Het structureren van hoe er wordt omgegaan met data is belangrijk, want er moet een onderscheid worden gemaakt tussen belangrijke data en onbelangrijke data, welke en hoeveel informatie er doorgegeven kan worden aan de klanten, hoe de data wordt beheerd, etc. Dit zijn allemaal punten waar een organisatie veel voordelen eruit kan halen. Door het invoeren van een Information Security Management System (ISMS) kunnen veel risico’s vermeden worden en kan de organisatie grenzen stellen van wat wel en niet mag en hierdoor wordt de data beschermd en beheerd.
Daarnaast wordt ook vaak, vanuit de kant van de klant, gevraagd aan de organisatie hoe hun informatie wordt beheerd, want zo kunnen zij ook weten met wat voor organisatie zij te maken hebben en hoe er dus wordt omgegaan met belangrijk data van de klant. De klant voelt zich dus wel beter bij een organisatie met een ISMS, dan een organisatie zonder ISMS.
De visie van het invoeren van een ISMS om de informatiebeveiliging van Finaps te verscherpen moet zijn:
Informatiebeveiliging moet een integrale aanpak hebben
Kennis en expertise zijn belangrijk om te beschermen wanneer een ISMS wordt ingevoerd, daardoor moeten deze informatie gewaarborgd worden
De verantwoordelijkheid van informatiebeveiliging ligt bij het management
De focus gaat zich verschuiven naar databeveiliging
Risicomanagement is en blijft het primaire uitgangspunt voor informatiebeveiliging
Voor een goed functioneerde informatiebeveiliging is het bewust gedrag en verantwoording van mensen essentieel
1.2 Aansluiting bij andere standaarden
Er is gekozen voor standaarden die wereldwijd worden geaccepteerd en al hun waarde hebben bewezen bij andere bedrijven: ISO 27001: 2014 en ISO 27002: 2013. De eisen voor het opzetten van een ISMS komen voort uit ISO 27001: 2014 en het uitvoeren van een ISMS komen voort uit ISO 27002: 2013. Als het beoordeeld en vervolgens goedgekeurd is, dan moet de ISMS alleen onderhouden worden en hoeft de auditor alleen beoordelen op nieuwe bepalingen die invloed hebben op de ISMS.
2. Uitgangspunten en werkingsgebied
2.1 Uitgangspunten
Kwaliteit en betrouwbaarheid
Van de klanten van Finaps wordt verwacht dat ze een goed geregelde beleid hebben op het gebied van informatiebeveiliging. Het kan zijn dat de klanten belangrijke informatie deelt met Finaps, waardoor Finaps deze informatie wel beveiligd moet hebben en niet ervoor zorgen dat deze informatie lekt of gehackt wordt. Dit zorgt ervoor dat het vertrouwen van de klant in Finaps verloren gaat.
Professionaliseren
De werknemers gaat door het implementeren van een ISMS beter om met informatie en data van zowel de klant/partner, maar ook van hunzelf. Door middel van alle gebeurtenissen te documenteren, de ISMS te beoordelen, evalueren en verbeteren wordt de informatiebeveiliging van Finaps verstevigd.
Veiligheid
Door een compleet beleid op te stellen voor informatiebeveiliging kan Finaps de continuïteit bevorderen mocht het mis gaan, zoals het oplopen van imagoschade, het lekken van gevoelige data van de klant, partner of van Finaps, het verliezen van informatie door hackers, etc.
2.2 Basis beveiligingsniveau
Informatiebeveiliging valt uiteen in een drietal begrippen:
1. Beschikbaarheid, dus het waarborgen dat bevoegde gebruikers wanneer dat nodig is toegang hebben tot informatie en aanverwante bedrijfsmiddelen;
2. Integriteit, dus het waarborgen van de nauwkeurigheid en volledigheid van informatie en van de methoden waarmee informatie wordt verwerkt;
3. Vertrouwelijkheid, het waarborgen dat informatie alleen toegankelijk is voor degene die daartoe geautoriseerd zijn.
Beschikbaarheid
De ISMS definieert een basis set aan eisen voor beschikbaarheid voor infrastructuur van Finaps. Over de beschikbaarheid worden afspraken gemaakt tussen de dienstenleverancier en de eigenaar van het informatiesysteem. Hier wordt mee bedoeld dat er voor de beschikbaarheid van de informatievoorziening een aantal set van normen wordt opgesteld waar per applicatie en/of per dienst afspraken kunnen worden gemaakt.
