Samenwerking in Uitvoering

Maat: px

Weergave met pagina beginnen:

Download "Samenwerking in Uitvoering"

Barbara Christiaens
4 jaren geleden
Aantal bezoeken:

1 Centrum Informatiebeveiliging & Privacy Samenwerking in Uitvoering Ad Reuijl, 9 oktober 2013 Security Congres ISACA, PvIB, NOREA

2 Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke context q Voortschrijdende ontwikkeling q CIP Cyber Security Platform

3 Aanleiding De digitale wereld geeft behalve dienstverlening en gemak ook uitdagingen Diginotar Pobelka Lektober DDoS

4 Aanleiding Toenemende afhankelijkheid overheidsdienstverlening van het internet, mobile devices,ed. Toenemende (organisatiegraad van) cyber crime Ergo: voelbare toename van risico s op het gebied van misbruik van persoonsgegevens en continuiteit van dienstverlening

5 Opdracht Stuurgroep Compacte Rijksdienst UWV, SVB, DUO en Belastingdienst/Toeslagen richten op zeer afzienbare termijn gezamenlijk een expertisecentrum op voor informatiebeveiliging en bescherming van persoonsgegevens. Dit expertisecentrum bundelt kennis, ervaringen en schaarse menskracht. Dit expertisecentrum staat ook open voor andere uitvoeringsorganisaties. De betrokken uitvoeringsorganisaties leveren voor bovengenoemde expertisecentra de mensen en het geld uit de bestaande middelen.

6 Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke context q Voortschrijdende ontwikkeling q CIP Cyber Security Platform

uitvoerders en op het in vertrouwde handen zijn van hun gegevens.

7 Doelstellingen CIP Achterliggend belang Ø Uitvoerders kunnen elkaar vertrouwen op het gebied van de integriteit, en beschikbaarheid van hun onderlinge gegevensstromen Ø Burgers kunnen vertrouwen op de dienstverlening van de uitvoerders en op het in vertrouwde handen zijn van hun gegevens. CIP Faciliteert dit door q werken aan gezamenlijke afspraken en normatiek q het aanbieden en toegankelijk maken van kennis en practices q Het bouwen aan een IB-community in de overheid

8 Scope Randvoorwaarden/begrenzing Participanten zelf verantwoordelijk voor IB&P Geen dingen doen die bij andere overheidsinstellingen belegd zijn (bijv. NCSC), maar: Samenwerking met deze partijen ter maximalisatie van het nut voor Participanten

9 Netwerkorganisatie Kennispartners Participanten Vaste kern Privacy Domeingroep Awareness Normenkaders Keten- Afhankelijkheden Publiek-Private Samenwerking

10 Overheidsparticipanten en -relaties

11 Kennispartners

12 Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke context q Voortschrijdende ontwikkeling q CIP Cyber Security Platform

13 Bestuurlijke Context Compacte Rijksdienst Manifestgroep Bestuurlijk Overleg Compacte Uitvoering Hervormingsagenda: heel de overheid digitaal in 2017 Taskforce BID: Verplichtende zelfregulering Digivaardig / Digiveilig: Alert Online

14 Taskforce BID (Bewustwording Informatieveiligheid Dienstverlening) Minister Ronald Plasterk van Binnenlandse Zaken en Koninkrijksrelaties (BZK) zet twee jaar lang een taskforce aan het werk om ministeries, gemeenten, provincies en waterschappen te helpen bij het verbeteren van hun informatiebeveiliging De taskforce gaat nauw samenwerken met het NCSC en met initiatieven als de gemeentelijke Informatiebeveiligingsdienst (IBD) en het Centrum Informatiebeveiliging en Privacybescherming (CIP)

15 Taskforce BID Doel De bewustwording versterken van bestuur en managementtop van de eisen aan informatieveiligheid, met name ook vanuit maatschappelijke en politieke risico s. De lange termijn verankering van informatieveiligheid en gerichtheid daarop in de reguliere processen en informatieketens te versterken, waarbij gerichtheid op weerbaarheid en herstel deel zijn van die verankering. Een verplichtende vorm van zelfregulering per domein is het beoogde einddoel van die verankering. Verplichtend karakter op gespannen voet met samenwerkingsmodel CIP?

16 Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke context q Voortschrijdende ontwikkeling q CIP Cyber Security Platform

17 Doelen bij verdere ontwikkeling De Droom (2013/2014) 1. Participanten zoeken eerst hergebruik in CIP-Netwerk 2. Indien niet mogelijk: Comaking 3. Indien dit praktisch onmogelijk is: zelf maken en beschikbaar stellen in CIP-Netwerk 2013: Concrete, nuttige producten door domeingroepen Ondersteuning Emergency Response Samenwerking en krachtenbundeling ter verhoging van de veiligheid van de e-dienstverlening en bescherming van persoonsgegevens in de overheid è meer vertrouwen bij burgers

18 Doelen bij verdere ontwikkeling De Droom (2013/2014) 1. Participanten zoeken eerst hergebruik in CIP-Netwerk 2. Indien niet mogelijk: Comaking 3. Indien dit praktisch onmogelijk is: zelf maken en beschikbaar stellen in CIP-Netwerk 2013: Concrete, nuttige producten door domeingroepen Ondersteuning Emergency Response Samenwerking en krachtenbundeling ter verhoging van de veiligheid van de e-dienstverlening en bescherming van persoonsgegevens in de overheid è meer vertrouwen bij burgers

