Basiskennis - Wet- en regelgeving in relatie tot informatiebeveiliging

Uit IBpedia

Inhoud

1 Introductie tot het wiki-boek "Basiskennis" en kennisportaal IBpedia
2 Wet- en regelgeving
3 Gerelateerde IBpedia artikelen

Introductie tot het wiki-boek "Basiskennis" en kennisportaal IBpedia

Dit wiki-hoofdstuk is door vier leden van het PvIB gesschreven om het algehele beveiligingsbewustzijn te vergroten en om te dienen als examenstof voor de opleidingsmodule ISFS. Gegeven de Creative Commons licentie van dit boek kunt u de hoofdstukken uit dit wiki-boek in dezelfde schrijfstijl aanvullen en indien nodig corrigeren. Het voorwoord en informatie over de schrijvers van het oorspronkelijke boek kunt u lezen via (Downloadlink voor het boek).

Kennisportaal IBpedia is een gemeenschappelijke Wiki voor informatiebeveiliging en digitale architectuur. Het is ontstaan vanuit de behoefte om vrije kennisdeling over informatiebeveiliging en digitale architectuur op een hoger niveau te brengen en een aanvulling op bestaande gemeenschappen en non-profit organisaties.

Wet- en regelgeving

Inleiding
Er is in de voorgaande hoofdstukken veel gezegd over het hoe en waarom van informatiebeveiliging. We hebben ons gefocust op de risicoanalyse en een dreigings- en risicoprofiel vastgesteld. Op basis daarvan hebben we fysieke maatregelen, technische maatregelen en organisatorische maatregelen genomen. Er zijn maatregelen die niet optioneel zijn, maar verplicht door wetgeving genomen moeten worden.
Bij wetgeving gaat het bijvoorbeeld om wetgeving op het gebied van privacy, fiscale wetgeving en financiële regelgeving voor banken en bedrijven. Het eigen beleid van een bedrijf moet ook nageleefd worden. Bij internationaal werkende organisaties is het mogelijk dat het beleid per land aangepast moet worden om aan de nationale (lokale) regelgeving te kunnen voldoen.
In een eerder hoofdstuk is de PDCA-cyclus besproken. Een van de onderdelen van die cyclus is de zelfcontrole en de controle door de externe auditor. Dit zijn onderdelen die met de controle op de naleving van interne en externe regelgeving te maken hebben.
Dit hoofdstuk gaat in op de naleving van wet- en regelgeving en op de wijze waarop controle wordt uitgeoefend.

10.1 Naleving van wettelijke voorschriften

Ieder bedrijf wil in de eerste plaats zijn eigen bedrijfsdoelstellingen bereiken. Dit betekent het produceren van een bepaald product, het verlenen van bepaalde diensten of bijvoorbeeld het zorg dragen voor de naleving van bepaalde wet- en regelgeving zoals gebeurt door de politie of bijzondere opsporingsinstanties. Ieder bedrijf heeft zich echter te houden aan de lokale wet- en regelgeving en aan contractuele verplichtingen. De beveiligingseisen die aan het bedrijf gesteld worden hebben daar een sterke relatie mee.

Lokale wet- en regelgeving staat hier zo beschreven omdat vooral voor internationaal opererende bedrijven het beleid vaak wat globaler wordt opgesteld en de onderliggende beleidsstukken aangepast worden aan de wetgeving die in het land van de vestiging van toepassing is. Vooral op privacygebied kan de wetgeving afwijkend zijn en daarmee ook de wijze waarop met privacygevoelige informatie om moet worden gegaan.

Om zeker te weten dat aan de regelgeving wordt voldaan is het daarom altijd belangrijk om advies in te winnen bij plaatselijke juridische adviseurs van de organisatie of bij gekwalificeerde juristen.

Compliance

Compliance is een Engelstalig begrip dat steeds vaker gebruik wordt. Van Dale zegt daarover: Volgzaamheid, inschikkelijkheid, meegaandheid, toegeeflijkheid, gehoorzaamheid. Waar het op neer komt is dat een organisatie zowel de interne bedrijfsregelgeving als de wetten van het land en de lokale regelgeving dient na te leven.

