Organisatie | Lingewaard |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Informatiebeveiligingsbeleid gemeente Lingewaard |
Citeertitel | Informatiebeveiligingsbeleid gemeente Lingewaard |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | openbare orde en veiligheid |
Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
10-09-2021 | nieuwe regeling | 17-08-2021 |
Dit document geeft algemene beleidsuitgangspunten over informatiebeveiliging. Deze uitgangspunten hebben een sterk normerend karakter en geven keuzes weer. Dit document is het optimum beleid gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO).
In dit document is een aanzienlijk aantal beleidsuitgangspunten nader uitgewerkt en zijn beveiligingseisen en -maatregelen opgenomen, die organisatie breed voor alle processen en systemen gelden. Onderdeel van dit document is een beheerstructuur voor informatiebeveiliging, waarmee verantwoordelijkheden voor informatiebeveiliging worden belegd en informatiebeveiliging wordt ingebed in de reguliere planning- en control cyclus binnen de (kwaliteits¬handhaving van de) bedrijfsvoering.
De toegepaste hoofdstukken uit de Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten zijn:
Informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op:
Informatie is één van de belangrijkste bedrijfsmiddelen van de gemeente. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor de gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt aan burgers en raadsleden en die met minimale middelen maximale resultaten behaalt. De bescherming van waardevolle informatie is datgene waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, hoe meer maatregelen er getroffen moeten worden.
Reikwijdte en afbakening informatiebeveiliging
Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, USB, SD kaart, beeldscherm et cetera) en alle informatie verwerkende systemen (applicaties, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekort schietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy implementeren of hoe om te gaan met mobiele devices en aanwijzingen voor telewerken.
Informatiebeveiligingsbeleid van de gemeente Lingewaard
Het bestuur en management spelen een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. Zo maakt het management een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente hebben, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet het management dit beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.
Het management geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid van en voor de hele de gemeente. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid en de relevante landelijke en Europese wet- en regelgeving.
De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van het beleid. Hierbij geldt:
De volgende uitgangspunten zijn ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2007) en de BIO:
Informatie en informatiesystemen zijn van kritiek en vitaal belang voor de gemeente. De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)management, met het College van B&W als eindverantwoordelijke. De verantwoordelijkheden voor de bescherming van gegevens en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd.
Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.
De organisatiebrede informatiebeveiligingsfunctionaris/Chief Information Security Officer (= CISO) - binnen de gemeente Lingewaard aangeduid als de CISO - ondersteunt vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover.
Daarnaast kennen we deelfuncties in de informatiebeveiliging zoals
Voor Suwinet: security officer Suwinet
Voor de BRP: de security officer BRP
Voor de reisdocumenten: de beveiligingsfunctionaris Reisdocumenten en Rijbewijzen
Voor de rijbewijzen: beveiligingsfunctionaris Reisdocumenten en Rijbewijzen
Dit Informatiebeveiligingsbeleid treedt in werking na vaststelling door College van B&W. Hiermee komt het oude Informatiebeveiligingsbeleid van de gemeente Lingewaard te vervallen.
1 Uitgangspunten informatiebeveiliging
1.1 Het belang van informatie(veiligheid)
Informatie is één van de voornaamste bedrijfsmiddelen van Lingewaard. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering maar ook leiden tot imagoschade. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie met waarschijnlijk ook politieke consequenties. Informatieveiligheid is daarom van groot belang. Informatiebeveiliging is het proces dat dit belang dient.
De komende jaren zet de gemeente Lingewaard in op het verhogen van informatieveiligheid en verdere professionalisering van de informatiebeveiligingsfunctie in de organisatie. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeente en de basis voor het beschermen van rechten van burgers en bedrijven. 1 Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. |
Het proces van informatiebeveiliging is primair gericht op bescherming van informatie, maar is tegelijkertijd een ‘enabler’; het maakt bijvoorbeeld elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid. 2
Dit informatiebeveiligingsbeleid is het kader voor passende technische en organisatorische maatregelen om informatie te beschermen en te waarborgen, waarmee de gemeente voldoet aan relevante wet en regelgeving. De gemeente Lingewaard streeft er naar om “in control” te zijn en daarover op professionele wijze jaarlijks verantwoording af te leggen via een Verklaring Van Toepasselijkheid. In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn en dat er een SMART-planning is van de maatregelen die nog niet genomen zijn en als laatste dat dit geheel verankerd is in de PDCA-cyclus.
Het informatiebeveiligingsbeleid van de gemeente Lingewaard is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving. 3
De aanpak van informatiebeveiliging (Informatiebeveiligingsbeleid) in Lingewaard is ‘risk based’. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een toets tegen de baseline. Indien een systeem meer maatregelen nodig heeft, wordt een risicoanalyse uitgevoerd. Daartoe inventariseert de proceseigenaar de kwetsbaarheid van zijn werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de beveiligingseisen van de informatie. Het risico is de kans op beveiligingsincidenten en de impact daarvan op het werkproces en wordt bepaald door de proceseigenaar: risico = kans x impact.
