Organisatie | Nuth |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | PROCEDURE INCIDENTMANAGEMENT GEMEENTE NUTH |
Citeertitel | Procedure Incidentmanagement Gemeente Nuth |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | openbare orde en veiligheid |
Eigen onderwerp | |
Externe bijlagen | Registratieformulier incident Logboek incident |
Geen.
Onbekend.
Geen.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
01-07-2016 | 01-01-2021 | nieuwe regeling | 15-06-2016 Elektronisch Gemeenteblad, 30-06-2016 | Z.05456 INT.13019 |
Dit document geeft invulling aan de beleidsuitgangspunten voor beveiligingsincidenten zoals vastgelegd in het algemene beleid voor de informatiebeveiliging van de gemeente Nuth: “Informatiebeveiligingsbeleid gemeente Nuth”
Dit document beschrijft het belang en het proces voor incidentregistratie, –response en evaluatie (de procedure incidentmanagement).
De beleidsuitgangspunten zijn afkomstig uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en is hiermee in overeenstemming met de BIG.
De procedure incidentmanagement maakt deel uit van het Informatiebeveiligingsbeleid van de gemeente Nuth en voorziet in het vastleggen van de verschillende stappen die noodzakelijk zijn om i.g.v. een (vermeend) incident zo snel mogelijk te herstellen om hiermee de gevolgen van een (vermeend) incident te minimaliseren en de continuïteit van dienstverlening optimaal te waarborgen. Bovendien voorziet de procedure in een evaluatie die de basis biedt voor verbetering en preventie van de incidentmanagementprocedure.
Incidentmanagement is een belangrijk onderdeel van het concern breed risicomanagement dat binnen de gemeente Nuth wordt uitgevoerd cf. het Risicobeheersingsplan 2013-2018. Incidentmanagement kan op veel onderwerpen plaatsvinden, bijv. op een computer of een netwerk of opgeslagen data, maar ook het waarnemen van verdachte activiteiten door personeel.
Dit document omschrijft het incidentmanagement ten behoeve risicobeperking rondom de informatieveiligheid.
Het primaire doel is de ontwikkeling van een goed begrepen en voorspelbare reactie op schadelijke gebeurtenissen en computer inbraken in de meest brede zin van het woord.
Een incident is een gebeurtenis die de bedrijfsvoering negatief kan beïnvloeden. Voorbeelden van beveiligingsincidenten zijn o.a. oneigenlijk gebruik van websites of e-mail, onrechtmatige verstrekking van informatie, het ‘lekken’ van informatie, verdacht gedrag, of inbraak op een computersysteem of website.
Incidentmanagement is het geheel van (organisatorische) maatregelen dat ervoor moet zorgen dat incidenten en zwakheden tijdig en adequaat worden gedetecteerd, gemeld en behandeld om hiermee de kans op uitval van bedrijfsvoeringprocessen en schade ontstaan als gevolg van het incident te voorkomen dan wel te minimaliseren.
Zwakheden zijn o.a. het ontbreken van wachtwoorden in computersystemen of slecht beveiligde computersystemen of verouderde computersystemen. Ook onzorgvuldig gedrag van medewerkers, bijv. het laten rondslingeren van documenten, wachtwoorden of sleutels en het open laten staan van deuren is een zwakheid.
Incident management omvat ook het evalueren van incidenten, teneinde te werken aan maatregelen die de kwaliteit van het incidentmanagement verbeteren.
Het doel van incidentmanagement is het voorkomen dan wel beperken van schade als gevolg van beveiligingsincidenten en storingen. Het achterliggende doel is waarborging van de continuïteit en kwaliteit van de gemeentelijke processen t.b.v. dienstverlening, bestuur en de achterliggende bedrijfsvoering.
Uitgangspunt van incidentmanagement is om het proces te verbeteren en incidenten in de toekomst zoveel mogelijk te voorkomen. Het incidentmanagement is niet gericht op de persoon, is doorgaans niet bedoeld om mensen te straffen of sancties op te leggen, voor zover er geen sprake is van het opzettelijk veroorzaken van incidenten, het plegen van fraude en/of andere strafbare feiten. Deze procedure sluit tevens aan op het integriteitsbeleid van de gemeente Nuth met de bijbehorende gedragscode integriteit en de onderliggende regelingen.
