Specifiek Suwi-Normenkader. Beheerders

Transcriptie

1 BIJLAGE B Specifiek Suwi-Normenkader Beheerders 2016 Bronhouders Beheerders Afnemers Versie 0.8

2 Voorwoord De Gezamenlijke elektronische Voorziening Suwi wordt binnen de keten van Werk en Inkomen gebruikt bij het uitwisselen van gegevens. Binnen de Suwiketen participeren drie type stakeholders: Bronhouders, Beheerders van de centrale en decentrale omgeving en Afnemers. De Bronhouders stellen (authentieke) gegevens beschikbaar aan Afnemers. De Afnemers hebben deze gegevens nodig voor de uitvoering van hun wettelijke taken. De Beheerder van de centrale omgeving zorgt voor de transformatie, autorisatie, transport en routering van deze gegevens/berichten op basis van technische en communicatie faciliteiten en IT componenten conform wetgeving en geldige ketenafspraken 1. De Beheerder van de decentrale omgeving verzorgt de ontsluiting van het centrale deel naar de gemeenten. Daarbij verzorgt zij de routering van de berichten-op-maat en verzamelt de gegevens van gemeenten en fungeert als Bron voor de uitwisseling van gegevens met de ketenpartijen. Deze centrale en decentrale faciliteiten en IT componenten representeren de GeVS en zijn beschreven in de Suwi-Ketenarchitectuur (KArWeI). De GeVS en de informatie die via de GeVS wordt uitgewisseld dienen te voldoen aan specifieke beveiligingseisen en aan de WBP. De beveiliging van de GeVS kan in volle omvang alleen worden gerealiseerd wanneer de ketenpartijen gezamenlijk, ieder vanuit hun eigen verantwoordelijkheid, de juiste beveiligingsmaatregelen treffen. Voor een adequate werking en bescherming van de GeVS zijn ketenafspraken noodzakelijk op het gebied van uitgangspunten en randvoorwaarden, wijze van implementatie, beheersen en het geven van wederzijds inzicht omtrent deze afspraken. De ketenafspraken staan dan ook in het teken van de beveiligingsaspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid. Het doel van deze afspraken is een adequaat beveiligingsniveau van de keten te garanderen. Om vast te stellen of de GeVS voldoet aan het afgesproken beveiligingsniveau is door werkgroep 6 een integraal normenkader ontwikkeld dat gerelateerd is aan BIR, BIG en het nu nog vigerende Suwi-Normenkader. Op basis van specifieke Suwinet-diensten zijn beoordelingsobjecten geselecteerd en vanuit de optiek van de GeVS nader gespecificeerd. Hiernaast zijn enkele aanvullende beoordelingsobjecten in dit Suwi-Normenkader opgenomen. Zo zijn in dit normenkader verantwoordings- of transparantie aspecten voor de Beheerders opgenomen om inzicht te geven over de sturing, implementatie en beheersingsaspecten van de gebruikte Suwinet-diensten aan de ketenpartijen. Het is van belang om jaarlijks het normenkader op basis van vigerende wettelijke eisen en bedrijfseisen te evalueren en te actualiseren. De verantwoordelijkheid hiervoor ligt bij de gezamenlijke Suwi-partijen, BKWI faciliteert de uitvoering van deze verantwoordelijkheid conform artikel 62 lid 2 van de wet SUWI. Dit document beperkt zich tot het Beheerdersdomein. 1 Standaarden: KArWeI, SGR, Transactiestandaard, Berichtstandaard, GeVS Keten SLA en Verantwoordingsrichtlijn GeVS.

3 INHOUDSOPGAVE 1. INLEIDING ORGANISATIE GEVS GEVS-SERVICES ORGANISATIE VAN HET GEVS-NORMENKADER BESCHRIJVING VAN DE CONTROLS EN ONDERLIGGENDE MAATREGELEN 8 2. BELEIDSDOMEIN 12 B.01 SUWI-AANSLUITBELEID 13 B.02 GEVS TOEGANGSBELEID 14 B.03 NALEVING EN COMPLIANCY AANSLUITBELEID 15 B.04 EXTERNE PARTIJEN 16 B.05 TAKEN, VERANTWOORDELIJKHEDEN EN FUNCTIESCHEIDING 17 B.06 GEVS BEVEILIGINGSFUNCTIE 18 B.07 TRANSPARANTIE 19 B.08 SUWI-DEEL LANDSCHAP (ARCHITECTUUR) UITVOERINGSDOMEIN 22 U.01 KETENSTANDAARDEN 23 U.02 TPM EXTERNE PARTIJEN 24 U.03 AUTORISATIE BEHEERPROCES TBV SUWIPARTIJEN 25 U.04 TOEGANGSMECHANISME: GEBRUIKERSIDENTIFICATIE- EN AUTHENTICATIE (IA) 26 U.05 TOEGANGSMECHANISME: AUTORISATIE 27 U.06 SUWI-BERICHTENUITWISSELING 27 U.07 SUWINET-MAIL 28 U.09 SUWINET-INKIJK (INZIEN SUWI GEGEVENS) 31 U.10 SUWI-MELDINGEN 33 U.11 SCHEIDING VAN FACILITEITEN 34 U.12 CLASSIFICATIE VAN INFORMATIE 34 U.13 SERVER 36 U.14 NETWERKVERBINDINGEN 37 U.15 TELEWERKEN CONTROL 39 C.01 EVALUATIE VAN AANSLUITBELEID 40 C.02 RISICOMANAGEMENT 40 C.03 INCIDENTMANAGEMENT 41 C.04 WIJZIGINGENBEHEER 42 C.05 BEOORDELING VAN TOEGANGSRECHTEN 43 C.06 LOGGING 44 C.07 MONITORING EN RAPPORTAGE 45 C.08 EVALUATIE VAN IAA RAPPORTAGES (ORGANISATORISCH EN TECHNISCH) 47 C.09 TRANSPARANTIE RAPPORTAGE 47 C.10 TOTAAL RAPPORTAGE 49 BIJLAGE 1: OVERZICHT VAN OBJECTEN BINNEN BELEIDS-, UITVOERINGS-, EN CONTROL DOMEIN 51 BIJLAGE 2: WELKE (DE-)CENTRALE COMPONENTEN KENT DE GEVS, WELKE CENTRALE COMPONENTEN KENT DE GEVS 52 BIJLAGE 3: AFHANKELIJKHEDEN TUSSEN DE BETROKKEN PARTIJEN 53 Onderwerp: : Referentiekader voor de GeVS, verantwoordelijkheidsdomein Beheerders 2

4 Datum: : Uitgebracht aan: : Programma manager werkgroep 6 Uitwerking door: Naam Jan Breeman Tonkie Zwaan Edwin Plieger Hilko Batterink Rob Roukens Wiekram Tewarie Organisatie BKWI BKWI BKWI BKWI en IB UWV UWV Te reviewen door: Naam Koen Wortman Kees Hintzbergen Peter de Witte Joseline van Tessel Jasmijne Schouten Egon Velders Shinta Hadiutomo Jan Peter Bergfeld Toine Beunes Organisatie VNG IBD SVB UWV BKWI BKWI BKWI IB IB 3

5 Historie en versie Versie Datum verzending Doel verzending Naam Status Versie april 2016 Ontwikkelen Jan Breeman, Wiekram Tewarie Versie april 2016 Ontwikkelen Jan Breeman, Wiekram Tewarie Versie april 2016 Ontwikkelen Jan Breeman, Wiekram Tewarie Ontwikkelen Beheerdersnormenkader o.b.v. Normenkader Afnemers Ontwikkelen Beheerdersnormenkader o.b.v. Normenkader Afnemers Ontwikkelen Beheerdersnormenkader o.b.v. Normenkader Afnemers Versie april 2016 Review BKWI en IB Concept Werkdocument Versie mei 2016 Bespreking review resultaten Versie mei 2016 Bespreken review resultaten en Aanpak Versie mei 2016 Bespreken review resultaten en Aanpak Versie mei 2016 Bespreken review resultaten en Aanpak E. Plieger, T. Zwaan, J. Klapwijk, Hilko Batterink, W. Tewarie E. Plieger, T. Zwaan, R. Roukens, W. Tewarie E. Plieger, T. Zwaan, R. Roukens, J. Klapwijk en Jasmijne Schouten en Jp Bergfeld. W.Tewarie J, Breeman en W. Tewarie. Concept Werkdocument Concept Werkdocument Concept Werkdocument Concept Werkdocument Versie Juni Aanpassingen/Correcties E. Plieger, T. Zwaan, R. Roukens, W. Tewarie Versie Juni Aanpassingen/Correcties E. Plieger, T. Zwaan, R. Roukens, W. Tewarie Versie Juni Aanpassingen/Correcties E. Plieger, T. Zwaan, R. Roukens, W. Tewarie Versie Juni Aanpassingen/Correcties E. Plieger, T. Zwaan, R. Roukens, W. Tewarie Concept Werkdocument Concept Werkdocument Concept Werkdocument Concept Werkdocument Versie Juni Aanpassingen/Correcties T. Zwaan, W. Tewarie Concept Werkdocument Versie Juni Aanpassingen/Correcties E. Plieger, T. Zwaan, R. Roukens, W. Tewarie Concept Werkdocument Versie ,7 Juli Verwerken commentaar Beleidsdomein en Control domein W. Tewarie Concept Werkdocument Versie Juli Bespreken verwerkingsresultaten en nog openstaande reviewpunten. Versie sept Bespreken verwerkingsresultaten en nog openstaande reviewpunten. E. Plieger, T. Zwaan, R. Roukens, W. Tewarie, Cc. J. Klapwijk T. Zwaan, H. Batterink W. Tewarie,, Concept Werkdocument Concept Werkdocument Versie 07 3 okt. Bespreking commentaar T. Zwaan, T. Beunes, J- Bergfeld, W. Tewarie, Concept Werkdocument Versie okt. Verwerking commentaar T. Zwaan, W. Tewarie, Concept Werkdocument Versie okt. Ter besluitvorming Teamleden W6 Concept Versie mei 2018 Ter vaststelling Ketenoverleg Suwinet Definitief 4

6 1. Inleiding 1.1. Organisatie GeVS De Gezamenlijke elektronische Voorzieningen Suwi (GeVS) zijn voorzieningen waarin drie type partijen participeren: Bronhouders, Beheerders van de centrale (BKWI) en decentrale (Inlichtingenbureau (IB)) omgeving en Afnemers. Bronhouders Bronhouders zijn de partijen die - ten behoeve van Afnemers - authentieke gegevens beschikbaar stellen aan de Beheerders via de centrale omgeving. De bronhouders vormen de zogeheten leveranciers van gegevens, zoals UWV, SVB en de Gemeenten, BRP, RDW, Kadaster, HR (KvK). Beheerders - Beheerder van de centrale omgeving (BKWI) is de partij die - conform de ketenafspraken en standaarden zorg draagt voor het beschikbaar stellen van de centrale omgeving Suwi en voor de transformatie, autorisatie, transport en verdere routering van gegevens/berichten. Hiertoe stelt de Beheerder van de centrale omgeving instrumenten, zoals applicaties beschikbaar. De Beheerder van de centrale omgeving is BKWI. IB is de beheerder van de decentrale gemeentelijke omgeving 2 die conform ketenafspraken en standaarden zorg draagt voor het beschikbaar stellen van de decentrale omgeving voor gemeenten en voor de transformatie, autorisatie, transport en verdere routering van gegevens/berichten van en naar gemeenten. Hiertoe stelt de Beheerder van de decentrale omgeving instrumenten (voorzieningen en applicaties) beschikbaar. De Beheerder van de decentrale omgeving is Inlichtingenbureau. Afnemers - Afnemers zijn de partijen die via de GeVS - voor hun bedrijfsvoering en uitvoering van hun wettelijke taken - gegevens betrekken uit gegevensbronnen van bronhouder. Figuur 1 geeft de relaties tussen de partijen weer. Iedere partij heeft vanuit haar eigen perspectief de verantwoordelijkheid om adequate beveiligingsmaatregelen te treffen voor de beveiliging van het koppelvlak met de GeVS dat onderdeel uitmaakt van de infrastructuur. Zo is de Beheerder verantwoordelijk voor die infrastructurele componenten binnen het koppelvlak die de uitwisseling van Suwi-gegevens mogelijk maken (koppelvlak Bron-Beheerder en Beheerder-Afnemer). Zie figuur 1). 2 UWV is voor KBS en Sonar de decentrale beheerder. 5

7 Partijen Afnemers Beheerders Bronhouders organiseerd in drie hoofdstukken: beleids-, uitvoering- en controldomein (ookwel beheer- Koppelvlak Koppelvlak Koppelvlak Scope referentiekader Figuur 1 Relatie tussen de betrokken partijen 1.2. GeVS-Services GeVS wordt beheerd door een centrale beheerder BKWI en een decentrale beheerder IB. BKWI levert Suwinet services (zie 1.2.1) en IB levert IB services (zie 1.2.2) Suwinet-Services De Suwinet-Services omvat centraal voorzieningen in de vorm van applicaties die specifieke functionaliteiten bieden aan de Afnemers, zoals: Suwinet-Broker (Broker functie); Suwinet-Inlezen (pull berichten, antwoord op vragen) t.b.v. inlezende voorzieningen, zoals: Suwinet-Inkijk, Klantbeeld (onderdeel van Portlets), Mens Centraal, GWS4All, enz.); Suwinet-Meldingen (push berichten, doorgeven van informatie); Correctie en Terugmeld service; Suwinet-Mail (ongestructureerde gegevens uitwisseling) d.m.v. de Centrale- en Decentrale Suwinet-Mail voorzieningen); Suwinet Rapportages (stuurinformatie in de vorm van rapporten en bestanden) IB-Services De IB-Services omvat ook decentraal voorzieningen in de vorm van applicaties die specifieke functionaliteiten bieden aan de Afnemers, zoals: IBIS sector loket; Inlees webservices; GSD Leveringen Suwi; DKD Inlezen, Monitoring Organisatie van het GeVS-Normenkader In deze paragraaf wordt de indeling van dit normenkader toegelicht. Het nomenkader is ge- 6

8 singsdomein genoemd). Figuur 2 geeft de relatie tussen de objecten die op de verschillende lagen kunnen voorkomen. Deze lagenstructuur geeft door middel van drie onderkende domeinen een indeling van conditionele -, inrichtings- en beheersingsaspecten. Deze aspecten worden hiermee in juiste contextuele samenhang gepositioneerd. Figuur 3 geeft een overzicht van de lagenstructuur en enkele bijbehorende relevante kenmerken. De betekenissen die aan de lagen worden toegekend zijn: Beleidsdomein Dit domein bevat uitgangspunten voor het beheer en gebruik van GeVS- Services binnen de Beheerders organisaties. Uitvoeringsdomein Dit domein bevat de implementatie van componenten die voor het veilig gebruik van gegevens noodzakelijk zijn, zoals toegangsvoorziening, koppelingen met voorzieningen zoals applicaties, eventuele servers waarop de decentrale applicatie actief op zijn. Controldomein Dit domein bevat evaluatie-, meet- en beheersingsaspecten op basis waarvan beheerst en bijgestuurd kan worden. De informatie uit de evaluaties en de beheerprocessen is gericht op het bijsturen en/of aanpassen van de eerder geformuleerde conditionele elementen die gebaseerd zijn op aannames, visies en uitgestippeld beleid en ook op het geven van inzicht over de Suwi-omgeving aan andere keten partijen. Beleidsdomein Randvoorwaarden gebruik GeVS services Uitvoeringsdomein: Gebruik van GeVS services en Realisatie van beveiliging van GeVS deel binnen Beheerdersomgeving User BKWI en IB Gebruikers/Beheerders gebruiken Toegangsvoor- Ziening laag Id. Auth. Au toegang tot Applicatie laag GeVS Services (Applicaties) Database en Storage (Gegevens) Laag zijn actief op gebruiken Gegevens binnen Afnemersomgeving afgeleid uit Gegevens Bronnen Platform Laag Server communiceren via Communicatie laag Network Services (Netwerkverbinden) Controldomein Beheer processen en evaluaties In scope In scope uit scope Figuur 2 Indeling van de GeVS-aspecten vanuit Beheerders perspectief. De GeVS services bestaat uit een centrale component (Suwinet services) en decentrale component (IB servcies). 7

