De Baseline Informatiebeveiliging &

grote gemeenten

6 oktober 2014John van Huijgevoort, IBD

Agenda

De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG):

Samenhang Instrumenten

Hoe om te gaan met de BIG als grote gemeente?

2

3

Samenhang producten

Informatiebeveiliging en Privacy in IV-projecten

4

Instrumenten

Handreiking Dataclassificatie

GAP-analyse

Impactanalyse

Baselinetoets BIG

Diepgaande Risicoanalyse

Privacy Impact Assessment (PIA)

5

Instrumenten: Handreiking Dataclassificatie

Het niveau van de BIG bevindt zich op de volgende (BIV-) waarden:

Beschikbaarheid: Belangrijk

Integriteit: Hoog

Vertrouwelijkheid: Vertrouwelijk

6

Classificatie leidraad

Instrumenten: GAP-analyse

De GAP-analyse is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG

7

Instrumenten: Impactanalyse

De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen. Ook richting leveranciers van informatiesystemen.

8

Instrumenten: Baselinetoets BIG

Toetsen door middel van BIV- en P-vragen

Toetsen van bestaand of nieuw proces/ informatiesysteem of de baseline voldoende is of dat er meer nodig is.

9

Stappen Baselinetoets BIG

Vanwege toepasbaarheid zo

eenvoudig mogelijk van opzet en

hierdoor in korte uit te voeren.

STAP

SETTING

WERKWIJZE

TOOLS

RESULTAAT

1.Intakegesprek

voeren

2.Analyseren

proces

Gesprek metopdrachtgever,

meestalprojectleider

In kaart brengenscope, diepgang,

planning,brondocumenten,respondenten etc.

Plan van Aanpak / planning

voorbereiding analyse

Baselinetoets

Afstemming metproceseigenaar

In kaart brengenprocesomgeving,

Samenhang, inhouden eisen

GeneriekProcesmodel

Waarderings-tabellen

Procesmodel eneerste beeld van de eisen

3.Vaststellen

betrouwbaar-heidseisen BIV-P

Terugkoppeling aan opdrachtgever

Consolideren van deeisen, bepalenvervolgstappen

Geconsolideerdbeeld van de eisen

Inzicht in de Vervolgstappen

Schemavervolgstappen

UREN INDICATIEF

1 uur opdrachtgever10 uur voorbereiding en

uitwerken

4 uur opdrachtgever8 uur uitwerken (per

proces)1 uur opdrachtgever

Resultaat Baselinetoets BIG

Geeft inzicht in BIV en P ten opzichte van de BIG

11

Relatie PIA en diepgaande Risicoanalyse

Een PIA wordt bij voorkeur uitgevoerd in het eerste ontwerpstadium van een verwerking van persoonsgegevens:

Richtsnoeren Beveiliging van Persoonsgegevens (CBP)

In de toekomst verplicht (EU-wetgeving)

12Bron: Richtsnoeren beveiliging van persoonsgegevens, College bescherming persoonsgegevens (CBP) , d.d. februari 2013

Instrumenten: PIA

Eigenschappen: Vragenlijst gericht op

privacy vraagstukken

Eenvoudige rapportage

Leidt (eventueel) tot: Uitvoeren risicoanalyse

Aanvullende maatregelen

Keuze om het proces aan te passen

Keuze om minder gegevens te verzamelen

13

Instrumenten: diepgaande Risicoanalyse

Mogelijk focus op BIV uit Baselinetoets

Kan leiden tot aanvullende maatregelen bovenop de BIG

14

Door eigenaar,niet in scope

Stappen diepgaande Risicoanalyse

In korte tijd uit te voeren en minimale

inspanning nodig van

proceseigenaar, systeembeheerder

et cetera.

