Upload
jasper-pauwels
View
216
Download
1
Tags:
Embed Size (px)
Citation preview
1
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
2
Ernst J Oud
Senior Consultant
Remote Managed Services
Getronics Business Continuity BV
Botter 15-90
Postbus 2228
8203 AE Lelystad
The Netherlands
Telefoon 0320 - 266 464
Telefax 0320 - 266 262
Ernst J Oud
Senior Consultant
Remote Managed Services
Getronics Business Continuity BV
Botter 15-90
Postbus 2228
8203 AE Lelystad
The Netherlands
Telefoon 0320 - 266 464
Telefax 0320 - 266 262
mobile +31-6-50 67 66 45e-mail ejoudgetronicsnl
wwwgetronicscom
3
AgendaAgenda
Code voor Informatiebeveiliging verleden heden en toekomstCode voor Informatiebeveiliging verleden heden en toekomst
Certificering tegen de CodeCertificering tegen de Code
Ervaringen uit de praktijkErvaringen uit de praktijk
4
InformatiebeveiligingInformatiebeveiliging
HoeHoe
5
Integrated Security MethodologyIntegrated Security Methodology
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
6
Operationeel de gereedschappenOperationeel de gereedschappen
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
Security ScanBusiness Impact AnalysisAampK AnalyseCode voor InformatiebeveiligingITIL Security ManagementCRAMMWet Persoonsregistraties Wet Computercriminaliteit hellip
Bijstelling
7
Standaards voor informatiebeveiligingStandaards voor informatiebeveiliging
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
Wetgever WPR WCC ARBO Wetgever WPR WCC ARBO
Branche voorschriften Branche voorschriften
ldquoldquoMemorandum omtrent de beschikbaarheid en continuiumlteit van Memorandum omtrent de beschikbaarheid en continuiumlteit van geautomatiseerde gegevensverwerking in het bankwezenrdquogeautomatiseerde gegevensverwerking in het bankwezenrdquo
De Nederlandsche Bank - 20091988
ISO 13335 (in wording)ISO 13335 (in wording)
Voorschrift Informatiebeveiliging Rijksdienst (VIR)Voorschrift Informatiebeveiliging Rijksdienst (VIR)
Regeling Informatiebeveiliging Politie (RIP)Regeling Informatiebeveiliging Politie (RIP)
8
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
ldquoldquoEen leidraad voor beleid en implementatierdquoEen leidraad voor beleid en implementatierdquo
10 essentieumlle en fundamentele maatregelen10 essentieumlle en fundamentele maatregelen
109 maatregelen totaal109 maatregelen totaal
Certificatie mogelijkheid Certificatie mogelijkheid (vgl ISO 9000)(vgl ISO 9000) - KEMAKPMG - KEMAKPMG
Uitgave NNI - DelftUitgave NNI - Delft
9
De 10 essentieumlle en fundamentele maatregelenDe 10 essentieumlle en fundamentele maatregelen
ManagementManagement
- Toewijzing van verantwoordelijkheden voor informatiebeveiligingToewijzing van verantwoordelijkheden voor informatiebeveiliging
- Naleving van de wetgeving inzake bescherming van persoonsgegevensNaleving van de wetgeving inzake bescherming van persoonsgegevens
- Beleidsdocument voor informatiebeveiligingBeleidsdocument voor informatiebeveiliging
ProceduresProcedures
- Het rapporteren van beveiligingsincidentenHet rapporteren van beveiligingsincidenten
- Het proces van continuiumlteitsplanningHet proces van continuiumlteitsplanning
- Naleving van het beveiligingsbeleidNaleving van het beveiligingsbeleid
MaatregelenMaatregelen
- Opleiding en training voor informatiebeveiligingOpleiding en training voor informatiebeveiliging
- ViruscontroleViruscontrole
- Voorkomen van het onrechtmatig kopieumlren van programmatuurVoorkomen van het onrechtmatig kopieumlren van programmatuur
- Beveiliging van bedrijfsdocumentenBeveiliging van bedrijfsdocumenten
10
Code voor InformatiebeveiligingCode voor Informatiebeveiliging
Verleden heden en toekomstVerleden heden en toekomst
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
2
Ernst J Oud
Senior Consultant
Remote Managed Services
Getronics Business Continuity BV
Botter 15-90
Postbus 2228
8203 AE Lelystad
The Netherlands
Telefoon 0320 - 266 464
Telefax 0320 - 266 262
Ernst J Oud
Senior Consultant
Remote Managed Services
Getronics Business Continuity BV
Botter 15-90
Postbus 2228
8203 AE Lelystad
The Netherlands
Telefoon 0320 - 266 464
Telefax 0320 - 266 262
mobile +31-6-50 67 66 45e-mail ejoudgetronicsnl
wwwgetronicscom
3
AgendaAgenda
Code voor Informatiebeveiliging verleden heden en toekomstCode voor Informatiebeveiliging verleden heden en toekomst
Certificering tegen de CodeCertificering tegen de Code
Ervaringen uit de praktijkErvaringen uit de praktijk
4
InformatiebeveiligingInformatiebeveiliging
HoeHoe
5
Integrated Security MethodologyIntegrated Security Methodology
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
6
Operationeel de gereedschappenOperationeel de gereedschappen
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
Security ScanBusiness Impact AnalysisAampK AnalyseCode voor InformatiebeveiligingITIL Security ManagementCRAMMWet Persoonsregistraties Wet Computercriminaliteit hellip
Bijstelling
7
Standaards voor informatiebeveiligingStandaards voor informatiebeveiliging
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
Wetgever WPR WCC ARBO Wetgever WPR WCC ARBO
Branche voorschriften Branche voorschriften
ldquoldquoMemorandum omtrent de beschikbaarheid en continuiumlteit van Memorandum omtrent de beschikbaarheid en continuiumlteit van geautomatiseerde gegevensverwerking in het bankwezenrdquogeautomatiseerde gegevensverwerking in het bankwezenrdquo