9 1.4. Beschrijving van de controls en onderliggende maatregelen Binnen elk domein bevinden zich onderwerpen die bij de implementatie dan wel bij een beoordeling van een onderzoeksobject een rol spelen. Per onderwerp wordt een criterium (of hoofdnorm) geformuleerd. Het criterium is beschreven in een vorm waarin de elementen wie, wat en waarom geadresseerd worden. Het waarom deel representeert een doelstelling die per criterium bereikt moet worden en/of wat men beoogd te bereiken. Hiernaast wordt per criterium een risico vermeld. Hiermee is vastgelegd wat het criterium is, wie waarvoor verantwoordelijk is en de reden dat dit criterium opgenomen is. Vervolgens wordt per criterium een aantal conformiteitindicatoren gegeven. Met deze indicatoren wordt bereikt (implementatie) of vastgesteld (audit) hoe aan het criterium invulling kan worden gegeven. De hoofdnormen worden in een enkelvoudige zin zodanig beschreven dat deze voorzien worden met specifieke werkwoorden en trefwoorden. De werkwoorden geven bepaalde acties weer die ondernomen worden door betrokken functionarissen (actoren) binnen specifieke domeinen. De trefwoorden fungeren als conformiteitindicatoren. De conformiteitindicatoren zijn nader gedetailleerd in maatregelen die deelaspecten beschrijven waaraan invulling gegeven moet worden ten aanzien van het criterium. Waar noodzakelijk zijn maatregelen voorzien van een nadere toelichting. Bij de uitwerking van het criterium is gebruik gemaakt van een template, waarbij het element wie vaak achterwege is gelaten. De elementen wat en waarom zijn separaat vermeld. Het gebruikte template wordt in Figuur 3 weergegeven. Figuur 3 Template voor het beschrijven van een criterium 1.5. Aanpak en herkomst van criteria beheerders GevS-Services Het te ontwikkelen referentiekader voor het GeVS services is gefaseerd aangepakt: vaststellen eisen, identificeren van objecten, matchen en (her)benoemen objecten, projectie van objecten op de domeinen: Beleid, Uitvoering en Control (BUC), herformuleren van criteria (controls) gerelateerd aan de geïdentificeerde objecten. 8

10 De volgende activiteiten zijn per fase uitgevoerd: A. Vaststellen eisen Bij deze fase zijn, uitgaande van de informatiebeveiligingsaspecten: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid (BIVC) (Regeling Suwi: Art. 6.4 en Art 5.22) en kennis van de Suwi-omgeving, op basis van een creatief proces, enkele globale relevante eisen geïdentificeerd voor het gebruik van Suwinet-diensten binnen de Beheerdersorganisatie van de Bronhouders/Beheerders/Afnemers. B. Identificeren van objecten Op basis van de geïdentificeerde eisen zijn in deze fase objecten benoemd waar de eisen aan kunnen worden gelinkt, C. Matchen en (her)benoemen objecten In deze fase zijn - uitgaande van de geïdentificeerde en aanvullende eisen vanuit het project en globale objectenanalyse -connecties gelegd met objecten uit BIR en BIG. D. Projectie van objecten op BUC domein In deze fase zijn de geïdentificeerde objecten geprojecteerd op de domeinen: Beleid, Uitvoering en Controle (BUC). Met de afronding van deze fase is het objectenlandschap voor het Suwi-domein (Beheerders) gecompleteerd. E. Herformuleren In deze fase zijn de formuleringen van controls die gerelateerde waren aan de geïdentificeerde objecten bestudeerd. Waar mogelijk zijn de oorspronkelijke controls geadopteerd, waar het een specifiek object van onderzoek betrof, namelijk GeVS, zijn de meeste controls geherformuleerd. Fase A Fase B Fase C Fase D Fase E Beveiligings aspecten (BIVC) Eisen Suwinet gerelateerd aan beveiligingsaspecten Identificeren van objecten Matchen en (her)benoemen van BIR/BIG objecten. Beleid Uitvoering Control Herformuleren van controls Figuur 4 De sequentie van de gehanteerde fases Figuur 4 geeft een overzicht van de gehanteerde volgorde. De resultaten van fase D (Projectie van objecten op BUC domein) ziet als volgt uit: Beleidsdomein Hieronder treft u de onderwerpen die verder in het beleidsdomein zijn uitgewerkt. Aansluitbeleid - Het aansluiten op de centrale- en decentrale omgeving van de GeVSvoor het gebruik van Suwi-gegevens geschiedt op basis van vooraf vastgestelde randvoorwaarden; Taken, Verantwoordelijkheden - Alle type rollen zijn onderkend en de daarbij behorende de taken en verantwoordelijkheden zijn vastgesteld en vastgelegd; Functiescheiding - Alle noodzakelijke functiescheidingen zijn vastgesteld en beschreven; Beveiligingsfunctie - De noodzakelijke beveiligingsfunctie is benoemd en adequaat gepositioneerd; Classificatie - Gegevens die via de GeVS worden gedistribueerd zijn geclassificeerd; Uitbesteding - Uitbesteding van ICT diensten worden vastgelegd in een overeenkomst inclusief bewerkersovereenkomst; Architectuur - Het Suwi-landschap inclusief de ICT is in kaart gebracht en beschreven. 9

11 Uitvoeringsdomein Hieronder treft u de onderwerpen die verder in het uitvoeringsdomein zijn uitgewerkt. Informatie Externe partijen - Externe partijen aan wie ICT diensten zijn uitbesteed verstrekken aan de Beheerder jaarlijks een assurance verklaring (TPM); Suwi-gegevens 3 - Alle gegevens die via de GeVS worden uitgewisseld (en tijdens transport, bij interne of externe opslag wordt beveiligd volgens de geldende standaarden); Autorisatiebeheerproces - Autorisaties worden beheerst op basis van een vastgesteld beheerproces; Identificatie en authenticatie mechanisme - Toegang tot informatiesystemen is slechts mogelijk op basis een identificatie en authenticatie mechanisme Autorisatie-mechanisme - Gebruikers en Beheerders krijgen alleen die autorisaties die noodzakelijk zijn voor de wettelijke uitvoering van hun taken (principes: need to have en least privilege) en mogen alleen gegevens opvragen op basis van doelbindingprincipe). De beheerders mogen alleen die beheerfunctie uitvoeren waarvoor zij op basis van hun functie geautoriseerd mogen zijn. Scheiding faciliteiten - De Suwi-gegevens worden alleen in een veilige omgeving gebruikt, zoals de productie omgeving binnen de OTAP indeling; Communicatiefaciliteiten - Uitwisseling van informatie tussen Suwi-partijen via het gebruik van verschillende typen communicatiefaciliteiten (bijv. mail) vindt beveiligd plaats; Inleesfunctionaliteit - Gestructureerde gegevens worden met webapplicaties uitgewisseld via een specifieke Inleesfunctionaliteit Technische componenten - De technische componenten worden op een veilige manier ingericht (Suwinet-services, -Servers); Netwerkverbindingen - De GeVS is een besloten netwerk, waarbij alle netwerkverbindingen waarover Suwi-gegevens worden uitgewisseld zijn beveiligd; Telewerken - De Suwi-omgeving moet via veilige mobiele apparatuur en veilige verbindingen toegankelijk zijn. Control domein Hieronder treft u de onderwerpen die verder in het control domein zijn uitgewerkt. Evaluatie Aansluitingsbeleid - De vastgestelde randvoorwaarden worden periodiek geevalueerd; management - Periodiek worden risicoanalyses uitgevoerd op de implementatie van GeVS-diensten en op de gerelateerde IT componenten; Beheerprocessen - Veranderingen/Wijzigingen worden procesmatig en procedureel doorgevoerd; Organisatorisch evaluatie IAA mechanismen - Periodiek wordt het IAA mechanisme organisatorisch geëvalueerd (Beoordeling van toegangsrechten); 3 Suwi-gegevens zijn de via Suwinet uitgewisselde gegevens 10

12 Technisch evaluatie IAA mechanismen - Periodiek wordt het IAA mechanisme technisch en het rechtmatig gebruik van de GeVS geëvalueerd (Logging en Monitoring) Evaluatie van IAA rapportages - Organisatorische en technische rapportages worden periodiek geëvalueerd; Transparantie - Periodiek wordt inzicht gegeven in de opzet bestaan en werking van de maatregelen ten aanzien van organisatorische, implementatie (technische)- en beheersingsaspecten aan ketenpartijen en hogere management. De resultaten van fase D (Projectie van objecten op BUC domein) en fase E (Herformuleren) worden in hoofdstuk 2 uitgewerkt. 11

13 2. Beleidsdomein Inleiding Het beleidsdomein beschrijft in het algemeen beleidsaspecten en -aansluitvoorwaarden voor het gebruik van GeVS (bijv. Suwinet-Inlezen, Suwinet-Inkijk, Suwinet-Mail, DKD inlezen voor gemeenten etc. ).De Beheerder hanteert in het algemeen haar eigen baseline (normenkader gebaseerd op zowel BIR, BIG als ISO 27001/2 en maakt ook gebruik van Informatiebeleid van de Bronhouders. en zij maken ook gebruik van het informatiebeleid van Bronhouders. Zo zullen organisaties die BIR-plichtig zijn de BIR hanteren en de gemeenten de BIG en aan de BIG gerelateerde operationele producten. Overige organisaties zullen de ISO 27001/2 norm hanteren Naast NEN/ISO27001/2, BIR en BIG zijn een aantal specifieke en op stelselrisico s gebaseerde maatregelen vereist vanuit de bronhouders en vanuit de Suwi-partijen (UWV, SVB, gemeenten). Hiervoor betrekken Beheerders een aantal specifieke en op de stelselrisico s gebaseerde maatregelen in hun Baseline. Deze specifieke en op stelselrisico s gebaseerde maatregelen zijn aanvullend op de genoemde baselines. Ook zijn enkele uitgangspunten (controls) uit deze baselines, vanuit de optiek van de GeVS, meer specifiek geformuleerd. De doelstelling van het Beleidsdomein is om aan te geven welke uitgangpunten en sturingsmiddellen er gelden voor het veilig gebruik Suwinet-diensten. s Door het ontbreken van een door het management van de Beheerders (BKWI en IB) uitgevaardigd beleid richting Beheerders bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de Suwi-omgeving (de GeVS). Dit zal een negatieve impact hebben op veilig gebruik van GeVS-diensten. Onderwerpen Binnen het beleidsdomein zijn normen opgenomen die gerelateerd zijn aan bepaalde onderwerpen (objecten). De normen drukken handelingen uit die gerelateerd zijn aan verantwoordelijkheden van een beschikkende functionaris (hogere management). Per onderwerp worden conformiteitsindicatoren uitgewerkt. Deze conformiteitsindicatoren representeren een vast te stellen set van maatregelen. De onderwerpen zijn afgeleid uit BIR, BIG en GeVS. Hiernaast zijn enkele onderwerpen incidenteel aangevuld met onderwerpen uit de NCSC beveiligingsrichtlijn of Standaard of Good practice (ISF). Tabel 1 geeft overzicht van de uit te werken onderwerpen binnen het Beleidsdomein. Domein Nummer Objecten Herkomst B.01 Suwi-Aansluitbeleid BIG, GeVS 5.1 B.02 GeVS toegangsbeleid BIG/BIR B.03 Naleving en Compliancy aansluitingsbeleid BIG/BIR /SoGP Beleids- Domein B.04 Externe Partijen BIG/BIR B.05 Taken, Verantwoordelijkheden en Functiescheiding BIG, GeVS 6.1.3/ B.06 GeVS beveiligingsfunctie BIG 6.1.7/6.1.2 B.07 Transparantie B.08 Suwi-landschap Beheerders (Architectuur ) x x Tabel 1 Te behandelen onderwerpen in beleidsdomein 12

14 B.01 Suwi-Aansluitbeleid De Bronhouders stellen beleidsvoorwaarden aangaande het beschikbaar stellen van hun gegevens en maken afspraken met de Afnemers en Beheerders welke gegevens voor wettelijke taken en onder welke voorwaarden zij beschikbaar stellen. Dit wordt door Bronhouders met Afnemers en/of Beheerders geformaliseerd in een overeenkomst (waarin de te leveren gegevens worden beschreven) om invulling te geven aan proportionaliteit en doelbinding. In dit kader is van belang dat partijen voor de GeVS - als onderdeel van het beveiligingsbeleid elk een specifiek eigen aansluitbeleid formuleren. Dit aansluitbeleid is de vertaling van het GeVS aansluitvoorwarden 4 en gericht op de bescherming van de GeVS, beperkt tot de eigen organisatie, de eigen delen van de GeVS en de via de GeVS beschikbaar gestelde gegevens. Het is gewenst dat de organisatie vanuit haar ICT omgeving adequate beveiligingsmaatregelen treft ten aanzien van de GeVS treft en dat zij deze ook aantoonbaar transparant maakt. De Beheerder, Afnemers en Bronhouders Op advies van Beheerder van het centraal deel en Suwi-partijen stellen de betrokken partijen vast of een afnemer aangesloten mag worden (en voldoet aan eisen van SZW en bronhouders). Vervolgens sluit Beheerder de Afnemer aan en waarbij door zowel Beheerders als Afnemer activiteiten verrichten, zoals: aanvragen van lijnen, parameterinstellingen/configuraties, rapportages, berichten uitwisselen. B.01 Suwi-Aansluitbeleid Centraal (ISO: Control) De Beheerder (centraal) vertaalt het GeVS-Aansluitvoorwaarden naar een eigen aansluitbeleid en besteedt hierbij expliciet aandacht aan wet en regelgeving, eisen van bronhouders en eisen van de Suwipartijen. Richting geven aan en handhaven van beveiliging van de GeVSaansluiting en van de gegevens die worden getransporteerd en ervoor te zorgen dat aansluiting op de GeVS aantoonbaar aan de vereiste beveiligingsvoorwaarden voldoet. Het risico bestaat dat de bescherming van de GeVS aansluiting, in tegenstelling tot bescherming van haar eigen (lokale) ICT omgeving, onvoldoende aandacht krijgt. BIG 5.1/5.1.1 Beheerder 01 De Beheerder neemt in haar aansluitbeleid op, op welke wijze invulling wordt gegeven aan wet en regelgeving, eisen van Bronhouders en eisen van de Suwi-partijen. 02 De Beheerder heeft de taken en verantwoordelijkheden ten aanzien van het aansluiten op de GeVS belegd en toegewezen aan daartoe bevoegde functionarissen. BIR/BIG BIR/BIG BIR/BIG Aansluitbeleid 4 De GeVS aansluitvoorwaarden is nog niet formeel vastgesteld. Voor niet Suwi afnemers wordt voor de aansluiting het aansluitprotocol bijlage 3 van de Regeling Suwi gebruikt. 13

