Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept)

Transcriptie

1 Informatiebeveiliging Beleidsuitgangspunten Versie 2 (concept) 1

2 1. INLEIDING Inleiding Aanleiding Wat is informatiebeveiligingsbeleid Doelgroep Eindverantwoordelijkheid Evaluatie informatiebeveiligingsbeleid en -plan Wijzigingproces en risico-inventarisatie De Ondernemingsraad (OR) Communicatie EISEN EN RANDVOORWAARDEN KADERS Samenwerken aan partnerschap (Nota SWAP) De visie op dienstverlening Het kantoorconcept Plaats- en tijdsonafhankelijk werken Integriteit Wettelijke informatiebeveiligingsvoorschriften en maatregelen Continuïteit/ calamiteit (Uitwijk) BELEIDSUITGANGSPUNTEN Openbaar tenzij Toegang mits geautoriseerd Beschikbaarheid versus risicobeperkend Beheer versus flexibiliteit

3 4.5 Vertrouwen versus controle Openheid versus

4 1. Inleiding 1.1 Inleiding Met de renovatie van het gemeentehuis krijgt Venray te maken met een nieuw kantoorconcept, een nieuwe manier van werken en een andere wijze van omgaan met informatie. Een van de uitgangspunten is het tijden plaatsonafhankelijk werken. Dit betekent dat elke medewerker op elke gewenst moment vanuit elke gewenste locatie toegang heeft tot zijn werkomgeving. Dit maakt vergaande digitalisering van de werkomgeving noodzakelijk. De toegang tot informatie wordt door digitalisering weliswaar vele malen eenvoudiger, maar het gevaar voor oneigenlijk gebruik ook. De noodzaak voor heldere afspraken en richtlijnen over hoe we om willen en moeten gaan met informatie is groot. Van belang hierbij is dat de balans tussen vertrouwen en controle niet uit het oog wordt verloren. Venray heeft als uitgangspunt een taakvolwassen medewerker, die integer, verantwoordelijk en betrouwbaar is. Een medewerker die tevens klantgericht is, goed kan samenwerken en initiatief neemt. Het informatie-beveiligingsbeleid moet aansluiten bij de behoeften van deze medewerker. 1.2 Aanleiding Waarom informatiebeveiliging? Een gemeente is een informatie-intensieve organisatie. De afhankelijkheid van informatiesystemen en archieven voor de uitvoering van de gemeentelijke taken is zeer groot. Een gemiddelde ambtenaar kan zijn werk niet uitvoeren als hij niet over de juiste gegevens, informatie en systemen beschikt. In nagenoeg alle primaire processen is sprake van het gebruik van gegevens en informatie die aan personen zijn te relateren. Deze informatie ligt vast in geautomatiseerde informatiesystemen of in analoge dossiers in werkarchieven, afdelingsarchieven of centrale archieven. Het is van belang dat we in het gebruik en beheer van persoonsgegevens en -informatie zorgvuldigheid in acht nemen, dit zijn we de burger verplicht. Het kunnen waarborgen van de continuïteit in de bedrijfsvoering, de kwaliteit van dienstverlening en de beveiliging van gegevens behoren tot de scope van het informatiebeveiligingsbeleid en plan. 1.3 Wat is informatiebeveiligingsbeleid De doelstelling van het informatiebeveiligingsbeleid en plan zijn: Het bieden van een raamwerk van beleidsuitgangspunten met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening, waarbinnen een evenwichtig (doeltreffend en doelmatig) stelsel van onderling samenhangende maatregelen ontwikkeld wordt, met als doel de informatievoorziening te beschermen tegen interne en externe bedreigingen. Strategisch Niveau Op strategisch niveau worden de bedrijfsbelangen met de relevante uitgangspunten, zoals beschikbaarheid, integriteit, en vertrouwelijkheid vastgesteld. We noemen dit het informatiebeveiligingsbeleid. 4

