Risicoanalyse van Malware management
advertisement
Risicoanalyse van Malware management Datum laatste versie [Publish Date] 0. DOELSTELLING VAN DIT DOCUMENT............................................................................................................ 3 1. BESCHRIJVING VAN DE MALWARE TECHNOLOGIE .......................................................................................... 3 2. GLOBALE SCORE VAN HET BEHEER VAN MALWARE ......................................................................................... 3 3. IDENTIFICATIE VAN DE STAKEHOLDERS ......................................................................................................... 3 3.1 Operationeel beheer en expert ICT ..................................................................................... 3 3.2 Operationeel beheer extern (leverancier) ........................................................................... 3 3.3 Is er een projectgroep voor malware? ................................................................................ 3 4. LEVERANCIERSINFORMATIE (OPGELET: OPERATIONELE DIENSTEN) .................................................................... 3 4.1 Gegevens van de externe leverancier (indien van toepassing) ........................................... 4 4.2 Contractuele afspraken aanwezig....................................................................................... 4 4.3 Verwerkersovereenkomst aanwezig ................................................................................... 4 4.4 Beschrijving van incidentopvolging door de leverancier ..................................................... 4 4.5 Toegangsmethode .............................................................................................................. 4 4.6 Toegangsrechten................................................................................................................. 4 4.7 Leverancier verantwoordelijk voor systeemonderhoud? .................................................... 4 4.8 Wordt er data uitgewisseld met de leverancier voor test- debug- of ontwikkeldoeleinden? .................................................................................................................... 4 5. GLOBALE TECHNISCHE ARCHITECTUUR (PRODUCTIE) ..................................................................................... 4 5.1 Beschrijving van de technologie .......................................................................................... 4 5.2 Globaal technisch architectuurschema ............................................................................... 4 5.3 Servernamen van servers/systeemcomponenten die bij bescherming tegen malware wordt gebruikt ................................................................................................................................ 5 6. KENMERKEN VAN HET MALWARE PROCES .................................................................................................... 5 6.1 Instellingen voor automatische malware scans .................................................................. 5 6.2 Instellingen voor ad-hoc scans ............................................................................................ 5 6.3 Uitschakelen van anti-malware .......................................................................................... 5 6.4 Anti-malware op systemen van de ICT dienst ..................................................................... 5 6.5 Webverkeer onder systeembeheerdersrechten .................................................................. 5 6.6 Instellingen voor update van de malware beschermingssoftware ..................................... 5 6.7 Instellingen voor update van de malware beschermingssoftware ..................................... 5 6.8 Scope van de malware bescherming ................................................................................... 5 6.9 Malware bescherming voor installatie van anti-malware definities .................................. 5 6.10 Malware bescherming op netwerkniveau........................................................................... 5 7. MONITORING ......................................................................................................................................... 5 7.1 Beschrijving van de monitoring van de malware software ................................................. 6 7.2 Hoe wordt de monitoring opgevolgd? ................................................................................ 6 8. INCIDENTHANDELING ............................................................................................................................... 