Beveiligingsniveau

Uit intranet.iqordo.nl
Versie door Tkamps (overleg | bijdragen) op 6 jan 2018 om 07:52
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken

Overzicht

Het beveiligingsniveau is een hulpmiddel om een basisste van maatregelen te kunnen bepalen. Deze basisset kan vervolgens in meer detail afgestemd worden op de specifieke situatie.

Het bestaat uit een matrix met 2 assen:

  1. Belang van data (of meer in algemeen te beveiligen systemen)
    1. Laag. Gegevens die geen dreiging vormen voor de organisatie als ze bij ongeautoriseerde derden belanden.
    2. Midden. Gegevens waarvan het onwenselijk is dat ze ongewenst in handen terecht komen van derden. Uitlekken van gegevens is geen direct gevaar voor de continuiteit van de organisatie. Het kan mogelijk wel leiden tot enige reputatieschade.
    3. Hoog. Gegevens van essentieel belang voor de organisatie. Uitlekken kan de concurrentiepositie schaden; kan leiden tot grote financiele schade (herstelkosten; boeten) en/of grote reputatieschade Ook persoonlijke gegevens vallen in deze categrorie.
  2. Dreigingsniveau
    1. Zeer Laag. Gegevens en systemen zijn volledig geisoleerd. Ze zijn niet toegankelijk vanaf Internet, er wordt geen externe apparatuur aangesloten en alleen onder goed gecontroleerde omstandigheden software geinstalleerd.
    2. Laag. Systemen beschikken over Internet toegang.
    3. Midden. Er is Internet toegang mogelijk vanaf het systeem. Verwachte dreiging is vooral van hackers.
    4. Hoog. Systemen bevatten persoonlijke data en/of bedrijfsgeheimen. Dreiging is van statelijke actoren.
    5. Zeer Hoog. Er is een dreiging van statelijke actoren en/of vermogende hackers met groot belang bij de gegevens.



Beveiligingsniveau
Dreiging
Zeer Hoog 3 4 4
Hoog 2 3 4
Midden 1 2 3
Laag 0 1 2
Zeer Laag 0 0 0
Belang Laag Midden Hoog

Niveau 0

Dit is van toepassing bij een zeer lage dreiging en data van niet te veel belang. Het betreft dan systemen die niet op Internet zijn aangesloten en geen externe koppelingen hebben. veelal Specifieke toepassingen zoals industriële automatisering. Bedreigingen zijn daarmee beperkt tenzij gebruikers software en data downloaden via bijvoorbeeld USB drives. De bedreigingen hierbij zijn:

  • Het downloaden van data naar of van het systeem, bijvoorbeeld via USB;
  • Het installeren van onveilige software op het systeem;
  • Het aansluiten/ koppelen met systemen (bijvoorbeeld een laptop) die op Internet zijn aangesloten geweest.

Voorbeeld van te treffen beveiligingsmaatregelen:

  • Virus/ malware scanner. Hiervoor is een procedure nodig om het systeem actueel te houden, aangezien updates meestal via Internet worden opgehaald!
  • Gebruik van toegangsrechten zodat alleen een beperkte groep gebruikers toegang heeft tot het systeem. Waarbij alleen aan beheerders beheeerrechten worden toegekend;
  • Instellen van firewall regels op de systemen;
  • Gebruikersinstructie hoe om te gaan met het systeem;
  • Blokkeren van gebruik van USB apparatuur en CD-ROM spelers.

Niveau 1

Systemen die zijn aangesloten op Internet waarbij geen of nauwelijks sprake is van vertrouwelijke gegevens. Dat betekent dus ook geen Internet bankieren; gebruik van websites waar gevoelige gegevens staan of wachtwoorden worden gebruikt. De belangrijkste bedreiging betreft hackers die het systeem proberen te misbruiken voor verspreiden van virussen en spam (via malware; pishing en onveilige websites). Bedreigingen zijn onder meer:

  • Virussen en malware;
  • Bezoek van onveilige websites;
  • Spam en phishing mails;
  • Downloaden van (onveilige) software en vooral software vanuit onveilige bronnen.


