Presentatie BIG en kleine gemeenten Regiobijeenkomst Q4 2014

De Baseline Informatiebeveiliging en

kleine gemeenten

11 december 2014

Jule Hintzbergen, IBD

Agenda

De Baseline Informatiebeveiliging Nederlandse

Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente Praktische oefeningen

2

3

Wat is er aan de hand?

25 oktober 2012

3

Informatieveiligheid

• Het gaat om het vergroten van de weerbaarheid van gemeenten tegen ICT-verstoringen en –dreigingen

• Dat start bij vergroten van bewustzijn van en de sturing op informatiebeveiliging, ook bij bestuurders

• Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG):

• Strategische en Tactische variant van de BIG gereed op IBD-community en -website (Wat)

• Producten Operationele variant nu in ontwikkeling (Hoe)

Baseline Informatiebeveiliging Nederlandse Gemeenten: Doel

1. Gemeenten op een vergelijkbare manier efficiënt te laten werken met informatieveiligheid.

2. Gemeenten een hulpmiddel te geven om aan alle eisen op het gebied van Informatieveiligheid te kunnen voldoen.

3. De auditlast bij gemeenten te verminderen.

4. Gemeenten een aantoonbaar betrouwbare partner te laten zijn.

5

Baseline Informatiebeveiliging Nederlandse Gemeenten: Uitgangspunten

• Gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden:

– Bijvoorbeeld: ISO 27001:2005, ISO 27002:2007, VIR, VIR-BI en BIR.

• Basis beveiligingsniveau gebaseerd op normen en wetgeving:

– Inclusief mapping vanuit normen en wetgeving naar de maatregelen

Strategische Variant BIG

• Scope: – Bedrijfsvoeringsprocessen en onderliggende

informatiesystemen en informatie van de gemeente

• Uitgangspunten: – B&W integraal verantwoordelijk

– Basis niveau Departementaal Vertrouwelijk

– Schengen’-principe gehanteerd

– Gerichte risicoafweging voor afwijkende situaties of wanneer een hoger beveiligingsniveau nodig is

• Randvoorwaarden: – Rol management

– Risicomanagement

– Bewustwording

– Integrale aanpak

7

Tactische variant BIG

• Indeling als internationale beveiligingsnorm ISO/IEC 27002:2007

• Basisset aan maatregelen die voor alle gemeenten geldt

• Bevat maatregelen uit aansluitnormen van de basisregistraties:

– GBA / BRP

– PUN

– BAG

– SUWI wet

– WBP en laatste richtsnoeren

• Randvoorwaarden, stappenplan

8

Operationele Variant BIG

• Opgebouwd uit aanvullend beleid, procedures, handreikingen, aanwijzingen en patronen

• Geven vooral antwoord op het “hoe”

– detaillering, invulling maatregelen

• Welke producten:

– Prioriteit: bepaald middels uitvraag

– Aantal: 50+ producten

– Planning: tweede helft 2013 en medio 2014.

– Kwaliteitsborging: review door gemeenten

9

Voordelen van de BIG

• Gemeenten hebben nu allemaal hetzelfde kader

• Bewustwording neemt toe bij gemeenten en daarmee ook de vragen

• Meer in control zijn:

– gemeenten worden volwassen opdrachtgevers qua beveiliging, en dat dwingt leveranciers tot volwassen opdrachtnemerschap

• Duidelijkheid voor leveranciers:

– geen verschillende beveiligingseisen van verschillende gemeenten

– Onderscheidende factor voor leveranciers

• Security by design

10

De BIG en kleine

gemeenten

Versie 1.6

IB-Plan

Maatregelen

Systemen

Processen

Welke ruimte biedt de BIG voor kleine gemeenten?

• De BIG compleet is een hele lijst om mee te beginnen,

hoe daar mee om te gaan? • Het primaire uitgangspunt voor informatiebeveiliging is

en blijft risicomanagement • ‘Pas toe’ en ‘Leg uit’ is en blijft basisprincipe • Tijdpad voor implementeren van de BIG is begin 2017,

daarmee is ruimte in volgorde van de systemen en maatregelen

• Implementeer/prioriteer de BIG op basis van een gezonde risico-inschatting

• LET OP: de hele BIG blijft van toepassing echter er wordt gefaseerd mee omgegaan

12

Hoe dan, een stappenplan

1. Bepaal kritieke processen 2. Bepaal essentiële systemen bij deze processen

• Voeg daar 3D-systemen aan toe

3. Stel de scope vast (systemen) 4. Prioriteer BIG maatregelen (focus aanbrengen)

a. Generieke maatregelen b. Specifieke maatregelen

5. Beleg de BIG maatregelen (PIOFAH actoren) 6. Bepaal inzicht in de status per maatregel

• Noteer de uitkomsten in de GAP-analyse spreadsheet

7. Bepaal de impact 8. Stel een informatiebeveiligingsplan op

13

Stap 1. Bepaal kritieke processen

• Denk na over criteria

• Welke criteria vinden jullie belangrijk bij het bepalen van het kritieke proces?

