• CONCEPT
  • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    Procedure risicobeoordeling

    De procedure risicobeoordeling voor Digitaal Vlaanderen (DV) beschrijft hoe DV informatieveiligheidsrisico's beoordeelt, in functie van geïdentificeerde dreigingen en de bestaande implementatiemaatregelen.

     

    Het proces risicobeoordeling kan geïllustreerd worden door middel van volgende figuur.

     

    image-20240523-134621.png

    Een risicobeoordeling houdt in dat men bekijkt welke dreigingen er zijn voor de aanwezige informatieassets in het domein van de beoordeling. Dreigingen treden op met een bepaalde waarschijnlijkheid en hebben een impact op de informatieassets, zodat men voor elke dreiging een inherent risico kan berekenen. De aanwezige implementatiemaatregelen kunnen al dan niet naarmate ze effectief zijn dat risico verminderen, zodat - tegelijkertijd rekening houdende met gekende kwetsbaarheden, kan komen tot de restrisico’s voor de informatieassets in het domein van de beoordeling.

    Het proces risicobeoordeling wordt verder beschreven in de volgende paragrafen.

    Na een risicobeoordeling volgt een risicobehandeling, waarbij men aangeeft welke acties moeten ondernomen worden in functie van de geïdentificeerde restrisico’s.

     

    Inhoud

     

    Starten van de risicobeoordeling

    Starten door de informatieasset-eigenaar

    De informatieasset-eigenaar (“Asset Owner” (AO)) start voor elk informatieasset met een informatieklasse (IK) hoger dan 2 een risicobeoordeling nadat de informatieklasse (IK) voor het informatieasset werd bepaald in het proces informatieklassebepaling, zie Proces - Informatieklassebepaling, en nadat een toetsing van maatregelen bevraging werd uitgevoerd, zie proces Proces - Toetsing van maatregelen.

    In het geval de AO een bestaande IKB herziet ten gevolge van de jaarlijkse herziening, dient ook de bestaande risicobeoordeling te worden herzien. Alle risicobeoordelingen worden minimaal één keer per jaar herzien, en/of bij grote functionele of technische aanpassingen, als gevolg van de informatieasset-dashboard herziening zoals beschreven in Proces - Informatieklassebepaling.

    De geldigheid van de risicobeoordeling vervalt na één jaar geteld vanaf de laatste herziening. AO’s dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun informatieassets en de correctheid van de informatieklasse, en actie te ondernemen wanneer nodig. De AO kan beroep doen op een informatieveiligheidsfunctionaris (“Information Security Officer” (ISO)) van Team Informatieveiligheid (TIV) om de risicobeoordeling te faciliteren, maar blijft aansprakelijk voor de uitvoering.

    Starten door Team Informatieveiligheid

    Risicobeoordelingen kunnen ook worden opgestart door een ISO los van de opstart door een AO. Dit zal gebeuren bij nieuwe of veranderende dreigingen, of bij het ontdekken van ernstige kwetsbaarheden in de beheersmaatregelen (bijv. niet gerepareerde security issues met software). Uitzonderlijk kan het ook zijn dat de ISO de volledige risicobeoordeling uitvoert, wanneer een risicobeoordeling wordt uitgevoerd niet op het niveau van een informatieasset, maar op een niveau dat informatieasset-overstijgend is (bijv. een nieuwe datacenter, een nieuw gebouw, of het migreren van on-prem servers naar de cloud), of wanneer de risicobeoordeling wordt uitgevoerd ten gevolge van een specifiek incident. In dat geval, zal niet het volledige proces doorlopen worden zoals hier beschreven, maar wordt ingezoemd op de specifieke omstandigheden van het incident, en worden dreigingen, maatregelen en risico’s beschreven in een formeel verslag door de ISO.

    Sjabloon

    Elke risicobeoordeling wordt gedocumenteerd bij voorkeur door middel van een standaard DV risicobeoordelingssjabloon dat door de ISO wordt ter beschikking gesteld. Indien door een AO een ander sjabloon wordt gebruikt (b.v. omwille van bestaande documenten), dient dit sjabloon conform te zijn met het beleid Risicobeheer in het ISMS, zie Risicobeheer en het gebruik ervan dient te worden besproken en goedgekeurd te worden door de ISO. In het bijzonder dienen de definities en berekeningen van het gebruikte sjabloon overeen te komen met wat in standaard risicobeoordelingssjabloon en het beleid wordt beschreven.

    De ISO stelt ook een handleiding ter beschikking voor het gebruik van het standaard risicobeoordelingssjabloon.

