In deze bundel is opgenomen:

Transcriptie

1

2 o In deze bundel is opgenomen: Beleid voor de informatiebeveiliging Voorschrift Informatiebeveiliging Rijksdienst 1994 Handboek Informatiebeveiliging Rijksdienst 1995

3 a Voorwoord Om de sturende rol op het gebied van het verkeer en de waterstaat goed te vervullen moet het ministerie over tal van gegevens beschikken; informatie over het verkeer, de waterkwaliteit, de ontwikkeling op de vervoersmarkt, etc. Een deel van die gegevens betreft informatie over derden. Als secretaris-generaal en als burger hecht ik er groot belang aan dat die informatie bij ons ministerie goed is beveiligd. 0 In de Bestuursraad is het beleid voor de informatiebeveiliging omschreven als: het gefaseerd tot stand brengen en in stand houden van een goed en kontroleerbaar niveau van informatiebeveiliging. De voor u liggende bundel zie ik als een praktisch instrument, dat u behulpzaam zal zijn bij het realiseren van een goede informatiebeveiliging. Het is de eerste van een reeks over dit onderwerp. Deze eerste bundel gaat vooral in op uw en mijn verantwoordelijkheid als lijnmanager, hoe deze wordt ingevuld en op welke wijze ik, als eindverantwoordelijke, mij hierover een oordeel zal vormen. De reeks bedoelt het lijnmanagement van Verkeer en Waterstaat te ondersteunen, maar evenzeer de medewerkers die verantwoordelijk zijn voor de uitvoering van het beleid voor de informatiebeveiliging. De reeks verschaft noodzakelijke en nuttige informatie voor deze medewerkers en zal door het V&W-brede gebruik ervan tevens het beveiligingsbewustzijn bevorderen. Ik ben van mening dat de inhoud van deze bundel samen met die van de nog volgende bundels, zeg maar de verzamelde werken betreffende informatiebeveiliging, ons mede in staat zullen stellen het voor Verkeer niveau van informatiebeveiliging te realiseren. secretaris-generaal ir. A.B.M. van der Plas.a...,... Minisiene van Veikceren watesfaat Informatie en Documcntntic Porlbur W EX Den Haag Tel I F ~X q6<130

4 Colofon uitgave: Ministerie van Verkeer en Waterstaat ûirectie Organisatie en Informatie Vormgeving: Hiemstra van Geest bno, Den Haag üruk: De Longte, Klomp en Bosman Drukkers, Dordrecht Redactie en samenstelling: Coördinatie met betrekking tot de distributie van deze bundel voor informatiebeveiliging en behandeling van eventueel voorgestelde wijzigingen enlof aanvullingen: Ir. J. Bakker Directie Organisatie en Informatie telefoon telefax december 1995

5 Beieid voor de informafiebeveiliging

6 Beleid voor de informatiebeveiliging 0 Ministerie van Verkeer en Waterstaat, I februari

7 Inhoudsopgave 1. Inleiding 2. Managementsamenvatting 3. Kaders voor het Verkeer en Waterstaat-beleid voor de infotmatiebeveiliging 4. Invulling van het Verkeer en Waterstaat-beleid voor de informatiebeveiliging Bijlage 1 : Verantwoordelijkheden Bijlage 2: VIR 3 O O 12 2

8 1. Inleiding 0 Het functioneren van ons ministerie, zowel intern als extern, wordt in toenemende mate bepaald door de integriteit, beschikbaarheid en exclusiviteit van de ondersteunende informatiesystemen en de informatie daarin. Met het toenemen van de maatschappelijke afhankelijkheid daarvan, stelt ook de rijksoverheid strengere eisen aan de infonatiebeveiliging. Dit blijkt onder meer uit recente wetgeving en herhaald onderzoek door de Algemene Rekenkamer. Aanleiding het beleid voor de informatiebeveiliging van Verkeer en Waterstaat bij te stellen, is het 1 januari 1995 van kracht geworden 'Besluit Voorschrift Informatiebeveiliging Rijksdienst 1994' WIR). 0 Aitikel 3 hiervan, bepaalt dat de Secretaris-Generaal (SG) het informatiebeveiligingsbeleid in een beleidsdocument vastlegt en dit beleid uitdraagt. Het beleid is door DO1 voorbereid met medewerking van het Overlegplatform Beveiliging Informatiesystemen, daarbij ondersteund door de Meetkundige Dienst van RWS. De Bestuursraad heeft nu het aan de ontwikkelingen aangepaste 'Beleid voor de informatiebeveiliging' vastgesteld, na een positief advies van het Functionele O&l-overleg. O Het aangepaste beleid is vastgelegd in dit dokument en vervangt het in 1989 vastgestelde beleid. Hierin vindt u, na de managementsamenvatting, de kaders voor het Verkeer en Waterstaat-beleid en de invulling daarvan. Als bijlagen: de specifieke verantwoordelijkheden en het 'Besluit Voorschrift Informatiebeveiliging Rijksdienst 1994'. BELEID VOOR DE INFOAMATIEBWEILIGING - FEBRUARI

9 2. Managementcamenvatting Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen. De essentie van dit beleid is dat voor elk informatiesysteem en elk verantwoordelijkheidsgebied duidelijk wordt welke lijnmanager verantwoordelijk is. Voor elk informatiesysteem en elk verantwoordelijkheidsgebied worden door de verantwoordelijke: - een afhankelijkheidsanalyse uitgevoerd die resulteert in de te steiien eisen aan de betrouwbaarheid - de bedreigingen gèidentificeerd en geanalyseerd; - door middel van een kwetsbaarheidsanalyse aangetoond dat aan de gestelde betrouwbaarheidseisen wordt voldaan: - een informatiebeveiligingsplan opgesteld; - elk beveiligingsplan periodiek geëvalueerd en zonodig aangepast. In opdracht van de SG zal, periodiek, een onafhankelijke deskundige zowel het beleid als de implementatie en de uitvoering daawan beoordelen. De bevindingen worden aan de SG gerapporteerd. Het iijnmanagement draagt en zorg voor dat voor elk bestuurs- of bedrljfsptuces de maatregelen die uit hoofde van de informatiebeveiliging van toepassing zijn op de ondersteunende informatiesystemen en verantwoordelijkheidsgebieden worden vastgelegd, gèimplementeerd en/of uitgedragen en dat de werking ewan volgens een vastgelegd schema wordt gecontroleerd. Dit beleid is gebaseerd op het Besluit Voorschrift Informatiebeveiliging Rijksdienst 1994 dat 1 januari 1995 in werking is getreden. Informatiebeveiligingsplan: Afhankelijk van de fase van ontwikkeling: a) Een opsomming van alle plannen, inclusief benodigde tijd, mensen en overige middelen, die leiden tot het treffen van maatregelen die voor een informatiesysteem en of verantwoordelijkheidsgebied noodzakelijk zijn. b) Opsomming van alle beveiiigingsrnaatregelen en/of de vindplaatsen daarvan die voor een informatiesysteem of een verantwoordeliikheidsgebied van kracht zijn. 4 BELEID VOOR DE INFORMATIEBEVEILIGING - FEBRUARI 1995