5 Tactisch/operationeel niveau Vertaling van de beleidsuitgangspunten naar een concreet stelsel van maatregelen. We noemen dit het informatiebeveiligingsplan. Informatiebeveiliging beleid Geeft antwoord op: Welke uitgangspunten, randvoorwaarden gelden voor Informatiebeveiliging en wie is verantwoordelijk? Informatiebeveiligingsplan Geeft antwoord op: Welke maatregelen/oplossingen worden toegepast? Hoe worden bepaalde zaken ingevuld? Handboeken, processen, procedures Geeft antwoord op: Welke instructie, procedures gelden er?wat wordt er dagelijks gedaan in het kader van informatiebeveiliging? Uitvoering Voor het opstellen van het informatiebeveiligingsplan wordt gebruik gemaakt van de code voor informatiebeveiliging (NEN ISO / 27002). Deze code bevat een gemeenschappelijk raamwerk voor informatiebeveiliging voor de overheid en bedrijfsleven. 1.4 Doelgroep De doelgroepen van de beleidsnotitie en het plan zijn: Het college van B&W De directeur en het management De beveiligingsorganisatie De ICT- organisatie Afdelingen Medewerkers Het college stelt het initiële beveiligingsbeleid vast en mandateert wijzigingen aan de directie. De directeur en het management dienen ervoor te zorgen, dat de geformuleerde beleidsuitgangspunten worden meegenomen bij de inrichting van de organisatie, procedures, werkwijze en de daarbij gehanteerde informatiesystemen. Het management ziet toe op handhaving van de maatregelen, en is verantwoordelijk voor bewustwording ten aanzien van informatiebeveiliging bij het personeel. De vertaling van de beleidsuitgangspunten naar een concreet stelsel van maatregelen is een taak van de beveiligingsorganisatie, de ICT- beheerorganisatie en de diverse afdelingen waarbij functioneel de maatregel thuishoort. In het informatiebeveiligingsplan, paragraaf 3.2 is de beveiligingsorganisatie verder uitgewerkt. 5

6 De medewerkers zijn de eindgebruikers van de informatiesystemen. De maatregelen in het informatiebeveiligingsplan hebben direct invloed op het werk van de medewerkers. 1.5 Eindverantwoordelijkheid Het college is eindverantwoordelijk voor het beleid inzake de beveiliging en de (interne) controle van de informatievoorziening. 1.6 Evaluatie informatiebeveiligingsbeleid en -plan Elke 2 jaar wordt het informatiebeveiligingsbeleid en plan geëvalueerd en opnieuw een risicoinventarisatie uitgevoerd. Op basis van de uitkomsten, de dan geldende weten regelgeving en de ontwikkeling binnen Venray zal het bestaande beleid en plan bijgesteld dan wel een nieuw beleid vastgesteld worden door de directeur c.q. het college. PLAN Informatiebeveiligingsbeleid IST Risicoanalyse SOL L Verzameling maatregelen Vaststellen prioriteiten ACT DO Bijstellen beleid en plan 2 Jarige cyclus Invoeren beperkt aantal maatregelen Plan opstellen voor niet urgente maatregelen Motiveren niet doen overige maatregelen CHECK Evaluatie en controle 1.7 Wijzigingproces en risico-inventarisatie Bij de aanschaf van nieuwe informatiesystemen of bij majeure wijzigingen wordt een risicoinventarisatie uitgevoerd. De wijze waarop dit plaats vindt, wordt vastgelegd in het proces wijzigingsbeheer. Mocht dit tot een aanpassing van het plan en maatregelen leiden, wordt op basis van een kosten-baten analyse (kosten t.o.v. de effecten) dit door de stuurgroep vastgesteld en doorgevoerd in (onderdelen van) het plan. 6

7 Bij verzoeken die wezenlijk in strijd zijn met het beveiligingsbeleid of -plan wordt dit ter besluitvorming voorgelegd aan de stuurgroep ICT. De procedure wordt verder uitgewerkt in het informatiebeveiligingsplan. 1.8 De Ondernemingsraad (OR) De Wet op de ondernemingsraden geeft de ondernemingsraad conform artikel27 instemmingsrecht met voorgenomen besluiten tot vaststelling, wijziging of intrekking van regelingen die de medewerkers raken. Ook voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen vallen onder het instemmingsrecht van de OR. 1.9 Communicatie Mensen zijn de sleutel tot informatiebeveiliging. Naast dat de medewerker vooraf in kennis moet worden gesteld van de inhoud van het beleid en maatregelen, is het van belang dat zij op de hoogte zijn van de mogelijke consequenties van het gebruik van systemen. In het vervolgtraject wordt een communicatieplan opgesteld. 7

