BIJLAGEN
BIJLAGE I - Wet computercriminaliteit
Ontstaan van de wet
In 1993, om precies te zijn op 1 maart van dat jaar, is de Wet computercriminaliteit van kracht geworden. Dit gebeurde naar aanleiding van een rapport van de Commissie Franken, in 1985 ingesteld door het Ministerie van Justitie om onderzoek te doen naar de toereikendheid van het strafrecht op het gebied van informatietechnologie. De civiele en strafwetgeving op dat moment bleken niet toereikend om het misbruik van computers tegen te gaan en in 1987 kwam deze Commissie dan ook met 29 aanbevelingen die de basis vormden voor de uiteindelijke Wet computercriminaliteit. Deze wet vormde een aanvulling van bestaande rechtsregels en omvat een aanpassing van het Wetboek van Strafrecht, het Wetboek van Strafvordering en het Burgerlijk Wetboek.
Aanpassing Wetboek van Strafrecht
In het Wetboek van Strafrecht wordt het materiële strafrecht geregeld. Hierin staan de strafrechtelijke handelingen en de hierop van toepassing zijnde strafmaat. De belangrijkste strafbare feiten zijn:
- het aftappen en opnemen van gegevens, zowel tijdens de verwerking als tijdens het transport via telecommunicatieverbindingen, zonder daartoe gerechtigd te zijn;
- het vernielen van een computersysteem en in bepaalde gevallen het verstoren daarvan of het verijdelen van de daarvoor genomen beveiligingsmaatregelen op een geautomatiseerd systeem dat dient ten algemene nutte;
- het vervalsen van een betaalpas en het gebruik daarvan;
- het veranderen, wissen, onbruikbaar of ontoegankelijk maken van gegevens, ook in over- drachtelijke zin, bijvoorbeeld door het verspreiden van virussen;
- het wederrechtelijk, van buitenaf binnendringen in geautomatiseerde systemen, als ook het overnemen van gegevens die zijn opgeslagen in een geautomatiseerd werk waarin niet wederrechtelijk is binnengedrongen.
De onderneming zal in elk geval over een minimale beveiliging moeten beschikken, zodat er bij misbruik sprake is van het doorbreken van beveiligingsmaatregelen. Overigens mag van deze maatregelen wel enige effectiviteit worden verwacht, aan de hand van objectieve normen. Er moet dus sprake zijn van een adequate beveiliging. Dit zijn de nodige voorzieningen van technische en organisatorische aard, waardoor een evenwicht wordt bereikt tussen het te beveiligen belang en de mate van de aangebrachte maatregelen.
Aanpassing Wetboek van Strafvordering
In het Wetboek van Strafvordering worden de bevoegdheden en het gebruik van deze bevoegdheden door de rechterlijke instanties die belast zijn met opsporing en vervolging geregeld. De aanpassingen behelzen twee categorieën: onderzoek van telecommunicatie en onderzoek van gegevens in geautomatiseerde werken. De eerste categorie breidt de bevoegdheden tot afluisteren en aftappen uit. De tweede categorie geeft opsporingsinstanties de bevoegdheid tot het verzamelen van gegevens van logische aard. De beperking tot huiszoeking op één bepaalde fysieke locatie is hiermee opgeheven. Er kan nu immers ook in een netwerksysteem gezocht worden naar gegevens, die zich feitelijk op een andere locatie bevinden.
Aanpassing Burgerlijk Wetboek
De aanpassing van het Burgerlijk Wetboek beperkt zich tot de uitbreiding van artikel 2:393 lid 4. De tekst van dit artikel luidt als volgt: ‘De accountant brengt omtrent zijn onderzoek verslag uit aan de raad van commissarissen en aan het bestuur. Hij maakt daarbij ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking.’ Dit geldt voor ondernemingen die onder Titel 9 uit het Burgerlijk Wetboek vallen. Het gaat hier om een verklaring die de accountant bij de controle van de jaarrekening wettelijk verplicht is af te geven. Volgens de Memorie van Toelichting bij deze wet hoeven voor deze verklaring geen extra kosten te worden gemaakt.
Het gaat slechts om een oordeel op grond van de bevindingen tijdens de jaarrekeningcontrole.
De diepgang van de beoordeling van de informatiebeveiliging kan hierdoor verschillen per bedrijfstype, afhankelijk van de gehanteerde controleaanpak. Door een aanvullend bijzonder onderzoek kan de accountant desgewenst wel een sluitend oordeel geven en afhankelijk van de opdracht advies geven. Dit aanvullende onderzoek is echter niet verplicht en staat los van de jaarrekeningcontrole. Mocht (een deel van) de opdracht buiten het vermogen van de accountant liggen, dan kan deze andere deskundigen, zoals EDP/IT-auditors, inschakelen om hem hierbij te assisteren.
BIJLAGE II - Wet bescherming persoonsgegevens
Achtergrond van de wet
In de Wet bescherming persoonsgegevens (WBP) wordt de beveiliging van persoonsgegevens geregeld. Hiervoor zijn afzonderlijk voorschriften gesteld. Deze wet verving in 2001 de Wet persoonsregistraties (WPR) uit 1988. Doel van de wet is de bescherming van de persoonlijke levenssfeer van diegenen van wie persoonsgegevens in registraties zijn opgenomen. De belangrijkste wijzigingen in de WBP ten opzichte van de vroegere WPR zijn vooral de hogere eisen aan het beveiligingsregime, vanwege de technologische ontwikkelingen van de laatste jaren en de daardoor toegenomen gevaren, en strengere controle op naleving van de wet. Ook zijn de bevoegdheden van het College Bescherming Persoonsgegevens (CBP, voorheen de Registratiekamer) uitgebreid.