Soms levert dit conflicten op. Vooral multinationale organisaties hebben te maken met enerzijds het interne beleid om zorg te dragen dat het bedrijf zich met één gezicht naar de buitenwereld presenteert en anderzijds met internationale en lokale regelgeving.

Zo liggen de regelgevingen voor privacy binnen de Europese Unie gelijk, maar wijken ze sterk af van wat er in de Verenigde Staten van Amerika is toegestaan.

In de praktijk
In Europa is de privacy sterk gewaarborgd. In de Verenigde Staten mag de overheid sinds de aanslagen op het World Trade Centre in New York zo ongeveer alles met uw persoonsgegevens vanuit het oogpunt van veiligheid en landsbelang.
Anderzijds hanteren de Verenigde Staten, sinds bij het Enron schandaal tienduizenden mensen hun baan verloren en de fraudeurs er met vele miljoenen dollars vandoor gingen, zeer strenge beveiligingsmaatregelen voor beursgenoteerde bedrijven. De zogenaamde Sarbanes-Oxley Act (SOx).

Compliance gaat dus niet alleen over het voldoen aan wet- en regelgeving die door overheden wordt opgelegd. Ook interne regels spelen daarbij een rol. Voor informatiebeveiliging is in de afgelopen jaren een wereldwijde standaard ontstaan in de vorm van de eerdergenoemde Code voor Informatiebeveiliging. Ontstaan uit de British Standard BS 7799 is deze standaard tot een ISO-normering uitgegroeid en tegenwoordig bekend onder het nummer ISO 27002.

Door adoptie van die ISO norm door verschillende andere standaardiseringsinstanties in onder andere de Europese Unie en de NEN is deze standaard in Nederland nu bekend als de NEN-ISO/IEC 27002:2007, waarmee een verregaande standaardisering in beveiligingsmaatregelen voor overheid en bedrijfsleven is verkregen.

Compliancemaatregelen

Naar aanleiding van bovenstaande is inmiddels duidelijk geworden dat het maken van intern beleid binnen een organisatie de methode is om compliant te worden.

De organisatie dient beleid te maken waarin zij verklaart aan de (nationale en lokale) wet- en regelgeving te voldoen. Procedures en handreikingen aan de medewerkers maken duidelijk hoe zij in de praktijk die regels moeten toepassen. Risicoanalyses zorgen er voor dat de juiste beveiligingsniveaus worden vastgesteld en de juiste, bij die beveiligingsniveaus passende maatregelsets vastgesteld en geïmplementeerd worden.

Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)

Wanneer een bedrijf software gebruikt moet er nagedacht worden over het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen rusten.

De volgende richtlijnen behoren te worden overwogen om materiaal te beschermen dat als intellectueel eigendom kan worden beschouwd:

Het publiceren van beleid ten aanzien van de naleving van intellectuele eigendomsrechten, waarin wettig gebruik van programmatuur en informatieproducten wordt gedefinieerd;

Programmatuur alleen aanschaffen via bekende en erkende leveranciers om te waarborgen dat er geen auteursrechten worden geschonden;

Als er open source wordt gebruikt moet men ook de bijbehorende licentievorm respecteren en naleven;

In stand houden van het bewustzijn van het beleid voor bescherming van intellectuele eigendomsrechten, evenals van het voornemen om disciplinaire maatregelen te treffen tegen personeel dat dit beleid schendt;

Bijhouden van relevante registers van bedrijfsmiddelen en het identificeren van alle bedrijfsmiddelen met eisen ten aanzien van het beschermen van intellectuele eigendomsrechten.

Onder de intellectuele eigendomsrechten vallen auteursrecht op programmatuur of documenten, ontwerprechten, handelsmerken, octrooien en broncodelicenties.

Programmatuur waarop eigendomsrechten rusten, wordt doorgaans geleverd op basis van een licentieovereenkomst die de licentievoorwaarden noemt, die bijvoorbeeld het gebruik van de programmatuur beperken tot bepaalde machines of het kopiëren beperken tot het maken van back-upkopieën.

