Beveiliging elektronische informatie-uitwisseling met derden

filetransfer1. Inleiding

Hieronder een voorbeeld van een kader voor de beveiliging van elektronische informatie uitwisseling.

In het Beleidsdocument Informatiebeveiliging wordt duidelijk welk belang van de gegevensuitwisseling met derden wordt onderkend.
Informatiebeveiliging is daarom niet meer een zaak die zich beperkt tot de eigen interne bedrijfsprocessen maar zich steeds meer uitstrekt over de grenzen van de eigen organisatie heen.
Voor het leesgemak wordt deze bijlage verder aangeduid als het ‘Kader’.

2. Informatiebeveiliging

Informatiebeveiliging is het streven de beschikbaarheid, integriteit en exclusiviteit van de informatie te verzekeren. De onderstaande tabel geeft een overzicht van kenmerken en de mogelijke bedreigingen.

AspectKenmerkBedreiging
BeschikbaarheidTijdigheidVertraging
PrestatieWachttijden
ContinuïteitUitval
IntegriteitJuistheidWijziging
VolledigheidVerwijdering
Toevoeging
GeldigheidVerloochening *
Veroudering
EchtheidVervalsing
ExclusiviteitVertrouwelijkheidOnthulling
Misbruik

Tabel 1. Veiligheidsaspecten en hun bedreigingen

*) Onder “verloochenen” (repudiation) wordt verstaan:
indien een bericht (transactie) is verricht, kan de afzender ontkennen/verloochenen dat het bericht van hem/haar afkomstig is. Dit kan gekoppeld zijn aan bijvoorbeeld een elektronische handtekening.

Informatiebeveiliging kan gezien worden als onderdeel van de kwaliteitszorg. Algemene kwaliteitsaspecten zoals tijdigheid, juistheid, volledigheid en actualiteit hangen namelijk nauw samen met de beveiligingsaspecten beschikbaarheid, integriteit en exclusiviteit.

3. Derden

Onder “derden” verstaan:

  • alle in hoofdstuk 9 genoemde schillen met uitzondering van de binnenste schil (de organisatie);
  • alle in hoofdstuk 10 genoemde klanten;
  • het algemeen publiek.

De in de schillen genoemde partijen en de klanten worden samen relaties genoemd

(dus: derden -/- algemeen publiek).

4. Scope

De scope van de informatiebeveiliging wordt in onderstaande figuur weergegeven:

kaderAls de uitwisseling van informatie plaatsvindt met een bij de organisatie ingeschreven relatie strekt de scope van dit kader zich uit tot in het domein van de relatie. Dat wil zeggen dat in het kader eisen worden beschreven waaraan deze relatie moet voldoen.

Indien de uitwisseling van informatie plaatsvindt met het algemeen publiek dan zal het kader zich beperken tot de beveiliging tot op het koppelvlak met het publieke netwerk of internet.

Aan de kant de infrastructuur beperkt dit kader zich tot de elektronische communicatiesystemen van de organisatie. D.w.z. de webserver en de mailserver. Maatwerk informatiesystemen vallen buiten het kader omdat deze systemen vanuit de primaire processen van de organisatie zijn afgedekt.

De integriteit van de informatie die deze informatiesystemen produceren is geen onderwerp binnen dit kader. De beschikbaarheid van deze systemen zou wel een issue kunnen zijn. Immers, als de informatie-uitwisseling een beschikbaarheidseis kent en deze afhankelijk is van een informatiesysteem zal de eis vertaald moeten worden naar het systeem.

De beschikbaarheid hoort te zijn afgedekt door de SLA.

Het ‘Kader’ richt zich vooral op de informatie-uitwisseling met een regelmatig karakter dat betrekking heeft op de bedrijfsprocessen. Voor het persoonlijk e-mail- en internetgebruik van de medewerkers is een gedragscode opgesteld.

5. Doelstelling van informatiebeveiliging

In het ‘Kader’ is de doelstelling van de beveiliging:

  • de kwaliteit van de dienstverlening te waarborgen door de informatie-uitwisseling met derden zo in te richten dat de beschikbaarheid, integriteit en exclusiviteit van die informatie is gewaarborgd;
  • te voldoen aan alle wettelijke eisen;
  • de rechten van relaties te waarborgen;
  • te voorkomen dat de veiligheid van de interne informatievoorziening (binnen de organisatie) negatief wordt beïnvloed door de uitwisseling met derden.

6. Belang van informatiebeveiliging

Aan de hand van de doelstelling en tabel 1 kan bepaald worden wat er gebeurt als de doelstelling niet gerealiseerd wordt:

  • de elektronische dienstverlening is onbetrouwbaar en zal na korte periode niet meer benut worden; het PZ zal hierdoor een kanaal naar relaties gaan ontberen, een kanaal dat merkbaar steeds belangrijker wordt;
  • essentiële informatie is niet voorhanden, raakt verminkt, of komt in handen van onbevoegden; dit kan leiden tot imago schade, of zelfs schadeclaims (indien het om vertrouwelijke informatie gaat);
  • het PZ kan niet voldoen aan haar verplichtingen, schaadt de rechten van relaties en zou hiervoor aansprakelijk gesteld kunnen worden, hetgeen kan leiden tot financiële schade;
  • de interne informatievoorziening kan in gevaar worden gebracht door indringers en virussen.

