DE Conferentie 2006 Ton Cremers

863 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
863
On SlideShare
0
From Embeds
0
Number of Embeds
92
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

DE Conferentie 2006 Ton Cremers

  1. 1. DE DIGITALE BRANDOEFENING Ton Cremershttp://www.museum-security.org 1
  2. 2. Programma ‘Stoomcursus’ Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 2brandoefening 2
  3. 3. Workshop, dus: INTERACTIEFDE digitale 13 december 2006 3brandoefening 3
  4. 4. introductieronde Organisatie Plaats binnen organisatie Informatiebeveiligingsbeleid? continuïteitsplanning / calamiteitenplanning Knelpunten / zorgen Grootste risico?DE digitale 13 december 2006 4brandoefening 4
  5. 5. Programma Stoomcursus Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 5brandoefening 5
  6. 6. Wat is informatiebeveiliging? Bescherming van persoonsgegevens Bescherming Bedrijfsdocumenten Bescherming Intellectueel eigendom Waarom: Waarborgen bedrijfscontinuiteit Verminderen risico’s Optimaliseren investeringsrendementDE digitale 13 december 2006 6brandoefening 6
  7. 7. beveiligingsbeleid Informatiebeveiligingsbeleid Beoordeling van het informatiebeveiligingsbeleidDE digitale 13 december 2006 7brandoefening 7
  8. 8. Beleid De directie behoort beleidsrichting aan te geven en duidelijk te maken dat informatiebeveiliging wordt ondersteund en gehandhaafdDE digitale 13 december 2006 8brandoefening 8
  9. 9. beheersmaatregelen Beleidsdocument (rol van de directie) Toewijzen verantwoordelijkheden Bewustwording, scholing en training Beheer technische kwetsbaarheid (gebouw, netwerken, hardware) Incidentenregistratie en verbeterin- genDE digitale 13 december 2006 9brandoefening 9
  10. 10. Kritische succesfactoren /bedrijfscultuur Betrokkenheid en steun op alle managementniveaus Goed begrip beveiligingseisen en risicobeheer Richtlijnen/normen voor ALLE mede- werkers Financiele middelen Training beveiligings bewustzijnDE digitale 13 december 2006 10brandoefening 10
  11. 11. Hoe wordt het beleid vormgegeven? Doelen vaststellen Beleid vaststellen Controle op effectiviteit Beschikbaar stellen middelen ‘eigenaars’ aanwijzen Bedrijfscultuur/bewustzijn stimuleren Waarborgen: kwaliteitssystemen auditsDE digitale 13 december 2006 11brandoefening 11
  12. 12. Risicobeoordeling enrisicobehandeling Beoordelen van beveiligingsrisco’s Inventariseren Analyseren Registratie incidenten Behandelen van beveiligingsrisico’s Verminderen / beheersen Aanvaarden Elimineren verplaatsenDE digitale 13 december 2006 12brandoefening 12
  13. 13. Organisatie vaninformatiebeveiliging. Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Toewijzing van verantwoordelijk- heden voor informatiebeveiliging Onafhankelijke beoordeling van informatiebeveiliging Externe partijenDE digitale 13 december 2006 13brandoefening 13
  14. 14. Organisatie Intern Toekennen van rollen en verantwoordelijkheden Handelen overeenkomstig vastgesteld beleid Vaststellen hoe op te treden bij niet- naleving Vaststellen van informatieclassificatie Opleiding en training geheimhoudingsovereenkomstDE digitale 13 december 2006 14brandoefening 14
  15. 15. geheimhoudingsovereenkomst Definitie: wat moet beschermd worden (strekking inhoudelijk) Eigendom van informatie Looptijd (strekking in tijd) Hoe te beëindigen? Need-to-know principe sanctieDE digitale 13 december 2006 15brandoefening 15
  16. 16. Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfs- middelen Inventarisatie van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfs- middelen Classificatie van informatie Richtlijnen voor classificatie Labeling en verwerking van informatieDE digitale 13 december 2006 16brandoefening 16
  17. 17. Beveiliging van personeel Screening Binnen ethische kaders! Rollen en verantwoordelijkheden Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheid Bewustzijn, opleiding en training ten aanzien van informatiebeveiligingDE digitale 13 december 2006 17brandoefening 17
  18. 18. Personeel, vervolg… Disciplinaire maatregelen Beëindiging of wijziging van dienst- verband Beëindiging van verantwoordelijk- heden Retournering van bedrijfsmiddelen Blokkering van toegangsrechtenDE digitale 13 december 2006 18brandoefening 18
