Concern Informatiebeveiliging

Transcriptie

1 Gemeente Rotterdam Concern Informatiebeveiliging Van P. Verhuist Datum 15 december 2014

2 Inhoudsopgave 1 Inleiding 4 DEEL 1: Security raamwerk Rotterdam 5 2 Uitgangspunten van concern informatiebeveiliging 6 3 Hoofdprincipes van informatiebeveiliging 8 4 Classificaties Vertrouwelijkheid Integriteit Beschikbaarheid 1 3 DEEL 2: Beheersmaatregelen Logische toegang Identificatie Authenticatie Autorisatie Zonering en filtering Zonering Filtering Versleuteling Sleutelbeheer Application controls Functie- en processcheiding Invoercontrole Uitvoercontrole Controle van gegevensverwerking Systeemintegriteit Integriteit van gegevensverwerkingen Hardening Mobile code 2 7 Comern Informatiebeveiliging 12 december van 34

3 8.4 Beperking systeemhulpmiddelen Onweerlegbaarheid van transacties Integriteitscontrole Wederzijdse authenticatie Continuïteit Herstel van verwerkingen Redundantie Voorkomen discontinuïteit Logging en monitoring Logging Monitoring 3 2 Bijlage 1: Samenhang uitgangspunten, principes en maatregelen 3 3 Bijlage 2: Referentie 3 4 Concern Informatiebeveiliging 12 december van 34

4 1 Inleiding Deze component architectuur is opgesteld als referentie voor concern informatiebeveiliging (IB) in Rotterdam en is daarmee een praktische uitwerking van het concern IB beleid.' Doelen Deze IB architectuur: beschrijft de gewenste (veelal wettelijk vereiste) situatie; is een leidraad voor ontwerp beslissingen, (technische) oplossingen en investeringen in IB; streeft naar adoptie van 'best-practices' en standaarden; beoogt reductie van kosten en verhogen van flexibiliteit door inzet van herbruikbare en generieke oplossingen. Deze IB architectuur is een instrument voor verdere inrichting van concern IB. De weg daar naartoe is beschreven in het meerjarenplan concern IB (concerndirectie, 2014). Scope De scope omvat alle informatie (gegevens) die de Gemeente Rotterdam verwerkt en uitwisselt, intern en extern. Werking De IB architectuur is voorschrijvend. De richtlijnen zijn niet vrijblijvend. Afwijking van de richtlijnen is alleen acceptabel op basis van een zorgvuldige risicoafweging. Bijvoorbeeld omdat de kosten te hoog zijn of de techniek niet beschikbaar. Het uitgangspunt is net als bij concern IB beleid: comply or explain, pas toe of leg uit waarom wordt afgeweken van de norm. Deze afweging is altijd een expliciet besluit van verantwoordelijk management. Met de vaststelling van deze architectuur komt de component architectuur 'authenticatie, autorisatie en beveiliging' (2011) te vervallen. Leeswijzer Deel 1 is bedoeld voor een bredere doelgroep (management, vakspecialisten) en beschrijft het security raamwerk van de gemeente Rotterdam. Dit deel gaat vooral in op de vraag waarom we beveiligen (wat heeft de organisatie er aan) en welke doelen we daarbij nastreven. H2 beschrijft de uitgangspunten voor beveiliging H3 beschrijft de hoofdprincipes H4 beschrijft de classificatieniveaus Deel 2 is bedoeld voor specialisten (zoals: architecten, security functionarissen, ontwerpers, beheerders, etc.) en beschrijft beheersmaatregelen in meer detail. H5-11 is een nadere uitwerking van de vereiste maatregelen Concern Informatiebeveiligingsbeleid, college B&W, 2014 Concern informatiebeveiliging 12 december van 34

5 DEEL 1: Security raamwerk Rotterdam In dit deel zijn de uitgangspunten, principes en classificaties beschreven. Samen met het concern IB beleid vormen deze het raamwerk van de Rotterdamse security architectuur. Dit is de basis voor beheersmaatregelen zoals beschreven in deel 2, alsook de technische architectuur (technische oplossingen) en security processen.2 Uitgangspunten beschrijven waarom we IB realiseren en wat de organisatie er aan heeft. Principes beschrijven de grondregels van IB: wat beogen we? Classificatie definieert de vereiste maatregelen per classificatieniveau (laag, midden, hoog). 2De security processen zullen in 2015 separaat worden uitgewerkt. concern informatiebeveiliging 12 december van 34

6 2 Uitgangspunten van concern informatiebeveiliging De concern IB architectuur beschrijft richtlijnen en maatregelen voor informatiebeveiliging (IB) en geeft daarmee invulling aan het concern IB beleid. Elke richtlijn en elke maatregel dient een organisatiedoel. In onderstaande tabel staan de belangrijkste waarden en doelen samengevat. Deze zijn afgeleid uit het concern IB beleid aangevuld met best practices' volgens het Information Security Forum (ISF), toegespitst op relevantie voor Gemeente Rotterdam. IB-01 Ondersteun de organisatie _. 1B beoogt de risico's van het werken met gevoelige informatie te beheersen. 1. Informatieveiligheid is een integrale taak en verantwoordelijkheid en randvoorwaardelijk voor een goede bedrijfsvoering. Informatiebeveiliging is het proces dat dit beoogt. 2. Informatiebeveiliging is een enabler en maakt nieuwe manieren van werken op verantwoorde wijze mogelijk. Hierdoor zijn we in staat producten en diensten te leveren op innovatieve wijze, die voldoen aan zowel de functionele eisen als gangbare normen voor informatieveiligheid. 3. Het voldoen aan beveiligingseisen is van groot belang voor het beschermen van rechten van burgers en bedrijven (een betrouwbare overheid). Landelijke en Europese wet- en regelgeving, standaarden en richtlijnen zijn leidend. 4. Informatieveiligheid is een kwaliteitsaspect van het werkproces. De beheersing is vergelijkbaar met die van planning en control (P&C) en gericht op risicobeheersing. 5. Nieuwe dreigingen en risico's dienen zich voortdurend aan. Analyse en beoordeling daarvan is een essentiële taak. 6. We beveiligen niet meer dan noodzakelijk. Dit beperkt de beheerlast, voorkomt onnodige kosten (efficiëntie) en zorgt tegelijkertijd voor een gerichte aanpak (effectiviteit). We streven naar standaardisatie en hergebruiken wat we hebben, als het werkt e r d e -1drig r gdemanlaalle IB beoogt de organisatie te beschermen tegen beveiligingsincidenten. 1. Beveiligingsmaatregelen zijn gericht op de bescherming van gevoelige informatie (zoals persoonsgegevens, justitiële informatie, gegevens over zorg, etc.). 2. Niet alles kan 100% worden beveiligd, keuzes zijn nodig. Dit vergt een afweging van risico's, kosten en technische mogelijkheden. Dit is een beslissing van verantwoordelijk management. 3. Oplossingen hebben altijd een duidelijk organisatiebelang. Door activiteiten in samenhang en cyclisch (plan, do, check, act) te sturen ontstaat een continu verbeterproces, gebaseerd op het beheersen van risico's. 4. Rotterdam hanteert een heldere baseline: stabiliteit, afnemersgerichtheid, transparantie, flexibiliteit en betrouwbaarheid staan centraal. Concern Informatiebeveiliging 12 december van 34