De Nederlandsche Bank - 20091988
ISO 13335 (in wording)ISO 13335 (in wording)
Voorschrift Informatiebeveiliging Rijksdienst (VIR)Voorschrift Informatiebeveiliging Rijksdienst (VIR)
Regeling Informatiebeveiliging Politie (RIP)Regeling Informatiebeveiliging Politie (RIP)
8
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
ldquoldquoEen leidraad voor beleid en implementatierdquoEen leidraad voor beleid en implementatierdquo
10 essentieumlle en fundamentele maatregelen10 essentieumlle en fundamentele maatregelen
109 maatregelen totaal109 maatregelen totaal
Certificatie mogelijkheid Certificatie mogelijkheid (vgl ISO 9000)(vgl ISO 9000) - KEMAKPMG - KEMAKPMG
Uitgave NNI - DelftUitgave NNI - Delft
9
De 10 essentieumlle en fundamentele maatregelenDe 10 essentieumlle en fundamentele maatregelen
ManagementManagement
- Toewijzing van verantwoordelijkheden voor informatiebeveiligingToewijzing van verantwoordelijkheden voor informatiebeveiliging
- Naleving van de wetgeving inzake bescherming van persoonsgegevensNaleving van de wetgeving inzake bescherming van persoonsgegevens
- Beleidsdocument voor informatiebeveiligingBeleidsdocument voor informatiebeveiliging
ProceduresProcedures
- Het rapporteren van beveiligingsincidentenHet rapporteren van beveiligingsincidenten
- Het proces van continuiumlteitsplanningHet proces van continuiumlteitsplanning
- Naleving van het beveiligingsbeleidNaleving van het beveiligingsbeleid
MaatregelenMaatregelen
- Opleiding en training voor informatiebeveiligingOpleiding en training voor informatiebeveiliging
- ViruscontroleViruscontrole
- Voorkomen van het onrechtmatig kopieumlren van programmatuurVoorkomen van het onrechtmatig kopieumlren van programmatuur
- Beveiliging van bedrijfsdocumentenBeveiliging van bedrijfsdocumenten
10
Code voor InformatiebeveiligingCode voor Informatiebeveiliging
Verleden heden en toekomstVerleden heden en toekomst
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
3
AgendaAgenda
Code voor Informatiebeveiliging verleden heden en toekomstCode voor Informatiebeveiliging verleden heden en toekomst
Certificering tegen de CodeCertificering tegen de Code
Ervaringen uit de praktijkErvaringen uit de praktijk
4
InformatiebeveiligingInformatiebeveiliging
HoeHoe
5
Integrated Security MethodologyIntegrated Security Methodology
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
6
Operationeel de gereedschappenOperationeel de gereedschappen
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
Security ScanBusiness Impact AnalysisAampK AnalyseCode voor InformatiebeveiligingITIL Security ManagementCRAMMWet Persoonsregistraties Wet Computercriminaliteit hellip
Bijstelling
7
Standaards voor informatiebeveiligingStandaards voor informatiebeveiliging
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
Wetgever WPR WCC ARBO Wetgever WPR WCC ARBO
Branche voorschriften Branche voorschriften
ldquoldquoMemorandum omtrent de beschikbaarheid en continuiumlteit van Memorandum omtrent de beschikbaarheid en continuiumlteit van geautomatiseerde gegevensverwerking in het bankwezenrdquogeautomatiseerde gegevensverwerking in het bankwezenrdquo
De Nederlandsche Bank - 20091988
ISO 13335 (in wording)ISO 13335 (in wording)
Voorschrift Informatiebeveiliging Rijksdienst (VIR)Voorschrift Informatiebeveiliging Rijksdienst (VIR)
Regeling Informatiebeveiliging Politie (RIP)Regeling Informatiebeveiliging Politie (RIP)
8
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
ldquoldquoEen leidraad voor beleid en implementatierdquoEen leidraad voor beleid en implementatierdquo
10 essentieumlle en fundamentele maatregelen10 essentieumlle en fundamentele maatregelen
109 maatregelen totaal109 maatregelen totaal
Certificatie mogelijkheid Certificatie mogelijkheid (vgl ISO 9000)(vgl ISO 9000) - KEMAKPMG - KEMAKPMG
Uitgave NNI - DelftUitgave NNI - Delft
9
De 10 essentieumlle en fundamentele maatregelenDe 10 essentieumlle en fundamentele maatregelen
ManagementManagement
- Toewijzing van verantwoordelijkheden voor informatiebeveiligingToewijzing van verantwoordelijkheden voor informatiebeveiliging
- Naleving van de wetgeving inzake bescherming van persoonsgegevensNaleving van de wetgeving inzake bescherming van persoonsgegevens
- Beleidsdocument voor informatiebeveiligingBeleidsdocument voor informatiebeveiliging
ProceduresProcedures
- Het rapporteren van beveiligingsincidentenHet rapporteren van beveiligingsincidenten
- Het proces van continuiumlteitsplanningHet proces van continuiumlteitsplanning
- Naleving van het beveiligingsbeleidNaleving van het beveiligingsbeleid
MaatregelenMaatregelen
- Opleiding en training voor informatiebeveiligingOpleiding en training voor informatiebeveiliging
- ViruscontroleViruscontrole
- Voorkomen van het onrechtmatig kopieumlren van programmatuurVoorkomen van het onrechtmatig kopieumlren van programmatuur
- Beveiliging van bedrijfsdocumentenBeveiliging van bedrijfsdocumenten
10
Code voor InformatiebeveiligingCode voor Informatiebeveiliging
Verleden heden en toekomstVerleden heden en toekomst
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
4
InformatiebeveiligingInformatiebeveiliging
HoeHoe
5
Integrated Security MethodologyIntegrated Security Methodology
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
