Deze procedure beschrijft het systematisch identificeren, beoordelen en behandelen van potentiële informatieveiligheidsrisico's voor DV, om zo de veiligheid van informatie en informatiesystemen te waarborgen, en om DV in staat te stellen weloverwogen keuzes te maken over informatieveiligheidsrisico's, waardoor de DV-doelstellingen kunnen gerealiseerd worden en voldaan kan worden aan wettelijke en andere vereisten.
Deze procedure beschrijft op welke manier het DV beleid Risicobeheerwordt uitgevoerd. Het risicobeheerproces kan worden samengevat in onderliggende figuur.
Het risicobeheerproces kan aldus worden opgesplitst in de volgende deelprocessen:
Analyse van de zakelijke omgeving,
Risicobeoordeling, en
Risicobehandeling.
Aanleiding en frequentie
Analyse van de zakelijke omgeving is het deelproces van het risicobeheer waarbij wordt bepaald welke informatieassets er bestaan en moeten worden behandeld. Informatieassets worden beheerd in een informatieasset-register. Er wordt minstens jaarlijks een herziening gemaakt van dit register. Het register wordt permanent aangepast voor projecten die nieuwe producten en diensten ontwikkelen en inrichten.
Activiteiten
Identificatie van bedrijfsprocessen
Voor een holistische aanpak, wordt eerst een analyse van de zakelijke omgeving van DV gemaakt, en wordt er bepaald welke de zakelijke processen zijn die informatieassets van DV beheren. Zowel de kernprocessen als ondersteunende processen zoals Marketing, HR etc. worden beschouwd. De ISA (“Information Security Architect” of Informatieveiligheidsarchitect) verzamelt informatie van verschillende bronnen binnen DV en stel een lijst op van kern- en ondersteunde processen voor DV. Hierbij werkt de ICA nauw samen met de de dienst Portfoliobeheer van DV en de PM (“Portfolio Manager” of Portfoliobeheerder) die werd aangewezen hiervoor, de afdelingshoofden van de afdelingen van DV, en de DV Risicomanager.
Identificatie van informatieassets
Voor elk van de kern- en ondersteunde processen van DV wordt bepaald door de ISA welke informatieassets beheerd worden in dat proces. Hierbij kan het nodig zijn, de processen nog in verdere detail te bekijken en verder op te delen in verdere deelprocessen, zodanig dat elk van de informatieassets kan worden bepaald. De ISA werkt hiervoor nauw samen met de afdelingsverantwoordelijken van elk van de afdelingen binnen DV, en met de PO’s (“Product Owners” of producteigenaars) van de individuele producten van DV. Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vo, om overheden te ondersteunen in hun digitale transformatie.
In het identificeren van informatieassets, zal de ISA verwarring voorkomen met applicaties of systemen. Vaak zal een enkel systeem of applicatie meerdere informatieassets bevatten. Informatieassets worden beschouwd als conceptueel gescheiden van, en bestaan onafhankelijk van, het systeem of de toepassing die ze bevat. Men kan daartoe een onderscheid maken tussen het eigenlijke (primaire) informatieasset, en de bouwstenen (of secundaire assets) waaruit het informatieasset bestaat. Type van secundaire assets die worden beschouwd zijn:
Hardware,
Software,
Service,
Data,
Fysieke locatie, en
Menselijke activa.
Hardware
Hardware zijn alle fysieke apparaten die informatie kunnen bevatten zoals:
PCs (desktops en laptops),
Servers,
Mainframe computers,
Randapparatuur (printers, scanners, copy machines, etc.),
Opslagmedia (USB-sticks, CDs, externe hard drives, back-up tapes, etc.),
Mobiele toestellen (telefoons, tablets, etc.)
Netwerk apparatuur (firewalls, switches, routers, hubs, access points, etc.),
Communicatie apparatuur (PBXs, etc.).
Apparaten die ITC hardware zijn, maar geen data bevatten zijn buiten het domein van risicobeheer.
Software
Met software wordt bedoeld de gecodeerde omgeving die informatie kan bevatten, dit kunnen zijn:
Toepassingen (ERP systemen, DMSs, CRM systemen, etc.),
Websites,
Mobile apps,
Office software (word processors, spreadsheets, e-mail, etc.)
Systeem softwares (operating systems, desktop images, etc.),
Programming softwares (development environments, test management software, compilers, etc.),
Drivers.
