INFORMATIEBEVEILIGING
Special: Architectuur en Security
Beveiligingsarchitectuur
in Jericho-stijl
Beveiliging en
architectuurraamwerken:
de rol van audits
Architectuurprincipes versus
projectmatig opportunisme
http://creativecommons.org/licenses/bysa/3.0/nl/
Informatiebeveiliging is het huisorgaan van
Voorwoord/colofon
het Platform voor InformatieBeveiliging (PvIB)
en bevat ontwikkelingen en achtergronden
Beste lezer, En architectuur is natuurlijk een
over onderwerpen op het gebied van
vakgebied waarin professionals op een
informatiebeveiliging.
Ik ben de laatste tijd volop bezig met gestructureerde manier mooie dingen
architectuur. Enterprise architectuur, maken. Ik ben veel, maar niemand heeft Redactie
informatiearchitectuur, referentie mij ooit gestructureerd genoemd. André Koot (hoofdredactie, werkzaam bij
architectuur, securityarchitectuur. Univé-VGZ-IZA-Trias),
Dat varieert van het nadenken over de Inmiddels loop ook ik al enkele jaren e-mail: A.Koot@Unive.nl
begrippen en het ontwerpen ervan, tot rond in de wereld van architecten en Peter Westerling/Monique van Diessen
het beoordelen van implementatie ik denk dat ik ook kan meepraten, ik (eindredactie, TOPpers Media bv, Berlicum)
voorstellen. We zijn echt wel goed bezig. durf dingen te roepen en te beoordelen
En ik vind het dan ook leuk; dat denken en zoals gezegd, ik vind whiteboards Redactieraad
‘onder architectuur’. Het leuke ervan is gewoon heel handig. Dat impliceert dan Tom Bakker (Delta Lloyd)
dat je af en toe gewoon een whiteboard misschien dat ik toch ook een architect Mario de Boer (Logica)
kunt voltekenen. Zo’n tekenbord is ben. Maar daar wringt dan meteen de Lex Borger (Domus technica)
volgens mij het belangrijkste instrument schoen, ik kan niet methodisch werken. Lex Dunn (Capgemini)
voor een architect. En als je maar ver Dat kost toch te veel tijd? Rob Greuter (Secode Nederland)
genoeg van de harde praktijk af blijft, Aart Jochem (GOVCERT.NL)
vindt iedereen de platen mooi. Mooi Klopt, en daarom is hergebruik van Renato Kuiper (HP)
generiek werk vindt overal wel een bouwblokken een wet uit de architectuur. Henk Meeuwisse (Sogeti)
plaatsje. En heeft deze special dan een functie: Gerrit Post (G & I Beheer BV)
we leveren enige kennis over architectuur
Advertentieacquisitie
Wat minder leuk is? Methodes. Wat blijkt? als bouwblokken aan. In dit nummer
e-mail: adverteren@pvib.nl
Ik ben eigenlijk al jaren architect. Nooit publiceren we een introductie op het
geweten, maar ja, dat is dan het noodlot. onderwerp architectuur en belichten we Vormgeving
Ik heb me al jaren beziggehouden met het onderwerp vanuit diverse gezichts Van Velzen Grafisch Ontwerp, ‘s-Hertogenbosch
het ontwikkelen van architecturen voor punten. Methoden (daar zijn ze), cases,
beveiliging, maar ik noemde het nooit een paar interviews. We raken lang niet Uitgever
zo. Het waren visies, ideeën, concepten, alles, beschouw dit gewoon als een set Platform voor InformatieBeveiliging (PvIB)
ontwerpen... Het was van alles behalve bouwblokken om zelf met architectuur Postbus 1058
architectuur. Waarom? Geen idee. aan de slag te gaan. Ik vermoed dat 3860 BB NIJKERK
Misschien omdat ik me uit het verleden we binnenkort nog meer artikelen over T (033) 247 34 92
enkele heftige discussies herinner in architectuur zullen plaatsen. F (033) 246 04 70
diverse vakbladen over de functie E-mail: secretariaat@pvib.nl
benaming Architect. Dat was immers Veel leesplezier, Website: www.pvib.nl
een beroep voor mensen die gebouwen
en bruggen bedachten. Nog een oorzaak André Koot Abonnementen
voor mijn aarzeling mezelf architect te Hoofdredacteur De abonnementsprijs bedraagt 115 euro per jaar
noemen, was dat het een bijzonder (exclusief BTW), prijswijzigingen voorbehouden.
vakgebied is, waarvoor je over specifieke
PvIB abonnementenadministratie
kennis en vaardigheden moet beschikken,
Platform voor InformatieBeveiliging (PvIB)
die ik mezelf nooit had toegedicht.
Postbus 1058
3860 BB NIJKERK
PS: op 12 juni jl heeft Saïd el Aoufi
e-mail: secretariaat@pvib.nl
(de auteur van onder meer het eerste
artikel in deze special) zijn proefschrift Mits niet anders vermeld valt de inhoud van dit
over ‘Economic Evaluation of tijdschrift onder een Creative Commons licentie.
Information Security’ met succes
verdedigd. Dat gebeurt nog niet zo ISSN 1569-1063
vaak een promotie binnen ons vakgebied.
Saïd: proficiat!
InZicht 9
Rob Greuter
Beveiligingsarchitectuur in Jericho-stijl 15
Aaldert Hofman
Column: Compromis 35
Berry
‘architectuurprincipes’ voor de inrichting het op elkaar afstemmen en afgestemd houden van de informatiebeveiliging- en
van de e-overheid gepresenteerd. privacystelsels, van beleid tot en met controle. Hierbij kunnen ook afspraken over
De fundamentele principes hebben gemeenschappelijke voorzieningen een rol spelen. De NORA geeft richtlijnen
betrekking op: betreffende deze afspraken:
• hogere kwaliteit van de • De samenwerkende partijen richten gezamenlijk de governance in voor hun
dienstverlening; informatiebeveiliging, privacy en continuïteit van de bedrijfsvoering.
• administratieve lastenverlichting; • Alle organisaties in de e-overheid dragen bij en maken gebruik van een te
• transparantie; ontwikkelen gemeenschappelijk normenkader ten behoeve van bijvoorbeeld audits.
• proactieve dienstverlening; • E-overheidsorganisaties zorgen voor een uniforme en betrouwbare wijze waarmee
• een integrale en betrouwbare burgers en bedrijven zaken met haar kunnen doen.
overheid; • Informatiebeveiliging, privacy en continuïteit van bedrijfsprocessen vormen een
• verbeteren van de doelmatigheid. integraal onderdeel van een service of dienst.
Referenties
(Bel et al., 2006) (IEEE, 2000) (Van der Raadt, 2004)
GvIB Expert Brief, (2006), Security The Institute of Electrical and Electronics Raadt, B. van der, Soetendal, J., Perdeck,
architectuur: Nieuwe hype voor specialisten Engineers, (2000), IEEE Standard 1471- M. & Vliet, H. van ,(2004), Polyphony
of nuttig communicatiemiddel?, 2000: IEEE recommended practice for in Architecture, Proceedings 26th
Genootschap van Informatie Beveiligers. architecture description of software-intensive International Conference on Software
systems, ISBN: 0 7381 2518 0. Engineering (ICSE 2004), Edinburg, May
(Buitenhuis, 2007) 2004.