15 03 In het aansluitbeleid werkt de Beheerder de vanuit de GeVS gestelde eisen uit voor de eigen organisatie. 04 Het aansluitbeleid geeft inzicht in het type maatregelen voor de beveiliging van de GeVS aansluiting (bijv.: (organisatorische-, technisch- en, beheersingsmaatregelen). 05 De Beheerder legt in haar interne beveiligingsbeleid vast hoe zij toeziet op het naleven van de gestelde eisen (wet en regelgeving, eisen van bronhouders en eisen van de Suwi-partijen) ten aanzien van de GeVS aansluiting aanvullend aanvullend BIR/BIG (c ) B.02 GeVS toegangsbeleid Het toegangsbeleid maakt deel uit van het informatiebeveiligingsbeleid en geeft regels en voorschriften voor de organisatorische en technische inrichting van de toegang tot de Suwivoorzieningen. Het toegangsvoorzieningsbeleid beschrijft de manier waarop de beheerder identiteits- en toegangsbeheer heeft ingericht. Voor Suwinet-Inkijk is het autorisatiebeheer decentraal ingericht waarbij de beheerder gebruikers-beheerrechten toekent aan gebruikersbeheerder (lokale beheerders) van de aangesloten partijen. De registratie (logging)van de activiteiten van zowel centrale- als decentrale beheerder en gebruikers worden centraal bij de Beheerder vastgelegd. B.02 GeVS toegangsbeleid Centraal/Decentaal Criterium De Beheerder heeft een toegangsbeleid op basis van bedrijfs- en beveiligingseisen cyclisch opgesteld ingericht. Beheersen van de toegang tot Suwi-gegevens zowel centrale als decentrale deel van de GeVS. Het risico bestaat dat onrechtmatig toegang verkregen wordt tot Suwi-gegevens. BIR Conformiteitsindicatoren en Maatregelen Toegangsbeleid 01 De Beheerder heeft een vastgesteld toegangsbeleid dat consistent is aan de vigerende wet en regelgeving en haar informatiebeveiligingsbeleid. 02 De Beheerder heeft in het toegangsbeleid het gebruik van telewerken uitgewerkt. Oorsprong Nist (geen BIRnorm) BIR Cyclisch proces 03 Het toegangsbeleid wordt regelmatig langs de volgende processtappen geactualiseerd: ontwikkelen, vaststellen/goedkeuren, communiceren, implementeren, evalueren en desgewenst aanpassen. Afgeleid van BIR/5.1.1 & BIR/5.1.2 Bedrijf- en beveiligingseisen 04 De Beheerder verwerkt bij het inrichten van bescherming van toegang tot Suwi-gegevens de beveiligingseisen van relevante wetgeving en eventuele contractuele verplichtingen. 05 De Beheerder maakt voor toegangsrechten tot de GeVS gebruik van formeel vastgestelde gebruikersprofielen. ISO2700x/ e ISO2700x f 14

16 B.03 Naleving en Compliancy aansluitbeleid Gezien de aard van de gegevens die via de GeVS worden uitgewisseld, het uitgevaardigd beleid en wet en regelgeving, is het van belang dat de Beheerder inzicht geeft in de naleving van het aansluitbeleid en andere overeengekomen beveiligingsmaatregelen zowel voor het interne deel als over de GeVS als geheel. Het aspect compliance richt zich op het naleven van de verplichtingen die voortkomen uit (a) wet- en regelgeving en (b) door de Beheerder overeengekomen beleid, richtlijnen, standaarden, en architectuur. Vanuit de optiek van de functionele en beveiligde inrichting van GeVS-diensten is het van belang om via naleving en compliance management proces vast te stellen of en in welke mate de gerealiseerde GeVS-diensten voldoen aan de verplichtingen die voorvloeien uit de wet en regelgeving en vooraf overeengekomen beleid, architectuur en standaarden (naleving). Over het eigen deel van de GeVS worden de resultaten van de compliancy-check vastgelegd in een rapportage, vergezeld van een Interne Control Verklaring (ICV) ten behoeve van transparantie en verantwoording. Wanneer duidelijk wordt dat niet aan de overeengekomen verplichtingen wordt voldaan en of dat de geïmplementeerde maatregelen niet voldoen aan de gestelde eisen en/of verwachtingen, zijn nadere afspraken met opdrachtgevers van de Beheerder zover opvolging met corrigerende acties noodzakelijk. In de loop van de tijd veranderen technieken en inzichten. Ook zal het Suwi-landschap gaandeweg veranderen. Deze ontwikkelingen kunnen aanleiding zijn het beleid bij te stellen en de controles aan te passen. Elke (groep van) verandering(en) is aanleiding om een compliancycheck uit te voeren. De geleverde rapportages van de aangesloten partijen in het kader van transparantie worden door de beheerder verwerkt tot een rapportages over de beveiliging van de GeVS als geheel. Tot slot kunnen (vermoedens van) incidenten aanleiding geven tot het uitvoeren van ad hoc compliancychecks. Definitie: Compliance check is de controle op het voldoen aan wet en regelgeving, Suwi-aansluitbeleid en Ketenstandaarden. B.03 Naleving en compliancy aansluitbeleid Centraal (ISO: Control) De Beheerder bewerkstelligt dat het aansluitbeleid correct wordt uitgevoerd en dat de vereisten hieruit worden nageleefd. Bereiken dat het eigen deel van de GeVS en de GeVS als geheel aantoonbaar voldoet aan de gestelde eisen passend bij het gewenste beveiligingsniveau. Het risico bestaat dat de Suwi-omgeving en/of de gegevens die worden uitgewisseld onvoldoende worden beschermd. BIG Correct 01 De centrale en decentrale Beheerder is voor eigen delen van de GeVS verantwoordelijk voor de uitvoering van het aansluitbeleid en de hieraan gerelateerde beveiligingsprocedures en voor het rapporteren en eventueel escaleren bij het niet hieraan voldoen. ~BIG

17 02 De Beheerders hebben een compliancy management proces, bestaande uit de subprocessen planning, evaluatie en registratie, rapportering, en implementatie van verbetervoorstellen vastgesteld en gedocumenteerd. SoGP 03 De centrale en decentrale Beheerder is voor niet eigen delen van de GeVS verantwoordelijk voor het rapporteren en eventueel escaleren bij niet voldoen aan de eisen van het aansluitbeleid en de hieraan gerelateerde beveiligingsprocedures. Nageleefd 04 De beheerder heeft een proces ingericht om regulier (zelf)evaluatierapportages van compliance checks samen te stellen en beschikbaar te stellen aan zowel de Stelselverantwoordelijke (SZW), als aan bronhouders en aangesloten partijen. ~BIG De Beheerder heeft een proces ingericht voor het verzorgen van rapportages over de beveiliging van de GeVS als geheel. B.04 Externe partijen Zowel Bronhouders, Afnemers als Beheerders hebben sommige ICT diensten uitbesteed aan externe partijen. Bij de uitbesteding is de organisatie zelf verantwoordelijk voor het verkrijgen van informatie op basis waarvan de organisatie assurance (dan wel transparantie) kan afgeven aan het eigen bestuur en/of aan een toezichthouder. Derhalve moeten bij uitbesteding van taken en/of diensten de beveiligingseisen van de organisatie expliciet in de overeenkomst met de dienstverlener benoemd worden. De informatie die de Beheerder in het kader van de assurance verklaring van de externe partij nodig heeft, wordt verkregen op basis van een SOC 2 (of ISAE 3000 verklaring). Een alternatief hierbij is dat de assurance informatie van de externe partij verkregen wordt op basis van een specifiek GeVS gerelateerd referentiekader die tussen de Beheerder en Externe partij is overeengekomen. B.04 Externe partijen (ISO: Control) De Beheerder stelt met externe partijen in een overeenkomst, waarvan een bewerkersovereenkomst onderdeel uitmaakt, minimaal vast dat de aan haar gestelde beveiligingseisen voor de GeVS onverkort van toepassing zijn op de dienstverlening die door deze externe dienstverleners worden geleverd. Centraal en Decentraal BIG Bewerkstellingen dat externe partijen het juiste niveau van beveiligingsmaatregelen treffen en de gewenste diensten bieden. Bij het ontbreken van een overeenkomst waarin de wederzijdse verantwoordelijkheden ten aanzien van de te leveren diensten worden vermeld bestaat het risico dat de geleverde diensten niet voldoen aan het gewenste beveiligingsniveau en/of dat de ICT omgeving van de Beheerder de werking van de GeVS negatief beïnvloed. Overeenkomst 01 In de overeenkomst wordt ten aanzien van de GeVS beveiligingseisen vastgelegd dat externe dienstverlener en haar onderaannemers de beveiligingseisen zullen implementeren en dat beveiligingsincidenten direct aan de (Beheerder) gerapporteerd worden. 02 De overeenkomst vermeldt dat de vanuit de GeVS aan de Beheerder gestelde eisen onverkort van toepassing zijn op de externe dienstverlener en eventuele onder- aanbesteders. BIG (b) BIG

18 03 De overeenkomst bevat een verplichting dat de externe dienstverlener zich jaarlijks aan de opdrachtgever (Beheerder) verantwoordt over opzet bestaan en werking van de beveiliging van de uitbestede diensten op basis van een normenkader waarnaar o.a. GeVS-Aansluitvoorwaarden 5 ook verwijzen. Bewerkersovereenkomst 04 In de bewerkersovereenkomst worden de beveiligingseisen voor het verwerken van persoonsgegevens vastgelegd. BIG BIG Beveiligingseisen voor de GeVS 05 De scope van de technische omgeving waarvoor de beveiligingseisen gelden is inzichtelijk gemaakt op basis van een ontwerp document. 06 De GeVS beveiligingseisen zijn formeel vastgelegd en inzichtelijk gemaakt op basis van een conceptuele architectuur, zowel voor de gehele GeVS als voor het deel van de GeVS waar de Beheerder verantwoordelijk voor is. ~Cobit B06 Toelichting: Conceptuele architectuur De Suwi-partijen zijn verantwoordelijk voor het vaststellen van de architectuur van de GeVS als geheel (KArWeI). De afzonderlijke partijen zijn verantwoordelijk voor het vaststellen van de architectuur van de eigen delen van de GeVS B.05 Taken, Verantwoordelijkheden en Functiescheiding Binnen de op de GeVS aangesloten organisaties worden verschillende type beveiligings- en beheerrollen onderkend. Deze rollen hebben specifieke taken, verantwoordelijkheden en bevoegdheden (TVB s). De taken binnen het beheer worden verdeeld in verschillende groepen met verschillende functieprofielen. Deze profielen zijn bedoeld om enerzijds tot een effectief takenpakket te komen, anderzijds tot een adequate functiescheiding. Met behulp van functiescheiding worden de taken binnen de organisatie van de Beheerder verdeeld, zodat tegengestelde belangen ontstaan. Door deze tegengestelde belangen wordt getracht misbruik vanuit een functie te voorkomen. Hierbij worden taken en verantwoordelijkheidsgebieden gescheiden en tegengestelde belangen gecreëerd en worden ongewenste functiecombinaties voorkomen. Zo wordt ervoor gezorgd dat taken, verantwoordelijkheden en bevoegdheden niet bij één persoon komen te liggen, maar bij meerdere personen met tegengesteld belang. Interne en externe dienstverlening: In het kader van TVB hebben de Beheerders/Afnemers te maken met het beschrijven en beleggen van TVB s: - voor eigen en externe medewerkers in relatie tot de interne processen (toekennen van rechten in relatie met de TVB s), - voor medewerkers van externe dienstverleners in relatie tot Suwi-functionaliteit (denk aan toegangsrechten voor beheerders en gebruikers van netwerkcomponenten, servers en toepassingen, zoals: Suwinet-Inkijk), - voor medewerkers van externe partijen in relatie tot de dienstverlening. Denk aan het indienen van wijzigingsvoorstellen, en het ontvangen/aanvragen van rapportages. 5 Of de Aansluitvoorwaarden verwijzen naar een Normenkader? 17

19 B.05 Taken, Verantwoordelijkheden en Functiescheiding (ISO: Control) De Beheerder heeft de type-rollen onderkend voor zowel interne als externe dienstverlening en de daarbij behorende taken en verantwoordelijkheden vastgesteld en vastgelegd en de noodzakelijke functiescheiding beschreven. Centraal en Decentraal BIG BIG Ervoor zorgen dat de juiste taken en verantwoordelijkheden voor de onderkende rollen juist worden belegd en uitgevoerd met inachtneming van de juiste functiescheiding. Onduidelijke taken en verantwoordelijkheden en het ontbreken van juiste functiescheiding kunnen leiden tot: - misbruik van bevoegdheden, - te ruim toegekende bevoegdheden, - over het hoofd zien van beveiligingsmaatregelen en/of tot implementatie van tegenstrijdige beveiligingsmaatregelen. Type rollen 01 Voor haar interne en externe dienstverlening heeft de Beheerder minimaal voor de volgende functies rollen onderkend en deze rollen toegewezen aan verschillende functionarissen: de beschikkende functie (lijnmanagement), de uitvoerende functie (functioneel beheer) en de controlerende functie (interne controle). BIR/BIG Taken, verantwoordelijkheden 02 De taken, verantwoordelijkheden en bevoegdheden van de geïdentificeerde rollen en de betrokken functionarissen zijn beschreven. 03 Verantwoordelijkheden en bevoegdheden voor zowel interne- als externe dienstverlening zijn verwerkt in autorisatie matrices. 04 Periodiek worden de rollen, taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen geverifieerd en zo nodig geactualiseerd. BIR/BIG BIR/BIG (aanvullend) BIR/BIG (aanvullend) Functiescheiding 05 In de Functiescheiding heeft de Beheerder binnen de onderkende rollen de taken en verantwoordelijkheden voor de betrokken functionarissen uitgewerkt. BIR/BIG B.06 GeVS beveiligingsfunctie Organisatorische en technische veranderingen in de organisatie kunnen invloed hebben binnen de organisatie van de Beheerder. Om in Suwi ketenverband effectief om te kunnen gaan met deze veranderingen is het van belang dat de organisatie een GeVS beveiligingsfunctie heeft ingericht, daarbinnen zijn de taken en verantwoordelijkheden met betrekking tot de aansluiting op de GeVS geformaliseerd. Binnen deze GeVS beveiligingsfunctie is geregeld dat, wanneer sprake is van beveiligingsincidenten die het stelsel aangaan, contact wordt onderhouden met de Stakeholders van Suwipartijen en aangesloten partijen. 18

