Beveiliging op ordeHoe kunnen scholen aantonen dat hun (informatie)beveiliging goed geregeld is
9 oktober 2019
Elly Dingemanse
2
Informatiebeveiliging en privacy (IBP)
Relatie informatiebeveiliging en privacy
Informatiebeveiliging is een belangrijke voorwaarde is voor privacy.
Omgekeerd is de zorgvuldige omgang met persoonsgegevens (privacy)noodzakelijk is voor een juiste informatiebeveiliging.
AVG en ISO27001/2 hangen met elkaar samen en hebben een overlap
3
Er was eens…
4
Informatiebeveiliging in het mboNiet alleen maatschappelijk druk, maar ook druk vanuit de overheid om maatregelen te nemen en beleid op informatiebeveiliging te maken.
2015: programma informatiebeveiliging
Doel: het stimuleren en ondersteunen van instellingen bij het ontwikkelen en uitvoeren van een informatiebeveiligingsbeleid.
5
Informatiebeveiliging in het mbo► Informatiebeveiligingsbeleid is een start; maar wanneer weet je of het voldoende is.
► Wereldwijde standaard voor informatiebeveiliging: ISO 27001 en 27002
► Vanuit beveiligingsrisico’s is een set van maatregelen, processen en procedures vastgelegd in (iso)normen.
Normenkader IB opgedeeld in Clusters:
► Beleid en organisatie► Personeel en studenten ► Ruimten en apparatuur ► Continuïteit ► Toegangsbeveiliging en integriteit ► Controle en logging
6
Informatiebeveiliging in het po/vo
Hoe zat dat in het po/vo?
Het beschermen van de privacy van jonge kinderen staat hierbij voorop.
Ouders geven veel (persoons)gegevens in bruikleen aan de school. Zij moeten er op kunnen vertrouwen dat er zorgvuldig met de persoonsgegevens (privacy) van hun kinderen en hunzelf wordt omgegaan.
Wet bescherming persoonsgegevens en het vrijstellingsbesluit waren de basis voor het verwerken van (persoons)gegevens van leerlingen en hun ouders in het po/vo.
7
En dan is het 25 mei 2018Sinds 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving:
de Algemene Verordening Gegevensbescherming (AVG)
► Bevat basisregels voor het verwerken van persoonsgegevens. ► Niet alleen AVG naleven, maar ook kunnen aantonen dat je dat doet.► Aanvullende bepalingen rondom toestemming, DPIA, register voor
verwerkingsactiviteiten, meldplicht beveiligingsincidenten en registratieplicht ► Passende beveiliging waarborgen door de juiste technische en
organisatorische maatregelen te nemen. (art. 5f, 24 en 32)► ISO27001/2 wereldwijd erkende norm op het gebied van informatiebeveiliging
8
po/vo
► Gestart vanuit privacy
► Aanpak IBP van Kennisnet bevat formats en richtlijnen voor implementatie AVG
► ISO27001/2 is meegenomen in Aanpak IBP
► Aanpak IBP wordt uitgebreid met richtlijnen en formats IB
mbo en po/vo ontmoeten elkaar rondom IBPmbo
► Gestart vanuit informatiebeveiliging
► Normenkader en toetsingskader ontwikkelt op basis van ISO27001/2
► Implementatie AVG vanuit normenkader op basis van documenten in het Framework mbo van Sambo-ict.
► Normen- /toetsingskader IB uitgebreid met P
Zowel mbo als po/vo moeten AVG en ISO27001/2 kunnen onderbouwen
9
mbo en po/vo ontmoeten elkaar rondom IBPStatus zomer 2018:
mbo: Mbo-normenkader IB en P moet aangepast worden. Aansluiten op de AVG en opgenomen ISO-statements heroverwegen. Toetsingskader IBP moet eenvoudiger.
po/vo: Ondersteuning op gebied van informatiebeveiliging ontbreekt.
