PROCEDURE NIEUWE ICT- VOORZIENINGEN

Transcriptie

1 PROCEDURE NIEUWE ICT- VOORZIENINGEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 1

2 Colofon Naam document Procedure nieuwe ICT-voorzieningen Versienummer Versiedatum Augustus 2016 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2016 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. Wijzigingshistorie Versie Datum Opmerkingen 1 Juni Augustus 2016 Taskforce BID verwijderd, WBP vervangen door Wbp, GBA vervangen door BRP 2

3 Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische- en Tactische Baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: BRP, SUWI, BAG, PUN en Wbp, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3

4 Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit product bevat aanwijzingen voor het vastleggen van de verschillende stappen die noodzakelijk zijn om nieuwe versies, releases of updates van ICT-voorzieningen goed te keuren alvorens deze in productie worden genomen. Doelgroep Dit document is van belang voor de systeemeigenaren, functioneel- en applicatiebeheerders en de ICTafdeling. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten o Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten Informatiebeveiligingsbeleid van de gemeente ICT-beheer Uitbesteding ICT-diensten Procedure configuratiebeheer Procedure wijzigingsbeheer Service Level Agreements (SLA) Bewerkersovereenkomsten (ICT)-contracten Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Maatregel Goedkeuringsproces voor ICT-voorzieningen Maatregel Wijzigingsbeheer 4

5 Inhoudsopgave Colofon 2 Voorwoord 3 Leeswijzer 4 Inhoudsopgave 5 1 Inleiding Aanwijzing voor gebruik 7 2 Handreiking goedkeuringsprocedure Zakelijke goedkeuring Functionele goedkeuring Beveiligingsgoedkeuring Technische goedkeuring 15 Bijlage 1: Definities 16 Bijlage 2: Literatuur/bronnen 18 5

6 1 Inleiding De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft maatregelen beschreven die te maken hebben met de goedkeuring van ICT-voorzieningen, zie hiervoor ook het voorbeeld gemeentelijk informatiebeveiligingsbeleid. Deze goedkeuringsprocedure maakt onderdeel uit van wijzigingsbeheer. 1 ICT-voorzieningen Onder ICT-voorzieningen vallen de volgende ICT-componenten: applicatie, systeemsoftware en hardware. Doelstelling van de goedkeuringsprocedure voor ICT-voorzieningen 2 Deze goedkeuringsprocedure voor ICT voorzieningen draagt er zorg voor dat wijzigingen op de ICT-infrastructuur (ICT-middelen en -diensten) efficiënt en effectief worden doorgevoerd met zo min mogelijk verstoring van de kwaliteit van de dienstverlening, zodat deze dienstverlening blijft voldoen aan de eisen die hieraan zijn gesteld. Beheerdoelstellingen van de goedkeuringsprocedure voor ICT-voorzieningen De volgende beheerdoelstellingen dienen met een redelijke mate van zekerheid te worden gewaarborgd: ICT voorzieningen dienen te worden geautoriseerd met inachtneming van de risico s voor de ICT-diensten. De impact van de ICT voorzieningen dient van tevoren op beschikbaarheids-, capaciteits-, continuïteits- en beveiligingsaspecten, evenals (eind)gebruikersaspecten te worden getoetst. Indien ICT voorzieningen niet zijn geautoriseerd na evaluatie van de risico s, bestaat het risico dat de ICT voorzieningen ongewenste (neven)effecten hebben op ICT-diensten, die soms niet volledig kunnen worden overzien door de initiator van de wijziging. Het is daarom van belang om deze effecten gestructureerd in kaart te brengen en de impact af te stemmen met alle belanghebbenden, zoals de eigenaar van de ICT-dienst, beheerders van ICT-middelen en de betrokkenen van andere ICT-beheerprocessen. ICT voorzieningen dienen te worden beoordeeld op doeltreffendheid. Indien de doeltreffendheid van ICT voorzieningen niet wordt geëvalueerd, bestaat het risico dat de ICT voorzieningen niet, of slechts gedeeltelijk, bijdragen aan verbetering van de ICTdiensten of zelfs verstorend zijn voor de ICT-diensten. Indien ICT voorzieningen niet het beoogde effect blijken te hebben, is het van belang om terug te kunnen keren naar de oorspronkelijke situatie (ook wel: back-out of terugvalscenario). Het belang van de goedkeuringsprocedure voor ICT-voorzieningen voor informatiebeveiliging Het belang voor informatiebeveiliging omvat: Het gecontroleerd doorvoeren van geautoriseerde wijzigingen leidt ertoe, dat de kans op het niet beschikbaar zijn als gevolg van wijzigingen afneemt, en dat eventuele toch opgetreden storingen korter duren. (Dit laatste kan onder andere gerealiseerd worden door in het wijzigingsproces voorzieningen in te bouwen voor het terugdraaien van wijzigingen). Het biedt een mogelijkheid om af te dwingen dat wijzigingen eerst op 1 Zie hiervoor ook het operationele product wijzigingsbeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 2 Dit wordt ook wel als autorisatieproces voor ICT-voorzieningen aangeduid. 6