20 B.06 Beveiligingsfunctie Centraal en (ISO: Control) De Beheerder heeft een GeVS beveiligingsfunctie benoemd en taken en verantwoordelijkheden vastgesteld. Decentraal BIG BIG Het voorkomen dat kwetsbaarheden ontstaan als gevolg van het ontbreken van coördinatie op het gebied van activiteiten aangaande de bescherming van de GeVS. Het risico bestaat dat - in relatie tot de GeVS - door gebrek aan coordinatie van activiteiten (intern en extern) niet op beveiligingsincidenten in relatie tot de GeVS wordt geacteerd en dat door wijzigingen nieuwe kwetsbaarheden ontstaan. Taken en verantwoordelijkheden 01 De GeVS Beveiligingsfunctionaris coördineert en bewaakt alle activiteiten ten aanzien van incidenten die impact kunnen hebben op de bescherming van de Suwiketen of de bescherming van de via de GeVS uitgewisselde gegevens. 02 De GeVS Beveiligingsfunctionaris controleert regulier in welke mate de getroffen maatregelen in relatie tot de GeVS volstaan en/of escalatie of aanvullende maatregelen nodig zijn. GeVS SoGP Gevs SoGP B.07 Transparantie Om inzicht te krijgen in de beveiliging van de GeVS als geheel zullen de aangesloten partijen een jaarlijks een rapportage beschikbaar stellen aan de centrale beheerder. Deze rapportage is bedoeld om een totaal overzicht samen te stellen ten behoeve van SZW Het is essentieel dat alle afzonderlijke rapportages een vergelijkbare template, reikwijdte en diepgang hebben. B.07 Transparantie (ISO: Control) Het management van de Beheerder rapporteert jaarlijks aan haar Bestuurder over de bescherming van de GeVS en levert jaarlijks aan toezichthouders en Suwi-partijen een totaalrapportage over de bescherming van de GeVS. Het geven van inzicht in de juiste inrichting van zowel het interne deel van het Suwi-domein als de GeVS als geheel en dat er gehandeld wordt binnen de afgesproken uitgangspunten en aansluitvoorwaarden. Gebrek aan transparantie leidt tot gebrek aan inzicht in de bescherming van de GeVS wat mogelijkerwijs kan resulteren in verlies van vertrouwen van betrokken partijen in het Suwinet stelsel (GevS). obv notitie project Management 01 Het management van de Beheerder stelt op basis van ontvangen rapportages van aangesloten partijen een totaal overzicht op over de beveiliging van de GeVS als geheel. totaalrapportage obv afspraken Suwipartijen met SZW en AP 19

21 02 De totaalrapportage geeft inzicht in de evaluatie van de beleids-, implementatieen beheersingsmaatregelen van de aangesloten partijen afzonderlijk en in relatie tot elkaar met betrekking tot opzet, bestaan en werking. 03 De beheerder levert de totaalrapportage jaarlijks aan SZW, I-SZW en het Opdrachtgeversberaad (OBG). obv afspraken Suwipartijen met SZW en AP B.08 Suwi-deel landschap (architectuur) In het deel van het Suwi-landschap dat behoort tot de verantwoordelijkheid van de Beheerder, legt de Beheerder vast welke infrastructurele IT componenten aanwezig zijn en hoe deze met elkaar verbonden zijn. Het verschaft inzicht in en overzicht over de componenten en hun onderlinge samenhang en werking en hoe de componenten de bedrijfsprocessen van de decentrale organisatie ondersteunen. Belangrijk onderdeel van het Suwi-landschap is een documentatie waarin de koppelingen van de GeVS-componenten worden weergegeven inclusief de beveiligingsmaatregelen en/of beveiligingscomponenten. De Beheerder heeft een tweeledige verantwoordelijkheid, namelijk: de verantwoordelijkheid voor de beveiliging van - de eigen delen van de GeVS. de verantwoordelijkheid voor het coördineren en faciliteren van de Suwi-keten. De Suwi-partijen zijn conform de Regeling Suwi gezamenlijk verantwoordelijk voor de bescherming van de GeVS (als geheel). Toelichting: Eigen deellandschap Het locale Suwi-landschap geeft inzicht in de beveiliging, interactie en relaties tussen GeVScomponenten B.08 Suwi-deel landschap (architectuur) (ISO: Control) De Beheerder heeft de actuele documentatie van de technische infrastructuur 6 Suwi-landschap vastgelegd voor het eigen deel van de GeVS. SoGP Cobit NCSC Het geven van inzicht in de relatie tussen techniek en de manier waarop en mate waarin het eigen deel van de GeVS aansluit op de GeVS als geheel. De operationele activiteiten, die betrekking hebben op GeVScomponenten, is niet in lijn met het geformuleerde aansluitbeleid en de impact van toekomstige innovaties kan niet geïntegreerd en in volle omvang in beeld worden gebracht. Documentatie 01 De Beheerder heeft de samenhang van de infrastructuur van de GeVS, die bij het gebruik van GeVS-diensten een rol spelen, benoemd en vastgelegd in architectuur documenten. 02 De architectuur documentatie van de technische infrastructuur wordt actief onderhouden. SoGP Cobit NCSC SoGP,Cobit NCSC 6 Technische infrastructuur : Het geheel van ICT-voorzieningen voor generiek gebruik, zoals servers, firewalls, netwerkapparatuur, besturingssystemen voor netwerken en servers, database management systemen en beheer- en beveiligingstools, inclusief bijbehorende systeembestanden (Zie definitie BIG). 20

22 infrastructuur 03 De beveiligingsmaatregelen van de technische infrastructuur die gerelateerd zijn aan de GeVS die onder verantwoordelijkheid van de beheerder vallen zijn beschreven. SoGP Cobit NCSC 21

23 3. Uitvoeringsdomein Inleiding Binnen het uitvoeringsdomein maken de Beheerders BKWI en IB gebruik van voorzieningen die gerelateerd zijn aan GeVS-diensten. Hierbij hebben deze Beheerders enerzijds een veilige omgeving gecreëerd en anderzijds is deze omgeving zodanig georganiseerd dat zij bij uitbesteding van gedeelten van haar ICT diensten voldoende informatie van haar provider verwerft om aan de verplichtingen van verantwoording en transparantie te kunnen voldoen. Dit zal moeten plaatsvinden onder vastgestelde uitgangspunten en aansluitvoorwaarden die binnen het beleidsdomein zijn gedefinieerd (zie afbeelding x (BUC domeinen, opnemen). De doelstelling van het uitvoeringsdomein (zie plaatje) is om vast te stellen of de Beheerders de afgesproken Suwinet-diensten gebruiken conform de uitgangspunten en de aansluitvoorwaarden. s Door het ontbreken van adequate beveiligingsmaatregelen binnen de organisatie omgeving van de Beheerders bestaat het risico o.a.: - dat misbruik wordt gemaakt van Suwi-gegevens door onbevoegdheden of dat de Suwigegevens op andere wijze onrechtmatig worden gebruikt; - dat de Beheerder onvoldoende informatie heeft om aan haar verantwoording en transparantie verplichtingen te kunnen voldoen. Inrichtings- en beveiligingscomponenten Binnen dit domein worden volgende thema s als inrichtings- en beveiligingscomponenten behandeld. Domeinen Nummer Objecten U.01 Ketenstandaarden U.02 TPM Externe partijen U.03 Autorisatie beheerproces Uitvoerings- domein U.04 Toegangsmechanisme: Gebruikersidentificatie- en authenticatie (IA) U.05 Toegangsmechanisme: Autorisatie U.06 Suwi-Berichtenuitwisseling U.07 Suwinet-Mail U.08 Suwinet-Inlezen U.09 DKD-Inlezen U.10 Suwinet-Inkjk U.11 Suwinet-Meldingen U.12 Scheiding van faciliteiten (OTAP U.13 Classificatie van Informatie U.14 Server (Intern BKWI) U.15 Netwerkverbindingen (BKWI en IB) U.16 Telewerken 22

24 U.01 Ketenstandaarden De Suwi-partijen zijn gezamenlijk verantwoordelijk voor het operationeel beheer van de GeVS. Hiervoor onderhouden zij de Ketenstandaarden; dit zijn: Suwi-Ketenarchitectuur (KArWeI) GeVS-Keten-SLA (inclusief GeVS GeVS Keten-DAP); Suwi-Gegevensregister (SGR), SuwiML Transactiestandaard en SuwiML Breichtenstandaard; Suwi-Verantwoordingsrichtlijn; Suwi-Normenkader. U.01 Ketenstandaarden (ISO: Control) De Beheerder coördineert en faciliteert de Suwi-partijen bij het onderhouden van de Keten-standaarden. Het actief onderhouden van de Keten-standaarden, opdat de inhoud upto-date is en aangepast is op vigerende richtlijnen, standaarden en bestpractices. Het risico bestaat dat het Suwi, wanneer de Keten-standaarden niet actief worden bijgehouden, stelsel niet optimaal functioneert en niet adequaat is beschermd. Ketenstandaarden 01 BKWI coördineert (binnen de Domeingroep Architectuur) de activiteiten van de Suwi-partijen bij het actief onderhouden van de Suwi Ketenarchitectuur (KAr- WeI). 02 BKWI coördineert (binnen de Domeingroep Privacy & Beveiliging) de activiteiten van de Suwi-partijen bij het actief onderhouden van de Suwi- Verantwoordingsrichtlijn en Suwi-Normenkader. 03 BKWI coördineert (binnen de Domeingroep Gegevens & Berichten) de activiteiten van de Suwi-partijen bij het actief onderhouden van het Suwi-gegevensregister, SuwiML, Transactiestandaard en SuwiML en Berichtenstandaard. 04 BKWI coördineert (binnen de Domeingroep ICT-beheer) de activiteiten van de Suwi-partijen bij het actief onderhouden van de GeVS Keten-SLA (en GeVS - Keten-DAP. 05 BKWI biedt - namens de Suwi-partijen - gewijzigde Keten-standaarden ter vaststelling aan, aan het Opdrachtgeversberaad (OGB). 23

25 U.02 TPM Externe partijen De externe partijen, de provider aan wie de Beheerder (BKWI en IB) ICT diensten heeft uitbesteed in het kader Suwi, verstrekt jaarlijks een assurance verklaring opgesteld door een Third Party Auditor geregistreerd in het register van IT auditors (NOREA), in de vorm van een Third Party Memorandum (TPM) aan de Beheerder. De Beheerder verwerkt dit in zijn ICV. De jaarlijkse assurance verklaring van de externe partij verschaft voldoende informatie aan de Beheerder opdat deze aan haar verantwoordingsverplichtingen kan voldoen. De verantwoordingsverplichtingen hebben betrekking op opzet, bestaan en werking 7 van de beveiliging van uitbestede diensten; enerzijds generiek in relatie tot BIR/BIG en anderzijds specifiek in relatie tot de Suwi-Aansluitvoorwaarden. U.02 TPM Externe partijen (ISO: Control) Externe partij verstrekt jaarlijks een verklaring aan de Beheerders over de aanbestede diensten in relatie tot de GeVS. Bewerkstellingen dat de Beheerders aan hun assurance verplichtingen in relatie tot de GeVS kan voldoen. Mogelijk kunnen Beheerders niet of in onvoldoende mate aantonen dat opzet, bestaan en werking van de beveiliging van de uitbestede diensten voldoen aan de gestelde eisen. BIG Jaarlijkse verklaring 01 De jaarlijks assurance verklaring van de externe partij is gericht op opzet, bestaan en werking van de beveiliging van de uitbestede diensten. 02 Binnen de scope van de verklaring worden in ieder geval de volgende type maatregelen opgenomen: organisatorische-, technische- en beheersingsmaatregelen in relatie tot de GeVS. 03 De assurance verklaring wordt geleverd over de door de Beheerder vastgestelde verantwoordingsperiode binnen de afgesproken periode en termijn. BIG (a) aanvullend aanvullend Toelichting 01: Opzet, bestaan en werking De beoordeling van de uitbestede diensten richt zich op de aspecten opzet, bestaan en werking opzet Heeft betrekking op de formele inrichting en beschrijving van de wijze waarop de provider de ICT diensten zal gaan uitvoeren. Veelal treft de ICT-auditor de opzet aan in handboeken, beleidsplannen, architectuurbeschrijvingen, etc. bestaan Heeft betrekking op de wijze waarop ICT diensten, processen en maatregelen daadwerkelijk in de organisatie van de externe provider zijn geïmplementeerd. Deze situatie kan afwijken van hetgeen in de aanwezige beschrijvingen en plannen (de opzet) is vermeld. 7 Zie toelichting 01 24

26 de werking Heeft betrekking op de implementatie van de ICT diensten en het bestaan van processen gedurende een bepaalde periode. Hierbij wordt vastgesteld op welke wijze een organisatie een proces bij voortduring heeft uitgevoerd. De opzet wordt veelal beoordeeld tijdens de ontwerpfase, het bestaan tijdens de implementatiefase en de werking tijdens de uitvoering van de processen. De controle op de werking wordt periodiek (veelal jaarlijks) uitgevoerd. Hierbij wordt eerst beoordeeld of opzet en bestaan ten opzichte van het voorgaande jaar zijn gewijzigd. Het vaststellen van de werking vereist dat gedurende de controleperiode bij de betreffende Suwi-partij wordt nagegaan of de procedures en maatregelen worden nageleefd Toelichting 02: Type maatregelen: Met organisatorische maatregelen worden beleidsmatige maatregelen bedoeld(condities of randvoorwaarden), zoals informatiebeleid, aansluitbeleid en architectuur (zie onderwerpen in beleidsdomein), Met technische maatregelen worden bedoeld maatregelen met betrekking tot de technisch inrichting van de ICT componenten die gerelateerd zijn aan de GeVS. Zie onderwerpen uit het uitvoeringsdomein, Met beheersingsmaatregelen worden bedoeld maatregelen met betrekking tot de inrichting van beheerprocessen. Zie onderwerpen uit het control-domein U.03 Autorisatie beheerproces tbv Suwipartijen Het autorisatieproces zorgt ervoor dat autorisaties formeel en gestructureerd plaatsvinden. Dit proces bestaat uit subprocessen zoals: toekennen (of verlenen), verwerken, wijzigen (intrekken en blokkeren), archiveren en controleren. Deze subprocessen zijn gerelateerd aan de fasen: instroom, doorstroom en uitstroom. U.03 Autorisatiebeheerproces (ISO: Control) De Beheerder beheerst de toewijzing van autorisaties op basis van een formeel autorisatie beheerproces waarbij het van essentieel belang is, dat het wijzigen (ook intrekken of blokkeren) van gebruikersbeheerrechten voor de Suwi-partijen tijdig wordt uitgevoerd. Suwi-partijen de juiste toegangsrechten geven (niet meer en niet minder) dan welke nodig zijn voor de hen opgedragen wettelijke taken. Het risico bestaat dat: bij Inkijk onrechtmatig toegang verleend wordt aan decentrale gebruikersbeheerders, bij Inlezen onrechtmatig toegang verleend wordt aan inlezende applicaties Formeel autorisatiebeheer proces 01 Het autorisatiebeheer voor Inlezen en Inkijk wordt uitgevoerd op basis van een proces bestaande uit: aanvragen, verlenen, verwerken, intrekken, blokkeren, archiveren en controleren. 25

