Nederlandse bedrijven en instellingen hebben grote behoefte aan minimum-maatstaven voor de beveiliging van bijvoorbeeld hun Internet-aansluitingen. Het Overlegorgaan Technische Beveiligingsstandaarden (OTB) heeft hiertoe basisnormen en basismaatregelen gedefinieerd.
De noodzakelijke beveiligingsmaatregelen van het OTB zijn gebaseerd op het principe van ‘goed huisvaderschap’. Elke organisatie die haar beveiliging serieus neemt, dient in ieder geval deze maatregelen te hebben getroffen.
Een groep Nederlandse organisaties en instellingen probeert via het OTB normen en standaarden te ontwikkelen, die als leidraad kunnen dienen voor de informatiebeveiliging en de technische realisering hiervan. De deelnemers brengen hun kennis, inzichten en ervaringen in om samen beveiligingseisen op te stellen. Het betreft maatregelen die moeten worden getroffen ter waarborging van geautoriseerd gebruik en voortdurende beschikbaarheid van het IT-product. Bij implementatie van een IT-product moet een evenwicht worden gevonden tussen risico’s en daarmee samenhangend beveiligingsniveau, gebruikersgemak, invoerings- en beheerskosten alsmede gevolgen voor de prestaties van het product.
Praktische normen
In het overlegorgaan zitten onder meer Akzo Nobel, KPN en de interne accountantsdiensten van Defensie, De Nederlandsche Bank, het ministerie van Financiën, de Belastingdienst en het GAK. Initiatiefnemer is KPMG EDP Auditors. Ook het secretariaat zit daar. Volgens ir A. van Zanten (KPMG) ontbrak het tot nog toe aan praktische normen. Over de beveiliging van Internet-aansluitingen is wel veel geschreven, maar men richtte zich vooral op de techniek. Een vertaling naar het operationele niveau bleef achterwege. Het OTB wil vooral praktisch te werk gaan. Dit orgaan wil aangeven wat normaal is. Elke standaard dient concreet toepasbaar te zijn. Bovendien moet deze eenvoudig naar maatregelen kunnen worden vertaald. De OTB-standaarden zijn bedoeld als richtlijnen voor de aansturing van het operationeel IT-beheer. De aanbevolen maatregelen hebben betrekking op generieke risico’s, die voortvloeien uit het gebruik van Internet als communicatie-infrastructuur. Onderscheid wordt gemaakt in risico’s ten aanzien van de bedrijfsvoering, risico’s bij het importeren en exporteren van gegevens alsmede risico’s veroorzaakt door de inherente onveiligheid van de voornaamste componenten van het Internet. Bij dit laatste moet worden gedacht aan netwerken en computersystemen, applicatieprogramma’s en protocollen.
Meer normen
Tussen het eigen netwerk en het Internet moet een ‘firewall’ worden aangelegd. Deze ‘firewall’ werkt als een filter dat binnenkomend en uitgaand gegevensverkeer selectief doorlaat dan wel tegenhoudt. Behalve de OTB-studie Internet is er ook een OTB-standaard Unix voor de beveiliging van Unix-omgevingen ontwikkeld. De publicaties zijn mede gebaseerd op de Code voor Informatiebeveiliging die het Nederlands Normalisatie Instituut en het ministerie van Economische Zaken hebben opgesteld.
Gewerkt wordt aan soortgelijke leidraden voor Windows NT, Oracle databases en kiesverbindingen. Het secretariaat OTB is gevestigd bij KPMG EDP Auditors, Postbus 74105, 1070 BC Amsterdam, telefoon (020)6568038.