PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspuntt

Transcriptie

1 PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspuntt Onderzoek naar de sturing op de informatiebeveiliging bij Ministerie van Infrastructuur en Milieu Definitief

2 Colofon Titel Uitgebracht aan PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspunt CIO IenM Datum 22 december 2016 Kenmerk Inlichtingen Auditdienst Rijk

3 Inhoud Inleiding 4 1 PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspunt Selectiecriteria van DGOO inzake kritieke processen/systemen en risico s aanwezig en door IenM aangescherpt IenM beschikt over een jaarlijks bijgewerkt overzicht van kritieke processen/systemen, risico s en ketens Verbeterplannen deels herkenbaar in Integrale Beveiligingsplannen per IenM onderdeel Jaarlijkse rapportage van deel ICV s aan SG, diverse overleggen waar infobeveiliging aan de orde kan komen Risicomanagement bij IenM ingevoerd Er is aandacht voor IB-maatregelen bij (nieuwe) ontwikkelingen en inkoop Evaluatie en monitoring op het niveau van de diverse IenM onderdelen, ISMStool wordt gevuld 8 Ondertekening 9 Bijlage1 onderzoeksverantwoording Scope van het onderzoek Aanpak en uitvoering 10 Bijlage2 managementreactie 11

4 Inleiding Aanleiding In september 2012 is de Baseline Informatiebeveiliging Rijksdienst Tactisch Normenkader (hierna BIR) vastgesteld door de Interdepartementale Commissie Bedrijfsvoering Rijk (ICBR). De ICBR heeft bepaald dat per 1 januari 2014 alle Rijksoverheidsorganisaties 1 aan de BIR moeten voldoen en hierop worden getoetst. Op voorstel van de Subcommissie Informatiebeveiliging (SIB) heeft de voorloper van het CIO beraad in 2013 vijf thema s benoemd: 1. Patchmanagement; 2. Beveiliging van externe koppelvlakken; 3. Beheer van medewerkers en toegang; 4. PDCA cyclus; 5. Logging en monitoring. De ADR heeft deze thema s in 2014 en 2015 onderzocht in de BIR-onderzoeken. In het CIO beraad van 20 april 2016 is besloten om deze thema s, voor zowel de ICV als voor de ADR onderzoeken, ook voor 2016 te hanteren. Aan de Auditdienst Rijk (ADR) is gevraagd om inzicht te geven in de stand van zaken met betrekking tot: 1. de sturing op de informatiebeveiliging (departementsbrede PDCA-cyclus); 2. de implementatie van de BIR op basis van twee kritieke systemen 2 en uitgaande van de vijf thema s. Daarnaast is de ADR gevraagd om een aanvullende controle 3 te doen op de vier aandachtsgebieden uit de onderzoeken van 2015 die het CIO beraad heeft aangewezen, te weten: Pentesten; lnkoopcontracten bij outsourcing van IT-diensten; Autorisaties (verwijderen vertrokken medewerkers); Logging en monitoring. Het onderzoek is in opdracht van het CIO beraad, met CIO Rijk als gedelegeerd opdrachtgever, in de periode augustus tot december 2016 uitgevoerd. In het Plan van aanpak Onderzoeken informatiebeveiliging 2016 d.d. 7 juli 2016, met kenmerk , is beschreven hoe de ADR de BIR-onderzoeken uitvoert. Karakter van het onderzoek Het onderzoek heeft een inventariserend karakter en betreft geen assurance onderzoek. De ADR geeft inzicht in de stand van zaken en bevindingen per onderzoeksvraag. Er worden geen conclusies of oordelen gegeven. Deze opdracht is uitgevoerd in overeenstemming met de Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing en het kwaliteitbeheersingssysteem van de ADR De BIR 2012 geldt voor de bestuurdepartementen, taakorganisaties en agentschappen. zelfstandige bestuursorganen (ZBO s) nemen een bijzondere positie in. Zij zijn niet verplicht om de BIR 2012 toe te passen, maar via de subsidievoorwaarden kunnen ministeries hen wel deze verplichting opleggen. De BIR 2012 heeft daarmee hetzelfde bereik als het VIR De kritieke systemen zijn door de ADR in afstemming met de departementen bepaald. De aanvullende controle wordt uitgevoerd op één van de door de ADR in 2015 en 2016 onderzochte kritieke systemen. 4 van 12 BIR-onderzoeken 2016

5 Verspreidingskring rapportage Deze rapportage van bevindingen wordt uitgebracht aan de CIO van het ministerie van Infrastructuur en Milieu. De definitieve departementale rapportages worden gebruikt voor de samenvattende auditrapporten van de ADR. Een afschrift van de definitieve rapportage over de sturing gaat naar de CIO Rijk. Leeswijzer Hoofdstuk 1 van deze rapportage bevat een samenvatting van onze bevindingen van het onderzoek naar de sturing op de informatiebeveiliging (deel 1 van de opdracht). De bijlage van dit document bevat de onderzoeksverantwoording waar op basis van het overkoepelende plan van aanpak specifieke keuzen en afspraken zijn gemaakt ten aanzien van de scope en diepgang van het onderzoek naar de sturing op de IB. 5 van 12 BIR-onderzoeken 2016