7 beveiligingsconsequenties worden getoetst, voordat ze worden uitgevoerd. Dit vermindert de kans op het ontstaan van beveiligingsincidenten. Het draagt bij dat relevante instellingen van de ICT-infrastructuur, uit beveiligingsoogpunt niet ongecontroleerd en ongeautoriseerd gewijzigd worden. De ICT-infrastructuur, die aan de beveiligingsnormen voldoet, blijft aan het afgesproken niveau voldoen. 1.1 Aanwijzing voor gebruik Deze handleiding is geschreven om handreikingen te geven voor een goedkeuringsprocedure voor ICT-voorzieningen. De gemeentelijke beleidsregels met betrekking tot goedkeuringsprocedures voor ICT-voorzieningen zijn: 3 Er behoort een goedkeuringsproces voor nieuwe ICT-voorzieningen te worden vastgesteld en geïmplementeerd. o Er is een goedkeuringsproces voor nieuwe ICT-voorzieningen en wijzigingen in ICTvoorzieningen (in Information Technology Infrastructure Library (ITIL) termen: wijzigingsbeheer). Wijzigingen in ICT-voorzieningen en informatiesystemen behoren te worden beheerst. o In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan: 1. Het administreren van significante wijzigingen. 2. Impactanalyse van mogelijke gevolgen van de wijzigingen. 3. Goedkeuringsprocedure voor wijzigingen. 3 Zie ook het voorbeeld Algemene informatiebeveiligingsbeleid van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 7

8 2 Handreiking goedkeuringsprocedure De goedkeuring van ICT-voorzieningen omvat vier onderdelen: 1. Een zakelijke goedkeuring: Bij een zakelijke goedkeuring dient getoetst te worden of de ICT-voorzieningen voldoen aan de gestelde afspraken tussen de leverancier en de gemeente 4, binnen het gestelde budget en Return on Investment (ROI) 5 et cetera. 2. Een functionele goedkeuring: Bij de functionele goedkeuring dient door middel van testen door de functioneel beheerder/eindgebruikers getoetst te worden of de ICT-voorzieningen voldoen aan de eisen en wensen, zoals vermeld in het programma van eisen Een beveiligingsgoedkeuring: Bij de beveiligingsgoedkeuring dient op basis van de vastgestelde beveiligingseisen van de gemeente nagegaan te worden of alle relevante beveiligingseisen en procedures worden nageleefd. 4. Een technische goedkeuring: Bij de technische goedkeuring dient door de ICT-afdeling gecontroleerd te worden of de nieuwe ICT-voorzieningen naar behoren zullen functioneren in de bestaande ICT-omgeving van de gemeente. Uitgangspunten Onderstaande uitgangspunten dienen in acht te worden genomen: Voor implementatie van applicaties en/of systeemsoftware wordt gecontroleerd of er een actuele back-up beschikbaar is ten behoeve van een back-out (terugvalscenario) procedure. De systeembeheerder implementeert nieuwe versies van de applicatie en/of systeemsoftware pas nadat de documentatie is aangepast en de software en/of hardware is getest. Bijvoorbeeld door de applicatiebeheerder of de systeembeheerder. De leverancier kan voor de uitvoering van deze goedkeuringsprocedure niet worden ingeschakeld om een duidelijke scheiding te maken tussen, aan de ene kant de rol van de productleverancier en aan de andere kant die van de gemeente, die moet testen of producten aan de gestelde (beveiligings)eisen voldoen. De goedkeuringsprocedure moet worden uitgevoerd door een partij die onafhankelijk is van de ICT-voorziening. De goedkeuringsprocedure en het testen maken onderdeel uit van wijzigingsbeheer. 7 Uitvoering 1. De configuratiebeheerder ontvangt de ICT-voorziening en de bijbehorende documentatie van de leverancier en geeft deze documentatie aan degene die een rol spelen in dit goedkeuringsproces. 8 Bijvoorbeeld de applicatie-, netwerk- en/of systeembeheerder. 4 Zie hiervoor ook het operationele product Inkoopvoorwaarden en informatiebeveiligingseisen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Het programma van eisen is een geschreven verzameling van eisen en wensen ten aanzien van een mogelijk te ontwerpen product, constructie, aan te schaffen dienst, of anderszins. De bedoeling van een programma van eisen is van tevoren de randvoorwaarden en limieten te definiëren. De eisen zijn de criteria waaraan voldaan moet worden, de wensen zijn de criteria waaraan de verwachting is dat er zo veel mogelijk aan voldaan wordt. 7 Zie hiervoor ook het operationele product Wijzigingsbeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 8 Zie hiervoor ook het operationele product Configuratiebeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 8

