Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014

download Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014

of 24

  • date post

    11-Jan-2017
  • Category

    Documents

  • view

    214
  • download

    1

Embed Size (px)

Transcript of Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014

  • De Baseline Informatiebeveiliging &

    grote gemeenten

    6 oktober 2014John van Huijgevoort, IBD

  • Agenda

    De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG):

    Samenhang Instrumenten

    Hoe om te gaan met de BIG als grote gemeente?

    2

  • 3

    Samenhang producten

  • Informatiebeveiliging en Privacy in IV-projecten

    4

  • Instrumenten

    Handreiking Dataclassificatie

    GAP-analyse

    Impactanalyse

    Baselinetoets BIG

    Diepgaande Risicoanalyse

    Privacy Impact Assessment (PIA)

    5

  • Instrumenten: Handreiking Dataclassificatie

    Het niveau van de BIG bevindt zich op de volgende (BIV-) waarden:

    Beschikbaarheid: Belangrijk

    Integriteit: Hoog

    Vertrouwelijkheid: Vertrouwelijk

    6

    Classificatie leidraad

  • Instrumenten: GAP-analyse

    De GAP-analyse is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG

    7

  • Instrumenten: Impactanalyse

    De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen. Ook richting leveranciers van informatiesystemen.

    8

  • Instrumenten: Baselinetoets BIG

    Toetsen door middel van BIV- en P-vragen

    Toetsen van bestaand of nieuw proces/ informatiesysteem of de baseline voldoende is of dat er meer nodig is.

    9

  • Stappen Baselinetoets BIG

    Vanwege toepasbaarheid zo

    eenvoudig mogelijk van opzet en

    hierdoor in korte uit te voeren.

    STAP

    SETTING

    WERKWIJZE

    TOOLS

    RESULTAAT

    1.Intakegesprek

    voeren

    2.Analyseren

    proces

    Gesprek metopdrachtgever,

    meestalprojectleider

    In kaart brengenscope, diepgang,

    planning,brondocumenten,respondenten etc.

    Plan van Aanpak / planning

    voorbereiding analyse

    Baselinetoets

    Afstemming metproceseigenaar

    In kaart brengenprocesomgeving,

    Samenhang, inhouden eisen

    GeneriekProcesmodel

    Waarderings-tabellen

    Procesmodel eneerste beeld van de eisen

    3.Vaststellen

    betrouwbaar-heidseisen BIV-P

    Terugkoppeling aan opdrachtgever

    Consolideren van deeisen, bepalenvervolgstappen

    Geconsolideerdbeeld van de eisen

    Inzicht in de Vervolgstappen

    Schemavervolgstappen

    UREN INDICATIEF

    1 uur opdrachtgever10 uur voorbereiding en

    uitwerken

    4 uur opdrachtgever8 uur uitwerken (per

    proces)1 uur opdrachtgever

  • Resultaat Baselinetoets BIG

    Geeft inzicht in BIV en P ten opzichte van de BIG

    11

  • Relatie PIA en diepgaande Risicoanalyse

    Een PIA wordt bij voorkeur uitgevoerd in het eerste ontwerpstadium van een verwerking van persoonsgegevens:

    Richtsnoeren Beveiliging van Persoonsgegevens (CBP)

    In de toekomst verplicht (EU-wetgeving)

    12Bron: Richtsnoeren beveiliging van persoonsgegevens, College bescherming persoonsgegevens (CBP) , d.d. februari 2013

  • Instrumenten: PIA

    Eigenschappen: Vragenlijst gericht op

    privacy vraagstukken

    Eenvoudige rapportage

    Leidt (eventueel) tot: Uitvoeren risicoanalyse

    Aanvullende maatregelen

    Keuze om het proces aan te passen

    Keuze om minder gegevens te verzamelen

    13

  • Instrumenten: diepgaande Risicoanalyse

    Mogelijk focus op BIV uit Baselinetoets

    Kan leiden tot aanvullende maatregelen bovenop de BIG

    14

  • Door eigenaar,niet in scope

    Stappen diepgaande Risicoanalyse

    In korte tijd uit te voeren en minimale

    inspanning nodig van

    proceseigenaar, systeembeheerder

    et cetera.