Functies College Bescherming Persoonsgegevens
Het CBP kan, als wettelijk ingesteld en onafhankelijk orgaan, advies geven aan organisaties of gegevensverzamelingen als persoonsregistratie moeten worden aangemerkt. Deze moet dan bij het CBP worden aangemeld, tenzij de organisatie zelf een onafhankelijke functionaris instelt, die toezicht houdt op de verwerking van de persoonsgegevens. Naast een adviserende functie heeft het CBP ook een toezichthoudende en controlerende taak en kan tevens ingeschakeld worden om te bemiddelen en klachten te behandelen. Nieuwe bevoegdheden voor het CBP, ten opzichte van de Registratiekamer, is bestuursdwang en het opleggen van boetes
Persoonsregistraties
Een persoonsregistratie is een verzameling persoonsgegevens, die tot individuele personen herleidbaar zijn. De Wet bescherming persoonsgegevens (WBP) definieert persoonsgegevens als ‘alle gegevens die omtrent een bepaalde natuurlijke persoon informatie kunnen verschaffen, dienen voor de toepassing van de wettelijke regelingen als persoonsgegevens te worden aangemerkt.’
En voor persoonsregistraties definieert de wet: ‘Een samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens die langs geautomatiseerde weg wordt gevoerd of, met het oog op een doeltreffende raadpleging van die gegevens, systematisch is aangelegd.’ De logische samenhang en de systematische toegankelijkheid van de verzameling persoonsgegevens staan hierin centraal. Zowel geautomatiseerde als handmatige verzamelingen vallen onder de definitie. De WBP richt zich vooral op de verwerking van de gegevens, vanaf het verzamelen tot en met het vernietigen ervan. Tevens dienen de gegevens rechtmatig te zijn verkregen en in overeenstemming met het doel waarvoor de registratie is aangelegd.
De verantwoordelijkheden van de houder
De verantwoordelijkheden tussen houder en bewerker van persoonsregistraties worden in de wet afgebakend. De houder is degene die de verantwoordelijkheid draagt voor het aanhouden van de registratie. Hij heeft de zorgplicht om de nodige voorzieningen te treffen ter bevordering van de juistheid en volledigheid van de opgenomen persoonsgegevens. Hierbij is hij, tenzij hij een bedrijfsmatige verzamelaar is, niet verantwoordelijkheid voor de juistheid van de gegevens die hij aangeleverd krijgt, maar dient wel te bevorderen dat de juistheid van
de gegevens wordt verkregen en eventueel gecorrigeerd. Vervolgens is hij verantwoordelijk voor de blijvende juistheid, de integriteit, van de gegevens. Tenslotte heeft hij de verantwoordelijkheid over wijze van uitvoer en eventueel verstrekking -zowel intern als extern- van persoonsgegevens. De wet formuleert dit als de verplichting tot het treffen van de nodige voorzieningen van technische en organisatorische aard ter beveiliging van een persoonsregistratie tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.
De bewerker van de gegevens heeft eveneens een verantwoordelijkheid, al is die beperkt tot de maatregelen voor de apparatuur die hij onder zijn bevoegdheid heeft. Onderling zullen de houder en bewerker formeel de maatregelen en procedures op elkaar af moeten stemmen om tot een duidelijke afbakening van de verantwoordelijkheden te komen.
Beveiligingscriteria
De criteria die van belang zijn voor de beveiliging van de persoonsgegevens zijn, samengevat:
- de exclusiviteit van de gegevens: de beperking van de bevoegdheden en mogelijkheden tot muteren, uitlezen, kopiëren of kennisnemen van persoonsgegeven tot een vooraf vastgestelde groep gebruikers. De vertrouwelijkheid en de geheimhouding van gegevens vallen hier eveneens onder;
- de integriteit van de gegevens: de blijvende juistheid en volledigheid van de gegevens;
- de controleerbaarheid van de gegevens: de mogelijkheid om vast te stellen dat de gegevens- verwerking tot het gewenste resultaat heeft geleid en de gegevens nog altijd juist en volledig zijn.
Middels een door een externe accountant uitgevoerde privacyaudit kan de ondernemings- leiding zekerheid verkrijgen aangaande de toereikendheid van de beveiliging van de persoonsregistraties op grond van bovengenoemde criteria.
BIJLAGE III - Bedreigingen internet
Hackers
Hackers zijn personen die proberen in te breken in het informatiesysteem van de onderneming. Kwaadwillende hackers (of computercriminelen) laten het hier niet bij, maar richten tevens schade aan. Te denken valt aan diefstal of het wijzigen van informatie en het belemmeren van de bedrijfsvoering door het platleggen van (delen van) het informatiesysteem of de website.
Virussen
Virussen zijn stukjes software die -vaak ongemerkt- geïnstalleerd worden op de pc en zichzelf kunnen repliceren in één of meerdere virussen. Een virus hecht zich aan een ‘gewoon’
programma en wordt geactiveerd door het opstarten van het programma. De gevolgen hiervan kunnen heel divers zijn, afhankelijk van de programmering van het virus. Meestal zijn deze schadelijk voor de werking van programma’s of voor gegevensbestanden.