6 8.1 Wat is de standaard procedure bij een malware incident op een werkstation? ................ 6 8.2 Wat is de standaard procedure bij een malware incident op een server? .......................... 6 8.3 Wat is de standaard procedure bij een malware incident op overige toestellen? .............. 6 9. TOEGANG/ROLLEN TOT DE MALWARE BEHEERDERSTOEPASSING ...................................................................... 6 9.1 Toegang tot de toepassing? ................................................................................................ 6 9.2 Weke rollen bestaan er? ..................................................................................................... 6 9.3 Beschrijf het rollenbeheer ................................................................................................... 6 9.4 Hoe worden authenticatiegegevens uitgereikt aan de gebruikers? ................................... 6 10. DOCUMENTERING VAN HET ANTI-MALWARE PROCES ............................................................................ 6 11. RISICO’S EIGEN AAN DE ICT TOEPASSING ............................................................................................ 6 12. VERSLAG VAN SECURITY TESTEN ........................................................................................................ 6 0. DOELSTELLING VAN DIT DOCUMENT Voor alle applicaties die persoonsgegevens verwerken, inclusief hun onderliggende ICT componenten) dienen de risico’s worden opgesomd met het oog op De verwerking van persoonsgegevens in de componenten De technische en organisatorische beveiligingsmaatregelen die hieraan gekoppeld zijn. Onderliggend aan de toepassing zijn een aantal technische componenten verbonden, die in sterke mate de informatieveiligheid van de gehele verzameling toepassingen bepalen. Al deze componenten worden onderworpen een Risico identificatie. Voor algemene ICT processen zoals back-up, malware enz. Is de scope van deze fiche de ganse ICT omgeving (dus ruimer van de opgesomde toepassingen). 1. BESCHRIJVING VAN DE MALWARE TECHNOLOGIE <Geef hieronder een korte beschrijving (incl. Naamgeving van de producten - detailinformatie zie volgende secties) van de malware technologieën die worden gebruikt en wat hun (algemene) toepassingsgebied is (servers, workstations, vreemde toestellen enz.). Is er malwarebescherming specifiek voor webverkeer, bescherming van e-mail verkeer, cloud toepassingen, op netwerkniveau?> <Vul deze informatie aan met een globale beschrijving van het incident opvolgingsproces. Benoem de kernelementen, meer info in detail komt aan bod in de secties hieronder> 2. GLOBALE SCORE VAN HET BEHEER VAN MALWARE <Eenmaal dit document volledig is ingevuld, wordt hier een algemene beoordeling genoteerd (niet in te vullen in de eerste invulronde)> 3. IDENTIFICATIE VAN DE STAKEHOLDERS 3.1 Operationeel beheer en expert ICT < Wie is operationeel verantwoordelijk bij ICT voor malware?> 3.2 Operationeel beheer extern (leverancier) <Identificatiegegevens van een eventuele leverancier die betrokken is bij het operationeel houden van de malware omgeving> 3.3 Is er een projectgroep voor malware? <Is er structureel overleg bij ICT over malware, dan kan dit hier worden toegelicht> 4. LEVERANCIERSINFORMATIE 4.1 Gegevens van de externe leverancier (indien van toepassing) <Geef hier meer concrete contactgegevens van de leverancier (niet de producent) die operationeel betrokken is bij malware bescherming. Wie zijn aanspreekpunten? Wie kan je contacteren bij escalatie? Op welke manier kan je de leverancier bereiken (ticketingsysteem, nummer van een support desk, …> 4.2 Contractuele afspraken aanwezig <Zijn er contractuele afspraken? Waar bevindt het contract zich?> 4.3 Verwerkersovereenkomst aanwezig <Is er een vertrouwelijkheidsclausule met de leverancier? Wat houdt deze in?> 4.4 Beschrijving van incidentopvolging door de leverancier <Welke zijn de interventietijden?> 4.5 Toegangsmethode <Op welke manier verkrijgt de leverancier toegang tot de systemen? Hebben zij toegang via VPN, Citrix of fysieke toegang tot de omgeving of komen ze langs bij interventies?> 4.6 Toegangsrechten <Wat zijn de gebruikersnamen waarvan de leverancier het wachtwoord kent? Welke rechten zijn hieraan gekend? Maak een onderscheid tussen geprivilegieerde en gewone toegangsrechten. In geval van geprivilegieerde, duidt dan aan of dit op niveau van de server is of op niveau van het netwerk> 4.7 Leverancier verantwoordelijk voor systeemonderhoud? <Is de leverancier verantwoordelijk voor de systeemupdates van het onderliggende besturingssysteem of ligt deze verantwoordelijkheid bij ICT?