Incidentmanagement draagt bij aan informatieveiligheid en kan derhalve worden gezien als één van de belangrijke maatregelen rondom informatiebeveiliging. Informatiebeveiliging is het geheel van processen die worden ingericht om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op:
Kortom, de incidentmanagementprocedure …
omvat formele procedures voor rapportage van gebeurtenissen en escalatie. Alle werknemers, ingehuurd personeel en externe gebruikers zijn op de hoogte van deze procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de bedrijfsmiddelen;
Als incidenten niet geregistreerd worden, is het onduidelijk waar en wanneer zich incidenten voordoen of hebben voorgedaan. Ook is dan onduidelijk wat de impact (risico’s) van incidenten zijn. Op deze wijze is adequate afhandeling van incidenten en evaluatie ter lering en preventie in de toekomst onmogelijk. Dit impliceert risico’s ten aanzien van de continuïteit van de bedrijfsprocessen (dienstverlening en bestuur) van de gemeente én de verbonden partijen (in de keten). Andere risico’s zijn ongewenste verspreiding van gevoelige informatie met als gevolg mogelijke fraude, negatieve publiciteit en erger nog, het afbrokkelen van het vertrouwen in de overheid.
1.4 Het belang van incidentmanagement
Incidentmanagement behoort evenals het algemene informatiebeveiligingsbeleid en het risicobeheersingsplan tot de belangrijkste aandachtsgebieden van de Baseline Informatiebeveiliging Nederlandse gemeenten (BIG).
Incidentmanagement is van belang voor de (gemeentelijke) organisatie omdat 100% beveiligen niet bestaat en omdat incidenten niet te voorkomen zijn. Het is niet de vraag óf er iets gaat gebeuren maar wanneer.
De belangrijkste te verwachten incidenten kunnen van te voren bedacht worden en de bijpassende reactie en escalatieprocedure kan dus ook van te voren uitgewerkt en geoefend worden.
Incidenten staan vaak niet op zichzelf en kunnen een uitwerking hebben op andere ketenpartners en/of klanten. Sommige incidenten doen zich bij meerdere organisaties (gemeenten) voor.
Een incident moet zowel intern worden opgelost alsook extern worden geëscaleerd zodat anderen gewaarschuwd kunnen worden en hiermee de impact van het incident zo klein mogelijk kan worden gehouden. Extern escaleren gebeurt naar de IBD, zij hebben het overzicht, de contacten en de middelen om andere (keten-)partners en gemeenten snel te kunnen waarschuwen en ook hebben zij een directe ingang bij het Nationaal Cyber Security Center (NCSC). Het melden van (vermeende) datalekken gebeurt naar het College Bescherming Persoonsgegevens.
Incidentmanagement heeft raakvlakken met andere risicobeheersings- en incidentprocessen die de gemeente Nuth al kent, zoals bijv. de risico inventarisatie en evaluatie in het kader van de Arbowet (RI&E).
Incidentmanagement maakt onderdeel uit van het informatiebeveiligingsbeleid van de gemeente Nuth, welk als zodanig weer onderdeel uitmaakt van het overkoepelend risicobeheersingsplan van de gemeente Nuth.
Incidentmanagement dient voor alle gemeentelijke processen te zijn geborgd.
Voor wat betreft informatiebeveiliging raakt het incidentmanagement alle aspecten, zoals wetgeving, ICT, huisvesting, HRM/personeel, klanten, leveranciers, processen, producten, diensten, middelen en data.
Incidentmanagement dient uitgewerkt te zijn in alle onderdelen waarop dit van toepassing is, zoals arbeidscontracten, leverancierscontracten, contracten met andere externe partijen en samenwerkingsverbanden, procedures, processen en protocollen rondom personeel en ICT, zoals het geheimhoudingsprotocol, het ICT beheer, backup- en recovery, bedrijfscontinuïteit.