• Welke processen zijn dan kritiek?

• Wie is de eigenaar van het proces?

• Laat de processen die al ‘goed’ zijn voor wat ze zijn

14

Criteria waar kun je aan denken?

• Wetgeving

• Raakt het de burger (burgergerichte processen)

• Raakt het andere processen binnen de gemeente (organisatiegerichte processen)

• Beschikbaarheid dienstverlening

• Hoge herstelkosten

• Hoge integriteit vereist

• Verwerking van persoonsgegevens (Privacy)

• Vertrouwelijkheid van informatie

• Afbreukrisico politiek, imagoschade

15

5 of meer criteria aanvinken?

Verstoring of uitval van het proces:

heeft impact op het leven van de burger of de bedrijfsvoering

van het bedrijf.

zorgt voor vertraging bij het halen van onze ambities.

Verstoring of uitval van het proces stokt de dienstverlening van

de organisatie.

stokt de bedrijfsvoering van meer afdelingen of ketenpartners.

de eigen organisatie imagoschade op.

brengt een aanzienlijke kostenpost met zich mee.

levert schade op bij andere (samenwerkings-)partijen.

heeft een wettelijke termijn waarbinnen het proces beschikbaar

moet zijn.

Snelle doorlooptijd van het proces is

belangrijk voor burger of bedrijf 16

Lijst afkomstig van TF BID voor gemeentesecretarissen

Resultaat na stap 1

Kritieke processen en hun eigenaar

17

DOEN

• Splits in aantal groepen

• Kijk naar de lijst met criteria

• Bepaal per groep maximaal 5 kritieke processen, en bedenk wie er over gaat.

• Plenair terugkoppelen

• Tijd 10 minuten

18

Stap 2. Bepaal essentiële systemen

• Welke systemen ondersteunen de kritieke processen?

• Voeg de 3D systemen hier aan toe

• Wat zijn essentiële systemen van de eerder gevonden processen?

• Doen: • Op basis van de eerste lijst met kritieke processen het

benoemen van essentiële systemen bij die processen

• Dezelfde groepen

• 5 minuten

• Terugkoppeling per groep

19

Voorbeeld tabel essentiële systemen

Proces Systeem eigenaar gegevens Hardware

Burgerzaken diensten

@@ 4 all (GBA)

Hoofd burgerzaken

Oracle database

Servers bij ICT

Kassa systeem

Hoofd burgerzaken

Oracle database

Kassa, pin automaat (PCI-DSS?)

RAAS Hoofd burgerzaken

Oracle database

Servers, desktop, biometrie app

Sociale zaken diensten

Keukentafel applicatie

Hoofd sociale dienst

(cloud) Cloud)

Woz gerichte diensten

Belastingen systeem

Hoofd gemeentebelastingen

Oracle database

Servers XXX

20

Resultaat na stap 2


Essentiële systemen en hun eigenaar

21

Stap 3. Stel de scope vast (systemen)

• De hoeveelheid systemen en processen die gevonden worden kunnen te veel (of te weinig) zijn voor een periode.

• Bepaal een volgorde op basis van de aantallen criteria en stel een “knip” voor.

• Laat systemen achterwege die al ‘goed’ zijn

• Laat dit vaststellen door het management

22

Resultaat na stap 3



De scope: met welke systemen ga je aan de slag?

23

Stap 4. Prioriteer BIG-maatregelen

• In de BIG zijn 303 maatregelen verdeeld over 133 controls

• Die maatregelen kun je niet allemaal ineens controleren en / of implementeren

• Prioriteer op basis van risico-inschatting, belang en haalbaarheid per jaar waar je de nadruk op legt.

• Doseren over 3 jaar gezien

• Denk aan generieke en specifieke maatregelen

• Pas de GAP analyse spreadsheet aan

24

Generieke maatregelen • Generieke maatregelen zijn maatregelen die

gemeentebreed gelden over alle processen en systemen heen, verantwoordelijken PIOFAH.

