Leveranciersbijeenkomst big

download Leveranciersbijeenkomst big

of 20

  • date post

    27-Jun-2015
  • Category

    Documents

  • view

    196
  • download

    0

Embed Size (px)

Transcript of Leveranciersbijeenkomst big

  • 1. De Baseline Informatiebeveiliging Nederlandse gemeenten (BIG) en het sociaal domein Jule Hintzbergen 13 juni 2014

2. Waar ga ik het over hebben? 3 themas: Baseline Informatiebeveiliging Nederlandse gemeenten(BIG) algemeen Instrumenten Eerste resultaten van uitgevoerde analyses sociaal domein 2 3. 3 Wat is er aan de hand? 25 oktober 2012 3 4. Informatieveiligheid Het gaat om het vergroten van de weerbaarheid van gemeenten tegen ICT-verstoringen en dreigingen Dat start bij vergroten van bewustzijn van en de sturing op informatiebeveiliging, ook bij bestuurders Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Strategische en Tactische variant van de BIG gereed (op IBD-community) (Wat) Producten Operationele variant nu in ontwikkeling (Hoe) 5. Baseline Informatiebeveiliging Nederlandse Gemeenten - Doel 1. Gemeenten op een vergelijkbare manier efficint te laten werken met informatieveiligheid. 2. Gemeenten een hulpmiddel te geven om aan alle eisen op het gebied van Informatieveiligheid te kunnen voldoen. 3. De auditlast bij gemeenten te verminderen. 4. Gemeenten een aantoonbaar betrouwbare partner te laten zijn. 5 6. Baseline Informatiebeveiliging Nederlandse Gemeenten: Uitgangspunten Gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden Bijvoorbeeld: ISO 27001:2005, ISO 27002:2007, VIR, VIR-BI en BIR. Basis beveiligingsniveau gebaseerd op normen en wetgeving Inclusief mapping vanuit normen en wetgeving naar de maatregelen 7. Strategische Variant BIG Scope Bedrijfsvoeringsprocessen en onderliggende informatiesystemen en informatie van de gemeente Uitgangspunten B&W integraal verantwoordelijk Basis niveau Departementaal Vertrouwelijk Schengen-principe gehanteerd Gerichte risicoafweging voor afwijkende situaties of wanneer een hoger beveiligingsniveau nodig is Randvoorwaarden Rol management Risicomanagement Bewustwording Integrale aanpak 7 8. Tactische variant BIG Indeling als internationale beveiligingsnorm ISO/IEC 27002:2007 Basisset aan maatregelen die voor alle gemeenten geldt Bevat maatregelen uit aansluitnormen van de basisregistraties GBA / BRP PUN BAG SUWI wet WBP en laatste richtsnoeren Randvoorwaarden, stappenplan 8 9. Operationele Variant BIG Opgebouwd uit aanvullend beleid, procedures, handreikingen, aanwijzingen en patronen Geven vooral antwoord op het hoe detaillering, invulling maatregelen Welke producten: Prioriteit: bepaald middels uitvraag Aantal: 50+ producten Planning: tweede helft 2013 en medio 2014. Kwaliteitsborging: review door gemeenten 9 10. Voordelen van de BIG Gemeenten hebben nu allemaal hetzelfde kader Bewustwording neemt toe bij gemeenten en daarmee ook de vragen Meer in control zijn gemeenten worden volwassener opdrachtgevers qua beveiliging, en dat dwingt leveranciers tot volwassener opdrachtnemerschap Duidelijkheid voor leveranciers geen verschillende beveiligingseisen van verschillende gemeenten Onderscheidende factor voor leveranciers Security by design 10 11. Baseline en de leveranciers Er is nu n normenkader, eenduidige eisen en wensen, n taal Toename bewustwording gemeenten, dus ook meer vragen over informatieveiligheid in oplossingen Beveiliging word vaak als sluitpost gezien De Baseline en er goed mee omgaan in producten en diensten is geen last maar een business enabler 11 12. Instrumenten 0-meting Impactanalyse Baselinetoets Diepgaande Risicoanalyse Privacy Impact Assessment (PIA) 12 13. Instrumenten: 0-meting en impactanalyse De 0-meting is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen Dus ook richting leveranciers van informatiesystemen 13 14. Instrumenten: baselinetoets Zo eenvoudig mogelijk opgezet Toetsen door middel van BIV en P vragen 2-ledig doel: Een bestaand systeem te toetsen of de baseline voldoende beschermd Toetsen van een nieuw proces/informatiesysteem of de baseline voldoende is of dat er meer nodig is. Resultaat: BIG is voldoende BIG is niet voldoende, voer diepgaande risicoanalyse uit en voer eventueel een PIA uit Geeft inzicht in BIV+P ten opzichte van de BIG 14 15. Instrumenten: diepgaande risicoanalyse Vervolg op de baselinetoets Kan leiden tot aanvullende controls en maatregelen bovenop de BIG controls en maatregelen Minimaal tijd benodigd van proceseigenaar, systeembeheerders etcetera In korte tijd te doen Mogelijk focus op BIV+P uit baselinetoets 15 16. Instrumenten: PIA Richtsnoeren Indien de P-vragen uit de baselinetoets aanleiding geven tot een PIA Vragenlijst gericht op privacy vraagstukken Eenvoudige rapportage Leidt tot eventueel aanvullende beveiligings / privacy maatregelen Toekomst verplicht (EU-wetgeving) 16 17. Instrumenten waar leveranciers rekening mee moeten gaan houden Beveiligingseisen in contracten Contractmanagement Bewerkersovereenkomst met maatregelen in de bijlage (SaaS voorbeeld) SLA Geheimhoudingsverklaring, VoG Responsible disclosure Incidentmanagement en overige beheerprocessen Naleving en controle 17 18. Stappenplangemeenten 18 19. Top Risicos Oplossingen Onzorgvuldig handelen Gebruikers Beheerders Leveranciers Bewustwording Logging en monitoring en auditing Systeem documentatie Opleidingen Derde Partijen en Cloud Contracten, Bewerkersovereenkomsten, SLAs en TPM Mobiele devices Mobile Device Management Zero footprint Toegang tot data door onbevoegden, lekken van informatie (boetes) - Management committment - Bewustwording -Logisch toegangsbeheer, afscherming op kolom, regel of tabelniveau, RBAC etcetera Encryptiemaatregelen -Indienst- en uitdienst- en functiewijziging procedures - Cloud aandachtspunten -Logging en monitoring Besmettingen Patchmanagement Hardening Antimalware maatregelen Back-up19 Top risicos sociaal domein 20. Vragen? 20 info@IBDgemeenten.nl Bezoek ook www.ibdgemeenten.nl