Te treffen beveiligingsmaatregelen:

  • Virus/ malware scanner;
  • Het up to date houden van de gebruikte software. Vergeet hierbij niet de routers, netwerkswitches; printers en eventueel andere aangesloten apparatuur - zie ook Internet of Things;
  • Gebruik van toegangsrechten zodat alleen een beperkte groep gebruikers toegang heeft tot het systeem. Waarbij alleen aan beheerders beheeerrechten krijgen;
  • Instellen van firewall regels op de systemen zodat alleen noodzakelijke programma's toegang tot het systeem kunnen krijgen;
  • Gebruik van een firewall in de Internet koppeling. Gebruik van NAT voorkomt dat systemen direct vanuit Internet benaderbaar zijn.
  • Awareness programma's waarin gebruikers bekend worden getraind in veilig gebruik van Internet; veilig gebruik van mobiele telefoon en telewerken evenals het herkennen van phishing mails en hoe te handelen bij detectie van malware en cryptoware.

Niveau 2

Er is sprake van vertrouwelijke gegevens en externe dreiging vanuit Internet. Aanvallers hebben mogelijk belang bij misbruik van systemen (bijvoorbeeld in botnets) of financieel gewin zoals gijzelsoftware. Beveiligingsmaatregelen omvatten onder meer:

  • Eerder genoemde maatregelen;
  • Awareness training voor gebruikers;
  • Jaarlijks of meerdere malen per jaar het netwerk laten controleren op kwetsbaarheden;

Niveau 3

Er is sprake van vertrouwelijke gegevens en een groot aantal persoonsgevoelige gegevens zoals namen, adressen, wachtwoorden, persoonlijke data en e-mailadressen. Aanvallers hebben belang bij gegevens vanwege financieel gewin.

Beveiligingsmaatregelen omvatten onder meer:

  • De hierboven genoemde maatregelen;
  • Testen van systemen die extern benaderbaar zijn;
  • Actief bewaken van netwerken en systemen op beveiligingsincidenten. Zoals analyse van log files; gebruik van een SIEM (Security Incident & Event Management Systeem) in combinatie met IDS en/of IDP systemen;
  • Het gebruik van analyse software die gedragsveranderingen kan detecteren (Behavioral Analytics);
  • Awareness training waarin aandacht wordt besteed aan omgaan met vertrouwelijke gegevens, bijvoorbeeld bij gebruik van laptops, smartphones en telewerken;
  • Vastleggen van de gebruikte persoonlijke gegevens en waar deze gebruikt worden;
  • Regels voor gebruik van persoonlijke gegevens en minimaliseren van het gebruik;
  • Anonimiseren van gegevens waar dat mogelijk is, bijvoorbeeld bij data analyses;
  • Bij gebruik van cloud controleren op beveiliging door de service provider.

Niveau 4

Er is sprake van een zeer hoge dreiging, bijvoorbeeld door statelijke actoren, en een groot belang bijvoorbeeld vertrouwelijke gegevens van belangrijke innovaties met groot financieel belang of staatsgeheimen. Hierbij zijn alle mogelijke dreigingen van toepassing. Statelijke actoren of hackers met veel middelen kunnen gebruik maken van zero-day exploits of zelf middelen ontwikkelen.

Beveiligingsmaatregelen omvatten zowel preventieve maatregelen als maatregelen gericht op detectie. Denk hierbij aan:

  • De hierboven genoemde maatregelen;
  • Security Operations Center;
  • CERT organisatie (Computer Emergency Response Team);
  • Strikte toegangscontroles en procedures voor toewijzen en beheren van rechten;
  • Tempest maatregelen om straling van apparatuur te minimaliseren;
  • Indien mogelijk geen koppeling met Internet of alleen via Gateways met strikte controle op de uitgewisselde gegevens;
  • Gebruik van geteste of gecertificeerde componenten voor kritische functies. Denk bijvoorbeeld aan op informatiebeveiliging geteste besturingssystemen en netwerkapparatuur.