Informatiebeveiliging Gemeenten

Transcriptie

1 Informatiebeveiliging Gemeenten Handreiking beleid en organisatie In dit document is een handreiking voor een beleidsplan opgenomen en wordt ingegaan op de opzet van de (beveiligings)organisatie en het belang van managementrapportages. CP-ICT Inwonerszaken Postbus AK Utrecht Telefoon Fax Utrecht, augustus 2009

2 Inhoudsopgave Inleiding 2 1. Beleid informatiebeveiliging Handreiking beleidsdocument Visie en toekomstbeeld Beleidselementen Beleidsuitgangspunten Modelmatige benadering Informatiebeveiligingsnormen Organisatie Beveiliging in de lijn Eisen en taken Verantwoordelijken en bevoegdheden Omvang en capaciteitsbeslag Informatiebeveiliging facilitair Eisen en taken Verantwoordelijkheden en bevoegdheden Omvang en capaciteitsbeslag Managementrapportages 22 Bijlage 1: Definities 23 Bijlage 2: Wet Bescherming Persoonsgegevens 24

3 Inleiding Gemeenten, UWV en het WERKbedrijf maken gebruik van elkaars klantgegevens en van externe bronnen. Maar de burger heeft recht op privacy. Zorgvuldig gebruik van gegevens waarborgt de privacy van de burger. Deze moet de overheid kunnen vertrouwen en heeft er recht op te weten wie welke gegevens verzamelt en waarvoor deze gebruikt worden. Daarom is gebruik van deze klantgegevens slechts toegestaan onder strikte voorwaarden en moeten ze goed beveiligd zijn. Het goed beveiligen van gegevens is makkelijker gezegd dan gedaan. Beveiliging zal altijd een zorgenkindje blijven. Daarom is het des te belangrijker dat u uw beveiliging zo snel mogelijk op orde krijgt. Van strategie naar uitvoering De eerste stap die u moet nemen is het op strategisch niveau vormgeven aan uw beveiliging binnen uw beleid en uw organisatie. In deze handreiking gaan wij daar op in. Daarna kunt u overgaan tot het opstellen van een beveiligingsplan en het implementeren daarvan (tactisch en operationeel niveau). Met het vormgeven op strategisch niveau bedoelen wij het borgen van informatiebeveiliging binnen uw hele organisatie. U positioneert beveiliging als een speerpunt in uw organisatie. Door het vaststellen van het beleid, het inrichten van uw organisatie en het opstellen van managementrapportages, geeft u richting en sturing aan beveiliging. Dat zijn dan ook de drie punten waar in dit document op in wordt gegaan. U legt daarmee een aantal uitgangspunten vast waar iedereen zich aan moet houden. Dat zijn: Beveiliging is belangrijk en dient serieus vormgegeven te worden. Beveiliging is een normaal onderdeel van integraal management. Beveiliging is een organisatorisch vraagstuk met technische consequenties. Beveiliging omvat de organisatie, de mens, de informatie, de fysieke omgeving en de juridische vastlegging. Beveiliging is een afweging tussen risico, kosten en werkbaarheid. Om u op strategisch niveau te ondersteunen vindt u in deze handreiking: Hoofdstuk 1: Beleid informatiebeveiliging In dit hoofdstuk wordt ingegaan op de hoofdlijnen waarop het beleid wordt vastgesteld. Ook geven wij u een handreiking voor de indeling van uw beleidsdocument en welke onderwerpen daarin in elk geval aan de orde moeten komen. 2

4 Hoofdstuk 2: Organisatie In dit hoofdstuk gaan wij in op zowel de lijn- als de facilitaire organisatie voor informatiebeveiliging. Er volgt een voorstel voor een mogelijke indeling die u kunt gebruiken bij het beschrijven van uw organisatie. Hoofdstuk 3: Managementrapportages In dit hoofdstuk worden nut en noodzaak van managementrapportages beschreven. In bijlage 1 treft u een lijst met definities van de gebruikte terminologie. Bijlage 2 bestaat uit een korte beschrijving van de Wet Bescherming Persoonsgegevens. 3

5 1 Beleid informatiebeveiliging Zonder betrouwbare informatie is de gemeente niet in staat kwalitatief hoogwaardige diensten te leveren aan de burgers. Informatie dient juist te zijn, beschikbaar en ontoegankelijk voor onbevoegden. De zorg voor betrouwbare informatie is daarmee een wezenlijk onderdeel van integraal management. Deze verantwoordelijkheid is niet overdraagbaar aan de facilitaire afdelingen. Het beveiligingsbeleid vormt de kapstok in uw gemeente voor de gehele beveiliging. Het geeft een visie waar u heen wilt en - op hoofdlijnen - hoe u dat wilt bereiken. Uw organisatie is vervolgens in staat om op tactisch en operationeel niveau invulling te geven aan informatiebeveiliging. De invulling daarvan kan dan namelijk door u getoetst worden door deze tegen het licht van het vastgestelde en gemandateerde beleidsstuk te houden. U kunt het beleid het beste vormgeven door ervan uit te gaan dat deze op uw hele organisatie toegepast wordt. Op die manier zal elk onderdeel dezelfde hoofdlijnen hanteren. De invulling op tactisch en operationeel niveau kan uiteraard per gemeenteonderdeel verschillen door bijvoorbeeld: - een ander belang van het proces, te onderscheiden naar bij voorbeeld belangrijk voor de burger of belangrijk voor de interne bedrijfsvoering; - de waarde van de informatie die binnen een proces gebruikt wordt; - de mate waarin u een open functie moet hebben naar de burger; - de locaties van waaruit gewerkt wordt. Vanzelfsprekend is bovenstaande lijstje niet compleet en zal dat uit uw situatie moeten blijken. Het is mogelijk het beleid uitsluitend van toepassing te verklaren op bij voorbeeld het domein van werk en inkomen. Wij raden dit ten sterkste af. Als organisatie kunt u niet zondermeer rekenen op het beveiligingsniveau van uw buren. Het begrip Informatiebeveiliging In essentie wordt onder informatiebeveiliging verstaan: het vooraf treffen van maatregelen ter voorkoming, beperking, herstel en opsporing van verstoringen in de informatievoorziening. Onder verstoringen vallen o.a. hackers, menselijke fouten, fraude, misbruik, lekken van gegevens, brand en diefstal mits de betrouwbaarheid van de informatie daardoor in gevaar komt. Informatiebeveiliging raakt de hele organisatie en betreft alle voorkomende informatie hetzij elektronisch hetzij op papier. Om de informatie adequaat te beschermen, moet een samenhangend stelsel van organisatorische, fysieke en ICT maatregelen genomen worden. Zo kunnen problemen worden voorkomen, opgespoord, beperkt en hersteld. Informatiebeveiliging gaat over de betrouwbaarheid van de informatievoorziening. Betrouwbaarheid valt uiteen in de begrippen: 4

