Informatiebeveiliging

1
Informatiebeveiliging
If there is a wrong way to do something, then
someone will do it. Edward A. Murphy, Jr. -
1949 If anything can go wrong, it will. Murphys
law
2
(No Transcript)
3
Agenda

• Code voor Informatiebeveiliging verleden, heden
  en toekomst
• Certificering tegen de Code
• Ervaringen uit de praktijk

4
InformatiebeveiligingHoe?
5
Integrated Security Methodology
Bewustwording
Projectgroep
Risico-analyse
Audit
Maatregelen
Beleid Inventarisatie
Eisen
Ontwerp Procedures
Implementatie
Organisatie
6
Operationeel de gereedschappen
7
Standaards voor informatiebeveiliging

• Code voor Informatiebeveiliging (BS 7799)
• Wetgever WPR, WCC, ARBO ...
• Branche voorschriften
• Memorandum omtrent de beschikbaarheid en
  continuïteit van
• geautomatiseerde gegevensverwerking in het
  bankwezen
• De Nederlandsche Bank - 20/09/1988
• ISO 13335 (in wording)
• Voorschrift Informatiebeveiliging Rijksdienst
  (VIR)
• Regeling Informatiebeveiliging Politie (RIP)

8
Code voor Informatiebeveiliging (BS 7799)

• Een leidraad voor beleid en implementatie
• 10 essentiële en fundamentele maatregelen
• 109 maatregelen totaal
• Certificatie mogelijkheid (vgl. ISO 9000) -
  KEMA/KPMG
• Uitgave NNI - Delft

9
De 10 essentiële en fundamentele maatregelen

• Management
• Toewijzing van verantwoordelijkheden voor
  informatiebeveiliging
• Naleving van de wetgeving inzake bescherming van
  persoonsgegevens
• Beleidsdocument voor informatiebeveiliging
• Procedures
• Het rapporteren van beveiligingsincidenten
• Het proces van continuïteitsplanning
• Naleving van het beveiligingsbeleid
• Maatregelen
• Opleiding en training voor informatiebeveiliging
• Viruscontrole
• Voorkomen van het onrechtmatig kopiëren van
  programmatuur
• Beveiliging van bedrijfsdocumenten

10
Code voor Informatiebeveiliging

• Verleden, heden en toekomst

11
Ontstaan van BS 7799

• Initiatief van Marks Spencer - UK
• Belangrijkste reden toename outsourcing
  contracten
• Met enkele multinationals ontstaat BS 7799
• Gevolg een praktijkdocument

12
Ontstaan van de Code voor Informatiebeveiliging

• Initiatief van Marks Spencer - UK
• Belangrijkste reden toename outsourcing
  contracten
• Met enkele multinationals ontstaat BS 7799
• Introductie eind 1995 in Nederland
  vertaling/aanpassing
• Multinationals i.s.m. Ministerie van EZ en NNI
• Initiatieven ter introductie ook bij het MKB

13
Waarom een standaard?

• Geeft duidelijke regels tussen organisaties
• Verschaft externe partijen duidelijkheid
• Hanteerbaar als normen en waarden
• Controleerbaar fungeert als peilstok
• Leidt tot ontstaan van producten/diensten

14
Types standaards
STRATEGISCHE STANDAARDEN (VIR)
Beveiligings- beleid
ALGEMENE STANDAARDEN (BS 7799)
Algemene voorschriften
Technische inrichtings- documenten
Organisatori- sche inrichtings- documenten
OBJECTGERICHTE STANDAARDEN (BPM)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX
MANUAL)
Productiehandleidingen Gebruikershandleidingen
Procedures en werkin- structies
Bron Informatiebeveiliging Praktijkjournaal
Jaargang 2, Nummer 3, Bladzijde 3
15
Verschillen BS 7799 en Code voor
Informatiebeveiliging

• Leesbaarheid
• Verwijzingen naar Nederlandse wetgeving
• BS 7799 Part 2 - Management van
  informatiebeveiliging
• ITIL Security Management in NL bruikbaar als
  substituut
• c-cure ICIT

16
Tactisch ITIL Security Management
KLANT definieert eisen gebaseerd op
bedrijfsprocessen
RAPPORTAGE conform SLA
SLA tussen klant en provider
Service Provider implementeert SLA volgens ITIL
Security Management
PLAN Service Level Agreement Onderliggende
contracten Operational Level Agreements Beleidslij
nen
ONDERHOUD Leer Verbeter planning Verbeter
implementatie Verbeter evaluatiemethodes
BEHEER Inrichten organisatie Management
raamwerk Verantwoordelijkheden Hulpmiddelen
IMPLEMENTEER Bewustwording / Classificatie Fysiek
e, logische, organisatorische maatregelen Inciden
tbeheer
EVALUEER Interne audits Externe
audits Zelfcontrole Beveiligingsincidenten
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995

