Rapportage informatiebeveiliging bij gemeente Zaanstad Periode: 2016

Transcriptie

1 2017/13697 Rapportage informatiebeveiliging bij gemeente Zaanstad Periode: 2016

2 Inhoudsopgave 1 Versiebeheer Verspreiding Doel en scope Beleid en verantwoording Beleid Verantwoording ENSIA VNG visitatiecommissie informatieveiligheid Waarstaatjegemeente Privacy Aanstelling coördinator Privacy Meldplicht datalekken Procedure datalekken Training ICT-contracten Crisisoefening Inzageverzoeken op basis van de WBP Cameratoezicht Regionale/landelijke ontwikkelingen privacy Dreigingen, risico s en trends Status implementatie BIG Audits, kwetsbaarheidstesten en steekproeven Zelfevaluaties Zelfevaluatie BRP Zelfevaluatie waardedocumenten ICT-assessments DigiD Suwinet Interne audits informatieveiligheid Wachtwoordbeleid Kwetsbaarhedenscans Bewustwordingsactiviteiten Nieuwe medewerkers Phishing Grote beveiligingsincidenten en datalekken Beveiligingsincidenten Datalekken gemeente Zaanstad Bijlage 1 Baseline Informatiebeveiliging Gemeenten Versiebeheer Versie Datum Opstellers Reden wijziging februari 2017 Linda Goedhart en Frank Kerkhoven Ter vaststelling aan stuurgroep informatiebeveiliging februari 2017 Linda Goedhart en Frank Kerkhoven Vastgestelde versie ter kennisname aan B&W 2 Verspreiding De rapportage wordt vastgesteld door de stuurgroep informatiebeveiliging en ter kennisname verstuurd aan directie en aan B&W. De gemeenteraad wordt tevens over de status van informatiebeveiliging geïnformeerd via het verslag bij de jaarrekening en via de website waarstaatjegemeente.nl. 2

3 Rapportage Informatiebeveiliging Doel en scope Deze jaarrapportage bevat de ontwikkelingen, activiteiten, incidenten en risico s met betrekking tot de onderwerpen informatieveiligheid en privacy bij de gemeente Zaanstad over het jaar Het geeft een beeld van de trends en de bedreigingen die van invloed zijn of kunnen zijn op de gemeente. De rapportage is in overeenstemming met het door de directie vastgestelde informatiebeveiligingsbeleid en uitgebreid met het aandachtsgebied Privacy vanwege de ontwikkelingen van nieuwe wetgeving ten aanzien van bescherming van persoonsgegevens. 4 Beleid en verantwoording 4.1 Beleid In 2016 is het informatiebeveiligingsbeleidsplan geactualiseerd. De looptijd van dit nieuwe plan is Het nieuwe plan heeft als titel continu verbeteren en bouwt voort op het vorige beleidsplan van onbewust risico s lopen naar bewust risico s nemen. De afgelopen jaren zijn stappen gezet om verder aan te sluiten op de planning-en-controlcyclus, waarbij de risicoparagraaf voor informatiebeveiliging in ICT-projecten die via de Project Portfolio Board zijn ingediend een vast onderdeel vormt. De gemeente heeft zo een beter beeld heeft van risico s op het vlak van informatieveiligheid, de risico s zijn in kaart gebracht en er kunnen afgewogen besluiten worden genomen. De komende jaren zal dit proces breder worden toegepast. Hetzelfde geldt voor het verantwoordingsproces over informatiebeveiligingsrisico s. In aanloop naar de Algemene Verordening Gegevensbescherming, waar organisaties vanaf juli 2018 aan moeten voldoen, is het nieuwe beleidsplan uitgebreid met het onderwerp Privacy. 4.2 Verantwoording De horizontale verantwoording over informatieveiligheid aan het gemeentebestuur vindt over het jaar 2016 nog plaats via deze jaarrapportage. Via rapportages naar aanleiding van diverse audits legt de gemeente verticale verantwoording af aan externe toezichthouders. Vanaf 2017 zal dit wijzigen, mede door het landelijke project ENSIA (Eenduidige Normatiek Single Information Audit), waar de gemeente Zaanstad als pilotgemeente aan heeft deelgenomen. Deze wijze van verantwoording over informatiebeveiliging gaat uit van het principe van Single Information & Single Audit (SISA). Dit betekent eenmalige informatieverstrekking en eenmalige IT-audit ENSIA Het project ENSIA is een gezamenlijk project van het ministerie van Binnenlandse Zaken, gemeenten, het ministerie van Sociale Zaken en Werkgelegenheid, het ministerie van Infrastructuur & Milieu en de VNG. Het project heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Uitgangspunt is dat aangesloten wordt op de gemeentelijke P&C-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan hier ook beter op sturen. Voor de verantwoording over 2017 zal gebruik worden gemaakt van een Collegeverklaring Informatiebeveiliging, waarin het college van B&W aangeeft in welke mate de beheersingsmaatregelen hebben voldaan aan de voor de ENSIA-verantwoording geselecteerde normen. Het jaarverslag en het verantwoordingsverslag aan externe toezichthouders zal ook een verklaring van getrouwheid bevatten van een bij NOREA geregistreerde IT-auditor. Deze 3