In de praktijk
Het is erg gemakkelijk, als er eenmaal een aantal licenties van een softwarepakket zijn aangeschaft, uit dezelfde voorraad licenties nieuwe pc’s van software te voorzien. Vijf pc’s zijn voorzien van een fotobewerkingspakket en er zijn vijf licenties. Dan komen er twee nieuwe medewerkers bij die ieder een eigen pc krijgen en waar ook het fotobewerkingspakket op wordt geïnstalleerd. Maar er worden geen nieuwe licenties gekocht. Op dat moment zijn er dus zeven pc’s voorzien van hetzelfde fotobewerkingspakket, terwijl er maar voor vijf pc’s licenties betaald zijn.
Een andere vorm van schending van het intellectueel eigendomsrecht is het gebruik van een afbeelding waar copyright op rust. Denk bijvoorbeeld aan dat gezellige foldertje over informatiebeveiliging, waar de kluis van Dagobert Duck met al zijn beveiligingsmaatregelen in afgebeeld staat.

Bescherming van bedrijfsdocumenten

Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen. Datzelfde geldt natuurlijk voor contractuele verplichtingen en bedrijfsmatige eisen.

Registraties behoren te worden gecategoriseerd naar type, bijvoorbeeld boekhoudkundige registraties, databaserecords, transactielogbestanden, auditlogbestanden en operationele procedures.

Bij elk type behoort de bewaartermijn en het type opslagmedium te worden vermeld, bijvoorbeeld papier, microfiche, magnetische opslag of optische opslag. Enige cryptografische sleutels of programmatuur die verband houden met versleutelde archieven of digitale handtekeningen behoren ook te worden bewaard om ontcijfering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties. (Zie in dit verband Special over digitale archivering vertoont te veel witte plekken)

Er behoort rekening te worden gehouden met de mogelijkheid dat media die voor opslag van informatie worden gebruikt, in kwaliteit achteruit gaan. Procedures voor opslag en behandeling van deze media behoren in overeenstemming met de aanbevelingen van de fabrikant te worden geïmplementeerd. Voor langdurige opslag behoort het gebruik van papier en microfiche te worden overwogen.

Waar elektronische opslagmedia worden gekozen, behoren procedures te worden vastgesteld om te waarborgen dat de informatie gedurende de gehele bewaarperiode toegankelijk blijft (leesbaarheid van zowel de media als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingen.

Bij de overheid is voor de bescherming van informatie de archiefwet van toepassing. In de archiefwet worden de volgende hoofdonderwerpen behandeld: archief creatie, beheer, vernietiging, overdracht naar het centrale archief, overdracht tussen overheden en toegang tot archieven.

In de praktijk
De nieuwste laptops en pc’s worden niet meer met een diskettestation uitgerust. De diskettes van 3 ½" of misschien nog 5 ¼ ", met data die echt niet verloren mogen gaan, worden in de nabije toekomst wel wat lastig uitleesbaar….

Bescherming van gegevens en geheimhouding van persoonsgegevens

De bescherming van gegevens en privacy valt onder de Wet Bescherming Persoonsgegevens (WBP) en de richtlijnen van het College Bescherming Persoonsgegevens (CBP). Daarnaast kunnen contractuele bepalingen met een klant meespelen.

Ieder organisatie hoort een beleid te hebben voor de bescherming van persoonsgegevens dat bekend is bij iedereen die persoonsgegevens verwerkt.

Naleving van dit beleid en alle relevante wet- en regelgeving voor gegevensbescherming kan vaak het beste worden bereikt door een verantwoordelijke aan te wijzen, bijvoorbeeld een functionaris die belast is met de bescherming van gegevens en die ondersteuning geeft aan managers, gebruikers en dienstverlenende bedrijven in de uitvoering van hun verantwoordelijkheden op dit gebied.

En er moeten natuurlijk technische en organisatorische voorzieningen zijn om persoonsgegevens te beschermen.

En belangrijk punt is dat de burger inzagerecht heeft in de over hem/haar geregistreerde gevens. Het is aan te bevelen hiervoor beleid en procedures te hebben.

