Your SlideShare is downloading. ×

Cloud en iso 27002

746

Published on

De Code voor Informatiebeveiliging, generiek aangeduid als de ISO 27000 bestaat uit twee delen: een norm (NEN ISO 27001) en een ‘code of practice’ (NEN ISO 27002). Certificering gebeurt tegen de norm, …

De Code voor Informatiebeveiliging, generiek aangeduid als de ISO 27000 bestaat uit twee delen: een norm (NEN ISO 27001) en een ‘code of practice’ (NEN ISO 27002). Certificering gebeurt tegen de norm, de ‘code of practice’ geeft handreikingen voor de implementatie van maatregelen in de organisatie. Wat is de impact van Cloud Computing op informatiebeveiliging en specifiek in relatie tot de ISO 27000 norm? In deze workshop wordt ingegaan op informatiebeveiligingsprocessen in de cloud.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
746
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
16
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Cloud en ISO27000Presentatie: Wim Muller Management Trainer in Personal Development Service-, Security- and Process Management ACTASITIS
  • 2. Veilig de Cloud in met ISO 27000?Topics: Waarde van informatie De Cloud & Informatiebeveiliging Rol ISO 27000 Relevante opleidingen
  • 3. Waarde van InformatieDe waarde van informatie wordt bepaald door deverschillende belanghebbenden bij die informatie Managers Werkvloer Informatie Bestuur Verkopers
  • 4. Waarde van InformatieDe waarde van informatie wordt bepaald door deverschillende belanghebbenden bij die informatie Managers Eigenaars Werkvloer Wetgeving Informatie Bestuur Politiek Verkopers Klanten Onbedoelde belanghebbenden
  • 5. Belang van InformatieVerschillende perspectieven, verschillende belangenOmgevingsvariabelen van de organisatie veranderenen daarmee de businessvereisten aan informatieOrganisaties zijn steeds meer onderdeel van ketenswaardoor informatie steeds meer extern nodig is“Het Nieuwe werken” verandert eisen van businessOntwikkelingen Cloud en “As A Service”
  • 6. Informatie en business Informatie is het bloed van de organisatie .... Directie bestuur Afdeling AfdelingTeam Team Team Team ........ de servers vormen het kloppende hart
  • 7. Informatie en businessOnderverdeling van business vereisten in driebetrouwbaarheidsaspecten: Beschikbaarheid Waar, wanneer en bij wie het nodig is. Integriteit Correct, authentiek en tijdig. Vertrouwelijkheid Exclusief en gewaarborgde privacy
  • 8. De cloud beschouwd vanuit BIV BeschikbaarheidUitgebreidere beschikbaarheid mogelijk middels decloud, maar vereist goede afsprakenNieuwe vereisten vanuit de business, de 3 A’s: Anytime Anyplace Anyway
  • 9. De cloud beschouwd vanuit BIV IntegriteitDe cloud vormt een grotere bedreiging voor deaspecten rondom de integriteit van gegevens Hoe en waar worden ze opgeslagen? Via welke weg komen ze bij ons? Wie kan er bij?
  • 10. De cloud beschouwd vanuit BIV VertrouwelijkheidDe bedreigingen wat betreft vertrouwelijkheidworden talrijker en groter in de Cloud. Hoe is de opslag beveiligd? Hoe is de communicatie afgeschermd? Hoe groter de omgeving, des te groter het aantal potentiële (cyber)criminelen!
  • 11. De cloudBron: Kurttronics
  • 12. De cloudLetterlijk betekent Cloud wolk
  • 13. In de Cloud
  • 14. Sturen op business vereisten integriteitbeschikbaarheid vertrouwelijkheid
  • 15. In de cloudZoeken naar zekerheden: Dat er conform de BIV-eisen van de business met informatie wordt omgegaan Dat de juiste maatregelen worden genomen t.o.v. de algemene bedrijfsrisicos van de organisatie Dat er geen wetten worden overtreden Dat lokale wetgeving geldt (bijvoorbeeld privacy) Dat er aantoonbaar continue verbetering is Dat er altijd objectieve meting mogelijk is Dat ...............
