Organisatie | WerkSaam Westfriesland |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Tactisch Beveiligingsbeleid WerkSaam Westfriesland |
Citeertitel | Tactisch Beveiligingsbeleid WerkSaam Westfriesland |
Vastgesteld door | dagelijks bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Onbekend
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
01-12-2016 | Onbekend | 03-11-2016 Blad Gemeenschappelijke Regeling | Onbekend |
De indeling van dit document is als volgt:
Het algemene deel over dit Tactisch Informatiebeveiligingsbeleid, uitleg, hoe met onderhavig Tactisch Informatiebeveiligingsbeleid kan worden omgegaan etc.
De basisset aan maatregelen die gelden.
Dit Tactisch Informatiebeveiligingsbeleid bevat aandachtsgebieden voor verschillende functionarissen binnen WerkSaam. Hieronder worden per doelgroep de hoofdstukken genoemd die relevant zijn.
Informatiebeveiligingsfunctionarissen van alle niveaus
Informatiebeveiligingsadviseurs en ICT-auditors
Bij het bepalen welke maatregelen relevant zijn en het controleren of de maatregelen daadwerkelijk genomen zijn, is het doornemen van het hele document relevant.
Hoofdstukken 4, 5, 6, 10 en 12
De beleidsadviseur is verantwoordelijk voor het ontwikkelen van een werkbaar beleid. Het beleid moet goed uitvoerbaar en controleerbaar zijn.
Managers in hun personeelsverantwoordelijkheid
De manager is verantwoordelijk voor het handhaven van de personele beveiliging met eventuele ondersteuning door HR.
Managers in hun verantwoordelijkheid voor de uitvoering van de processen
Hoofdstukken 6, 10, 12, 13 en 14
De manager is verantwoordelijk voor het uitvoeren van activiteiten in processen (algemene procesverantwoordelijkheid) op basis van de beschreven inrichting ervan. De verantwoordelijkheid voor de naleving van specifieke beveiligingsaspecten hangt af van het soort proces.
HR is verantwoordelijk voor werving, selectie en algemene zaken rond het functioneren van medewerkers, inclusief bewustwording en gedrag.
Fysieke beveiliging is vaak beleid bij Facilitaire zaken of bewakingsdiensten. Zij zijn verantwoordelijk voor de beveiliging van percelen, panden en ruimtes.
ICT-diensten en ICT-infrastructuur
Hoofdstukken 6, 7, 9, 10, 11 en 12
De ICT-diensten en ICT-infrastructuren zijn ondersteunend aan bijna alle processen. De eisen die vanuit de business aan ICT-voorzieningen gesteld worden, zijn hierdoor zeer ingrijpend en bepalen voor een significant deel de inrichting van het ICT-landschap.
Applicatie-eigenaren en systeemeigenaren
Applicatie-eigenaren en systeemeigenaren zijn verantwoordelijk voor de veilige en correcte verwerking van de relevante data binnen de applicatie.
Een belangrijk onderdeel van informatiebeveiliging vormen de eindgebruikers. Zij dienen kennis te hebben van de gevolgen van hun gedrag op beveiliging.
De externe leveranciers zijn een bijzondere doelgroep. De opdrachtgever/proceseigenaar is altijd verantwoordelijk voor de kwaliteit en veiligheid van de uitbestede diensten. De opdrachtgever eist van de externe leveranciers dat zij voldoen aan alle aspecten van dit Tactisch Informatiebeveiligingsbeleid die voor de dienst of het betreffende systeem van belang zijn en betrekking hebben op de geleverde dienst. Denk hier zeker ook aan de Wbp (Wet bescherming persoonsgegevens) en het afsluiten van een bewerkersovereenkomst en de jaarlijkse audit hierop.
1. Waarom dit Tactisch Informatiebeveiligingsbeleid
Door de toenemende digitalisering is het zorgvuldig omgaan met de informatie en gegevens van burgers, bedrijven, ketenpartners en medewerkers van groot belang voor de (decentrale) overheid.
Uitval van computers of telecommunicatiesystemen, het in ongerede raken van gegevensbestanden of het door onbevoegden kennisnemen dan wel manipuleren van bepaalde gegevens kan ernstige gevolgen hebben voor de continuïteit van de bedrijfsvoering en het primaire proces. Een betrouwbare, beschikbare en correcte informatiehuishouding is essentieel voor de dienstverlening. Het is niet ondenkbaar dat hieraan ook politieke consequenties verbonden zijn of dat het imago van WerkSaam en daarmee van de overheid in het algemeen wordt geschaad.
Maar het is niet alleen de automatisering. De samenwerking met andere overheden (in ketens) en de contacten met burgers en bedrijven wordt steeds vaker digitaal van aard. Dit legt (deels nieuwe) eisen op aan de kwaliteit van de informatievoorziening van de gemeenten en ook van WerkSaam. Al was het maar dat van digitale dienstverlening vaak verwacht wordt dat deze 24 uur per dag en 7 dagen per week beschikbaar is, en dat bij een calamiteit de dienstverlening weer snel op gang komt.
Daarnaast spelen wet- en regelgeving een belangrijke rol. De Wet bescherming persoonsgegevens (Wbp) en de Archiefwet zijn voorbeelden van wetten die eisen stellen aan de verwerking en opslag van informatie.
Tot slot is er de maatschappelijke verantwoordelijkheid die een overheidsinstantie zoals WerkSaam tegenover de burgers en bedrijven heeft. Van WerkSaam mag verwacht worden dat zij zorgvuldig omgaat met de gegevens die zij beheren, en dat de gegevens die zij levert juist, accuraat en tijdig zijn.
Kortom, de structurele aandacht voor de betrouwbaarheid van de informatievoorziening, het domein van informatiebeveiliging, helpt WerkSaam bij een goede invulling van haar maatschappelijke taken. Een goede borging van informatiebeveiliging zorgt voor een betere betrouwbaarheid van de informatievoorziening en een grotere continuïteit van de bedrijfsvoering.
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft opdracht voor dit Tactisch Informatiebeveiligingsbeleid. De totale Baseline Informatiebeveiliging Nederlandse
Gemeenten (BIG) is bedoeld om alle gemeenten en ook WerkSaam op een vergelijkbare manier te laten werken met informatiebeveiliging.
Het Informatiebeveiligingsbeleid moet naast eenduidigheid ook bewerkstelligen dat de audit- en verantwoordingslast op gemeenten en ook op WerkSaam afneemt, dat ligt in lijn met de SiSa systematiek van BZK. Deze systematiek zorgt ervoor dat de auditlast afneemt omdat er nog maar één keer per jaar verantwoording hoeft te worden afgelegd over het gevolgde financiële beleid.
Hiervoor loopt het project ENSIA bij BZK. ENSIA moet ervoor gaan zorgen dat nog maar eenmalig verantwoording afgelegd gaat worden over de BIG, doormiddel van een in control statement, en dat er over de overeenkomstige maatregelen die vanuit (basisregistratie) wetgeving is opgelegd niets meer gerapporteerd hoeft te worden.
Dit Tactisch Informatiebeveiligingsbeleid kan niet gedeeltelijk worden geïmplementeerd, er bestaat geen stukje informatiebeveiliging. Dit Tactisch Informatiebeveiligingsbeleid is het afgewogen minimale beveiligingsniveau waaraan WerkSaam moet willen voldoen. De maatregelen hebben een samenhang.