6
Operationeel de gereedschappenOperationeel de gereedschappen
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
Security ScanBusiness Impact AnalysisAampK AnalyseCode voor InformatiebeveiligingITIL Security ManagementCRAMMWet Persoonsregistraties Wet Computercriminaliteit hellip
Bijstelling
7
Standaards voor informatiebeveiligingStandaards voor informatiebeveiliging
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
Wetgever WPR WCC ARBO Wetgever WPR WCC ARBO
Branche voorschriften Branche voorschriften
ldquoldquoMemorandum omtrent de beschikbaarheid en continuiumlteit van Memorandum omtrent de beschikbaarheid en continuiumlteit van geautomatiseerde gegevensverwerking in het bankwezenrdquogeautomatiseerde gegevensverwerking in het bankwezenrdquo
De Nederlandsche Bank - 20091988
ISO 13335 (in wording)ISO 13335 (in wording)
Voorschrift Informatiebeveiliging Rijksdienst (VIR)Voorschrift Informatiebeveiliging Rijksdienst (VIR)
Regeling Informatiebeveiliging Politie (RIP)Regeling Informatiebeveiliging Politie (RIP)
8
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
ldquoldquoEen leidraad voor beleid en implementatierdquoEen leidraad voor beleid en implementatierdquo
10 essentieumlle en fundamentele maatregelen10 essentieumlle en fundamentele maatregelen
109 maatregelen totaal109 maatregelen totaal
Certificatie mogelijkheid Certificatie mogelijkheid (vgl ISO 9000)(vgl ISO 9000) - KEMAKPMG - KEMAKPMG
Uitgave NNI - DelftUitgave NNI - Delft
9
De 10 essentieumlle en fundamentele maatregelenDe 10 essentieumlle en fundamentele maatregelen
ManagementManagement
- Toewijzing van verantwoordelijkheden voor informatiebeveiligingToewijzing van verantwoordelijkheden voor informatiebeveiliging
- Naleving van de wetgeving inzake bescherming van persoonsgegevensNaleving van de wetgeving inzake bescherming van persoonsgegevens
- Beleidsdocument voor informatiebeveiligingBeleidsdocument voor informatiebeveiliging
ProceduresProcedures
- Het rapporteren van beveiligingsincidentenHet rapporteren van beveiligingsincidenten
- Het proces van continuiumlteitsplanningHet proces van continuiumlteitsplanning
- Naleving van het beveiligingsbeleidNaleving van het beveiligingsbeleid
MaatregelenMaatregelen
- Opleiding en training voor informatiebeveiligingOpleiding en training voor informatiebeveiliging
- ViruscontroleViruscontrole
- Voorkomen van het onrechtmatig kopieumlren van programmatuurVoorkomen van het onrechtmatig kopieumlren van programmatuur
- Beveiliging van bedrijfsdocumentenBeveiliging van bedrijfsdocumenten
10
Code voor InformatiebeveiligingCode voor Informatiebeveiliging
Verleden heden en toekomstVerleden heden en toekomst
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
5
Integrated Security MethodologyIntegrated Security Methodology
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
6
Operationeel de gereedschappenOperationeel de gereedschappen
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
Security ScanBusiness Impact AnalysisAampK AnalyseCode voor InformatiebeveiligingITIL Security ManagementCRAMMWet Persoonsregistraties Wet Computercriminaliteit hellip
Bijstelling
7
Standaards voor informatiebeveiligingStandaards voor informatiebeveiliging
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
Wetgever WPR WCC ARBO Wetgever WPR WCC ARBO
Branche voorschriften Branche voorschriften
ldquoldquoMemorandum omtrent de beschikbaarheid en continuiumlteit van Memorandum omtrent de beschikbaarheid en continuiumlteit van geautomatiseerde gegevensverwerking in het bankwezenrdquogeautomatiseerde gegevensverwerking in het bankwezenrdquo
De Nederlandsche Bank - 20091988
ISO 13335 (in wording)ISO 13335 (in wording)
Voorschrift Informatiebeveiliging Rijksdienst (VIR)Voorschrift Informatiebeveiliging Rijksdienst (VIR)
Regeling Informatiebeveiliging Politie (RIP)Regeling Informatiebeveiliging Politie (RIP)
8
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
ldquoldquoEen leidraad voor beleid en implementatierdquoEen leidraad voor beleid en implementatierdquo
10 essentieumlle en fundamentele maatregelen10 essentieumlle en fundamentele maatregelen
109 maatregelen totaal109 maatregelen totaal
Certificatie mogelijkheid Certificatie mogelijkheid (vgl ISO 9000)(vgl ISO 9000) - KEMAKPMG - KEMAKPMG
Uitgave NNI - DelftUitgave NNI - Delft
9
De 10 essentieumlle en fundamentele maatregelenDe 10 essentieumlle en fundamentele maatregelen
ManagementManagement
- Toewijzing van verantwoordelijkheden voor informatiebeveiligingToewijzing van verantwoordelijkheden voor informatiebeveiliging
- Naleving van de wetgeving inzake bescherming van persoonsgegevensNaleving van de wetgeving inzake bescherming van persoonsgegevens
- Beleidsdocument voor informatiebeveiligingBeleidsdocument voor informatiebeveiliging
ProceduresProcedures
- Het rapporteren van beveiligingsincidentenHet rapporteren van beveiligingsincidenten
- Het proces van continuiumlteitsplanningHet proces van continuiumlteitsplanning
- Naleving van het beveiligingsbeleidNaleving van het beveiligingsbeleid
MaatregelenMaatregelen
- Opleiding en training voor informatiebeveiligingOpleiding en training voor informatiebeveiliging
- ViruscontroleViruscontrole
- Voorkomen van het onrechtmatig kopieumlren van programmatuurVoorkomen van het onrechtmatig kopieumlren van programmatuur
