13   Beheer van informatiebeveiligingsincidenten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

13.1   Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden die verband houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen.

13.1.1   Rapportage van informatiebeveiligingsgebeurtenissen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.
Aandachtspunten en aanbevelingen voor implementatie
Informeer patiënten over storingen in informatiesystemen die een negatief effect gehad kunnen hebben op hun behandeling.
Stel patiënten in kennis wanneer patiëntgegevens die hen betreft onbedoeld openbaar zijn geraakt.
Stel een formele procedure voor het rapporteren van informatiebeveiligingsgebeurtenissen vast, in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport van een informatiebeveiligingsgebeurtenis. Wijs een contactpersoon aan, aan wie informatiebeveiligingsgebeurtenissen kunnen worden gerapporteerd en zorg ervoor dat deze contactpersoon door de hele organisatie bekend is. Waarborg dat informatiebeveiligingsgebeurtenissen altijd gerapporteerd kunnen worden, en dat er capaciteit beschikbaar is om passend en tijdig te reageren.
Breng alle werknemers, ingehuurd personeel en externe gebruikers op de hoogte van hun verantwoordelijkheid om elk informatiebeveiligingsincident zo snel mogelijk te melden. Breng ze tevens op de hoogte van de procedure voor het rapporteren van informatiebeveiligingsgebeurtenissen en van de contactpersoon.
Overweeg op te nemen in de rapportageprocedures:
  • a) geschikte feedbackprocessen om te waarborgen dat degenen die een informatiebeveiligingsgebeurtenis rapporteren ook worden geïnformeerd over de resultaten nadat de kwestie is afgehandeld;
  • b) formulieren voor het rapporteren van een informatiebeveiligingsgebeurtenis om het rapporteren te ondersteunen en om degene die rapporteert te helpen herinneren aan alle noodzakelijke handelingen in het geval van een informatiebeveiligingsgebeurtenis;
  • c) het juiste gedrag in het geval van een informatiebeveiligingsincident, d.w.z.
    • 1) onmiddellijk noteren van alle belangrijke details (bijvoorbeeld soort niet-naleving of beveiligingslek, optredende storing, schermboodschappen, vreemd gedrag);
    • 2) zelf geen enkele actie ondernemen, maar onmiddellijk rapporteren aan de contactpersoon;
  • d) verwijzing naar een vastgesteld formeel disciplinair proces voor het omgaan met werknemers, ingehuurd personeel of externe gebruikers die de beveiliging doorbreken.
In omgevingen met verhoogd risico, kan een stil alarm 4) worden geïnstalleerd, waarbij een persoon die wordt bedreigd, dit problemen kan aangeven. Laat de procedures voor het reageren op een stil alarm in overeenstemming zijn met de verhoogde risicosituatie die het alarm aangeeft.
Overige informatie
Voorbeelden van informatiebeveiligingsgebeurtenissen en -incidenten zijn:
  • a) verlies van dienst, apparatuur of voorzieningen;
  • b) systeemstoringen of overbelasting;
  • c) menselijke fouten;
  • d) niet-naleving van beleid of richtlijnen;
  • e) inbreuk op fysieke beveiligingsvoorzieningen;
  • f) onbeheerste systeemwijzigingen;
  • g) storingen aan programmatuur of apparatuur;
  • h) toegangsovertredingen.
Mits de vertrouwelijkheidaspecten in acht worden genomen kunnen informatiebeveiligingsincidenten worden gebruikt bij bewustzijnstrainingen van gebruikers (zie 8.2.2) als voorbeelden van wat zou kunnen gebeuren, hoe op dergelijke incidenten moet worden gereageerd en hoe ze in de toekomst kunnen worden vermeden. Om informatiebeveiligingsgebeurtenissen en -incidenten op de juiste wijze te kunnen aanpakken zou het nodig kunnen zijn om zo snel mogelijk na het voorkomen van een informatiebeveiligingsgebeurtenis bewijs te verzamelen (zie 13.2.3).
Bewerkstellig dat storingen of ander afwijkend systeemgedrag altijd worden gerapporteerd als een informatiebeveiligingsgebeurtenis, want deze kunnen een aanwijzing zijn voor een aanval op de beveiliging of voor een daadwerkelijk beveiligingslek.
Meer informatie over het rapporteren van informatiebeveiligingsgebeurtenissen en het beheer van informatiebeveiligingsincidenten is te vinden in ISO/IEC TR 18044. ( ISO/IEC CD 27035)
Voor een organisatie die patiëntgegevens verwerkt vallen verminking, verlies en onbedoelde openbaarmaking van patiëntgegevens onder informatiebeveiligingsincidenten, evenals het uitvallen van informatiesystemen die kritisch zijn voor de patiëntenzorg.