In het nieuws
In Australië is grote ophef ontstaan over het plan van de overheid om een database met de zeer uitgebreide profielen van 480.000 basisschoolscholieren via een intranetapplicatie toegankelijk te maken. De database bevat de informatie van alle scholieren op staatsscholen en bestaat uit foto’s, persoonlijke informatie, mogelijke carrière, buitenschoolse activiteiten en de prestaties van de leerling. Ouders maken zich niet alleen zorgen over de privacy van hun kinderen, maar ook over de mogelijkheid dat pedofielen toegang tot de database krijgen.
En die zorg is volgens een informatica professor terecht. "Mensen zullen proberen in te breken. Daar twijfel ik geen moment aan." Scholieren die de verplichte informatie niet geven, kan toegang tot het onderwijs geweigerd worden, aldus de Minister van Onderwijs. Die laat weten dat ouders zich geen zorgen over hackende pedofielen hoeven te maken. "Het is geen Facebook dat we hier hebben gemaakt." De minister gaat niet in op de aantasting van de privacy, die veel verder gaat dan bij veel sociale netwerksites het geval is.
De eerste fase van de database moet in december gereed en toegankelijk zijn en bevat dan rapporten, contactgegevens, aanwezigheidsinformatie, het gedrag van de scholier, wat hij of zij later wil worden en het contact met de ouders.
Bron: http://www.security.nl

Voorkomen van misbruik van IT-voorzieningen

Een van de zaken die de directie in het informatiebeveiligingsbeleid moet vastleggen is de wijze waarop de IT-voorzieningen binnen de organisatie gebruikt mogen worden. Gebruik van deze voorzieningen voor niet-zakelijke doeleinden zonder toestemming van de directie of voor enig onbevoegd doel behoort te worden beschouwd als onoorbaar gebruik van de voorzieningen.

Indien enige ongeautoriseerde activiteit wordt gesignaleerd door middel van controle of anderszins, behoort deze activiteit onder de aandacht te worden gebracht van de desbetreffende manager om te overwegen of disciplinaire en/of juridische maatregelen kunnen worden getroffen.

Er zijn natuurlijk twee kanten aan een dergelijke bepaling. Als eerste dient de organisatie volledig te voldoen aan de bepalingen die hierboven genoemd zijn met betrekking tot het juiste gebruik van licenties; alleen legale software gebruiken en de regels rond intellectueel eigendom naleven. Anderzijds mag men van de medewerkers verwachten dat zij de aan hen beschikbaar gestelde ICT-voorzieningen niet zullen misbruiken.

In veel organisaties is inmiddels een gedragscode in gebruik waarin de rechten en plichten van de werkgever en de werknemers op dit gebied nader geregeld zijn.

Zo mag er vaak, mits het werken er niet onder lijdt, ook voor privédoeleinden getelefoneerd en geïnternet worden. Wat dan meestal expliciet verboden wordt is het downloaden van muziek, films en software, het bezoeken van seksueel getinte sites. Ook worden er aan het gebruik van e-mail voorwaarden gesteld.

De werkgever heeft het recht hierop te controleren. Dat kan steekproefsgewijs, of juist heel gericht wanneer er een sterke verdenking van misbruik door bepaalde personen bestaat. Voorwaarde is wel, dat de medewerkers op de hoogte zijn dat deze controlemaatregelen uitgevoerd kunnen worden.

Bij het invoeren van dergelijke controlesystemen is het verstandig vooraf juridisch advies in te winnen en de ondernemingsraad (OR) te raadplegen.

Op het gebied van wetgeving is er ook nog de wet computercriminaliteit. Deze wet is in 2006 aangepast. Het opzettelijk en wederrechtelijk binnendringen in computer systemen is strafbaar, zelfs als de systemen geen beveiliging bevatten. Ook het onbruikbaar maken van computersystemen met bijvoorbeeld ’denial of service attacks’ is aangescherpt in deze herziening. Een denial of service is een methode waarbij een informatiesysteem, bijvoorbeeld een website, overvoerd wordt met aanvragen zodat deze de stroom niet kan verwerken en uitvalt. Botnets, netwerken van aan elkaar gekoppelde computers, worden gebruikt voor dit soort aanvallen.

