informatiebeveiliging l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Informatiebeveiliging PowerPoint Presentation
Download Presentation
Informatiebeveiliging

Loading in 2 Seconds...

play fullscreen
1 / 45

Informatiebeveiliging - PowerPoint PPT Presentation


  • 277 Views
  • Uploaded on

Informatiebeveiliging. If there is a wrong way to do something, then someone will do it. Edward A. Murphy, Jr. - 1949 If anything can go wrong, it will. Murphy’s law. Ernst J. Oud Senior Consultant Remote Managed Services Getronics Business Continuity BV Botter 15-90

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Informatiebeveiliging' - Jimmy


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
informatiebeveiliging
Informatiebeveiliging

If there is a wrong way to do something, then someone will do it.

Edward A. Murphy, Jr. - 1949

If anything can go wrong, it will.

Murphy’s law

slide2

Ernst J. Oud

Senior Consultant

Remote Managed Services

Getronics Business Continuity BV

Botter 15-90

Postbus 2228

8203 AE Lelystad

The Netherlands

Telefoon 0320 - 266 464

Telefax 0320 - 266 262

mobile: +31-6-50 67 66 45

e-mail: e.j.oud@getronics.nl

www.getronics.com

agenda
Agenda
  • Code voor Informatiebeveiliging; verleden, heden en toekomst
  • Certificering tegen de Code
  • Ervaringen uit de praktijk
integrated security methodology
Integrated Security Methodology

Bewustwording

Risico-analyse

Audit

Projectgroep

Maatregelen

Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie

Organisatie

operationeel de gereedschappen

Bewustwording

Risico-analyse

Audit

Projectgroep

Maatregelen

Beleid InventarisatieEisen Ontwerp Procedures Implementatie

Security Scan

Business Impact Analysis

A&K Analyse

Code voor Informatiebeveiliging

ITIL Security Management

CRAMM

Wet Persoonsregistraties, Wet Computercriminaliteit …

Bijstelling

Organisatie

Operationeel : de gereedschappen
standaards voor informatiebeveiliging
Standaards voor informatiebeveiliging
  • Code voor Informatiebeveiliging (BS 7799)
  • Wetgever: WPR, WCC, ARBO ...
  • Branche voorschriften

“Memorandum omtrent de beschikbaarheid en continuïteit van

geautomatiseerde gegevensverwerking in het bankwezen”

De Nederlandsche Bank - 20/09/1988

  • ISO 13335 (in wording)
  • Voorschrift Informatiebeveiliging Rijksdienst (VIR)
  • Regeling Informatiebeveiliging Politie (RIP)
code voor informatiebeveiliging bs 7799
Code voor Informatiebeveiliging (BS 7799)

“Een leidraad voor beleid en implementatie”

10 essentiële en fundamentele maatregelen

109 maatregelen totaal

Certificatie mogelijkheid (vgl. ISO 9000) - KEMA/KPMG

Uitgave NNI - Delft

de 10 essenti le en fundamentele maatregelen
De 10 essentiële en fundamentele maatregelen

Management

  • Toewijzing van verantwoordelijkheden voor informatiebeveiliging
  • Naleving van de wetgeving inzake bescherming van persoonsgegevens
  • Beleidsdocument voor informatiebeveiliging

Procedures

  • Het rapporteren van beveiligingsincidenten
  • Het proces van continuïteitsplanning
  • Naleving van het beveiligingsbeleid

Maatregelen

  • Opleiding en training voor informatiebeveiliging
  • Viruscontrole
  • Voorkomen van het onrechtmatig kopiëren van programmatuur
  • Beveiliging van bedrijfsdocumenten
code voor informatiebeveiliging