- Beveiliging van bedrijfsdocumentenBeveiliging van bedrijfsdocumenten
10
Code voor InformatiebeveiligingCode voor Informatiebeveiliging
Verleden heden en toekomstVerleden heden en toekomst
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
6
Operationeel de gereedschappenOperationeel de gereedschappen
Beleid Inventarisatie Eisen Ontwerp Procedures Implementatie
Maatregelen
Organisatie
Bewustwording
Projectgroep Risico-analyse Audit
Security ScanBusiness Impact AnalysisAampK AnalyseCode voor InformatiebeveiligingITIL Security ManagementCRAMMWet Persoonsregistraties Wet Computercriminaliteit hellip
Bijstelling
7
Standaards voor informatiebeveiligingStandaards voor informatiebeveiliging
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
Wetgever WPR WCC ARBO Wetgever WPR WCC ARBO
Branche voorschriften Branche voorschriften
ldquoldquoMemorandum omtrent de beschikbaarheid en continuiumlteit van Memorandum omtrent de beschikbaarheid en continuiumlteit van geautomatiseerde gegevensverwerking in het bankwezenrdquogeautomatiseerde gegevensverwerking in het bankwezenrdquo
De Nederlandsche Bank - 20091988
ISO 13335 (in wording)ISO 13335 (in wording)
Voorschrift Informatiebeveiliging Rijksdienst (VIR)Voorschrift Informatiebeveiliging Rijksdienst (VIR)
Regeling Informatiebeveiliging Politie (RIP)Regeling Informatiebeveiliging Politie (RIP)
8
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
ldquoldquoEen leidraad voor beleid en implementatierdquoEen leidraad voor beleid en implementatierdquo
10 essentieumlle en fundamentele maatregelen10 essentieumlle en fundamentele maatregelen
109 maatregelen totaal109 maatregelen totaal
Certificatie mogelijkheid Certificatie mogelijkheid (vgl ISO 9000)(vgl ISO 9000) - KEMAKPMG - KEMAKPMG
Uitgave NNI - DelftUitgave NNI - Delft
9
De 10 essentieumlle en fundamentele maatregelenDe 10 essentieumlle en fundamentele maatregelen
ManagementManagement
- Toewijzing van verantwoordelijkheden voor informatiebeveiligingToewijzing van verantwoordelijkheden voor informatiebeveiliging
- Naleving van de wetgeving inzake bescherming van persoonsgegevensNaleving van de wetgeving inzake bescherming van persoonsgegevens
- Beleidsdocument voor informatiebeveiligingBeleidsdocument voor informatiebeveiliging
ProceduresProcedures
- Het rapporteren van beveiligingsincidentenHet rapporteren van beveiligingsincidenten
- Het proces van continuiumlteitsplanningHet proces van continuiumlteitsplanning
- Naleving van het beveiligingsbeleidNaleving van het beveiligingsbeleid
MaatregelenMaatregelen
- Opleiding en training voor informatiebeveiligingOpleiding en training voor informatiebeveiliging
- ViruscontroleViruscontrole
- Voorkomen van het onrechtmatig kopieumlren van programmatuurVoorkomen van het onrechtmatig kopieumlren van programmatuur
- Beveiliging van bedrijfsdocumentenBeveiliging van bedrijfsdocumenten
10
Code voor InformatiebeveiligingCode voor Informatiebeveiliging
Verleden heden en toekomstVerleden heden en toekomst
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
7
Standaards voor informatiebeveiligingStandaards voor informatiebeveiliging
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
Wetgever WPR WCC ARBO Wetgever WPR WCC ARBO
Branche voorschriften Branche voorschriften
ldquoldquoMemorandum omtrent de beschikbaarheid en continuiumlteit van Memorandum omtrent de beschikbaarheid en continuiumlteit van geautomatiseerde gegevensverwerking in het bankwezenrdquogeautomatiseerde gegevensverwerking in het bankwezenrdquo
De Nederlandsche Bank - 20091988
ISO 13335 (in wording)ISO 13335 (in wording)
Voorschrift Informatiebeveiliging Rijksdienst (VIR)Voorschrift Informatiebeveiliging Rijksdienst (VIR)
Regeling Informatiebeveiliging Politie (RIP)Regeling Informatiebeveiliging Politie (RIP)
8
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
ldquoldquoEen leidraad voor beleid en implementatierdquoEen leidraad voor beleid en implementatierdquo
10 essentieumlle en fundamentele maatregelen10 essentieumlle en fundamentele maatregelen
109 maatregelen totaal109 maatregelen totaal
Certificatie mogelijkheid Certificatie mogelijkheid (vgl ISO 9000)(vgl ISO 9000) - KEMAKPMG - KEMAKPMG
Uitgave NNI - DelftUitgave NNI - Delft
9
De 10 essentieumlle en fundamentele maatregelenDe 10 essentieumlle en fundamentele maatregelen
ManagementManagement
- Toewijzing van verantwoordelijkheden voor informatiebeveiligingToewijzing van verantwoordelijkheden voor informatiebeveiliging
- Naleving van de wetgeving inzake bescherming van persoonsgegevensNaleving van de wetgeving inzake bescherming van persoonsgegevens
- Beleidsdocument voor informatiebeveiligingBeleidsdocument voor informatiebeveiliging
ProceduresProcedures
- Het rapporteren van beveiligingsincidentenHet rapporteren van beveiligingsincidenten
- Het proces van continuiumlteitsplanningHet proces van continuiumlteitsplanning
- Naleving van het beveiligingsbeleidNaleving van het beveiligingsbeleid
MaatregelenMaatregelen
- Opleiding en training voor informatiebeveiligingOpleiding en training voor informatiebeveiliging
- ViruscontroleViruscontrole
- Voorkomen van het onrechtmatig kopieumlren van programmatuurVoorkomen van het onrechtmatig kopieumlren van programmatuur
- Beveiliging van bedrijfsdocumentenBeveiliging van bedrijfsdocumenten
