Welkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?

Transcriptie

1 Welkom bij parallellijn 1 On the Move uur Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan? 1

2 IBD-Praktijkdag Work IT Out

3 Hoe kom ik tot een informatiebeveiligingsplan? Jule Hintzbergen Adviseur informatiebeveiliging IBD

4 Programma Introductie De BIG en keuzes Stappenplan om te komen tot het IB-plan Samenvatting & Afsluiting 4

5 De kunst van het kiezen System en Process en Maatre gelen IB-Plan

6 Welke ruimte biedt de BIG om te kiezen? De BIG compleet is een hele lijst om mee te beginnen, hoe daar mee om te gaan? Het primaire uitgangspunt voor informatiebeveiliging is en blijft risicomanagement Pas toe en Leg uit is en blijft basisprincipe Tijdpad voor implementeren van de BIG is begin 2017, daarmee is ruimte in volgorde van de systemen en maatregelen Implementeer/prioriteer de BIG op basis van een gezonde risico-inschatting 6 LET OP: de hele BIG blijft van toepassing echter er wordt gefaseerd mee omgegaan

7 Hoe dan, een stappenplan 1. Bepaal kritische processen 2. Bepaal essentiële systemen bij deze processen Voeg daar 3D-systemen aan toe 3. Stel de scope vast (systemen) 4. Prioriteer BIG-maatregelen (focus aanbrengen) Generieke maatregelen Specifieke maatregelen 5. Beleg de BIG-maatregelen (PIOFAH actoren) 6. Bepaal inzicht in de status per maatregel Noteer de uitkomsten in de GAP-analyse spreadsheet 7. Bepaal de impact 8. Stel een informatiebeveiligingsplan op 7

8 Stap 1: Bepalen kritische processen Welke criteria kunnen worden gehanteerd bij het bepalen van het kritische proces? Welke processen voldoen hieraan? Wie is de eigenaar van het proces? Wat vinden jullie? 8

9 Mogelijke criteria (1/2) Wetgeving Raakt het de burger (burgergerichte processen) Raakt het andere processen binnen de gemeente (organisatiegerichte processen) Beschikbaarheid dienstverlening Hoge herstelkosten Hoge integriteit vereist Verwerking van persoonsgegevens (Privacy) Vertrouwelijkheid van informatie Afbreukrisico politiek, imagoschade 9

10 Mogelijke criteria (2/2) Verstoring of uitval van het proces: heeft impact op het leven van de burger of de bedrijfsvoering van het bedrijf. zorgt voor vertraging bij het halen van onze ambities. Verstoring of uitval van het proces stokt de dienstverlening van de organisatie. stokt de bedrijfsvoering van meer afdelingen of ketenpartners. de eigen organisatie imagoschade op. brengt een aanzienlijke kostenpost met zich mee. levert schade op bij andere (samenwerkings-)partijen. heeft een wettelijke termijn waarbinnen het proces beschikbaar moet zijn. Snelle doorlooptijd van het proces is belangrijk voor burger of bedrijf Bron: Lijst afkomstig van Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) voor gemeentesecretarissen 10

11 Voorbeeld lijst processen Proces Beschikbaarheid Integriteit Vertrouwelijkheid Burgerzaken (klantbegeleiding, afspraken) Noodzakelijk Absoluut Vertrouwelijk Basisregistratie persoonsgegevens Essentieel Absoluut Geheim Overige basisregistraties Essentieel Absoluut Openbaar Indienen en behandelen beroep en bezwaarschriften Belangrijk Absoluut Openbaar / vertrouwelijk Registratie ingekomen post burgers en bedrijven Belangrijk Hoog Bedrijfsvertrouwelijk Beheren gevonden voorwerpen Belangrijk Beschermd Openbaar Bedrijvenloket Belangrijk Beschermd Openbaar Publicatie van ruimtelijke plannen Belangrijk Absoluut Openbaar Grootschalige Basiskaart Nederland (GBKN) Belangrijk Absoluut Openbaar Kenbaarstelling Publiekrechtelijke Beperkingen (WKPB) Belangrijk Absoluut Openbaar Registratie risico's gevaarlijke stoffen (risicokaart) Essentieel Absoluut Bedrijfsvertrouwelijk Bodembeheer Belangrijk Hoog Openbaar Aanvraag en verlening vergunning Belangrijk Absoluut Vertrouwelijk Bouw- en woningtoezicht Belangrijk Absoluut Vertrouwelijk Financieel beheer (betalingen leges, etc.) Belangrijk Hoog Vertrouwelijk Aangifte en heffing gemeentelijke belastingen/ heffingen Belangrijk Hoog Vertrouwelijk Waardebepaling Onroerende Zaken (W OZ) Belangrijk Hoog Bedrijfsvertrouwelijk Sociale Zaken Uitvoering / verstrekking voorzieningen Essentieel Hoog Geheim Sociale Zaken Handhaving en controle Belangrijk Absoluut Geheim Openbare orde en veiligheid (brandweer, preventie, rampbestrijding) Essentieel Absoluut Geheim Handhaving en toezicht gemeentelijke verordeningen / regelgeving Belangrijk Absoluut Vertrouwelijk Gezondheidszorg GGD taak / ambulancedienst Noodzakelijk Absoluut Geheim 11 In 2007 heeft de voorloper van het NCSC (voorheen GovCert.NL) een onderzoek uitgevoerd met een aantal gemeenten, naar de betrouwbaarheidseisen voor een aantal uitvoeringsprocessen. Deze staan in onderstaande tabel en zijn bedoeld als leidraad.