4 verklaring geeft aanvullende zekerheid over de juistheid en volledigheid van de collegeverklaring. Het project is een resultaat van de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente die in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG is aangenomen. 4.3 VNG visitatiecommissie informatieveiligheid In november 2015 heeft de visitatiecommissie informatieveiligheid van de VNG de gemeente Zaanstad bezocht. De aanbevelingen die de commissie naar aanleiding van dit bezoek heeft gedaan zie opsomming hieronder - hebben in 2016 geleid tot de volgende activiteiten: 1. Betrek het college in de breedte bij het onderwerp informatieveiligheid Opvolging van de aanbeveling: Het college wordt minimaal jaarlijks geïnformeerd via een schriftelijke rapportage, en daarnaast in relevante situaties. Vanaf zal de wijze van verantwoording wijzigen, mede door het project ENSIA zoals hierboven omschreven. 2. Bespreek het onderwerp met de Raad als succesvoorwaarde voor toekomstige ontwikkelingen Opvolging van de aanbeveling: Medio 2016 is het onderwerp informatiebeveiliging en privacy besproken met de gemeenteraad in het Zaanstad Beraad, in relatie tot de IV-strategie. Bij relevante ontwikkelingen zal dit worden herhaald. 3. Verscherp de bestuurlijke verankering van informatieveiligheid Opvolging van de aanbeveling: De wethouder wordt periodiek via een stafoverleg geïnformeerd over ontwikkelingen ten aanzien van informatieveiligheid en privacy, en daarnaast op momenten waarop de coördinator privacy of de coördinator informatiebeveiliging dat nodig acht, zoals bij een datalek of bij relevante ontwikkelingen. 4. Vergroot de kennis door inspiratie te halen uit externe netwerken. Opvolging van de aanbeveling: Zaanstad is op ambtelijk niveau al actief in informele netwerken op het gebied van informatieveiligheid. De visitatiecommissie doet de suggestie om ook op bestuurlijk niveau kennis en inspiratie te halen bij andere gemeenten en uit de landelijke netwerken van de VNG. Denk aan deelname aan I-Bewustzijnssessies, landelijke congressen of het initiëren van kennisuitwisseling over dit onderwerp in de regio met andere gemeenten, private organisaties en/of de wetenschap. Het is aan de leden van het college om hiervan gebruik te maken. 5. Formuleer een systematisch leerbeleid Opvolging van de aanbeveling: Zaanstad geeft al uitvoering aan diverse leer- en bewustzijnsacties. De visitatiecommissie doet de suggestie om de energie en huidige resultaten binnen de organisatie als basis te gaan gebruiken voor verdere systematisering van het leren. Dit zal in 2017 verder worden uitgewerkt. 4.4 Waarstaatjegemeente Net als andere gemeentelijke informatie, staan de gegevens over informatieveiligheid sinds 2015 vermeld op de website waarstaatjegemeente.nl. Hierbij kunnen gegevens tussen verschillende gemeenten worden vergeleken. Deze gegevens zijn niet alleen toegankelijk voor gemeentelijke bestuurders maar ook voor andere geïnteresseerde partijen zoals inwoners, onderzoekers en media. 4

