Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Excerpt
nameInleiding

Informatieveiligheid is sterk afhankelijk van service management processen (beheerprocessen) om verschillende redenen. Service management speelt een cruciale rol bij het waarborgen van de integriteit, vertrouwelijkheid en beschikbaarheid van informatie binnen een organisatie. Beheersmaatregelen zijn immers impliciet onderdeel van processen en worden binnen deze processen uitgevoerd. Service management processen faciliteren daarmee de implementatie van informatieveiligheidsbeleid en -procedures. Ze helpen ervoor te zorgen dat alle medewerkers de vastgestelde richtlijnen volgen, wat essentieel is voor effectief informatieveiligheid. Service management processen zorgen ervoor dat beveiligingsmaatregelen consistent en gestandaardiseerd worden toegepast. Dit helpt om een uniforme aanpak te garanderen bij het beveiligen van gegevens en systemen, waardoor gaten en inconsistenties worden voorkomen.

Deze pagina IT service management bevat een verzameling van service management onderwerpen die een nauwe relatie hebben met informatieveiligheid en die niet zijn geadresseerd in aparte beleidsdomeinen. Toegangsbeheer en kwetsbaarhedenbeheer zijn ook service management processen, maar deze kennen hun eigen pagina’s binnen de beleidsdomeinen.

Inhoud

Table of Contents
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud
typelist
printabletrue
class

Doel

(blue star) DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

Filter by label (Content by label)
showLabelsfalse
maxCheckboxfalse
showSpacefalse
reversefalse
excerptTyperich content
cqllabel = "doelstellingen" and label = "itsm"

(blue star) DREIGINGEN

Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

Filter by label (Content by label)
showLabelsfalse
maxCheckboxfalse
sorttitle
showSpacefalse
reversefalse
cqllabel = "dreiging" and label = "itsm"

Beleid

IT service management (ITSM) gaat over het beheren van IT diensten. ITSM omvat een reeks processen en functies die samenwerken om IT diensten efficiënt en effectief te leveren aan de organisatie en haar gebruikers.

Er is een nauw verwantschap tussen ITSM en informatieveiligheid, een sterke samenwerking en integratie tussen beide is cruciaal voor het waarborgen van zowel effectieve IT diensten als robuuste informatiebeveiliging binnen de organisatie.

Asset- en Configuratiebeheer

Beheer van bedrijfsmiddelen (assets) heeft als hoofddoel om een volledig en actueel overzicht te hebben van alle assets en configuratie items in de organisatie. Dit overzicht is cruciaal voor andere processen zoals incidentbeheer, patch management, wijzigingsbeheer, enz.

Wat is het verschil tussen een asset en een configuratie item?

In IT beheer zijn assets alle bedrijfsmiddelen die waarde hebben voor een organisatie. Dit kan zowel tastbare zaken zijn, zoals hardware en software, als niet-tastbare zaken, zoals informatie en kennis. Configuratie items zijn een specifieke subset van assets. Ze zijn tastbare zaken die actief worden beheerd en gevolgd binnen IT beheerprocessen.

Wat is het belang van asset- en configuratiebeheer?

Asset- en configuratiebeheer is het proces van het creëren en onderhouden van een nauwkeurig en compleet overzicht van alle configuratie items in de organisatie.

De doelen van asset- en configuratiebeheer zijn:

  • Het beheren van een steeds veranderende IT-infrastructuur

  • Het voorkomen van ongeautoriseerde versies van configuratie-items (CI’s) in productie

  • Het vereenvoudigen van kwetsbaarheidsbeheer

  • Het opsporen van niet-geautoriseerde apparatuur of wijzigingen

Het beheer van assets en configuratie-items gebeurt in een Configuration Management System (CMS)

Panel
panelIconIdatlassian-info
panelIcon:info:
bgColor#FFFFFF

In de praktijk worden de termen Configuration Management System (CMS) en Configuration Management Database (CMDB) vaak door elkaar gebruikt. Het verschil tussen een CMS en een CMDB is dat een CMS een bredere term is die verwijst naar elk systeem dat wordt gebruikt om informatie over CI's te beheren. Een CMDB is een specifieke implementatie van een CMS die gebruik maakt van een database.

Registratie

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Registratie

Alle configuratie-items (CI's) MOETEN geïdentificeerd en geregistreerd worden in een Configuration Management System (CMS).