6 1 PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspunt Dit hoofdstuk gaat in op de departementsbrede PDCA-cyclus (managementsysteem 4 ) voor informatiebeveiliging en het functioneren van een departementsbrede beveiligingsorganisatie. Een goed functionerend managementsysteem voor informatiebeveiliging uitgaande van risicobeheer vormt de basis om in control te kunnen zijn. Hierna volgen op deelaspecten van het managementsysteem samengevat de belangrijkste bevindingen. 1.1 Selectiecriteria van DGOO inzake kritieke processen/systemen en risico s aanwezig en door IenM aangescherpt IenM baseert zich op de DGOO selectiecriteria en alle IenM onderdelen moeten rapporteren als zij hiervan afwijken. De specifieke IenM selectiecriteria voor kritieke processen / informatiesystemen zijn stringenter dan de DGOO criteria en aanvullend vraagt IenM ook de hoge risico s in de bijlage van de ICV op te nemen. In 2015 hebben de IenM onderdelen minimaal de DGOO selectiecriteria gebruikt en de zeer hoge risico s gemeld, alsmede de risico s waarvan de onderdelen het van belang vonden daar melding van te maken. Op 22 september 2016 zijn alle IenM onderdelen en alle beleids DG s aangeschreven met een specifieke departementale toelichting op het ICVproces. Uiterlijk 31 januari 2017 rapporteren zij aan de CIO van IenM. 1.2 IenM beschikt over een jaarlijks bijgewerkt overzicht van kritieke processen/systemen, risico s en ketens IenM heeft een jaarlijks bijgewerkt overzicht met onderkende systemen en risico s. Het laatste overzicht is van januari De actualisering hiervan vindt plaats voor 31 januari IenM heeft een overzicht uit 2015 met onderkende ketens en risico s. Dit zullen niet alle ketens zijn binnen IenM. Eind 2016 wordt gewerkt aan een actualisatie en een verbetering van dit overzicht door de IenM onderdelen. De CIO-office ondersteunt hierbij door middel van specifieke toelichting en advies. 1.3 Verbeterplannen deels herkenbaar in Integrale Beveiligingsplannen per IenM onderdeel De IenM onderdelen zijn verantwoordelijk voor het opstellen van verbeterplannen en diverse verbeterplannen hebben we aangetroffen. In de Integrale Beveiligingsplannen wordt hier naar verwezen. De CIO office houdt vanuit haar systeemrol toezicht op het proces van de Integrale Beveiligingsplannen en de realisatie daarvan. Echter niet op het niveau van de onderliggende verbeterplannen. Hierop wordt binnen de IenM onderdelen toezicht gehouden. Dit maakt deel uit van de onderliggende PDCA cyclus van elk IenM onderdeel is en valt buiten de scope van dit onderzoek. 4 Een managementsysteem is een sluitend stelsel van processen waarmee volgens een eenduidige systematiek de informatiebeveiliging op basis van risicobeheer (departement)breed wordt geborgd. 6 van 12 BIR-onderzoeken 2016

7 De CIO office vraagt periodiek bij de IenM onderdelen naar de voortgangsrapportages van de Integrale Beveiligingsplannen. In mei en september zijn alle IenM onderdelen bevraagd. Als de verbeterplannen niet in de Integrale Beveiligingsplannen van de IenM onderdelen staan, dan heeft de CIO office hier geen zicht op. De aansluiting tussen de departementale en de cycli van de onderdelen is een aandachtspunt. 1.4 Jaarlijkse rapportage van deel ICV s aan SG, diverse overleggen waar info-beveiliging aan de orde kan komen De beveiligingsambtenaar van IenM spreekt minimaal één keer per maand de SG. Integrale beveiliging binnen IenM is hierbij een vast agendapunt. In de SG-DG gesprekken komt informatiebeveiliging desgewenst aan de orde, dus niet als vast agendapunt. Minimaal jaarlijks wordt in geaggregeerde vorm door de IenM onderdelen gerapporteerd over de voortgang van de verbeteringen op het gebied van informatiebeveiliging in de vorm van deel ICV s aan de SG. 1.5 Risicomanagement bij IenM ingevoerd Eind januari 2017 als de ICV s over 2016 zijn afgegeven, zal blijken of over alle kritieke systemen/verwerkingen risico afwegingen zijn gemaakt en of alle relevante maatregelen daadwerkelijk zijn genomen. Over 2015 was dit wel het geval. Of alle belangrijke (hoge en zeer hoge) risico s die de IenM onderdelen lopen doordat IB-maatregelen nog niet operationeel zijn bekend zijn, zal moeten blijken uit de in gang gezette ICV-procedure. Vanuit de centrale CIO-office is hier geen aparte controle op, maar wordt gesteund op de op te leveren deel ICV s van de verschillende IenM onderdelen, die eind januari 2017 beschikbaar komen. Of alle nog niet operationele IB-maatregelen onderdeel zijn van verbeterplannen, zal moeten blijken uit de ingang gezette ICV-procedure. Vanuit de centrale CIO-office is hier geen aparte controle op, maar wordt gesteund op de op te leveren deel ICV s van de verschillende IenM onderdelen, die eind januari 2017 beschikbaar komen. 1.6 Er is aandacht voor IB-maatregelen bij (nieuwe) ontwikkelingen en inkoop Er is een gelaagdheid in de organisatie van het proces van info-beveiliging bij IenM. Het contractmanagement ligt voor een groot deel bij RWS/CIV en FMC/DCI. In de contracten worden maatregelen voor informatiebeveiliging opgenomen. De centrale CIO-office heeft hier een rol in, als de CIO eigenaar is of indien van toepassing CIO-oordeel. Bij de belangrijkste IenM ICT inkooporganisatie (FMC/DCI en RWS) zijn er procedures die aandacht vragen voor informatiebeveiliging bij de ontwikkeling en inkoop van nieuwe informatiesystemen. Zowel bij DCI als RWS is er veel aandacht voor het borgen van de kennis op het gebied van informatiebeveiliging. 7 van 12 BIR-onderzoeken 2016