6 - Beschikbaarheid: heb ik de informatie die ik nodig heb op het juiste moment - Exclusiviteit: kunnen uitsluitend de juiste personen bij de informatie en - Integriteit: klopt de informatie met de werkelijkheid De informatiebeveiliging van de gemeente is van toepassing op: de fysieke beveiliging van gebouwen; de inrichting van de organisatie; alle informatiesystemen, zowel handmatig als geautomatiseerd; alle toekomstig te ontwikkelen systemen; de opslag, de invoer, het gebruik en de vernietiging van informatie; het beheer van de informatie, de systemen en de infrastructuur. Uitgangspunten De belangrijkste uitgangspunten voor informatiebeveiliging zijn: Voldoen aan wet- en regelgeving Vertrouwen in de medewerkers, gebaseerd op aanname beleid en controle Eigen verantwoordelijkheid van medewerkers voor hun gedrag binnen de gestelde handvatten Gebouwbeveiliging zorgt voor beveiliging van medewerkers en informatie De manager maakt keuzes tussen risico s, werkbaarheid en kosten Informatiebeveiliging wordt in de normale planning en control cyclus opgenomen De medewerkers vormen binnen de hele informatiebeveiliging een essentiële factor. Iedere maatregel is zo beperkt als er mee omgegaan wordt. Een slot op de deur werkt alleen als de medewerkers deze consequent gebruiken, een wachtwoord voor een systeem werkt niet als medewerkers dit opschrijven, etc. Informatiebeveiliging moet jaarlijks de plan-do-check-act doorlopen. Vanuit het beleid wordt elk jaar een te bereiken niveau afgesproken voor de organisatie als geheel en processen in het bijzonder. Concrete verbeterstappen worden genomen en gecontroleerd. Dit leidt weer tot bijstelling van de uitvoering en resulteert uiteindelijk in nieuwe planvorming. Het document moet worden vastgesteld als het informatiebeveiligingsbeleid van de gemeente. De uitgangspunten gelden voor alle onderdelen van de gemeente waarbij het bestuur eenduidig richting aan informatiebeveiliging geeft. Het management van de gemeente is integraal verantwoordelijk voor informatiebeveiliging. Vanuit het bestuur wordt een portefeuillehouder aangewezen die het strategisch niveau van de informatiebeveiliging vormgeeft. 5

7 Beleidshoofdlijnen Een 100% beveiligde gemeente is niet mogelijk en bovendien niet wenselijk. Dit betekent dat de gemeente voor de lange termijn keuzes moet maken tussen werkbaarheid, risico s en kosten. Binnen het informatiebeveiligingsbeleid zijn drie hoofdlijnen te onderscheiden: 1. De manager is verantwoordelijk voor zijn processen en zorgt daarbinnen voor de betrouwbaarheid van de informatie. De manager doet dit door normen en kaders te stellen waarbij rekening gehouden wordt met wettelijke kaders. 2. De gemeente kiest een basisbeveiligingsniveau voor alle processen en systemen. Hier moet de hele organisatie aan voldoen. 3. De gemeente neemt de informatiebeveiliging op in de planning en control cyclus. Daarmee is de controle en kwaliteit van de beveiliging (deels) gewaarborgd. Om de manager een handvat te geven voor de invulling van hoofdlijn 1 worden drie niveaus van beveiliging voorgesteld met ieder een set eisen. De manager schat het belang van zijn proces in en kiest daarbij automatisch voor één van deze beveiligingsniveaus. De bijbehorende set eisen van het laagste niveau formuleert de eisen voor het basisbeveiligingsniveau van hoofdlijn 2. Hier wordt verder op ingegaan in paragraaf Handreiking beleidsdocument In de volgende paragrafen geven wij een handreiking voor een mogelijke indeling van uw beleidsdocument en schetsen een beeld van de inhoud per hoofdstuk. De indeling is als volgt: 1. Visie en toekomstbeeld 2. Beleidselementen 3. Beleidsuitgangspunten 4. Modelmatige benadering 5. Informatiebeveiligingsnormen Visie en toekomstbeeld In dit hoofdstuk beschrijft u uw visie op informatiebeveiliging. Hierin maakt u keuzes, bijvoorbeeld voor integrale beveiliging door het samenvoegen van disciplines of uitsluitend voor informatiebeveiliging. Ook schetst u het door u gewenste toekomstbeeld en de vormgeving van de beveiliging. Dit doet u door: 1. Een basisbeveiligingsniveau van toepassing te verklaren. 2. Processen te laten beveiligen via risicoanalyses. 3. Te definiëren hoe de planning en control cyclus verloopt Toekomstbeeld: van onbewust risico lopen naar bewust risico nemen 6

