713PL-4 Planning Rules of Behavior 811PL-4 Planning Rules of Behavior 813PL-4 Planning Rules of Behavior 821PL-4 Planning Rules of Behavior 915PL-4 Planning Rules of Behavior 1081PL-4 Planning Rules of Behavior 1171

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

PL-4 Planning Rules of Behavior 1172PL-4 Planning Rules of Behavior 1241PL-4 Planning Rules of Behavior 1312PL-4 Planning Rules of Behavior 1515PL-5 Planning Privacy Impact Assessment 1514PL-6 Planning Security-Related Activity Planning 612PL-6 Planning Security-Related Activity Planning 1531PS-1 Personnel Security Personnel Security Policy and Procedures 511PS-1 Personnel Security Personnel Security Policy and Procedures 512PS-1 Personnel Security Personnel Security Policy and Procedures 611PS-1 Personnel Security Personnel Security Policy and Procedures 613PS-1 Personnel Security Personnel Security Policy and Procedures 811PS-1 Personnel Security Personnel Security Policy and Procedures 1011PS-1 Personnel Security Personnel Security Policy and Procedures 1511PS-1 Personnel Security Personnel Security Policy and Procedures 1521PS-2 Personnel Security Position Categorization 811PS-3 Personnel Security Personnel Screening 812PS-4 Personnel Security Personnel Termination 831PS-4 Personnel Security Personnel Termination 832PS-4 Personnel Security Personnel Termination 833PS-5 Personnel Security Personnel Transfer 831PS-5 Personnel Security Personnel Transfer 832PS-5 Personnel Security Personnel Transfer 833PS-6 Personnel Security Access Agreements 615PS-6 Personnel Security Access Agreements 811PS-6 Personnel Security Access Agreements 813PS-6 Personnel Security Access Agreements 821PS-6 Personnel Security Access Agreements 915

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

PS-6 Personnel Security Access Agreements 1081PS-6 Personnel Security Access Agreements 1171PS-6 Personnel Security Access Agreements 1172PS-6 Personnel Security Access Agreements 1515PS-7 Personnel Security Third-Party Personnel Security 623PS-7 Personnel Security Third-Party Personnel Security 811PS-7 Personnel Security Third-Party Personnel Security 821PS-7 Personnel Security Third-Party Personnel Security 813PS-8 Personnel Security Personnel Sanctions 823PS-8 Personnel Security Personnel Sanctions 1515RA-1 Risk Assessment Risk Assessment Policy and Procedures 511RA-1 Risk Assessment Risk Assessment Policy and Procedures 512RA-1 Risk Assessment Risk Assessment Policy and Procedures 611RA-1 Risk Assessment Risk Assessment Policy and Procedures 613RA-1 Risk Assessment Risk Assessment Policy and Procedures 811RA-1 Risk Assessment Risk Assessment Policy and Procedures 1011RA-1 Risk Assessment Risk Assessment Policy and Procedures 1412RA-1 Risk Assessment Risk Assessment Policy and Procedures 1511RA-1 Risk Assessment Risk Assessment Policy and Procedures 1521RA-2 Risk Assessment Security Categorization 721RA-2 Risk Assessment Security Categorization 1412RA-3 Risk Assessment Risk Assessment 621RA-3 Risk Assessment Risk Assessment 1023RA-3 Risk Assessment Risk Assessment 1261RA-3 Risk Assessment Risk Assessment 1412RA-3 Risk Assessment Risk Assessment 41RA-3 Risk Assessment Risk Assessment 42RA-4 Risk Assessment Risk Assessment Update 41

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

RA-5 Risk Assessment Vulnerability Scanning 1261RA-5 Risk Assessment Vulnerability Scanning 1522SA-1 System and ServiceSystem and Services Acquisition Policy and 511SA-1 System and ServiceSystem and Services Acquisition Policy and 512SA-1 System and ServiceSystem and Services Acquisition Policy and 611SA-1 System and ServiceSystem and Services Acquisition Policy and 613SA-1 System and ServiceSystem and Services Acquisition Policy and 621SA-1 System and ServiceSystem and Services Acquisition Policy and 811SA-1 System and ServiceSystem and Services Acquisition Policy and 1011SA-1 System and ServiceSystem and Services Acquisition Policy and 1211SA-1 System and ServiceSystem and Services Acquisition Policy and 1255SA-1 System and ServiceSystem and Services Acquisition Policy and 1511SA-1 System and ServiceSystem and Services Acquisition Policy and 1521SA-2 System and ServiceAllocation of Resources 612SA-2 System and ServiceAllocation of Resources 1031SA-3 System and ServiceLife Cycle Support 1211SA-4 System and ServiceAcquisitions 1211SA-4 System and ServiceAcquisitions 1255SA-5 System and ServiceInformation System Documentation 1074SA-5 System and ServiceInformation System Documentation 1513SA-6 System and ServiceSoftware Usage Restrictions 1241SA-6 System and ServiceSoftware Usage Restrictions 1255SA-6 System and ServiceSoftware Usage Restrictions 1512SA-7 System and ServiceUser Installed Software 1241SA-7 System and ServiceUser Installed Software 1255SA-7 System and ServiceUser Installed Software 1512SA-8 System and ServiceSecurity Engineering Principles 1041SA-8 System and ServiceSecurity Engineering Principles 1042

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

SA-8 System and ServiceSecurity Engineering Principles 1145SA-8 System and ServiceSecurity Engineering Principles 1255SA-9 System and ServiceExternal Information System Services 615SA-9 System and ServiceExternal Information System Services 621SA-9 System and ServiceExternal Information System Services 623SA-9 System and ServiceExternal Information System Services 811SA-9 System and ServiceExternal Information System Services 821SA-9 System and ServiceExternal Information System Services 1021SA-9 System and ServiceExternal Information System Services 1022SA-9 System and ServiceExternal Information System Services 1023SA-9 System and ServiceExternal Information System Services 1062SA-9 System and ServiceExternal Information System Services 1082SA-9 System and ServiceExternal Information System Services 1255SA-10 System and ServiceDeveloper Configuration Management 1243SA-10 System and ServiceDeveloper Configuration Management 1251SA-10 System and ServiceDeveloper Configuration Management 1255SA-11 System and ServiceDeveloper Security Testing 1032SA-11 System and ServiceDeveloper Security Testing 1255SC-1 System and CommuSystem and Communications Protection Po 511SC-1 System and CommuSystem and Communications Protection Po 512SC-1 System and CommuSystem and Communications Protection Po 611SC-1 System and CommuSystem and Communications Protection Po 613SC-1 System and CommuSystem and Communications Protection Po 811SC-1 System and CommuSystem and Communications Protection Po 1011SC-1 System and CommuSystem and Communications Protection Po 1511SC-1 System and CommuSystem and Communications Protection Po 1521SC-2 System and CommuApplication Partitioning 1041SC-2 System and CommuApplication Partitioning 1042

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

SC-3 System and CommuSecurity Function Isolation 1041SC-3 System and CommuSecurity Function Isolation 1042SC-3 System and CommuSecurity Function Isolation 1091SC-3 System and CommuSecurity Function Isolation 1092SC-4 System and CommuInformation in Shared Resources (leeg)SC-5 System and CommuDenial of Service Protection 1031SC-6 System and CommuResource Priority (leeg)SC-7 System and CommuBoundary Protection 621SC-7 System and CommuBoundary Protection 1041SC-7 System and CommuBoundary Protection 1042SC-7 System and CommuBoundary Protection 1061SC-7 System and CommuBoundary Protection 1081SC-7 System and CommuBoundary Protection 1091SC-7 System and CommuBoundary Protection 1092SC-7 System and CommuBoundary Protection 10102SC-7 System and CommuBoundary Protection 1145SC-7 System and CommuBoundary Protection 1146SC-8 System and CommuTransmission Integrity 1042SC-8 System and CommuTransmission Integrity 1061SC-8 System and CommuTransmission Integrity 1062SC-8 System and CommuTransmission Integrity 1091SC-8 System and CommuTransmission Integrity 1092SC-8 System and CommuTransmission Integrity 1223SC-8 System and CommuTransmission Integrity 1231SC-9 System and CommuTransmission Confidentiality 1061SC-9 System and CommuTransmission Confidentiality 1062SC-9 System and CommuTransmission Confidentiality 1091SC-9 System and CommuTransmission Confidentiality 1092

