Professional Documents
Culture Documents
2010 - 2011
Samengesteld door:
ing. K.G. Haveman
Inhoud sopgave
1 ALGEMENE BESCHRIJVING 3
2 ORGANISATIE 5
4 BIJLAGEN 11
1 Algemene Beschrijving
1.1 Orië ntatie op he t semester
Bij security gaat het om het beschermen van systemen, computers, netwerken en
informatie tegen problemen door ongewenst gedrag of risicovolle gebeurtenissen
waardoor de continuïte it of vertrouwelijkheid, authenticiteit en integriteit ervan bedreigd
of tenietgedaan wordt, om het adequaat reageren op gesignaleerde problemen en om het
voorspellen en voorkomen van toekomstige problemen. Het doel van maatregelen in het
kader van security is erop gericht continuïteit te bewerkstelligen van systemen, het
beschikbaar houden van informatie en het in standhouden van de vertrouwelijkheid,
authenticiteit en integriteit van informatie
2 Organisatie
2.1 Communicatiekanalen
Informatie P la ats
Rooster http://roosters.saxion.nl
Tentamenrooster http://cii.saxion.nl/ studie tentamens
Informatie van http://leren.saxion.nl
docenten
Inleveren werk http://leren.saxion.nl
bij de docenten
Dagelijkse http://leren.saxion.nl
mededelingen http://cii.saxion.nl
algemeen
3 Project
Het project zal worden aangestuurd volgens Prince 2 waarbij zowel de docenten als ook de
studentteams volgens een aantal rollen werken. Studententeams bestaan uit hooguit 6
personen.
De volgende docentrollen zijn geïdentificeerd, wie de rollen vervult wordt in de eerste
week duidelijk:
Project Director Kai Haveman
Quality Support Officer (begeleidend docent, QSO)
Development Support Officer (begeleidend docent, DSO)
Customer (intern of extern (docent of echte
opdrachtgever))
De Prince2 Project Board wordt gevormd door DSO en QSO.
3.1 De ca sus
Het bedrijf SECAS (SecureAssure) bestaat uit circa 20 medewerkers en is gevestigd in een
oud pand in de binnenstad van Utrecht. Het bedrijf levert allerlei soorten
verzekeringsproducten zowel aan particulieren alsook aan bedrijven. Voor een aantal
standaardproducten (reisverzekering, WAP, Overlijden, Inboedel, etc) zijn
standaardpolissen ontwikkeld die via een website kunnen worden aangevraagd en/of
afgesloten. (in het laatste geval wordt betaald via een PSP). Voor maatwerkverzekeringen
komt een consultant langs bij de klant. Een consultant kan van alle klanten zien welke
polissen zijn afgesloten en op welke polissen welke uitkeringen zijn gedaan. Consultants
hebben een flexplek binnen het bedrijf. Men is bezig een kantoor in Amsterdam te
openen.
Het pand waarin het bedrijf gevestigd is kent 2 verdiepingen plus een kelder en een
zolder. Er zijn circa 10 vaste medewerkers en 10 flexwerkers. Flexwerkers hebben een
eigen laptop die wireless of via cat-5 kabel gekoppeld kan worden aan het bedrijfnet.
Het bedrijf heeft 1 systeembeheerder en 2 programmeurs in dienst voor onderhoud en
aanpassing van de systemen. Verder is er een afdeling financiën voor de boekhouding, een
secretariaat, een receptie en een directie.
Voor de geschetste situatie willen we een goed beveiligde infrastructuur en uiteraard een
aantal standaard maatregelen zoals mail via beveiligde verbindingen, informatie op de
laptops van consultants die gecrypt wordt opgeslagen, antispam, antivirus, antispyware,
etc.
We rkwijze:
3.2 He t b eveiligingsplan:
Onderzoek beveiligingsplan
De beveiligingsstandaard ISO 27002 (vroeger ISO 17799) biedt een verzameling
maatregelen aan de hand van een aantal aandachtgebieden. We willen namelijk security
niet alleen voor een netwerk, een stuk software of slechts voor een werkende
koffieautomaat (ja, dat is ook security), maar ook veiligheid ten opzichte van het
personeel, tegen inbraak via netwerk of fysiek, stroomuitval enzovoort.
We willen dan ook dat je de weg weet te vinden in de ISO 27002 en doen dat middels een
evaluatie van bestaande (voorbeeld) security plannen.
Zoek een drietal passende (ter beoordeling aan de DSO) security plannen. Kies bij
voorkeur plannen uit voor jou interessante domeinen. Bij de bronnen hieronder staan al
een paar voorbeelden, vooral bij referentie 4 en 5.
Evalueer de gevonden plannen aan de hand van de ISO 27002 en zet dit uit in een
vergelijkende tabel. Onderken de overeenkomsten en verschillen en beoordeel deze op
waarde.
Besteed ook een hoofdstuk aan het vergelijk met andere standaarden. Hiervoor kan het
artikel op Security.nl een goede start zijn.
(http://www.security. nl/article/10769/1/Verdringt_de_ISO_21827_de_ISO_17799%3F.html)
Litte ratuur:
http://www.zbc.nu/ma in.asp?ChapterID=4518,http://www.zbc.nu/main.asp?ChapterID=1
355
2. Common Criteria Portal:
http://www.commoncriteriaporta l.org/p ublic/expert/index.php?menu=1
3. Discussie, Security NL : www.navi.nl
Realisatie beveiligingsplan
Maak nu een beveiligingsplan van maximaal 40 blz. voor het in deze casus beschreven
bedrijf SECAS. Denk aan de bedrijfsprocessen en asset management, en zorg ervoor een
risico analyse uit te voeren. Het beveiligingsplan wordt opgesteld door de projectgroep.