Code voor Informatiebeveiliging

Verleden, heden en toekomst

ontstaan van bs 7799
Ontstaan van BS 7799
  • Initiatief van Marks & Spencer - UK
  • Belangrijkste reden: toename outsourcing contracten
  • Met enkele multinationals ontstaat BS 7799
  • Gevolg : een praktijkdocument
ontstaan van de code voor informatiebeveiliging
Ontstaan van de Code voor Informatiebeveiliging
  • Initiatief van Marks & Spencer - UK
  • Belangrijkste reden: toename outsourcing contracten
  • Met enkele multinationals ontstaat BS 7799
  • Introductie eind 1995 in Nederland: vertaling/aanpassing
  • Multinationals i.s.m. Ministerie van EZ en NNI
  • Initiatieven ter introductie ook bij het MKB
waarom een standaard
Waarom een standaard?
  • Geeft duidelijke regels tussen organisaties
  • Verschaft externe partijen duidelijkheid
  • Hanteerbaar als ‘normen en waarden’
  • Controleerbaar; fungeert als peilstok
  • Leidt tot ontstaan van producten/diensten
types standaards

STRATEGISCH

TACTISCH

OPERATIONEEL

Types standaards

STRATEGISCHE STANDAARDEN (VIR)

Beveiligings-

beleid

ALGEMENE STANDAARDEN (BS 7799)

Algemene voorschriften

Technische

inrichtings-

documenten

Organisatori-

sche inrichtings-

documenten

OBJECTGERICHTE STANDAARDEN (BPM)

SPECIFIEKE SYSTEEMGERICHTE

STANDAARDEN (UNIX MANUAL)

Productiehandleidingen

Gebruikershandleidingen

Procedures en werkin-

structies

Bron: Informatiebeveiliging Praktijkjournaal Jaargang 2, Nummer 3, Bladzijde 3

verschillen bs 7799 en code voor informatiebeveiliging
Verschillen BS 7799 en Code voor Informatiebeveiliging
  • Leesbaarheid
  • Verwijzingen naar Nederlandse wetgeving
  • BS 7799 Part 2 - Management van informatiebeveiliging
  • ITIL Security Management in NL bruikbaar als substituut
  • c-cure » ICIT
tactisch itil security management
Tactisch : ITIL Security Management

KLANT definieert eisen gebaseerd op bedrijfsprocessen

RAPPORTAGE conform SLA

SLA tussen klant en provider

Service Provider implementeert SLA volgens ITIL Security Management

ONDERHOUD:

Leer

Verbeter planning

Verbeter implementatie

Verbeter evaluatiemethodes

PLAN:

Service Level Agreement

Onderliggende contracten

Operational Level Agreements

Beleidslijnen

BEHEER:

Inrichten organisatie

Management raamwerk

Verantwoordelijkheden

Hulpmiddelen

EVALUEER:

Interne audits

Externe audits

Zelfcontrole

Beveiligingsincidenten

IMPLEMENTEER:

Bewustwording / Classificatie

Fysieke, logische,

organisatorische maatregelen

Incidentbeheer

BRON: ITIL Security Management - CCTA 1999

ervaringen sinds 1995
Ervaringen sinds 1995
  • Bruikbaar instrument bij implementatie maatregelen
  • Sleutelmaatregelen implementeren motiveert
  • Diverse organisaties nu gecertificeerd
  • Interesse uit alle branches, inclusief overheid
  • Helpt bij implementatie VIR
zwakke punten
Zwakke punten
  • Geeft weinig steun bij selecteren van maatregelen
van risico s naar maatregelen cramm
Van risico’s naar maatregelen CRAMM

THREAT COUNTERMEASURE MAATREGEL UIT CODE

….

Misuse of System Resources ...

...

...

Communications Infiltration by Insiders… ...

... ...

... ...

Network Access Controls7.4.3 GEBRUIKERSAUTHENTICATIE

... ...

… ...

... ...

... ...

... ...

Communications Infiltration by Contracted ...

Service Providers …

...

...

...

...

...

...

...

....

zwakke punten20
Zwakke punten
  • Geeft weinig steun bij selecteren van maatregelen
  • Vooral ‘wat’ maar weinig ‘hoe’
van wat naar hoe baseline protection manual
Van ‘wat’ naar ‘hoe’ Baseline Protection Manual

S 4.48 Password protection under Windows NT

For each user, access to a Windows NT system must be protected by a password. User accounts without a password are not allowed to exist, as they constitute a potential weak point in the system. It is important that users too are familiar with the protective function of the passwords, since the co-operation of users naturally contributes to the security of the overall system.