Data
Met data wordt bedoeld de gegevens (in fysische of elektronische vorm) die worden bewaard ofwel op zogenaamde gestructureerde wijze bevat in:
Databases (zoals financiële gegevens, HR gegevens, klantgegevens, etc.),
ofwel op zogenaamde niet-gestructureerde wijze zoals:
Contracten en overeenkomsten (bv. met klanten, partners, leveranciers, etc.),
E-mail en gewone post,
Logs,
Manuals (bv. voor training, uitvoer of onderhoud),
Interne documenten (bv. verslagen van meetings, rapporten, plannen, etc.),
Diverse persoonlijke documenten.
Diensten
Diensten geleverd door derden ter ondersteuning van bedrijfs- en ITC-processen, ter vervanging van interne middelen, kunnen gegevens beheren, zoals:
Cloud diensten zoals infrastructuur, platformen en/of toepassingen hosted door derden en beschikbaar via het internet,
Network diensten: het beheer en onderhoud van het interne bedrijfsnetwerk,
Monitoring diensten: monitoring van cloud en netwerk diensten,
Email en office diensten, een specifiek geval van email en office software in the cloud,
Remote help desk, troubleshooting and technische ondersteuning door derden,
Nutsbedrijven (elektriciteit, gas, etc.),
Postdiensten,
Consulting services voor business processen (IT, HR, Finance, etc.),
Software ontwikkeling door derden,
Training door derden,
Hardware installatie en onderhoud door derden.
Infrastructuur
Met infrastructuur wordt bedoeld de fysieke omgeving die relevant is voor de risicobeoordeling van het asset in scope, bijvoorbeeld een site, gebouw, lokaal, server room, etc.
Menselijke activa
Dit zijn de interne en externe medewerkers in het bedrijf, die toegang hebben tot de data voor de scope van de risicobeoordeling, zoals:
Top management (bv. directieleden, etc.),
Midden management (bv. coordinators, team leiders, project managers, etc.),
Interne medewerkers,
Externe medewerkers (bv. consultants, contractors, etc.),
Klanten en leveranciers
Anderen zoals externe auditors, bezoekers, etc.
Beheer van informatieassets
Voor elk informatieasset wordt een logische en herkenbare naam gekozen. Men moet voorkomen dat dezelfde informatie een onderdeel is van verschillende informatieassets.
De informatieassets worden door de ISA beheerd in een informatieasset-register dat als basis zal dienen voor een risicobeoordeling. Dit zelfde register wordt ook gebruikt om de Informatieklasse (IK) van elk informatieasset te beheren. Dit wordt beschreven in Proces - Informatieklassebepaling.
Voor elk informatieasset wordt de verantwoordelijke IAO (“Information Asset Owner” of informatieasset-eigenaar) binnen DV geïdentificeerd, zodat deze verder kan betrokken worden bij de risicobeoordeling. De IAO-rol valt vaak samen met de rol van PO. Het informatieasset-register wordt minstens jaarlijks en bij belangrijke wijzigingen herzien door de ISO (“Information Security Officer” ) van DV, en wordt minstens jaarlijks goedgekeurd door de CISO (“Chief Information Security Officer”) van DV.
Aanleiding en frequentie
Risicobeoordeling is het deelproces van het risicobeheer waarbij wordt bepaald hoe de risico’s voor een specifiek informatieasset moeten worden behandeld, door het aangeven van acties om het risico te mitigeren, overdragen, accepteren of verwijderen.
Een risicobeoordeling voor DV kan worden gestart:
ad hoc, als resultaat van een incident, belangrijke wijziging en/of audit observatie, of
vanuit een holistische benadering en identificatie van de het gehele informatieasset landschap voor DV, op basis van een analyse van de zakelijke omgeving en de oplijsting van de zakelijke processen voor DV.
Voor alle informatieassets geldt het volgende:
Voor elk informatieasset in het informatieasset-register met een Informatieklasse (IK) hoger dan 2, wordt een risicobeoordeling uitgevoerd door de IAO.
Projecten die nieuwe producten en diensten ontwikkelen, identificeren welke informatieassets worden toegevoegd aan het informatieasset-register. Voor deze informatieassets wordt door de IAO een IK-bepaling uitgevoerd, en indien de IK hoger is dan 2, wordt eveneens een risicobeoordeling uitgevoerd.
Alle risicobeoordelingen worden minimaal één keer per jaar herzien.
Bij grote functionele of technische aanpassingen wordt de risicobeoordeling herzien voor de betrokken informatieassets.
De geldigheid van de risicobeoordeling vervalt na één jaar geteld vanaf de laatste herziening. IAO’s dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun informatieassets en de correctheid van de informatieklasse, en actie te ondernemen wanneer nodig. De IAO kan beroep doen op een ISA op de risicobeoordeling te faciliteren en uit te voeren, maar blijft aansprakelijk.