Deze procedure sluit tevens aan op het integriteitsbeleid van de gemeente Nuth met de bijbehorende gedragscode integriteit en de onderliggende regelingen.
Het spreekt voor zich dat incidentmanagement –als onderdeel van het beveiligingsbeleid en risicomanagement- volledig dient aan te haken bij de actuele wet- en regelgeving rondom informatieveiligheid, privacy (waaronder ook de Wet Meldplicht Datalekken), gegevensbescherming; alsook bij de geldende normen hiervoor (o.a. de BIG).
Deze procedure is van toepassing op alle onderdelen waarvoor informatiebeveiliging geldt, dus ook op Suwi en Suwinet, de basisregistraties, DIGID, etc.
2 Procedure incidentregistratie en afhandeling
Een tijdige en zorgvuldige registratie van incidenten en zwakheden is de eerste essentiële stap voor de verdere afhandeling van incidenten of zwakheden en vormt hiermee de basis van het incidentmanagement.
Dit alles ter voorkoming van gebeurtenissen die de betrouwbaarheid van de informatiehuishouding nadelig kunnen beïnvloeden en de continuïteit van de gemeentelijke processen kunnen beschadigen.
Daarom is er een procedure voor het melden en opvolgen (afhandelen) van beveiligingsincidenten opgesteld. Een rapportage na evaluatie vormt het sluitstuk van de incidentmanagementprocedure voor dat betreffend incident, met dien verstande dat de verbetermaatregelen die uit de evaluatie van het incident voortkomen, worden uitgevoerd.
Alle medewerkers inclusief het ingehuurd personeel en externe gebruikers dienen op de hoogte te zijn en te blijven van de procedures rondom incidentmanagement, met name het rapporteren van incidenten (of gebeurtenissen die mogelijk als incident aangemerkt kunnen worden) en eventuele zwakheden. Zij dienen zich continu bewust te zijn van hun handelen en de mogelijke risico’s in hun werk. Het betreft zowel de gemeente Nuth alsook in voorkomende gevallen organisaties die aan de gemeente Nuth zijn verbonden, zoals Kompas.
2.1. Beschrijving van het proces
In onderstaand overzicht zijn de stappen van de incidentregistratie en afhandeling opgenomen.
2.3 Taken en verantwoordelijkheden
Eén van de maatregelen die ervoor te zorgen dat deze procedure structureel wordt geborgd en uitgevoerd is het beleggen van taken en verantwoordelijkheden. Goedkeuring van deze procedure impliceert automatisch dat de taken en verantwoordelijkheden zoals in deze procedure beschreven worden belegd en ter hand worden genomen. Na goedkeuring van deze procedure is dan ook een zorgvuldige voorlichting en kennisoverdracht aan de organisatie noodzakelijk.
De taken en verantwoordelijkheden m.b.t. informatiebeveiliging zijn in hoofdstuk 2 van het Informatie-beveiligingsbeleid van de gemeente Nuth beschreven.
De Secretaris / Algemeen Directeur geeft namens het managementteam op dagelijkse basis invulling aan de sturende rol door besluitvorming voor te bereiden en toe te zien op de uitvoering ervan. De informatiebeveiligingstaken die hieruit voortvloeien zijn belegd bij de Informatiebeveiligingsfunctionaris (IBF).
De IBF zorgt ervoor dat het beleid actueel blijft en derhalve blijft aansluiten op de relevante ontwikkelingen, wet- en regelgeving. Hiertoe vertaalt de IBF de relevante ontwikkelingen, wet- en regelgeving in (actualisering) van het beleid en zo nodig past de IBF het uitvoeringsplan (het informatiebeveiligingsplan en/of bijbehorende uitvoeringsmaatregelen en onderliggende procedures aan). Indien dit consequenties heeft voor de inzet van mensen en middelen of mogelijke risico’s impliceert, zorgt de IBF ervoor dat de concerncontroller, management en bestuur –middels een kennisgeving of een besluitvormingsvoorstel- tijdig adequaat worden geïnformeerd en tot de eventueel benodigde besluitvorming worden aangezet.
