Praktijkgids Code voor Informatiebeveiliging

Let op: een aanzienlijk deel van de hieronder vermelde informatie is door tijdgebrek pas eind december 2002 beschikbaar.

Abonneer u op de nieuwsbrief dan houd ik u op de hoogte.

Wenst u in de tussentijd informatie te ontvangen die hieronder nog ontbreekt; zend dan een e-mail aan de auteur.

<Aan- en afmelden op de nieuwsbrief>

Welkom op de website behorende bij het boek 'Praktijkgids Code voor Informatiebeveiliging'.

Organisaties zijn zich bewust van de noodzaak informatie te beveiligen maar zijn vaak niet in staat dit proces vorm te geven. Technische oplossingen zijn noodzakelijk maar informatiebeveiliging is veel meer een managementvraagstuk dan een technisch probleem. In deze praktijkgids staat beschreven hoe dit managementproces vormgegeven moet worden.

In 2000 werd Part 1 van de Engelse Code of Practice for Information Security Management, waarin het managementsysteem voor informatiebeveiliging wordt beschreven, overgenomen als wereldwijde standaard
ISO/IEC 17799. Ook kwam dat jaar de vertaling van Part 1 en Part 2 als 'Code voor Informatiebeveiliging' bij het Nederlands Normalisatie-instituut beschikbaar.

Dit boek beschrijft de invoering van de CvIB in acht stappen (zie onderstaande figuur). Naast een inleiding tot deze norm en een uitgebreid overzicht van hulpmiddelen zoals checklists en verwijzingen bevat het boek informatie over het opstellen van beleid en eisen, het uitvoeren van een inventarisatie en over risicomanagement. Ook komen implementatie van maatregelen en het opstellen van procedures alsmede het verhogen van bewustzijn, het auditproces en certificatie aan bod.

Met dit boek en uw eigen exemplaar van de Code voor Informatiebeveiliging bent u in staat ook binnen uw organisatie informatiebeveiliging gestructureerd vorm te geven!

De Code voor Informatiebeveiliging (publicatie SPE 20003) wordt uitgegeven door het Nederlands Normalisatie-instituut (NEN) in Delft. De auteur van de 'Praktijkgids Informatiebeveiliging' is docent bij de NEN cursus over de CvIB. De inhoud van het boek is mede gebaseerd op de opmerkingen van de ruim 200 cursisten die sinds november 2000 deze cursus hebben gevolgd.

Gegevens van het boek:

Auteur:

Ing. Ernst J. Oud CISA                                                              (Certified Information Systems Auditor - zie www.isaca.org)

Uitgever:

Academic Service

ISBN:

90 5261 427 X

Aantal pagina's:

197

Prijs:

€ 29,95

Let op; tijdelijk € 5,- korting - zie de website van Academic Service!

Verschijningsdatum:   Medio november 2002

Klik of om het boek te bestellen, klik hier voor een preview (twee paragrafen uit hoofdstuk 8).

Het boek is te bestellen vanaf de website van Academic Service. U kunt ook een bestelformulier downloaden.

Zie tevens de catalogus Najaarsaanbieding 2002 Informatica op de website van Academic Service.

Klik hier voor enkele boekbesprekingen.

Inhoudsopgave:

Voorwoord 	Dhr. dr. ir. P.L. Overbeek RE - KPMG Information Risk Management
Inhoudsopgave
Hoofdstuk 1  	Inleiding
Hoofdstuk 2  	Achtergrond van de Code voor Informatiebeveiliging
Hoofdstuk 3  	Introductie van het stappenplan
Hoofdstuk 4  	Beleid en inventarisatie
Hoofdstuk 5 	Eisen en risicomanagement
Hoofdstuk 6 	Maatregelen, procedures en organisatie
Hoofdstuk 7 	Communicatie en bewustwording
Hoofdstuk 8 	Audit en certificering
Hoofdstuk 9 	Verbeteren
Bijlagen		Verwijzingen naar hulpmiddelen
		Checklist benodigde documenten
		Checklist deel II 
		Informatie over de herziene BS7799-Part 2:2002
		Aan de slag met Business Continuity Management		
Index

Zolang het boek nog niet verschenen is zijn niet alle onderstaande links functioneel!