27 02 Aanvragen voor gegevensleveringen vindt plaats op basis van wettelijke verplichting (Suwi) of gegevensleveringsovereenkomsten (niet Suwi) 03 Aanvragen voor decentrale gebruikersbeheer-rechten worden slechts in behandeling genomen wanneer deze ingediend is door daartoe geautoriseerde persoon. aanvullend U.04 Toegangsmechanisme: Gebruikersidentificatie- en authenticatie (IA) Toegang tot de beheerfuncties van GeVS-diensten, inlees- en inkijk-en Suwinet, wordt gereguleerd door de toegangsmechanismen: gebruikers identificatie een naam waarmee een beheerder zichzelf bekend (user-id); authenticatie - Na het zich bekend maken moet de beheerder een bij het user-id bijbehorend wachtwoord (of password) invoeren om toegang te krijgen tot het systeem. Een geheime code die alleen de beheerder mag weten; autorisatie Na het zich bekend maken aan de GeVS-dienst, via (user-id en password) krijgt de beheerder toegang tot de beheerfunctie van de Suwinet-dienst om handelingen te verrichten. De identificatie, authenticatie mechanisme en autorisatie worden verder uitgewerkt in: - U.04 Toegangsmechanisme: Identificatie- en authenticatie en - U.05 Toegangsmechanisme: Autorisatie. U.04 Toegangsmechanisme: Identificatie en authenticatie Centraal en (ISO: Control) De Beheerder (BKWI) past een geschikt authenticatie techniek toe en verstrekt beheerders van Suwi diensten en gebruikersbeheerders (Inkijk) een unieke identificatiecode (User-ID) voor uitsluitend persoonlijk gebruik. Decentraal , Bewerkstelligen dat de geclaimde identiteit van de beheerder kan worden bewezen en dat daardoor alleen bevoegde gebruikersbeheerders of applicaties toegang krijgen tot Suwinet-diensten. Onbevoegde beheerders kunnen toegang krijgen tot Suwinetdiensten. Authenticatietechniek (wachtwoorden) 01 Bij uitgifte van authenticatie middelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruiker voor de uitvoering van Suwi beheer taken recht heeft op het authenticatie middel. 02 Bij extern gebruik vanuit een onvertrouwde omgeving wordt sterke authenticatie (two-factor) van gebruikers toegepast (telewerken). 03 Wachtwoorden worden interactief beheerd en voldoen aan gespecificeerde kwaliteit in het toegangsbeleid op basis van BIG/BIR. Identificatiecode 04 Bij het beheer van Suwi-diensten worden gebruikers minimaal geauthentiseerd op basis van User-ID en wachtwoorden die voldoen aan daaraan gestelde eisen BIR (R en A ) BIG BIR

28 U.05 Toegangsmechanisme: Autorisatie Beheerders hebben twee typen autorisaties nodig: Intern: voor het beheren van systemen en eventueel gebruik. Na het authentiseren krijgen beheerders specifieke toegang voor het beheer van de Suwi Inkijk en/of Inlezen. De toegangsbeperking wordt gecreëerd door middel van rollen en toegangsprofielen die voortkomen uit de beheerorganisatie (BKWI en IB). Extern: voor het verstrekken van autorisaties aan gebruikersbeheerders (inkijk) en applicaties (Inlezen) van afnemers. Na het geautomatiseerde identificatie- en authenticatieproces krijgen afnemers specifieke toegang voor de Suwinet-diensten. De toegangsbeperking tot Inkijk en gebruikers applicaties die gebruik maken van Inlezen wordt gecreëerd door middel van rollen en toegangsprofielen die voortkomen de gebruikersorganisatie (Afnemers) gebaseerd op WBP. U.05 Toegangsmechanisme: Autorisatie (ISO: Control) Toegang tot GeVS systemen en -diensten door beheerders behoort te worden beperkt overeenkomstig het vastgestelde toegangsrichtlijngebaseerd op Suwi. Centraal en Decentraal BIG, BIR: Bewerkstelligen dat invulling wordt gegeven aan de taakstelling voor beheerders in het kader van Suwi.. Door het niet beperken van toegang door middel van gespecificeerde autorisaties tot GeVS systemen en -diensten wordt niet voldaan aan de taakstelling voor beheerders in het kader van Suwi.. Toegang 01 De toegang tot GeVS-diensten wordt beperkt op basis van juiste rollen en autorisatieprofielen 02 In de toegangsregels voor het beheer van GeVS-diensten wordt ten minste onderscheid gemaakt tussen lees en schrijfbevoegdheden. Suwinet toegangsbeleid 03 Het Suwi toegangsrichtlijn geeft richting aan het specificeren van rollen en autorisatieprofielen. ~ ISO Impl. richtlijn U.06 Suwi-berichtenuitwisseling Suwi-berichten betreft de berichten die via de GeVS worden uitgewisseld en raakt de apparatuur waarmee gegevens verkregen via de GeVS toegankelijk worden gemaakt, zoals,netwerk, werkplekken en mobiele devices. De mobiele devices kunnen buiten eigen locaties gebruikt worden. Gezien het feit dat ketenpartijen risico lopen op imagoschade en aansprakelijkheid is het van belang dat zowel Suwi-berichtenuitwisseling als apparatuur waarop gegevens mogen worden opgeslagen aan strikte beveiligingsvoorwaarden voldoen, conform de ketenarchitectuur. 27

29 U.06 Suwi- berichtenuitwisseling (ISO: Control) Berichten die een rol spelen bij Suwi berichtenuitwisseling behoren op geschikte wijze te worden beschermd Centraal en Decentraal BIG/BIR Bewerkstelligen dat bij Suwi berichtenuitwisseling de integriteit, vertrouwelijkheid en beschikbaarheid gehandhaafd blijft. Dat bij Suwi berichtenuitwisseling de integriteit, vertrouwelijkheid en beschikbaarheid gecompromitteerd worden. Suwi berichtenuitwisseling 01 Suwi berichten worden op basis van veilige protocollen verstuurd conform geldende standaarden (Forum standaardisatie, tweezijdig versleuteld, sterke authenticatie. 02 De Suwi- berichten op alle apparatuur die zich buiten de eigen locatie(s) van de Beheerder bevinden en waarop via de GeVS verkregen gegevens worden verwerkt zijn versleuteld. 03 De techniek van versleuteling van de gegevens wordt uitgevoerd op basis van pas-toe-of-leg-uit lijst van het forum standaardisatie (zie toelichting). Aanvullend (omp: in behandeling BKWI) aanvullend BIG/BIR Toelichting: 02 en 03 Pas-toe-of-leg-uit lijst Overheden en semioverheden zijn verplicht de open standaarden, die op de lijst met 'pas toe of leg uit'-standaarden staan, bij aanschaf of (ver)bouw van ICT-systemen/-diensten te eisen ('pas toe'). Afwijken mag alleen met zwaarwegende redenen en verantwoording hierover worden afgelegd in het jaarverslag ('leg uit'). 'Pas toe of leg uit'-standaarden zijn open standaarden waarvoor breed draagvlak bestaat maar die nog niet breed geadopteerd zijn. Daarom krijgen deze standaarden de status van 'pas toe of leg uit' U.07 Suwinet-Mail De beheerder van het centrale deel van de GeVS heeft Suwimail relay ingericht-. Suwinet Mail biedt gebruikers van aangesloten organisaties de mogelijkheid om informatie met elkaar uit te wisselen over een besloten netwerk. Het gehanteerde uitgangspunt is dat Beheerder/Bronhouder/Beheerder ongestructureerde berichten met persoonsgegevens en/of gevoelige bedrijfsgegevens niet via het publieke internet uit, maar via Suwinet-Mail uitwisselen. U.07 Suwinet-Mail (ISO: Control) De Beheerder van het centrale deel van de GeVS biedt een e- mailvoorziening aan voor partijen die aangesloten zijn op het Suwinet waarmee aangesloten partijen onderling berichten kunnen uitwisselen. Voorkomen dat door via uitgewisselde berichten de integriteit en vertrouwelijkheid van communicerende partijen in gevaar brengen. Er kunnen onbedoeld privacy gevoelige gegevens via openbare lijnen (internet) gecommuniceerd worden BIR/BIG 10.8 GeVS BIR/BIG

30 voorziening 01 De beheerder van het centrale deel van de GeVS heeft de functie Suwinet-Mail ingericht conform vastgestelde richtlijnen en biedt afnemers handreikingen. GeVS De beheerder van het centrale deel van de GeVS heeft een Suwinet mail relay ingericht als voorziening. De Suwinet mail relay is zo ingericht dat er niet via openbare lijnen (internet) gecommuniceerd kan worden. 03 De -voorziening mag slechts verkeer uitwisselen tussen op Suwinet-Mail aangesloten partijen. 04 De -voorziening (centraal en decentraal) bevat een filterfunctie voor het controleren van berichten op schadelijke inhoud en of attachments. GeVS 18.4(?) BIR/BIG GeVS 18.2 BIR/BIG U.08 Suwinet-Inlezen Bronhouders kunnen de gevraagde gegevens direct bij de Afnemer afleveren via de GeVSvoorziening Suwinet-Inlezen. De Afnemer verwerkt deze gegevens in de eigen bedrijfsapplicatie die daarvoor geschikt is gemaakt. Voor de uitvoering van SUWI-taken door gemeenten wordt een specifieke inleesvoorziening beschikbaar gesteld door de decentrale gemeentelijke beheerder IB. Dit DKD-Inlezen is specifiek ontwikkeld om gemeenten te ondersteunen bij de uitvoering van hun taken in het domein werk en inkomen. In alle andere situaties vindt de levering plaats via het BKWI. Daarbij worden de Brongegevens aangeboden via een Klantbeeldserver die in de Bronhoudersomgeving is gepositioneerd. Het uitgangspunt is dat de aangesloten partijen voor het raadplegen en verwerken van persoonsgegevens gestructureerde berichten uitwisselen via het besloten netwerk (veilige kanalen), conform de ketenstandaarden. De autorisatie voor gegevens ontsluiting wordt vastgesteld op basis van wettelijke bepalingen en overeenkomsten tussen Bronhouders en Afnemers waarbij rekening wordt gehouden met doelbinding en proportionaliteit. De gegevens worden beschikbaar gesteld na vaststelling van identiteit, authenticiteit en autorisatie van Afnemer. De toegang tot de Suwinet Inkijk wordt verzorgd door Authenticatie service. Met behulp van de Authenticatie en Autorisatiemodule autoriseert BKWI (Suwibroker) de Gebruikersbeheerder van de Afnemer. De Gebruikersbeheerder kan binnen het Afnemersdomein medewerkers op persoonlijk niveau autoriseren op basis van doelbinding. U.08 Suwinet-Inlezen Centraal (ISO: Control) De Beheerder van het centrale deel van de GeVS ontwikkelt en onderhoudt Suwinet-Inlezen functionaliteit en stelt mechanismen beschikbaar waarmee aangesloten partijen onderling gestructureerde gegevens direct kunnen inlezen in hun eigen applicatie. Bewerkstelligen van de beschikbaarheid, integriteit, en vertrouwelijkheid van de inleesfunctionaliteit en de hiermee uit te wisselen gegevens. Bij niet beschikbaarheid van deze functionaliteit of de uit te wisselen gegevens kunnen Afnemers wettelijke taken niet uitvoeren. BIR (aangepast) 29

31 Functionaliteit 01 De Beheerder onderhoudt de inleesfunctionaliteit op basis van opdracht en vastgestelde requirements van de Bronhouders en Afnemers GeVS 15.1 BIR/BIG 10.8 (?). 02 De Beheerder ontwikkelt de software voor de Inleesfunctionaliteit en voert noodzakelijke ontwikkelstappen zodanig dat de applicatie aan de beveiligingseisen voldoet. 03 De Beheerder stelt de inleesfunctionaliteit en in te lezen gegevens beschikbaar op basis door de Bronhouders vastgestelde set gegevens conform wettelijke bepaling. Mechanismen 04 De Inlees applicatie biedt adequate identificatie, authenticatie en autorisatie mechanismen voor Afnemers 05 De Inlees applicatie biedt whitelist funcionaliteit tbv Afnemers. 06 De Inlees applicatie biedt loggingfunctionaliteit ten behoeve Afnemers en Bronhouders U.09 DKD-Inlezen voor gemeenten Op grond van de Wet eenmalige uitvraag verstrekken Bronhouders aan gemeentelijke Afnemers ten behoeve van de uitvoering van hun wettelijke taken op het gebied van SUWI persoonsgegevens. Dit kan onder andere via DKD-Inlezen geschieden. Bronhouders kunnen de gevraagde gegevens bij de Afnemer afleveren via de decentrale GeVS-voorziening DKD- Inlezen. De Afnemer verwerkt deze gegevens in de eigen bedrijfsapplicatie die daarvoor geschikt is gemaakt. Het uitgangspunt is dat de aangesloten partijen voor het raadplegen en verwerken van persoonsgegevens gestructureerde berichten uitwisselen via het besloten netwerk (veilige kanalen), conform de ketenstandaarden. Indien nodig worden aanvullende technische maatregelen genomen binnen de infrastructuur van het knooppunt om de veiligheid te garanderen. De autorisatie voor gegevens ontsluiting wordt vastgesteld op basis van wettelijke bepalingen en overeenkomsten tussen Bronhouders en Afnemers waarbij rekening wordt gehouden met doelbinding en proportionaliteit. De gegevens worden beschikbaar gesteld na vaststelling van identiteit, authenticiteit en autorisatie van Afnemer. Figuur 5 illustreert de flow van het Inleestraject. Figuur 5 Flow van de het Inlees traject 30

32 U.09 DKD-Inlezen voor gemeenten Decentraal (ISO: Control) De Beheerder van het decentrale deel van de GeVS ontwikkelt en onderhoudt DKD-Inlezen- functionaliteit en stelt mechanismen beschikbaar waarmee aangesloten partijen onderling gestructureerde gegevens direct kunnen inlezen in hun eigen applicatie. Bewerkstelligen van de beschikbaarheid, integriteit, en vertrouwelijkheid van de inleesfunctionaliteit en de hiermee uit te wisselen gegevens. Bij niet beschikbaarheid van deze functionaliteit of de uit te wisselen gegevens kunnen gemeentelijke Afnemers wettelijke taken niet uitvoeren. BIR (aangepast) Functionaliteit 01 De decentrale gemeentelijke beheerder onderhoudt de inleesfunctionaliteit op basis van de tekst van de Wet eenmalige uitvraag met bijlagen en conform afspraken met Bronhouders en Afnemers GeVS 15.1 BIR/BIG De Beheerder ontwikkelt de software voor de Inleesfunctionaliteit en voert noodzakelijke ontwikkelstappen zodanig dat de applicatie aan de beveiligingseisen voldoet. 03 De Beheerder stelt de inleesfunctionaliteit en in te lezen gegevens beschikbaar op basis door de Bronhouders vastgestelde set gegevens conform wettelijke bepaling. Mechanismen 04 De Inlees applicatie biedt adequate identificatie, authenticatie en autorisatie mechanismen voor Afnemers 05 De Inlees applicatie biedt loggingfunctionaliteit ten behoeve van Afnemers en Bronhouders die de gehele routeer- en transportfunctie tussen de koppelpunten logt. N.b.: Gemeentelijke afnemers zijn zelf verantwoordelijk voor adequate logging van het eigen gebruik van de via DKD-Inlezen ontvangen persoonsgegevens. U.09 Suwinet-Inkijk (Inzien Suwi gegevens) Suwi Inkijk is een webapplicatie voor medewerkers van Afnemers waarbij gebruik wordt gemaakt van de Suwinet Inleesfunctionaliteit middels berichtenuitwisseling. Deze berichtenuitwisseling vindt plaats via de Suwibroker. Via de webapplicatie Suwinet-Inkijk kunnen geautoriseerde gebruikers, binnen de Afnemersdomein, persoonsgegevens raadplegen van burgers die bij verschillende organisaties of basisregistraties zijn opgeslagen. De gebruiker kan de geraadpleegde gegevens zo nodig bewaren voor de dossiervorming (reconstructie) en verantwoording. De webapplicatie Suwinet-Inkijk wordt beheerd door het BKWI. In overleg met de bronhouder en de afnemer(s) zorgt het BKWI ervoor dat de afgesproken gegevens set via inkijkpagina s wordt getoond. Het verzorgen van de toegang (authenticatie) tot deze applicatie en de inkijkpagina s (autorisatie) voor de individuele medewerkers is een lokale verantwoordelijkheid van de afnemer. 31

