Norm SM.05 Testen, inspectie en toezicht beveiliging
Implementatie van it-beveiliging wordt proactief getest en bewaakt. It-beveiliging wordt regelmatig getoetst om ervoor te zorgen dat de door de organisatie goedgekeurde baseline voor informatiebeveiliging wordt gehandhaafd. Een log- en bewakingsfunctie maakt vroegtijdige preventie en detectie mogelijk en daardoor tijdige rapportage van ongebruikelijke en/of abnormale activiteiten.
Waarom is dit nodig?
Testen, inspectie en monitoring helpen je om tijdig ongebruikelijke en abnormale activiteiten te detecteren en aan te pakken.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- De implementatie van it-beveiliging wordt ad hoc getest.
- Er zijn geen procedures of beleid.
2 Herhaalbaar
- Er is een procedure met richtlijnen voor het testen van beveiligingsmaatregelen, maar deze focust vooral op het testen van units of componenten.
- Penetratietesten of social engineeringoefeningen worden adhoc uitgevoerd.
- Toezicht op ongebruikelijke of abnormale activiteiten vindt plaats door de logs achteraf te checken.
3 Bepaald (streefniveau)
- Er zijn procedures en beleid voor het scannen, testen en beheren van it-beveiliging gedefinieerd en ingevoerd. Deze zijn goedgekeurd door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft..
- Er is een beveiligingsbaseline ingevoerd voor alle it-componenten die essentieel zijn voor bedrijfsvoering.
- Penetratietesten en social engineeringtesten worden gepland en periodiek uitgevoerd.
- Er is een log- en controlefunctie ingericht voor vroegtijdige preventie en/of detectie en tijdige melding van ongewone en/of abnormale activiteiten. Er wordt extra aandacht besteed aan cybersecuritydreigingen.
4 Beheerst
- Alle it-componenten, netwerkapparatuur, diensten en applicaties zijn geïnventariseerd.
- Elke component heeft een beveiligingsrisicorating gekregen en wordt volgens die rating gescand of getest.
- Alle it-componenten die essentieel zijn voor bedrijfsvoering worden (automatisch) opgenomen in de CMDBCMDB staat voor configuratiemanagementdatabase. Het is een database waarin alle zogeheten configuratie-items van de it-omgeving van een organisatie zijn opgeslagen. Denk aan informatie over gebruikte hardware, software, onderlinge relaties, versienummers, licenties en configuratiebaselines. en realtime gecontroleerd op beveiligingsincidenten volgens de behoeften van de school.
- Red-teamingoefeningen worden gepland en periodiek uitgevoerd.
- Het proces van securitytesten, -surveillance en -monitoring wordt periodiek geëvalueerd.
5 Continu verbeteren
- Het testen van it-beveiliging is opgenomen in de projectmanagement- en software-ontwikkelingsmethodieken, zodat beveiliging gegarandeerd meegenomen wordt in ontwerp-, ontwikkelings- en testeisen. Zo wordt het risico dat nieuwe of veranderende systemen kwetsbaarheden introduceren zoveel mogelijk beperkt.
- Dreigingen op het gebied van cybersecurity worden voortdurend in de gaten gehouden door geautomatiseerde detectie- en responsetechnologie (bijvoorbeeld SIEM).
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Zorg ervoor dat beveiligingsbaselines zijn ingericht. Hierover vind je meer informatie in norm SM.01 Beveiligingsbaselines.
- Stel vast hoe vaak en op welke wijze de informatiebeveiliging getest wordt.
- Organiseer ten minste eens per twee jaar een penetratietestEen penetratietest of pentest is het toetsen van een systeem op kwetsbaarheden door daadwerkelijk te pogen in te breken op een systeem, zodat duidelijk wordt op welke punten de beveiliging aangescherpt moet worden. binnen een kritiek systeem van de organisatie en voer (geautomatiseerde) kwetsbaarheidsanalyses uit.
- Schakel log- en controlefuncties in (zoals IDS/IPS) op gebruikte devices, (cloudDe cloud (Nederlands: wolk) staat voor een netwerk dat met alle computers die erop aangesloten zijn, een soort “wolk van computers” vormt. Als je op je werkstation bezig bent, weet meestal niet op hoeveel of op welke computer(s) de software draait of waar die computers precies staan.)accounts, netwerkapparatuur, en (cloud)software op basis van actuele dreigingen. Zorg dat meldingen opgevolgd worden. Het kan effectiever zijn om deze meldingen centraal te verzamelen en af te (laten) handelen.
Gerelateerde wetten en normen
Norm SM.05 Testen, inspectie en toezicht beveiliging is gerelateerd aan de ISO-standaard 27001/2:2022 en het certificeringsschema IBP ROSA.
ISO 27001/2:2022
- A5.25
- A5.35
- A5.36
- A8.8
- A8.15
- A8.16
- A8.19
- A8.29
- A8.34
Certificeringsschema IBP ROSA
- Vertrouwelijkheid/Omgaan met kwetsbaarheden