ENCRYPTIEBELEID (PKI ) - Informatiebeveiligingsdienst (PKI ) Een van de producten van de...

download ENCRYPTIEBELEID (PKI ) - Informatiebeveiligingsdienst  (PKI ) Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

of 42

  • date post

    20-Apr-2018
  • Category

    Documents

  • view

    238
  • download

    4

Embed Size (px)

Transcript of ENCRYPTIEBELEID (PKI ) - Informatiebeveiligingsdienst (PKI ) Een van de producten van de...

  • ENCRYPTIEBELEID (PKI)

    Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

  • 2

    Colofon

    Naam document

    Encryptiebeleid

    Versienummer

    1.0

    Versiedatum

    Juni 2014

    Versiebeheer

    Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

    Copyright

    2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING).

    Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel

    zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en

    overheidsorganisaties.

    Voor commercile organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te

    drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

    1. KING wordt als bron vermeld.

    2. Het document en de inhoud mogen commercieel niet gexploiteerd worden.

    3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker

    berusten, blijven onderworpen aan de beperkingen opgelegd door KING.

    4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze

    paragraaf vermelde mededeling.

    Rechten en vrijwaring

    KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te

    verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave

    voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen

    aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van

    de uitgave of door de toepassing ervan.

    Met dank aan

    De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

    In samenwerking met

    De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse

    Gemeenten (BIG) worden vervaardigd in samenwerking met:

  • 3

    Voorwoord

    De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het

    Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de

    oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op

    informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017.

    De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om

    gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen.

    De IBD heeft drie doelen:

    1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van

    bewustzijn als het gaat om informatiebeveiliging.

    2. Het leveren van integrale cordinatie en concrete ondersteuning op gemeente specifieke aspecten

    in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging.

    3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in

    de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het

    ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project.

    Hoe realiseert de IBD haar doelen?

    Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline

    Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de

    gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee

    varianten, een Strategische- n een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar

    voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot

    implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze

    baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control

    is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische- en Tactische

    Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en

    Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een

    productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten.

    Onderhavig product is er n van.

    Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor

    een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de

    IBD.

    De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de

    regels. Hierbij geldt:

    - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet.

    - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

    - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe.

  • 4

    Leeswijzer

    Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging

    Nederlandse Gemeenten (BIG).

    Doel Deze handleiding is geschreven om vanuit verschillende gezichtspunten de risicos en oplossingen weer te geven die gemeenten kunnen inzetten, rondom encryptie/versleuteling en Public Key Infrastructure (PKI).

    Doelgroep

    Dit document is van belang voor het gemeentebestuur (voor het beleid) en ICT-beheer.

    Leesadvies

    Voor lezers die minder bekend zijn met het onderwerp encryptie en PKI is in paragraaf 2.1 Introductie

    Encryptie en PKI een korte introductie beschreven en in bijlage drie wordt de achterliggende theorie

    uitgebreider beschreven. Deze bijlage kan ook als naslagwerk dienen om zaken nog eens na te lezen.

    Lezers die minder bekend zijn met het onderwerp encryptie en PKI wordt geadviseerd om eerst

    paragraaf 2.1 en daarna bijlage drie te lezen en vervolgens verder te gaan met de rest van dit

    document.

    Relatie met overige producten

    Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten

    o Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten

    Het voorbeeld Informatiebeveiligingsbeleid van de gemeente, 6.1 en 7.5.3.

    Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten

    (BIG).

    Maatregel 10.6.1 Maatregelen voor netwerken

    Maatregel 10.8.2 Uitwisselingsovereenkomsten

    Maatregel 10.8.3 Fysieke media die worden getransporteerd

    Maatregel 10.8.4 Elektronisch berichtenuitwisseling

    Maatregel 10.9.2 Online-transacties

    Maatregel 10.10.2 Controle van systeemgebruik

    Maatregel 11.7.1 Draagbare computers en communicatievoorzieningen

    Maatregel 12.3 Cryptografische beheersmaatregelen

    Maatregel 15.1.6 Voorschriften voor het gebruik van cryptografische beheersmaatregelen

  • 5

    Inhoudsopgave

    Inhoudsopgave 5

    1 Inleiding 6

    1.1 Raakvlakken 6

    1.2 Aanwijzing voor gebruik 7

    2 Encryptie en PKI 9

    2.1 Introductie Encryptie en PKI 9

    2.2 Algemeen 11

    2.3 Definiren van het toepassingsgebied 12

    2.4 Sleutelbeheer 13

    2.5 PKIoverheid 18

    Bijlage 1: Gebruiksvoorwaarden voor versleuteling van gegevens gemeente 20

    Bijlage 2: Encryptie aanwijzing voor gemeente 22

    Bijlage 3: Theorie 24

    Bijlage 4: Definities 33

    Bijlage 5: Literatuur/bronnen 41

  • 6

    1 Inleiding

    De Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG) heeft maatregelen

    beschreven die te maken hebben met het beleid betreffende encryptie/versleuteling en Public Key

    Infrastructure (PKI), zie hiervoor paragraaf 6.1 en 7.5.3 in het voorbeeld gemeentelijk

    informatiebeveiligingsbeleid en paragraaf 10.8.4, 10.9.2 en 12.3.2 van de BIG.

    Dit document geeft algemene aanwijzingen over vertrouwde en integere berichtuitwisseling tussen,

    daarvoor geautoriseerde personen en systemen, het borgen van onweerlegbaarheid van

    verzending, en ontvangst bij berichtuitwisseling en het vertrouwd kunnen opslaan van bestanden.

    Tevens worden aanwijzingen gegeven over de beheersing van zowel de operationele- als de

    beheerprocessen die bij het toepassen van encryptie en PKI van belang zijn. Het gaat hierbij om de

    gehele levenscyclus van sleutelmateriaal, van het creren tot en met het vernietigen van sleutels.

    Er wordt speciaal aandacht besteed aan de diensten van PKIoverheid1 en

    certificatiedienstverleners2, die als een derde vertrouwde partij, certificaten uitgeeft en beheert

    voor verschillende organisaties die encryptie toepassen. Tenslotte is er aanvullend een

    gemeentelijk encryptiebeleid (PKI).

    Vraagstukken

    De belangrijkste vraagstukken die door een betrouwbare elektronische communicatie opgelost

    worden, zijn:

    1. Hoe kan worden vastgesteld met wie er wordt gecommuniceerd en hoe weet de ontvanger

    zeker dat de verzender ook daadwerkelijk de afzender is en niet iemand anders? (Identiteit)

    2. Hoe kan worden voorkomen dat berichten tijdens transport en opslag onopgemerkt worden

    gewijzigd, zodat de ontvanger een zekere mate van garantie heeft dat het bericht integer is en

    dat het bericht afkomstig is van de identiteit, die als ondertekenaar bij het bericht staa