9 2. De documentatie wordt door de belanghebbende bestudeerd. Hierbij dient rekening te worden gehouden met de eventuele beïnvloeding van andere ICT-componenten. Bij eventuele onduidelijkheden, wordt contact gezocht met de leverancier om deze onduidelijkheden weg te nemen. 3. De ICT-voorziening wordt in de test- en acceptatieomgeving getest. Dit aan de hand van acceptatiecriteria welke vooraf door de belanghebbende zijn opgesteld. Het verloop van de test en de resultaten ervan worden vermeld in een testrapportage. Aangezien het testen van de ICT-voorziening een belangrijk onderdeel is in de goedkeuringsprocedure wordt hieronder extra aandacht besteed aan de verschillende tests die uitgevoerd dienen te worden: Zowel de ICT-voorzieningen als de back-out-procedure en de invoermethode van de ICT-voorziening dienen grondig te worden getest. Afwijkingen van dit principe worden vooraf formeel goedgekeurd. De toetsingsresultaten worden geaccordeerd door belanghebbenden. Als het ICT-voorzieningen betreft met impact op de informatiebeveiliging, wordt in overleg met de beveiligingsbeheerder bepaald of er specifieke informatiebeveiligingstesten uitgevoerd moeten worden (penetratietesten, code reviews et cetera). Waar nodig wordt apparatuur en programmatuur gecontroleerd op compatibiliteit met andere systeemcomponenten. Er dient voor de testwerkzaamheden een aparte testomgeving te zijn. Testen worden uitgevoerd door de degenen die het wijzigingsverzoek hebben ingediend of vertegenwoordigers daarvan (gebruikersorganisatie van de gemeente) en ICT-beheer. De leverancier of bouwers kunnen voor de uitvoering van deze tests niet worden ingeschakeld, om een duidelijke scheiding te maken tussen aan de ene kant de rol van de productleverancier, en aan de andere kant die van de gemeente die moet testen of producten aan de gestelde eisen voldoen. Tevens dienen systemen voor Ontwikkeling, Test en/of Acceptatie (OT(A)) logisch gescheiden te zijn van Productie (P). Acceptatietests worden uitgevoerd door zowel gebruikers (gebruiksacceptatie) als de beheerders (productie-acceptatietest). De acceptatietest maakt deel uit van het geheel aan testen die in het kader van de goedkeuringsprocedure plaatsvinden. Er zijn duidelijke voorschriften nodig voor het toezicht houden op de kwaliteit van het testen en van de documentatie van de testresultaten. De testrapportage wordt ter beschikking gesteld aan de beveiligingsbeheerder en wordt opgenomen in de bij de ICT-voorziening horende versiedocumentatie. 4. Indien de tests tot een bevredigend resultaat leiden, wordt de ICT-voorziening in productie genomen. Indien de test niet tot een bevredigend resultaat leidt, wordt dit zo spoedig mogelijk teruggekoppeld naar de leverancier. Bij ontvangst van een door de leverancier aangepaste release wordt de voorliggende procedure herhaald. Beoordelen van de kwaliteit van de goedkeuringsprocedure voor ICT-voorzieningen Onderstaande vragenlijst kan door de gemeente worden gebruikt om de goedkeuringsprocedure voor ICT-voorzieningen te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot de goedkeuringsprocedure voor ICT-voorzieningen te maken: Bestaat er een goedkeuringsprocedure voor de installatie van nieuwe voorzieningen of wijziging van bestaande ICT-voorzieningen voor informatietechnologie (apparatuur en programmatuur)? Is daarin vastgelegd dat geen ongeautoriseerde voorzieningen mogen worden geïnstalleerd en gebruikt? 9

