Informatiebeveiligingsplan opstellen op basis van risico-analyses

Er is in de praktijk een standaardnormenkader voor informatiebeveiliging vastgelegd in de Code voor Informatiebeveiliging: NEN 27001:2013 en NEN 27002:2013. Bedrijven kunnen hiervan gebruik maken bij het opstellen van een informatiebeveiligingsbeleid. In dit artikel worden enkele highlights van een informatiebeveiligingsplan besproken.

Algemene doelstelling en uitgangspunten

Allereerst is het goed om een algemene doelstelling en visie op informatiebeveiliging vast te leggen met een aantal concrete uitgangspunten. De doelstelling is bijvoorbeeld het waarborgen van de continuïteit van de bedrijfsvoering, het leveren van een bijdrage aan de veiligheid (privacy) van medewerkers en klanten en het beschermen van de goede naam van de organisatie. Hierbij dient de schade geminimaliseerd te worden door de kans op het zich voordoen van beveiligingsincidenten te voorkomen en vervolgens de eventuele gevolgen tot een minimum te beperken.

Voorbeelden van uitgangspunten zijn:

  • Informatie is van waarde voor de organisatie en dient overeenkomstig de omvang van de waarde beschermd te worden;
  • Informatiebeveiliging begint met verantwoord en bewust gedrag van mensen, dit is essentieel voor een goede werking;
  • Informatiebeveiliging is een taak voor iedere medewerker en blijft een eindverantwoordelijkheid van het lijnmanagement;
  • Het primaire uitgangspunt voor informatiebeveiliging blijft risicomanagement, afgestemd op de organisatiedoelstellingen;
  • De meer klassieke aanpak van informatiebeveiliging waarbij inperking van mogelijkheden de boventoon voert maakt plaats voor veilig faciliteren;
  • Voor een effectiever resultaat is het verstandig om de focus te verschuiven van netwerkbeveiliging naar gegevensbeveiliging (beide zijn van belang);
  • Informatiebeveiliging vereist een integrale aanpak

Verantwoordelijkheden

In het algemeen is de (hoofd)directie of Raad van Bestuur eindverantwoordelijk voor het informatiebeveiligingsbeleid en wordt een datum genoemd per wanneer het informatiebeveiligingsbeleid en de baseline (het niveau waar de organisatie minimaal aan moet voldoen) zijn vastgesteld. Afhankelijk van de omvang van de organisatie en de organisatie-indeling is er bijvoorbeeld een securitymanager verantwoordelijk voor facilitering en onderhoud. De eigenaar van het systeem en/of de informatie kan worden aangesproken op de toepassing van de baseline en eventueel aanvullende maatregelen.  Alle taken en verantwoordelijkheden worden in het informatiebeveiligingsbeleid uitgewerkt.

Werkingsgebied waarop de baseline van toepassing is

Ook het werkingsgebied of de scope waarop de baseline en het informatiebeveiligingsbeleid van toepassing is wordt vastgelegd. Bijvoorbeeld : ‘Zowel het informatiebeveiligingsbeleid als de baseline hebben betrekking op alle personen, procedures,  processen,  informatie en informatiesystemen zowel in eigen beheer als uitbesteed.’ Het werkingsgebied strekt zich ook verder uit dan de systemen van de eigen organisatie door het gebruik van internet en (privé) mobiele devices waardoor gegevens ook via openbare netwerken worden ingezien en/of verzonden. Directie en medewerkers moeten hier rekening mee houden. Protocollen hiervoor maken onderdeel uit van het informatiebeveiligingsbeleid.

Risico-analyse als uitgangspunt

De basis van het informatiebeveiligingsplan is de risico-analyse. Deze analyse begint met het uitvoeren van een inventarisatie van alle informatiewaarden (informatie-assets). Vervolgens zal een inschatting moeten worden gemaakt van de waarde van deze assets en zullen de risico’s of bedreigingen waardoor de informatie-assets geheel of gedeeltelijk verloren kunnen gaan in kaart moeten worden gebracht (risico-inventarisatie) en vervolgens ook gewogen (risico-evaluatie).

Het wegen of evalueren van de mogelijke risico’s/bedreigingen is een lastige klus omdat een statistische onderbouwing voor een dergelijke risicoweging vaak ontbreekt. U zal zich dus vaak moeten beperken tot het maken van kwalitatieve inschattingen. Dit kan door de gegevens en informatie in systemen waarop het beleid van toepassing is te classificeren. Classificatie helpt dus om de omvang van de waarde van informatie-assets voor de organisatie vast te stellen.

Bij de risico-analyse gaat het om de kans dat een bedreiging zich voor kan doen en vervolgens ook wat dan de impact zal zijn. Naast de vraag of en hoe vaak het risico zich voor kan doen, kijkt u dus ook hoe kwetsbaar u bent voor de bedreiging en op welke manier dit geprojecteerd kan worden op de informatie-assets.  Voor het vaststellen van de impact wordt gekeken naar de (kwaliteits)aspecten beschikbaarheid, integriteit en vertrouwelijkheid.