33 BKWI autoriseert (Authenticatie en Autorisatie module) hierbij gebruikersbeheerder, binnen de Afnemersomgeving, om hier lokaal invulling te kunnen. Er is een centrale beheervoorziening waarmee afnemers de gebruikersadministratie kunnen beheren, accounts kunnen aanmaken en toegang kunnen verlenen tot één of meer brongegevens. Figuur 6 illustreert de flow van het Inkijktraject. Figuur 6 Flow van het Inkijk traject U.09 Suwinet-Inkijk Centraal (ISO: Control) De Beheerder (BKWI) ontwikkelt en onderhoudt Suwinet-Inkijk functionaliteit en stelt mechanismen beschikbaar waarmee aangesloten partijen Suwi-gegevens kunnen inzien Bewerkstelligen van de beschikbaarheid, integriteit, en vertrouwelijkheid van de inkijk functionaliteit en de hiermee uit te wisselen gegevens. Bij niet beschikbaarheid van deze functionaliteit of de uit te wisselen gegevens kunnen Afnemers wettelijke taken niet uitvoeren. BIR (aangepast) functionaliteit 01 De Beheerder onderhoudt de Inkijk functionaliteit op basis van opdracht en vastgestelde requirements van de Bronhouders en Afnemers. GeVS 15.1 BIR/BIG 10.8 (?). 02 De Beheerder ontwikkelt de software voor de Inkijk functionaliteit en voert noodzakelijke ontwikkelstappen zodanig dat de applicatie aan de beveiligingseisen voldoet. 03 De Beheerder stelt de Inkijk functionaliteit beschikbaar op basis door de Bronhouders vastgestelde set gegevens conform wettelijke bepaling. Mechanismen 04 De Inkijk applicatie biedt adequate identificatie, authenticatie en autorisatie mechanismen voor Afnemers 05 De handelingen van de medewerkers van Afnemers in Inkijk worden vastgelegd ten behoeve van log rapportages aan Afnemers conform SLA. 32

34 U.10 Suwi-Meldingen Suwi-meldingen 8 tussen Suwi partijen kunnen verstuurd worden via de Beheerder. In dit geval dient de Beheerder de juiste beveiligingsmaatregelen in acht te nemen. Suwinet Meldingen is de voorziening waarmee berichten betrouwbaar op de juiste bestemming kunnen worden afgeleverd. Bij Suwinet Meldingen gaat om berichten die de daadwerkelijk relevante gegevens bevatten. Er is geen bevraging nodig na het ontvangen van de melding. Een belangrijk verschil tussen signalen en de Suwinet Meldingen is dat er met de Suwinet Meldingen meer informatie uitgewisseld wordt tussen de ketenpartijen. De signalen beperken zich veel meer tot hun signaalfunctie, namelijk een melding dat een gegeven of een situatie veranderd is. De gegevens zelf blijven opgeslagen in de ketenregistratie waar ze thuis horen, maar kunnen uiteraard wel geraadpleegd worden via Suwinet-Inkijk of via andere bevragende applicaties. U.10 Suwi-Meldingen Centraal (ISO: Control) De Beheerder (BKWI) ontwikkelt en onderhoudt een beveiligde voorziening waarmee Suwinet Meldingen gegarandeerd bij geadresseerde afenemers worden Afgeleverd. BIR (aangepast) Bewerkstelligen van de beschikbaarheid, integriteit, en vertrouwelijkheid van de meldingen voorziening en de hiermee uit te wisselen gegevens. Bij niet beschikbaarheid van deze voorziening kunnen Afnemers wettelijke taken niet uitvoeren. functionaliteit 01 De Beheerder onderhoudt de Inkijk functionaliteit op basis van opdracht en vastgestelde requirements van de Bronhouders en Afnemers. GeVS 15.1 BIR/BIG 10.8 (?). 02 De Beheerder ontwikkelt de software voor de Inkijk functionaliteit en voert noodzakelijke ontwikkelstappen zodanig dat de applicatie aan de beveiligingseisen voldoet. 03 De Beheerder stelt de Inkijk functionaliteit beschikbaar op basis door de Bronhouders vastgestelde set gegevens conform wettelijke bepaling. Mechanismen 04 De Inkijk applicatie biedt adequate identificatie, authenticatie en autorisatie mechanismen voor Afnemers 05 De handelingen van de medewerkers van Afnemers in Inkijk worden vastgelegd ten behoeve van log rapportages aan Afnemers conform SLA. 8 De centrale beheerder is alleen verantwoordelijk voor Suwi meldingen die via de centrale GeVS gerouteerd worden. 33

35 U.11 Scheiding van faciliteiten De Beheerder maakt gebruik van de zogeheten OTAP-omgevingen (Ontwikkel-, Test-, Acceptatie- en Productieomgeving). Per omgeving zijn er verschillende verantwoordelijkheden en worden er specifieke activiteiten verricht.. Deze OTAP-omgevingen kunnen in beheer zijn bij externe providers. Hierbij blijven de aan deze omgevingen gestelde eisen onverkort van toepassing. In het kader van de Suwi uit te wisselen gegevens is het een vereiste dat de - gegevens die herleidbaar zijn tot natuurlijke personen slechts in de productie omgeving beschikbaar gesteld mogen worden. U.11 Scheiding van faciliteiten (ISO: Control) De Beheerder behoort voor de uit te wisselen Suwi-gegevens OTAP omgevingen beschikbaar te stellen. Centraal en Decentraal ~ Wbp Ervoor zorgen dat per omgeving de juiste type gegevens worden verwerkt. Er kan onrechtmatig gebruik worden gemaakt van produktiedata. OTAP omgevingen 01 De OTAP omgevingen zijn gescheiden van elkaar. Bir/Big 02 De Beheerder toets of er geen productiegegevens in de OTA omgevingen worden gebruikt waarbij afwijkingen aan de Secuirity Officers van de aanleverende en beherende partij worden gemeld. ~ (1,2, 3) Bir/Big Ir~ U.12 Classificatie van informatie Informatie uit authentieke bronnen die door specifieke bronhouders worden beheerd en via de GeVS ter beschikking worden gesteld aan de Beheerders, kennen verschillende risicoklassen. De bepaling van de classificatie t.b.v. de risicoklassen, waaronder gegevens ressorteren, vindt plaats op basis van wettelijke eisen, de waarde en onmisbaarheid voor de organisatie en de gevoeligheid van de gegevens (bijv. persoonsgegevens). Deze gegevens worden door Beheerders via de GeVS gebruikt en ook geregistreerd binnen hun eigen technische domein. In verband met het risico op imagoschade voor de gehele keten en voor de Minister moet de classificatie van de via de GeVS uitgewisselde gegevens bij het verwerken door de Beheerder minimaal hetzelfde niveau hebben als de classificatie die bronhouder voor deze gegevens heeft aangegeven. Dit impliceert ook dat de organisatie - in lijn hiermee - de juiste maatregelen heeft genomen aangaande het aanvaardbaar gebruik van bedrijfsmiddelen en persoonsgegevens. Definities Stelselverantwoordelijke: Voor de GeVS is SZW de eindverantwoordelijke en de Suwi-partijen zijn gezamenlijk de operationeel verantwoordelijke (UWV, SVB en Gemeenten), 34

36 Bronhouder : De organisatie die gegevens aanlevert: zoals: UWV, SVB, Gemeenten, KVK, RDW en BRP. B.13 Classificatie van Informatie Centraal en (ISO: Control) De Beheerder verwerkt de via de GeVS uit te wisselen informatie in overeenstemming met de classificatie-indicatie van Stelselhouders en Bronhouders en houdt ook ermee rekening dat het samenvoegen van gegevens tot een hogere classificatie kan leiden. Te voorkomen dat gegevens op een lager niveau beschermd worden dan aangegeven door de Stelselhouders en Bronhouder(s). Decentraal Gegevens worden op een lager niveau beschermd, dan welke is vastgesteld door de Stelselhouders en Bronhouder(s) en waardoor gegevens onvoldoende zijn beschermd. Classificatie-indicatie 01 De Beheerder past een classificatie (of een rubricering) toe dat aansluit op de classificatie-indicatie van de Bronhouders. 02 De Beheerder treft overeenkomstig het classificatieprofiel van de uit te wisselen gegevens de juiste technische beveiligingsmaatregelen in overeenstemming met de risicoclassificatie die door de Stelselhouders en Bronhouder(s) is aangegeven. BIG BIG (1 en 2) aanvullend 35

37 U.13 Server Een server is een computer inclusief programmatuur dat diensten verleent aan clients. In de eerste betekenis wordt met server de fysieke computer aangeduid waarop een programma draait dat deze diensten verleent. In de praktijk wordt een server gezien als een combinatie voor van hardware, software en gegevens. De servers worden beheerd door de beheerders (BKWI, IB en eventuele providers). Hiervoor hebben ze vaak speciale bevoegdheden. De servers bieden over het algemeen verschillende functionaliteiten en beschikken vaak over verschillende kenmerken (features) waarmee de gewenste functionaliteiten kunnen worden aangeboden. Het is vanuit beveiligingsoogpunt van belang om de toegang tot servers adequaat te regelen en de niet noodzakelijke features uit te schakelen, te blokkeren of te elimineren. U.13 Server Centraal en (ISO: Control) De bij BKWI en IB beheerde servers worden gehardend volgens een vastgestelde configuratiebaseline. Decentraal SoGP Bewerkstelligen van de beschikbaarheid, integriteit, en vertrouwelijkheid van de servers, hun functionaliteit en data. De performance van de servers kan negatief worden beïnvloed door niet benodigde functionaliteit en van eventuele zwakheden kan misbruik gemaakt worden. Conformiteitsindicatoren en Maatregelen Servers 01 Suwinet servers zijn voorzien van up to date anti-malware software. GeVS Het is voor ongeautoriseerden niet mogelijk om (zich) toegang te verschaffen tot de server (machine). 03 Het is voor ongeautoriseerden niet mogelijk om de inhoud van het filesysteem van de Suwinet servers op te vragen. Hardening 03 - Suwinet servers zijn gehardend en beschermd tegen ongeautoriseerd toegang door: - uitschakelen van niet noodzakelijke (en onveilige) user accounts, SoGP GeVS 20.3 SoGP - veranderen van beveiliging gerelateerde parameters ( zoals passwords), - gebruik van time-out faciliteiten, - beperken van toegang tot krachtige systeem faciliteiten, - beperken van het gebruik van protocollen die gevoelig zijn voor misbruik, - uitschakelen van niet noodzakelijke services. Configuratiebaseline 04 De parametrisering (en hardening) van de Suwinet servers wordt uitgevoerd op basis van een formeel configuratiedocument. GeVS 20. SoGP 36

38 U.14 Netwerkverbindingen Suwi-gegevens worden beschikbaar gesteld via transport kanalen (netwerkverbindingen). Beheerders hebben netwerkverbindingen zowel naar Bronhouders, Afnemers en externe partijen en naar devices (Telewerken). Hierbij wordt onderscheid gemaakt in logische en fysieke verbindingen. In het kader van het transport van Suwi-gegevens ligt de nadruk op de veiligheid van logische verbindingen. Deze verbindingen moeten voldoen aan specifieke beveiligingseisen zoals geautoriseerde toegangsbeveiliging en encryptie. Encryptie komt tot uitdrukking in de toepassing van een bepaald protocol voor de beveiliging van de verbinding. U.14 Netwerkverbindingen Centraal en (ISO: Control) De Beheerder behoort alle netwerkverbindingen waarover Suwigegevens worden uitgewisseld beveiligd te hebben tegen ongeautoriseerde toegang overeenkomstig het Suwi-Aansluitbeleid. Het voorkomen van ongeautoriseerde toegang tot gegevens of het verstoren van netwerkdiensten. Ondanks het besloten karakter van de Suwinet bestaat het risico dat ongeautoriseerden zich toegang kunnen verschaffen tot netwerkcomponenten of uitgewisselde gegevens. Decentraal BIG Beveiligd 01 De GeVS verbindingen zijn tweezijdig versleuteld (met TLS) De techniek van versleuteling van de gegevens wordt uitgevoerd op basis van pas-toe-of-leg-uit lijst van het forum standaardisatie (2 en3) B.01 Toelichting : Pas-toe-of-leg-uit lijst: Zie toelichting op bij control U.02 (Suwi-gegevens) U.15 Telewerken Het breder en intensiever inzetten van e-dienstverlening, mobiele apparaten en telewerken stelt de Beheerder in staat aan te sluiten bij de hedendaagse eisen van medewerkers en klanten. Ook werken medewerkers van de Beheerder steeds meer samen met andere overheidsmedewerkers. Mobiele apparaten en netwerken die deze ontwikkelen ondersteunen zijn extra gevoelig, tegelijkertijd zijn de bedreigingen vanuit de buitenwereld toegenomen. Het gevolg van deze ontwikkelingen is dat de beveiligingsrisico s voor ketenpartijen groter zijn geworden. Daardoor bestaat meer kans op schade voor de omgeving van de Beheerders. Daarom is het van belang specifieke eisen te stellen aan telewerk voorzieningen. 37

39 U.15 Telewerken Centraal en (ISO: Control) Beheerder heeft richtlijnen en procedures voor telewerken uitgewerkt en geïmplementeerd. Decentraal Bewerkstelligen dat Suwi-gegevens bij transport en gebruik van telewerkvoorzieningen beschermd zijn. Ongeautoriseerde personen kunnen toegang krijgen tot uitgewisselde gegevens. Operationele richtlijnen 01 De Beheerder heeft richtlijnen uitgewerkt voor Suwinet-diensten die vanuit telewerkvoorzieningen mogen worden verwerkt of geraadpleegd. 02 Beheerder ondersteunt haar richtlijnen voor telewerken met gedragsregels aangaande het transport, de gebruikte producten en het gebruik van Suwigegevens. 04 De telewerkvoorzieningen zijn, in relatie tot de GeVS, zo ingericht dat op de werkplek (thuis of op een andere locatie) geen Suwinet-gegevens wordt opgeslagen ( zero footprint ). 05 De telewerkvoorzieningen zijn, in relatie tot de GeVS zo ingericht dat mogelijke malware vanaf de werkplek niet via GeVS verspreid kan worden. BIG BIG Big [A] Big Het telewerken wordt beheerd met faciliteiten voor de ondersteuning van de richtlijnen (bijvoorbeeld een MDM-oplossing (Mobile Device Management)). 38

40 4. Control Inleiding De Beheerders zullen een adequate beheerorganisatie hebben ingericht, waarin evaluatie activiteiten ten aanzien voorzieningen in het uitvoeringsdomein worden uitgevoerd en beheerprocessen zijn vormgegeven. De evaluatie activiteiten hebben betrekking op de actualisering van beveiligingsbeleid en aansluitingsbeleid. De beheer- en beheersactiviteiten betreffen o.a. evaluatie/beoordeling van aansluitingsbeleid, risicomanagement, beoordeling van toegangsrechten, wijzigingsbeheer, technisch en organisatorische naleving van IAA. Deze beheerprocessen - en beheersactiviteiten zorgen, in principe, ervoor dat deze ICTcomponenten steeds veilig zijn geconfigureerd en dat het gewenste beveiligingsniveau behouden blijft. Deze ICT-beheerprocessen moeten op basis van service managementbeleid zijn ingericht. De doelstelling van de laag control (beheersing) is erop gericht te zorgen en/of vast te stellen dat: de Beheerder haar omgeving zodanig heeft ingericht dat kwetsbaarheden binnen haar infrastructurele omgeving niet doorwerken in overige delen van de GeVS, de Beheerder het juiste beveiligingsniveau van technische componenten ten aanzien van toegangsvoorziening, applicatie, koppelingen, platformen en servers en netwerken heeft geïmplementeerd, de Beheerder evaluatieactiviteiten verricht om blijvend aan de overeengekomen condities en randvoorwaarden te kunnen voldoen, de Beheerder aantoonbaar de via de GeVS verkregen gegevens slechts rechtmatig gebruikt. s Door het ontbreken van noodzakelijke maatregelen binnen het beheersingsdomein is het niet zeker dat de -omgeving aan de beoogde beveiligingsvoorwaarden voldoet. Beveiligingsrichtlijnen Binnen de laag Beheersing worden onderstaande richtlijnen beschreven en per richtlijn worden conformiteitsindicatoren en de betreffende implementatie en audit elementen uitgewerkt. Domein Nummer Objecten C.01 Evaluatie op Aansluitbeleid C.02 management C.03 Incidentmanagement C.04 Wijzigingenbeheer Controldomein C.05 Beoordeling van toegangsrechten C.06 Logging C.07 Monitoring en rapportage C.08 Evaluatie van IAA rapportages C.09 Transparantie rapportage C.10 Totaal rapportage 39