10 3. Kaders voor het Verkeer en Waterstaatbeleid voor de informatiebeveiliging e Kaders voor het Verkeer en Waterstaat-beleid zijn: I 'Besluit Voorschrift Informatiebeveiliging Rijksdienst 1994' WIR); II de bestuursstructuur Verkeer en Waterstaat. Ad I) Het VIR is bepalend voor het beleid voor de informatiebeveiliging van Verkeer en Waterstaat. Dit MR-besluit is 8 september 1994 gepubliceerd in de Staatscourant. Het VIR treedt met ingang van 1 januari 1995 gefaseerd in werking en moet 1 januari 1997 volledig ingevoerd zijn. De precieze invulling van de fasering staat in artikel 6 van het VIR en de toelichting daarop. De begripsbepalingen in artikel 1 van het VIR zijn van toepassing op de gebruikte termen in het Verkeer en Waterstaat-beleid. Ad li) De bestuursstructuur van Verkeer en Waterstaat betekent dat elk departementsonderdeel zelf verantwoordelijk is voor de implementatie en de uitvoering van het beleid voor de informatiebeveiliging, de interne controle, het uitdragen van dit beleid alsmede de hiervoor benodigde middelen. e I hno1 1, Anno in d i O rectoraai-goneiaal Rii6waters1aat. de Centrale 0.en~l~n. D mcioraal- G~n0i.W door hei Vernor. D.iectoraat.Generaa Scheepvaan en Mai imw Za~en. Kon n6 '16 Nooüi anos MOtoOrOIO~IECh InsI~t~Ji Hwlüd rectie Teiecammm CBW en Post. O rectoraat-gqneiaal Rijksluchtvaartdienst. Rijksdienst VDOT het Wsgverkeer. BELEID VOOR DE INFORMATIEBEVEILIGING - FEBRUARI

11 4. Invulling van het Verkeer en Waterstaatbeleid voor de informatiebeveiliging a. De strategische uitgangspunten en randvoorwaarden ten aanzien O van informatiebeveiliging. Dy inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid. De invulling van het algemene beveiligingsbeieid en het beleid voor de informatievoorziening wordt bij ons ministerie voor een belangrijk deel vormgegeven bij de departementsonderdelen. De departementsleiding stelt waar nodig wel randvoorwaarden op. Een aantal van deze randvoorwaarden is te vinden in de bundel: Departementale afspraken informatievoorziening en automatisering. Deze bundel wordt onder verantwoordelijkheid van DO1 samengesteld en bij de tijd gehouden. Naast het VIR geldt als randvoorwaarde ook de vigerende wetgeving, als de Comptabiliteitswet, de Wet bescherming staatsgeheimen, de Wet persoonsregistraties, de Wet telecommunicatievoorieningen, de Wet computercrimininaliteit benevens de daarop gebaseerde algemene maatregelen van bestuur. O b. De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden. De 'informatiebeveiligingsfunctie' is het complex van activiteiten en middelen binnen Verkeer en Waterstaat gericht op de beveiliging van informatie. Informatiebeveiliging vormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen en Is een lijnverantwoordelijkheid. De verdeling van de verantwoordelijkheden over de managementniveaus departement en departementsonderdeel is als volgt: Departement De SG is voor Verkeer en Waterstaat Verantwoordelijk voor: - het aanwijzen van de verantwoordelijken voor de informatiesystemen enlof verantwoordelijkheidsgebieden die door meer dan één departementsonderdeel worden gebruikt; - het vaststellen en uitdragen van het beleid: - het controleren van de uitvoering. In opdracht van de CG zal, periodiek, een onafhankelijke deskundige zowel de toereikendheid van het beleid als de implementatie en de uitvoering daarvan beoordelen. De bevindingen worden aan de SG gerapporteerd. - het bijstellen van het beleid. 6 BELEID VOOR OE INFORMATIEBEVEILIGING - FEBRUARI 1995

12 Voor het uitvoeren van deze verantwoordeiijkheid.legt de SG taken neer bij zijn stafdiensten en overlegvormen ter zake. De Directie Organisatie en Informatie (DOI) verricht voor de SG ondersteunende werkzaamheden zoals: - het opstellen van het beleid voor de informatiebeveiliging voor Verkeer en Waterstaat: - het, in overleg met de SG, eenduidig toewijzen van de verantwoordelijkheid voor een informatiesysteem enlof een verantwoordelijkheidsgebied aan het Hoofd van een departementsonderdeel (Zie Bijlage 1); - het uitdragen van dit beleid en het creëren van een zo breed mogelijk draagvlak ervoor binnen het ministerie; - zicht houden op de toereikendheid van dit beleid en het aanpassen ervan aan gewijzigde omstandigheden, mede aan de hand van de periodieke rapportage van de onafhankelijk deskundige aan de SG. Dit in goed overleg met de leden van het Functioneel O&l-hoofden overleg, dat vakinhoudeiijk wordt ondersteund door het Overlegplatform Beveiliging Informatiesystemen (OBI). Als middel om het managen van de informatiebeveiliging te ondersteunen neemt vanuit elk departementsonderdeel de Beveiligingscoördinator zitting in het OBI. Hierin kunnen ook functionarissen met een specifieke taak op het gebied van de informatiebeveiliging deelnemen, zoals de Beveiligingsambtenaar. Het OBI werkt onder andere mee aan het ontwikkelen van departementsbrede hulpmiddelen: - een Leidraad voor informatiebeveiliging : - een Technisch Handboek. Dit document zal een aantal praktische checklists en maatregelen voor systeem- en netwerkbeheerders bevatten: - het bij de tijd houden van de reeds voor iedere medewerker beschikbare brochure Geheim-Zinnig Omgaan met Informatie, die het beveiligingsbewustzijn bevordert en praktische tips bevat op het gebied van de informatiebeveiliging op de werkplek. Departementsonderdeel Het hoofd van een departementsonderdeel is voor zijn dienst verantwoordelijk voor: - het vaststellen en uitdragen van het beleid: - het aanwijzen van verantwoordelijken voor de informatiesystemen enlof verantwoordelijkheidsgebieden binnen zijn dienst; - het controleren van de uitvoering; - het bijstellen van het beleid: - het aansteilen van een Beveiligingscoördinator. BELEID VOOR DE INFORMATIEBEVEILIGING - FEBRUARI