5 Rapportage Informatiebeveiliging 2016 Afbeelding: 5

6 5 Privacy In de wereld waarin we leven is de digitale verwerking van persoonsgegevens niet meer weg te denken. En dus is het in toenemende belangrijk om ervoor te zorgen dat we zorgvuldig met die gegevens omgaan. Om dat in goede banen te leiden is al jaren de wet Bescherming Persoonsgegevens van kracht. Deze wet wordt binnenkort vervangen door de Algemene Verordening Gegevensbescherming die gebaseerd is op de Europese General Data Protection Rules. Als voorbereiding op de Algemene Verordening Gegevensbescherming (AVG) waar organisaties vanaf medio 2018 aan moeten voldoen, heeft de gemeente in 2016 de volgende maatregelen getroffen: Gestart met de centralisering van privacybeleid dat aansluit op het informatiebeveiligingsbeleid Coördinator Privacy aangesteld Voorbereidingen getroffen op de meldplicht datalekken Een aanvang gemaakt met het in kaart brengen van gegevensstromen waarin persoonsgegevens worden verwerkt, Contracten met ketenpartners en leveranciers beoordeeld. 5.1 Aanstelling coördinator Privacy Er is een coördinator Privacy aangesteld voor de hele gemeente, die volgens de richtlijnen van de AVG de rol Functionaris Gegevensbescherming zal uitoefenen. 5.2 Meldplicht datalekken Sinds 1 januari 2016 is in Nederland de meldplicht datalekken in werking getreden. Er is sprake van een datalek als er als gevolg van een beveiligingsincident kans is op verlies of onrechtmatige verwerking van persoonsgegevens. Het doel van deze meldplicht is het beperken van schade voor de betrokkenen (te weten de personen van wie de gegevens gelekt zijn) en als het mogelijk is het beperken van de omvang daarvan. Een datalek moet gemeld worden aan de Autoriteit Persoonsgegevens en aan de betrokkenen. Niet melden of nalatigheid kan leiden tot hoge boetes. Door het melden van datalekken bij de Autoriteit Persoonsgegevens kan ook lering getrokken worden uit wat er mis ging om te voorkomen dat nogmaals zo n datalek plaatsvindt Procedure datalekken De gemeente heeft een procedure opgesteld voor het melden en afhandelen van een datalek. De coördinator Privacy is hierbij de contactpersoon richting de Autoriteit Persoonsgegevens en verantwoordelijk voor die procedure. 5.3 Training ICT-contracten De contracten met ketenpartners en derde partijen die persoonsgegevens bewerken zijn geïnventariseerd en voorbereid op de meldplicht datalekken. Medewerkers van de gemeente die een rol hebben bij het onderhouden van deze contracten hebben een eendaagse training ICT-contracten gevolgd. Er is nu een standaard bewerkersovereenkomst voor contractmanagement beschikbaar die voldoet aan de landelijke normen (naar het model van de IBD). 6

