Aanschaf van een
geautomatiseerd hulpmiddel
voor IRM (of ERm of GRC)
wijkt niet af van de aanschaf
van welk wellekeurig ander
geautomatiseerd
informatiesysteem. Een
zorgvuldige aanschaf vergt
dus een traject voor
pakketselectie waarin
requirements worden
opgesteld, meer pakketten
worden vergeleken en zo
mogelijk worden getest.
Methoden en tooling
Er is een groot aantal methoden en tooling beschikbaar. In Nederland zijn de bekendste methoden de Afhankelijkheids- & Kwetsbaarheidsanalyse (A&K-analyse), IRAM van het Information Security Forum en CRAMM, tegenwoording van Siemens. IRAM is in het Engels. Voor de A&K-analyse is er voor zover mij bekend geen tooling meer beschikbaar: de overheid is al vrij snel gestopt met het onderhoud aan Esaka. Voor IRAM is de IRAM workbench beschikbaar (alleen voor leden van het ISF). CRAMM is van oudsher een combinatie van methode en geautomatiseerde ondersteuning. De licentie voor CRAMM is te koop bij Siemens. Er zijn echter meer methoden en geautomatiseerde hulpmiddelen aanwezig, echter niet in het Nederlands. Bij de tooling moet rekening worden gehouden dat sommige verder gaan dan alleen IRM (betrekking hebben op ERM /GRC) dan wel minder gericht zijn op analyse maar meer op on-line monitoring en management. Een aantal tools is gratis. De mogelijkheden kunnen dan beperkt zijn. Een overzicht van methoden en tooling is hier opgenomen. Dit overzicht suggereert nergens dat het volledig is. Ook kunnen opgegeven links in de praktijk afwijken.Template
Een template voor de uitvoering van de risicoanalyse is Excel is hier opgenomen. Deze template is gebruikt voor de analyse van een bestaand informatiesysteem. Nagegaan is aan de hand van de functionaliteit welke processen ondersteund werden. Per proces / programma is nagegaan welke risico’s daarbij optraden. Deze zijn nader geanalyseerd qua oorzaak en gevolg. Deze analyse leerde dat je vervolgens per proces / programma vergelijkbare en dus als algemeen te karakteriseren maatregelen toepast. Deze worden uitgewerkt op het daarvoor bestemde tabblad, generieke modellen en activiteiten, zodat in de uitwerkingen per programma / proces naar deze maatregelen kan worden verwezen. Voorbeelden van dergelijke maatregelen zijn het toekennen van een doorlopend volgnummer per formule gericht op volledigheidscontrole, of het gebruik van mutatieverslagen ter controle van de invoer.Literatuur
Zoals uitgelegd in de disclaimer op de homepage is niet meer na te gaan welke literatuur ik in de afgelopen jaren heb gelezen over informatiebeveiliging / security. Voor dit deel van de website over ISM is in ieder geval gebruik gemaakt van: • ISO-27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary • ISO-27001, Information technology – Security techniques – Information security management systems – Requirements • ISO-27002, Information technology - Security techniques - Code of practice for information security management • ISO-27005, Information technology - Security techniques - Information security risk management • Het Handboek A&K-analyse • NGI, Risicoanalyse en risicomanagement, ISBN 90-267-1780-6, Kluwer, 1992 • ISF, Information Risk Aanlysis Methodology (IRAM) • ISF, Standard of Good Practice (SOGP)