13 c. De eenduidige en volledige indeling in informatiesystemen en verantwoordelijkheidsgebieden en de toewijzing van de verantwoordelijkheden daarvoor aan lijnmanagers. De indeling vereist een inventarisatie vooraf van de informatiesystemen en voorzieningen die bij de departementsonderdelen van Verkeer en Waterstaat in gebruik zijn. De situatie kan zich voordoen dat meer dan één departementsonderdeel gebruik maakt van eenzelfde informatiesysteem, of eenzelfde ondersteunende voorziening. De inventarisatie hiervan heeft geleid tot de in Bijlage 1 vermelde informatiesystemen en voorzieningen. Alleen in deze situatie wijst de SG het Hoofd van één van deze departementsonderdelen aan ais verantwoordelijke voor de informatiebeveiliging van dat informatiesysteem, of het geheel van deze ondersteunende voorzieningen (= het verantwoordelijkheidsgebied). Het hoofd van een in Bijlage 1 genoemde dienst is voor de informatiebeveiliging de eerst aanspreekbare lijnmanager. Hij maakt de afspraken over de verdeling van verantwoordelijkheden ten aanzien van de informatiebeveiliging met de Hoofden van de overige betrokken departementsonderdelen en de eventuele externe partijen, en legt deze afspraken vast. Doet deze situatie zich niet voor: dan is voor de beveiliging van informatiesystemen en ondersteunende voorzieningen, die alleen bij het eigen departementsonderdeel in gebruik zijn, het Hoofd van dit departementsonderdeel de verantwoordelijke. Hij ziet erop toe dat managers, beheerders, gebruikers en eventuele externe partijen afspraken met elkaar maken over de informatiebeveiliging en deze afspraken vastleggen. d. De wijze waarop het beleid wordt vertaald naar concrete maatregelen en de wijze waarop deze worden gefinancierd. De financiering is een zaak van het betrokken lijnmanagement. De wijze waarop het beleid wordt vertaald naar concrete maatregelen is aangegeven in artikel 4 en 5 van het VIR. Bij artikel 5 dient bij de punten a, b en d in plaats van "elk informatiesysteem" te worden gelezen: "elk informatiesysteem en elk verantwoordeiijkheidsgebied". 8 BELEID VOOR DE INFORMATIEBEVEILIGING - FEBRUARI 1995

14 e. De gemeenschappelijke betrouwbaarheidseisen en maatregelen die voor heel Verkeer en Waterstaat van toepassing zijn. Naast het gestelde in artikel 6 van het VIR, gelden er geen eisen voor het hele ministerie. Aanbeveling: Het is nuttig om een zo genoemde base-line beveiliging af te spreken als de homogeniteit van ondersteunende informatiesystemen (in termen van beschikbaarheid, integriteit en exclusiviteit) relatief groot is. f. De wijze waarop geconstateerde dan wel vermoede inbreuken op de informatiebeveiliging door medewerkers worden gemeld en de wijze waarop deze worden afgehandeld. Voor elk informatiesysteem en elk verantwoordelijkheidsgebied legt de verantwoordelijke lijnmanager vast op welke wijze geconstateerde dan wel vermoede inbreuken op de informatiebeveiliging worden gemeld en op welke wijze deze worden afgehandeld. g. De wijze waarop en de frequentie waarmee volgens een vastgesteld schema: (i) het informatiebeveiligingsbeleid wordt geëvalueerd en (ii) de toereikendheid van het informatiebeveiligingsbeleid alsmede de implementatie en de uitvoering daarvan wordt beoordeeld door een onafhankelijke deskundige. Een deskundige die onafhankelijk is van de beleidsmaker en de beleidsuitvoerder controleert periodiek zowel beleid, beleidsimplementatie als uitvoering en rapporteert hierover aan de SG. Deze beoordeling bestaat uit de volgende punten: Waar het voor een departementsonderdeel relevant is: gl.is er voor elk informatiesysteem een afhankelijkheidsanalyse uitgevoerd, uitmondend in aan het informatiesysteem te stellen eisen voor de betrouwbaarheid; 92. is er voor elk verantwoordelijkheidsgebied een afhankelijkheidsanalyse uitgevoerd, uitmondend in aan het verantwoordelijkheidsgebied te stellen eisen voor de betrouwbaarheid; g3.zijn er voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied de bedreigingen gèldentificeerd en geanalyseerd; BELEID VOOR DE INFORMATIEBEVEILIGING - FEBRUARI

15 g4.zijn er voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied dusdanige maatregelen gekozen dat door middel van een kwetsbaarheidsanalyse naar redelijkheid kan worden aangetoond dat aan de gestelde betrouwbaarheidseisen wordt voldaan: g5.is er voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied een informatiebeveiligingsplan opgesteld, waarin een calamiteitenparagraaf is opgenomen waarvan de effektiviteit periodiek wordt getoetst: g6. wordt elk informatiebeveiligingsplan periodiek geëvalueerd en, zo nodig, aangepast aan veranderde omstandigheden. h. De wijze waarop het beveiligingsbewustrijn wordt bevorderd. De belangrijkste voorwaarde om te komen tot een goede informatiebeveiliging is het besef van de noodzaak tot beveiligen bij alle medewerkers. Diaioe is een PR-plan opgesteld en zullen er periodiek ministerie-brede activiteiten worden opgestart ter verhoging van dit besef. Tot de taak van het lijnmanagement rekent de SG nadrukkelijk ook het uitdragen van dit Beleid voor de informatiebeveiliging. e 10 BELEID VOOR OE INFORMATIEBEVEILIGING - FEBRUARI i995

16 I Bijlage 1 : Verantwoordelijkheden Management verantwoordelijkheid voor de informatiesystemen en/of verantwoordelijkheidsgebieden (IN), die in gebruik zijn bij meer dan één departementconderdeel. In 3c is aangegeven wat deze verantwoordelijkheid inhoudt. e De OBI-leden is gevraagd bij hun dienst te inventariseren welke informatiesystemen en/of verantwoordelijkheidsgebieden hieraan voldoen en deze aan DO1 te melden. Met als resultaat de kolom 'IN in onderstaande tabel. Daarnaast, in de kolom 'verantwoordelijke', is per IN de dienst aangegeven waarvan het Hoofd verantwoordelijk is voor de informatiebeveiliging. IN verantwoordelijke e FAIS NDM Plesmanweg-netwerk Ven W-net Interpers Salaris-systeem Ven W-LIS NEVLOG PERBOS GESIS POPEYE DMS FEZ FAZ FAZ DO1 DPZ DPZ DVO DGSM DGSM DGSM APCD RWS BELEID VOOR DE INFORMATIEBEVEILIGING - FEBRUARI