7 Rapportage Informatiebeveiliging Crisisoefening Mocht zich ondanks alle voorzorgsmaatregelen toch een groot datalek voordoen, dan moet de gemeente daarop voorbereid zijn. Medio 2016 is daarom een crisisoefening gehouden met simulatie van een datalek waarbij aandacht van de media en communicatie een grote rol speelde. De leerpunten daaruit zijn opgenomen in het definitieve protocol voor omgang met datalekken. Een crisisoefening zal periodiek worden herhaald. 5.5 Inzageverzoeken op basis van de WBP In 2016 zijn er enkele inzageverzoeken geweest van burgers die wilden weten welke gegevens de gemeente van hen verwerkt en in welke documenten hun persoonsgegevens zijn gebruikt. Dit inzagerecht is onderdeel van de wet Bescherming Persoonsgegevens. De verzoeken zijn naar tevredenheid afgehandeld. Wel blijkt dat er in de organisatie nog geen procesafspraken over de behandeling van deze verzoeken zijn gemaakt, zoals dat voor de WOB is geregeld. 5.6 Cameratoezicht Er is een overleg georganiseerd met partijen (zoals de politie en de brugbediening) over het gebruik van camera s in de openbare ruimte. Er is een voorlopig protocol opgesteld voor het gebruik van de camera s op de bruggen. De sterke wens van de politie om over die camerabeelden te beschikken gaan we realiseren. Hiervoor worden afspraken vastgelegd in het protocol. 5.7 Regionale/landelijke ontwikkelingen privacy Alle gemeenten in Zaanstreek-Waterland zijn zich aan het oriënteren op hun taken op het gebied van privacy. We zoeken op dit moment de samenwerking en proberen veel van elkaar te leren. In 2017 zal daar meer over bekend worden. Zaanstad heeft zich aangesloten bij de Stuurgroep Privacy waarin ongeveer 25 gemeenten uit heel Nederland participeren. Hier worden vragen beantwoord en wordt kennis overgedragen. Ook de VNG is hierin vertegenwoordigd. 7

8 6 Dreigingen, risico s en trends Naast de risico s voor informatieveiligheid en privacy die de gemeente zelf in kaart brengt, zijn er landelijke en wereldwijde dreigingen. Jaarlijks brengt het NCSC1 het Cybersecuritybeeld Nederland uit. Hierin staan de dreigingen en trends vermeld waar Nederland mee te maken heeft of krijgt, te weten cryptoware, ransomware, phishing, inbreuken op de digitale veiligheid door geopolitieke spanningen, kwetsbaarheden in software en inbreuk op beschikbaarheid van informatiesystemen. Gemeenten moeten weerbaar zijn tegen dit soort dreigingen om de dienstverlening en bedrijfsvoering voort te kunnen zetten. Aangezien cybercriminaliteit zich meestal niet beperkt tot stadsgrenzen of landelijke grenzen, zijn deze dreigingen in meer of mindere mate ook voor gemeenten van toepassing. Het dreigingsbeeld is opgenomen in het beleidsplan Informatiebeveiliging en Privacy en zal jaarlijks worden geactualiseerd. Mogelijke verbeteringen en maatregelen om deze risico s tegen te gaan, worden opgenomen op de termijnagenda. 7 Status implementatie BIG Jaarlijks voert de coördinator informatiebeveiliging een GAP-analyse uit naar de status van de invoering van de maatregelen uit de Baseline Informatiebeveiliging Gemeenten (BIG). Hieronder is de status per 31 december 2016 grafisch weergegeven. Status implementatie BIG per % 104. ISMS 93% 15. Naleving % Bedrijfscontinuiteitsb 13. Beheer van incidenten 100% 100% 5. Beveiligingsbeleid 6. Organisatie van 92% informatiebeveiliging 100% 7. Beheer van bedrijfsmiddelen 8.97% Personele beveiliging 9. Fysieke beveiliging 100% 12. Verwerving,72% 10. Beheer van 87% onderhoud en communicatie en 11. Toegangsbeveiliging 97% Met instemming van de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente hebben gemeenten eind 2013 tijdens de bijzondere ledenvergadering van de VNG verklaard uiterlijk eind 2017 te voldoen aan de BIG. Het invoeren van de BIG vergt tijd. In 2016 is in Zaanstad onder andere het wachtwoordbeleid vernieuwd, een tool beschikbaar gesteld om het werken met wachtwoorden veilig te faciliteren, is een start gemaakt met het invoeren van een ISMS (Information Security Management System) en zijn verbeteringen doorgevoerd ten aanzien van bestaande beheerprocessen. De voor de gemeente Zaanstad nog uit te werken aandachtsvelden zijn benoemd in bijlage 1. 1 Nationaal Cyber Security Centrum, onderdeel van het ministerie van Veiligheid en Justitie 8