8 De effectiviteit en efficiency van een gemeente wordt steeds meer bepaald door de betrouwbaarheid van de aanwezige informatie. Kwaliteit van Informatie is een onlosmakelijk onderdeel van integraal management. De integraal manager van de gemeente is verantwoordelijk voor de producten en diensten aan de burger. Naast de medewerkers is informatie de kracht van de gemeente. Informatiebeveiliging is het middel om deze kracht te beschermen. Informatiebeveiliging gaat over de betrouwbaarheid van de informatievoorziening. Het ontbreken van een adequate informatiebeveiliging is de achilleshiel van de gemeente. Het gemeentelijke bestuur stelt normen en kaders vast voor de betrouwbaarheid van de informatievoorziening. Deze normen en kaders zijn meetbaar, concreet en toetsbaar. Bij het vaststellen ervan houdt het bestuur expliciet rekening met wet- en regelgeving en overeenkomsten met derden, zoals de wet bescherming persoonsgegevens (WBP, zie bijlage 2), de archiefwet, de wet op de veiligheidsonderzoeken (WOV) en de wet openbaarheid bestuur (WOB). Binnen deze bestuurlijke normen en kaders realiseert het management van de gemeente een samenhangend stelsel van maatregelen om risico s te reduceren. Daarbij weet het management welke risico s er zijn ten aanzien van een ongestoorde en betrouwbare informatievoorziening. Met deze risico s in het achterhoofd is een afweging gemaakt over welke risico s tegen inzet van welke middelen gereduceerd moeten worden. Het thema voor informatiebeveiliging is daarmee: Van onbewust risico lopen naar bewust risico nemen. Alle medewerkers zijn doordrongen van het belang van betrouwbare informatie en de eigen verantwoordelijkheid daarvoor. Medewerkers houden zich aan de door de gemeente als noodzakelijk aangemerkte beveiligingsmaatregelen. Ook signaleren zij mogelijke hiaten direct aan de leidinggevenden en melden problemen zo snel mogelijk. Binnen de gemeente zijn de processen, de informatie en de onderlinge afhankelijkheid eenduidig geclassificeerd. Op basis van deze classificatie is het beveiligingsniveau vastgesteld Beleidselementen De informatiebeveiliging wordt binnen de gemeente bereikt via drie beleidselementen: Basisbeveiliging Procesbeveiliging en Planning en control cyclus De basisbeveiliging schept het minimale niveau van beveiliging voor de hele gemeente. De procesbeveiliging realiseert extra beveiliging voor vitale processen, met het minimale niveau als basisuitgangspunt. Vanuit de procesbeveiliging kan een bijstelling van het basisniveau noodzakelijk zijn. De planning en control cyclus zorgt ervoor dat zowel het basisniveau als de procesbeveiliging 7

9 Controle normen beheersmatig in de planning en uitvoering worden meegenomen. Door regelmatige toetsing kan bijstelling van beleid en uitgangspunten plaatsvinden. Omgekeerd leveren de basisbeveiliging en de procesbeveiliging de toetsingsnormen voor de planning en control cyclus. In onderstaande afbeelding staan deze 3 elementen weergegeven. Minimale niveau Bijstelling Procesbeveiliging Basisbeveiliging Bewaakt uitvoering Scherpt aan Controle normen Planning en control cyclus Beaakt uitvoering Aanvullingen Bijstelling Basisbeveiliging De gemeente definieert en realiseert een basisbeveiligingsniveau voor alle informatie binnen de gemeente, ongeacht of dit elektronische of papieren informatie is. Het basisbeveiligingsniveau biedt voor ieder proces een zekerheid over de beschikbaarheid, integriteit en exclusiviteit van de informatie binnen het proces. De basisbeveiliging is de minimale norm voor: De fysieke omgeving: de beveiliging van de gebouwen en werkplekken en beveiliging van het papieren archief. De ICT omgeving: de beveiliging van de elektronische informatie van de gemeente op bijvoorbeeld de centrale servers, lokale PC s, informatiedragers zoals cd s of op het Internet. De medewerkers: de beïnvloeding van veilig gedrag door de medewerkers aangaande de omgang met informatie. De organisatie: de inrichting van verantwoordelijkheden en bevoegdheden aangaande de informatiebeveiliging. Met het basisniveau zorgt de gemeente ervoor dat haar dienstverlening aan de burger niet in gevaar komt door gebrek of verstoringen in de informatievoorziening. In de minimale norm worden maatregelen geformuleerd die invulling geven aan de volgende randvoorwaarden: 8

10 Noodzakelijk item Veilige werkplekken voor medewerkers Telefoonvoorziening Stroomvoorziening Ongestoorde aanlevering van informatie Ongestoorde levering van informatie Opgeleide en deskundige gebruikers Continuïteit medewerkers Receptie voor burgers Realisatie Gebouwen zijn beveiligd tegen inbraak, brand, wateroverlast en de toegang is voorbehouden aan geautoriseerde medewerkers. De telefooncentrale functioneert gedurende kantoortijden ongestoord. Hiervoor is deze dubbel uitgevoerd of er kan op mobiele telefonie overgeschakeld worden. Een nader aan te wijzen deel van de gebouwen is voorzien van noodstroom, in ieder geval de serverruimtes van de afdeling automatisering. De gemeente heeft zicht op de aanleverende instanties, stelt eisen aan de kwaliteit en periodiciteit van de te ontvangen informatie en legt dit vast in overeenkomsten. De gemeente kent haar afnemers en weet welke informatie wanneer aan wie aangeleverd moet worden. De gemeente formuleert eisen waaraan afnemers zich moeten houden en legt deze vast in overeenkomsten. Gebruikers van de systemen zijn opgeleid en weten wat van hen verwacht wordt. Taken, verantwoordelijkheden en bevoegdheden zijn dusdanig geregeld dat medewerkers elkaars taken kunnen overnemen. De informatievoorziening draagt bij aan die continuïteit. De burger kan via een receptie tijdens kantoortijden en gedurende avondopenstellingen in contact treden met de gemeente. Procesbeveiliging De processen binnen de gemeente vormen het hart van de dienstverlening aan de burger. Niet ieder proces is voor de burger zichtbaar. De processen zijn niet allemaal even zwaarwegend. Zo blijkt verstoring van sommige processen alleen vervelend te zijn, terwijl verstoring van andere processen grote consequenties heeft voor de burger en diens veiligheid. Daarom bepaalt de gemeente welke processen extra beveiliging nodig hebben, omdat ze bijvoorbeeld gevoelige informatie verwerken, wettelijke normen dit bepalen en/of ze grote financiële belangen vertegenwoordigen. 9