• Voorbeelden – Gemeentelijk beveiligingsbeleid – Coördineren van beveiliging – Verantwoordelijkheden – Goedkeuringsproces voor ICT-voorzieningen – Geheimhoudingsovereenkomst – Inventarisatie van bedrijfsmiddelen – Eigendom van bedrijfsmiddelen – Aanvaardbaar gebruik van bedrijfsmiddelen – Arbeidsvoorwaarden – Fysieke beveiliging van de omgeving – Fysieke toegangsbeveiliging – Beveiliging van kantoren, ruimten en faciliteiten – Bescherming tegen bedreigingen van buitenaf

25

Specifieke maatregelen

• Specifieke maatregelen zijn maatregelen die niet gemeentebreed gelden maar toegewezen kunnen worden aan een proces eigenaar / systeemeigenaar / directeur / manager ten behoeve van een informatiesysteem

• Voorbeelden: – Gedocumenteerde bedieningsprocedures

– Functioneel beheer

– Wijzigingsbeheer (niet het proces maar voor het systeem)

– Functiescheiding

– Scheiding van faciliteiten voor ontwikkeling, testen en productie

– Reservekopieën maken (back-ups)

– Uitwisselingsovereenkomsten, bewerkersovereenkomsten

– Aanmaken en controleren audit-logbestanden

26

Welke keuze, hoeveel, wat kun je aan het komende jaar?

• Bepaal op basis van de GAP-analyse lijst welke nadruk op

beveiligingseisen je dit jaar de nadruk wilt leggen

• Risico-denken

• Planning over 3 jaar

• Welke zou je willen kiezen?

• Leg deze keuze voor aan het management!

27

DOEN / Pauze

• Denk na over de belangrijkste maatregelen waar je dit jaar op wilt focussen

• Welke groepen van maatregelen vind je nu belangrijk en waarom?

• Discussie in dezelfde groepen en plenaire terugkoppeling

• Tijd 10 minuten

28

Resultaat na stap 4



Generieke maatregelen voor dit jaar

Specifieke maatregelen per proces-/systeemeigenaar

Prioritering per jaar

29

Stap 5. Beleg de BIG maatregelen

• PIOFAH

• Kan per gemeente anders georganiseerd zijn

• Eenmalig uitzoeken

• Is er geen verantwoordelijke dan dit bepalen en vastleggen

30

•Personeel

•Inkoop (soms informatievoorziening)

•Organisatie

•Financiën

•Automatisering/Administratie

•Huisvesting

Resultaat na stap 5



Generieke maatregelen voor deze periode



Eigenaren bij generieke maatregelen

31

Stap 6. Bepaal inzicht in de status per maatregel

• Gebruik de BIG GAP-analyse als leidraad

• Interview (of groepssessie) de vastgestelde functionarissen (eigenaren) van:

– de generieke beveiligingsmaatregelen

– de resterende specifieke maatregelen

• Noteer alles, bij twijfel keuze maken

• Ook hier ‘pas toe’ en ‘leg uit’

32

Aanpassen GAP-analyse

33

Resultaat na stap 6







Inzicht in de (globale) status per maatregel

34

Stap 7. Bepaal de impact

• Bepalen welke ontbrekende maatregelen het komende jaar geïmplementeerd moet worden:

– Koppel hier een actiehouder aan

– Stel vast wanneer het klaar moet zijn

– Koppel hier budget aan (indien mogelijk)

• Gebruik de impactanalyse spreadsheet

• Leg ook vast:

– wat er nog niet onderzocht is

– wat wordt doorgeschoven naar komende jaren

• Ook hier ‘pas toe’ en ‘leg uit’

35

Rol management, betrekken, communiceer

• Er moet nu een keuze worden gemaakt, op basis van een risico inschatting, hoge kosten of korte termijn haalbaarheid door het management op basis van de lijst met resultaten. Leg iedere keuze expliciet vast voor later.

• De overgebleven maatregelen moeten in een informatiebeveiligingsplan komen met acties, door wie ze uit gevoerd worden, wanneer en hoe gerapporteerd wordt.

• Bewaking door CISO / IBF

37

Resultaat na stap 7








Inzicht in wie wat wanneer moet implementeren (impact analyse)

38

Stap 8. Stel een informatiebeveiligingsplan op

• Algemeen

• Nadruk op beveiligingseisen dit jaar

• Kritieke processen

• Essentiële systemen

• Welke algemene beveiligingsmaatregelen worden door wie geïmplementeerd

• Welke systeem specifieke beveiligingseisen worden door wie geïmplementeerd

• Overleg en overlegstructuur

• Rapportage en verantwoording

39

Resultaat na stap 8









Informatiebeveiligingsplan is opgesteld en kan worden uitgevoerd

40

Hergebruik van maatregelen? • Wat goed is, nu niet stukmaken

• Zijn de audits / zelfassessments doorstaan dan is het goed.