  • Beschikbaarheid is de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar zijn voor gebruikers.
  • Integriteit is de mate waarin gegevens of functionaliteit juist ingevuld zijn.
  • Vertrouwelijkheid is de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn

Het vereiste niveau van de beveiligingsmaatregelen wordt dan vervolgens gekoppeld aan de betreffende klasse

Aspecten en kenmerken van informatiebeveiliging en daaraan gerelateerde bedreigingen

Aspect Kenmerk Bedreiging Voorbeelden van bedreigingen
Beschikbaarheid Tijdigheid Vertraging Overbelasting van de infrastructuur
Continuïteit Uitval Stroomuitval, defect in infrastructuur
Integriteit Correctheid Wijziging, mutatie Ongeautoriseerd wijzigen van gegevens, virusinfectie, typefout
Volledigheid Verwijdering Ongeautoriseerd wissen van gegevens
Toevoeging Ongeautoriseerd toevoegen van gegevens
Geldigheid Veroudering Gegevens niet up-to-date houden
Authenticiteit Vervalsing Frauduleuze transactie plegen
Onweerlegbaarheid Verloochening Ontkennen een bepaald bericht te hebben verstuurd
Vertrouwelijkheid Exclusiviteit Onthulling Afluisteren van netwerk, hacking
Misbruik Privé gebruik op grote schaal

Classificatieniveaus basis voor risicobeheersing

In de classificatie kunnen er bijvoorbeeld 3 niveaus worden onderscheiden, waarbij niveau 3 het baselineniveau is en dus niveau van het basisrisico. In de gemaakte risicoclassificatie staan de aspecten beschikbaarheid, vertrouwelijkheid en integriteit dan op het niveau ‘laag’.

Voor elk niveau worden vervolgens maatregelen opgesteld waaraan elk systeem moet voldoen. Als een informatiesysteem een verhoogd risico of hoog risico heeft en in niveau 2 (‘middel’) of 1 (‘hoog’) zijn geclassificeerd, is een hoger beveiligingsniveau noodzakelijk en moeten extra (aanvullende) maatregelen worden genomen. Een hoger niveau is nodig in situaties waarin bijvoorbeeld met vertrouwelijke gegevens wordt gewerkt of een hogere beschikbaarheid van het systeem of (hoge) integriteit van informatie vereist is. Aanvullende maatregelen kunnen ook betrekking hebben op privacybescherming (eveneens een vertrouwelijkheidsrisico). Dit is onder andere het geval indien bij verlies of onrechtmatig/onzorgvuldig gebruik van persoonsgegevens er extra negatieve gevolgen ontstaan voor de betrokken persoon.

Waardering van de aspecten Klasse Omschrijving Beheersmaatregel
L (laag) Niveau 3 Een inbreuk op de beschikbaarheid, vertrouwelijkheid en integriteit van de informatie en/of het systeem veroorzaakt geen (grote) verstoring Het systeem moet voldoen aan de minimale maatregelen (informatiebeveiliging-baseline)
M (midden) Niveau 2 Een inbreuk op de beschikbaarheid, vertrouwelijkheid en integriteit van de informatie en/of het systeem veroorzaakt een middelgrote verstoring. Aanvullende maatregelen voor een hoger beveiligingsniveau zijn noodzakelijk als uit de risico-analyse blijkt dat het systeem een verhoogd of hoog risico heeft.
H (hoog) Niveau 1 Een inbreuk op de beschikbaarheid, vertrouwelijkheid en integriteit van de informatie en/of het systeem veroorzaakt een ernstige verstoring.

Voorbeelden van aanvullende maatregelen 

De volgende maatregelen moeten worden genomen als uit de risicoanalyse blijkt dat het systeem een verhoogd of hoog risico heeft:

Aspect Voorbeeld beheersmaatregel
Beschikbaarheid Redundantie, Noodstroomvoorziening, Fail-over voorziening, Continue bewaking en follow up, Secure opslag van bronprogrammatuur
Vertrouwlijkheid Encryptie datatransport, Harde authentificatie, Autorisatie naar rol, Clear desk, Gecontroleerde afvoer
Integriteit Invoercontrole, Autorisatie naar rol, Training (kern) gebruikers, Certificaten, Tegengaan van schaduwbestanden

Op basis van de risicoanalyse wordt (door de security manager) de classificatie vastgelegd in een rapport. Dit rapport gaat naar de systeemeigenaar zodat hij/zij weet hoe de beveiliging van het systeem ervoor staat en welke maatregelen moeten worden genomen. Tevens worden aanbevelingen gedaan. Wijkt de eigenaar van dit advies af dan wordt dit aan de security manager voorgelegd.

Risicoanalyses worden in principe één keer per jaar geactualiseerd en bij belangrijke veranderingen en/of incidenten. Op basis van deze analyses wordt ook steeds het beveiligingsbeleid met de beschreven beheersmaatregelen onder de loep genomen en waar nodig aangepast.

Lizanne Vroom

20 jaar zelfstandig risicomanagement adviseur voor profit en non-profit organisaties. Kerndocent en programma manager voor diverse risicomanagementopleidingen. Auteur van "Risicomanagement vanuit het Dynamisch Business Model', 'Ik durf het risico wel aan', 'Liefde komt niet van één k(l)ant'. Oprichter en eindredactie van Riskforum.nl