Richtlijn voor het melden van veiligheidsincidenten

Richtlijn voor het melden van veiligheidsincidenten
Information Security Guidelines
Versie: 1.00
20 juni 2014
ISMS
(Information Security Management System)
Richtlijn voor het melden van
veiligheidsincidenten
Version control – please always check if you are using the latest version.
Doc. Ref. :isms.051.security incident escalation directive.nl.v.1.0
Release
Status
Date
Written by
FR_1.0
Final
01/06/2014
Alain Houbaille
Edited by
Approved by
Opmerking: In dit document werd rekening gehouden met de opmerkingen die geformuleerd werden door een
werkgroep waaraan de volgende personen hebben deelgenomen: de heer Bochart (KSZ), Costrop (Smals), Lévêque
(RJV), Houbaille (KSZ), Petit (FBZ), Perot (RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (RSZPPO),
Van der Goten (RIZIV).
Richtlijn voor het melden van veiligheidsincidenten
Information Security Guidelines
Versie: 1.00
20 juni 2014
INHOUDSOPGAVE
1.
INLEIDING ........................................................................................................................................................... 3
2.
SCOPE ................................................................................................................................................................. 3
3.
DOELGROEP ........................................................................................................................................................ 3
4.
POLICY INZAKE BEHEER VAN VEILIGHEIDSINCIDENTEN ....................................................................................... 3
4.1. DOELSTELLINGEN ..................................................................................................................................................... 3
4.2. WAT IS EEN VEILIGHEIDSINCIDENT? ............................................................................................................................. 3
4.3. BESLISSINGSCRITERIA ................................................................................................................................................ 4
4.3.1.
Definitie van de criteria voor het melden van een incident ........................................................................ 4
4.3.2.
Tabel inzake prioriteiten ............................................................................................................................. 5
4.4 CLASSIFICATIE VAN VEILIGHEIDSINCIDENTEN ........................................................................................................................ 5
5.
EIGENAAR VAN HET DOCUMENT ........................................................................................................................ 8
6.
REFERENTIES ....................................................................................................................................................... 8
7.
BIJLAGE A: LINK MET DE ISO-NORM 27002 ......................................................................................................... 8
P2
Richtlijn voor het melden van veiligheidsincidenten
Information Security Guidelines
Versie: 1.00
1.
20 juni 2014
Inleiding
Dit document maakt deel uit van de veiligheidspolicy's van de sociale zekerheid en is gelinkt aan diverse andere
policy's en procedures waarvan het integraal deel uitmaakt. Dit document heeft betrekking op de vereisten van de
minimale norm 13 met betrekking tot het beheer van incidenten op het vlak van informatieveiligheid.
Het omvat een classificatie van de veiligheidsincidenten, zoals die gebruikt wordt door de instellingen van sociale
zekerheid. Deze classificatie wordt gebruikt in het proces van beheer van veiligheidsincidenten en levert duidelijke
richtlijnen omtrent het melden van incidenten binnen de sociale zekerheid.
2.
Scope
Deze policy omvat de richtlijnen omtrent het melden van veiligheidsincidenten binnen de sociale zekerheid op
basis van een classificatie van dergelijke incidenten.
3.
Doelgroep
Deze policy is van toepassing op alle instellingen van sociale zekerheid.
4.
Policy inzake beheer van veiligheidsincidenten
4.1. Doelstellingen
De policy inzake beheer van veiligheidsincidenten heeft als belangrijkste doelstellingen :
•
•
de incidenten inzake informatieveiligheid classificeren,
waarborgen dat de betrokkenen op de hoogte gebracht worden van gebeurtenissen en fouten inzake
informatieveilligheid.
4.2. Wat is een veiligheidsincident?
Elke ongewenste en/of onverwachte gebeurtenis met een betekenisvolle of mogelijke impact op de
informatieveiligheid voor wat betreft de criteria van beschikbaarheid, integriteit, betrouwbaarheid en
onweerlegbaarheid.
P3
Richtlijn voor het melden van veiligheidsincidenten
Information Security Guidelines
Versie: 1.00
20 juni 2014
4.3. Beslissingscriteria
In de tabellen hieronder worden de beslissingscriteria gedefinieerd op basis waarvan het prioriteitsniveau voor het
nemen van actie wordt bepaald voor elk scenario van veiligheidsincident vermeld in punt 4.4.
4.3.1.
Definitie van de criteria voor het melden van een incident
Waarde
1
Prioriteit - Ernst van het incident - Melden van het veiligheidsincident
3
De veiligheidsconsulent van de instelling moet minstens via een periodieke
rapportering (bv. statistiek) op de hoogte worden gebracht.