8 2 Eisen en randvoorwaarden De volgende eisen en randvoorwaarden gelden voor informatiebeveiligingsbeleid en plan: Gemeente Venray moet te alle tijden kunnen voldoen aan alle relevante weten regelgeving. Enerzijds betekent dit dat de beveiligingsmaatregelen het uitvoeren van de primaire wettelijke taak van de gemeente te allen tijden moeten ondersteunen. Anderzijds betekent het ook dat we ons houden aan geldend weten regelgeving in het kader van de bescherming en beveiliging van persoonsgegevens, zoals opgenomen in de privacywetgeving. Continuïteit in dienstverlening en bedrijfsvoering staat voorop. De (wettelijke) eisen die gesteld worden aan continuïteit worden verder uitgewerkt in het informatiebeveiligingsplan. De gemeente is verplicht een disaster en recovery plan te hebben. Dit om de continuïteit in de dienstverlening op belangrijke onderdelen, zoals de burgerlijke stand bij bijvoorbeeld een ramp te kunnen garanderen. Veelal treffen gemeente uitwijkvoorzieningen om dit te kunnen realiseren. Het is wettelijk voorgeschreven wat gemeenten minimaal in een uitwijkvoorziening moeten hebben geborgd. De maatregelen en voorschriften voor Venray worden verder uitgewerkt in het continuïteitsplan wat onderdeel is van informatiebeveiligingsplan Gemeente Venray is verplicht te zorgen dat gegevens en informatie niet in handen komen van personen of partijen die daar geen rechten toe hebben. De gemeente moet de vertrouwelijkheid van gegevens kunnen garanderen. Vertrouwelijkheid is de mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep die daar rechten toe heeft. Gemeente Venray is verplicht te zorgen dat informatie niet (geheel of gedeeltelijk) verloren kan gaan. De gemeente moet maatregelen nemen tegen verlies en enige vorm van onrechtmatige verwerking, zoals het treffen van back-upvoorzieningen en het vastleggen van regels en procedures voor gegevensverwerking. Gemeente Venray kan ten allen tijden verantwoording afleggen over de kwaliteit en gebruik van gegevens. De gemeente moet de integriteit van gegevens kunnen garanderen en daar verantwoording over kunnen afleggen. Veel factoren kunnen van invloed zijn op het niveau van de integriteit, zoals fraude, menselijk falen, hacking, virussen etc. De gemeente moet zich maximaal beschermen tegen deze bedreigingen. Daarnaast moet de gemeente maatregelen vastleggen tbv weerlegbaarheid en verantwoordelijkheid. Uitgangspunt hierbij is dat als er binnen de gegevensen informatieverwerking zaken fout gaan, we kunnen zien wáár de fout is gemaakt en wie verantwoordelijk is. 8