De reikwijdte van dit Tactische Informatiebeveiligingsbeleid omvat de bedrijfsvoeringprocessen,onderliggende informatiesystemen en informatie van WerkSaam in de meest brede zin van het woord. Dit Tactisch Informatiebeveiligingsbeleid is van toepassing op alle ruimten van WerkSaam en aanverwante gebouwen, alsmede op apparaten die door de medewerkers gebruikt worden bij de uitoefening van hun taak op diverse locaties. Dit Tactisch Informatiebeveiligingsbeleid heeft betrekking op de informatie die daarbinnen verwerkt wordt. Ook als systemen niet binnen WerkSaam draaien is dit Tactisch Informatiebeveiligingsbeleid van toepassing.
Binnen de reikwijdte van dit Tactisch Informatiebeveiligingsbeleid vallen alle op dit moment geldendenormen en regels op het gebied van informatiebeveiliging die door derden aan WerkSaam zijn opgelegd. Dit Tactisch Informatiebeveiligingsbeleid bevat minimaal al deze maatregelen en brengt ze met elkaar in verband.
Binnen de reikwijdte is ook rekening gehouden met de verregaande digitalisering van de overheid en met de in de toekomst nog volgende basisregistraties of aanvullingen op bestaande basisregistraties.
De randvoorwaarden voor dit Tactisch Informatiebeveiligingsbeleid zijn:
Het primaire uitgangspunt voor informatiebeveiliging is en blijft risicomanagement. Hiermee wordt niet bedoeld dat dit Tactische Informatiebeveiligingsbeleid niet van toepassing is; het Tactisch Informatiebeveiligingsbeleid bevat het basisbeveiligingsniveau. Er dient voor informatiesystemen te worden vastgesteld of dit Tactisch Informatiebeveiligingsbeleid wel voldoende afdekt.
Dit Tactisch Informatiebeveiligingsbeleid wordt organisatiebreed afgesproken en overheidsbrede kaders en maatregelen worden overheidsbreed afgesproken, waarbij de organisatiebrede kaders en maatregelen geënt worden op de overheidsbrede kaders. In uitzonderingsgevallen wordt – in overleg – afgeweken.
1.4 Normenkaders en aansluitvoorwaarden
Gemeenten en ookWerkSaam hebben in toenemende mate te maken met normenkaders zoals aansluitvoorwaarden op basisregistraties. Deze normenkaders verschillen in opbouw, overlappen elkaar deels en zijn daardoor moeilijk te beheren en te implementeren. Het bestaan van zoveel verschillende normenkaders is verwarrend en belemmert een beheerste beveiliging en het implementeren en het beheren van de normenkaders.
In dit Tactisch Informatiebeveiligingsbeleid zijn de laatste uitgangspunten van de gemeenten, voor zover dat mogelijk is gegeven de huidige stand van de techniek, verwerkt.
Er is gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden, ISO 27001:2005 en ISO 27002:2007 en de daarvan afgeleide overheidsstandaarden zoals de VIR12/BIR. Indien een organisatieonderdeel of een toeleverancier haar zaken op orde heeft volgens ISO 27001:2005, rekening houdend met de implementatiemaatregelen uit ISO 27002:2007, dan hoeft WerkSaam slechts te controleren op de aanvullende bepalingen voor bijvoorbeeld aansluitvoorwaarden voor een specifiek register.
De juridische grondslag voor informatiebeveiliging is terug te vinden in wet- en regelgeving, zoals de Wet Bescherming Persoonsgegevens (Wbp). Informatiebeveiliging en bescherming van persoonsgegevens zijn onlosmakelijk met elkaar verbonden. De Wbp regelt in artikel 13 dat er maatregelen getroffen moeten worden in het kader van informatiebeveiliging om persoonsgegevens te beschermen. Voor wat betreft de gemeenten en ook WerkSaam is daarnaast uitgegaan van de verwerking van persoonsgegevens, zoals bedoeld in artikel 16 van de Wbp. Deze maatregelen maken deel uit van dit informatiebeveiligingsbeleid.
Er zijn veel wetten en regelgeving van toepassing op het gebied van informatiebeveiliging. WerkSaam moet zich aan deze wetten en regelgeving te houden door maatregelen te treffen. Deze maatregelen maken deel uit van dit informatiebeveiligingsbeleid. De belangrijkste wetten zijn (niet limitatief):
• Wet Bescherming Persoonsregistratie en Vrijstellingsbesluit Wet Bescherming Persoonsregistratie (Wbp)
• Wet Openbaarheid van Bestuur (WOB)
• Wet Computercriminaliteit II
• Code voor Informatiebeveiliging (ISO 27001:2005 en ISO 27002:2007)
• Wet op de identificatieplicht
• Wet Elektronisch Bestuurlijk Verkeer (WEBV)
De CAR-UWO bepaalt de rechten en plichten van veel medewerkers bij WerkSaam. Aan de plichtenkant bevinden zich enkele bepalingen waarin de rol van de medewerker in de beveiliging wordt toegelicht. Het gaat daarbij onder andere om de geheimhoudingsplicht.
Binnen het vakgebied informatiebeveiliging wordt onderscheid gemaakt tussen beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid. Dit Tactisch Informatiebeveiligingsbeleid sluit aan bij dit onderscheid.
Dit Tactisch Informatiebeveiligingsbeleid definieert een basisset aan eisen voor beschikbaarheid voor de informatie-infrastructuur van de organisatie. Deze dient als basis voor het maken van afspraken over de beschikbaarheid tussen de eigenaar van het informatiesysteem en de (SaaS) leverancier. Dit houdt in dat voor de beschikbaarheid van de informatievoorziening een minimale set van normen wordt opgesteld waarbij per dienst en/of applicatie nadere afspraken gemaakt kunnen worden.
Het onderwerp integriteit op Uitvlak valt normaliter in twee delen uiteen: de integriteit van datacommunicatie en opslag enerzijds (d.w.z. niet gerelateerd aan het proces zelf), en de integriteit van de informatie in de applicaties of fysiek (d.w.z. gerelateerd aan het proces zelf). Integriteit gekoppeld aan de applicatie is altijd situatieafhankelijk en afhankelijk van de eisen van een specifiek proces. Voor de functionele integriteit van de informatievoorziening wordt een minimale set van normen opgesteld waarbij er per dienst en/of applicatie nadere afspraken gemaakt kunnen worden.
Dit Tactisch Informatiebeveiligingsbeleid beschrijft de maatregelen die nodig zijn voor het basis vertrouwelijkheidsniveau (gemeentelijk) Vertrouwelijk en persoonsvertrouwelijke informatie zoals bedoeld in artikel 16 van de Wbp.
Het algemene dreigingsprofiel voor (gemeentelijk) Vertrouwelijk is voor dit Tactisch Informatiebeveiligingsbeleid vastgesteld op de volgende bedreigende factoren:
Hierbij zijn de volgende bedreigingen specifiek gedefinieerd voor (gemeentelijk) Vertrouwelijk:
• publiek benaderbare sociale netwerken
• verhoor (fysiek geweld tegen personen)
• malware (met en zonder remote control)
• (draadloze)netwerken interceptie
• (draadloze)netwerken actief benaderen
• beproeving van fysieke, technische en elektronische weerstand
Naast de bovenstaande specifieke bedreigingen gaat dit Tactisch Informatiebeveiligingsbeleid ook uit van een set algemene dreigingen waarvan de hoofdgroepen zijn:
• onopzettelijk menselijk handelen
• opzettelijk menselijk handelen
• onbeïnvloedbare externe factoren
Uitgesloten zijn de volgende bedreigers, aangezien daarmee het Tactisch Informatiebeveiligingsbeleid te zwaar wordt. Het is dus niet zo dat deze niet kunnen optreden. De bedreigers kunnen middelen inzetten die sterker zijn dan het Tactisch Informatiebeveiligingsbeleid en uitgaan boven het niveau van het Tactisch Informatiebeveiligingsbeleid:
• georganiseerde criminaliteit
Specifieke bedreigingen komende van deze laatst genoemde bedreigers worden niet meegenomen in het definiëren van de normen in dit Tactisch Informatiebeveiligingsbeleid.