    STAP

    SETTING

    WERKWIJZE

    TOOLS

    RESULTAAT

    UREN INDICATIEF

    5.Analyseren

    bedreigingen

    Gesprek metsysteemeigenaar,

    meestal functioneelbeheerder

    Bepalen relevante

    bedreigingen i.r.t. gevolgen

    Overzicht van derelevante

    bedreigingen

    Invulmatrix gevolgen &

    bedreigingen

    4 uurGesprek(ken) met systeemeigenaar

    20 uur voorbereiden en uitwerken

    6.Vaststellen

    maatregeldoel-stellingen

    Uitwerking door Analist en

    terugkoppeling aanopdrachtgever

    Formulerenmaatregeldoel-stellingen o.b.v.

    de eisen en relevantebedreigingen

    Samenhangendpakket maatregel-

    doelstellingen

    BIG Maatregel-Doelstellingen en eigen maatregel-

    doelstellingen

    20 uur

    7.Opstellen

    Plan

    Terugkoppeling aan opdrachtgever

    Opstellen implementatieplan

    per verantwoordelijke

    Implementatieplaninformatiebeveiliging

    Opzet implementatieplan

    20 uursamen met CISO en

    opdrachtgever

    4.AnalyserenInformatie-

    systeem

    Gesprek metsysteemeigenaar,

    meestal functioneelbeheerder

    In kaart brengeninformatiesysteem

    alsmede eisen

    MAPGOOD Invulformulier

    Waarderings-tabellen

    MAPGOOD formulieringevuld en eerstebeeld van de eisen

    4 uur systeembeheer/ functioneelbeheer8 uur voorbereiden

    en uitwerken

  • Stappenplan gemeenten

    16

  • Maatregelen

    Prioriteer de BIG-maatregelen:

    Generieke maatregelen:

    Dit zijn maatregelen die gemeentebreed gelden over alle processen en systemen heen, verantwoordelijken PIOFAH.

    Specifieke maatregelen:

    Dit zijn maatregelen die niet gemeentebreed gelden maar toegewezen kunnen worden aan een proces- / systeemeigenaar/directeur / manager ten behoeve van een informatiesysteem.

    Beleg de BIG-maatregelen

    17

  • Prioriteer de BIG-maatregelen

    De BIG bevat 303 maatregelen verdeeld over 133 controls:

    Deze maatregelen kunnen niet allemaal ineens worden gemplementeerd.

    Prioriteer deze maatregelen op basis van:

    risico-inschatting

    belang

    haalbaarheid

    Doseer over een periode (bijvoorbeeld 3 jaar gezien)

    Pas de GAP-analyse spreadsheet aan

    18

  • Beleg de BIG-maatregelen

    PIOFAH

    Kan per gemeente anders georganiseerd zijn

    Eenmalig uitzoeken

    Is er geen verantwoordelijke, dan dit bepalen en vastleggen

    19

    Personeel

    Inkoop (soms informatievoorziening)

    Organisatie

    Financin

    Automatisering/Administratie

    Huisvesting

  • Beheerprocesen: ISMS en PDCA

    Het doel van het Informatie Beveiligings Management Systeem (ISMS) is onder andere het continue beoordelen welke beveiligingsmaatregelen passend zijn en indien nodig bij te stellen.

    Het ISMS is een proces dat de basis legt voor passende beveiligingsmaatregelen door bijvoorbeeld risicoanalyses, BIA en classificatie van informatie.

    Overige beheerprocessen: Risicomanagement

    Configuratiemanagement

    Wijzigingsbeheer

    Patchmanagement

    Hardening

    Incidentmanagement

    Bedrijfscontinuteitsmanagement20

  • Rapportage

    Periodiek over de voortgang:

    Gedurende de hele levenscyclus van maatregelen:

    vanaf het plannen tot en met uitfaseren

    door de verantwoordelijke functionaris

    In managementrapportages

    21

  • Horizontale en verticale verantwoording

    Gemeenten dienen transparant te zijn: Horizontale verantwoording, vanuit het College van B&W

    aan de gemeenteraad, de lokale rekenkamer en het lokale publiek

    over geleverde diensten en bereikte resultaten op het gebied van informatiebeveiliging, vanuit de gemeentelijke verantwoordelijkheid.

    Verticale verantwoording, vanuit het College van B&W:

    aan de gemeenteraad en wetgevers (inspecties/toezichthouders) als onderdeel van de paragraaf bedrijfsvoering van de begroting en het jaarverslag.

    om zekerheid te krijgen over opzet en bestaan van de maatregelen, door de verantwoordelijke een in control statement te laten afgeven voor hun deel van de set.

    22

  • Doen: Hoe gaan grote gemeenten om met de BIG? Wat heeft de BIG voor jullie betekend?

    Welke fasering passen jullie toe?

    Welke clustering?

    Hoe verdeel je de financile middelen?

    Hoe pakken jullie de BIG aan?

    Wat gaat goed?

    medewerking

    Waar lopen jullie tegenaan?

    tegenwerking

    Wat kan de IBD voor jullie betekenen?

    23

  • Vragen?

    24

    Bezoek ook www.IBDgemeenten.nlWord lid van de community