DE Conferentie 2006 Ton Cremers

DE DIGITALE BRANDOEFENING Ton Cremershttp://www.museum-security.org 1

Programma ‘Stoomcursus’ Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 2brandoefening 2

Workshop, dus: INTERACTIEFDE digitale 13 december 2006 3brandoefening 3

introductieronde Organisatie Plaats binnen organisatie Informatiebeveiligingsbeleid? continuïteitsplanning / calamiteitenplanning Knelpunten / zorgen Grootste risico?DE digitale 13 december 2006 4brandoefening 4

Programma Stoomcursus Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 5brandoefening 5

Wat is informatiebeveiliging? Bescherming van persoonsgegevens Bescherming Bedrijfsdocumenten Bescherming Intellectueel eigendom Waarom: Waarborgen bedrijfscontinuiteit Verminderen risico’s Optimaliseren investeringsrendementDE digitale 13 december 2006 6brandoefening 6

beveiligingsbeleid Informatiebeveiligingsbeleid Beoordeling van het informatiebeveiligingsbeleidDE digitale 13 december 2006 7brandoefening 7

Beleid De directie behoort beleidsrichting aan te geven en duidelijk te maken dat informatiebeveiliging wordt ondersteund en gehandhaafdDE digitale 13 december 2006 8brandoefening 8

beheersmaatregelen Beleidsdocument (rol van de directie) Toewijzen verantwoordelijkheden Bewustwording, scholing en training Beheer technische kwetsbaarheid (gebouw, netwerken, hardware) Incidentenregistratie en verbeterin- genDE digitale 13 december 2006 9brandoefening 9

Kritische succesfactoren /bedrijfscultuur Betrokkenheid en steun op alle managementniveaus Goed begrip beveiligingseisen en risicobeheer Richtlijnen/normen voor ALLE mede- werkers Financiele middelen Training beveiligings bewustzijnDE digitale 13 december 2006 10brandoefening 10

Hoe wordt het beleid vormgegeven? Doelen vaststellen Beleid vaststellen Controle op effectiviteit Beschikbaar stellen middelen ‘eigenaars’ aanwijzen Bedrijfscultuur/bewustzijn stimuleren Waarborgen: kwaliteitssystemen auditsDE digitale 13 december 2006 11brandoefening 11

Risicobeoordeling enrisicobehandeling Beoordelen van beveiligingsrisco’s Inventariseren Analyseren Registratie incidenten Behandelen van beveiligingsrisico’s Verminderen / beheersen Aanvaarden Elimineren verplaatsenDE digitale 13 december 2006 12brandoefening 12

Organisatie vaninformatiebeveiliging. Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Toewijzing van verantwoordelijkheden voor informatiebeveiliging Onafhankelijke beoordeling van informatiebeveiliging Externe partijenDE digitale 13 december 2006 13brandoefening 13

Organisatie Intern Toekennen van rollen en verantwoordelijkheden Handelen overeenkomstig vastgesteld beleid Vaststellen hoe op te treden bij niet- naleving Vaststellen van informatieclassificatie Opleiding en training geheimhoudingsovereenkomstDE digitale 13 december 2006 14brandoefening 14

geheimhoudingsovereenkomst Definitie: wat moet beschermd worden (strekking inhoudelijk) Eigendom van informatie Looptijd (strekking in tijd) Hoe te beëindigen? Need-to-know principe sanctieDE digitale 13 december 2006 15brandoefening 15

Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfsmiddelen Inventarisatie van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen Classificatie van informatie Richtlijnen voor classificatie Labeling en verwerking van informatieDE digitale 13 december 2006 16brandoefening 16

Beveiliging van personeel Screening Binnen ethische kaders! Rollen en verantwoordelijkheden Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheid Bewustzijn, opleiding en training ten aanzien van informatiebeveiligingDE digitale 13 december 2006 17brandoefening 17

Personeel, vervolg… Disciplinaire maatregelen Beëindiging of wijziging van dienstverband Beëindiging van verantwoordelijkheden Retournering van bedrijfsmiddelen Blokkering van toegangsrechtenDE digitale 13 december 2006 18brandoefening 18

Fysieke beveiliging enbeveiliging van de omgeving Beveiligde ruimten Fysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Werken in beveiligde ruimten Openbare toegang en gebieden voor laden en lossen Beveiliging van apparatuurDE digitale 13 december 2006 19brandoefening 19