Trojan horses
Een Trojan horse is een programma dat verwant is aan een virus. Het voert ongewenste activiteiten uit, terwijl de gebruiker de indruk krijgt dat er nuttige, gewenste activiteiten worden uitgevoerd. Een Trojan horse kan zichzelf overigens niet repliceren.
Logical bombs
Een logical bomb is een stukje code in programmatuur dat bij een bepaalde combinatie van gebeurtenissen, zoals een bepaalde datum, wordt geactiveerd. Na de activering kan de logical bomb zijn schadelijke werk doen. Evenals een Trojan horse kan ook een logical bomb zichzelf niet repliceren.
Wormen
Een worm werkt net zoals een virus en kan zichzelf ook repliceren. Het verschil met een virus is dat een worm zich niet aan een programma hoeft te hechten om geactiveerd te worden. Een worm kan zichzelf dus op elk moment activeren, met alle gevolgen van dien.
Hoaxes
Een hoax is een e-mailbericht waarin wordt gewaarschuwd voor een niet-bestaand virus. In het bericht wordt vaak tot een bepaalde actie opgeroepen, zoals het verwijderen van een bepaald bestand en/of het doorsturen van het bericht naar zoveel mogelijk anderen, waardoor een kettingbrief ontstaat. Argeloze internetgebruikers die hier op ingaan kunnen essentiële bestanden verwijderen en met het doorsturen van het bericht het netwerkverkeer overbelasten.
Spam
Spam, of junkmail, is een verzamelnaam voor ongevraagde en ongewenste berichten die worden verzonden naar bijvoorbeeld mailbox of mobiele telefoon. Meestal betreft dit reclame, die in grote hoeveelheden wordt rondgestuurd naar soms wel miljoenen adressen. Ook kan spam worden gebruikt voor criminele doeleinden en de verspreiding van virussen. Naast dat spam irritatie veroorzaakt, kost het tijd (en dus geld) om het steeds weer te verwijderen en kan de inhoud schade aanrichten bij ontvangers en pc’s. Inmiddels bestaat meer dan de helft van het totale e-mailverkeer uit spam.
Ad-ware
Ad-ware is software die gratis wordt uitgedeeld op het internet, in ruil waarvoor de gebruiker toestaat dat advertenties in een speciaal venster op het scherm verschijnt. Het komt echter regelmatig voor dat advertenties ongevraagd op de computer worden geïnstalleerd en ongewenst verschijnen. De effecten van ad-ware kunnen zich niet alleen beperken tot het tonen van advertenties, maar kunnen ook de vorm aannemen van spyware.
Spyware
Spyware wordt vaak ongemerkt op de pc geïnstalleerd. Dit kan bij de installatie van gratis diensten op het internet zijn, of zelfs ongevraagd door het slechts bezoeken van ‘besmette’
websites. Zonder dat de internetter het doorheeft wordt zijn internetgedrag gevolgd en doorgegeven aan veelal commerciële afnemers. Deze afnemers proberen de gegevens voor veel geld te verkopen aan marketing- en advertentiebureaus. Spyware kan, evenals ad-ware, soms hardnekkig zijn en daardoor moeilijk te verwijderen.
URL-injectie
URL-injectie houdt in het kapen van webbrowsers, voornamelijk door websites die geld verdienen aan advertenties. De internetter wordt via een vervalste URL (internetadres) ongewild naar een dergelijke website gevoerd. De link naar de -vaak veelgebruikte- homepage van de internetter kan op deze manier ‘besmet’ raken, maar het kan ook andere links betreffen.
Phishing
Phishing is een zeer kwaadaardige vorm van kaping, waarbij hackers internetters via e-mails naar perfect nagemaakte websites lokken. De internetter denkt op de site van bijvoorbeeld een bank te zijn gekomen en kan rekeningnummer en wachtwoord intoetsen. Hierdoor krijgen hackers toegang tot het saldo van het rekeningnummer en kunnen dit oversluizen naar andere rekeningen, doorgaans in verre landen.
Cookie-krakers
Cookie-krakers zijn programma’s waarmee ongemerkt informatie uitgelezen wordt uit cookies. Dit zijn kleine stukjes data die door websites op de computer worden achtergelaten, bijvoorbeeld om bij te houden welke websites worden bezocht, maar ook waarin wachtwoorden, creditcardgegevens en dergelijke kunnen zijn opgeslagen.
Keyloggers
Keyloggers houden de aanslagen op het toetsenbord bij. Vaak komen zij alleen in actie wanneer de internetter een beveiligde site bezoekt, zoals dat van een bank. Een keylogger filtert letter- en cijferreeksen, zoals rekeningnummers, pincodes en wachtwoorden, voordat deze versleuteld het internet op gaan.
Dialers
Dialers, of auto-dialers, laten computers met een inbelverbinding via het telefoonmodem ongemerkt bellen naar dure, meestal buitenlandse telefoonnummers. Gevolg hiervan is een torenhoge telefoonrekening, terwijl de daders doorgaans moeilijk te traceren zijn.
BIJLAGE IV - Voorbeeld checklist automatisering
A. (ICT-)beleid
A1. Zijn er adequate richtlijnen voor het opstellen van ICT-beleid?
Toelichting 1. Onderkent het management het belang van de
IT voor de organisatie en blijkt dit ook uit het strategische beleid?