11 Ter ondersteuning van de informatiebeveiliging worden drie niveaus van processen onderscheiden. Dat zijn: Maatschappelijk vitaal Bedrijfsvitaal Ondersteunend Verstoring van dit proces resulteert in schade voor de burger en aanmerkelijke (imago) schade voor de gemeente. Verstoring van dit proces resulteert in aanmerkelijke schade voor de gemeente en/of aan haar gelieerde partners. Verstoring van dit proces resulteert uitsluitend in schade intern de gemeente. Voor het indelen van de processen staat hieronder een aantal vragen dat een handvat biedt. De beveiliging voor het ondersteunende niveau is gelijk aan de basisbeveiliging. De indeling kan het beste decentraal - door de proceseigenaar worden vastgesteld. Proces Wie heeft er schade? Hoe groot is de schade? Waar ontstaat de schade? Wat stokt er aan dienstverlening? Neemt de schade toe in de tijd? Voor wie doe je het proces? Informatie Per tijdstip Wie heeft er belang bij Wat kunnen anderen er mee Waarvoor gebruik je het Aan wie verstrek je het Is de waarde in geld uit te drukken Planning en control cyclus Informatiebeveiliging doorloopt binnen de gemeente de cyclus plan do check act. Deze cyclus sluit aan op de planning en control cyclus. Jaarlijks stelt de gemeente voor de hele organisatie de niveaus van beveiliging vast. Iedere informatie- en proceseigenaar bepaalt op welk niveau zijn of haar proces zit. Vanuit een analyse van de bestaande maatregelen en risico s worden concrete maatregelen ter verbetering van de informatiebeveiliging gedefinieerd. Deze verbeterstappen zijn binnen één cyclus te realiseren. 10

12 Tijdens en na het implementeren van maatregelen worden deze op hun werking gecontroleerd. Daarbij wordt ook gekeken naar hoe de maatregelen doorwerken in de cultuur van de gemeente en worden vergelijkingen gemaakt met andere organisaties. Op basis van de controle vindt bijstelling van maatregelen en/of niveaus plaats. Act: -Verbeterplannen -Bijstellen bewustwording Check: -Controleren maatregelen -Controleren uitgangspunten Sturing: -Sturing op uitzonderingen -Managmentraamwerk -Alloceer verantwoordelijkheden Plan: -Beleid -Vaststellen norm -Vaststellen maatregelen Do: -Vertalen naar maatregelen -Uitvoeren maatregelen -Classificatie en registratie -Beheer Beleidsuitgangspunten In dit hoofdstuk beschrijft u beleidsuitgangspunten. Deze uitgangspunten vormen het handvat voor de verdere vertaling van het beleid in de praktijk. Uitgangspunt Toelichting Juridisch Integriteit van de organisatie: Non-discriminatie Wet- en regelgeving Overeenkomsten met derden Iedere partij wordt in gelijke gevallen op gelijke wijze behandeld. Voor informatiebeveiliging betekent dit o.a. het gelijktijdig verstrekken van dezelfde informatie aan belanghebbenden en het op dezelfde wijze beveiligen van soortgelijke informatie van derden. De gemeente houdt zich aan alle geldende wet- en regelgeving waaruit voorwaarden voor informatiebeveiliging volgen. De gemeente houdt zich aan alle bepalingen met betrekking tot privacy en informatiebeveiliging in overeenkomsten met derden. 11

13 Medewerker Delen van informatie Medewerkers delen informatie daar waar nodig zodat continuïteit van de dienstverlening geborgd is. Vertrouwen in de medewerker De gemeente vertrouwt haar medewerkers maar treft vooraf een aantal maatregelen (bijv. functiescheiding en autorisaties) en achteraf een aantal controle maatregelen(bijv. screening, logging en monitoring). De wet op de veiligheidsonderzoeken wordt toegepast. Need to know Iedere medewerker krijgt of haalt die informatie die hij nodig heeft voor het werk. Dit houdt in dat algemene gemeentelijke informatie voor iedereen beschikbaar is en dat werkspecifieke informatie binnen afdelingen/taakgroepen/functies blijft. Eigen verantwoordelijkheid Iedere medewerker is verantwoordelijk voor de hem toevertrouwde informatie. De medewerkers zijn beveiligingsbewust en -bekwaam. Fysiek Schil De gebouwen vormen een fysieke beveiligingsschil voor toegang tot vertrouwelijke informatie en beschikbare apparatuur. ICT Basisbeveiliging Uniformiteit Facilitair De ICT realiseert een basisbeveiligingsniveau voor alle systemen. Maatregelen voor beveiliging worden zoveel mogelijk geüniformeerd. ICT faciliteert de gewenste en benodigde procesbeveiliging, treft daartoe de noodzakelijke maatregelen en maakt de kosten inzichtelijk. Organisatie Inbedden in organisatie Procesbeveiliging Managementafspraken Informatiebeveiliging wordt ingebed in de organisatie als onderdeel van integraal management. Processen worden integraal beveiligd door de proceseigenaren. Deze zijn gehouden aan een minimaal niveau zoals in dit beleid geschetst. Integraal betekent dit: het treffen van maatregelen ter voorkoming, beperking, herstel en opsporing van incidenten. Tussen de verschillende verantwoordelijken worden in de plancyclus zowel verticaal als horizontaal afspraken gemaakt over de te bereiken resultaten voor informatiebeveiliging. Deze afspraken worden vastgelegd in de afdelingsplannen. 12

