De juiste informatie op het juiste moment op de juiste plek

Transcriptie

1 1 Beleid: Informatiebeveiliging De juiste informatie op het juiste moment op de juiste plek 2016, BsGW Versie 1.1 Laatste wijziging: vrijdag 9 september 2016 BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

2 2 Inhoudsopgave VERSIEBEHEER... 4 WIJZIGINGSBEHEER... 4 LEESWIJZER INLEIDING INFORMATIEBEVEILIGING WAAROM INFORMATIEBEVEILIGING? REIKWIJDTE EN AFBAKENING INFORMATIEBEVEILIGING OPBOUW DOCUMENT INFORMATIEBEVEILIGINGSBELEID UITGANGSPUNTEN INFORMATIEBEVEILIGING BSGW SAMENHANG DOELSTELLING UITGANGSPUNTEN RISICOBENADERING DOELGROEPEN SCOPE WERKING ORGANISATIE VAN DE INFORMATIEBEVEILIGING INTERNE ORGANISATIE EXTERNE PARTIJEN PDCA BEHEER VAN BEDRIJFSMIDDELEN VERANTWOORDELIJKHEID VOOR BEDRIJFSMIDDELEN CLASSIFICATIE VAN INFORMATIE BEVEILIGING VAN PERSONEEL RISICO S DOELSTELLING BEHEERSMAATREGELEN FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING RISICO S BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

3 3 7.2 DOELSTELLING BEHEERSMAATREGELEN BEHEER VAN COMMUNICATIE EN BEDIENINGSPROCES RISICO S DOELSTELLING BEHEERSMAATREGELEN LOGISCHE TOEGANGSBEVEILIGING RISICO S DOELSTELLING BEHEERSMAATREGELEN VERWERVING, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN DOELSTELLING BEHEERSMAATREGELEN BEHEER VAN INFORMATIEBEVEILIGINGSINCIDENTEN RISICO S DOELSTELLING BEHEERSMAATREGELEN CLASSIFICATIE IB-INCIDENTEN BEDRIJFSCONTINUÏTEIT RISICO S DOELSTELLING BEHEERSMAATREGELEN NALEVING DOELSTELLING BEHEERSMAATREGELEN BIJLAGE I: DOCUMENTATIE BIJLAGE II: MENSELIJKE BEDREIGINGEN BIJLAGE III: BEGRIPPENLIJST BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

4 4 Versiebeheer Naam bestand Beleidskaders: Proces Management Versie 1.1 Status: defintief Datum: 24 mei 2016 Auteur: - Omschrijving Beleid: Informatiebeveiliging Locatie: Wijzigingsbeheer Versie Datum Auteur Omschrijving augustus 2014 P. Flachs Concept versie augustus 2014 P. Flachs Concept oktober 2014 P. Flachs Concept december 2014 P. Flachs Definitief mei 2016 P. Flachs Definitief Leeswijzer Hoofdstuk 1: beschrijft de inleiding in het kader van Informatiebeveiliging; Hoofdstuk 2: beschrijft de uitgangspunten ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2007), BIWA en de BIG; Hoofdstuk 3: beschrijft de uitgangspunten informatiebeveiliging BsGW; Hoofdstukken 4 t/m 13 ge- beschrijven de verantwoordelijkheden en beheersmaatregelen op het bied van informatiebeveiliging binnen BsGW. BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

5 5 1 Inleiding Organisaties worden dagelijks geconfronteerd met beveiligingsrisico s. Naast de bekende tastbare risico's groeit het risico van inbreuk op de informatiebeveiliging: denk hierbij aan de dreiging van computervirussen, uitval van kritische bedrijfssystemen, fraudes in het betalingsverkeer, spookfacturen, ongewenst Internetgedrag van medewerkers of diefstal van laptops en bedrijfsgegevens. Of het nu gaat om papier, computers of andere telecommunicatieapparatuur; op alle terreinen geldt dat informatiebeveiliging steeds meer aandacht vraagt van organisaties. In een organisatie als BsGW, waar veel financiële- en persoonsgegevens worden verwerkt, is het van groot belang om voldoende aandacht te schenken aan de bescherming van deze gegevens. Door een steeds verder toenemende integratie van de geautomatiseerde gegevensverwerking en informatievoorziening in de primaire bedrijfsprocessen is het belang en de afhankelijkheid ervan sterk toegenomen. De digitale dienstverlening naar burgers en bedrijven groeit gestaag en wordt steeds meer verweven met landelijke voorzieningen (mijn overheid). Na diverse incidenten rondom informatiebeveiliging en de toenemende cybercrime heeft de Tweede Kamer en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de druk opgevoerd om maatregelen te nemen die de digitale veiligheid garanderen. Recent zijn de baselines voor informatiebeveiliging ontwikkeld voor Gemeenten (BIG) en voor de waterschappen (BIWA). Deze baselines vormen de basis voor het informatiebeveiligingsbeleid van BsGW. 1.1 Informatiebeveiliging Informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip informatiebeveiliging heeft betrekking op: beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn; integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking. BsGW onderkent het belang van informatiebeveiliging. Informatiebeveiliging maakt onderdeel uit van de dagelijkse verantwoordelijkheid als manager en medewerker. We wegen de inspanningen die hiertoe nodig zijn, zowel financieel als in de zin van beperkingen in de bedrijfsvoering, zo goed mogelijk af tegen de risico's. Het BsGW Informatiebeveiligingsbeleid definieert hoe BsGW invulling geeft aan informatiebeveiliging. Uitwerking van dit beleid in richtlijnen, voorschriften, procedures en reglementen ligt vast in separate documenten. Informatiebeveiligingsmaatregelen steunen veelal op de medewerking van de medewerkers in een organisatie en daarmee vormen ze een belangrijk onderdeel voor het succes van ons bedrijf. Laten we BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

6 6 daarom samen actief bijdragen aan de continuïteit van BsGW en ons inzetten voor de naleving van het overwogen gekozen beleid en de bijbehorende maatregelen. BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

7 7 1.2 Waarom informatiebeveiliging? Informatie is één van de belangrijkste bedrijfsmiddelen van BsGW. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor BsGW, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt aan burgers en bestuur en die met minimale middelen maximale resultaten behaalt. De bescherming van waardevolle informatie is hetgeen waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, hoe meer maatregelen er getroffen moeten worden. 1.3 Reikwijdte en afbakening informatiebeveiliging Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, beeldscherm et cetera) en alle informatie verwerkende systemen (de programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekort schietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clear desk policy, hoe om te gaan met mobile devices en aanwijzingen voor telewerken. 1.4 Opbouw document Het document is opgebouwd uit het informatiebeveiligingsbeleid en de bijbehorende bijlage op het beleidsdocument bestaande uit 13 separate hoofdstukken en diverse bijlagen die in de pas lopen met de baselines voor informatiebeveiliging ontwikkeld voor Gemeenten (BIG) en voor de waterschappen (BIWA). BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

8 8 2 Informatiebeveiligingsbeleid Het bestuur 1 en management spelen een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. Zo maakt het management een inschatting van het belang dat de verschillende delen van de informatievoorziening voor BsGW te hebben, de risico s die BsGW hiermee loopt en welke van deze risico s onacceptabel hoog zijn. Op basis hiervan zet het management dit beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan. Het gehele management geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid van en voor BsGW. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid van is in lijn met het algemene beleid van BsGW en de relevante landelijke en Europese wet- en regelgeving. BsGW is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van het beleid. Hierbij geldt: Er is wetgeving waar altijd aan voldaan moet worden, zoals de archiefwet. Er zijn gemeenschappelijke normenkaders als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA). BsGW stelt deze normenkaders vast, waarbij er ruimte is voor afweging en prioritering op basis van het pas toe of leg uit principe. De volgende uitgangspunten zijn ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2007), BIWA en de BIG: 1. Alle informatie en informatiesystemen zijn van kritiek en vitaal belang voor BsGW. De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)management, met het Dagelijks Bestuur als eindverantwoordelijke. De verantwoordelijkheden voor de bescherming van gegevens en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd; 2. Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses; 3. Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging; 1 Dit IB-beleid treedt in werking na vaststelling door het Dagelijks Bestuur. Aldus vastgesteld door het Dagelijks Bestuur van BsGW op datum BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

9 9 4. De informatiebeveiligingsfunctionaris/chief Information Beveiligingsfunctionaris (CISO) ondersteunt vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover; 5. BsGW stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid; 6. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld. Alle medewerkers van BsGW worden getraind in het gebruik van beveiligingsprocedures; 7. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