    Deelprocessen van de risicobeoordeling

    Men kan een risicobeoordeling opsplitsen in de volgende deelprocessen:

    • Risico-identificatie

    • Risicoanalyse,

    • Risico-evaluatie

    Dit kan schematisch worden weergegeven op de volgende figuur.

    image-20240319-125554.png

    Risico-identificatie

    Bepalen van het domein

    Als eerste stap bij het uitvoeren van een risicobeoordeling wordt het juiste domein bepaald. Bij ad hoc gevraagde beoordelingen is het belangrijk dat de aanleiding om de analyse uit te voeren goed bekend is. Met de informatie uit deze stap kan de doelstelling van de risicobeoordeling worden vastgesteld en kunnen de juiste keuzes worden gemaakt met betrekking tot de bepaling van de context.

    De AO contacteert een ISO via de mailbox security@vlaanderen.be om de risicobeoordeling uit te voeren voor een gepast domein, eventueel door het groeperen van risicobeoordeling voor verschillende informatieassets. De ISO bepaalt het gepaste domein van de risicobeoordeling, en dus welke informatieassets moeten beoordeeld worden. Vervolgens wordt de informatieklasse (IK) opgezocht voor elk informatieasset in het domein van de risicobeoordeling.  De IK kan worden opgehaald uit het informatieasset-dashboard. Indien het IK nog niet beschikbaar is, dient een IK-bepaling te gebeuren zoals beschreven in het proces Proces - InformatieklassebepalingDe IK zal later dienen als basis voor het berekenen van de impact van de geïdentificeerde dreigingen.

    Het domein van de risicobeoordeling wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon.

    Indien de risicobeoordeling wordt uitgevoerd voor meerdere informatieassets moet steeds in onderstaande tekst de indicatie AO gelezen worden als alle AO's voor de informatieassets in het domein.

    Indien de risicobeoordeling wordt uitgevoerd door een ISO op een niveau dat informatieasset-overstijgend is zoals voor een bepaald project, dan moet in onderstaande tekst de indicatie AO gelezen worden als de verantwoordelijke voor het domein van de risicobeoordeling.

    Een risicobeoordeling kan worden uitgevoerd op het niveau van technische assets, organisatorische of fysieke assets cfr de definities in Procedure informatieklassebepaling .

    Selecteren van dreigingen

    Een risico wordt gedefinieerd als volgt: ‘De waarschijnlijkheid op het optreden van een dreiging met een gevolg op het behalen van de doelstellingen van een organisatie’.

    Na het bepalen van het domein van de risicobeoordeling, worden door de ISO alle potentiële dreigingen geïdentificeerd, vertrekkende vanuit de dreigingscataloog voor DV.  Dit is een lijst van alle mogelijke dreigingen die van toepassing kunnen zijn op alle mogelijke informatieassets van DV. De dreigingscataloog wordt jaarlijks door TIV herzien door een analyse te maken van het algemene informatieveiligheidslandschap en in het bijzonder de verschillende “best practices” en raamwerken te evalueren m.b.t. informatieveiligheid dreigingen. Deze analyse gebeurt door een taakgroep binnen TIV. De dreigingscataloog wordt formeel gepubliceerd en gevalideerd als onderdeel van het beleid, zieDreigingen.

    Elke dreiging heeft de volgende attributen:

    • ID: een uniek identificatie-nummer van de dreiging;

    • Bedreiging: een omschrijving van de gebeurtenis;

    • Oorzaak: een omschrijving wat de gebeurtenis heeft veroorzaakt;

    • Categorie;

    • Niveau;

    • Impact van de dreiging op beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie;

    • Gerelateerde ISO 27001 beheersmaatregelen die de dreiging adresseren.

    Om een risico-analyse te beperken tot relevante dreigingen conform het domein van de risicobeoordeling, kan worden geselecteerd welke categorie en welk niveau van dreigingen moet worden beschouwd.

    Volgende categorieën bestaan:

    • Verantwoordelijkheid,

    • Continuïteit en betrouwbaarheid van systemen,

    • Menselijk handelen,

    • Toegang tot informatie,

    • Uitwisselen en bewaren van informatie,

    • Wet- en regelgeving,

    • Incidentafhandeling,

    • Fysieke beveiliging, en

    • Bedrijfscontinuïteit.

    Volgende niveaus bestaan:

    • Entiteit,

    • Afdeling, en

    • Asset.