7. Soorten informatie-uitwisseling

De volgende informatiestromen worden onderkend

Soort InformatiestroomInitia-tiefBron

Infor-matie

Bestem­mingBetrouwbaarheidseisen
 Beschik-baarheidIntegri­teitVertrouwe-lijk­heid
1Eenvoudige opvragingen en rapportages (online website)RelatieOrgani-satieAlg. publieklaaglaaglaag
2Eenvoudige opvragingen door abonnees, mag iedereen zien (online).

 

RelatieOrgani-satieRelatiesmiddenhooglaag
3Standaardrapportages en maatwerk met individuele gegevens (online)RelatieOrgani-satieRelatiesmiddenhooghoog:

userid, pw, encryptie

4Standaard rapportage met individuele (financiële) transactie gegevens (online). Bijvoorbeeld correspondentie over de status van subsidies en betalingenRelatieOrgani-satieRelatieshoog

 

hooghoog:

userid, pw, encryptie

5Periodieke rapportage met individuele gegevens (e-mail)OrganisatieOrgani-satieRelatieslaagmiddenhoog:

authentica­­tie dmv certificaten

6Het doen van aanvragen en bestellingen (incl. betalingen, online)RelatieAlg. publiekOrgani-satielaagmiddenlaag
7Aanleveren van informatie voor verwerking in informatiesystemen (online of e-mail)

Evt. koppelen aan interne bedrijfssystemen

RelatieRelatiesOrgani-satiehooghooghoog

Authenticatie op gewenste nive­au.

8. Leveranciers

In geval van outsourcing van Internetactiviteiten dienen de diensten van leveranciers getoetst te worden aan het beveiligingsbeleid. Met andere woorden, leveranciers dienen zich te conformeren aan het ’Kader’. Dit dient te zijn vastgelegd in een SLA dan wel zijn opgenomen in de leveringsvoorwaarden van de leverancier.

De volgende elementen moeten hierin tenminste zijn beschreven:

  • Een juridische afbakening van verantwoordelijkheden;
  • De toegang tot vertrouwelijke informatie en de ruimten van waaruit de service wordt verstrekt;
  • Het recht om audits uit te (laten) voeren op de service en de naleving van de overeenkomst.
  • De algemene policy t.a.v. informatiebeveiliging;
  • De bescherming van hardware en software inclusief verlies of wijziging van data, backup, integriteit, beschikbaarheid en ongeautoriseerde toegang;
  • De technische en functionele wijze waarop de toegang tot de service is geregeld voor gebruikers, eigenaar, beheerders en ICT-organisatie;
  • De performance criteria en de wijze waarop deze wordt gemeten en gerapporteerd.
  • De rapportage over het gebruik en de belasting van de service;
  • Een heldere rapportage structuur en overeengekomen rapportindeling;
  • De maatregelen tegen de bedreiging van programmatuur zoals virussen;
  • De signalering en rapportage van inbreuken op de beveiliging en pogingen daartoe

9. Beschrijving van de omgeving

In het omgevingsmodel zijn de volgende schillen in volgorde van affiniteit onderkend:

  • de organisatie – medewerkers – afdelingen
  • de bestuursleden en de bestuursleden benoemende organisaties
  • Ministeries en door de organisatie gesubsidieerde instellingen
  • de achterban van de bestuursleden benoemende organisaties

De contacten buiten de branche en de buitenlandse organisaties – zusterorganisaties in het buitenland – de (schrijvende) pers – “branchegenoten” in het buitenland – universiteiten en andere onderwijsinstellingen – studenten – zakelijke dienstverlening – etc.

Boeken over dit onderwerp

A Business Guide to Information Security

Auteur: Alan Calder
Data is van essentieel belang voor de informatie-economie – voor zowel individuen, bedrijven als schurken. Alle bedrijven lopen potentieel gevaar en zijn kwetsbaar. ‘A Business Guide to Information Security’ legt de vitale kwesties uit aan directeuren en managers – van adware, hackers en phishing tot spyware, virussen en zombies.
Europrijs: 18,99
Bestellen

IT Governance

Auteur: Alan Calder
‘IT Governance’ has been fully updated to take account of current cyber security and advanced persistent threats and reflects the latest regulatory and technical developments.
Europrijs: 49,99
Bestellen

Meer boeken over hacken vinden.


-- Printbare PDF-versie --


No votes yet.
Please wait...

Aanvullingen

Geef zelf een aanvulling.

Geef een aanvulling

Licentie: Creative Commons (Naamsvermelding/Gelijkdelen)

Checklisten: Geen
Sidebar