10 Moet volgens die goedkeuringsprocedure elke installatie formeel worden goedgekeurd, waarbij het doel en het gebruik worden geautoriseerd, en bestaat er zowel een zakelijk als een technisch autorisatieniveau? Is bekend wie van de gemeente zakelijke goedkeuring mogen verlenen? Behoren daartoe ook de medewerkers die verantwoordelijk zijn voor het onderhoud van het systeem, zodat zekerheid bestaat over naleving van de relevante beveiligingseisen en - procedures? Is bij de goedkeuring ook rekening gehouden met de effectiviteit en de efficiency van de informatiebeveiliging, zoals beheerskosten, mate van controleerbaarheid en soort rapportage? Is bekend wie van de gemeente technische goedkeuring mogen verlenen? Mag slechts apparatuur of programmatuur in een netwerk worden geplaatst van een technisch goedgekeurd type? Mag slechts apparatuur of programmatuur worden gebruikt van een technisch goedgekeurd type, zodat het dienstverlenend bedrijf dat het onderhoud verzorgt niet voor verrassingen komt te staan? Wordt steeds gecontroleerd of de voorschriften uit de procedure worden nageleefd? Is bekend wie van de gemeente die controle uitvoert en aan wie wordt gerapporteerd? Bestaat er een migratiekalender voor de ICT-voorzieningen? 2.1 Zakelijke goedkeuring Bij een zakelijke goedkeuring dient getoetst te worden of de ICT-voorzieningen voldoen aan de gestelde afspraken tussen de leverancier en de gemeente, binnen gesteld budget en Return on Investment (ROI) et cetera. In deze paragraaf zal vooral aandacht worden besteed aan de afspraken met betrekking tot informatiebeveiliging. Bij het verwerven van ICT-producten of ICT-diensten is het van belang om in een vroegtijdig stadium aan mogelijke leveranciers kenbaar te maken welke beveiligingseisen de gemeente wenst te nemen, of door haar leverancier uitgevoerd wenst te zien. De gemeentefunctionaris die verantwoordelijk is voor de betreffende opdracht, is er ook verantwoordelijk voor om er op toe te zien dat de leverancier van de betreffende diensten aan deze eisen voldoet. Beoordelen van de kwaliteit van de dienstverleningsovereenkomst Onderstaande vragenlijst kan door de gemeente worden gebruikt om de dienstverleningsovereenkomst te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot de dienstverleningsovereenkomst te maken. 9 Algemene vragen: Is de verantwoordelijkheid voor het beheer van contracten duidelijk belegd binnen de gemeente? Bevat het contract de verplichtingen van alle partijen waarop de overeenkomst betrekking heeft? Is bij het opstellen van dat contract gebruik gemaakt van de expertise van een juridisch deskundige? Bestaat het recht om de contractuele verantwoordelijkheden te controleren? 9 Zie hiervoor ook het operationele product Inkoopvoorwaarden en informatiebeveiligingseisen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 10