17 Bijlage 2 VIR Bijlage 2 is het Voorschrift Informatiebeveiliging Rijksdienst. Dit is een uitgave van het Ministerie van Binnenlandse Zaken. Het betrefi het: Besluit Voorschrift Informatiebeveiliging Rijksdienst Een besluit van de Ministerraad (zomer 1994). 8 september gepubliceerd in de Staatscourant. 12 &LEI0 VOOR DE ~NFORMATIEBNEILIGING - FEBRUARI 1995

18

19 O Voorschrift Informatiebeveiliging Rijksdienst 1994 l. Ministerie van Binnenlandse Zaken 1 I

20 Inhoudsopgave Voorwoord Bepalingen van het voorschrift Algemene toelichting Artikelsgewijze toelichting 1 Begripsbepalingen 2 Plaatsbepaling en reikwijdte 3 Beleidsdocument informatiebeveiliging 4 Bepalen van de maatregelen 5 Vastleggen, implementeren, uitvoeren en controleren 6 Slotbepaling 3 O O I Bijlagen Besluit aanpassing aanwijzingen voor de beveiliging van staatsgeheimen en vitale onderdelen bij de rijksdienst Aanbiedingsbrief Voorschrift Informatiebeveiliging Rijksdienst aan de Ministerraad Lijst van actuele publicaties

21 Voorwoord Het gebruik van computers en datacommunicatie is binnen de rijksdienst gemeengoed geworden. Veel routinematige processen verlopen geautomatiseerd en op praktisch iedere werkplek staat een computer of terminal. Dat verhoogt de produktiviteit van de Rijksdienst, maar leidt ook tot andersoortige werkprocessen zeker waar om het de communicatie tussen personen en organisaties gaat. De kwaliteit van die werkprocessen wordt steeds meer bepaald door de kwaliteit van de hulpmiddelen die de informatietechnologie biedt. Informatiebeveiliging is een essentieel onderdeel van die kwaliteit. Integriteit, exclusiviteit en beschikbaarheid van informatie en informatiesystemen zijn in hoge mate bepalend voor de kwaliteit van de werkprocessen binnen de Rijksdienst. Vanuit verschillende invalshoeken wordt hieraan aandacht besteed. De controleerbaarheid van financiële cijfers is bijvoorbeeld al lang een aandachtsgebied van accountants waardoor de EDP-Auditor zijn intrede heeft gedaan. De wetgever heeft middels de Wet Persoonsregistraties speciale aandacht geschonken aan de exclusiviteit van persoonsgegevens. Voor de waarborging van de beschikbaarheid van de informatievoorziening maken organisaties gebruik van speciale uitwijkcentra voor noodsituaties. Die invalshoeken zijn steeds vaker gelijktijdig van betekenis voor een en hetzelfde informatiesysteem. Systemen die alleen financiële gegevens bevatten zijn in de minderheid, veelal zullen in zo n systeem ook persoonsgegevens zitten of is het systeem van dusdanig belang dat de beschikbaarheid ervan bijzondere aandacht behoeft. De verschillende regimes die of uitgaan van het soort gegeven dat beveiligd dient te worden of van de handeling die beschermd dient te worden (denk aan opslag, verwerking en overdracht) overlappen elkaar steeds meer. Het is daarom alleen al vanuit praktisch oogpunt gewenst dat er een kader bestaat voor de rijksdienst, waarbinnen systematisch en vergelijkbaar met alle aspecten van informatiebeveiliging wordt omgegaan. Zo n kader is neergelegd in de vernieuwde regelgeving voor informatiebeveiliging die twee bestaande voorschriften voor de rijksdienst uit het begin van de jaren tachtig vervangt, Daarbij gaat het dus niet om beveiligingsmaatregelen die worden voorgeschreven maar om basisbegrippen, een beperkt aantal pmdukten en methodischestappen om daartoe te komen. In de toelichting op het voorschrift wordt de relatie met de praktijk aan de orde gesteld. Verdere uitwerking heeft plaatsgevonden in VOORSCHRIFT INFORMATEBEVEILIGING RIJKSDIENST

22 het handboek informatiebeveiliging rijksdienst dat ter ondersteuning van de inspanningen binnen de rijksdienst wordt aangereikt. De overheid dient op een betrouwbare manier om te gaan met gegevens van burgers en bedrijfsleven. Ze is daarbij afhankelijk van informatietechnologie. Voor een deei vloeit de noodzaak tot betrouwbaarheid voort uit wet- en regelgeving. De voortschrijdende ontwikkeling van de informatietechnologie en de inzet daarvan noodzaken tot voortdurende bezinning. Afwegingen met betrekking tot de inzet van informatietechnologie en de organisatie daarvan dienen vastgelegd te worden, ook vanuit de optiek van integriteit, exclusiviteit en beschikbaarheid. De naleving van beveiiigingsmaatregeien die op basis van genoemde afwegingen plaatsvind, dient controleerbaar te zijn. Dat is voor de hele overheid ais maatschappelijke partij van belang maar zeker ook voor de Individuele organisatie. Bij gebruik van gegevens van derden bijvoorbeeld, dient van het begin af aan duidelijk te zijn hoe met vervuiling van die gegevens wordt omgegaan. Informatietechnologie kan de efficiëntie van de rijksdienst verhogen maar dient niet ten koste te gaan van de positie van de burger. Goede afspraken bij het koppelen van bestanden zijn daarom nodig. Die afspraken worden vereenvoudigd door het gebruik van het kader dat het voorschrift biedt. Dit boekje bevat het Voorschrift Informatiebeveiliging Rijksdienst 1994 en de toelichting daarop. Ais bijlage is een aanpassing van de aanwijzingen voor de beveiliging van staatsgeheimen en vitale onderdelen bij de rijksdienst opgenomen. De wijziging was nodig om een van de bestaande voorschriften te kunnen laten vervallen. Verder is de aanbiedingsbrief aan de Ministerraad opgenomen als achtergrondinformatie. Voor vragen over het voorschrift en meer algemeen voor informatie over informatiebeveiliging kunt u steeds terecht bij het Advies- en Coördinatiepunt Informatiebeveiliging (ACiB) van de directie Interbestuurlijke Betrekkingen en Informatievoorziening van het Ministerie van Binnenlandse Zaken. O De directeur interbestuurlijke Betrekkingen en Informatievoorziening, drs. M. Sint 4 VOORSCHRIFT INFORMATIEBEVEILIGING RIJKSDIENST 1994

23 Vaststelling van de Aanwijzingen voor informatiebeveiliging Besluit van 22 juli 1994 De Minister-president. Overwegende, - dat het functioneren van de rijksdienst, zowel intern als in relatie met de maatschappij, in belangrijke mate bepaald wordt door de integriteit, beschikbaarheid en exclusiviteit van de ondersteunende informatiesystemen en de daarin opgenomen informatie, - dat behoefte bestaat aan een uniform beleidskader met betrekking tot informatiebeveiliging, dat op hoofdlijnen vastlegt hoe het inforrnatiebeveiligingsbeleid binnen de rijksdienst dient te worden gevormd en gevoerd, - dat de zorgplicht die is neergelegd in algemene en specifieke wet- en regelgeving met betrekking tot het gebruik van informatie en informatiesystemen mede noodzaakt tot het treffen van informatiebeveiiigingsmaatregelen en - dat het wenselijk is de voorschriften voor de informatiebeveiliging in de rijksdienst te actualiseren. Gelet op - artikel 9 van het Besluit Informatievoorziening in de Rijksdienst 1990 Handelend in overeenstemming met het gevoelen van de ministerraad: 0 Besluit: Artikel 1 Begripsbepalingen In dit besluit wordt verstaan onder: a. afhankelijkheldsanalyse: het vaststellen in hoeverre bestuws- of bedrijfsprocessen die door informatiesystemen ondersteund worden, afhankelijk zijn van de betrouwbaarheid van deze systemen en het vaststellen welke potentiële schades kunnen optreden als gevolg van het falen van deze informatiesystemen: b. beschikbaarheid: de mate waarin een informatiesysteem in bedrijf is op het moment dat de organisatie het nodig heeft: VASTSTELUNG VAN DE AANWIJZINGEN VOOR DE INFORMATIEBEVEILIGING 5

24 c. betrouwbaarheid: de mate waarin de organisatie zich kan verlaten op een informatiesysteem voor zijn informatievoorziening; d. calamiteitenparagraaf opsomming van alle maatregelen welke tot uitvoering moeten komen indien zich een situatie voordoet waarbij de beschikbaarheid, integriteit en/of exclusiviteit van een informatiesysteem in beduidende mate niet aan de eisen voldoen: e. exclusiviteit: de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden; f. informatiebeveiliging: het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid, integriteit en exclusiviteit van een informatiesysteem en daarmee van de informatie daarin; g. informatiebeveiligingsplan: opsomming van alle beveiligingsmaatregelen en/of de vindplaatsen daarvan welke voor een informatiesysteem of een verantwoordelijkheidsgebied van kracht zijn; h. informatiesysteem: een geheel van gegevensverzamelingen, personen, procedures, programmatuur en opslag-, verwerkings- en communicatieapparatuur; i. integriteit: de mate waarin een informatiesysteem zonder fouten is; j. kwaliteit: de mate waarin het geheel van eigenschappen van een informatiesysteem voldoet aan de uit het gebruiksdoel voortvloeiende eisen; k. kwetsbaarheidsanalyse: het vaststellen van de invloed van het manifest worden van bedreigingen op het functioneren van een informatiesysteem of een verantwoordelijkheidsgebied; I. systeemexploitatie: de zorg voor het functioneren van een deel van een informatiesysteem; m. systeemverwerving: de zorg voor het ontwikkelen, kopen, huren e.d. en het uitvoeren van aanpassingen aan (delen van) een informatiesysteem z,oals procedures, programmatuur en/of apparatuur; n. verantwoordelijkheidsgebied: een geheel van voorzieningen dat ter beschikking staat aan een of meerdere informatiesystemen en waarvoor de verantwoordelijkheid eenduidig is toe te wijzen aan één organisatorische eenheid; a Artikel 2 Plaatsbepaling en reikwijdte a. Dit voorschrift geldt voor de Rijksdienst waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen. b. Dit voorschrift geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. 6 VASTSTELLING VAN DE AANWIJZINGEN VOOR DE INFORMATIEBEVEILIGING

25 c. Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen en de ondersteunende informatiesystemen. d. Informatische relaties tussen een departement en een andere instantie gaan vergezeld van schriftelijke afspraken over het vereiste betrouwbaarheidsniveau en de wijze waarop zekerheid wordt verkregen over de realisatie daarvan. Artikel 3 De secretaris-generaal van een departement stelt het informatiebeveiiigingsbeleid vast in een beleidsdocument en draagt dit beleid uit. Het document omvat tenminste: a. De strategische uitgangspunten en randvoorwaarden die het departement hanteert ten aanzien van informatiebeveiliging, met name de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid. b. De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden. c. De eenduidige en volledige indeling van informatievoorzieningsfaciliteiten in informatiesystemen en verantwoordelijkheidsgebieden en toewijzing van de verantwoordelijkheden daarvoor aan lijnmanagers. d. De wijze waarop het beleid vertaald wordt naar concrete maatregelen en de wijze waarop deze gefinancierd worden. e. De gemeenschappelijke betrouwbaarheidseisen en maatregelen die voor het departement van toepassing zijn. f. De wijze waarop geconstateerde dan wel vermoede inbreuken op de informatiebeveiliging door medewerkers gemeld worden en de wijze waarop deze worden afgehandeld. g. De wijze waarop en de frequentie waarmee volgens een vastgesteld schema (i) het informatiebeveiligingsbeleid geëvalueerd wordt en (ii) de toereikendheid van het informatiebeveiligingsbeleid alsmede de implementatie en de uitvoering daarvan wordt beoordeeld door een onafhankelijke deskundige. h. De wijze waarop het beveiligingsbewustzijn wordt bevorderd. O Artikel 4 Het iijnmanagement draagt er zorg voor dat voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied op systematische wijze bepaald wordt welk stelsel van maatregelen uit hoofde van Informatiebeveiliging getroffen dient te worden. Deze zorgplicht omvat tenminste: VASTSTELLING VAN OE AANWIJZINGEN VOOR DE INFORMATIEBEVEILIGING 7

26 a. Voor elk informatiesysteem wordt een afhankelijkheidsanalyse uitgevoerd, uitmondend in aan het informatiesysteem te stellen betrouwbaarheidseisen. b. Voor elk verantwoordelijkheidsgebied wordt een analyse uitgevoerd, uitmondend in aan het verantwoordelijkheidsgebied te stellen betrouwbaarheidseisen. c. Voor eik informatiesysteem en voor elk verantwoordelijkheidsgebied worden de bedreigingen geïdentificeerd en geanalyseerd. d. Voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied worden dusdanig maatregelen gekozen dat door middel van een kwetsbaarheidsanalyse aangetoond kan worden dat aan de gestelde betrouwbaarheidseisen wordt voldaan. e. Voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied wordt een informatiebeveiligingsplan opgesteld. Hierin is een calamiteitenparagraaf opgenomen waarvan de effectiviteit periodiek wordt getoetst. f. Elk informatiebeveiligingsplan wordt periodiek geëvalueerd en eventueel aangepast aan veranderde omstandigheden. Artikel 5 Het lijnmanagement draagt er zorg voor dat voor elk bestuurs- of bedrijfsproces de maatregelen die uit hoofde van de informatiebeveiliging van toepassing zijn op de ondersteunende informatiesystemen worden vastgelegd, geïmplementeerd en/of uitgedragen en dat de werking ervan volgens een vastgesteld schema wordt gecontroleerd. Deze zorgplicht betreft tenminste: a. 'oor elk informatiesysteem worden de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor de gebruikers vastgelegd en uitgedragen door het lijnmanagement. b. Voor elk informatiesysteem worden de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor systeemexploitatie schriftelijk vastgelegd. c. Indien de systeemexploitatie geheel of gedeeltelijk is uitbesteed, dient volgens een vastgesteld schema een onafhankelijk oordeel over de kwaliteit van de bij de opdrachtnemer getroffen informatiebeveiligingsmaatregelen en over het handhaven en naleven daarvan te worden verlangd. d. Voor eik informatiesysteem worden de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor systeemvetwerving door het lijnmanagement schriftelijk vastgelegd. e. De uit het informatiebeveiligingsplan voortvloeiende maatregelen voor systeemvewerving worden getoetst op hun implementatie en werking. R VASTSTELLING VAN DE hnwijzingen VOOR DE INFORMATIEBEVEILIGING

27 Artikel 6 Slotbepaiing O O a. Ingetrokken worden: 1. de Aanwijzingen inzake de beveiliging van persoonsgegevens, verwerkt en opgeslagen in geautomatiseerde gegevensverwerkende systemen bij de Rijksoverheid, vastgesteld bij besluit van de minister-president van 16 juli 1982; 2. het Voorschrift inzake de beveiliging van gerubriceerde gegevens, verwerkt en opgeslagen in geautomatiseerde systemen bij de Rijksoverheid, vastgesteld bij besluit van de minister-president van 25 maart b. Dit besluit treedt in werking met ingang van 1 januari c. Dit besluit kan worden aanaehaald ais het Besluit Voorschrift Informatiebeveiliging Rijksdienst Dit besluit zal worden gepubliceerd in de Staatscourant. Van de terinzagelegging van de toelichting op het besluit zal mededeling worden gedaan in de Staatscourant. 'S-Gravenhage, 22 juli 1994 De Minister-president, O Minister van Algemene Zaken, VASTSTELLING VAN OE AANWIJZINGEN VOOR OE INFORMATIEBEVEILIGING 9

28 Algemene toelichting Aanleiding Bestuurs- en bedrijfsprocessen in moderne organisaties zijn in belangrijke mate afhankelijk van goed functionerende informatiesystemen. Veel processen zijn nagenoeg onmogelijk zonder de toepassing van geautomatiseerde gegevensverwerking: men denke aan het betallngsverkeer, bevolkings-administratie, logistieke besturing, belasting heffing, telediensten, enzovoorts. Uitval van computers of teiecommunicatiesystemen, het in ongerede raken van gegevensbestanden, of het door onbevoegden kennisnemen dan wel manipuleren van bepaalde gegevens kan ernstige gevolgen hebben voor de beleids- en bedrijfsvoering. De genoemde afhankelijkheid wordt mede beinvloed door technologische ontwikkelingen op het gebied van de informatievoorziening. Vergaande deconcentratie van apparatuur, programmatuur, gegevens en de daarmee gepaard gaande decentralisatie van het beheer, maar ook de koppeling van voorheen losstaande informatiesystemen, leiden tot complexe situaties met diffuse verantwoordelijkheden. Gegevens komen steeds gemakkelijker beschikbaar, maar gegevensstromen zijn steeds moeilijker beheersbaar. Geautomatiseerde informatievoorziening vindt niet meer voornamelijk in gespecialiseerde organisatie-eenheden plaats, maar op alie werkplekken van overheidsorganisaties. Dit gebruik van informatievoorzieningen neemt daarbij een veelheid aan verschijningsvormen aan: kantoorautomatisering, electronische post, local en wide area networking e.d. De wijze waarop deze geautomatiseerde hulpmiddelen ter beschikking worden gesteld en geëxploiteerd worden, is aan verandering onderhevig. Veelmeer dan voorheen is er sprake van gedecentraliseerde beslissingsbevoegdheden binnen een departement, belangrijke delen van de programmatuur worden kant-en-klaar gekocht in plaats van zelf ontwikkeld en expioitatie/beheer wordt regelmatig uitbesteed. De inrichting van de informatievoorzieningsfunctie binnen de Rijksdienst is daarmee veel gediversificeerder dan voorheen. De technologische ontwikkelingen en de ontwikkeling van de beheersregels binnen de overheid, wijzen er op dat deze diversificatie niet kleiner maar groter zal worden. De mogelijkheden op het gebied van datacommunicatie, de integratie van spraak, beeld en conventionele data en dergelijke trends, en de veranderde inzichten over de aansturing van en het beheer van overheidsorganisaties, zoals verzelfstandiging (intern en extern), integraal management en zeifbeheer zijn voorbeelden van deze ontwikkelingen. 10 ALGEMENE TOELICHTING

29 . Op verschillende terreinen zijn ontwikkelingen gaande die invloed hebben op het denken over beveiliging: vastleggen van administratieve organisatie en procedures en de daaraan gerelateerde accountantscontrole als onderdeel van de kwaliteitsbeoordeling van de financiële informatievoorziening, systematisering van het ontwerp en het gebruik van informatiesystemen, opkomst van nieuwe technologiën die andere systeemconcepten 'mogelijk maken, integrale benadering van kwaliteitszorg, enzovoorts. Geconstateerd kan worden dat de bestaande voorschriften op het gebied van (informatie)beveiliging onvoldoende aansluiten op deze ontwikkelingen, te specifiek gericht zijn op bepaalde ' soorten van gegevens (persoonsgegevens, gerubriceerde gegevens) en een grote mate van detaillering te zien geven. Aard en noodzaak Het bovenstaande heeft niet alleen als consequentie dat een bijstelling van de bestaande regelgeving op het gebied van informatiebeveiliging plaats diende te vinden, maar dat ook een andere benadering van de wijze van het stellen van regels gezocht moest worden. Gestreefd moest worden naar een stelsel van regels dat een hogere mate van toekomstvastheid bezit dan die welke bereikt wordt door expliciet aandacht te schenken aan de nu toegepaste technologiën. De levenscyclus van informatietechnologiën is immers kort, een nieuwe technologie kan zijn intrede doen zonder dat daarover nu uitspraken mogelijk zijn en bestaande technologiën kunnen binnen een paar jaar verouderd zijn. Het is daarom niet wenselijk om op het niveau van technische maatregelen regels op te stellen voor informatiebeveiliging. 0 Datzelfde geldt ook voor de meeste organisatorische maatregelen die in het kader van informatiebeveiliging gesteld zouden kunnen worden. De vraag rijst daarmee of enigerlei vorm van regelgeving op het onderhavige gebied nog wel zin heeft. Deze vraag moet om een aantal redenen positief beantwoord worden. Informatievoorziening neemt een dusdanig belangrijke plaats in bij het functioneren van de overheid dat beveiliging daarvan akonderlijke aandacht vereist. Voor zover het gaat om de interne informatievoorziening van afzonderlijke departementen is dat overigens de verantwoordelijkheid van de departementen zelf. Uit dien hoofde zou volstaan kunnen worden met enige globale regels ten aanzien van hetgeen minimaal departmentsbreed dient te worden geregeld op de wijze waarop dat in het onderhavige voorschrift in artikel 3 is gebeurd. De afzonderlijke ministers zijn immers verantwoordelijk voor de beveiliging van de informatie en de informatievoorziening binnen de eigen ministeries. Veel informatievoorzieningsprocessen hebben echter niet alleen betrekking op het interne functioneren van overheidsorganisaties maar staan ten ALGEMENE TOELICHTING 11

30 dienste van informatieverwerking en -transport ten behoeve van anderen (zoals andere departementen, uitvoeringsorganisaties, lagere overheden, bedrijfsleven en burgers). Het ligt daarom voor de hand om helderheid te creëren met betrekking tot de begrippen op het gebied van informatiebeveiliging en minimale randvoorwaarden te stellen aan de wijze waarop met informatie-beveiliging wordt omgegaan bij informatische relaties tussen een departement en andere instanties (zie artikel 2). Informatievoorzieningsprocessen zijn vaak complex als gevolg van de toegepaste technologie en het aantal betrokken interne en externe actoren. De beveiliging van informatievoorziening brengt zijn eigen complexiteit met zich mee, door de verschillen van benadering (technisch, juridisch, controlerend, organisatorisch), verschillen in optiek (privacy, landsbelang, continuïteit, integriteit) en de verschillen in de objecten van beveiliging (gegevensverwerking, -opslag, transport). Hierdoor kan onduidelijk worden wie voor welk deel van informatiebeveiliging verantwoordelijk is, bestaat de kans op overlappende inspanningen en treedt inefficiëncy op bij het benutten van de mogelijkheden die door de verschillende specialismen op dit gebied worden aangereikt. Bovendien wordt de beveiliging van informatievoorziening vaak ervaren als een kostenpost waar geen tastbare opbrengsten aan te relateren zijn. Dit is de reden om voor de rijksdienst enige methodologische stappen te beschrijven waarmee tot een evenwichtig pakket van maatregelen voor informatiebeveiliging wordt gekomen. Deze stappen vormen onderdeel van de systeemontwikkelingsactiviteiten en koopprocessen en monden uit in een informatiebeveiligingsplan (zie artikel 4). Dit informatiebeveiligingsplan vormt het uitgangspunt voor lijnmanagers die de verantwoordelijkheid hebben voor een informatiesysteem om inhoud te geven aan informatiebeveiliging tijdens het gebruik van zo'n systeem. Zij dienen het vastgestelde stelsel van maatregelen te vertalen, uit te dragen, te effectueren en te controleren naar de verschillende groepen van betrokkenen (zie artikel 5). Hiermee zijn de spelregels vastgelegd waarmee binnen overheidsorganisaties aan informatiebeveiliging inhoud gegeven dient te worden met het oog op een efficiënt samenwerkende overheid die betrouwbaar omgaat met de haar toevertrouwde informatie. Een belangrijk kenmerk van het nieuwe voorschrift is de globaliteit, hetgeen echter niet betekent dat het vrijblijvend is. Er wordt op hoofdlijnen vastgelegd waaraan het informatiebeveiligingsbeleid moet voldoen. Deze hoofdlijnen vormen als het ware een afspraak tussen de ministeries over de wijze waarop informatie en de informatievoorziening worden beveiligd. In het voorschrift zijn de "spelregels" vastgelegd waaraan elk ministerie zich te houden heeft en als zodanig biedt het voorschrift steun en houvast bij het voeren van beleid terzake. 12 ALGEMENE TOELICHTING

31 0 De globaliteit van het voorschrift brengt met zich mee dat daarbij gedetailleerde richtlijnen voor het opstellen van beveiligingsplannen en het uitvoeren van analyses ontbreken. Wel is onderkend dat behoefte bestaat aan het aanreiken van de verschillende mogelijkheden hiertoe. Dit gebeurt door de parallelle introductie van een aparte publicatie "Handboek Informatie-beveiliging Rijksdienst". In dit handboek zijn voorbeelden opgenomen die de departementen kunnen gebruiken bij de inrichting en vormgeving van hun informatiebeveiligingsbeleid. Begripsbepaling De beveiliging van informatie en van informatiesystemen heeft in de verschillende disciplines die zich met informatievoorziening bezig houden, verschillende betekenissen. In dit voorschrift wordt, tetwille van de haalbaarheid van het praktisch gestalte geven aan informatiebeveiliging voor de lijnmanager, uitgegaan van een synthese van deze verschillende benaderingen. Informatiebeveiliging wordt gezien als een onderdeel van kwaliteitszorg. Dit betreft het geheel van die zaken die geregeld dienen te worden om er voor te zorgen dat een informatiesysteem niet alleen functioneel in orde is, dat wil zeggen dat de juiste dingen worden gedaan, maar dat deze dingen ook op de juiste wijze worden gedaan. Informatiebeveiliging wordt in het onderhavige voorschrift gedefinieerd als het treffen van een samenhangend pakket van maatregelen ter waarborging van de betrouwbaarheid van een informatiesysteem. De kern van alle activiteiten om tot informatiebeveiliging te komen is daarmee dat uitgaande van betrouwbaarheidseisen tot maatregelen gekomen moet worden. De betrouwbaarheidseisen zelf worden afgeleid uit de mate waarin de beleids- en bedrijfsprocessen afhankelijk zijn van een ondersteunend informatiesysteem. Ze hebben betrekking op drie kenmerken van het proces van informatievoorziening: beschikbaarheid, integriteit en exclusiviteit die tezamen een betrouwbare informatievoorziening moeten opleveren. De maatregelen worden bij het ontwikkelen, verwerven en onderhouden van informatie-systemen volgens een aantal stappen geselecteerd. De technische maatregelen worden vervolgens geïmplementeerd in het (technische) deel van een informatiesysteem. De procedurele maatregelen dienen te worden uitgevoerd, uitgedragen en gecontroleerd tijdens het gebruik en de exploitatie van een informatiesysteem, waarbij het voor de hand ligt om zoveel mogelijk te streven naar inbedding in de normale Beschikbaarheid van informatievoorziening impliceert dat informatiesystemen en informatie beschikbaar dienen te zijn ter ondersteuning van werkprocessen. Dat stelt eisen aan de aanwezigheid, bedrijfszekerheid, vervangbaarheid en dergelijke van de componenten van informatie- ALGEMENE TOELICHTING 13

32 systemen. Integriteit wordt gerealiseerd door de correctheid van informatiesystemen. Centraal hierbij staat in hoeverre het proces tot de beoogde resultaten leidt. Exclusiviteit tenslotte wordt bereikt door het beheersen van de toegang tot en het gebruik van systemen en componenten daarvan. Hierbij gaat het om de mate waarin slechts een gedefinieerde groep van gerechtigden de informatie en de informatiesystemen mag benutten. Overigens worden naast de begrippen beschikbaarheid, integriteit en exclusiviteit ook vaak die termen continuïteit, correctheid en vertrouwelijkheid gehanteerd. Reikwijdte Het voorschrift is gericht op de Rijksdienst en daarbinnen op de secretarissen-generaal van de departementen. De gerichtheid op de Rijksdienst brengt met zich mee dat het voorschrift ais een van de Algemene aanwijzingen voor de Rijksdienst wordt uitgebracht. De implicatie is tevens dat het voorschrift geen rechtstreekse werking heefl op de Hoge Colleges van Staat en op zelfstandige bestuursorganen. In de artikelgewijze toelichting wordt op dit aspect nader ingegaan. De verplichting voor de secretarissen-generaal om een departementaal beleidsdocument voor informatiebeveiliging op te stellen, wordt in de toelichting op artikel 3 op voor de hand liggende wijze genuanceerd. Voor de situatie dat er sprake is van relatief autonoom functionerende dienstonderdelen, kan ertoe overgegaan worden dat aizonderlijke beleidsdocumenten worden samengesteld. Het is aan de departementen er zorg voor te dragen dat de verschillende regimes die mogelijkerwijs heersen ten aanzien van informatiebeveiliging (ni. departement, autonome dienstonderdelen en zelfstandige bestuursorganen) in een juiste verhouding tot elkaar staan. Interorganisatorische aspecten In het tweede artikel van het voorschrift komt onder meer het interorganisatorische aspect aan de orde. Dit betreft de beveiliging van gegevensuitwisseling tussen een onderdeel van de Rijksdienst en een andere instantie. In deze situatie is niet à priori helder hoe de verantwoordelijkheden zijn verdeeld en wordt daarom voorgeschreven dat er schriftelijke afspraken tussen partijen moeten worden gemaakt. Een goede basis voor deze afspraken wordt overigens gevormd door hetgeen in artikel vier staat over het proces om tot informatiebeveiliging te komen. Het gebruik van datacommunicatie in het bedrijfsleven en de daarbij door partijen gehanteerde stelsels van afspraken (waaronder het EDI Interchange Agreement, Trusted Third Party constructies, Codes of 14 ALGEMENE TOELICHTING

33 0 O ' Practice e.d.) beogen om naast het vastleggen van de technologische modaliteiten van deze vorm van communicatie ook de (privaatrechtelijke) juridische aspecten aan de orde te stellen (waaronder de bewijskracht). Gezien de problematiek van technologische standaardisatie binnen de overheid kan er op voorhand niet van uit gegaan worden dat analoge mechanismen van voldoende kwaliteit zich zonder aansporing tijdig zullen ontwikkelen. Omdat een privaatrechtelijke rechtspersoon met een veelheid aan overheidsinstanties gegevensuitwisseling pleegt, is op termijn uniformiteit op dit gebied wenselijk. Vooruitlopend op de welhaast onvermijdelijke trend naar electronificatie van deze communicatie, is een eerste stap naar regulering gewenst. Dat voor deze stap in de vorm van schriftelijke vastlegging is gekozen en niet voor een zwaardere vorm is momenteel onvermijdelijk gezien de onvoorspelbaarheid van de vlucht van electronische gegevensuitwisseling. Door schriftelijke vastlegging voor te schrijven wordt bereikt dat dit aspect van informatiebeveiliging niet aan de aandacht ontsnapt en dat helderheid over de afspraken verkregen wordt. De organisatie Het derde artikel van het voorschrift richt zich op de overheidsorganisatie als geheel. Omdat informatiebeveiliging (nog) niet vanzelfsprekend is, dienen door het topmanagement de spelregels vastgelegd en uitgedragen te worden. De vastlegging gebeurt door middel van een beleidsdocument dat op het hoogste niveau van de organisatie, de secretaris-generaal, wordt vastgesteld. Dat dit beleidsdocument niet op zichzelf staat, blijkt onder meer uit de positionering er van ten opzichte van het algemene beveiligingsbeleid (beveiliging van gebouwen, personeel) en van het informatievootzieningsbeleid. De afstemming met het (algemene) informatievoorzieningsbeleid kan gerealiseerd worden door informatiebeveiliging een van de onderdelen van het (departementale) informatieplanningproces te laten zijn en/of door een mogelijk bestaande departementale stuurgroep informatievoorziening expliciet het beveiligingsaspect te laten behandelen. De inbedding van informatiebeveiliging in het algemene beveiligingsbeleid van een departement is gewenst omdat op het niveau van de maatregelen (en dus ook op de hogere niveaus: beieidsvorming, operationalisering daarvan en planvorming) de verschillende 'soorten' van beveiliging met elkaar samenhangen. Voorbeelden van deze samenhang betreffen toegangsbeveiliging (toegang tot gebouwen, tot computerfaciliteiten, tot gegevens en programmatuur) en maatregelen ten aanzien van het personeel (geheimhoudingsverùlaringen, functiescheiding, melding van incidenten), Deze samenhang wordt versterkt door periodiek de verschillende objecten van beveiliging ook in combinatie met elkaar te beschouwen Voor de hand ligt om dit te realiseren door samenwerking met I ALGEMENE TOEUCHnNG 15