10
Code voor InformatiebeveiligingCode voor Informatiebeveiliging
Verleden heden en toekomstVerleden heden en toekomst
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
8
Code voor Informatiebeveiliging (BS 7799)Code voor Informatiebeveiliging (BS 7799)
ldquoldquoEen leidraad voor beleid en implementatierdquoEen leidraad voor beleid en implementatierdquo
10 essentieumlle en fundamentele maatregelen10 essentieumlle en fundamentele maatregelen
109 maatregelen totaal109 maatregelen totaal
Certificatie mogelijkheid Certificatie mogelijkheid (vgl ISO 9000)(vgl ISO 9000) - KEMAKPMG - KEMAKPMG
Uitgave NNI - DelftUitgave NNI - Delft
9
De 10 essentieumlle en fundamentele maatregelenDe 10 essentieumlle en fundamentele maatregelen
ManagementManagement
- Toewijzing van verantwoordelijkheden voor informatiebeveiligingToewijzing van verantwoordelijkheden voor informatiebeveiliging
- Naleving van de wetgeving inzake bescherming van persoonsgegevensNaleving van de wetgeving inzake bescherming van persoonsgegevens
- Beleidsdocument voor informatiebeveiligingBeleidsdocument voor informatiebeveiliging
ProceduresProcedures
- Het rapporteren van beveiligingsincidentenHet rapporteren van beveiligingsincidenten
- Het proces van continuiumlteitsplanningHet proces van continuiumlteitsplanning
- Naleving van het beveiligingsbeleidNaleving van het beveiligingsbeleid
MaatregelenMaatregelen
- Opleiding en training voor informatiebeveiligingOpleiding en training voor informatiebeveiliging
- ViruscontroleViruscontrole
- Voorkomen van het onrechtmatig kopieumlren van programmatuurVoorkomen van het onrechtmatig kopieumlren van programmatuur
- Beveiliging van bedrijfsdocumentenBeveiliging van bedrijfsdocumenten
10
Code voor InformatiebeveiligingCode voor Informatiebeveiliging
Verleden heden en toekomstVerleden heden en toekomst
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
9
De 10 essentieumlle en fundamentele maatregelenDe 10 essentieumlle en fundamentele maatregelen
ManagementManagement
- Toewijzing van verantwoordelijkheden voor informatiebeveiligingToewijzing van verantwoordelijkheden voor informatiebeveiliging
- Naleving van de wetgeving inzake bescherming van persoonsgegevensNaleving van de wetgeving inzake bescherming van persoonsgegevens
- Beleidsdocument voor informatiebeveiligingBeleidsdocument voor informatiebeveiliging
ProceduresProcedures
- Het rapporteren van beveiligingsincidentenHet rapporteren van beveiligingsincidenten
- Het proces van continuiumlteitsplanningHet proces van continuiumlteitsplanning
- Naleving van het beveiligingsbeleidNaleving van het beveiligingsbeleid
MaatregelenMaatregelen
- Opleiding en training voor informatiebeveiligingOpleiding en training voor informatiebeveiliging
- ViruscontroleViruscontrole
- Voorkomen van het onrechtmatig kopieumlren van programmatuurVoorkomen van het onrechtmatig kopieumlren van programmatuur
- Beveiliging van bedrijfsdocumentenBeveiliging van bedrijfsdocumenten
10
Code voor InformatiebeveiligingCode voor Informatiebeveiliging
Verleden heden en toekomstVerleden heden en toekomst
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
10
Code voor InformatiebeveiligingCode voor Informatiebeveiliging
Verleden heden en toekomstVerleden heden en toekomst
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
11
Ontstaan van BS 7799Ontstaan van BS 7799
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Gevolg een Gevolg een praktijkpraktijkdocumentdocument
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
12
Ontstaan van de Code voor InformatiebeveiligingOntstaan van de Code voor Informatiebeveiliging
Initiatief van Marks amp Spencer - UKInitiatief van Marks amp Spencer - UK Belangrijkste reden toename outsourcing contractenBelangrijkste reden toename outsourcing contracten Met enkele multinationals ontstaat BS 7799Met enkele multinationals ontstaat BS 7799
Introductie eind 1995 in Nederland vertalingaanpassingIntroductie eind 1995 in Nederland vertalingaanpassing Multinationals ism Ministerie van EZ en NNIMultinationals ism Ministerie van EZ en NNI Initiatieven ter introductie ook bij het MKBInitiatieven ter introductie ook bij het MKB
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
13
Waarom een standaardWaarom een standaard
Geeft duidelijke regels tussen organisatiesGeeft duidelijke regels tussen organisaties Verschaft externe partijen duidelijkheidVerschaft externe partijen duidelijkheid Hanteerbaar als lsquonormen en waardenrsquoHanteerbaar als lsquonormen en waardenrsquo Controleerbaar fungeert als peilstokControleerbaar fungeert als peilstok Leidt tot ontstaan van productendienstenLeidt tot ontstaan van productendiensten
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
14
Types standaardsTypes standaards
Beveiligings-beleid
Algemene voorschriften
Technischeinrichtings-
documenten
Organisatori-sche inrichtings-documenten
ProductiehandleidingenGebruikershandleidingen
Procedures en werkin-structies
STRATEGISCH
OPERATIONEEL
TACTISCH
STRATEGISCHE STANDAARDEN (VIR)
SPECIFIEKE SYSTEEMGERICHTE STANDAARDEN (UNIX MANUAL)
ALGEMENE STANDAARDEN (BS 7799)
OBJECTGERICHTE STANDAARDEN (BPM)
Bron Informatiebeveiliging Praktijkjournaal Jaargang 2 Nummer 3 Bladzijde 3
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
15
