Presentatie BIG en kleine gemeenten Regiobijeenkomst Q4 2014

download Presentatie BIG en kleine gemeenten Regiobijeenkomst Q4 2014

of 62

  • date post

    11-Jan-2017
  • Category

    Documents

  • view

    215
  • download

    1

Embed Size (px)

Transcript of Presentatie BIG en kleine gemeenten Regiobijeenkomst Q4 2014

  • De Baseline Informatiebeveiliging en

    kleine gemeenten

    11 december 2014

    Jule Hintzbergen, IBD

  • Agenda

    De Baseline Informatiebeveiliging Nederlandse

    Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente Praktische oefeningen

    2

  • 3

    Wat is er aan de hand?

    25 oktober 2012

    3

  • Informatieveiligheid

    Het gaat om het vergroten van de weerbaarheid van gemeenten tegen ICT-verstoringen en dreigingen

    Dat start bij vergroten van bewustzijn van en de sturing op informatiebeveiliging, ook bij bestuurders

    Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG):

    Strategische en Tactische variant van de BIG gereed op IBD-community en -website (Wat)

    Producten Operationele variant nu in ontwikkeling (Hoe)

  • Baseline Informatiebeveiliging Nederlandse Gemeenten: Doel

    1. Gemeenten op een vergelijkbare manier efficint te laten werken met informatieveiligheid.

    2. Gemeenten een hulpmiddel te geven om aan alle eisen op het gebied van Informatieveiligheid te kunnen voldoen.

    3. De auditlast bij gemeenten te verminderen.

    4. Gemeenten een aantoonbaar betrouwbare partner te laten zijn.

    5

  • Baseline Informatiebeveiliging Nederlandse Gemeenten: Uitgangspunten

    Gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden:

    Bijvoorbeeld: ISO 27001:2005, ISO 27002:2007, VIR, VIR-BI en BIR.

    Basis beveiligingsniveau gebaseerd op normen en wetgeving:

    Inclusief mapping vanuit normen en wetgeving naar de maatregelen

  • Strategische Variant BIG

    Scope: Bedrijfsvoeringsprocessen en onderliggende

    informatiesystemen en informatie van de gemeente

    Uitgangspunten: B&W integraal verantwoordelijk

    Basis niveau Departementaal Vertrouwelijk

    Schengen-principe gehanteerd

    Gerichte risicoafweging voor afwijkende situaties of wanneer een hoger beveiligingsniveau nodig is

    Randvoorwaarden: Rol management

    Risicomanagement

    Bewustwording

    Integrale aanpak

    7

  • Tactische variant BIG

    Indeling als internationale beveiligingsnorm ISO/IEC 27002:2007

    Basisset aan maatregelen die voor alle gemeenten geldt

    Bevat maatregelen uit aansluitnormen van de basisregistraties:

    GBA / BRP

    PUN

    BAG

    SUWI wet

    WBP en laatste richtsnoeren

    Randvoorwaarden, stappenplan

    8

  • Operationele Variant BIG

    Opgebouwd uit aanvullend beleid, procedures, handreikingen, aanwijzingen en patronen

    Geven vooral antwoord op het hoe

    detaillering, invulling maatregelen

    Welke producten:

    Prioriteit: bepaald middels uitvraag

    Aantal: 50+ producten

    Planning: tweede helft 2013 en medio 2014.

    Kwaliteitsborging: review door gemeenten

    9

  • Voordelen van de BIG

    Gemeenten hebben nu allemaal hetzelfde kader

    Bewustwording neemt toe bij gemeenten en daarmee ook de vragen

    Meer in control zijn:

    gemeenten worden volwassen opdrachtgevers qua beveiliging, en dat dwingt leveranciers tot volwassen opdrachtnemerschap

    Duidelijkheid voor leveranciers:

    geen verschillende beveiligingseisen van verschillende gemeenten

    Onderscheidende factor voor leveranciers

    Security by design

    10

  • De BIG en kleine

    gemeenten

    Versie 1.6

    IB-Plan

    Maatregelen

    Systemen

    Processen

  • Welke ruimte biedt de BIG voor kleine gemeenten?

    De BIG compleet is een hele lijst om mee te beginnen,

    hoe daar mee om te gaan? Het primaire uitgangspunt voor informatiebeveiliging is

    en blijft risicomanagement Pas toe en Leg uit is en blijft basisprincipe Tijdpad voor implementeren van de BIG is begin 2017,

    daarmee is ruimte in volgorde van de systemen en maatregelen

    Implementeer/prioriteer de BIG op basis van een gezonde risico-inschatting

    LET OP: de hele BIG blijft van toepassing echter er wordt gefaseerd mee omgegaan

    12

  • Hoe dan, een stappenplan

    1. Bepaal kritieke processen 2. Bepaal essentile systemen bij deze processen

    Voeg daar 3D-systemen aan toe

    3. Stel de scope vast (systemen) 4. Prioriteer BIG maatregelen (focus aanbrengen)

    a. Generieke maatregelen b. Specifieke maatregelen

    5. Beleg de BIG maatregelen (PIOFAH actoren) 6. Bepaal inzicht in de status per maatregel

    Noteer de uitkomsten in de GAP-analyse spreadsheet

    7. Bepaal de impact 8. Stel een informatiebeveiligingsplan op

    13

  • Stap 1. Bepaal kritieke processen

    Denk na over criteria

    Welke criteria vinden jullie belangrijk bij het bepalen van het kritieke proces?