9 Rapportage Informatiebeveiliging Audits, kwetsbaarheidstesten en steekproeven De staat van informatieveiligheid wordt deels getoetst door het houden van zelfevaluaties, interne en externe audits. Hieronder een samenvatting van deze activiteiten. 8.1 Zelfevaluaties In 2016 zijn in het kader van verplichtende zelfregulering meerdere zelfevaluaties uitgevoerd, te weten voor de basisregistratie personen (BRP) en voor waardedocumenten (PNIK). De zelfevaluaties worden in Zaanstad uitgevoerd door de coördinator informatiebeveiliging. De uitkomsten van deze zelfevaluaties zijn gestuurd naar de betreffende toezichthouder, te weten de Rijksdienst voor Identiteitsgegevens, het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de Autoriteit Persoonsgegevens Zelfevaluatie BRP Op grond van de wet basisregistratie personen (BRP) is iedere Nederlandse gemeente verplicht om jaarlijks een onderzoek uit te voeren naar de inrichting, de werking en de beveiliging van de basisregistratie, alsmede naar de verwerking van gegevens in de basisregistratie, voor zover het de gemeentelijke voorziening betreft of het college verantwoordelijk is voor de bijhouding. In de gemeente Zaanstad wordt dit onderzoek uitgevoerd door de beveiligingsfunctionaris BRP die hiervoor door B&W is benoemd. Daarnaast heeft het agentschap BPR een bestandscontrole uitgevoerd. Voor het onderzoek en de bijbehorende rapportage aan de minister wordt gebruik gemaakt van de Kwaliteitsmonitor, een door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties beschikbaar gestelde online toepassing. De Kwaliteitsmonitor geeft zowel per categorie als voor het gehele proces een objectief oordeel over de kwaliteit. Uit de uitgevoerde zelfevaluatie blijkt dat de gemeente Zaanstad met een totaalscore van 89% onvoldoende scoort op de inrichting, de werking en de beveiliging van de basisregistratie Personen. De verbetermaatregelen worden door de afdeling KCC Burgerzaken opgenomen in het afdelingsplan voor Zelfevaluatie waardedocumenten Op grond van de Paspoortuitvoeringsregeling Nederland is iedere Nederlandse gemeente verplicht om jaarlijks in de vorm van een zelfevaluatie onderzoek uit te voeren naar de kwaliteit en veiligheid van het aanvraag- en uitgifteproces Paspoorten en Nederlandse Identiteitskaarten. In de gemeente Zaanstad worden deze zelfevaluatie en verdere kwaliteitscontroles uitgevoerd door de beveiligingsfunctionaris waardedocumenten, die hiervoor door B&W is benoemd. Voor het onderzoek en de bijbehorende rapportage aan de minister wordt gebruik gemaakt van de Kwaliteitsmonitor, een door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties beschikbaar gestelde online toepassing. De Kwaliteitsmonitor geeft zowel per categorie als voor het gehele proces een objectief oordeel over de kwaliteit. De resultaten zijn tijdig verstuurd aan de toezichthoudende instantie, de Rijksdienst voor Identiteitsgegevens. Uit de uitgevoerde zelfevaluatie blijkt dat de gemeente Zaanstad met een totaalscore van 95% goed scoort op kwaliteit en veiligheid van het aanvraag- en uitgifteproces Paspoorten en Nederlandse identiteitskaarten. Zaanstad voldoet daarmee ruim aan de wettelijke norm van 90%. Op onderdelen zijn echter verbeteringen mogelijk. De verbetermaatregelen die de gemeente kan treffen om de kwaliteit en de veiligheid van het aanvraag- en uitgifteproces te optimaliseren worden door de afdeling KCC Burgerzaken opgenomen in het afdelingsplan voor