Het Informatiebeveiligingsbeleid is bedoeld voor alle in- en externe medewerkers van de gemeente:
De scope van dit beleid omvat alle processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente en externe partijen (bijv. politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Dit informatiebeveiligingsbeleid is een algemene basis. Dit normenkader geldt dus expliciet ook voor de bedrijfsprocessen waarin de audtis en/of zelfevaluaties DigiD assessment, BAG inspectie, Suwinet, BRP, reisdocument en rijbewijzen zich op richten.
1.7 Informatiebeveiligingsbeleid en architectuur
Informatiebeveiliging is onderdeel van de informatiearchitectuur en zal worden uitgewerkt als onderdeel van die architectuur. Deze architectuur beschrijft onder meer principes, richtlijnen en maatregelen o.b.v. verschillende beschermingsniveaus (classificatie).4
ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.
Het project ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Overheid.
ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de BIO (Baseline Informatiebeveiliging Nederlandse Overheid). De verantwoordingssystematiek over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Werk en Inkomen (SUWInet) is samengevoegd en gestroomlijnd.
Uitgangspunt is het horizontale verantwoordingsproces aan de gemeenteraad. Dit vormt de basis voor het verticale verantwoordingsproces aan de nationale partijen die een rol hebben in het toezicht op informatieveiligheid.
Tijdens de Buitengewone Algemene Ledenvergadering van de VNG van november 2013 is de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ aangenomen. Met het aannemen van de resolutie erkennen alle gemeenten het belang van informatieveiligheid en de BIO als het gemeentelijk basisnormenkader voor informatieveiligheid. In de resolutie hebben gemeenten afgesproken hun eigen toezichthouder, de gemeenteraad, in het jaarverslag te informeren over informatieveiligheid.
Ook roepen de gemeenten in de resolutie op om de verantwoordingslasten over informatieveiligheid te verminderen. Dit vormde de aanleiding voor de start van het project ENSIA.
2 Organisatie van de informatiebeveiliging
De baseline maakt onderscheid in de volgende beheersmaatregelen voor dit domein:
Beheersmaatregelen voor de interne ambtelijke organisatie
Het College van B&W van de gemeente Lingewaard is integraal verantwoordelijk voor de beveiliging (in de beslissende rol) van informatie binnen de werkprocessen van de gemeente..
Het College van B&W stelt kaders voor informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders;
De directie (in de sturende rol) is verantwoordelijk voor kaderstelling en sturing.
De directie: 5
De leidinggevenden van de verschillende onderdelen van de organisatieonderdelen zijn in de vragende rol verantwoordelijk voor de integrale beveiliging van hun organisatie onderdeel. 6
Beheersmaatregelen m.b.t. de taken en rollen
Het College van B&W stelt formeel het Informatiebeveiligingsbeleid vast. De uitvoering van het beleid moet gecontroleerd worden, zowel het College van B&W als Gemeenteraad (controle functie) kunnen hiervoor opdracht geven om dit te (laten) controleren. De directie adviseert het College van B&W formeel over vast te stellen beleid.
De taken m.b.t. informatiebeveiliging die hieruit voortvloeien zijn belegd bij de ‘Chief Information Security Officer’ (de CISO). De CISO bevordert en adviseert gevraagd en ongevraagd over IB en rapporteert eens per jaar concernbreed aan de directie over de stand van zaken. De coördinatie van informatiebeveiliging is belegd bij een strategische adviesfunctie binnen alle organisatie onderdelen. Uitvoerende taken zijn zoveel mogelijk belegd bij (decentrale) security functionarissen zoals security officer Suwinet, de security officer BRP, de beveiligingsfunctionaris Reisdocumenten en Rijbewijzen en beveiligingsfunctionaris Reisdocumenten en Rijbewijzen. Deze security functionarissen rapporteren aan de CISO. Over het functioneren van informatiebeveiliging wordt minimaal jaarlijks gerapporteerd conform de PDCA cyclus.
Beheersmaatregelen m.b.t. het instellen van de projectgroep Informatiebeveiliging
De CISO stelt een organisatie voor van security gerelateerde functionarissen en organiseert ten minste eenmaal per kwartaal een (security) overleg met dit gremium. De CISO is voorzitter en verder bestaat de projectgroep Informatiebeveiliging in ieder geval uit relevante ICT en personele en fysieke beveiliging experts, en indien nodig zijn inkoop, control en het team Communicatie vertegenwoordigd. Tevens kunnen de diverse decentrale securityfunctionarissen zoals security officer Suwinet, de security officer BRP en de beveiligingsfunctionaris Reisdocumenten en Rijbewijzen worden gevraagd om deel te nemen. Daarnaast worden de Privacy officer en de FG (functionaris gegevensbescherming) uitgenodigd voor het overleg.
