De Baseline Informatiebeveiliging

Nederlandse gemeenten (BIG) en het sociaal domein

Jule Hintzbergen

13 juni 2014

2

Waar ga ik het over hebben?

• 3 thema’s:

• Baseline Informatiebeveiliging Nederlandse gemeenten(BIG) algemeen

• Instrumenten

• Eerste resultaten van uitgevoerde analyses sociaal domein

3

Wat is er aan de hand?

25 oktober 2012

3

Informatieveiligheid• Het gaat om het vergroten van de weerbaarheid van

gemeenten tegen ICT-verstoringen en –dreigingen

• Dat start bij vergroten van bewustzijn van en de sturing op informatiebeveiliging, ook bij bestuurders

• Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG):

• Strategische en Tactische variant van de BIG gereed (op IBD-community) (Wat)

• Producten Operationele variant nu in ontwikkeling (Hoe)

5

Baseline Informatiebeveiliging Nederlandse Gemeenten - Doel

1. Gemeenten op een vergelijkbare manier efficiënt te laten werken met informatieveiligheid.

2. Gemeenten een hulpmiddel te geven om aan alle eisen op het gebied van Informatieveiligheid te kunnen voldoen.

3. De auditlast bij gemeenten te verminderen.4. Gemeenten een aantoonbaar betrouwbare

partner te laten zijn.

Baseline Informatiebeveiliging Nederlandse Gemeenten: Uitgangspunten

• Gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden– Bijvoorbeeld: ISO 27001:2005, ISO 27002:2007, VIR,

VIR-BI en BIR.• Basis beveiligingsniveau gebaseerd op

normen en wetgeving– Inclusief mapping vanuit normen en wetgeving naar

de maatregelen

7

Strategische Variant BIG

• Scope– Bedrijfsvoeringsprocessen en onderliggende

informatiesystemen en informatie van de gemeente• Uitgangspunten

– B&W integraal verantwoordelijk– Basis niveau Departementaal Vertrouwelijk– Schengen’-principe gehanteerd– Gerichte risicoafweging voor afwijkende situaties of wanneer

een hoger beveiligingsniveau nodig is • Randvoorwaarden

– Rol management– Risicomanagement– Bewustwording– Integrale aanpak

8

Tactische variant BIG

• Indeling als internationale beveiligingsnorm ISO/IEC 27002:2007

• Basisset aan maatregelen die voor alle gemeenten geldt

• Bevat maatregelen uit aansluitnormen van de basisregistraties– GBA / BRP– PUN– BAG– SUWI wet– WBP en laatste richtsnoeren

• Randvoorwaarden, stappenplan

9

Operationele Variant BIG• Opgebouwd uit aanvullend beleid, procedures,

handreikingen, aanwijzingen en patronen• Geven vooral antwoord op het “hoe”

– detaillering, invulling maatregelen• Welke producten:

– Prioriteit: bepaald middels uitvraag– Aantal: 50+ producten– Planning: tweede helft 2013 en medio 2014.– Kwaliteitsborging: review door gemeenten

10

Voordelen van de BIG

• Gemeenten hebben nu allemaal hetzelfde kader• Bewustwording neemt toe bij gemeenten en

daarmee ook de vragen • Meer in control zijn

– gemeenten worden volwassener opdrachtgevers qua beveiliging, en dat dwingt leveranciers tot volwassener opdrachtnemerschap

• Duidelijkheid voor leveranciers– geen verschillende beveiligingseisen van verschillende

gemeenten– Onderscheidende factor voor leveranciers

• Security by design

11

Baseline en de leveranciers

• Er is nu één normenkader, eenduidige eisen en wensen, één taal

• Toename bewustwording gemeenten, dus ook meer vragen over informatieveiligheid in oplossingen

• Beveiliging word vaak als sluitpost gezien

• De Baseline en er goed mee omgaan in producten en diensten is geen last maar een business enabler

12

Instrumenten

• 0-meting• Impactanalyse• Baselinetoets• Diepgaande Risicoanalyse• Privacy Impact Assessment (PIA)

13

Instrumenten: 0-meting en impactanalyse

• De 0-meting is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG

• De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen

• Dus ook richting leveranciers van informatiesystemen

14

Instrumenten: baselinetoets

• Zo eenvoudig mogelijk opgezet• Toetsen door middel van BIV en P vragen• 2-ledig doel:

– Een bestaand systeem te toetsen of de baseline voldoende beschermd

– Toetsen van een nieuw proces/informatiesysteem of de baseline voldoende is of dat er meer nodig is.

• Resultaat:– BIG is voldoende– BIG is niet voldoende, voer diepgaande risicoanalyse

uit en voer eventueel een PIA uit– Geeft inzicht in BIV+P ten opzichte van de BIG

15

Instrumenten: diepgaande risicoanalyse

• Vervolg op de baselinetoets• Kan leiden tot aanvullende controls en

maatregelen bovenop de BIG controls en maatregelen

• Minimaal tijd benodigd van proceseigenaar, systeembeheerders etcetera

• In korte tijd te doen• Mogelijk focus op BIV+P uit baselinetoets

16

Instrumenten: PIA

• Richtsnoeren• Indien de P-vragen uit de baselinetoets

aanleiding geven tot een PIA• Vragenlijst gericht op privacy vraagstukken• Eenvoudige rapportage• Leidt tot eventueel aanvullende beveiligings /

privacy maatregelen• Toekomst verplicht (EU-wetgeving)

17

Instrumenten waar leveranciers rekening mee moeten gaan houden

• Beveiligingseisen in contracten• Contractmanagement• Bewerkersovereenkomst met maatregelen in

de bijlage (SaaS voorbeeld)• SLA• Geheimhoudingsverklaring, VoG• Responsible disclosure• Incidentmanagement en overige

beheerprocessen• Naleving en controle

18

Sta

pp

en

pla

n g

em

een

ten

19

Top Risico’s Oplossingen

Onzorgvuldig handelenGebruikersBeheerders

Leveranciers

BewustwordingLogging en monitoring en auditingSysteem documentatieOpleidingen

Derde Partijen en Cloud Contracten, Bewerkersovereenkomsten, SLA’s en TPM

Mobiele devices Mobile Device ManagementZero footprint

Toegang tot data door onbevoegden, lekken van informatie (boetes)

- Management committment- Bewustwording-Logisch toegangsbeheer, afscherming op kolom, regel of tabelniveau, RBAC etcetera Encryptiemaatregelen-Indienst- en uitdienst- en functiewijziging procedures- Cloud aandachtspunten-Logging en monitoring

Besmettingen PatchmanagementHardeningAntimalware maatregelenBack-up

Top risico’s sociaal domein

20

Vragen?

info@IBDgemeenten.nlBezoek ook www.ibdgemeenten.nl