Door Anoniem:Dan heb je nog richtlijnen maar je hebt geen eenduidig procedure/inrichting volgens mij van als je dat volgt dan ben je er.
Klopt dat?
Ja, dat klopt. Het heeft voornamelijk te maken met het idee dat een "one size fits all" niet bestaat in informatiebeveiliging, doordat het
threat model per situatie verschillend is, en ook nog eens permanent aan verandering onderhevig is. Dat is ook de reden dat je v.w.b. informatiebeveiliging permanent in een PDCA cyclus zit. Zie b.v. het NIST cyber framework dat hier een mogelijke invulling aan geeft:
https://www.nist.gov/cyberframework.
De vraag is: waar beveilig je je tegen? Script kiddies? State-sponsored hackers? Netwerkaanvallen? Fysieke aanvallen? Integriteitsproblemen? Onbetrouwbare tussenpersonen? Je zult je
threat model duidelijk moeten krijgen, met in het achterhoofd dat cryptografische maatregelen één klasse is van vele klassen met mitigerende maatregelen die getroffen kunnen worden. Toegegeven: het is voor veel requirements die je opstelt min of meer een vereiste om goede crypto te hebben, maar zeker niet voor alle maatregelen. Ik weet te weinig van wetgeving af om te zeggen dat specifieke cryptografische maatregelen vanuit een juridisch oogpunt genomen moeten worden. Wat ik wel weet is dat de wetgever snel vervalt in termen als "beheerste uitvoering van bedrijfsprocessen". Daar kan crypto zeker invulling aan geven. De
recommended practices (zie de NCSC URL die ik eerder gaf) kunnen vervolgens sterk sturend zijn.
Let erop dat technische maatregelen zoals cryptografische algoritmen, sleutellengten en protocollen slechts het topje van de ijsberg zijn. Denk aan het PPT model: People, Processes, Technology. Je kunt je blindstaren op de techniek, maar dat is vaak maar 10% - 20% van de uiteindelijke oplossing. Alles kan om zeep worden geholpen door onkundige gebruikers, slechte awareness, dubbelzinnige of onwerkbare processen, afwezige documentatie, legacy ellende etc. Prima, die aandacht voor de juiste crypto, maar meer dan een puzzelstuk in het grote geheel is het niet.
Laatste opmerking: stel een threat model van het EDP op, en bekijk welke threats gemitigeerd kunnen worden door welke cryptografische oplossingen. De eerste Google hit geeft me
https://www.researchgate.net/publication/234822392_Security_in_the_dutch_electronic_patient_record_system, dat een begin kan zijn. En daar zul je het mee moeten doen :-).