  19. 19. Fysieke beveiliging enbeveiliging van de omgeving Beveiligde ruimten Fysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Werken in beveiligde ruimten Openbare toegang en gebieden voor laden en lossen Beveiliging van apparatuurDE digitale 13 december 2006 19brandoefening 19
  20. 20. Fysieke beveiliging, vervolg.. Nutsvoorzieningen Beveiliging van kabels Beveiliging van apparatuur buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendom- menDE digitale 13 december 2006 20brandoefening 20
  21. 21. Beheer van communicatie- enbedieningsprocessen Bedieningsprocedures en verantwoor- delijkheden ‘eigenaar’ bepalen en functiescheiding Scheiding van faciliteiten voor ontwikkeling, testen en productie Controle en beoordeling van dienst- verlening door een derde partij Bescherming tegen virussen en ‘mobile code’DE digitale 13 december 2006 21brandoefening 21
  22. 22. Beheer van processen, vervolg Reservekopieën maken (back-ups) Beheer van netwerkbeveiliging Beheer van verwijderbare media Beveiliging van systeemdocumentatie Fysieke media die worden getransporteerd Elektronisch berichtenuitwisseling Openbaar beschikbare informatie en E- commerce Registratie van storingen, audits, beschermde logbestandenDE digitale 13 december 2006 22brandoefening 22
  23. 23. Toegangsbeveiliging Beheer van toegangsrechten van gebruikers Registratie van gebruikers Beheer van gebruikerswachtwoorden en toegangsrechten ‘Clear desk’- en ‘clear screen’-beleid Authenticatie van gebruikers bij externe verbindingen Time-out van sessies (Beperking van verbindingstijd ) Draagbare computers en communicatievoorzieningen TelewerkenDE digitale 13 december 2006 23brandoefening 23
  24. 24. Verwerving, ontwikkeling enonderhoud van informatiesystemen Analyse en specificatie van beveili- gingseisen Cryptografische beheersmaatregelen Beveiliging van systeembestanden Restricties op wijzigingen in programmatuurpakkettenDE digitale 13 december 2006 24brandoefening 24
  25. 25. incidenten Rapportage van informatiebeveili- gingsgebeurtenissen Rapportage van zwakke plekken in de beveiliging Rapporteren over acties n.a.v. meldingenDE digitale 13 december 2006 25brandoefening 25
  26. 26. Naleving Naleving van wettelijke voorschriften Bescherming van bedrijfsdocumenten Naleving van beveiligingsbeleid en - normen AUDITSDE digitale 13 december 2006 26brandoefening 26
  27. 27. Programma Stoomcursus Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 27brandoefening 27
  28. 28. Risico-inventarisatie, risico-analyse Risico uitgedrukt als de relatie tussen kans op een incident/schade en het gevolg/effect: R=K*EDE digitale 13 december 2006 28brandoefening 28
  29. 29. DE digitale 13 december 2006 29brandoefening 29
  30. 30. Programma Stoomcursus Informatiebeveiliging Risico-inventarisatie, risico-analyse Aan de slag…. DE digitale brandoefening “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 30brandoefening 30
  31. 31. Aan de slag… (10 minuten) Risico-analyse 5 risico’s Classificeren aan de hand van analyseDE digitale 13 december 2006 31brandoefening 31
  32. 32. BedrijfscontinuïteitsbeheerDE digitale 13 december 2006 32brandoefening 32
  33. 33. DE digitale 13 december 2006 33brandoefening 33
  34. 34. BedrijfscontinuïteitsbeheerDE digitale 13 december 2006 34brandoefening 34
  35. 35. BedrijfscontinuïteitsbeheerDE digitale brandoefening Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoorde- ling Continuïteitsplannen ontwikkelen en implementeren waaronder informatie- beveiliging Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannenDE digitale 13 december 2006 35brandoefening 35
  36. 36. BedrijfscontinuïteitsbeheerDE digitale brandoefening Waarschuwingslijsten berreddering Vervangende apparatuur Rol interne en externe partijen vaststellen Veilig stellen DATA en Applicaties: vooraf Transportabiliteit data over netwerken en via backups vergemakkelijkt continuïteitsbeheer?DE digitale 13 december 2006 36brandoefening 36
  37. 37. DE digitale brandoefening De praktijk: welke maatregelen zijn genomen “red de digitale data” strategie: aanbevelingenDE digitale 13 december 2006 37brandoefening 37
  38. 38. LEESVOER NEN-ISO/IEC 17799, juni 2005; “Code voor informatiebeveiliging”(vertaling van: ISO/IEC 1779, 2000: “Code of practice for information security management”)DE digitale 13 december 2006 38brandoefening 38
  39. 39. DE DIGITALE BRANDOEFENING Ton Cremershttp://www.museum-security.org 39

×