Beleid logische toegangsbeveiliging

Transcriptie

1 Beleid logische toegangsbeveiliging Documentcode: Versie: 1.0 Versiedatum Gemaakt door: Goedgekeurd door: V-Classificatie: Eric van Leuven College van Burgemeester en Wethouders Intern document / openbaar

2 Versiegegevens Datum Versie Gemaakt door Omschrijving van de aanpassing Eric van Leuven Basisdocument Inhoudsopgave 1. INLEIDING DOEL, AFBAKENING EN DOELGROEP DOCUMENTBEHEER, CONTROLE EN REFERENTIES UITGANGSPUNTEN LOGISCHE TOEGANGSBEVEILIGING TOEGANG TOT INFORMATIESYSTEMEN TOEGANGSMETHODE Identificatie Authenticatie Autorisatie EIGENAARSCHAP FUNCTIESCHEIDING EN SPECIALE BEVOEGDHEDEN AANVULLENDE EISEN TOEZICHT OP UITVOERING BELEID LOGISCHE TOEGANGSBEVEILIGING

3 1. Inleiding Logische toegangsbeveiliging vormt een belangrijk aspect van de gemeentelijke informatiebeveiliging en is uit dien hoofde als een afzonderlijk hoofdstuk opgenomen in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Logische toegangsbeveiliging heeft betrekking op de toegang tot alle informatiesystemen van de gemeente Velsen met als doel de toegang tot gegevens en informatiesystemen te beheersen zodat informatiesystemen, gegevens en resources worden beschermd tegen ongeautoriseerde acties zoals raadplegen, toevoegen, wijzigen, verwijderen en gebruiken. Het kan hierbij ook gaan om bedrijfsinformatie van derde partijen, waarvan de gemeente niet de bronhouder is, indien deze informatie via het gemeentelijk platform ontsloten en beschikbaar gesteld wordt, zoals bijvoorbeeld Suwinet. Bij toegangsbeveiliging gaat het niet alleen om het voorkomen van ongeautoriseerde toegang tot informatiesystemen, maar ook om gebruikers - die toegang hebben tot één of meerdere informatiesystemen - slechts die bevoegdheden (autorisaties) te geven die zij nodig hebben voor de vervulling van hun functie. Dat betekent dat gebruikers niet te veel maar ook niet te weinig bevoegdheden moeten krijgen. Gelet op de diversiteit aan informatiesystemen waarbij in veel gevallen sprake is van een hoog gehalte aan vertrouwelijke informatie, waaronder persoonsgegevens, is beleid voor logische toegangsbeveiliging noodzakelijk. Dit beleid geeft kaders en uitgangspunten weer waarbinnen de gemeentelijke organisatie de logische toegangsbeveiliging en de controle erop behoort te regelen. Het beleid logische toegangsbeveiliging sluit aan op het algehele beleid informatiebeveiliging van de gemeente Velsen. 2. Doel, afbakening en doelgroep Het doel van logische toegangsbeveiliging is ervoor te zorgen dat toegang tot informatiesystemen en gegevens wordt verleend aan gebruikers die daartoe zijn gerechtigd en wordt geweigerd aan anderen. Bij toegang gaat het om informatiesystemen en (digitale) gegevens die lokaal beschikbaar zijn op het netwerk van de gemeente Velsen, maar ook om apparatuur waar gegevens worden verwerkt zoals printers (harde schijf) en detectiesystemen zoals firewalls en intrusion detection systemen (logginggegevens). Onder dit beleid vallen ook informatiesystemen en gegevens van de gemeente waarvan de ICT-dienstverlening is uitbesteed of waarvoor de gemeente bevoegd is om er gebruik van te mogen maken, zoals Suwinet. Het beleid logische toegangsbeveiliging moet handen en voeten krijgen in de vorm van maatregelen en procedures die van toepassing zijn op informatiesystemen van de gemeente zoals hiervoor is aangegeven en betrekking hebben op alle medewerkers, inhuur derden als ICT-dienstverleners waar sprake is van uitbesteding. De systemen zijn bereikbaar via het netwerk van Velsen. Door middel van een risico-afweging wordt bepaald of de toegangsbeveiliging van het netwerk voldoende is of dat er 2