11 Zijn er in het contract beperkende bepalingen opgenomen, ten aanzien van het kopiëren en openbaar maken van informatie? Bevat het contract bepalingen met sancties of boetebedingen voor het geval dat een contractpartij de verplichtingen niet naleeft? Heeft men maatregelen getroffen die er op gericht zijn om bij het beëindigen van het contract de informatie en goederen terug te geven of te vernietigen? Is in het contract rekening gehouden met verantwoordelijkheden op grond van wettelijke eisen? Wordt bijgehouden welke contracten zijn afgesloten? Beschrijft het contract welke ICT-producten of -diensten beschikbaar worden gesteld? Heeft men de verzekering dat installatie van het nieuwe systeem (of systeemcomponenten) geen nadelige invloed heeft op bestaande systemen, in het bijzonder tijdens de drukste verwerkingstijden (zoals aan het einde van de maand)? Wordt er voorzien in cursussen? Vraagstukken met betrekking tot informatiebeveiliging: Wordt in het contract aandacht besteed aan het algemene beleid ten aanzien van informatiebeveiliging? Draagt de leverancier zorg voor een Escrow? Zijn in dat contract de noodzakelijke beveiligingsvoorwaarden opgenomen? Wordt door de gemeente gecontroleerd dat de beveiligingseisen ook worden nageleefd door de leverancier? Of wordt hiervoor door de leveranciers een Third Party Mededeling (TPM) 10 overhandigd? Wanneer er persoonsgegevens worden bewerkt in systemen van de leverancier buiten de gemeente (bijvoorbeeld bij Software as a Service (SaaS) 11 ), accepteert de leverancier dan een bewerkersovereenkomst 12 als onderdeel van het contract? Worden de maatregelen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), voor zover van toepassing verklaard door de gemeente, door de leverancier geaccepteerd en toegepast op de geleverde producten en/of diensten? Indien de wens bestaat tot een hoge beschikbaarheid, is er dan in het contract aandacht besteed aan continuïteitsvoorzieningen? Bevat de dienstverleningsovereenkomst met leveranciers passages over aansprakelijkheid en betrouwbaarheid van de dienstverlening en maximaal toelaatbare duur van uitval? Zijn de tijdstippen en dagen, waarop de dienst beschikbaar moet zijn, vastgelegd in het contract? Bevatten de leveringsvoorwaarden van de gemeente eisen betreffende ingehuurd personeel in het kader van informatiebeveiliging? Zijn de overeenkomsten, die betrekking hebben op de toegang tot ICT-voorzieningen van de onderneming door externe gebruikers, gebaseerd op een formeel contract? Wordt er gecontroleerd of een contract is getekend, voordat er toegang tot de ICTvoorzieningen wordt verleend? Is in het contract vastgelegd welke toegangsmethoden zijn toegestaan en hoe gebruikersidentificaties en wachtwoorden moeten worden beheerd en gebruikt? 10 Een TPM is een verklaring welke afgegeven wordt door een onafhankelijke audit partij over de kwaliteit van een ICT-dienst Zie hiervoor ook het operationele product Bewerkersovereenkomst van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 11

12 Wordt in het contract verwezen naar procedures voor de bescherming van bedrijfsmiddelen, waaronder ook informatie? Is per contract de verantwoordelijkheid geregeld voor de installatie en het onderhoud van apparatuur en programmatuur? Zijn eventuele vereiste fysieke beveiligingsmaatregelen in het contract beschreven? Bevat het contract procedures die ervoor zorgen dat de beveiligingsmaatregelen worden opgevolgd? Zijn in het contract maatregelen beschreven ter voorkoming van het verspreiden van virussen? Is in het contract aandacht besteed aan de autorisatieprocedure voor de toegangsrechten van de gebruikers? Zijn in het contract de afspraken vastgelegd over onderzoek en rapportage van beveiligingsincidenten? 2.2 Functionele goedkeuring Bij de functionele goedkeuring dient, door middel van testen door de functioneel beheerder/eindgebruikers, getoetst te worden of de ICT-voorzieningen voldoen aan de eisen en wensen, zoals vermeld in het programma van eisen. Hieronder worden aandachtpunten beschreven die een rol spelen bij het opstellen van het programma van eisen van de ICT-voorziening door de gemeente. Deze opsomming is zeker niet volledig, maar biedt voldoende handvatten om een programma van eisen op te stellen en te controleren: Is de (te ontwikkelen) ICT-voorziening inclusief de eventuele (specifieke) naam beschreven? Is omschreven waarom er behoefte is aan de nieuwe ICT-voorziening? Dit kan van grote invloed zijn op het ontwerp, wanneer één of meerdere functies of eigenschappen dominant in het product aanwezig dienen te zijn. Dient de nieuwe ICT-voorziening bestaande producten te gaan vervangen? Indien ja; welke bestaande kenmerken moeten in de nieuwe ICT-voorziening aanwezig zijn, of welke juist niet? Moet er een huisstijl worden toegepast? Voor welke markt of voor welk marktsegment is de ICT-voorziening bedoeld? Wat zijn de kenmerken van deze markt(en) en segmenten? Welke eisen stellen deze markten met betrekking tot normen, voorschriften, productaansprakelijkheid et cetera? Zijn de gewenste/feitelijke gebruikers van de nieuwe ICT-voorziening, de doelgroep(en), omschreven? Zijn de verwachtingspatronen van de gebruiker(s) waarmee rekening moet worden gehouden beschreven? Zijn er richtlijnen met betrekking tot het gebruik van de ICT-voorziening? Denk aan configuratiemogelijkheden, bediening, beveiligingsrisico s et cetera. Zijn de beveiligingsvoorschriften vermeld? Zijn onderhoudvoorschriften en wat te doen in geval van storingen beschreven? Beoordelen van kwaliteitscontrole op acceptatie van ICT-voorzieningen Onderstaande vragenlijst kan door de gemeente worden gebruikt om de controle op acceptatie van ICT-voorzieningen te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot de controle op acceptatie 12