7 I B beoogt risicobewustzijn te vergroten 1. Risicobewustzijn en integriteit zijn essentieel voor informatieveiligheid. Om als Rotterdam 'in control' te zijn, is het van belang dat iedere medewerker bewust omgaat met risico's. 2. Informatiebeveiliging is een taak van ons allemaal: ga zorgvuldig om met gevoelige informatie, geef zelf het goede voorbeeld. IB beleid, personeelsregelingen, architectuur en meerjarenplan concern IB vormen samen één logisch geheel: Het concern IB beleid beschrijft de algemene kaders voor informatiebeveiliging, gebaseerd op wet- en regelgeving. Personeelsregelingen zoals de 'regeling ICT en informatiegebruik' gaat dieper in op gedragsaspecten. De IB architectuur gaat dieper in op de inrichting van concern IB aan de hand van principes, richtlijnen en beheersmaatregelen en is de basis voor andere architecturen. Het meerjarenplan (ontwikkelpad) concern IB beschrijft de weg naar realisatie van deze gewenste situatie en maakt zichtbaar waar de prioriteiten liggen, mede op basis van het actuele dreigingsbeeld.3 Wet- en regelgeving Dreigingsbeeld Rotterdam Concern Informatiebeveiligingsbeleid Regelingen personeel en organisatie Com onent architectuur Meerjarenplan Informatiebeveiliging Andere architecturen en ontwerpen, 'Dreigingsbeeld uit Cybersecuhtybeeld Nederland, 2014 (NCSC, AIVD) vertaald naar de Rotterdamse situatie. Dit is onderdeel van het meerjarenplan concern IB Concern Informatiebeveiliging 12 december van 34

8 3 Hoofdprincipes van informatiebeveiliging Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de vertrouwelijkheid, integriteit en beschikbaarheid van alle vormen van informatie binnen een organisatie garanderen, met als doel de continuiteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken (bron: wikipedia.n1). Dit leidt tot de volgende hoofdprincipes voor informatiebeveiliging: VERTROUWELIJKHEID: De data-eigenaar verschaft alleen geautonseerde VO». Het beperken van de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie tot een gedefinieerde groep van gerechtigden. De vertrouwelijkheid van gegevens wordt o.a. gegarandeerd door: logische toegangsbeveiliging (1-15.); versleuteling, zonering en filtering (H6). INTEG RIT t dats-verantwoordellike waarborgt de Integriteit van gave HetHetin overeenstemming laten zijn van informatie met de werkelijkheid en garanderen dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid). De integriteit van gegevens en systemen wordt o.a. gegarandeerd door: logische toegangsbeveiliging (I-); zonering en filtering (I-); application controls systeemintegriteit (H8) en onweerlegbaarheid (H9). AARHEID: De beschikbaarheid van 1-t- F M en IT voldoet aa Informatie is toegankelijk en kan gebruikt worden. De beschikbaarheid van gegevens en systeemfuncties wordt o.a. gegarandeerd door verhogen continuïteit, o.a.herstelbaarheid en beheersing van verwerkingen, en redundantie (H10). Voor alle 3 hoofdprincipes geldt controleerbaarheid door middel van logging en monitoring (H11). Afgeleide principes Een belangrijke richting die volgt uit het concern IB beleid en past bij de uitgangspunten van "verdedig de organisatie" is het hanteren van een zogenaamde "Defence in Depth" strategie: Concern Intormatiebeveiliging 12 december van 34

9 ' pas beveiliging op meerdere lagen toe; focus op zowel mens (gedrag, processen) als techniek (ICT infrastructuur). P-IB-01 G e m e e n t e Rotterdam hanteert een "Delence Depth".stratpgle. Door een gelaagde benadering is Gemeente Rotterdam beter in staat om zich te beveiligen tegen een verscheidenheid aan risico's. Een gelaagde beveiliging vermindert het risico op een "single point of vulnerability". Dit betekent dat beveiliging in meerdere lagen wordt ingericht (administratief, fysiek, technisch (netwerk, hardware, software, etc)). De IB architectuur is onderdeel van de concern architectuur. De concern procesarchitectuur beschrijft een aantal belangrijke uitgangspunten voor de IB architectuur: Bedrijfsprocessen hebben een eigenaar (van belang voor bijvoorbeeld autorisatie). De architectuur is service georiënteerd (IB moet hierin kunnen voorzien). Bedrijfsprocessen zijn niet organisatie gebonden (de scope is breder dan Rotterdam!). H o e hoger het abstractieniveau waarop beveiliging plaats vindt (d.w.z. geringe differentiatie in te beveiligen componenten), hoe lager de beheerlast en hoe lager de kosten, maar tegelijkertijd: hoe lager de mogelijkheden tot hergebruik. Verlagen van de beheerlast verdient de voorkeur, maar niet te koste van de passendheid van maatregelen. Binnen de Rotterdamse architectuur wordt beveiliging bij voorkeur als onafhankelijke generieke functie ingericht los van systemen of services. Daarbij geldt dat beveiliging van geautomatiseerde services ook geautomatiseerd plaats moet kunnen vinden. gevat van gedeelde maatregelen en Centralisatie van beveiliging geeft minder beheerlast door hergebruik. Centralisatie verkleint de kans op fouten in beveiligingsmaatregelen. Het toepassen van algemene beveiligingsmaatregelen zoals het gebruik van firewalls gebeurt centraal en niet voor elk IT-component afzonderlijk. Concern Informatiebeveiliging 12 december van 34

10 4 Classificaties De beveiligingsclassificatie is een logische groepering van systemen en services waarvoor dezelfde beveiligingsmaatregelen gelden. Er wordt geclassificeerd op basis van de 3 hoofdprincipes: vertrouwelijkheid, integriteit, beschikbaarheid. Concern IB beleid onderscheidt de volgende niveaus: g i a l a r o eieheld, Geen Openbaar informatie mag door iedereen worden ingezien (de gemeentelijke website) LAAG Bedrijfsvertrouwelijk informatie is toegankelijk voor alle medewerkers van de organisatie (het intranet) MIDDEN Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep (de belastingadministratie) HOOG Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (de basisregistratie personen) Niet zeker informatie mag worden veranderd (templates en sjablonen) Beschermd het bedrijfsproces staat enkele (integriteits-)fouten toe (rapportages) Hoog het bedrijfsproces staat zeer weinig fouten toe (vergunningverlening) Absoluut het bednjtsproces staat geen fouten toe (de gemeentelijke website) Niet nodig gegevens kunnen zonder gevolgen niet beschikbaar zijn (tools) Nodig informatie mag (incidenteel) niet beschikbaar zijn (administratieve gegevens) Belangrijk informatie moet vrijwel altijd beschikbaar zijn (sociale dienst systeem) Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen (gegevensmagazijn) De eigenaar van de data bepaalt de classificatie. De data-eigenaar is verantwoordelijk voor classificatie. De data-eigenaar bepaalt wie toegang krijgt tot welke gegevens en kiest op basis van beveiligingseisen passende beheersmaatregelen. De data-eigenaar is bekend met specifieke wet- en regelgeving t.a.v. gegevensbescherming (bijv. Suwi) en de beveiligingseisen die hieruit voortvloeien. Dit is onderdeel van de classificatie. We beveiligen niet meer dan nodig is. P [ A l l 1 7Erwordtgestrefdnarenzolagrnogelijiclasiftcatienive Te hoge classificatie leidt tot onnodige kosten en verstoring van de prioriteitstelling bij het nemen van beheersmaatregelen. Informatie wordt niet meer beveiligd dan strikt noodzakelijk. Concern Informatiebeveiliging 12 december van 34