10 8.2 ICT-assessments DigiD Sinds 2013 moeten alle organisaties die DigiD gebruiken aan bepaalde beveiligingsrichtlijnen voldoen. Jaarlijks wordt daarvoor voor elke DigiD-aansluiting een verplichte audit uitgevoerd. In Zaanstad betreft dit een DigiD-audit voor de volgende aansluitingen: Zaaksysteem Mozard Het betreft hier aanvraagformulieren voor afdeling Burgerzaken en het opvragen van WOZ-taxatieverslagen; Parkeren Hierbij gaat het om het aanvragen van een parkeervergunning; Schuldhulpverleningsportaal Dit betreft een digitaal portaal waar cliënten hun gegevens kunnen inzien. In 2016 zijn de drie DigiD-assessments over 2015 afgerond. Voor twee daarvan was een heraudit nodig om aan alle vereisten te voldoen. Hierover zijn aparte rapportages uitgebracht. De DigiD-assessments over 2016 zijn op het moment van schrijven nog niet afgerond. 8.3 Suwinet De afgelopen jaren zijn kritische inspectierapporten verschenen over de manier waarop gemeenten gebruik maken van Suwinet, het gegevensuitwisselingsysteem in het maatschappelijk domein voor Werk en Inkomen. De gemeente Zaanstad scoorde voldoende op deze onderzoeken door de inspectie. Uit de onderzoeken bleek dat Suwinet zelf ook voor verbetering vatbaar was op het gebied van privacy en beveiliging. De VNG heeft het programma Borging Veilig Gebruik Suwinet opgezet om gemeenten te ondersteunen bij de implementatie van een zorgvuldige en veilige gegevensuitwisseling, onder meer door tools en maatregelen aan te reiken, en door accountmanagers te laten ondersteunen bij de implementatie van de verschillende maatregelen. Zaanstad heeft bij meerdere verbetermaatregelen een voortrekkersrol gespeeld door deel te nemen aan pilots, bijvoorbeeld voor fijnmazige autorisatie en het gebruik van een whitelist. Naar aanleiding van het gesprek met de accountmanager bleek dat we op één onderdeel nog enige aanscherping kunnen doorvoeren, te weten op het zoeken op zoeksleutels anders dan op Burgerservicenummer. Dit zal in 2017 worden doorgevoerd Uit een steekproef door Binnenlands Bestuur met domeinen van vijftig verschillende gemeenten, waaronder Zaanstad, bleken slechts drie gemeenten aan de moderne standaarden voor veilige te voldoen. De resultaten zijn breed in de media uitgemeten. In de loop van het jaar zijn in Zaanstad de beveiligingsstandaarden doorgevoerd. De beheerders van de gemeente Zaanstad is geadviseerd de standaarden sneller op te volgen. De steekproef zal twee keer per jaar worden herhaald. 8.5 Interne audits informatieveiligheid Wachtwoordbeleid In 2016 is door de interne auditafdeling een onderzoek uitgevoerd naar de mate waarin gevoelige informatiesystemen voldoen aan het wachtwoordbeleid van Zaanstad. Niet alle systemen bleken te voldoen aan de laatste eisen. Hierover is een aparte rapportage uitgebracht. Het opvolgen van de aanbevelingen ligt op koers Kwetsbaarhedenscans De informatiebeveiligingsdienst voor gemeenten IBD doet via melding van kwetsbaarheden in applicaties die door de gemeente worden gebruikt. De gemeente 10