De Adviseurs Bedrijfsvoering (HRM, Informatievoorziening, Communicatie) zorgen voor het beleidskader en de advisering m.b.t. de interne bedrijfsvoering inclusief informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders; tevens zorgen zij voor de uitwerking van het beleid in concrete plannen met maatregelen voor implementatie en borging. Voor ontwikkeling en onderhoud van beleid en plannen m.b.t. informatiebeveiliging ondersteunen deze adviseurs de IBF.
De Programmamanager Bestuur en Veiligheid zorgt voor ontwikkeling en onderhoud van het programma Bestuur en Veiligheid, inclusief het hieraan verbonden beleid. Tevens zorgt deze voor het uitwerken van dit beleid naar concrete uitvoeringsplannen voor Bestuur en Veiligheid. Hij initieert en bewaakt de uitvoering van de plannen rondom veiligheid en risicobeheersing. Hij adviseert over verbeteringen t.a.v. beveiliging en risicomanagement organisatiebreed. Verder zorgt hij voor de periodieke rapportages m.b.t. dit programma.
De Concerncontroller vervult momenteel de rol van Financial Controller. Hij coördineert het proces van de planning- en control cyclus van de gemeentelijke organisatie. Hij bewaakt en toetst de voortgang en de inhoudelijke kwaliteit (betrouwbaarheid, integriteit, vertrouwelijkheid) van alle gemeentelijke processen. Hij toetst deze tevens aan het beleid en de plannen. Hij adviseert over verbeteringen organisatiebreed. Hij draagt zorg voor de periodieke P&C rapportages.
De medewerkers van de ICT dienst, Facilitaire Zaken (Huismeester) en Gebouwenbeheer dragen zorg voor de uitvoering van beveiligingsmaatregelen, die voortvloeien uit betrouwbaarheidseisen (classificaties), de beheeraspecten, logging en rapportage en het verstrekken van (technisch) beveiligingsadvies.
De Gemeenteraad is eindverantwoordelijk voor het vaststellen van de algehele beleidskaders, het toekennen (voteren, accorderen) van de hiertoe benodigde de mensen en middelen (via de meerjarenprogrammabegroting) en de periodieke toetsing op basis van evaluatie en rapportages. De Gemeenteraad vervult een kader stellende rol.
Het College van Burgemeester en Wethouders is integraal verantwoordelijk voor de het informatiebeveiligingsbeleid en het uitvoeringsplan (informatiebeveiligingsplan met de concrete maatregelen voor implementatie, borging, evaluatie en verbetering.). Het College fungeert als bestuurlijk opdrachtgever voor de uitvoering van het informatiebeveiliging door de ambtelijke organisatie en heeft hiermee een beslissende rol ten aanzien van informatieveiligheid binnen de werkprocessen van de gemeente 1 . De verantwoordelijke Portefeuillehouder vertegenwoordigt het College.
De Directie / het Managementteam (in sturende rol) is verantwoordelijk voor de uitvoering en de sturing. Het Managementteam stuurt op concern risico’s, controleert getroffen maatregelen, evalueert periodiek beleidskader en stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn);
De proceseigenaar is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; tevens is deze verantwoordelijk voor het rapporteren over compliance aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapportages.
De Adviseurs Bedrijfsvoering (HRM, Informatievoorziening, Communicatie) zijn verantwoordelijk voor ontwikkeling en onderhoud van het beleidskader en de advisering m.b.t. de interne bedrijfsvoering inclusief informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders; tevens zijn zij verantwoordelijk voor de uitwerking van het beleid in concrete plannen met maatregelen voor implementatie en borging. Voor ontwikkeling en onderhoud van beleid en plannen m.b.t. informatiebeveiliging zijn zij verantwoordelijk voor de ondersteuning van de IBF.
De Programmamanager Bestuur en Veiligheid is verantwoordelijk voor het programma Bestuur en Veiligheid, inclusief het hieraan verbonden beleid, de uitvoeringsplannen en voor de periodieke rapportage over dit programma. Daarnaast is hij verantwoordelijk voor de uitvoering van de plannen rondom veiligheid en risicobeheersing en de periodieke rapportering hierover.