Pieter Buitenhuis, (2007), Fundamenten (Jochem et al., 2005)
van het principe Op weg naar een GvIB Expert Brief, (2005), Security (Vos, 2009)
prescriptieve architectuurmodelleertaal, Principes: Informatiebeveiliging op de Fijtse Vos, (2009), Architectuur voor de
Master thesis, Radboud Universiteit managementagenda, Genootschap van auditor: een zege of een nachtmerrie?, XR
Nijmegen. Informatie Beveiligers. editie 3.
Hans van Vliet, (2003), De dimensies in digitale wereld. Syllabus: Inleiding in de 2005), zie www.pvib.nl/bibliotheek
architectuurbeschrijvingen, Informatie. Digitale Architectuur. - Waarom architectuur?
Burke, op www.enterprisearchitectuur.net
(Hendriks & Oosterhaven, 2006) (Tapscott & Caston, 1993) - www.opensecurityarchitecture.org
Hendriks, C. M. & Oosterhaven, J. A., Tapscott, D., & D. Caston, (1993), Paradigm (zie ook artikel André Koot)
(2006), ICT Bibliotheek: Wendbaarheid door Shift – The New Promise of Information - www.sabsa-institute.org
Architectuur, Landelijk Architectuur Congres Technology. McGraw-Hill. - www.gartner.com
2006, Sdu Uitgevers, Den Haag.
(The Open Group, 2002)
The Open Group ,(2002), The Open Group
Architectural Framework. Version 8.
Lex: “Het is al weer ruim een jaar verantwoordelijk dat er goede richtlijnen Beschouw je security architectuur apart?
geleden dat je CIO van het jaar werd. en technologiekeuzes zijn, de andere Of is het geïntegreerd in andere
Hoe kijk je daar nu op terug? Hoe heeft bedrijfsdelen zijn verantwoordelijk dat architecturen? Waar verwacht je dat een
het jou en SNS Bank veranderd?” ze deze juist implementeren.” (security) architectuur voor SNS Bank
een antwoord op gaat geven?”
Alexander: “Het is mooi als je zoveel “Architectuur gaat over kennis en kunde.
support krijgt voor je werk. Die support De architecten besteden veel tijd aan Alexander: “Informatiebeveiliging hebben
komt van je eigen collega’s en je wordt het landen hiervan binnen de bedrijfs we geplaatst als staforganisatie, archi
gezien als partij die goed omgaat met onderdelen. Hierbij worden mechanismen tectuur is een lijnafdeling. Architectuur
automatisering. Het maakt je als werkgever gebruikt zoals train-de-trainer. Ook worden moet op haar beurt dus werken conform
aantrekkelijk. Wij willen IT in eigen hand architecten vooraf ingeschakeld om te de richtlijnen van informatiebeveiliging,
hebben en dat is dus een mooie spin-off adviseren en te helpen. Uiteindelijk zijn procesmatig is dit ingebed in hun manier
naar de markt. De jury gaf aan dat we een alle partijen tevreden over de samen van werken volgens DYA (Dynamische
goede visie en skills hebben en dat onze werking. Architectuur en informatie Architectuur, http://www.dya.info - red.).
architectuur een goede combinatie van de beveiliging hebben op papier veel macht, Ze worden hier net zoals andere
theorie en de praktijk is.” maar dat reikt niet tot aan de implementatie. bedrijfsdelen op gecontroleerd door IB.
Het is dus belangrijk dat ze backing Architectuur maakt jaarlijks het MAIS plan:
Lex: “Als we kijken naar drie krijgen van mij, en dat krijgen ze het Meerjarenplan Architectuur
activiteitsdomeinen binnen IT: onvoorwaardelijk.” Infrastructuur en Systeemontwikkeling.
uitvoering (het bestaande goed Dit is een praktische vertaling van de
uitvoeren) - verandering (nieuwe “Spanningen los ik op door het architectuur blauwdrukken en bevat
elementen introduceren) - architectuur managementteam in evenwicht te houden. verschillende hoofdstukken die de
(een weg uitstippelen waarlangs dat Dit is niet vanzelfsprekend en het vergt verschillende invalshoeken belichten.
loopt), dan zijn er natuurlijke wederzijds respect van alle partijen. Een hiervan is informatiebeveiliging.
spanningen tussen die domeinen. Respect verdien je door ook inhoudelijk te De resultaten zijn in de hele architectuur
Kijk je als CIO ook zo tegen IT aan? kunnen sparren. Je moet dus weten wat weerspiegeld. De top-down analyse van de
En zo niet, hoe dan wel? Hoe ga je het is om met je voeten in de klei te staan. noodzaak voor informatiebeveiliging is
om met die spanningen tussen de Praktijkervaring uit het verleden is hierbij belangrijk, daarna wordt het simpelweg een
activiteitsdomeinen? Is er een optimale onontbeerlijk. Aan een ivoren toren heb je uitvoeringscyclus (plan-do-check-act).”
verdeling?” niets. We doen veel aan job rotation om
deze praktijkervaring invulling te geven. Lex: “Zijn de spanningen (zie boven)
Alexander: “Wij maken verschil tussen Om te kunnen groeien is het nodig dat vergelijkbaar of anders als je specifiek
exploitatie, ontwikkeling en architectuur, medewerkers niet alleen met hun eigen vak naar security kijkt? Zijn er voor wat
en daarnaast onderkennen we ook bezig zijn geweest. Ik zie veel bedrijven betreft security ook spanningen omdat
relatiebeheer. Al deze diensten staan op hiermee worstelen.” security als non-functionals in verander
gelijk niveau en worden afgespiegeld in trajecten gezien wordt.
het management team. Er is een duidelijke Lex: “Hoe kijk je tegen informatie In hoeverre zijn de aspecten risico
taakverdeling. Architectuur is beveiliging en architectuur aan? management, time-to-market en
Als je op zoek bent naar iets over Security Architectuur kom je al snel terecht op de site van Open Security Architecture
(OSA). En dat is dan ook meteen een site waar je even kunt rondhangen.
OSA is een initiatief van enkele idealisten gebruik gemaakt van de Creative Commons Threats (bedreigingen), Icons (picto
op het gebied van het delen van kennis licentie, maar worden alle afbeeldingen grammen) en Pattern Templates
rond beveiligingsarchitecturen. En wat gepubliceerd in SVG-bestandsformaat, de (patroonsjablonen) zijn opgenomen.
ons betreft is dat helemaal niet verkeerd. open standaard voor vectorafbeeldingen. Daarnaast identificeert OSA Actors,
Vooral omdat deze mensen het ons mogelijk ofwel de functionarissen die een specifieke
maken de kennis hieromtrent gewoon in dit Ook maakt OSA zo veel mogelijk gebruik rol spelen in het beveiligingsproces.
blad te plaatsen: we gebruiken dezelfde van andere standaarden zoals de NIST
vrije licentievorm, de Creative Commons 800-53 set, die als basis geldt voor de Patronen
licentie. Dat betekent dat we in ieder geval beheersmaatregelen die binnen OSA binnen Een patroon wordt binnen OSA gedefinieerd
vrijelijk mogen putten uit de bron. de architectuur worden gepositioneerd. als een architecturele oplossing voor een
Daarnaast wordt ook gerefereerd aan probleem. Het is de bedoeling dat op
OSA project standaarden als CobiT en de ISO 17799. termijn de patronen voor Industry Verticals
Open Security Architecture is een OSA heeft binnen de architectuur geclusterd worden aangeboden, denk aan
doorlopend project dat gericht is op het kruisverwijzingen naar deze standaarden uitgewerkte security architecturen voor
faciliteren van bedrijven in het opstellen opgenomen. een branches als banken of logistieke
van een eigen security architectuur. De organisaties.
missie van het project luidt: ‘OSA distills OSA componenten
the know-how of the security architecture OSA bevat een bibliotheek waarin patterns De patronen zijn geclusterd in het Pattern
community and provides readily usable (patronen), Controls (beheersmaatregelen), Landscape.
patterns for your application. OSA shall be
a free framework that is developed and
owned by the community’.