Integriteit
De integriteit op het IT vlak valt uiteen in twee delen: de integriteit van de informatie in de applicaties (gerelateerd aan het proces zelf), en de integriteit van datacommunicatie en opslag (niet gerelateerd aan het proces zelf). Applicatie dat gekoppeld is aan de applicatie is afhankelijk van de eisen van een specifiek proces en altijd situatieafhankelijk. Voor de functionele integriteit van de informatievoorziening wordt er een set van normen opgesteld waarbij er per dienst en/of applicatie afspraken worden gemaakt.
Vertrouwelijkheid
De ISMS van Finaps beschrijft de maatregelen die nodig zijn voor het basisvertrouwelijkheidsniveau van de gehele organisatie.
Het algemene dreigingsprofiel voor FInaps is voor de ISMS vastgesteld op de volgende bedreigers:
Georganiseerde internet crimineel
Crimineel opportunist
De onbetrouwbare medewerker
Wraakzuchtige medewerker
Hierbij zijn de volgende bedreigingen specifiek uitgelegd voor Finaps:
Malware (met en zonder remote control)
Verhoor (fysiek geweld tegen personen)
Draadloze netwerken interceptie
Draadloze netwerken actief benaderen
Crypto kraken
Beproeving van fysieke, technische en elektronische weerstand
Hacking op afstand
Naast de bovenstaande bedreigingen gaat de ISMS van Finaps ook uit van een set algemene dreigingen waarvan de hoofdgroepen zijn:
Technisch falen
Onbeïnvloedbare externe factoren
Onopzettelijk menselijk handelen
Opzettelijk menselijk handelen
Uitgesloten zijn de volgende bedreigers:
Georganiseerde criminaliteit
Terreurgroep
Inlichtingendienst
Specifieke bedreigingen komende van deze bedreigers worden niet meegenomen in het definiëren van de normen in de ISMS van Finaps.
2.3 Controleerbaarheid en auditeerbaarheid
Het ´in control statement´ wordt door Bureau Veritas zelf opgesteld. Om te komen tot het ´in control statement´ zullen de bedrijfsonderdelen van Finaps aan de hand van de normen van de ISMS zelf na moeten gaan in welke mate zij daaraan voldoen (interne audit).
De interne toetsing vindt plaats op basis van een toets aan ISO 27001: 2013 (bijlage A) met ondersteuning van ISO 27002 en aanvullingen van het securityteam van Finaps om de informatiebeveiliging te verbeteren op verschillende fronten.
2.4 Werkingsgebied
De ISMS van Finaps geldt voor de gehele organisatie. Dat wil zeggen dat de ISMS geldt voor de werknemers, eigenaren en voor de partners en klanten van Finaps.
In de ISMS van Finaps staan de minimale eisen die gesteld worden aan de informatiebeveiliging van de IT-infrastructuur van de gehele organisatie.
2.5 Brondocumenten
2.6 Evaluatie en bijstelling
Dit document wordt jaarlijks geëvalueerd en indien nodig worden bijgesteld onder de verantwoordelijkheid van het securityteam van Finaps.
2. Risicoanalyse informatiebeveiliging
De risicoanalyse informatiebeveiliging is de basis van alle beheersmaatregelen en essentieel dat deze goed wordt uitgevoerd.
Risico’s beoordelen op het niveau van vertrouwelijkheid, integriteit en beschikbaarheid.
Doelstellingen bepalen om het risico terug te brengen tot een aanvaardbaar niveau.
Criteria bepalen voor het accepteren van het risico.
Risico’s evalueren.
De risicoanalyse wordt uitgevoerd conform ISO 31000 en ISO 27005. Deze normen geven richtlijnen om het risicomanagementproces goed te beschrijven en te borgen. Na deze fase is de organisatie zich bewust van de risico’s en inzicht in prioritering van diverse beheersmaatregelen die nodig zijn.
3. Structuur van de norm
Hoofdstuk 4 laat zien welke beheersmaatregelen invloed hebben of nuttig zijn voor Finaps en voor welke maatregelen er extra aandacht besteed moet worden om het beheersbaar te maken.
Hoofdstukken 5 t/m 18 bevatten hoofdbeveiligingscategorieën en subcategorieën. Bij elke subcategorie wordt de doelstelling vermeld (uit ISO 27002: 2013). Elke subcategorie heeft een aantal beheersmaatregelen, waarvan de nummering exact overeenkomt met ISO 27002: 2013.