  • 16. In de cloudVertalen van eisen, regels, richtlijnen, principes vanbusiness naar aanbiedersBehoefte aan onafhankelijke audits van deverschillende aanbiedersZoeken naar zekerheden middels certificeringBijvoorbeeld via de normen ISO/IEC 27000 .........
  • 17. ISO/IEC 27000 “familie” ISO/IEC 27001: specificaties en richtlijnen voor een Information Security Management System (ISMS) (vh BS7799-2) ISO/IEC 27002: praktische richtlijnen voor maatregelen “de code” (vh ISO 17799, BS7799-1) ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, ISO/IEC 270............De ISO 27000 “familie” is nog volop in ontwikkeling. Bijvoorbeeld: ISO/IEC 270017 : Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002. (stage 20.20 Working draft study initiated )
  • 18. ISO/IEC 27001 Internationale norm opgesteld om een model te bieden voor het vaststellen, implementeren,uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een managementsysteem voor informatiebeveiliging (ISMS).
  • 19. ISO/IEC 27001Doelstellingen: inzicht in de eisen van de organisatie met betrekking tot informatiebeveiliging inzicht in de noodzaak voor het vaststellen van beleid en doelstellingen voor informatiebeveiliging implementeren en uitvoeren van beheersmaatregelen om risicos te beheren voor informatiebeveiliging ten opzichte van de algemene bedrijfsrisicos van de organisatie continue verbetering, gebaseerd op objectieve meting
  • 20. ISO/IEC 27001:ProcesbenaderingBron: NEN-ISO/IEC 27001
  • 21. ISO 27002:2007Bekend als de “Code voor informatiebeveiliging” Praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie Praktische richtlijn voor het ontwerpen van effectieve methoden voor het bereiken van veiligheidsstandaarden. Handleiding voor het opstellen van beveiligingsnormen en doeltreffend beheer van informatiebeveiliging voor de organisatie Helpt vertrouwen te scheppen in relaties tussen organisaties
  • 22. ISO 27002:2007 Structuur 11 hoofdstukken met 39 hoofdbeveiligingscategorieën: Beveiligingsbeleid (1); Organisatie van de informatiebeveiliging (2); Beheer van bedrijfsmiddelen (2); Personele beveiligingseisen (3); Fysieke beveiliging en beveiliging van de omgeving (2); Beheer van communicatie- en bedieningsprocessen (10); Toegangsbeveiliging (7); Aanschaf, ontwikkeling, onderhoud van informatiesystemen (6); Beheersen van informatiebeveiligingsincidenten (2); Beheerproces bedrijfscontinuïteit (1); Naleving (3).Bron: NEN-ISO/IEC 27002
  • 23. ISO 27002:2007 Structuur Elke hoofdbeveiligingscategorie bevat: een beheersdoelstelling een of meer beheersmaatregelen Een beheersmaatregel is als volgt gestructureerd Beheersmaatregel Definieert de specifieke maatregel om aan de beheersdoelstelling te voldoen. Implementatierichtlijnen Nadere informatie voor implementatie van de beheersmaatregel Overige informatie Verdere informatie waarmee rekening moet worden gehouden, zoals juridische overwegingen en verwijzingen naar andere normen.Bron: NEN-ISO/IEC 27002
  • 24. Voorbeeld ISO27002Hoofdstuk 6: Organisatie van de informatiebeveiligingHoofdbeveiligingscategorie 6.2: “Externe partijen”Doelstelling:Beveiligen van de informatie en IT-voorzieningen van de organisatiehandhaven waartoe externe partijen toegang hebben of die door externepartijen worden verwerkt of beheerd, of die naar externe partijen wordtgecommuniceerd.De beveiliging van de informatie en IT-voorzieningen van de organisatiebehoort niet te worden verminderd door het invoeren van producten ofdiensten van externe partijen.Bron: NEN-ISO/IEC 27002