Ja/Nee
2. Is de IT component in het strategisch beleid
richtinggevend voor de IT plannen? Ja/Nee
A2. Wordt er een adequate vertaling gemaakt van (ICT-) beleid naar informatieplannen en automatiseringsplannen?
Toelichting 1. Is er een informatie(beleids)plan? Ja/Nee
Zo ja, bevat deze een beschrijving van de
informatiestromen? Ja/Nee
Bevat deze een beschrijving van de gebruikte
gegevensverzamelingen? Ja/Nee
Bevat deze een beschrijving van de interne en
externe informatiebehoeften? Ja/Nee 2. Is er een automatiseringsplan? Ja/Nee
Zo ja, bevat dit een beschrijving welke informatiesystemen kunnen worden geautomatiseerd?
Ja/Nee
Bevat deze een aanduiding van de fasering en het tijdpad voor de realisatie van de
automatisering?
Ja/Nee
Is een afhankelijkheids- en
kwetsbaarheidsanalyse uitgevoerd en ook gebruikt bij het opstellen van het plan?
Ja/Nee
Zijn (sleutel)gebruikers betrokken bij het
opstellen van het plan? Ja/Nee
A3. Is er een adequaat beveiligingsbeleid en -plan dat door de organisatie wordt gedragen?
Toelichting 1. Is er een informatiebeveiligingsbeleid/-plan? Ja/Nee
Zo ja, bevat dit beleid/plan een definitie van
informatiebeveiliging? Ja/Nee
Bevat dit beleid/plan een verklaring van de
intenties van het management? Ja/Nee Bevat dit beleid/plan een beschrijving van de
verantwoordelijkheden van het management en de gebruikers?
Ja/Nee
Bevat dit beleid/plan een classificatie van
informatie? Ja/Nee
Is er voldoende aandacht voor het bewust maken van de organisatie van
informatiebeveiliging?
Ja/Nee
A. Conclusie (ICT-)beleid
Wat is de risico-inschatting ten aanzien van de kwaliteit van de general controls
op basis van het aanwezige beleid? ?
B. Logische toegangsbeveiliging
B1. Zijn er adequate functiescheidingen aangebracht in de automatiseringsorganisatie?
Toelichting 1. Is de automatiseringsfunctie onafhankelijk van
de beschikkende en bewarende functies in de organisatie?
Ja/Nee
2. Zijn/is de functionaris(sen) belast met het wijzigen, toekennen en intrekken van bevoegdheden (=beschikkende functie) onafhankelijk van de
automatiseringsorganisatie?
Ja/Nee
B2. Is er sprake van een adequate scheiding tussen de systemen voor productie en de overige systemen?
Toelichting 1. Indien er sprake is van eigen ontwikkeling van
programmatuur voor het eigen systeem, is er Ja/Nee
ontwikkelen, is er dan scheiding tussen - test-/acceptatieomgeving en
- productie(=gebruikers)omgeving
2. Bevinden zich op de productieomgeving geen
compilers, editors en andere utilities? Ja/Nee
B3. Zijn er adequate procedures rond het beheer van de rechten van gebruikers in het systeem?
Toelichting 1. Zijn er procedures aangaande de toekenning,
wijziging en intrekking van bevoegdheden? Ja/Nee 2. Is de structuur van het toekennen van
bevoegdheden gebaseerd op het 'need to know' principe?
Ja/Nee
3. Is de basis voor de inrichting van de toegangsbevoegdheden op basis van het principe 'alles is verboden, tenzij
uitdrukkelijk toegestaan'?
Ja/Nee
4. Is er een overzicht van de competenties van de diverse gebruikers in het systeem met een akkoord van het verantwoordelijke
management?
Ja/Nee
5. Is de menustructuur per gebruiker in overeenstemming met de toegekende bevoegdheden?
Ja/Nee
B4. Is er een adequaat systeem van gebruikersidentificatie?
Toelichting 1. Maakt de organisatie gebruik van unieke
gebruikersidentificaties (alleen gebruik van groepsidentificaties als deze niet beoogde functiescheidingen doorkruisen)?
Ja/Nee
2. Bestaat er een procedure dat autorisaties van personen die de organisatie verlaten, of van functies veranderen, worden verwijderd?
Ja/Nee
3. Vindt periodieke controle op overtollige
gebruikersidentificaties (user-id's) plaats? Ja/Nee 4. Kent de organisatie slechts beperkte speciale
bevoegdheden toe volgens het principe 'need to use'?
Ja/Nee
5. Zijn de speciale bevoegdheden toegekend aan een andere gebruikersidentificatie dan die voor normaal zakelijk gebruik (bv.
administateur en systeembeheerder)?
Ja/Nee
B5. Is er een adequaat authenticatiesysteem?
Toelichting 1. Maken gebruikers gebruik van individuele
wachtwoorden? Ja/Nee
2. Zijn wachtwoorden alleen bekend bij de
eigenaar? Ja/Nee
3. Wordt frequente wijziging van wachtwoorden door het systeem afgedwongen?
Ja/Nee
4. Is de lengte van het wachtwoord minimaal 8
posities? Ja/Nee
5. Zijn de wachtwoorden niet eenvoudig te
raden? Ja/Nee
6. Bestaat een wachtwoord niet uit opeenvolgende gelijke tekens of alleen numerieke of alfanumerieke tekens (afgedwongen door het systeem)?
