Risicoanalyse van het Netwerk management Datum laatste versie [Publish Date] 0. DOELSTELLING VAN DIT DOCUMENT............................................................................................................ 3 1. GLOBALE SCORE VAN HET NETWERK MANAGEMENT ...................................................................................... 3 2. IDENTIFICATIE VAN DE STAKEHOLDERS ......................................................................................................... 3 2.1 Operationeel beheer en expert ICT ..................................................................................... 3 2.2 Operationeel beheer extern (leverancier) ........................................................................... 3 2.3 Is er een projectgroep voor netwerkmanagement? ............................................................ 3 3. LEVERANCIERSINFORMATIE ....................................................................................................................... 3 3.1 Gegevens van de externe leverancier (indien van toepassing) ........................................... 3 3.2 Contractuele afspraken aanwezig....................................................................................... 3 3.3 Verwerkersovereenkomst aanwezig ................................................................................... 3 3.4 Beschrijving van incidentopvolging door de leverancier ..................................................... 4 3.5 Toegangsmethode .............................................................................................................. 4 3.6 Toegangsrechten................................................................................................................. 4 3.7 Leverancier verantwoordelijk voor systeemonderhoud? .................................................... 4 3.8 Wordt er data uitgewisseld met de leverancier voor test- debug- of ontwikkeldoeleinden? .................................................................................................................... 4 4. GLOBALE TECHNISCHE ARCHITECTUUR (BEKABELD) ....................................................................................... 4 4.1 Beschrijving van de technologie .......................................................................................... 4 4.2 Globaal technisch architectuurschema ............................................................................... 4 4.3 Specifieke beschermingsmaatregelen op de ACCESS laag .................................................. 4 5. GLOBALE TECHNISCHE ARCHITECTUUR (DRAADLOOS) .................................................................................... 4 5.1 Beschrijving van de technologie .......................................................................................... 4 5.2 Globaal technisch architectuurschema ............................................................................... 5 5.3 SSID’s ................................................................................................................................... 5 6. PERIMETER: GLOBALE TECHNISCHE ARCHITECTUUR .................................................................................... 5 6.1 Beschrijving van de technologie .......................................................................................... 5 6.2 Globaal technisch architectuurschema ............................................................................... 5 7. IP SEGMENTERING ................................................................................................................................... 5 7.1 Welke strategie van segmentering is van kracht? .............................................................. 5 7.2 Beschrijving van de security tussen netwerksegmenten ..................................................... 5 8. INTERNETVERBINDING .............................................................................................................................. 5 8.1 Beschrijf de setup van de internetverbindingen? ................................................................ 5 8.2 Redundantie van de internetverbindingen.......................................................................... 5 8.3 Publieke IP adessen ............................................................................................................. 5 9. MONITORING ......................................................................................................................................... 5 10. 9.1 Hoe wordt de netwerkomgeving gemonitored? ................................................................. 5 9.2 Hoe wordt de monitoring opgevolgd? ................................................................................ 6 TOEGANG TOT DE CONFIGURATIEPOORTEN ......................................................................................... 6 10.1 Hoe is de toegang tot de verschillende configuratiepoorten van de netwerkcomponenten beveiligd? ....................................................................................................................................... 6 11. DOCUMENTERING VAN HET NETWERK BEHEERS PROCES ........................................................................ 6 12. RISICO’S EIGEN AAN DE ICT TOEPASSING ............................................................................................ 6 13. VERSLAG VAN SECURITY TESTEN ........................................................................................................ 6 0. DOELSTELLING VAN DIT DOCUMENT Voor alle applicaties die persoonsgegevens verwerken, inclusief hun onderliggende ICT componenten) dienen de risico’s worden opgesomd met het oog op De verwerking van persoonsgegevens in de componenten De technische en organisatorische beveiligingsmaatregelen die hieraan gekoppeld zijn. Onderliggend aan de toepassing zijn een aantal technische componenten verbonden, die in sterke mate de informatieveiligheid van de gehele verzameling toepassingen bepalen. Al deze componenten worden onderworpen een Risico identificatie. Voor algemene ICT processen zoals back-up, malware enz. Is de scope van deze fiche de ganse ICT omgeving (dus ruimer van de opgesomde toepassingen). 