12 Stap 2: Bepaal essentiële systemen bij deze processen Voeg hier de systemen inzake de 3D s aan toe. Stel per systeem de eigenaar vast. Aantal criteria (kritisch) Proces (essentieel) Informatie Systeem 6 sociaal domein, wijkteam regiesysteem Eigenaar / verantwoordelijke (proceseigenaar) (systeemeigenaar) 12

13 Stap 3: Stel de scope vast (systemen) Resultaat: een lijst met processen en systemen en hun eigenaar waar de komende periode de prioriteit op ligt (scope), stem deze lijst af met het management, laat de lijst vaststellen. 13

14 Tips om processen te selecteren Tips: 1. Als er meer dan 5 criteria kunnen worden aangevinkt er grote kans is dat dit een kritisch proces is. 2. Als er erg veel kritische bedrijfsprocessen en daarmee systemen zijn is het handig om op basis van een telling van de criteria een top 3 vast te stellen. 14

15 Tip om focus te bepalen Tip: Als in deze lijst processen en onderliggende informatie systemen staan die al een eigen beveiligingsbeleid en -documentatie hebben dan hoeft daar nu niks voor te gebeuren, die kunnen voorlopig worden geparkeerd. Bijvoorbeeld GBA/BRP als daarvoor de laatste audit al goed was. Impliciet is dit al een vorm van risicoafweging omdat je de focus gaat leggen op wat er nu toe doet 15

16 Stap 4: Prioriteer BIG-maatregelen (focus aanbrengen) In de BIG staan 133 Controls met daaronder 303 maatregelen, ook hier kan een focus per periode in worden aangebracht implementatie van (ontbrekende) maatregelen kost capaciteit en geld en de hoeveelheid middelen is waarschijnlijk beperkt. Het is niet zo dat daarmee maatregelen die niet geselecteerd zijn niet uitgevoerd hoeven te worden, deze blijven over om de periodes hierna mee te nemen in de planning. Bepaal tevens scope en wanneer men deze maatregel getoetst wil hebben. Gebruik de GAP-analyse met de vragenlijst 16

17 Stap 5: Beleg de BIG-maatregelen (PIOFAH actoren) Bepaal of een maatregel generiek (gemeentebreed) of specifiek (proces / systeem), wie de eigenaar van de maatregel zou moeten zijn. Gemeentebrede maatregelen hebben vaak een PIOFAH-eigenaar/verantwoordelijke. Als er geen eigenaar bepaald kan worden dan moet dit alsnog gebeuren door het toewijzen van de maatregel aan een andere functionaris. 17

18 Stap 6: Bepaal inzicht in de status per maatregel Controleer de status van de vastgestelde gemeentebrede en systeemspecifieke maatregelen bij de betreffende (proces)eigenaren door middel van een kort interview. Werk de GAP-analyse lijst bij met de bevindingen. 18

19 Tip verkrijgen inzicht status maatregel Tip: Blijf niet te lang hangen bij een onderwerp, als iets niet direct duidelijk is probeer er dan een tweede gesprek aan te weiden of vraag iets uit te zoeken en terug te koppelen. (Bewaak dit wel). 19

20 Stap7: Bepaal de impact Stel vast wie welke maatregel gaat invoeren en wat deze maatregel (geschat) kost. Deze lijst moet bij het management getoetst worden omdat de eigenaar van een systeem die kosten moet dragen De eigenaar kan ook besluiten iets niet te doen als risico afweging, maak dat expliciet en leg dat vast. De ingevulde impactanalyse is de input voor het informatiebeveiligingsplan. 20

21 Stap 8: Stel een informatiebeveiligingsplan op De overgebleven gevonden tekortkomen dienen in een informatiebeveiligingsplan voor de komende periode te worden opgenomen. 21

22 Hoofdstukken IB plan Het doel van het plan. De eigenaar van het plan. De reikwijdte van het plan (gemeente, proces of systeem), dus ook de verantwoording en het resultaat van de gekozen aanpak om de BIG te implementeren. Het resultaat van de impactanalyse BIG dan wel het resultaat van een risicoanalyse, en dan alleen de ontbrekende maatregelen noemen, met het BIG-nummer. De vertaling van uitspraken van het informatiebeveiligingsbeleid naar het hoe, waarmee en door wie. De maatregelen en de prioriteit van invoeren (hoog, midden, laag) met BIG-nummer. De maatregel planning met: BIG-nummer, -maatregel, - doorlooptijd, -capaciteitsbeslag, eventuele kosten en wie er verantwoordelijk is. Welke maatregelen worden doorgeschoven naar een volgende periode erop op basis van een risico inschatting of de prioriteitsstelling of beschikbaar budget Startdatum. Rapportage en verantwoording. 22

23 Proces aandachtspunten Zorg voor committment van de directie Benoem verantwoordelijken/proceseigenaren Communicatie naar de organisatie GAP en impact analyse Zorg voor management keuzes GAP analyse (wat is er al en wat nog niet) Quick wins benoemen, prioriteer! Vertalen naar management risico s Pas toe en leg uit Hou het op hoofdlijnen Budget regelen/ vrijmaken Plan maken Denk aan detailmaatregelen 23

24 24 IBD Producten

25 25 Vragen

26 Contactinformatie 26 Bezoek ook

27 Einde sessie Wij vragen u weer naar de plenaire zaal beneden te gaan 27