11 4.1 Vertrouwelijkheid In onderstaande tabel staan de belangrijkste maatregelen voor vertrouweliikheid. Deze zijn in hoofdstuk 5, 6 en 11 verder uitgewerkt. De kolommen (niveaus) zijn cumulatief. LAAG (bodrijtswertrouwetijk) laag + laag en midden + Identificatie Gebruikers zijn uniek herleidbaar Gescheiden beheer en gebruikers accounts Identiteit informatie is actueel en wordt jaarlijks geverifieerd door leidinggevende Geen 'gedeelde functionele identiteiten' Identiteiten worden 2 x per jaar geverifieerd door leidinggevende Identiteiten worden 4 x per jaar geverifieerd door leidinggevende Authenticatie Authenticatie obv 'informatie' (naam/wachtwoord) Wachtwoorden versleuteld Authenticatie obv 'informatie en 'eigenaarschap' (2-factor) vanuit (semi)onvertrouwde zone Sessie time-out bij inactieve sessie Authenticatie obv 'eigenschap' (biometrie) optioneel Geen SSO toegestaan Absolute sessie time-out Autorisatie Autorisatie obv 'lid van organisatie' Autorisatie wordt jaarlijks geverifieerd onder verantwoordelijkheid eigenaar Aanvragen door bevoegde aanvrager Autorisatie obv vooraf gedefinieerde functionele rol (doelbinding, noodzakelijkheid) Autorisaties vallen aantoonbaar samen met begin en einddatum van een dienstverband of functiewijziging. Autorisaties worden vooraf geaccordeerd door data-eigenaar Versleuteling Versleuteling tijdens transport buiten netwerk van Gemeente R'dam via transportbeveiliging of bericht beveiliging Lifecycle management van cryptosleutels dient gewaarborgd te zijn Cryptosleutels worden beschermd Versleuteling van webverkeer (intern en extern) Versleuteling tijdens transport EN bij opslag van gegevens Bescherming sleutels met gecertificeerde cryptohardware Zonering Aparte zone voor classificatie laag vereist Aparte zone voor classificatie midden vereist Geen lokale opslag van data Aparte zone voor classificatie hoog vereist Transport van gegevens minimaliseren Filtering Filtering op verkeersstromen en content (malware, spyware, etc.) m.b.t. inkomend verkeer vanuit externe/onvertrouwde zone Filtering op verkeersstromen van en naar andere zones Logging & Monitoring Logging tbv fouten, niet toegestane acties en werking van maatregelen Actieve monitoring op 'reguliere' dreigingen Aanvullende logging traceerbaarheid op natuurlijk persoon Actieve monitoring en aterling bij inbreuk op beveiliging Bewaren conform wettelijke eisen en/of contractuele afspraken (voor zover niet in strijd met wetgeving) Concern Intormatiebeveiliging Datum 12 december 2014 Pagina 11 van 34

12 ' 4.2 Integriteit In onderstaande tabel staan de belangrijkste maatregelen voor integriteit. Deze zijn in hoofdstuk 5, 6, 7, 8, 9 en 11 verder uitgewerkt. De kolommen (niveaus) zijn cumulatief. laag + laag en midden + Identificatie Zie tabel vertrouwelijkheid Zie tabel vertrouwelijkheid Zie tabel vertrouwelijkheid Authenticatie Zie tabel vertrouwelijkheid Zie tabel vertrouwelijkheid Zie tabel vertrouwelijkheid Autorisatie Zie tabel vertrouwelijkheid Geeft invulling aan de eisen voor functiescheiding Geeft invulling aan de eisen voor functiescheiding Versleuteling Zie tabel vertrouwelijkheid Zie tabel vertrouwelijkheid Zie tabel vertrouwelijkheid Zonering Zie tabel vertrouwelijkheid Zie tabel vertrouwelijkheid Zie tabel vertrouwelijkheid Filtering Zie tabel vertrouwelijkheid Zie tabel vertrouwelijkheid Zie tabel vertrouwelijkheid Functie scheiding Procestaken zijn gescheiden Beheer en gebruik zijn gescheiden Aparte goedkeuring taak bij verwerkingen Proces ontwerp aanwezig Invoer controle Invoercontrole op volledigheid en consistentie Pre-fill van bekende gegevens Inzage en recht op wijzigen van gegevens door klant Ingevoerde klantgegevens worden bevestigd aan klant met optie tot correctie Kritische gegevenselementen worden verplicht ingevuld Uitvoer controle Controle op overbodige systeeminformatie Uitvoer beperkt tot voor de functie noodzakelijke gegevens. Afdrukken van gegevens via applicatietaak Uitvoer voldoet aan wettelijke vormvoorschriften Controle van de juistheid van de uitvoer Systeemintegriteit Hardening vereist Uitvoeren van toegestane 'mobile code' in geisoleerde omgeving 'Persistant messaging' vereist Noodstop mechanisme Generatievalidatie en herstelmechanisme Onweerlegbaarheid geen Elektronische handtekening vereist bij formele communicatie - Wederzijdse authenticatie vereist Gekwalificeerde elektronische handtekening vereist bij formele communicatie Audit-trail is onweerlegbaar Logging & Monitoring Zie tabel vertrouwelijkheid Vastleggen relevante input en output validatie Vastleggen oude staat van te wijzigen gegevens. Concern informatiebeveiliging 12 december van 34

13 4.3 Beschikbaarheid In onderstaande tabel staan de belangrijkste maatregelen voor beschikbaarheid. Deze zijn in hoofdstuk 10 en 11 verder uitgewerkt. De kolommen (niveaus) zijn cumulatief. laag + l a a g en midden + Herstel van Back-up & restore Buffering van tussenbestanden bij Real-time fail-over en via load verwerkingen Handmatige fail-over standby in langere ketens balancing op beide datacenters tweede datacenter Automatische fail-over en laad actief Calamiteiten plan (disaster balancing Jaarlijks getest calamiteiten en recovery) Business continuity plan business continuity plan Herstel op werkdagen tijdens Beperkt herstel buiten kantooruren Herstel 24x7 kantooruren Redundantie geen Dubbele uitvoering voorzieningen Zo mogelijk gescheiden locaties Voorkomen Melding van overschrijding van Controle op weerbaarheid via van dis- drempelwaarden technisch onderzoek op het continuïteit Maatregelen tegen doelbewuste verstoring ICT van buiten, denk niveau van netwerken, protocollen en applicaties aan anti-ddos maatregelen (preventief) Applicaties zijn geschikt gemaakt voor automatische fail-over Geen SPOF Systeemintegriteit Onnodige en ongebruikte functies zijn uitgeschakeld Gebruik systeemhulpmiddelen beperkt Uitvoering mobile code wordt voorkomen 'Persistant messaging vereist Remote beheer niet toegestaan Logging & Zie tabel vertrouwelijkheid Loggen performance en resource Verantwoording voor alle error Monitoring Loggen verstoren productieproces gebruik logs. Trending uitvoeren op logging Concern Informatiebeveiliging Datum 12 december 2014 Pagina 13 van 34

14 DEEL 2: Beheersmaatregelen In de volgende hoofdstukken zijn de beheersmaatregelen zoals in classificatietabellen opgenomen verder uitgewerkt en toegelicht. De beheersmaatregelen zijn gebaseerd op versie 4 van het beveiligingskatern van de Nederlandse Overheid Referentie Architectuur (NORA). Concern informatiebeveiliging 12 december van 34