2
De veiligheidsconsulent van de instelling wordt nog de dag zelf op de hoogte
gebracht. De veiligheidsconsulent vergewist zich ervan dat het
veiligheidsincident zo snel mogelijk aangepakt wordt.
1
De veiligheidsconsulent wordt zo snel mogelijk op de hoogte gebracht. De
veiligheidsconsulent vergewist zich ervan dat de veiligheidsdienst van de
Kruispuntbank en de verantwoordelijke van het extranet verwittigd werden en
dat er dringende maatregelen werden getroffen (“Major” incident in de zin
van de norm:”Beheer van incidenten in verband met
informatieveiligheid”).
Niveau
2
Dringendheid = mate van verspreiding van het incident of de gevolgen
L
Geïsoleerd veiligheidsincident
M
Veiligheidsincident dat zich snel kan verspreiden binnen de instelling
H
Veiligheidsincident waarvan de gevolgen zich snel kunnen verspreiden naar
andere instellingen van sociale zekerheid
Niveau
L
M
H
Potentiële impact
•
Beperkte impact op operationeel niveau (beschadiging IV-resources),
•
weinig gebruikers zijn getroffen,
•
geen impact op het imago van de instelling
•
Matige impact op operationeel niveau (reële beschadiging van de IVresources, risico van wijziging of verlies van informatie),
•
redelijk aantal getroffen gebruikers,
•
potentieel risico van impact op het imago van de instelling
•
Grote impact op operationeel niveau (aantasting van de IV-resources,
schending van de vertrouwelijkheid, ...),
•
groot aantal getroffen gebruikers,
•
ernstige aantasting van het imago van de instelling.
1
Prioriteit 3 = laag, prioriteit 1 = hoog
2
L= Laag – M= Medium – H=Hoog
P4
Richtlijn voor het melden van veiligheidsincidenten
Information Security Guidelines
Versie: 1.00
4.3.2.
20 juni 2014
Tabel inzake prioriteiten
Impact / dringendheid
L
M
H
L
3
3
2
M
3
2
1
H
2
1
1
4.4 Classificatie van veiligheidsincidenten
Klasse incident
Verzameling van
Type incident
Scanning
gegevens
Beschrijving/Voorbeelden
Aanvallen die requests sturen naar
Impact
Dringendheid
P
L
M
3
M
M
2
H
L
2
H
M
1
L
L
3
L
M
3
M
M
2
een systeem om gebreken te
ontdekken. Dit
omvat ook elk type testproces
om gegevens te verzamelen over hosts,
services en accounts. Voorbeeld:
fingerd, DNS-request, ICMP, SMTP
(EXPN, RCPT, …)
Sniffing
Het netwerkverkeer waarnemen en
opnemen (Afluisteren)
Social Engineering
Verzameling van gegevens over een
persoon zonder technische middelen te
gebruiken (bv.: leugens,
bedreigingen, …)
Phishing in naam van
De techniek bestaat erin om het
de instelling
slachtoffer te doen geloven dat hij zich
richt tot een vertrouwensentiteit met
identiteitsfraude als doel.
Pogingen tot
Gekende zwakheden
Een poging om een systeem of eender
indringen
uitbuiten
welke service te schaden of te
onderbreken door de zwakheden uit te
buiten (bv.: buffer overflow,
achterdeurtjes, cross side scripting, etc.).
Aanmeldpogingen
Meerdere aanmeldpogingen (diefstal of
kraken van wachtwoorden, brute force).
Handtekening van een
Detectie van abnormaal gedrag, spam
nieuwe mogelijke
met schadelijke inhoud die nog niet
aanval
opgemerkt wordt door de
veiligheidsmaatregelen
P5
Richtlijn voor het melden van veiligheidsincidenten
Information Security Guidelines
Versie: 1.00
Klasse incident
Binnendringing
Type incident
Compromittering van
Beschrijving/Voorbeelden
Het succesvol schade toebrengen aan
een bevoorrecht
een systeem of toepassing (dienst). Dit
account 3
kan gebeuren door een nieuwe of
Impact
20 juni 2014
Dringendheid
P
M
M
2
M
M
2
M
M
2
H
M
1
M
M
2
M
H
1
H
M
1
M
M
2
H
M
1
M
M
2
ongekende zwakheid, maar ook door
Compromittering van
niet-geautoriseerde toegang.
een niet-bevoorrecht
account
Compromittering van
een toepassing zonder
externe weerslag
Compromittering van
een toepassing met
externe weerslag
Schadelijke code
Virus, spyware, worm,
Trojaans paard, dialler
Software die opzettelijk in een systeem
ingevoerd wordt met een schadelijk doel.
Interactie van een gebruiker is normaal
gezien vereist om deze code te activeren.