Verschillen BS 7799 en Code voor InformatiebeveiligingVerschillen BS 7799 en Code voor Informatiebeveiliging
LeesbaarheidLeesbaarheid Verwijzingen naar Nederlandse wetgevingVerwijzingen naar Nederlandse wetgeving
BS 7799 Part 2 - Management van informatiebeveiligingBS 7799 Part 2 - Management van informatiebeveiliging ITIL Security Management in NL bruikbaar als substituutITIL Security Management in NL bruikbaar als substituut
c-cure c-cure ICITICIT
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
Tactisch ITIL Security ManagementTactisch ITIL Security Management
KLANT definieert eisen gebaseerd op bedrijfsprocessen
RAPPORTAGE conform SLA SLA tussen klant en provider
PLANService Level AgreementOnderliggende contractenOperational Level AgreementsBeleidslijnen
IMPLEMENTEERBewustwording ClassificatieFysieke logische organisatorische maatregelenIncidentbeheer
ONDERHOUDLeerVerbeter planningVerbeter implementatieVerbeter evaluatiemethodes
EVALUEERInterne auditsExterne auditsZelfcontroleBeveiligingsincidenten
BEHEERInrichten organisatieManagement raamwerkVerantwoordelijkhedenHulpmiddelen
Service Provider implementeert SLA volgens ITIL Security Management
BRON ITIL Security Management - CCTA 1999
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
17
Ervaringen sinds 1995Ervaringen sinds 1995
Bruikbaar instrument bij implementatie maatregelenBruikbaar instrument bij implementatie maatregelen Sleutelmaatregelen implementeren motiveertSleutelmaatregelen implementeren motiveert Diverse organisaties nu gecertificeerdDiverse organisaties nu gecertificeerd Interesse uit alle branches inclusief overheidInteresse uit alle branches inclusief overheid Helpt bij implementatie VIRHelpt bij implementatie VIR
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
18
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
19
Van risicorsquos naar maatregelenVan risicorsquos naar maatregelen CRAMMCRAMM
THREAT COUNTERMEASURE MAATREGEL UIT CODE
hellip
Misuse of System Resources
Communications Infiltration by Insiders hellip Network Access Controls 743 GEBRUIKERSAUTHENTICATIE hellip
Communications Infiltration by Contracted
Service Providers hellip
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
20
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
21
Van lsquowatrsquo naar lsquohoersquoVan lsquowatrsquo naar lsquohoersquo Baseline Protection ManualBaseline Protection Manual
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
S 448 Password protection under Windows NT
For each user access to a Windows NT system must be protected by a password User accounts without a password are not allowed to exist as they constitute a potential weak point in the system It is important that users too are familiar with the protective function of the passwords since the co-operation of users naturally contributes to the security of the overall system
Setting up a new user is performed with the aid of the utility User Manager via the control command New User At the same time an initial password with a maximum of 14 characters must be entered in the fields Password and Confirm Password For passwords under Windows NT the use of upper and lower case letters must be observed A meaningful initial password should be allocated which is notified to the user Always choosing the same initial password or making this password identical to the user name opens up a security loophole which can be avoided with a little effort
The option User Must Change Password At Next Log-On should be set with all new accounts so that the log-on password is not retained On the other hand the option User Cannot Change Password should only be used in exceptional cases for instance for pre-defined accounts in the training operation The option Password Never Expires should only be used for user accounts to which a service is assigned with the aid of the system control option Services (for example the reproduction service) as it cancels the setting Maximum Password Age in the Accounts Policy and prevents the password from expiring
Zie httpwwwbsibundde
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
22
Zwakke puntenZwakke punten
Geeft weinig steun bij selecteren van maatregelenGeeft weinig steun bij selecteren van maatregelen Vooral lsquowatrsquo maar weinig lsquohoersquoVooral lsquowatrsquo maar weinig lsquohoersquo
Geen kwantificering te bereiken lsquoniveaursquoGeen kwantificering te bereiken lsquoniveaursquo Ondersteunende producten ontbrekenOndersteunende producten ontbreken Code begint verouderd te rakenCode begint verouderd te raken
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
23
Tips en aanbevelingen bij implementatieTips en aanbevelingen bij implementatie
Projectmethode (bijvoorbeeld ISM) belangrijk Projectmethode (bijvoorbeeld ISM) belangrijk
Leg link met ISO 9000Leg link met ISO 9000 Kennis van bedrijfsprocessen cruciaalKennis van bedrijfsprocessen cruciaal
Commitment van directie noodzakelijkCommitment van directie noodzakelijk Budget moet beschikbaar zijnBudget moet beschikbaar zijn Doelstelling moet duidelijk zijnDoelstelling moet duidelijk zijn
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
24
DoelstellingDoelstelling
Security Scan (nulmeting)
risicodekkende selectie uit 109 maatregelen
alleen 10 sleutelmaatregelen
1
32
Van rood naar groen of naar oranjeVia pad 1 en 2 of direct via pad 3
