Versions Compared

Version Old Version 1 New Version Current
Changes made by

Kenzo Vertenten (VO)

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

1.3.4.2.1. Inleiding

Informatieassets en ondersteunende assets

We definiëren een informatieasset als volgt: “Een informatieasset is een set informatie (bijvoorbeeld een businessproces, dienst of product) die waarde heeft voor de organisatie of het individu welke gedeeld of vastgelegd kan worden in elke vorm, zoals fysiek of digitaal.” 

Een informatieasset heeft dus een zekere waarde voor de organisatie en/of voor een individu (ingeval van persoonsgegevens).  Informatieassets worden verwerkt: ze worden aangemaakt, verzameld, opgeslagen, verwerkt, doorgegeven en/of verwijderd.  

Een informatieasset kan moeilijk op zichzelf bestaan. Het kan in de hoofden van mensen zitten en het kan dan gedeeld worden door erover te praten. Afgezien daarvan heeft het ondersteunende infrastructuur nodig, zoals servers, opslagcapaciteiten, databases, laptops, smartphones, … en netwerken om de informatieassets te delen. Dit zijn allemaal ondersteunende assets. Deze zijn niet minder belangrijk dan de informatieassets, maar hun hoofddoel is het juiste, tijdige en veilige verwerking van informatieassets mogelijk te maken. 

Samengevat: 

  1. Een entiteit beschikt over en verwerkt informatieassets; 

  1. Ondersteunende assets zorgen voor een veilige verwerking van informatieassets. Ondersteunende assets omvatten onder meer (de lijst is niet exhaustief): 

  • ICT en OT systemen, m.i. applicaties, zowel interne als externe systemen 

  • Fysieke locaties 

  • Medewerkers 

  • leveranciersrelaties 

ondersteunende assets en technische/organisatorische maatregelen 

Ondersteunende assets zijn belangrijk omdat ze mogelijk maken dat informatieassets verwerkt worden. Ondersteunende assets zijn vaak tastbaar en manipuleerbaar, het is dus belangrijk dat deze beveiligd zijn. Jammer genoeg komen ondersteunende assets vaak ook met kwetsbaarheden en zijn ze vatbaar voor allerlei dreigingen. Daarom is het nodig dat ondersteunende assets beveiligd worden door middel van de nodige technische en organisatorische maatregelen om zodoende de risico’s verbonden aan de verwerking van informatieassets terug te brengen naar een aanvaardbaar niveau. 

Het ICR definieert een set minimale maatregelen bestaande uit technische en organisatorische maatregelen. 

Minimale maatregelen en veiligheidsniveaus 

Technische en organisatorische maatregelen – minimale maatregelen in het ICR – moeten worden ingericht om de ondersteunende assets te beveiligen tegen welbepaalde risico’s. Deze minimale maatregelen zorgen aldus voor het broodnodige veiligheidsniveau (level of security). Dit veiligheidsniveau hangt af van de waarde van de betreffende informatieassets en de risico’s die gepaard gaan met het verwerken van diezelfde informatieassets, met andere woorden: de informatieklassen zijn een weergave van de waarde van een informatieasset en dit, samen met de risico’s, bepaalt welk veiligheidsniveau er nodig is voor de ondersteunende assets. Hoe hoger de informatieklassen en/of hoe hoger het risico, hoe hoger het veiligheidsniveau moet zijn. 

Om een gepast veiligheidsniveau te bereiken, moeten er dus gepaste technische en organisatorische maatregelen – minimale maatregelen in het ICR – genomen worden. Maar naast het selecteren van de juiste maatregelen is er nog een factor die het veiligheidsniveau beïnvloedt: de maturiteit van de genomen maatregelen. 

Laat ons daar verder op ingaan in volgende paragraaf. 

Maturiteit van maatregelen 

Je kan nog zo goed de juiste maatregelen gekozen hebben, als ze niet correct zijn ingericht, hebben ze niet of onvoldoende effect op de risico’s die we wensen te mitigeren. Het niet correct inrichten van maatregelen heeft aldus ook een negatief effect op het gewenste veiligheidsniveau.  

Daarom gebruikt het ICR verschillende maturiteitsniveaus bij het uitvoeren van risicoanalyses. Meer informatie hierover is te vinden in 1.4.1. Risicomethodiek.  

 

Hoe pakken we dit alles in het ICR aan? Dat leggen we uit in het volgende hoofdstuk.   