Risicobeoordelingen kunnen ook worden opgestart door de ISA los van de jaarlijkse herziening bv. bij nieuwe of veranderende dreigingen, of bij het ontdekken van ernstige kwetsbaarheden in de beheersmaatregelen (bijv. niet gerepareerde security issues met software).
Activiteiten
Men kan een risicobeoordeling opsplitsen in de volgende deelprocessen:
Risico-identificatie
Risicoanalyse,
Risico-evaluatie
Dit kan schematisch worden weergegeven op de volgende figuur.
Elke risicobeoordeling wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
Risico-identificatie
Bepalen van het domein
Als eerste stap bij het uitvoeren van een risicobeoordeling wordt het juiste domein bepaald. Bij ad hoc gevraagde beoordelingen is het belangrijk dat de aanleiding om de analyse uit te voeren goed bekend is. Met de informatie uit deze stap kan de doelstelling van de risicobeoordeling worden vastgesteld en kunnen de juiste keuzes worden gemaakt met betrekking tot de bepaling van de context.
Wanneer de IAO een risicobeoordeling opstart, wordt de ISA gecontacteerd om de risicobeoordeling uit te voeren voor een gepast domein, eventueel door het groeperen van risicobeoordeling voor verschillende informatieassets.
De ISA bepaalt het gepaste domein van de risicobeoordeling, en dus welke informatieassets moeten beoordeeld worden (primaire en secundaire informatieassets). Vervolgens wordt de informatieklasse (IK) opgezocht voor elk informatieasset in het domein van de risicobeoordeling. De IK kan worden opgehaald uit het informatieasset-register. Indien het IK nog niet beschikbaar is, dient een IK-bepaling te gebeuren zoals beschreven in het proces Proces - Informatieklassebepaling. De IK zal later dienen als basis voor het berekenen van de impact van de geïdentificeerde dreigingen. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
Identificeren van dreigingen
Een risico wordt gedefinieerd als volgt: ‘De waarschijnlijkheid op het optreden van een dreiging met een gevolg op het behalen van de doelstellingen van een organisatie’.
Na het bepalen het domein, worden door de ISA alle potentiële dreigingen geïdentificeerd, vertrekkende vanuit de dreigingscataloog voor DV. Dit is een lijst van alle mogelijke dreigingen die van toepassing kunnen zijn op alle mogelijke informatieassets van DV. Het opstellen en onderhouden van de dreigingscataloog wordt beschreven in het beleid Dreigingen en kwetsbaarheden. De dreigingscataloog is een onderdeel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
Vanuit de dreigingscataloog worden door de ISA de generieke dreigingen afgeleid, die vervolgens worden vertaald naar specifieke dreigingen, gebaseerd op de informatieassets in het domein van de risicobeoordeling. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
Elk specifieke dreiging wordt door de ISA beschreven als: ‘Er bestaat een waarschijnlijkheid dat <beschrijft gebeurtenis> wordt veroorzaakt door <beschrijft oorzaak>'. Het gevolg van de dreiging op de organisatie wordt uitgedrukt door aan te duiden of de dreiging een impact heeft op de beschikbaarheid, integriteit en/of vertrouwelijkheid van de informatieassets.
Risico-analyse
Het in kaart brengen van de specifieke dreigingen voor het informatieasset, maakt het mogelijk om deze te analyseren door het inschatten van de waarschijnlijkheid dat een gebeurtenis optreedt, en de impact dat de dreiging kan hebben op de organisatie.
De analyse van de waarschijnlijkheid en de impact van elk geïdentificeerde bedreiging gebeurt aan de hand van gedefinieerde schalen (1 t/m 5). Om de subjectiviteit van de inschatting van een dreiging te beperken is afstemming binnen de organisatie en overleg met de eigenaar van het informatieasset, noodzakelijk.
Waarschijnlijkheid
De volgende tabel wordt gehanteerd bij het bepalen van de waarschijnlijkheid dat de dreiging optreedt. Deze inschatting moet worden uitgevoerd door de IAO, maar kan worden gefaciliteerd door de ISA, en gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
Impact
De impact dat een dreiging heeft op een informatieasset, wordt afgeleid van de IK van de informatieassets in het domein van de risicobeoordeling, zoals weergegeven in de volgende tabel. Deze berekening wordt door de ISA uitgevoerd en is geautomatiseerd en gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
De scores voor beschikbaarheid, integriteit en vertrouwelijkheid voor de risicobeoordeling worden bepaald als het maximum van de scores voor elk van de informatieassets in het domein van de risicobeoordeling. De score voor impact van de specifieke dreiging wordt dan berekend als het gemiddelde van de scores voor beschikbaarheid, integriteit en vertrouwelijkheid indien het informatieasset geen persoonsgegevens bevat. Indien het domein van de risicobeoordeling wél persoonsgegevens bevat, wordt de score bepaald door het maximum te nemen van de score voor vertrouwelijkheid, en het gemiddelde van de score voor beschikbaarheid en integriteit.
