null


Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 27 Next »

De procedure risicobeoordeling voor Digitaal Vlaanderen (DV) beschrijft hoe DV informatieveiligheidsrisico's beoordeeld, in functie van geïdentificeerde dreigingen en de bestaande implementatiemaatregelen.

Inhoud

Starten van de risicobeoordeling

Starten door de producteigenaar

Risicobeoordeling is het deelproces van het risicobeheer waarbij wordt bepaald hoe de risico’s voor een specifiek product moeten worden ingeschat, zodanig dat deze nadien kunnen worden behandeld in het deelproces risicobehandeling.

Voor elk product met een Informatieklasse (IK) hoger dan 2, wordt een risicobeoordeling uitgevoerd door de producteigenaar (PO). Een risicobeoordeling voor een product wordt geïnitieerd nadat de informatieklasse (IK) voor het product werd bepaald in het proces informatieklassebepaling, zie Proces - Informatieklassebepaling, en nadat de technische toetsing van maatregelen (TTM) bevraging werd uitgevoerd, zie proces Proces - Toetsing van maatregelen.

In het geval de PO een bestaande IKB herziet ten gevolge van de jaarlijkse herziening, dient ook de bestaande risicobeoordeling te worden herzien. Alle risicobeoordelingen worden minimaal één keer per jaar herzien, en/of bij grote functionele of technische aanpassingen, als gevolg van de product-dashboard herziening zoals beschreven in Proces - Informatieklassebepaling.

De geldigheid van de risicobeoordeling vervalt na één jaar geteld vanaf de laatste herziening. PO’s dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun producten de correctheid van de informatieklasse, en actie te ondernemen wanneer nodig. De PO kan beroep doen op een ISO op de risicobeoordeling te faciliteren en uit te voeren, maar blijft aansprakelijk.

Starten door informatieveiligheid

Risicobeoordelingen kunnen ook worden opgestart door een ISO los van de opstart door een PO. Dit zal gebeuren bij nieuwe of veranderende dreigingen, of bij het ontdekken van ernstige kwetsbaarheden in de beheersmaatregelen (bijv. niet gerepareerde security issues met software). Het kan ook zijn dat de ISO de volledige risicobeoordeling uitvoert, wanneer een risicobeoordeling wordt uitgevoerd niet op het niveau van een product, maar op niveau dat product overstijgend is (bijv. een nieuwe datacenter, een nieuw gebouw, of het migreren van on-prem servers naar de cloud).

Deelprocessen van de risicobeoordeling

Men kan een risicobeoordeling opsplitsen in de volgende deelprocessen:

  • Risico-identificatie

  • Risicoanalyse,

  • Risico-evaluatie

Dit kan schematisch worden weergegeven op de volgende figuur.

Elke risicobeoordeling wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.

Risico-identificatie

Bepalen van het domein

Als eerste stap bij het uitvoeren van een risicobeoordeling wordt het juiste domein bepaald. Bij ad hoc gevraagde beoordelingen is het belangrijk dat de aanleiding om de analyse uit te voeren goed bekend is. Met de informatie uit deze stap kan de doelstelling van de risicobeoordeling worden vastgesteld en kunnen de juiste keuzes worden gemaakt met betrekking tot de bepaling van de context.

Wanneer de PO een risicobeoordeling opstart, wordt de ISO gecontacteerd om de risicobeoordeling uit te voeren voor een gepast domein, eventueel door het groeperen van risicobeoordeling voor verschillende producten. De ISO bepaalt het gepaste domein van de risicobeoordeling, en dus welke producten moeten beoordeeld worden. Vervolgens wordt de informatieklasse (IK) opgezocht voor elk product in het domein van de risicobeoordeling.  De IK kan worden opgehaald uit het product-dashboard. Indien het IK nog niet beschikbaar is, dient een IK-bepaling te gebeuren zoals beschreven in het proces Proces - Informatieklassebepaling.  De IK zal later dienen als basis voor het berekenen van de impact van de geïdentificeerde dreigingen.

De risicobeoordeling wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.

Indien de risicobeoordeling wordt uitgevoerd voor meerdere producten moet steeds in onderstaande tekst de indicatie PO gelezen worden als alle PO's voor de producten in het domein.