Voor elk configuratie-item MOETEN de volgende attributen vastgelegd worden:

  • Type

  • Service componenten

  • Informatieklasse

  • Versienummer

  • Licentie-informatie

  • Locatie

  • Relaties met andere configuratie-item

  • Relaties met andere services of organisatie

  • Eigenaar

  • Status

  • Beschikbare documentatie

  • Audit trail

Administratie

Beheer

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De CMS MOET altijd actueel zijn.

Alle wijzigingen aan configuratie-items MOETEN geregistreerd worden in de CMS.

Voor alle wijzigingen aan configuratie-items MOET passende documentatie beschikbaar zijn.

Er MOETEN procedures en werkinstructies beschikbaar zijn voor het afhandelen van nieuwe configuratie-items en wijzigingen aan bestaande configuratie-items.

Statusbewaking

De actuele en historische status van elk configuratie-item MOET geregistreerd worden.

De datum van elke statusverandering MOET geregistreerd worden.

Verificatie

De gegevens in de CMS MOETEN op regelmatige tijdstippen gecontroleerd worden of deze nog actueel zijn. De frequentie van verificatie is afhankelijk van de informatieklasse:

Informatieklasse 1 tem 3 (vertrouwelijkheid en integriteit)

  • Jaarlijks moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

  • Jaarlijks moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.

Informatieklasse 4 (vertrouwelijkheid en integriteit)

  • Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en).

  • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.

Informatieklasse 5 (vertrouwelijkheid en integriteit)

  • Viermaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en aan de DPO.

  • Tweemaal per jaar of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Capaciteitsbeheer

Capaciteitsbeheer is het proces van het plannen, implementeren, beheren en bewaken van de capaciteit van de IT-infrastructuur om aan de behoeften van de organisatie te voldoen. Het is een essentieel proces voor het garanderen van de beschikbaarheid, performantie en betrouwbaarheid van de IT-dienstverlening.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De behoeften van de organisatie aan capaciteit, als geheel en voor specifieke IT-infrastructuur, producten en diensten, MOETEN worden gedefinieerd en gemeten. Dit omvat zowel de huidige als toekomstige behoeften.

De capaciteit van de IT-infrastructuur MOET worden geanalyseerd om ervoor te zorgen dat deze voldoet aan de behoeften van de organisatie. Dit omvat zowel de huidige als toekomstige capaciteit.

Er MOETEN capaciteitsplannen worden ontwikkeld om ervoor te zorgen dat de IT-infrastructuur voldoende capaciteit heeft om aan de behoeften van de organisatie te voldoen. Deze plannen MOETEN regelmatig worden herzien om ervoor te zorgen dat ze aan de actuele behoeften voldoen.

De capaciteit van de IT-infrastructuur MOET worden gemonitord en bewaakt om ervoor te zorgen dat deze voldoet aan de capaciteitsplannen. Dit omvat het monitoren van de performantie, beschikbaarheid en betrouwbaarheid van de IT-infrastructuur.

Wijzigingsbeheer

Deze paragraaf beschrijft de maatregelen die dienen om de informatieveiligheid te behouden tijdens het uitvoeren van wijzigingen.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Nieuwe systemen en belangrijke wijzigingen van bestaande systemen MOETEN volgens overeengekomen regels en een formeel proces van documentatie, specificatie, testen, kwaliteitscontrole en beheerde implementatie te worden geïntroduceerd.

Verantwoordelijkheden en procedures voor beheer MOETEN worden vastgelegd om afdoende beheersing van alle veranderingen te waarborgen. 

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Procedures voor wijzigingsbeheer MOETEN worden gedocumenteerd en gehandhaafd om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in informatieverwerkende faciliteiten en informatiesystemen te garanderen gedurende de gehele ontwikkelcyclus van systemen, vanaf het begin van de ontwerpfase tot en met alle daaropvolgende onderhoudsinspanningen. 

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Waar mogelijk MOETEN de procedures voor wijzigingsbeheer voor ICT-infrastructuur en -software worden geïntegreerd. 

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

De procedures voor wijzigingsbeheer MOETEN het volgende te omvatten: 

  1. het plannen en beoordelen van de potentiële impact van wijzigingen, waarbij alle afhankelijkheden in aanmerking worden genomen; 

  2. autorisatie van veranderingen; 

  3. veranderingen aan relevante belanghebbenden communiceren; 

  4. tests en de aanvaarding van tests voor de veranderingen; 

  5. implementatie van veranderingen met inbegrip van inzetplannen; 

  6. nood- en voorzorgsoverwegingen, met inbegrip van vangnetprocedures; 

  7. registraties onderhouden van veranderingen waarin alle bovenstaande punten worden opgenomen; 

  8. waarborgen dat bedieningsdocumentatie en gebruikersprocedures indien nodig worden gewijzigd om ze toepasbaar te houden; 

  9. bewerkstelligen dat de plannen voor ICT-continuiteit en de respons- en herstelprocedures (zie ICT-continuïteit) worden gewijzigd naarmate nodig is om passend te blijven. 