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

SC-9 System and CommuTransmission Confidentiality 1231SC-10 System and CommuNetwork Disconnect 1061SC-10 System and CommuNetwork Disconnect 1132SC-10 System and CommuNetwork Disconnect 1151SC-10 System and CommuNetwork Disconnect 1155SC-11 System and CommuTrusted Path (leeg)SC-12 System and CommuCryptographic Key Establishment and Mana 1232SC-13 System and CommuUse of Cryptography 1231SC-13 System and CommuUse of Cryptography 1516SC-14 System and CommuPublic Access Protections 1041SC-14 System and CommuPublic Access Protections 1042SC-14 System and CommuPublic Access Protections 1091SC-14 System and CommuPublic Access Protections 1092SC-14 System and CommuPublic Access Protections 1093SC-15 System and CommuCollaborative Computing (leeg)SC-16 System and CommuTransmission of Security Parameters 722SC-16 System and CommuTransmission of Security Parameters 1081SC-17 System and CommuPublic Key Infrastructure Certificates 1232SC-18 System and CommuMobile Code 1042SC-19 System and CommuVoice Over Internet Protocol 1061SC-20 System and CommuSecure Name /Address Resolution Service ( 1061SC-21 System and CommuSecure Name /Address Resolution Service ( 1061SC-22 System and CommuArchitecture and Provisioning for Name/Add 1061SC-23 System and CommuSession Authenticity 1061SI-1 System and InformaSystem and Information Integrity Policy and 511SI-1 System and InformaSystem and Information Integrity Policy and 512SI-1 System and InformaSystem and Information Integrity Policy and 611SI-1 System and InformaSystem and Information Integrity Policy and 613

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

SI-1 System and InformaSystem and Information Integrity Policy and 811SI-1 System and InformaSystem and Information Integrity Policy and 1011SI-1 System and InformaSystem and Information Integrity Policy and 1511SI-1 System and InformaSystem and Information Integrity Policy and 1521SI-2 System and InformaFlaw Remediation 10105SI-2 System and InformaFlaw Remediation 1252SI-2 System and InformaFlaw Remediation 1261SI-2 System and InformaFlaw Remediation 1312SI-3 System and InformaMalicious Code Protection 1041SI-4 System and InformaInformation System Monitoring Tools and Te 10102SI-4 System and InformaInformation System Monitoring Tools and Te 1311SI-4 System and InformaInformation System Monitoring Tools and Te 1312SI-5 System and InformaSecurity Alerts, Advisories, and Directives 10102SI-5 System and InformaSecurity Alerts, Advisories, and Directives 1311SI-5 System and InformaSecurity Alerts, Advisories, and Directives 1312SI-6 System and InformaSecurity Functionality Verification (leeg)SI-7 System and InformaSoftware and Information Integrity 1041SI-7 System and InformaSoftware and Information Integrity 1222SI-7 System and InformaSoftware and Information Integrity 1223SI-8 System and InformaSpam Protection (leeg)SI-9 System and InformaInformation Input Restrictions 1081SI-9 System and InformaInformation Input Restrictions 1111SI-9 System and InformaInformation Input Restrictions 1122SI-9 System and InformaInformation Input Restrictions 1222SI-10 System and InformaInformation Accuracy, Completeness, Validi 1221SI-10 System and InformaInformation Accuracy, Completeness, Validi 1222SI-11 System and InformaError Handling (leeg)SI-12 System and InformaInformation Output Handling and Retention 1073

Bijlage 2: mapping van NIST naar ISO

NIST MaatregNIST Hoofdstuk NIST Beschrijving ISO Maatregel

Deze mapping is gemaakt vanuit de NIST 800-53 maatregelen en hier tegenover zijn de ISO 27002 maatregelen gezet. Indien geen ISO maatregel is genoemd in de eerste kolom maar wel een NIST maatregel in de vierde kolom betekent dat er een witte vlek is geidentificeerd.

SI-12 System and InformaInformation Output Handling and Retention 1513SI-12 System and InformaInformation Output Handling and Retention 1514SI-12 System and InformaInformation Output Handling and Retention 1521

Bijlage 3: mapping van ISO naar de ISF

ISO maatregel ISO beschrijving ISF Maatregel511 Information security policy document 30512 Review of the information security policy 56611 Management commitment to information security 30611 Management commitment to information security 41612 Information security co-ordination 39612 Information security co-ordination 54613 Allocation of information security responsibilities 28613 Allocation of information security responsibilities 54614 Authorization process for information processing facilities 72615 Confidentiality agreements 65616 Contact with authorities617 Contact with special interest groups618 Independent review of information security 56621 Identification of risks related to external parties 27621 Identification of risks related to external parties 43621 Identification of risks related to external parties 70622 Addressing security when dealing with customers 43622 Addressing security when dealing with customers 70623 Addressing security in third party agreements 43623 Addressing security in third party agreements 70711 Inventory of assets 4711 Inventory of assets 37712 Ownership of assets 54713 Acceptable use of assets 14713 Acceptable use of assets 21713 Acceptable use of assets 35713 Acceptable use of assets 46713 Acceptable use of assets 75721 Classification guidelines 5721 Classification guidelines 9721 Classification guidelines 34722 Information labeling and handling 25811 Roles and responsibilities 54812 Screening 65813 Terms and conditions of employment 65821 Management responsibilities 41822 Information security awareness, education, and training 57822 Information security awareness, education, and training 58823 Disciplinary process 30823 Disciplinary process 57831 Termination responsibilities 65832 Return of assets 4832 Return of assets 54833 Removal of access rights 1833 Removal of access rights 24833 Removal of access rights 54911 Physical security perimeter 45912 Physical entry controls 45913 Securing offices, rooms, and facilities 45914 Protecting against external and environmental threats 22

Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

Bijlage 3: mapping van ISO naar de ISF

ISO maatregel ISO beschrijving ISF Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

914 Protecting against external and environmental threats 45915 Working in secure areas 45916 Public access, delivery, and loading areas 45921 Equipment siting and protection 22922 Supporting utilities 22922 Supporting utilities 45922 Supporting utilities 53923 Cabling security 22923 Cabling security 45923 Cabling security 53924 Equipment maintenance 22924 Equipment maintenance 45924 Equipment maintenance 53925 Security of equipment off-premises 52925 Security of equipment off-premises 76926 Secure disposal or re-use of equipment 21927 Removal of property 4927 Removal of property 541011 Documented operating procedures 541012 Change management 81013 Segregation of duties 541014 Separation of development, test, and operational facilities 121021 Service delivery 431021 Service delivery 611021 Service delivery 701022 Monitoring and review of third party services 431022 Monitoring and review of third party services 611023 Managing changes to third party services 81023 Managing changes to third party services 561031 Capacity management 661032 System acceptance 501032 System acceptance 671032 System acceptance 681032 System acceptance 691041 Controls against malicious code 401042 Controls against mobile code 401051 Information back-up 61061 Network controls 421061 Network controls 591061 Network controls 601062 Security of network services 421062 Security of network services 591062 Security of network services 601071 Management of removable media 211072 Disposal of media 211073 Information handling procedures 211074 Security of system documentation 111074 Security of system documentation 421081 Information exchange policies and procedures 701082 Exchange agreements 70