Het overleg heeft binnen de gemeente een adviesfunctie richting de CIO7 of gelijkwaardig of rechtstreeks aan Het directieteam en richt zich met name op beleid en adviseert over tactisch/strategische informatiebeveiliging kwesties.
Het onderwerp Informatiebeveiliging dient verder een vast onderdeel te zijn op de agenda van Het directieteam zodat er sturing kan plaatsvinden op de uitgevoerde activiteiten.
Beheersmaatregelen m.b.t. externe partijen
Informatiebeveiligingsbeleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeente samenwerkt (en informatie mee uitwisselt).8 Ook voor externe partijen geldt hierbij het “pas toe of leg uit” beginsel.
Bij contractuele overeenkomsten gelden in beginsel altijd de eigen Inkoop Voorwaarden van de gemeente Lingewaard (de GIBIT voorwaarden zijn vastgesteld voor de gemeente Lingewaard), waarin onder meer geheimhouding, privacybescherming en aansprakelijkheid zijn geregeld. Afwijkingen dienen te worden getoetst aan Informatiebeveiligingsbeleid zoals vastgesteld door de organisatie. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de gemeente het recht heeft afspraken te (laten) controleren via een auditor “right to audit”.
Voor het tot stand brengen van datakoppelingen met externe partijen, gelden naast dit generiek informatiebeveiligingsbeleid specifieke procedures. Het doel van deze procedures is risicobeheersing. Voor externe hosting van data en/of services gelden naast dit generieke informatiebeveiligingsbeleid de richtlijnen voor cloud computing. Voor de externe hosting geldt de Open Security Architecture (OSA) en/of de Cloud Security Alliance Controls Matrix (CM) van de Cloud Security Alliance (CSA).
hoogste beveiligingseisen voor bijzondere categorieën gegevens; 9
Beheersmaatregelen m.b.t. ICT crisisbeheersing en landelijke samenwerking
Beheersmaatregelen m.b.t. de PDCA cyclus
Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen het management systeem van informatiebeveiliging. 10 Deze kwaliteitscyclus is in onderstaande figuur weergegeven.
Plan: De cyclus start met Informatiebeveiligingsbeleid, gebaseerd op wet- en regelgeving, landelijke normen zoals de BIO en ‘best practices’, uitgewerkt in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt op jaarlijkse basis en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen is onderdeel van het jaarplan en uitgewerkt in het informatiebeveiligingsplan (Informatiebeveiligingsbeleid) van de gemeente dat periodiek wordt bijgesteld door de projectgroep Informatiebeveiliging. Afdelingsspecifieke activiteiten kunnen eventueel worden gepland in het afdelingsplan in de lijn.
Check: Control is onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving.
Externe controle: betreft controle buiten het primaire proces door een auditor. 11 Dit heeft het karakter van een steekproef. Jaarlijks worden diverse onderzoeken uitgevoerd, waarbij de CISO in principe opdrachtgever is. Bevindingen worden gerapporteerd aan Het directieteam.
Act: De cyclus is rond met de uitvoering van verbeteracties o.b.v. check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en beveiligingsplannen. De bevindingen worden in beginsel gerapporteerd aan Het directieteam. Voor ingrijpende verbeteracties wordt een gevraagde beslissing voorgelegd.
Beheersmaatregelen m.b.t. Suwinet
De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en infrastructuur zijn beschreven en duidelijk en zijn gescheiden belegd. Operationeel beheer, functioneer beheer, technisch beheer, aansturing ICT-leveranciers, autorisatiebeheer zijn belegd.
Security officer Suwinet bevordert en adviseert over de beveiliging van Suwinet en verzorgt rapportages over de status en controleert dat de beveiliging van de Suwinet maatregelen wordt nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet.
Het beveiligingsbeleid/plan moet aantoonbaar centraal beschikbaar zijn voor alle gebruikers. Bijvoorbeeld beschikbaar op intranet of op de afdelings-/organisatieschijf. Het uitdragen van het beleid/plan moet niet alleen onder de direct bij de beveiliging betrokken medewerkers plaatsvinden, maar bij alle mensen in de organisatie die Suwinet gebruiken.
Een adequaat ingerichte organisatie is een belangrijke voorwaarde voor het realiseren van een voldoende beveiligingsniveau voor Suwinet. Het gaat dan met name over functiescheiding. Zo zullen in principe de functies gebruik van Suwinet, beheer van autorisaties Suwinet, controle op het gebruik van Suwinet en beslissen over wie welke functies krijgt in Suwinet gescheiden moeten zijn. Door middel van functiescheiding worden risico’s beperkt. Wanneer functiescheiding niet of onvoldoende is geïmplementeerd verhoogt dit de kans op oneigenlijk gebruik en/of misbruik zonder dat dit wordt ontdekt.