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

Bij wijzigingen MOET versiebeheer worden gebruikt.

Elk gebruikt versiebeheer MOET volgens volgende regels opgesteld worden:  

  • Een versie nummer voor een ontwikkeling MOET bestaan uit 3 componenten  

    • MAJOR: wordt verhoogd bij nieuwe features of uitbreidingen die niet compatibel zijn bij de vorige MAJOR-versie;

    • MINOR: wordt verhoogd bij het toevoegen van functionaliteit die compatibel is met de huidige MAJOR-versie;  

    • PATCH: wordt verhoogd bij het toevoegen van bugfixes binnen de huidige MINOR.  

Bovenstaande versie-bouwstenen MOETEN samengevoegd worden tot het formaat: <MAJOR.MINOR.PATCH> 

Aanvullende labels voor prerelease (TNI, BETA, DEV) en build-metadata MOETEN toegevoegd worden aan het bovenstaande formaat. Voorbeelden van deze aanvullende labels in combinatie met bovenstaand formaat zijn:  

  • 1.0.0-alpha  

  • 1.2.1-beta.11  

  • 3.2.1-rc.1  

  • 2.2.1-beta.20042021.1  

Als versie raamwerk volgen we het Semantisch Versioning principe, zoals beschreven op http://semver.org.

Gebeurtenisbeheer

Gebeurtenisbeheer (event management) is het proces voor het detecteren, registreren, analyseren en reageren op gebeurtenissen die plaatsvinden in de ICT-infrastructuur. Het doel van event management is om de normale uitvoering van de ICT-infrastructuur te monitoren en onvoorziene omstandigheden te detecteren en te escaleren.

Event management is gebaseerd op gebeurtenissen die gedetecteerd worden door monitoring- of systeemtools. Deze gebeurtenissen kunnen bijvoorbeeld zijn:

  • Een fout in een applicatie

  • Een storing in een netwerkcomponent

  • Een abnormale toename van het CPU-gebruik

De gebeurtenissen die gedetecteerd worden, moeten relevant zijn voor de zakelijke of ICT-processen. Dit betekent dat ze een impact kunnen hebben op de beschikbaarheid, betrouwbaarheid of integriteit van deze processen.

Het is belangrijk om de juiste gebeurtenissen te selecteren voor event management. Dit kan gedaan worden op basis van drie criteria:

  • Detecteerbaarheid: De gebeurtenis moet detecteerbaar zijn met behulp van monitoring- of systeemtools.

  • Relevantie: De gebeurtenis moet relevant zijn voor de zakelijke of ICT-processen.

  • Actiemogelijkheid: Er moet een actie gedefinieerd kunnen worden in reactie op de gebeurtenis.

De bronsystemen of -toepassingen zijn verantwoordelijk voor het genereren van gebeurtenissen voor event management. Deze gebeurtenissen moeten geprioriteerd en gecategoriseerd worden door de bronsystemen.

De belangrijkste input van het bronsysteem voor het event management proces bestaat uit:

  • De criticiteit van het bronsysteem

  • De door het bronsysteem gegenereerde gebeurtenissen

  • De typering van de gebeurtenis (informatief, waarschuwing, uitzondering)

Event management beheert twee soorten gebeurtenissen:

  • Gebeurtenissen gegenereerd door het bronsysteem: Dit zijn de gebeurtenissen die oorspronkelijk door de bronsystemen of -toepassingen worden gegenereerd.

  • Het opvolgen van de beschikbaarheid en integriteit van deze gebeurtenissen: Dit omvat het controleren of de gebeurtenissen correct worden opgevangen door het event management proces en dat ze daadwerkelijk afkomstig zijn van het beoogde bronsysteem.

Logging

Het doel van deze implementatiemaatregel is om richtlijnen vast te stellen voor het aanmaken, verzamelen, beschermen en behandelen van logbestanden binnen de organisatie. Dit beoogt de integriteit, beschikbaarheid en vertrouwelijkheid van loggegevens te waarborgen en een effectieve monitoring en incidentrespons mogelijk te maken.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

  • Doel en inhoud van logbestanden:

    • De organisatie MOET het doel vaststellen waarvoor logbestanden worden aangemaakt.