Indien nog geen IK werd bepaald, dan moet dit gebeuren vooraleer de risicobeoordeling kan worden verdergezet.
Risico Prioriteit Nummer (RPN)
Met behulp van het RPN kunnen dreigingen gerangschikt worden van groot naar klein. Het RPN wordt bepaald door waarschijnlijkheid en impact van een dreiging in bovenstaande schalen te vermenigvuldigen. Dus, RPN = waarschijnlijkheid x impact. Hierdoor krijgt men een inschatting van het inherent risico van een bedreiging, d.w.z. zonder rekening te houden met de beheersmaatregelen die van toepassing zijn en de effectiviteit hiervan. Deze berekening wordt door de ISA uitgevoerd en kan worden geautomatiseerd via het gebruik van een risicobeoordelingssjabloon.
Het inherent risico wordt afgeleid uit het RPN, en aangeven aan de hand van een gedefinieerde schaal (1 t/m 5) in de volgende tabel. Deze berekening wordt door de ISA uitgevoerd en is geautomatiseerd en gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
Dit kan ook worden afgebeeld in de volgende tabel.
Risico-evaluatie
Identificatie van implementatiemaatregelen
Uiteindelijk gaat risicobeheer over het effectief beheersen van dreigingen. Als organisatie moet je kunnen aantonen hoe je de belangrijkste dreigingen beheerst. In deze stap van de risicobeoordeling wordt gekeken welke implementatiemaatregelen er zijn en welke effectiviteit deze hebben.
Het identificeren van implementatiemaatregelen en hun effectiviteit wordt per specifieke dreiging besproken door de ISA met de IAO. Hiertoe kan als hulp worden gekeken naar:
Het type van de implementatiemaatregelen:
Organisatorisch,
Mensgericht,
Fysiek, of
Technologisch;
De functie van de implementatiemaatregelen:
Preventie,
Detectie, of
Correctie;
Het type van de implementatiemaatregelen:
Identificeren,
Beschermen,
Detecteren,
Reageren, of
Herstellen.
Ook kan worden gekeken naar een generieke lijst van beheersmaatregelen zoals bijvoorbeeld de ISO 27001 cataloog van beheersmaatregelen.
Voor elk van de implementatiemaatregelen wordt de effectiviteit bepaald door de IAO, aan de hand van een gedefinieerde schaal (1 t/m 5) zoals aangegeven in de volgende tabel. De inschatting van de effectiviteit moet worden uitgevoerd door de IAO, maar kan worden gefaciliteerd door de ISA. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
Bepalen van kwetsbaarheden en het restrisico
Het aanwezig zijn van een specifieke dreiging die kan optreden met een bepaalde waarschijnlijkheid, en de effectiviteit van de beheersmaatregelen, resulteert al dan niet in het activeren van een kwetsbaarheid voor de organisatie en het informatieasset in het domein van de risicobeoordeling. Hierbij moeten ook andere reeds bekende kwetsbaarheden in aanmerking genomen worden (bv. verouderde infrastructuur, kwetsbaarheden die voortkomen uit PEN-testen, etc.).
Een kwetsbaarheid wordt geassocieerd met een restrisico, nl. het risico dat overblijft nadat het effect van de beheersmaatregelen geëvalueerd werd en rekening gehouden werd met bekende kwetsbaarheden. Dit is het risico dat moet worden beheerd op basis van het risico-appetijt van de directie.
Het restrisico wordt beschreven aan de hand van een gedefinieerde schaal (1 t/m 5) en berekend door de ISA zoals aangegeven in de volgende tabel. Deze berekening wordt geautomatiseerd en gedocumenteerd via het gebruik van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
Het restrisico en de behandelingsprioriteit wordt uitgedrukt als:
Risicostrategie
Een risico dat in het groene of gele gebied zit vormt geen direct gevaar voor organisatie en hoeft niet noodzakelijk verder behandeld te worden. De behandeling van dit soort restrisico’s krijgt een lagere prioriteit. Een risico dat een score heeft die in het oranje gebied zit, vraagt om meer aandacht. Een risico in het rode gebied, vereist directe aandacht om te voorkomen dat de kwetsbaarheid wordt uitgebuit.