8 1.7 Evaluatie en monitoring op het niveau van de diverse IenM onderdelen, ISMS-tool wordt gevuld Op departementaal niveau is er geen inzicht in alle testen en evaluaties die bij de IenM onderdelen worden uitgevoerd. IenM heeft een ISMS-tool operationeel, maar deze tool is nog niet volledig ingericht. RWS is voornemens over 2016 haar ICV hiermee te ondersteunen. Via het koppelpunt van de PDCA cyclus van de IenM onderdelen met de overkoepelende PDCA cyclus worden eventuele bevindingen wel geëscaleerd (lijn BVC-er/BVA en DG/SG). Een voorbeeld hiervan is de ondersteuning die de BVA/centrale CIO office (en DCI) biedt bij de verbetering van de beveiligingsfunctie bij de ILT. 8 van 12 BIR-onderzoeken 2016

9 Ondertekening Den Haag, 16 januari van 12 BIR-onderzoeken 2016

10 Bijlage1 onderzoeksverantwoording 1.1 Scope van het onderzoek Scope van het onderzoek is departementsbrede PDCA-cyclus van het ministerie van Infrastructuur en Milieu en de aspecten van het managementsysteem zoals opgenomen in de opdracht en het toetskader deel 1. Het departement IenM bestaat uit de volgende onderdelen: - Beleidskern (BSK), bestaande uit DG Ruimte en Water, DG Bereikbaarheid en DG Milieu en Internationaal; - Inspectie Leefomgeving en Transport (ILT); - Rijkswaterstaat (RWS); - Koninklijk Nederlands Meteorologisch Instituut (KNMI); - Nederlandse Emissieautoriteit (NEa); - Planbureau voor de Leefomgeving (PBL); - Autoriteit voor Nucleaire Veiligheid en Straling (ANVS). Beperking van de opdracht is dat alleen naar de departementale PDCA s cyclus is gekeken en niet naar de onderliggende PDCA cyclus per IenM onderdeel. Wel is op het niveau van de onderzochte systemen de PDCA cyclus bekeken, namelijk die van het Landelijk Meetnet Water (LMW) bij RWS en die van HOLMES bij de ILT. Verder kon door de timing van het onderzoek de uitkomsten van de ICV uitvraag niet in het onderzoek betrokken worden. 1.2 Aanpak en uitvoering De volgende onderzoeksstappen zijn uitgevoerd: begin november Opvragen documentatie 7 november Interview met BVA, CIO-office 5 december Hoor/wederhoor CIO-office 12 december Hoor/wederhoor departementale opdrachtgever Het onderzoek is uitgevoerd door een combinatie van documentanalyse, interviews en het doen van (deel)waarnemingen. Met de volgende medewerkers van het CIO-office is gesproken, namelijk de CIO, de BVA en de senior adviseur Integrale Beveiliging. 10 van 12 BIR-onderzoeken 2016

11 Bijlage2 managementreactie IenM herkent de in de rapportage genoemde bevindingen ten aanzien van de sturing op informatiebeveiliging. Het verheugt ons dat onze inspanningen om te groeien en te verbeteren ook voor de ADR zichtbaar zijn. Wij weten dat we nog verdere stappen te zetten hebben en herkennen dan ook de boodschap dat de aansluiting met de cycli van de onderdelen een aandachtspunt is. Verbetering van die aansluiting is onderdeel van het voorgenomen groeipad dat is opgenomen in het jaarplan 2017 van FMC/BOI en start- en verantwoordingscyclus van FMC. 11 van 12 BIR-onderzoeken 2016

12 Auditdienst Rijk Postbus EE Den Haag (070)