Bijlage 3: mapping van ISO naar de ISF

ISO maatregel ISO beschrijving ISF Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

1083 Physical media in transit 211084 Electronic messaging 141084 Electronic messaging 331084 Electronic messaging 631084 Electronic messaging 731085 Business information systems 51085 Business information systems 91085 Business information systems 341085 Business information systems 641091 Electronic commerce 31091 Electronic commerce 131091 Electronic commerce 491091 Electronic commerce 711091 Electronic commerce 741092 On-line transactions 111092 On-line transactions 381092 On-line transactions 491093 Publicly available information 251093 Publicly available information 2610101 Audit logging 3610101 Audit logging 6610102 Monitoring system use 3610102 Monitoring system use 6610103 Protection of log information 510103 Protection of log information 2510103 Protection of log information 3410104 Administrator and operator logs 3610104 Administrator and operator logs 6610105 Fault logging 6610106 Clock synchronization 181111 Access control policy 11111 Access control policy 301121 User registration 11121 User registration 241121 User registration 711122 Privilege management 11122 Privilege management 521122 Privilege management 541123 User password management 11123 User password management 721124 Review of user access rights 11124 Review of user access rights 241124 Review of user access rights 561131 Password use 11131 Password use 21131 Password use 31131 Password use 101131 Password use 161131 Password use 201131 Password use 24

Bijlage 3: mapping van ISO naar de ISF

ISO maatregel ISO beschrijving ISF Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

1131 Password use 301131 Password use 461131 Password use 491131 Password use 511131 Password use 521131 Password use 571131 Password use 581131 Password use 671131 Password use 711131 Password use 721131 Password use 741132 Unattended user equipment 301132 Unattended user equipment 521133 Clear desk and clear screen policy 91133 Clear desk and clear screen policy 211133 Clear desk and clear screen policy 231133 Clear desk and clear screen policy 301133 Clear desk and clear screen policy 451141 Policy on use of network services 71141 Policy on use of network services 301142 User authentication for external connections 11142 User authentication for external connections 241142 User authentication for external connections 711143 Equipment identification in networks 41143 Equipment identification in networks 101143 Equipment identification in networks 711144 Remote diagnostic and configuration port protection 171144 Remote diagnostic and configuration port protection 511145 Segregation in networks 171145 Segregation in networks 311145 Segregation in networks 421145 Segregation in networks 551146 Network connection control 11146 Network connection control 241146 Network connection control 301146 Network connection control 711147 Network routing control 101147 Network routing control 161147 Network routing control 171151 Secure log-on procedures 11151 Secure log-on procedures 621151 Secure log-on procedures 711152 User identification and authentication 11152 User identification and authentication 241152 User identification and authentication 711152 User identification and authentication 721153 Password management system 11153 Password management system 721154 Use of system utilities 31154 Use of system utilities 23

Bijlage 3: mapping van ISO naar de ISF

ISO maatregel ISO beschrijving ISF Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

1155 Session time-out 231155 Session time-out 761156 Limitation of connection time 161156 Limitation of connection time 621161 Information access restriction 11161 Information access restriction 31161 Information access restriction 301161 Information access restriction 711161 Information access restriction 721162 Sensitive system isolation 11162 Sensitive system isolation 91162 Sensitive system isolation 171162 Sensitive system isolation 251162 Sensitive system isolation 421171 Mobile computing and communications 331171 Mobile computing and communications 461171 Mobile computing and communications 631171 Mobile computing and communications 731172 Teleworking 511172 Teleworking 521211 Security requirements analysis and specification 21211 Security requirements analysis and specification 51211 Security requirements analysis and specification 91211 Security requirements analysis and specification 191211 Security requirements analysis and specification 341221 Input data validation 21221 Input data validation 31221 Input data validation 121221 Input data validation 191222 Control of internal processing 21222 Control of internal processing 31222 Control of internal processing 131222 Control of internal processing 191223 Message integrity 21223 Message integrity 31223 Message integrity 111223 Message integrity 121223 Message integrity 191223 Message integrity 341224 Output data validation 21224 Output data validation 31224 Output data validation 121224 Output data validation 191231 Policy on the use of cryptographic controls 111231 Policy on the use of cryptographic controls 301232 Key management 111232 Key management 301241 Control of operational software 21241 Control of operational software 31241 Control of operational software 40

Bijlage 3: mapping van ISO naar de ISF

ISO maatregel ISO beschrijving ISF Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

1241 Control of operational software 471242 Protection of system test data 691243 Access control to program source code 121243 Access control to program source code 151243 Access control to program source code 441243 Access control to program source code 711243 Access control to program source code 721251 Change control procedures 81251 Change control procedures 151251 Change control procedures 441251 Change control procedures 471251 Change control procedures 681252 Technical review of applications after operating system changes 81252 Technical review of applications after operating system changes 471252 Technical review of applications after operating system changes 691253 Restrictions on changes to software packages 81253 Restrictions on changes to software packages 151253 Restrictions on changes to software packages 441254 Information leakage 91255 Outsourced software development 121255 Outsourced software development 431261 Control of technical vulnerabilities 41261 Control of technical vulnerabilities 231261 Control of technical vulnerabilities 601311 Reporting information security events 281311 Reporting information security events 291311 Reporting information security events 301311 Reporting information security events 541312 Reporting security weaknesses 21312 Reporting security weaknesses 41312 Reporting security weaknesses 121312 Reporting security weaknesses 281312 Reporting security weaknesses 291312 Reporting security weaknesses 301312 Reporting security weaknesses 541312 Reporting security weaknesses 671312 Reporting security weaknesses 691321 Responsibilities and procedures 281321 Responsibilities and procedures 291321 Responsibilities and procedures 301321 Responsibilities and procedures 541322 Learning from information security incidents 181322 Learning from information security incidents 281322 Learning from information security incidents 291322 Learning from information security incidents 301322 Learning from information security incidents 571323 Collection of evidence1411 Including information security in the business continuity management process 71411 Including information security in the business continuity management process 411411 Including information security in the business continuity management process 57

Bijlage 3: mapping van ISO naar de ISF

ISO maatregel ISO beschrijving ISF Maatregel

Deze mapping is gemaakt vanuit ISO 27002 maatregelen. Tegenover deze maatregelen zijn de ISF maatregelen gezet. Indien een ISO maatregel is genoemd in de eerste kolom maar geen ISF maatregel in de derde kolom betekent dat er een witte vlek is geidentificeerd. Bij het doorlopen van de ISF gekoppelde maatregelen uit de mapping ISO naar ISF misten de volgende maatregelen welke dus niet in ISO staan verwerkt: 32:Installation process en 48: Power supplies

1412 Business continuity and risk assessment 71412 Business continuity and risk assessment 271413 Developing and implementing continuity plans including information security 71413 Developing and implementing continuity plans including information security 411413 Developing and implementing continuity plans including information security 571414 Business continuity planning framework 71415 Testing, maintaining and re-assessing business continuity plans 71511 Identification of applicable legislation 261511 Identification of applicable legislation 281511 Identification of applicable legislation 381511 Identification of applicable legislation 431511 Identification of applicable legislation 701512 Intellectual property rights (ipr) 381512 Intellectual property rights (ipr) 431512 Intellectual property rights (ipr) 701513 Protection of organizational records 51513 Protection of organizational records 251513 Protection of organizational records 341513 Protection of organizational records 381514 Data protection and privacy of personal information 251514 Data protection and privacy of personal information 261514 Data protection and privacy of personal information 381515 Prevention of misuse of information processing facilities 141515 Prevention of misuse of information processing facilities 331515 Prevention of misuse of information processing facilities 381516 Regulation of cryptographic controls 111516 Regulation of cryptographic controls 381521 Compliance with security policies and standards 301521 Compliance with security policies and standards 381522 Technical compliance checking 381531 Information systems audit control 561531 Information systems audit control 11531 Information systems audit control 411531 Information systems audit control 541531 Information systems audit control 561532 Protection of information systems audit tools 11532 Protection of information systems audit tools 91532 Protection of information systems audit tools 451532 Protection of information systems audit tools 561532 Protection of information systems audit tools 71