41 C.01 Evaluatie van aansluitbeleid Het is van belang dat de gebruikersomgeving van de Beheerder continue aan de meest actuele beveiligingseisen voldoet. Het kan voorkomen dat op basis van interne of externe ontwikkelingen de aansluitvoorwaarden moeten worden aangepast. Enerzijds is het daarom van belang dat het aansluitbeleid, in samenwerking met belanghebbenden, geëvalueerd wordt. Anderzijds is het van belang om periodiek vast te stellen in hoeverre aan de verplichtingen uit het aansluitbeleid wordt voldaan en/of in hoeverre die worden nagekomen. C.01 Evaluatie van aansluitbeleid Centraal en (ISO: Control) (De implementatie van) het aansluitbeleid wordt periodiek beoordeeld op veranderingen in de wetgeving, wijziging van functionaliteit en uit te wisselen gegevens en veranderde technologiën. Decentraal BIG Bewerkstellingen dat de getroffen beveiligingsmaatregelen continue voldoen aan het juiste beveiligingsniveau. De getroffen beveiligingsmaatregelen kunnen ontoereikend zijn in relatie tot aangescherpte wetgeving, verandering van risicoklasse van gegevens en de toegepaste technologieën. Conformiteitsindicatoren en Maatregelen Periodiek 01 De organisatie beoordeelt minimaal jaarlijks of de bescherming van eigen delen van de GeVS moet worden aangepast, en frequenter, wanneer risico s substantieel zijn gewijzigd. Verandering 02 Periodiek wordt geëvalueerd of wet- en regelgeving of de risicoklasse van de via de GeVS beschikbaar gestelde gegevens zodanig zijn gewijzigd, dat de bescherming van eigen delen van de GeVS moet worden aangepast. 03 De organisatie evalueert regulier op basis van inzicht van haar eigen ICT omgeving, technologie ontwikkelingen (en waar mogelijk in ontwikkelingen op het gebied van cyber security) of de geïmplementeerde technische maatregelen adequaat zijn. 04 Het aansluitbeleid, wordt periodiek geactualiseerd op basis van evaluaties van de geïmplementeerde aansluitvoorziening, veranderingen in technologische vereisten, veranderingen in aan wetgeving en keten-brede afspraken (aansluivoorwaarden). C.02 management management omvat de activiteiten binnen de decentrale organisatie (Beheerders) die erop gericht zijn om de risico s die gerelateerd zijn de eigen delen van de GeVS te beheersen. De risico s zijn weer afhankelijk van de kwetsbaarheden van de GeVS componenten en de infrastructuur waarin deze kwetsbaarheden zich bevinden. Het is dan ook belangrijk dat de beveiligingsbehoeften aan de hand van een risicoanalyse worden bepaald. Een risicoanalyse is het systematisch beoordelen van: de schade die kan ontstaan door een beveiligingsincident als de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie en andere bedrijfsmiddelen wordt geschonden; 40

42 de waarschijnlijkheid dat een beveiligingsincident optreedt rekening houdend met de aanwezige bedreigingen, kwetsbaarheden en de getroffen maatregelen. Het is belangrijk om de beveiligingsrisico s en geïmplementeerde maatregelen periodiek te evalueren, om: in te kunnen spelen op wijzigingen in bedrijfsbehoeften en prioriteiten, nieuwe bedreigingen en kwetsbaarheden te bepalen, te bevestigen dat maatregelen nog steeds effectief en geschikt zijn, het geaccepteerd risico te kunnen vaststellen. Bij het vaststellen van de risico s is het van belang dat de Beheerder rekening houdt met de risicoklasse 9 van de gegevens van de bronhouders. C.02 management Centraal en (ISO: Control) Bij de beoordeling van de te treffen maatregelen ofwel risicomanagement houdt de Beheerder rekening met de risicoklasse van de gegevens die worden uitgewisseld. Decentraal Bir H4 Voorkomen dat partijen een lager risicoklasse niveau hanteren aangaande de GeVS beschikbaar gestelde gegevens, dan door de bronhouders is aangegeven. Door het niet beheren en beheersen van risico s bestaat de mogelijkheid dat partijen onacceptabele schade leiden. klasse 01 Bij aanschaf en of wijziging van informatiesystemen in relatie tot de GeVS wordt rekening gehouden met de door de bronhouder(s) meegegeven risicoklasse. 02 De organisatie ziet erop toe dat via de GeVS ontvangen gegevens beschermd zijn op minimaal het door de bronhouder(s) aangegeven niveau. Bir/Big Bir/Big C.03 Incidentmanagement In relatie tot de beveiliging moeten alle vermoedens van incidenten en zwakheden gemeld en afgehandeld worden. Incidentmanagement is het proces voor het beheersen van verstoringen en onderkende zwakheden en richt zich op het verhelpen hiervan. Wanneer sprake is van een repeterend incident, of dat extra kennis voor het oplossen van een storing is vereist, dient dit door de tweedelijnsondersteuning (Problemmanagement) te worden opgelost. De centrale beheerder GeVS draagt zorg voor de totstandkoming van ketenbrede afspraken, onder andere m.b.t. incidentmanagement, die in een GeVS keten SLA worden vastgelegd die ter ondertekening wordt voorgelegd aan GeVS-ketenpartijen. 9 gebaseerd op risicoklasse AV23 41

43 C.03 Incident Management Centraal en (ISO:Control) Het Incidentmanagement is procesmatig en procedureel zodanig ingericht dat (beveiligings-)incidenten tijdig worden opgemerkt en adequaat worden behandeld door de betrokken functionarissen, tijdig worden geregistreerd, afgehandeld, gecommuniceerd en gerapporteerd. Decentraal BIR: , BIR , Te bewerkstelligen dat (beveiligings-)incidenten tijdig worden opgelost. Het niet tijdig oplossen van incidenten heeft een negatieve impact op de beschikbaarheid, integriteit en vertrouwelijkheid van Suwigegevens. Dit kan leiden tot productieverlies. Hiernaast kan het leiden tot beperkt inzicht in mogelijke verplichtingen aangaande het melden van datalekken waardoor de organisatie geconfronteerd kan wordt met sancties. Conformiteitsindicatoren en Maatregelen Procesmatig en procedureel 01 Het Incidentenmanagementproces is beschreven, goedgekeurd door het management en toegekend aan een verantwoordelijke functionaris. 02 Er zijn procedures en werkinstructies beschikbaar die incidentbeheerproces (inclusief beveiligingsincidenten) ondersteunen. 03 Er zijn specifieke procedures voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, in combinatie met een reactie- en escalatieprocedure. 04 Er zijn procedures vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten. BIR BIR Beheerder coördineert de afhandeling van alle - gemelde ketenincidenten volgens de in de GeVS Keten SLA gestelde normen. C.04 Wijzigingenbeheer Wijzigingenbeheer richt zich op het zodanig doorvoeren van wijzigingen in ICT-middelen en ICT-diensten (in relatie tot de GeVS) dat de kans op verstoring van de dienstverlening wordt geminimaliseerd en deze dienstverlening blijvend voldoet aan de functionele en beveiligingseisen van belanghebbenden. C.04 Wijzigingenbeheer Centraal en Richtlijn De Beheerder heeft het wijzigingenbeheer procesmatig en procedureel zodanig ingericht dat wijzigingen in relatie tot de GeVS tijdig, geautoriseerd en getest worden doorgevoerd. Decentraal Big/Bir SoGP/Cobit Zeker stellen dat wijzigingen in relatie tot de GeVS op een correcte en gecontroleerde wijze worden doorgevoerd waardoor de veilige werking van de GeVS gegarandeerd blijft. Ongeautoriseerde acties kunnen worden doorgevoerd of acties zijn onvoldoende op elkaar afgestemd, waardoor de betrouwbaarheid van de GeVS in gevaar kan komen. 42

44 Procesmatig en procedureel 01 Alle wijzigingen doorlopen formeel en systematisch alle processtappen: intake, acceptatie, impactanalyse, prioritering en planning, uitvoering (OTAP), bewaking en afsluiting. Big/Bir SoGP/Cobit 02 De Beheerder van de centrale omgeving faciliteert de Suwi-partijen met een webapplicatie (CMK) en overlegorgaan (Keten-CAB) voor het gestructureerd afhandelen van wijzigingsverzoeken. Tijdig 03 Alle wijzigingen worden tijdig en geautoriseerd doorgevoerd in de verschillende OTAP-omgevingen. 04 Wijzigingen met impact op de beveiliging van het ICT landschap worden tijdig beoordeeld en gemeld bij de beveiligingsfunctionaris van de Beheerder. Big/Bir SoGP/Cobit Big/Bir SoGP/Cobit Geautoriseerd 05 Alleen geautoriseerde wijzigingsverzoeken (Request for Change (RFC)) worden in behandeling genomen. Big/Bir SoGP/Cobit Testen 06 Alle wijzigingen worden altijd eerst getest voordat deze in productie genomen. Big/Bir SoGP/Cobit C.05 Beoordeling van toegangsrechten Het is nodig om de toegangsrechten van beheerders regelmatig te beoordelen om de toegang tot GeVS infrastructuur en GeVS diensten doeltreffend te kunnen beheersen. De toekenningen, wijzigingen en gebruik van de toegangsrechten dienen daarom periodiek gecontroleerd te worden. Hiertoe dienen maatregelen te worden getroffen in de vorm: Het voeren van controle activiteiten op de validiteit van de toegekende autorisaties en het gebruik en misbruik van deze autorisaties, het uitbrengen van rapportages aan het management over deze controle activiteiten. C.05 Beoordeling van toegangsrechten Centraal en Criterium Het verantwoordelijke management behoort de toegangsrechten van beheerders tot de GeVS-diensten regelmatig te beoordelen in een formeel proces (cyclisch proces). Decentraal BIG/BIR: Het vaststellen of: de autorisaties en veranderingen hierin juist en tijdig zijn aangebracht, de juiste functiescheiding zijn toegepast en voldaan wordt aan de principes van doelbinding en proportionaliteit, oneigenlijk autorisatie-toekenningen hebben plaatsgevonden. Bij het ontbreken van controle op de toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd worden. Bij het ontbreken controles op het gebruik van autorisaties wordt misbruik niet gesignaleerd. 43

45 Toegangsrechten 01 Beheerder heeft een actuele matrix beschikbaar waaruit blijkt welke beheerders welke rechten op beheeractiviteiten hebben met betrekking tot GeVS-diensten. 02 Uit de actuele autorisatiematrix blijkt aan welke type functionaris welke rol(len) zijn toegekend en voor welk doel. Beoordelen 03 Beheerder controleert periodiek de toegangsrechten van medewerkers met toegang tot de GeVS. Big/Bir (R) De beoordelingsrapportage bevat kwetsbaarheden, zwakheden, mogelijk misbruik en verbetervoorstellen en wordt gecommuniceerd met verantwoordelijk management. 05 Kwetsbaarheden, zwakheden worden toegelicht en verbetervoorstellen worden geprioriteerd op basis van risico s en hierover wordt een actielijst samengesteld 06 Beheerder controleert regulier de rechtmatigheid van het gebruik van toegekende autorisaties. Formeel cyclisch proces 07 De Beheerder heeft een formeel controle proces vastgelegd en vastgesteld welk onder andere behandelt: planning, uitvoering van scope, rapporteren en bespreken van verbetervoorstellen. 08 De Beheerder heeft de taken en verantwoordelijkheden van functionarissen die betrokken zijn bij het evaluatieproces vastgelegd en vastgesteld. 09 De autorisatiematrix wordt minimaal jaarlijks op juistheid, tijdigheid en volledigheid beoordeeld en formeel bekrachtigd door het verantwoordelijk management. C.06 Logging Logging is het proces voor het registreren van technische activiteiten en gebeurtenissen. Hiermee kunnen achteraf fouten, onrechtmatig gebruik en ongeautoriseerde toegangspogingen tot Suwinet-diensten worden gesignaleerd. Het loggen in relatie tot de GeVS heeft specifieke aandacht voor het kunnen vaststellen van de rechtmatigheid van toegekende rechten en het gebruik hiervan. C.06 Logging Centraal en (ISO:Control) Activiteiten van gebruikers of beheerders of applicaties behoren te worden vastgelegd in audit-logbestanden en te worden bewaard ten behoeve van controles. Decentraal BIR en Alle handelingen die betrekking hebben op gebruikers en beheerders moeten herleidbaar zijn naar individuele personen (gebruikers Suwinet Inkijk en Beheerders GeVS-diensten) of applicaties (Suwinet Inlezen). Zonder vastlegging en bewaking kan achteraf niet worden vastgesteld wie bepaalde handelingen heeft uitgevoerd. 44

46 Activiteiten 01 Alle activiteiten van gebruikers of applicaties die gerelateerd zijn aan het gebruik van vertrouwelijke informatie middels GeVS-diensten worden gelogd. BIG/BIR Alle Activiteiten van beheerders en gebruikers met speciale bevoegdheden (gebruikerbeheerders Suwinet-Inkijk) worden gelogd. Audit-Logbestanden 03 Logbestanden van het autorisatiebeheersysteem bevatten informatie over wanneer en door wie of wat welke handelingen zijn uitgevoerd. 04 Alle uitzonderingen en informatiebeveiligingsgebeurtenissen worden vastgelegd in audit-logbestanden. 06 Een logregel aangaande een handeling bevat minimaal: De datum en het tijdstip van de handeling; Een tot een natuurlijk persoon herleidbare gebruikersnaam of ID, of applicatie-id; De handeling; Het object waarop de handeling werd uitgevoerd; Het resultaat van de handeling. 07 Een logregel aangaande een gebeurtenis bevat minimaal: De datum en het tijdstip van de gebeurtenis; De gebeurtenis; Het object en identiteit van het object waarop de gebeurtenis plaatsvond; Het resultaat van de gebeurtenis. BIR BIR BIG/BIR BIG/BIR Log-faciliteiten en informatie in logbestanden worden beschermd tegen onbevoegde toegang. Bewaard 09 De logbestanden worden zodanig beschermd dat de informatie in deze bestanden zo nodig ontvankelijk is voor de rechtbank. 10 De logbestanden worden gedurende een afgesproken periode 10 bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. C.07 Monitoring en rapportage Onder monitoren wordt verstaan: signaleren, analyseren en rapporteren. In het kader van GeVS is het begrip bijsturen hieraan toegevoegd om gevolg te geven aan voorgestelde verbeteracties. Het monitoren van gebruikers- en beheerdersactiviteiten heeft tot doel ongeautoriseerde toegangspogingen tot GeVS-diensten en ongeautoriseerd gebruik van deze diensten tijdig te signaleren en op basis van de ernst van de signalering acties te ondernemen. De monitoringsfunctie moet voorbehouden zijn aan een daartoe verantwoordelijke functionaris. 10 Momenteel vastgesteld op 18 maanden. (Zie aansluitvoorwaarden?) 45