9 3. Kaders Uitgangspunten die richtinggevend zijn voor informatiebeveiligingsbeleid 3.1 Samenwerken aan partnerschap (Nota SWAP) In de nota SWAP wordt uitgegaan van medewerkers die klantgericht zijn, goed kunnen samenwerken, initiatief nemen en zich pro actief opstellen. Medewerkers die tevens verantwoordelijk en betrouwbaar zijn en helder en tijdig communiceren. De organisatie faciliteert de medewerkers hierin. Directie, management en bestuur hebben vertrouwen in de medewerker en de verantwoordelijkheden liggen zo laag mogelijk in de organisatie. Samenwerking met in- en externe partners. In de nota SWAP wordt uitgegaan van bereiken van klantgericht werken door dit in partnerschap op te pakken. 3.2 De visie op dienstverlening De visie op dienstverlening, Venray voorkomt vragen, waarbij we streven naar een proactieve houding in de contacten met de klanten. We gevraagd en ongevraagd advies geven op basis van de behoefte van de klant. De klant heeft een keuzevrijheid in kanaal en mate van persoonlijke benadering. We beschouwen de klant als een volwaardige partner en participant met eigen verantwoordelijkheden. Om kwalitatieve hoogwaardige dienstverlening te kunnen bieden streven we naar samenwerking met partners om producten en diensten collectief te kunnen aanbieden. Medewerkers zijn in staat de vraag achter de vraag te achterhalen en beantwoorden die op een adequaat niveau. Dit gebeurt digitaal waar het kan en persoonlijk waar dat nodig is. 3.3 Het kantoorconcept Als dienstverlenende organisatie werken we niet alleen samen met collega s, ook met inwoners, organisaties en bedrijven. Dat willen we mogelijk maken in het nieuwe gebouw. Of laten we het anders stellen. Het nieuwe gebouw stelt ons in staat om samen te werken met deze partijen. Het nieuwe gemeentehuis moet samenwerken mogelijk maken. Naast het gebouw kijken we ook naar de manier waarop we onze werkprocessen automatiseren. Het gaat om de bricks (het gebouw), de brains (onze mensen) en de bits (automatisering). De bricks, brains en bits moeten in het nieuwe gemeentehuis in balans zijn. 3.4 Plaats- en tijdsonafhankelijk werken Werkplekconcept, we gaan uit van plaats- en tijdsonafhankelijk werken; op verschillende plekken in de organisatie kun je werken. Tot en met het werkrestaurant aan toe. Ondanks dat Venray geen formeel beleid heeft voor thuiswerken is thuiswerken wel toegestaan. Thuiswerken betekent tijdsonafhankelijk werken. 9

10 Om plaats en tijdonafhankelijk te kunnen werken wordt een digitale werkomgeving gecreëerd. Elke medewerker moet vanuit elke plek de digitale werkomgeving kunnen gebruiken. Ook wordt in de digitale werkomgeving gebruikt gemaakt van digitale parafen en handtekeningen. 3.5 Integriteit Nota Integer partnerschap in Venray Met integriteit - of integer handelen - wordt bedoeld dat je je functie adequaat en zorgvuldig uitoefent, met inachtneming van je verantwoordelijkheden en de geldende regels. In Venray is een integriteitgedragscode van toepassing. Dit vormt de basis voor de ambtseed of belofte. Met het afleggen van de ambtseed/belofte verklaart de medewerker te handelen volgens de integriteitsgedragscode. Integriteit en Accountability Integriteit betekent in dit kader dat informatie en gegevens juist, volledig en actueel zijn. Processen die betrekking hebben op informatieverwerking dienen dit te borgen. Bij accountability gaat het vooral om vragen op het gebied van verantwoordelijkheid en weerlegbaarheid. Uitgangspunt hierbij is dat als er binnen de gegevensen informatieverwerking zaken fout gaan, we kunnen zien wáár de fout is gemaakt en wie verantwoordelijk is. 3.6 Wettelijke informatiebeveiligingsvoorschriften en maatregelen Vanuit de wetgeving worden eisen gesteld aan hoe gemeenten om moeten gaan met (persoons)gegevens en de beveiliging daarvan. o Wet GBA, BAG, SUWI o Verplichte binnengemeentelijke gebruik basisgegevens o Wet bescherming persoonsgegevens o Privacywetgeving o Wet bibob o Wet openbaarheid van bestuur o Archiefwet 3.7 Continuïteit/ calamiteit (Uitwijk) De wet GBA schrijft voor dat gemeenten bij een calamiteit maatregelen moeten treffen die het mogelijk maken om de GBA op een andere wijze, binnen een termijn van 2 x 24 uren, weer volledig operationeel te krijgen. De juridische basis hiervoor is het L.O. 3.3 hoofdstuk waarin wordt beschreven dat de gegevens moeten kunnen worden hersteld zoals deze waren één werkdag geleden. Voor deze reconstructie mag maximaal één werkdag worden gebruikt. Kortom binnen 2 x 24 uren weer operationeel. 10

11 4. Beleidsuitgangspunten 4.1 Openbaar tenzij. Voorop staat dat elke medewerker de beschikking heeft tot alle informatie en systemen die hij nodig heeft voor de uitvoering van zijn (publiekrechterlijke) taken. We maken het volgende onderscheid: Openbare informatie uit bronnen beschikbaar binnen het netwerk van Venray. Niet openbare informatie uit bronnen beschikbaar binnen het netwerk van Venray. Openbare informatie uit bronnen buiten het netwerk van Venray. Niet openbare informatie uit bronnen buiten het netwerk van Venray. Per functie (of rol) kan vastgesteld worden uit welke bronnen een medewerker informatie nodig heeft. Het toegangsniveau wordt per functie (of rol) verder uitgewerkt in een toegangsmanagementsysteem. De onderlegger voor dit toegangsmanagementsysteem wordt in het informatiebeveiligingsplan verder uitgewerkt. Het management van de afdeling is verantwoordelijk voor het aanmelden en afmelden van medewerkers en het doorgeven van inhoudelijke wijzigingen. Alle medewerkers krijgen straks toegang tot de digitale werkomgeving en kunnen de informatie die daarin opgeslagen is, raadplegen. Hierop zijn enkele uitzonderingen, zoals persoonsdossiers. Deze dossiers zijn alleen toegankelijk voor medewerkers die daar in het kader van hun functie bevoegdheden voor hebben. In het informatiebeveiligingsplan wordt vastgelegd welke informatie niet openbaar is. Dit wordt vervolgens meegenomen in de inrichting van de digitale werkomgeving. De integriteitgedragscode schrijft vervolgens voor dat medewerkers worden geacht zorgvuldig met vertrouwelijke informatie om te gaan en er voor te zorgen dat onbevoegden er geen kennis van kunnen nemen. De toegang tot taakspecifieke applicaties is afhankelijk van de bevoegdheden die een medewerker heeft in het kader van zijn taken en verantwoordelijkheden. Ook hier geldt dat medewerkers worden geacht hier zorgvuldig mee om te gaan. De toegang tot openbare informatie uit openbare netwerken, zoals het internet heeft in het verleden veel discussie opgeleverd. Voor medewerkers is het vaak onduidelijk waarom ze bepaalde websites of webmailsystemen niet mogen raadplegen. Het is van belang dat in een interneten e- mailprotocol helder wordt weergeven waarom bepaalde zaken wel of niet mogen. Uitgangspunt hierbij is dat elke medewerker de beschikking heeft tot alle informatie en systemen die hij nodig heeft voor de uitvoering van zijn werk. Het is de medewerkers tevens toegestaan gebruik te maken van de middelen van de werkgever voor privé-doeleinden, zolang dit binnen alle redelijkheid is (bijvoorbeeld alleen in eigen tijd). De werkgever kan en mag dit de medewerker niet verbieden. 4.2 Toegang mits geautoriseerd We gaan in de opbouw van de beveiligingsorganisatie uit van het principe toegang mits de juiste autorisatie. Het uitgangspunt hierbij is het vastleggen van gebruikersautorisaties op het niveau van gegevens en informatiesystemen. 11