• Bruikbaar instrument bij implementatie
  maatregelen
• Sleutelmaatregelen implementeren motiveert
• Diverse organisaties nu gecertificeerd
• Interesse uit alle branches, inclusief overheid
• Helpt bij implementatie VIR

18
Zwakke punten

• Geeft weinig steun bij selecteren van maatregelen

19
Van risicos naar maatregelen CRAMM
THREAT COUNTERMEASURE MAATREGEL UIT
CODE . Misuse of System Resources ... ...
... Communications Infiltration by
Insiders ... ... ... ... ... N
etwork Access Controls 7.4.3 GEBRUIKERSAUTHENTIC
ATIE ... ... ... ... ... .
.. ... ... ... Communications
Infiltration by Contracted ... Service
Providers ... ... ... ...
... ... ... ....
20
Zwakke punten

• Geeft weinig steun bij selecteren van maatregelen
• Vooral wat maar weinig hoe

21
Van wat naar hoe Baseline Protection Manual
S 4.48 Password protection under Windows NT For
each user, access to a Windows NT system must be
protected by a password. User accounts without a
password are not allowed to exist, as they
constitute a potential weak point in the system.
It is important that users too are familiar with
the protective function of the passwords, since
the co-operation of users naturally contributes
to the security of the overall system. Setting
up a new user is performed with the aid of the
utility User Manager via the control command "New
User". At the same time an initial password with
a maximum of 14 characters must be entered in the
fields "Password" and "Confirm Password". For
passwords under Windows NT the use of upper and
lower case letters must be observed. A meaningful
initial password should be allocated which is
notified to the user. Always choosing the same
initial password or making this password
identical to the user name opens up a security
loophole which can be avoided with a little
effort. The option "User Must Change Password At
Next Log-On" should be set with all new accounts,
so that the log-on password is not retained. On
the other hand the option "User Cannot Change
Password" should only be used in exceptional
cases, for instance for pre-defined accounts in
the training operation. The option "Password
Never Expires" should only be used for user
accounts to which a service is assigned with the
aid of the system control option "Services" (for
example the reproduction service), as it cancels
the setting "Maximum Password Age" in the
Accounts Policy and prevents the password from
expiring. Zie http//www.bsi.bund.de
22
Zwakke punten

• Geeft weinig steun bij selecteren van maatregelen
• Vooral wat maar weinig hoe
• Geen kwantificering te bereiken niveau
• Ondersteunende producten ontbreken
• Code begint verouderd te raken

23
Tips en aanbevelingen bij implementatie

• Projectmethode (bijvoorbeeld ISM) belangrijk
• Leg link met ISO 9000
• Kennis van bedrijfsprocessen cruciaal
• Commitment van directie noodzakelijk
• Budget moet beschikbaar zijn
• Doelstelling moet duidelijk zijn

24
Doelstelling
risicodekkende selectie uit 109 maatregelen
2
3
alleen 10 sleutelmaatregelen
1
Security Scan (nulmeting)
Van rood naar groen of naar oranje? Via pad 1 en
2 of direct via pad 3?
25
Zie ook

• Informatiebeveiliging Praktijkjournaal - Jaargang
  2 nr. 3 en nr. 10

26
Code voor Informatiebeveiliging - toekomst

• Revisie BS 7799 Part 1 is in april 1999
  vrijgegeven
• Revisie van Code voor Informatiebeveiliging
  vrijwel gereed
• Dus Code 2.0 en aanpassingen certificatie (?)

27
Redenen voor revisie

• Outsourcing
• Informatieverwerking niet alleen op
  computersystemen
• Steeds meer mobiele computers
• Toenemende communicatie via openbare netwerken
• Meer kwaadaardige software dan alleen virussen
• Disaster Recovery ð Business Continuity Management

28
Belangrijkste wijzigingen volgens BSI (1)

• Global changes were made to replace IT with
  information where appropriate, and the term
  information processing was introduced to cover
  the wide range of possible ways to work with,
  transmit and store information.
• More detailed information on risk assessment was
  included in the Introduction.
• The text has been reworded throughout to make it
  more internationally applicable in line with
  requests from UK industry and their international
  business partners.
• Text has been added to describe what the risks of
  third party access are, what should be included
  in a third party contract and a new subsection on
  outsourcing.

29
Belangrijkste wijzigingen volgens BSI (2)

• Text on the valuation and importance of assets
  has been added, and the concept of information
  classification has been broadened to cover the
  general aspect of information labelling,
  including integrity and availability labels.
• Computer and Network Management has been renamed
  Communications and Operations Management and
  extended to cover a wide interpretation of
  information processing. This includes additional
  text on computers, networks, mobile computing and
  communications, voice mail and communications,
  messaging, multimedia, postal services, fax
  machines, and any other existing or developing
  technology for the processing and communication
  of information.
• The discussion on viruses has been broadened to
  any unauthorised or malicious software.
• BS 7799 was changed to be more technology
  independent.