14 Derden Efficiëntie, 100% veilig kan niet Prioritering van risicoreductie Toetsen Bij informatieverwerking of beheer door en bij derden worden schriftelijk eisen vastgelegd over informatiebeveiliging. De verantwoordelijke maakt altijd een afweging of het in te zetten middel niet erger is dan het te reduceren risico. Er moet een evenwicht zijn tussen werkbaarheid, kosten en risico. De gemeente beseft dat 100% beveiliging niet mogelijk is. Bij prioritering van risicoreductie wordt rekening gehouden met: kans van optreden, impact bij optreden, verwijtbaarheid van het risico, omvang van de schade, betrokken partijen, wet- en regelgeving. De gemeente toetst haar informatiebeveiliging zowel door collegiale toetsing als door externe audits Modelmatige benadering In dit hoofdstuk geeft u precies aan waar managers voor verantwoordelijk zijn en welke eisen zij aan afnemers van de informatie moeten stellen. Daarbij legt u ook vast dat zij rekening moeten houden met hun omgeving. Door de materiewetten zal de invulling voor de diverse beleidsterreinen net even anders zijn. Tevens geeft u aan wie verantwoordelijk is voor de beveiliging en hoe u de bevoegdheden en verantwoordelijkheden heeft gedelegeerd over te onderscheiden rollen. NB. Geef hier geen letterlijke invulling van de organisatie omdat u uw beleid dan bij iedere reorganisatie moet aanpassen. In onderstaande afbeelding zijn de informatiestromen schematisch weergegeven. Op de grensvlakken stelt de gemeente eisen aan de input (welke kwaliteit wens ik te ontvangen) en aan de output (welke kwaliteit lever ik en hoe moet de afnemer met mijn informatie omgaan). Aan de input kant kan de aanleverende partij op zijn beurt eisen aan de gemeente stellen over de vertrouwelijkheid van de informatie. Verder stelt de omgeving randvoorwaarden waarbinnen het proces opereert en waartegen de door een informatie-eigenaar gestelde eisen, of de aan een informatie-afnemer te stellen eisen, 13

15 afgewogen worden op hun rechtmatigheid. Binnen het proces is het de proceseigenaar die eisen stelt aan de kwaliteit van de informatie. De gemeente kiest ervoor proces- en informatie-eigenaren te benoemen die verantwoordelijkheden en bevoegdheden krijgen om de in het beleid vastgelegde uitgangspunten vorm te geven. Deze eigenaren zijn over het algemeen de managers/directeuren van de diverse beleidsterreinen. Om de eigenaren te faciliteren in het vormgeven, is er een onafhankelijke ondersteuning in de gemeente aanwezig. Deze persoon kan gevraagd en ongevraagd adviseren, incidenten afhandelen en maatregelen (laten) toetsen. In een apart document geeft de gemeente invulling aan bovenstaande uitgangspunt door concreet functies aan te wijzen. Ten aanzien van de organisatie wordt er onderscheid gemaakt tussen: Informatie die de organisatie verlaat Informatie die de organisatie binnenkomt Informatie binnen de organisatie Informatie die de organisatie verlaat Informatiebeveiliging is erop gericht dat informatie die de organisatie verlaat, ongeacht het medium, bij de juiste persoon komt, onderweg niet onderschept of gelezen kan worden en dat de transporttijden binnen de normen blijven. De proceseigenaar zorgt dat hij invloed behoudt door gebruiksvoorwaarden te koppelen aan de verstrekking aan externe partijen. Informatie die de organisatie binnenkomt Informatiebeveiliging beoogt te borgen dat de kwaliteit van informatie (in termen van beschikbaarheid, integriteit en exclusiviteit) van het gewenste niveau is en blijft. De organisatie stelt eisen aan de kwaliteit en legt deze vast in overeenkomsten. De organisatie richt controles om naleving van de afspraken te bewaken. Informatie binnen de organisatie Informatiebeveiliging richt zich op de continuïteit en kwaliteit van de informatievoorziening in de gemeente. De gemeente stelt kwaliteitseisen die, door de informatie- en proceseigenaar, op basis van een risicoafweging worden vertaald tot een niveau van beveiliging en het (laten) treffen van maatregelen. In de afweging houdt de informatie- en proceseigenaar rekening met wettelijke kaders en richtlijnen Informatiebeveiligingsnormen In dit hoofdstuk beschrijft u de normen waaraan de beveiliging in uw organisatie dient te voldoen, afhankelijk van het belang van de processen en de waarde van de informatie. Voor beveiliging worden in dit beleid drie niveaus onderkent. Deze niveaus zijn Hoog, Midden en Laag. Per niveau zijn eisen gesteld ten aanzien van de beschikbaarheid, exclusiviteit en integriteit. Om deze eisen 14

16 meetbaar te maken, zijn deze uitgesplitst naar de vier typen maatregelen: voorkomen, beperken, opsporen en herstellen. NB. Houd er rekening mee dat de normen meetbaar moeten zijn zodat op basis van deze normen het tactisch en operationeel niveau getoetst kan worden. De eisen gelden voor het totaal van het proces en de informatievoorziening. De inbraakbestendigheid bijvoorbeeld betreft de tijd dat het iemand kost voor hij informatie bereikt. Het vertragen van de inbraak kan door o.a. deuren en sloten, het versleutelen van informatie, zogenaamde fire walls, etc. Per proces en informatietype ontstaat een combinatie van maatregelen om aan de eisen te voldoen. In onderstaande tabellen staan per informatiebeveiligingsniveau de eisen geformuleerd. Hoog Beschikbaarheid Exclusiviteit Integriteit Voorkomen Maximaal 8 storingen per jaar Braakbestendig voor 4 uur Toegang voor bekende interne medewerkers Bekende bron Bekende informatie Ervaren gebruikers Beperken Gemiddelde storingsduur 1 uur en maximale duur 4 uur (per storing) Binnen ½ uur poging verijdeld 1 op 1000 fout Reconstrueerbaar Opsporen Binnen ½ uur probleem gesignaleerd Direct Wekelijks en na een incident Herstellen Binnen 3 ½ uur na signalering Binnen 1 uur sloten hersteld Binnen 1 uur na signalering Ongestoord tijdens werkproces Geheim 100% zekerheid Midden Beschikbaarheid Exclusiviteit Integriteit Voorkomen Maximaal 14 storingen per jaar Braakbestendig voor 2 uur Toegang voor bekende Bekende bron Opgeleide gebruikers medewerkers Beperken Gemiddelde storingsduur 4 uur en maximale duur 8 uur (per storing) Binnen 1 uur poging verijdeld 1 op 500 fout Reconstrueerbaar Opsporen Binnen 1 uur probleem gesignaleerd Direct Wekelijks en na een incident Herstellen Binnen 7 uur na signalering Binnen 4 uur sloten hersteld Binnen 4 uur na signalering Bijna ongestoord tijdens werkproces Vertrouwelijk 90% zekerheid Laag Beschikbaarheid Exclusiviteit Integriteit Voorkomen Maximaal 20 storingen per jaar Braakbestendig voor 1 uur Bekende bron Toegang voor bekende medewerkers Beperken Gemiddelde storingsduur 8 uur en maximale duur 16 uur (per storing) Binnen 1 uur poging verijdeld 1 op 100 fout Reconstrueerbaar Opsporen Binnen 2 uur probleem gesignaleerd Direct Wekelijks en na een incident Herstellen Binnen 14 uur na signalering Zelfde dag sloten hersteld Binnen 8 uur na signalering Meestal ongestoord tijdens werkproces Semi-openbaar 80% zekerheid 15