    • De gegevens die in de logbestanden worden geregistreerd en de specifieke eisen voor het beschermen en behandelen van deze gegevens MOETEN worden gedocumenteerd.

  • Verzamelde gegevens in logbestanden:

    • Logbestanden van gebeurtenissen MOETEN, indien van toepassing, de volgende gegevens bevatten:

      • Gebruikersidentificaties

      • Systeemactiviteiten

      • Data, tijdstippen en details van relevante gebeurtenissen (bijvoorbeeld in- en uitloggen)

      • Identiteit van apparaten, identificatie van systemen en hun locatie

      • Netwerkadressen en -protocollen

  • Geregistreerde gebeurtenissen:

    • De volgende gebeurtenissen MOETEN in logbestanden worden vastgelegd:

      • Geslaagde en geweigerde pogingen om toegang te verkrijgen tot het systeem

      • Goedgekeurde en geweigerde gegevens en overige pogingen om toegang te verkrijgen tot informatiebronnen

      • Systeemconfiguratieveranderingen

      • Het gebruik van speciale bevoegdheden

      • Het gebruik van systeemhulpmiddelen en -toepassingen

      • Toegang tot bestanden en de soort toegang, inclusief het wissen van belangrijke gegevensbestanden

      • Alarmen die worden afgegeven door het toegangsbeveiligingssysteem

      • Activering en deactivering van beveiligingssystemen zoals antivirussystemen en inbraakdetectiesystemen

      • Het aanmaken, wijzigen of wissen van identiteiten

      • Transacties die door gebruikers in toepassingen zijn uitgevoerd, inclusief die welke door een derde partij worden verleend, geleverd of verzorgd

Melden van informatiebeveiligingsgebeurtenissen

Het doel van deze implementatiemaatregel is om alle medewerkers en gebruikers bewust te maken van hun verantwoordelijkheid om informatiebeveiligingsgebeurtenissen zo snel mogelijk te melden. Dit helpt om de impact van informatiebeveiligingsincidenten te voorkomen of tot een minimum te beperken.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

  • Verantwoordelijkheid voor melden:

    • Alle medewerkers en gebruikers MOETEN zich bewust zijn van hun verantwoordelijkheid om informatiebeveiligingsgebeurtenissen onmiddellijk te melden.

  • Situaties waarvoor meldingen vereist zijn:

    • Ondoeltreffende implementatiemaatregelen.

    • Schending van informatievertrouwelijkheid, -integriteit of verwachtingen.

    • Menselijke fouten.

    • Het niet naleven van het informatieveiligheidsbeleid, implementatiemaatregelen of toepasselijke normen.

    • Schending van fysieke beveiligingsmaatregelen.

    • Wijzigingen aan systemen die niet via het wijzigingsbeheerproces zijn doorgevoerd.

    • Storingen of ander afwijkend systeemgedrag van software of hardware.

    • Overtredingen van de toegangsregeling.

    • Kwetsbaarheden.

    • Vermoedelijke besmetting door malware.

  • Bijkomende richtlijnen voor medewerkers en gebruikers:

    • Medewerkers en gebruikers worden geadviseerd niet te proberen om de vermeende aanwezigheid van kwetsbaarheden op het gebied van informatiebeveiliging aan te tonen.

    • Het testen op kwetsbaarheden kan worden gezien als potentieel misbruik van het systeem en kan schade veroorzaken aan het informatiesysteem.

    • Dit kan ook digitaal bewijs corrumperen of aan het oog onttrekken, en kan leiden tot wettelijke aansprakelijkheid voor de persoon die de tests uitvoert.

Monitoren van activiteiten

Het doel van deze implementatiemaatregel is om de vertrouwelijkheid, integriteit en beschikbaarheid van de informatiesystemen binnen de organisatie te waarborgen door middel van een systematische en continue monitoring van activiteiten. Dit beoogt afwijkingen en bedreigingen tijdig te identificeren en de impact van informatiebeveiligingsincidenten te minimaliseren.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

  • Reikwijdte en niveau van monitoring:

    • De reikwijdte en het niveau van de monitoring MOETEN worden bepaald in overeenstemming met de toepasselijke informatieklasse en relevante wet- en regelgeving.

  • Registraties en bewaartermijnen:

    • De organisatie MOET registraties van de monitoring bijhouden gedurende gedefinieerde bewaartermijnen volgens de [beheer gebeurtenissen procedure].