    Welke processen zijn dan kritiek?

    Wie is de eigenaar van het proces?

    Laat de processen die al goed zijn voor wat ze zijn

    14

  • Criteria waar kun je aan denken?

    Wetgeving

    Raakt het de burger (burgergerichte processen)

    Raakt het andere processen binnen de gemeente (organisatiegerichte processen)

    Beschikbaarheid dienstverlening

    Hoge herstelkosten

    Hoge integriteit vereist

    Verwerking van persoonsgegevens (Privacy)

    Vertrouwelijkheid van informatie

    Afbreukrisico politiek, imagoschade

    15

  • 5 of meer criteria aanvinken?

    Verstoring of uitval van het proces:

    heeft impact op het leven van de burger of de bedrijfsvoering

    van het bedrijf.

    zorgt voor vertraging bij het halen van onze ambities.

    Verstoring of uitval van het proces stokt de dienstverlening van

    de organisatie.

    stokt de bedrijfsvoering van meer afdelingen of ketenpartners.

    de eigen organisatie imagoschade op.

    brengt een aanzienlijke kostenpost met zich mee.

    levert schade op bij andere (samenwerkings-)partijen.

    heeft een wettelijke termijn waarbinnen het proces beschikbaar

    moet zijn.

    Snelle doorlooptijd van het proces is

    belangrijk voor burger of bedrijf 16

    Lijst afkomstig van TF BID voor gemeentesecretarissen

  • Resultaat na stap 1

    Kritieke processen en hun eigenaar

    17

  • DOEN

    Splits in aantal groepen

    Kijk naar de lijst met criteria

    Bepaal per groep maximaal 5 kritieke processen, en bedenk wie er over gaat.

    Plenair terugkoppelen

    Tijd 10 minuten

    18

  • Stap 2. Bepaal essentile systemen

    Welke systemen ondersteunen de kritieke processen?

    Voeg de 3D systemen hier aan toe

    Wat zijn essentile systemen van de eerder gevonden processen?

    Doen: Op basis van de eerste lijst met kritieke processen het

    benoemen van essentile systemen bij die processen

    Dezelfde groepen

    5 minuten

    Terugkoppeling per groep

    19

  • Voorbeeld tabel essentile systemen

    Proces Systeem eigenaar gegevens Hardware

    Burgerzaken diensten

    @@ 4 all (GBA)

    Hoofd burgerzaken

    Oracle database

    Servers bij ICT

    Kassa systeem

    Hoofd burgerzaken

    Oracle database

    Kassa, pin automaat (PCI-DSS?)

    RAAS Hoofd burgerzaken

    Oracle database

    Servers, desktop, biometrie app

    Sociale zaken diensten

    Keukentafel applicatie

    Hoofd sociale dienst

    (cloud) Cloud)

    Woz gerichte diensten

    Belastingen systeem

    Hoofd gemeentebelastingen

    Oracle database

    Servers XXX

    20

  • Resultaat na stap 2

    Kritieke processen en hun eigenaar

    Essentile systemen en hun eigenaar

    21

  • Stap 3. Stel de scope vast (systemen)

    De hoeveelheid systemen en processen die gevonden worden kunnen te veel (of te weinig) zijn voor een periode.

    Bepaal een volgorde op basis van de aantallen criteria en stel een knip voor.

    Laat systemen achterwege die al goed zijn

    Laat dit vaststellen door het management

    22

  • Resultaat na stap 3

    Kritieke processen en hun eigenaar

    Essentile systemen en hun eigenaar

    De scope: met welke systemen ga je aan de slag?

    23

  • Stap 4. Prioriteer BIG-maatregelen

    In de BIG zijn 303 maatregelen verdeeld over 133 controls

    Die maatregelen kun je niet allemaal ineens controleren en / of implementeren

    Prioriteer op basis van risico-inschatting, belang en haalbaarheid per jaar waar je de nadruk op legt.

    Doseren over 3 jaar gezien

    Denk aan generieke en specifieke maatregelen

    Pas de GAP analyse spreadsheet aan

    24

  • Generieke maatregelen Generieke maatregelen zijn maatregelen die

    gemeentebreed gelden over alle processen en systemen heen, verantwoordelijken PIOFAH.

    Voorbeelden Gemeentelijk beveiligingsbeleid Cordineren van beveiliging Verantwoordelijkheden Goedkeuringsproces voor ICT-voorzieningen Geheimhoudingsovereenkomst Inventarisatie van bedrijfsmiddelen Eigendom van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen Arbeidsvoorwaarden Fysieke beveiliging van de omgeving Fysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Bescherming tegen bedreigingen van buitenaf

    25

  • Specifieke maatregelen

    Specifieke maatregelen zijn maatregelen die niet gemeentebreed gelden maar toegewezen kunnen worden aan een proces eigenaar / systeemeigenaar / directeur / manager ten behoeve van een informatiesysteem

    Voorbeelden: Gedocumenteerde bedieningsprocedure