Informatiebeveiliging integreren in projecten

Voorwoord vanuit het perspectief informatiebeveiliging 7
Voorwoord vanuit het perspectief Projectmanagement 9

1. Inleiding 13
1.1 Informatiebeveiliging integreren in projecten 15
1.2 ISO 27001 informatiebeveiliging 15
1.3 ISO 21500 Projectmanagement 16
1.4 Toepassing en randvoorwaarden 16
Information security in project governance: Incidents and preventions 19

2. Project informatiebeveiligingsbeleid 25
2.1 Beleidsregels voor informatiebeveiliging in projecten 25
2.2 Beoordeling van informatiebeveiliging in projecten 26
2.3 Organiseren van informatiebeveiliging 26
2.4 Rollen en verantwoordelijkheden bij informatiebeveiliging in projecten 26
2.5 Scheiding van taken bij informatiebeveiliging in projecten 26
2.6 Projectcontact met overheidsinstanties 26
2.7 Projectcontact met speciale belangengroepen 27
2.8 Informatiebeveiliging in projectbeheer 27
2.9 Mobiele apparatuur en telewerken 27
2.10 Projectbeleid voor mobiele apparatuur 27
2.11 Telewerken bij projecten 28

3. Veilig personeel 29
3.1 Screening projectpersoneel 29
3.2 Project arbeidsvoorwaarden 29
3.3 Managementverantwoordelijkheden bij projecten 30
3.4 Projectbewustzijn, opleiding en training 30
3.5 Disciplinaire inbreukprocedures 30
3.6 Beëindiging of wijziging projectverantwoordelijkheden 31

4. Beheer van projectmiddelen 33
4.1 Inventarisatie van projectmiddelen 33
4.2 Eigendom projectmiddelen 33
4.3 Aanvaardbaar gebruik van projectmiddelen 34
4.4 Teruggeven van projectmiddelen 34
4.5 Classificatie van projectinformatie 34
4.6 Projectinformatie labelen 34
4.7 Behandelen van projectmiddelen 35
4.8 Beheer van verwijderbare projectmedia 35
4.9 Verwijderen van projectmedia 35
4.10 Projectmedia fysiek overdragen 35

5. Toegangsbeveiliging project 37
5.1 Projectbeleid voor toegangsbeveiliging 37
5.2 Toegang tot projectnetwerken en projectnetwerkdiensten 37
5.3 Gebruikers en projectmedewerkers toegang verlenen 38
5.4 Projectbeheer van speciale toegangsrechten 38
5.5 Projectbeheer van geheime authenticatie-informatie 38
5.6 Projectbeoordeling van toegangsrechten 38
5.7 Projecttoegangsrechten intrekken of aanpassen 38
5.8 Geheime authenticatie-informatie gebruiken 39
5.9 Projectbeperking tot projectinformatie 39
5.10 Beveiligde project inlogprocedures 39
5.11 Systeem voor wachtwoordbeheer bij projecten 39
5.12 Speciale systeemhulpmiddelen gebruiken bij projecten 39
5.13 Project toegangsbeveiliging op programma broncode 39

6. Cryptografie bij projecten 41
6.1 Projectbeleid cryptografische beheersmaatregelen 41
6.2 Cryptografisch sleutelbeheer bij projecten 41

7. Fysieke beveiliging en beveiliging van de projectomgeving 43
7.1 Fysieke beveiligingszone 43
7.2 Fysieke toegangsbeveiliging 43
7.3 Projectkantoren, -ruimten en -faciliteiten beveiligen 44
7.4 Projectbescherming tegen bedreigingen van buitenaf 44
7.5 Projectmatig werken in beveiligde gebieden 44
7.6 Laad- en loslocatie als projectbeheersing 44
7.7 Plaatsing en bescherming van projectapparatuur 44
7.8 Nutsvoorzieningen bij projecten 44
7.9 Beveiliging van projectbekabeling 44
7.10 Onderhoud van projectapparatuur 44
7.11 Verwijdering van projectmiddelen 45
7.12 Beveiliging van projectapparatuur en projectmiddelen buiten het terrein 45
7.13 Veilig verwijderen of hergebruiken van projectapparatuur 45
7.14 Onbeheerde projectapparatuur 45
7.15 Clean desk- en clean screen-projectbeleid 46