Bijlage 4: totaaloverzicht IB

Best practices

Wetgeving

Overigeregelgeving

Internationaleregelgeving

Tools

SecurityNormen &

Standaarden

Guidelines

InfoSEC model De kubus van McCumber voor Information AssuranceOok: kubus van Bautz

Octave

Risico analyse en plannings methode Carnegie Mellon / CERT

Zie ook:

CMM

CMMI

SSE-CMM

CISSP Common Body of Knowledge

Certificering op het gebied van SecMgmt

Common CriteriaCommon Criteria for IT Security Evaluation

= NEN 15408Voorloper:

BSI

Bundesamt fur Sicherheit in der Informationstechnik

Best practices voor IT inrichting

Baseline Protection Manual

GASSPGenerally Accepted System Security PrinciplesNu: GAISP

The Information Security forum

Sprint

SARA

Voor complexe organisatiesCiticus One

Opgevolgd door IRAM

ISF Standard of good practice

National Institute of Standards en TechnologyComputer Security Resource Center

BCM Business Continuity Model

Rainbow series

Asis InternationalGuidelinesSecurity Toolkit

Mitre Common Vulnerabilities and Exposures

PViB

Platform Informatiebeveiliging

Genootschap voor InformatiebeveilgingBasisnormen IB

Institute of Internal Auditors

GTAG

GAIT

NSA Security Configuration Guides

Windows Server 2003Defense in DepthInfosec GlossaryBEA WebLogic Platform Security Guide

Auditing

IT governance

Voor NL: Code TabaksblatGedragsregels voor

CoBIT

Six Sigma

Coso Enterprise Risk Management Integrated Framework

Beheer

MOFMicrosoft Operations FrameworkSecurity Risk Self-Assessment

IT Service CMM

ITILIT Security Management

IT Service Continuity managment

WCCWet op de computercriminaliteit

WBP

Wet voor de bescherming van persoonsgegevensVoorheen:Wet Persoonsregistratie

Mi.i.v. 1-9-2001

CBPCollege Bescherming Persoonsgegevens

Documenten

ArchiefwetWGBOWet op de geneeskundige behandelingsovereenkomst

Branche

Zorgverzekeraars NL

Gedragscode van de zorgverzekeraar

Convenant Privacy NPCF-ZN

Gedragscode bescherming persoonsgegevens zorgverzekeraarProtocol materiële controle

CTZSpeerpuntenonderzoek M&O-beleid

Regeling administratie en controle ziekenfondsen ZFW

Verbond Nederlandse VerzekeraarsGedragscode Verzekeraars

KNMGRichtlijnen inzake het omgaan met medische gegevens

Overheid

DNB

ROB

Vragenlijst ICT-risico´s bij verzekeraars en pensioenfondsen

Business Continuity planning en crisismanagement

FIRMFinanciële Instellingen Risicoanalyse MethodeBijlage D: Beoordelingscriteria beheersing

Visie op toezicht 2006-2010

Rijksoverheid

VIRRijksarchiefinspectieBinnenlandse zaken

Code Tabaksblat

US

Sarbanes Oxley

Rol van accountant bij controle op jaarrekeningVoor outsourcing:SAS70 verklaring

IT Control objectivesIT Governance institute

HIPAAHealth Insurance Portability and Accountability Act

Vergelijkbaar met NEN7510

FFIECInformation TechnologyExamination Handbook

EU

Basel II

Revised International Capital Framework

Operationeel Risico management frameworkBancaire wereld

Intenationaal opererendKrediet risico's

Solvency IIFinanciële reservers - risicomanagementVerzekeraars

Waarschijnlijk 2010 van kracht

Data Protection DirectiveData Protection Commisionar

IFRSInternational Fincial Reporting Standard

17799 Self assessment checklist

CrammRisico beheer

PAS 65

DRM toolkitCorasCossoChecklist

BSI-DISC guideline

GrIBGeïntegreerde informatiebeveiliging

Cobra

EsakaOndersteund A&K analyse

Achterhaald

Modellen

v3

Manual 2004

NIST-CSRC

gebaseerd op

GlobalTechnologyAuditGuide

Guide toAssessment ofgeneral IT controls

a.k.a. SOX

Security Normen en Standaarden.mmp - 11-11-2008 - v93 - Bert van Ingen

Bijlage 5: overzicht ISO standaarden

InformationTechnology I

MedischeInformatica

InformationTechnology II

Governance

Risicomanagement

Kwaliteit

ISOSecurity

SystemSecurityEngineering NEN-ISO 21827

Capability Maturity Model

SSE-CMM

BS 25777 seriesBS 25777-1 Code of practice for information and communications technology

ISO 25999 series

BS 25999-1BCM Part 1- Code of practice

Opvolger van PAS 77

BS 25999-2 BCM Part 2- Specification Draft

Gerelateerd

PAS 56:2003

BIP 2142 The Route Map to Business Continuity Management.

BIP 2151 Auditing Business Continuity Management Plans

BIP 2034 Disaster and Emergency Management Systems

BIP2143 Delivering successful business continuity management exercises

ISO 27000 series

Information security management Nieuwe nummering voor CvIBM.i.v. 2007

ISO 27001Information security management system

VoorheenNEN 7799-2 Managementsysteem voor informatiebeveiliging

ISO 27002

Code of Practice

Gelijk aan: ISO17799:2005

Voorheen

NEN-ISO/IEC 17799 Code voor informatiebeveiligingCvIB controls

BS 7799-1 Code of practice for information security management

ISO 27003 Information security management system implementation guidance

ISO 27004

Information security management metrics and measurements

VoorloperBIP 0074 Measuring the effectiveness of your ISMS

implementations based on ISO/IEC 27001

ISO 27005

Information security risk management

ISO versie van BS 7799-3

ISO 27006 Requirements for bodies providing audit and certification of information security management systems

ISO 27007 ISMS Auditor Guidelines

ISO 27011 Information security management guidelines for telecommunications

ISO 20000 series

ISO 20000-1 Specification

ISO 20000-2 Code of practice

NEN 7510

Informatiebeveiliging in de zorgAlgemeen

Subs

NEN 7511-1

NEN 7511-2

NEN 7511-3

NEN 7512Vertrouwensbasis voor gegevensuitwisseling

Afgeleid van NEN-ISO 17799:2005

NEN-EN 12251Beveiligde gebruikeridentificatie voor de gezondheidszorgBeheer en veiligheid voor authenticatie

door middel van wachtwoorden

NVN-ENV 12924Indeling van beveiliging en bescherming van informatiesystemen in de gezondheidszorg

ENV 13608

Beveiliging van communicatie

ENV 13608-1Concepten en terminologie

ENV 13608-2Beveiligde gegevenselementen

ENV 13608-3Kanalen voor beveiligde gegevens

SecurityTechniques

ISO/IEC 13335

ISO/IEC 13335-1Concepts and models

ISO/IEC TR 13335-2Managing and planning

Vervangen door ISO/IEC 13335-1

ISO/IEC TR 13335-3Techniques for the management of IT Security

Wordt vervangen door ISO/IEC 13335-2

ISO/IEC TR 13335-4Selection of Safeguards

Wordt vervangen door ISO/IEC 13335-2

ISO/IEC TR 13335-5Management guidance on network security

Wordt vervangen door ISO/IEC 18028-1

ISO/IEC 15408

Evaluatiecriteria voor IT veiligheid

15408-1

15408-2

15408-3

NPR-ISO/IEC TR 15446Guide for the production of Protection Profiles and Security Targets