• Kopieer op termijn datgene wat er voor de GBA, PUN en SUWI al is binnen de gemeente, dus maak geschikte procedures en beleid “algemeen”

• Haal de dubbelingen bij de processen weg zodat specifieke wettelijke eisen wel blijven bestaan en verantwoord worden

41

Vragen?

42

[email protected] Bezoek ook www.ibdgemeenten.nl

mailto:[email protected]

mailto:[email protected]

Aanvullingen als er tijd over is

43

Grote gemeenten, concern directie beleid en kaders, directies voeren uit Kritieke processen en hun eigenaar








Informatiebeveiligingsplan is opgesteld en kan worden uitgevoerd

44

Voorbeeld prioriteiten

Versie 1.5

Voorbeeld prioriteiten om aan te pakken

• BIG Toppers:

– Beleid

– Incident management

– Hardening

– Patchmanagement

– Change management

– Continuïteit

– Back-up

– Logging en logging controle

– account management en

– Usermanagement centraal

• Processen / systemen:

- Decentralisaties

- Financiën

- 3D systemen

- Financieel systeem

- Dienstverlening zaaksysteem

BIG instrumenten, een

nadere uitleg

Versie 1.5

Instrumenten

• 0-meting

• Impactanalyse

• Baselinetoets

• Diepgaande Risicoanalyse

• Privacy Impact Assessment (PIA)

48

Instrumenten: GAP analyse en impactanalyse

• De GAP analyse is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG

• De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen

• Dus ook richting leveranciers van informatiesystemen

49

Instrumenten: baselinetoets

• Zo eenvoudig mogelijk opgezet

• Toetsen door middel van BIV en P vragen

• Tweeledig doel:

– Een bestaand systeem te toetsen of de baseline voldoende beschermd

– Toetsen van een nieuw proces/informatiesysteem of de baseline voldoende is of dat er meer nodig is.

• Resultaat:

– BIG is voldoende

– BIG is niet voldoende, voer diepgaande risicoanalyse uit en voer eventueel een PIA uit

– Geeft inzicht in BIV+P ten opzichte van de BIG

50

Instrumenten: diepgaande risicoanalyse

• Vervolg op de baselinetoets

• Kan leiden tot aanvullende controls en maatregelen bovenop de BIG controls en maatregelen

• Minimaal tijd benodigd van proceseigenaar, systeembeheerders etcetera

• In korte tijd te doen

• Mogelijk focus op BIV+P uit baselinetoets

51

Instrumenten: PIA

• Richtsnoeren

• Indien de P-vragen uit de baselinetoets aanleiding geven tot een PIA

• Vragenlijst gericht op privacy vraagstukken

• Eenvoudige rapportage

• Leidt tot eventueel aanvullende beveiligings-/privacy- maatregelen

• Toekomst verplicht (EU-wetgeving)

52

Sta

pp

en

pla

n g

em

een

ten

53

Top Risico’s Oplossingen

Onzorgvuldig handelen Gebruikers Beheerders Leveranciers

Bewustwording Logging en monitoring en auditing Systeem documentatie Opleidingen

Derde Partijen en Cloud Contracten, Bewerkersovereenkomsten, SLA’s en TPM

Mobiele devices Mobile Device Management Zero footprint

Toegang tot data door onbevoegden, lekken van informatie (boetes)

- Management committment - Bewustwording -Logisch toegangsbeheer, afscherming op kolom, regel of tabelniveau, RBAC etcetera Encryptiemaatregelen -Indienst- en uitdienst- en functiewijziging procedures - Cloud aandachtspunten -Logging en monitoring