Setting up a new user is performed with the aid of the utility User Manager via the control command "New User". At the same time an initial password with a maximum of 14 characters must be entered in the fields "Password" and "Confirm Password". For passwords under Windows NT the use of upper and lower case letters must be observed. A meaningful initial password should be allocated which is notified to the user. Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort.

The option "User Must Change Password At Next Log-On" should be set with all new accounts, so that the log-on password is not retained. On the other hand the option "User Cannot Change Password" should only be used in exceptional cases, for instance for pre-defined accounts in the training operation. The option "Password Never Expires" should only be used for user accounts to which a service is assigned with the aid of the system control option "Services" (for example the reproduction service), as it cancels the setting "Maximum Password Age" in the Accounts Policy and prevents the password from expiring.

Zie : http://www.bsi.bund.de

zwakke punten22
Zwakke punten
  • Geeft weinig steun bij selecteren van maatregelen
  • Vooral ‘wat’ maar weinig ‘hoe’
  • Geen kwantificering te bereiken ‘niveau’
  • Ondersteunende producten ontbreken
  • Code begint verouderd te raken
tips en aanbevelingen bij implementatie
Tips en aanbevelingen bij implementatie
  • Projectmethode (bijvoorbeeld ISM) belangrijk
  • Leg link met ISO 9000
  • Kennis van bedrijfsprocessen cruciaal
  • Commitment van directie noodzakelijk
  • Budget moet beschikbaar zijn
  • Doelstelling moet duidelijk zijn
doelstelling
Doelstelling

risicodekkende selectie uit 109 maatregelen

2

3

alleen 10 sleutelmaatregelen

1

Security Scan (nulmeting)

Van rood naar groen of naar oranje?

Via pad 1 en 2 of direct via pad 3?

zie ook

Zie ook:

Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr. 3 en nr. 10

code voor informatiebeveiliging toekomst
Code voor Informatiebeveiliging - toekomst
  • Revisie BS 7799 Part 1 is in april 1999 vrijgegeven
  • Revisie van Code voor Informatiebeveiliging vrijwel gereed
  • Dus Code 2.0 en aanpassingen certificatie (?)
redenen voor revisie
Redenen voor revisie
  • Outsourcing
  • Informatieverwerking niet alleen op computersystemen
  • Steeds meer mobiele computers
  • Toenemende communicatie via openbare netwerken
  • Meer kwaadaardige software dan alleen virussen
  • Disaster Recovery ð Business Continuity Management
belangrijkste wijzigingen volgens bsi 1
Belangrijkste wijzigingen volgens BSI (1)
  • Global changes were made to replace ‘ IT’ with ‘ information’ where appropriate, and the term ‘ information processing’ was introduced to cover the wide range of possible ways to work with, transmit and store information.
  • More detailed information on risk assessment was included in the Introduction.
  • The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners.
  • Text has been added to describe what the risks of third party access are, what should be included in a third party contract and a new subsection on outsourcing.
belangrijkste wijzigingen volgens bsi 2
Belangrijkste wijzigingen volgens BSI (2)
  • Text on the valuation and importance of assets has been added, and the concept of information classification has been broadened to cover the general aspect of information labelling, including integrity and availability labels.
  • Computer and Network Management has been renamed ‘ Communications and Operations Management’ and extended to cover a wide interpretation of information processing. This includes additional text on computers, networks, mobile computing and communications, voice mail and communications, messaging, multimedia, postal services, fax machines, and any other existing or developing technology for the processing and communication of information.
  • The discussion on viruses has been broadened to any unauthorised or malicious software.
  • BS 7799 was changed to be more ‘ technology independent’.
belangrijkste wijzigingen volgens bsi 3
Belangrijkste wijzigingen volgens BSI (3)
  • The section on data and software exchange has been extended to cover electronic commerce and publicly available systems.
  • New subsections on mobile computing and teleworking were added.
  • Cryptographic techniques including new subsections on cryptographic policy, digital signatures and key management. Also new subsections have been added on output validation, covert channels and Trojan code.
  • Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan.
  • Compliance – this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR), audit, evidence and cryptographic regulations.
extra vermeldenswaard
Extra vermeldenswaard:
  • Nu 8 sleutelmaatregelen i.p.v. 10
  • En 139 maatregelen in totaal

geavanceerd

131

99

standaard

10

8

1995 1999

gedetailleerd overzicht van alle wijzigingen
Gedetailleerd overzicht van alle wijzigingen