De diverse functies noodzakelijk voor Suwinet moeten schriftelijk zijn vastgelegd, of er een heldere overweging ten grondslag ligt aan de toedeling van taken en of er functiescheiding is toegepast. Het is daarbij van belang dat er een splitsing is tussen beschikkende, controlerende en uitvoerende taken. Er wordt met name gekeken naar vier gescheiden functies. Beoordeeld wordt of minimaal de volgende functies bij verschillende personen zijn belegd:
3.1 Risico’s m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen
Volgens de baseline zijn de te beperken risico’s in dit domein:
3.2 Doelstellingen m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen
Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein:
3.3 Beheersmaatregelen m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen
De baseline maakt onderscheid in de volgende beheersmaatregelen voor dit domein:
3.4 Classificatie van informatie
Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v. processen en informatiesystemen worden beveiligingsclassificaties gebruikt. 12 Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd op drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid en tijdigheid) en vertrouwelijkheid (= BIV).
Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau ‘geen’. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus zijn bedacht om het proces van classificeren te vereenvoudigen.
3.5 Risico’s m.b.t. de classificatie van informatie
Volgens de baseline zijn de te beperken risico’s in dit domein:
3.6 Doelstellingen m.b.t. de classificatie van informatie
Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein:
3.7 Beheersmaatregelen m.b.t. de classificatie van informatie
De baseline maakt onderscheid in de volgende specifieke beheersmaatregelen voor dit domein:
De eigenaar van de gegevens is de proceseigenaar, dat wil zeggen de lijnmanager die de integrale verantwoordelijkheid heeft over het bedrijfsproces. De classificatietabel heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, informatiesystemen, servers en netwerkcomponenten.
De te nemen maatregelen moeten worden afgestemd op de risico’s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van maatregelen. Dit is vaak situatie-afhankelijk. Naarmate de gegevens een gevoeliger karakter hebben, of gezien de context waarin ze gebruikt worden een groter risico inhouden, dienen zwaardere eisen aan de beveiliging van die gegevens te worden gesteld. In het algemeen kan worden gesteld, dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd, dit als ‘passend’ kan worden beschouwd. Extra beveiliging is echter niet meer passend, indien de kosten voor het beperken van de risico’s disproportioneel hoog zijn. 13 Kort gezegd: risico’s en tegenmaatregelen dienen in balans te zijn.
Volgens de baseline zijn de te beperken risico’s in dit domein:
Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie.
Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein:
5 Fysieke beveiliging en beveiliging van de omgeving
Volgens de baseline zijn de te beperken risico’s in dit domein:
Door bijvoorbeeld de inzet van externen, de toeloop van leveranciers en andere niet-medewerkers of het feit dat de medewerkers op meerdere locaties op geruime afstand van elkaar gevestigd zijn, is het betrekkelijk eenvoudig voor niet-medewerkers om toegang tot de panden te krijgen door tegelijk met een geautoriseerde medewerker naar binnen te gaan.
Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein:
ICT-voorzieningen, die kritieke of gevoelige bedrijfsactiviteiten ondersteunen, behoren fysiek te worden ondergebracht in beveiligde ruimten, beschermd door afgegrensde beveiligde gebieden, in een gecontroleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze behoren fysiek te worden beschermd tegen toegang door onbevoegden, schade en storingen.
6 Beheer van communicatie en bedieningsprocessen
Volgens de baseline zijn de te beperken risico’s in dit domein:
De gemeente gaat steeds meer samenwerken (en informatie uitwisselen) in ketens en besteedt meer taken uit. Bij beheer van systemen en gegevens door een derde partij, kan ook informatie van de gemeente op straat komen te liggen. De gemeente blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt.
De baseline maakt onderscheid in de volgende beheersmaatregelen voor dit domein:
Organisatorische beheersmaatregelen
In beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid kan worden gecompromitteerd. Indien dit toch noodzakelijk is, dient een audit trail te worden vastgelegd van alle handelingen en tijdstippen in het proces, dusdanig dat transactie kan worden herleid. De audit trail is niet toegankelijk voor degene wiens handelingen worden vastgelegd.
Beheersmaatregelen m.b.t. de systeemplanning en –acceptatie
Vertrouwelijke of geheime data uit de productieomgeving mag niet worden gebruikt in de test-, opleidings-, en acceptatieomgeving tenzij de gegevens zijn geanonimiseerd. Indien het toch noodzakelijk is om data uit productie te gebruiken, is uitdrukkelijke toestemming van de eigenaar van de gegevens vereist en dienen er procedures te worden gevolgd om data op dezelfde wijze te beschermen als productie data.
