de conferentie 2006 ton cremers

1

DE DIGITALE BRANDOEFENING

Ton Cremershttp://www.museum-security.org

2

DE digitale brandoefening

13 december 2006 2

Programma

‘Stoomcursus’ Informatiebeveiliging

Risico-inventarisatie, risico-analyse

Aan de slag

DE digitale brandoefening“red de digitale data” strategie: aanbevelingen

3


13 december 2006 3

Workshop, dus:

INTERACTIEF

4


13 december 2006 4

introductieronde

OrganisatiePlaats binnen organisatieInformatiebeveiligingsbeleid?continuïteitsplanning / calamiteitenplanningKnelpunten / zorgenGrootste risico?

5


13 december 2006 5

ProgrammaStoomcursus Informatiebeveiliging


Aan de slag


6


13 december 2006 6

Wat is informatiebeveiliging?

Bescherming van persoonsgegevensBescherming BedrijfsdocumentenBescherming Intellectueel eigendom

Waarom:Waarborgen bedrijfscontinuiteitVerminderen risico’sOptimaliseren investeringsrendement

7


13 december 2006 7

beveiligingsbeleid

Informatiebeveiligingsbeleid

Beoordeling van het informatiebeveiligingsbeleid

8


13 december 2006 8

Beleid

De directie behoort beleidsrichting aan te geven en duidelijk te maken dat informatiebeveiliging wordt ondersteund en gehandhaafd

9


13 december 2006 9

beheersmaatregelen

Beleidsdocument (rol van de directie)Toewijzen verantwoordelijkhedenBewustwording, scholing en trainingBeheer technische kwetsbaarheid (gebouw, netwerken, hardware)Incidentenregistratie en verbeterin-gen

10


13 december 2006 10

Kritische succesfactoren / bedrijfscultuur

Betrokkenheid en steun op alle managementniveausGoed begrip beveiligingseisen en risicobeheerRichtlijnen/normen voor ALLE mede-werkersFinanciele middelenTraining beveiligings bewustzijn

11


13 december 2006 11

Hoe wordt het beleid vorm gegeven?

Doelen vaststellenBeleid vaststellenControle op effectiviteitBeschikbaar stellen middelen‘eigenaars’ aanwijzenBedrijfscultuur/bewustzijn stimulerenWaarborgen: kwaliteitssystemenaudits

12


13 december 2006 12

Risicobeoordeling en risicobehandeling

Beoordelen van beveiligingsrisco’sInventariserenAnalyserenRegistratie incidenten

Behandelen van beveiligingsrisico’s Verminderen / beheersenAanvaardenEliminerenverplaatsen

13


13 december 2006 13

Organisatie van informatiebeveiliging.

Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Toewijzing van verantwoordelijk-heden voor informatiebeveiliging Onafhankelijke beoordeling van informatiebeveiliging Externe partijen

14


13 december 2006 14

Organisatie Intern

Toekennen van rollen en verantwoordelijkhedenHandelen overeenkomstig vastgesteld beleidVaststellen hoe op te treden bij niet-nalevingVaststellen van informatieclassificatieOpleiding en traininggeheimhoudingsovereenkomst

15


13 december 2006 15

geheimhoudingsovereenkomst

Definitie: wat moet beschermd worden (strekking inhoudelijk)Eigendom van informatieLooptijd (strekking in tijd)Hoe te beëindigen?Need-to-know principesanctie

16


13 december 2006 16

Beheer van bedrijfsmiddelen

Verantwoordelijkheid voor bedrijfs-middelen Inventarisatie van bedrijfsmiddelen

Aanvaardbaar gebruik van bedrijfs-middelen

Classificatie van informatieRichtlijnen voor classificatie Labeling en verwerking van informatie

17


13 december 2006 17

Beveiliging van personeel

Screening Binnen ethische kaders!