Cloud Computing
Generic
Identity Management
Privacy Mobile Device
Public Web Server
SOA Internal Service Usage
SOA Publication and Location
Wireless- Using a public hotspot
to access a private network
Wireless: Using a managed access
point to access private network
Bronnen
OSA Website:
http://www.opensecurityarchitecture.org
NIST 800-53:
http://csrc.nist.gov/publications/
nistpubs/800-53-Rev2/
sp800-53-rev2-final.pdf
Het wordt hoog tijd dat we eens wat verder komen dan de obligate introductie
tot Jericho en de Jericho Principes. Wat betekent Jericho in de praktijk van
een bedrijf? Dit artikel gaat in op hoe je van een perimeter model (P-model)
naar een deperimeterized model (DP-model1) komt en welke van de Jericho
principes daar direct invloed op hebben. Hoe ziet zo’n DP-model er uit en
hoe definieer je dat? De rol van classificatie wordt toegelicht. Welke principes
liggen hieraan ten grondslag en welke principes zijn het gevolg van het nieuwe
model? Kennis van Jericho, van architectuur en natuurlijk van informatie
beveiliging verwachten we als voorkennis.
Jericho-principes voor een DP-model Jericho Principe 1 – P en DP model Daarbij moeten we bedenken dat een
Het Jericho Forum (www.JerichoForum.org) De letterlijke tekst van Jericho Principe 1 asset beter is te beschermen naarmate
is een internationale kennisgroep is op het luidt: ‘The scope and level of protection de bescherming dichter op het asset wordt
gebied van IT-beveiliging , opgericht om should be specific and appropriate to the geboden.
nieuwe oplossingen te ontwikkelen die asset at risk’. Om nog maar weer eens het grootste
nodig zijn voor de beveiliging van IT- Deze eerste aanbeveling omvat de misverstand rondom Jericho uit de wereld
systemen in de open wereld. Het Forum basisbeginselen van een visie op een te helpen: Jericho schrijft beslist niet voor
stelt dat de traditionele benadering waarbij bestaan zonder grenzen. De bedrijfsvoering dat de traditionele firewall moet
het afdoende is dat een firewall de grenzen vereist dat informatiebeveiliging een verdwijnen! Duidelijk wordt aangegeven dat
van het netwerk bewaakt niet langer op flexibele bedrijfsvoering mogelijk maakt de traditionele firewall aan de buitengrens
gaat. Het traditionele onderscheid tussen
‘jouw’ en ‘ons’ netwerk verdwijnt.
Het Jericho Forum noemt deze ontwikkeling
en tegelijkertijd kosteneffectief is. Terwijl
aan de ene kant de firewall op de grens van
het bedrijfsnetwerk een basisniveau aan
van een organisatie kan blijven, maar niet
langer toereikend is als enige maatregel.
Individuele systemen, diensten en zelfs
‘de-perimeterization’ (ontgrenzing). beveiliging blijft bieden, moeten de gegevens dienen aanvullende maatregelen
individuele systemen en data (assets) te treffen en zo mogelijk zichzelf te
Het Jericho Forum definieerde de 11 in staat zijn om zichzelf te beschermen. beschermen.
Jericho Commandments (Jericho-principes).
Deze kunnen worden gezien als de
ontwerpprincipes die de meest essentiële
requirements omvatten voor IT-beveiliging
in een wereld zonder grenzen. De aan
bevelingen dienen als referentiekader
waaraan concepten, oplossingen,
standaarden en systemen kunnen worden
getoetst.
In het kader van dit artikel zijn vooral drie
van de 11 Jericho principes van belang.
Zijn de overige Jericho principes dan niet
meer nodig of zijn ze minder belangrijk?
Nee, dat is de verkeerde conclusie. Puur
voor de scope van dit artikel ligt de focus
op de principes 1 en 6. Voor een volledig
overzicht verwijs ik naar de site van het
Jericho Forum. Figuur 1 - Traditioneel P-model
[1] In navolging van het Jericho Forum zelf in het Jericho Position Paper over Cloud Cube Model, hanteer ik de afkorting P-model, respectievelijk DP-model voor een
Perimeter Model cq een Deperimeterized Model.
wordt onderscheiden. De grens tussen het tot stand brengen van wederzijds
intern en extern netwerk wordt zwaar begrip bij de betrokken contractuele
bewaakt, maar eenmaal op het interne partijen in een transactie, inclusief de
netwerk wordt er geen of weinig onder verplichtingen die dit voor deze partijen
scheid gemaakt tussen de informatie met zich meebrengt. Dit lijkt een wollige
systemen. zin, maar dat blijkt mee te vallen zoals
voor het specifieke informatiesysteem dat organisaties, als ook de apparatuur
domein (figuur 4). zijn. In stap 3 ten slotte worden de
transitiecriteria bepaald, inclusief de
‘betrouwbaar’ en naar welke status gaat
die dan? Naar ‘neutraal’ of direct door naar
meetbare criteria die per transitie aangeven ‘zwarte lijst’ of ‘onbetrouwbaar’? Leggen we
onder welke condities een transitie wordt bij een medewerker die een keer een foutje
uitgevoerd. De volgende alinea’s maakt gelijk een zware straf op door de
behandelen deze stappen in meer detail. status te veranderen? Door dergelijke
vragen te beantwoorden en in kaart te
In stap 1 dienen twee belangrijke vragen brengen ontstaat het toestandsdiagram met
zich aan: hoeveel niveaus onderkennen we mogelijke overgangen.
en welke zijn dat dan? Als we kijken naar
de normale gang van zaken binnen een Na het vaststellen van het toestands
organisatie met medewerkers, ligt het diagram is het model bijna compleet.
eerste niveau voor de hand. Een De niveaus zijn onderkend en de
organisatie weet immers niets over een toegestane transities eveneens. Maar
nieuwe medewerker en elke medewerker onder welke voorwaarden welke overgang
krijgt het voordeel van de twijfel. Een wordt uitgevoerd, is nog niet vastgesteld.