Initiatief: Werkgroep vanuit mbo, po en vo gaat toetsingskader IBP aanpassen zodat het voor de gehele sector bruikbaar wordt.
10
Uitgangspunten voor po/vo:
• Dezelfde cluster indeling en ISO-statements voor mbo en po/vo
• Volwassenheid op 2 niveaus beschrijven
• Het theoretisch kader is voor mbo en po/vo hetzelfde. Basis om aan te tonen of je in control bent
11
Resultaat• Toetsingskader IBP 4.0; 6 clusters aangevuld met privacycluster 7
• Vertaalslag van de ISO-statements naar een eenvoudige:
• Bewijslast wordt ondersteunt met praktische documenten: gehanteerd document vanuit de Aanpak 2.0
• Akkoord van de werkgroepen IBP vanuit de po- en vo-raad om dit kader in zijn hoedanigheid uit te werken tot sector breed kader.
• Documenten Aanpak 2.0 worden op basis van dit toetsingskader aangevuld met richtlijnen en formats voor informatiebeveiliging.
Elly DingemanseInformatiemanager en privacy officer
Hoe werkt het in de praktijkContinuïteit als voorbeeld
9 oktober 2019
Jordy van den ElshoutSr. Adviseur Informatiebeveiliging
2
Verschillende niveaus► Het toetsingskader kent verschillende
niveaus
► De Monitor IBP (2018): ► “Scholen zijn goed op weg met IBP”► Aandacht vereist op ‘Continuïteit’
► Welke beveiligingsmaatregelen kan je daarvoor treffen?
► Aan de hand van het vlinderdasmodel
3
Vlinderdasmodel
Preventief
Reactief
Gevolg
Gevolg
Gevolg
Oorzaak
Oorzaak
Oorzaak
Maatregelen
Preventief
Preventief
Reactief
Reactief
Maatregelen –
die klaar staanom de impact te
‘beperken’
Maatregelen –
die de kans op een incident
‘verkleinen’
X
4
Continuïteit: Preventieve maatregelen
Preventief
Reactief
Gevolg
Gevolg
Gevolg
Oorzaak
Oorzaak
Oorzaak
Maatregelen
Preventief
Preventief
Reactief
Reactief
X
Malware infectie
12.2.1 Bescherming tegen
Malware
Hardware defect
Misbruik account-gegevens
9.4.2Beveiligde inlog,
zoals 2FA
X17.2.1 Redundante
componenten
5
Continuïteit: Reactieve maatregelen
Preventief
Reactief
Gevolg
Gevolg
Gevolg
Oorzaak
Oorzaak
Oorzaak
Maatregelen
Preventief
Preventief
Reactief
Reactief
X
Versnelt handelen
16.1.5Respons op incidenten
Minimaliseert gegevensverlies
12.3.1 Back-up en/of
12.4.1 logfiles
17.1 Continuïteitsplan
Biedt ondersteuning
X
6
Vlinderdasmodel voor Continuïteit
X
Maatregelen
Preventief
Oorzaak
Oorzaak
Oorzaak
Preventief
Preventief
Malware infectie
12.2.1Bescherming tegen
Malware
Hardware defect
Misbruik account-gegevens
17.2.1Redundante
componenten
9.4.2Beveiligde inlog,
zoals 2FA
16.1.5Respons op incidenten
Minimaliseert gegevensverlies
Biedt ondersteuning
12.3.1 Back-up en/of
12.4.1 logfiles
17.1 Continuïteitsplan
Versnelt handelen
7
Verhoogt het niveau
Verstuur een incident als oefening
Controleer de benodigde middelen
Doorloop de stappen met het team
17.1.3 Continuïteit evalueren
Evalueer dit met het team
16.1.5Respons op incidenten
17.1.1 Continuïteitsplan
12.3.1 Back-up en/of 12.4.1 logfiles
1.
2.
3.
4.
5.
Calamiteit oefenen
Zorg voor verbeteracties; plan
een volgende oefening