De Concerncontroller vervult momenteel de rol van Financial Controller. Hij is verantwoordelijk voor de planning- en control cyclus van de gemeentelijke organisatie. Hij is verantwoordelijk voor de interne toetsing van beleid, uitvoeringsplannen en uitvoering, voor de voortgang en de inhoudelijke kwaliteit (betrouwbaarheid, integriteit, vertrouwelijkheid) van alle gemeentelijke processen en de periodieke rapportering aan management en bestuur.
De medewerkers van de ICT dienst, Facilitaire Zaken (Huismeester) en Gebouwenbeheer zijn in hun uitvoerende rol verantwoordelijk voor de uitvoering van beveiligingsmaatregelen, die voortvloeien uit betrouwbaarheidseisen (classificaties), de beheeraspecten, logging en rapportage en het verstrekken van (technisch) beveiligingsadvies.
De volgende aandachtspunten zijn van belang:
Ook nieuwemedewerkers inclusief het nieuw ingehuurdpersoneel en nieuwe externe gebruikers dienen op de hoogte te worden gebracht van de procedures rondom incidentmanagement, met name het rapporteren van incidenten (of gebeurtenissen die mogelijk als incident aangemerkt kunnen worden) en eventuele zwakheden. Dit dient te worden meegenomen in de procedure en checklist “nieuwe medewerker”.
Medewerkers (of ingehuurde krachten) die de organisatie verlaten, dienen eventuele sleutels, pasjes en ICT middelen die zij in bruikleen van de gemeente hebben ontvangen, in te leveren. Toegang tot gebouw en systemen dient tijdig geblokkeerd te worden. Dit dient meengenomen te worden in de procedure en checklist “medewerker uit dienst”.
Periodieke evaluatie van het incidentmanagement is van belang om procedures en gegevens actueel te houden, de kwaliteit op orde te houden en medewerkers bewust te houden van hun handelen en de mogelijke risico’s in hun werk. Deze is in stap 8 van het proces beschreven (zie hoofdstuk 2). Het is van belang om het proces in zijn geheel te volgen en af te ronden.
Voor elk incident dient het incidentmanagementproces een eigenaar te hebben en dient er binnen dit proces een vast aanspreekpunt zijn die eventueel ook zorgdraagt voor de interne en externe communicatie. Het melden van incidenten is een taak van iedereen. Het is een signaalfunctie die het bewustzijn van gedrag en omgeving ontwikkelt. Het beoordelen van logbestanden en van gemelde incidenten en zwakheden behoort de taak te zijn van een hiertoe speciaal aangewezen functionaris, afhankelijk van de vraag waarover de logging of de incidentmelding gaat. In ieder geval moet altijd de lijnmanager geïnformeerd worden. Onrechtmatigheden of gebeurtenissen van een bepaalde categorie moeten altijd gemeld worden aan de Secretaris/Algemeen Directeur.
Ook moet bij een escalatie of noodprocedure altijd rekening worden gehouden met woordvoering. Externecommunicatie gebeurt door de Adviseur Bedrijfsvoering Communicatie. Alle medewerkers die betrokken zijn bij het incidentproces moeten op de hoogte zijn van de procedures en de communicatie inclusief de (telefonische) bereikbaarheid van de belangrijke contactpersonen en teamleden. De samenstelling van het team kan variëren afhankelijk van het soort incident.
Bij onderzoeken naar mogelijke incidenten wordt veelvuldig gebruik gemaakt van controles van logging uit systemen, apparatuur en programma’s of achteraf om een uitvoerige analyse te maken of een gebeurtenis te reconstrueren. Daarom moeten logbestanden zorgvuldig bewaard worden volgens vaste regels. Indien logbestanden op de juiste wijze worden bewaard, kunnen ze ook dienen als bewijsmateriaal voor de wet. In het kader van privacy, de Wet Bescherming Persoonsgegevens (WBP) en de Algemene Verordening Gegevensbescherming (AVG) geldt, dat logbestanden zodanig bewaard dienen te worden dat die niet zomaar kunnen worden ingezien dan wel gewijzigd, omdat deze persoon gerelateerde of privacygevoelige gegevens kunnen bevatten. Zorgvuldig informeren gaat hieraan vooraf.