In het nieuws
Een 18-jarige student van een High School die het systeem "hackte" en zijn cijfers aanpaste, moet mogelijk 38 jaar de gevangenis in. Hij wist met het wachtwoord van zijn docent op het cijfersysteem in te loggen en de uitslag van onder andere een examen, waar hij wegens afkijken een onvoldoende voor had gekregen, aan te passen. Volgens de openbare aanklager zou de student ook in de school hebben ingebroken en toen de cijfers van 12 andere studenten hebben gewijzigd. Tevens installeerde hij spyware op de schoolcomputers zodat hij ook vanaf ander locaties toegang kon krijgen.
Tijdens de inbraken die hij tussen 23 januari en 20 mei van dit jaar pleegde, wijzigde hij ook de uitslagformulieren. Zo veranderde hij cijfers en de data, waardoor de cijfers op papier met die van het systeem overeenkwamen. De zaak kwam pas aan het rollen toen hij een kopie van de formulieren vroeg om beroep aan te tekenen tegen een beslissing van de Universiteit van Californië, waar hij wegens zijn slechte cijfers was geweigerd. Docenten ontdekten het verschil tussen de cijfers en waarschuwden justitie, waarna een onderzoek werd ingesteld.
De student werd aangeklaagd wegens het stelen van publieke gegevens, computerfraude, inbraak, identiteitsdiefstal, heling en samenzwering. Een andere student die met hem samenwerkte, hangt drie jaar cel boven het hoofd. De school gaat maatregelen nemen om herhaling in de toekomst te voorkomen.
Bron: http://www.security.nl

Naleving van beveiligingsbeleid en -normen

Informatiebeveiliging is een getrapte verantwoordelijkheid. De directie heeft en houdt altijd de eindverantwoordelijkheid. Zij kunnen echter het lijnmanagement de verantwoordelijkheid voor de uitvoering en naleving van het beleid opleggen. Managers moeten daarom regelmatig (laten) beoordelen of de informatieverwerking binnen hun verantwoordelijkheidsgebied voldoet aan het geldende beveiligingsbeleid, beveiligingsnormen en andere beveiligingseisen.

0.8 Controlemaatregelen

Tot slot komt dan de interne auditor en/of externe auditor controleren of de organisatie wel aan de regels voldoet. De auditor doet dit door te kijken of de maatregel bestaat. Staat deze in het beleid, wordt deze in de praktijk uitgevoerd en functioneert de maatregel zoals bedoeld?

In de praktijk
Een organisatie heeft de ISO/IEC 27002 standaard ingevoerd. Eén van de beveiligingsmaatregelen is een wachtwoordbeleid. In het beleid staat dat om toegang tot de kantoorautomatisering te krijgen een wachtwoord van 8 tekens moet worden gebruikt. Het wachtwoord mag geen Nederlands woord zijn. Het moet bovendien minimaal 1 hoofdletter en 1 cijfer of leesteken bevatten.
De auditor kijkt naar de opzet: Ja, het staat in het beleid.
De auditor kijkt naar het bestaan: Ja, de systeembeheerder heeft de vereiste regels ingevoerd.
De auditor kijkt naar werking: Hij voert zelf diverse wachtwoorden in die niet aan de gestelde eisen voldoen. Wordt het wachtwoord geaccepteerd dan is de werking niet correct. Kan alleen een wachtwoord ingevoerd worden dat aan de eisen van het beleid voldoet, dan is de werking van de maatregel correct.

Audits van informatiesystemen

Het uitvoeren van audits brengt altijd risico’s voor het productieproces van een organisatie met zich mee. De auditoren halen vaak op het moment dat het productieproces loopt, informatie uit de systemen. Dit heeft altijd effect op de rekenkracht van de computers omdat deze extra taken te verwerken krijgen. Het is daarom belangrijk ervoor te zorgen dat de audit geen storing veroorzaakt.