Beheersmaatregelen m.b.t. encryptie (versleuteling)
De gemeente gebruikt encryptie conform PKI-overheid standaard. 14
Beheersmaatregelen m.b.t. netwerken
Beheersmaatregelen m.b.t. mobiel werken
Beveiligingsmaatregelen hebben betrekking op zowel door de gemeente verstrekte middelen als privé-apparatuur ('bring your own device' (BYOD)). Op privé-apparatuur waarmee verbinding wordt gemaakt met het netwerk is de gemeente bevoegd om beveiligingsinstellingen af te dwingen. Dit betreft onder meer: controle op wachtwoord, encryptie, aanwezigheid van malware, etc. Het gebruik van privé-apparatuur waarop beveiligingsinstellingen zijn verwijderd ('jail break', 'rooted device') is niet toegestaan.
Op verzoek van de gemeente dienen medewerkers de installatie van software om bovenstaande beleidsregel te handhaven toe te staan (denk bijvoorbeeld aan ‘mobile device management software’). De beveiligingsinstellingen, zoals bedoeld in bovenstaande regel, zijn uitsluitend bedoeld ter bescherming van informatie en integriteit van het netwerk.
Beheersmaatregelen m.b.t. back-up en recovery
Beheersmaatregelen m.b.t. informatie-uitwisseling
Beheersmaatregelen m.b.t. software ontwikkeling en onderhoud
Beheersmaatregelen m.b.t. logging en audit trail
Het gebruik van informatiesystemen, alsmede uitzonderingen en informatiebeveiligingsincidenten, worden vastgelegd in logbestanden op een manier die in overeenstemming is met het risico, en zodanig dat tenminste wordt voldaan aan alle relevante wettelijke eisen. 17
Overige technische beheersmaatregelen
Alle gegevens anders dan classificatie ‘geen’ worden beveiligd conform beveiligingseisen in de IB-architectuur. Classificatieniveau ‘laag’: transportbeveiliging buiten het interne netwerk; Classificatieniveau ‘midden’: transportbeveiliging; Classificatieniveau ‘hoog’: transport en berichtbeveiliging.
‘Mobile code’ 18 wordt uitgevoerd in een logisch geïsoleerde omgeving om de kans op aantasting van de integriteit van het systeem te verkleinen. De ‘mobile code’ wordt altijd uitgevoerd met minimale rechten zodat de integriteit van het host systeem niet aangetast wordt,
6.4 Risico’s voor het beheer van de dienstverlening door een derde
Ingeval de gemeente diensten heeft uitbesteed, is er volgens de baseline sprake van een specifieke set aan te beperken risico’s in dit domein:
6.5 Doelstellingen voor het beheer van de dienstverlening door een derde
Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein:
6.6 Beheersmaatregelen voor het beheer van de dienstverlening door een derde
De baseline maakt onderscheid in de volgende specifieke beheersmaatregelen:
In de met de derde partij overeengekomen dat de toegang tot de ICT-voorzieningen en/of de informatievoorziening (bestanden, gegevens) door derden geregeld door kaders aan te geven voor de toegang tot ICT-voorzieningen. In contractbeheer, applicatiebeheer en functioneel beheer is naleving van de gemaakte afspraken opgenomen.
6.7 Risico’s in de behandeling van media
Volgens de baseline is er sprake van een specifieke set aan te beperken risico’s in dit domein:
6.8 Doelstellingen in de behandeling van media
Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein:
6.9 Beheersmaatregelen in de behandeling van media
De baseline maakt onderscheid in de volgende specifieke beheersmaatregelen:
6.10 Risico’s bij de uitwisseling van informatie
Volgens de baseline is er sprake van een specifieke set aan te beperken risico’s in dit domein:
6.11 Doelstellingen bij de uitwisseling van informatie
Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein:
6.12 Beheersmaatregelen bij de uitwisseling van informatie
De baseline maakt onderscheid in de volgende specifieke beheersmaatregelen:
7 Logische toegangsbeveiliging
De identiteit van een gebruiker die toegang krijgt tot informatie dient te worden vastgesteld. 19 Logische toegang is gebaseerd op de classificatie van de informatie.
De baseline maakt onderscheid in de volgende specifieke beheersmaatregelen:
Beheersmaatregelen m.b.t. identificatie, authenticatie en autorisatie
Wachtwoorden worden voor een beperkte periode toegekend (60 dagen). Wachtwoorden dienen aan eisen te voldoen, deze worden afgedwongen door het systeem. Voor medewerkers met speciale bevoegdheden (systeem en functioneel beheerders) gelden strengere eisen. 20
Beheersmaatregelen m.b.t. verlenen van externe toegang
Beheersmaatregelen m.b.t. mobiel en thuiswerken
Bedrijfsapplicaties worden bij voorkeur zo aangeboden dat er geen informatie wordt opgeslagen op het mobiele apparaat (‘zero footprint’). Informatie dient te worden versleuteld bij transport en opslag conform classificatie eisen. 21
Organisatorische beheersmaatregelen
Toetsing op het informatiebeveiligingsbeleid is onderdeel van de toets voor projecten met een ICT-component en onderdeel van de project start en eind architectuur (PSA en PEA22 ).