STAP

SETTING

WERKWIJZE

TOOLS

RESULTAAT

UREN INDICATIEF

5.Analyseren

bedreigingen

Gesprek metsysteemeigenaar,

meestal functioneelbeheerder

Bepalen relevante

bedreigingen i.r.t. gevolgen

Overzicht van derelevante

bedreigingen

Invulmatrix gevolgen &

bedreigingen

4 uurGesprek(ken) met systeemeigenaar

20 uur voorbereiden en uitwerken

6.Vaststellen

maatregeldoel-stellingen

Uitwerking door Analist en

terugkoppeling aanopdrachtgever

Formulerenmaatregeldoel-stellingen o.b.v.

de eisen en relevantebedreigingen

Samenhangendpakket maatregel-

doelstellingen

BIG Maatregel-Doelstellingen en eigen maatregel-

doelstellingen

20 uur

7.Opstellen

Plan

Terugkoppeling aan opdrachtgever

Opstellen implementatieplan

per verantwoordelijke

Implementatieplaninformatiebeveiliging

Opzet implementatieplan

20 uursamen met CISO en

opdrachtgever

4.AnalyserenInformatie-

systeem

Gesprek metsysteemeigenaar,

meestal functioneelbeheerder

In kaart brengeninformatiesysteem

alsmede eisen

MAPGOOD Invulformulier

Waarderings-tabellen

MAPGOOD formulieringevuld en eerstebeeld van de eisen

4 uur systeembeheer/ functioneelbeheer8 uur voorbereiden

en uitwerken

Stappenplan gemeenten

16

Maatregelen

Prioriteer de BIG-maatregelen:

Generieke maatregelen:

Dit zijn maatregelen die gemeentebreed gelden over alle processen en systemen heen, verantwoordelijken PIOFAH.

Specifieke maatregelen:

Dit zijn maatregelen die niet gemeentebreed gelden maar toegewezen kunnen worden aan een proces- / systeemeigenaar/directeur / manager ten behoeve van een informatiesysteem.

Beleg de BIG-maatregelen

17

Prioriteer de BIG-maatregelen

De BIG bevat 303 maatregelen verdeeld over 133 controls:

Deze maatregelen kunnen niet allemaal ineens worden gemplementeerd.

Prioriteer deze maatregelen op basis van:

risico-inschatting

belang

haalbaarheid

Doseer over een periode (bijvoorbeeld 3 jaar gezien)

Pas de GAP-analyse spreadsheet aan

18

Beleg de BIG-maatregelen

PIOFAH

Kan per gemeente anders georganiseerd zijn

Eenmalig uitzoeken

Is er geen verantwoordelijke, dan dit bepalen en vastleggen

19

Personeel

Inkoop (soms informatievoorziening)

Organisatie

Financin

Automatisering/Administratie

Huisvesting

Beheerprocesen: ISMS en PDCA

Het doel van het Informatie Beveiligings Management Systeem (ISMS) is onder andere het continue beoordelen welke beveiligingsmaatregelen passend zijn en indien nodig bij te stellen.

Het ISMS is een proces dat de basis legt voor passende beveiligingsmaatregelen door bijvoorbeeld risicoanalyses, BIA en classificatie van informatie.

Overige beheerprocessen: Risicomanagement

Configuratiemanagement

Wijzigingsbeheer

Patchmanagement

Hardening

Incidentmanagement

Bedrijfscontinuteitsmanagement20

Rapportage

Periodiek over de voortgang:

Gedurende de hele levenscyclus van maatregelen:

vanaf het plannen tot en met uitfaseren

door de verantwoordelijke functionaris

In managementrapportages

21

Horizontale en verticale verantwoording

Gemeenten dienen transparant te zijn: Horizontale verantwoording, vanuit het College van B&W

aan de gemeenteraad, de lokale rekenkamer en het lokale publiek

over geleverde diensten en bereikte resultaten op het gebied van informatiebeveiliging, vanuit de gemeentelijke verantwoordelijkheid.

Verticale verantwoording, vanuit het College van B&W:

aan de gemeenteraad en wetgevers (inspecties/toezichthouders) als onderdeel van de paragraaf bedrijfsvoering van de begroting en het jaarverslag.

om zekerheid te krijgen over opzet en bestaan van de maatregelen, door de verantwoordelijke een in control statement te laten afgeven voor hun deel van de set.

22

Doen: Hoe gaan grote gemeenten om met de BIG? Wat heeft de BIG voor jullie betekend?

Welke fasering passen jullie toe?

Welke clustering?

Hoe verdeel je de financile middelen?

Hoe pakken jullie de BIG aan?

Wat gaat goed?

medewerking

Waar lopen jullie tegenaan?

tegenwerking

Wat kan de IBD voor jullie betekenen?

23

Vragen?

24

Bezoek ook www.IBDgemeenten.nlWord lid van de community