  • Elementen van het monitoringsysteem:

    • De organisatie MOET waar mogelijk de volgende elementen in het monitoringsysteem opnemen:

      • Uitgaand en inkomend netwerk-, systeem- en toepassingsverkeer

      • Toegang tot systemen, servers, netwerkapparatuur, monitoringsystemen, essentiële toepassingen, enz.

      • Systeem- en netwerkconfiguratiebestanden op essentieel of beheerniveau

      • Logbestanden van beveiligingsinstrumenten zoals antivirus, IDS, IPS, webfilters, firewalls, en systemen voor het voorkomen van gegevenslekken

      • Logbestanden van gebeurtenissen met betrekking tot systeem- en netwerkactiviteit

      • Controle van de integriteit van de uitvoerende code

      • Gebruik van middelen (CPU, vaste schijven, geheugen, bandbreedte) en hun prestaties

  • Nullijn (baseline) voor normaal gedrag:

    • De organisatie MOET een nullijn voor normaal gedrag vaststellen en op afwijkingen monitoren. Bij het vaststellen van de nullijn wordt rekening gehouden met:

      • Het gebruik van systemen tijdens normale en piekperiodes

      • Het gebruikelijke tijdstip, de plaats en de frequentie van toegang voor elke gebruiker of gebruikersgroep

  • Configuratie van het monitoringsysteem:

    • Het monitoringsysteem MOET worden geconfigureerd om afwijkend gedrag te identificeren, zoals:

      • Ongeplande beëindiging van processen of toepassingen

      • Activiteiten gerelateerd aan malware of kwaadaardige IP-adressen

      • Bekende aanvalskenmerken (bijv. denial of service, bufferoverflows)

      • Ongebruikelijk systeemgedrag (bijv. het registreren van toetsaanslagen, procesinjectie)

      • Knelpunten en overbelasting (bijv. netwerkwachtrijen, latentieniveaus)

      • Pogingen tot onbevoegde toegang

      • Ongeoorloofd scannen van toepassingen en netwerken

      • Geslaagde en mislukte pogingen om toegang te krijgen tot beschermde bronnen

      • Ongebruikelijk gebruikers- en systeemgedrag

  • Continue monitoring:

    • Er MOET gebruik worden gemaakt van continue monitoring via een instrument dat realtime of met regelmatige tussenpozen de status van apparaten, processen of software vastlegt en evalueert.

  • Waarschuwings- en meldingssysteem:

    • Geautomatiseerde monitoringsoftware MOET meldingen geven op basis van vooraf gedefinieerde drempels via beheerconsoles, e-mails of instantmessagingsystemen.

    • Het waarschuwingssysteem MOET worden afgestemd op de nullijn van de organisatie om valspositieven tot een minimum te beperken.

  • Training en reactie van personeel:

    • Personeel MOET erop gericht zijn om op waarschuwingen te reageren en MOET voldoende getraind zijn om potentiële incidenten accuraat te interpreteren.

    • Er MOETEN redundante systemen en processen aanwezig zijn om waarschuwingsmeldingen te ontvangen en erop te reageren.

  • Communicatie van abnormale gebeurtenissen:

    • Abnormale gebeurtenissen MOETEN aan relevante partijen worden meegedeeld voor verbeteringen in audit, beveiligingsevaluatie, kwetsbaarheidsscans en monitoring.

  • Procedure voor tijdige reactie:

    • De organisatie MOET procedures hebben om tijdig te reageren op positieve indicatoren van het monitoringsysteem om de impact van nadelige gebeurtenissen op informatiebeveiliging te minimaliseren.

Incidentbeheer

Het incidentbeheerproces richt zich op het herstellen van normale IT-werking en het beantwoorden van vragen van gebruikers na storingen. Dit omvat zowel IT-incidenten als informatiebeveiligingsincidenten. Hoewel beide soorten incidenten gelijkaardige herstelstappen doorlopen, zijn er belangrijke verschillen:

ICT incident

Informatie veiligheidsincident

Definitie 

  • Vermindering of onderbreking van een ICT-dienst;

  • Niet kwaadwillig.

Aantasting van vertrouwelijkheid, integriteit of beschikbaarheid van de informatievoorziening;

  • Vaak kwaadwillig;

  • Of non-conformiteit met beleidslijnen.

Doel 

Herstel van de ICT-dienst

Herstel van de informatievoorziening

Scope 

ICT-dienstverlening 

Kan de volledige organisatie omvatten

Vaardigheden 

ICT-technologie

ICT en bijkomende kennis zoals juridisch, forensics, enz

In dit beleid richten we ons enkel op informatiebeveiligingsincidenten.

