• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
DE Conferentie 2006 Ton Cremers
 

DE Conferentie 2006 Ton Cremers

on

  • 725 views

 

Statistics

Views

Total Views
725
Views on SlideShare
664
Embed Views
61

Actions

Likes
0
Downloads
0
Comments
0

3 Embeds 61

http://www.den.nl 59
http://www.slideshare.net 1
http://webcache.googleusercontent.com 1

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    DE Conferentie 2006 Ton Cremers DE Conferentie 2006 Ton Cremers Document Transcript

    • DE DIGITALE BRANDOEFENING Ton Cremershttp://www.museum-security.org 1
    • Programma ‘Stoomcursus’ Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 2brandoefening 2
    • Workshop, dus: INTERACTIEFDE digitale 13 december 2006 3brandoefening 3
    • introductieronde Organisatie Plaats binnen organisatie Informatiebeveiligingsbeleid? continuïteitsplanning / calamiteitenplanning Knelpunten / zorgen Grootste risico?DE digitale 13 december 2006 4brandoefening 4
    • Programma Stoomcursus Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 5brandoefening 5
    • Wat is informatiebeveiliging? Bescherming van persoonsgegevens Bescherming Bedrijfsdocumenten Bescherming Intellectueel eigendom Waarom: Waarborgen bedrijfscontinuiteit Verminderen risico’s Optimaliseren investeringsrendementDE digitale 13 december 2006 6brandoefening 6
    • beveiligingsbeleid Informatiebeveiligingsbeleid Beoordeling van het informatiebeveiligingsbeleidDE digitale 13 december 2006 7brandoefening 7
    • Beleid De directie behoort beleidsrichting aan te geven en duidelijk te maken dat informatiebeveiliging wordt ondersteund en gehandhaafdDE digitale 13 december 2006 8brandoefening 8
    • beheersmaatregelen Beleidsdocument (rol van de directie) Toewijzen verantwoordelijkheden Bewustwording, scholing en training Beheer technische kwetsbaarheid (gebouw, netwerken, hardware) Incidentenregistratie en verbeterin- genDE digitale 13 december 2006 9brandoefening 9
    • Kritische succesfactoren /bedrijfscultuur Betrokkenheid en steun op alle managementniveaus Goed begrip beveiligingseisen en risicobeheer Richtlijnen/normen voor ALLE mede- werkers Financiele middelen Training beveiligings bewustzijnDE digitale 13 december 2006 10brandoefening 10
    • Hoe wordt het beleid vormgegeven? Doelen vaststellen Beleid vaststellen Controle op effectiviteit Beschikbaar stellen middelen ‘eigenaars’ aanwijzen Bedrijfscultuur/bewustzijn stimuleren Waarborgen: kwaliteitssystemen auditsDE digitale 13 december 2006 11brandoefening 11
    • Risicobeoordeling enrisicobehandeling Beoordelen van beveiligingsrisco’s Inventariseren Analyseren Registratie incidenten Behandelen van beveiligingsrisico’s Verminderen / beheersen Aanvaarden Elimineren verplaatsenDE digitale 13 december 2006 12brandoefening 12
    • Organisatie vaninformatiebeveiliging. Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Toewijzing van verantwoordelijk- heden voor informatiebeveiliging Onafhankelijke beoordeling van informatiebeveiliging Externe partijenDE digitale 13 december 2006 13brandoefening 13
    • Organisatie Intern Toekennen van rollen en verantwoordelijkheden Handelen overeenkomstig vastgesteld beleid Vaststellen hoe op te treden bij niet- naleving Vaststellen van informatieclassificatie Opleiding en training geheimhoudingsovereenkomstDE digitale 13 december 2006 14brandoefening 14
    • geheimhoudingsovereenkomst Definitie: wat moet beschermd worden (strekking inhoudelijk) Eigendom van informatie Looptijd (strekking in tijd) Hoe te beëindigen? Need-to-know principe sanctieDE digitale 13 december 2006 15brandoefening 15
    • Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfs- middelen Inventarisatie van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfs- middelen Classificatie van informatie Richtlijnen voor classificatie Labeling en verwerking van informatieDE digitale 13 december 2006 16brandoefening 16
    • Beveiliging van personeel Screening Binnen ethische kaders! Rollen en verantwoordelijkheden Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheid Bewustzijn, opleiding en training ten aanzien van informatiebeveiligingDE digitale 13 december 2006 17brandoefening 17
    • Personeel, vervolg… Disciplinaire maatregelen Beëindiging of wijziging van dienst- verband Beëindiging van verantwoordelijk- heden Retournering van bedrijfsmiddelen Blokkering van toegangsrechtenDE digitale 13 december 2006 18brandoefening 18
