de conferentie 2006 ton cremers

1

DE DIGITALE BRANDOEFENING

Ton Cremershttp://www.museum-security.org

2

DE digitale brandoefening

13 december 2006 2

Programma

‘Stoomcursus’ Informatiebeveiliging

Risico-inventarisatie, risico-analyse

Aan de slag

DE digitale brandoefening“red de digitale data” strategie: aanbevelingen

3

DE digitale brandoefening

13 december 2006 3

Workshop, dus:

INTERACTIEF

4

DE digitale brandoefening

13 december 2006 4

introductieronde

OrganisatiePlaats binnen organisatieInformatiebeveiligingsbeleid?continuïteitsplanning / calamiteitenplanningKnelpunten / zorgenGrootste risico?

5

DE digitale brandoefening

13 december 2006 5

ProgrammaStoomcursus Informatiebeveiliging

Risico-inventarisatie, risico-analyse

Aan de slag

DE digitale brandoefening“red de digitale data” strategie: aanbevelingen

6

DE digitale brandoefening

13 december 2006 6

Wat is informatiebeveiliging?

Bescherming van persoonsgegevensBescherming BedrijfsdocumentenBescherming Intellectueel eigendom

Waarom:Waarborgen bedrijfscontinuiteitVerminderen risico’sOptimaliseren investeringsrendement

7

DE digitale brandoefening

13 december 2006 7

beveiligingsbeleid

Informatiebeveiligingsbeleid

Beoordeling van het informatiebeveiligingsbeleid

8

DE digitale brandoefening

13 december 2006 8

Beleid

De directie behoort beleidsrichting aan te geven en duidelijk te maken dat informatiebeveiliging wordt ondersteund en gehandhaafd

9

DE digitale brandoefening

13 december 2006 9

beheersmaatregelen

Beleidsdocument (rol van de directie)Toewijzen verantwoordelijkhedenBewustwording, scholing en trainingBeheer technische kwetsbaarheid (gebouw, netwerken, hardware)Incidentenregistratie en verbeterin-gen

10

DE digitale brandoefening

13 december 2006 10

Kritische succesfactoren / bedrijfscultuur

Betrokkenheid en steun op alle managementniveausGoed begrip beveiligingseisen en risicobeheerRichtlijnen/normen voor ALLE mede-werkersFinanciele middelenTraining beveiligings bewustzijn

11

DE digitale brandoefening

13 december 2006 11

Hoe wordt het beleid vorm gegeven?

Doelen vaststellenBeleid vaststellenControle op effectiviteitBeschikbaar stellen middelen‘eigenaars’ aanwijzenBedrijfscultuur/bewustzijn stimulerenWaarborgen: kwaliteitssystemenaudits

12

DE digitale brandoefening

13 december 2006 12

Risicobeoordeling en risicobehandeling

Beoordelen van beveiligingsrisco’sInventariserenAnalyserenRegistratie incidenten

Behandelen van beveiligingsrisico’s Verminderen / beheersenAanvaardenEliminerenverplaatsen

13

DE digitale brandoefening

13 december 2006 13

Organisatie van informatiebeveiliging.

Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Toewijzing van verantwoordelijk-heden voor informatiebeveiliging Onafhankelijke beoordeling van informatiebeveiliging Externe partijen

14

DE digitale brandoefening

13 december 2006 14

Organisatie Intern

Toekennen van rollen en verantwoordelijkhedenHandelen overeenkomstig vastgesteld beleidVaststellen hoe op te treden bij niet-nalevingVaststellen van informatieclassificatieOpleiding en traininggeheimhoudingsovereenkomst

15

DE digitale brandoefening

13 december 2006 15

geheimhoudingsovereenkomst

Definitie: wat moet beschermd worden (strekking inhoudelijk)Eigendom van informatieLooptijd (strekking in tijd)Hoe te beëindigen?Need-to-know principesanctie

16

DE digitale brandoefening

13 december 2006 16

Beheer van bedrijfsmiddelen

Verantwoordelijkheid voor bedrijfs-middelen Inventarisatie van bedrijfsmiddelen

Aanvaardbaar gebruik van bedrijfs-middelen

Classificatie van informatieRichtlijnen voor classificatie Labeling en verwerking van informatie

17

DE digitale brandoefening

13 december 2006 17

Beveiliging van personeel

Screening Binnen ethische kaders!

Rollen en verantwoordelijkheden Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheid

Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

18

DE digitale brandoefening

13 december 2006 18

Personeel, vervolg…

Disciplinaire maatregelen Beëindiging of wijziging van dienst-verband Beëindiging van verantwoordelijk-heden Retournering van bedrijfsmiddelen Blokkering van toegangsrechten

19

DE digitale brandoefening

13 december 2006 19

Fysieke beveiliging en beveiliging van de omgeving

Beveiligde ruimtenFysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Werken in beveiligde ruimten Openbare toegang en gebieden voor laden en lossen Beveiliging van apparatuur

20

DE digitale brandoefening

13 december 2006 20

Fysieke beveiliging, vervolg..