Specifieke beheersmaatregelen voor Suwinet
De gemeente is verantwoordelijk voor het beheer van de toegang tot Suwinet. Autorisatie van medewerkers moet plaatsvinden met behulp van een schriftelijk vastgelegde procedure waarin functies aan autorisaties - en in het verlengde daarvan aan Suwinet-rollen - worden gekoppeld. Concreet gaat het om het aanwezig zijn van een autorisatieprocedure en een autorisatiematrix die onderdeel uitmaakt van de procedure. Uit de autorisatiematrix blijkt dat de organisatie heeft nagedacht over welke functionarissen welke informatie via Suwinet mogen raadplegen, met andere woorden een opzet van de wijze waarop de organisatie de accounts en rollen toekent. Door een uitdraai uit Suwinet hiermee te vergelijken kan de organisatie controleren of de daadwerkelijk uitgereikte accounts en rollen overeenkomen met de in opzet bedachte accounts en rollen.
De autorisatieprocedure moet ervoor zorgen dat alle gebruikers uniek identificeerbaar zijn. Groepsautorisaties mogen dus niet worden afgegeven. Hierdoor kunnen gebruikers persoonlijk worden aangesproken op hun gebruik van Suwinet. Door aan te geven welke persoon welke functie(s) uitoefent, kan op een gestandaardiseerde en controleerbare wijze de autorisatie voor een persoon binnen Suwinet worden verleend en gecontroleerd. Het toekennen van rollen in Suwinet moet volgens een logische procedure plaats te vinden. Uit de autorisatieprocedure moet duidelijk worden op basis van welke afwegingen, welke medewerker welke gegevens mag zien.
Van belang is dat het accountbestand meerdere keren (minimaal twee keer) per jaar wordt gecontroleerd en dat aansluitend inactieve accounts worden verwijderd. Om dit te kunnen aantonen is een schriftelijke vastlegging van zowel de procedure als de uitvoering van de controles belangrijk. Of er sprake is van een goed werkend accountbeheer wordt in beginsel over een periode van een jaar bekeken. Dit gebeurt op basis van maandelijkse gegevens van het BKWI naar het percentage inactieve accounts en naar het percentage geblokkeerde accounts bij de organisatie. Het BKWI verstaat onder een inactieve account een account waarmee niet tenminste 1x is ingelogd in een maand en onder een geblokkeerde account een account dat meer dan 90 dagen niet is gebruikt of waarmee 5x foutief is ingelogd.
Een combinatie van een hoog percentage geblokkeerde accounts samen met een hoog percentage niet actieve accounts is een indicatie van een niet goed werkend accountbeheer en vormt een reden tot nadere vragen aan de gemeente. Als richtsnoer wordt gehanteerd dat bij meer dan 80% actieve accounts er goed gebruik wordt gemaakt van Suwinet. Bij 60% tot 80% wordt het twijfelachtig en bij minder dan 60% lijkt er echt iets aan de hand te zijn.
Ook is het belangrijk dat zware rollen beperkt zijn uitgedeeld. Dit zijn de rollen waarvan het BKWI aangeeft dat het “risicovolle autorisaties” betreft. Beperkt betekent dat aan een klein percentage medewerkers van de gemeente deze rollen zijn toebedeeld. Het te ruim verstrekken van zware autorisaties vergroot het risico op onrechtmatige raadplegingen van de bestanden, omdat het voor een medewerker eenvoudiger is om - zonder te beschikken over een BSN gegevens van personen te raadplegen. Hierbij wordt gekeken naar de verhouding aantal accounts/accounts met zware rollen en de verhouding medewerkers sociale dienst/sociale recherche. Concreet wordt naar de volgende zware rollen gekeken: G018 (LRD/GBA zoeken), G030 (LRD/GBA zoeken uitgebreid) en G021/R1920 (RDW+ Fraude). Van belang is dat per functie (en per toegekende zware rol) moet worden gemotiveerd waarom er één of meerdere zware rollen zijn toegekend en dan met name waarom het noodzakelijk (proportioneel en subsidiair) is voor de uitoefening van de werkzaamheden. Voorts zijn aanvullende controles noodzakelijk.
Medewerkers die belast zijn met de uitvoering van de wettelijke taken die vallen onder de Participatiewet, IOAW en IOAZ hebben na autorisatie toegang tot Suwinet. Daarnaast heeft slechts een zeer beperkte groep toegang tot Suwinet: de gemeentelijke belastingdeurwaarders, burgerzaken of de regionale meld- en coördinatiefunctie voortijdig schoolverlaten. Voor deze groep moet een apart contract worden afgesloten met het BKWI. Gebruik van Suwinet door overige functionarissen zoals WMO-medewerkers, medewerkers parkeerbeheer of andere hiervoor niet genoemde medewerkers is niet toegestaan.