Daarbij wordt de ISO 27002 standaard gevolgd, en wordt ook gelet op de processen die
moeten worden ingericht en op de TCO (total cost of ownership) van je voorstellen. Het
plan moet zijn afgestemd op de apparatuur, de gegevensstromen, en de organisatie van
SECAS (dus ge e n vertaling van de ISO-norm).
De teamleader stuurt (via d e DSO, of met toestemming van de DSO) het beveiligingsplan
naar de security-officer van een bedrijf uit de regio. Vraag de security-officer enkele
opmerkingen via e-mail vast te leggen en voeg ook dit e-mailtje en het antwoord van de
security-officer toe aan je beveiligingsplan.
Litteratuur:
3.3 De infrastructuur:
Let ook op compliance en wettelijke plichten tot beveiliging en bewaartermijnen, met name
in het kader van de wet bescherming persoonsgegevens. Ook het wetboek van strafrecht
biedt regelgeving aangaande computervredebreuk. Strafbaarstelling van dit gedrag biedt
natuurlijk de eigenaar van dit systeem ook zelf bescherming. Concreet: in hoeverre is een
bepaalde mate van beveiliging noodzakelijk.
Alle beveiligingsmaatre gelen kunnen invloed hebben op de performance, controleer dus de
invloed van deze maatregelen.
Naast beveiliging spelen ook beheersprocessen een rol. Wellicht dat in standaarden als ITIL
of FCAPS daarvoor hulpmiddelen te vinden zijn.
Voor zover over applicaties gesproken wordt wordt een prototype of een basic versie
bedoeld. We zullen ons niet focussen op de applicatie maar op een veilige infrastructuur.
3.5 T e sten:
4 Bijlagen
4.1 Bij lage 1 : P rojectmanagement
4. 1.1 1 . 1 Dire cting a p roje ct: d e rol va n d e P roj ect Boa rd in P rince 2
Een project heeft een budget. Dat budget wordt door iemand betaald. Deze per soon of
instelling is de belangrijkste stakeholder van het project: de opdrachtgever. Het project
hoort regelmatig verantwoording af te leggen aan de opdrachtgever: besteden wij jouw
geld nog wel zinvol.
Het proces van de Project Board wordt in Prince2 beschreven als het proces „Directing a
Project‟. In dit semester gaan we het spel tussen Project Board en project scherp spelen.
In de Project Board zitten de QSO (Quality Assurance), de DSO (Executive).
In Prince2 is officieel de projectleider de enige gesprekspartner voor de Project Board, in
dit geval zullen we regelmatig het hele team spreken.
3 Assessment 0: De projectgroep moet toestemming krijgen om het project te starten van de Project
Authorizing a Board. In Prince2 zijn dit de processen “Authorizing a Project” (DP2) en “Authorizing a
project stage or exception plan” (DP3)
Voor de Project Board speelt hier het proces “Giving Ad hoc direction” oftewel DP4. Dit
betekent dat de Project Board om extra informatie of zelfs een herplanning kan vragen.
5 End Stage Report Bij de fase-overgangen in het project worden de volgende zaken geregeld:
- gekozen werkwijzen en risicolijst opnieuw bekeken en indien nodig aangepast
- de resultaten van de projectfase worden gepresenteerd aan de klant
- de klant geeft schriftelijk toestemming om door te gaan naar de volgende fase
- feedback van de klant over zwakke en sterke punten wordt gedocumenteerd
- er wordt een detailplanning gemaakt voor de volgende fase.
Hierover wordt schriftelijk verantwoording afgelegd in een End Stage Report.
6 Groepsevaluatie Houd een individuele en gezamenlijke project evaluatie. Doe hiervan schriftelijk verslag
Individuele aan de procesbegeleider:
evaluatie - Beschrijf gezamenlijk wat goed ging en wat niet goed ging in het project. Geef
ook aan wat de belangrijkste redenen/oorzaken waren dat het wel of niet goed
ging.
- Beschrijf individueel wat je hebt geleerd over projectmanagement
- Beschrijf individueel wat je hebt geleerd over je eigen functioneren als teamlid
- Formuleer individuele leerdoelen voor de toekomst
7 Assessment 1 Bij iedere fase dient de Project Board weer toestemming te geven voor het vervolg van
Authorizing a het project. Dit zijn dezelfde processen als bij de start van het project de processen
project “Authorizing a Project” (DP2) en “Authorizing a stage or exception plan” (DP3)
Het project legt verantwoording af over de resultaten tot nu toe (End Stage Report) en
presenteert de plannen voor de volgende fase.
8 Assessment 2: Bij afsluiting van het project moet de Project Board toestemming geven het project op te
heffen. Dit betekent dat de Project Board bevestigt dat al het werk is gedaan.
Dit is het proces “Confirming Project Closure” (DP5).
4. 1.4 1 . 4 T oe tsing
De aspecten van projectmanagement worden getoetst tijdens een aantal
assessments en gedurende het project aan de hand van de geleverde rapportages.