Opzettelijke menselijke bedreigingen
Er kunnen diverse redenen zijn waarom mensen opzettelijk schade toebrengen aan informatiesystemen. Dat kunnen oorzaken van buitenaf zijn, zoals een hacker of hackergroep die iets heeft tegen WerkSaam en daarom binnendringt of door een denial of service aanval de toegang voor burgers tot onze systemen ontzegt.
Het kan ook een medewerker zijn die ontevreden is over de gang van zaken binnen de organisatie en die uit boosheid data vernietigt. Het kan ook een frauderende medewerker zijn die uit persoonlijk gewin gegevens manipuleert in systemen of gegevens verkoopt.
Bij social engineering wordt gebruik gemaakt van kwaadwillende personen om van medewerkers informatie te ontfutselen. Dit kan gaan om bedrijfsgeheimen of informatie die niet voor iedereen bestemd is uit onze systemen. Denk hier aan bijvoorbeeld wachtwoorden, ontwikkelingsplannen, verblijfplaatsen van mensen. De social engineer maakt gebruik van zwakheden in de mens om zijn doel te bereiken.
Meestal is men zich hier niet goed van bewust. Het is heel normaal om een onbekende op de gang aan te spreken en te vragen of ze hulp nodig hebben. Toch hebben veel mensen hier moeite mee en gebeurt het niet. Het is ook goed om je af te vragen met wie je spreekt aan de telefoon en jezelf de vraag te stellen ’waarom wordt me deze vraag gesteld’.
Social engineering kan van buiten en van binnen de organisatie komen.
Onopzettelijke menselijke bedreigingen
Mensen kunnen onopzettelijk schade toebrengen. Iemand drukt op de delete-toets en let niet goed op de vraag of hij het wel zeker weet. Iemand steekt een USB-stick besmet met een virus in de pc en brengt op die manier het virus over op een heel netwerk. Iemand gebruikt in paniek een poederblusser om een beginnend brandje te blussen en vernietigt daarmee een server.
Invloeden van buitenaf zoals blikseminslag, brand, overstroming en stormschade zijn voorbeelden van niet-menselijke dreigingen. Deze bedreigingen zijn mede afhankelijk van de locatie van WerkSaam, maar ook van de locatie van de belangrijkste informatiesystemen en apparatuur van WerkSaam.
1.7 De Tactische Baseline onder architectuur
Informatiebeveiliging wordt bereikt door een geschikte verzameling beheersmaatregelen in te zetten, waaronder beleid, werkwijzen, procedures, organisatiestructuren en programmatuur- en apparatuurfuncties.
Deze beheersmaatregelen moeten worden vastgesteld, gecontroleerd, beoordeeld en waar nodig verbeterd om te waarborgen dat de specifieke beveiligings- en bedrijfsdoelstellingen van de organisatie worden bereikt. Dit behoort te worden gedaan in samenhang met andere bedrijfsbeheerprocessen.
Het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de betrouwbaarheid van het informatievoorzieningsproces.
Risicomanagement is het systematisch opzetten, uitvoeren en bewaken van acties om risico’s te identificeren, te prioriteren, te analyseren en voor deze risico’s oplossingen te bepalen, te selecteren en uit te voeren.
Een incident, in het kader van incidentmanagement, is een gebeurtenis die de bedrijfsvoering negatief kan beïnvloeden. Incidentmanagement is het geheel van organisatorische en procedurele maatregelen dat ervoor moet zorgen dat een incident adequaat gedetecteerd, gemeld en behandeld wordt om daarmee de kans op uitval van bedrijfsvoeringsprocessen of schade ontstaan als gevolg van het incident te minimaliseren, dan wel te voorkomen.
Bedrijfscontinuïteitsmanagement
Bedrijfscontinuïteitsmanagement is een proces waarbij de organisatie de nodige maatregelen treft om ongeacht de omstandigheden de continuïteit van de meest kritische processen te garanderen. In geval van een onderbreking van een of meerdere van deze processen moet de organisatie in staat zijn snel en kordaat op te treden, zodat deze activiteiten binnen de kortst mogelijke termijn kunnen worden hersteld.
Een product van bedrijfscontinuïteitsmanagement is een BCP – Bedrijfscontinuïteitsplan. Dit is het product van bedrijfscontinuïteitsmanagement, waarin de maatregelen en belangrijke gegevens van de bedrijfsprocessen van de organisatie worden beschreven, die tot doel hebben de onderbrekingstijd tot een minimum te beperken.
Hoofdstuk 3 gaat over de implementatie van dit Tactisch Informatiebeveiligingsbeleid en geeft aan welke stappen gezet dienen te worden.
Hoofdstuk 4 laat zien hoe bepaald kan worden welke ICT-voorzieningen binnen dit Tactisch Informatiebeveiligingsbeleid vallen en voor welke ICT-voorzieningen er aanvullende maatregelen genomen dienen te worden.
Hoofdstukken 5 t/m 15 bevatten hoofdbeveiligingscategorieën en subcategorieën.
Bij elke subcategorie is de doelstelling (uit ISO 27002:2007) vermeld. Elke subcategorie kent een aantal beheersmaatregelen, waarvan de nummering exact overeenkomt met ISO 27002:2007. De tekst van de beheersmaatregelen uit de ISO 27002:2007 is cursief weergegeven.
Hoofdstuk 3. Implementatie Tactisch Informatiebeveiligingsbeleid
De volgende logische stappen zijn belangrijk bij de implementatie van dit Tactisch Informatiebeveiligingsbeleid:
Vastgestelde maatregelen dienen te worden geïmplementeerd. Vaak vallen deze binnen een verantwoordelijkheidsgebied van een specifieke manager.
• toegangsbeveiligingsmaatregelen behoren door de facilitair manager te worden ingevoerd en gewaarborgd
• personele maatregelen behoren meestal bij de afdeling HR. Denk hierbij aan aannamebeleid, ontslagbeleid, benoemen vertrouwensfuncties.
In de onderstaande tabel is dit verder uitgewerkt.
Aangeraden wordt een informatiebeveiligingsfunctionaris zoals een CISO (Chief Information Security Officer) te benoemen of iemand de CISO rol toe te wijzen. De CISO is de rol die uitgevoerd wordt om beveiliging te coördineren binnen een organisatie, waarbij de CISO bij voorkeur niet binnen de ICT-organisatie gepositioneerd wordt. Afhankelijk van de grootte van de
organisatie kunnen er meer informatiebeveiligingsfunctionarissen zijn.
