Kennis van de kwetsbaarheden van een informatiesysteem is noodzakelijk, maar niet voldoende. Om zich doeltreffend te beschermen moet men een volledige visie hebben op de risicosituatie: kwetsbaarheden, maatregelen, bedreigingen, gevolgen. Deze volledige visie wordt verschaft door risicoanalyse en beveiligingsbeoordelingsmethoden. De wereldwijde methodologische basis op dit gebied wordt gevormd door de ISO2700x-normen: ISO27001, ISO27002 en ISO27005.

EGERIE past verschillende gestandaardiseerde risicoanalysemethoden toe.

STANDAARDEN

DE ISO27001-NORM

EGERIE ondersteunt ook de toepassing van een ISO 27001-aanpak via zijn Risk Manager-oplossing.

De ISO27001-norm beschrijft de ontwikkeling van een ISMS (Information Security Management System) als een proces, net zoals de ISO 9001-norm het kwaliteitsproces beschrijft. ISO27001 is, net als ISO9001, gebaseerd op het klassieke “Plan-Do-Check-Act”-model (PDCA). Dit model herinnert ons eraan dat beveiliging een iteratief proces is dat achtereenvolgens de voorbereiding en de planning van het ISMS omvat. Bovendien weerspiegelt ISO27001 de beginselen van de OESO-richtsnoeren voor de beveiliging van informatiesystemen en netwerken. De ISO27001-certificering verifieert dat het ISMS voldoet aan de beveiligingsbehoeften van het bedrijf. Deze certificering wordt uitgevoerd door een geaccrediteerde auditor. De auditor controleert aan de hand van het ISMS of de selectie van tegenmaatregelen passend is en is gedocumenteerd na een formele risicoanalyse; hij gaat ook na of de tegenmaatregelen correct en volledig zijn uitgevoerd. Het is aan de auditor om de geldigheid van de toepassing van de norm en de geschiktheid van de tegenmaatregelen te beoordelen.

DE ISO27005 & ISO27002 NORMEN

De ISO27005-norm beschrijft de grote lijnen van risicobeheer vanuit het perspectief van de implementatie van een beheersysteem voor informatiebeveiliging. In samenhang met de normen ISO27001 en ISO27002 en met gebruikmaking van het vocabulaire dat in ISO27000 is gedefinieerd, is ISO27005 de referentienorm voor het uitvoeren van een cyberrisicoanalyse en het implementeren van een risicobeheerproces op basis van een beheersysteem dat is gebaseerd op de PDCA-logica (Plan, Do, Check, Act) voor continue verbetering:

Naast ISO27005 biedt ISO27002 een reeks “goede praktijken” op het gebied van beveiliging. Dankzij deze “goede praktijken” kan het bedrijf doeltreffend en snel reageren op elke omstandigheid zonder dat het beveiligingsprincipes en technische oplossingen helemaal opnieuw moet uitvinden!

METHODEN

DE EBIOS RISK MANAGER-METHODE (2018)

EBIOS Risk Manager is de methode voor de beoordeling en behandeling van digitale risico’s, gepubliceerd door het Franse nationale agentschap voor informatiesystemen en -beveiliging (ANSSI) met de steun van de EBIOS-club.

EBIOS Risk Manager maakt het mogelijk om de risico’s te identificeren en te evalueren en de beveiligingsmaatregelen te bepalen om ze te bereiken. Bovendien maakt hij het mogelijk het aanvaarde risiconiveau te valideren en op langere termijn deel uit te maken van een continu verbeteringsproces. Ten slotte biedt het de nodige elementen voor communicatie en besluitvorming binnen de organisatie en met haar partners.

  • Een digitaal risicobeheerproces binnen een organisatie implementeren of versterken
  • De risico’s van een digitaal project beoordelen en aanpakken, met name met het oog op de goedkeuring van de beveiliging
  • Het beveiligingsniveau bepalen dat voor een product of dienst moet worden bereikt op basis van de beoogde gebruikssituaties en de te bestrijden risico’s, bijvoorbeeld met het oog op certificering of goedkeuring

DE EBIOS-METHODE

De EGERIE Risk Manager-software is compatibel met alle versies van de EBIOS-methode (V2, 2010 en de toekomstige versie in ontwikkeling). De EBIOS-methode (Expression of Requirements and Identification of Security Objectives) maakt het mogelijk de risico’s met betrekking tot de beveiliging van informatiesystemen (ISS) te beoordelen en te behandelen. Zij maakt het ook mogelijk daarover te communiceren binnen de organisatie en met haar partners, teneinde bij te dragen tot het proces van beheer van ISS-risico’s. De EBIOS-methode, die in 1995 door ANSSI is ontwikkeld en regelmatig wordt bijgewerkt, kan bogen op 15 jaar ervaring op het gebied van risicobeheer.

DE MEHARI METHODE

MEHARI, voorgesteld door CLUSIF, is een methode voor risicoanalyse die rekening houdt met zowel de organisatorische als de technische aspecten van IT-beveiliging. Met MEHARI kan een beveiligingsaudit worden uitgevoerd, die leidt tot een evaluatie van de risiconiveaus op een reeks gebieden: algemene organisatie, fysieke beveiliging, logische beveiliging, toepassingsbeveiliging, enzovoort. Aan de hand van deze evaluatie kunnen vervolgens beveiligingsmaatregelen worden geselecteerd die de leemten optimaal opvullen, d.w.z. die de risiconiveaus op de verschillende gebieden op een homogeen en aanvaardbaar niveau brengen.

DE CRAMM-METHODE

CRAMM is een door de Britse regering opgelegde methode voor risicobeheer. Deze methode is uitgebreid (meer dan 3.000 controlepunten) en daarom alleen geschikt voor grote ondernemingen (er zijn wereldwijd 550 klanten). Na de totstandkoming van de versie 2002 van BS7799-2 heeft Siemens (voorheen Insight Consulting) een nieuwe versie (CRAMM versie 5) ontwikkeld die eveneens gericht is op BS7799-certificering.

NALEVING & RICHTLIJNEN

LPM-CONFORMITEIT VOOR LOVS

EGERIE stelt fabrikanten en defensieautoriteiten in staat de noodzakelijke en onmisbare documenten voor het veiligheidsgoedkeuringsproces op te stellen.

DE NIS-RICHTLIJN

De richtlijn beveiliging van netwerken en informatiesystemen (NIS) heeft tot doel een hoog en gemeenschappelijk niveau van beveiliging van netwerken en informatiesystemen in de Europese Unie te waarborgen. Zij is aangenomen op 6 juli 2016. De (NIB) beoogt de totstandbrenging van een doeltreffende Europese samenwerking en bescherming van kritieke economische en maatschappelijke activiteiten, om gezamenlijk de risico’s van cyberaanvallen aan te pakken.

VERORDENING

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (GDPR)

De algemene verordening gegevensbescherming (GDPR) is een Europese regelgevingstekst die voorziet in een gelijk kader voor gegevensverwerking in de hele Europese Unie. Zij is op 25 mei 2018 in werking getreden. De RGPD is een voortzetting van de Franse wet op de gegevensbescherming van 1978, die regels vaststelde voor het verzamelen en gebruiken van gegevens op Frans grondgebied. Het is ontworpen rond 3 doelstellingen:

Opleiding
Vertel ons over uw opleidingsproject, wij zijn er om u te begeleiden.