15 5 Logische toegang Logische toegangscontrole door middel van identificatie, authenticatie en autorisatie zorgt ervoor dat een persoon, organisatie of IT-voorziening uitsluitend gebruik kan maken van functies, waarvoor deze door middel van een aanvraagproces toegangsrechten heeft verkregen (HP-IB-01, HP-IB-02). 5.1 Identificatie IG 01 Gebruikers van systemen en Informatk: uniek herleidbeter Alle gebruikers van gegevens of systeemfuncties zijn uniek herleidbaar tot één natuurlijke persoon, organisatie of IT-voorziening. Natuurlijke personen organisaties of IT-voorzieningen worden geidentificeerd door een unieke identificatie. Vrijgesteld van identificatie zijn gebruikers met toegang tot systemen die alleen algemeen toegankelijke informatie ontsluiten (classificatie: geen). Systeemprocessen hebben een eigen gebruikersnaam voor zover deze processen handelingen verrichten voor andere systemen of gebruikers. Beheerders hebben naast een regulier account zonder administrator rechten ook een persoonlijk administrator account voor beheer taken. In de operatie worden beheerwerkzaamheden en werkzaamheden als gewone gebruiker onder twee verschillende gebruikersnamen uitgevoerd. Het gebruik van algemene beheeraccounts (root, administrator) is uitgeschakeld, als gebruik onvermijdelijk is moet herleidbaarheid, doelbinding én onweerlegbare logging gecombineerd toegepast worden. Toegangsbeveiliging is geimplementeerd op alle middelen die gegevens bevatten of verwerken. Identiteitsinformatie is actueel en wordt jaarlijks gecontroleerd door de leidinggevende. De frequentie is afhankelijk van de classificatie. Ike identiteit gewerkt (voorclassificatienlveau Ia g). D o e l is minimaliseren van de beheerlast. D e externe partij is verantwoordelijk voor het beveiligen van toegang tot het juiste niveau en het intern zorg dragen van authenticatie en autorisatie. Dit zal formeel vastgelegd moeten worden als onderdeel van de SLA/contract. (Afhankelijk van het classificatieniveau wordt gekozen voor R of R-I8-03). classificatien O m te kunnen voldoen aan hogere classificatieniveaus is het belangrijk dat een identiteit is terug te voeren op een individu. E r mogen bij hogere classificatieniveaus geen algemene functionele identiteiten zoals stagiair of extern worden gebruikt. (Afhankelijk van het classificatieniveau wordt gekozen voor R of R-18-03). Concern Intormatiebeveiliging Datum 12 december 2014 Pagina 15 van 34

16 Gegevensuitwisseling ondersteunt virtualisatie, provisioning en realtime identificatie. Gegevensuitwisseling biedt, gebruikmakend van de bronsystemen, de volgende mogelijkheden voor identificatie: Virtualisatie op basis van één service waarmee gezocht kan worden binnen alle verschillende identiteitstypen en bronnen. Wijzigingen op identiteiten gebeurt in de bronsystemen zelf. Provisioning via het geautomatiseerd doorsturen van wijzigingen met betrekking tot identiteiten vanuit bronsystemen naar externe hostingproviders (het is niet toegestaan rechtstreeks te integreren met de concernvoorzieningen voor authenticatie en autorisatie). Het aanbieden van een real-time interface per identiteitstype die de authenticatie- en autorisatievoorzieningen gebruiken om identiteitsgegevens te ontsluiten. D e initiële aanvrager wordt geautoriseerd voor het gebruik van systemen, niet het tussenstation. Afhankelijk van de classificatieniveaus is het voor logging- en monitoringdoeleinden vereist dat de initiële aanvrager bekend is. Tussenstations zoals de gegevensuitwisseling component moeten in staat zijn identiteitsgegevens van de initiële aanvrager door te sturen (propagatie) aan achterliggende systemen die authenticatie en autorisatie uit laten voeren. Gebruik van bestaande voorzieningen voorkomt dat we het wiel opnieuw uitvinden, verhoogt herkenbaarheid voor gebruikers en verlaagt de kans op beveiligingsrisico's als gevolg van lokale realisatie. Voordat beveiligingsvoorzieningen gerealiseerd worden, wordt eerst gekeken naar bestaande voorzieningen. 5.2 Authenticatie. e Alvorens toegang wordt verleend, wordt de identiteit van de gebruiker of ander sub-ct dat om to-!an. vraast, vast!esteld door middel van authenticatie. Bij het intern gebruik van IT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoorden (classificatieniveau laag). Voor de classificaties midden en hoog wordt sterke authenticatie (2-factor) gebruikt (zie R-IB-08). Wachtwoordbestanden worden gescheiden opgeslagen van gegevens van de toe..ssin! en zin alti. versleuteld. Concern Informatiebeveiliging Datum 12 december 2014 Pagina 16 van 04

17 Het wachtwoord wordt niet getoond op het scherm. Automatisch inloggen van gebruikers (via bijv. cookies) is niet toegestaan. Expiratiedatums van accounts vallen samen met de einddatum van de contracten van de medewerkers. Nadat voor een gebruikersnaam meerdere keren een foutief wachtwoord gegeven is wordt het account geblokkeerd. Netwerksessies worden na een vastgestelde periode van inactiviteit afgesloten (sessie time-out). Bij classificatie hoog geldt een absolute sessie time-out. Het systeem toont uitsluitend voor de aanmeldina noodzakelijke informatie. Authenticatie vindt afhankelijk van de classificatie plaats via de volgende mechanismen: Informatie: kennis die alleen bij die bepaalde identiteit bekend is ('iets wat hij weet'), bijvoorbeeld inlognaam en wachtwoord. Eigenaarschap: een attribuut ('iets wat hij heeft) dat een identiteit bezit; bijvoorbeeld een certificaat of token. Eigenschap: een unieke eigenschap van een identiteit zoals stem, iris en vingerafdruk (iets wat hij is') E r zijn 3 authenticatieniveaus: Laaq: mechanisme gebaseerd op "informatie". Midden: mechanisme gebaseerd op "informatie" en "eigenaarschap". Hooq: mechanisme gebaseerd op "informatie" en "eigenaarschap" en (optioneel) "eigenschap" Interceptie en misbruik van authenticatiegegevens is een beveiligingsrisico met mogelijk grote gevolgen. Gegenereerde tokens en handtekeningen hebben de voorkeur boven een statisch versleutelde inlognaarn/wachtwoord combinatie. SSO wordt ingezet t.b.v. gebruikersvriendelijkheid maar is ondergeschikt aan beveiliging. Inzet is beperkt tot classificatieniveaus laag en midden. SSO neemt de verschillende authenicatieniveaus in acht, houdt zich aan de (absolute) sessie-timeout, is niet toegestaan op classificatieniveau hoog en wordt periodiek geëvalueerd op beveiligingsrisico's. Autorisatie Autorisaties zijn ingesteld op basis van een autorisatiematrix, waarin aan! -!even is welke rollen welke rechten ontvan!en Concern informatiebeveiliging Datum 12 december 2014 Pagina 17 van 34