8 Verwerving, ontwikkeling en onderhoud van informatiesystemen
Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein:
De baseline maakt onderscheid in de volgende specifieke beheersmaatregelen:
Beheersmaatregelen m.b.t. de analyse en specificatie van beveiligingseisen
In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt structureel aandacht besteed aan beveiligingsaspecten. Waar mogelijk wordt gebruikt gemaakt van bestaande richtlijnen (bijv. secure codingguidelines23 )
Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen aan geaccepteerde beveiligingscriteria zoals NBV24 goedkeuring of certificering volgens ISO/IEC 15408 (common criteria).
Beheersmaatregelen m.b.t. de correcte verwerking in toepassingen
Beheersmaatregelen m.b.t. cryptografie
Beheersmaatregelen m.b.t. systeembestanden
Er worden alleen door de leverancier25 onderhouden (versies van) software gebruikt.
Beheersmaatregelen m.b.t. de bescherming van testdata
Beheersmaatregelen m.b.t. het doorvoeren van wijzigingen
Er is aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL26 en voor applicaties ASL.
Beheersmaatregelen m.b.t. het uitlekken van informatie
Op het grensvlak van een vertrouwde en een onvertrouwde omgeving vindt content-scanning plaats. 27
Beheersmaatregelen m.b.t. technische kwetsbaarheden
Van softwarematige voorzieningen van de technische infrastructuur kan (bij voorkeur geautomatiseerd) gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd. Het doorvoeren van een update vindt niet geautomatiseerd plaats, tenzij hier speciale afspraken over zijn met de leverancier.
Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein:
Formele procedures voor rapportage van gebeurtenissen en escalatie. Alle werknemers, ingehuurd personeel en externe gebruikers zijn op de hoogte van deze procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de bedrijfsmiddelen.
De baseline maakt onderscheid in de volgende specifieke beheersmaatregelen:
Beheersmaatregelen m.b.t. melding en registratie
Afhankelijk van de ernst van een incident is er een meldplicht bij het Autoriteit Persoonsgegevens vanaf 1 januari 2016. 28
Beheersmaatregelen m.b.t. alarmering
Beheersmaatregelen m.b.t. de opschaling conform de GRIP-structuur
Opschaling is cruciaal bij een ramp of crisis. De zogeheten GRIP-structuur speelt daarbij een belangrijke rol. Opschaling vindt plaats op basis van de ernst en omvang van de gebeurtenis. Bij opschaling kunnen de verantwoordelijkheden en bevoegdheden wijzigen. Feitelijk richt de procedure zich op het zoeken naar het meest geschikte afstemmingsniveau.
Bij dagelijkse incidenten handelen de diensten zelf de zaken af. In sommige gevallen vinden één of meer partijen het handig en verstandig ter plaatse afstemming te organiseren en te formaliseren. Dat noemen we GRIP-1: een situatie waarvoor een Commando Plaats Incident (CoPI) wordt ingericht.
Als de situatie wat omvangrijker is en er buiten de plaats van het incident ook maatregelen nodig zijn (bijvoorbeeld ten aanzien van de afvoer van gewonden of een dreigende rookwolk), kan worden opgeschaald naar GRIP-2. Naast het CoPI wordt dan een operationeel team gevormd; meestal op regionaal niveau onder de noemer ROT (Regionaal Operationeel Team). Dit team biedt ondersteuning aan het CoPI.
Situaties waarbij er sprake is van (dreigende) maatschappelijke onrust, komen in aanmerking voor GRIP-3. In deze situaties komt de burgemeester in beeld. Hij of zij laat zich ondersteunen door een gemeentelijk beleidsteam (GBT) met vertegenwoordigers van de belangrijkste betrokken organisaties.
Omdat niet elke ramp of crisis zich aan de gemeentegrenzen houdt, is er ook nog een GRIP-4. Dan gaat het om situaties waarin de ramp of crisis de grenzen van een gemeente overstijgt (of als de betreffende gemeente de situatie niet alleen aankan). In zo’n situatie, zo is in de wet bepaald, krijgt de voorzitter van de veiligheidsregio de leiding en wordt er een regionaal beleidsteam (RBT) gevormd.
Wanneer bij een incident of de vrees daarvoor meerdere veiligheidsregio’s betrokken zijn, kunnen de voorzitters van deze veiligheidsregio’s in gezamenlijkheid opschalen naar GRIP 5. De bronregio neemt in principe de coördinerende rol op zich. De voorzitter van de bronregio neemt niet de bevoegdheden van de overige betrokken voorzitters veiligheidsregio over.
Wanneer de nationale veiligheid in het geding is en er behoefte is aan sturing door het Rijk kan de Ministeriële Commissie Crisisbeheersing (MCCb) GRIP Rijk afkondigen. GRIP Rijk kan van kracht zijn in combinatie met GRIP 1 t/m 5 of zonder dat er sprake is van opschaling in de veiligheidsregio.