  • 25. Voorbeeld ISO27002 Hoofdbeveiligingscategorie 6.2: “Externe partijen” Beheersmaatregelen: Identificatie van risicos die betrekking hebben op externe partijen Beveiliging behandelen in de omgang met klanten Beveiliging behandelen in overeenkomsten met een derde partijBron: NEN-ISO/IEC 27002
  • 26. Voorbeeld ISO27002 Hoofdbeveiligingscategorie 6.2: “Externe partijen” Beheersmaatregel: Beveiliging behandelen in overeenkomsten met derde partij. Omschrijving: In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of IT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan IT- voorzieningen waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen.Bron: NEN-ISO/IEC 27002
  • 27. Voorbeeld ISO27002 6.2: “Externe partijen” Beheersmaatregel: Beveiliging behandelen in overeenkomsten met derde partij.Waarin onder andere opgenomen:• beheersmaatregelen voor het waarborgen van de bescherming van bedrijfsmiddelen,• verantwoordelijkheden ten aanzien van installatie en onderhoud van hardware en programmatuur;• een duidelijke rapportagestructuur en afspraken over de vorm van de rapportage;• een duidelijk en gespecificeerd proces voor het beheer van wijzigingen;• afspraken over toegangsbeleid• waarborgen dat gebruikers zich bewust zijn van verantwoordelijkheden en aspecten van informatiebeveiliging;• opleiding voor gebruikers en beheerders op het gebied van methoden, procedures en beveiliging;Bron: NEN-ISO/IEC 27002
  • 28. Awareness, training en opleidingBewustwording van alle medewerkers is ongetwijfeld de belangrijkste van alle beveiligingsmaatregelen.Opleiding en training is het geijkte middel voorbeveiligingsbewustzijnDiverse trainingen voor diverse rollen en niveausbinnen de organisatie.
  • 29. Relevante trainingenOcean’s 99 Game Een business simulatie op het gebied van (informatie) beveiliging en risico management Doelgroep: Iedereen die maar enigszins met informatie werkt. (Vooral effectief op security awareness en samenwerking)
  • 30. Relevante trainingenInformation Security Foundation op basis van ISO27002 Geeft inzicht in de basis principes van informatiebeveiliging en ISO 27000 Doelgroep: Senior informatiewerker Afdelingsmanager Teamleider Adviseur Kwaliteitsmedewerker Applicatiebeheerder Systeembeheerder
  • 31. Relevante trainingenInformation Security Advanced op basis van ISO27002 Gaat uitvoerig in op de code of practice ISO 27002. Doelgroep: Professionals die bezig zijn met het implementeren, evalueren en rapporteren van infrormatie risico’s Information Security Management Information Security Consultant Information Security Specialist Project Manager Service Manager
  • 32. Relevante trainingenCloud Technology Professional Essentiële concepten en terminologie van Cloud Computing, met voor- en nadelen en de impact van beslissingen om op Cloud Computing over te gaan. Doelgroep: Professionals die bezig zijn met beslissingen over of het inrichten van Cloud Computing Cloud Technology Professionals Cloud Architecten Cloud Specialisten
  • 33. Relevante trainingenCertified Cloud Architect combinatie tussen Cloud technologie concepten en architectuur. Doelgroep: Cloud Architecten Cloud Specialisten
  • 34. Relevante trainingenSABSA Foundation, A1- en A3-module Framework voor Enterprise Security Architectuur en aanpak voor risicomanagement binnen zowel het bedrijfsleven als de overheid. Doelgroep: CIO / CISO / CTO / CIRO IT Strategy Consultants IT Architecten IT Programma Manager Software Architecten Netwerk Architecten Service Delivery Managers
  • 35. Meer Informatie?Pink Elephant Nederland
Gooimeer 18
1411 DE Naarden Telefoon: 088 – 0107 400
E-mail: info@pinkelephant.nl
  • 36. Bedankt voor uw aandachtU kunt deze en alle andere presentaties terug zien op: www.cloudxperience.nl

×