Ja/Nee
7. Kunnen oude wachtwoorden niet meer worden gebruikt (bv. laatste 10 niet meer) (afgedwongen door het systeem)?
Ja/Nee
8. Bestaan er geen wachtwoorden in
automatische inlogprocessen vastgelegd in scripts?
Ja/Nee
9. Zijn wachtwoorden niet zichtbaar op het
scherm? Ja/Nee
10. Zijn er procedures voor het gebruik van noodgebruikersidentificaties en de wijziging van wachtwoorden in noodsituaties?
Ja/Nee
11. Is het maximale aantal inlogpogingen beperkt
(tot 3) waarna blokkering plaatsvindt? Ja/Nee
B6. Is er een adequate vastlegging van het systeemgebruik zodat ongeautoriseerd gebruik kan worden vastgesteld en handelingen van gebruikers achteraf verifieerbaar zijn?
Toelichting 1. Is er een registratie van het systeemgebruik? Ja/Nee
2. Is er een registratie van foutieve
inlogpogingen? Ja/Nee
B7. Is aandacht besteed aan bijzondere beveiligingsaspecten?
Toelichting 1. Beschikt de organisatie over procedures op het
gebied van inbellen? Bijvoorbeeld het gebruik van een terugbelmodem.
Ja/Nee
2. Is er sprake van adequate beheersing van de toegang tot kritische databases (denk ook aan de mogelijkheden van OBDC)?
Ja/Nee
3. Is er anti-virusprogrammatuur actief in het systeem en wordt deze geactualiseerd (met welke frequentie)?
Ja/Nee
4. Wordt internettoegang beveiligd middels:
- Single point of entry - gebruik van een firewall
- computervirusbescherming aangebracht?
Ja/Nee
B. Conclusie logische toegangsbeveiliging
Wat is de risico-inschatting voor de integriteit en continue beschikbaarheid ten aanzien van de geautomatiseerde gegevensverwerking, op basis van de opzet van de maatregelen in de logische toegangsbeveiliging?
?
C. Wijzigingen- en probleembeheer
C1. Sluit het wijzigingen- en probleembeheer aan op het algemene beveiligingsbeleid en -plan v.w.b. de verantwoordelijke afdelingen en functionarissen voor de totstandkoming, naleving, uitvoering en bijstelling daarvan?
Toelichting 1. Is er functiescheiding tussen
- initiëren, goedkeuren - programmeren - testen en
- implementeren van wijzigingsvoorstellen?
Ja/Nee
2. Geschiedt het programmeren/testen en implementeren van wijzigingen door van de automatiseringsafdeling afgescheiden functionarissen?
Ja/Nee
C2. Is er een adequate scheiding tussen de test/acceptatie- en productieomgeving?
Toelichting 1. Indien sprake is van eigen ontwikkeling van
programmatuur voor het eigen systeem (ook op standaardprogrammatuur), bestaat dan minimaal scheiding tussen een
ontwikkelomgeving, test-/acceptatieomgeving en een productieomgeving? Indien de
organisatie standaardprogrammatuur gebruikt of externen programmatuur laat ontwikkelen, bestaat dan scheiding tussen
test-/acceptatieomgeving en productieomgeving?
Ja/Nee
2. Zijn productiebestanden en testbestanden
strikt van elkaar gescheiden? Ja/Nee
C3. Zijn er adequate procedures die de kwaliteit van de wijzigingen waarborgen?
Toelichting 1. Testen gebruikers eerst de wijzigingen in het
geautomatiseerde systeem voordat deze in productie wordt genomen?
Ja/Nee
2. Is er ook aandacht voor het effect op de integriteit van de gegevens in de
productieomgeving na het aanbrengen van de wijziging (logische toegangsbeveiliging)?
Ja/Nee
3. Is er ook aandacht voor de effecten op andere systemen als gevolg van de aangebrachte wijzigingen?
Ja/Nee
4. Is er een procedure dat gebruikers formeel akkoord moeten gaan met de aangebrachte wijzigingen?
Ja/Nee
5. Vindt versiebeheer plaats op alle uitgevoerde
software updates? Ja/Nee
6. Wordt alle documentatie bijgewerkt voor alle
bijgewerkte programmatuur? Ja/Nee
C4. Zijn er adequate maatregelen en procedures die de signalering en afhandeling van storingen
detail, besloten in programma updates?
C. Conclusie wijzigingen- en probleembeheer
Wat is de risico-inschatting voor de integriteit en continue beschikbaarheid van de geautomatiseerde gegevensverwerking, op basis van de opzet van de maatregelen rond het wijzigingenbeheer?
?
In hoeverre blijven er nog risico's bestaan op basis van de opzet van de
maatregelen rond het probleembeheer? ?
D. Testen
D1. Is er een adequaat testplan dat wordt nageleefd?
Toelichting 1. Maakt de organisatie bij het testen gebruik van
een adequaat testplan? Ja/Nee
Zo ja, bevat het testplan een beschrijving van
het doel en de soort test? Ja/Nee
Geeft het testplan een overzicht van de in de
test te betrekken gegevens? Ja/Nee Geeft het testplan een overzicht van de testen
situaties? Ja/Nee
Beschrijft het testplan de invoer en de
verwachte uitvoer? Ja/Nee
Geeft het testplan aan welke acceptatiecriteria
de gebruikers dienen te hanteren? Ja/Nee
D2. Zijn er adequate procedures die de kwaliteit van de testen waarborgen?