Indien de risicobeoordeling wordt uitgevoerd door een ISO op niveau dat product overstijgend is zoals voor een bepaald project, dan moet in onderstaande tekst de indicatie PO gelezen worden als de verantwoordelijke voor het domein van de risicobeoordeling.

Identificeren van dreigingen

Een risico wordt gedefinieerd als volgt: ‘De waarschijnlijkheid op het optreden van een dreiging met een gevolg op het behalen van de doelstellingen van een organisatie’.

Na het bepalen het domein, worden door de ISO alle potentiële dreigingen geïdentificeerd, vertrekkende vanuit de dreigingscataloog voor DV.  Dit is een lijst van alle mogelijke dreigingen die van toepassing kunnen zijn op alle mogelijke producten van DV. Het opstellen en onderhouden van de dreigingscataloog wordt beschreven in het beleid Kwetsbaarhedenbeheer. De dreigingscataloog is een onderdeel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.

Vanuit de dreigingscataloog worden door de ISO de generieke dreigingen bepaald die van toepassing zijn op het domein van de risicobeoordeling. Deze generieke dreigingen worden vertaald naar specifieke dreigingen voor het domein van de risicobeoordeling. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.

Elk specifieke dreiging wordt door de ISO beschreven als: ‘Er bestaat een waarschijnlijkheid dat <beschrijft gebeurtenis> wordt veroorzaakt door <beschrijft oorzaak>'. Het gevolg van de dreiging op de organisatie wordt uitgedrukt door aan te duiden of de dreiging een impact heeft op de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie m.b.t. het domein van de risicobeoordeling.

Risico-analyse

Het in kaart brengen van de specifieke dreigingen voor het domein dat wordt beoordeeld, maakt het mogelijk om deze te analyseren door het inschatten van de waarschijnlijkheid dat een dreiging optreedt, en de impact dat de dreiging kan hebben op de organisatie.

De analyse van de waarschijnlijkheid en de impact van elk geïdentificeerde dreiging gebeurt aan de hand van gedefinieerde schalen (1 t/m 5).  Om de subjectiviteit van de inschatting van een dreiging te beperken is afstemming binnen de organisatie en overleg met de PO noodzakelijk.

Waarschijnlijkheid

De volgende tabel wordt gehanteerd bij het bepalen van de waarschijnlijkheid dat de dreiging optreedt. Deze inschatting moet worden uitgevoerd door de PO, maar kan worden gefaciliteerd door de ISO, en wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.

Impact

De impact dat een dreiging heeft op een informatieasset, wordt afgeleid van de IK van de informatieassets in het domein van de risicobeoordeling, zoals weergegeven in de volgende tabel. Deze berekening wordt door de PO uitgevoerd en is geautomatiseerd en gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.

De scores voor beschikbaarheid, integriteit en vertrouwelijkheid voor de risicobeoordeling worden bepaald als het maximum van de scores voor elk van de producten in het domein van de risicobeoordeling. De score voor impact van de specifieke dreiging wordt dan berekend als het gemiddelde van de scores voor beschikbaarheid, integriteit en vertrouwelijkheid indien het informatieasset geen persoonsgegevens bevat.  Indien het domein van de risicobeoordeling wél persoonsgegevens bevat, wordt de score bepaald door het maximum te nemen van de score voor vertrouwelijkheid, en het gemiddelde van de score voor beschikbaarheid en integriteit.

Indien nog geen IK werd bepaald, dan moet dit gebeuren vooraleer de risicobeoordeling kan worden verdergezet.

Risico Prioriteit Nummer (RPN)

Met behulp van het RPN kunnen dreigingen gerangschikt worden van groot naar klein. Het RPN wordt bepaald door waarschijnlijkheid en impact van een dreiging in bovenstaande schalen te vermenigvuldigen. Dus, RPN = waarschijnlijkheid x impact.  Hierdoor krijgt men een inschatting van het inherent risico van een bedreiging, d.w.z. zonder rekening te houden met de beheersmaatregelen die van toepassing zijn en de effectiviteit hiervan.  Deze berekening wordt door de PO uitgevoerd en is geautomatiseerd via het gebruik van het risicobeoordelingssjabloon.

Het inherent risico wordt afgeleid uit het RPN, en aangeven aan de hand van een gedefinieerde schaal (1 t/m 5) in de volgende tabel. Deze berekening wordt door de PO uitgevoerd en is geautomatiseerd en gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.

Dit kan ook worden afgebeeld in de volgende tabel.