NEN-ISO/IEC 15816Security information objects for access control

ISO/IEC 18028

18028-1Network Security ManagementVervangt ISO/IEC TR 13335-5

18028-2Network Security Architecture

18028-3Securing communications between networks using security gateways

18028-4Securing remote access

18028-5Securing communications across networks using virtual private networks

ISO 15443

15443-1Overview and framework

15443-2Assurance methods

15443-3Analysis of assurance methods

ISO 24762Guidelines for information and communications technology disaster recovery services

PAS 55

Asset managementPAS 55-1Specification for the optimized management of physical assets

PAS 55-2Guidelines for the application of PAS 55-1

ISO 38500Corporate Governance of Information TechnologyOpvolger van ISO/IEC PRF 29382

NPR-ISO/IEC Guide 73 Verklarende woordenlijst Richtlijnen voor het gebruik in normen

BS 31100 Code of Practice for Risk Management

ISO 9000ISO 9001

normcie381027

2002

ICTContinuity

draft

BusinessContinuity

2006

2007

2007

InformationSecurityManagment

2005 2004

20072005

2002/2000

2006

2008 2006

2007

ServiceManagement

2005

2005

normcie303001

2004

2005

2005

2005

2005

2004

1997

2000

2000

2000

normcie381027

Guidelines for themanagement of IT security

GIMTS

2004

1997

1998

2000

2001

=Common Criteria

2005

invulling van

2005

2005

2004

2002

IT NetworkSecurity

2006

2006

2005

2005

2006

IT securityassurance

2008

2008

2008

2008

normcie390012

2002

Draft 2008

Security Normen en Standaarden - ISO.mmp - 12-11-2008 - v19 - Bert van Ingen

1

Mark van der Beek

Ranil Korf

Hendrik-Jan Smit

Vincent Alwicher

Bart Bokhorst

Erno Duinhoven

Bert van Ingen

Kees Jongejans

Jeroen Lambregts

Paul Petraeus

Steven Timmer

PvIB Expertbrief – Januari 2009

Een Standaard keuze!

De aanleiding voor deze expertbrief is de groeiende behoefte aan een methode die leidt tot een adequate selectie van te implementeren informatiebeveiligingstandaarden. Door de vele standaarden die inmiddels bestaan binnen het vakgebied, zien we soms door de bomen het bos niet meer. Welke standaarden moeten we wanneer hanteren? Zijn alle standaarden even zinvol en/of toepasbaar in elke sector? Wat voor soort standaarden zijn er? Zomaar een greep uit de vragen die over dit onderwerp spelen. Deze expertgroep heeft zich gebogen over de vraag hoe zo’n proces eruit zou kunnen zien om te komen tot een adequate selectie van informatie- beveiligingstandaarden.

Pagina

2 INLEIDING EN SITUATIESCHETS

3 DE ONDERZOEKSVRAGEN

3 STANDAARDEN VOOR

INFORMATIEBEVEILIGING• Standaarden in het algemeen • Standaarden binnen informatiebeveiliging

5 PROCES VOOR SELECTIE

• De te doorlopen stappen

7 HULPMIDDEL: SELECTIECRITERIA

9 DISCUSSIEPUNTEN�

10 CONCLUSIES EN VERVOLG�

Bijlage 6: expert brief

2

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

INLEIDING EN SITUATIESCHETS

Tegenwoordig kunnen we niet meer om standaarden heen. Van een standaard voor het zetten van thee (ISO 3103) tot een standaard die drieletter codes definieert voor valuta (ISO 4217). Overal kom je ze tegen. Ook binnen het werkveld informatiebeveiliging hebben we met diverse nationale maar ook internationale standaarden te maken. In de afgelopen periode lijkt het aantal standaarden zelfs exponentieel te zijn gegroeid.

Deze wildgroei aan standaarden binnen het vakgebied informatiebeveiliging dwingt tot het maken van keuzes. Immers het conformeren aan alle bestaande standaarden brengt hoge kosten met zich mee en is praktisch onmogelijk. Er is een groot aantal redenen die het maken van een weloverwogen keuze van een standaard rechtvaardigen, zoals:

• Standaarden zijn er in overvloed; • Standaarden overlappen elkaar vaak; • Standaarden richten zich op verschillende partijen en/of niveaus in organisaties; • Standaarden kunnen verschillende structuren en benaderingen hebben; • Standaarden worden in verschillende talen aangeboden; • Standaarden kunnen zich richten op verschillende soorten controls, zoals: proces

controls, business controls, technische controls, applicatieve controls, user controls, etcetera;

• Standaarden kunnen variëren van technologie-afhankelijk tot technologie-onafhankelijk;

• Standaarden worden aangeboden en /of verplicht gesteld door diverse partijen;

De grote hoeveelheid aan beschikbare standaarden maakt het voor een organisatie een uitdaging om te komen tot een adequate selectie van standaarden. Adequaat betekent onder meer dat de gekozen standaarden bijdragen aan het behalen van de bedrijfsdoelstellingen en dat wordt voldaan aan de vereisten en ‘best practices’ van een mogelijke externe (regulerende) omgeving. Tevens dienen de gekozen standaarden te passen bij de cultuur en de volwassenheid van een organisatie. De vraag is nu hoe men kan komen tot een juiste selectie van standaarden. Een specifieke methodiek om te komen tot een keuze bestaat helaas niet. Dit is natuurlijk vreemd aangezien standaarden een uiterst relevant onderdeel vormen binnen het vakgebied informatiebeveiliging.

Een groep van informatiebeveiligingsexperts heeft tijdens een expertsessie, naar aanleiding van bovenstaande situatieschets, gekeken hoe het selectieproces van informatiebeveiligingstandaarden eruit zou kunnen zien. Het streven is om uiteindelijk een ‘standaard’ te ontwikkelen die een proces beschrijft voor het selecteren van standaarden.

Deze publicatie is een weergave van de resultaten van de expertsessie en is tot stand gekomen met medewerking van de op de voorpagina genoemde personen met Vincent Alwicher als probleemeigenaar, Erno Duinhoven als facilitator en Mark van der Beek, Ranil Korf en Hendrik-Jan Smit als ghostwriters, in het kader van hun afstudeeronderzoek (IT-audit opleiding) aan de Vrije Universiteit te Amsterdam.

3

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

DE ONDERZOEKSVRAGEN

De expertgroep heeft zich gebogen over de volgende centrale vraagstelling:

Wat is het ideale proces voor het selecteren van de meest geschikte en effectieve set van informatiebeveilingstandaarden?

Om deze vraag te beantwoorden zijn we tijdens de expertsessie tot de volgende twee deelvragen gekomen, welke de expertgroep graag wil beantwoorden:

• Welke stappen moeten worden doorlopen bij het selectieproces? • Wat zijn de criteria waarop je de diverse standaarden van elkaar kan onderscheiden?

Hierdoor kan een gerichte keuze gemaakt worden tussen verschillende (gedeeltes van) standaarden.

De expertgroep heeft zich vooraf gerealiseerd dat het onwaarschijnlijk is dat deze vragen in één expertsessie volledig beantwoord konden worden. Uiteindelijk wil zij door vervolgactiviteiten wel graag een volledig antwoord kunnen formuleren. Bovenal verwacht de expertgroep, met de in deze expertbrief voorgestelde aanpak, een doorstart te maken naar een serieuze aanpak die kan doorgroeien tot een methodiek.