Figuur 4 - Geclassificeerd DP-model nieuwe medewerker krijgt een neutrale, Dat is stap 3.
blanco status, namelijk die van ‘nieuw’. De criteria die definiëren welke transities
Merk op dat een geclassificeerd DP-model Zodra de eerste werkdag een feit is, krijgt mogelijk zijn, moeten specifiek en
waarin alle informatiesystemen dezelfde de medewerker kleur. Hij of zij begint met meetbaar zijn, want anders is het niet
classificatie hebben in feite overeenkomt een geloofwaardigheid van nul en brengt mogelijk om het betrouwbaarheidsniveau
met het P-model. In die situatie adviseer ik daar verandering in door betrouwbaar te automatisch vast te stellen.
om het toegepaste classificatieschema of handelen. Het werk wordt uitgevoerd. Voor een voorbeelduitwerking van een
de uitgevoerde classificatie nog eens goed Dat is conform de verwachting en de Multi Level Trust Model verwijs ik u graag
te evalueren. medewerker krijgt het niveau ‘betrouwbaar’. naar de eerder genoemde publicatie en naar
Merk bovendien op dat een belangrijke het Trust Framework zoals dat binnen de
reductie in complexiteit ontstaat omdat Het kiezen van de naam van het niveau is Open Group ontwikkeld wordt. Voor dit
ik in dit voorbeeld de classificatie per belangrijk. De status ‘nieuw’ impliceert artikel is het voldoende om als resultaat
informatiesysteem heb genomen. Strikt dat men daar nooit meer naar terug kan. van het gedefinieerde model aan te nemen
volgens Jericho Principe 6 is dit te grof en Want wat er ook gebeurt, het is positief of dat we voor medewerkers vier niveaus van
dient de classificatie per proces of per negatief en de medewerker wordt nooit vertrouwen onderkennen: nieuw, neutraal,
transactie (of per service) uitgevoerd te meer een nieuweling. Ter aanvulling betrouwbaar en zeer betrouwbaar (figuur
worden. In dat geval neemt de complexiteit definiëren we het niveau ‘neutraal’ voor 5).
enorm toe. de reguliere medewerkers die zich niet
Wellicht is het u opgevallen dat het bijzonder positief of negatief onder
vertrouwensniveau van personen tot nu scheiden.
toe buiten beschouwing is gebleven.
Daarover in de volgende paragraaf meer. Op basis van een normale gang van zaken
ontstaat zo al snel een model met drie
Een Multi Level Trust Model niveaus van vertrouwen: nieuw, neutraal,
Jericho Principe 6 vraagt ook voor betrouwbaar. Dit basismodel is breed
personen een Trust Model met meerdere toepasbaar en organisaties kunnen het
niveaus. Ik verwijs graag naar mijn naar wens aanpassen. Het belonen van
publicatie over dat Multi Level Trust Model loyale medewerkers kan een reden zijn
in Informatie2 of naar de presentaties van om een extra niveau te definiëren: zeer
de auteurs bij de RSA Conference of de betrouwbaar.
Open Group conference. Enkele aspecten
uit die publicatie zijn ook nu van belang. Het definiëren en benoemen van de niveaus
[2] ‘Waar baseert u dat vertrouwen op?’, door John Sluiter en Aaldert Hofman, Informatie, mei 2008
Figuur 6 - DP-domeinen voor werkplek per Trust Level Ook in de Jericho-stijl architectuur geldt
nog steeds dat beveiliging over de hele
keten verzorgd moet worden, dus dat is
De status ‘niet te vertrouwen’ komt niet invulling te geven, is het combineren van tot en met de werkplek van de medewerker.
voor in het model, omdat die medewerkers het DP-model en de Trust Levels. Dat doen Onafhankelijk van de soort werkplek, de
Beveiligingsarchitectuur in Jericho-stijl
niet meer bij de organisatie werken. we door een tabel te definiëren waarin voor locatie of de randapparatuur die gebruikt
elk Trust Level aangegeven staat welke wordt. Dat impliceert dat we in het DP-
DP-model en Trust Levels gecombineerd geclassificeerde DP-domeinen (en daarmee model ook enkele domeinen op moeten
Het laatste stapje dat we moeten zetten de informatiesystemen in dat DP-domein) nemen voor de werkplekken van de
om Jericho Principe 6 zo volledig mogelijk
zij mogen gebruiken. medewerkers (figuur 6).
Figuur 7 - Het totale DP-model
Daarmee komt het totale DP-model er als domeinen nu wel of niet toegestaan is. wederzijds vast te stellen betrouwbaarheid
volgt uit te zien (figuur 7), waarbij we in De bron daarvoor is de eerder gedefinieerde niveaus. Dat is nodig zowel bij communi
totaal zeven verschillende domeinen tabel. In een DP-model met deze catie tussen gebruikers en services als
onderkennen. Drie domeinen voor de werkomgevingen zijn de consequenties voor tussen services onderling.
werkplekomgevingen van de medewerkers wat betreft de informatiebeveiliging en de
en vier geclassificeerde domeinen voor de interacties tussen deze werkomgevingen: Op zich zal samenwerking met anderen
informatiesystemen. niet hoeven te leiden tot aanpassing van
In de werkelijkheid van veel organisaties • Interactie tussen logische het DP-model. Immers, het is juist een
zal dit model te simpel blijken, werkomgevingen die hetzelfde BIV-niveau DP-model omdat we in een wereldwijd met
bijvoorbeeld omdat: leveren vereist geen specifieke elkaar verbonden wereld leven. Juist door
• Naast de medewerkers zijn er additionele beveiligingsmaatregelen het afschaffen van de grenzen, of meer
meer actoren met werkplekken te anders dan de reguliere bescherming correct gezegd het opnieuw definiëren
onderkennen, zoals daar zijn: klanten van de interactie (en die reguliere of inrichten van de grenzen, wordt de
en potentiële klanten, business partners bescherming biedt beveiliging tot het samenwerking met andere partijen
als intermediairs, toeleveranciers of gespecificeerde niveau). eenvoudiger.
afnemers, dienstverleners waaraan • Interactie tussen logische
een deel van de IT of zelfs hele werkomgevingen die niet hetzelfde Waar in de samenwerking wel nadrukkelijk
bedrijfsprocessen zijn uitbesteed. BIV-niveau leveren, vereist wel degelijk aandacht aan moet worden besteed, is aan
De diversiteit en complexiteit in additionele beveiligingsmaatregelen om de gedefinieerde Trust Levels en aan de
werkplekomgevingen wordt enorm. de interactie veilig te doen zijn. inzichtelijkheid en transparantie van de
• In theorie kan er voor elke mogelijke classificatie. Want alleen in dat geval kan
BIV-combinatie een apart domein Als voorbeeld toont figuur 8 het wederzijds het niveau van vertrouwen goed
gedefinieerd worden. Bij vijf interactiemodel gezien vanuit de vastgesteld worden.
verschillende classificatieniveaus werkplekomgevingen met Trust Level
leidt dit tot maximaal 5 * 5 * 5 = 125 Nieuw of Neutraal. Concluderend
verschillende domeinen. Dat is in de Het definiëren van een Jericho-stijl security
praktijk niet werkbaar en in de praktijk Jericho Principe 7 - Samenwerking met architectuur is goed mogelijk. Het
zullen ook lang niet alle combinaties anderen Perimeter-model is met behulp van
voorkomen. Maar het aantal van vier Nog even een woord over Jericho Principe classificatie van de informatiesystemen
verschillende geclassificeerde domeinen 7, dat stelt dat betrouwbaarheidsniveaus en met behulp van Trust Levels voor de
uit dit artikel is wel aan de lage kant. nu veelal eenzijdig worden bepaald, medewerkers goed om te zetten naar een
omdat er meestal geen mogelijkheid is De-Perimeter-model. In deze worden
Tot nu toe is in dit model niet in kaart tot wederzijdse vaststelling van dit niveau. met name de Jericho Principes 1 en 6
gebracht welke communicatie tussen welke Het Jericho Forum zoekt naar juist wel naar toegepast.