    • Fysieke beveiliging enbeveiliging van de omgeving Beveiligde ruimten Fysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Werken in beveiligde ruimten Openbare toegang en gebieden voor laden en lossen Beveiliging van apparatuurDE digitale 13 december 2006 19brandoefening 19
    • Fysieke beveiliging, vervolg.. Nutsvoorzieningen Beveiliging van kabels Beveiliging van apparatuur buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendom- menDE digitale 13 december 2006 20brandoefening 20
    • Beheer van communicatie- enbedieningsprocessen Bedieningsprocedures en verantwoor- delijkheden ‘eigenaar’ bepalen en functiescheiding Scheiding van faciliteiten voor ontwikkeling, testen en productie Controle en beoordeling van dienst- verlening door een derde partij Bescherming tegen virussen en ‘mobile code’DE digitale 13 december 2006 21brandoefening 21
    • Beheer van processen, vervolg Reservekopieën maken (back-ups) Beheer van netwerkbeveiliging Beheer van verwijderbare media Beveiliging van systeemdocumentatie Fysieke media die worden getransporteerd Elektronisch berichtenuitwisseling Openbaar beschikbare informatie en E- commerce Registratie van storingen, audits, beschermde logbestandenDE digitale 13 december 2006 22brandoefening 22
    • Toegangsbeveiliging Beheer van toegangsrechten van gebruikers Registratie van gebruikers Beheer van gebruikerswachtwoorden en toegangsrechten ‘Clear desk’- en ‘clear screen’-beleid Authenticatie van gebruikers bij externe verbindingen Time-out van sessies (Beperking van verbindingstijd ) Draagbare computers en communicatievoorzieningen TelewerkenDE digitale 13 december 2006 23brandoefening 23
    • Verwerving, ontwikkeling enonderhoud van informatiesystemen Analyse en specificatie van beveili- gingseisen Cryptografische beheersmaatregelen Beveiliging van systeembestanden Restricties op wijzigingen in programmatuurpakkettenDE digitale 13 december 2006 24brandoefening 24
    • incidenten Rapportage van informatiebeveili- gingsgebeurtenissen Rapportage van zwakke plekken in de beveiliging Rapporteren over acties n.a.v. meldingenDE digitale 13 december 2006 25brandoefening 25
    • Naleving Naleving van wettelijke voorschriften Bescherming van bedrijfsdocumenten Naleving van beveiligingsbeleid en - normen AUDITSDE digitale 13 december 2006 26brandoefening 26
    • Programma Stoomcursus Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 27brandoefening 27
    • Risico-inventarisatie, risico-analyse Risico uitgedrukt als de relatie tussen kans op een incident/schade en het gevolg/effect: R=K*EDE digitale 13 december 2006 28brandoefening 28
    • DE digitale 13 december 2006 29brandoefening 29
    • Programma Stoomcursus Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag…. DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 30brandoefening 30
    • Aan de slag… (10 minuten) Risico-analyse 5 risico’s Classificeren aan de hand van analyseDE digitale 13 december 2006 31brandoefening 31
    • BedrijfscontinuïteitsbeheerDE digitale 13 december 2006 32brandoefening 32
    • DE digitale 13 december 2006 33brandoefening 33
    • BedrijfscontinuïteitsbeheerDE digitale 13 december 2006 34brandoefening 34
    • BedrijfscontinuïteitsbeheerDE digitale brandoefening Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoorde- ling Continuïteitsplannen ontwikkelen en implementeren waaronder informatie- beveiliging Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannenDE digitale 13 december 2006 35brandoefening 35
    • BedrijfscontinuïteitsbeheerDE digitale brandoefening Waarschuwingslijsten berreddering Vervangende apparatuur Rol interne en externe partijen vaststellen Veilig stellen DATA en Applicaties: vooraf Transportabiliteit data over netwerken en via backups vergemakkelijkt continuïteitsbeheer?DE digitale 13 december 2006 36brandoefening 36
    • DE digitale brandoefening De praktijk: welke maatregelen zijn genomen “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 37brandoefening 37
    • LEESVOER NEN-ISO/IEC 17799, juni 2005; “Code voor informatiebeveiliging”(vertaling van: ISO/IEC 1779, 2000: “Code of practice for information security management”)DE digitale 13 december 2006 38brandoefening 38
    • DE DIGITALE BRANDOEFENING Ton Cremershttp://www.museum-security.org 39