Vaststelling van een succesvolle
besmetting.
Beschikbaarheid
Succesvolle DDOS of
Bij dit soort aanval wordt een systeem
DOS
gebombardeerd met een groot aantal
pakketten zodat de processen traag
worden of het systeem crasht. Voorbeeld
Sabotage
van een DOS: SYS-a, PINGflooding of
mailbombs (DDOS: TFN, Trinity, etc).
De beschikbaarheid kan echter ook
aangetast worden door lokale acties (bv.:
vernieling, stroomonderbreking, etc.).
Hardwarepanne
Hardwarepanne die mogelijk een grote
impact heeft op de operationele
continuïteit van de instelling.
Hardwarepanne met
Hardwarepanne die mogelijk een grote
externe weerslag
impact heeft op de operationele
continuïteit van de sociale zekerheid.
Slecht gebruik van
Al dan niet opzettelijke
Een gebruiker heeft toegang tot het
informaticasystemen
niet-toegelaten toegang
systeem waarvoor hij geen toelating heeft;
, systeemfout
ongeoorloofde toegang tot een
productiesysteem; opsporing van een
veiligheidslek
3
Bevoorrecht account = Administrator account van een systeem
P6
Richtlijn voor het melden van veiligheidsincidenten
Information Security Guidelines
Versie: 1.00
Klasse incident
Type incident
Beschrijving/Voorbeelden
Verzwakking van de
Een gebruiker heeft ongewild de veiligheid
veiligheidsmaatregelen
van een systeem van de instelling
met betrekking tot
verzwakt.
Impact
20 juni 2014
Dringendheid
P
M
M
2
L
L
3
H
L
2
M
M
2
H
L
2
M
L
3
informaticasystemen
Slecht functioneren van
Systeem dat weinig performant is door een
het systeem
gebrek aan schijfruimte, lange
antwoordtermijnen, …
Ongeoorloofde
Niet-toegelaten gebruik
Het niet-geautoriseerd gebruik van
activiteit, fraude,
van
middelen, met inbegrip van lucratieve
diefstal
middelen
activiteiten (bv. het gebruik van het intern
systeem om deel te nemen aan illegale
acties, gevoelige interne gegevens
versturen naar externe sites.)
Auteursrecht
Commerciële software of andere
(Copyright)
hardware onder auteursrecht illegaal
verkopen of installeren (bv.: warez);
probleem met opvolging van licenties
Vermomming
Soort aanvallen waarin een entiteit
illegaal de identiteit van een andere
overneemt om daarvan gebruik te
maken.
Misleidende inhoud
Diefstal of verlies van
Diefstal of verlies van een laptop in de
mobiel toestel
trein, carjacking of inbraak in een huis
Inbraak in instelling
Inbraak binnen een instelling
H
L
2
Spam
Een of meerdere e-mailadressen van de
M
L
3
M
M
2
H
H
1
instelling wordt gespamd of gestalkt.
Imagoschade
Publicatie of verspreiding van onterende
of vervelende gegevens ten opzichte van
de instelling (discussieblog, sociale
netwerken, …).
Andere
Elk incident dat geen
Als het aantal incidenten in deze
deel uitmaakt
categorie groeit, geeft dit aan dat het
van de hierboven
classificatieschema moet herzien
vermelde categorieën.
worden.
P7
Richtlijn voor het melden van veiligheidsincidenten
Information Security Guidelines
Versie: 1.00
5.
20 juni 2014
Eigenaar van het document
Het onderhoud, de opvolging en de herziening van de huidige policy vallen onder de verantwoordelijkheid van de
dienst Informatieveiligheid van de KSZ.
6.
Referenties
De gebruikte referenties zijn:
- de minimale normen van 2014 van de KSZ
- ENISA: Good Practice Guide for Incident Management
- De Standaarden:
o de ISO-norm 27002:2013: Praktijkrichtlijn met beheersmaatregelen op het gebied van
informatiebeveiliging
o de ISO-Norm 27035:2011: Information security incident management
7.
Bijlage A: link met de ISO-norm 27002
Hieronder geven we de voornaamste clausules van de ISO-norm 27002 die standaard een verband hebben met het
voorwerp van de huidige policy.
ISO-norm 27002
Beveiligingsbeleid
Ja
Organisatie van informatiebeveiliging
Ja
Beheer van bedrijfsresources
Medewerkersgerelateerde veiligheidsvereisten
Fysische veiligheid
Operationele veiligheid
Logische toegangsbeveiliging
Onderhoud en ontwikkeling van de
informatiesystemen
Beheer van veiligheidsincidenten
Ja
Beveiliging van de informatie in het kader van de
continuïteit van het bedrijf
Respect/audit
P8

Download Report