17 2 Organisatie Het beveiligen van de informatievoorziening, de processen en de in de gemeente aanwezige waardevolle materialen en goederen (zoals geld, paspoorten) is in het beleid vastgelegd. Om daar op strategisch niveau invulling aan te geven, is een adequaat ingerichte beheersstructuur in de organisatie noodzakelijk, een organisatie met zijn gekwalificeerde functionarissen waarbinnen taken, verantwoordelijkheden en bevoegdheden op het juiste niveau belegd en geborgd zijn. Hoe richt ik mijn organisatie nu in? Welke informatiebeveiligingsfuncties zijn er? Houd hierbij in gedachten dat het management de verantwoordelijkheid draagt en dat de ondersteunende beveiligingsfuncties het management bijstaan in het maken van de keuzes. Belangrijk daarbij is om de verantwoordelijkheden en bevoegdheden in evenwicht te houden en bij de juiste persoon of personen neer te leggen. Vaak worden wel veel verantwoordelijkheden gedelegeerd, maar vergeet men de bevoegdheden. Bij het organiseren van informatiebeveiliging moet onderscheid gemaakt worden tussen de lijnorganisatie 1 en de facilitaire organisatie Informatiebeveiliging 2. Beide hebben verantwoordelijkheden op het gebied van informatiebeveiliging. Zo is de lijnorganisatie verantwoordelijk voor het vaststellen en invullen van het beleid, het stellen van eisen aan de beveiliging en het inkopen van maatregelen bij de verschillende interne en externe partijen. De facilitaire organisatie Informatiebeveiliging adviseert, coördineert en bewaakt de zorg voor de informatiebeveiliging. In de volgende paragrafen wordt ingegaan op zowel de lijn- als de facilitaire organisatie voor informatiebeveiliging. Er volgt een voorstel voor een mogelijke indeling die u kunt gebruiken bij het beschrijven van uw organisatie. 2.1 Informatiebeveiliging in de lijn Uitgangspunt van informatiebeveiliging in de lijn, is dat er in de organisatie proces- en informatieeigenaren zijn aan te wijzen die verantwoordelijk worden gemaakt voor de beveiliging. De begrippen proces- en informatie eigenaar zult u eerst moeten definiëren. Zie hiervoor ook definities in bijlage 1. De beschrijving van de verantwoordelijkheden en bevoegdheden van proces- en informatieeigenaren is het belangrijkste onderwerp van dit hoofdstuk. Deze wordt aangevuld met de verantwoordelijkheid die de medewerkers hebben. De lijn is verantwoordelijk voor de kwaliteit van haar producten en diensten aan de maatschappij. Facilitaire organisatieonderdelen kunnen deze verantwoordelijkheid wel ondersteunen maar nooit overnemen. Informatie vormt een belangrijke basis voor de kwaliteit van de producten en diensten. 1 De lijnorganisatie is verantwoordelijk voor de levering van de producten en diensten aan de maatschappij. 2 De facilitaire organisatie levert ondersteunende diensten aan de lijnorganisatie zodat zij hun verantwoordelijkheden naar behoren in kunnen vullen. 16

18 Dus zorg voor de kwaliteit van de producten en diensten is dan ook zorg voor de kwaliteit van informatie. Kwaliteitszorg voor informatie omvat ook informatiebeveiliging. Op deze wijze is de redenering rond: informatiebeveiliging is de, niet overdraagbare, verantwoordelijkheid van de lijn. In de volgende paragrafen gaan wij in op de eisen en taken, de verantwoordelijkheden en bevoegdheden, de omvang van de taak en het capaciteitsbeslag Eisen en taken Om invulling te kunnen geven aan de verantwoordelijkheid voor informatiebeveiliging moeten management en medewerkers werkzaam in de lijn de volgende eigenschappen bezitten: Beslissingsbevoegdheid - Voldoende mandaat - Voldoende budget - Maatregelen kunnen laten uitvoeren - Aanwijsbare verantwoordelijken Betrokkenheid en deskundigheid - Voldoende capaciteit - Voldoende kennis - Voldoende draagvlak Behoefte aan informatiebeveiliging Kunnen beslissen buiten de waan van de dag - Deskundige-ondersteuning en -advisering - Duidelijk beeld over de eigen processen - Kennen van beleidskaders De taken van de lijn beslaan: het zorgen voor een goede informatiebeveiliging door het stellen van eisen, het laten uitvoeren van maatregelen en het afwegen van risico s in relatie tot investeringen en werkbaarheid Verantwoordelijkheden en bevoegdheden Het generieke begrip lijn valt uit te splitsen in het management en de medewerkers. Binnen het management zijn de rollen van de zogenaamde proces- en informatie-eigenaren te onderscheiden. In deze groep worden de verantwoordelijkheden verschillend ingevuld. Eenieder kan alleen verantwoordelijkheid nemen voor het beïnvloedbare deel van de omgeving. Voor een medewerker beperkt de verantwoordelijkheid zich tot het eigen gedrag, de directe werkplek en de privé situatie. Voor het management is het bereik groter aangezien zij de bevoegdheid hebben om processen en groepen medewerkers (aan) te sturen en eisen te stellen ten aanzien van de informatiebeveiliging. 17