Voor risico’s met score 4 en 5 (oranje en rood), moeten acties worden gedefinieerd die één van de 4 mogelijke risicostrategieën implementeren, met name:
Mitigeren: het nemen van acties om het restrisico te verhinderen, te verminderen, af te zwakken of te matigen,
Overdragen: het overdragen van het risico op een andere organisatie, bv. door het inschakelen van een ICT-dienstverlener en door het afsluiten van diverse raamcontracten,
Vermijden: het risico elimineren van een risico door het stopzetten van de activiteiten die verband houden met het risico,
Accepteren: een aantal specifieke risico’s waarbij de beheersmaatregelen veel meer inzet en tijd vergen dan het effect van het risico worden geaccepteerd.
De IAO stelt een risicostrategie voor die wordt gedocumenteerd via het gebruik van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer. De IAO moet ervoor zorgen dat het risico verder wordt behandeld.
Risicoacceptatie is een bewuste beslissing om een geïdentificeerd en geëvalueerd risico te accepteren zonder aanvullende acties te nemen om het risico te mitigeren. Deze benadering wordt meestal gekozen wanneer de kosten voor het verminderen van het risico disproportioneel zouden zijn in vergelijking met de potentiële schade, of wanneer het risico binnen de vastgestelde tolerantiegrenzen van de organisatie valt. Het is een strategische keuze gedocumenteerd en goedgekeurd op een passend niveau binnen de organisatie. In geval van een risicoscore 4 en 5, betekent dit dat de directie van DV formeel akkoord gaat met het accepteren van het risico.
Risicoacceptatie is geen eenmalige actie, maar vereist continue monitoring om te verifiëren dat het risico binnen de aanvaardbare grenzen blijft en dat de context waarin het risico is geaccepteerd, niet significant is veranderd. De duur van risicoacceptatie is maximaal voor één jaar vastgesteld. Daarna wordt een herziening uitgevoerd.
Risicobehandeling is het deelproces van specifiëren, uitvoeren en opvolgen van acties om bijkomende maatregelen te implementeren om risico's te beheersen. Dit kan inhouden dat risico’s worden gemitigeerd, overgedragen, vermeden of geaccepteerd. Alle resultaten van de risicobeoordeling worden toegevoegd aan een risicoregister.
Aanleiding en frequentie
De risicobehandeling wordt gewoonlijk geïnitieerd op basis van de resultaten van de risicobeoordeling. Echter, wijzigingen in het risico-appetijt, de invoering van nieuwe maatregelen of andere relevante factoren kunnen aanpassingen in het behandelplan vereisen. Voortdurende monitoring van de uitvoering van dit plan is daarom van cruciaal belang.
Voor alle informatieassets geldt het volgende:
Projecten die nieuwe producten en diensten ontwikkelen en inrichten hebben een behandelplan gebaseerd op de uitkomst van hun risicobeoordeling.
Behandelplannen worden herzien bij veranderingen zoals de status van geplande mitigatie en verandering (van effectiviteit) van implementatiemaatregelen.
Een risicobeoordeling wordt opnieuw uitgevoerd bij significante functionele of technische veranderingen en/of nieuwe en veranderende dreigingen.
Activiteiten
Opstellen van een behandelplan
Voor alle restrisco’s met een score 4 en 5 wordt door de IAO een risicobehandeling voorgesteld op basis van de vier mogelijke opties: mitigatie, vermijding, overdracht en/of acceptatie. Elke risicobehandeling wordt vertaald in duidelijk acties met aanduiding van de verantwoordelijke en implementatiedatum. Het risicobehandelplan wordt gecommuniceerd aan de ISA en herzien door de ISO via het gebruik van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
Goedkeuring en rapportering
Het risicobehandelplan wordt gedeeld met alle betrokkenen en goedgekeurd door de CISO en het hoofd van elke betrokken afdeling via het gebruik van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.
Alle resultaten van de risicobeoordeling worden door de ISA toegevoegd aan een informatieveiligheid-risicoregister, zie Werkinstructies en sjablonen risicobeheer.
Het informatieveiligheid-risicoregister wordt maandelijks gerapporteerd door de ISA naar de DV risicomanager voor opname in het centrale DV risicoregister.
het informatieveiligheid-risicoregister wordt eveneens gerapporteerd en goedgekeurd door het DV directiecomité op kwartaalbasis via het informatieveiligheid-stuurorgaan.
De IAO rapporteert op kwartaalbasis de status van de acties in het behandelplan aan de ISA ter opvolging in het informatieveiligheid-risicoregister.
Zwembaandiagram