De GAP-analyse geeft als instrument antwoord op vragen als: ‘Waar zijn we nu’ en ‘Waar willen we heen’. Met het gebruiken van dit Tactisch Informatiebeveiligingsbeleid weet de organisatie nog niet wat er gedaan moet worden om dit Tactische Informatiebeveiligingsbeleid ingevoerd te krijgen. Door middel van de GAP-analyse kan WerkSaam met het stellen van vragen vaststellen welke maatregelen al ingevoerd zijn, en belangrijker, welke maatregelen uit dit Tactisch Informatiebeveiligingsbeleid nog niet ingevoerd zijn.
Met het gevonden resultaat kan vervolgens planmatig worden omgegaan en kunnen de actiehouders beginnen met het invoeren van maatregelen en hierover ook periodiek in de managementrapportages over rapporteren.
Onderzocht moet worden welke maatregelen al genomen zijn en per maatregel moet worden aangegeven:
Na het uitvoeren van de GAP-analyse kan het beste worden begonnen met quick wins de maatregelen die over het algemeen ook het minste geld kosten. Relatief gezien wordt hier vaak ook het meeste resultaat behaald tegen de laagste kosten. Voorbeelden van procedures zijn:
3.4 Maak een integraal implementatieplan en rapporteer
Het is noodzakelijk dat ontbrekende beveiligingsmaatregelen die veel tijd kosten of kostbaar zijn planmatig worden ingevoerd. Geadviseerd wordt door middel van een project (met opdracht en plan) te komen tot implementatie van dit Tactisch Informatiebeveiligingsbeleid en te sturen op de voortgang. Daarbij horen goede rapportages van de verantwoordelijken die benoemd zijn om specifieke maatregelen in te voeren. Dit proces kan ondersteund worden door een Information Security Management System (ISMS) dat onder andere als doel heeft het continue beoordelen welke beveiligingsmaatregelen passend zijn en indien nodig bij te stellen.
Door de beheersing van deze planning op te nemen in de planning- en controlcyclus en hierover door de organisatieonderdelen verantwoording af te laten leggen door reguliere voortgangsrapportages, wordt beveiliging zowel bestuurlijk als ambtelijk in de organisatie te geborgd. WerkSaam dient hierin transparant te zijn. Dit kan WerkSaam verwezenlijken door hierover zowel horizontaal als verticaal verantwoording af te leggen. Aansluiting bij een dergelijke cyclus hierbij voorkomt dat informatiebeveiliging als een eigenstandig onderwerp wordt behandeld en daardoor laag geprioriteerd wordt. Over het functioneren van de informatiebeveiliging, de kwaliteitscirkel, wordt conform de planning- en controlcyclus binnen WerkSaam en richting het dagelijks bestuur verantwoording afgelegd door het management.
4. Risicobeoordeling en risicoafweging
Volgens het Strategisch Informatiebeveiligingsbeleid moet er een risicoafweging plaatsvinden. De mogelijke methodes hiervoor zijn het uitvoeren van een baselinetoets BIG gevolgd door een diepgaande risicoanalyse of certificering of Privacy Impact Assessment (PIA).
Het beveiligingsniveau van dit Tactisch Informatiebeveiligingsbeleid is zo gekozen dat dit voor de meeste processen en ondersteunende ICT-voorzieningen bij WerkSaam voldoende is. Hiermee wordt voorkomen dat er voor ieder systeem een diepgaande risicoanalyse uitgevoerd moet worden. Om vast te stellen dat het niveau van dit Tactisch Informatiebeveiligingsbeleid voldoende is, moet een baselinetoets BIG uitgevoerd worden.
In de baselinetoets BIG wordt onder meer bekeken of er geheime of bijzondere persoonsgegevens of geclassificeerde informatie verwerkt wordt, er sprake is van persoonsvertrouwelijke informatie zoals bedoeld in artikel 16 van de Wbp, er hogere beschikbaarheidseisen vereist zijn of er dreigingen relevant zijn die niet in het dreigingsprofiel van deze Tactische Baseline meegenomen zijn.
Voor wat betreft integriteit en vertrouwelijkheid is er sprake van hogere betrouwbaarheidseisen als het om geheimen gaat (rubricering hoger dan ‘Vertrouwelijk’). Of als bij de verwerking van persoonsgegevens zowel de kans op ongewenste gevolgen groter is alsook de schade die dit kan veroorzaken voor de betrokkene groter is. Hogere betrouwbaarheidseisen kunnen ook voorkomen als er een dreiging relevant is die niet in het dreigingsprofiel van dit Tactische Informatiebeveiligingsbeleid ismeegenomen.
Tot slot kan het mogelijk zijn dat een hogere beschikbaarheid noodzakelijk is. In deze gevallen zal een volledige risicoanalyse uitgevoerd moeten worden die kan leiden tot extra maatregelen. Bij het verwerken van (nieuwe) persoonsgegevens wordt door de uitslag van de Baselinetoets BIG ook aangeraden een Privacy Impact Assessment (PIA) uit te voeren.
Er kan op verschillende manieren met (rest) risico’s worden omgegaan. De meest gebruikelijke strategieën zijn:
Risicodragend wil zeggen dat risico’s geaccepteerd worden. Dat kan zijn omdat de kosten van de beveiligingsmaatregelen de mogelijke schade overstijgen. Maar het management kan ook besluiten om niets te doen, ondanks dat de kosten niet hoger zijn dan de schade die kan optreden. De maatregelen die een risicodragende organisatie neemt op het gebied van informatiebeveiliging zijn veelal van repressieve aard.
Onder risiconeutraal wordt verstaan dat er dusdanige beveiligingsmaatregelen worden genomen dat dreigingen óf niet meer manifest worden óf, wanneer de dreiging wel manifest wordt, de schade als gevolg hiervan geminimaliseerd is. De meeste maatregelen die een risiconeutrale organisatie neemt op het gebied van informatiebeveiliging zijn een combinatie van preventieve, detectieve en repressieve maatregelen.
Onder risicomijdend wordt verstaan dat er zodanige maatregelen worden genomen dat de dreigingen zo veel mogelijk worden geneutraliseerd, zodat de dreiging niet meer tot een incident leidt.
Denk hierbij aan het invoeren van nieuwe software waardoor de fouten in de oude software geen dreiging meer vormen. In simpele bewoordingen: een ijzeren emmer kan roesten. Neem een kunststof emmer en de dreiging, roest, valt weg. Veel van de maatregelen binnen deze strategie hebben een preventief karakter.
Welke strategie de organisatie ook kiest, de keuze dient bewust door het management te worden gemaakt en de gevolgen ervan dienen te worden gedragen.
5.1 Informatiebeveiligingsbeleid
Borgen van betrouwbare dienstverlening en een aantoonbaar niveau van informatiebeveiliging dat voldoet aan de relevante wetgeving, algemeen wordt geaccepteerd door haar (keten-) partners en er mede voor zorgt dat kritische bedrijfsprocessen bij een calamiteit en incident voortgezet kunnen worden.
5.1.1 Beleidsdocumenten voor informatiebeveiliging
Informatiebeveiligingsbeleid behoort door het dagelijks bestuur te worden vastgesteld en bekendgemaakt. Het moet tevens kenbaar te worden gemaakt aan alle medewerkers en relevante externe partijen.
6. Organisatie van de informatiebeveiliging
6.1.1 Betrokkenheid van het dagelijks bestuur bij beveiliging
Het management behoort actief informatiebeveiliging binnen de organisatie te
ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen.