11 Rapportage Informatiebeveiliging 2016 Zaanstad neemt elke melding op in het helpdesksysteem, waarna de ICT-medewerkers een afweging maken van de impact en het risico en een herstelmaatregel plannen. In 2016 in intern steekproefsgewijs getoetst op toegang tot bestanden, lang niet gebruikte gebruikersprofielen en rechten op de ICT-systemen. Verbeteringen om kwetsbaarheden te verminderen zijn opgenomen als onderdeel van het project Identity en Access Management, dat in 2017 wordt afgerond. 9 Bewustwordingsactiviteiten Ook in 2016 zijn meerdere activiteiten georganiseerd rond de bewustwording over de onderwerpen informatieveiligheid en privacy. Zo is in werkoverleggen in het Maatschappelijk Domein aandacht besteed aan deze onderwerpen, en heeft de afdeling Burgerzaken een themabijeenkomst georganiseerd met een quiz over informatieveiligheid en privacy. Daarnaast zijn medewerkers via intranet en geïnformeerd over ontwikkelingen, dreigingen en kwetsbaarheden met betrekking tot informatieveiligheid Nieuwe medewerkers Als onderdeel van het introductieprogramma krijgen nieuwe medewerkers adviezen uitgereikt over goede gewoonten ten aanzien van het zorgvuldig en veilig werken met informatie. De nieuwe collega s ontvangen de documenten als naslag op een usb-stick. In 2017 zal dit introductieprogramma worden geactualiseerd Phishing Ook in 2016 is weer een test gedaan of medewerkers bij de gemeente bewust omgaan met onbetrouwbare s. De resultaten en de leerpunten uit de test zijn via intranet met de medewerkers gedeeld. Aangezien phishing s en s die kwaadaardige software bevatten naar verwachting alleen maar zullen toenemen, zal een dergelijke test in 2017 worden herhaald. Afbeelding: kopie van de phishing 11

12 10Grote beveiligingsincidenten en datalekken 10.1 Beveiligingsincidenten In 2016 heeft de gemeente drie keer te maken gehad met cryptoware, te weten kwaadaardige software die op het ICT-netwerk terecht is gekomen en waarbij vele bestanden onbruikbaar werden gemaakt. Het is niet altijd mogelijk om met ICT-maatregelen deze incidenten tegen te gaan. Door de weerbaarheid van de ICT-systemen te vergroten wordt in 2017 een ICTsysteem ingevoerd waarbij de effecten van ransomware en cryptoware eerder worden gesignaleerd in het ICT-netwerk van de gemeente en waarbij op zowel de vaste werkstations als op de mobiele apparatuur de software sneller up-to-date gehouden wordt. Daarnaast zal alertheid op dit soort software door medewerkers worden meegenomen in het bewustwordingsprogramma voor 2017 en is een verbetertraject gestart om mobiele apparatuur beter te monitoren op kwetsbaarheden. Buiten deze incidenten is eenmaal, door achterstallig onderhoud van het ventilatiesysteem in de computerruimte, een storing opgetreden waardoor de ICT-systemen langdurig niet beschikbaar zijn geweest. Ook hier zijn maatregelen voor getroffen Datalekken gemeente Zaanstad In 2016 hebben zich bij de gemeente Zaanstad drie datalekken voorgedaan waarvan melding is gemaakt bij de Autoriteit Persoonsgegevens. Twee daarvan waren gerelateerd aan het foutief verzenden van en een met diefstal van een laptop en een papieren dossier. Als gevolg hiervan zijn evaluaties gedaan, zijn de procedures voor het verzenden van de specifieke berichten aangepast en worden in 2017 technische maatregelen getroffen voor het versleutelen van de harde schijven op gemeentelijke laptops. 12