19 PDC in ontwikkeling Diensten: ondersteuning implementatie Producten voor hergebruik overheid `Werkvormen voor kennisdeling en kennisontsluiting

20 PDC in ontwikkeling Werken aan Weerbaarheid en Herstelvermogen Ontwikkeling Producten & Diensten o.b.v. Practices (zoals doorontwikkeling Normenbibliotheek, CIP Cyber Security Platform, etc) Beheer Producten (zoals Normen bibliotheek, Maturity Assessment, e- Learningomgeving, etc) Uitvoering Diensten (zoals CIP Cyber Security Platform, ondersteuning bij implementatie van.., organiseren oefeningen, etc) Kennis Verwerven (Speurfunctie) Kennis Delen (Conferenties, Rondetafels, Bijeenkomsten Kennispartners, Domeingroepbijeenkomsten Omgevingsmanagement) Kennis Ontsluiten (Website, Samenwerkingsomgeving, CIP-Post. Werken aan Leervermogen Bedrijfsvoering & Governance (interne en externe governance, CRM, ondersteuning PE)

21 Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke context q Voortschrijdende ontwikkeling q CIP Cyber Security Platform

22 Doelstelling De subcommunity CIP-CSP richt zich op het delen van operationele informatie over actuele bedreigingen op het gebied van informatiebeveiliging, ter ondersteuning van kennisuitwisseling en het snel en daadkrachtig nemen van maatregelen. Daarmee wil het platform bijdragen aan het verhogen van de informatieveiligheid bij participanten.

23 De subcommunity CIP-CSP Doelstelling Elkaar richt zich op het delen van operationele informatie over actuele bedreigingen op het gebied van informatiebeveiliging, ter ondersteuning van kennisuitwisseling en het snel en daadkrachtig nemen van maatregelen. helpen met Daarmee wil het platform bijdragen aan het verhogen van de informatieveiligheid bij participanten. informatie

24 Positionering CPS volgens NCSC Expertpool NENCyS NL-ICT CIP CSP Operationeel liaisons Liaisonlaag Individuele deskundigen Expertise liaisons Bedrijven netwerken CIO Platform Kennis netwerken Individuele materie deskundigen

25 Behoeften uit kick-off Periodiek Informatiebeveiligings Overleg (+ faciliteren van communities die deelnemen) Delen best practices en opbouwen lerend vermogen Heads up signalen Focus op Ketens

26 CIP Cyber Security Platform als Schakelorganisatie bronnen informatie verrijking afnemers NCSC informatie CIP netwerk 0-day informatie UWV Belastingdienst schakelorganisaties zoals IBD kennispartners keten informatie analyses CIP- CSP DUO SVB RDW CAK aangesloten overheidsbedrijven informatie uit eigen keuken (of CERT) IBD

27 Samenwerkende partijen

28 Vragen??

29 Detailsheets

30 Activiteiten op het gebied van kennisdeling Voorjaar en najaarconferenties Domeingroepen, geleid door founding fathers en bezet door participerende overheidsorganisaties Tijdelijke werkgroepen Rondetafelconferenties: co-producties CIP en Kennispartners. (Herstelvermogen, DDoS, Ketenrisico s, veilig mobiel werken, etc) Ontwikkeling van de relaties met NCSC, Taskforce BID, KING/ IBD,

Producten en practices Beschikbaar of in vergevorderd stadium: Proces en eisen Secure Software Development: de opdrachtgever aan het stuur Handreiking voor gebruik Clouddienstverlening Handreiking

31 Producten en practices Beschikbaar of in vergevorderd stadium: Proces en eisen Secure Software Development: de opdrachtgever aan het stuur Handreiking voor gebruik Clouddienstverlening Handreiking voor omgaan met testen met productiegegevens Eerste modules binnen een structuur voor e-learning content t.b.v. hergebruik binnen de overheid Webrichtlijnen in fundamentele herorderning (ism NCSC) CIP Cyber Security Platform in eerste opzet in werking

32 Kennisontsluiting

35 Ontwikkeling op het terrein van normatiek Focus: Objecten

36 Ontwikkeling op het terrein van normatiek ?? Normen Ontwerpkaders HBB PvIB BIR- OB NORA katern Beveiliging NCSC Overige kaders ISO 2005 DigID assessment BIG BIR [0] Ad- Hoc Patronen ISO nieuw Baselines [1] Informeel [2] Beheersing Stap 1 Stap 2 [~] Baseline Beveiliging Overheid Stap 3 Verleiden Besturen BIR audit DigID assessment Volwassenheid Veranderen Besturen

Vergelijkbare documenten

Jaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl

Jaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl Jaarverslag 2013 Amsterdam, 10 januari 2014 Ad Reuijl 1. Inhoud Jaarverslag 2013... 1 1. Inhoud... 2 2. Inleiding... 3 3. In 2013 opgeleverde en onderhanden producten... 3 4. Conferenties... 3 5. Overige