Zie:

http://www.euronet.nl/users/ernstoud/docs.html

of:

Informatiebeveiliging Praktijkjournaal - Jaargang 2, nummer 2

toekomst
Toekomst?
  • Code wordt steeds belangrijker
  • Code wordt deel van kwaliteitsmanagement
  • Code wordt deel van IT beheerssystemen (ITIL ?)
  • Ondersteunende producten (Proteus; UK)
  • Informatiebeveiliging deel van EDP audit
  • ...
certificering de werkwijze
Certificering - de werkwijze
  • Conformiteitsverklaring opstellen Selectie of Uitsluiting

Onderbouwing (risicoanalyse)

  • Eigen of externe beoordeling
  • Certificatie proces doorlopen Guided certification

Proefaudit

Certificatieaudit

  • Onderhoudscontract afsluiten
certificatie het icit certificatieschema

BS7799

Part 1

Eigen

beoordeling

Eigen

verklaring

Confor-

miteits-

verklaring

Criteria

Eigen

vereisten

Procedures

Beoordeling

Certificatie

Certificaat

Resultaat

Confor-

miteits-

verklaring

Reeds

bestaande

maatre-

gelen

Manage-

ment

raam-

werk

(BS 7799 Part 2)

= Raad voor Accreditatie

Certificatie - het ICIT certificatieschema
het certificaat
Het certificaat

Hier de naam van uw organisatie !

38

kritische succesfactoren volgens de code
Kritische succesfactoren volgens de Code
  • De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het management.
  • Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning bieden.
  • Het dient duidelijk te zijn wat de beveiligingsrisico's (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie is.
  • Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemers.
  • Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normen.
ervaringen uit de praktijk 1
Ervaringen uit de praktijk (1)
  • Continuiteitsplanning is struikelblok
  • Vertalen naar de praktijk bij de organisatie is moeilijk
  • Betrekken van alle medewerkers is noodzakelijk
licensing the user
Licensing the user!

Systeem verantwoordelijkheid en procedures

Effectieve selectie van wachtwoorden

Fysieke beveiliging van het systeem

Juist gebruik van het systeem

Rapportage van incidenten

Bedrijfsspecifieke belangen

Bron: Virus Bulletin - augustus 1999

ervaringen uit de praktijk
Ervaringen uit de praktijk
  • Continuiteitsplanning is struikelblok
  • Vertalen naar de praktijk bij de organisatie is moeilijk
  • Betrekken van alle medewerkers is noodzakelijk
  • Juiste ‘scope’ kiezen
  • Commitment
  • Risicoanalyse geen sinecure
  • Code bevat veel subjectieve uitspraken
  • Koppel informatiebeveiliging aan kwaliteitsmanagement

Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2, nummer 10

nuttige adressen
Stichting ICIT

Postbus 291

2350 AG Leiderdorp

Tel.: 071 - 582 00 52

Nederlands Normalisatie Instituut

Postbus 5059

2600 GB Delft

Tel.: 015 - 269 01 29

British Standards Institute

389 Chiswick High Road

London W4 4AL

Tel.: +44 181 996 7000

KEMA Registered Quality Nederland BV

Postbus 9035

6800 ET Arnhem

Tel.: 026 - 356 34 98

KPMG Certification BV

Postbus 74103

1185 MC Amstelveen

Tel.: 020 - 656 87 50

Getronics Business Continuity BV

Postbus 2228

8203 AE Lelystad

Tel.: 0320 - 266 266

Nuttige adressen
informatiebeveiliging45
Informatiebeveiliging

If there is a wrong way to do something, then someone will do it.

Edward A. Murphy, Jr. - 1949

If anything can go wrong, it will.

Murphy’s law