Toelichting 1. Is van elke test een testverslag aanwezig? Ja/Nee
2. Verzorgt de organisatie adequate
documentatie van het testen in een testdossier? Ja/Nee 3. Is de gebruiker verantwoordelijk voor het
testen en heeft hij zich akkoord verklaard met de resultaten?
Ja/Nee
D. Conclusie testen
Wat is de risico-inschatting voor de integriteit en continue beschikbaarheid van de geautomatiseerde gegevensverwerking, op basis van de opzet van de maatregelen rond het testen van geautomatiseerde systemen?
?
E. Fysieke beveiliging
E1. Bevindt het gebouw met het centrale geautomatiseerde systeem zich in een risicovolle omgeving?
Toelichting 1 Is er een chemische fabriek in de buurt? Ja/Nee
2 Zijn er problemen met de elektriciteits- voorziening (meerdere keren per jaar stroomuitval)?
Ja/Nee
3 Zijn er hoogspanningsleidingen in de buurt? Ja/Nee 4 Ligt de organisatie afgelegen op een
industrieterrein? Ja/Nee
E2. Zijn er voldoende maatregelen getroffen om de organisatie bewust te maken van het fysieke beveiligingsbeleid?
Toelichting 1 Is er aandacht voor informatiebeveiliging in
een personeels-/bedrijfsblad Ja/Nee 2 Is er een privacystatement (in het kader van de
WBP) aanwezig? Ja/Nee
3 Is er paragraaf in de arbeidsvoorwaarden / -overeenkomst waarin de gebruikers- verantwoordelijkheden worden benadrukt?
Ja/Nee
E3. Is de beveiliging van (het) gebouw(en) waar (delen van) het geautomatiseerde systeem zich bevind(t)(en) toereikend?
Toelichting 1 Zijn er solide buitenmuren? Ja/Nee
2 Zijn er beveiligde toegangen (ook personeelsingang, toegang tot expeditieruimten, etc.)?
Ja/Nee
3 Is er sprake van elektronische beveiliging? Ja/Nee
4 Is er cameratoezicht? Ja/Nee
5 Zijn er beveiligde ramen (met slot, rolluiken)? Ja/Nee
2 Is er een bezoekersregistratie? Ja/Nee 3 Is er een anti-inbraaksysteem? Ja/Nee
E5. Zijn er afdoende maatregelen, zodat slechts geautoriseerde personen de ruimten met de centrale servers (verwerkingseenheden) kunnen betreden?
Toelichting 1 Zijn er afsluitbare computerruimten? Ja/Nee
2 Is het sleutelbeheer op adequate wijze
geregeld? Ja/Nee
3 Is er oogtoezicht (meerogenprincipe), ook ten tijde van het verrichten van onderhoud aan de systemen?
Ja/Nee
E6. Zijn er adequate maatregelen van technische aard in en rondom de systemen genomen voor het waarborgen van de beschikbaarheid van het geautomatiseerde systeem?
Toelichting 1. Zijn er adequate voorzieningen tegen
stroomstoringen en -uitval? Ja/Nee 2. Bestaan er adequate beveiligingsmaatregelen
tegen brand? Ja/Nee
3. Zijn er adequate maatregelen genomen tegen wateroverlast?
(Er is sprake van een verhoogd risico indien waterleidingen/afvoeren langs de
computerruimte lopen en de ruimte op de bovenste verdieping is gehuisvest met een plat dak)
Ja/Nee
E7. Zijn er voldoende maatregelen getroffen ter beveiliging van gegevens die zich buiten het bedrijf begeven?
Toelichting 1. Zijn er adequate beveiligingsmaatregelen
getroffen met het oog op gegevens op laptops en tapes die buiten het pand worden bewaard?
Ja/Nee
2. Zijn er adequate maatregelen getroffen om diefstal van laptops en tapes te voorkomen?
Bijvoorbeeld sloten om laptops aan een bureau te kunnen bevestigen
Ja/Nee
3. Zijn er adequate beveiligingsmaatregelen
getroffen voor de vernietiging van Ja/Nee
gegevensdragers (bijvoorbeeld oude PC's)?
E. Conclusie fysieke beveiliging
Wat is de risico-inschatting voor de integriteit en continue beschikbaarheid van de geautomatiseerde gegevensverwerking, op basis van de opzet van de fysieke beveiligingsmaatregelen?
?
F. Back-up en recovery
F1. Zijn er adequate maatregelen getroffen om het risico van virussen in de computeromgeving tegen te gaan?
Toelichting 1. Bestaan er beveiligingsprocedures (dus ook
herstelprocedures) omtrent virusbestrijding? Ja/Nee 2. Is er anti-virusprogrammatuur aanwezig? Ja/Nee 3. Is er programmatuur aanwezig die controleert
op de aanwezigheid van computervirussen? Ja/Nee
F2. Zijn er adequate contractuele afspraken m.b.t. de beschikbaarheid van het systeem?
Toelichting 1. Zijn er contractuele afspraken gemaakt
omtrent de beschikbaarheid van het systeem (bijvoorbeeld door een Service Level
Agreement (SLA) met de systeembeheerder)?
Ja/Nee
F3. Bestaan er adequate maatregelen c.q. procedures i.g.v. calamiteiten?