1.3.4.2.2. Van informatieklassebepaling naar selectie van de minimale maatregelen 

Inventarisatie en informatieklassebepaling 

Het ICR toepassen begint met een inventarisatie van alle significante informatieassets waarover een entiteit beschikt. De inventarisatie houdt ook in dat de ondersteunende assets geïdentificeerd en gedocumenteerd worden. Merk op dat in veel gevallen ondersteunende assets meerdere informatieassets verwerken, bijvoorbeeld een server kan meerdere toepassingen omvatten, een netwerk wordt gebruikt voor communiceren van meerdere informatieassets, enzovoort. 

Per informatieasset wordt dan de klasse bepaalt bepaald voor vertrouwelijkheid, integriteit en beschikbaarheid, deze klassen vertegenwoordigen de waarde van een informatieasset. Informatieklassebepaling doen we niet voor ondersteunende assets: de waarde van een ondersteunende asset vloeit voort uit de informatieassets die het verwerkt. 

De klasse van een informatieasset kan voor de drie kenmerken verschillen: een informatieasset kan een vertrouwelijkheidsklasse 1 hebben, een integriteitsklasse 3 en een beschikbaarheidsklasse 3. Dit is bijvoorbeeld zo voor publieke informatie die een entiteit via de website http://vlaanderen.be ter beschikking stelt. Deze informatie mag door iedereen gelezen worden (vertrouwelijkheidsklasse 1), maar het is belangrijk dat de informatie juist en betrouwbaar is (integriteitsklasse 3) en raadpleegbaar is wanneer de lezer dat wenst (beschikbaarheidsklasse 3). 

Om de entiteiten hierbij te helpen, werd een toolset samengesteld, met daarin onder andere beslisbomen en een selectietool. Deze vind je in hoofdstuk 8. Tools en op de website van Digitaal Vlaanderen.Met elk van de klassen komt een set minimale maatregelen overeen. De entiteit zorgt deze vind je op /wiki/spaces/ICR3/pages/7097289053

Bepalen van de minimale maatregelen 

We weten nu welke informatieassets er zijn en welke ondersteunende assets. De waarde (informatieklassen) van een informatieasset bepaalt het benodigde veiligheidsniveau van de ondersteunende assets. Om het beoogde veiligheidsniveau te bekomen, is er een set van minimale maatregelen gedefinieerd voor elk van de klassen voor vertrouwelijkheid, integriteit en beschikbaarheid. Of anders gezegd: het veiligheidsniveau van de ondersteunende assets wordt bepaald door de informatieklassebepaling van de informatieassets in kwestie en dit niveau wordt behaald door het inrichten van de bijhorende minimale maatregelen. Hoe hoger de informatieklasse, hoe hoger het veiligheidsniveau moet zijn, hoe strenger de minimale maatregelen. 

Het komt vaak voor dat een maatregel vertrouwelijkheid en/of integriteit en/of beschikbaarheid bedient. In dit geval wordt de maatregel voor de hoogste klasse toegepast. Een maatregel die uitsluitend vertrouwelijkheid of uitsluitend integriteit of uitsluitende beschikbaarheid afdekt, hoeft aan deze regel niet te voldoen. 

Toepassen van de minimale maatregelen 

De minimale maatregelen bestaan uit 2 delen: 

  1. Een ‘baseline’ gedeelte, dat door iedereen moet worden toegepast: 

  • De kernprocessen, deze zijn informatieklasse onafhankelijk;

  • Een set minimale maatregelen die informatieklasse afhankelijk zijn. 

  1. Een gedeelte dat ingericht wordt op basis van het ‘pas toe of leg uit’ principe. 

De kernprocessen en de maatregelen tot en met klasse 3 zijn aldus bindend: zij vormen samen de minimale baseline waaraan elke entiteit moet voldoen. Hier is dus enkel het ‘pas toe’ principe mogelijk. 

De kernprocessen moeten door alle entiteiten ingericht worden. Het gaat hier over de processen: 

  • Risicobeheer 

  • Asset- en configuratiebeheer 

  • veiligheidsmonitoring 

  • Beheer van incidenten 

  • Beheer van kwetsbaarheden 

De mate van inrichting van een kernproces hangt af van het beoogde veiligheidsniveau: 

  • In de baseline moeten de kernprocessen ingericht, gedocumenteerd, gevalideerd en regelmatig gereviewed worden; 

  • In het volgende niveau (voor CyFun is dit niveau ‘belangrijk’) moeten de kernprocessen geautomatiseerd worden en toezicht moet ingericht worden; 

  • In het volgende niveau (voor CyFun is dit niveau ‘essentieel’) moeten de kernprocessen geïntegreerd worden waar nodig.