13 van ICT-voorzieningen, en in het bijzonder wijzigingen in het besturingssysteem en softwarepakketten te maken. ICT-voorzieningen: Is er door de gemeente een projectorganisatie ingevoerd ten behoeve van selectie, acceptatie (inclusief testen) en implementatie (inclusief beveiliging) van nieuwe ICT-componenten? Zijn de eisen en de criteria ten aanzien van nieuwe ICT-componenten vastgelegd en goedgekeurd door de verantwoordelijke van de gemeente? Is voor het testen een testplan opgesteld? Zijn in het testplan de volgende onderwerpen opgenomen: o De soort test die dient te worden uitgevoerd o Te testen onderdelen, met het verwachte resultaat o Acceptatiecriteria o Fout-, herstel- en herstartprocedures o Routinematige bedieningsprocedures Worden de testresultaten adequaat vastgelegd en geëvalueerd (evaluatie en/of eindrapport)? Is bij het testen in toereikende mate, aandacht gegeven aan het testen van beveiligings- en controlemaatregelen? Heeft men de verzekering dat installatie van het nieuwe systeem (of systeemcomponenten) geen nadelige invloed heeft op bestaande systemen, in het bijzonder tijdens de drukste verwerkingstijden (zoals aan het einde van de maand)? Wordt er voorzien in cursussen Wordt direct na het installeren van de technische ICT-voorzieningen getest of deze voldoen aan de vooraf opgestelde specificaties? Besturingssysteem: Wordt bij wijzigingen in het besturingssysteem nagegaan welke consequenties die wijzigingen hebben voor de beveiliging van de applicaties? Worden er door de systeemprogrammering release notes opgesteld en tijdig gedistribueerd? Wordt in de release notes aandacht besteed aan de gevolgen voor beveiliging en controle (beveiligingsparagraaf)? Zijn de beveiligings- en controleconsequenties afgestemd met de beveiligings- respectievelijk de controlediscipline? Zijn er nood- en/of terugvalscenario s opgesteld? Omvat het jaarplan budgetten voor onderzoek en systeemtesten, naar aanleiding van wijzigingen in het besturingssysteem? Worden wijzigingen in het besturingssysteem tijdig aangekondigd, zodat de benodigde controles/testen voorafgaand aan de implementatie van de wijzigingen kunnen plaatsvinden? Bestaat er een testprocedure voor de beoordeling van wijzigingen in het besturingssysteem? Worden de continuïteitsplannen van de gemeente aangepast naar aanleiding van wijzigingen in het besturingssysteem? Softwarepakketten: Is getest of de aangebrachte wijzigingen de beveiligingsmaatregelen en integriteitsprocessen niet in gevaar brengen? Is er toestemming verkregen van de leverancier? Is het mogelijk om de wijzigingen door de leverancier te laten aanbrengen? Is het mogelijk om na de aanpassing nog nieuwe versies van de leverancier te gebruiken? 13