47 Monitoring vindt mede plaats op basis van geregistreerde gegevens (logging). De geregistreerde gegevens dienen te worden geanalyseerd en te worden gerapporteerd (alerting). Alerting kan ook geautomatiseerd op basis van vastgestelde overschrijding van drempelwaarden. C.07 Monitoring en rapportage Richtlijn De log-informatie wordt regelmatig gemonitord (signaleren, analyseren rapporteren en bijsturen) Bewerkstelligen dat tijdig correctieve maatregelen kunnen worden getroffen en relevante informatie te kunnen verschaffen over activiteiten van gebruikers, applicaties en beheerders van de Suwinet-diensten en vaststellen of oneigenlijk gebruik of misbruik is gemaakt van autorisatie. Afwijkingen niet worden gesignaleerd en derhalve niet kunnen worden aangepakt. Big/Bir Signaleren, analyseren 01 Beheerder analyseert periodiek en actief: - de gelogde gebruikersgegevens ten aanzien van het gebruik van GeVSdiensten Big/Bir het optreden van verdachte gebeurtenissen en mogelijke schendingen van de beveiligingseisen; - eventuele ongeautoriseerde toegang tot en wijzigingen/verwijderen van (log-) bestanden. 02 De verzamelde log-informatie wordt in samenhang geanalyseerd. Big/Bir 03 Periodiek worden de geregistreerde gebruikers- en beheerdersactiviteiten en systeemacties geanalyseerd. 04 Periodiek worden de geanalyseerde en beoordeelde gelogde (gesignaleerde) gegevens aan de systeemeigenaren en/of aan het management gerapporteerd. Rapporteren Big/Bir De rapportages uit de beheerdisciplines compliancymanagement, vulnerability assessment, penetratietest en logging en monitoring worden op aanwezigheid van structurele risico s geanalyseerd en geëvalueerd. 06 De rapportage bevat informatie over kwetsbaarheden, zwakheden en misbruik en wordt gecommuniceerd met verantwoordelijk management. Big/Bir Big/Bir Op basis van analyses worden verbeteringsvoorstellen gedaan. Bijsturen 08 Beheerder geeft aantoonbaar opvolging aan verbeteringsvoorstellen vanuit de analyserapportages. 09 Het beveiligingsplan wordt jaarlijks conform P&C cyclus, of als uit geconsolideerde rapportages aanleiding toe is, geactualiseerd. 10 De Beheerder heeft de verantwoordelijkheid voor het realiseren van (delen) van het geactualiseerd beveiligingsplan in relatie tot de GeVS belegd. Big/Bir Big/Bir Big/Bir

48 C.08 Evaluatie van IAA rapportages (organisatorisch en technisch) In het Suwi-domein is het veilig inrichten en beheersen van identificatie, authenticatie en autorisatie (IAA) voor het gebruik van GeVS-diensten essentieel. Het is van belang om op basis van rapportages verkregen vanuit deze technisch en organisatorische invalshoeken te evalueren of er zich geen afwijken in de IAA beheersingsproces voordoen en of er structurele maatregelen noodzakelijk zijn. Aan IAA wordt aandacht geschonken vanuit zowel organisatorisch perspectief (C.03 Beoordeling van toegangsrechten) als technisch perspectief (C.04 Logging C.05 Monitoring en rapportage). C.08 Evaluatie van IAA (organisatorisch en technisch) (ISO:Control) De Beheerder voert periodiek evaluaties op de technische en organisatorische beoordelingsrapportages en neemt noodzakelijke verbeteracties. Bewerkstelligen dat zich geen leemtes in de beveiliging van IAA mechanismen voordoen. Zonder evaluaties van beide type rapportages bestaat het risico dat IAA mechanismen niet ingericht zijn conform de beveiligingseisen en dat zich afwijkingen en of bedreigingen hebben voorgedaan waartegen maatregelen moeten worden getroffen. obv notitie project Periodiek evaluaties 01 De systeem-verantwoordelijke rapporteert periodiek over de beveiliging en het rechtmatig gebruik van zijn systeem aan de bestuurlijk verantwoordelijke (portefeuille houder) aan de hand van o.a. beoordelings- en logging en monitoringsrapportages. 02 De systeem-verantwoordelijke, die de controle uitvoert op de implementatie van de toegangsrechten, rapporteert periodiek de controlerapportages aan de procesverantwoordelijke of aan het verantwoordelijke management. Verbeteracties 03 De verantwoordelijke functionaris evalueert deze rapportages, bespreekt de eindrapportages over de inrichting van IAA mechanismen met het management en neemt noodzakelijke verbeteracties. 04 Vermoedens van misbruik (bijv. van autorisaties) worden met de betrokkene(n) besproken en bij het vaststellen van misbruik worden passende maatregelen getroffen. obv notitie project obv notitie project obv notitie project obv notitie project C.09 Transparantie rapportage Transparantie en verantwoording zijn instrumentele functies ten behoeve van besturing. Het zijn relaties tussen Principal (Bestuurder) en Agent (Uitvoerder). Afnemers en Bronhouders hebben te maken met Transparantie- en/of Verantwoordingsfunctie. Transparantie is gericht op het bieden van informatie over de sturing, implementatie en beheersingsaspecten van de gebruikte Suwinet-diensten aan BKWI.BKWI beschouwt de Transparantie rapportage als kennisgeving (Principe: recht tot het vernemen van kennis). Verantwoording is een middel om over de mate van in control zijn een verklaring af te geven Met deze zogeheten In Control verklaring (ICV) verstrekt de RvB (bijv. ZBO) aan de 47

49 minister van SZW of College (bij een Gemeente) aan de Gemeenteraad het signaal greep te hebben op de sturing van de dienstverlening en de informatiebeveiliging Een (bij de NOREA) geregistreerde IT auditor beoordeelt de ICV, en mogelijke bijbehorende TPM s, op getrouwheid en geeft daarmee een getrouwheidsverklaring (GV) af. GV en de ICV maken onderdeel uit van het Jaarverslag. (Principe: recht tot het ontvangen van een uitspraak en laten acteren n.a.v. de uitspraak ). In het kader van GeVS kunnen we onderscheid maken tussen verschillende type Bronhouders en Afnemers. Tabel 2 geeft een overzicht van de transparantie en verantwoording verplichtingen. Organisatie Afnemers/ Bronhouders Instrumentele functie Ontvanger van Verantwoording- /Transparantie Rapportages Uitvoering College B&W Gemeenten Type-G Verantwoording Gemeenteraad Transparantie S BKWI Uitvoering RvB ZBO Type-Z Verantwoording Min. SZW Transparantie BKWI Uitvoering Directie Overigen Type-O Verantwoording Eigen bestuurlijk verantwoordelijke Transparantie SBKWI Tabel 2 Overzicht horizontale en verticale informatie verschaffing (Transparantie en Verantwoording) Zowel Transparantie- als de Verantwoordingsrapportage bevatten relevante informatie over de onderwerpen die in de voornoemde domeinen zijn beschreven. Het doel is de onderwerpen in samenhang te evalueren vanuit zowel organisatorische als vanuit technische invalhoek en de resultaten samenvattend weer te geven in een rapportage. Dit rapportage moet zo informatie bevatten over de opzet, bestaan en werking van de maatregelen die bij elke criterium behoren. C.09 Transparantie rapportage Centraal (ISO:Control) Het management van de Beheerders publiceren en/of leveren aan betrokken partijen jaarlijks een transparantierapportage conform een afgesproken format. Het geven van inzicht in de beveiliging van de GeVS en dat er gehandeld wordt binnen het afgesproken normenkader. Niet goed beveiligde GeVS door incompliance aan het normenkader. obv notitie project 48

50 Conformiteitindicatoren en maatregelen Management 01 Het management monitort en evalueert de transparantierapportage en ziet toe op de juistheid van de inhoud van de rapportage en dat deze tijdig wordt uitgebracht. Transparantierapportage 02 De transparantierapportage geeft inzicht in evaluaties van de beleids-, implementatie- en beheersingsmaatregelen met betrekking tot opzet, bestaan en werking. obv notitie project obv notitie project 03 De samenstelling van de transparantie- en verantwoordingsrapportage komt tot stand op basis van informatie verkregen uit interne- en externe bronnen (Externe uitbestede partij) en beoordelingen die binnen verschillende domeinen zijn verricht. 04 De Transparantierapportage wordt vergezeld van een ICV Toelichting: Transparantierapportage: Bij gemeentes vindt de Transparantierapportage bij voorkeur plaats volgens rapportage die door ENSIA wordt voorgedragen. Opmerkingen Over het onderwerp Transparantie moet nog de nodige besluitvorming plaatsvinden. Het zal besloten worden in het opdrachtgeversberaad. In dit document is de kwestie met betrekking tot het gebruik van Ensia assessment resultaten, als onderdeel van assurance, nog niet geadresseerd. C.10 Totaal rapportage De beheerder van de centrale omgeving van de GeVS stelt jaarlijks een overzicht op over de beveiliging van de GeVS. Deze rapportage wordt samengesteld conform een vastgesteld format en op basis van: - de eigen transparantierapportage (van de centrale omgeving), - ontvangen transparantierapportages van de beheerder van de decentrale omgeving, - ontvangen transparantierapportages van de Afnemers. C.10 Totaal rapportage (ISO:Control) Het management van de Beheerder van de centrale omgeving van de GeVS brengt jaarlijks een totaalrapportage van de beveiliging van de GeVS uit op basis van de ontvangen transparantierapportages van de Beheerders en de afnemers. Het geven van inzicht in de beveiliging van de GeVS en dat er gehandeld wordt binnen het afgesproken normenkader. Niet goed beveiligde GeVS door incompliance aan het normenkader. obv notitie project Conformiteitindicatoren en maatregelen totaalrapportage 01 Het management van de centrale omgeving stelt jaarlijks een totaalrapportage op over de beveiliging van GeVS welke inzicht geeft in tot opzet, bestaan en werking van de beleids-, implementatie- en beheersingsmaatregelen. obv notitie project 49

51 02 De totaalrapportage is samengesteld uit de aangeleverde transparantie rapportage en uitgebracht aan de Min. SZW, het Ketenoverleg en publiceert ten behoeve van betrokken partijen. 50

52 Bijlage 1: Overzicht van objecten binnen Beleids-, Uitvoerings-, en Control domein Laag Intentie-invalshoek Functie- invalshoek Gedrag-invalshoek Structuur- invalshoek Views: IFGS Waarom Wat (Wat moet er gedaan worden) Hoe t.a.v. gedrag Hoe t.a.v. structuur Beleidsdomein Beleid Suwi-Aansluitbeleid (B.01) Taken en Taakvereisten Taken, Verantwoordelijkheden en Functiescheidng (B.05) Architectuur Suwilandschap-Landschap (B.08) GeVS Toegangsbeleid Org. Functie (condities en randvoorwaarden) GeVS Toegagsbeleid (B.02) Suwi-beveiligingsfunctie (B.06) Assessment Naleving en Compliancy Aansluit beleid (B.03) Proces Transparantie(rapportage) (obv overeenkomst) (B.07) Externe Stakeholder Externe partij (B.04) Uitvoeringsdomein Beleid Ketenstandaarden (U.01) Proces Autorisatie Beheerproces, (Administratie) (U.03) Interactie Toegangsmechanisme: Gebruikersidentificatie- en authenticatie (IA) (U.04) Structuur Ketenoverlegstructuur Externe Stakeholder TPM Externe partijen (U.02) Interactie Toegangsmechanisme: Autorisatie (U.05) Message Suwi--berichtenuitwisseling (U.06) Technisch object Suwinet-Mail (U.07) Technisch object Suwi-Inlezen en DKD-Inlezen (U.08) Technisch object Thema = SUWINET (Beheerders) Suwi-Inkijk (U.09) Technisch object Suwi-meldingen (U.10) Omgeving Scheiding van faciliteiten (U.11) Classifcatie Classificatie van Informatie (U.12) Technisch object Server (Intern BKWI) (U.13) Technisch object Netwerkverbindingen (BKWI)Telewerken (U14) Technisch object Telewerken (U15) Controldomein Beleid Evaluatie Aansluitbeleid (C.01) Proces Incident Management (C.03) Historie Logging (C.06) Organisatiestructuur Beheerorganisatie (Controleorganisatie ) Assessment Proces management (C.02) Wijzigingsbeheer (C.04) Proces (Beoordelen) Beoordeling Toegangsrechten (C.05) (Beheerprocessen en Proces (Bewaken/Rapporteren) Evaluaties) Monitoring en Rapportage (C.07) Proces (Evalueren) Evaluatie van IAA Rapportages (C.08) Proces (Rapporteren) Transparantie-rapportage (C.09) Proces (Rapporteren) Totaal-rapportage (C.09) 51

53 Bijlage 2: Welke (de-)centrale componenten kent de GeVS, Welke centrale componenten kent de GeVS Componentnaam Doel 1 Suwinet Besloten netwerk voor samenwerking in de Suwi-keten 2 Suwi Logging Logfaciliteit over gebruik gegevens 3 Suwi Rapportage Rapportage voorziening t.b.v. verantwoording over gegevensgebruik 4 Suwinet Inkijk Overzichtspagina voor het tonen van klantgegevens 5 Suwinet Inlezen Leveren van gegevens in de vorm van vraag- / antwoordberichten 6 Suwinet Meldingen Aanleveren van gegevens in de vorm van push berichten 7 Klantbeeldportlet Inzage voor burgers 8 Suwi Monitor Monitor van bronnen en aanlevering 9 Abonnementenregistratie Service voor afnemers om aan te geven of bepaalde signalen gewenst zijn 10 Suwi Broker Verdeelstation t.b.v. ontsluiten van gegevens 11 Suwinet Mail voorziening voor communicatie over de GeVS 12 Correctieservice Melden bij gerede twijfel over de juistheid aan ketenregistratie 13 Autorisatieservice Persoonsgebonden toegang tot klantgegevens op basis van door bron en afnemer vastgestelde rollen en rechten 14 Authenticatieservice Het identificeren van de gebruiker 15 Filtermechanisme Voorziening t.b.v. implementeren proportionaliteit 16 Fraudescorekaart Fraudescorekaart 17 Ketenbrede Test Omgeving Gemeenschappelijk geheel van testomgevingen zodat integraal kan worden getest 18 Suwi Cache Caching van berichten t.b.v. hergebruik gegevens door een professional i.h.k.v. een wettelijke taak 17 CentraalMeldpunt Ketenwijzigingen (CMK) Een meldvoorziening die door diverse ketenpartijen wordt gebruikt Welke decentrale componenten kent de GeVS Componentnaam Doel 1 Sectorloket Centraal gemeentelijk sectoraal loket 2 Verwijsindex GSDDossierPersoon Ondersteunt uitwisseling van GSDDP / Bijstandsregelingen berichten 3 IB Broker Centraal gemeentelijk verdeelstation 4 GSDDossierPersoon monitor Aanlevermonitor 5 KBS / SIP Geautomatiseerde afhandeling van vraag/antwoord verzoeken uit het Suwi netwerk 52

54 Bijlage 3: Afhankelijkheden tussen de betrokken partijen 53