Extra informatie beschikbaar gekomen na publicatiedatum:

Overzicht van andere publicaties van de auteur.
Website van NEN over de ééndaagse cursus Code voor Informatiebeveiliging.
Kruisverwijzing CobiT en BS7799 Part 2:1999 (Excel spreadsheet).
Informatie over het gebruik van de Balanced Scorecard voor informatiebeveiliging: e-mail Robert Veenstra.
Meest recente nieuws over BS7799 Part 2:2002.
Na stap 4 (paragraaf 6.1 van het boek) moet u prioriteiten aanleggen voor de implementatie. Op het congres Information Security Management 2002 presenteerden Boudien Glashouwer en Paul Wielaard van Het Expertise Centrum de volgende tabel die daarbij behulpzaam kan zijn:

Nut	LAAG	HOOG
Weerstand, kosten, complexiteit
HOOG	Categorie 4; Wachten met invoering, achter in de rij plaatsen	Categorie 3; Oorzaken analyseren, barrières wegnemen
LAAG	Categorie 2; Snel doen, mooi meegenomen	Categorie 1; Implementatie moet snel en efficiënt geregeld kunnen worden

Toelichting: De in de risicoanalyse geselecteerde maatregelen in categorie 1 en 2 pakt u direct aan. Voor de maatregelen in categorie 3 start u nadere studie hoe u de weerstand wegneemt, omgaat met de hoge kosten en de complexiteit. De maatregelen in categorie 4 doet u als laatste. Deze tabel rubriceert de maatregelen niet naar de mate waarin ze risico minimaliseren. Dat is belangrijk; de maatregelen die de grootste risico's wegnemen op de meest kritische processen of MAPGOOD componenten plaatst u direct in categorie 1, 2 of 3 maar nimmer in 4!

Het Voorschrift Informatiebeveiliging Rijksdienst wordt aangevuld met betrouwbaarheidseisen voor bijzondere informatie welke rechtstreeks afgeleid zijn van doelstellingen uit de CvIB. Dit VIRBI gaat na publicatie in de Staatscourant het document AAR-9 (Aanwijzingen voor de beveiliging van staatsgeheimen en vitale onderdelen bij de rijksdienst) vervangen.
Klik hier voor een introductie tot CRAMM; in 20 stappen en 30 minuten een beveiligingsplan maken voor een applicatie voor telebankieren. (Let op; de 20 schermafbeeldingen samen zijn rond de 1,4 Mb.; bij een analoge internet verbinding kan het raadplegen van deze webpagina dus 2 tot 4 minuten in beslag nemen.)
Overzicht van de Nederlandse juridische aspecten in Deel I van de CvIB:2000.
Ook KEMA Quality biedt een BS7799 cursus aan.
Op basis van de BIE (Beschikbaarheid, Integriteit en Exclusiviteit) classificatie uit de vragenlijst afhankelijkheidsanalyse (zie hieronder), een indeling van de maatregelen uit de CvIB:2000 in een drietal niveau's en de indeling van de maatregelen uit de CvIB:2000 naar BIE aspect is een snelle, pragmatische risicoanalyse inclusief maatregelselectie uit te voeren. Onder de werktitel PRISM wordt deze methodiek binnenkort uitgewerkt. Hier alvast de methodiek schematisch weergegeven (PowerPoint .ppt bestand). Schrijf u in op de nieuwsbrief, dan blijft u op de hoogte.

In het boek genoemde of anderszins nuttige documenten:

Overzicht van alle wijzigingen tussen BS7799 Part 1:1994 en BS7799 Part 1:1999 (PDF bestand).
Vragenlijst afhankelijkheidsanalyse (Word document).
Aangepaste checklist CvIB:2000 deel I (Word document / (PDF bestand) - zie opmerking.
Bijlage 3 van het boek: checklist CvIB:2000 deel II (Word document/ PDF bestand).
Checklist BS7799 Part 2:2002 (Word document / PDF bestand).
Overzicht van de wijzigingen in de controls tussen BS7799 Part 2:1999 en BS7799 Part 2:2002 (Excel spreadsheet).
Verwerking (Self Assessment) checklists van CvIB:2000 deel I en deel II (Excel spreadsheet).

Lijst van alle bedreigingen uit CRAMM v4.0 (Word document / PDF bestand).

Kruisverwijzing CobiT / BS7799 (Excel spreadsheet).

Alle checklists uit het boek opgenomen als activiteiten in een MS-Project 2000 worksheet (.mpp bestand).