10 10 3 Uitgangspunten informatiebeveiliging BsGW 3.1 Samenhang Deze hoofdstukken vormen een onlosmakelijk geheel met het informatiebeveiligingsbeleid van BsGW. Deze hoofdstukken corresponderen met de hoofdstukken 5 tot en met 15 uit de Tactische variant van de BIG en BIWA. Ze geven een nadere invulling van het informatiebeveiligingsbeleid voor gemeenten en waterschappen. Het belang van informatie(veiligheid) Informatie is één van de voornaamste bedrijfsmiddelen van BsGW. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering maar ook leiden tot imagoschade. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie met waarschijnlijk ook politieke consequenties. Informatieveiligheid is daarom van groot belang. Informatiebeveiliging (IB) is het proces dat dit belang dient. Visie De komende jaren zet BsGW in op het verhogen van informatieveiligheid en verdere professionalisering van de IB-functie in de organisatie. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van BsGW en de basis voor het beschermen van rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. Het proces van informatiebeveiliging is primair gericht op bescherming van informatie, maar is tegelijkertijd een enabler ; het maakt bijvoorbeeld elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid 3.2 Doelstelling Dit informatiebeveiligingsbeleid (IB-beleid) is het kader voor passende technische en organisatorische maatregelen om de BsGW informatie te beschermen en te waarborgen, dat BsGW voldoet aan relevante wet en regelgeving. BsGW streeft er naar om in control te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat BsGW weet welke maatregelen genomen zijn en dat er een SMART-planning is van de maatregelen die nog niet genomen zijn en als laatste dat dit geheel verankerd is in de PDCA-cyclus. 3.3 Uitgangspunten Het informatiebeveiligingsbeleid van BsGW is in lijn met het algemene beleid van BsGW en de relevante landelijke en Europese wet- en regelgeving; BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

11 11 Het beleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002) en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA); Het IB-beleid wordt vastgesteld door het Dagelijks Bestuur van BsGW. De Directie herijkt minimaal één keer per drie jaar, of zodra zich belangrijke wijzigingen voordoen het IB-beleid. 3.4 Risicobenadering De aanpak van informatiebeveiliging (IB-beleid) van BsGW is risk based. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een toets tegen de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en Baseline Informatiebeveiliging Waterschappen (BIWA). Indien een systeem meer maatregelen nodig heeft, wordt een risicoanalyse uitgevoerd. Daartoe inventariseert de proceseigenaar de kwetsbaarheid van zijn werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de beschermingseisen van de informatie. Het risico is de kans op beveiligingsincidenten en de impact daarvan op het werkproces en wordt bepaald door de proceseigenaar: RISICO = KANS x IMPACT 3.5 Doelgroepen Het IB-beleid is bedoeld voor alle in- en externe medewerkers van BsGW: Doelgroep Dagelijks Bestuur Directie Lijnmanagement (proceseigenaren) Medewerkers Gegevenseigenaren Beleidmakers IB-functionarissen HRM/BOJZ HRM/BOJZ HRM/BOJZ Auditors Leveranciers en ketenpartners Relevantie voor IB-Beleid Integrale verantwoordelijkheid Kaderstelling en implementatie Sturing op informatieveiligheid en controle op naleving Gedrag en naleving Classificatie: bepalen van beschermingseisen van informatie Planvorming binnen IB-kaders Dagelijkse coördinatie van IB Arbeidsvoorwaardelijke zaken Fysieke toegangsbeveiliging Technische beveiliging Onafhankelijke toetsing Compliance 3.6 Scope De scope van dit beleid omvat alle processen, onderliggende informatiesystemen, informatie en gegevens van BsGW en externe partijen (bijv. Deelnemers), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur. BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

12 12 Ook als informatiesystemen niet fysiek binnen BsGW draaien of taken zijn uitbesteed aan derden is het informatiebeveiligingsbeleid van toepassing. Informatiebeveiliging geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Binnen de scope van het informatiebeveiligingsbeleid vallen alle op dit moment geldende normen en regels op het gebied van informatiebeveiliging die door derden aan BsGW zijn opgelegd. 3.7 Werking Dit IB-beleid treedt in werking na vaststelling door de directeur van BsGW. BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

13 13 4 Organisatie van de informatiebeveiliging 4.1 Interne organisatie Risico s Het niet expliciet beleggen van verantwoordelijkheden en bijbehorende activiteiten, procedures en instrumenten, verhindert het daadwerkelijk en structureel uitvoeren en borgen van de beheersmaatregelen Doelstelling Beheren van de informatiebeveiliging (IB) binnen de organisatie. Er is een beheerkader vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en te beheersen. Goedkeuring door de directie van het informatiebeveiligingsbeleid, de toewijzing van de rollen en de coördinatie en beoordeling van de implementatie van het beleid binnen de organisatie Verantwoordelijkheden De directie is integraal eindverantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van BsGW; o stelt kaders voor informatiebeveiliging (IB) op basis van landelijke en Europese weten regelgeving en landelijke normenkaders; o o stuurt op bedrijfsbrede risico s; controleert of de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen en of deze voldoende bescherming bieden; o evalueert periodiek beleidskaders en stelt deze waar nodig bij. De afdelingen binnen BsGW (in vragende rol) zijn verantwoordelijk voor de integrale beveiliging van hun organisatieonderdelen; o stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn); De stafafdeling HRM/BOJZ is verantwoordelijk voor uitvoering; o De stafafdeling HRM/BOJZ: is verantwoordelijk voor de technische beveiliging van de o o o informatievoorziening en implementatie van beveiligingsmaatregelen, die voortvloeien uit betrouwbaarheidseisen (classificaties); is verantwoordelijk voor alle beheeraspecten van informatiebeveiliging, zoals ICT security management, incident en problem management, facilitaire en personele zaken; verzorgt logging, monitoring en rapportage; levert klanten (technisch) beveiligingsadvies. BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

14 Taken en rollen De directie namens het Dagelijks Bestuur van BsGW stelt formeel het IB-beleid vast. De uitvoering van het beleid moet gecontroleerd worden, zowel de directie, DB als AB controle functie) kunnen hiervoor opdracht geven om dit te (laten) controleren. De verantwoordelijke voor kwaliteit processen en informatievoorziening geeft namens de directie op dagelijkse basis invulling aan de sturende rol door besluitvorming in de directie voor te bereiden en toe te zien op de uitvoering ervan. De IB taken die hieruit voortvloeien zijn belegd bij de Chief Information Security Officer (CISO). Ook de taken in het kader van de privacybewaking vertaald in de rol van Functionaris Gegevensbescherming (FG), zijn toegevoegd aan het takenpakket van de verantwoordelijke voor kwaliteit processen en informatievoorziening. De CISO bevordert en adviseert gevraagd en ongevraagd over IB en rapporteert eens per kwartaal organisatie breed aan de directie over de stand van zaken; Over het functioneren van informatiebeveiliging wordt jaarlijks gerapporteerd conform de P&C cyclus; Het afdelingshoofd blijft verantwoordelijk voor de uitvoering en invulling van de informatiebeveiliging binnen de afdeling. De rol van beveiligingsambassadeur wordt per afdeling toegevoegd bij een of enkele medewerkers van de afdeling. De rol van beveiligingsambassadeur is gericht op het constructief bijdragen en inbedden van het beveiligingsbewustzijn binnen de afdeling. Geen politieagent maar een promoter. De rol wordt separaat toegelicht. De stafafdeling HRM/BOJZ wijst een FAB als beveiligingsfunctionaris (BF) aan voor dagelijks beheer van technische IB-aspecten. De beveiligingsfunctionaris rapporteert aan de CISO. Informatiebeveiliging is onderdeel van de service management rapportage. Directeur Bestuurlijk relatiebeheer KPI CISO/FG Beveiligings ambassadeur P&C BF HRM/BOJZ Gegevens beheer WOZwaardering Klantzaken I&A Beveiligings ambassadeur Beveiligings ambassadeur Beveiligings ambassadeur Beveiligings ambassadeur BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

