ENCRYPTIEBELEID (PKI)

Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

2

Colofon

Naam document

Encryptiebeleid

Versienummer

1.0

Versiedatum

Juni 2014

Versiebeheer

Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Copyright

2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING).

Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel

zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en

overheidsorganisaties.

Voor commercile organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te

drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. KING wordt als bron vermeld.

2. Het document en de inhoud mogen commercieel niet gexploiteerd worden.

3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker

berusten, blijven onderworpen aan de beperkingen opgelegd door KING.

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze

paragraaf vermelde mededeling.

Rechten en vrijwaring

KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te

verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave

voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen

aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van

de uitgave of door de toepassing ervan.

Met dank aan

De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

In samenwerking met

De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse

Gemeenten (BIG) worden vervaardigd in samenwerking met:

3

Voorwoord

De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het

Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de

oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op

informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017.

De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om

gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen.

De IBD heeft drie doelen:

1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van

bewustzijn als het gaat om informatiebeveiliging.

2. Het leveren van integrale cordinatie en concrete ondersteuning op gemeente specifieke aspecten

in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging.

3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in

de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het

ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project.

Hoe realiseert de IBD haar doelen?

Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline

Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de

gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee

varianten, een Strategische- n een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar

voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot

implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze

baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control

is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische- en Tactische

Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en

Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een

productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten.

Onderhavig product is er n van.

Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor

een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de

IBD.

De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de

regels. Hierbij geldt:

- Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet.

- Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

- De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe.

4

Leeswijzer

Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging

Nederlandse Gemeenten (BIG).

Doel Deze handleiding is geschreven om vanuit verschillende gezichtspunten de risicos en oplossingen weer te geven die gemeenten kunnen inzetten, rondom encryptie/versleuteling en Public Key Infrastructure (PKI).

Doelgroep

Dit document is van belang voor het gemeentebestuur (voor het beleid) en ICT-beheer.

Leesadvies

Voor lezers die minder bekend zijn met het onderwerp encryptie en PKI is in paragraaf 2.1 Introductie

Encryptie en PKI een korte introductie beschreven en in bijlage drie wordt de achterliggende theorie

uitgebreider beschreven. Deze bijlage kan ook als naslagwerk dienen om zaken nog eens na te lezen.

Lezers die minder bekend zijn met het onderwerp encryptie en PKI wordt geadviseerd om eerst

paragraaf 2.1 en daarna bijlage drie te lezen en vervolgens verder te gaan met de rest van dit

document.

Relatie met overige producten

Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten

o Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten

Het voorbeeld Informatiebeveiligingsbeleid van de gemeente, 6.1 en 7.5.3.

Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten

(BIG).

Maatregel 10.6.1 Maatregelen voor netwerken

Maatregel 10.8.2 Uitwisselingsovereenkomsten

Maatregel 10.8.3 Fysieke media die worden getransporteerd

Maatregel 10.8.4 Elektronisch berichtenuitwisseling

Maatregel 10.9.2 Online-transacties

Maatregel 10.10.2 Controle van systeemgebruik

Maatregel 11.7.1 Draagbare computers en communicatievoorzieningen

Maatregel 12.3 Cryptografische beheersmaatregelen

Maatregel 15.1.6 Voorschriften voor het gebruik van cryptografische beheersmaatregelen

5

Inhoudsopgave

Inhoudsopgave 5

1 Inleiding 6

1.1 Raakvlakken 6

1.2 Aanwijzing voor gebruik 7

2 Encryptie en PKI 9

2.1 Introductie Encryptie en PKI 9

2.2 Algemeen 11

2.3 Definiren van het toepassingsgebied 12

2.4 Sleutelbeheer 13

2.5 PKIoverheid 18

Bijlage 1: Gebruiksvoorwaarden voor versleuteling van gegevens gemeente 20

Bijlage 2: Encryptie aanwijzing voor gemeente 22

Bijlage 3: Theorie 24

Bijlage 4: Definities 33

Bijlage 5: Literatuur/bronnen 41

6

1 Inleiding

De Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG) heeft maatregelen

beschreven die te maken hebben met het beleid betreffende encryptie/versleuteling en Public Key

Infrastructure (PKI), zie hiervoor paragraaf 6.1 en 7.5.3 in het voorbeeld gemeentelijk

informatiebeveiligingsbeleid en paragraaf 10.8.4, 10.9.2 en 12.3.2 van de BIG.

Dit document geeft algemene aanwijzingen over vertrouwde en integere berichtuitwisseling tussen,

daarvoor geautoriseerde personen en systemen, het borgen van onweerlegbaarheid van

verzending, en ontvangst bij berichtuitwisseling en het vertrouwd kunnen opslaan van bestanden.

Tevens worden aanwijzingen gegeven over de beheersing van zowel de operationele- als de

beheerprocessen die bij het toepassen van encryptie en PKI van belang zijn. Het gaat hierbij om de

gehele levenscyclus van sleutelmateriaal, van het creren tot en met het vernietigen van sleutels.

Er wordt speciaal aandacht besteed aan de diensten van PKIoverheid1 en

certificatiedienstverleners2, die als een derde vertrouwde partij, certificaten uitgeeft en beheert

voor verschillende organisaties die encryptie toepassen. Tenslotte is er aanvullend een

gemeentelijk encryptiebeleid (PKI).

Vraagstukken

De belangrijkste vraagstukken die door een betrouwbare elektronische communicatie opgelost

worden, zijn:

1. Hoe kan worden vastgesteld met wie er wordt gecommuniceerd en hoe weet de ontvanger

zeker dat de verzender ook daadwerkelijk de afzender is en niet iemand anders? (Identiteit)

2. Hoe kan worden voorkomen dat berichten tijdens transport en opslag onopgemerkt worden

gewijzigd, zodat de ontvanger een zekere mate van garantie heeft dat het bericht integer is en

dat het bericht afkomstig is van de identiteit, die als ondertekenaar bij het bericht staa