jump to navigation

Opbouw

De bouw van een FIS is niet slechts een technische verhandeling, er komt veel meer bij kijken. Zoals de aanpassing van de organisatie, het invoeren van procedures, het voorlichten van het personeel, het opstellen van een registratie voor het College Bescherming Persoonsgegevens, en het auditen van het FIS, zowel over het ontwikkel- en implementatietraject als naderhand in productie. In dit hoofdstuk worden de elementen die betrekking hebben op de ontwikkeling en de invoering in de organisatie beschreven.

Het ontwerp

Bij de bouw van het FIS moet rekening gehouden met de robuustheid van het informatiesysteem. Het mag niet mogelijk zijn dat gegevens tijdens het wegschrijven gecorrumpeerd raken of zijn af te lezen. Ook mag het niet mogelijk zijn dat gegevens na het wegschrijven nog leesbaar of te wijzigen zijn, zonder toepassing van de juiste groep sleutels. Door een formeel security model als het Clark-Wilson model toe te passen bij de bouw en dit consequent af te dwingen worden de verschillende autorisatielagen standaard ontwikkeld in het FIS.

Welke gegevens

Veel gegevens worden in de normale beheercyclus van servers, actieve netwerkcomponenten en applicaties al gelogd, hoewel niet op forensisch correcte wijze. Deze gegevens moeten simultaan worden weggeschreven naar het reguliere logbestand en naar het FIS. Het gaat dan om zaken als:

Naast de voor het normale beheer noodzakelijke systeemtechnische loggegevens bestaat behoefte aan specifieke informatie die niet bij de afdeling systeembeheer beschikbaar is, zoals:

Technische aspecten

Naast de min of meer standaard logging van informatiesystemen, gebaseerd op veelgebruikte besturingssystemen als Windows en Unix(achtigen), mainframes, e.d., zijn er ook ondersteunde systemen die voor een opsporingsonderzoek relevante loggegevens maken.

Telecommunicatie

Gegevens uit de eigen telefooncentrale zijn wel in digitale vorm beschikbaar. Hoewel dit vaak een gesloten formaat is zijn er voldoende exportmogelijkheden naar algemeen aanvaarde standaarden. Over het algemeen betreft het de volgende informatie:

Informatie die beschikbaar komt uit telecommunicatiediensten buiten het eigen bedrijf om zal moeten worden opgevraagd bij de telecomprovider. De volgende gegevens zijn dan tenminste beschikbaar:

Voor GRS diensten:

Voor mobiele telecommunicatie:

Toegangscontrolesystemen

Afhankelijk van de mogelijkheden die de toegangspassen en -poorten bieden kan de volgende informatie worden onttrokken aan een toegangscontrolesysteem:

Organisatorische aspecten

Het technisch beheer van het FIS en het functioneel beheer moeten gescheiden plaatsvinden. Een of twee systeembeheerders kunnen de dagelijkse gang van zaken rond het beheer van het informatiesysteem uitvoeren. Het functioneel beheer wordt uitgevoerd door bijvoorbeeld de CISO, CSO of door PO&I (Personeel, Organisatie en Informatie).

Rolverdeling

CISO is gegevenseigenaar; PO&I is applicatiebeheerder; een groep verantwoordelijke functionarissen uit het managementteam heeft de sleutel om FIS te openen (zie ook procedureel).

Identity management

Een belangrijk element van de forensische waarde van de gegevens wordt bepaald door de oorsprong of de veroorzaker van deze registraties. Als oorsprong kan een server, werkstation of actieve netwerkcomponent dienen, als veroorzaker een applicatie of een gebruiker. Hierbij is het wel noodzakelijk dat er een hoge mate van zekerheid bestaat dat de als oorsprong of veroorzaker geregistreerde bron inderdaad ook de bron is.

Technisch is het redelijk eenvoudig een werkstation (dat wordt geïdentificeerd aan de hand van het hardware adres van de netwerkkaart en het IP-adres van de computer) een andere netwerkidentiteit te geven. Ook gebruikers kunnen zich voordoen als een ander, als zij bijvoorbeeld het wachtwoord kennen van een collega. Hackers (aanvallers van buitenaf) stelen de inloggegevens van gebruikers en loggen daarmee in op systemen.

Om dit soort praktijken te voorkomen of in ieder geval te bemoeilijken kunnen een aantal technische maatregelen worden getroffen, zoals het invoeren van netwerkportsecurity, waarbij het hardware adres van een netwerkkaart aan een fysieke toegangspoort van het netwerk wordt gekoppeld. Bij wijziging (spoofing) van het hardware adres (MAC-adres) wordt de poort afgesloten en wordt dit gelogd. IP-adres spoofing wordt gedetecteerd door de DHCP-server, die de IP-adressen uitdeelt, te laten controleren of er geen vreemde adressen op het netwerk actief zijn (door bij te houden welk MAC-adres en welke poort welk IP-adres hebben gekregen). Bij afwijkingen wordt de poort van het verdachte werkstation eveneens afgesloten en wordt dit gelogd.

In kritische omgevingen moet de mogelijkheid overwogen worden om ook het unieke identificatienummer van de centrale verwerkingseenheid van de computer (de processor) te registreren, gekoppeld aan het MAC-adres en het IP-adres. Omdat dit nummer niet veranderd, kunnen wijzigingen in MAC-adres (dat eveneens in hardware is opgenomen, maar wel kan worden veranderd) worden gedetecteerd en gelogd.

Gebruikers moeten zich bewust zijn van het belang van de beschermin van hun inloggegevens, daarnaast kan de inlogprocedure worden versterkt door toepassing van two-factor authenticatie. Hierbij loggen gebruikers in met gebruikersnaam, wachtwoord en een token dat een steeds veranderende code geeft. Dit is een juridisch geaccepteerde methode om met een redelijk hoge mate van zekerheid vast te stellen dat de juiste geauthenticeerde gebruiker zich heeft aangemeld.

Procedurele aspecten

Indien zich een incident voordoet, dat zich zodanig ontwikkelt dat de database van FIS moet worden aangesproken, zal het CSIRT de applicatiebeheerder van FIS informeren van de stand van zaken – voor zover dat in de loop van het proces nog niet is gedaan door de CISO. In geen geval is het CSIRT gerechtigd zonder tussenkomst van het managementteam contact op te nemen met de politie.

Managementsamenvatting en Inleiding
FIS
Juridisch
Opbouw
Forensics
Gegevensopslag
Afronding en overdracht
Gertjan, 23 juni, 21:09

Reacties»

No comments yet — be the first.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: