Doelstelling: Een consistente en doeltreffende aanpak bewerkstelligen van het beheer van informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke plekken in de beveiliging.
Beheersmaatregel
Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Met betrekking tot het beheer van informatiebeveiligingsincidenten behoren de volgende richtlijnen voor directieverantwoordelijkheden en -procedures in overweging te worden genomen:
a) er behoren directieverantwoordelijkheden te worden vastgesteld om te bewerkstelligen dat de volgende procedures adequaat binnen de organisatie worden ontwikkeld en gecommuniceerd:
1) procedures voor incidentresponsplanning en -voorbereiding;
2) procedures voor het monitoren, opsporen, analyseren en rapporteren van informatiebeveiligingsgebeurtenissen en -incidenten;
3) procedures voor de verslaglegging van beheeractiviteiten betreffende incidenten;
4) procedures voor het omgaan met forensisch bewijs;
5) procedures voor het beoordelen van en besluitvorming over informatiebeveiligingsgebeurtenissen en beoordeling van zwakke plekken in de informatiebeveiliging;
6) responsprocedures met inbegrip van procedures voor escalatie, beheerst herstel van een incident en communicatie aan in- en externe personen of organisaties.
b) vastgestelde procedures behoren te bewerkstelligen dat:
1) competent personeel de kwesties behandelt die verband houden met informatiebeveiligingsincidenten binnen de organisatie;
2) een contactpunt voor het opsporen en rapporteren van beveiligingsincidenten wordt geïmplementeerd;
3) passende contacten worden onderhouden met instanties, externe belangengroepen of fora die aangelegenheden behandelen die verband houden met informatiebeveiligingsincidenten.
c) rapportageprocedures behoren de volgende aspecten te omvatten:
1) formulieren voorbereiden voor het rapporteren van informatiebeveiligingsgebeurtenissen ter ondersteuning van de rapportageactie en om te bevorderen dat de rapporterende persoon aan alle nodige acties denkt die in geval van een informatiebeveiligingsgebeurtenis moeten worden verricht;
2) de procedures die in geval van een informatiebeveiligingsgebeurtenis moeten worden uitgevoerd, bijv. onmiddellijk alle details noteren, zoals aard van niet-naleving of overtreding, optredende storing, berichten op het scherm, en onmiddellijk rapporteren aan het contactpunt en alleen gecoördineerde actie ondernemen;
3) verwijzing naar een vastgestelde disciplinaire formele procedure voor het omgaan met medewerkers die beveiligingsovertredingen begaan;
4) passende feedbackprocedures om te bewerkstelligen dat de personen die informatiebeveiligingsgebeurtenissen melden, worden geïnformeerd over de resultaten nadat de kwestie is behandeld en afgesloten.
De doelstellingen voor het beheer van informatiebeveiligingsincidenten behoren met de directie te worden overeengekomen en er behoort te worden gewaarborgd dat de personen die verantwoordelijk zijn voor het beheer van informatiebeveiligingsincidenten op de hoogte zijn van de prioriteiten van de organisatie voor het behandelen van informatiebeveiligingsincidenten.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Informatiebeveiligingsincidenten kunnen de grenzen van organisaties en landen overschrijden. Om op dergelijke incidenten te kunnen reageren bestaat er een toenemende behoefte om indien van toepassing respons te coördineren en informatie over deze incidenten te delen met externe organisaties.
ISO/IEC 27035 biedt gedetailleerde richtlijnen over het beheer van informatiebeveiligingsincidenten.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren verantwoordelijkheden en procedures met betrekking tot het managen van beveiligingsincidenten vast te stellen:
a) om een doeltreffende en tijdige respons op informatiebeveiligingsincidenten te bewerkstelligen;
b) om te garanderen dat er een doeltreffend en geprioriteerd escalatiepad is voor incidenten zodat in de juiste omstandigheden en tijdig een beroep kan worden gedaan op plannen voor crisismanagement en bedrijfscontinuïteitsmanagement;
c) om incidentgerelateerde auditverslagen en ander relevant bewijs te verzamelen en in stand te houden.
Informatiebeveiligingsincidenten omvatten corruptie of onbedoelde openbaarmaking van persoonlijke gezondheidsinformatie of het niet langer beschikbaar zijn van gezondheidsinformatiesystemen waarbij dit niet beschikbaar zijn nadelige gevolgen heeft voor de zorg voor cliënten of bijdraagt aan nadelige klinische gebeurtenissen.
Organisaties behoren de cliënt altijd te informeren als er per ongeluk persoonlijke gezondheidsinformatie openbaar is gemaakt.
Organisaties behoren de cliënt op de hoogte te stellen als het niet beschikbaar zijn van gezondheidsinformatiesystemen negatieve gehad kan hebben voor hun zorgverlening.
Implementatierichtlijn
Alle medewerkers en contractanten behoren bewust te worden gemaakt van hun verantwoordelijkheid om informatiebeveiligingsgebeurtenissen zo snel mogelijk te rapporteren. Zij behoren ook te worden geïnformeerd over de procedure voor het rapporteren van informatiebeveiligingsgebeurtenissen en het contactpunt waaraan de gebeurtenissen behoren te worden gerapporteerd.
Met betrekking tot het rapporteren van informatiebeveiligingsgebeurtenissen behoort rekening te worden gehouden met de volgende situaties:
a) niet-doeltreffende beveiligingsbeheersmaatregelen;
b) schending van informatie-integriteit, vertrouwelijkheid of aanwezige verwachtingen;
c) menselijke fouten;
d) niet-naleving van beleidsregels of richtlijnen;
e) schending van fysieke beveiligingsregelingen;
f) onbeheerste systeemveranderingen;
g) storingen in soft- of hardware;
h) overtredingen van de toegangsregeling.
Zorgspecifieke implementatierichtlijn
Er is een tendens in gezondheidsorganisaties om informatiebeveiligingsincidenten kunstmatig van andere soorten incidenten te scheiden, zowel wat betreft de afhandeling ervan als het rapporteren erover. Met het oog op het feit dat een inbraak zou kunnen hebben geleid tot de diefstal van IT-hardware (hetgeen tot een schending van de vertrouwelijkheid leidt) of dat er brand zou kunnen zijn gesticht om het misbruik van IT-apparatuur te verhullen, of dat geïdentificeerd misbruik of foutief gebruik van het systeem klinische gevolgen zou kunnen hebben gehad, behoort er een informatiebeveiligingsbeoordeling te worden uitgevoerd van al dergelijke incidenten of van een representatief incident om de doeltreffendheid van gevestigde beheersmaatregelen en van de risicobeoordeling die tot de implementatie ervan heeft geleid verder te evalueren.
Overige informatie
Storingen of ander abnormaal systeemgedrag kunnen een aanwijzing zijn voor een aanval op de beveiliging of een feitelijke beveiligingsovertreding en behoren daarom altijd te worden gerapporteerd als een informatiebeveiligingsgebeurtenis.
Overige zorgspecifieke informatie
In veel rechtsgebieden moeten schendingen van persoonsidentificatie-informatie bij wet worden gemeld aan de betrokkenen van wie de persoonsinformatie is geschonden. Zelfs in rechtsgebieden waar er geen wet bestaat voor persoonsidentificatie-informatie in het algemeen kunnen er wetten zijn die kennisgeving aan cliënten vereisen als hun persoonlijke gezondheidsinformatie is geschonden (vier Canadese provincies hebben bijvoorbeeld wetten die kennisgeving van schending van persoonlijke gezondheidsinformatie vereisen, ondanks dat er geen vergelijkbare wetgeving voor kennisgeving van schending van andere persoonsidentificatiegegevens bestaat).
Informatiebeveiligingsgebeurtenissen kunnen incidenten omvatten die de veiligheid van cliënten betreffen waarbij gegevensverwerking of gegevensoverdracht een rol speelde.
In sommige rechtsgebieden hebben cliënten het recht te worden geïnformeerd over elke schending van hun persoonlijke gezondheidsinformatie.
Beheersmaatregel
Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie, behoort te worden geëist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Alle medewerkers en contractanten behoren deze zaken zo snel mogelijk aan het contactpunt te rapporteren om informatiebeveiligingsincidenten te voorkomen. Het rapporteringsmechanisme behoort zo eenvoudig, toegankelijk en beschikbaar te zijn als mogelijk is.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Medewerkers en contractanten behoort te worden geadviseerd niet te proberen om de vermeende aanwezigheid van een zwakke plek aan te tonen. Het testen op zwakke plekken zou kunnen worden uitgelegd als potentieel misbruik van het systeem en zou ook schade kunnen veroorzaken aan het informatiesysteem of de -dienst en resulteren in wettelijke aansprakelijkheid van de persoon die testactiviteiten verricht.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Het contactpunt behoort elke informatiebeveiligingsgebeurtenis te beoordelen op basis van de overeengekomen classificatieschema voor gebeurtenissen en incidenten betreffende informatiebeveiliging, en te besluiten of de gebeurtenis behoort te worden geclassificeerd als informatiebeveiligingsincident.
Classificeren en prioriteren van incidenten kan helpen de impact en omvang van een incident te bepalen.
In gevallen waarin de organisatie beschikt over een responsteam voor informatiebeveiligingsincidenten (ISIRT), kunnen de beoordeling en het besluit worden doorgestuurd naar het ISIRT voor bevestiging of herbeoordeling.
Resultaten van de beoordeling en het besluit behoren in detail in een verslag te worden vastgelegd ten behoeve van toekomstige verwijzing en verificatie.
Zorgspecifieke implementatierichtlijn
Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren te beoordelen of de informatiebeveiligingsgebeurtenis persoonlijke gezondheidsinformatie betrof.
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Op informatiebeveiligingsincidenten behoort te worden gereageerd door een aangewezen contactpunt en andere relevante personen van de organisatie of externe partijen (zie 16.1.1).