1. GLOBALE SCORE VAN HET NETWERK MANAGEMENT <Eenmaal dit document volledig is ingevuld, wordt hier een algemene beoordeling genoteerd (niet in te vullen in de eerste invulronde)> 2. IDENTIFICATIE VAN DE STAKEHOLDERS 2.1 Operationeel beheer en expert ICT < Wie is operationeel verantwoordelijk bij ICT voor netwerkmanagement?> 2.2 Operationeel beheer extern (leverancier) <Identificatiegegevens van een eventuele leverancier> 2.3 Is er een projectgroep voor netwerkmanagement? <Is er structureel overleg bij ICT over het netwerk, dan kan dit hier worden toegelicht> 3. LEVERANCIERSINFORMATIE 3.1 Gegevens van de externe leverancier (indien van toepassing) <Geef hier meer concrete contactgegevens van de leverancier (enkel van toepassing indien de leverancier operationele ondersteuning biedt). Wie zijn aanspreekpunten? Wie kan je contacteren bij escalatie? Op welke manier kan je de leverancier bereiken (ticketingsysteem, nummer van een support desk, …> 3.2 Contractuele afspraken aanwezig <Zijn er contractuele afspraken? Waar bevindt het contract zich? Openlaten als je het niet meteen weet> 3.3 Verwerkersovereenkomst aanwezig <Is er een vertrouwelijkheidsclausule met de leverancier? Wat houdt deze in?> 3.4 Beschrijving van incidentopvolging door de leverancier <Welke zijn de interventietijden?> 3.5 Toegangsmethode <Op welke manier verkrijgt de leverancier toegang tot de systemen? Hebben zij toegang via VPN, Citrix of fysieke toegang tot de omgeving of komen ze langs bij interventies?> 3.6 Toegangsrechten <Wat zijn de gebruikersnamen waarvan de leverancier het wachtwoord kent? Welke rechten zijn hieraan gekend? Maak een onderscheid tussen geprivilegieerde en gewone toegangsrechten. In geval van geprivilegieerde, duidt dan aan of dit op niveau van de server is of op niveau van het netwerk> 3.7 Leverancier verantwoordelijk voor systeemonderhoud? <Is de leverancier verantwoordelijk voor de systeemupdates van het onderliggende besturingssysteem of ligt deze verantwoordelijkheid bij ICT?> 3.8 Wordt er data uitgewisseld met de leverancier voor test- debug- of ontwikkeldoeleinden? <Geef aan of er gegevens met de leverancier worden uitgewisseld en op welke manier dat dan gebeurt (vb ftp of via mail of …?> 4. GLOBALE TECHNISCHE ARCHITECTUUR (BEKABELD) 4.1 Beschrijving van de technologie <Welke technologie wordt gebruikt voor het netwerk? Geef hieronder een overzicht van de technologische componenten. Verwijs eventueel ook naar het architectuurschema hieronder, eventueel opgesplitst in CORE/ACCESS/DISTRIBUTIE> 4.2 Globaal technisch architectuurschema <Geef conceptueel het architectuurschema van de netwerkomgeving weer waarin de systeemcomponenten worden aangeduid en waaruit de architectuur ervan duidelijk wordt, eventueel opgesplitst in CORE/ACCESS/DISTRIBUTIE (globaal, geen details)> 4.3 Specifieke beschermingsmaatregelen op de ACCESS laag <Welke maatregelen zijn genomen op de access layer om te verhinderen dat men toegang hiertoe krijgt?> 5. GLOBALE TECHNISCHE ARCHITECTUUR (DRAADLOOS) 5.1 Beschrijving van de technologie <Welke technologie wordt gebruikt voor het netwerk? Geef hieronder een overzicht van de technologische componenten. Verwijs eventueel ook naar het architectuurschema hieronder.> 5.2 Globaal technisch architectuurschema <Geef conceptueel het architectuurschema van de netwerkomgeving weer waarin de systeemcomponenten worden aangeduid en waaruit de architectuur ervan duidelijk wordt (globaal, geen details)> 5.3 SSID’s <Welke SSID’s zijn beschikbaar en wat is hun toepassingsgebied en overeenkomstige beveiliging?> 6. PERIMETER: GLOBALE TECHNISCHE ARCHITECTUUR 6.1 Beschrijving van de technologie <Welke technologie wordt gebruikt voor de perimeter? Geef hieronder een overzicht van de technologische componenten. Verwijs eventueel ook naar het architectuurschema hieronder.> 6.2 Globaal technisch architectuurschema <Geef conceptueel het architectuurschema van de perimeter weer waarin de systeemcomponenten worden aangeduid en waaruit de architectuur ervan duidelijk wordt (globaal, geen details)> 7. IP SEGMENTERING 7.1 Welke strategie van segmentering is van kracht? <Beschrijf hoe de algemene segmentering strategie is opgevat> 7.2 Beschrijving van de security tussen netwerksegmenten <Hoe zijn netwerksegmenten van elkaar gescheiden?> 8. INTERNETVERBINDING 8.1 Beschrijf de setup van de internetverbindingen? <Welke internetverbindingen zijn er?> 8.2 Redundantie van de internetverbindingen <Op welke manier is een redundante internetverbinding voorzien? In hoeverre zijn de hardwarecomponenten redundant?> 8.3 Publieke IP adessen <Wat zijn de publieke IP adressen, inclusief deze van internetdiensten die niet tot de perimeter behoren zoals een hosted website (regel is: onderdeel van het domein klina.be)? Geef de overeenkomstige internetdienst per ip adres weer>. 9. MONITORING 9.1 Hoe wordt de netwerkomgeving gemonitored? <Beschrijf hoe de monitor omgeving van het netwerk wordt voorzien > 9.2 Hoe wordt de monitoring opgevolgd? <Is er een dashboard? Wie heeft toegang tot het dashboard of worden er mails verstuurd?> 10. TOEGANG TOT DE CONFIGURATIEPOORTEN 10.1 Hoe is de toegang tot de verschillende configuratiepoorten van de netwerkcomponenten beveiligd? <Maak een onderscheid per type component vb wired/wireless/acces/distributie/Core/Perimeter/wireless controller/firewall/…> 11. DOCUMENTERING VAN HET NETWERK BEHEERS PROCES <Beschrijf de aanwezigheid van documentatie ter ondersteuning van het netwerk beheersproces i.e. waar bevinden zich de operationele procedures voor het netwerk> 12. RISICO’S EIGEN AAN DE ICT TOEPASSING <Open veld. Zie je specifieke risico’s? Welke?> 13. VERSLAG VAN SECURITY TESTEN <Zijn er security testen gebeurd op de netwerkomgeving?>