13.1.2   Rapportage van zwakke plekken in de beveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en -diensten behoort te worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of diensten registreren en rapporteren.
Aandachtspunten en aanbevelingen voor implementatie
Faciliteer en bewerkstellig dat werknemers, ingehuurd personeel en externe gebruikers alle waargenomen of verdachte zwakke plekken in systemen of diensten zo snel mogelijk aan hun directe leidinggevende of rechtstreeks aan hun leverancier melden om informatiebeveiligingsincidenten te voorkomen. Houdt het rapporterings­mechanisme zo eenvoudig, toegankelijk en beschikbaar mogelijk. Wijs gebruikers er op onder geen beding te proberen de aanwezigheid van een zwakke plek te bewijzen.
Overige informatie
Het eigenmachtig testen op zwakke plekken zou kunnen worden uitgelegd als potentieel misbruik van het systeem en zou ook schade aan een informatiesysteem of -dienst kunnen veroorzaken en kunnen leiden tot wettelijke aansprakelijkheid van degene die de test heeft uitgevoerd.

13.2   Beheer van informatiebeveiligingsincidenten en -verbeteringen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Bewerkstelligen dat een consistente en doeltreffende benadering wordt toegepast voor het beheer van informatiebeveiligingsincidenten.

13.2.1   Verantwoordelijkheden en procedures

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren verantwoordelijkheden en procedures te worden vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten te bewerkstelligen.
Aandachtspunten en aanbevelingen voor implementatie
Gebruik naast het rapporteren van informatiebeveiligingsgebeurtenissen en zwakke plekken (zie ook 13.1) controle van systemen, waarschuwingen en kwetsbaarheden ( 10.10.2) voor het ontdekken van informatiebeveiligingsincidenten. Overweeg voor procedures voor het beheer van informatiebeveiligingsincidenten de volgende richtlijnen:
  • a) stel procedures vast voor verschillende typen informatiebeveiligingsincidenten, waaronder:
    • 1) storingen en uitval van informatiesystemen;
    • 2) kwaadaardige programmatuur (zie 10.4.1);
    • 3) weigeren van dienst;
    • 4) fouten die het resultaat zijn van onvolledige of onnauwkeurige bedrijfsgegevens;
    • 5) inbreuk op de vertrouwelijkheid van gegevens;
    • 6) misbruik van informatiesystemen;
  • b) laat naast de gebruikelijke continuïteitsplannen (zie 14.1.3) de procedures ook de volgende aspecten omvatten (zie ook 13.2.2):
    • 1) analyse en identificatie van de oorzaak van het incident;
    • 2) inperking;
    • 3) zo nodig planning en implementatie van corrigerende maatregelen om herhaling te voorkomen;
    • 4) communicatie met degenen die worden getroffen door of zijn betrokken bij het herstel van het incident;
    • 5) rapporteren van de genomen maatregelen aan de desbetreffende autoriteit;
  • c) verzamel ‘audit trails’ en soortgelijk bewijsmateriaal (zie 13.2.3) en sla deze veilig op zodat ze geschikt zijn voor:
    • 1) interne probleemanalyse;
    • 2) gebruik als forensisch bewijsmateriaal in geval van mogelijke contractbreuk of bij het overtreden van wettelijke voorschriften, of in civiele of strafrechtelijke procedures, bijvoorbeeld bij computermisbruik of overtreding van wetgeving voor gegevensbescherming;
    • 3) onderhandelen over compensatie van leveranciers van programmatuur en diensten;
  • d) zorg voor formele beheersing van de handelingen die nodig zijn om schendingen van de beveiliging en systeemstoringen te corrigeren en te herstellen; laat de procedures waarborgen dat:
    • 1) alleen duidelijk vastgestelde en bevoegde personen toegang krijgen tot operationele systemen en gegevens (zie ook 6.2 voor toegang door externe partijen);
    • 2) alle uitgevoerde noodmaatregelen tot in detail zijn gedocumenteerd;
    • 3) noodmaatregelen aan de directie worden gerapporteerd en op een ordentelijke wijze worden beoordeeld;
    • 4) de integriteit van bedrijfssystemen en beheersmaatregelen zo snel mogelijk wordt bevestigd.
Verkrijg overeenstemming met de directie over de doelstellingen voor het beheer van informatiebeveiligingsincidenten en er waarborg dat degenen die verantwoordelijk zijn voor het beheer van informatiebeveiligingsincidenten op de hoogte zijn van de prioriteiten van de organisatie bij het afhandelen van deze informatiebeveiligingsincidenten.
Overige informatie
Informatiebeveiligingsincidenten zouden de grenzen van de organisatie en de landsgrenzen kunnen overschrijden. Om te kunnen reageren op dergelijke incidenten bestaat er een toenemende behoefte om waar van toepassing de afhandeling te coördineren en informatie over deze incidenten te delen met externe organisaties (zie ook 6.1.7).