14 Zijn de aangebrachte wijzigingen zodanig gedocumenteerd dat zij opnieuw aangebracht kunnen worden? 2.3 Beveiligingsgoedkeuring Bij de beveiligingsgoedkeuring dient er op basis van de vastgestelde beveiligingseisen van de gemeente, nagegaan te worden of alle relevante beveiligingseisen en procedures worden nageleefd. Het is essentieel dat de gemeente haar beveiligingseisen bepaalt. Hierbij kunnen de volgende bronnen worden gebruikt om deze beveiligingseisen vast te stellen: De beoordeling van de risico s waar de gemeente aan blootgesteld is. Via een risicobeoordeling worden bedreigingen voor bedrijfsmiddelen vastgesteld en de kwetsbaarheid voor-, en de waarschijnlijkheid dat, een bepaalde bedreiging zich voordoet geëvalueerd en wordt de potentiële impact geschat. 13 De wettelijke en regelgevende eisen waaraan de gemeente, haar leveranciers en dienstverleners moeten voldoen. Beoordelen kwaliteitsanalyse en specificatie van beveiligingseisen Onderstaande vragenlijst kan door de gemeente worden gebruikt om de analyse en specificatie van beveiligingseisen te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status te maken. Is er tijdens de definitiestudie/het ontwerpen van nieuwe systemen of releases van bestaande systemen een analyse gemaakt van de beveiligingseisen? Is bij de definitie van beveiligingseisen naast de geautomatiseerde (ingebouwde) maatregelen ook aandacht besteed aan handmatige maatregelen (procedures)? Zijn er eisen geformuleerd ten aanzien van de waarborging van vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening? Zijn er eisen geformuleerd ten aanzien van het voorkomen, opsporen en herstellen van storingen en incidenten? Zijn de beveiligingseisen gedefinieerd in alle relevante documentatie? Is er bij de analyse van de beveiligingseisen onder andere aandacht gegeven aan: o Logische toegangsbeveiliging (Identity & Access Management (IAM)) o Leveranciers toegang o Standaard wachtwoorden o Integratie met bestaande gemeentelijke systemen, bijvoorbeeld Single Sign-on (SSO) berichtenstandaarden en open standaarden. o Encryptie van gegevens o Het maken van reservekopieën o Interne en externe uitwijkvoorzieningen o Registratie van bijzondere gebeurtenissen (audit trails) o Mogelijkheden om de integriteit van vitale gegevens te controleren en te beschermen. o Het voldoen aan wettelijke/contractuele vereisten o Het voorkomen van ongeautoriseerde wijzigingen o Systeemupdates o Logging mogelijkheden 13 Zie hiervoor ook het operationele product Basis risico analyse methode gemeenten van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 14

15 o o Hardening De (mogelijk negatieve) impact op de werking (van de beveiliging) van bestaande systemen? 2.4 Technische goedkeuring Bij de technische goedkeuring dient door de ICT-afdeling gecontroleerd te worden of de nieuwe ICT-voorzieningen naar behoren zullen functioneren in de bestaande ICT-omgeving van de gemeente. Beoordelen van kwaliteit acceptatie van ICT-componenten Onderstaande vragenlijst kan door de gemeente worden gebruikt om de acceptatie van ICTcomponenten te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting te maken. Is er door de gemeente een projectorganisatie ingevoerd ten behoeve van selectie, acceptatie (inclusief testen) en implementatie (inclusief beveiliging) van nieuwe ICT-componenten? Zijn de eisen en de criteria ten aanzien van nieuwe ICT-componenten vastgelegd en goedgekeurd door het management? Is er voor het testen een testplan opgesteld? Zijn in het testplan de volgende onderwerpen opgenomen: o Acceptatiecriteria o Te testen onderdelen, met verwacht resultaat o Fout-, herstel- en herstartprocedures o Routinematige bedieningsprocedures Worden de testresultaten adequaat vastgelegd en geëvalueerd (evaluatie en/of eindrapport)? Is bij het testen in toereikende mate aandacht gegeven aan het testen van beveiligings- en controlemaatregelen? Heeft men de verzekering dat installatie van het nieuwe systeem (of systeemcomponenten) geen nadelige invloed heeft op bestaande systemen, in het bijzonder tijdens de drukste verwerkingstijden (zoals aan het einde van de maand)? Wordt er voorzien in cursussen voor bediening en gebruik van nieuwe systemen (of systeemcomponenten)? 15