Plannen en voorbereiden van het beheer van informatiebeveiligheidsincidenten

Het doel van deze implementatiemaatregel is om een gestructureerde en effectieve aanpak te bieden voor het plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten. Dit beoogt duidelijkheid te verschaffen over rollen en verantwoordelijkheden, het vaststellen van processen en procedures, en het waarborgen van een snelle en gecoördineerde reactie op incidenten.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

  • Rollen en verantwoordelijkheden:

    • De organisatie MOET passende processen voor het beheer van informatiebeveiligingsincidenten opstellen.

    • Rollen en verantwoordelijkheden MOETEN duidelijk worden vastgesteld. Dit omvat de verantwoordelijkheden, benodigde toegang en duidelijke functiescheiding.

    • Er MOET een escalatiestructuur worden bepaald voor incidentcoördinatie.

    • De organisatie MOET een register met interne en externe belanghebbenden, inclusief relevante communicatieprotocollen onderhouden.

  • Definiëren van incident management processen:

    • Bij het definiëren van de incident management processen MOETEN de volgende aspecten worden overwogen en opgenomen:

      • Een gemeenschappelijke methode voor het melden van informatiebeveiligingsgebeurtenissen, inclusief een contactpunt.

      • Een proces voor het beheer van incidenten, inclusief beheer, documentatie, detectie, triage, prioritisering, analyse, communicatie en coördinatie van belanghebbenden.

      • Een proces voor het reageren op incidenten, inclusief beoordeling, respons en leren van incidenten.

  • Competent personeel:

    • Alleen competent personeel MAG kwesties behandelen die verband houden met informatiebeveiligingsincidenten. Dit personeel MOET voorzien worden van documentatie over de procedures en periodieke training.

    • Er MOET een proces worden opgesteld voor het identificeren van vereiste training, certificering en voortdurende professionele ontwikkeling van personeel dat de taak heeft om op incidenten te reageren.

  • Procedures voor incidentbeheer:

    • De organisatie MOET een methode voor prioritering vastleggen en communiceren naar alle incidentbeheerteamleden, goedgekeurd door het management.

    • Een plan voor het beheer van informatiebeveiligingsincidenten MOET worden opgesteld onder regie van het management, waarbij rekening wordt gehouden met verschillende scenario’s en procedures voor:

      • Het evalueren van informatiebeveiligingsgebeurtenissen.

      • Het monitoren, detecteren, classificeren, analyseren en melden van gebeurtenissen en incidenten.

      • Het beheren van incidenten tot ze volledig zijn afgehandeld, inclusief reactie, escalatie en communicatie.

      • Afstemming met interne en externe belanghebbenden.

      • Het registreren van incidentbeheeractiviteiten.

      • Het behandelen van bewijs conform de vereisten.

      • Analyse van de onderliggende oorzaak of post-mortemprocedures.

    • Specifieke procedures MOETEN worden opgesteld voor intern misbruik van bedrijfseigendom, datalekken, het melden aan het Centrum voor Cybersecurity België (CCB), en aanvallen zoals DoS/DDos en ransomware.

  • Meldings- en rapportageprocedures:

    • De organisatie MOET meldings- en rapportageprocedures onderhouden met de volgende aspecten:

      • De te treffen maatregelen in geval van een informatiebeveiligingsgebeurtenis.

      • Het gebruik van incidentenformulieren om personeel te ondersteunen bij het melden van incidenten.

      • Passende feedbackprocedures.

      • Het opstellen van rapportage over incidenten.

    • De organisatie ZOU moeten streven naar een enkele melding en rapportageprocedure waar nodig.

    • Een feedbackprocedure MOET worden opgezet en gevolgd, zodat de melder en belanghebbenden op de hoogte blijven van de voortgang en statuswijzigingen.

Beoordelen van en besluiten over informatiebeveiligingsincidenten

Het doel van deze implementatiemaatregel is om een gestructureerde en efficiënte aanpak te bieden voor het beoordelen, categoriseren en prioriteren van informatiebeveiligingsincidenten. Dit beoogt de risico's van beveiligingsincidenten te minimaliseren en een snelle en effectieve respons te waarborgen door het gebruik van een gestandaardiseerd schema binnen het incident managementsysteem.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

  • Categorisering en prioritering van incidenten:

    • De organisatie MOET een categoriserings- en prioriteringsschema voor informatiebeveiligingsincidenten opstellen en gebruiken binnen het incident managementsysteem.

    • Elk incident MOET worden gecategoriseerd en geprioriteerd volgens dit schema om een consistente en efficiënte aanpak te waarborgen.