19 Proceseigenaar Informatieeigenaar Verantwoordelijke voor de beheersing, aansturing en het gedefinieerd resultaat van een proces binnen de Gemeente en tevens eigenaar van de in zijn proces ontstane informatie Verantwoordelijke binnen of buiten de Gemeente voor informatie, die eisen kan stellen aan de proceseigenaar ten aanzien van het gebruik, de beveiliging en toepassing van informatie Hoewel het management en de informatie-eigenaar en proceseigenaar in de tabellen hieronder zijn uitgesplitst, kunnen combinaties voorkomen. Vaak zal in een gemeente het hoofd van de Sociale Dienst tevens de proceseigenaar zijn van de processen binnen de Sociale Dienst. De Informatieeigenaren zijn in de keten van Werk en Inkomen, naast de interne eigenaren, ook de ketenpartners zoals UWV, UWV werkbedrijf en SVB, en externe bronnen zoals IBG, Belastingdienst en RDW. Management Verantwoordelijk voor: Informatiebeveiliging binnen het eigen organisatieonderdeel. Bevoegd om: Risicoafweging te maken Uitvoering maatregelen te controleren Medewerkers aan te spreken op gedrag Sancties op te leggen aan medewerkers Informatie-eigenaar Verantwoordelijk voor: Het stellen van beveiligingseisen t.a.v. zijn informatie Kwaliteit van de informatie Bevoegd om: Naleving van de beveiligingseisen te controleren Maatregelen af te dwingen bij proceseigenaar Proceseigenaar Verantwoordelijk voor: Bepalen beveiligingsniveau Bepalen afhankelijkheid informatie Bepalen kwetsbaarheid Opstellen beveiligingsplan Opstellen uitvoeringsplan Signaleren probleemgedrag medewerkers en doorgeven aan manager Bevoegd om: Risicoafweging te maken Uitvoering maatregelen te controleren Medewerkers aan te spreken op gedrag Maatregelen te laten uitvoeren (mits budget) 18

20 Medewerker Verantwoordelijk voor: Eigen gedrag Eigen werkplek Privé situatie Bevoegd om: Problemen te signaleren. Collega s aan te spreken op onveilig gedrag Omvang en capaciteitsbeslag De omvang van de taak informatiebeveiliging in de organisatie is niet eenvoudig te duiden. Deze valt voor het grootste deel binnen de normale taakuitvoering. Hier volgt een globale schatting in percentages van de benodigde tijd. Rol % tijdsbeslag Management 3% Informatie-eigenaar 2% Proceseigenaar 2% Medewerker 2% 2.2 Informatiebeveiliging facilitair In deze paragraaf worden de eisen die gesteld worden aan de verantwoordelijkheden en taken van de facilitaire beveiligingsondersteuning beschreven. Ook hier gaan we in op verantwoordelijkheden en bevoegdheden, de omvang van de taak en het capaciteitsbeslag. Uitgangspunt moet zijn dat er voldoende capaciteit, kwaliteit en onafhankelijkheid aanwezig is om de taken uit te kunnen voeren. Het facilitaire organisatieonderdeel voor informatiebeveiliging ondersteunt de lijnorganisatie bij het maken van keuzes. Ook bewaakt dit onderdeel de eenduidigheid en de invoering van informatiebeveiliging Eisen en taken Dit stelt de volgende eisen aan de betreffende afdeling en de medewerkers: - Onafhankelijke positie t.o.v. de rest van de organisatie De positie moet dusdanig zijn dat er geen belangenverstrengeling kan ontstaan tussen de taken en de belangen. - Voldoende capaciteit om de lijnorganisatie te ondersteunen Alle noodzakelijke werkzaamheden moeten goed uitgevoerd kunnen worden naar tevredenheid van de gemeente. - Deskundig personeel: o o o o Kennen van de gemeente Opereren op het raakvlak van organisatie, mens en techniek Beheersen van informatiebeveiliging Begrijpen wat facilitair inhoudt 19

21 o Terughoudend omgaan met bevoegdheden - Voldoende bevoegdheden om maatregelen te kunnen opleggen Uitgebrachte adviezen of resultaten van controles zullen niet altijd in goede aarde vallen. Uitvoering van sommige adviezen zal bindend opgelegd moeten worden, met name aspecten die ook de rest van de gemeente raken. - Korte lijn naar de verantwoordelijke manager en een escalatielijn naar het college Voor het afhandelen van incidenten moet het aantal schijven tussen informatiebeveiliging en de leiding zo klein mogelijk zijn. - Advies- en controletaken kunnen scheiden De controleur kan in het kader van functiescheiding niet zijn eigen adviezen beoordelen. De taken van de facilitaire organisatie bestaan uit: - Adviseren - Toetsen - Beoordelen - Incidenten afhandelen - Bewustwording Presentaties Artikelen - Begeleiden Workshops Organiseren workshops Afhankelijkheids- en Kwetsbaarheidsanalyses (A&K analyses) - Beleidsvoorbereiding Verantwoordelijkheden en bevoegdheden Informatiebeveiliging Verantwoordelijk voor: Bevoegd om: Formuleren en laten vaststellen van beleid Bij incidenten direct die maatregelen te nemen Begeleiden van beveiligingsactiviteiten die erger voorkomen Gevraagd en ongevraagd adviseren Implementatie van informatiebeveiliging te Coördineren van beveiligingsactiviteiten toetsen Snelle en adequate terugmelding bij incidenten Te escaleren incidenten indien de situatie dit vereist 20

22 2.2.3 Omvang en capaciteitsbeslag Het is lastig een schatting van de omvang van de werkzaamheden maken. Dit hangt af van factoren als omvang van de gemeente, de toegepaste functiescheiding en de verdeling van de taken over de organisatie. Wel ligt het voor de hand tenminste twee personen te belasten met deze taken om continuïteit te waarborgen. De technische uitvoering en implementatie van maatregelen is daarin niet meegenomen. Vanwege de noodzakelijke functiescheiding moet die taak bij andere personen belegd worden. 21

