Post on 27-Jun-2015
De Baseline Informatiebeveiliging
Nederlandse gemeenten (BIG) en het sociaal domein
Jule Hintzbergen
13 juni 2014
2
Waar ga ik het over hebben?
• 3 thema’s:
• Baseline Informatiebeveiliging Nederlandse gemeenten(BIG) algemeen
• Instrumenten
• Eerste resultaten van uitgevoerde analyses sociaal domein
3
Wat is er aan de hand?
25 oktober 2012
3
Informatieveiligheid• Het gaat om het vergroten van de weerbaarheid van
gemeenten tegen ICT-verstoringen en –dreigingen
• Dat start bij vergroten van bewustzijn van en de sturing op informatiebeveiliging, ook bij bestuurders
• Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG):
• Strategische en Tactische variant van de BIG gereed (op IBD-community) (Wat)
• Producten Operationele variant nu in ontwikkeling (Hoe)
5
Baseline Informatiebeveiliging Nederlandse Gemeenten - Doel
1. Gemeenten op een vergelijkbare manier efficiënt te laten werken met informatieveiligheid.
2. Gemeenten een hulpmiddel te geven om aan alle eisen op het gebied van Informatieveiligheid te kunnen voldoen.
3. De auditlast bij gemeenten te verminderen.4. Gemeenten een aantoonbaar betrouwbare
partner te laten zijn.
Baseline Informatiebeveiliging Nederlandse Gemeenten: Uitgangspunten
• Gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden– Bijvoorbeeld: ISO 27001:2005, ISO 27002:2007, VIR,
VIR-BI en BIR.• Basis beveiligingsniveau gebaseerd op
normen en wetgeving– Inclusief mapping vanuit normen en wetgeving naar
de maatregelen
7
Strategische Variant BIG
• Scope– Bedrijfsvoeringsprocessen en onderliggende
informatiesystemen en informatie van de gemeente• Uitgangspunten
– B&W integraal verantwoordelijk– Basis niveau Departementaal Vertrouwelijk– Schengen’-principe gehanteerd– Gerichte risicoafweging voor afwijkende situaties of wanneer
een hoger beveiligingsniveau nodig is • Randvoorwaarden
– Rol management– Risicomanagement– Bewustwording– Integrale aanpak
8
Tactische variant BIG
• Indeling als internationale beveiligingsnorm ISO/IEC 27002:2007
• Basisset aan maatregelen die voor alle gemeenten geldt
• Bevat maatregelen uit aansluitnormen van de basisregistraties– GBA / BRP– PUN– BAG– SUWI wet– WBP en laatste richtsnoeren
• Randvoorwaarden, stappenplan
9
Operationele Variant BIG• Opgebouwd uit aanvullend beleid, procedures,
handreikingen, aanwijzingen en patronen• Geven vooral antwoord op het “hoe”
– detaillering, invulling maatregelen• Welke producten:
– Prioriteit: bepaald middels uitvraag– Aantal: 50+ producten– Planning: tweede helft 2013 en medio 2014.– Kwaliteitsborging: review door gemeenten
10
Voordelen van de BIG
• Gemeenten hebben nu allemaal hetzelfde kader• Bewustwording neemt toe bij gemeenten en
daarmee ook de vragen • Meer in control zijn
– gemeenten worden volwassener opdrachtgevers qua beveiliging, en dat dwingt leveranciers tot volwassener opdrachtnemerschap
• Duidelijkheid voor leveranciers– geen verschillende beveiligingseisen van verschillende
gemeenten– Onderscheidende factor voor leveranciers
• Security by design
11
Baseline en de leveranciers
• Er is nu één normenkader, eenduidige eisen en wensen, één taal
• Toename bewustwording gemeenten, dus ook meer vragen over informatieveiligheid in oplossingen
• Beveiliging word vaak als sluitpost gezien
• De Baseline en er goed mee omgaan in producten en diensten is geen last maar een business enabler
12
Instrumenten
• 0-meting• Impactanalyse• Baselinetoets• Diepgaande Risicoanalyse• Privacy Impact Assessment (PIA)
13
Instrumenten: 0-meting en impactanalyse
• De 0-meting is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG
• De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen
• Dus ook richting leveranciers van informatiesystemen
14
Instrumenten: baselinetoets
• Zo eenvoudig mogelijk opgezet• Toetsen door middel van BIV en P vragen• 2-ledig doel:
– Een bestaand systeem te toetsen of de baseline voldoende beschermd
– Toetsen van een nieuw proces/informatiesysteem of de baseline voldoende is of dat er meer nodig is.
• Resultaat:– BIG is voldoende– BIG is niet voldoende, voer diepgaande risicoanalyse
uit en voer eventueel een PIA uit– Geeft inzicht in BIV+P ten opzichte van de BIG
15
Instrumenten: diepgaande risicoanalyse
• Vervolg op de baselinetoets• Kan leiden tot aanvullende controls en
maatregelen bovenop de BIG controls en maatregelen
• Minimaal tijd benodigd van proceseigenaar, systeembeheerders etcetera
• In korte tijd te doen• Mogelijk focus op BIV+P uit baselinetoets
16
Instrumenten: PIA
• Richtsnoeren• Indien de P-vragen uit de baselinetoets
aanleiding geven tot een PIA• Vragenlijst gericht op privacy vraagstukken• Eenvoudige rapportage• Leidt tot eventueel aanvullende beveiligings /
privacy maatregelen• Toekomst verplicht (EU-wetgeving)
17
Instrumenten waar leveranciers rekening mee moeten gaan houden
• Beveiligingseisen in contracten• Contractmanagement• Bewerkersovereenkomst met maatregelen in
de bijlage (SaaS voorbeeld)• SLA• Geheimhoudingsverklaring, VoG• Responsible disclosure• Incidentmanagement en overige
beheerprocessen• Naleving en controle
18
Sta
pp
en
pla
n g
em
een
ten
19
Top Risico’s Oplossingen
Onzorgvuldig handelenGebruikersBeheerders
Leveranciers
BewustwordingLogging en monitoring en auditingSysteem documentatieOpleidingen
Derde Partijen en Cloud Contracten, Bewerkersovereenkomsten, SLA’s en TPM
Mobiele devices Mobile Device ManagementZero footprint
Toegang tot data door onbevoegden, lekken van informatie (boetes)
- Management committment- Bewustwording-Logisch toegangsbeheer, afscherming op kolom, regel of tabelniveau, RBAC etcetera Encryptiemaatregelen-Indienst- en uitdienst- en functiewijziging procedures- Cloud aandachtspunten-Logging en monitoring
Besmettingen PatchmanagementHardeningAntimalware maatregelenBack-up
Top risico’s sociaal domein
20
Vragen?
info@IBDgemeenten.nlBezoek ook www.ibdgemeenten.nl