Toelichting 1. Bestaan er (concrete) calamiteitenplannen? Ja/Nee
2. Zijn de calamiteitenplannen recent getest, en
is dit een periodieke handeling? Ja/Nee F4. Bestaan er adequate uitwijkmaatregelen?
F5. Zijn er adequate maatregelen en procedures ten aanzien van back-up?
Toelichting 1. Zijn de verantwoordelijkheden van
gebruikers beschreven ter zake van het maken van reservekopieën, uitwijk en terugzetten van reservekopieën?
Ja/Nee
2. Maakt de kritische programmatuur gebruik van (relationele)
databasemanagementsystemen met
waarborgen waardoor bij storingen slechts een beperkt aantal transacties verloren kunnen gaan?
Ja/Nee
3. Zijn er adequate maatregelen genomen ter
zake van het maken van reservekopieën? Ja/Nee
F6. Zijn er adequate maatregelen en procedures ten aanzien van recovery?
Toelichting 1. Bestaan er (concrete) recovery plannen? Ja/Nee
F. Conclusie back-up en recovery
Wat is de risico-inschatting voor de integriteit en continue beschikbaarheid van de geautomatiseerde gegevensverwerking, op basis van de opzet van de
procedures rond back-up en recovery?
?
Conclusie general (IT-)controls
Versterkt het aangetroffen stelsel van general (IT-)controls de controleomgeving van het automatiseringsproces of is het effect van de controls neutraal? ?
BIJLAGE V - Voorbeeld checklist e-commerce
I.
1.
2.
3.
Bepaling typologie
Geef een korte beschrijving van de internetactiviteiten.
Is er sprake van:
• alleen promotie, ga verder met vraag I.3;
• transacties via e-mail, ga verder met vraag II.1;
• gestructureerde internettransacties, ga verder met vraag II.1.
Is de webserver gekoppeld met het bedrijfsnetwerk?
Zo ja, dan kan geadviseerd worden om de website niet te koppelen aan de bedrijfssystemen.
Een alternatief is een stand-alone machine in te zetten als webserver of een provider te gebruiken voor het hosten van de website.
Zo nee, einde checklist.
II.
1.
2.
Materialiteitsbepaling
Zijn de internettransacties materieel?
Zo ja, ga verder met vraag III.1 wanneer transacties plaatsvinden via e-mail of vraag IV.1 wanneer er sprake is van gestructureerde transacties.
Zo nee, ga verder met vraag II.2.
Is de webserver gekoppeld met het bedrijfsnetwerk?
Zo ja, dan kan geadviseerd worden de koppelingen van de bedrijfssystemen met het internet goed te beveiligen, aangezien de risico’s van een dergelijke koppeling groot zijn. Omdat de transacties (nog) niet materieel zijn, wordt verder geen onderzoek ingesteld naar de
beveiliging van de internetkoppelingen.
Zo nee, einde checklist.
III.
1.
Transacties via e-mail
Beoordeel de gang van zaken (AO/IC) rondom e-mail berichten met (mogelijke) transacties.
Maak de beoordeling op basis van de 'normale' toepasbare interne controlemaatregelen bij transacties per post of fax. Belangrijke aandachtspunten zijn o.a.:
Mogelijke adviezen t.b.v. de management letter:
- logging van in- en uitgaande e-mail berichten;
- totaliseren en controleren van de e-mail berichten door onafhankelijke functionarissen;
- e-mail transacties zodanig in het systeem opnemen dat ze afzonderlijk identificeerbaar zijn.
IV.
1.
2.
Gestructureerde transacties / transactiesoftware Is de transactiesoftware:
- door de organisatie zelf ontwikkeld;
- gekocht;
- gehuurd.
Beschrijf de situatie incl. indien van toepassing naam van pakket of provider, waarbij de volgende aandachtspunten van belang zijn:
Indien 'zelf ontwikkelen':
• Is de technische en functionele systeemdocumentatie volledig en up-to-date?
Indien 'kopen':
• Is het softwarepakket gecertificeerd door een onafhankelijke derde partij?
• Beschikt het pakket over documentatie ten aanzien van audit trail en controlemogelijkheden?
Indien 'huren':
• Beschikt de dienstverlener over een Third Party Mededeling of Webtrust-zegel?
V.
1.
2.
Gestructureerde transacties / transactieomgeving
Beschrijf de omgeving m.b.t. de transactieverwerking door de e-commerce applicatie en bedrijfssystemen en de daarin opgenomen maatregelen van AO/IC.
Afhankelijk van de transactieomgeving is voor de beoordeling rondom de
internettransacties een system audit op de e-commerce applicatie en/of bestandsonderzoek nodig.