Voor de aftrap voor de reeks Functies in de Informatiebeveiliging in de praktijk zoveel mogelijk bij de ICT en business
heeft Tom Bakker Ronald van Erven, Information Risk Officer bij de Grafische architecten in te brengen. En tot op heden
Bedrijfs Fondsen (GBF) geïnterviewd. In dit themanummer over Architectuur zal lukt dat aardig.”
nader worden ingegaan op de functies Business Information Security Architect
(BISA) en Information Security Architect (ISA). Kennen jullie een BISA en/of een ISA bij
GBF?
“De BISA functie bestaat niet als zodanig,
Wat heb je zoal gedaan in de informatie Informatie Beveiliging of ICT Security maar de taken worden wel uitgevoerd door
beveiliging en wat doe je nu? als nutsvoorziening. Net als dat je de business architecten en proces architecten.
“Ik werk sinds 1994 in informatie kraan open doet en veilig drinkwater De ISA functie heet bij ons ICT Architect.
beveiliging. Ik ben begonnen als network/ krijgt, moet de organisatie (lees: de Maar ook dit is een verzamelnaam voor
system specialist en in de periode 2000- eindgebruiker) op veilige ICT en netwerk, software/database of systeem
2008 ben ik IT security officer en IT informatie kunnen vertrouwen zonder architect. De ISO heeft een faciliterende
security manager bij Versatel en Translink de exacte eisen en infrastructuur te werking en helpt het architectenteam. Het
geweest. Tegenwoordig heb ik een kennen. De eindgebruiker van het is een doel van de ISO om het kennisniveau
modernere naam voor information security drinkwater weet globaal wat regels en qua beveiliging in het architectenteam op
officer (ISO), namelijk information risk eisen over drinkwater zijn en kan erop peil te brengen en te houden. Maar in de
officer bij GBF op de afdeling Risk & vertrouwen dat ze het kunnen gebruiken, praktijk blijkt dat de businessarchitecten
Compliance Management. In de wandel tot men instructies krijgt over dat het een goed zicht hebben op de informatie in
gangen heet het nog steeds ISO, misschien niet veilig is en dat men bijvoorbeeld hun bedrijfsprocessen en de waarde van die
wel omdat IRO niet klinkt. het water moet koken. Ditzelfde geldt informatie in relatie tot de CIA begrippen
Maar what’s in a name? Belangrijkste is voor ICT en ICT-beveiliging. De vanuit informatiebeveiliging. Maar de
leuk en uitdagend werk in het vakgebied. organisatie moet globaal van de hoed business- en proces architecten kunnen ook
Iets dat ik eigenlijk niet als werk zie, en de rand weten en de ICT-fabriek zorgt goed inschatten waar men controle of
maar een uit de hand gegroeide hobby. Het ervoor dat de ICT veilig is. Dit houdt in beveiligingmaatregelen zou willen nemen
leukste is de hoeveelheid creatieve mensen dat informatiebeveiliging in de genen en als dit een ICT maatregel is dan komt
die je tegenkomt. Mensen die er alles aan van ICT-ers moet zitten en dat elke men bij de ICT architecten. En in
doen om richtlijnen, beleid, beheer en manager in die ICT-fabriek aan samenspraak maken zij een technische-,
architecturen proberen te omzeilen.” (information) risk management moet procedurele- of bewustmakingsmaatregel.”
doen. De security specialist (IRO/IRM/
Hoe kijk je aan tegen architectuur en ISO) heeft dan een faciliterende rol en Op welke plek binnen in organisatie
security in het bijzonder? moet mensen bijstaan met oplossingen hoort een security architect thuis?
“De trend die ik bij mijn werkgevers inzet en scherp zijn op risico’s die over het “Het in de PvIB studie (functies in de
is dat security en dus het ‘security hoofd worden gezien. Een soort tweede- informatiebeveiliging) geschetste
architectuur-denken’ een nutsvoorziening is of derdelijns-beveiligings schil. principeplaatje van een organisatie vind
en dat het security-denken onderdeel moet ik teveel schijven en hokjes en zeker niet
zijn bij de ICT en business architecten. slagvaardig. Wij hanteren onderstaand
Een dedicated ISA is in elk geval bij de schema.
bedrijven waar ik werk geen optie. Het is Welke rol heb jij met betrekking tot
meer een rol die iemand die zich architect security architectuur?
noemt automatisch moet nemen en hij “Wat opvalt is dat veel mensen zich
wordt getoetst door of de IAD of door de tegenwoordig security architect noemen,
ISO/IRO (information security officer/ maar zich slechts op de techniek richten.
information risk officer).” Een architect of iemand die het security
architect-denken in zich heeft doet meer.
Kortom; ik heb wat als ISA (want dat is een
deelrol van mij) maar ik probeer altijd die
informatiebeveiligingsarchitectuur kennis
Een terugkerend thema in mijn werkzaamheden als beveiligingsexpert is dat ik elkaar, die nooit tot elkaar kunnen komen.
geconfronteerd word met het spanningsveld tussen de principiële aanpak van Of toch wel? Wat als we het niet meer als
architecten en de opportunistische insteek van projectmedewerkers. een strijd zien, maar als een spel? Door uit
Architecten kunnen zich aardig ingraven in hun principes die gevolgd moeten de overlevingsmodus te komen en het
worden en projecten hebben maar een beperkte tijd en middelen tot beschik- geheel als spel te zien, kunnen we ook het
king om een resultaat te bereiken. Het opvolgen van de architectuurprincipes speelveld en de spelregels tot ons laten
heeft soms tot gevolg dat een project meer kosten moet maken. Ik denk dat doordringen. Uiteindelijk zijn we met zijn
beveiligers vaker dan anderen hiermee te maken krijgen, doordat beveiliging allen bezig een succes te realiseren voor
vereist dat er met een andere insteek naar de materie gekeken wordt. één organisatie, die ons daarvoor beloont.
Hoe moeten we omgaan met dit spanningsveld? Ik heb daar wat gedachten Vergelijk dit eens met verschillende
over, die ik in dit artikel opgeschreven heb. voetbalclubs als Ajax en Feyenoord, die dit
jaar met goede spelers niet in staat zijn
Bijvoorbeeld: stel dat bij de realisatie van beloofd heeft dan waargemaakt kan worden, geweest een toppositie te realiseren en ze
een nieuwe applicatie ook een geheel nieuw of bij invulling blijkt dat het kostenplaatje lieten AZ met de roem en glorie wegkomen.
multi-factor authenticatiesysteem gebouwd niet meer past. Elke verstoring lijkt gelijk te Waar zit het verschil? In de voetbalwereld
moet worden. Strategisch gezien is dit een leiden tot de discussie ‘moet het project nu is het eenvoudig: de trainer heeft het
keuze die zinvol is, het project zal dit graag de last dragen van de implementatie van gedaan.
opnemen binnen de scope van het project, een dienst omdat het de eerste gebruiker
zolang ze er de ruimte voor krijgen. van de dienst is?’ Ook de politiek zit vol met principiële ego’s
Vervolgens komt er druk te staan op het en opportunisten. In deze wereld worden
project – het moet eerder klaar, of de Dit lijkt vaak een moeilijk te overbruggen de verschillen vaak levensgroot uitvergroot
selectie van het authenticatiesysteem duurt tegenstelling: de principiële aanpak en de en is de wil tot samenwerken ver te
wat langer doordat de leverancier wat meer opportunistische weg zijn tegenpolen van zoeken, vooral rond verkiezingstijd.