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
25
Zie ookZie ook
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10Informatiebeveiliging Praktijkjournaal - Jaargang 2 nr 3 en nr 10
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
26
Code voor Informatiebeveiliging - toekomstCode voor Informatiebeveiliging - toekomst
Revisie Revisie BS 7799 Part 1BS 7799 Part 1 is in april 1999 vrijgegeven is in april 1999 vrijgegeven Revisie van Code voor Informatiebeveiliging vrijwel gereedRevisie van Code voor Informatiebeveiliging vrijwel gereed
Dus Code 20 en aanpassingen certificatie ()Dus Code 20 en aanpassingen certificatie ()
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
27
Redenen voor revisieRedenen voor revisie
OutsourcingOutsourcing Informatieverwerking niet alleen op computersystemenInformatieverwerking niet alleen op computersystemen
Steeds meer mobiele computersSteeds meer mobiele computers Toenemende communicatie via openbare netwerkenToenemende communicatie via openbare netwerken
Meer kwaadaardige software dan alleen virussenMeer kwaadaardige software dan alleen virussen Disaster Recovery Disaster Recovery Business Continuity Management Business Continuity Management
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
28
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (1)(1)
Global changes were made to replace lsquo ITrsquo with lsquo informationrsquo where appropriate and the term lsquo information processingrsquo was introduced to cover the wide range of possible ways to work with transmit and store information
More detailed information on risk assessment was included in the Introduction
The text has been reworded throughout to make it more internationally applicable in line with requests from UK industry and their international business partners
Text has been added to describe what the risks of third party access are what should be included in a third party contract and a new subsection on outsourcing
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
29
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (2)(2)
Text on the valuation and importance of assets has been added and the concept of information classification has been broadened to cover the general aspect of information labelling including integrity and availability labels
Computer and Network Management has been renamed lsquo Communications and Operations Managementrsquo and extended to cover a wide interpretation of information processing This includes additional text on computers networks mobile computing and communications voice mail and communications messaging multimedia postal services fax machines and any other existing or developing technology for the processing and communication of information
The discussion on viruses has been broadened to any unauthorised or malicious software
BS 7799 was changed to be more lsquo technology independentrsquo
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
30
Belangrijkste wijzigingen volgens BSIBelangrijkste wijzigingen volgens BSI (3)(3)
The section on data and software exchange has been extended to cover electronic commerce and publicly available systems
New subsections on mobile computing and teleworking were added Cryptographic techniques including new subsections on
cryptographic policy digital signatures and key management Also new subsections have been added on output validation covert channels and Trojan code
Business Continuity Management has been restructured and extended to put more emphasis on the business continuity management process and a business continuity and impact analysis that should be the basis of any business continuity plan
Compliance ndash this section has been reworded to remove the UK specific legislation to make it more applicable to the international community and to add important new text on Intellectual Property Rights (IPR) audit evidence and cryptographic regulations
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
31
Extra vermeldenswaardExtra vermeldenswaard
Nu 8 sleutelmaatregelen ipv 10Nu 8 sleutelmaatregelen ipv 10 En 139 maatregelen in totaalEn 139 maatregelen in totaal
1995 1999
standaard
geavanceerd
10 8
99
131
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
32
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
33
Gedetailleerd overzicht van alle wijzigingenGedetailleerd overzicht van alle wijzigingen
ZieZie
httpwwweuronetnlusersernstouddocshtmlhttpwwweuronetnlusersernstouddocshtml
ofof
Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 2
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
34
ToekomstToekomst
Code wordt steeds belangrijkerCode wordt steeds belangrijker Code wordt deel van kwaliteitsmanagementCode wordt deel van kwaliteitsmanagement Code wordt deel van IT beheerssystemen (ITIL )Code wordt deel van IT beheerssystemen (ITIL ) Ondersteunende producten (Proteus UK)Ondersteunende producten (Proteus UK) Informatiebeveiliging deel van EDP auditInformatiebeveiliging deel van EDP audit
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
35
InformatiebeveiligingInformatiebeveiliging
CertificeringCertificering
NIMMER EEN DOEL OP ZICHZELF NIMMER EEN DOEL OP ZICHZELF
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
36
Certificering - de werkwijzeCertificering - de werkwijze