Het is dan ook niet gewenst dat bijvoorbeeld een derde partij of een klant nog eens hetzelfde laat onderzoeken. Voor dit doel kan de auditor een Third Party Mededeling (TPM) afgeven. Deze door een onafhankelijke IT-auditor afgegeven verklaring geeft aan in hoeverre de noodzakelijke maatregelen in opzet, bestaan en werking hebben gefunctioneerd.

Bescherming van hulpmiddelen voor audits van informatiesystemen

De hulpmiddelen voor systeemaudits, bijvoorbeeld programmatuur of gegevensbestanden, behoren te worden gescheiden van ontwikkelingssystemen en productiesystemen en behoren niet te worden opgeslagen in magneetbandbibliotheken of gebruikersruimten, tenzij hiervoor aanvullende beschermingsmaatregelen van een geschikt niveau zijn getroffen.

Indien derden bij een audit zijn betrokken bestaat het risico dat de audithulpmiddelen en de informatie waartoe toegang is verkregen door deze derde partij worden misbruikt.

Maatregelen zoals het beperken van toegang tot alleen die systemen waarin de auditor voor zijn onderzoek moet zijn, een geheimhoudingsverklaring en beperking van de fysieke toegang kunnen worden overwogen om dit risico aan te pakken, en alle daaruit voortvloeiende maatregelen zoals het onmiddellijk wijzigen van de wachtwoorden die aan auditoren zijn bekendgemaakt.

Tenslotte blijft na alles wat besproken is het volgende altijd van kracht: hoe sterk een organisatie haar beveiliging ook geregeld heeft … de beveiliging is zo sterk als de zwakste schakel!

Samenvatting

In dit hoofdstuk hebben we ten slotte de rol van wet- en regelgeving besproken.
Wetgeving bestaat voor fiscale zaken, privacy, maar ook voor zakendoen. Naast lokale wetgeving hebben we te maken met buitenlandse regelgeving zoals de Sarbanes-Oxley Act die er voor zorgt dat een Nederlandse bank alleen op de beurs in Wallstreet zaken kan doen, als zij aantoont aan deze Amerikaanse regelgeving te voldoen.
We hebben gezien dat standaarden zoals de ISO/IEC 27002 helpen bij het naleven van wet- en regelgeving.
Intellectuele eigendomsrechten van anderen dienen net zo goed beschermd te worden als de eigendommen van de organisatie. Als een bedrijf tonnen, misschien wel miljoenen gestoken heeft in de ontwikkeling van een product, dan wil het natuurlijk niet dat een ander het ongevraagd kopieert en voor een lage prijs aanbiedt.
Tenslotte is er de audit, waarin we kunnen aantonen dat we aan de eisen voor de beveiliging van de informatie voldoen.

Casus

Incasso BV is een groot incassobureau dat de inning van achterstallige betalingen voor een groot aantal klanten regelt. Incasso BV is als eenmanszaak begonnen en in de loop der jaren uitgegroeid tot een bedrijf met een vijftal vestigingen in de Benelux. Het bedrijf heeft zestig medewerkers in dienst. Incasso BV biedt, op bescheiden schaal, ook bancaire diensten.

In verband met de uitgebreide wet- en regelgeving wordt u ingehuurd om er zorg voor te dragen dat informatiebeveiliging op basis van de ISO/IEC 27002 standaard geïmplementeerd wordt. U zoekt uit welke wet- en regelgeving hier geldt en werkt op basis hiervan het beleid uit.

Tot slot dient u er voor te zorgen dat de naleving van bovenstaande zaken aantoonbaar ingeregeld is wanneer een externe audit uitgevoerd wordt.

Beschrijf wat u moet doen om het juiste beveiligingsniveau te bepalen. Welke beveiligingsmaatregelen moeten globaal uitgevoerd worden? Hoe toont u aan de auditoren aan dat uw bedrijf zijn zaken op orde heeft? Met welke van overheidswege opgelegde regelgeving heeft u zoal te maken?

Gerelateerde IBpedia artikelen

Nederlandstalig:

Engelstalig: