Nota Informatiebeveiligingsbeleid

Transcriptie

1 Nota Informatiebeveiligingsbeleid

2 P a g i n a 2 20

3 Inhoudsopgave 1 Inleiding Informatiebeveiliging gemeente Lingewaal Het belang van informatiebeveiliging Reikwijdte en positionering beleid Uitgangspunten beleid Voor wie is dit beleid bedoeld? Organisatie van informatiebeveiliging Inleiding De beveiligingsorganisatie Tactische normenkader Beheer van bedrijfsmiddelen Beveiliging van personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Aanschaf, ontwikkeling en onderhoud Beheer van informatiebeveiligingsincidenten Bedrijfscontinuïteit Naleving Bijlage A Definities Algemeen kader Bijlage B Gelieerde documentatie P a g i n a 3 20

4 1 Inleiding Door de toenemende digitalisering en de automatiseringsontwikkelingen is het zorgvuldig omgaan met informatie en persoonsgegevens van burgers en ondernemers voor de gemeente Lingewaal van groot belang. Uitval van informatiesystemen of telecommunicatie, het in ongerede raken van gegevensbestanden of het door onbevoegden kunnen kennisnemen van gegevens kan ernstige gevolgen hebben voor het vertrouwen in en het imago van de gemeentelijke organisatie. Een betrouwbare, beschikbare en correcte informatiehuishouding is essentieel voor de dienstverlening van de gemeente Lingewaal. Ook vanuit de Vereniging van Nederlandse Gemeenten is gewezen op het belang van een goede gemeente informatiebeveiliging. Toch is de gemeente, het bestuur en management, zelf verantwoordelijk voor het opstellen van de beleidskaders en voor het verder laten uitvoeren van de beveiligingsmaatregelen. Een eerste stap in dit kader is het vaststellen van een strategisch beleidskader voor de informatiebeveiliging voor de gemeente Lingewaal. Dit beleidskader ligt nu voor. Aan de hand van dit beleidskader geeft het management duidelijk richting aan de informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt. Dit beveiligingsbeleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: Wet basisregistratie personen (BRP), Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI), Wet basisregistratie adressen en gebouwen (BAG) en de Wet bescherming persoonsgegevens, maar ook de Archiefwet Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), en de daarbij behorende strategische en tactische baseline. Deze normenkaders zijn gebaseerd op de internationaal erkende standaarden van informatiebeveiliging, ISO/NEN 27002: De gemeente Lingewaal heeft de ambitie om intensiever te gaan samenwerken met andere gemeenten en ketenpartners, waardoor de efficiency en effectiviteit kan worden verhoogd. De betrouwbaarheid van de gemeentelijke informatie is daarbij een belangrijke basisvoorwaarde voor succesvolle samenwerking. De volgende speerpunten zijn de kern van het informatiebeveiligingsbeleid van de gemeente Lingewaal: 1. Alle informatie en informatiesystemen zijn van kritiek en vitaal belang voor de gemeente. De verantwoordelijkheid voor informatiebeveiliging ligt bij het management, met het college van burgemeester en wethouders als eindverantwoordelijke. De verantwoordelijkheden voor de bescherming van gegevens en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd. 2. Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. 3. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het informatiebeveiligingsplan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses. 3. Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging. 4. De medewerkers informatiebeveiliging ondersteunen vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteren hierover. 5. De gemeente stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid. 6. Verantwoord en bewust gedrag van medewerkers is essentieel voor een goede informatiebeveiliging. Alle medewerkers van de gemeente worden gewezen op het belang van en hun bijdrage aan informatiebeveiliging. P a g i n a 4 20

5 7. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. 8. De gemeente Lingewaal maakt gebruik van de diensten van de Informatiebeveiligingsdienst voor gemeente (IBD) en heeft daarvoor een (interne) Algemene Contactpersoon Informatiebeveiliging (ACIB) en een Vertrouwde Contactpersoon Informatiebeveiliging (VCID) aangewezen binnen de Afdeling Bedrijfsvoering & Ondersteuning. P a g i n a 5 20

6 2 Informatiebeveiliging gemeente Lingewaal 2.1 Het belang van informatiebeveiliging Informatie en de daarbij behorende informatiesystemen zijn de belangrijkste bedrijfsmiddelen van de gemeente Lingewaal. Het verlies van gegevens, uitval van informatiesystemen en het door onbevoegden kunnen kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering. Informatiebeveiliging is alleen daarom al van groot belang. Ernstige incidenten kunnen negatieve gevolgen hebben voor burgers, bedrijven, ondernemers, ketenpartners of de eigen medewerkers. Het kan leiden tot financiële schade of imagoschade. De visie van de gemeente Lingewaal als volgt worden weergegeven: Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeentelijke organisatie en de basis voor het beschermen van de rechten van burgers en bedrijven. Dit vereist een duidelijke verantwoordelijkheid, een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder onderdeel van de gemeentelijke organisatie en iedere medewerker is hierbij betrokken. 2.2 Reikwijdte en positionering beleid Dit beleid heeft niet alleen betrekking op de interne organisatie en technische infrastructuur van de gemeente Lingewaal, maar ook op de relatie met derden, zoals leveranciers en ketenpartners waarmee gegevens worden uitgewisseld. Het informatiebeveiligingsbeleid van de gemeente Lingewaal is het kader voor passende organisatorische, procedurele en technische maatregelen om de gemeentelijke informatie te beschermen en te borgen. De gemeente Lingewaal streeft er naar om in control te zijn en daarover op professionele wijze ambtelijke en bestuurlijke verantwoording af te leggen aan de gemeenteraad. In control betekent in dit verband dat: a. De organisatie weet welke beveiligingsmaatregelen wenselijk en noodzakelijk zijn; b. Er een planning is van de beheermaatregelen, die inzichtelijk worden gemaakt in het beveiligingsplan; c. Dit geheel verankerd is in de planning en control cyclus van de gemeente. Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, beeldscherm et cetera) en alle informatie verwerkende systemen (de programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. 2.3 Uitgangspunten beleid De volgende uitgangspunten zijn gehanteerd bij het opstellen van dit beleid. 1. Het informatiebeveiligingsbeleid van de gemeente Lingewaal is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving. 2. Het beleid is gebaseerd op de Code voor Informatiebeveiliging (ISO/NEN 27002:2007) en de daarvan afgeleide strategische en tactische Baseline Informatiebeveiliging Nederlandse Gemeenten. 3. Dit informatiebeveiligingsbeleid wordt vastgesteld door de gemeenteraad, op voordracht van het college van burgemeester en wethouders. Het management herijkt regelmatig de te nemen informatiebeveiligingsmaatregelen, die worden vastgelegd in het informatiebeveiligingsplan. 4. De aanpak van informatiebeveiliging (IB-beleid) in Lingewaal is risk based. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een toets tegen de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) aan de hand van GAP-analyses. Indien P a g i n a 6 20

7 een systeem meer maatregelen nodig heeft, wordt een risicoanalyse uitgevoerd. Daartoe inventariseert de medewerker informatiebeveiliging de kwetsbaarheid van het werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de beschermingseisen van de informatie. 5. De beveiligingsorganisatie maakt voor zover mogelijk een integraal onderdeel uit van de bestaande organisatie. 6. De gemeente Lingewaal maakt gebruik van de diensten van de Informatiebeveiligingsdienst voor gemeente (IBD) en heeft daarvoor een (interne) Algemene Contactpersoon Informatiebeveiliging (ACIB) en een Vertrouwde Contactpersoon Informatiebeveiliging (VCID) aangewezen binnen de Afdeling Bedrijfsvoering en Ondersteuning. 7. Het IB-beleid wordt zoveel mogelijk in de organisatie ingebed; toetsing en bewaking van dit beleid behoort onafhankelijk te worden belegd, intern dan wel extern. 8. Verantwoord en bewust gedrag van medewerkers is essentieel voor een goede informatiebeveiliging. Alle medewerkers van de gemeente worden gewezen op het belang van en hun bijdrage aan het zorgvuldig omgaan met de informatiesystemen en de hierin opgeslagen gegevens. PLAN Afdelingen DO - Wet en Regelgeving - Landelijke Normen - BIG - Gemeentelijk beleid en doelstellingen Beleidskader Informatiebeveiliging : - organisatie en governance - Informatiegebruik en personele aspecten - Beheer - Toegangsbeveiliging en autorisatie - Continuiteitsmanagement - Naleving en controle ( Zie basis beleid op basis van BIG ) Beleidskader is basis Inrichting en uitvoering Processen De uitvoering vertaald beleidskaders in Concrete maatregelen en acties Meting en GAP analyse BIG - richtlijnen en maatregelen - beveiligingsarchitectuur - Uitvoeringsregelingen en Handreikingen - bewustwordingsacties - sturen op naleving Evalueren En Bijsturen Inzicht status en Effectiviteit Security maatregelen ACT Evaluatie Management rapportage en stuurinformatie verbetervoorstellen CHECK Rapportage status en effectiviteit Security maatregelen Selfassessments Interne Controle Management rapportage Vulnerability scanning Pentesten Audit werking ( ISMS ) Informatie beveiliging Audit beleid versus maatregellen Audit werking algemene IT beheer maatregelen Systeem en proces audit Op basis van risico management wordt vastgesteld wat ( rest - ) risico s zijn Social engineering Evaluatie en rapportage PDCA cyclus schematische weergave P a g i n a 7 20

8 2.4 Voor wie is dit beleid bedoeld? Dit informatiebeveiligingsbeleid is van toepassing op alle in- en externe gebruikers van de gemeentelijke informatievoorziening. Het document is niet vertrouwelijk en dient naast het bieden van een na te leven normenkader ook als communicatiemiddel voor de gemeente Lingewaal. Het management zal dit beleid gebruiken als kwaliteitskenmerk van de gemeente Lingewaal naar externe relaties en als basis bij het verantwoorden van de investeringen in beheermaatregelen. Doelgroep Relevantie voor IB beleid Gemeenteraad Kader stellend en controlerend College van burgemeester en wethouders Gezamenlijke verantwoordelijkheid Gemeentesecretaris Kaderstelling en implementatie MT leden Sturing op informatiebeveiliging en controle op naleving MT leden Classificatie: bepalen beschermingseisen van informatie Medewerkers Gedrag en naleving Medewerkers belast met IB maatregelen Planvorming binnen kaders van het IB beleid Dagelijkse coördinatie van IB Personeelszaken Arbeidsvoorwaardelijke zaken en dossiervorming Facilitaire zaken Fysieke toegangsbeveiliging ICT diensten (en ontwikkelaars) Technische beveiliging Leveranciers en ketenpartners Compliance Tabel 1: doelgroepen van het informatiebeveiligingsbeleid P a g i n a 8 20

9 3 Organisatie van informatiebeveiliging 3.1 Inleiding De organisatie van informatiebeveiliging is opgebouwd uit verschillende functies en rollen, verdeeld over de verschillende lagen van de organisatie en met verschillende aandachtsgebieden. Op strategisch niveau (gemeenteraad en College van burgemeester en wethouders) wordt het beleid vastgesteld en op operationeel niveau worden de beheermaatregelen daadwerkelijk geïmplementeerd. Iedereen binnen de gemeente Lingewaal heeft een bepaalde verantwoordelijkheid voor informatiebeveiliging, hetgeen in dit hoofdstuk wordt vastgelegd. 3.2 De beveiligingsorganisatie De beveiligingsorganisatie is niet een zelfstandige organisatie, maar is integraal opgenomen in het reguliere besturingsmodel van de gemeente Lingewaal. De volgende rollen en functies worden globaal onderkend binnen de organisatie van informatiebeveiliging: - Gemeenteraad - Gemeentesecretaris / College van burgemeester en wethouders; - Managementteam en manager Bedrijfsvoering & Ondersteuning; - de medewerker belast met informatiebeveiliging; - managers en medewerkers van de gemeente Lingewaal. Sturende rol (raad, college en MT) kaderstelling ( bele id, regels) sturing op (concern) risico s toetsing en advisering Vraagrol ( afdelingen ) definiëren beveiligingseisen sturen op bedrijfscontinuïteit toetsing op naleving (gedrag ) Uitvoerende rol ( Bedrijfsvoering ) security management incident beheer ( technische) advisering Gemeenteraad De raad stelt het beveiligingsbeleid vast, op voordracht van het College van burgemeester en wethouders, en delegeert de uitvoering aan het College van burgemeester en wethouders. De raad legt hiermee de kaders vast voor de taakstelling en inspanningen van de gemeentelijke organisatie en controleert aan de hand van de bestaande periodieke rapportages. College van burgemeester en wethouders Het College van burgemeester en wethouders is gezamenlijk bestuurlijk verantwoordelijk voor de taakstelling van de ambtelijke organisatie op het gebied van informatiebeveiliging. P a g i n a 9 20

10 Gemeentesecretaris De gemeentesecretaris staat aan de top van de ambtelijke organisatie voor de informatiebeveiliging. Deze is verantwoordelijk voor de juiste inrichting en werking van informatiebeveiliging binnen de gemeente Lingewaal. Het managementteam geeft vorm aan het beleid en de daarbij behorende normen, op voordracht van de manager Bedrijfsvoering & Ondersteuning. De manager Bedrijfsvoering & Ondersteuning heeft de operationele verantwoording in crisissituaties en bij top-security incidenten. Managers en medewerkers De managers, binnen het betreffende aandachtsgebied, zijn belast met ontwikkeling, laten accorderen, implementeren en onderhouden van een set beveiligingsmaatregelen dat aansluit op het IB-beleid. De beveiligingsmaatregelen staan in het beveiligingsplan. De betrokken manager is verantwoordelijk voor de coördinatie van de informatiebeveiliging binnen zijn werkgebied. Alle medewerkers zijn persoonlijk verantwoordelijk voor het realiseren van de afgesproken informatiebeveiligingsmaatregelen. Medewerkers informatiebeveiliging De medewerkers informatiebeveiliging binnen de Afdeling Bedrijfsvoering & Ondersteuning zijn verantwoordelijk voor de dagelijkse gang van zaken met betrekking tot informatiebeveiliging. Dit betreft onder meer de dagelijkse uitvoering van de beheermaatregelen en adviseren over bestaande of voorgenomen beheermaatregelen onder aansturing van de manager Bedrijfsvoering & Ondersteuning. De aangewezen ACIB en VCIB zijn aanspreekpunt voor de IBD. De coördinatie van crisissituaties is belegd bij de manager Bedrijfsvoering & Ondersteuning. P a g i n a 10 20

11 4 Tactische normenkader In dit hoofdstuk zijn de meer tactische beheermaatregelen beschreven die bijdragen aan de beheersing van de risico s die samenhangen met de verschillende aandachtsvelden binnen het vakgebied van de informatiebeveiliging. Deze aandachtsvelden zijn hier opgenomen als leidraad om inzicht te verschaffen in bestaande risico s en de daarvoor te nemen informatiebeveiligingsmaatregelen. De te nemen maatregelen zijn in de praktijk afhankelijk van de uitkomsten van de risico analyses, en worden beschreven in het informatiebeveiligingsplan. Dit plan wordt periodiek geactualiseerd. 4.1 Beheer van bedrijfsmiddelen Risico s: - Bedrijfsmiddelen en informatie zijn blootgesteld aan risico s zoals diefstal, beschadiging of onoordeelkundig gebruik, waarbij niet voor alle ICT-configuratie items is vastgelegd wie de eigenaar/hoofdgebruiker is. - Onduidelijkheid wie verantwoordelijk is voor gegevensbestanden, waardoor ook niemand verantwoordelijk is voor de beveiliging en kan optreden bij incidenten. - Geen inzicht in welke componenten, zowel hardware als software, het belangrijkst zijn voor de primaire processen. - Onjuiste classificatie draagt bij aan het onjuist beschermen van informatie en bedrijfsmiddelen met als risico, dat deze verloren kunnen gaan of openbaar worden gemaakt terwijl dat niet de bedoeling is. Doelstelling: A. Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen en informatie van de organisatie. B. Voor alle bedrijfsmiddelen is de eigenaar vastgelegd alsook de verantwoordelijke voor het handhaven van de beheersmaatregelen. C. Classificatie van informatie om bij verwerking de noodzaak en bescherming te kunnen aangeven. D. Adequate niveaus van bescherming van informatie zijn gedefinieerd en de noodzaak voor aparte verwerkingsmaatregelen is gecommuniceerd. Beheermaatregelen: 1. Alle bedrijfsmiddelen moeten geïdentificeerd zijn er moet een inventaris van worden bijgehouden. 2. Alle informatie en bedrijfsmiddelen, die verband houden met ICT-voorzieningen aan een 'eigenaar' (een deel van de organisatie) toewijzen. 3. Regels vaststellen, documenteren implementeren voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen. 4. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. 5. De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd, maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. 6. Medewerkers dienen bij het gebruik van ICT-middelen, social media en gemeentelijke informatie de nodige zorgvuldigheid te betrachten en de integriteit en goede naam van de gemeente te waarborgen. 7. Medewerkers gebruiken gemeentelijke informatie voor het uitvoeren van de aan hen opgedragen taken en het doel waarvoor de informatie is verstrekt. 8. Privégebruik van gemeentelijke informatie en bestanden is niet toegestaan. 9. De medewerker neemt passende technische en organisatorische maatregelen om gemeentelijke informatie te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. P a g i n a 11 20

12 4.2 Beveiliging van personeel Risico s: Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Doelstelling: A. Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. B. De verantwoordelijkheden ten aanzien van beveiliging is vóór het dienstverband vastgelegd in passende functiebeschrijvingen en in de arbeidsvoorwaarden. C. Alle kandidaten voor een aanstelling, ingehuurd personeel en externe gebruikers worden gescreend, in het bijzonder voor vertrouwensfuncties. D. Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen een overeenkomst over hun beveiligingsrollen en verantwoordelijkheden. Beheermaatregelen: 1. Het management is verantwoordelijk voor het juist afhandelen van de beveiligingsaspecten van het aangaan, wijzigen en beëindigen van een dienstverband of een overeenkomst met externen. De HR-afdeling houdt toezicht op dit proces. 2. Bij beëindiging van het dienstverband en inhuur worden alle bedrijfsmiddelen van de organisatie geretourneerd. Autorisaties worden in opdracht van het lijnmanagement geblokkeerd. 3. Medewerkers die werken met vertrouwelijke of geheime informatie overleggen voor indiensttreding een Verklaring Omtrent het Gedrag (VOG). De VOG wordt indien nodig herhaald tijdens het dienstverband. 4. De afdelingsmanager bepaalt welke rol(len) de medewerker moet vervullen en welke autorisaties voor het raadplegen, opvoeren, muteren en afvoeren van gegevens moeten worden verstrekt. 5. Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden. 6. Bij inbreuk op de beveiliging gelden voor medewerkers de gebruikelijke disciplinaire maatregelen, zoals onder meer genoemd in het Ambtenarenreglement en gemeentelijke regelingen. 7. Regels die volgen uit dit beleid en andere gemeentelijke regelingen gelden ook voor externen, die in opdracht van de gemeente werkzaamheden uitvoeren. 8. De gemeente bevordert algehele communicatie en bewustwording rondom informatieveiligheid. 9. In werkoverleggen wordt periodiek aandacht geschonken aan informatieveiligheid. Voor zover relevant worden hierover afspraken vastgelegd in functioneringsgesprekken. 4.3 Fysieke beveiliging en beveiliging van de omgeving Risico s: - Onbevoegde toegang tot kritieke systemen of waardevolle informatie. Bij het ontbreken van registratie zijn incidenten bovendien niet herleidbaar tot individuen. - Door bijvoorbeeld de inzet van externen, de toeloop van leveranciers en andere nietmedewerkers of het feit dat de medewerkers op meerdere locaties op geruime afstand van elkaar gevestigd zijn, is het betrekkelijk eenvoudig voor niet-medewerkers om toegang tot de panden te krijgen door tegelijk met een geautoriseerde medewerker naar binnen te gaan. - Als informatie zichtbaar op bureaus ligt, is er een verhoogd risico m.b.t. de vertrouwelijkheid. - Geen procedures voor het veilig verwijderen of hergebruiken van ICT-apparatuur. P a g i n a 12 20

13 - Bescherming van apparatuur, waaronder apparatuur die buiten de locatie wordt gebruikt en het verwijderen van bedrijfseigendommen, is noodzakelijk om het risico van toegang door onbevoegden tot informatie te verminderen en om de apparatuur en informatie te beschermen tegen verlies of schade. Doelstelling: A. Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie, bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten. B. Informatiesystemen, die kritieke of gevoelige bedrijfsactiviteiten ondersteunen, behoren fysiek te worden ondergebracht in beveiligde ruimten, beschermd door afgegrensde beveiligde gebieden, in een gecontroleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze behoren fysiek te worden beschermd tegen toegang door onbevoegden, schade en storingen. C. Het voorkomen van verlies, schade of diefstal van apparatuur en bescherming tegen fysieke bedreigingen en gevaren van buitenaf. Beheermaatregelen: 1. Alle objecten (gebouwen) van de gemeente krijgen op basis van generieke profielen een risicoprofiel toegewezen. Dit is het generieke risicoprofiel dat het beste aansluit bij het object. 2. De schade door bedreigingen van buitenaf (zoals brand, overstroming, explosies, oproer, stroomonderbreking) wordt beperkt door passende preventieve maatregelen. 3. Toegang tot niet-openbare gedeelten van gebouwen of beveiligingszones is alleen mogelijk na autorisatie daartoe. 4. De uitgifte van toegangsmiddelen wordt geregistreerd. In gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt een registratie bijgehouden. 5. De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd op de zonering (en het risicoprofiel). 6. In diverse panden van de gemeente wordt gebruik gemaakt van cameratoezicht. Het gebruik van beeldmateriaal is beperkt door de Wet bescherming persoonsgegevens (Wbp) en nadere regels. 7. De fysieke toegang tot ruimten waar zich informatie en ICT-voorzieningen bevinden is voorbehouden aan bevoegd personeel. Registratie van de verleende toegang ondersteunt de uitvoering van de toegangsregeling. 8. Serverruimtes, datacenters en daaraan gekoppelde bekabelingsystemen zijn ingericht in lijn met geldende best practices. 9. (Data)verbindingen worden beschermd tegen interceptie of beschadiging. 10. Reserve apparatuur en back-ups zijn gescheiden in twee locaties of datacenters, om de gevolgen van een calamiteit te minimaliseren. 11. Gegevens en programmatuur worden van apparatuur verwijderd of veilig overschreven, voordat de apparatuur wordt afgevoerd. Informatie wordt bewaard en vernietigd conform de Archiefwet 1995 en de daaruit voortvloeiende archiefbesluiten. 4.4 Beheer van communicatie- en bedieningsprocessen Risico s: - Het ontbreken van documentatie kan leiden tot fouten, niet-uniforme wijze van gegevensinvoer, of in geval de beheerder/bediener uitvalt, tot problemen rondom de continuïteit. - Onjuiste autorisaties kunnen leiden tot foutieve handelingen, fraude en verduistering. - Het niet uitvoeren en vastleggen van technische en functionele applicatietesten en/of de resultaten hiervan, kan in bepaalde omstandigheden (tijdsdruk, vakantieperiodes, etc.) leiden tot een verhoogd risico van uitval of gegevens verlies. - De gemeente gaat steeds meer samenwerken (en informatie uitwisselen) in ketens en besteedt meer taken uit. Bij beheer van systemen en gegevens door een derde partij, kan ook informatie van de gemeente op straat komen te liggen. De gemeente blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. - Programmatuur en ICT-voorzieningen zijn kwetsbaar voor virussen. P a g i n a 13 20

14 Doelstelling: A. Waarborgen van een correcte en veilige bediening van ICT-voorzieningen. B. Vastgestelde verantwoordelijkheden en procedures voor beheer en bediening van alle ICTvoorzieningen. Dit omvat tevens de ontwikkeling van geschikte bedieningsinstructies. C. Toepassing, waar nodig, van functiescheiding om het risico van nalatigheid of opzettelijk misbruik te verminderen. Beheermaatregelen: (Organisatorische aspecten) 1. In beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid kan worden gecompromitteerd. Indien dit toch noodzakelijk is, dient een audit trail te worden vastgelegd van alle handelingen en tijdstippen in het proces, dusdanig dat transactie kan worden herleid. 2. De audit trail is niet toegankelijk voor degene wiens handelingen worden vastgelegd. 3. Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker. 4. Nieuwe systemen, upgrades en nieuwe versies worden getest op impact en gevolgen en pas geïmplementeerd na formele acceptatie en goedkeuring door de opdrachtgever (veelal de proceseigenaar). De test en de testresultaten worden gedocumenteerd. 5. Het gebruik van ICT-middelen wordt gemonitord ten behoeve van een tijdige aanpassing van de beschikbare capaciteit aan de vraag. (Technische aspecten) 6. Versleuteling vindt plaats conform best practices (de stand der techniek), waarbij geldt dat de vereiste encryptie sterker is naarmate gegevens gevoeliger zijn. 7. Gegevens op papier worden beschermd door een deugdelijke opslag en regeling voor de toegang tot archiefruimten. 8. Bij het openen of wegschrijven van bestanden worden deze geautomatiseerd gecontroleerd op virussen, trojans en andere malware. Ook inkomende en uitgaande s worden hierop gecontroleerd. De update voor de detectiedefinities vindt in beginsel dagelijks plaats. 9. Op verschillende niveaus binnen de ICT-infrastructuur (netwerkcomponenten, servers, pc s) wordt antivirus software van verschillende leveranciers toegepast. 10. Alle apparatuur die is verbonden met het netwerk van de gemeente moet kunnen worden geïdentificeerd. 11. Documenten, opslagmedia, in- en uitvoergegevens en systeemdocumentatie worden beschermd tegen onbevoegde openbaarmaking, wijziging, verwijdering en vernietiging. Het (ongecontroleerd) kopiëren van geheime gegevens is niet toegestaan, behalve voor back-up door bevoegd systeembeheer. 12. Alle informatie, die wordt geplaatst op websites van de gemeente, wordt beschermd tegen onbevoegde wijziging. Op algemeen toegankelijke websites wordt alleen openbare informatie gepubliceerd. 13. Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau (service levels) komt. (Back-up en recovery) 14. In opdracht van de eigenaar van data, maakt I&A reservekopieën van alle essentiële bedrijfsgegevens en programmatuur zodat de continuïteit van de gegevensverwerking kan worden gegarandeerd. 15. De omvang en frequentie van de back-ups is in overeenstemming met het belang van de data voor de continuïteit van de dienstverlening en de interne bedrijfsvoering, zoals gedefinieerd door de eigenaar van de gegevens. 16. Bij ketensystemen dient het back-up mechanisme de data-integriteit van de informatieketen te waarborgen. 17. De back-up en herstelprocedures worden regelmatig (tenminste 1 x per jaar) getest om de betrouwbaarheid ervan vast te stellen. P a g i n a 14 20

15 4.5 Toegangsbeveiliging Risico s: - Wanneer toegangsbeheersing niet expliciet gebaseerd is op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en/of een aanvullende risicoanalyse, is niet duidelijk of het juiste niveau van beveiliging wordt gehanteerd. - Verstoringen door onjuist gebruik van ICT-ruimtes of ICT-componenten (m.n. waar ook niet ICTteams toegang hebben). Doelstelling: A. Beheersen van de toegang tot informatie, ICT-voorzieningen en bedrijfsprocessen op grond van bedrijfsbehoeften en beveiligingseisen. B. Beleid ten aanzien van informatieverspreiding en autorisatie is van toepassing. Beheermaatregelen: 1. De eigenaar van de data is bevoegd toegang te verlenen. 2. Er worden in de regel geen algemene identiteiten gebruikt. Voor herleidbaarheid en transparantie is het namelijk nodig om te weten wie een bepaalde actie heeft uitgevoerd. Indien dit geen (wettelijke) eis is, kan worden gewerkt met functionele accounts. 3. De gemeente Lingewaal maakt, waar mogelijk, gebruik van bestaande (landelijke) voorzieningen voor authenticatie, autorisatie en informatiebeveiliging (zoals DigiD en eherkenning). 4.6 Aanschaf, ontwikkeling en onderhoud Risico: - Verstoringen, zoals fouten of verlies van informatie, door onjuist gebruik van ICT-componenten of onbevoegde modificatie. Doelstelling: A. Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen. Beheermaatregelen: 1. Toetsing op IB-beleid is onderdeel van de toets voor projecten met een ICT-component en onderdeel van de project start en eind architectuur. 2. Projecten met een hoog risicoprofiel vallen onder toezicht van Bedrijfsvoering & Ondersteuning, Informatiebeleid. Toetsing op architectuur en informatiebeveiliging is hier onderdeel van. 3. Projectmandaten worden ten behoeve van behandeling in gemeentelijk overleg (onder meer) voorzien van een advies op het gebied van informatiebeveiliging. 4. In het programma van eisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen worden ook relevante beveiligingseisen opgenomen. 4.7 Beheer van informatiebeveiligingsincidenten Risico s: - Als incidenten niet geregistreerd worden, is niet duidelijk waar en wanneer er zich incidenten voor doen of voor hebben gedaan. Op deze wijze kan er geen lering worden getrokken uit deze incidenten om deze in de toekomst te voorkomen of om preventief betere maatregelen te implementeren. Doelstelling: A. Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden, die verband houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen. P a g i n a 15 20

16 B. Formele procedures voor rapportage van gebeurtenissen en escalatie. Alle werknemers, ingehuurd personeel en externe gebruikers zijn op de hoogte van deze procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de bedrijfsmiddelen. C. Er is een verplichte meldingssystematiek in werking om alle informatiebeveiligings-gebeurtenissen en zwakke plekken zo snel mogelijk te rapporteren aan de aangewezen contactpersoon. Beheermaatregelen: 1. De medewerker dient geconstateerde of vermoede beveiligingslekken en beveiligingsincidenten direct te melden bij een medewerkers informatiebeveiliging van de gemeente. 2. Beveiligingsincidenten die worden gemeld bij de service desk, worden als zodanig geregistreerd en voorgelegd aan de medewerkers informatiebeveiliging. Voor afhandeling geldt de reguliere rapportage en escalatielijn. 4.8 Bedrijfscontinuïteit Risico s: - Wanneer er niet of nauwelijks invulling gegeven wordt aan de continuïteitsplanning is er naast een vals gevoel van veiligheid, ook grote kans op ad hoc maatregelen als een calamiteit zich voordoet. - Het uitvallen van medewerkers (ziekte, sterven, ontslag) kan een reële bedreiging zijn. Doelstelling: A. Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen. B. Een adequaat beheerproces van bedrijfscontinuïteit om de uitwerking op de organisatie, veroorzaakt door het verlies van informatie en het herstellen daarvan tot een aanvaardbaar niveau te beperken. C. Informatiebeveiliging is een integraal onderdeel van het totale bedrijfscontinuïteitsproces en andere beheerprocessen binnen de organisatie. Beheermaatregelen: 1. Er worden periodiek testen uitgevoerd voor de controle van de bedrijfscontinuïteit. 4.9 Naleving Risico s: - Onvoldoende naleving van wet- en regelgeving en het niet behalen van een voldoende resultaat bij een specifieke audit of extern onderzoek. Doelstelling: A. Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van beveiligingseisen. Beheermaatregelen: 1. Het verbeteren van de kwaliteit van informatieveiligheid is een continu proces en onderdeel van alle gemeentelijke processen waarin wordt gewerkt met gevoelige informatie. Informatieveiligheid is een kwaliteitskenmerk van het primaire proces, waarop het management van elke afdeling stuurt. 2. De Afdeling Bedrijfsvoering & Ondersteuning zorgt namens de gemeentesecretaris voor het toezicht op de uitvoering van het informatiebeveiligingsbeleid. 3. Informatiesystemen en externe hosting providers leggen verantwoording af aan hun opdrachtgevers over de naleving van het IB-beleid. Bij uitbestede (beheer)processen kan een verklaring bij leveranciers worden opgevraagd. P a g i n a 16 20

17 4. Naleving van regels vergt in toenemende mate ook externe verantwoording, bijvoorbeeld voor het gebruik van DigiD, SUWI-net en de basisregistraties. Aanvullend op dit gemeentelijk informatiebeveiligingsbeleid kunnen daarom specifieke normen gelden voor clusters. P a g i n a 17 20

18 Bijlage A Definities Algemeen kader Begrip Beschikbaarheid Beveiligingsincidenten Omschrijving Waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante informatiemiddelen. Als bij een incident de reputatie van de gemeente Lingewaal op het spel staat, de bedrijfsvoering boven proportioneel wordt verstoord, de beschikbaarheid, integriteit en vertrouwelijkheid van informatie(middelen) wordt aangetast of attractieve waarde goederen worden ontvreemd, betreft het een beveiligingsincident. Beveiligingsorganisatie Het geheel van informatiebeveiligingsfuncties en - rollen die gezamenlijk een organisatie vormen ten aanzien van informatiebeveiliging. Derde Reserve elektronische informatiedragers Informatiebeveiliging Informatiebeveiligingsbeleid Informatiebeveiligingsplan Informatiebeveiligingsproces Informatievoorziening Informatiemiddel Integriteit Kwaadaardige programmatuur Persoonsgegevens Publiekstoegankelijke ruimte Richtlijnen Risicoanalyse Iedere persoon die geen arbeidscontract heeft met de gemeente Lingewaal maar wel werkzaamheden voor de gemeente verricht waar een contract met leveringsvoorwaarden en geheimhoudingvoorwaarden aan ten grondslag ligt (toelichting: een uitzendkracht heeft geen eigen contract met leveringsvoorwaarden, dat is een overkoepelend contract met het uitzendbureau). Reserve elektronische informatiedragers zijn media zoals tapes, CD s, DVD s e.d. met informatie die voor een bepaalde tijd bewaard worden. Het geheel van technische en organisatorische maatregelen waarmee de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen wordt gegarandeerd tot op een voor de gemeente Lingewaal acceptabel niveau. Het informatiebeveiligingsbeleid beschrijft beleidsuitspraken ten aanzien van informatiebeveiliging. Het beleid is opgebouwd uit een strategisch deel en een tactisch deel. In het informatiebeveiligingsplan zijn de standaarden en richtlijnen vanuit het tactische normenkader verder geconcretiseerd tot operationele procedures en technische inrichtingen (operationele maatregelen). Het proces waarmee het geheel van informatiebeveiliging wordt onderhouden om het in het informatiebeveiligingsplan vastgestelde niveau te behouden. Een samenhangende set van informatiemiddelen ter ondersteuning van een bepaalde dienst of proces. Een informatiemiddel is een technisch systeem waarmee een bepaald soort informatie wordt verwerkt. Het waarborgen van de correctheid en de volledigheid van informatie en verwerking. Ook virus of worm genoemd. Het betreft software die doelbewust schade aanricht aan computer-systemen door informatie te verminken, niet beschikbaar te maken of ongeautoriseerd te verkrijgen. Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (definitie uit Wbp) Publiekstoegankelijke ruimte is tijdens openingstijden vrij toegankelijk voor de burgers. Tactische richtlijnen over het gebruik van techniek en processen om standaardisatie van implementaties te bereiken. Beoordeling van de bedreigingen voor, effecten op en kwetsbaarheid van informatie en IT voorzieningen en de waarschijnlijkheid van het optreden van deze P a g i n a 18 20

19 Risicomanagement Informatiebeveiligingscoördinator Standaarden Strategisch normenkader Systeemeigenaar Tactische normenkader Vertrouwelijkheid Spyware bedreigingen. Het proces van vaststellen, beheersen en minimaliseren of elimineren van de beveiligings-risico's die informatiesystemen kunnen treffen tegen een aanvaardbaar kostenniveau. De Informatiebeveiligingscoördinator is gepositioneerd binnen de afdeling Bedrijfsvoering & Ondersteuning van de gemeente Lingewaal en rapporteert aan de manager over de gezondheid van de stand van informatiebeveiliging binnen de gemeente en coördineert /adviseert beveiliging naar de verschillende afdelingen. Tactische regels over het gebruik van techniek en processen om standaardisatie van implementaties te bereiken. Het strategische normenkader kent een dusdanige abstractie waarbij de normen zoveel mogelijk onafhankelijk zijn (en daarmee toekomst vast) van de daadwerkelijke organisatorische en technische inrichting van de gemeente Lingewaal. Een wijziging in de organisatie van de gemeente Lingewaal moet niet direct leiden tot aanpassing van het Strategisch normenkader. Een systeemeigenaar is verantwoordelijk voor de exploitatie van het betreffende systeem zoals is afgesproken met de diensten- of proceseigenaar. Het tactische normenkader is een concretisering van de normen uit het strategische normenkader naar standaarden en richtlijnen waarbij verbindingen worden gezocht met de organisatorische en technische inrichting van de gemeente Lingewaal met een generiek karakter. Waarborgen dat informatie alleen toegankelijk is voor degenen, die hiertoe geautoriseerd zijn. Programma's die systemen kunnen scannen of activiteit kunnen waarnemen en informatie naar andere computers of locaties in de cyberruimte kunnen doorgeven. Spyware kan onder meer de volgende informatie actief of passief verzamelen en verspreiden: wachtwoorden, aanmeldgegevens, rekeningnummers, persoonlijke gegevens, afzonderlijke bestanden of andere persoonlijke documenten. Spyware kan ook informatie over de computer van de gebruiker, toepassingen op deze computer, internetgebruik of andere gewoonten verzamelen en distribueren. P a g i n a 19 20

20 Bijlage B Gelieerde documentatie Extern - NEN/ISO (2005) en (Code voor Informatiebeveiliging) (2007) - Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), KING, Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) - Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) - CBP richtsnoeren beveiliging van persoonsgegevens, 2013: - GEMMA: Bronvermelding: Het informatiebeveiligingsbeleid voor de gemeente Lingewaal is opgesteld door Native Consulting, mr. C.H.M.Reijmers. Hierbij is gebruik gemaakt van de documenten over het informatiebeveiligingsbeleid zoals die zijn gepubliceerd door de VNG/KING en beschikbaar op de website P a g i n a 20 20