Opmerking:
Wegens het auteursrecht kan ik u het wachtwoord van de aangepaste checklist voor deel I alleen toezenden indien u het boek 'Checklist Informatiebeveiliging' van het GvIB in uw bezit hebt. Bij dat boek zit achterin een diskette met daarop de in dat boek besproken checklist als Word en als PDF bestand. Als u dat boek gekocht hebt dan kunt u een door de auteur gemodificeerde versie van die checklist downloaden. In die versie zijn kolommen voor G(edeeltelijk) en O(nbekend) toegevoegd en is een aantal fouten weggenomen. Het Excel spreadsheet met de verwerking van de Self Assessment van deel I van de CvIB gaat uit van de gemodificeerde checklist. Voor de toegang tot de met een wachtwoord beveiligde bestanden moet JavaScript in uw webbrowser enabled zijn.

Om in het bezit te komen van het wachtwoord om de gemodificeerde checklist te kunnen downloaden moet u mij een bewijs per e-mail zenden waarmee u mij overtuigt dat u het GvIB boek inderdaad in uw bezit heeft. U moet mij bijvoorbeeld een kopie van de factuur toezenden of u zendt mij het bestand 'ChecklistWord.doc' welke u op de diskette bij het GvIB boek aantreft. Ik zend u dan per omgaande het wachtwoord.

Aanvullingen op bijlage 1:

Classificatie schema's uit ENV 12924 (Behulpzaam bij 4.3.2.1 van deel II van de CvIB en bij de afhankelijkheidsanalyse).
Operationally Critical Threat, Asset, and Vulnerability Evaluation™ (OCTAVE) (Nieuwe risicoanalyse methodiek).
Website waar de CobiT Audit Guidelines te downloaden zijn.
Auerbach Publications; handboeken (o.a. over het maken van policies) en artikelen over informatiebeveiliging.
The SANS Security Policy Project ('Everything you need for rapid development and implementation of information security policies').
Informatie van de NGI Afdeling computerrecht onder andere m.b.t. privacy en computercriminaliteit.
Artikel van ZBC Consultants over de invoering van het VIR (Checklists voor A&K-analyse, opstellen beleid etc.).
Bijlage 1 als HTML pagina met alle links direct toegankelijk.
Lid worden van de BS7799 mailing list (UK): bs7799-uk-subscribe@yahoogroups.com.
Boek over Standaardisatie, normalisatie en certificering. Beschrijft de afweging tussen standaard en maatwerk.

Standaardisatie & Normalisatie

H.J. de Vries en C.A.J. Simons

Academic Service

ISBN 90 5261 430 X

"Als een bedrijf kiest voor een standaardoplossing, dan wordt bij voorkeur gebruik gemaakt van externe normen, omdat dan zowel binnen als buiten het bedrijf de kans op begrip en acceptatie het grootst is."
Website van Deloitte & Touche Enterprise Risk Services (Self-assessment tegen de belangrijkste maatregelen uit de CvIB).
ISO TR 13569:1997 ('Banking and related financial services- Information security guidelines') beschrijft het management, de organisatie, het risicomanagement en de noodzakelijke maatregelen voor de financiële sector. De vermoedelijk dit jaar te verschijnen update is goed te matchen met ISO 17799. Die matrix wordt hier binnenkort opgenomen.
Self assessment tegen ISO 17799 inclusief benchmarking: Security Management Index.
Van dezelfde organisatie: de Information Security Awareness Index.
Case study van een grote leverancier van medische artikelen uit de USA over ISO 17799 implementatie.
Dhr. Thomas R. Peltier (Netigy Corp.) heeft een eenvoudige (Engelstalige) checklist voor ISO 17799 ontwikkeld. In 127 vragen wordt uw compliance tegen ISO 17799:2000 gemeten. U kunt hem middels een e-mail om deze checklist vragen. Hij heeft ook een boek over (onder andere) ISO 17799 implementatie geschreven (Binnenkort hier een review):

"Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management"

CRC Press: catalogusnummer AU1137, inclusief verzendkosten en VAT, een week levertijd: £ 48.99 (± € 76.94)
Amazon.com: ISBN 0849311373, inclusief verzendkosten, exclusief BTW, twee tot drie weken levertijd: $ 56.95 (± € 57.70)