18 De technische implementatie van autorisaties naar autorisatiegroepen is in overeenstemming met de ontwerp- of systeemdocumentatie. Speciale (systeem)bevoegdheden zijn in aparte autorisatiegroepen opgenomen. De registratie van gebruikers en verleende toegangsrechten is zoveel mogelijk centraal geregeld (single-point-of-administration). Voor groeperingsmechanismen geldt een naamgevingconventie die aansluit op stabiele en concernbrede uitgangspunten. Toepassingen mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user) draaien. De taken die met (tijdelijk) hogere rechten uitgevoerd worden kunnen niet onderbroken of afgebroken worden met als gevolg dat deze hogere rechten voor andere doeleinden gebruikt (misbruikt) kunnen worden. Gebruikers krijgen geen algemene commando-omgeving tot hun beschikking. Bij het overnemen van werkstations door beheerders om te kunnen meekijken op het werkstation wordt technisch afgedwongen dat hiervoor eerst toestemming aan de gebruiker wordt gevraagd. De gebruiker kan op elk moment de verleende toestemming intrekken. Systeemdata programmatuur en toepassingsgegevens zijn van elkaar gescheiden. Dat wil zeggen dat de bestanden zoveel mogelijk in eigen directory's of partities geplaatst worden. Er zijn in productiezones geen hulpmiddelen toegankelijk die het systeem van logische toegangsbeveiliging doorbreken of de integriteit van de productieverwerking kunnen aantasten. Een rolgebaseerd autorisatiemodel vermindert de beheerlast door identiteiten niet meer rechtstreeks aan permissies te koppelen, maar autorisatie op basis van andere attributen toe te passen. Om autorisaties te kunnen herleiden wordt autorisatie uitsluitend verleend aan de initiële aanvrager van het systeem, service of gegeven. Rollen onderkennen organisatorische eenheden en functies. Dit zorgt in combinatie met rolgebaseerde autorisatie voor een vermindering van de beheerlast en betere aanpasbaarheid. Hiërarchische en organisatorische verhoudingen resulteren niet in overerving van autorisaties. Het autorisatiemodel moet het 4-ogen principe middels functiescheiding ondersteunen. Het autorisatiemodel moet machtigingen ondersteunen. De data-eigenaar is eindverantwoordelijke voor autorisaties en overziet het proces van uitgifte van autorisaties. Autorisaties worden periodiek gecontroleerd onder verantwoordelijkheid van de data-eigenaar, ten minste 1 x per jaar, afhankelijk van de Concern informatiebeveiliging 12 december van 34

19 classificatie. Autorisatiecontroleurs zijn leidinggevenden die inhoudelijke kennis hebben van zowel de geautoriseerde medewerkers als de risico's van onbevoegde toegang. Periodiek wordt door functioneel beheer gerapporteerd over de verschillende autorisatieprofielen inclusief de identiteiten die hieraan gekoppeld zijn, ten minste 1 x per jaar, afhankelijk van de classificatie. Aanvragen worden geverifieerd. In de loop der tijd kunnen "verworven" rechten ontstaan buiten de normale autorisatieregels om. Het ontstaan van opstapeling van rechten moet voorkomen worden. Elke identiteit heeft "just enough" autorisatie voor de uitvoering van zijn taak. Hierarchische en organisatorische verhoudingen resulteren niet in overerving van autorisaties. Voor tijdelijke werkzaamheden buiten de normale taak om, worden tijdelijke autorisaties toegepast, waarbij een expiratiedatum verplicht is. Er wordt onderscheid gemaakt tussen beheer- en gebruikerspermissies. Concern Intormatiebeveiliging 12 december van 34

20 6 Zonering en filtering Zonering verdeelt de IT-infrastructuur in zones op basis van classificaties om isolatie van onderdelen mogelijk te maken. Filtering beschermt zones tegen aanvallen, indringers, ongewenste inhoud en virussen, waardoor diensten onbereikbaar worden of onrechtmatige toegang tot gegevens of systemen wordt verkregen (HP-IB-01, HP-IB-02). 6.1 Zonering D e indeling van zones binnen de technische infrastructuur vindt plaats volgens een vastgesteld inrichtingsdocument (configuratiedossier) waarin is vastgelegd welke uitgangspunten gelden voor de toepassing van zonering. Een zone heeft een gedefinieerd beveiligingsniveau. De maatregelen van logische toegangsbeperking zijn van toepassing op alle IT-voorzieningen in een zone. Er zijn aparte zones voor de drie verschillende classificatieniveaus laag, midden en hoog. In zone hoog wordt elk systeem geïsoleerd. Uitwisseling van gegevens tussen zones vindt uitsluitend plaats via een gedefinieerd koppelvlak. Er zijn aparte zones voor Ontwikkeling, Test, Acceptatie en Productie. Interne systemen wisselen gegevens uit met ketenpartners en klanten via een centrale interne zone (DMZ) en een vertrouwde externe zone. Voor de uitwisseling van gegevens met derden (niet openbare gegevens) worden besloten en gescheiden externe zones (vertrouwde derden) gebruikt. In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan. Het DMZ bestaat uit verschillende zones op basis van classificaties en/of scheidi van externe ko..elin 6.2 Filtering a_igest D i n g iren damegir te varbruaaan o vatsclai in bevellkilnissrateeau... i... Er vindt controle plaats op protocol en richting van de communicatie en op gegevensuitwisseling. Niet toegestane verbindingen worden geblokkeerd of er wordt verhinderd dat deze tot stand komen. In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om aanvallen te signaleren en te kunnen blokkeren. Al het gegevensverkeer vanuit externe of onvertrouwde zones wordt realtime inhoudelijk geinspecteerd op inbraakpogingen. Een update van aanvalspatronen vindt frequent plaats. De uitvoer van systemen waarmee gevoelige informatie wordt verwerkt Concern Informatiebeveiliging 12 december van 34

21 wordt alleen verzonden naar computers en locaties met een autorisatie. Versleutelde gegevensstromen van en naar de externe zone kunnen worden ontsleuteld voor inhoudelijke controles t.b.v. informatieveiligheid. E -mailberichten met bijlagen worden uitsluitend doorgelaten op basis van geformaliseerde afspraken over de coderingsvorm (extensie) van de bijlage. De codering wordt gecontroleerd. Berichten en bestanden met een omvang boven een vastgestelde grenswaarde worden geblokkeerd om problemen met beschikbaarheid te voorkomen. Er is programmatuur actief die berichten en webpagina's blokkeert met kwaadaardige code. Een update van antivirusdefinities vindt dagelijks (of zo vaak als nodig) plaats. Er is een spam en phishing filter geactiveerd voor zowel ontvangen als verzonden berichten. Een update van het filter vindt dagelijks (of zo vaak als nodig) plaats. Op alle werkstations en daarvoor in aanmerking komende servers is antimalware programmatuur resident actief. Een update van malware definities en/of programmatuur kan op ieder moment (handmatig) uitgevoerd worden. Voor anti-malware wordt programmatuur van verschillende leveranciers toe e ast in overeenstemmine met het 'defense in de th' rinci e IT beheer dient aan te kunnen tonen dat de zonering gecontroleerd wordt op uiste inhoud. Zones worden periodiek gecontroleerd onder verantwoordelijkheid van de dataeigenaar. 6.3 Versleuteling R-I13-18 Gegevens hiannlifflegelwn v e r s l e u t classificatie ro ISO ,1 De communicatie en de opslag van gegevens die buiten de invloedsfeer van de logische en fysieke toegangsbeveiliging maar wel binnen de eigen beheeromgeving vallen of waarvoor onvoldoende beheersmaatregelen bestaan, zijn door versleuteling beschermd afhankelijk van classificatie. Afhankelijk van de classificatie dient versleuteling te worden toegepast in de volgende situaties: o bij beheersessies over het eigen netwerk; o bij datatransport over (semi)onvertrouwde netwerkwerken of om een hoger beveiligingsniveau te bereiken; o bij datatransport via mobiele datadragers buiten de reikwijdte van de (logische en fysieke) toegangsbeveiliging van een organisatie; o bij draadloze datacommunicatie; o voor wachtwoorden die worden opgeslagen of verzonden. De gebruikte cryotografie is conform 'best ractices'. Concern Informatiebeveiliging Datum 12 december 2014 Pagina 21 van 34