12 In een meer klassieke benadering wordt beveiliging vaak ingericht vanuit het perspectief van het tegenhouden van onwenselijke acties. Een wachtwoord geeft geen toegang tot een systeem, maar sluit personen zonder wachtwoord uit. Dit is vergelijkbaar met een paspoortencontrole. Er wordt wel bepaald wie naar binnen of buiten mag maar er wordt niet in de koffer gekeken naar de meegebrachte inhoud. Met deze benadering valt of staat de veiligheid met detectie. Een gebruiker die onder de radar uit weet te blijven, kan vrijwel ongelimiteerd z'n gang gaan. Voorbeelden hiervan zijn thuiswerkers die met interne gegevens werken op thuissystemen. Of mobiele apparaten zoals laptops, Ipods en USB-sticks. Beveiliging begint met vertrouwen. We weten wie werkzaam zijn binnen de organisatie en dus toegang moeten krijgen tot ons netwerk. De volgende stap is het treffen van maatregelen om ondubbelzinnig vast te stellen of een medewerker daadwerkelijk degene is die hij beweert te zijn. Daarna is het een kwestie van ervoor zorgen dat een medewerker toegang heeft tot de data die hij/zij werkelijk nodig heeft. 4.3 Beschikbaarheid versus risicobeperkend Het uitgangspunt van het kantoorconcept is plaats- en tijdsonafhankelijke werkplekken. Het gebruik van mobiele apparaten zal hierdoor toenemen. Dit betekent dat informatie ook plaats- en tijdsonafhankelijk beschikbaar moet zijn en mobiel te raadplegen. Beveiligingsmaatregelen moeten passen bij dit uitgangspunt. Naast het daadwerkelijk beschikbaar hebben van taakafhankelijke informatie is het van belang de informatie ook op een adequate wijze wordt beveiligd. Uitgangspunt hierbij is dat medewerkers, ongeacht de locatie (thuis of op kantoor) op identieke wijze toegang heeft tot voorzieningen. Medewerkers kunnen gebruik maken van de applicaties als ware ze op kantoor (een virtuele Venrayse desktop). Bij formeel telewerken maakt men gebruik van de apparatuur van de gemeente, de medewerker heeft toegang tot systemen vergelijkbaar met een PC in het Venrays netwerk. Naast de juiste technische voorzieningen is het van belang dat medewerkers die plaats- en tijdsonafhankelijk werken zich bewust zijn van hun verantwoordelijkheid om goed om te gaan met alle informatie die ze bij zich hebben of waartoe ze altijd en overal toegang hebben. Deze verantwoordelijkheid is vastgelegd in de integriteitgedragscode van de gemeente Venray. 4.4 Beheer versus flexibiliteit We maken een duidelijk onderscheid tussen wat we moeten beveiligen en wat we willen beveiligen. Onder moeten verstaan we alle maatregelen die nodig zijn om de continuïteit in de dienstverlening en de veiligheid van gegevens te garanderen. Met name op het onderdeel willen is een duidelijke richtlijn van belang. De mens staat centraal bij de gemeente Venray en moet maximaal met middelen en diensten worden ondersteund. We gaan hierbij uit van een medewerker die integer en betrouwbaar is. Duidelijke richtlijnen over wat een medewerker binnen het kader van integriteit mag en niet mag zijn van belang. De techniek kent veel functionaliteiten om het werk van mensen te beveiligen en gebruik en gedrag te monitoren. Uitgangspunt is dat we het technisch onmogelijk maken van bepaalde zaken, 12

13 minimaal inzetten. Uitzondering hierop zijn zaken die aantoonbaar schade kunnen berokkenen aan ICT-systemen en de continuïteit in de bedrijfsvoering in gevaar brengen, bijvoorbeeld door onwetendheid van gebruikers. Dit leggen we vast in de integriteitgedragscode en in het interneten protocol. 4.5 Vertrouwen versus controle We loggen het gebruik en gedrag. Dit mag, mits vastgelegd en vastgesteld is voor welke doeleinden het loggen gebeurt. Het loggen valt onder de privacywetgeving. De organisatie dient dit vast te leggen in een privacyreglement. Medewerkers moeten vooraf geïnformeerd zijn van alle logactiviteiten waarbij gebruiksgegevens vastgelegd worden. Het controleren van gebruik en gedrag van medewerkers doen we in principe niet, met uitzondering van de verplichte controles bijvoorbeeld in het kader van de GBA-audit. Ook als er aantoonbaar sprake is van ongeoorloofd gebruik is het toegestaan de log-bestanden te controleren. Wat we onder ongeoorloofd gebruik verstaan, leggen we vast in de integriteitgedragscode en in het interneten protocol. 4.6 Openheid versus.. In het kader van het Venrays werken en Ramen en Deuren open wordt het gebruik van social media binnen en buiten de organisatie maximaal gestimuleerd. Om dit goed te faciliteren moeten we toestaan dat er voldoende openheid in communicatie en systemen bestaat. We realiseren ons dat er beveiligingsrisico s met deze mate van openheid gepaard gaan. Uitgangspunt is dat we beveiligingmaatregelen inzetten om de openheid maximaal mogelijk te faciliteren en risico s beperken. Daarnaast staat en valt informatiebeveiliging vaak met het gebruik en gedrag van medewerkers. Zij zijn zich vaak niet bewust van de risico s die hun gebruik van social media met zich meebrengt. In de gedragscode zullen hiervoor een aantal uitgangspunten en regels vastgelegd worden. 13