IT Security Cookbook; "a 'self help' guide to computer & network security".
Nederlandse ICT wetgeving; Recht.NL.
In bijlage 1 wordt de URL genoemd van het NIST (National Institute of Standards and Technology). Op de website zijn inmiddels veel meer, recent verschenen zeer nuttige documenten aanwezig. Naast de grote hoeveelheden technische richtlijnen (FIPS, 500-serie, 800-serie), zijn de volgende documenten nuttig bij de formulering van beleid, het uitvoeren van de risicoanalyse en bij het beveiligingsontwerp:
SP 800-12 An Introduction to Computer Security: The NIST Handbook
SP 800-18 Guide for Developing Security Plans for Information Technology Systems
SP 800-26 Security Self-Assessment Guide for Information Technology Systems
SP 800-27 Engineering Principles for Information Technology Security
SP 800-30 Risk Management Guide for Information Technology Systems
SP 800-33 Underlying Technical Models for Information Technology Security
SP 800-34 Contingency Planning Guide for Information Technology Systems
SP 800-47 Security Guide for Interconnecting Information Technology Systems
CMG biedt een risico asessment dienst/workshop/product aan onder de naam IRIS.
Binnenkort hier te raadplegen een assessment methodiek volgens het INK model. U bent daarmee in staat te bepalen waar de bottle-neck bij uw BS7799 implementatietraject zal liggen.
Begin 2003 zal een publicatie verschijnen over de juridische aspecten in de CvIB:2000. Hiermee wordt de belofte op blz. 2 van deel I van de CvIB:2000 nagekomen. Daar staat namelijk:
"Vanwege de vertaling sluiten juridisch-organisatorische aspecten, zoals die in de tekst verwoord zijn, met name in hoofdstuk 12, niet altijd aan bij de Nederlandse bedrijfsvoering en juridische praktijk. Hier zal separaat een speciale uitgave aan gewijd worden."
CPA (Continuity Planning Associates - Weesp) heeft een gratis boekje 'Guide to Business Continuity Planning' uitgegeven, voor meer informatie kunt u een e-mail zenden.
Een drietal consultants van Het Expertise Centrum heeft een publicatie (.pdf bestand) geschreven genaamd 'Informatiebeveiliging voor de overheid; een praktische aanpak'. Het boekje beschrijft een praktische aanpak voor informatiebeveiliging en geeft praktische adviezen. Een aanrader.

Errata:

Overzicht van onjuistheden in de CvIB:2000 (PDF bestand).
Op blz. 33 staat onder figuur 2.3 'JTJL' waar dit 'ITIL' moet zijn.
Op blz. 119 staat in de tweede zin onder figuur 7.1 geen spatie tussen 'de' en 'continuïteitsplanning'.
...

Heeft u een fout in het boek ontdekt zend dan een e-mail aan de auteur (zie link onderaan de pagina).

Veel gestelde vragen:

Wanneer verschijnt het boek?
Is het boek wel recent; binnenkort verschijnt toch een nieuwe versie van BS7799 Part 2?
Waar vind ik meer informatie?
Hoe word ik lid van de normcommissie?
Welke bedrijven zijn al gecertificeerd?
Welke andere certificeerders zijn er?
Hoe ziet een certificaat er uit?
Wat kost certificering?
Wie kan mij helpen met invoering van de CvIB?
Waarom is er een ISO, een BS en een NEN versie?
Hoe heten de teckels?

Over de auteur:

Ing. Ernst J. Oud CISA is projectleider geweest bij een aantal projecten waarin de Code voor Informatiebeveiliging met succes is ingevoerd. Daarnaast adviseerde hij als senior consultant business continuity organisaties met vraagstukken op het gebied van ICT continuïteit. Op dit moment is hij werkzaam als IT Security Officer bij Urenco Nederland B.V. in Almelo; een BS7799 gecertificeerd industrieel productiebedrijf.

Dhr. Oud is lid van de NEN normcommissie 381027 en het Centraal College van Deskundigen - Informatiebeveiliging. Beide spelen een belangrijke rol bij de Code voor Informatiebeveiliging in Nederland. Daarnaast is hij docent van de NEN cursus informatiebeveiliging en kerndocent voor de module Service Continuity Management bij de masters opleiding informatiebeveiliging Euforce aan de TU Eindhoven.

Zend een e-mail aan de auteur of ga naar zijn homepage.

Auteur:	Ing. Ernst J. Oud CISA (Certified Information Systems Auditor - zie www.isaca.org)
Uitgever:	Academic Service
ISBN:	90 5261 427 X
Aantal pagina's:	197
Prijs:	€ 29,95
	Let op; tijdelijk € 5,- korting - zie de website van Academic Service!
Verschijningsdatum:	Medio november 2002