Organisatorische beheersmaatregelen
Het verbeteren van de kwaliteit van informatieveiligheid is een continu proces en onderdeel van alle processen waarin wordt gewerkt met gevoelige informatie. Informatieveiligheid is een kwaliteitskenmerk van het primaire proces, waarop het management van elke afdeling stuurt. De kwaliteit wordt gemeten aan:
Naleving van regels vergt in toenemende mate ook externe verantwoording, bijvoorbeeld voor het gebruik van DigiD, SUWI, BAG en BRP. Aanvullend op dit Informatiebeveiligingsbeleid gelden daarom specifieke normen voor specifieke organisatie onderdelen. 29
Periodiek wordt de kwaliteit van informatieveiligheid in opdracht van de CIO onderzocht door auditors en door onafhankelijke externen (bijvoorbeeld door middel van ‘penetratietesten’). Jaarlijks worden diverse audits, assessments en zelfevaluaties gepland. De bevindingen worden door de CISO gebruikt voor de verdere verbetering van de informatieveiligheid.
Er wordt een beveiligingsdocumentatiedossier door de CISO aangelegd en onderhouden. Dit dossier bevat alle relevante verplichte en niet verplichte documenten waaruit blijkt of kan worden aangetoond dat aan de specifieke beveiligingseisen is voldaan is voor de diverse audits, assessments en zelfevaluaties.
Voor elk type registratie wordt de bewaartermijn, het opslagmedium en eventuele vernietiging bepaald in overeenstemming met wet, regelgeving, contractuele verplichtingen en bedrijfsmatige eisen. Bij de keuze van het opslagmedium wordt rekening gehouden met de bewaartermijn, de achteruitgang van de kwaliteit van het medium in de loop van de tijd en de voortdurende beschikbaarheid van hulpmiddelen (zoals hard- en software) om de gegevens te raadplegen en te bewerken.
Beheersmaatregelen m.b.t. Suwinet
Organisaties en werkwijzen veranderen continu. Dit kan van invloed zijn op de wijze waarop Suwinet wordt gebruikt. Daarom is het van belang om minimaal jaarlijks het algemene informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet te evalueren en na te gaan of het informatiebeveiligingsbeleid en het beveiligingsplan nog steeds voldoen aan de beveiligingseisen en –randvoorwaarden. Ook is de vraag relevant of risico’s voldoende gereduceerd worden. Wanneer dat nodig is leidt de evaluatie tot aanpassing (actualisatie) van het informatiebeveiligingsbeleid en het beveiligingsplan.
De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats. Zeker voor de zogenaamde zware rollen is de periodieke controle op uitgave van rechten en gebruik van die rollen belangrijk. Bij geconstateerde afwijkingen waarbij sprake is van onregelmatigheden zal de gemeente corrigerende maatregelen moeten nemen. Afhankelijk van de soort onregelmatigheden zal de maatregel variëren van beperking van toegangsrechten tot disciplinaire maatregelen bij geconstateerd misbruik van persoonsgegevens.
Interne controle en analyse kan op verschillende wijzen worden vormgegeven. In de lichtste variant bestaat deze uit het op hoofdlijnen analyseren van het gebruik en in een zware variant worden de opvragingen per gebruiker structureel op rechtmatigheid beoordeeld. De norm kan dan ook op verschillende wijzen worden uitgelegd en toegepast. Het gebruik van Suwinet moet tot op accountniveau (steekproefsgewijs) worden gecontroleerd.. Het alleen controleren door middel van de generieke rapportages kan voldoende zijn maar geeft geen zicht op individuele opvragingen. Voor het onderzoek wordt gebruik gemaakt van een aantal zoeksleutels anders dan op BSN. Wanneer binnen de gemeente opvallend vaak gebruik wordt gemaakt van dit soort zoeksleutels en de organisatie de controle uitsluitend heeft gebaseerd op basis van een generieke rapportage van het BKWI, dan wordt dit als onvoldoende beoordeeld. De gemeente moet beter zicht hebben op het gebruik van Suwinet door individuele medewerkers om oneigenlijk gebruik vroegtijdig te signaleren en te voorkomen. Het BKWI biedt maandelijks een generieke rapportage aan, waarin geaggregeerde en geanonimiseerde gegevens staan. Dit is een handvat bij de controle. Ook het opvragen van specifieke rapportages bij het BKWI is van belang. Een specifieke rapportage kan - in tegenstelling tot een generieke - gegevens bevatten over individuele medewerkers en/of cliënten.
Van de gemeente wordt verwacht dat deze minimaal twee keer per jaar een generieke rapportage opvraagt bij het BKWI, dat er een procedure is aan de hand waarvan de generieke rapportages worden beoordeeld en dat er rapportages aanwezig zijn waaruit blijkt dat de gemeente deze controles heeft uitgevoerd. Deze rapporteert aan security officer Suwinet.
Voor voorbeelden van secure coding guidelines, zie http://www.cert.org/secure-coding/ of bijvoorbeeld ook OWASP