13.2.2   Leren van informatiebeveiligingsincidenten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren mechanismen te zijn ingesteld waarmee de aard, omvang en kosten van informatiebeveiligingsincidenten kunnen worden gekwantificeerd en gevolgd.
Aandachtspunten en aanbevelingen voor implementatie
Gebruik de informatie verkregen uit het beoordelen van informatiebeveiligingsincidenten om terugkerende of zeer ingrijpende incidenten te identificeren.
Overige informatie
Uit de beoordeling van informatiebeveiligingsincidenten kan de noodzaak blijken van uitgebreidere of aanvullende beheersmaatregelen om de frequentie, schade en kosten van toekomstige incidenten te beperken. Ook kan de informatie worden gebruikt bij de beoordeling van het beveiligingsbeleid (zie 5.1.2).
Het verdient aanbeveling om met verschillende groepen te communiceren over die aspecten waar lering uit te trekken valt. Bedenk dat er verschillende doelgroepen binnen iedere instelling zijn.

13.2.3   Verzamelen van bewijsmateriaal

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Waar een vervolgprocedure tegen een persoon of organisatie na een informatiebeveiligingsincident juridische maatregelen omvat (civiel of strafrechtelijk), behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.
Aandachtspunten en aanbevelingen voor implementatie
Ontwikkel en volg interne procedures bij het verzamelen en presenteren van bewijsmateriaal ten behoeve van disciplinaire maatregelen die binnen een organisatie worden afgehandeld:
In het algemeen hebben deze regels voor bewijsmateriaal betrekking op:
  • a) de toelaatbaarheid van het bewijs: of het bewijsmateriaal al dan niet voor een rechtszaak kan worden gebruikt;
  • b) het gewicht van het bewijsmateriaal: de kwaliteit en volledigheid van het bewijsmateriaal.
Waarborg als organisatie, om te bereiken dat bewijsmateriaal wordt toegelaten, dat de informatiesystemen in overeenstemming zijn met gepubliceerde normen of praktijkcodes voor het genereren van toelaatbaar bewijsmateriaal.
Zorg ervoor dat het gewicht van het geleverde bewijsmateriaal voldoet aan alle van toepassing zijnde eisen. Toon, om steekhoudend bewijsmateriaal te verkrijgen, de kwaliteit en volledigheid van de beheersmaatregelen die zijn genomen om het verkregen bewijsmateriaal correct en consequent te beschermen (d.w.z. bewijs van procesbeheersing) tijdens de periode dat het bewijsmateriaal werd opgeslagen en verwerkt, door middel van krachtige bewijsvorming aan. In het algemeen kan dit worden bereikt onder de volgende omstandigheden:
  • a) bij papieren documenten: het origineel wordt zorgvuldig bewaard en er wordt geregistreerd wie dit bewijs heeft gevonden, waar het werd gevonden, wanneer het werd gevonden en wie getuige was van de ontdekking; een onderzoek waarborgt dat niet met de originelen is gefraudeerd;
  • b) bij informatie op computermedia: spiegelkopieën of andere kopieën (afhankelijk van de toepasselijke eisen) worden gemaakt van alle verwijderbare media, informatie op harde schijven of in het geheugen, om de beschikbaarheid ervan te waarborgen; het logbestand van alle handelingen die tijdens het kopieerproces zijn uitgevoerd wordt bijgehouden en het proces wordt uitgevoerd in het bijzijn van getuigen; de originele media en het logbestand (indien dit niet mogelijk is ten minste een spiegelkopie of andere kopie) worden zorgvuldig en onaangeroerd opgeborgen.
Voer forensisch onderzoek alleen uit op kopieën van het bewijsmateriaal. Bescherm de integriteit van al het bewijsmateriaal. Laat het kopiëren van bewijsmateriaal plaatsvinden onder toezicht van betrouwbaar personeel en registeer informatie over wanneer en waar het kopieerproces werd uitgevoerd, wie de kopieeractiviteiten heeft uitgevoerd en welke hulpmiddelen en programma's daarvoor zijn gebruikt.
Overige informatie
Wanneer een informatiebeveiligingsgebeurtenis net is ontdekt, kan het zijn dat nog niet duidelijk is of dit al of niet zal leiden tot gerechtelijke stappen. Het gevaar bestaat dan ook dat het benodigde bewijsmateriaal opzettelijk of per ongeluk wordt vernietigd, voordat de ernst van de situatie wordt onderkend. Het verdient aanbeveling om in een vroeg stadium een advocaat of de politie bij de zaak te betrekken wanneer gerechtelijke stappen worden overwogen en advies in te winnen over het vereiste bewijsmateriaal.
Bewijsmateriaal kan de grenzen van de organisatie of het rechtsgebied overschrijden. Waarborg in dergelijke gevallen dat de organisatie gerechtigd is om de vereiste informatie te verzamelen als bewijsmateriaal. Trek ook de geldende eisen in de verschillende rechtsgebieden na om de kans zo groot mogelijk te maken dat het bewijs wordt toegelaten in de relevante rechtsgebieden.