Besmettingen Patchmanagement Hardening Antimalware maatregelen Back-up 54

Top risico’s sociaal domein

Enkele praatplaten

Versie 1.5

Sam

en

han

g p

ro

du

cte

n

56

Informatiebeveiliging en Privacy in IV Projecten

Verkenning

Definitie

Realisatiefase

Maatregelen Baseline

Maatregelen Baseline +

Baselintetoets Informatiebeveiliging

en Privacy

Diepgaande Risico Analyse en/of Privacy Impact

Analyse

Ontwerpen Functioneel

Ontwerp Technisch Ontwerp

Beheer en Governance

Ontwerp

Contracten Leveranciers Convenant gebruikers

SLA DAP

Inkoop Programma van

Eisen

Privacy Functionaris

gegevensbescherming

Transparantiedocument

Bewerkersovereenkomst

Werkinstructies Gebruikers

Functioneel beheer Technisch/applicati

e beheer

Testen Testplan Pentest

Functioneel Technisch

B ≤ 8

I ≤ 14

V ≤ 14

Projectaudits

B > 8

I > 14

V > 14

P > 3

Overview Baseline Toets

en Risicoanalyse

Informatiebeveiliging

Versie 1.5

Overzicht Baselinetoets

STAP

SETTING

WERKWIJZE

TOOLS

RESULTAAT

1. Intakegesprek

voeren

2.

Analyseren proces

Gesprek met opdrachtgever,

meestal projectleider

In kaart brengen scope, diepgang,

planning, brondocumenten, respondenten etc.

Plan van Aanpak / planning

voorbereiding analyse

Baselinetoets

Afstemming met proceseigenaar

In kaart brengen procesomgeving,

Samenhang, inhoud en eisen

Generiek Procesmodel

Waarderings-

tabellen

Procesmodel en eerste beeld van de eisen

3. Vaststellen

betrouwbaar- heidseisen BIV-P

Terugkoppeling aan opdrachtgever

Consolideren van de eisen, bepalen vervolgstappen

Geconsolideerd beeld van de eisen

Inzicht in de

Vervolgstappen

Schema vervolgstappen

UREN INDICATIEF

1 uur opdrachtgever 10 uur voorbereiding en

uitwerken

4 uur opdrachtgever 8 uur uitwerken (per

proces) 1 uur opdrachtgever

Baselinetoets, tijd benodigd van de opdrachtgever

• Uitgangspunt: scope is één systeem

• Baselinetoets lijkt op A-analyse / BIA aanpak

– Sessie/interview met proceseigenaar: 3 a 4 uur.

– Terugkoppeling 1 uur

• Totaal dus zo'n 5 uur tijd aan opdrachtgever kant

• Overige tijd is voorbereiding en uitwerking door analist

60

Overview diepgaande risicoanalyse

STAP

SETTING

WERKWIJZE

TOOLS

RESULTAAT

UREN INDICATIEF

5. Analyseren

bedreigingen

Gesprek met systeemeigenaar,

meestal functioneel beheerder

Bepalen relevante

bedreigingen i.r.t. gevolgen

Overzicht van de relevante

bedreigingen

Invulmatrix gevolgen &

bedreigingen

4 uur Gesprek(ken) met systeemeigenaar

20 uur voorbereiden en uitwerken

6. Vaststellen

maatregeldoel-stellingen

Uitwerking door Analist en

terugkoppeling aan opdrachtgever

Formuleren maatregeldoelstellingen o.b.v.

de eisen en relevante bedreigingen

Samenhangend pakket maatregel-

doelstellingen

BIG Maatregel- Doelstellingen en eigen maatregel-

doelstellingen

20 uur

7. Opstellen

Plan

Terugkoppeling aan opdrachtgever

Opstellen implementatieplan

per verantwoordelijke

Implementatieplan informatiebeveiliging

Opzet implementatieplan

20 uur samen met CISO en

opdrachtgever

4. Analyseren Informatie-

systeem

Gesprek met systeemeigenaar,

meestal functioneel beheerder

In kaart brengen informatiesysteem

alsmede eisen

MAPGOOD Invulformulier

Waarderings-

tabellen

MAPGOOD formulier ingevuld en eerste beeld van de eisen

4 uur systeembeheer/ functioneelbeheer 8 uur voorbereiden

en uitwerken

Door eigenaar,

niet in scope

Diepgaande risicoanalyse, tijd benodigd van de opdrachtgever

• Uitgangspunt: één systeem

– Map goed als dat nog niet is gedaan: tot 4 uur met systeemeigenaar

– dreigingenanalyse 2 tot max 3 dagdelen met systeemeigenaren

– maatregelen (op Maatregel/Doelstelling niveau) vaststellen, alleen de afstemming met proces/ systeemeigenaar 4 uur

• Overige tijd is voorbereiding en uitwerking door analist

• Leidt tot maatregeldoelstellingen die in stap 8 worden aangescherpt, dat plan doet de eigenaar zelf

62

Presentatie BIG en kleine gemeenten Regiobijeenkomst Q4 2014

Documents

Transcript of Presentatie BIG en kleine gemeenten Regiobijeenkomst Q4 2014