Conclusie
Ik weet zeker dat er velen zullen zijn die
Architectuurprincipes versus projectmatig opportunisme
In dit artikel neem ik u graag mee in de worden als het architectuurontwerp ten voldoen aan de Wet Bescherming
discussie ‘toegang tot patiëntgegevens’. uitvoer wordt gebracht. Dit ontwerp is Persoonsgegevens (WBP), Wet op de
Een actueel onderwerp dat tot verhitte niet een alledaags ICT ontwerp, want het Geneeskundige Behandel Overeenkomst
discussies leidt. Vanuit verschillende laat de techniek even voor wat het is. (WGBO), Wet medisch-wetenschappelijk
belangen wordt gekeken naar dit Het onderwerp is al ingewikkeld genoeg onderzoek met mensen (WMO), de Archief
probleem: de zorgverlener die gewoon het zonder ICT. Belangrijk is te constateren dat wet 1995, etc. En straks ook de Wet op
dossier wil inzien, de patiënt die inzage iedereen zijn eigen definities hanteert en het Elektronisch Patiënten Dossier (EPD).
wil beperken en de zorgverzekeraar die deze hebben we dan ook geslecht door het Vanuit deze laatste wet moet, voor het
graag wil weten waarvoor hij betaalt. eens te worden over de definities en vast aansluiten op het landelijke EPD, de
En in de universitaire setting zijn er ook te leggen als basis voor verdere discussie. toegang tot de informatie traceerbaar zijn.
nog wat wensen, zoals de onderzoeker En voor de rest wil de business er geen last
die allerlei dwarsdoorsneden wil kunnen Over het doel zijn we het snel eens: van hebben en is het vooral een niet leuk
maken van dossiers of de professor die optimale privacy met zo min mogelijk ICT feestje. Wat we nodig hebben is een
zijn studenten graag inzicht geeft in inspanning, die wel voldoet aan de wet. duidelijk richtlijnen document: hoe om
de interessante patiënten die op dat Concreet houdt dit in: de juiste toegang te gaan met toegang tot informatie. Dit
moment in behandeling zijn. Kortom; (identiteit) tot de juiste informatie (need moet voor zowel de business als de ICT
de ‘never ending story’ begint hier! to use) en het liefst nog op de juiste plaats begrijpelijk en bruikbaar zijn.
(locatie) en het juiste moment (tijd).
De echte ICT-er roept gelijk RBAC! Ooit wel Ondanks de ontwikkelingen naar WEB2.0,
eens gekeken naar RBAC? De literatuur die Het waarom is duidelijk: we willen graag waar de hiërarchie is losgelaten, zie je dat
hierover te vinden is, doet je de moed in de privacy van onze patiënten respecteren we toch graag vasthouden aan hiërarchie.
de schoenen zakken. Het starten van een en natuurlijk moeten we als zorginstelling Dat komt doordat organisatiestructuren,
discussie over role-based access control is
dan ook een lang slepende, die meestal
blijft hangen in de eerste letter: de rol.
In de praktijk lopen we gruwelijk vast
doordat traditioneel de autorisatie op
systeemniveau geregeld wordt, soms
op applicatieniveau, maar zelden op
informatieniveau. De diversiteit van
autorisatie is dan ook groot. Veelal zijn
toegangsregistraties vastgelegd op de
niveau’s systeem of applicatie en niet
op toegang tot informatie.
tot informatie. ingewikkeld, dit papieren dossier bevind Zeker deze laatste doelgroep maakt het
zich op de afdeling psychiatrie en is lastig om een goed werkbaar architectuur
Hier zie je aan de linkerkant het beleid, alleen toegankelijk voor zorgverleners op ontwerp te maken.
de keus die we gemaakt hebben in de die afdeling.
hiërarchie en aan de rechterkant de uit
voering zoals die in de infrastructuur
herkend wordt. Opeens wordt het duidelijk
waarom de huidige registraties van toegang
tot systemen niet meer bruikbaar zijn.
Het Excel werkblad waarop nu de persoon
en de toegang tot een systeem wordt
geregistreerd, zegt niets over de informatie
die de persoon kan benaderen. Met de
huidige toegangsregistraties is het
achterhalen wie nu toegang heeft tot
informatie voor een auditor een lastig
en tijdrovend karwei.
In dit model gaan we uit van toegang tot
informatie behorend bij de rol. Kijkend
naar de WBP en WGBO weten we welke
informatieattributen wel of niet toe
gankelijk mogen zijn voor bepaalde rollen. Figuur 2 - Abstracte indeling patiëntdossier
Rol gebaseerde toepassingen het UZI-register, DigiD als vertrouwde Dezelfde regel geldt ook intern.
Een ontwerp maak je niet alleen voor identiteitleverancier worden onderkend. Nog een belangrijke regel die te maken
toegangsbeveiliging, je kunt er veel meer heeft met de vernietigingsplicht: de
mee. Zo kan bij het aanmelden worden Aandachtspunten houdbaarheidsdatum van de opgevraagde
vastgesteld welke rol er aan hangt en kan 1 Zorg dat de instantie die de identiteit informatie. Ook hier wordt vaak opgemerkt
een voor die rol standaard schermopbouw levert als vertrouwd wordt onderkend. dat dit overbodig is, als de informatie
worden getoond. Ook kan een voorselectie 2 Zorg voor een koppeling tussen vernietigd is, kun je het niet meer
van informatie worden gedefinieerd op infrastructuur en het personeelssysteem. opvragen. In theorie klopt dit, maar
bijvoorbeeld het specialisme. Zo krijgt een 3 Zorg dat niet-medewerkers ook in het praktisch gezien kun je dossiers niet
internist meer generieke informatie te zien, personeelssysteem geregistreerd kunnen volledig vernietigen omdat deze vele malen
terwijl in hetzelfde hoofdscherm een worden. op back-upmedia staan. Het kan dus
chirurg meer detailinformatie krijgt van voorkomen dat een patiënt een opdracht
dezelfde patiënt. Voorwaardelijk toegang tot vernietiging geeft. Als patiënt wil je
De functie kan gebruikt worden om een Natuurlijk krijg je niet zomaar toegang tot hier niet een jaar op wachten tot het
mandaat vast te leggen. Zo kan een arts patiëntinformatie. Er zijn nog een aantal dossier ook uit de back-ups verdwenen is.
een arts in opleiding bepaalde patiënten barrières waar je doorheen moet. Neem Ook hebben we te maken met de archiefwet
toewijzen, zodat de arts in opleiding onder bijvoorbeeld de behandelrelatie die vanuit die vereist dat medische dossiers
supervisie van de arts dossiers kan inzien de WGBO verplicht is. Heb je geen onveranderbaar opgeslagen worden (zie
om een consult voor te bereiden. behandelrelatie met de patiënt, dan krijg link 2). De digitale archiefmedia die we
je geen toegang anders dan via de nood inzetten als archief zijn natuurlijk zo
Aandachtspunten procedure. Ook de toegang via de gebouwd dat er niets meer vernietigd
Het gebruik van rollen, functie, specialisme noodprocedure is vastgelegd in de WGBO. kan worden.
en beroepen kan voor meerdere doelen De WBP voegt nog wat regels toe voor de
gebruikt worden: bescherming van de patiënt (link 1). En als Aandachtspunten
• Vaststellen authenticiteit (vertrouwen) je als patiënt je eigen gegevens wilt inzien, 1 Zorg dat identificatie van zowel de
• Autorisatie (toegang) moeten we de leeftijd controleren. Ben je zorgverlener als de patiënt altijd
• Schermen (lay-out) jonger dan 12 jaar, dan mag inzage alleen eenduidig zijn (UZI & BSN).