Het dagelijks bestuur waarborgt dat de informatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de kaders zoals gesteld in dit document en zijn geïntegreerd in de relevante processen. Dit gebeurt door één keer per jaar de opzet, het bestaan en de werking van de informatiebeveiligingsmaatregelen te bespreken in de vergaderingen van het dagelijks bestuur en hiervan verslag te doen.
6.1.2 Coördineren van beveiliging
Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers uit de verschillende delen van de organisatie met relevante rollen en functies.
De rollen van de CISO en het management zijn beschreven:
a. de CISO rapporteert rechtstreeks aan de directeur.
b. de CISO bevordert en adviseert gevraagd en ongevraagd over de beveiliging van WerkSaam, verzorgt rapportages over de status, controleert de naleving van beleidsmaatregelen, evalueert de uitkomsten, doet voorstellen tot inplementatie c.q. aanpassing van plannen op het gebied van de informatiebeveiliging.
6.1.4 Goedkeuringsproces voor ICT-voorzieningen
Er behoort een goedkeuringsproces voor nieuwe ICT-voorzieningen te worden vastgesteld en geïmplementeerd.
6.1.5 Geheimhoudingsovereenkomst
Eisen voor vertrouwelijkheid of voor een geheimhoudingsovereenkomst die een weerslag vormen van de behoefte van de organisatie aan bescherming van informatie behoren te worden vastgesteld en regelmatig te worden beoordeeld.
De algemene geheimhoudingsplicht ambtenaren is geregeld in de Ambtenarenwet (artikel 125a, lid 3) en geldt voor alle stafmedewerkers. Daarnaast ondertekenen personen die te maken hebben met Bijzondere Informatie een geheimhoudingsverklaring. Daaronder valt ook vertrouwelijke informatie. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding.
6.1.6 Contact met overheidsinstanties
Er behoren geschikte contacten met relevante overheidsinstanties te worden onderhouden.
6.1.7 Contact met speciale belangengroepen
Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden.
6.1.8 Beoordeling van informatiebeveiligingsbeleid
De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan |(d.w.z. beheerdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of zodra zich wijzigingen voordoen in de implementatie van de beveiliging.
Het beveiligen van de informatie en ICT-voorzieningen van de organisatie handhaven waartoep externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externbe partijen worden gecommuniceerd.
6.2.1 Identificatie van risico's die betrekking hebben op externe partijen
De risico’s voor de informatie en ICT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend.
6.2.2 Beveiliging beoordelen in de omgang met klanten
Alle geïdentificeerde beveiligingseisen behoren te worden beoordeeld voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie.
6.2.3 Beveiliging handelen in overeenkomsten met een derde partij
In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of ICT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan ICT-voorzieningen, behoren alle relevante beveiligingseisen te zijn opgenomen.
7. Beheer van bedrijfsmiddelen
7.1 Verantwoordelijkheid voor bedrijfsmiddelen
Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie.
7.1.1 Inventarisatie van bedrijfsmiddelen
Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden.
Er is een actuele registratie van bedrijfsmiddelen die voor de organisatie van belang zijn. Voorbeelden zijn informatie(verzamelingen), software, hardware, diensten, mensen en hun kennis/vaardigheden. Van elk middel is de waarde voor de organisatie, het vereiste beschermingsniveau en de verantwoordelijke manager bekend.
7.1.2 Eigendom van bedrijfsmiddelen
Alle informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen behoren een eigenaar te hebben in de vorm van een aangewezen deel van de organisatie.
7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen
Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen.
7.2 Classificatie van informatie
Bewerkstelligen dat informatie een geschikt niveau van bescherming krijgt.
Informatie heeft een geschikt niveau van bescherming dat in overeenstemming is met het belang dat de informatie heeft voor de organisatie. Informatie is geclassificeerd om bij het verwerken van de informatie de noodzaak, prioriteiten en verwachte graad van bescherming te kunnen aangeven.
7.2.1 Richtlijnen voor classificatie van informatie
Informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid in de organisatie.
8.1 Voorafgaand aan het dienstverband
Zorgen dat medewerkers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, geschikt zijn voor de rollen waarvoor zij worden overwogen en het risico van diefstal, fraude of misbruik van faciliteiten verminderen.
8.1.1 Rollen en verantwoordelijkheden
De rollen en verantwoordelijkheden van medewerkers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie.
Alle medewerkers krijgen bij hun aanstelling/indiensttreding hun verantwoordelijkheden op het gebied van informatiebeveiliging ter inzage. De schriftelijk vastgestelde en voor heb geldende regelingen en instructies ten aanzien van informatiebeveiliging, welke zij bij de vervulling van hun functie hebben na te leven, worden op een gemakkelijk toegangelijke plaats ter inzage gelegd. Externe medewerkers ontvangen vastgestelde en voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging.
Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en externe gebruikers behoort te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoren evenredig te zijn aan de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico’s.
Als onderdeel van hun contractuele verplichting behoren medewerkers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging zijn vastgelegd.
8.2.1 Verantwoordelijkheid bevorderen verantwoordelijkheid
De organisatie behoort van medewerkers, ingehuurd personeel en externe gebruikers te eisen dat ze beveiliging toepassen overeenkomstig vastgesteld beleid en vastgestelde procedures van de organisatie.
8.2.2 Bewustwording, opleiding en training ten aanzien van informatiebeveiliging
Alle medewerkers en, voor zover van toepassing, ingehuurd personeel en externe gebruikers, behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie, voor zover relevant voor hun functie.
8.2.3 Disciplinaire maatregelen
Er behoort een formeel disciplinair proces te zijn vastgesteld voor medewerkers die inbreuk op de informatiebeveiliging hebben gepleegd.
8.3 Beëindiging of wijziging van het dienstverband
Zorgen dat medewerkers, ingehuurd personeel en externe gebruikers ordelijk de organisatie verlaten of hun dienstverband wijzigen, waarbij risico’s voor de informatieveiligheid zoveel mogelijk worden voorkomen.
8.3.1 Beëindiging van verantwoordelijkheden
De verantwoordelijkheden voor beëindiging of wijziging van het dienstverband behoren duidelijk te zijn vastgesteld en toegewezen.
Voor ambtenaren of daarmee gelijkgestelden is in de ambtseed of belofte vastgelegd welke verplichtingen, ook na beëindiging van het dienstverband of bij functiewijziging, van kracht blijven en voor hoe lang. Voor ingehuurd personeel (zowel in dienst van een derde bedrijf als individueel) is dit contractueel vastgelegd. Indien nodig wordt een geheimhoudingsverklaring ondertekend.
8.2.3 Retournering van bedrijfsmiddelen
Alle medewerkers, ingehuurd personeel en externe gebruikers behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben te retourneren bij beëindiging van hun dienstverband, contract of overeenkomst, of behoort na wijziging te worden aangepast.
8.3.3 Blokkering van toegangsrechten
De toegangsrechten van alle medewerkers, ingehuurd personeel en externe gebruikers tot informatie en ICT-voorzieningen behoren te worden geblokkeerd bij beëindiging van het dienstverband, het contract of de overeenkomst, of behoort na wijziging te worden aangepast.
9. Fysieke beveiliging en beveiliging van de omgeving
Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie.
9.1.1 Fysieke beveiliging van de omgeving
Er behoren toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een bemande receptie) te worden aangebracht om ruimten te beschermen waar zich informatie en ICT-voorzieningen bevinden.
9.1.2 Fysieke toegangsbeveiliging
Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegde medewerkers worden toegelaten.