STANDAARDEN VOOR INFORMATIEBEVEILIGING

Standaarden in het algemeen Wat is nu precies een standaard? Een standaard zet een principe of norm neer en kan aangeven hoe deze moet worden uitgewerkt en geïmplementeerd. In essentie is het een set van ‘best practices’ die zijn ontwikkeld door experts in het vakgebied. Standaarden ontstaan door praktijkervaring en beschikbare bestaande kennis in het vakgebied te combineren. Hier dient een zorgvuldig proces van totstandkoming aan vooraf te gaan wil het zinvolle resultaten opleveren. Er kan onderscheid gemaakt worden in:

• Bedrijfsspecifieke standaard (gehanteerd binnen een bepaalde organisatie)• Industriestandaard (gehanteerd door een min of meer officiële groep bedrijven) • De facto standaard (door de markt zelf bepaald) • De jure standaard (door bevoegd overheidsorgaan voorgeschreven)

Standaarden binnen informatiebeveiliging Er bestaan diverse standaarden binnen het vakgebied informatiebeveiliging. Het toepassen van informatiebeveiligingstandaarden is bedoeld om de beveiliging van informatie te optimaliseren, met name gericht op de aspecten: vertrouwelijkheid, integriteit en beschikbaarheid. In het navolgende zullen enkele belangrijke uitgevende organisaties van standaarden, met daarbij een aantal belangrijke standaarden, worden toegelicht. Het is niet de bedoeling een compleet overzicht te geven, maar om een indruk te geven van de diversiteit aan beschikbare standaarden.

4

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

ISODe International Organization for Standardization (ISO) is een internationale organisatie die normen vaststelt. De organisatie is een samenwerkingsverband van nationale standaardisatieorganisaties in 156 landen. ISO heeft op het gebied van informatie technologie een samenwerkingsverband met IEC (the International Electrotechnical Commission), waaruit onder andere de ISO 27000 serie is ontstaan. Enkele relevante en bekende informatiebeveiligingsstandaarden van ISO, met betrekking tot informatiebeveiliging, betreffen ISO 27001 en ISO 27002. De ISO 27001 specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ‘Information Security Management System’ (ISMS). ISO 27002, beter bekend als de ‘Code voor Informatiebeveiliging’, beschrijft normen en maatregelen, die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. Naast deze standaarden heeft ISO vele gedetailleerde (operationele) informatiebeveiligingstandaarden uitgegeven.

NISTDe ‘National Institute of Standards and Technology’ (NIST) is een onderdeel van het Amerikaanse ministerie van Economische Zaken. Bij NIST worden standaarden, voor Amerikaanse overheidsinstanties ontwikkeld ter bevordering van de innovatie en industriële concurrentie in de VS. Een relevante en bekende standaard van NIST betreft NIST SP 800-53: ‘Recommended Security Controls for Federal Information Systems'. In deze standaard worden de minimale beveiligingsmaatregelen opgesomd voor het realiseren van een acceptabel niveau van informatiebeveiliging. Naast deze standaard heeft NIST vele gedetailleerde (operationele) informatiebeveiligingstandaarden uitgegeven.

ISFHet Information Security Forum (ISF) is een internationale onafhankelijke non-profit organisatie gericht op benchmarking en best practices van informatiebeveiliging. The Standard of Good Practice (SGOP) is een belangrijke publicatie uit het ISF programma. Deze standaarden bieden gedetailleerde documentatie van geïdentificeerde ‘best practices’ voor informatiebeveiliging.

ISACADe ‘Information Systems Audit and Control Association’ (ISACA) is een Amerikaanse beroepsvereniging van IT-auditors en informatiebeveiligers. ISACA heeft als doel de uitoefening van het audit vakgebied op een hoger plan te brengen door het verder professionaliseren van het vakgebied en de leden van de vereniging te ondersteunen bij het uitoefenen van hun vak. Eind jaren negentig werd een algemeen raamwerk voor algemene IT-beheersmaatregelen ontwikkeld door ISACA en het IT Governance Institute (ITGI). Dit zijn de’Control Objectives for Information and related Technology’, oftewel CoBiT. Het CobiT framework is gebaseerd op het principe dat organisaties voorzien dienen te worden van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. CoBiT staat momenteel vooral in de vernieuwde belangstelling doordat deze bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en

5

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd.

PROCES VOOR SELECTIE

Om een keuze te maken voor standaarden die passend zijn voor een organisatie is het belangrijk om een gedegen selectieproces in te gaan. Echter voordat wordt gestart met het selectieproces, is het belangrijk te beseffen dat het in principe een keuze is voor de middellange tot lange termijn (>2 jaar). Het heroverwegen van gemaakte keuzes en overstappen naar andere standaarden is niet wenselijk. Dit hangt samen met kosten die het implementeren van standaarden met zich mee brengt, maar ook de (extra) kosten die gemaakt moeten worden indien men overschakelt naar andere standaarden. Hier kan men bijvoorbeeld denken aan de opgedane kennis en ervaring met een standaard die verloren gaat bij het overstappen naar een andere standaard.

De te doorlopen stappen

In deze paragraaf schetsen wij globaal een proces dat organisaties kunnen hanteren om te komen tot een keuze voor standaarden. Het proces bestaat uit de volgende stappen:

1. Bepalen ‘key stakeholders’; 2. Vaststelen score criteria van de ‘key stakeholders’; 3. Keuze (o.b.v. gewogen criteria); 4. ‘Nazorg’.

De verschillende stappen worden hieronder nader uitgewerkt.

Stap 1: Bepalen ‘key stakeholders’De eerste stap is het bepalen van de ‘key stakeholders’ met betrekking tot informatiebeveiliging binnen de organisatie. Bijvoorbeeld de afdeling Internal Audit, de Information Security Officer, de CEO en de CFO. Deze stap in het proces draagt bij aan het creëren van een breed draagvlak en acceptatie voor de gekozen standaarden. Zonder dit draagvlak zal het implementeren van de gekozen standaarden een moeizaam proces worden en zal het wellicht vertraging van de implementatie met zich meebrengen.

Stap 2: Input ‘key stakeholders’Het zijn de ‘key stakeholders’ die bepalen wat de belangrijkste aspecten zijn in de keuze voor bepaalde standaarden. Om de ‘key stakeholders’ handvatten te bieden zijn hier criteria opgesteld waarmee standaarden van elkaar kunnen worden onderscheiden. De volgende criteria zijn naar aanleiding van de expertsessie en een literatuurstudie opgesteld:

• breedte • diepte • flexibiliteit • ratio • kosten • acceptatie • taal

6

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

Deze lijst is niet uitputtend en kan voor individuele situaties aangevuld worden. Het inzicht hoe bepaalde standaarden ‘scoren’ op de diverse criteria is essentieel in het keuzeproces. Nadat het gehele proces is geschetst, zullen we een omschrijving geven van de verschillende criteria en is een eerste exercitie gedaan om de eerder besproken standaarden te positioneren op basis van deze criteria. De naar aanleiding hiervan ontstane tabel is een belangrijk hulpmiddel bij het selectieproces.

Stap 3: Keuze (o.b.v. gewogen criteria)De volgende stap in het proces is het uiteindelijk komen tot een keuze voor de meest passende standaard(en). Deze keuze is gebaseerd op de verschillende wegingen per criteria, toegekend door de diverse stakeholders en wordt uitgesproken door het verantwoordelijke management. Hierbij is het van belang dat de keuze van bepaalde standaarden aansluit op de bedrijfsdoelstellingen.

Stap 4: ‘Nazorg’ De laatste stap betreft de nazorg van de gemaakte keuze, ofwel is de keuze nog steeds de juiste. Als de standaarden slecht blijken te zijn geïmplementeerd, was het wellicht de verkeerde keuze en moeten andere standaarden worden overwogen.

In de volgende figuur is het proces schematisch weergegeven:

Om het uiteindelijke gebruik van de standaarden te vergemakkelijken wordt geadviseerd aan te sluiten bij dominante stromen die bepaalde zaken voorschrijven binnen de organisatie, bijvoorbeeld: compliance, risicomanagement, kwaliteitsdenken, -etc. Hiermee wordt het draagvlak en de acceptatie vergroot.