> 4.8 Wordt er data uitgewisseld met de leverancier voor test- debug- of ontwikkeldoeleinden? <Geef aan of er gegevens met de leverancier worden uitgewisseld en op welke manier dat dan gebeurt (vb ftp of via mail of …?> 5. GLOBALE TECHNISCHE ARCHITECTUUR (PRODUCTIE) 5.1 Beschrijving van de technologie <Welke technologie wordt gebruikt voor malware bescherming? Geef hieronder een overzicht van de technologische componenten, eventueel opgedeeld volgens servers, werkstations, netwerk, proxy, e-mail server. Verwijs eventueel ook naar het architectuurschema hieronder.> 5.2 Globaal technisch architectuurschema <Geef conceptueel het architectuurschema van de malware infrastructuur weer waarin de systeemcomponenten worden aangeduid en waaruit de architectuur van de toepassing duidelijk wordt (globaal, geen details)> 5.3 Servernamen van servers/systeemcomponenten die bij bescherming tegen malware wordt gebruikt <Som hieronder de servers op die voor het inrichten van anti-malware worden gebruikt> 6. KENMERKEN VAN HET MALWARE PROCES 6.1 Instellingen voor automatische malware scans <Wat zijn de instellingen voor periodieke malware scans (frequentie en scope vb wel/geen systeemregisters enz)? Maak indien nodig een onderscheid per toepassingsgebied i.e. servers, werkstations, …> 6.2 Instellingen voor ad-hoc scans < Wat zijn de instellingen voor actie gedreven malware scans (vb aanbrengen van een extern medium, downloaden van een bestand, …)? Maak indien nodig een onderscheid per toepassingsgebied i.e. servers, werkstations, …> 6.3 Uitschakelen van anti-malware <Kan de eindgebruiker malware bescherming uitschakelen? In welke gevallen?> 6.4 Anti-malware op systemen van de ICT dienst <Zijn alle werkstations van ICT medewerkers beschermd door een actieve virusscanner?> 6.5 Webverkeer onder systeembeheerdersrechten <Welke beschermingsmaatregelen tegen malware zijn van kracht bij het gebruik van internet onder geprivilegieerde rechten.> 6.6 Instellingen voor update van de malware beschermingssoftware <Met welke frequentie wordt de malware toepassing zelf bijgewerkt?> 6.7 Instellingen voor update van de malware beschermingssoftware <Met welke frequentie wordt de malware definities bijgewerkt?> 6.8 Scope van de malware bescherming <Welke systemen zijn niet opgenomen in de malware strategie (detailopsomming is niet nodig – geef eventueel aan welk systeem dit operationeel bijhoudt zodat je de beschrijving kan beperken. Geef in dat geval een actuele dekkingsgraad. Hou in ieder geval rekening met de aanwezigheid van anti-malware op servers, workstations, systemen van technische dienst en gebouwenbeheer, vreemde toestellen en toestellen van leveranciers enz > 6.9 Malware bescherming voor installatie van anti-malware definities <Welke maatregelen zijn van kracht voordat een systeem wordt voorzien van anti-malware vb voor en tijdens uitrol van een server/werkstation>? 6.10 Malware bescherming op netwerkniveau <Welke maatregelen zijn van op netwerkniveau i.e. firewall of netwerkapparatuur>? 7. MONITORING 7.1 Beschrijving van de monitoring van de malware software <is er bepaalde monitoring voorzien? Welke? > 7.2 Hoe wordt de monitoring opgevolgd? <Is er een dashboard? Wie heeft toegang tot het dashboard of worden er mails verstuurd?> 8. INCIDENTHANDELING 8.1 Wat is de standaard procedure bij een malware incident op een werkstation? <beschrijf op welke manier een malware incident wordt opgevolgd?> 8.2 Wat is de standaard procedure bij een malware incident op een server? <beschrijf op welke manier een malware incident wordt opgevolgd?> 8.3 Wat is de standaard procedure bij een malware incident op overige toestellen? <beschrijf op welke manier een malware incident wordt opgevolgd?> 9. TOEGANG/ROLLEN TOT DE MALWARE BEHEERDERSTOEPASSING 9.1 Toegang tot de toepassing? <Wie heeft toegang tot het malware beheer systeem?> 9.2 Weke rollen bestaan er? <Welke rollen bestaan er in het malware beheer systeem?> 9.3 Beschrijf het rollenbeheer <Beschrijf het proces voor het beheer van de rollen op niveau van het malware beheer systeem > 9.4 Hoe worden authenticatiegegevens uitgereikt aan de gebruikers? <Indien relevant: hoe geef je wachtwoorden door van de malware beheer systeem?> 10. DOCUMENTERING VAN HET ANTI-MALWARE PROCES <Welke delen van het anti-malware proces zijn afgedekt door operationele procedures? > 11. RISICO’S EIGEN AAN DE ICT TOEPASSING <Open veld. Zie je specifieke risico’s? Vb zijn er delen van de ICT infrastructuur die niet voorzien zijn van antimalware? Welke?> 12. VERSLAG VAN SECURITY TESTEN <Zijn er security testen gebeurd op de anti-malware omgeving?>