9.1.3 Beveiliging van kantoren, ruimten en faciliteiten
Er behoort fysieke beveiliging van kantoren, ruimten en faciliteiten te worden ontworpen en toegepast.
9.1.4 Bescherming tegen bedreigingen van buitenaf
Er behoort fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten te worden ontworpen en toegepast.
9.1.5 Werken in beveiligde ruimten
Er behoren een fysieke bescherming en richtlijnen voor werken in beveiligde ruimten te worden ontworpen en toegepast.
9.1.6 Openbare toegang en gebieden voor laden en lossen
Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk worden afgeschermd van ICT-voorzieningen, om onbevoegde toegang te voorkomen.
9.2 Beveiliging van apparatuur
Het voorkomen van verlies, schade, diefstal of compromitteren van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten.
9.2.1 Plaatsing en bescherming van apparatuur
Apparatuur behoort zo te worden geplaatst en beschermd, dat risico’s van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang wordt verminderd.
Apparatuur behoort te worden beschermd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen.
Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd.
9.2.4 Onderhoud van apparatuur
Apparatuur behoort op correcte wijze te worden onderhouden, om te waarborgen dat deze voortdurend beschikbaar is en in goede staat verkeert.
9.2.5 Beveiliging van apparatuur buiten het terrein
Apparatuur buiten de terreinen behoort te worden beveiligd waarbij rekening wordt gehouden met de diverse risico’s van werken buiten het terrein van de organisatie.
9.2.6 Veilig verwijderen of hergebruiken van apparatuur
Alle apparatuur die opslagmedia bevat, behoort te worden gecontroleerd om te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur zijn verwijderd of veilig zijn overschreven voordat de apparatuur wordt verwijderd.
Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd. De beheerorganisatie zorgt voor een verantwoorde afvoer, zodat er geen data op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
10. Beheer van Communicatie- en Bedieningsprocessen
10.1 Bedieningsprocedures en -verantwoordelijkheden
Waarborgen van een correcte en veilige bediening van ICT-voorzieningen.
10.1.1 Gedocumenteerde bedieningsprocedures
Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben.
Taken en verantwoordelijkheidsgebieden behoren te worden gescheiden om gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
Niemand in een organisatie of proces heeft op uitvoerend niveau rechten hebben om een gehele cyclus van handelingen in een kritisch informatiesysteem te beheersen. Dit in verband met het risico dat hij of zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie schade toe brengt. Dit geldt voor zowel informatieverwerking als beheeracties.
10.1.4 Scheiding van faciliteiten voor ontwikkeling, testen en productie
Faciliteiten voor ontwikkeling, testen en productie behoren te zijn gescheiden om het risico van onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen.
10.2 Exploitatie door een derde partij
Een geschikt niveau van informatiebeveiliging en dienstverlening implementeren en bijhouden in overeenstemming met de overeenkomsten voor dienstverlening door een derde partij.
Artikel 10.2.1 Dienstverlening
Er behoort te worden bewerkstelligd dat de beveiligingsmaatregelen, definities van de dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en worden bijgehouden door die derde partij.
10.2.2 Controle en beoordeling van dienstverlening door een derde partij
De diensten, rapporten en registraties die door de derde partij worden geleverd, behoren regelmatig te worden gecontroleerd en beoordeeld en er behoren regelmatig audits te worden uitgevoerd.
10.2.3 Beheer van wijzigingen in dienstverlening door een derde partij
Wijzigingen in de dienstverlening door derden, waaronder het bijhouden en verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, behoren te worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en –processen en met heroverweging van risico’s.
Het gebruik van middelen behoort te worden gecontroleerd en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen, om de vereiste systeemprestaties te bewerkstelligen.
De ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. Er worden voorzieningen geïmplementeerd om de beschikbaarheid van componenten te bewaken.
Op basis van voorspellingen van het gebruik wordt actie genomen om tijdig de benodigde uitbreiding van capaciteit te bewerkstelligen. Op basis van een risicoanalyse wordt bepaald wat de beschikbaarheidseis van een ICT-voorziening is en wat de impact bij uitval is. Afhankelijk daarvan worden maatregelen bepaald.
In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om DDOS (Denial of Service attacks) aanvallen te signaleren en hierop te reageren. Het gaat hier om aanvallen die erop gericht zijn de verwerkingscapaciteit zodanig te laten vollopen, dat onbereikbaarheid of uitval van computers het gevolg is.
Er behoren aanvaardingscriteria te worden vastgesteld voor nieuwe informatiesystemen, upgrades en nieuwe versies en er behoort een geschikte test van het systeem of de systemen te worden uitgevoerd tijdens ontwikkeling en voorafgaand aan de acceptatie.
10.4 Bescherming tegen virussen en ‘mobile code’
Beschermen van de integriteit van programmatuur en informatie.
10.4.1 Maatregelen tegen virussen
Er behoren maatregelen te worden getroffen voor detectie, preventie en herstellen om te beschermen tegen virussen en er behoren geschikte procedures te worden ingevoerd om het bewustzijn van de gebruikers te vergroten.
10.4.2 Maatregelen tegen ‘mobile code’
Als gebruik van ‘mobile code’ is toegelaten, behoort de configuratie te bewerkstelligen dat de geautoriseerde ‘mobile code’ functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, en behoort te worden voorkomen dat onbevoegde ‘mobile code’ wordt uitgevoerd.
10.5.1 Reservekopieën maken (back-ups)
Er behoren back-upkopieën van informatie en programmatuur te worden gemaakt en regelmatig te worden getest overeenkomstig het vastgestelde back-upbeleid.
10.6 Beheer van netwerkbeveiliging
Bescherming van informatie in netwerken en de ondersteunende infrastructuur.
10.6.1 Maatregelen voor netwerken
Netwerken behoren adequaat te worden beheerd om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd.
Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.
10.7.1 Beheer van verwijderbare media
Er behoren procedures te zijn vastgesteld voor het beheer van verwijderbare media.
Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures.
10.7.3 Procedures voor de behandeling van informatie
Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik.
10.7.4 Beveiliging van systeemdocumentatie
Systeemdocumentatie behoort te worden beschermd tegen onbevoegde toegang.
10.8 Uitwisseling van informatie
Handhaven van beveiliging van informatie en programmatuur die wordt uitgewisseld binnen een organisatie en met enige externe entiteit.
10.8.1 Beleid en procedures voor informatie-uitwisseling
Er behoren formeel beleid, formele procedures en formele beheersmaatregelen te zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen.
10.8.2 Uitwisselingsovereenkomsten
Er behoren overeenkomsten te worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen.
10.8.3 Fysieke media die worden getransporteerd
Media die informatie bevatten behoren te worden beschermd tegen onbevoegde toegang, misbruik of corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie.
10.8.4 Elektronisch berichtenuitwisseling
Informatie die een rol speelt bij elektronische berichtenuitwisseling behoort op geschikte wijze te worden beschermd.
10.8.5 Systemen voor bedrijfsinformatie
Beleid en procedures behoren te worden ontwikkeld en geïmplementeerd om informatie te beschermen die een rol speelt bij de onderlinge koppeling van systemen voor bedrijfsinformatie.