22 Er is in het kader van de naleving van de relevante contracten, wetten en/of voorschriften rekening gehouden met de beperkingen op de import en/of export van apparatuur en programmatuur met cryptografische functies en het gebruik van versleutelingstechnieken. 6.4 Sleutelbeheer R Cryptografische sleutels zijn vertroinvele en tpteg Brom ISO 27001:201310,1 D e vertrouwelijkheid en integriteit van cryptografische sleutels is gewaarborgd tijdens het gehele proces van generatie, transport, opslag, archivering en vernietininc van de sleutels. Cryptografische sleutels en certificaten kennen een geldigheidstermijn die is afgestemd op het kritische gehalte van de toepassing. Sessie-encryptie met een unieke sessiesleutel heeft de voorkeur boven encryptie met periodiek te wijzigen sleutels. Generatie en installatie van private keys, master keys en root certificates vinden plaats binnen een beschermende omgeving van cryptohardware. Cryptohardware is lamper-resistant. Dit betekent dat er bijzondere voorzieningen zijn getroffen tegen onbevoegde kennisname van de opgeslagen cryptosleutels bij een fysieke inbreuk op de hardware. Interactieve bediening van cryptohardware vindt plaats volgens het vierogen-principe. Concern informatiebeveiliging 12 december van 34

23 7 Application controls Applications controls (administratieve controles in programmatuur) waarborgen de volledige en accurate gegevensverwerking van input tot output (HP-IB-02). 7.1 Functie- en processcheiding Niemand in een organisatie of proces mag in staat worden gesteld om een gehele procescyclus te beheersen. Bewarende, registrerende, uitvoerende, controlerende en beschikkende taken zijn gescheiden. Indien dezelfde gegevens in meer gegevensverzamelingen voorkomen worden mutaties altijd vanuit één gebruikersorganisatie in één gegevensverzameling gemuteerd waarbij die mutaties automatisch en als zodanig herkenbaar in de audittrail worden overgebracht (gekopieerd) naar de andere gegevensverzamelingen. Stamgegevens hebben een doorlopende betekenis in processen. Bij massale data-invoerprocessen worden eerste invoer, controle-invoer en het aanbrengen van correcties n.a.v. uitgevoerde applicatiecontroles of signaleringen als afzonderlijke (applicatie)taken onderkend. Bij gegevens met een algemeen belang voor de integriteit van de gehele verwerking of bij het vaststellen van gegevens met een aanzienlijk financieel belang wordt een aparte applicatietaak voor het goedkeuren gecreëerd om de beschikkende functie beter te ondersteunen. De verwerking van de ingevoerde gegevens vindt pas plaats nadat goedkeuring (door een andere gebruiker) heeft plaatsgevonden. Als applicaties bestemd zijn voor gebruikersorganisaties waarin kortcyclische taakroulatie aan de orde is worden de historie van gebruiker-id's en uitgevoerde applicatietaken per 'zaak" (dossier) vastgelegd en op onverenigbaarheid van taken gecontroleerd voordat een taak voor een bestaande "zaak" voor een gebruiker ter beschikking komt. Workflow Management Systemen zijn speciaal toegerust om dit te realiseren. Indien verschillende behandelgroepen binnen een centrale gegevensverzameling zijn te onderscheiden worden de applicatietaken afhankelijk gemaakt door de identificatie van deze groepen te controleren met de inhoud van de gegevens. Systeem- en applicatiebeheertaken zijn gescheiden van de overige gebruikerstaken. Voor de betrouwbaarheid van processen en de gegevensverwerking kan het noodzakelijk zijn dat bepaalde processtappen in een bepaalde volgorde plaatsvinden. Om de verantwoordelijkheden voor gegevens eenduidig in een organisatie te kunnen toewijzen, is voor het muteren van gegevens een zodanig consistente set applicatietaken aanwezig dat mutatiebevoegdheden j Concern intormatiebeveiliging 12 december van 34

24 7.2 Invoercontrole eenduidig binnen één organisatiedeel van gebruikers toegewezen kunnen worden. Alleen een batchgewijze eerste opvoer vanuit een andere applicatie of een systeemvreemde omgeving mag hierop (in de audittrail herkenbaar) inbreuk maken. Voor alle bovenstaande zaken zijn procesbeschrijvingen en workflows gedocumenteerd en beschikbaar. Alle ingevoerde gegevens vanuit een systeemvreemde omgeving worden op juistheid, tijdigheid en volledigheid gecontroleerd voordat verdere verwerking plaatsvindt. Er bestaan verschillende applicatietaken voor invoeren, wijzigen en verwijderen om de juiste invoercontroles (geautomatiseerd of handmatig) mogelijk te maken. Er bestaan voldoende mogelijkheden om al ingevoerde gegevens te kunnen corrigeren door er gegevens aan te kunnen toevoegen en/of te verwijderen. In een keten van verwerkingen worden invoercontroles zoveel mogelijk bij de bron uitgevoerd. De invoervelden van elektronische formulieren worden zoveel mogelijk tevoren ingevuld met al vastgestelde gegevens. Ingevoerde klant gerelateerde gegevens worden aan de klant als apart proces bevestigd met het verzoek de gegevens te controleren en meteen te (laten) wijzigen bij fouten. Klanten hebben inzage in hun eigen gegevens en worden gestimuleerd hun gegevens op eigen initiatief te wijzigen indien nodig. Ten behoeve van de controle op tijdigheid van ontvangst en verdere verwerking wordt per verwerking de datum vastgelegd op basis van de (centraal gesynchroniseerde) systeemdatum. De ingevoerde gegevens vormen een complete en consistente gegevensset in de context van de applicatie. De toegestane waarden van de ingevoerde gegevens worden op juistheid gecontroleerd om de volgende fouten te ontdekken: o waarden die buiten het geldige bereik vallen; o ongeldige tekens in invoervelden; o ontbrekende of onvolledige kritische gegevens; o overschrijding van boven- en ondergrenzen voor gegevensvolumes (buffer overruns/overflows); o inconsistentie ten opzichte van andere gegevens binnen invoer dan wel in andere gegevensbestanden. Foutieve invoer wordt geweigerd. Onwaarschijnlijke invoer wordt gesignaleerd. Dubbele invoer wordt voorkomen. Gegevens die kritisch zijn voor de toepassing worden verplicht ingevuld. Concern Informatiebeveiliging Datum 12 december 2014 Pagina 24 van 34

25 7.3 Uitvoercontrole R Co- nsequentie Bij gegevensverweridnwordt ullvoer :.-= De uitvoerfuncties van programma's maken het mogelijk om de juistheid, gheid en/of volledigheid van de gegevens te kunnen vaststellen. De uitvoer (elektronisch of op papier) bevat alleen die gegevens die nodig zijn voor de doeleinden van de ontvanger. Uitvoer wordt gecontroleerd op overbodige systeeminformatie zoals bij foutmeldingen. Het maken van een afdruk van gegevens mag alleen plaatsvinden via een applicatietaak en niet via een generieke hardcopy (print screen) functie van de werkstations. Automatisch gegenereerde bescheiden voor klanten voldoen aan de wettelijke vereiste vormvoorschriften. Bij variabele instelmogelijkheden worden de selectiecriteria die gebruikt zijn om de uitvoer te bepalen, op de desbetreffende uitvoerlijsten afgedrukt. Bij verzending van berichten waarbij risico's op juridische geschillen mogelijk zijn worden voorzieningen getroffen die volledige verzending en authenticiteit kunnen aantonen. Batchuitvoer bevat controletellingen die zijn gebaseerd op tijdens de computerverwerking opgebouwde tellingen. Indien tellingen worden overgenomen uit bestanden is dat kenbaar gemaakt op de uitvoerlijsten. 7.4 Controle van gegevensverwerking Applicaties bieden de mogelijkheden om te constateren dat alle ter verwerking a a n g e b o d e n invoer juist, volledig en tijdig is verwerkt. De risico's van verlies van transactionele integriteit bij het verwerken van gegevens in lange ketens wordt opgevangen op applicatieniveau als verwerkingszekerheid vereist is. In de verwerkingsverslagen wordt bij batch-gewijze informatieverstrekking aan derden naast de uitvoertellingen tevens de ontvangende instantie vermeld. De audit trail bevat voldoende gegevens om achteraf te kunnen herleiden welke essentiële handelingen wanneer door wie of vanuit welk systeem met welk resultaat zijn uitgevoerd. Tot essentiële handelingen worden in ieder geval gerekend: opvoeren en afvoeren posten, statusveranderingen met wettelijke, financiële of voor de voortgang van het proces, de zaak of de klant beslissende gevolgen. De aud it trail wordt bewaard conform wet- en regelgeving. Concern Informatiebeveiliging 12 december van 34