Input key stakeholders

Keuze (o.b.v. gewogen criteria)

Nazorg

Stap 2:

Stap 3:

Stap 4:

Stap 1: Bepalen key stakeholders

Hulpmiddel:

Criteria

‘Scoren’ +

‘Wegen’

‘Uitkomst’

7

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

HULPMIDDEL: SELECTIECRITERIA

Om een goede afweging te maken tussen bepaalde standaarden moeten ze onderling vergeleken kunnen worden. Hiertoe zijn selectiecriteria opgesteld. Wij hebben hierbij gekozen voor vier standaarden die onderling vergelijkbaar zijn: ISO 27002, NIST SP 800-53, ISF Standard of Good Practice en COBIT 4.1. Waar nodig zal worden verwezen naar overige standaarden uit de betreffende reeks (bijvoorbeeld in het geval van ISO, naar ISO 27001).

Daarnaast is het goed om in het achterhoofd te houden dat de selectiecriteria niet per se een positieve of negatieve impact hebben op een keuze. Bijvoorbeeld een breed geaccepteerde norm betekent niet meteen dat deze het beste past bij een bepaalde organisatie. Of dat minder brede standaarden niet nog steeds zeer bruikbaar zijn op bepaalde onderdelen omdat deze standaarden erg diepgaand zijn uitgewerkt. Met andere woorden, de factoren zijn bruikbaar om de verschillende standaarden te vergelijken, echter men kan niet verwachten dat een ‘hogere’ score altijd beter is. In het navolgende worden allereerst de onderscheiden criteria toegelicht.

BreedteDekt de betreffende standaard de belangrijkste beveiligingsdomeinen die de organisatie als belangrijk identificeert? Domeinen kunnen zowel IT als niet IT gerelateerd zijn (zoals fysieke en personele beveiliging).

Diepte:Bevatten de standaarden informatie op zowel strategisch, tactisch als operationeel gebied? Bijvoorbeeld: ISO werkt doelstellingen, beheersingsmaatregelen en implementatierichtlijnen gedetailleerd uit (tactisch en operationeel gebied) waar CobiT meer algemene doelstellingen geeft en minder concreet over de invulling er van spreekt (strategisch).

Flexibiliteit:Kunnen andere gebruikers dan informatiebeveiligers de standaarden gebruiken? Bijvoorbeeld het management en/of auditor voor het aantonen van interne beheersing.

Ratio:Beschrijven de standaarden de redenen van de opgesomde maatregelen? Doordat de ratio is opgenomen is het voor gebruikers makkelijker om de toepasbaarheid en consistentie vast te stellen.

Acceptatie:Hoe breed zijn de standaarden geaccepteerd binnen het vakgebied? Is er bijvoorbeeld veel discussie omtrent de inhoud van bepaalde standaarden of is er een algemene, negatieve of positieve, mening over gebruik van bepaalde standaarden.

Taal:Zijn de standaarden alleen in het Engels te verkrijgen, of is er ook een Nederlandse vertaling beschikbaar?

Kosten: Gaan er kosten gepaard met de aanschaf van standaarden? Zijn er eventueel delen gratis? De kanttekening die hierbij wel moet worden gemaakt is dat de kosten voor de bronliteratuur ten opzichte van het totale invoeringstraject van de standaarden marginaal zijn.

8

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

In de onderstaande tabel zijn de eerder besproken standaarden gepositioneerd ten aanzien van de criteria.

1 Voor meer informatie over de uitkomsten met betrekking tot dit criterium verwijzen wij naar het gerelateerde afstudeeronderzoek “Standaarden, is door de bomen het bos nog te zien?”

Criteria ISO NIST COBIT ISF

Breedte1

• Dekt de hoofdgebieden van IB

• Onderwerpen overzichtelijk gerangschikt

• Dekt de hoofdgebieden van IB

• Onderwerpen versnipperd behandeld

• Veel product-standaarden

• Beperkt op het gebied van IB

• Niet specifiek IB, gericht op de beheersing van IT in het algemeen

• Dekt de hoofdgebieden van IB

• Periodieke update en eventuele aanpassingen

Diepte:

• Tactisch en operationeel

• Management cyclus is opgenomen in 27001.

• Tactisch en operationeel

• Tactisch niet heel uitgebreid uitgewerkt in NIST SP 800-53, echter wel verder, verspreid, uitgewerkt in overige NIST reeksen.

• Strategisch en tactisch

• Operationeel niet uitgewerkt.

• Verwijst naar ISO • Kent ook

specifieke COBIT Practices en Security Baselines

• Tactisch en operationeel

Flexibiliteit:

• Weinig gebruik door anderen dan IB specialisten

• Weinig gebruik door anderen dan IB specialisten .

• Veel gebruik door anderen dan IB specialisten

• Verbondenheid met audit processen (auditor)

• Weinig gebruik door anderen dan IB specialisten

Ratio:

• Doelstellingen hangen samen met richtlijnen

• Op basis van een risk assessment kunnen de minima-le beveiligingsmaat- regelen worden geselecteerd (NIST SP 14, FIPS 199+200).

• Elementen hangen samen met business drivers en input en output

• Principes hangen samen met doelstellingen

Acceptatie:

• Meest geaccepteerde norm in Nederland

• Verplicht voor US federale overheid

• Private sector beperkt.

• Goede ondersteuning voor Sox compliance

• Breed geaccepteerd

• Niet breed geaccepteerd

• Met name geaccepteerd door leden ISF.

• Bv niet in US

Taal: • Nederlands en Engels

• Engels • Engels • Engels

Kosten:

• Gehele reeks betaald

• Gehele reeks gratis • Betaald • De standaard (SGOP) is gratis.

• Overige producten tegen een betaald lidmaatschap.

9

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

DISCUSSIEPUNTEN

Tijdens de expertsessie zijn discussies gevoerd over verschillende aspecten en invalshoeken. Niet elke discussie was relevant voor het beantwoorden van de onderzoeksvraag van deze expertbrief. Wij vinden het wel relevant om deze discussiepunten hier vast te leggen, omdat bepaalde onderwerpen als input kunnen dienen voor eventuele (vervolg)expertbrieven.

Ontwerpcriteria voor standaardenUit discussie is gebleken dat een aantal criteria wel als erg nuttig worden ervaren. Echter geen van de standaarden heeft deze criteria verwerkt. Hierbij betreft het de volgende criteria:

• De mate waarin de standaard proces- en productnormen onderscheiden; • De mate waarin de verhouding klant versus leverancier is verwerkt; • De mate waarin een volwassenheidsmodel is opgenomen in de standaarden; • De mate van prioriteitsstelling binnen de standaarden aan de hand van een

risicomodel.

ISO 27001 als standaardnorm: de linking pin naar andere beveiligingsstandaardenISO 27001 wordt in de meeste gevallen gezien als een referentiekader en kan daarmee worden beschouwd als de linking pin. Sommige standaarden verwijzen zelfs naar ISO 27001, zoals bijvoorbeeld COBIT.

MappingHet nut van mapping blijft een punt van discussie. Op dit moment zijn er mappings tussen standaarden uitgevoerd welke alle voornamelijk gericht zijn op overeenkomsten. Een overzicht welke gericht is op de hiaten lijkt veel zinvoller, aangezien dan duidelijk wordt welke onderwerpen missen wanneer voor bepaalde standaarden wordt gekozen. Het idee van een ‘draaitabel’ wordt geopperd. Dit maakt het mogelijk de mapping uit verschillende invalshoeken te bekijken.

Overkoepelende standaard voor standaardenEen algemeen toepasbare overkoepelende standaard voor standaarden lijkt niet nuttig. Indien er een standaard voor standaarden zou bestaan, welke alle informatie zou bevatten van de huidige standaarden, zou deze groot en onoverzichtelijk zijn en niet toegankelijk.