• Informatie (inhoud) met toestemming van je wettelijke 2 Er moet een mandaatregeling zijn om de
• Mandaat (in opdracht van) vertegenwoordiger. Op je 12de mag je zelf wettelijke vertegenwoordigers toegang te
• Single Sign-on (gebruikers gemak) wel aanvullen maar niet corrigeren, dat verlenen tot de informatie van de (pleeg)
• Decentraal Rolbeheer (manager bepaald mag de wettelijke vertegenwoordiger dan kinderen.
wat een rol kan) weer wel. Ben je tussen de 12 en 16 jaar, 3 Een koppeling met het Landelijk EPD
dan heb je zelf toegang en mag de is nodig voor het invoegen van de
Vaststellen van de authenticiteit wettelijke vertegenwoordiger niet zonder eventuele bezwaren.
Binnen de zorg mag de identiteit van een meer informatie aanvullen. Ben je ouder 4 Het vernietigen van een dossier in ieder
persoon niet meer vastgesteld worden aan dan 16 jaar, dan mag je zelf het dossier geval regelen door deze niet te tonen
de hand van een gebruikersnaam en inzien, aanvullen en corrigeren. De aan de aanvrager.
wachtwoord. Dit is immers niet herleidbaar wettelijke vertegenwoordiger is dan de
tot de natuurlijke persoon. Zelfs het kijken toegang ontzegd.
in een medisch dossier moet tot op de Het landelijke EPD doet de laatste duit in
persoon herleidbaar zijn. Hiervoor zijn het zakje. Een patiënt kan bezwaar maken
sterke identificatiemiddelen en een tegen inzage in het dossier op zorg
identificatieproces noodzakelijk. En moet verlenerniveau of dossierniveau bij het
bijvoorbeeld het eigen personeelssysteem, opvragen vanuit andere zorginstellingen.
van nieuwe gegevens is het van belang dat geregeld. Deze moet dus zelf aangebracht
deze attributen niet per ongeluk onder een worden.
andere categorie gezet kunnen worden.
Er zijn medische onderzoeken waarbij de Aandachtspunten
afkomst van een bepaald ras van belang is. 1 Gebruik WBP, WGBO en andere
Dit mag alleen geregistreerd worden met brancheafhankelijke wetten als basis
ontheffing van College Bescherming voor de classificatie.
Persoonsgegevens (CBP). 2 Zorg dat er één bron van beroepen,
Wat het lastig maakt, is dat er weer functies en specialismen benoemd is.
uitzonderingen komen op de categorieën. 3 Zorg dat diverse registraties zoals
Zo zal vanuit de Wet op het EPD zal straks telefoongids, personeelssysteem
bepaald worden dat allergie ook zichtbaar en gebruikersregistraties dezelfde
moet zijn in de professionele samenvatting naamgeving en niveaus hebben.
(zie link 4) zodat er in de keuken of bij 4 Zorg voor een aliastabel voor functies
voorbereiding van de operatiekamer ook om vangnetconstructies in tact te laten.
rekening gehouden kan worden met 5 Een persoon kan meerdere beroepen
bepaalde allergieën. uitoefenen, meerdere specialismen
Dit pleit niet voor het aanpassen van de en rollen hebben.
basiscategorieën maar om uitbreiding 6 UZI-pas bevat niet alleen de
daarvan naar bijvoorbeeld views op persoonsidentificatie, maar ook
bepaalde informatiesets. Zo zal een het beroep en het specialisme.
categorie ‘professionele samenvatting’ een
van services. De controle van BSN wordt patiëntendossiers te hebben. 3 Regels vastleggen bijzondere gegevens
ook al via een service aangeboden en zo http://www.justitie.nl/images/
kunnen de toegangsregels ook via een Plaatsafhankelijke rol Handleiding%20voor%20verwerkers%20
Patiënt Bezwaar Service geregeld worden. Steeds meer techniek komt beschikbaar persoonsgegevens_tcm34-3940.pdf
Het zou mooi zijn als het huidige waarmee ook de plaats van de identiteit 4 Richtlijn gegevensuitwisseling
bezwaarprocedure, nu nog een papieren bepaald kan worden. Is de rol architectuur http://www.nictiz.nl/uploaded/FILES/
tijger, ook als service wordt aangeboden eenmaal in gebruik, dan is ook een Spoedeisende%20hulp/Richtlijn%20
vanuit het Landelijke EPD. uitbreiding naar locatie afhankelijke gegevensuitwisseling%20HA-AMB-SEH%20
toegang niet ingewikkeld toe te voegen. definitief%20v2.pdf
Meerdere rollen 5 Wet BIG
In een zorgbedrijf kan een persoon in Content afhankelijke identificatie http://www.ribiz.nl/diplomaenwerk/
meerdere domeinen actief zijn. Dat houdt Uiteindelijk willen we naar een identificatie wetenregelgeving/wetbig/
in dat een persoon verschillende toegangen op het moment dat de informatie erom
moeten hebben. Dit is een praktisch vraagt. Zo hoeft een gebruiker zich niet
probleem waar we pragmatisch mee te identificeren zolang deze publieke URLs
moeten omgaan. Voorlopig hebben we informatie op vraagt. Zodra de gebruiker 1 http://tiny.cc/CbpAanvullingCorrectie
de verschillende domeinen op pasniveau informatie opvraagt waarvoor identificatie 2 http://tiny.cc/WGBO_deel3
gescheiden. Logt iemand in met DigiD dan noodzakelijk is, zal de gebruiker de 3 http://tiny.cc/WBP_handleiding
is het een burger of patiënt. Logt dezelfde keus worden gesteld in te loggen met 4 h
ttp://tiny.cc/NICTIZ_
persoon in met een UZI-pas, dan heeft een bijpassend identificatiemiddel. ProfessioneleSamenvatting
deze de rol zorgverlener. Inloggen met een De informatieattributen zijn immers 5 http://tiny.cc/RIBIZ_beroepenInDeZorg
medewerkerpas is een ondersteunende rol. geclassificeerd. Voorlopig is het nog niet
Assets (What) Motivation (Why) Process (How) People (Who) Location (Where) Time (When)
Contextual The Business Business Risk Business Process Model Business Organisation & Business Geography Business Time
Management Relationships Dependencies
Conceptual Business Attributes Control Objectives Security Strategies & Security Equity Model & Security Domain Model Security Related
Profile Architectural Layering Trust Framework Lifetimes & Deadlines
Figure 7-6: The Contextual and Conceptual Rows of the SABSA® Matrix
Begrippen en kaders
en op verschillende plaatsen aangehaald
wordt. Het is ingedeeld in de contextuele
laag onder motivatie (Figure 7-6, pagina
115).