Er zijn richtlijnen voor het bepalen van de risico's die het gebruik van informatie van de organisatie in kantoorapplicaties met zich meebrengen. Ook zijn er richtlijnen voor het bepalen van de beveiliging van deze informatie, binnen deze kantoorapplicaties. Hierin is minimaal aandacht besteed aan de toegang tot de interne informatievoorziening, toegankelijkheid van agenda's, afscherming van documenten, privacy, beschikbaarheid, back-up en indien van toepassing cloud diensten.
Informatie die een rol speelt bij e-commerce en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en modificatie.
Informatie die een rol speelt bij online-transacties behoort te worden beschermd om onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen.
10.9.3 Openbaar beschikbare informatie
De betrouwbaarheid van de informatie die beschikbaar wordt gesteld op een openbaar toegankelijk systeem behoort te worden beschermd om onbevoegde modificatie te voorkomen.
10.10.1 Aanmaken audit-logbestanden
Activiteiten van gebruikers, uitzonderingen in informatiebeveiligingsgebeurtenissen behoren te worden vastgelegd in audit-logbestanden. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.
Logberichten worden overzichtelijk samengevat. Daartoe zijn systemen die logberichten genereren bij voorkeur aangesloten op een Security Information and Event Management systeem (SIEM). Hiermee worden meldingen en alarmoproepen aan de beheerorganisatie gegeven. Er is vastgelegd bij welke drempelwaarden meldingen en alarmoproepen gegenereerd worden.
Controle op opslag van logging: het vol lopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd. Er vindt een automatische alarmering plaats aan de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is).
10.10.2 Controle van systeemgebruik
Er behoren procedures te worden vastgesteld om het gebruik van ICT-voorzieningen te controleren. Het resultaat van de controleactiviteiten behoort regelmatig te worden beoordeeld.
10.10.3 Bescherming van informatie in logbestanden
Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen inbreuk en onbevoegde toegang.
10.10.4 Logbestanden van administrators en operators
Activiteiten van systeemadministrators en systeemoperators behoren in logbestanden te worden vastgelegd.
10.10.5 Registratie van storingen
Storingen behoren in logbestanden te worden vastgelegd en te worden geanalyseerd en er behoren geschikte maatregelen te worden genomen.
11.2 Beheer van toegangsrechten van gebruikers
Zorgen voor toegang voor bevoegde gebruikers en onbevoegde toegang tot informatiesystemen voorkomen.
11.2.1 Registratie van gebruikers
Er behoren formele procedures voor het registreren en afmelden van gebruikers te zijn vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle informatiesystemen en –diensten.
11.2.2 Beheer van (speciale) bevoegdheden
De toewijzing en het gebruik van speciale bevoegdheden behoren te worden beperkt en beheerst.
10.2.3 Beheer van gebruikerswachtwoorden
De toewijzing van wachtwoorden behoort met een formeel beheerproces te worden beheerst.
11.2.4 Beoordeling van toegangsrechten van gebruikers
Het management behoort de toegangsrechten van gebruikers regelmatig te beoordelen in een formeel proces.
11.3 Verantwoordelijkheden van gebruikers
Voorkomen van onbevoegde toegang door gebruikers, beschadiging of diefstal van informatie en ICT-voorzieningen.
11.3.1 Gebruik van wachtwoorden
Gebruikers behoren goede beveiligingsgewoontes in acht te nemen bij het kiezen en gebruiken van wachtwoorden.
11.3.2 Onbeheerde gebruikersapparatuur
Gebruikers behoren te bewerkstelligen dat onbeheerde apparatuur passend is beschermd.
11.3.3 Clear desk en clear screen
Er behoort een clear desk-beleid voor papier en verwijderbare opslagmedia en een clear screen-beleid voor ICT-voorzieningen te worden ingesteld.
11.4.1 Beleid ten aanzien van het gebruik van netwerkdiensten
Gebruikers behoort alleen toegang te worden verleend tot diensten waarvoor ze specifiek bevoegd zijn.
11.4.2 Authenticatie van gebruikers bij externe verbindingen
Er behoren geschikte authenticatiemethoden te worden gebruikt om toegang van gebruikers op afstand te beheersen.
11.4.3 Identificatie van (netwerk)apparatuur
Automatische identificatie van apparatuur behoort te worden overwogen als methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren.
11.4.4 Bescherming op afstand van poorten voor diagnose en configuraties
De fysieke en logische toegang tot poorten voor diagnose en configuratie behoort te worden beheerst.
11.4.5 Scheiding van netwerken
Groepen informatiediensten, gebruikers en informatiesystemen behoren op netwerken te worden gescheiden.
De indeling van zones binnen de technische infrastructuur vindt plaats volgens een operationeel beleidsdocument. De uitgangspunten voor zonering zijn hierin vastgelegd. Van systemen wordt bijgehouden in welke zone ze staan. Er wordt minimaal één keer per jaar geëvalueerd of het systeem in de optimale zone zit of verplaatst moet worden.
11.4.7 Beheersmaatregelen voor netwerkroutering
Netwerken behoren te zijn voorzien van beheersmaatregelen voor netwerkroutering, om te bewerkstelligen dat computerverbindingen en informatiestromen niet in strijd zijn met het toegangsbeleid voor de bedrijfstoepassingen.
11.5.1 Beveiligde inlogprocedures
Toegang tot besturingssystemen behoort te worden beheerst met een beveiligde inlogprocedure.
11.5.2 Gebruikersidentificatie en –authenticatie
Elke gebruiker behoort over een unieke identificatiecode te beschikken (gebruikers-ID) voor uitsluitend persoonlijk gebruik, en er behoort een geschikte authenticatietechniek te worden gekozen om de geclaimde identiteit van de gebruiker te bewijzen.
Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user zoals administrator of root) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn, wordt teruggeschakeld naar het niveau van een gewone gebruiker (een unprivileged user).
11.5.3 Systemen voor wachtwoordenbeheer
Systemen voor wachtwoordbeheer behoren interactief te zijn en moeten bewerkstelligen dat wachtwoorden van geschikte kwaliteit worden gekozen.
11.5.6 Beperking van verbindingstijd
De verbindingstijd behoort te worden beperkt als aanvullende beveiliging voor toepassingen met een verhoogd risico.
11.6 Toegangsbeheersing voor toepassingen en informatie
Voorkomen van onbevoegde toegang tot informatie in toepassingssystemen.
11.6.1 Beperken van toegang tot informatie
Toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel behoort te worden beperkt overeenkomstig het vastgestelde toegangsbeleid.
11.6.2 Isoleren van gevoelige systemen
Gevoelige systemen behoren een eigen, vast toegewezen (geïsoleerde) computeromgeving te hebben.
11.7 Draagbare computers en telewerken
Waarborgen van informatiebeveiliging bij het gebruik van draagbare computers en faciliteiten voor telewerken.
11.7.1 Draagbare computers en communicatievoorzieningen
Er behoort formeel beleid te zijn vastgesteld en er behoren geschikte beveiligingsmaatregelen te zijn getroffen ter bescherming tegen risico’s van het gebruik van draagbare computers en communicatiefaciliteiten.
12. Verwerving, ontwikkeling en onderhoud van informatiesystemen
12.1 Beveiligingseisen voor informatiesystemen
Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen.
12.1.1 Analyse en specificatie van beveiligingseisen
In bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen behoren ook eisen voor beveiligingsmaatregelen te worden opgenomen.
12.2 Correcte verwerking in toepassingen
Voorkomen van fouten, verlies, onbevoegde modificatie of misbruik van informatie in toepassingen.
12.2.1 Validatie van invoergegevens
Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn.