26 8 Systeemintegriteit Systeemintegriteit betreft een verzameling van maatregelen die waarborgen dat IT-voorzieningen binnen voorgeschreven operationele en technische grenzen functioneren en deze niet overschrijden (bijvoorbeeld door bugs of onjuiste configuratie), (HP-IB-02). 8.1 Integriteit van gegevensverwerkingen De technische infrastructuur voor berichtverwerking is zodanig ontworpen en ingericht, dat foutsituaties worden voorkomen of herkend en dat functioneel beheer over foutbestanden mogelijk is. Infrastructuur bevat logica die beheer van foutbestanden mogelijk maakt. Bericht verwerkende infrastructuur past foutloze berichtenverwerking toe (Persistent Messaging). Foutbestanden worden niet gebruikt als opslagmechanisme (buffering). Voor tijdelijke opslag van berichten in verwerkingsketens worden aparte tussenbestanden gebruikt. Stapelen van fouten wordt voorkomen door toepassing van noodstop' mechanismen. Juist verwerkte resultaten worden hierdoor niet noodgedwongen naar een foutief verwerkingsproces gestuurd. De planning van reguliere batchprogramma's is gebaseerd op de aangegeven tijdstippen en volgorde volgens de systeemdocumentatie en houdt rekening met de afhankelijkheden die er tussen verwerkingen en met andere applicaties kunnen bestaan, start van de eerste taak en beeindiging van de laatste taak. Onderdelen voor verwerking van batches worden pas opgestart nadat voorafgaande verwerkingen succesvol zijn beëindigd. Generatievalidatie- en herstelmechanismen voorkomen dubbele of onvolledige verwerkingen en borgen onderlinge verwerkingsrelaties bij het oplossen van productiefouten. Bij uitwisseling van bestanden tussen centrale en decentrale servers of met externe partijen wordt met een apart file-transfermechanisme zeker gesteld dat uitwisseling niet achterwege blijft of dubbel plaatsvindt tenzij beheersing geheel kan plaatsvinden volgens generatievalidatie- en herstelmechanismen. Er wordt een logbestand aangemaakt van de activiteiten die tijdens de verwerking plaatsvinden. 8.2 Hardening I T systemen die vitale beveiligingsfuncties vervullen, bevatten geen onnodige en ongebruikte functies. Concern Intormatiebeveiliging 12 december van 34

27 Onnodige en ongebruikte functies (in besturingssystemen, servers) zijn uitgeschakeld. Beheermogelijkheden zijn zoveel mogelijk afgesloten. Er is zoveel mogelijk gebruik gemaakt van versleutelde beheermechanismen. Beheer is alleen toegestaan vanaf vooraf gedefinieerde IP-adressen. Voor toegang tot switches wordt gebruik gemaakt van Virtual LAN's (VLAN) en de toegang tot netwerkpoorten wordt beperkt op basis van MAC-adres (port security). eillgingsfuncties van Infrastructu * oveel m I I Ingeschakeld. ' Beveiligingsfuncties in infrastructurele programmatuur en apparatuur worden waar mogelijk ingezet. Voor apparatuur en programmatuur wordt onderzoek gedaan naar hardeningsrichtlijnen en op basis van risico en impactanalyses worden richtlijnen wel of niet geimplementeerd. 8.3 Mobile code 71"9" Als gebruik van 'mobile code wordt toegelaten, dan zorgt de configuratie ervoor dat de geautoriseerde 'mobile code' functioneert volgens een vastgesteld inrichtingsdocument (configuratiedossier) en voorkomt de configuratie dat niettoegelaten 'mobile code' wordt uitgevoerd. Overwegingen bij toegestane 'mobile code' in een geisoleerde omgeving; blokkeren van elk gebruik van niet geautoriseerde 'mobile code'; blokkeren van ontvangen van niet geautoriseerde 'mobile code'; activeren van technische maatregelen die beschikbaar zijn op een specifiek systeem om te waarborgen dat toegestane 'mobile code' wordt beheerd; beheersen van de bronnen die beschikbaar zijn voor toegang tot toegestane 'mobile code'; cryptografische beveiligingsmaatregelen om toegestane 'mobile code' uniek te authenticeren. 8.4 Beperking systeemhulpmiddelen 8-28 G e b r u l k van systeemhulpmiddelen wordt beperkt H e t gebruik van hulpprogrammatuur waarmee maatregelen in systeem- en applicatiesoftware zouden kunnen worden gepasseerd, wordt zoveel mogelijk beperkt. Identificatie-, authenticatie- en autorisatiemechanismen zijn ook voor systeemhulpmiddelen van toepassing. Systeemhulpmiddelen en applicaties zijn gescheiden. Onnodige hulpprogramma's en systeemprogrammatuur zijn verwijderd. Concern informatiebeveiliging 12 december van 34

28 9 Onweerlegbaarheid van transacties Onweerlegbaarheid van transacties betreft waarborgen van authenticiteit en van gegevensuitwisseling (HP-IB-02). 9.1 Integriteitscontrole R De Integriteit (authenticiteit) van het verzonden beriet wordt vastgesteld met behulp van een elektronische handtekening. Bron: ISO 27001: De onweerlegbaarheid via PKI kan verkregen worden door middel van wederzijdse authenticatie van zender en ontvanger aangevuld met controle op de inte a riteit van het bericht. Bij een vertrouwd netwerk: o Er is een betrouwbare berichtendienst. Verzending en ontvangst van berichten worden bevestigd door de berichtendienst of hiervoor worden in de applicaties extra functies opgenomen. Bij een onvertrouwd netwerk: o Er wordt gebruik gemaakt van PKI-Overheid. o De elementen die het bewijs vormen van een elektronische handtekening worden in de vorm van een juridisch logbestand zodanig samen met de originele data bewaard dat datzelfde bewijs in de normale werkstroom van het bedrijfsproces altijd weer is te reproduceren. o De ontvangen en verzonden berichten worden onmiddellijk na ontvangst in de juridische logging vastgelegd voordat enige bewerkin met de a catie aan de orde is. 9.2 Wederzijdse authenticatie Alvorens een transactie mogelijk is, worden de identiteit van de ontvanger of het Conseauentie Zie R ontvangend systeem en de identiteit van de zender van het bericht vastgesteld door middel van authenticatie. Concern Informatiebeveiliging 12 december van 34