  • Grenzen voor escalatie:

    • Het categoriserings- en prioriteringsschema MOET criteria bevatten voor escalatie naar:

      • Een hogere of lagere prioriteit.

      • Probleem- of crisissituaties.

      • Andere non-ICT afdelingen zoals juridische zaken en personeelszaken.

  • Verantwoordelijkheid voor incidentbeheer:

    • Personeel dat verantwoordelijk is voor het incidentbeheer MOET de categorisering en prioritering van incidenten uitvoeren volgens het opgestelde schema.

  • Wijziging van prioritering of categorisering:

    • Wanneer de prioritering of categorisering van een incident wordt gewijzigd, MOET dit verlopen volgens een opgestelde procedure. Dit zorgt voor consistentie en transparantie in het incidentbeheerproces.

Reageren op informatiebeveiligingsincidenten

Het doel van deze implementatiemaatregel is om ervoor te zorgen dat de organisatie snel en effectief reageert op informatiebeveiligingsincidenten. Dit beoogt de gevolgen van incidenten te minimaliseren, de integriteit van bewijsmateriaal te waarborgen en een gestructureerde en gecoördineerde aanpak te bieden voor incidentbeheer.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

  • Snelle reactie op incidenten:

    • De organisatie MOET met gepaste snelheid reageren op incidenten, in overeenstemming met vastgestelde procedures.

  • Initiëren van incidentbeheer:

    • Het monitoringproces MOET het incidentbeheer initiëren wanneer de vastgestelde normale waarden worden overtreden.

  • Aspecten van de reactie:

    • De systemen die door het incident worden getroffen inperken om uitbreiding van de gevolgen te voorkomen.

    • Zo snel mogelijk na het incident bewijs verzamelen.

    • Escaleren zoals vereist, inclusief crisisbeheersingsactiviteiten en mogelijk activeren van bedrijfscontinuïteitsplannen.

    • Zorgen dat alle betrokken responsactiviteiten op de juiste manier worden vastgelegd voor latere analyse.

    • Het bestaan van het informatiebeveiligingsincident of relevante details volgens het ‘need-to-know’-principe communiceren aan alle relevante interne en externe belanghebbenden.

    • Afstemmen met interne en externe partijen, zoals overheidsinstanties, belangengroepen, leveranciers en klanten, om de doeltreffendheid van de reactie te verbeteren en de gevolgen voor andere organisaties te helpen minimaliseren.

    • Het incident formeel afsluiten en registreren zodra het incident met succes is opgepakt.

    • Indien vereist, forensische analyse van de informatiebeveiliging uitvoeren.

    • Postincidentanalyse uitvoeren om de onderliggende oorzaak te identificeren en zorgen dat deze wordt gedocumenteerd en gecommuniceerd volgens gedefinieerde procedures.

    • Kwetsbaarheden en zwakke punten in de informatiebeveiliging identificeren en beheren, inclusief beheersmaatregelen die het incident hebben veroorzaakt, eraan hebben bijgedragen of het niet hebben voorkomen.

  • Escalatie bij misbruik:

    • Het incidentmanagementteam MOET bij vermoeden van (voortdurend) misbruik van bedrijfseigendommen of belanghebbenden direct het incident escaleren naar de door de incidentbeheerprocedure aangewezen afdelingen.

Verzamelen van bewijsmateriaal

Het doel van deze implementatiemaatregel is om duidelijke richtlijnen te bieden voor het verzamelen, beheren en bewaren van bewijsmateriaal met betrekking tot informatiebeveiligingsincidenten. Dit beoogt de integriteit van het bewijsmateriaal te waarborgen, zodat het kan worden toegelaten in disciplinaire en gerechtelijke procedures binnen verschillende rechtsgebieden.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

  • Ontwikkeling van interne procedures:

    • De organisatie MOET interne procedures ontwikkelen en volgen voor het omgaan met bewijs in het kader van disciplinaire en gerechtelijke stappen met betrekking tot informatiebeveiligingsincidenten.

    • Bij het opstellen van deze procedures MOETEN de eisen van verschillende rechtsgebieden in aanmerking worden genomen om de kans te maximaliseren dat het bewijs wordt toegelaten.

  • Beheer van bewijs:

    • Deze procedures MOETEN regels bevatten voor het beheren, verzamelen, verkrijgen en bewaren van bewijs, rekening houdend met de verschillende soorten opslagmedia, apparaten en de status van de apparaten (d.w.z. in- of uitgeschakeld).