Voor klasse 4 en 5 zorgt de entiteit voor een passend niveau van beveiliging voor elke geïnventariseerde informatieasset door middel van het ‘pas toe of leg uit’ principe:

  • Het toepassen van de minimale maatregelen zoals bepaald voor de informatieklasse van toepassing (‘pas toe’ principe).

  • Indien een minimale maatregel niet kan worden toegepast, dan moet er transparant gecommuniceerd worden (‘leg uit’ principe):

    • Ofwel voorziet de entiteit in een set van complementaire en/of alternatieve maatregelen die samen minstens een gelijkwaardig niveau van beveiliging bereikt. Deze afwijking van de minimale maatregelen moet gedocumenteerd worden en goedgekeurd door de hoogste instantie van de entiteit (leidend ambtenaar of gelijkwaardig).

    • Ofwel is een toepassing of evenwaardige maatregel niet mogelijk, dan moet er een zwaarwegende reden voorhanden zijn en die moet dan gedocumenteerd worden en goedgekeurd door de hoogste instantie van de entiteit (leidend ambtenaar of gelijkwaardig).

1.3.4.2.

...

3.  Levenscyclus

Eigenaars van informatie bekijken regelmatig of de informatieklasse nog steeds relevant en correct iszijn. Het topmanagement (leidend ambtenaar of directeur) is verantwoordelijk voor de informatie(verwerking) en dus aansprakelijk dat een periodieke evaluatie wordt uitgevoerd. Aan de entiteiten wordt aangeraden deze activiteit te integreren in haar hun veiligheidsplan.

De frequentie van deze oefening hangt af van de informatieklasse:

  • Informatieklasses 1, 2 en 3:

    • Minstens jaarlijks.

  • Informatieklasses 4 en 5:

    • Minstens jaarlijks,

    • Bij significante wijziging van de informatieverwerking

    • Bij significante wijzigingen in de criteria en/of maatregelen.

Een mogelijk gevolg van deze oefening is het bijsturen van organisatorische en technische maatregelen op data die nu anders ingeschaald is.

1.3.4.2.

...

4.  Link met risicobeheer

Informatiebeveiliging is geen doel op zich, maar beoogt de risico’s ten aanzien van vertrouwelijkheid, integriteit en beschikbaarheid te voorkomen of op z’n minst te verlagen tot een voor de organisatie aanvaardbaar niveau. Risicobeheer is dan ook een belangrijk concept binnen informatiebeveiliging.

Een risico-gebaseerde aanpak is dan ook de basis van het ICR. Voor informatieklassen 1 en 2 volstaat het implementeren van de minimale maatregelen, omdat deze inherent voldoen om de risico’s op deze informatieassets te mitigeren. Dat neemt niet weg dat een entiteit ook hier nog op basis van een risicoanalyse kan bepalen welke risico’s het al dan niet aanvaardt en welke maatregelen het hier tegenover stelt. Voor informatieklassen 3, 4 en 5 wordt risicobeheer echter expliciet gemaakt: hier volstaat het Het volstaat niet om de minimale maatregelen toe te passen maar , er is steeds een risicoanalyse en risicobehandeling bij de verwerking van deze informatie-assets vereist. Dit is de verantwoordelijkheid van de entiteit.

Meer over risicobeheer in de aparte paragraaf over 1.4. Risicobeheer 3.0 .

1.3.4.2.5. Link met Information Security Management System (ISMS)

Een Information Security Management System, kortweg ISMS, is een beheerssysteem op documentatie niveau 3 (zie hiervoor document Vo informatieclassificatie -  organisatie – informatieveiligheid) dat zorgt voor het borgen van informatieveiligheid. Het beschrijft hoe een organisatie omgaat met informatieveiligheidsrisico’s, gaande van identificatie tot het nemen van consistente veiligheidsmaatregelen.  

Het opzetten van een ISMS is verplicht binnen het kader van het ICR: alle entiteiten in scope van het ICR definiëren, documenteren en onderhouden een ISMS. Het ISMS zorgt minimaal voor: 

  • Om de cyberveerkracht te ondersteunen en de levering van kritieke diensten te beveiligen, moeten de nodige eisen worden vastgesteld, gedocumenteerd en de uitvoering ervan getest en goedgekeurd; 

  • De rollen, verantwoordelijkheden en bevoegdheden op het gebied van informatie- en cyberbeveiliging binnen de organisatie moeten worden gedocumenteerd, geëvalueerd, geautoriseerd en bijgewerkt en afgestemd op de andere interne rollen van de organisatie en die van externe partners.  

  • De minimale maatregelen, waaronder de beheersprocessen, worden verder uitgewerkt, gedocumenteerd, geïmplementeerd en regelmatig herbekeken, op maat van de organisatie.