Beveiliging/Architectuuraanpak

Uit NORA Online
Ga naar: navigatie, zoeken
Op 19 juni 2017 zijn de Afgeleide Principes die raken aan het thema Beveiliging gewijzigd (zie nieuwsbericht). De beheersmaatregelen, implementatierichtlijnen en beveiligingspatronen uit de oude 'Katern' Beveiliging hangen hiermee beter in het bredere kader van de NORA-afspraken. De komende periode zal hieraan nog de ISOR (Information Security Object Repository) van het Centrum Informatiebeveiliging en Privacybescherming (CIP) worden toegevoegd.

Deze pagina beschrijft de aanpak waarmee invulling kan worden gegeven aan het adviseren, toetsen en implementeren van informatiebeveiligingsaspecten in IT-architectuur met de focus op IT-voorzieningen. Het bereik van deze architectuuraanpak is vooralsnog beperkt tot de beveiliging van IT-voorzieningen, inclusief analyse van risico’s. Het ontwerp van maatregelen voor de overige aandachtsgebieden zoals beveiliging van werkprocessen, awareness van eindgebruikers, social engineering, fysieke beveiliging en risicomanagement kunnen met afzonderlijke methoden worden ontwikkeld en ingericht, vanwege hun beperkte afhankelijkheid van het construeren van IT-voorzieningen. In afzonderlijke best-practices worden procedures opgenomen voor verwerving, voortbrenging en exploitatie van IT-voorzieningen. De NORA architectuuraanpak wordt geconcretiseerd met beveiligingspatronen, die als architectuurbouwstenen kunnen worden toegepast.

Doelgroep

De doelgroep van onderstaande architectuuraanpak is de architect, ontwerper, beveiligingsspecialist en IT-auditor. Zij kunnen de modellen gebruiken als gereedschap voor het ontwerpen van beveiligingsmaatregelen in IT-voorzieningen, voor het adviseren over het treffen van beveiligingsmaatregelen of voor het toetsen van ontwerpen aan normen. Met behulp van een template kunnen nieuwe patronen worden samengesteld. In de beschrijving die nu volgt is aangegeven welke functies en modellen we gebruiken om informatiebeveiliging in een ontwerp inzichtelijk te maken.

Fasering

De eerste stap van een willekeurig ontwerp begint aan de ‘vraagkant’, of anders gezegd bij de business. Voor wie doe je het? Daar begint ook het onderzoek naar de (beveiligings-) eisen die gesteld worden aan de te realiseren (IT-) voorziening. Een belangrijke vraag die in de eerste fase van een ontwerp gesteld moet worden is: Wat is de maximale uitvalsduur in geval van een calamiteit? Meer daarover in het themapatroon bedrijfscontinuïteit.

In onderstaande aanpak maken we onderscheid tussen de aanpak van geheel nieuwe voorzieningen en voor situaties waarbij slechts een wijziging wordt aangebracht op een reeds bestaande voorziening.

Fasering voor nieuw te bouwen informatievoorzieningen:

  1. Business Impact Analyse (BIA)
  2. Dreigingen en kwetsbaarheden analyse
  3. Selectie van maatregelen (op basis van beveiligingsfuncties)

De baseline en het basis-beveiligingsniveau

Wanneer de aanpak voor nieuw te bouwen informatievoorzieningen een aantal keren is toegepast en de resultaten met elkaar worden vergeleken, ontstaat daaruit een algemeen risicobeeld van het gebruik van IT-voorzieningen in een organisatie en de daarvoor benodigde set van maatregelen die gemiddeld nodig zijn voor de beveiliging van de informatievoorziening.

Dat algemene beeld met z’n set aan maatregelen noemen we de baseline, of anders gezegd: het basis-beveiligingsniveau van een organisatie. De praktijk leert ons dat dit basisniveau voor veel organisaties overeenkomt. Voor situaties, waarbij gewerkt wordt met gegevens, die als zeer vertrouwelijk zijn geclassificeerd, worden specifiek voor deze gegevens aan het basisniveau aanvullende maatregelen toegevoegd. Voor de overige gegevens is het basisniveau van toepassing.

Fasering voor aanpassingen aan informatievoorzieningen:

  1. Baseline volgen: Dat is het toepassen van de set van standaard-maatregelen om het basis-beveiligingsniveau te kunnen behalen. Dit niveau is samengevat in een voor de organisatie geldige normenset. Als handreiking voor de overheid gelden daarvoor de hierna beschreven “Normen IT-voorzieningen. Qua beveiligingsniveau komen deze normen overeen met de Baseline Informatiebeveiliging Rijksdienst (BIR).
  2. Dreigingen en kwetsbaarheden analyse. Vervolgens wordt de kans bepaald dat een dreiging via kwetsbaarheden schade kan veroorzaken en welke impact die schade heeft op een organisatie. Het z.g. Risico is het product van Kans x Impact.
  3. Selectie van maatregelen (op basis van beveiligingsfuncties).


Om vanuit bedrijfsfuncties een afleiding te kunnen maken naar beveiligingsfuncties in een informatieketen (beveiligingsontwerp), doorlopen we de volgende stappen:

  1. Bepaal (bedrijfs-) objecten van beschouwing, -functies en interacties.
  2. Schets globale keten en gebruik ‘zonering’ daarbij als ordeningsprincipe. Bepaal samenhangende clusters, zoals: Client, Logische toegang, Koppelvlakken, Netwerken en Servers.
  3. Bepaal per object van beschouwing welke maatregelen van toepassing zijn.
    1. Bepaal de impact op de bedrijfsvoering als gevolg van verstoringen van beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en bedrijfsprocessen. (voor nieuwe voorzieningen)
    2. Bepaal vanuit de beveiligingsdoelstellingen van de bedrijfstoepassing welke beveiligingsfuncties in welke mate relevant zijn. Hanteer daarvoor de geldende baseline als norm.
    3. Bepaal op basis van dreigingen & kwetsbaarheden analyse welke aanvullende maatregelen nodig zijn. (voor nieuwe voorzieningen)
    4. Bepaal per beheersmaatregel welke oplossingen passend zijn in welke laag (gegevens/applicatie/infrastructuur) van het informatiesysteem voor de gewenste verlaging van risico’s. Gebruik daarvoor per beheersmaatregel de implementatierichtlijnen en hanteer “comply or explain”.
  4. Schets de keten inclusief beveiligingsfuncties met behulp van patronen.

Voor het uitvoeren van de BIA en dreigingen & kwetsbaarheden analyses wordt een gangbare methodiek gebruikt. Voorbeeld: IRAM van International Security Forum (ISF).

Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen