Informatiebeveiligingsbeleid gemeente Stadskanaal

Transcriptie

1 Informatiebeveiligingsbeleid gemeente Stadskanaal Informatiebeveiligingsbeleid gemeente Stadskanaal Opsteller: M. Westerhof Versie: 1 Status: Definitief Datum: 13 december 2016

2 2

3 Inhoudsopgave Managementsamenvatting Pagina 4 DEEL 1: DE BELEIDSKADERS EN DE ORGANISATIE VAN INFORMATIEBEVEILIGING 1. Informatiebeveiliging bij Nederlandse gemeenten Pagina 7 2. Contouren informatieveiligheidsbeleid Pagina De organisatie van informatiebeveiliging Pagina 12 DEEL 2: BELEIDSUITGANGSPUNTEN EN BEHEERSMAATREGELEN 4. Beheer van ICT bedrijfsmiddelen pagina Beveiligingsmaatregelen ten aanzien van personeel pagina Fysieke beveiliging en beveiliging van de omgeving Pagina Beheer van apparatuur en ICT voorzieningen pagina Logische toegangsbeveiliging Pagina Beveiligingsincidenten Pagina Bedrijfscontinuïteit Pagina 29 BIJLAGEN 1: Organisatietabel informatieveiligheid Pagina 31 gemeente Stadskanaal 2: Structuur Informatiebeveiliging BIG Pagina 33 3: De Plan do check act cyclus aangaande Pagina 34 Informatieveiligheid 4: Classificatietabel Pagina 35 5: Gebruikte documenten (literatuurlijst) Pagina 36 3

4 Managementsamenvatting Deze beleidsnota beschrijft het informatiebeveiligingsbeleid voor de jaren 2017 tot 2020 voor de gemeente Stadskanaal. Dit beleidsplan is normstellend en zal worden uitgewerkt met concrete actiepunten in een jaarlijks informatiebeveiligingsplan Met het informatiebeveiligingsbeleid gemeente Stadskanaal zet de gemeente Stadskanaal de volgende stap om de beveiliging van persoonsgegevens en andere informatie binnen de gemeente op orde te houden. Het beleid is gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten. Wat is informatiebeveiliging? Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket aan maatregelen om de betrouwbaarheid van de informatievoorziening te waarborgen. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van persoonsgegevens en andere informatie. Het informatiebeveiligingsbeleid geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen. Het beperkt zich niet alleen tot de ICT en heeft betrekking op het politiek bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties. Globale uitgangspunten informatiebeveiligingsbeleid De belangrijkste uitgangspunten van het informatiebeveiligingsbeleid zijn: Het college van B&W is eindverantwoordelijk voor informatiebeveiliging en stelt het informatiebeveiligingsbeleid vast. De directeur is verantwoordelijk voor de uitvoering van het informatiebeveiligingsbeleid. De Chief Information Security Officer (CISO) is gepositioneerd in een lijnfunctie. De CISO rapporteert over de uitvoering van de audit-trail informatiebeveiliging aan de afdelingsmanager Dienstverlening. In het kader van de signaalfunctie rapporteert de CISO in bijzondere gevallen waarbij de veiligheid van de organisatie in het gedrag komt of dreigt te raken rechtstreeks aan de directeur. Aan de hand van een GAP-analyse (0-meting) wordt jaarlijks een informatiebeveiligingsplan opgesteld. Kennis en bewustzijn van informatiebeveiliging en omgaan met persoonsgegevens binnen de Gemeente Stadskanaal worden bevorderd en geborgd. De strategische doelen van het informatiebeveiligingsbeleid zijn: Het managen van de informatiebeveiliging. Adequate bescherming van de ICT bedrijfsmiddelen. Het voorkomen van ongeautoriseerde toegang. Het garanderen van correcte en veilige informatievoorzieningen. Het beheersen van de toegang tot informatiesystemen. Het waarborgen van veilige informatiesystemen. Het adequaat reageren op incidenten. Het beschermen van kritieke bedrijfsprocessen. Het beschermen en correct verwerken van persoonsgegevens van burgers en medewerkers. Het minimaliseren van risico s van menselijk gedrag. Hoofdstuk 1 tot en met 3 vormen samen het eerste deel van deze nota. Hoofdstuk 1 geeft een algemene beschrijving van het onderwerp informatiebeveiliging bij Nederlandse gemeenten. Hoofdstuk 2 schetst de contouren van hedendaags informatiebeveiligingsbeleid gebaseerd op de 4

5 Baseline Informatiebeveiliging Nederlandse Gemeenten. In hoofdstuk 3 komt de organisatie van informatiebeveiliging bij de gemeente Stadskanaal aan bod. In deel 2 van de nota wordt ingegaan op de beleidsuitgangspunten. Het betreft de hoofdstukken 4 tot en met 10. Elk hoofdstuk behandelt een apart onderdeel waarbij informatiebeveiliging een rol speelt. Achtereenvolgens komen aan bod: beheer van ICT bedrijfsmiddelen, beveiliging van personeel, fysieke beveiliging en beveiliging van de omgeving, beveiliging van apparatuur en informatie, logische toegangsbeveiliging, beveiligingsincidenten en bedrijfscontinuïteit. Per onderdeel worden de risico s, doelstellingen en beleidsuitgangspunten weergegeven. 5

6 DEEL 1: DE BELEIDSKADERS EN DE ORGANISATIE VAN INFORMATIEBEVEILIGING 6

7 1 Informatiebeveiliging bij Nederlandse gemeenten 1.1 inleiding Vanuit de (Rijks)overheid is de belangstelling en noodzaak voor informatieveiligheid de afgelopen 2 jaren enorm toegenomen. Dit vanwege de alsmaar toenemende bedreigingen zoals cybercriminaliteit maar ook diverse ernstige beveiligingsincidenten zoals DigiNotar en Ddos aanvallen. Daarmee is de kwetsbaarheid van de IT-infrastructuur bij gemeenten op een duidelijke wijze aangetoond. Dit heeft geleid tot een soort wake-up-call. Immers, beveiligingsincidenten kunnen het vertrouwen in de overheid ernstig schaden. Mede als gevolg hiervan is in 2012 de Informatiebeveiligingsdienst voor gemeenten (IBD) 1 onder de vlag van de Vereniging Nederlandse Gemeenten (VNG) opgericht en is de resolutie informatieveiligheid tijdens de bijzondere algemene ledenvergadering (BALV) in november 2013 door de leden bekrachtigd. In deze resolutie staat onder meer dat informatieveiligheid opgenomen wordt in de portefeuille van een van de leden van het college van B&W en dat de Baseline Informatiebeveiliging Gemeenten (BIG) het gemeentelijke basisnormenkader voor informatieveiligheid wordt. Voorts is in deze resolutie aangegeven dat gemeenten informatieveiligheid bestuurlijk en organisatorisch borgen en informatieveiligheid transparant maken voor burgers, bedrijven en (keten)partners. Informatie is één van de belangrijkste bedrijfsmiddelen van de gemeente Stadskanaal. Immers de gemeente is in de kern een informatiehuishouding, beheert veel persoons- en privacy gevoelige gegevens en behoort uit dien hoofde veilig en zorgvuldig om te gaan met informatie en het uitwisselen van informatie. Burgers, bedrijven en (keten)partners kunnen ernstige schade ondervinden wanneer er sprake is van het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van informatie. Dit kan leiden tot ernstige gevolgen op (de continuïteit van) de bedrijfsvoering en tot imagoschade met mogelijke politieke gevolgen. De basis voor de inrichting van dit informatiebeveiligingsbeleid is NEN/ISO De maatregelen worden op basis van best practices bij (lokale) overheden en NEN/ISO genomen. Voor de ondersteuning van gemeenten bij het formuleren en realiseren van hun informatiebeveiligingsbeleid heeft de IBD 4 begin 2013 de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) uitgebracht, gebaseerd op NEN/ISO en In deze beleidsnota wordt het informatiebeleid van de gemeente Stadskanaal voor de jaren 2017 tot 2020 weergegeven. De uitwerking in concrete maatregelen vindt plaats in het jaarlijks bij te stellen informatiebeveiligingsplan. De nota bestaat uit 2 delen. In deel één worden de kaders, contouren en organisatie van het informatiebeveiligingsbeleid binnen de gemeente Stadskanaal beschreven. In deel 2 komen de beleidsuitgangspunten en beheersmaatregelen van het informatiebeveiligingsbeleid aan bod. De hoofdstukken uit deel twee corresponderen met de hoofdstukken 7 tot en met 15 van de Baseline informatiebeveiliging. Op een aantal terreinen wordt op dit moment door onze organisatie nog niet volledig aan de beleidsuitgangspunten voldaan. In het jaarlijks uit te brengen gemeentelijk informatie beveiligingsplan 1 De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari Voluit: NEN-ISO/IEC 27001: Eisen aan Managementsystemen voor Informatiebeveiliging 3 Voluit: NEN-ISO/IEC 27002: Code voor Informatiebeveiliging 4 De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 7

8 worden de tactische en operationele aspecten van de informatiebeveiliging verder uitgewerkt. Daarin staan dan ook de acties en planning vermeld, om de praktijk in overeenstemming te brengen met datgene wat in het beleid is geëist. Wij hanteren bij de uitvering van het informatie beveiligingsbeleid een pragmatische aanpak (zie paragraaf 2.1) 1.2 Wat is informatiebeveiliging Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket aan maatregelen om de betrouwbaarheid van de informatievoorziening te waarborgen. Het gaat hierbij over: Beschikbaarheid: de mate waarin gegevens en/of functionaliteit op de juiste momenten beschikbaar zijn voor gebruikers. Gegevens en functionaliteit dienen voor gebruikers zodanig beschikbaar te zijn dat zij hun taken optimaal kunnen uitvoeren. Integriteit: de mate waarin gegevens of functionaliteit juist ingevuld zijn: De juistheid van gegevens en functionaliteit dient te voldoen aan de daarvoor gestelde normen, weten regelgeving. Vertrouwelijkheid: de mate waarin de toegang tot (persoons)gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn: Toegang tot (persoons)gegevens en functionaliteit is beperkt tot degenen die daartoe door de eigenaar hiervan is vastgesteld. Belangrijk hierbij is de controleerbaarheid van de maatregelen die genomen zijn om de betrouwbaarheid te borgen. Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, beeldscherm et cetera) en alle informatie verwerkende systemen (de programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekortschietende organisatie. 1.3 Waarom informatiebeveiligingsbeleid Informatie, waaronder privacygevoelige gegevens, is één van de belangrijkste bedrijfsmiddelen van een gemeente. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor een gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt en die met minimale middelen maximale resultaten behaalt. De bescherming van vertrouwelijke en waardevolle informatie is hetgeen waar het uiteindelijk om gaat. Hoe vertrouwelijker of waardevoller de informatie is, hoe meer maatregelen er getroffen moeten worden. Het proces van informatiebeveiliging is primair gericht op bescherming van gemeentelijke informatie, maar maakt bijvoorbeeld ook elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat 8

9 ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid. Het aantal bedreigingen op het gebied van informatiebeveiliging neemt steeds verder toe. Het Nationaal Cyber Security Centrum (NCSC) publiceert jaarlijks het Cybersecuritybeeld Nederland (CSBN). Het is bedoeld voor beleidsmakers van de overheid en vitale sectoren om inzicht te bieden in ontwikkelingen, ter beoordeling van mogelijke bedreigingen. Voor de overheid zijn de grootse bedreigingen verstoring van ICT en digitale spionage. 1.4 Het doel van het informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid heeft als doel het waarborgen van de continuïteit van de informatiesystemen, het minimaliseren van de schade door het voorkomen van beveiligingsincidenten en het minimaliseren van eventuele gevolgen. Het informatiebeveiligingsbeleid biedt o.a. een kader om (toekomstige) maatregelen in de informatiebeveiliging te toetsen aan de BIG. Het informatiebeveiligingsbeleid biedt een kader om aan huidige en toekomstige wet- en regelgeving te voldoen. Het doel van de gemeentelijke informatievoorziening is het optimaal bieden van services aan burgers, bedrijfsleven en organisaties, onder andere via digitale weg. Het daarvan afgeleide organisatiedoel ten aanzien van de informatiebeveiliging is het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade, door het voorkomen van beveiligingsincidenten en het minimaliseren van eventuele gevolgen. Binnen de wettelijke kaders voor informatiebeveiliging zorgt de organisatie ervoor dat alle gemeentelijke informatie (van burger, bedrijfsleven en organisatie) adequaat wordt beheerd en beveiligd. 9

10 2 Contouren informatiebeveiligingsbeleid 2.1 De uitgangspunten Het bestuur en management spelen een cruciale rol bij het uitvoeren van het informatiebeveiligingsbeleid. Het bestuur en management geeft een duidelijke richting aan informatiebeveiliging en laten zien dat zij informatiebeveiliging ondersteunen en zich betrokken voelen door het uitdragen en handhaven van een informatiebeveiligingsbeleid voor de hele gemeente. Het informatiebeveiligingsbeleid is van toepassing op de gehele organisatie, alle objecten, alle processen alle informatiesystemen en gegevensverzamelingen. Bij het opstellen, uitvoeren en handhaven van het beleid geldt; - Er is wetgeving waaraan voldaan moet worden zoals de Wet bescherming persoonsgegevens (WBP), het normenkaders Suwinet (SUWI), de basisadministratie gebouwen (BAG), de paspoort uitvoeringsregeling (PUN) en de archiefwet. - De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is het gemeenschappelijk normenkader. - Vanwege de omvang van onze organisatie zijn niet alle genoemde beheersmaatregelen uit de BIG toepassing of uitvoerbaar. Wij hanteren bij de uitvoering van het informatiebeveiligingsbeleid een pragmatische aanpak. Wij maken bij elke maatregel uit de BIG een afweging tussen het af te dekken risico, de werkbaarheid na invoering van een maatregel en de haalbaarheid van de invoering van een maatregel op budgettair vlak. Na het invullen van deze driehoek beoordelen wij of we een gestelde maatregel uit de BIG invoeren. Bij alle maatregelen uit de BIG hanteren wij het pas toe of leg uit principe. Het beleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002) en de BIG. Het informatiebeveiligingsbeleid wordt vastgesteld door het college van B&W. Onder verantwoordelijkheid van de directeur wordt door de manager Dienstverlening één keer per 4 jaar het informatiebeveiligingsbeleid opgesteld en wordt jaarlijks het informatiebeveiligingsplan herijkt. De jaarlijkse evaluatie over de uitvoering van het informatiebeveiligingsbeleid en het informatiebeveiligingsplan worden vastgesteld door het college van B&W. De volgende uitgangspunten zijn deels ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2007) en de BIG: Alle informatie en informatiesystemen zijn van kritiek en vitaal belang voor de gemeente. Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In paragraaf 3.4 van deze nota wordt dit verder uitgewerkt. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, mogelijke (beveiligings)incidenten en risicoanalyses. Door het vertalen van maatregelen uit het informatiebeveiligingsplan naar afdelingsplannen worden afdelingsmanagers betrokken bij het onderwerp informatieveiligheid en wordt het onderwerp besproken tijdens de bedrijfsvoeringsgesprekken. Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging. De informatiebeveiligingsfunctionaris/chief Information Security Officer (CISO) ondersteunt de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover. 10

11 De gemeente stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid. Wanneer er sprake is van een investering zal hiervoor budget worden gevraagd in het informatiebeleidsplan. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld. Alle medewerkers van de gemeente worden meegenomen in het gebruik van beveiligingsprocedures. Er wordt periodiek aandacht besteed aan bewustwording van de medewerkers. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. Als waarborging wordt door de vaste medewerkers van de gemeente Stadskanaal een eed en/of belofte afgelegd. De tijdelijke medewerkers ondertekenen een integriteitsverklaring. 2.2 De scope van het informatiebeveiligingsbeleid De scope van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente en externe partijen (bijvoorbeeld politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur. Dit gemeentelijke informatiebeveiligingsbeleid is een algemene basis. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen (Bijvoorbeeld SUWI en gemeentelijke basisregistraties.). 2.3 De doelgroepen van het informatiebeveiligingsbeleid Informatiebeveiliging en daarmee ook dit informatiebeveiligingsbeleid gelden voor alle medewerkers (ook uitzend- en inhuurkrachten) van de gemeente Stadskanaal. Kortom allen die te maken hebben met het verwerken van informatie. Het informatiebeveiligingsbeleid heeft als functie richting te geven aan informatiebeveiliging. Daarom worden in dit beleid de grondhouding en de basisprincipes van de gemeente Stadskanaal ten aanzien van informatiebeveiliging beschreven. Dit document is tevens gericht op alle overige belanghebbenden van de gemeente Stadskanaal, zoals burgers, bedrijven en leveranciers van goederen en diensten om op die manier duidelijk te maken wat de basisprincipes en -eisen zijn ten aanzien van informatiebeveiliging. Indien bij samenwerking met derden sprake is van uitwisseling van informatie, waarvan de gemeente Stadskanaal eigenaar of beheerder is, dient informatiebeveiliging een onderdeel te zijn de samenwerkingsovereenkomst en mag deze niet strijdig zijn met het informatiebeveiligingsbeleid van de gemeente Stadskanaal Het gemeentelijk informatiebeveiligingsbeleid is bedoeld voor alle gebruikers van de gemeentelijke informatie. Voor haar eigen medewerkers maar dus ook voor burgers. Het informatiebeveiligingsbeleid is locatie-onafhankelijk. Indien een medewerker, zakelijke relatie of leverancier of derde zich op een locatie bevindt anders dan een van de gebouwen van de gemeente Stadskanaal, maar wel met informatie of informatievoorziening (denk aan onderhoud in het veld, thuiswerken en/of webmail) van de gemeente Stadskanaal werkt dient men dit beleid te respecteren. 11

12 3 De organisatie van informatiebeveiliging 3.1 Organisatie van de informatiebeveiliging In dit hoofdstuk wordt de organisatie van informatiebeveiliging binnen de gemeente Stadskanaal beschreven en worden verantwoordelijkheden, taken en rollen toegekend. Het onderwerp informatiebeveiliging is belegd bij team ondersteuning van de afdeling Dienstverlening. De CISO-rol wordt vervuld vanuit team ondersteuning. Door het onderwerp informatiebeveiliging in team ondersteuning te beleggen is er sprake van een integrale benadering van het onderwerp en is vervanging binnen het team gewaarborgd. Binnen de gemeente Stadskanaal hebben wij voor het onderwerp informatiebeveiliging te maken met onderstaande rollen en taken; Het college van Burgemeester en Wethouders is bestuurlijk verantwoordelijk voor informatiebeveiliging en stelt het informatiebeveiligingsbeleid en plan vast. De algemeen directeur van de gemeente Stadskanaal is eindverantwoordelijk voor de uitvoering van het informatiebeveiligingsbeleid en -plan. De CISO doet voorstellen over de uitvoering van het informatiebeveiligingsbeleid op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders. De CISO stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn). Ook rapporteert hij gevraagd en ongevraagd over compliance aan wet- en regelgeving en algemeen beleid van de gemeente. De CISO rapporteert aan de manager Dienstverlening. Om de onafhankelijkheid van de CISO te waarborgen zijn aanvullende richtlijnen opgesteld (zie paragraaf ). In bijlage 1 (pagina 31) vindt u een overzicht van de taken, rollen en verantwoordelijkheden op het gebied van informatiebeveiliging bij de gemeente Stadskanaal Chief Information Security officer (CISO) De CISO is aanspreekpunt voor alle zaken die te maken hebben met informatiebeveiliging. De CISO geeft namens de directeur invulling aan de sturende rol door besluitvorming voor te bereiden en toe te zien op de uitvoering ervan. De taken op het gebied van informatiebeveiliging die hieruit voortvloeien zijn belegd bij de CISO. De CISO bevordert en adviseert gevraagd en ongevraagd over informatiebeveiligingsbeleid. De CISO is verantwoordelijk voor het opstellen van het strategisch informatiebeveiligingsbeleid en het jaarlijks actualiseren van het informatiebeveiligingsplan. De CISO werkt hierbij nauw samen met de coördinator ICT aangaande de implementatie van technische beveiligingsmaatregelen. De CISO coördineert daarnaast de jaarlijkse audit-trail op het gebied van informatieveiligheid; Audit-trail informatiebeveiliging Jaarlijks worden de onderstaande werkzaamheden door de CISO uitgevoerd: - Bepalen waar de gemeente wel en waar de gemeente nog niet voldoet aan het informatiebeveiligingsbeleid door middel van het uitvoeren van een GAP-analyse. - Aan de hand van deze analyse de risico s bepalen die de gemeente loopt op het gebied van de informatiebeveiliging, bepalen waar extra beveiligingsmaatregelen nodig zijn en met welke prioriteit deze geïmplementeerd moeten worden. - Te nemen maatregelen uitwerken in een informatiebeveiligingsplan. - Toezien op de vertaling van de onderdelen uit het informatiebeveiligingsplan in afdelingsplannen en de uitvoering daarvan (monitoring). - Ontbrekende beveiligingsmaatregelen op basis van prioriteit implementeren. 12

13 - De volgende verplichte audits (laten) uitvoeren; o DIGI-D audit o Uitwijktest o Zelfevaluatie BRP & Waardedocumenten o Risico inventarisatie en evaluatie (RI&E) BRP en Waardedocumenten o BAG-audit - Een jaarlijkse evaluatie over de uitvoering van alle werkzaamheden en gebeurtenissen op het gebied van informatiebeveiliging schrijven en aanbieden aan de directeur. Naast bovenstaande werkzaamheden voert de CISO nog een aantal taken uit die veel raakvlakken hebben met informatiebeveiliging. De CISO van de gemeente Stadskanaal is tevens aangesteld als security officer voor Suwinet. De CISO voert op kwartaalbasis een interne controle uitvoeren op het beheer en het gebruik van Suwinet 5 Ook is de CISO belast met het onderwerp meldplicht datalekken 6. Plaats in de organisatie De CISO rol wordt vervuld door adviseurs van team ondersteuning van de afdeling Dienstverlening. De CISO rapporteert over de uitvoering van de audit-trail informatiebeveiliging aan de manager van de afdeling Dienstverlening. Om de continuïteit en kwaliteit te waarborgen wordt de CISO rol uitgevoerd door 2 adviseurs waarbij geldt dat de vervangend CISO op de achtergrond meekijkt en op de hoogte is van de gang van zaken bij afwezigheid van de eerste CISO. Onafhankelijke rol/signaalfunctie De CISO moet in het geval van bijzondere omstandigheden onafhankelijk kunnen opereren waarbij de CISO niet de reguliere verantwoordingsroute in de lijn hoeft te volgen. Bijvoorbeeld wanneer een melding van de CISO over een beveiligingsrisico niet wordt opgepakt door een afdelingsmanager of wanneer beveiligingsmaatregelen genoemd in het informatiebeveiligingsplan niet worden uitgevoerd. De situatie kan zich voordoen dat daardoor de veiligheid van de organisatie in het gedrang komt. In deze of soortgelijke gevallen waarbij de veiligheid van de organisatie in het gedrang is of dreigt te raken brengt de CISO de directeur rechtstreeks op de hoogte van de situatie. In het organisatiereglement wordt opgenomen dat de CISO zich in zaken die zijn verantwoordelijkheid betreffen rechtstreeks tot de directeur en de concerncontroller kan wenden. 3.2 Informatiebeveiligingsbeleid en het informatiebeveiligingsplan Deze beleidsnota wordt door middel van een jaarlijks informatiebeveiligingsplan geoperationaliseerd. Dit betekent dat de concrete uitvoering van deze beleidsnota door middel van het implementeren van informatiebeveiligingsmaatregelen die worden beschreven in het informatiebeveiligingsplan plaatsvindt. Dit Informatiebeveiligingsplan wordt gebaseerd op de uitkomsten van een GAP-analyse. De GAP-analyse is een 0-meting. Na het uitvoeren van de GAPanalyse zien wij waar onze organisatie staat ten opzichte van de tactische Baseline Informatiebeveiliging Nederlandse Gemeenten. In deze tactische baseline staan 303 beheersmaatregelen op het gebied van informatiebeveiliging die kunnen worden uitgevoerd. Jaarlijks toetsen wij waar we staan ten opzichte van de 303 maatregelen uit de BIG. Wij actualiseren op basis daarvan jaarlijks het Informatiebeveiligingsplan. Het informatiebeveiligingsplan wordt tijdens de jaarlijkse evaluatie over de uitvoering van het informatiebeveiligingsbeleid en plan 5 Beveiligingsmaatregelen over het beheer en gebruik van Suwinet staan in het beveiligingsplan Suwinet De CISO is beheerder en uitvoerder van het protocol meldlicht datalekken. 13

14 door de directeur ter vaststelling aangeboden aan het college van B&W. In het informatiebeveiligingsplan wordt, met behulp van de uitkomsten van de GAP-analyse, beschreven welke maatregelen geïmplementeerd moeten worden maar ook welke maatregelen niet geïmplementeerd worden en waarom (pas toe of leg uit principe). Er wordt beschreven op welke manier de maatregelen geïmplementeerd moeten worden en door wie (planning). Daarnaast neemt de CISO de jaarplanning op het gebied van informatieveiligheid op in het jaarlijkse Informatiebeveiligingsplan. Indien van toepassing worden activiteiten uit het informatiebeveiligingsplan verder uitgewerkt in afzonderlijke projectplannen. In bijlage 2 (pagina 33) is de samenhang van de verschillende onderdelen van de BIG grafisch weergegeven. 3.3 Borging informatiebeveiliging Het vastgestelde informatiebeveiligingsbeleid is normstellend. De doelstellingen en richtlijnen uit het beleid zullen worden vertaald naar concrete actiepunten in het jaarlijks bij te stellen informatiebeveiligingsplan. Wij verankeren informatiebeveiliging door de onderdelen uit het jaarlijkse Informatiebeveiligingsplan op te nemen in afdelingsplannen. De afdelingsplannen komen in bedrijfsvoeringgesprekken aan de orde. Informatiebeveiliging borgen wij op deze manier organisatie breed waarbij afdelingsmanagers stakeholders zijn van het op hen betreffende onderdeel dat gaat over informatiebeveiliging. Hierdoor wordt er draagvlak en slagkracht gecreëerd voor het implementeren van maatregelen op het gebied van informatieveiligheid. De CISO monitort op de implementatie van maatregelen uit het Informatiebeveiligingsbeleid en - plan en de vertaling daarvan in afdelingsplannen. Ook monitort de CISO op het uitvoeren van deze afspraken door de afdelingsmanagers. Op verzoek van de directeur kan de CISO aanschuiven bij dat deel van bedrijfsvoeringgesprekken dat gaat over informatieveiligheid. Het hoeft daarbij niet direct te gaan over bedrijfsveiligheid. Voor het effectueren van informatiebeveiliging wordt gewerkt via de Plan do check act cyclus (zie bijlage 3, pagina 34). Na het vaststellen wat nodig is, worden maatregelen getroffen en gecontroleerd of die maatregelen het gewenste effect sorteren (controle). Deze controle kan direct aanleiding geven tot bijsturing in de maatregelen. Ook kan het totaal van eisen, maatregelen en controle aan revisie toe zijn (evaluatie). Een evaluatie over de uitvoering van de audit-trail van informatiebeveiliging wordt jaarlijks aan het college aangeboden. 3.4 Benodigde middelen De middelen voor jaarlijks terugkerende kosten die voortvloeien door het uitvoeren van het Informatiebeveiligingsplan zijn in de begroting opgenomen. Het betreft hier kosten die wij hebben voor de uitvoering van verplichte audits zoals de DIGI-D-audit en de jaarlijkse uitwijktest. Voor de uitvoering van specifieke maatregelen waarbij software moet worden aangeschaft, wordt via het informatiebeleidsplan geld gevraagd. 14

15 3.5 Externe partijen De gemeente Stadskanaal participeert in relevante landelijke platforms en onderhoudt contacten met andere sectoraal georganiseerde Informatiebeveiliging platforms. Daarnaast zijn onderstaande punten van toepassing; De normen gesteld in de BIG gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeente samenwerkt (en informatie mee uitwisselt). 7 Ook voor externe partijen geldt hierbij het pas toe of leg uit principe. Bij contractuele overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV), waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV dienen te worden getoetst aan het informatiebeveiligingsbeleid. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de gemeente het recht heeft afspraken te (laten) controleren. Voor externe hosting van data en/of services gelden naast de richtlijnen uit het informatiebeveiligingsbeleid de richtlijnen voor cloud computing. De gemeente is gehouden aan: - regels omtrent grensoverschrijdend dataverkeer - toezicht op naleving van regels door de externe partij(en) - prioritering van beveiligingseisen voor bijzondere categorieën (persoons)gegevens; 8 - melding bij de Autoriteit Persoonsgegevens (AP) bij doorgifte van persoonsgegevens naar derde landen (buiten de EU). 7 Beleidsregels voor externe partijen zijn beschreven in de Baseline Informatiebeveiliging Nederlandse Gemeenten. 8 Ras of etnische afkomst, politieke opvattingen, religie of overtuiging, het lidmaatschap van een vakvereniging, genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen 15 NEN/ISO

16 DEEL 2: BELEIDSUITGANGSPUNTEN 16

17 Hoofdstuk 4: Beheer van ICT bedrijfsmiddelen 4.1 Verantwoordelijkheid voor ICT bedrijfsmiddelen Het is noodzakelijk dat ICT bedrijfsmiddelen en informatie niet worden blootgesteld aan risico s. Ook moet worden vastgelegd voor alle ICT- configuratie items wie de eigenaar/hoofdgebruiker is. Daarnaast moet duidelijk zijn wie verantwoordelijk is voor gegevensbestanden, waardoor ook iemand verantwoordelijk is voor beveiliging en voor het handhaven van de beheersmaatregelen. Mogelijke risico s: 1. Bedrijfsmiddelen die verband houden met ICT-voorzieningen en informatie zijn blootgesteld aan risico s zoals diefstal, beschadiging of onoordeelkundig gebruik, waarbij niet voor alle ICTconfiguratie items is vastgelegd wie de eigenaar/hoofdgebruiker is. 2. Onduidelijkheid wie verantwoordelijk is voor gegevensbestanden, waardoor ook niemand verantwoordelijk is voor de beveiliging en kan optreden bij incidenten. Doelstellingen 1. Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen die verband houden met ICT-voorzieningen van de organisatie. 2. Voor alle bedrijfsmiddelen die verband houden met ICT-voorzieningen is de eigenaar vastgelegd alsook de verantwoordelijke voor het handhaven van de beheersmaatregelen. Uitgangspunten Alle bedrijfsmiddelen, die verband houden met ICT-voorzieningen worden aan een 'eigenaar' (een deel van de organisatie) toegewezen. Regels vaststellen, documenteren implementeren voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen. Medewerkers gebruiken gemeentelijke informatie primair voor het uitvoeren van de aan hen opgedragen taken en het doel waarvoor de informatie is verstrekt. Privégebruik van gemeentelijke informatie en bestanden is niet toegestaan. Voor het werken op afstand (plaats- en tijdonafhankelijk werken) en het gebruik van privémiddelen worden nadere beleidsregels opgesteld. De medewerker neemt passende technische en organisatorische maatregelen om gemeentelijke informatie te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. 4.2 Classificatie van informatie Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v. processen en informatiesystemen worden beveiligingsclassificaties gebruikt. 9 Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd op drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid) en vertrouwelijkheid(biv). 9 Dit is in detail beschreven in de component architectuur Informatiebeveiliging 2014, CIO,

18 Risico s: 1. Geen inzicht in welke componenten, zowel hardware als software, het belangrijkst zijn voor de primaire processen. 2. Onjuiste classificatie draagt bij aan het onjuist beschermen van informatie en bedrijfsmiddelen met als risico, dat deze verloren kunnen gaan of openbaar worden gemaakt terwijl dat niet de bedoeling is. Doelstellingen 1. Informatie heeft een geschikt niveau van bescherming. 2. Classificatie van informatie om bij verwerking de noodzaak en bescherming te kunnen aangeven. 3. Adequate niveaus van bescherming van informatie zijn gedefinieerd en de noodzaak voor aparte verwerkingsmaatregelen is gecommuniceerd. Uitgangspunten Wij classificeren Informatie met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Wij zorgen voor passende beveiligingsmaatregelen per classificatieniveau. Wij stellen classificatiebeleid op en dragen dit classificatiebeleid uit binnen de gemeente. Er dienen geschikte samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de classificering en verwerking van informatie overeenkomstig het classificatiesysteem dat is vastgesteld. De classificatietabel staat in bijlage 4 (pagina 35). 18

19 Hoofdstuk 5: Beveiligingsmaatregelen ten aanzien van personeel De gemeente Stadskanaal neemt regelmatig nieuw personeel in dienst, zowel op vaste basis als via tijdelijke inhuur. Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. De groepen medewerkers die de gemeente Stadskanaal vanuit het oogpunt informatiebeveiliging onderscheid zijn: 1. Interne medewerkers. Dit zijn medewerkers die in tijdelijke of vaste dienst zijn bij de gemeente Stadskanaal. 2. Externe medewerkers. Deze medewerkers zijn niet in dienst van de gemeente Stadskanaal. Ze verrichten op regelmatige basis diensten voor de gemeente binnen de terreinen of gebouwen. 3. Aangesloten derden. Dit zijn medewerkers die door middel van informatietechnologie toegang hebben tot systemen van de gemeente. Risico s 1. Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Doelstellingen 1. Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden ingezet en dat het risico van diefstal, fraude of misbruik van faciliteiten wordt beperkt. 2. De verantwoordelijkheden ten aanzien van beveiliging is vóór het dienstverband vastgelegd in passende functiebeschrijvingen en in de arbeidsvoorwaarden. 3. Alle kandidaten voor een aanstelling, ingehuurd personeel worden gescreend. Deze screening omhelst het opvragen van een VOG en het laten afleggen van een integriteitsverklaring in de vorm van de eed/belofte (vaste medewerkers) of de ondertekening van een schriftelijke integriteitsverklaring (externen). Voor externe gebruikers, in dienst bij derden, stellen wij bewerkers/gebruikers overeenkomsten en/of contracten op. 4. Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen een overeenkomst over hun beveiligingsrollen en verantwoordelijkheden. Uitgangspunten Medewerkers die werken met vertrouwelijke of geheime informatie overleggen voor indiensttreding een Verklaring Omtrent het Gedrag (VOG). De VOG wordt indien nodig herhaald tijdens het dienstverband. Omdat stagiaires geen arbeidsrechtelijke dienstbetrekking hebben, geen werknemer zijn, en niet onder het ambtenarenrecht vallen, wordt van hen geen VOG gevraagd. Zij ondertekenen wel altijd een gedrags/integriteitsverklaring. Bij beëindiging van het dienstverband en inhuur worden alle bedrijfsmiddelen van de organisatie geretourneerd. Externe medewerkers die toegang krijgen op onze technische infrastructuur moeten bekend zijn bij de gemeente Stadskanaal. Hun gegevens worden geregistreerd zodat de controleerbaarheid van hun inen uitstroom op onze technische infrastructuur gewaarborgd is. Zij dienen te voldoen aan de door ons gestelde beveiligingseisen. 19

20 Verandering van verantwoordelijkheden en dienstverband binnen de gemeente Stadskanaal wordt behandeld als zijnde beëindiging gevolgd door een nieuw dienstverband. Dit is geborgd in procedures. Regels die volgen uit dit beleid en andere gemeentelijke regelingen gelden ook voor externen, die in opdracht van de gemeente werkzaamheden uitvoeren. Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden. In werkoverleggen wordt periodiek aandacht geschonken aan informatieveiligheid. Voor zover relevant worden hierover afspraken vastgelegd in planningsgesprekken. Het onderwerp informatieveiligheid vormt een standaard gespreksonderwerp in functioneringsgesprekken. 20

21 6 Fysieke beveiliging en beveiliging van de omgeving Een fysieke beveiliging van voldoende niveau draagt bij aan algehele informatieveiligheid. Wanneer dit onvoldoende is geregeld kunnen onbevoegden toegang krijgen tot vertrouwelijke informatie van de gemeente Stadskanaal. Risico s 1. Onbevoegde toegang tot kritieke systemen of waardevolle informatie. Bij het ontbreken van registratie zijn incidenten bovendien niet herleidbaar tot individuen. 2. Door bijvoorbeeld de inzet van externen, de toeloop van leveranciers en andere nietmedewerkers of het feit dat de medewerkers op meerdere locaties op geruime afstand van elkaar gevestigd zijn, is het betrekkelijk eenvoudig voor niet-medewerkers om toegang tot de panden te krijgen door tegelijk met een geautoriseerde medewerker naar binnen te gaan. 3. Als informatie zichtbaar op bureaus ligt, is er een verhoogd risico m.b.t. de vertrouwelijkheid. 4. Geen procedures voor het veilig verwijderen of hergebruiken van ICT-apparatuur. 5. Bescherming van apparatuur, waaronder apparatuur die buiten de locatie wordt gebruikt en het verwijderen van bedrijfseigendommen, is noodzakelijk om het risico van toegang door onbevoegden tot informatie te verminderen en om de apparatuur en informatie te beschermen tegen verlies of schade. Doelstellingen 1. Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van informatie van de organisatie, bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten. 2. ICT-voorzieningen, die kritieke of gevoelige bedrijfsactiviteiten ondersteunen, behoren fysiek te worden ondergebracht in beveiligde ruimten, beschermd door afgegrensde beveiligde gebieden, in een gecontroleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze behoren fysiek te worden beschermd tegen toegang door onbevoegden, schade en storingen. 3. Het voorkomen van verlies, schade of diefstal van apparatuur en bescherming tegen fysieke bedreigingen en gevaren van buitenaf. Uitgangspunten De schade door bedreigingen van buitenaf (zoals brand, overstroming, explosies, oproer, stroomonderbreking) wordt beperkt door passende preventieve maatregelen. Toegang tot niet-openbare gedeelten van gebouwen of beveiligingszones is alleen mogelijk na autorisatie daartoe. De uitgifte van toegangsmiddelen wordt geregistreerd. De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd op de zonering (en het risicoprofiel). In het gemeentehuis van de gemeente Stadskanaal wordt gebruik gemaakt van cameratoezicht. Het gebruik van beeldmateriaal is beperkt door de Wet bescherming persoonsgegevens en nadere regels. De fysieke toegang tot ruimten waar zich informatie en ICT-voorzieningen bevinden is voorbehouden aan bevoegd personeel. Registratie van de verleende toegang ondersteunt de uitvoering van de toegangsregeling. Serverruimtes, datacenters en daaraan gekoppelde bekabelingsystemen zijn ingericht in lijn met geldende best practices. (Data)verbindingen worden beschermd tegen interceptie of beschadiging. 21

22 Wij hanteren bezoekersregistratie-systeem voor bezoekers van het gemeentehuis. Identificatie van een bezoeker vindt plaats aan de hand van een bezoekerspas. Uitzondering hierbij is het bezoek van burgers die gebruik maken van diensten geleverd door de gemeente. Zij hoeven niet te worden geregistreerd. Reserve apparatuur en back-ups zijn gescheiden in twee locaties of datacenters, om de gevolgen van een calamiteit te minimaliseren. Jaarlijks wordt getest op een uitwijkscenario. Gegevens en programmatuur worden van apparatuur verwijderd of veilig overschreven, voordat de apparatuur wordt afgevoerd. Informatie wordt bewaard en vernietigd conform de Archiefwet 1995 en de daaruit voortvloeiende archiefbesluiten. 22

23 7 Beheer van apparatuur en ICT voorzieningen Het (technisch) beveiligen van apparatuur/informatie is een van de meest voor de hand liggende vormen van informatiebeveiliging. Risico s 1. Het ontbreken van documentatie kan leiden tot fouten, niet-uniforme wijze van gegevensinvoer, of in geval de beheerder/bediener uitvalt, tot problemen rondom de continuïteit. 2. Onjuiste autorisaties kunnen leiden tot foutieve handelingen, fraude en verduistering. 3. Het niet uitvoeren en vastleggen van technische en functionele applicatietesten en/of de resultaten hiervan, kan in bepaalde omstandigheden (tijdsdruk, vakantieperiodes, etc.) leiden tot een verhoogd risico van uitval of gegevens verlies. 4. De gemeente gaat steeds meer samenwerken (en informatie uitwisselen) in ketens en besteedt meer taken uit. Bij beheer van systemen en gegevens door een derde partij, kan ook informatie van de gemeente op straat komen te liggen. De gemeente blijft echter ook verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. 5. Programmatuur en ICT-voorzieningen zijn kwetsbaar voor virussen. 6. Het ontbreken van een regeling voor antivirus bescherming bij medewerkers thuis leidt tot hogere beveiligingsrisico s. Doelstelling 1. Waarborgen van een correcte en veilige bediening van ICT-voorzieningen. 2. Vastgestelde verantwoordelijkheden en procedures voor beheer en bediening van alle ICTvoorzieningen. Dit omvat tevens de ontwikkeling van geschikte bedieningsinstructies. 3. Toepassing, waar nodig, van functiescheiding om het risico van nalatigheid of opzettelijk misbruik te verminderen. 4. Waarborgen van veiligheidsstandaarden externe partners Uitgangspunten Beheeraspecten In beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid kan worden gecompromitteerd. Indien dit toch noodzakelijk is, dient een audit-trail te worden vastgelegd van alle handelingen en tijdstippen in het proces, dusdanig dat transactie kan worden herleid. De audit-trail is niet toegankelijk voor degene wiens handelingen worden vastgelegd. Er is een scheiding tussen beheertaken en overige gebruikstaken. Bij externe hosting van data en/of services (uitbesteding, cloud computing) blijft de gemeente eindverantwoordelijk voor de betrouwbaarheid van uitbestede diensten. Dit is gebonden aan regels en vereist goede (contractuele) afspraken en controle hierop. Externe hosting van data en/of services is in overeenstemming met Informatiebeveiligingsbeleid en algemeen gemeentelijk beleid. 23

24 Systemen voor test en/of acceptatie zijn logisch gescheiden van productiesystemen. Nieuwe systemen, upgrades en nieuwe versies worden getest op impact en gevolgen en pas geïmplementeerd na formele acceptatie en goedkeuring door de opdrachtgever (veelal de proceseigenaar). De test en de testresultaten worden gedocumenteerd. Technische aspecten Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau (service levels) komt. Op verschillende niveaus binnen de ICT-infrastructuur (netwerkcomponenten, servers, pc s) wordt antivirus software van verschillende leveranciers toegepast. Bij het openen of wegschrijven van bestanden worden deze geautomatiseerd gecontroleerd op virussen, trojans en andere malware. Ook inkomende en uitgaande s worden hierop gecontroleerd. De update voor de detectiedefinities vindt in beginsel dagelijks plaats. Versleuteling vindt plaats conform best practices (de stand der techniek), waarbij geldt dat de vereiste encryptie sterker is naarmate gegevens gevoeliger zijn. Alle apparatuur die is verbonden met het netwerk van de gemeente moet kunnen worden geïdentificeerd. Softwareontwikkeling en -onderhoud Applicaties worden getest o.b.v. landelijke richtlijnen voor beveiliging, zoals richtlijnen voor beveiliging van web-applicaties. Web-applicaties worden voordat zij in productie worden genomen onder meer getest op veiligheid. Wanneer er persoonsgegevens of andere privacygevoelige informatie in een web applicatie worden verwerkt moet er gebruik worden gemaakt van een veilige HTTPS verbinding. Alleen gegevens die noodzakelijk zijn voor de gebruiker worden uitgevoerd (doelbinding), rekening houdend met beveiligingseisen (classificatie). Toegang tot de broncode is beperkt tot de medewerkers, die deze code onderhouden of installeren. Technische kwetsbaarheden worden regulier met een minimum van 4 keer per jaar gerepareerd door patchen van software, of ad hoc bij acute dreiging. Welke software wordt geüpdatet wordt mede bepaald door de risico s. Mobiele (privé-)apparatuur Beveiligingsmaatregelen hebben betrekking op zowel door de gemeente verstrekte middelen als privé-apparatuur waarmee informatie van de gemeente Stadskanaal wordt verwerkt. Op privé-apparatuur waarmee verbinding wordt gemaakt met het gemeentelijke netwerk is de gemeente bevoegd om beveiligingsinstellingen af te dwingen. Op verzoek van de gemeente dienen medewerkers de installatie van software om bovenstaande beleidsregel te handhaven toe te staan. De beveiligingsinstellingen, zoals bedoeld in bovenstaande regel, zijn uitsluitend bedoeld ter bescherming van gemeentelijke informatie en integriteit van het gemeentelijke netwerk. In geval van dringende redenen kunnen noodmaatregelen worden getroffen, zoals wissen van apparatuur op afstand. Deze noodmaatregelen kunnen, voor zover dit noodzakelijk is, betrekking hebben op privémiddelen en privébestanden. Hiervoor wordt een regeling ontwikkeld. Back-up en recovery ICT maakt reservekopieën van alle essentiële bedrijfsgegevens en programmatuur zodat de continuïteit van de gegevensverwerking kan worden gegarandeerd. De omvang en frequentie van de back-ups is in overeenstemming met het belang van de data voor de continuïteit van de dienstverlening en de interne bedrijfsvoering. 24

25 De back-up en herstelprocedures worden regelmatig (tenminste 1 x per jaar) getest om de betrouwbaarheid ervan vast te stellen. Informatie-uitwisseling Er is een (spam) filter geactiveerd voor inkomende berichten. Er dienen procedures te worden vastgesteld voor het beheer van verwijderbare media. Er zijn procedures voor het beheer van verwijderbare media en voor het veilig verwijderen of hergebruiken van ICT-apparatuur. Er is innamebeleid voor mobiele apparatuur zoals laptops en I-pads voor wanneer deze niet meer worden gebruikt. Bij het plaats- tijdonafhankelijk werken wordt gebruik gemaakt van een veilige verbinding en het zero footprint protocol (zie hoofdstuk 8). Logging en controle Beheerders en gebruikers kunnen worden gelogd om problemen te kunnen oplossen of oneigenlijk gebruik te kunnen detecteren. In een log-regel worden alleen de voor de rapportage noodzakelijke gegevens opgeslagen. Er worden maatregelen getroffen om te verzekeren dat gegevens over logging beschikbaar blijven en niet gewijzigd kunnen worden door een gebruiker of systeembeheerder. De bewaartermijnen zijn in overeenstemming met wettelijke eisen. Classificatie van informatie Er wordt gestreefd naar een zo laag mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige kosten. Bovendien dient informatie in beginsel voor zoveel mogelijk mensen beschikbaar te zijn (transparante overheid). Er wordt gestreefd naar een balans tussen het te lopen risico en de kosten van tegenmaatregelen én daarnaast verdient een technische oplossing altijd de voorkeur boven gedragsverandering. Dienstverlening externe partij De gemeente blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. In de basis-sla voor dienstverlening is aandacht besteed aan informatiebeveiliging. De beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de (bewerkers)overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd. De diensten, rapporten en registraties, die door de derde partij worden geleverd, worden gecontroleerd en beoordeeld en er wordt door de CISO toegezien op juiste gebruik van de informatie. 25

26 8 Logische toegangsbeveiliging Logische toegangsbeveiliging betekent dat de identiteit van een gebruiker die toegang krijgt tot gemeentelijke informatie dient te worden vastgesteld. 10 Logische toegang is gebaseerd op de classificatie van de informatie. Risico s: 1. Wanneer toegangsbeheersing niet expliciet gebaseerd is op de BIG en/of een aanvullende risicoanalyse, is niet duidelijk of het juiste niveau van beveiliging wordt gehanteerd. 2. Verstoringen door onjuist gebruik van ICT-ruimtes of ICT-componenten (m.n. waar ook niet ICT-teams toegang hebben). Doelstelling 1. Beheersen van de toegang tot informatie, ICT-voorzieningen en bedrijfsprocessen op grond van bedrijfsbehoeften en beveiligingseisen. 2. Beleid ten aanzien van informatieverspreiding en autorisatie is van toepassing. Uitgangspunten Authenticatie en autorisatie Wachtwoorden worden voor een beperkte periode toegekend (maximaal 60 dagen). Wachtwoorden dienen aan eisen te voldoen, deze worden afgedwongen door het systeem. Voor medewerkers met speciale bevoegdheden (systeem en functioneel beheerders) gelden strengere eisen. 11 De gebruiker is verantwoordelijk voor het geheim blijven van zijn wachtwoord. Authenticatiemiddelen zoals wachtwoorden worden beschermd tegen inzage en wijziging door onbevoegden tijdens transport en opslag (door middel van encryptie). Autorisatie is rol-gebaseerd. Autorisaties worden toegekend aan de hand van functie(s) en organisatieonderdelen. Toegang tot informatie met classificaties midden of hoog vereist in de regel two way authenticatie (bijv. naam/wachtwoord (1) + token (2)). Hierbij hanteren we als uitgangspunt dat wij de balans zoeken tussen veiligheid, werkbaarheid en betaalbaarheid. Externe toegang derden De gemeente kan een externe partij toegang verlenen tot het gemeentelijke netwerk. Hiervoor dient een procedure gemaakt en gevolgd te worden. Externe partijen kunnen niet op eigen initiatief verbinding maken met het besloten netwerk van de gemeente, tenzij uitdrukkelijk overeengekomen. De externe partij is verantwoordelijk voor authenticatie en autorisatie van haar eigen medewerkers. De gemeente heeft het recht hierop te controleren. De CISO is belast met het uitvoeren van deze controle. Het openbare wifi-netwerk in het gemeentehuis is functioneel en technisch gescheiden van het gemeentelijke netwerk. 10 Een gebruiker kan een medewerker, leverancier, burger, bedrijf, samenwerkingspartner of een applicatie zijn. 11 Het wachtwoordbeleid is uitgewerkt in het wachtwoord beleidsdocument van de gemeente. 26

27 Plaats- en tijdonafhankelijk werken Wanneer plaats- en tijdonafhankelijk verder wordt ingevoerd bij de gemeente Stadskanaal worden onderstaande beheersmaatregelen toegepast. Toegang tot de gemeentelijke werkomgeving, wanneer er van buiten het gemeentehuis wordt ingelogd, wordt verleend op basis van two way authenticatie. Mobiele bedrijfsapplicaties worden bij voorkeur zo aangeboden dat er geen gemeentelijke informatie wordt opgeslagen op het mobiele apparaat ( zero footprint ). Gemeentelijke informatie dient te worden versleuteld bij transport en opslag conform classificatie eisen. Encryptie (versleuteling) De gemeente Stadskanaal gebruikt bij de uitwisseling van informatie met andere overheden encryptie conform PKI-overheid standaard. 12 Intern dataverkeer ( machine to machine ) wordt indien noodzakelijk conform classificatie beveiligd met certificaten. Beveiligingscertificaten worden door team ICT centraal beheerd binnen de gemeente. Organisatorische aspecten Projectmandaten worden ten behoeve van behandeling in gemeentelijk overleg (onder meer) voorzien van een advies op informatiebeveiliging. Dit advies kan door de CISO op aanvraag worden afgegeven. Overige maatregelen Het fysieke (bekabelde) netwerk is niet toegankelijk voor onbeheerde apparatuur. De netwerkschijven zijn gesegmenteerd en alleen toegankelijk voor geautoriseerde gebruikers. 12 Public Key Infrastructure voor de overheid waarborgt op basis van Nederlandse wetgeving de betrouwbaarheid van informatie-uitwisseling via , websites of andere gegevensuitwisseling. 27

28 9 Informatiebeveiligingsincidenten Incidentmanagement is noodzakelijk om adequaat te kunnen reageren op onverwachte situaties. Risico s 1. Als incidenten niet geregistreerd worden, is niet duidelijk waar en wanneer er zich incidenten voor doen of voor hebben gedaan. Op deze wijze kan er geen lering worden getrokken uit deze incidenten om deze in de toekomst te voorkomen of om preventief betere maatregelen te implementeren. Doelstelling 1. Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden, die verband houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen. 2. Formele procedures voor rapportage van gebeurtenissen en escalatie. Alle werknemers, ingehuurd personeel en externe gebruikers zijn op de hoogte van deze procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de bedrijfsmiddelen. 3. Er is een verplichte meldingssystematiek in werking om alle informatiebeveiligingsgebeurtenissen en zwakke plekken zo snel mogelijk te rapporteren aan de aangewezen contactpersoon. Uitgangspunten De medewerker dient geconstateerde of vermoede beveiligingslekken en beveiligingsincidenten direct te melden bij team ICT van de gemeente Stadskanaal. Deze afdeling registreert het incident in stelt indien nodig de CISO op de hoogte van het incident. Melding, registratie en monitoring van het incident vindt plaats via een door de afdeling ICT goedgekeurde applicatie-softwarepakket (de selfcervicedesk van ICT, Topdesk). Beveiligingsincidenten die worden gemeld bij de self-service desk en worden als zodanig geregistreerd. De eerste beoordeling van het incident vindt plaatst door team ICT (damagecontrol). Na deze eerste beoordeling brengt team ICT de CISO op de hoogte van het incident. Voor afhandeling geldt de reguliere rapportage en escalatielijn. Afhankelijk van de aard en ernst van een incident kan er sprake zijn van een meldplicht bij de Autoriteit Persoonsgegevens. De CISO is belast met de toetsing en uitvoering hiervan. Voor het al dan niet melden van een datalek is een protocol meldplicht datalekken opgesteld. Beschrijvingen en evaluaties van beveiligingsincidenten worden opgenomen in de jaarrapportage van de CISO. Bij grote incidenten wordt gehandeld en opgeschaald conform de draaiboeken ICT- crisisbeheersing. Binnen de gemeente Stadskanaal is een continuïteitsplan elektriciteit en ICT. Hierin staat onder andere het uitwijkprotocol beschreven.. 28

29 10 Bedrijfscontinuïteit Risico s 1. Wanneer er niet of nauwelijks invulling gegeven wordt aan de continuïteitsplanning is er naast een vals gevoel van veiligheid, ook grote kans op ad hoc maatregelen als een calamiteit zich voordoet. 2. Het uitvallen van medewerkers door bijvoorbeeld ziekte en ontslag kan een reële bedreiging zijn. Doelstelling 1. Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen. 2. Een adequaat beheerproces voor bedrijfscontinuïteit om de uitwerking op de organisatie, veroorzaakt door het verlies van informatie en het herstellen daarvan tot een aanvaardbaar niveau te beperken. 3. Informatiebeveiliging is een integraal onderdeel van het totale bedrijfscontinuïteitsproces en andere beheerprocessen binnen de organisatie het onderwerp maakt onderdeel uit van de bedrijfsvoering gesprekken. Uitgangspunten De organisatie heeft een plan voor bedrijfscontinuïteitsbeheer. Er wordt jaarlijks getest om de plannen voor bedrijfscontinuïteitsbeheer te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold. Wij stellen in het continuïteitsplan beleid op over het oefenen van calamiteiten. 29

30 BIJLAGEN 1: Organisatietabel informatieveiligheid gemeente Stadskanaal 2 Structuur Informatiebeveiliging BIG 3: Plan do check act cyclus 4: Classificatietabel 5: Gebruikte documenten (Literatuurlijst) 30

31 Bijlage 1: Organisatietabel informatieveiligheid gemeente Stadskanaal: Wie Verantwoordelijkheid Toelichting De gemeenteraad (ter kennisgeving) - N a vaststelling van het informatiebeveiligingsbeleid door het college van B&W wordt dit document aangeboden aan de raad ter kennisgeving. 1 x in de vier jaar, tenzij noodzaak eerder. - N a vaststelling van het informatiebeveiligingsplan en de evaluatie over de uitvoering van het informatiebeveiligingsbeleid en -plan door het college van B&W worden deze documenten aangeboden aan de raad ter kennisgeving. 1 x per jaar College van B & W - Het vaststellen van het informatiebeveiligingsbeleid - Het vaststellen van het informatiebeveiligingsplan en de evaluatie over de uitvoering van het informatiebeveiligingsbeleid en plan. 1 x in de vier jaar, tenzij noodzaak eerder. 1 x per jaar De algemeen directeur (strategisch) - Akkoord gaan met het informatiebeveiligingsbeleid - Akkoord gaan met de richtlijnen en maatregelen uit het informatiebeveiligingsplan en akkoord gaan met het aanbieden van het informatiebeveiligingsplan aan het college van B&W. 1 x per vier jaar tenzij noodzaak eerder. 1 x per jaar Chief Information Security Officer (CISO) (strategisch, tactisch en operationeel) - Het opstellen van het informatiebeveiligingsbeleid. - Het toezien op naleving van het beleid. - Opstellen informatiebeveiligingsplan. - De implementatie van het informatiebeveiligingsplan. - Het rapporteren over de audit-trail informatieveiligheid. - Het rapporteren aan de directeur in bijzondere gevallen waarbij de veiligheid van de organisatie in het gedrang is of dreigt te raken (signaalfunctie en monitoring). - Het ondersteunen van het management. - Het opstellen van richtlijnen en maatregelen. - Het afhandelen van incidentmeldingen. - Het informeren van de directeur over (beveiligings)incidenten. Coördinerend, faciliterend, signalerend en adviserend. De rol van CISO staat centraal in de uitvoering van het informatiebeveiligingsbeleid. De CISO is ook het dagelijkse aanspreekpunt voor de organisatie ten aanzien van de informatiebeveiliging. Manager Dienstverlening - Geeft leiding aan de CISO - Is verantwoordelijk voor het (laten) opstellen, uitvoeren en actualiseren van het informatiebeveiligingsbeleid en plan. - Is verantwoordelijk voor het aanbieden van een evaluatie over de uitvoering van het Informatiebeveiligingsbeleid en plan aan de directeur. Doorlopend/ Jaarlijks 31

32 Lijnmanagement (Het MT en de teamleiders (strategisch en tactisch) - De afdelingsmanagers dragen het informatiebeveiligingsbeleid actief uit en zien er op toe dat het informatiebeveiligingsbeleid wordt nageleefd. Doorlopend Medewerker/Gebruiker (operationeel) - ledere medewerker is verplicht gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht. Doorlopend 32

33 Bijlage 2: Structuur informatiebeveiliging (BIG) Code voor Informatiebeveiliging Referentiekader voor Informatiebeveiliging Informatiebeveiligingsbeleid Uitgangspunten informatiebeveiliging specifiek gericht op de bedrijfsvoering en afgeleid van de Code Stelsel van Informatiebeveiligingsmaatregelen Ingebed in reglementen, procedures en processen binnen de bedrijfsvoering Reglementen, Procedures en Processen Risicoanalyse Informatiebeveiligingsplan Plan voor het oplossen van de gaps en het treffen van aanvullende Beveiligingsmaatregelen. Gaps Verschillen tussen beleid, actuele risico s, gewenste maatregelen en Bestaande stelsel van informatiebeveiligingsmaatregelen 33

34 Bijlage 3: De Plan do check act cyclus aangaande Informatieveiligheid Plan 1. Initiële risicoanalyse (Ist) 2. Informatiebeveiligingsbeleid (Soll) 3. informatiebeveiligingsplan (oplossen van het gat tussen Ist en Soll) Act 7. Bijstellen Informatiebeveiligingsplan of beleid aan de hand van de Return on Investment Bewustzijnsproces 8. Inzichtelijk maken van de maatregelen 9. gerichte acties gericht op vergroten van het bewustzijn Do 4. Invoeren / uitvoeren van maatregelen Check 5. Controle en evaluatie van maatregelen aan de hand van interne of externe audit en self assessments 6. Uitvoeren van risicoanalyse om verbetering aan te tonen Figuur 2: Plan do check act Plan: De cyclus start met Informatiebeveiligingsbeleid, gebaseerd op wet- en regelgeving, landelijke normen zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en best practices, uitgewerkt in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt op jaarlijkse basis en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen is onderdeel van het CISO jaarplan en uitgewerkt in het informatiebeveiligingsplan (Informatiebeveiligingsbeleid) van de gemeente Stadskanaal. Do: Het beleidskader is de basis voor risicomanagement, uitvoering van (technische) maatregelen en bevordering van beveiligingsbewustzijn. Uitvoering geschiedt op dagelijkse basis en maakt integraal onderdeel uit van het werkproces. Check: Control is onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving. Externe controle: betreft controle buiten het primaire proces door een auditor. 13 Dit heeft het karakter van een steekproef. Jaarlijks worden meerdere van dergelijke onderzoeken uitgevoerd, waarbij de CISO advies geeft. Bevindingen worden jaarlijks gerapporteerd aan het MT en het college van B&W. Act: De cyclus is rond met de uitvoering van verbeteracties o.b.v. check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en beveiligingsplannen. De bevindingen worden in beginsel gerapporteerd aan het MT. Voor ingrijpende verbeteracties wordt een gevraagde beslissing voorgelegd. 13 Van onder meer de accountant, rijksoverheid (voor bijv. basisregistraties) en gemeentelijke auditors (intern). 34

35 Bijlage 4: Classificatietabel De classificatie van informatie is weergegeven in onderstaande tabel. Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau geen. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus zijn bedacht om het proces van classificeren te vereenvoudigen. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. Voor dataclassificatie is de volgende tabel in het kader van de BIG van toepassing: Figuur 4: Classificatietabel Het groen gemarkeerde deel is afgedekt door de BIG. Voor kritische informatie die daarbuiten valt, zijn aanvullende beveiligingsmaatregelen nodig. Deze komen in beeld aan de hand van een gedegen risicoanalyse. De classificatietabel heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, informatiesystemen, servers en netwerkcomponenten. Het object van classificatie is informatie. We classificeren op het niveau van informatiesystemen (of informatieservices). Alle classificaties van alle bedrijf kritische systemen worden centraal vastgelegd door de CISO en dienen jaarlijks gecontroleerd te worden door de eigenaren. Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen, wordt dit expliciet aangegeven. De eigenaar van de gegevens bepaalt tevens wie toegang krijgt tot welke gegevens. 35