15 15 Wie Sturen: Directie dagelijkse uitvoering: CISO Vragen: Alle afdelingen Uitvoeren: HRM/BOJZ (in uitvoerende en regisserende rol) Plan: Kaderstelling Ontwikkelen van kaders (beleid en architectuur); reglementen; meerjarenplanning. Formuleren van beveiligingseisen Beleidsvoorbereiding, technische onderzoeken (marktverkenningen). Do: Uitvoering Inbedding landelijke en EU-richtlijnen, advisering, handreikingen, crisisbeheersing en incident respons. Stimuleren van beveiligingsbewustzijn bij medewerkers, risicoen bedrijfscontinuïteitmanagement. Leveren van security management en services (ICT), incidentbeheer, logging, monitoring en advies. Check: Controle Controle, audit, pentesten. Interne controle (IC), sturen op naleving van regels door medewerkers (gedrag), compliance. Vulnerability scanning, evaluatie en rapportage. Act: Verbetering Bijsturen: opdrachtverstrekking voor verbeteracties. Rapportage aan directie/ DB Verbeteren bedrijfscontinuïteit. Rapportage aan CISO. Uitvoeren verbeteracties. Advies aan de CISO over aanpassingen aan de informatievoorziening Procedure melding en afhandeling beveiligingsincident en mogelijk datalek De procedure beschrijft de verschillende stappen die binnen BSGW genomen worden bij een beveiligingsincident en een mogelijk datalek. Beveiligingsincidenten en mogelijke datalekken kunnen onder andere ontstaan door: moedwillig handelen (cybercriminaliteit, hacking, identiteitsfraude, mailware besmetting); technisch falen (ICT-storingen); menselijk falen (te eenvoudige wachtwoorden/het verstrekken van username/wachtwoord aan collega s en externen); calamiteit (brand datacentrum, wateroverlast); verloren USB stick of laptop; verzenden van met adressen van alle geadresseerden; Een datalek moet onverwijld (binnen 2 dagen) nadat de verantwoordelijke (1) binnen BSGW er kennis van heeft genomen, bij de Autoriteit Persoonsgegevens gemeld worden. Het datalek moet ook worden gemeld bij de betrokkenen. In het geval van BSGW zijn dit over het algemeen klanten (burgers en bedrijven) of medewerkers. Betrokkenen zijn degenen wiens persoonsgegevens zijn betrokken bij een inbreuk. De betrokkene moet onverwijld in kennis worden gesteld van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor zijn persoonlijke levenssfeer. Melden Een datalek kan door iedereen op allerlei manieren gedetecteerd en gemeld worden. Bijvoorbeeld door: Derden, zoals burgers, media, partners, hackers. Medewerkers van BsGW Ketenpartners in de rol van bewerkers t.b.v. BsGW. Bewerker: degene (b.v. ICToutsourcingspartner, printservicebureau ) die de gegevens ten behoeve van de verantwoordelijke (BsGW) verwerkt zonder aan zijn of haar rechtstreeks gezag te zijn onderworpen (ook extern). BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

16 16 De medewerker die een (mogelijk) datalek constateert, meldt dit incident per omgaande (mondeling of telefonisch) bij zijn manager, en deze meldt het incident per omgaande (mondeling of telefonisch) aan de CISO. De melding kan door iedere medewerker en iedere bewerker worden gedaan. De melding kan ook door een externe persoon worden gedaan bij een medewerker van BSGW. De CISO registreert en documenteert het incident als volgt: naam van de melder; datum en tijd van de melding; aard van de inbreuk (is er aanmerkelijk risico op verlies of onrechtmatige verwerking?); welke persoonsgegevens vallen onder de melding; om welk aantal en/of gegevensrecords gaat het; welke (groepen) personen zijn betrokken bij de melding; welke maatregelen zijn of worden door de melder getroffen; welke gevolgen zijn er volgens de melder voor de betrokkenen; de contactpersoon voor de melding. Buiten kantoortijden en in het weekend wordt de melding telefonisch gedaan bij de CISO. Bij het niet kunnen bereiken van de CISO, wordt de melding gedaan bij de beveiligingsfunctionaris. Als het mogelijk is, wordt een eventueel benodigd overleg uitgesteld tot tijdens kantooruren. Als dit niet mogelijk is, wordt zoveel als mogelijk telefonisch en elektronisch overleg gevoerd. Eerste analyse De CISO en de beveiligingsfunctionaris beoordelen of van de inbreuk redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking, waaraan nadelige gevolgen voor de privacy van de betrokkenen zijn verbonden. Is dit niet het geval, dan vindt alleen registratie van de melding plaats door de CISO. Is dit wel het geval, dan voert de CISO de volgende acties uit: 1. mondeling of telefonisch informeren directeur BSGW; 2. Tijdens kantooruren: direct bijeenroepen van het Responseteam Datalek, bestaande uit: a. CISO (hoofd KPI, voorzitter), b. Beveiligingsfunctionaris c. Adviseur communicatie en bestuurlijk relatiebeheer d. verantwoordelijke manager van afdeling waar lek is gevonden e. plaatsvervangend directeur met ondersteuning op de aspecten HRM/juridisch en ICT Responseteam Datalek Het Responseteam Datalek wordt met een hoge prioriteit bijeengeroepen door de CISO. De bijeenkomst wordt voorgezeten door de CISO. Het responseteam bespreekt en legt vast: de gegevens die door de CISO zijn vastgelegd bij het aannemen van de melding; de noodzakelijke vervolgacties m.b.t. het datalek (lek onmiddellijk dichten, toegang tot informatie beperken en tegelijkertijd meer informatie vergaren over de indringer; hetgeen gemeld gaat worden bij de AP door de CISO (naast aard inbreuk, welke persoonsgegevens, aantal betrokken personen/records): - de mogelijke gevolgen voor de betrokkenen; - de maatregelen die BSGW neemt en/of kan nemen om de schade voor betrokkenen te verkleinen; - de maatregelen die betrokkenen kunnen nemen om verdere schade te verkleinen, inclusief de BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

17 17 wijze van inlichten hierover; - contactgegevens voor betrokkenen; de wijze van afhandeling intern, inclusief communicatie naar melder, betreffende afdeling(-en) en manager(s); of er sprake is van eigen aansprakelijkheid, of aansprakelijkheid van derden, zoals uit hoofde van wanprestatie (omdat een geheimhoudingsverplichting is geschonden, of in strijd met een contractuele verplichting onvoldoende beveiliging is gerealiseerd) of onrechtmatige daad; het al dan niet doen van aangifte en vaststellen of sprake is van strafrechtelijke verwijtbaarheid. Dit kan bijvoorbeeld spelen wanneer er sprake is van betrokkenheid vanuit BSGW zelf, een bewerker, of wanneer er onvoldoende maatregelen zijn getroffen om ongeregeldheden te voorkomen. Indien gewenst vindt overleg plaats met de juridisch adviseur; hetgeen intern gecommuniceerd wordt, op welk moment; hetgeen extern gecommuniceerd wordt, op welk moment. Er wordt vastgesteld of de pers geïnformeerd moet worden; of naast de AP ook andere stakeholders geïnformeerd worden; of er individuen, bedrijven, andere waterschappen, Unie van Waterschappen geïnformeerd worden; op welke wijze er intern wordt gerapporteerd, inclusief actiehouder; of eventuele schade is gedekt door de verzekeringspolis. Vervolg De CISO rapporteert aan de directeur BSGW de uitkomsten van het overleg van het Responseteam Datalek. De directeur BSGW accordeert de uit te voeren activiteiten, zoals vastgesteld door het Responseteam Datalek, of stelt de uit te voeren activiteiten bij. De door de directeur BSGW vastgestelde activiteiten worden uitgevoerd. Melding bij Autoriteit Persoonsgegevens De CISO meldt binnen 2 dagen volgens de aangewezen methode datalek bij het AP (webformulier AP, fax kan nu ook nog. (wel aantonen dat de melding tijdig is gemeld). In ieder geval zal gemeld moeten worden: aard van de inbreuk, waaronder betrokken categorieën, aantal betrokkenen, aantal gegevensrecords; beschrijving van de te verwachten gevolgen; getroffen en/of voorgestelde maatregelen; informatie over te nemen maatregelen door de betrokkene om de nadelige gevolgen te beperken; contactgegevens voor betrokkene; Ontvangstbevestiging Autoriteit Persoonsgegevens Is er een melding gedaan, dan ontvangt BSGW een ontvangstbevestiging. Bij de meldingen die aanleiding geven tot nadere actie door het AP, zal het AP contact opnemen met BSGW om de herkomst van de melding te verifiëren. Melden aan de betrokkenen Een datalek moet onverwijld aan de betrokken persoon worden gemeld wanneer het datalek (waarschijnlijk) ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van betrokkene. Deze gevolgen kunnen materieel zijn, zoals financiële schade door misbruik van bankgegevens, of immaterieel, zoals discriminatie. BsGW zal eerst nader onderzoek doen om de betrokkene in één keer op een BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

18 18 zorgvuldige manier te kunnen informeren. Let wel: de betrokkene zal maatregelen willen nemen naar aanleiding van het datalek. Voortvarendheid van BsGW is dus gewenst! Aangifte doen bij de politie Als er sprake is van cybercrime/virtuele diefstal (moedwillig misbruik/schade aangebracht, virtuele spullen gestolen), is het wenselijk dat u aangifte doet bij de politie. Hier is sprake van bij verlies van beschikbaarheid, vertrouwelijkheid of integriteit van informatie door bijvoorbeeld ransomware, cryptoware of een hack. Aangifte is verplicht wanneer ICT-voorzieningen worden misbruikt en hierbij vermoedens bestaan van een ernstig misdrijf conform artikel 160 van het wetboek van strafrecht. Bij twijfel kan deskundige hulp worden ingeschakeld, bijvoorbeeld van een beveiligingsadviesbureau of een particulier recherchebureau, om het onderzoek te begeleiden of het beveiligingsincident op te volgen. Indien het datalek is ontstaan door computervredebreuk ( hacking ), kan BsGW hiervan aangifte doen. Het is zeker aan te bevelen om dit te doen als blijkt dat er misbruik gemaakt is van gegevens of als er financiële schade is geleden. Politie en Openbaar Ministerie besluiten zelf tot onderzoek en eventueel vervolging over te gaan. Melden bij het NCSC Het melden van cybercrime bij het NCSC is niet verplicht maar levert een substantiële bijdrage aan het inzichtelijk maken van cybercrime. De meldingen leveren ook een bijdrage aan de beleidsformulering van diverse (overheids)instanties. Van een melding wordt geen proces-verbaal opgemaakt. EEN MELDING DOEN AAN HET NCSC KAN VIA INFO@NCSC.NL EN IN NOODGEVALLEN BUITEN KAN- TOORUREN CERT@NCSC.NL. Dichten van een datalek Om te kunnen bepalen hoe een datalek het best verder kan worden afgehandeld, is het noodzakelijk om eerst te bepalen of het lek voor de organisatie beheersbaar is. Als dat niet zo is, dan is het verstandig het incident te escaleren en op te schalen naar de calamiteitenprocedure. Borgen van veiligheid Als het lek eenmaal is gedicht met behulp van noodmaatregelen, dan kan de organisatie overgaan tot het omzetten van de noodmaatregelen naar structurele maatregelen. Afwezigheid CISO Bij afwezigheid van de CISO wordt diens rol ingevuld door de beveiligingsfunctionaris. BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen.

19 BsGW Belastingsamenwerking Gemeenten en Waterschappen is een zelfstandig samenwerkingsverband voor heffing en inning van gemeentelijke belastingen en waterschapsbelastingen en voor uitvoering van de wet WOZ. BsGW verzorgt de uitvoering van deze taken voor dertig Limburgse gemeenten en twee Limburgse waterschappen. 19

20 4.2 Externe partijen IB-beleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de organisatie samenwerkt (en informatie mee uitwisselt). Ook voor externe partijen geldt hierbij het pas toe of leg uit beginsel; Bij contractuele overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV), waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV dienen te worden getoetst aan IB-beleid. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat BsGW het recht heeft afspraken te (laten) controleren; Voor het tot stand brengen van datakoppelingen met externe partijen, geldt naast generiek IB-beleid een procedure Aanvragen externe toegang Intranet. Het doel van de procedure is risicobeheersing; Voor externe hosting van data en/of services gelden naast generiek IB-beleid de richtlijnen voor Cloud computing. BsGW is gehouden aan: o regels omtrent grensoverschrijdend dataverkeer; o toezicht op naleving van regels door de externe partij(en); o o hoogste beveiligingseisen voor bijzondere categorieën gegevens; melding bij college bescherming persoonsgegevens (CBP) bij doorgifte van persoonsgegevens naar derde landen (buiten de EU)

21 4.3 PDCA Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging.15 Deze kwaliteitscyclus is in onderstaande figuur weergegeven. Toelichting figuur 2: Plan: De cyclus start met IB-beleid, gebaseerd op wet- en regelgeving, landelijke normen zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en best practices, uitgewerkt in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt op jaarlijkse basis en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen is onderdeel van het CIO/ICT jaarplan en uitgewerkt in het informatiebeveiligingsplan (IB-beleid) van de gemeente. Afdelingsspecifieke activiteiten worden gepland in het afdelings-ib plan of het afdelings- informatieplan (IM-functie). Do: Het beleidskader is de basis voor risicomanagement, uitvoering van (technische) maatregelen en bevordering van beveiligingsbewustzijn. Uitvoering geschiedt op dagelijkse basis en maakt integraal onderdeel uit van het werkproces. Check: Control is onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving. Externe controle: betreft controle buiten het primaire proces door een auditor.16 Dit heeft het karakter van een steekproef. Jaarlijks worden meerdere van dergelijke onderzoeken uitgevoerd, waarbij de CIO/ICT in principe opdrachtgever is. Bevindingen worden gerapporteerd aan de CIO en de directies. Act: De cyclus is rond met de uitvoering van verbeteracties o.b.v. check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en beveiligingsplannen. De bevindingen worden in beginsel gerapporteerd aan de directie. Voor ingrijpende verbeteracties wordt een gevraagde beslissing voorgelegd

22 5 Beheer van bedrijfsmiddelen 5.1 Verantwoordelijkheid voor bedrijfsmiddelen Risico s Bedrijfsmiddelen en informatie zijn blootgesteld aan risico s zoals diefstal, beschadiging of onoordeelkundig gebruik, waarbij niet voor alle ICT-configuratie items is vastgelegd wie de eigenaar/hoofdgebruiker is. Onduidelijkheid wie verantwoordelijk is voor gegevensbestanden, waardoor ook niemand verantwoordelijk is voor de beveiliging en kan optreden bij incidenten Doelstelling Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie. Voor alle bedrijfsmiddelen is de eigenaar vastgelegd alsook de verantwoordelijke voor het handhaven van de beheersmaatregelen Beheersmaatregelen 1. Alle bedrijfsmiddelen zijn geïdentificeerd en een inventaris is opgesteld en wordt bijgehouden. Actualiteit van de documenten wordt bewaakt middels versiebeheer; 2. Er wordt hierbij geen rekening gehouden met de inzet van bedrijfsmiddelen bij outsource partners; 3. BsGW classificeert, volgens het classificatieschema, informatie(systemen) met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie; 4. Alle informatie en bedrijfsmiddelen, die verband houden met ICT-voorzieningen aan een 'eigenaar' (een deel van de organisatie) toewijzen; 5. Regels vaststellen, documenteren implementeren voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen; 6. Medewerkers hebben kennis van de regels; 7. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen; 8. Informatiedragers worden dusdanig gebruikt dat vertrouwelijke informatie niet beschikbaar kan komen voor onbevoegde personen. 5.2 Classificatie van informatie Risico s Geen inzicht in welke componenten, zowel hardware als software, het belangrijkst zijn voor de primaire processen; Onjuiste classificatie draagt bij aan het onjuist beschermen van informatie en bedrijfsmiddelen met als risico, dat deze verloren kunnen gaan of openbaar worden gemaakt terwijl dat niet de bedoeling is

23 5.2.2 Doelstelling Informatie heeft een geschikt niveau van bescherming. Classificatie van informatie om bij verwerking de noodzaak en bescherming te kunnen aangeven. Adequate niveaus van bescherming van informatie zijn gedefinieerd en de noodzaak voor aparte verwerkingsmaatregelen is gecommuniceerd Beheersmaatregelen Informatie classificeren met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie op basis van onderstaand schema. Opstellen en uitdragen classificatiebeleid binnen BsGW. Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Laag Bedrijfsvertrouwelijk informatie is toegankelijk voor alle medewerkers van de organisatie (bv: informatie op intranet) Beschermd het bedrijfsproces staat enkele (integriteits-) fouten toe (bv: rapportages) Noodzakelijk informatie mag incidenteel niet beschikbaar zijn (bv: administratieve gegevens) Midden Hoog Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep gebruikers (bv: persoonsgegevens, financiële gegevens Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: aanslaggegevens persoonlijke pagina) Hoog het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoeringinformatie en primaire procesinformatie zoals vergunningen) Absoluut het bedrijfsproces staat geen fouten toe (bv: BsGW informatie op de website) Belangrijk informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv: primaire proces informatie) Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties)

24 6 Beveiliging van personeel 6.1 Risico s Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. 6.2 Doelstelling Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. De verantwoordelijkheden ten aanzien van beveiliging is vóór het dienstverband vastgelegd in passende functiebeschrijvingen en in de arbeidsvoorwaarden. Alle kandidaten voor een aanstelling, ingehuurd personeel en externe gebruikers worden gescreend, in het bijzonder voor vertrouwensfuncties. Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen een overeenkomst over hun beveiligingsrollen en verantwoordelijkheden 6.3 Beheersmaatregelen Voorafgaand aan dienstverband 1. De verantwoordelijkheden ten aanzien van informatiebeveiliging worden vastgesteld en vastgelegd in de functiebeschrijving en het (arbeids-)contract; 2. Medewerkers krijgen bij hun aanstelling inzicht in de verantwoordelijkheden ten aanzien van informatiebeveiliging; 3. Een recente Verklaring Omtrent het Gedrag (VOG) is minimaal vereist voor alle medewerkers (ambtenaren en externe medewerkers); 4. De verstrekte gegevens m.b.t. arbeidsverleden en scholing worden bij aanstelling geverifieerd Gedurende dienstverband 1. Medewerkers van BsGW passen informatiebeveiliging toe in overeenstemming met vastgesteld beleid en procedures; 2. Alle medewerkers beschikken over voldoende bewustwording en training in procedures en het juiste gebruik van IT-voorzieningen om mogelijke informatiebeveiligingsrisico s te minimaliseren. Medewerkers moeten zich bewust zijn van de bedreigingen en het belang van (informatie)beveiliging en moeten daartoe de juiste middelen, kennis en vaardigheden tot hun beschikking hebben. Training in beveiligingsprocedures en technieken en informeren van medewerkers is dus van groot belang; 3. Bij inbreuk op de informatiebeveiliging worden disciplinaire maatregelen getroffen en worden de medewerker alle toegangsrechten ontnomen;

25 4. Zwakke plekken: medewerkers moeten worden aangemoedigd ook zwakke plekken in de beveiliging te melden, ook als het om bijna incidenten gaat; 5. Disciplinaire maatregelen: naast activiteiten gericht op het stimuleren van medewerkers, zal er ook een procedure moeten zijn voor het treffen van disciplinaire maatregelen voor medewerkers die opzettelijk of herhaaldelijk verwijtbaar gedrag vertonen dat de beveiliging van de organisatie aantast; 6. Regelmatige trainingen voor gebruikers organiseren (bewustzijn); 7. De VOG screening wordt periodiek herhaald volgens de voorschriften Na beëindiging of wijziging dienstverband 1. Medewerkers moeten, bij het verlaten van BsGW, alle bedrijfsmiddelen retourneren, BsGW blokkeert alle toegangsrechten; 2. Voor het beëindigen of wijziging van het dienstverband zijn procedures en verantwoordelijkheden vastgelegd; 3. Voor verandering van functie binnen de organisatie zijn procedures vastgelegd, waarin minimaal aandacht besteedt wordt aan het intrekken van toegangsrechten en innemen van bedrijfsmiddelen die niet meer nodig zijn na het beëindigen van de oude functie

26 7 Fysieke beveiliging en beveiliging van de omgeving 7.1 Risico s Onbevoegde toegang tot kritieke systemen of waardevolle informatie. Bij het ontbreken van registratie zijn incidenten bovendien niet herleidbaar tot individuen; Door bijvoorbeeld de inzet van externen, de toeloop van leveranciers en andere niet-medewerkers of het feit dat de medewerkers op meerdere locaties op geruime afstand van elkaar gevestigd zijn, is het betrekkelijk eenvoudig voor niet-medewerkers om toegang tot de panden te krijgen door tegelijk met een geautoriseerde medewerker naar binnen te gaan; Als informatie zichtbaar op bureaus ligt, is er een verhoogd risico m.b.t. de vertrouwelijkheid; Toegang door onbevoegden tot informatie; Apparatuur en informatie te beschermen tegen verlies of schade. 7.2 Doelstelling Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie, bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten. ICT-voorzieningen dienen fysiek te worden beschermd tegen toegang door onbevoegden, schade en storingen. Het voorkomen van verlies, schade of diefstal van gegevens en/of apparatuur 7.3 Beheersmaatregelen 1. Kantoren en ruimten worden beschermd door geschikte toegangsbeveiliging tegen ongeautoriseerde toegang en ongeautoriseerde kennisname van informatie; alleen bevoegd personeel wordt toegelaten; 2. Apparatuur wordt beschermd tegen stroomuitval, risico s van schade, storing van buitenaf en de gelegenheid voor onbevoegde toegang; 3. Opslagmedia die worden verwijderd, worden vernietigd of alle informatie en (in licentie) gebruikte programmatuur wordt verwijderd of veilig overschreven; 4. BsGW bedrijfsmiddelen mogen niet zonder toestemming vooraf van de locatie worden meegenomen; 5. Alle apparatuur die opslagmedia bevat, behoort te worden gecontroleerd om te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur zijn verwijderd of veilig zijn overschreven voordat de apparatuur wordt verwijderd; 6. Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd. De beheerorganisatie zorgt voor een verantwoorde afvoer zodat er geen data op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of vernietigen wordt geregistreerd op basis van risicoafweging

27 8 Beheer van communicatie en bedieningsproces 8.1 Risico s 1. Het ontbreken van documentatie kan leiden tot fouten, niet-uniforme wijze van gegevensinvoer, of in geval de beheerder/bediener uitvalt, tot problemen rondom de continuïteit; 2. Onjuiste autorisaties kunnen leiden tot foutieve handelingen, fraude en verduistering; 3. Het niet uitvoeren en vastleggen van technische en functionele applicatietesten en/of de resultaten hiervan, kan in bepaalde omstandigheden (tijdsdruk, vakantieperiodes, etc.) leiden tot een verhoogd risico van uitval of gegevens verlies; 4. BsGW gaat steeds meer samenwerken (en informatie uitwisselen) in ketens en besteedt meer taken uit. Bij beheer van systemen en gegevens door een derde partij, kan ook informatie van BsGW op straat komen te liggen. BsGW blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt; 5. Programmatuur en ICT-voorzieningen zijn kwetsbaar voor virussen; 6. Het ontbreken van een regeling voor antivirus bescherming bij medewerkers thuis leidt tot hogere beveiligingsrisico s. 8.2 Doelstelling Waarborgen van een correcte en veilige bediening van ICT-voorzieningen. Vastgestelde verantwoordelijkheden en procedures voor beheer en bediening van alle ICT-voorzieningen. Dit omvat tevens de ontwikkeling van geschikte bedieningsinstructies. Toepassing, waar nodig, van functiescheiding om het risico van nalatigheid of opzettelijk misbruik te verminderen. 8.3 Beheersmaatregelen Procedures 1. Bedieningsprocedures worden gedocumenteerd, bijgehouden en beschikbaar gesteld aan de gebruikers ervan; 2. BsGW beheerst wijzigingen in IT-voorzieningen met strikt wijzigingsbeheer; 3. Om onbevoegde of onbedoelde wijziging of misbruik van bedrijfsmiddelen te verminderen zijn gedistribueerde rechten in lijn gebracht met de functie en rol van de betreffende medewerker; a. Niemand in een organisatie of proces mag op uitvoerend niveau rechten hebben om een gehele cyclus van handelingen in een bedrijfskritiek informatiesysteem te beheersen. Dit in verband met het risico dat hij of zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie schade toe brengt. Dit geldt voor zowel informatieverwerking als beheeracties; b. Er is een scheiding tussen beheertaken en overige gebruikstaken. c. Vóór de verwerking van gegevens die de integriteit van kritieke informatie of kritieke informatie systemen kunnen aantasten worden deze gegevens door een tweede persoon geïnspecteerd en geaccepteerd. Van de acceptatie wordt een log bijgehouden; d. Verantwoordelijkheden voor beheer, wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol. 4. Systeemdocumentatie behoort te worden beschermd tegen onbevoegde toegang;

28 5. Voor de uitwisseling van informatie en programmatuur tussen BsGW en externe partijen worden overeenkomsten vastgesteld; a. Er zijn afspraken gemaakt over de beveiliging van de uitwisseling van gegevens en software tussen organisaties waarin de maatregelen om betrouwbaarheid - waaronder traceerbaarheid en onweerlegbaarheid van gegevens te waarborgen zijn beschreven en getoetst; b. Verantwoordelijkheid en aansprakelijkheid in het geval van informatiebeveiligingsincidenten zijn beschreven, evenals procedures over melding van incidenten; c. Het eigenaarschap van gegevens en programmatuur en de verantwoordelijkheid voor de gegevensbescherming, auteursrechten, licenties van programmatuur zijn vastgelegd; d. Indien mogelijk wordt binnenkomende programmatuur (zowel op fysieke media als gedownload) gecontroleerd op ongeautoriseerde wijzigingen aan de hand van een door de leverancier via een gescheiden kanaal geleverde checksum of certificaat. 6. Er behoren procedures te zijn vastgesteld voor het beheer van verwijderbare media. a. Er zijn procedures opgesteld en geïmplementeerd voor opslag van vertrouwelijke informatie voor verwijderbare media. Bij usb-sticks toepassen van encryptie; b. Verwijderbare media met vertrouwelijke informatie mogen niet onbeheerd worden achtergelaten op plaatsen die toegankelijk zijn zonder toegangscontrole Techniek 1. Het gebruik van middelen behoort te worden gecontroleerd en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen, om de vereiste systeemprestaties te bewerkstelligen: a. Ten aanzien van het gebruik van gemeenschappelijke middelen is het voor gebruikers en systemen niet toegestaan, meer van deze middelen op te eisen dan nodig is t.b.v. van de uit te voeren taken en daarmee de beschikbaarheid van informatiesystemen in gevaar te brengen; b. In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om aanvallen te signaleren en hierop te reageren. Het gaat hier om aanvallen die erop gericht zijn de verwerkingscapaciteit zodanig te laten vollopen, dat onbereikbaarheid of uitval van computers het gevolg is; 2. Er worden maatregelen getroffen voor detectie, preventie en herstellen om te beschermen tegen virussen en andere kwaadaardige software; 3. Systeem optimaal beveiligen hetgeen aanvallen van hackers voorkomt. Elk onbeveiligd systeem is kwetsbaar; 4. Er worden back-upkopieën van informatie en programmatuur gemaakt en regelmatig getest in lijn met de vastgestelde noodzakelijke beschikbaarheidsmaatregelen; 5. Netwerken moeten adequaat worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de informatie die wordt getransporteerd; 6. Elektronische uitwisseling van informatie wordt op geschikte wijze beschermd; a. Gegevensuitwisseling tussen vertrouwde en onvertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware; b. Bij transport van vertrouwelijke informatie over onvertrouwde netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast. 7. Informatie van BsGW die beschikbaar wordt gesteld op een openbaar toegankelijk systeem wordt beschermd om onbevoegde kennisname of modificatie te voorkomen; 8. Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen moeten worden vastgelegd in audit-logbestanden. Deze logbestanden moeten gedurende een vastgestelde periode worden bewaard, ten behoeve van toekomstig onderzoek;

29 9. USB poort fysiek afsluiten waardoor het niet langer mogelijk is om ongeoorloofd informatie uit het systeem op te halen dan wel te installeren Externe partijen/derden 1. BsGW controleert en beoordeelt regelmatig de diensten, rapporten en registraties, die de derde partij levert; 2. Overeengekomen beveiligingsmaatregelen, definities en niveaus van dienstverlening worden door de derde partij geïmplementeerd, uitgevoerd en bijgehouden; 3. Wijzigingen in de dienstverlening door derden worden door BsGW beheerd, rekening houdend met de onmisbaarheid en risico s van de informatie(systemen) en bedrijfsprocessen; 4. Bij externe hosting van data en/of services (uitbesteding, Cloud computing) blijft de organisatie eindverantwoordelijk voor de betrouwbaarheid van uitbestede diensten. Dit is gebonden aan regels en vereist goede (contractuele) afspraken en controle hierop 5. Externe hosting van data en/of services is: a. goedgekeurd door verantwoordelijk lijnmanager; b. in overeenstemming met IB-beleid en algemeen beleid; c. vooraf gemeld bij ICT t.b.v. toetsing op beheeraspecten Systeem en acceptatie 1. Systemen voor Ontwikkeling, Test en/of Acceptatie (OTA) zijn logisch gescheiden van Productie (P); 2. Faciliteiten voor ontwikkeling, testen, acceptatie en productie (OTAP) zijn gescheiden om onbevoegde toegang tot of wijziging in het productiesysteem te voorkomen; 3. BsGW accepteert nieuwe informatiesystemen, upgrades en nieuwe versies op basis van een geschikte test van het systeem met vastgestelde aanvaardingscriteria

30 9 Logische toegangsbeveiliging De identiteit van een gebruiker die toegang krijgt tot informatie dient te worden vastgesteld. Logische toegang is gebaseerd op de classificatie van de informatie. 9.1 Risico s Wanneer toegangsbeheersing niet expliciet gebaseerd is op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), BIWA en/of een aanvullende risicoanalyse, is niet duidelijk of het juiste niveau van beveiliging wordt gehanteerd; Verstoringen door onjuist gebruik van ICT-ruimtes of ICT-componenten (m.n. waar ook niet ICTteams toegang hebben). 9.2 Doelstelling Beheersen van de toegang tot informatie, ICT-voorzieningen en bedrijfsprocessen op grond van bedrijfsbehoeften en beveiligingseisen. Beleid ten aanzien van informatieverspreiding en autorisatie is van toepassing. 9.3 Beheersmaatregelen Authenticatie en autorisatie 1. Het toegangsbeleid wordt vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang; 2. Toegang tot informatie en informatiesystemen door gebruikers wordt beperkt overeenkomstig het vastgestelde toegangsbeleid; 3. Het autorisatieproces voorziet in het registreren en afmelden van gebruikers, voor het verlenen en intrekken van toegangsrechten tot alle informatiesystemen en -diensten; 4. De toewijzing en het gebruik van speciale bevoegdheden wordt beperkt en beheerst; 5. Het autorisatieproces voorziet in een beheerste toewijzing van wachtwoorden; 6. Als onderdeel van het autorisatieproces controleert het MT minimaal jaarlijks de toegangsrechten van gebruikers; 7. Wachtwoorden worden nooit in originele vorm (onversleuteld) opgeslagen of verstuurd; 8. Van gebruikers wordt het onderstaand verwacht: a. wachtwoorden geheim te houden; b. wachtwoorden niet vast te leggen, tenzij de registratie ervan veilig kan worden opgeslagen; c. wachtwoorden te wijzigen zodra er aanwijzingen zijn dat het systeem of het wachtwoord mogelijk gecompromitteerd is; d. het is niet toegestaan individuele gebruikerswachtwoorden met anderen te delen. e. gebruikers moeten goede beveiligingsgewoontes in acht nemen bij het kiezen en gebruiken van wachtwoorden. 9. Instellingen voor wachtwoorden t.b.v. informatiesystemen: a. Minimale levensduur 12 dagen; b. Maximale levensduur 30 dagen; c. Minimale lengte 8 karakters;

31 d. Kleine letters Minimaal 1 verplicht; e. Hoofdletters Minimaal 1 verplicht; f. Cijfers Minimaal 1 verplicht; g. Speciale tekens Minimaal 1 verplicht; h. Maximaal aantal pogingen 3, hierna wordt de toegang vergrendeld; i. Historische wachtwoorden Toegang tot besturingssystemen wordt met een beveiligde inlogprocedure beheerst en is beperkt tot bevoegde gebruikers; a. Toegang tot bedrijfskritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie. b. Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Er wordt geen informatie getoond die herleidbaar is tot de authenticatiegegevens. 11. Systeemwachtwoorden worden bij BsGW uitsluitend, via een noodprocedure, gebruikt in noodsituaties; 12. Elke gebruiker behoort over een unieke identificatiecode te beschikken (gebruikers-id) voor uitsluitend persoonlijk gebruik, en er behoort een geschikte authenticatietechniek te worden gekozen om de geclaimde identiteit van de gebruiker te bewijzen. a. Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruiker recht heeft op het authenticatiemiddel; b. Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoorden; c. Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user zoals administrator of root) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn, wordt weer teruggeschakeld naar het niveau van een gewone gebruiker (een unprivileged user); 13. Systemen voor wachtwoordbeheer zijn interactief en bewerkstelligen, via technische maatregelen, dat wachtwoorden van geschikte kwaliteit worden gekozen; a. Er wordt automatisch gecontroleerd op goed gebruik van wachtwoorden (o.a. voldoende sterke wachtwoorden 8, regelmatige wijziging, directe wijziging van initieel wachtwoord); b. Wachtwoorden hebben een geldigheidsduur zoals beschreven bij Daarbinnen dient het wachtwoord te worden gewijzigd. Wanneer het wachtwoord verlopen is, wordt het account geblokkeerd; c. Wachtwoorden die gereset zijn en initiële wachtwoorden hebben een zeer beperkte geldigheidsduur en moeten bij het eerste gebruik worden gewijzigd; d. De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen. Hierbij geldt het volgende: i. Voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de gebruiker opnieuw geauthentiseerd; ii. Ter voorkoming van typefouten in het nieuw gekozen wachtwoord is er een bevestigingsprocedure Externe toegang 1. BsGW kan een externe partij toegang verlenen tot het netwerk. Hiervoor dient een procedure gemaakt en gevolgd te worden. Externe partijen kunnen niet op eigen initiatief verbinding maken met het besloten netwerk van de BsGW, tenzij uitdrukkelijk overeengekomen; 2. De externe partij is verantwoordelijk voor authenticatie en autorisatie van haar eigen medewerkers. BsGW heeft het recht hierop te controleren en doet dat aan de hand van de audit trail en interne logging

32 9.3.3 Mobiel en thuiswerken 1. Inactieve verbindingen worden na maximaal 15 minuten van inactiviteit geblokkeerd of uitgeschakeld; Bij remote desktop sessies geldt dat na maximaal 15 minuten inactiviteit de verbinding verbroken wordt; 2. BsGW heeft, voor telewerken, beleid en procedures opgesteld en geïmplementeerd. 3. Beveiligingsmaatregelen bij het gebruik van draagbare computers/mobiele apparaten zijn in overeenstemming met de risico s die hieraan verbonden zijn; a. Het mobiele apparaat is zo ingericht dat geen bedrijfsinformatie wordt opgeslagen ( zero footprint ). Voor het geval dat zero footprint (nog) niet realiseerbaar is, of functioneel onwenselijk is, geldt: een mobiel apparaat (zoals een handheld computer, tablet, smart Phone, PDA) biedt de mogelijkheid om de toegang te beschermen d.m.v. een wachtwoord en versleuteling van die gegevens; b. Voor printen in onvertrouwde omgevingen vindt een risicoafweging plaats. 4. Onbeheerde apparatuur (privé-apparaten of de open laptop ) kan gebruik maken van draadloze toegangspunten (Wi-Fi). Deze zijn logisch gescheiden van het bedrijfsnetwerk; 5. Mobiele bedrijfsapplicaties worden bij voorkeur zo aangeboden dat er geen bedrijfsinformatie wordt opgeslagen op het mobiele apparaat ( zero footprint ). Bedrijfsinformatie dient te worden versleuteld bij transport en opslag conform classificatie eisen; 6. Voorzieningen als niet bedrijfsmatige webmail, als ook sociale netwerk en Cloud diensten (Dropbox, Gmail, etc.) zijn door het lage beschermingsniveau (veelal alleen naam en wachtwoord, het ontbreken van versleuteling) niet geschikt voor het delen van vertrouwelijke en geheime informatie Overig 1. Gebruikers moeten goede beveiligingsgewoontes in acht nemen bij het kiezen en gebruiken van wachtwoorden; 2. In combinatie met de voorschriften voor het gebruik van wachtwoorden, is een clear desk -beleid voor papier en verwijderbare opslagmedia en clear screen -beleid voor IT-voorzieningen ingesteld; a. de gebruiker mag geen vertrouwelijke informatie openlijk toegankelijk laten. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer); b. Bij afdrukken van gevoelige informatie wordt, gebruik gemaakt van de functie beveiligd afdrukken (pincode verificatie); c. Schermbeveiligingsprogrammatuur (een screensaver) maakt na een periode van inactiviteit van maximaal 15 minuten alle informatie op het beeldscherm onleesbaar en ontoegankelijk; d. De gebruiker vergrendelt de werkplek bij het onbeheerd achterlaten (verlaten) van de werkplek; 3. Het is niet toegestaan om informatie omtrent belastingplichtigen of personeelsbescheiden onbeheerd op de werkplek achter te laten. bij het verlaten van het gebouw dient dergelijke informatie opgeborgen te worden in bureaus c.q. kasten; 4. Strikte naleving wachtwoordbeleid door gebruikers (wachtwoorden moeten periodiek worden gewijzigd en mogen niet gedeeld worden); 5. Gebruikers zijn ervan bewust dat indien schending van wachtwoordbeleid wordt toegepast dit als een beveiligingsincident wordt afgehandeld

33 10 Verwerving, ontwikkeling en onderhoud van informatiesystemen 10.1 Doelstelling Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen 10.2 Beheersmaatregelen Verwerving 1. Bij de aanschaf van nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen worden eisen voor beveiligingsmaatregelen meegenomen; Ontwikkeling 1. De implementatie van wijzigingen wordt beheerst door middel van de formele procedures voor wijzigingsbeheer; 2. Wijzigingen in programmatuurpakketten behoren te worden ontmoedigd, te worden beperkt tot noodzakelijke wijzigingen, en alle wijzigingen behoren strikt te worden beheerst; 3. Uitbestede ontwikkeling van programmatuur staat onder supervisie en wordt gecontroleerd onder verantwoordelijkheid van BsGW; Onderhoud 1. Er moeten procedures zijn vastgesteld om de installatie van programmatuur op productiesystemen te beheersen; a. Alleen geautoriseerd personeel kan functies en software installeren of activeren; b. Programmatuur behoort pas te worden geïnstalleerd op een productieomgeving na een succesvolle test en acceptatie; c. Geïnstalleerde programmatuur, configuraties en documentatie worden bijgehouden in een configuratiedatabase; d. Er worden alleen door de externe of interne leverancier onderhouden (versies van) software gebruikt; e. Van updates wordt een log bijgehouden; f. Er is een rollback strategie. 2. Testgegevens moeten zorgvuldig worden gekozen, beschermd en beheerst; 3. De toegang tot broncode wordt zoveel mogelijk beperkt om de code tegen onbedoelde wijzigingen te beschermen. Alleen geautoriseerde personen hebben toegang; 4. Er behoort proactief en tijdig informatie te worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen (bv. via informatie/waarschuwingsdiensten). De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen voor behandeling van daarmee samenhangende risico s; a. Er is een proces ingericht voor het beheer van technische kwetsbaarheden; dit omvat minimaal het melden van incidenten aan het centrale aanspreekpunt voor incidenten, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching; b. Van softwarematige voorzieningen van de technische infrastructuur wordt (bij voorkeur geautomatiseerd) gecontroleerd of de laatste updates (patches) in zijn doorgevoerd. Het door

34 voeren van een update vindt niet geautomatiseerd plaats, tenzij hier speciale afspraken over zijn met de leverancier; c. Indien een patch beschikbaar is, dienen de risico s verbonden met de installatie van de patch te worden geëvalueerd (de risico s verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico s van het installeren van de patch); d. Updates/patches voor kwetsbaarheden waarvan de kans op misbruik hoog is en waarvan de schade hoog is worden zo spoedig mogelijk doorgevoerd, echter minimaal binnen één week. Minder kritische beveiligings-updates/patches moeten worden ingepland bij de eerst volgende onderhoudsronde; e. Indien nog geen patch beschikbaar is dient bij voorkeur gehandeld te worden volgens het advies van het centrale aanspreekpunt voor informatiebeveiliging bij de Informatiebeveiligingsdienst of een andere CERT zoals het NCSC. Dit ter beoordeling van de aangewezen beveiligingsfunctionaris afd. Kwaliteit Processen en Informatievoorziening in samenspraak met CISO Encryptie 1. BsGW maakt gebruik van encryptie conform PKI-overheid 2 ; 2. Dataverkeer wordt conform classificatie beveiligd met certificaten; 3. Beveiligingscertificaten worden binnen BsGW centraal beheerd. 2 Public Key Infrastructure voor de overheid, waarmee de basis van de Nederlandse wetgeving, de betrouwbaarheid van informatie-uitwisseling via , websites of andere gegevens uitwisseling wordt gewaarborgd

35 11 Beheer van informatiebeveiligingsincidenten 11.1 Risico s Als incidenten niet geregistreerd worden, is niet duidelijk waar en wanneer er zich incidenten voor doen of voor hebben gedaan. Op deze wijze kan er geen lering worden getrokken uit deze incidenten om deze in de toekomst te voorkomen of om preventief betere maatregelen te implementeren Doelstelling Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden, die verband houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen. Formele procedures voor rapportage van gebeurtenissen en escalatie. Alle werknemers, ingehuurd personeel en externe gebruikers zijn op de hoogte van deze procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de bedrijfsmiddelen. Er is een verplichte meldingssystematiek in werking om alle informatiebeveiligingsgebeurtenissen en zwakke plekken zo snel mogelijk te rapporteren aan de aangewezen contactpersoon Beheersmaatregelen 1. Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd. a. Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen Vastgesteld waarin is beschreven hoe met een aangemeld beveiligingsincident wordt omgegaan; b. Er is een contactpersoon aangewezen voor het rapporteren van beveiligingsincidenten. Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in ontvangst neemt; c. De technische beveiligingsincidenten worden vastgelegd in het helpdesksysteem en worden als zodanig geregistreerd en voorgelegd aan de beveiligingsfunctionaris binnen HRM/BOJZ. De CISO wordt van alle IB-incidenten op de hoogte gesteld; d. De incidenten op het gebied van informatiebeveiliging worden door de CISO bijgehouden in het incidentenregister. Dit register wordt onder meer gebruikt om trends te signaleren en wordt gebruikt als input bij de jaarlijkse revisie van het beveiligingsplan; e. Afhankelijk van de impact wordt geëscaleerd naar de directie van BsGW; f. Vermissing of diefstal van apparatuur of media die gegevens van BsGW of deelnemers kunnen bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident; g. Informatie over de beveiligingsrelevante handelingen, bijvoorbeeld loggegevens, foutieve inlogpogingen, van de gebruiker wordt regelmatig nagekeken. De CISO bekijkt periodiek bij voorkeur maandelijks - een samenvatting van de informatie; 2. Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en - diensten wordt geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of diensten registreren en rapporteren; 3. De CISO van BsGW is verantwoordelijk voor een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten;

36 4. Indien een vervolgprocedure tegen een persoon of organisatie na een informatiebeveiligingsincident juridische maatregelen omvat (civiel of strafrechtelijk), wordt bewijsmateriaal verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd Classificatie IB-incidenten Alarm fase Kenmerk Impact Opschaling Bijzonderheden 1 Lokaal IB-incident bij één afdeling. Oplosbaar probleem: bronbestrijding. In beginsel niet. Probleem wordt opgelost door HRM/BOJZ. Melding aan CISO 2 IB-Incident bij meerdere afdelingen. 3 Organisatie breed IB-incident (en mogelijk andere organisaties) 4 IB-Incident is organisatie overstijgend (landelijk) Nog steeds een geisoleerd probleem: bron - + Impact op de dienstverlening wordt echt ervaren. Impact op de dienstverlening is manifest. In beginsel niet. Probleem wordt opgelost door HRM/BOJZ. Kernteam komt bij elkaar. Afhankelijk van het incident (impact) CIO en directie worden geïnformeerd. Het kernteam is dan in beginsel adviserend en voert desgewenst coördinatie (binnen het ICT domein). Melding aan CISO. Melding bij IBD indien nodig. Melding aan CISO. Adviseur communicatie is vereist. Er is sprake van landelijke opschaling via de technische lijn de maatschappelijke lijn

37 12 Bedrijfscontinuïteit 12.1 Risico s Wanneer er niet of nauwelijks invulling gegeven wordt aan de continuïteitsplanning is er naast een vals gevoel van veiligheid, ook grote kans op ad hoc maatregelen als een calamiteit zich voordoet; Het uitvallen van medewerkers (ziekte, sterven, ontslag) kan een reële bedreiging zijn Doelstelling Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen. Een adequaat beheerproces van bedrijfscontinuïteit om de uitwerking op de organisatie, veroorzaakt door het verlies van informatie en het herstellen daarvan tot een aanvaardbaar niveau te beperken. Informatiebeveiliging is een integraal onderdeel van het totale bedrijfscontinuïteitsproces en andere beheerprocessen binnen de organisatie 12.3 Beheersmaatregelen 1. Er moet een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie worden ontwikkeld en bijgehouden, voor de naleving van eisen voor informatiebeveiliging die nodig zijn voor de continuïteit van de bedrijfsvoering; 2. Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, moeten worden geïdentificeerd, samen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor informatiebeveiliging; 3. Er behoren plannen te worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vooraf afgesproken niveau en binnen in de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van kritieke bedrijfsprocessen; 4. Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en ge-update, om te bewerkstelligen dat ze actueel en doeltreffend blijven. Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en mate van gereedheid van de organisatie te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold

38 13 Naleving 13.1 Doelstelling Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van beveiligingseisen Beheersmaatregelen Organisatorische aspecten 1. Belangrijke registraties worden door BsGW beschermd tegen verlies, vernietiging, vervalsing en ongeautoriseerde kennisname; 2. BsGW waarborgt de naleving van wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen; 3. BsGW beschermt gegevens en privacy overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen; 4. Bedrijfsmiddelen, met name gegevens, worden niet gebruikt voor onbevoegde doeleinden; 5. Managers bewerkstelligen dat alle beveiligingsprocedures, die binnen hun verantwoordelijkheid vallen, correct worden uitgevoerd om naleving te bereiken van het Informatiebeveiligingsbeleid; a. Het management is verantwoordelijk voor uitvoering en beveiligingsprocedures en toetsing daarop (o.a. jaarlijkse in control verklaring). Conform het (strategisch kader zorgt de CISO, namens de directeur BsGW, voor het toezicht op de uitvoering van het beveiligingsbeleid. Daarbij behoren ook periodieke beveiligingsaudits. Deze kunnen worden uitgevoerd door of vanwege de CISO dan wel door interne of externe auditteams; b. In de P&C cyclus wordt gerapporteerd over informatiebeveiliging aan de hand van het in control statement; 6. BsGW beoordeelt informatiesystemen regelmatig op naleving van implementatie van beveiligingsnormen en gedocumenteerde beveiligingsmaatregelen (Wettelijke)Kaders 1. BsGW houdt rekening met de relevante wet en regelgeving bij de inzet van informatiebeveiliging, bijvoorbeeld; a. Baseline informatiebeveiliging Gemeenten (SNK) strategisch normenkader, VNG/KING-IBD; b. Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten mei 2013, VNG/KING- IBD; c. NEN-ISO/IEC en 27002, NEN; d. Wet bescherming persoonsgegevens; e. Wet Gemeentelijke basis administratie persoonsgegevens; f. NORA, Dossier Informatiebeveiliging; g. WILMA, Waterschapsinformatie en logisch model architectuur

39 Bijlage I: Documentatie 1. Baseline informatiebeveiliging Gemeenten (BIG), VNG/KING-IBD; 2. Baseline informatiebeveiliging Waterschappen (BIWA), Unie van Waterschappen; 3. Voorbeeld-informatiebeveiligingsbeleid-gemeenten, VNG/KING-IBD

40 Bijlage II: Menselijke bedreigingen 1. Opzettelijke menselijke bedreigingen Er kunnen diverse redenen zijn waarom mensen opzettelijk schade toebrengen aan informatiesystemen. Dat kunnen oorzaken van buitenaf zijn, zoals een hacker of hackergroep die iets heeft tegen de organisatie en daarom binnendringt of door een denial of service aanval de toegang voor burgers tot BsGW systemen ontzegt. Het kan ook een medewerker zijn die ontevreden is over de gang van zaken binnen BsGW en die uit boosheid data vernietigt. Het kan ook een frauderende medewerker zijn die uit persoonlijk gewin gegevens manipuleert in systemen of gegevens verkoopt. 2. Onopzettelijke menselijke bedreigingen Mensen kunnen onopzettelijk schade toebrengen. Iemand drukt op de delete-toets en let niet goed op de vraag of hij het wel zeker weet. Iemand steekt een USB-stick besmet met een virus in de pc en brengt op die manier het virus over op een heel netwerk. Iemand gebruikt in paniek een poederblusser om een beginnend brandje te blussen en vernietigt daarmee een server. 3. Social engineering Bij social engineering wordt gebruik gemaakt van kwaadwillende personen om van medewerkers informatie te ontfutselen. Dit kan gaan om bedrijfsgeheimen of informatie die niet voor iedereen bestemd is uit BsGW systemen. Denk hier aan bijvoorbeeld wachtwoorden, ontwikkelingsplannen, verblijfplaatsen van mensen. De social engineer maakt gebruik van zwakheden in de mens om zijn doel te bereiken. Meestal is men zich hier niet goed van bewust. Het is heel normaal om een onbekende op de gang aan te spreken en te vragen of ze hulp nodig hebben. Toch hebben veel mensen hier moeite mee en gebeurt het niet. Het is ook goed om je af te vragen met wie je spreekt aan de telefoon en jezelf de vraag te stellen waarom wordt me deze vraag gesteld. Bedenk dat een social engineer van buiten en van binnen kan komen