Rollen en verantwoordelijkheden Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheid

Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

18


13 december 2006 18

Personeel, vervolg…

Disciplinaire maatregelen Beëindiging of wijziging van dienst-verband Beëindiging van verantwoordelijk-heden Retournering van bedrijfsmiddelen Blokkering van toegangsrechten

19


13 december 2006 19

Fysieke beveiliging en beveiliging van de omgeving

Beveiligde ruimtenFysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Werken in beveiligde ruimten Openbare toegang en gebieden voor laden en lossen Beveiliging van apparatuur

20


13 december 2006 20

Fysieke beveiliging, vervolg..

Nutsvoorzieningen Beveiliging van kabels Beveiliging van apparatuur buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendom-men

21


13 december 2006 21

Beheer van communicatie- en bedieningsprocessen

Bedieningsprocedures en verantwoor-delijkheden‘eigenaar’ bepalen en functiescheiding Scheiding van faciliteiten voor ontwikkeling, testen en productie Controle en beoordeling van dienst-verlening door een derde partij Bescherming tegen virussen en ‘mobile code’

22


13 december 2006 22

Beheer van processen, vervolg

Reservekopieën maken (back-ups) Beheer van netwerkbeveiliging Beheer van verwijderbare media Beveiliging van systeemdocumentatie Fysieke media die worden getransporteerd Elektronisch berichtenuitwisseling Openbaar beschikbare informatie en E-commerceRegistratie van storingen, audits, beschermde logbestanden

23


13 december 2006 23

Toegangsbeveiliging

Beheer van toegangsrechten van gebruikers Registratie van gebruikers Beheer van gebruikerswachtwoorden en toegangsrechten‘Clear desk’- en ‘clear screen’-beleid Authenticatie van gebruikers bij externe verbindingen Time-out van sessies (Beperking van verbindingstijd )Draagbare computers en communicatievoorzieningen Telewerken

24


13 december 2006 24

Verwerving, ontwikkeling en onderhoud van informatiesystemen

Analyse en specificatie van beveili-gingseisen Cryptografische beheersmaatregelen Beveiliging van systeembestanden Restricties op wijzigingen in programmatuurpakketten

25


13 december 2006 25

incidenten

Rapportage van informatiebeveili-gingsgebeurtenissen Rapportage van zwakke plekken in de beveiligingRapporteren over acties n.a.v. meldingen

26


13 december 2006 26

Naleving

Naleving van wettelijke voorschriften Bescherming van bedrijfsdocumenten Naleving van beveiligingsbeleid en -normen

AUDITS

27


13 december 2006 27



Aan de slag


28


13 december 2006 28


Risico uitgedrukt als de relatie tussen kans op een incident/schade en het gevolg/effect:

R = K * E

29


13 december 2006 29

30


13 december 2006 30



Aan de slag….


31


13 december 2006 31

Aan de slag… (10 minuten)

Risico-analyse5 risico’sClassificeren aan de hand van analyse

32


13 december 2006 32

Bedrijfscontinuïteitsbeheer

33


13 december 2006 33

34


13 december 2006 34

Bedrijfscontinuïteitsbeheer

35


13 december 2006 35

BedrijfscontinuïteitsbeheerDE digitale brandoefening

Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoorde-ling Continuïteitsplannen ontwikkelen en implementeren waaronder informatie-beveiliging Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen

36


13 december 2006 36

BedrijfscontinuïteitsbeheerDE digitale brandoefening

WaarschuwingslijstenberredderingVervangende apparatuurRol interne en externe partijen vaststellenVeilig stellen DATA en Applicaties: vooraf

Transportabiliteit data over netwerken en via backups vergemakkelijkt continuïteitsbeheer?

37


13 december 2006 37


De praktijk: welke maatregelen zijn genomen“red de digitale data” strategie: aanbevelingen

38


13 december 2006 38

LEESVOER

NEN-ISO/IEC 17799, juni 2005; “Code voor informatiebeveiliging”

(vertaling van: ISO/IEC 1779, 2000: “Code of practice for information security management”)

39

DE DIGITALE BRANDOEFENING

Ton Cremershttp://www.museum-security.org

de conferentie 2006 ton cremers

Education