1 / 18

BORG & ICT voor het MKB

BORG & ICT voor het MKB. Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk. Doel en doelgroep. Doel beveiligingsmaatregelen eenvoudig selecteerbaar verbeterde totale beveiliging tegen relatief lagere kosten Gericht op continuïteit van organisatieprocessen

nerice
Download Presentation

BORG & ICT voor het MKB

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. BORG & ICT voor het MKB Maatregelen uit de Code voor Informatiebeveiliging in een BORG raamwerk

  2. Doel en doelgroep • Doel • beveiligingsmaatregelen eenvoudig selecteerbaar • verbeterde totale beveiliging tegen relatief lagere kosten • Gericht op • continuïteit van organisatieprocessen • ICT organisaties of afdelingen • MKB

  3. Integratie risicomanagement Personeel Materieel Informatie Financiën • brand • inbraak • diefstal • ... • ziekte • motivatie • kennis • ... • afluisteren • virus • hacker • ... • valuta • rente • claims • ... • Beleid • Organisatie • Selectie maatregelen • Toepassing maatregelen

  4. Risico’s materieel • Schade als percentage van omzet: 0.17% (bron: Jaarboek Beveiliging) • Kans op externe criminaliteit: 42% (bron: Stichting Trendmeter 1998) • Verdelingkansen (bron: Jaarboek Beveiliging)

  5. Risico’s informatie • Schade als percentage van omzet: 0.16% (bron: CSI/FBI 2001) • Verdelingschade (bron: CSI/FBI 2001)

  6. Materieel BORG onbevoegde indringing(inbraak, diefstal) Overige regelingen brand bliksem ... Informatie ICT hoog virussen stroomuitval brand / waterschade ICT midden diefstal gegevens door hacker diefstal computers uitval internet ICT laag niet zakelijk gebruik internet door mdws veranderen website Bedreigingen MKB (bron: Kwint 2002)

  7. Informatiebedreigingen MKB reëel? (bron: Kwint 2002, Crypsys 2003)

  8. Materieel 0.21% omzet(bron: Beveiligings jaarboek) Informatie 0.16% - 0.32% omzet (bron: Heliview 2002, Gartner 2001)(16% automatiserings-budget) Preventieve uitgaven voor beveiliging

  9. Conclusie informatiebeveiliging MKB • Passende maatregelen ontbreken veelal • afhankelijkheid van informatie niet onderkend • kennis maatregelen ontbreekt (bron: Kwint 2002) • MKB wil pragmatische hulp bij informatiebeveiliging Tijd voor BORG en CvIB (Code voor Informatiebeveiliging)?

  10. BORG kwaliteitssysteem erkenning beveiligingsbedrijven en -installaties Nationaal Centrum voor Preventie (NCP) CvIB beste praktijkmethoden voor bedrijfsleven NEN-norm, afgeleid van ISO-norm, verzameling informatiebeveiligings-maatregelen Min EZ / NNI Essentie BORG en CvIB

  11. BORG assets als te beschermen objecten risicoklassen eenvoudige bepaling risicoklasse elke maatregel heeft bepaalde zwaarte sommige maatregelen zijn uitwisselbaar certificering van installatie geeft premiereductie CvIB informatie als primair te beschermen ‘objecten’ BIV breed scala aan bedreigingen, risico’s en maatregelen onderscheid tussen objectgroepen mogelijk, met elk een passend beveiligingsregime certificering van proces mogelijk Bij integratie te behouden principes

  12. BORG bepalen BORG risicoklasse bepalen BORG maatregelclusters ICT bepalen ICT risicoklasse bepalen ICT maatregelclusters Stappen bij selectie van maatregelen • BORG & ICT • samenstellen maatregelmix

  13. BORG aard object(productiebedrijf, kantoor, …)5 - 8 pt ligging object(buiten, binnen gebied)4 - 6 pt waarde & attractiviteit goederen2 - 12 pt ICT aard automatisering (primair proces, onder-steunend proces, ...) 5 - 8 pt ligging automatisering(fysiek en logisch)4 - 6 pt waarde & attractiviteit info2 - 12 pt voor anderen (branche * info type) voor MKB (misbaarheid * herstelbaarheid) Bepaling risicoklassen indeling info type conform CBP

  14. BORG klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 - 20 pt klasse 4: > 20 pt ICT klasse 1: < 14 pt klasse 2: 14 - 17 pt klasse 3: 18 -20 pt klasse 4: > 20 pt Risicoklassenm.b.t. bedrijven en instellingen

  15. BORG organisatorisch bouwkundig elektronisch compartimentering meeneembeperking alarmopvolging ICT organisatorisch(beleid, IB organisatie, toezicht op naleving, ...) voorschriften(procedures, huisregels, bewustwording, ...) logische toegang(user ids, passwords, anti-virus, netwerk, firewall, …) continuïteit(UPS, back-up, calamiteitenplan, uitwijk,..) Maatregelen indeling

  16. BORG klasse 1: Bn of Bs+Es klasse 2: Bn+Es of Bs+Es+Cn klasse 3: Bz+En of Bs+En+Cn klasse 4: Bz+Ez of Bn+Ez+Cz ICT klasse 1: iO1+iV1+iL1+iC1 klasse 2: iO1+iV1+iL2+iC2 of … (6 pt) klasse 3: iO2+iV2+iL2+iC2 of … (8 pt) klasse 4: iO3+iV2+iL2+iC3 of … (10 pt) Maatregelclusters indeling niveaus conform Common Criteria

  17. Maatregelen CvIB • Voorbeeld • iO1 = eindverantwoordelijke IB, controle door de ‘lijn’, ... • iO2 = beleid, eigenaars bedrijfsmiddelen, overzicht bedrijfsmiddelen, opleiding & training IB, incidentmelding & afhandeling, interne audits, … • iO3 = beleidsreview, classificatie bedrijfsmiddelen, IB in functie-omschrijvingen, geheimhoudingsverklaring, screening vertrouwensfuncties, incidentrapportage, externe audits, ...

  18. Definitieve selectie maatregelenmix • Afweging ICT maatregelen tegen BORG maatregelen

More Related