29 10 Continuïteit Continuiteitsvoorzieningen voorkomen dat de dienstverlening door storingen en calamiteiten onaanvaardbaar lang stil komt te liggen (HP-IB-03) Herstel van verwerkingen B-31 Maak ver Wedringen herstelbaar. Waarborg de continuiteit van IT-voorzieningen. De bediening van IT-voorzieningen is niet gebonden aan één fysieke locatie. Datacommunicatievoorzieningen beschikken over automatisch werkende alternatieve routeringmechanismen om uitval van fysieke verbindingen op te vangen. Systemen met hogere beschikbaarheidseisen dan het basisniveau beschikken over voorzieningen op het gebied van automatic fail-over en load balancing waarbij de verwerking gespreid is over twee locaties. Indien op grond van deze hogere beschikbaarheidseisen de verwerking is gespreid over twee locaties is de afstand enerzijds zodanig groot dat de kans minimaal is dat beide locaties getroffen worden door dezelfde calamiteit, anderzijds zodanig klein dat herstel van communicatiefouten niet leidt tot nieuwe onherstelbare fouten. Er zijn routines voor back-up en recovery van databestanden en software, voor herstart en foutherstel van verwerkingen. Berichten die van derden zijn ontvangen en naar derden zijn verzonden worden minimaal gebufferd totdat er voldoende zekerheid is over de integere verwerking. Er is voldoende buffering van tussenbestanden bij langere verwerkingsketens. De eisen aan continuiteit zijn vastgelegd in het calamiteitenplan Redundantie Bepaal op basis van de eisen die voortvloeien uit de plannen voor bedrijfscontinuïteit in hoeverre delen van de technische infrastructuur meervoudiz_worden uitgevoerd om single-points-of-failure te vermien. Dubbele uitvoering van voorzieningen: CPU's, de productieversie van de software, gegevensopslag zoals RAID op fileservers en databaseservers, hot of cold stand-by van beheervoorzieningen, clustering technologie van servers, fysieke verbindingen m.u.v. bekabeling binnen kantoorruimten. Zodanige plaatsing van dubbele IT-voorzieningen dat deze niet op één fysieke plaats zijn samengebracht (gescheiden kabels niet via één concern informatiebeveiliging 12 december van 34

30 10.3 Voorkomen discontinuïteit aansluitpunt) en dat er een veilige afstand tussen locaties bestaat. IT-voorzieningen zo mogelijk geografisch spreiden en op dezelfde technologie baseren. Snelle beschikbaarheid van reserve-voorzieningen is gewaarborgd. Er zijn uitwijkcontracten. ft-ib-33 Signaleer discontinultelt voortijde.,bron: SO Probeer in IT-voorzieningen dreigende discontinuiteit van die voorzieningen te voorspellen dan wel te signaleren in een zo vroeg mogelijk stadium. Er worden standaard voorzieningen geimplementeerd om de beschikbaarheid van IT-voorzieningen te bewaken op basis van aanwezigheidssignalen en gebruiksmetingen. Overschrijdingen van drempelwaarden worden doorgegeven aan een Event Console. Deze drempelwaarden kunnen een voorspellende (zoals storage capaciteit) of een signalerende werking (een cyberaanval) hebben. Er is een mechanisme en proces om dergelijke overschrijdingen direct te kunnen signaleren en verwerken. Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke resources zodat enkele gebruikers of een systeem niet een overmatig deel van resources kunnen opeisen en daarmee de beschikbaarheid van systemen in gevaar kunnen brengen. Concern Informatiebeveiliging 12 december van 34

31 11 Logging en monitoring Eisen die erop gericht zijn te kunnen vaststellen dat de IT-voorzieningen in overeenstemming met het vastgestelde inrichtingsdocument (configuratiedossier) functioneren en te signaleren wanneer dit niet het geval is of kan worden (HP-16-01, HP-16-02, HP-IB-03) Logging B-34 BevelligIngsgerelateerde gebeurtenissen worden vastgelegd. Bron:1SO 27001: Handelingen in en meldingen van systeemfuncties in de technische infrastructuur worden vastgelegd in logging ten behoeve van o.a. foutopsporing, traceerbaarheid van niet-toegestane acties, werking van maatregelen en forensisch onderzoek. De volgende uitgevoerde handelingen worden in ieder geval opgenomen in de logging: o gebruik van beheerfuncties en systeemhulpmiddelen; o handelingen van beveiligingsbeheer; o beveiligingsovertredingen; o verstoringen in het productieproces. In een te schrijven logregel wordt in ieder geval weggeschreven: o de naar een natuurlijke persoon herleidbare gebruikersnaam die verzocht een handeling uit te voeren; o het soort handeling; het gegeven commando met de parameters; o waar mogelijk de identiteit van het werkstation of de locatie; o het middel waarop de handeling werd uitgevoerd of waar een event optrad; o het resultaat van de handeling indien dit niet uit het soort handeling is af te leiden; o de datum en het tijdstip van een handeling of event; In een te schrijven logregel worden in geen geval gegevens opgenomen waardoor de beveiliging doorbroken kan worden. Log-informatie wordt bewaard totdat de bewaartermijnen verstreken zijn. Het overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log. Bij het schrijven en opslaan van log-regels wordt zoveel mogelijk gebruik gemaakt van hiervoor ingerichte generieke beveiligingsvoorzieningen. De volledigheid en juistheid van de logging kan worden vastgesteld. Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers waarbij de toegang is beperkt tot leesrechten. Beheerders kunnen instellingen van de logging niet wijzigen of logbestanden verwijderen, tenzij het specifiek hiervoor bevoegde beheerders zijn. Wanneer een systeem een specifieke rol voor auditing kent, dan wordt hiervan gebruik gemaakt bij het raadplegen. Bij de hoogste classificatie wordt de oude staat van gegevens vastgelegd. Concern intormatiebeveiliging 12 december van 34

32 Beheersmaatregelen worden waar mogelijk gelogd om de werking te kunnen Zie R-IB-34 controleren en afwijkingen te kunnen constateren. n te worden door de date- Logging op verzoek van de data-eigenaar dient expliciet te worden aangevraagd en ingericht. Zie R-IB Monitoring gebeurtenissen worn 8lOgg ' - _... Logbestanden worden periodiek geanalyseerd en gecorreleerd om beveiligingsincidenten en de juiste werking van het systeem te detecteren. Periodiek worden er automatisch analyses uitgevoerd op verschillende gebeurtenissen, zoals vastgelegd in logging. Periodiek worden er trendanalyses uitgevoerd en wordt gerapporteerd over relevante gebeurtenissen in de logbestanden. 4. oogzolwaimwm--1 orinifflifflo V W «r - - w a s De hoogstehogsteclassificatie laat nauwelijks foutmarges toe, real-time monitoring voorkomt dat fouten onopgemerkt blijven of zich gedurende langere tijd manifesteren. Real-time worden er automatisch analyses uitgevoerd op verschillende gebeurtenissen, zoals vastgelegd in logging. Periodiek worden er trendanalyses uitgevoerd en wordt gerapporteerd over relevante gebeurtenissen in de logbestanden. Concern Informatiebeveiliging 12 december van 34

33 Bijlage 1: Samenhang uitgangspunten, principes en maatregelen Uitgangspunten Informatiebeveiliging Hoofdprincipes Informatiebeveifiging nte Logische toegangsbeveiliging Zonering en filtering Logging en Monitoring Continuiteit Application Controls Systeem integriteit Onweerlegbaarheid van transacties Informatiebeveiligingseisen Informatiebeveiligingsmaatregelen Concern Informatiebeveiliging 12 december van 34

34 Bijlage 2: Referentie NORA, concept beveiligingskatern NEN/ISO 27002:2013, Code voor Informatiebeveiliging Baseline Informatiebeveiliging Gemeenten, KING Rotterdamse procesarchitectuur, Gemeente Rotterdam Concern Informatie Architectuur, Gemeente Rotterdam Concern Informatiebeveiligingsbeleid, Gemeente Rotterdam, 2014 Componentarchitectuur GegevensUitwisselingComponent (GUC), Gemeente Rotterdam Componentarchitectuur Basisregistraties en Gegevensmagazijn Raamwerken, richtlijnen, whitepapers Nationaal Cyber Security Centrum (NCSC): Open standaarden: Richtsnoeren beveiliging van persoonsgegevens, CBP, richtsnoeren-beveiligingpersoonscleclevens.aspx Concern informatiebeveiliging 12 december van 34