Voor incidenten met een hoge impact is het wenselijk om deze regelmatig voor te bereiden dan wel te oefenen. Dit omvat ook de zorg voor het zowel online alsook offline beschikbaar houden van actuele procedures, formulieren en belangrijke gegevens van contactpersonen. Evenals de zorg voor een alternatief voor de communicatie wanneer vitale ICT infrastructuur uitvalt of netwerken overbelast raken.
Het eerste uur na de ontdekking van een incident is het “gouden uur”. Het is essentieel om geen informatie verloren te laten gaan die nodig is voor het onderzoek. I.g.v. bijv. een computer inbraak, kan het nodig zijn om een digitaal forensisch expert in te huren. Deze kan uitsluitend onderzoek doen als er zorgvuldig met bewijsmateriaal wordt omgegaan. De handelingen ‘van het eerste uur’ zijn essentieel voor het welslagen van de afhandeling van c.q. de bewijsvoering over het incident.
Nuth, 15 juni 2016
In werking getreden 1 juli 2016
Burgemeester en Wethouders van Nuth,
De secretaris, de burgemeester,
Drs. H.M.J. van Mierlo D.H. Schmalschläger
Een beroep gedaan op de organisatie om bepaalde maatregelen of beslissingen te nemen, om een situatie die van stap tot stap ernstiger kan worden op te lossen of te verbeteren. Bijv. wanneer er sprake is van een incident of een conflictsituatie, die zonder deze maatregelen of beslissingen niet opgelost of verbeterd kan worden, of waarbij de risico’s op schade zonder deze maatregelen of beslissingen (snel) kunnen toenemen.
Een gebeurtenis die de bedrijfsvoering negatief kan beïnvloeden.
Het proces voor incidentregistratie, –response en evaluatie van een incident
Het op ongeoorloofde wijze verspreiden van informatie, bijv. vertrouwelijke
gegevens bij een printer laten liggen
Een tekortkoming die kan leiden tot een (informatiebeveiligings-)incident
4.5 Leidraad prioritering incidenten
Deze leidraad beschrijft de regels voor het toekennen van prioriteiten aan incidenten. De prioriteiten worden toegekend op basis van twee criteria: urgentie en impact.
Het toekennen van de juiste prioriteit aan een incident is essentieel voor het activeren van passende maatregelen.
Urgentie is de maatstaf voor hoe snel de oplossing van het incident vereist is.
Impact is de maatstaf voor de omvang van het incident en van mogelijke schade als gevolg van het incident (gevolgschade) voordat het kan worden opgelost.
Door de criteria “urgentie” en “impact” tegen elkaar af te zetten, kan een incident prioriteiten matrix worden opgesteld.
In de navolgende prioriteitenmatrix zijn de prioriteiten uitgewerkt met een code (1 t/m 5) en met kleuren.
Er kunnen omstandigheden zijn die het noodzakelijk maken dat een incident wordt behandeld als een groot incident. Grote incidenten hebben een ander soort incidentmanagementteam nodig en maken gebruik van een proces dat speciaal is ingericht voor het behandelen van grote incidenten.
Deze omstandigheden kunnen zijn:
Hoewel de ICT helpdesk medewerkers door hun ervaring vaak een goed idee hebben ontwikkeld over wat een kritisch incident is, blijft het lastig om een eenduidige definitie van een “kritisch incident” te geven. Daarom is het beter om de definitie zo ruim mogelijk te interpreteren. Een kritisch incident wordt meestal getypeerd door zijn impact, vooral de impact op gebruikers. Enkele voorbeelden:
Ook de volgende incidenten behoren tot de categorie kritische incidenten:
Een kritisch incident is dus altijd een incident met hoge prioriteit.