  • Toelaatbaarheid van bewijsmateriaal:

    • Bewijsmateriaal MOET zodanig worden verzameld dat het toelaatbaar is voor bevoegde nationale rechters of andere disciplinaire fora.

    • Het MOET mogelijk zijn om aan te tonen dat:

      • Registraties volledig zijn en op geen enkele wijze zijn gemanipuleerd.

      • Kopieën van elektronische bewijsstukken waarschijnlijk identiek zijn aan de originelen.

      • Elk informatiesysteem waarvan bewijsmateriaal is verkregen correct werkte op het moment van vastlegging van het bewijsmateriaal.

  • Certificering van apparaten:

    • De organisatie MOET waar mogelijk apparaten certificeren of voorgecertificeerde apparaten aankopen om de integriteit en betrouwbaarheid van het bewijsmateriaal te waarborgen.

Leren van informatiebeveiligingsincidenten

Het doel van deze implementatiemaatregel is om een systematische benadering te bieden voor het kwantificeren, monitoren en analyseren van informatiebeveiligingsincidenten. Dit beleid beoogt de verbetering van het incidentbeheerplan, de actualisering van de risicobeoordeling en de implementatie van effectieve beheersmaatregelen om toekomstige incidenten te voorkomen en de impact ervan te minimaliseren.

Panel
panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
panelIcon:icon_beleidslijnen:
panelIconText:icon_beleidslijnen:
bgColor#F4F5F7

Implementatiemaatregel

  • Kwantificeren en monitoren van incidenten:

    • De organisatie MOET procedures opstellen om de soorten, volumes en kosten van informatiebeveiligingsincidenten te kwantificeren en te monitoren.

  • Verbetering van het incidentbeheerplan:

    • Het plan voor incidentenbeheer, inclusief incidentscenario's en -procedures, moet voortdurend worden verbeterd op basis van de verzamelde gegevens en analyses van incidenten.

  • Identificeren van terugkerende of ernstige incidenten:

    • Terugkerende of ernstige incidenten en de oorzaken ervan MOETEN worden geïdentificeerd om de risicobeoordeling van de informatiebeveiliging van de organisatie te actualiseren.

    • Op basis van deze identificatie MOETEN de nodige aanvullende beheersmaatregelen worden vastgesteld en geïmplementeerd om de waarschijnlijkheid of de gevolgen van soortgelijke incidenten in de toekomst te verkleinen.

  • Mechanismen voor dataverzameling:

    • Mechanismen MOETEN worden geïmplementeerd om informatie over soorten incidenten, volumes en kosten te verzamelen, kwantificeren en monitoren.

  • Integratie in trainingsprogramma:

    • Veelvoorkomende informatiebeveiligingsincidenten MOETEN worden verwerkt in het trainingsprogramma van de organisatie, met praktische voorbeelden om gebruikers beter voor te bereiden op incidenten.

  • Gebruikersvoorlichting:

    • De organisatie MOET gebruikers informeren over de beste reactie op incidenten door middel van voor gebruikers beschikbare (online) documentatie.

  • Monitoring van incidentbeheer:

    • De organisatie MOET het incidentbeheerproces voortdurend monitoren om verbeterpunten te identificeren en door te voeren.

  • Prestatie-indicatoren:

    • De organisatie MOET prestatie-indicatoren opstellen om verbetering inzichtelijk te maken en fouten in het algehele proces te corrigeren.

Appendix

Relatie van het beleid met andere richtlijnen en standaarden

Regelgeving en standaarden (L1)

ISO 27001:2022 (Annex A)

Page Properties Report
firstcolumnTitel
headingsBeheersmaatregel
sortByTitle
cqllabel = "iso" and label = "itsm" and space = currentSpace ( ) and ancestor = "6329502795"

Informatieclassificatieraamwerk van de Vlaamse overheid (L2)

Zie het ICR voor meer informatie: Webportaal of Confluence.

Document status

Titel

Auteur

Datum

Versie

Status

Opmerkingen

Beleid voor IT Service Management

Fabrice Meunier

01/06/2024

1.0

Status
colourPurple
titlefinaal CONCEPT

Page Properties
hiddentrue
idDS

Document status (Metadata)

Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister

Auteur

Fabrice Meunier

Status

Status
colourPurple
titleFINAAL CONCEPT

Versie

1.0

status opties:

Status
colourYellow
titleCONCEPT
Status
colourBlue
titleIN REVIEW
Status
colourPurple
titleFINAAL CONCEPT
Status
colourGreen
titleGEVALIDEERD
Status
colourRed
titleTE REVISEREN

status eveneens aanpassen bovenaan deze pagina