1. Bedrijfsmodel
Beschrijf de drijfveren (drivers) en
middelen (assets) van het bedrijf in het
bedrijfsmodel. Het bedrijfsmodel wordt
beschreven in bedrijfskenmerken (busi
ness attributes) (Figure 6-4, pagina 88).
2. Dreigingsanalyse
Vanuit een vaste database met
dreigingen (Table 9-1 t/m 9-7, pagina
191-205) en de impact die dat heeft op
het bedrijf wordt het bedrijfsrisicomodel
samengesteld. Er is een raamwerk om Figure 7-5: Developing the Conceptual Security Architecture
het draaiboek van het verloop van
dreigingen te modelleren (Figure 9-2,
pagina 202).
3. Impactanalyse
De impact komt weer vanuit het
bedrijfsmodel. Dit levert de
bedrijfsrisico analyse deel 1.
Figure 9-2: Framework for a Threat Scenario De twee analyses worden gecombineerd duidelijk afhankelijk van de risico analyse.
en in een risico categorie ingedeeld Er wordt een gestructureerde methode
(Figure 9-3, pagina 208). beschreven die uitgaat van de drijfveren
en middelen van het bedrijf. Hiermee valt
SABSA niet in een valkuil zoals alleen de
Beheersdoelen ICT middelen in het bedrijf te beschouwen
Als volgende stap worden uit het of uit te gaan van een standaard checklist.
business risk model de beheersdoelen De risico analyse zelf bevat de stappen
(control objectives) afgeleid. Hiermee die je van zo’n analyse mag verwachten,
is de overgang van de contextuele laag waarbij de verschillende stappen goed en
naar de conceptuele laag gemaakt. duidelijk uit elkaar getrokken zijn. Hiermee
Dit heeft vervolgens niets meer met heeft het resultaat van de analyse een
Figure 9-3: Mapping Risk Categorie to Impact and risicomanagement te maken, behalve dat duidelijke traceerbaarheid terug naar de
Vulnerability in de kwetsbaarheidanalyse de effecten van uitgangspunten.
Column
Het voorjaar is goed begonnen en ik lig ik in één probleem en dat was met mijn werk- en mijn eigen huis eruit ging zien. U begrijpt,
mijn hangmat te luisteren naar de vogeltjes studeerkamer. Ik wilde namelijk niet alleen de investering van drie goede flessen wijn
die in mijn tuin zich te goed doen aan alles ramen in de schuine wanden, maar ook een had zijn rendement niet opgebracht en de
wat er gedurende de winter is komen te lig bescheiden raam in de gevel van de woning. onderhandelingen zaten muurvast.
gen. Met de ogen half dicht geknepen, kijk Zowel de voor- als de achtergevel moesten
ik naar mijn huis dat nodig weer eens een in de nok van de gevel een driehoekig raam Na veel verbaal vuurwerk is het uiteinde
schoonmaakbeurt nodig heeft, maar mijn hebben, waardoor het licht op de zolder per lijk toch goed gekomen en hebben we een
aandacht gaat nog meer naar het raampje in fect zou zijn. Op mijn verzoek ging de archi compromis bereikt. De voorgevel van mijn
de gevel. tect met versie twaalf aan de gang en toen huis bleef ongemoeid en de achtergevel
deze tekeningen op de deurmat ploften, is voorzien van mijn hartenwens. Toen de
Mijn huis is van het conventionele type, zo bleek wederom dat alles goed was, behalve woning eenmaal door ons bewoond werd, zat
als dat vaak door kinderen wordt getekend: dan dat de driehoekige raampjes ontbraken. ik tevreden op mijn zolder te werken toen ik
voordeur, puntdak, schoorsteen met rook Geërgerd belde ik de architect (laten we hem achter in de tuin een bekende verschijning
eruit en een paar bomen erbij. Vijftien jaar Jan noemen) die mij aangaf dat ik niet blij zag. Jan liep er rond. Ik zocht hem op en
geleden bedacht ik samen met mijn vrouw zou zijn met de kosten die de twee raampjes ik heb hem een rondleiding door het huis
dat als we een huis wilden (laten) bouwen met zich mee zouden brengen. Jan noemde gegeven. Tot slot bekeken we mijn werk- en
dat we er dan niet te lang mee moesten een bedrag en daar werd ik inderdaad niet studeerkamer. Bewonderend keek hij naar
wachten en al snel kocht ik bij ons in de ge blij van. mijn bureau en het inmiddels beruchte raam.
meente een stukje grond. Bij de overdracht Hij zei niets, maar ik kon het niet laten en
van de grond kreeg ik van de gemeente een Ik nodigde Jan bij ons thuis uit om tijdens ik vroeg aan hem of hij het mooi vond. Weer
dik pak papier waarop alle bouwvoorschrif een goed glas wijn de dreigende impasse zei hij zei niets en ik gaf hem aan dat ik als
ten stonden en ik kwam er al snel achter dat te bespreken. Na twee flessen wijn kon Jan eigenaar van de woning bijzonder tevreden
ik wel verstand heb van IT, maar minder van mij nog steeds niet uitleggen waarom de was met mijn raampje. Zwijgend liep hij de
bouwen van huizen. Dus ik ben maar eens prijs, van de in mijn ogen zeer kleine wens, zoldertrap af. Ik zweeg dit keer ook, maar
op zoek gegaan naar een architect die mij zo hoog moest zijn. Ik wil u graag de uitleg bedacht dat het helemaal terecht was dat ik
kon helpen mijn reine stukje grond te voor van Jan besparen, maar na nog een flesje nu genoot van mijn raam.
zien van ons droomhuis. Kaapse Pracht kwam het hoge woord er uit.
Meneer Jan vond het niet passen binnen Rillend word ik wakker. Ik rol uit mijn hang
De twee gevels waren al snel getekend en zijn concept. Na een paar wijntjes word ik mat, jammer dat het in april tegen de avond
de eisen van vier slaapkamers, een ruime altijd zeer gevat en ik riep tegen Jan dat al zo snel kouder wordt. Terwijl ik terugloop
leefomgeving en een zeer ruime zolder waar het ook niet in zijn concept moest passen, naar het huis kan ik de neiging niet onder
ik mijn werk- en studeerkamer wilde heb maar in mijn huis. Jan zette zijn glas neer drukken om nog even naar boven te kijken.
ben, stonden al snel op de bouwtekening. en zei dat het dan wel mijn huis was, maar Glimlachend loop ik de keuken in.
Avonden achter elkaar zaten mijn vrouw en ook zijn ontwerp en dat was leidend. Ik
ik gebogen over de tekeningen, inmiddels mompelde nog dat het eigenlijk te gek was Groeten,
versie elf. We waren er bijna uit, ik had nog voor woorden dat ik niet mocht bepalen hoe Berry