13 Rapportage Informatiebeveiliging Bijlage 1 Baseline Informatiebeveiliging Gemeenten De in de gemeente Zaanstad nog ontbrekende maatregelen en/of afwegingen of maatregelen wel of niet moeten worden doorgevoerd, zijn op de termijnagenda 2017 geplaatst. Dit betreft de volgende onderwerpen: BIGnr. Onderwerp Omschrijving nog uit te werken onderdelen 5 Beveiligingsbeleid Beleidsplan vast laten stellen 6 Organisatie van informatiebeveiliging Taak/functieomschrijving coördinator Informatiebeveiliging en coördinator Privacy actualiseren en formaliseren Mandaat stuurgroep Informatiebeveiliging en Privacy actualiseren 8 Personele beveiliging Eventuele verplichtingen/geheimhouding na afloop van het dienstverband formaliseren (Digitale) vaardigheden van het personeel opnemen in functie-eisen/ scholingsprogramma Bewustwordingsprogramma medewerkers actualiseren 9 Fysieke beveiliging Nader te bepalen na interne evaluatie door afdeling Facilitair 10 Beheer van communicatie en bedieningsprocessen Bedieningsprocedures bevatten informatie over opstarten, afsluiten, back-up- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging. Instellingen van informatiebeveiligingsfuncties (bijvoorbeeld security software) op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, worden automatisch op wijzigingen gecontroleerd. In verschillende schakels van een keten binnen de infrastructuur van een organisatie wordt bij voorkeur antivirusprogrammatuur van verschillende leveranciers toegepast. Er zijn continuïteitsplannen voor herstel na aanvallen met virussen waarin minimaal maatregelen voor backups en herstel van gegevens en programmatuur zijn beschreven. Er zijn (geteste) procedures voor back-up en recovery van informatie voor herinrichting en foutherstel van verwerkingen. Het (automatisch) overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log. Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers. Hierbij is de toegang beperkt tot leesrechten. Logbestanden worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden. De instellingen van logmechanismen worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden. Indien de instellingen aangepast moeten worden zal daarbij altijd het vier ogen principe toegepast worden. De beschikbaarheid van loginformatie is gewaarborgd binnen de termijn waarin loganalyse noodzakelijk wordt 13

14 geacht, met een minimum van drie maanden, conform de wensen van de systeemeigenaar. Bij een (vermoed) informatiebeveiligingsincident is de bewaartermijn minimaal drie jaar. Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is). 11 Toegangsbeveiliging Er zijn, waar mogelijk, voorzieningen om de actualiteit van anti-malware programmatuur op mobiele apparaten te garanderen. (nader uit te werken voor alle mobiele apparatuur) Logisch toegangsbeleid vaststellen 12 Verwerving, onderhoud en ontwikkeling Op het grensvlak van een vertrouwde en een onvertrouwde omgeving vindt content-scanning plaats. 13 Beheer van incidenten Geen nieuwe onderdelen; periodiek actualiseren bestaande procedures 14 Bedrijfscontinuïteitsbeheer Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en in hoeverre de organisatie voorbereid is te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold. 15 Naleving Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften de toepassing van cryptografische technieken moet voldoen. De gebruikte cryptografische algoritmen voor versleuteling zijn als open standaard gedocumenteerd en zijn door onafhankelijke betrouwbare deskundigen getoetst. Bij de inzet van cryptografische producten volgt een afweging van de risico s aangaande locaties, processen en behandelende partijen. De cryptografische beveiligingsvoorzieningen en componenten voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS en waar mogelijk NBV). In het sleutelbeheer is minimaal aandacht besteed aan het proces, de actoren en hun verantwoordelijkheden. De geldigheidsduur van cryptografische sleutels wordt bepaald aan de hand van de beoogde toepassing en is vastgelegd in het cryptografisch beleid. De vertrouwelijkheid van cryptografische sleutels dient te zijn gewaarborgd tijdens generatie, gebruik, transport en opslag van de sleutels. Er is een procedure vastgesteld waarin is bepaald hoe wordt omgegaan met gecompromitteerde sleutels. Bij voorkeur is sleutelmanagement ingericht volgens PKI-Overheid ISMS De organisatie dient een gedocumenteerd ISMS te ontwikkelen, te onderhouden en constant te verbeteren, binnen het kader van de bedrijfsactiviteiten en risico van de organisatie. Ten behoeve van deze standaard wordt het onderliggende proces gebaseerd op het PDCA model (Plan, Do, Check, Act). 14

15 Rapportage Informatiebeveiliging

16 16