12.2.2 Beheersing van interne gegevensverwerking
Er behoren validatiecontroles te worden opgenomen in toepassingen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken.
12.2.4 Validatie van uitvoergegevens
Gegevensuitvoer uit een toepassing behoort te worden gevalideerd, om te bewerkstelligen dat de verwerking van opgeslagen gegevens op de juiste manier plaatsvindt en geschikt is gezien de omstandigheden.
12.3 Cryptografische beheersmaatregelen
Beschermen van de vertrouwelijkheid, authenticiteit of integriteit van informatie met behulp van cryptografische middelen.
12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen
Er behoort beleid te worden ontwikkeld en geïmplementeerd voor het gebruik van cryptografische beheersmaatregelen voor de bescherming van informatie.
Er behoort sleutelbeheer te zijn vastgesteld ter ondersteuning van het gebruik van cryptografische technieken binnen de organisatie.
12.4.1 Beheersing van operationele programmatuur
Er behoren procedures te zijn vastgesteld om de installatie van programmatuur op productiesystemen te beheersen.
12.4.2 Bescherming van testdata
Testgegevens behoren zorgvuldig te worden gekozen, beschermd en beheerst.
12.4.3 Toegangsbeheersing voor broncode van programmatuur
De toegang tot broncode van programmatuur behoort te worden beperkt.
12.5 Beveiliging bij ontwikkelings- en ondersteuningsprocessen
Beveiliging van toepassingsprogrammatuur en -informatie handhaven.
12.5.1 Procedures voor wijzigingsbeheer
De implementatie van wijzigingen behoort te worden beheerst door middel van formele procedures voor wijzigingsbeheer.
12.5.2 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem
Bij wijzigingen in besturingssystemen behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te bewerkstelligen dat er geen nadelige gevolgen zijn voor de activiteiten of beveiliging van de organisatie.
12.5.3 Restricties op wijzigingen in programmatuurpakketten
Wijzigingen in programmatuurpakketten behoren te worden ontmoedigd, te worden beperkt tot noodzakelijke wijzigingen en alle wijzigingen behoren strikt te worden beheerst.
12.5.4 Uitlekken van informatie
Er behoort te worden voorkomen dat zich gelegenheden voordoen om informatie te laten uitlekken.
12.5.5 Uitbestede ontwikkeling van programmatuur
Uitbestede ontwikkeling van programmatuur behoort onder supervisie te staan van en te worden gecontroleerd door de organisatie.
Uitbestede ontwikkeling van programmatuur komt tot stand onder supervisie en verantwoordelijkheid van WerkSaam. Er worden maatregelen getroffen om de kwaliteit en vertrouwelijkheid te borgen (bijvoorbeeld door het stellen van veiligheidseisen, regelen van beschikbaarheid en eigendomsrecht van de code, certificatie, kwaliteitsaudits, testen en aansprakelijkheidsregelingen).
12.6 Beheer van technische kwetsbaarheden
Risico's verminderen als gevolg van benutting van gepubliceerde technische kwetsbaarheden.
12.6.1 Beheersing van technische kwetsbaarheden
Er behoort tijdig informatie te worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie bloot staat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen voor behandeling van daarmee samenhangende risico’s.
13. Beheer van Informatiebeveiligingsincidenten
13.1 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken
Informatiebeveiligingsgebeurtenissen en zwakheden die verband houden met informatiesystemen worden kenbaar gemaakt, zodat tijdig corrigerende maatregelen kunnen worden genomen.
13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen
Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.
13.1.2 Rapportage van zwakke plekken in de beveiliging
Van alle medewerkers, ingehuurd personeel en externe gebruikers van de informatiesystemen- en diensten behoort te worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of diensten registreren en rapporteren.
13.2 Beheer van informatiebeveiligingsincidenten en verbeteringen
Een consistente en doeltreffende benadering toepassen voor het beheer van informatiebeveiligingsincidenten.
13.2.1 Verantwoordelijkheden en procedures
Er behoren verantwoordelijkheden en procedures te worden vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten te bewerkstelligen.
13.2.2 Leren van informatiebeveiligingsincidenten
Er behoren mechanismen te zijn ingesteld waarmee de aard, omvang en kosten van informatiebeveiligingsincidenten kunnen worden gekwantificeerd en gecontroleerd.
13.2.3 Verzamelen van bewijsmateriaal
Waar een vervolgprocedure tegen een persoon of organisatie na een informatiebeveiligingsincident juridische maatregelen omvat (civiel of strafrechtelijk), behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.
14. Bedrijfscontinuïteitsbeheer
14.1 Informatiebeveiligingsaspecten van bedrijfscontinuiteïtsbeheer
Tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen. En zorgen voor tijdig herstel.
14.1.1 Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer
Er behoort een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie te worden ontwikkeld en bijgehouden, voor de naleving van eisen voor informatiebeveiliging die nodig zijn voor de continuïteit van de bedrijfsvoering.
14.1.2 Bedrijfscontinuïteit en risicobeoordeling
Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor informatiebeveiliging.
Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces. Aan de hand van een risicoanalyse zijn de waarschijnlijkheid en de gevolgen van de discontinuïteit in kaart gebracht in termen van tijd, schade en herstelperiode.
14.1.3 Continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging
Er behoren plannen te worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vooraf afgesproken niveau en binnen de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen.
15.1 Naleving van wettelijke voorschriften
Het voorkomen van het niet naleven van wet- en regelgeving, contractuele verplichtingen en beveiligingseisen.
15.1.1 Identificatie van toepasselijke wetgeving
Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie.
15.1.2 Intellectuele eigendomsrechten (Intellectual Property Rights)
Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten.
15.1.5 Voorkomen van misbruik van ICT-voorzieningen
Gebruikers behoren ervan te worden weerhouden ICT-voorzieningen te gebruiken voor onbevoegde doeleinden.
15.1.6 Voorschriften voor het gebruik van cryptografische beheersmaatregelen
Cryptografische beheersmaatregelen behoren overeenkomstig alle relevante overeenkomsten, wetten en voorschriften te worden gebruikt.
15.2 Naleving van beveiligingsbeleid en -normen en technische naleving
Er voor zorgen dat systemen voldoen aan het beveiligingsbeleid en de beveiligingsnormen van de organisatie.
15.2.1 Naleving van beveiligingsbeleid en -normen
Managers behoren te bewerkstelligen dat alle beveiligingsprocedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van beveiligingsbeleid en –normen.
Het management is verantwoordelijk voor de uitvoering, de beveiligingsprocedures en de toetsing op het informatiebeveiligingsbeleid. De CISO zorgt voor het toezicht op de uitvoering van het beveiligingsbeleid. Daarbij horen ook periodieke beveiligingsaudits. Deze kunnen worden uitgevoerd door de CISO of door interne of externe auditteams.
15.2.2 Controle op technische naleving
Informatiesystemen behoren regelmatig te worden gecontroleerd op naleving van implementatie van beveiligingsnormen.
15.3 Overwegingen bij audits van informatiesystemen
Doeltreffendheid van audits van het informatiesysteem maximaliseren en verstoring als gevolg van systeemaudits minimaliseren.
17. Inwerkingtreding en citeertitel
Dit beleid wordt aangehaald als: Tactisch Informatiebeveiligingsbeleid WerkSaam.
Aldus vastgesteld in de vergadering van het dagelijks bestuur van 3 november 2016.