4 een extra beveiligingsschil voor een bepaald informatiesysteem moet worden ingesteld. In dat geval zal er, na een gevalideerde toegang tot het netwerk een extra validatie plaatsvinden bij toegang tot het systeem. 3. Documentbeheer, controle en referenties Het college van B&W is bestuurlijk verantwoordelijk voor het beleid logische toegangsbeveiliging. Eigenaar van dit document is de gemeentesecretaris en hij behoort uit dien hoofde dit document periodiek te controleren en indien nodig te (laten) herzien. Het beheer van dit document ligt bij de afdeling informatiemanagement die belast is met het actueel houden van dit document en voor archivering en distributie naar de organisatie. Minimaal om de 3 jaar behoort dit beleid te worden herzien. Implementatie en naleving van dit beleid ligt bij de leidinggevenden en systeemeigenaren. Dit document treedt in werking na formele goedkeuring van het college van B&W. Indien naleving van dit document getest wordt, behoort aandacht te worden besteed aan: Formele vaststelling van dit beleid en toetsing naleving Doorvertaling van dit beleid naar procedures en richtlijnen Beoordeling autorisatiematrix per (kritisch) informatiesysteem toetsing procedure aanmaken, blokkeren en verwijderen van accounts toetsing procedure toewijzen en wijzigen van autorisaties toetsen controle op ongeautoriseerde (pogingen) toegang en raadpleging (Suwinet, BRP) Referenties andere documenten: ISO27002 en tactische BIG; clausule , , 11.1, 11.2, , , , , , , , IBD handreiking logische toegangsbeveiliging versie Uitgangspunten logische toegangsbeveiliging 4.1. Toegang tot informatiesystemen Om toegang te kunnen krijgen tot gemeentelijke informatiesystemen behoren de volgende uitgangspunten in acht te worden genomen: 1. Uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van informatiesystemen en/of gegevens. De bevoegdheid van een persoon moet worden afgeleid van de taak, functie of verantwoordelijkheid van de betreffende persoon, dit ter beoordeling van de systeem- en/of gegevenseigenaar, op aangeven van een autorisatiebevoegde medewerker. 3

5 2. Toegang tot gemeentelijke informatiesystemen geschiedt via een beveiligde inlogprocedure en kan in principe alleen door eerst toegang te krijgen tot het netwerk van de gemeente en daarna toegang te krijgen tot gemeentelijke informatiesystemen. 3. Het is toegestaan gebruik te maken van SAAS-oplossingen 1, eventueel buiten het gemeentelijk netwerk te benaderen, mits daarvoor de vereiste beveiligingsmaatregelen zijn geïmplementeerd die passend zijn bij de toepassing. SAAS oplossingen voor gemeentelijke systemen die de primaire functie van de gemeente ondersteunen zijn alleen via het gemeentelijke netwerk te benaderen. Bij de gemeente Velsen betreft dat de volgende systemen: Suwinet iburgerzaken/mgba Dimpact e-suite 4. Toegang tot het gemeentelijke netwerk vanaf een externe locatie (denk aan telewerken) is mogelijk, maar daarvoor gelden extra beveiligingsmaatregelen zoals een beveiligde (vaste) verbindingslijn en twee-factor authenticatiemethode Directe toegang tot BRP, PNIK en SUWI via telewerken is niet toegestaan. Dit kan alleen via een vaste werkplek van de gemeente. 6. Toegang via een mobiel apparaat (laptop, tablet, smartphone, etc) op het vaste netwerk 3 van de gemeente is niet toegestaan indien het apparaat niet in eigendom en beheer van de gemeente Velsen is. Toegang geschiedt dan altijd draadloos via een daarvoor ingericht beveiligd portaal (telewerkvoorziening met twee-factor authenticatiemethode of de apps van het beheersysteem voor mobiele apparaten). Draadloos werken is alleen toegestaan via 3G of 4G-netwerken, het interne wifi-netwerk van de gemeente Velsen of een voldoende beveiligde (WPA/WPA2 PSK) privé-wifi-verbinding. Openbare wifi-netwerken zijn niet veilig genoeg om hiermee werkzaamheden voor de Gemeente Velsen te verrichten. 7. Gebruikers kunnen alleen toegang krijgen tot informatiesystemen indien zij een integriteitsen geheimhoudingsverklaring hebben afgelegd of ondertekend. Ambtenaren doen dit door middel van het afleggen van de ambtseed. Ingehuurd personeel dient de geheimhoudingsverklaring van de Gemeente Velsen te ondertekenen. Zonder een dergelijke verklaring mag geen toegang tot het netwerk en informatiesystemen worden verleend. 8. Er worden procedures beschreven voor het verlenen, wijzigen, opschorten en intrekken van toegangsrechten tot het netwerk en informatiesystemen. Deze procedures zijn eveneens van toepassing op de BRP, PNIK, BAG en SUWI en kunnen eventueel zijn aangevuld met daaruit voortvloeiende specifieke eisen. Nalatigheid in de naleving van deze procedures wordt gezien als een ernstig beveiligingsincident. 1 SAAS-oplossingen zijn toepassingen die via internet worden aangeboden en buiten de gemeentelijke organisatie gehost worden. Gemeente hoeft de software dus niet aan te schaffen en te installeren en is ook niet belast met technisch beheer. 2 Twee-factor authenticatie is naast het gebruik van een wachtwoord een extra (random) code (bijvoorbeeld ontvangen via sms) die moet worden ingevoerd om toegang te krijgen tot een informatiesysteem. 3 Hiermee wordt een aansluiting op het netwerk door middel van een netwerkkabel bedoeld. 4