Conformiteitsverklaring opstellenConformiteitsverklaring opstellen Selectie of UitsluitingSelectie of Uitsluiting
Onderbouwing (risicoanalyse)Onderbouwing (risicoanalyse)
Eigen of externe beoordeling Eigen of externe beoordeling
Certificatie proces doorlopenCertificatie proces doorlopen Guided certificationGuided certification
ProefauditProefaudit
CertificatieauditCertificatieaudit
Onderhoudscontract afsluitenOnderhoudscontract afsluiten
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
37
Certificatie - het ICIT certificatieschemaCertificatie - het ICIT certificatieschema
BS7799Part 1
Reedsbestaande
maatre-gelen
Eigenvereisten
Eigenbeoordeling
CertificatieBeoordeling
Criteria
Procedures
Resultaat
Manage-mentraam-werk
Certificaat
Eigenverklaring
Confor-miteits-
verklaring
Confor-miteits-
verklaring
(BS 7799 Part 2)
= Raad voor Accreditatie
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
38
Het certificaatHet certificaat
Hier de naam van uw organisatie
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
39
InformatiebeveiligingInformatiebeveiliging
PraktijkervaringenPraktijkervaringen
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
40
Kritische succesfactoren volgens de CodeKritische succesfactoren volgens de Code
De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te De doelstellingen en activiteiten ten aanzien van de beveiliging dienen gebaseerd te zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven zijn op de doelstellingen en eisen van het bedrijf en dienen te worden aangegeven door het managementdoor het management
Het top management dient volledig achter het beveiligingsbeleid te staan en Het top management dient volledig achter het beveiligingsbeleid te staan en zichtbare ondersteuning biedenzichtbare ondersteuning bieden
Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke Het dient duidelijk te zijn wat de beveiligingsrisicos (bedreigingen en zwakke plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de plekken) zijn voor de bedrijfsmiddelen en wat de mate van beveiliging in de organisatie isorganisatie is
Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en Het belang van beveiliging dient duidelijk te worden gemaakt aan alle managers en werknemerswerknemers
Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te Alle werknemers (ook tijdelijke werknemers) dienen een uitgebreide instructie te krijgen over het beveiligingsbeleid en de vastgestelde normenkrijgen over het beveiligingsbeleid en de vastgestelde normen
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
41
Ervaringen uit de praktijkErvaringen uit de praktijk (1)(1)
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
42
Licensing the userLicensing the user
Systeem verantwoordelijkheid en proceduresSysteem verantwoordelijkheid en procedures
Effectieve selectie van wachtwoordenEffectieve selectie van wachtwoorden
Fysieke beveiliging van het systeemFysieke beveiliging van het systeem
Juist gebruik van het systeemJuist gebruik van het systeem
Rapportage van incidentenRapportage van incidenten
Bedrijfsspecifieke belangenBedrijfsspecifieke belangen
Bron Virus Bulletin - augustus 1999Bron Virus Bulletin - augustus 1999
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
43
Ervaringen uit de praktijkErvaringen uit de praktijk
Continuiteitsplanning is struikelblokContinuiteitsplanning is struikelblok Vertalen naar de praktijk bij de organisatie is moeilijkVertalen naar de praktijk bij de organisatie is moeilijk Betrekken van alle medewerkers is noodzakelijkBetrekken van alle medewerkers is noodzakelijk Juiste lsquoscopersquo kiezenJuiste lsquoscopersquo kiezen CommitmentCommitment Risicoanalyse geen sinecureRisicoanalyse geen sinecure Code bevat veel subjectieve uitsprakenCode bevat veel subjectieve uitspraken Koppel informatiebeveiliging aan kwaliteitsmanagementKoppel informatiebeveiliging aan kwaliteitsmanagement
Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10Zie ook Informatiebeveiliging Praktijkjournaal - Jaargang 2 nummer 10
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
44
Nuttige adressenNuttige adressen
Stichting ICITStichting ICIT
Postbus 291Postbus 291
2350 AG Leiderdorp2350 AG Leiderdorp
Tel 071 - 582 00 52Tel 071 - 582 00 52
Nederlands Normalisatie InstituutNederlands Normalisatie Instituut
Postbus 5059Postbus 5059
2600 GB Delft2600 GB Delft
Tel 015 - 269 01 29Tel 015 - 269 01 29
British Standards InstituteBritish Standards Institute
389 Chiswick High Road389 Chiswick High Road
London W4 4ALLondon W4 4AL
Tel +44 181 996 7000Tel +44 181 996 7000
KEMA Registered Quality Nederland BVKEMA Registered Quality Nederland BV
Postbus 9035Postbus 9035
6800 ET Arnhem6800 ET Arnhem
Tel 026 - 356 34 98Tel 026 - 356 34 98
KPMG Certification BVKPMG Certification BV
Postbus 74103Postbus 74103
1185 MC Amstelveen1185 MC Amstelveen
Tel 020 - 656 87 50Tel 020 - 656 87 50
Getronics Business Continuity BVGetronics Business Continuity BV
Postbus 2228Postbus 2228
8203 AE Lelystad8203 AE Lelystad
Tel 0320 - 266 266Tel 0320 - 266 266
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law
45
InformatiebeveiligingInformatiebeveiliging
If there is a wrong way to do something then someone will do it
Edward A Murphy Jr - 1949
If anything can go wrong it will
Murphyrsquos law