23 3. Managementrapportages Om het proces goed te kunnen besturen moet u als verantwoordelijke alle ins en outs van het proces kennen. Zo moet u zorgdragen voor de inzet van voldoende gekwalificeerd personeel en toezien op de taken die zij moeten uitvoeren. Ook moet u weten welke informatie zij in hun werkproces nodig hebben. Zonder de benodigde informatie kunnen bijvoorbeeld aanvragen niet afgehandeld worden. Informatie heeft daarmee waarde voor het proces en is, net als gekwalificeerd personeel, een cruciaal bedrijfsmiddel. Daarom moet de informatie (de gegevens uit de verschillende bronnen) voortdurend beschermd zijn als het gaat om beschikbaarheid, integriteit en exclusiviteit. Dit vraagt dat u als manager hiervan constant op de hoogte bent, want zonder die informatie kunt u immers geen beslissingen nemen. Een goede manier om geïnformeerd te blijven is door middel van managementrapportages. In de praktijk blijkt dat managementrapportages vaak ontbreken of er onvoldoende op toegesneden zijn om de betreffende manager van informatie te voorzien. Het gevolg is dat beslissingen te laat worden genomen, of dat ze worden genomen op basis van onvolledige gegevens. Het risico op mogelijke incidenten neemt daardoor toe. Om incidenten, zoals inbreuk op het gegevensgebruik via Suwinet,te voorkomen, mag van een gemeente worden verwacht dat deze alert is op beveiligingincidenten, deze verhelpt en meldt aan andere (keten)partijen. Alleen dan kan de gezamenlijke dienstverlening worden gewaarborgd en kan misbruik of oneigenlijk gebruik in de verschillende ketenschakels worden voorkomen. Via het Bureau Ketensamenwerking Werk en Inkomen (BKWI) kunt u voorbeelden van managementrapportages SUWI opvragen. Deze kunt u gebruiken om vorm te geven aan de controle. Kijk hiervoor op 22

24 Bijlage 1: Definities Proces Proceseigenaar Informatie Informatie-eigenaar Medewerker Applicatiebeheerder Applicatie Manager Informatie-afnemer Omgeving Middelen Beveiligingseisen Exclusiviteit van informatie Integriteit van informatie Beschikbaarheid van informatie Het samenhangend geheel van activiteiten en middelen binnen de gemeente gericht op de totstandkoming van een vooraf gedefinieerd resultaat. Verantwoordelijke voor de beheersing, aansturing en het gedefinieerd resultaat van een proces binnen de gemeente en tevens eigenaar van de in zijn proces ontstane informatie. Gegevens op een zodanige wijze met elkaar in verband gebracht, ongeacht hun verschijningsvorm, van belang voor uitvoering van het proces. Verantwoordelijke binnen en buiten de gemeente voor informatie, die eisen kan stellen aan de proceseigenaar ten aanzien van die informatie. Persoon die werkzaam is binnen een proces van gemeente. Verantwoordelijke voor een geautomatiseerde applicatie binnen de gemeente. Gestructureerde en geautomatiseerde taken gericht op de ondersteuning van een proces of de instandhouding van informatie. Verantwoordelijke functionaris van een afdeling van gemeente, tevens budgethouder. Verkrijger binnen of buiten gemeente van informatie uit een proces die zich heeft te houden aan de door de proceseigenaar gestelde eisen. Relevante organisaties die generieke randvoorwaarden - in de vorm van overeenkomsten, wet- en regelgeving en voorschriften - stellen ten aanzien van de uitvoering van werkzaamheden en het gebruik, de verstrekking en de opslag van informatie (bewaartermijnen, privacy, etc.). Geld, medewerkers, applicaties, en goederen die nodig zijn voor het laten functioneren van een proces. Bindende voorwaarden voor het gebruik, de verstrekking en de opslag van informatie welke te allen tijde passen binnen de door de omgeving gestelde randvoorwaarden. De mate waarin de kennisname van informatie is beperkt tot een gedefinieerde groep van gerechtigden. Toegang voor de juiste personen is mogelijk en voor onbevoegden onmogelijk. De mate waarin de informatie foutloos is. Er kan op vertrouwd worden dat de gegevens (correct, actueel, volledig) een juiste weergave zijn van de werkelijkheid. De mate waarin de informatievoorziening in bedrijf is op het moment dat de organisatie het nodig heeft. De benodigde informatie is op het cruciale moment voorhanden. 23

25 Bijlage 2: Wet Bescherming Persoonsgegevens De Wet Bescherming Persoonsgegevens De Wet bescherming Persoonsgegevens (WBP) geeft u een instrument om te achterhalen welke gegevens van u door organisaties en bedrijven met welk doel zijn vastgelegd en aan wie ze worden verstrekt. De WBP beschrijft uw rechten wanneer uw gegevens worden gebruikt en de plichten van de registrerende instanties of bedrijven. De WBP betreft het verwerken van persoonsgegevens zoals uw naam, uw geboortedatum en uw adres, maar ook uw banksaldo, uw politieke gezindheid, uw nationaliteit en gegevens over uw gezondheid. Dus alle gegevens die over u als persoon gaan. Het verwerken betreft o.a.: het verzamelen, vastleggen, ordenen, bewaren, bewerken, opvragen, verstrekken, samenbrengen, afschermen, uitwissen en vernietigen. Kort gezegd: iedere handeling die met de gegevens mogelijk is. Zodra de vastlegging van persoonsgegevens een gestructureerd geheel vormt valt de registratie onder de WBP, ongeacht de vorm (geautomatiseerd, kaartenbak, etc.). De wet is niet van toepassing op o.m.: Het gebruik voor persoonlijke of huishoudelijke doelstellingen De verwerking door inlichtingen- en veiligheidsdiensten De verwerking in de bevolkingsadministratie (Wet gemeentelijke basisadministratie) De uitvoering van de politietaak (Wet Politieregisters) De rechten van de geregistreerde zijn: Recht op informatie: welke instantie met welk doel legt welke gegevens vast Recht op inzage: feitelijke weergave van de over u vastgelegde gegevens Recht op correctie: laten aanbrengen van verbeteringen of aanvulling van uw gegevens Recht op verwijdering: laten verwijderen van uw gegevens Recht op verzet: bezwaar tegen gebruik van uw gegevens 24