Risico-evaluatie

Identificatie van implementatiemaatregelen

Uiteindelijk gaat risicobeheer over het effectief beheersen van dreigingen. Als organisatie moet je kunnen aantonen hoe je de belangrijkste dreigingen beheerst. In deze stap van de risicobeoordeling wordt gekeken welke implementatiemaatregelen er zijn en welke effectiviteit deze hebben.

Het identificeren van implementatiemaatregelen en hun effectiviteit wordt per specifieke dreiging besproken door de ISO met de PO, en gebeurd op basis van de TTM vragenlijst die door de PO werd ingevuld. Indien geen TTM werd uitgevoerd, dient dit eerst te gebeuren, zie proces Proces - Toetsing van maatregelen.

De effectiviteit van de implementatiemaatregelen wordt de effectiviteit bepaald door de PO, aan de hand van een gedefinieerde schaal (1 t/m 5) zoals aangegeven in de volgende tabel. De inschatting van de effectiviteit moet worden uitgevoerd door de PO, maar kan worden gefaciliteerd door de ISO. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.

Bepalen van kwetsbaarheden en het restrisico

Het aanwezig zijn van een specifieke dreiging die kan optreden met een bepaalde waarschijnlijkheid, en de effectiviteit van de beheersmaatregelen, resulteert al dan niet in het activeren van een kwetsbaarheid voor de organisatie en de producten in het domein van de risicobeoordeling.  Hierbij moeten ook andere reeds bekende kwetsbaarheden in aanmerking genomen worden (bv. verouderde infrastructuur, kwetsbaarheden die voortkomen uit PEN-testen, etc.).

De ISO beschrijft de kwetsbaarheden in het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling.

Een kwetsbaarheid wordt geassocieerd met een restrisico, nl. het risico dat overblijft nadat het effect van de beheersmaatregelen geëvalueerd werd en rekening gehouden werd met bekende kwetsbaarheden.  Dit is het risico dat moet worden beheerd op basis van het risico-appetijt van de directie. 

Het restrisico wordt beschreven aan de hand van een gedefinieerde schaal (1 t/m 5) en berekend door de ISO zoals aangegeven in de volgende tabel. Deze berekening wordt geautomatiseerd en gedocumenteerd via het gebruik van het DV risicobeoordelingssjabloon, zie Sjablonen risicobeoordeling door de ISO.

Het restrisico en de behandelingsprioriteit wordt uitgedrukt als:

Risicostrategie

Een risico dat in het groene of gele gebied zit vormt geen direct gevaar voor organisatie en hoeft niet noodzakelijk verder behandeld te worden. De behandeling van dit soort restrisico’s krijgt een lagere prioriteit. Een risico dat een score heeft die in het oranje gebied zit, vraagt om meer aandacht. Een risico in het rode gebied, vereist directe aandacht om te voorkomen dat de kwetsbaarheid wordt uitgebuit. 

Voor risico’s met score 4 en 5 (oranje en rood), moeten acties worden gedefinieerd die één van de 4 mogelijke risicostrategieën implementeren, met name:

  • Mitigeren: het nemen van acties om het restrisico te verhinderen, te verminderen, af te zwakken of te matigen,

  • Overdragen: het overdragen van het risico op een andere organisatie, bv. door het inschakelen van een ICT-dienstverlener en door het afsluiten van diverse raamcontracten,

  • Vermijden: het risico elimineren van een risico door het stopzetten van de activiteiten die verband houden met het risico,

  • Accepteren: een aantal specifieke risico’s waarbij de beheersmaatregelen veel meer inzet en tijd vergen dan het effect van het risico worden geaccepteerd.

De PO moet ervoor zorgen dat het risico verder wordt behandeld, dit wordt verder beschreven in het proces risicobehandeling, zie Proces - Risicobehandeling.

De ISO noteert in het product-dashboard dat een risicobeoordeling werd uitgevoerd en stuurt de de risicobeoordeling naar de PO ter herziening.

De risicobeoordeling wordt herzien door de PO en nadien gevalideerd door het afdelingshoofd en/of de team coach van de PO.

Voor kwetsbaarheden met een score van 4 of 5 moet de PO en of TC een referentie opgeven naar een item in het risicobeoordelingsplan dat wordt opgesteld, het proces risicobehandeling, zie Proces - Risicobehandeling.

  • No labels