30
Belangrijkste wijzigingen volgens BSI (3)

• The section on data and software exchange has
  been extended to cover electronic commerce and
  publicly available systems.
• New subsections on mobile computing and
  teleworking were added.
• Cryptographic techniques including new
  subsections on cryptographic policy, digital
  signatures and key management. Also new
  subsections have been added on output validation,
  covert channels and Trojan code.
• Business Continuity Management has been
  restructured and extended to put more emphasis on
  the business continuity management process and a
  business continuity and impact analysis that
  should be the basis of any business continuity
  plan.
• Compliance this section has been reworded to
  remove the UK specific legislation to make it
  more applicable to the international community
  and to add important new text on Intellectual
  Property Rights (IPR), audit, evidence and
  cryptographic regulations.

31
Extra vermeldenswaard

• Nu 8 sleutelmaatregelen i.p.v. 10
• En 139 maatregelen in totaal

geavanceerd
131
99
standaard
10
8
1995 1999
32
(No Transcript)
33
Gedetailleerd overzicht van alle wijzigingen

• Zie
• http//www.euronet.nl/users/ernstoud/docs.html
• of
• Informatiebeveiliging Praktijkjournaal - Jaargang
  2, nummer 2

34
Toekomst?

• Code wordt steeds belangrijker
• Code wordt deel van kwaliteitsmanagement
• Code wordt deel van IT beheerssystemen (ITIL ?)
• Ondersteunende producten (Proteus UK)
• Informatiebeveiliging deel van EDP audit
• ...

35
InformatiebeveiligingCertificeringNIMMER
EEN DOEL OP ZICHZELF !
36
Certificering - de werkwijze

• Conformiteitsverklaring opstellen Selectie of
  Uitsluiting
• Onderbouwing (risicoanalyse)
• Eigen of externe beoordeling
• Certificatie proces doorlopen Guided
  certification
• Proefaudit
• Certificatieaudit
• Onderhoudscontract afsluiten

37
Certificatie - het ICIT certificatieschema
38
Het certificaat
Hier de naam van uw organisatie !
38
39
InformatiebeveiligingPraktijkervaringen
40
Kritische succesfactoren volgens de Code

• De doelstellingen en activiteiten ten aanzien van
  de beveiliging dienen gebaseerd te zijn op de
  doelstellingen en eisen van het bedrijf en dienen
  te worden aangegeven door het management.
• Het top management dient volledig achter het
  beveiligingsbeleid te staan en zichtbare
  ondersteuning bieden.
• Het dient duidelijk te zijn wat de
  beveiligingsrisico's (bedreigingen en zwakke
  plekken) zijn voor de bedrijfsmiddelen en wat de
  mate van beveiliging in de organisatie is.
• Het belang van beveiliging dient duidelijk te
  worden gemaakt aan alle managers en werknemers.
• Alle werknemers (ook tijdelijke werknemers)
  dienen een uitgebreide instructie te krijgen over
  het beveiligingsbeleid en de vastgestelde normen.

41
Ervaringen uit de praktijk (1)

• Continuiteitsplanning is struikelblok
• Vertalen naar de praktijk bij de organisatie is
  moeilijk
• Betrekken van alle medewerkers is noodzakelijk

42
Licensing the user!

• Systeem verantwoordelijkheid en procedures
• Effectieve selectie van wachtwoorden
• Fysieke beveiliging van het systeem
• Juist gebruik van het systeem
• Rapportage van incidenten
• Bedrijfsspecifieke belangen
• Bron Virus Bulletin - augustus 1999

43
Ervaringen uit de praktijk

• Continuiteitsplanning is struikelblok
• Vertalen naar de praktijk bij de organisatie is
  moeilijk
• Betrekken van alle medewerkers is noodzakelijk
• Juiste scope kiezen
• Commitment
• Risicoanalyse geen sinecure
• Code bevat veel subjectieve uitspraken
• Koppel informatiebeveiliging aan
  kwaliteitsmanagement
• Zie ook Informatiebeveiliging Praktijkjournaal -
  Jaargang 2, nummer 10

44
Nuttige adressen

• Stichting ICIT
• Postbus 291
• 2350 AG Leiderdorp
• Tel. 071 - 582 00 52
• Nederlands Normalisatie Instituut
• Postbus 5059
• 2600 GB Delft
• Tel. 015 - 269 01 29
• British Standards Institute
• 389 Chiswick High Road
• London W4 4AL
• Tel. 44 181 996 7000

• KEMA Registered Quality Nederland BV
• Postbus 9035
• 6800 ET Arnhem
• Tel. 026 - 356 34 98
• KPMG Certification BV
• Postbus 74103
• 1185 MC Amstelveen
• Tel. 020 - 656 87 50
• Getronics Business Continuity BV
• Postbus 2228
• 8203 AE Lelystad
• Tel. 0320 - 266 266

45
Informatiebeveiliging
If there is a wrong way to do something, then
someone will do it. Edward A. Murphy, Jr. -
1949 If anything can go wrong, it will. Murphys
law