Nutsvoorzieningen Beveiliging van kabels Beveiliging van apparatuur buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendom-men

21

DE digitale brandoefening

13 december 2006 21

Beheer van communicatie- en bedieningsprocessen

Bedieningsprocedures en verantwoor-delijkheden‘eigenaar’ bepalen en functiescheiding Scheiding van faciliteiten voor ontwikkeling, testen en productie Controle en beoordeling van dienst-verlening door een derde partij Bescherming tegen virussen en ‘mobile code’

22

DE digitale brandoefening

13 december 2006 22

Beheer van processen, vervolg

Reservekopieën maken (back-ups) Beheer van netwerkbeveiliging Beheer van verwijderbare media Beveiliging van systeemdocumentatie Fysieke media die worden getransporteerd Elektronisch berichtenuitwisseling Openbaar beschikbare informatie en E-commerceRegistratie van storingen, audits, beschermde logbestanden

23

DE digitale brandoefening

13 december 2006 23

Toegangsbeveiliging

Beheer van toegangsrechten van gebruikers Registratie van gebruikers Beheer van gebruikerswachtwoorden en toegangsrechten‘Clear desk’- en ‘clear screen’-beleid Authenticatie van gebruikers bij externe verbindingen Time-out van sessies (Beperking van verbindingstijd )Draagbare computers en communicatievoorzieningen Telewerken

24

DE digitale brandoefening

13 december 2006 24

Verwerving, ontwikkeling en onderhoud van informatiesystemen

Analyse en specificatie van beveili-gingseisen Cryptografische beheersmaatregelen Beveiliging van systeembestanden Restricties op wijzigingen in programmatuurpakketten

25

DE digitale brandoefening

13 december 2006 25

incidenten

Rapportage van informatiebeveili-gingsgebeurtenissen Rapportage van zwakke plekken in de beveiligingRapporteren over acties n.a.v. meldingen

26

DE digitale brandoefening

13 december 2006 26

Naleving

Naleving van wettelijke voorschriften Bescherming van bedrijfsdocumenten Naleving van beveiligingsbeleid en -normen

AUDITS

27

DE digitale brandoefening

13 december 2006 27

ProgrammaStoomcursus Informatiebeveiliging

Risico-inventarisatie, risico-analyse

Aan de slag

DE digitale brandoefening“red de digitale data” strategie: aanbevelingen

28

DE digitale brandoefening

13 december 2006 28

Risico-inventarisatie, risico-analyse

Risico uitgedrukt als de relatie tussen kans op een incident/schade en het gevolg/effect:

R = K * E

29

DE digitale brandoefening

13 december 2006 29

30

DE digitale brandoefening

13 december 2006 30

ProgrammaStoomcursus Informatiebeveiliging

Risico-inventarisatie, risico-analyse

Aan de slag….

DE digitale brandoefening“red de digitale data” strategie: aanbevelingen

31

DE digitale brandoefening

13 december 2006 31

Aan de slag… (10 minuten)

Risico-analyse5 risico’sClassificeren aan de hand van analyse

32

DE digitale brandoefening

13 december 2006 32

Bedrijfscontinuïteitsbeheer

33

DE digitale brandoefening

13 december 2006 33

34

DE digitale brandoefening

13 december 2006 34

Bedrijfscontinuïteitsbeheer

35

DE digitale brandoefening

13 december 2006 35

BedrijfscontinuïteitsbeheerDE digitale brandoefening

Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoorde-ling Continuïteitsplannen ontwikkelen en implementeren waaronder informatie-beveiliging Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen

36

DE digitale brandoefening

13 december 2006 36

BedrijfscontinuïteitsbeheerDE digitale brandoefening

WaarschuwingslijstenberredderingVervangende apparatuurRol interne en externe partijen vaststellenVeilig stellen DATA en Applicaties: vooraf

Transportabiliteit data over netwerken en via backups vergemakkelijkt continuïteitsbeheer?

37

DE digitale brandoefening

13 december 2006 37

DE digitale brandoefening

De praktijk: welke maatregelen zijn genomen“red de digitale data” strategie: aanbevelingen

38

DE digitale brandoefening

13 december 2006 38

LEESVOER

NEN-ISO/IEC 17799, juni 2005; “Code voor informatiebeveiliging”

(vertaling van: ISO/IEC 1779, 2000: “Code of practice for information security management”)

39

DE DIGITALE BRANDOEFENING

Ton Cremershttp://www.museum-security.org