8. Beveiliging projectuitvoering 47
8.1 Project gedocumenteerde bedieningsprocedures 47
8.2 Project wijzigingsbeheer 47
8.3 Projectcapaciteitsbeheer en verwachting 48
8.4 Scheiding van OTAP 48
8.5 Projectbescherming tegen malware 49
8.6 Projectbeheersingsmaatregelen tegen malware 49
8.7 Back-up van projectinformatie 49
8.8 Projectgebeurtenissen registreren 49
8.9 Beschermen van projectinformatie in logbestanden 50
8.10 Projectlogbestanden van beheerders en operators 50
8.11 Projectkloksynchronisatie 50
8.12 Projectbeheersing operationele software 50
8.13 Beheer projecttechnische kwetsbaarheden 50
8.14 Beperkingen voor het projectmatig installeren van software 51
8.15 Beheersmaatregelen betreffende audits van informatiesystemen 51

9. Project communicatie-beveiliging 53
9.1 Projectbeheersmaatregelen voor netwerken 53
9.2 Projectbeveiliging van netwerkdiensten 53
9.3 Projectinformatietransport 54
9.4 Projectovereenkomsten over informatietransport 54
9.5 Elektronische projectberichten 54
9.6 Project vertrouwelijkheids- of geheimhoudingsovereenkomst 54

10. Projectacquisitie, ontwikkeling en onderhoud van informatiesystemen 55
10.1 Projectanalyse en specificatie van informatieeisen 55
10.2 Projectinformatie op openbare netwerken beveiligen 56
10.3 Projectinformatietransacties van toepassingsdiensten beschermen 56
10.4 Projectbeveiliging in ontwikkelprocessen en ondersteunende processen 56
10.5 Projectprocedures voor wijzigingsbeheer met betrekking tot systemen 56
10.6 Projecttechnische beoordeling bedieningsplatform 57
10.7 Projectbeperking op wijzigingen aan software pakketten 57
10.8 Projectprincipes voor engineering van beveiligde systemen 57
10.9 Beveiligde projectontwikkelomgeving 57
10.10 Projectuitbesteding softwareontwikkeling 57
10.11 Projecttesten van systeembeveiliging 57
10.12 Projectsysteem acceptatietest 57
10.13 Projectbescherming van testgegevens 58

11. Projectleveranciersrelaties 59
11.1 Informatiebeveiligingsbeleid voor leveranciersrelaties 59
11.2 Opnemen van projectbeveiligingsaspecten in leveranciersovereenkomsten 60
11.3 Toeleveringsketen van informatie- en communicatietechnologie 60
11.4 Monitoring en beoordeling van leveranciers na exploitatie 60
11.5 Beheer van veranderingen leveranciersdienstverlening 61
11.6 Projectverantwoordelijkheden en procedures bij informatie-beveiligingsincidenten 61
11.7 Projectrapportage van informatie-beveiligingsgebeurtenissen 61
11.8 Projectrapportage van zwakke plekken in de informatiebeveiliging 61
11.9 Projectbeoordeling van en besluitvorming 62
11.10 Projectrespons op informatie-beveiligingsincidenten 62
11.11 Lering uit projectinformatie-beveiligingsincidenten 62
11.12 Verzamelen van bewijsmateriaal 62

12. Informatiebeveiligingscontinuïteit borgen en naleven met PMO 65
12.1 Continuïteit en naleving 67
12.2 Intellectuele eigendomsrechten 67
12.3 Beschermen van registraties 67
12.4 Privacy en bescherming van persoonsgegevens 67
12.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen 67
12.6 Informatiebeveiligingsbeoordelingen 68
12.7 Naleving van beveiligingsbeleid en -normen 68

13. Interne audit op basis van ISO 19011 69
13.1 De implementatie-audit 70
13.2 Systeemtoets 70
13.3 Procestoets 70
13.4 Producttoets 70
13.5 Risicogestuurd toetsen 70
13.6 Privacy-impact toetsen 70
13.7 Data-impact toetsen 70
13.8 Business-impact analyse 71

14. Zes-stappen-auditmodel 73
14.1 Model voor een audit om conformiteit te toetsen 73
14.2 Schep kader 74
14.3 Stel uitgangspunten vast 74
14.4 Identificeer het proces 75
14.5 Zoek objectief bewijsmateriaal 76
14.6 Terugkoppeling 76
14.7 Toets verslag, analyse, besluitvorming en evaluatie 77
14.8 Sluiting 78

15. Bronnen 79

16. Checklist 81
Project informatiebeveiligingsbeleid 82
Veilig personeel 82
Beheer van projectmiddelen 82
Beheer van projectmiddelen 82
Toegangsbeveiliging project 83
Cryptografie bij projecten 83
Fysieke beveiliging en beveiliging van de projectomgeving 84
Beveiliging projectuitvoering 84
Project communicatiebeveiliging 84
Project-acquisitie, onwikkeling en onderhoud van informatiesystemen 85
Project leveranciersrelaties 85
Informatiebeveiligingscontinuïteit en naleving borgen met PMO 86
Audits/Assessments uitgevoerd? 86

17. DIA-vragenlijst 89