De respons behoort de volgende aspecten te omvatten:
a) zo snel mogelijk na de gebeurtenis bewijs verzamelen;
b) indien vereist, forensische analyse van de informatiebeveiliging uitvoeren (zie 16.1.7);
c) escaleren indien vereist;
d) bewerkstelligen dat alle betrokken responsactiviteiten op de juiste manier worden vastgelegd voor latere analyse;
e) het bestaan van het informatiebeveiligingsincident of relevante details daarvan communiceren aan andere in- en externe personen of organisaties met een ‘need-to-know’;
f) behandelen van de zwakke plek(ken) in de informatiebeveiliging waarvan is vastgesteld dat deze het incident heeft/hebben veroorzaakt of eraan heeft/hebben bijgedragen;
g) het incident formeel afsluiten en verslaglegging bijhouden zodra het incident met succes is behandeld.
Om de bron van het incident te identificeren behoort postincidentanalyse plaats te vinden.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Het eerste doel van incidentrespons is het ‘normale beveiligingsniveau’ te hervatten en dan het nodige herstel te initiëren.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen, behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Er behoren mechanismen te zijn ingesteld waarmee de aard, omvang en kosten van informatiebeveiligingsincidenten kunnen worden gekwantificeerd en gemonitord. De informatie die is verkregen uit de evaluatie van informatiebeveiligingsincidenten behoort te worden gebruikt om terugkerende of ingrijpende incidenten te identificeren.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Uit de evaluatie van informatiebeveiligingsincidenten kan de noodzaak blijken van uitgebreidere of aanvullende beheersmaatregelen om de frequentie, schade en kosten van toekomstige gebeurtenissen te beperken, of om deze op te nemen in de beoordelingsprocedure van het veiligheidsbeleid (zie 5.1.2).
Met de nodige aandacht voor vertrouwelijkheidsaspecten kunnen praktijksituaties van actuele informatiebeveiligingsincidenten worden gebruikt in een gebruikersbewustzijnstraining (zie 7.2.2) als voorbeelden van wat kan gebeuren, hoe te reageren op dergelijke incidenten en hoe deze in de toekomst te voorkomen.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
De organisatie behoort procedures te definiëren en toe te passen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Bij het omgaan met bewijs ten behoeve van disciplinaire en wettelijke actie behoren interne procedures te worden ontwikkeld en gevolgd.
In het algemeen behoren deze bewijsprocedures processen in te houden voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs in overeenstemming met de verschillende soorten media, apparaten en de status van de apparaten, bijv. in- of uitgeschakeld. De procedures behoren rekening te houden met de:
a) bewakingsketen;
b) veiligheid van bewijs;
c) veiligheid van personeel;
d) rollen en verantwoordelijkheden van het betrokken personeel;
e) competentie van personeel;
f) documentatie;
g) instructie.
Indien beschikbaar, behoort certificatie of andere relevante methoden om personeel en middelen te kwalificeren te worden gezocht om de waarde van het verkregen bewijs te versterken.
Forensisch bewijs kan grenzen van organisaties of rechtsgebieden overschrijden. In zulke gevallen behoort te worden gewaarborgd dat de organisatie het recht heeft de vereiste informatie als forensisch bewijs te verzamelen. De eisen van verschillende rechtsgebieden behoren ook in aanmerking te worden genomen om de kans zo groot mogelijk te maken dat het bewijs wordt toegelaten in de relevante rechtsgebieden.
Zorgspecifieke implementatierichtlijn
Het kan voor organisaties die persoonlijke gezondheidsinformatie verwerken, nodig zijn aandacht te geven aan de implicaties van het verzamelen van bewijs om medische fouten aan te tonen en aandacht te geven aan interjurisdictionele eisen als gezondheidsinformatiesystemen van buiten de grenzen van het eigen rechtsgebied toegankelijk zijn.
Overige informatie
Identificatie is het proces dat zoeken naar, herkennen en documenteren van potentieel bewijs impliceert.
Verzamelen is het proces van het verzamelen van de fysieke voorwerpen die potentieel bewijs kunnen bevatten. Acquisitie is het proces om een kopie te creëren van gegevens binnen een gedefinieerde groep.
Bewaren is het proces om de integriteit en originele toestand van het potentiële bewijs veilig te stellen.
Wanneer een informatiebeveiligingsgebeurtenis pas is ontdekt is het mogelijk niet meteen duidelijk of de gebeurtenis zal leiden tot gerechtelijke stappen. Het gevaar bestaat dan ook dat noodzakelijk bewijs bewust of toevallig wordt vernietigd voordat de ernst van het incident wordt onderkend. Het is raadzaam om een advocaat of de politie vroegtijdig in te schakelen als gerechtelijke stappen worden overwogen en om advies in te winnen over het vereiste bewijs.
ISO/IEC 27037 biedt richtlijnen voor het identificeren, verzamelen, verkrijgen en bewaren van digitaal bewijs.
Overige zorgspecifieke informatie
<geen>