    Specifieke dreigingen en identificatie van maatregelen

    Door het selecteren van welke niveau en welke categorie van dreigingen men wil analyseren, wordt vanuit de dreigingscataloog door de ISO de generieke dreigingen geselecteerd die worden meegenomen in de risicobeoordeling. Het gevolg van de dreiging op de organisatie wordt uitgedrukt door aan te duiden of de dreiging een impact heeft op de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie m.b.t. het domein van de risicobeoordeling.

    Deze generieke dreigingen worden vervolgens vertaald naar specifieke dreigingen voor het domein van de risicobeoordeling. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon.

    Elk specifieke dreiging wordt door de ISO beschreven als: ‘Er bestaat een waarschijnlijkheid dat <beschrijft gebeurtenis> wordt veroorzaakt door <beschrijft oorzaak>'.

    Vervolgens dient de AO aan te geven welke implementatiemaatregelen bestaan die elk van de specifieke dreigingen adresseert. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon.

    Risico-analyse

    Het in kaart brengen van de specifieke dreigingen voor het domein dat wordt beoordeeld, maakt het mogelijk om deze te analyseren door het inschatten van de waarschijnlijkheid dat een dreiging optreedt, en de impact dat de dreiging kan hebben op de organisatie.

    De analyse van de waarschijnlijkheid en de impact van elk geïdentificeerde dreiging gebeurt aan de hand van gedefinieerde schalen (1 t/m 5).  Om de subjectiviteit van de inschatting van een dreiging te beperken is afstemming binnen de organisatie en overleg met de AO noodzakelijk.

    Waarschijnlijkheid

    De volgende tabel wordt gehanteerd bij het bepalen van de waarschijnlijkheid dat de dreiging optreedt. Deze inschatting moet worden uitgevoerd door de AO, maar kan worden gefaciliteerd door de ISO, en wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon.

    Impact

    De impact dat een dreiging heeft op een informatie-asset, wordt afgeleid van de IK van de informatieassets in het domein van de risicobeoordeling, zoals weergegeven in de volgende tabel. Deze berekening wordt door de AO uitgevoerd en is geautomatiseerd en gedocumenteerd door middel van het DV risicobeoordelingssjabloon.

    De scores voor beschikbaarheid, integriteit en vertrouwelijkheid voor de risicobeoordeling worden bepaald als het maximum van de scores voor elk van de informatieassets in het domein van de risicobeoordeling. De score voor impact van de specifieke dreiging wordt dan berekend als het gemiddelde van de scores voor beschikbaarheid, integriteit en vertrouwelijkheid indien het domein geen persoonsgegevens bevat.  Indien het domein van de risicobeoordeling wél persoonsgegevens bevat, wordt de score bepaald door het maximum te nemen van de score voor vertrouwelijkheid, en het gemiddelde van de score voor beschikbaarheid en integriteit.

    Indien nog geen IK werd bepaald, dan moet dit gebeuren vooraleer de risicobeoordeling kan worden verdergezet.

    Risico Prioriteit Nummer (RPN)

    Met behulp van het RPN kunnen dreigingen gerangschikt worden van groot naar klein. Het RPN wordt bepaald door waarschijnlijkheid en impact van een dreiging in bovenstaande schalen te vermenigvuldigen. Dus, RPN = waarschijnlijkheid x impact.  Hierdoor krijgt men een inschatting van het inherent risico van een bedreiging, d.w.z. zonder rekening te houden met de beheersmaatregelen die van toepassing zijn en de effectiviteit hiervan.  Het inherent risico wordt vervolgens afgeleid uit het RPN, en aangeven aan de hand van een gedefinieerde schaal (1 t/m 4) in de volgende tabel. Deze berekening wordt door de AO uitgevoerd en is geautomatiseerd en gedocumenteerd door middel van het DV risicobeoordelingssjabloon.

    Dit berekening kan worden afgebeeld in de volgende tabel.

    Risico-evaluatie

    Maturiteit van beheersmaatregelen

    Uiteindelijk gaat risicobeheer over het effectief beheersen van dreigingen. Als organisatie moet je kunnen aantonen hoe je de belangrijkste dreigingen beheerst. In deze stap van de risicobeoordeling wordt gekeken welke beheersmaatregelen er bestaan en welke maturiteit deze hebben.

    Het identificeren van beheersmaatregelen en hun maturiteit wordt per specifieke dreiging besproken door de ISO met de AO, en gebeurt op basis van de toetsing van maatregelen die door de AO werd uitgevoerd. Indien geen toetsing van maatregelen werd uitgevoerd, dient dit eerst te gebeuren, zie proces Proces - Toetsing van maatregelen. Men dient de toetsing van maatregelen uit te voeren voor technische, organisatorische en/of fysieke maatregelen conform aan het domein van de risicobeoordeling.