Fysieke beveiliging, vervolg.. Nutsvoorzieningen Beveiliging van kabels Beveiliging van apparatuur buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendom- menDE digitale 13 december 2006 20brandoefening 20

Beheer van communicatie- enbedieningsprocessen Bedieningsprocedures en verantwoordelijkheden ‘eigenaar’ bepalen en functiescheiding Scheiding van faciliteiten voor ontwikkeling, testen en productie Controle en beoordeling van dienst- verlening door een derde partij Bescherming tegen virussen en ‘mobile code’DE digitale 13 december 2006 21brandoefening 21

Beheer van processen, vervolg Reservekopieën maken (back-ups) Beheer van netwerkbeveiliging Beheer van verwijderbare media Beveiliging van systeemdocumentatie Fysieke media die worden getransporteerd Elektronisch berichtenuitwisseling Openbaar beschikbare informatie en E- commerce Registratie van storingen, audits, beschermde logbestandenDE digitale 13 december 2006 22brandoefening 22

Toegangsbeveiliging Beheer van toegangsrechten van gebruikers Registratie van gebruikers Beheer van gebruikerswachtwoorden en toegangsrechten ‘Clear desk’- en ‘clear screen’-beleid Authenticatie van gebruikers bij externe verbindingen Time-out van sessies (Beperking van verbindingstijd ) Draagbare computers en communicatievoorzieningen TelewerkenDE digitale 13 december 2006 23brandoefening 23

Verwerving, ontwikkeling enonderhoud van informatiesystemen Analyse en specificatie van beveiligingseisen Cryptografische beheersmaatregelen Beveiliging van systeembestanden Restricties op wijzigingen in programmatuurpakkettenDE digitale 13 december 2006 24brandoefening 24

incidenten Rapportage van informatiebeveili- gingsgebeurtenissen Rapportage van zwakke plekken in de beveiliging Rapporteren over acties n.a.v. meldingenDE digitale 13 december 2006 25brandoefening 25

Naleving Naleving van wettelijke voorschriften Bescherming van bedrijfsdocumenten Naleving van beveiligingsbeleid en - normen AUDITSDE digitale 13 december 2006 26brandoefening 26

Programma Stoomcursus Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 27brandoefening 27

Risico-inventarisatie, risico-analyse Risico uitgedrukt als de relatie tussen kans op een incident/schade en het gevolg/effect: R=K*EDE digitale 13 december 2006 28brandoefening 28

DE digitale 13 december 2006 29brandoefening 29

Programma Stoomcursus Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag…. DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 30brandoefening 30

Aan de slag… (10 minuten) Risico-analyse 5 risico’s Classificeren aan de hand van analyseDE digitale 13 december 2006 31brandoefening 31

BedrijfscontinuïteitsbeheerDE digitale 13 december 2006 32brandoefening 32

DE digitale 13 december 2006 33brandoefening 33

BedrijfscontinuïteitsbeheerDE digitale 13 december 2006 34brandoefening 34

BedrijfscontinuïteitsbeheerDE digitale brandoefening Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoordeling Continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannenDE digitale 13 december 2006 35brandoefening 35

BedrijfscontinuïteitsbeheerDE digitale brandoefening Waarschuwingslijsten berreddering Vervangende apparatuur Rol interne en externe partijen vaststellen Veilig stellen DATA en Applicaties: vooraf Transportabiliteit data over netwerken en via backups vergemakkelijkt continuïteitsbeheer?DE digitale 13 december 2006 36brandoefening 36

DE digitale brandoefening De praktijk: welke maatregelen zijn genomen “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 37brandoefening 37

LEESVOER NEN-ISO/IEC 17799, juni 2005; “Code voor informatiebeveiliging”(vertaling van: ISO/IEC 1779, 2000: “Code of practice for information security management”)DE digitale 13 december 2006 38brandoefening 38

DE DIGITALE BRANDOEFENING Ton Cremershttp://www.museum-security.org 39

http://www.den.nl	52
http://www.slideshare.net	1
http://webcache.googleusercontent.com	1

DE Conferentie 2006 Ton Cremers

by Digitaal Erfgoedconferentie

Accessibility

Categories

Upload Details

Usage Rights

3 Embeds 54

Statistics