Binnen deze checklist wordt onderscheid gemaakt in de volgende situaties:
A. input via e-commerce programmatuur, handmatige interface met bedrijfssystemen B. input via e-commerce programmatuur, geautomatiseerde interface met bedrijfssystemen C. e-commerce programmatuur verzorgt input en controle
D. e-commerce programmatuur handelt transacties volledig af Indien omgeving A:
• controle op juistheid, volledigheid en tijdigheid van de handmatige invoer van gegevens m.b.v. bestandsonderzoek (vergelijking primaire vastlegging in e-commerce applicatie en bedrijfssystemen)
Indien omgeving B:
• controle op juistheid, volledigheid en tijdigheid van de geautomatiseerde overzetting van gegevens m.b.v. bestandsonderzoek (vergelijking primaire vastlegging in e- commerce applicatie en bedrijfssystemen)
Indien omgeving C:
• controle op juistheid, volledigheid en tijdigheid van de geautomatiseerde overzetting van gegevens m.b.v. bestandsonderzoek (vergelijking primaire vastlegging in e- commerce applicatie en bedrijfssystemen)
• system audit op de e-commerce applicatie met specifiek aandachtspunt de vaststelling van de handhaving van het niveau van bestaande AO/IC na verschuiving van een deel van de maatregelen naar de e-commerce applicatie
Indien omgeving D:
• system audit op de e-commerce applicatie met specifieke aandachtspunten de
vaststelling van het niveau van AO/IC in de e-commerce applicatie en de beoordeling van de toereikendheid van de informatiestromen vanuit de e-commerce applicatie t.b.v.
de overige primaire en secundaire bedrijfsprocessen.
VI.
1.
2.
3.
Gestructureerde transacties / gegevensinterface
Vindt de overzetting van de e-commerce applicatie handmatig of geautomatiseerd plaats?
Indien de overzetting handmatig plaatsvindt, worden er controles uitgevoerd t.a.v. de juistheid, tijdigheid en volledigheid van de handmatige invoer van de transactiegegevens?
Evalueer deze controles.
Indien de overzetting geautomatiseerd plaatsvindt, worden er controles, hetzij handmatig, hetzij geautomatiseerd uitgevoerd t.a.v. de juistheid, tijdigheid en volledigheid van de geautomatiseerde overzetting van transactiegegevens/ Evalueer deze controles
VII.
A.
1.
2.
3.
4.
System audit (ingeval van transactieomgeving C en D) Geprogrammeerde controles
Transactieomgeving C:
Inventariseer de geprogrammeerde controles rondom transacties in de e-commerce applicatie en de bedrijfssystemen. Evalueer de geprogrammeerde controles.
Bevat de e-commerce applicatie dezelfde geprogrammeerde controles als de bedrijfssystemen?
Worden de door de e-commerce applicatie geweigerde transacties geregistreerd in een afzonderlijk bestand?
Worden door de bedrijfssystemen geweigerde transacties geregistreerd in een afzonderlijk bestand?
7.
8.
B.
1.
2.
3.
4.
5.
C.
1.
2.
3.
4.
5.
6.
D.
1.
2.
Worden de door de e-commerce applicatie geweigerde transacties geregistreerd in een afzonderlijk bestand?
Vindt bij genummerde transacties controle op doorlopende nummering plaats?
Kritieke data
Beschrijf de kritieke data van de transacties in de e-commerce applicatie c.q.
bedrijfssystemen.
Toelichting: Bijvoorbeeld transactiegegevens of prijsgegevens zoals productprijs, kortingsstructuren, BTW-tarieven en verzendkosten.
Zijn alle kritieke vaste data via parameters instelbaar?
Zijn er voldoende maatregelen om de juistheid, volledigheid en tijdigheid van vaste kritieke data in de e-commerce applicatie c.q. bedrijfssystemen te waarborgen?
Wordt gebruik gemaakt van een netwerk van controletotalen in de e-commerce applicatie c.q. bedrijfssystemen?
Is het mogelijk om geautoriseerde transacties te wijzigen?
Logische toegangsbeveiliging en functiescheiding
De volgende beoordelen betreffen de e-commerce applicatie (omgeving C en D) en de bedrijfssystemen (omgeving C).
Verkrijg de bevoegdhedenschema's en autorisatietabellen van de e-commerce applicatie c.q.
bedrijfssystemen.
Bestaat er functiescheiding tussen:
• automatiseringsorganisatie (site-beheer);
• logistieke afdeling zoals verkoopafdeling (content-beheer);
• ontwerpafdeling website (lay-out beheer).
Zijn conflicterende uitvoerende, controlerende en beschikkende taken gescheiden?
Beoordeel de autorisaties rondom kritieke vaste data.
Wordt er een historisch overzicht van wijzigingen in bevoegdheden bijgehouden?
Audit trail
Er dient een audit trail te bestaan met voldoende informatie met bewijs van:
• het bestaan van transacties;
• de status van transacties.
Beschrijf de audit trail t.a.v. transacties die aanwezig is in de e-commerce applicatie c.q.
bedrijfssystemen.
Evalueer de juistheid en volledigheid van de primaire vastlegging van transacties in de e- commerce applicatie.
3.
4.
5.
6.
E.
1.
2.
3.
F.
Wordt de integriteit van de audit trail voldoende gewaarborgd?
Zijn ordernummers van de internettransacties uniek en doorlopend genummerd?
Transactieomgeving C:
Stel vast of de transactiestatus (bijv. annulering) in de e-commerce applicatie en/of de bedrijfssystemen kan worden veranderd.
Evalueer de audit trail t.a.v. statuswijzigingen van transacties.
Back-up en recovery
Bestaan er schriftelijk vastgelegde procedures m.b.t. back-up en recovery van transactiegegevens en audit trail bestanden?
Waarborgen de procedures de beschikbaarheid van de transactiegegevens en audit trail bestanden?
Worden de back-up en recovery procedures t.a.v. transactiegegevens en audit trail bestanden nageleefd?
__________________________________________________________
Conclusie effectiviteit specifieke maatregelen e-commerceomgeving / internettransacties?