Uitbesteden van ITHet kan voorkomen dat een aanbieder (aan wie IT werkzaamheden zijn uitbesteed) beschikt over een reeks gebruikte standaarden. Het is mogelijk dat deze niet voldoen aan de eisen van de afnemer. Deze wenst vaak dat voldaan wordt aan zijn standaarden en daarmee komt de aanbieder in een lastige situatie gezien de vaak vele afnemers. Ook komt de relatie tussen aanbieder en afnemer in vrijwel geen enkele standaard terug. Gezien de ontwikkelingen in de markt, waarbij steeds meer activiteiten worden uitbesteed, is de vraag of deze ketenafhankelijkheid en verhoudingen zijn verwerkt in een standaard, steeds belangrijker. Bijvoorbeeld bij ISO is hierover niets te vinden. Vorig jaar heeft de NOREA, in samenwerking met het PVIB, hiervoor een apart studierapport uitgegeven.

10

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

CONCLUSIES EN VERVOLG

De expertgroep is er deels in geslaagd om antwoorden te geven op de gestelde vragen.

Er is op hoofdlijnen een proces geschetst welke kan helpen bij het kiezen van standaarden (of alleen bepaalde delen). Het geschetste proces behoeft echter nog nadere uitwerking, in detail, om daadwerkelijk een praktisch handvat te bieden bij het selecteren van standaarden.

Er zijn belangrijke selectiecriteria onderscheiden die een rol spelen in het proces om te komen tot een selectie van standaarden. Daarnaast is een eerste aanzet gegeven enkele relevante standaarden naar deze selectiecriteria te ‘scoren’.

Tot slot zijn in de discussie nuttige constateringen gedaan die kunnen helpen bij het verder uitwerken van de openstaande punten.

Hoe verder? Door de complexiteit van de materie en de beperkte tijd waarin dit onderwerp besproken is, zijn er nog vele vragen onbeantwoord gebleven:

1. Zijn we in staat om op basis van deze aanzet een raamwerk te maken van verschillende standaarden die bestaan?

2. Een aantal selectiecriteria zijn onderkend. Welke selectiecriteria zijn nog meer te onderkennen?

3. Zijn de weergegeven standaarden correct ‘gescoord’ op de onderkende selectiecriteria?

Daarnaast waren er nog en groot aantal vragen die bij de opzet van de probleemstelling buiten beschouwing zijn gelaten zoals opgenomen in bijlage 1.

Deze expertbrief is niet meer dan een aanzet om een bredere vakinhoudelijke discussie op gang te brengen, waarbij de input van zoveel mogelijk betrokkenen gewenst is. De expertgroep nodigt u dan ook uit om te reageren. U kunt uw reacties sturen naar expertbrief@pvib.nl. Ook indien u deze expertbrief heeft kunnen waarderen stellen wij een e-mailtje op prijs!

Op de site www.ibpedia.nl kunt u meewerken aan verdere verrijking en kennisdeling over IB-standaarden en andere onderwerpen met betrekking tot informatiebeveiliging. Iedereen is van harte uitgenodigd om hieraan deel te nemen.

11

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

BIJLAGE 1

Definities- Wat is de definitie van een standaard? - Wat zijn de definities van gebruikte termen in de standaard? - Moeten standaarden termen gebruiken als moeten of mogen en is dat relevant, waarom?

En in welke omstandigheden?

Structuur van de standaarden- Wat voor type IB standaarden zijn er? - Zijn er verschillende gebruikersgroepen? Waarom (niet), wie zijn zij?- Moeten standaarden gekoppeld zijn met organisatiedoelstellingen? Waarom (niet)? - Is een link met bedrijfsprocessen belangrijk? Waarom (niet)? En hoe zou dit er uit zien? - Is een link met architectuur belangrijk? Waarom (niet)? En hoe zou dit er uit zien?

Selectie van standaarden- Welke organisaties kunnen goede kwalitatieve standaarden uitgeven? - Wat is een betrouwbare organisatie? Wat zijn hiervoor de criteria? - Hoe beïnvloedt het volwassenheidsniveau van de organisatie de selectie en het gebruik

van standaarden? - Hebben organisaties verschillende behoeften met betrekking tot standaarden? Waarom

(niet)? Bijvoorbeeld: o organisaties waarbij IT kern activiteit is o organisaties waarbij IT niet kern activiteit is o organisaties die hun IT activiteiten hebben uitbesteed o organisaties die wel en niet vallen onder wet- en regelgeving van de overheid met

betrekking tot IB. - Hoe wordt de kwaliteit van standaarden bepaald? Wat zijn hiervoor de criteria? Hoe is de

continuïteit van standaarden gewaarborgd? - Zijn er verschillen in kwaliteit van standaarden uitgegeven door een commerciële of niet

commerciële instelling?

Implementatie van standaarden- Hoe worden de toepassingsgebieden en de maatregelen in scope van standaarden

bepaald? - Wanneer is een implementatie van standaarden succesvol? Wat zijn hiervoor de criteria?

Hoe kan dat worden gemeten?

12

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

LITERATUURLIJST

Voor het tot stand brengen van deze expertbrief heeft de werkgroep de volgende literatuur geraadpleegd:

Main bodies: • ISO 27000 reeks http://www.27000.org/ http://www.iso27001security.com/

http://www2.nen.nl/nen/servlet/dispatcher.Dispatcher?id=192437

• NIST reeks http://csrc.nist.gov/• ISF SOGP https://www.securityforum.org/• COBIT 4.1 http://www.isaca.org/

Artikelen: • Aligning COBIT 4.1, ITIL v3 and ISO/IEC 27002 for business benefit, ITGI and OGC,

2008

13

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

APPENDIX GEBRUIKTE LICENTIEVORM

De expertbrief wordt gepubliceerd onder de volgende licentie: http://creativecommons.org/licenses/by/3.0/nl/

Deze pagina ziet er op het moment van schrijven als volgt uit:

14

Standaarden voor informatiebeveiliging

(cc) 2009, Platform voor InformatieBeveiliging (PvIB) This work is licensed under a Creative Commons License.

WORDT LID VAN HET PVIB, SPEEL OP ZEKER EN BEVEILIG SAMEN…

Informatiebeveiliging is reeds jaren lang een noodzakelijk, spannend en dynamisch vakgebied. Vrijwel alle beroepen hebben meer dan ooit te maken met vertrouwelijkheid, beschikbaarheid en integriteit van informatie. Of u nu als directeur, manager, adviseur of programmeur werkzaam bent. Het Platform voor Informatiebeveiliging kan u behulpzaam zijn bij al uw vraagstukken op het gebied van informatiebeveiliging.

Wat is het Platform voor Informatiebeveiliging? Het PvIB is een open, breed samengesteld platform waarin professionals elkaar vinden om professioneel inhoud te geven aan informatiebeveiliging, door het uitwisselen van ideeën,informatie, kennis, inzichten en vooral veel praktijkervaring.

Wat willen wij bereiken? Wij willen de fysieke, (systeem)technische & organisatorische beveiliging van gegevens en van de gegevensverwerkende middelen tegen inbreuken van binnenuit of buitenaf bevorderen. Ook willen wij de uitwisseling van kennis en ervaring en het netwerken van de in het vakgebied werkzame personen bevorderen. Bijvoorbeeld door middel van deze expertbrief.

De doelgroep De doelgroep van het PvIB omvat iedereen, die door studie of beroepshalve te maken heeft met informatiebeveiliging, of hiervoor een bijzondere belangstelling heeft. Het snel groeiende ledenbestand kent vele disciplines zoals studenten, informatiearchitecten, technici, managers, organisatieadviseurs, juristen, beveiligingsfunctionarissen en IT auditors. Onze leden komen voort uit alle mogelijke opleidingen, bedrijven, overheden, organisaties en leveranciers.

Voor de diverse soorten van lidmaatschap verwijzen wij u gaarne naar:

https://www.pvib.nl/abonnementsinformatie