    De huidige implementatiemaatregelen worden per dreiging gedocumenteerd door middel van het DV risicobeoordelingssjabloon. De toetsing van maatregelen vragenlijst bevat een referentie naar de ISO maatregelen. Het sjabloon Risicobeoordeling bevat in het tabblad “Dreiging x beheersmaatregel” een crossreferentie tussen dreigingen en maatregelen. Op die manier kan de toetsing van maatregelen bevraging gelinkt worden aan de dreigingen en de maturiteit van de beheersmaatregelen.

    De maturiteit van de implementatiemaatregelen werd ingeschat door de ISO, aan de hand van een gedefinieerde schaal (1 t/m 5) zoals aangegeven in de volgende tabel als deel van het proces Proces - Toetsing van maatregelen en werd reeds gedocumenteerd door middel van het sjabloon toetsing van maatregelen.

    Bepalen van kwetsbaarheden en het restrisico

    Het aanwezig zijn van een specifieke dreiging die kan optreden met een bepaalde waarschijnlijkheid, en de maturiteit van de beheersmaatregelen, resulteert zo in een kwetsbaarheid voor de organisatie en de informatieassets in het domein van de risicobeoordeling.  Hierbij moeten ook andere reeds bekende kwetsbaarheden in aanmerking genomen worden (bv. verouderde infrastructuur, kwetsbaarheden die voortkomen uit pentesten, etc.).

    De AO beschrijft de kwetsbaarheden in het DV risicobeoordelingssjabloon.

    Elke kwetsbaarheid is geassocieerd met een restrisico, nl. het risico dat overblijft nadat de maturiteit van de beheersmaatregelen geëvalueerd werd en rekening gehouden werd met bekende kwetsbaarheden.  Dit is het risico dat verder moet worden beheerd op basis van het risico-appetijt van de directie. 

    Het restrisico wordt beschreven aan de hand van een gedefinieerde schaal (1 t/m 4) en berekend door de ISO zoals aangegeven in de volgende tabel. Deze berekening wordt geautomatiseerd en gedocumenteerd via het gebruik van het DV risicobeoordelingssjabloon.

    Het restrisico en de behandelingsprioriteit wordt uitgedrukt als:

     

    Een risico dat in het groene of gele gebied zit vormt geen direct gevaar voor DV en hoeft niet noodzakelijk verder behandeld te worden. De behandeling van dit soort restrisico’s krijgt een lage prioriteit. Een risico dat een score heeft die in het oranje gebied zit, vraagt om meer aandacht. Een risico in het rode gebied, vereist directe aandacht om te voorkomen dat de kwetsbaarheid wordt uitgebuit.

    Risicostrategie

    Om een risico te behandelen kunnen acties worden gedefinieerd die één van de 4 mogelijke risicostrategieën implementeren, met name:

    • Mitigeren: het nemen van acties om het restrisico te verhinderen, te verminderen, af te zwakken of te matigen,

    • Overdragen: het overdragen van het risico op een andere organisatie, bv. door het inschakelen van een ICT-dienstverlener en door het afsluiten van diverse raamcontracten,

    • Vermijden: het risico elimineren door het stopzetten van de activiteiten die verband houden met het risico,

    • Accepteren: een aantal specifieke risico’s waarbij de beheersmaatregelen veel meer inzet en tijd vergen dan de impact van het risico, kunnen worden geaccepteerd.

    De AO moet ervoor zorgen dat elk risico verder wordt behandeld zoals wordt beschreven in het proces risicobehandeling, zie Proces - Risicobehandeling.

    De ISO noteert in het informatieasset-dashboard dat een risicobeoordeling werd uitgevoerd en stuurt de risicobeoordeling naar de AO ter herziening.

    De risicobeoordeling wordt herzien door de AO en nadien gevalideerd door het relevante afdelingshoofd dat verantwoordelijk is voor het asset.

    Voor kwetsbaarheden met een risico van 4-hoog of 5-kritisch (overeenkomend met een RPN groter dan of gelijk aan 10) moet de AO in het risicobeoordelingssjabloon een referentie opgeven naar een item in het risicobeoordelingsplan dat wordt opgesteld, het proces risicobehandeling, zie Proces - Risicobehandeling.

     

    Document status

     

    Titel

    Auteur

    Datum

    Versie

     

    Titel

    Auteur

    Datum

    Versie

     

    Procedure risicobeoordeling

    Guido Calomme

    19/03/2024

    1.0

    1.0

    Procedure risicobeoordeling

    Guido Calomme

    23/05/2024

    1.1

     

     

     

    Dit is een document voor publiek gebruik.