6 9. Ingeval sprake is van uitbesteding aan een dienstverlener dan zijn op deze dienstverlener ook de beveiligingseisen van de gemeente van toepassing zoals opgenomen in dit beleid maar ook in het overkoepelend beleid informatiebeveiliging van de gemeente Toegangsmethode Toegang tot informatiesystemen geschiedt via een inlogmethode waarbij gebruik gemaakt wordt van het principe identificatie, authenticatie en autorisatie Identificatie Om toegang te krijgen tot één of meerdere informatiesystemen moet bij elke inlog vastgesteld kunnen worden wie de gebruiker is. Elke gebruiker heeft dan ook een uniek gebruikersaccount. Groepsaccounts zijn niet toegestaan tenzij hiervoor gegronde redenen zijn en de informatiebeveiliging niet in gevaar wordt gebracht Authenticatie Elke gebruiker moet kunnen aantonen dat hij ook degene is die de gebruiker via zijn identificatie beweert te zijn. Als basis hiervoor geldt het gebruik van een wachtwoord die aan bepaalde eisen moet voldoen zoals minimale lengte, een combinatie van het gebruik van kleine en hoofdletters, cijfers en leestekens en de eis dat een wachtwoord nimmer leesbaar mag zijn op het scherm en tijdens het transport over het netwerk en in opslag altijd versleuteld is. Het gebruik van wachtwoorden is gebaseerd op het wachtwoordbeleid van de gemeente dat in een afzonderlijk document is opgenomen. Single-Sign-On (SSO): Een bijzondere authenticatiemethode is single-sign-on waarbij een gebruiker de inlogprocedure 1 keer gebruikt om toegang te krijgen tot meerdere informatiesystemen. Deze methode is toegestaan voor zover dit niet ten koste gaat van het vereiste niveau van informatiebeveiliging. Voor de BRP/PNIK en Suwinet is SSO niet toegestaan. Landelijke voorzieningen: De gemeente maakt, waar nodig, zoveel mogelijk gebruik van landelijke voorzieningen voor inloggen zoals DigiD (voor burgers) en eherkenning (voor bedrijven) en treft daarbij de vereiste maatregelen om te voldoen aan de gestelde beveiligingseisen Autorisatie Elk informatiesysteem moet over de mogelijkheid beschikken om die bevoegdheden te geven die een gebruiker nodig heeft op grond van zijn functie/takenpakket. Het principe van need-to-know behoort voor elk informatiesysteem in acht te worden genomen. Voor autorisatieprofielen wordt zoveel mogelijk gewerkt met standaard profielen van de leverancier. Het aanpassen van autorisatieprofielen wordt zoveel mogelijk vermeden om wildgroei te voorkomen. 5

7 4.3. Eigenaarschap Eigenaarschap van het informatiesysteem, van de gegevens in het systeem en van de processen rond het informatiesysteem, is van belang voor het effectief inregelen van logische toegangsbeveiliging. 1. Elk informatiesysteem is geclassificeerd volgens de procedure dataclassificatie die de informatiebeveiligingscoördinator beheert. Indien nodig vindt voor de dataclassificatie een baselinetoets BIG plaats, eventueel aangevuld met diepgaande risicoanalyse om de juiste classificatie op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid te kunnen vaststellen. De classificatie kan ertoe leiden dat aanvullende maatregelen nodig zijn om toegang te krijgen tot het betreffende informatiesysteem. 2. Elk informatiesysteem heeft een systeemeigenaar (dit is de teamleider of afdelingsmanager van de organisatie-eenheid waar het systeem wordt gebruikt) die verantwoordelijk is voor het juist functioneren (inrichten) van een informatiesysteem en dus voor de toegang tot het informatiesysteem. De systeemeigenaar regelt met de proces- en gegevenseigenaar de procedure voor toegang tot het informatiesysteem en de benodigde gebruikersprofielen en heeft als het ware de proces- en gegevenseigenaar als klant. 3. Voor elk proces is een proceseigenaar benoemd die verantwoordelijk is voor het goed functioneren (inrichten) van een proces en de wisselwerking met het informatiesysteem dat het proces ondersteunt. 4. De juistheid van de inrichting van gegevens in een informatiesysteem valt onder een gegevenseigenaar. In een informatiesysteem kunnen meerdere gegevenseigenaren zijn benoemd. In veel gevallen is de proceseigenaar ook de gegevenseigenaar. 5. De verantwoordelijke lijnmanagers (uitvoering) bepalen wie toegang krijgen tot een informatiesysteem en welke bevoegdheden (toegangsrechten) een gebruiker krijgt. Bewaking hierop geschiedt door de functioneel beheerders die geïnstrueerd zijn op naleving van de door de eigenaren vastgestelde procedure voor toegangsbeheer. 6. De systeemeigenaar heeft in samenwerking met de proces- en gegevenseigenaar een autorisatiematrix opgesteld waarbij is aangegeven bij welke functie welk autorisatieprofiel behoort. Het wel of niet hanteren van een autorisatiematrix voor een informatiesysteem wordt bepaald aan de hand van een risico-afweging. 7. De systeemeigenaar is (indien de noodzakelijkheid blijkt uit een risico-afweging) in staat om een overzicht te verstrekken van alle gebruikers die toegang hebben tot zijn systeem met vermelding van hun autorisatieprofiel. 8. Van elke gebruiker van zeer kritische systemen (o.a. BRP, Suwinet, Civision Makelaar Gegevens) is een (digitaal) formulier beschikbaar waaruit goedkeuring blijkt voor toegang tot deze informatiesystemen met vermelding van zijn/haar functie/taken in relatie tot zijn/haar toegekende autorisatieprofiel per informatiesysteem. Bij systemen waarvoor dit nog niet is geregeld wordt het op een wijze ingevoerd dat nieuwe gebruikers aan de hand van een dergelijk formulier toegang krijgen. Bestaande gebruikers worden wel opgenomen in een autorisatiematrix maar hoeven niet alsnog het formulier te tekenen. 9. De systeemeigenaar zorgt ervoor dat beschikbare functionaliteit voor logging in het informatiesysteem is geactiveerd waar dit vanuit een oogpunt van informatiebeveiliging nodig dan wel wettelijk vereist is. In de loggings worden alle gebruiksgegevens geregistreerd 6

8 die nodig zijn voor controledoeleinden. De systeemeigenaar is gehouden aan de procedure die van toepassing is op de logging. 10. Bij het toekennen van autorisaties wordt rekening gehouden met wettelijke kaders zoals voor de BRP, PNIK, BAG, SUWI en de Wet bescherming persoonsgegevens (Wbp, denk onder meer aan doelbinding). Afstemming geschiedt met de proces- en gegevenseigenaren Functiescheiding en speciale bevoegdheden Toereikende functiescheiding is noodzakelijk om misbruik of fouten zoveel mogelijk te voorkomen. Dat geldt zowel voor bedrijfsprocessen als voor de informatiesystemen die deze processen ondersteunen. De volgende uitgangspunten ten aanzien van functiescheiding worden in acht genomen: 1. Er is functiescheiding tussen de productie- en testomgeving. 2. Technisch beheer in de productie mag niet worden uitgevoerd vanuit de kant van de gebruikersomgeving, maar altijd vanuit een beheerdersomgeving. 3. Functioneel beheerders en gebruikers van informatiesystemen mogen geen toegang hebben tot de technische beheeromgeving. Dat is alleen voorbehouden aan de technische beheerders. 4. Het toekennen van speciale bevoegdheden in de productieomgeving (zowel vanuit de kant van functioneel beheer, gebruikers en technisch beheer) wordt beperkt tot het strikt noodzakelijke. 5. Van alle technische beheerders is duidelijk welke toegangsrechten zij hebben. Een overzicht hiervan is te allen tijde beschikbaar voor controle-doeleinden. 6. Technische beheerders mogen geen toegang hebben tot gegevens in databases. Indien dat wel mogelijk is dan zijn hiervoor afdoende maatregelen getroffen om toegang te traceren en te controleren. 7. Het is voor geen enkele gebruiker toegestaan om beheertaken te combineren met gebruikerstaken tenzij dit niet anders kan, bijvoorbeeld vanwege een beperkte personele bezetting. In dat geval worden nadere afspraken gemaakt om de uitgevoerde handelingen van de betreffende gebruiker(s) te kunnen beoordelen. 8. In beginsel mag niemand autorisaties hebben om een gehele procescyclus van handelingen in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid kan worden gecompromitteerd. 9. Directe toegang via geautomatiseerde hulpmiddelen (denk aan query tooling) naar de database van een informatiesysteem is in principe niet toegestaan tenzij hierover nadere afspraken zijn gemaakt met de gegevenseigenaar Aanvullende eisen Naast het beheerst toegang verlenen van gebruikers tot het netwerk en de informatiesystemen van de gemeente zijn vanuit dit beleid de volgende aanvullende eisen van toepassing. 1. Alle werkplekken verbonden aan het netwerk zijn voorzien van schermbeveiligingsprogrammatuur (screensavers). Deze programmatuur treedt in werking na een periode van 7

9 maximaal 15 minuten inactiviteit en maakt alle informatie op het beeldscherm onleesbaar en ontoegankelijk. 2. De netwerktoegangsrechten van gebruikers is beperkt tot het noodzakelijke om toegang tot afgeschermde delen van het netwerk voor onbevoegden zoveel mogelijk te voorkomen. Het gebruik van beveiligingszones in het netwerk van de gemeente is hiervan een voorbeeld. 3. Netwerkroutering is zodanig ingeregeld dat computerverbindingen en informatiestromen niet in strijd zijn met het toegangsbeleid. Concreet betekent dit dat een gebruiker geen informatie op zijn scherm krijgt die bedoeld is voor een andere gebruiker. 4. Toegang voor technisch onderhoud door derden geschiedt via een beveiligde verbinding die na een verzoek tijdelijk wordt vrijgegeven met gebruikmaking van twee-factor authenticatie. Handelingen terzake worden gelogd Toezicht op uitvoering beleid logische toegangsbeveiliging Logische toegangsbeveiliging is een van de beheersmaatregelen waar een gemeentelijke organisatie en toezichthouders voor een belangrijk deel op steunen. Vandaar dat de gemeente in staat moet zijn om aan te tonen dat de toegangsrechten in informatiesystemen tijdig en juist zijn geïmplementeerd. De informatiebeveiligingscoördinator zorgt ervoor (coördinatie) dat periodieke controle op de naleving van het beleid logische toegangsbeveiliging plaatsvindt. Concerncontrol is belast met deze werkzaamheden en rapporteert hierover aan de informatiebeveiligingscoördinator. Voor uitvoering van de controle behoort de systeemeigenaar hiervoor de nodige informatie op te leveren. 8