16 Bijlage 1: Definities Bron: Back-out (terugvalscenario): Een activiteit die een dienst of een ander configuratie-item terugzet op een eerder uitgangspunt. Back-out wordt gebruikt als een vorm van herstel wanneer een wijziging of uitgifte niet lukt. Configuratiebeheer: Het proces dat verantwoordelijk is om te garanderen dat de bedrijfsmiddelen, die nodig zijn om diensten te leveren, op een adequate wijze worden beheerd, en dat accurate en betrouwbare informatie over die bedrijfsmiddelen beschikbaar is, wanneer en waar dat nodig is. Die informatie omvat details over hoe de bedrijfsmiddelen zijn samengesteld en details over relaties tussen bedrijfsmiddelen. Dienstenniveaubeheer: Het proces dat verantwoordelijk is om realiseerbare diensten niveau overeenkomsten af te spreken en garandeert dat daaraan wordt voldaan. Dienstenniveaubeheer is verantwoordelijk voor de garantie dat alle ICT-dienstenbeheerprocessen, operationele overeenkomsten en onderliggende contracten zijn afgestemd op de overeengekomen dienstenniveau doelen. Dienstenniveaubeheer bewaakt dienstenniveaus, rapporteert erover, evalueert de dienstverlening regelmatig met de klant en identificeert vereiste verbeteringen. De Diensten Niveau Overeenkomst (DNO): Een overeenkomst tussen een ICTdienstenaanbieder en een klant. De DNO beschrijft de ICT-dienst, legt dienstenniveaudoelen vast en definieert de verantwoordelijkheid van de ICT-dienstenaanbieder en de klant. Een afzonderlijke overeenkomst kan verschillende ICT-diensten of verscheidene klanten bevatten. Terugval/terugrol: Ondernomen acties voor herstel na een mislukte wijziging of uitgifte. Terugval kan back-out, activering van dienstcontinuïteitsplannen bevatten of andere acties om het bedrijfsproces te continueren. Uitgifte/release: Een of meer wijzigingen aan een ICT-dienst die samen worden gebouwd, getest en uitgerold. Een enkele uitgifte kan wijzigingen omvatten aan hardware, software, documentatie, processen en andere componenten. Wijziging: De toevoeging, verandering of verwijdering van alles dat een effect kan hebben op ICT-diensten. Het bereik is gericht op alle wijzigingen van alle architecturen, processen, instrumenten, meetwaarden en documentatie, en op wijzigingen van ICT-diensten en andere configuratie-items. Wijzigingsadviescommissie/Change Advisory Board (CAB): Een groep mensen die de beoordeling, de prioriteitsstelling, de autorisatie en de planning van wijzigingen ondersteunt. Een wijzigingsadviescommissie bestaat veelal uit vertegenwoordigers van alle afdelingen binnen de ICT-dienstenaanbieder, het bedrijf en derden (zoals toeleveranciers). Wijzigingsbeheer: Het proces dat verantwoordelijk is voor het beheersen van de levenscyclus van alle wijzigingen, om verbeteringen met minimale verstoring van de ICT-diensten uit te voeren. 16

17 Wijzigingsplan/changeplan: Een document dat alle geautoriseerde wijzigingen en geplande implementatiegegevens met de geschatte datums van wijzigingen op langere termijn beschrijft. Een wijzigingsschema wordt soms een voorlopig wijzigingsschema (forward schedule of change) genoemd, terwijl het ook informatie over al geïmplementeerde wijzigingen bevat. Wijzigingsregistratie: Een registratie van de details van een wijziging. Elke wijzigingsregistratie documenteert de levenscyclus van een afzonderlijke wijziging. Een wijzigingsregistratie wordt gecreëerd voor elk wijzigingsverzoek dat binnenkomt, ook voor die verzoeken die later afgewezen worden. Wijzigingsregistraties verwijzen naar de configuratie-items die door de wijziging worden beïnvloed. Wijzigingsregistraties worden opgeslagen in het configuratiebeheersysteem of ergens anders in het diensten kennisbeheersysteem. 17

18 Bijlage 2: Literatuur/bronnen Voor deze publicatie is gebruik gemaakt van onderstaande bronnen: Titel: Praktijkgids Code voor informatiebeveiliging Wie: Ernst Oud Uitgeverij: Academic Service Datum: 2002 EAN: Titel: Basisnormen Beveiliging en Beheer ICT-infrastructuur Wie: Platform Informatiebeveiliging (opgegaan in Platform voor Informatiebeveiliging (PvIB)) Uitgeverij: LEMMA BV Datum: 2003 ISBN-10: (niet meer leverbaar) Link: Titel: Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Wie: gezamenlijk initiatief van de NOREA en het Platform voor Informatiebeveiliging (PvIB) Datum: 12 december 2007 Link: 1_NoreaPvIBhandreiking.pdf 18

19 INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN JS DEN HAAG POSTBUS GK DEN HAAG HELPDESK ALGEMEEN FAX