Informatiebeveiligingsbeleid ICTU

Transcriptie

1 ICTU ICTU als betrouwbare partner Auteur Documentnr Versie Koos van der Spek Docnr B / Definitief Datum Wilhelmina van Pruisenweg AN Den Haag Postbus AA Den Haag (T) (E) (W)

2 Voorwoord Omvang 12 pagina's ICTU werkt aan een digitale overheid. Een overheid die met ICT in staat is te anticiperen op maatschappelijke vraagstukken. Waarbij het gaat om verbetering van de dienstverlening van de overheid. Daar draagt ICTU aan bij. In projecten, vanuit vakmanschap, met hart voor de publieke zaak en zonder winstdoel. Altijd met resultaat voor de opdrachtgever én eindgebruiker voor ogen. Met concrete oplossingen en herbruikbare resultaten. ICTU wil een betrouwbare partner zijn voor haar opdrachtgevers en daar hoort een goede informatiebeveiliging bij. Het gaat daarbij niet alleen om de informatie die ICTU zelf verwerkt, maar ook om de informatiesystemen die ICTU helpt te implementeren voor haar opdrachtgevers. Professionele aandacht voor informatiebeveiliging en privacy is daar onderdeel van. Dit informatiebeveiligingsbeleid richt zich op de aantoonbaar veilige omgang met informatie binnen ICTU. Daarbij gaat het om de vertrouwelijkheid, integriteit en beschikbaarheid van die informatie. Het beleid heeft betrekking op het veilig voortbrengen en beheren van informatiesystemen waarin gevoelige gegevens worden verwerkt. Dit wordt vorm gegeven in richtlijnen, standaarden (baselines) en procedures. Het geheel draagt zo bij aan onze positie als betrouwbare partner. Informatiebeveiliging komt tot uiting in systemen en procedures. Meer nog dan dat blijkt de goede zorg voor informatiebeveiliging uit ons dagelijks handelen: in het tonen van risicobewustzijn en van verantwoordelijk gedrag. In de omgang met informatie binnen ICTU zelf èn in de zorg richting opdrachtgevers. Niet alleen in raad, maar ook in daad. Door het voorbeeld dat we zelf geven, en ook door elkaar scherp te houden, aan te spreken en te bevragen. De directie van ICTU heeft daarin een voorbeeldfunctie. Het eindresultaat wordt bepaald door het gedrag van iedere ICTU medewerker. Informatiebeveiliging is immers een zaak van ons allemaal. Namens het Directieteam André Regtop Directeur 2/

3 Documentbeheer Documenthistorie Datum Versie Auteur Opmerking René van den Asssem Ter review Koos van der Spek René van den Assem Verwerking review Koos Koos van der Spek Update Koos van der Spek Update n.a.v. opmerkingen Japke Koos van der Spek Eindconcept t.b.v. DT Koos van der Spek Definitieve versie Goedkeuring Datum Versie Goedgekeurd door Opmerking André Regtop Vastgestelde versie 3/

4 1 Inleiding Missie en Visie ICTU Doel van dit document Scope Documentstructuur informatiebeveiliging Evaluatie Strategie informatiebeveiliging Bestuurlijk kader informatiebeveiliging /

5 1 Inleiding 1.1 Missie en Visie ICTU ICTU werkt in opdracht van overheden aan vraagstukken met een overheidsbreed karakter die een ICT component hebben. Het doel van ICTU is om overheden te ondersteunen hun doelstellingen optimaal te realiseren. ICTU wil zich hierin onderscheiden door het realiseren van concrete oplossingen die bijdragen aan de dienstverlening van de overheid aan burgers en bedrijven. ICTU vervult daarbij een belangrijke maatschappelijke bijdrage omdat die oplossingen veelal maatschappelijk relevant zijn. Daarnaast heeft ICTU in haar dagelijkse activiteiten steeds meer te maken met toenemende digitalisering en tijd- en plaatsonafhankelijk werken en hecht er veel waarde aan dit voor haar eigen medewerkers optimaal te faciliteren. Om deze missie van ICTU te realiseren streeft ICTU naar een positie als de geprefereerde en betrouwbare partner voor overheden, als het om uitvoering van projecten met een ICT-component gaat. Een goede informatiebeveiliging is daarbij een essentiële voorwaarde om deze positie als partner te verkrijgen en te handhaven. Een betrouwbare partner gaat immers bewust en zorgvuldig om met de toevertrouwde informatie. Bovendien moet zo n betrouwbare partner zorgen voor oplossingen, waarin de informatiebeveiliging en de privacy goed zijn geregeld. ICTU als betrouwbare partner ontzorgt haar opdrachtgevers op dat gebied. Een juiste vormgeving en invulling van Informatiebeveiliging is gezien de aard van de activiteiten van ICTU dan ook geen moeten : het is een intrinsieke ambitie omdat het ICTU ondersteunt bij het daadwerkelijk realiseren van haar organisatiedoelstellingen. Daarbij versterken de interne informatiebeveiliging en de informatiebeveiliging op opdrachten elkaar. Door kennis uit opdrachten te delen en gebruik te maken van die kennis in de interne informatiebeveiliging en vice versa zullen cybercrime en cyberrisico s ook minder snel leiden tot veiligheidsinbreuken bij ICTU en haar opdrachtgevers. 1.2 Doel van dit document Het doel van dit beleidsdocument is het vaststellen van de organisatie en het proces van beheersing van informatiebeveiliging binnen ICTU en het geven van kaders voor informatiebeveiliging. Het legt daarmee een basis voor een betrouwbare informatievoorziening. 1.3 Scope Het informatiebeveiligingsbeleid is van toepassing op alle informatie van ICTU en alle personen, processen en (geautomatiseerde) systemen die deze informatie verwerken of raadplegen. De volgende specifieke doelgroepen worden onderscheiden: alle interne en externe medewerkers van ICTU; opdrachtgevers; ketenpartners en leveranciers. Dit beleid geldt voor alle besturende, uitvoerende en ondersteunende processen met betrekking tot informatie en de daarmee gerelateerde bedrijfsmiddelen zoals data, verwerkende systemen, opslag media, medewerkers, materiële ondersteuning, fysieke omgeving en organisatie. Dit beleid definieert de verplichte beheersmaatregelen voor informatiebeveiliging voor heel ICTU. Het beleid definieert ook de beheersmaatregelen die gelden wanneer ICTU met externe partijen informatie uitwisselt. 5/

6 1.4 Documentstructuur informatiebeveiliging De documentstructuur voor informatiebeveiliging bestaat uit de volgende onderdelen: Het informatiebeveiligingsbeleid geeft kaders en principes voor informatiebeveiliging bij ICTU. Het definieert rollen en verantwoordelijkheden voor informatiebeveiliging en geeft de randvoorwaarden met betrekking tot de implementatie van informatiebeveiligingsmaatregelen. De Chief Information Security Officer (CISO) is primair verantwoordelijk voor de totstandkoming van het informatiebeveiligingsbeleidsdocument. De directie stelt het beleid vast. Normenkader Het normenkader is een algemene uitwerking van één of meerdere beleidsregels naar informatiebeveiligingseisen. Dit betreft eisen op zowel fysiek, technisch, organisatorisch als procedureel gebied. Deze eisen zijn ontleend aan de Baseline Informatiebeveiliging Rijksdienst 2012 (BIR). De CISO is in nauwe afstemming met het management van ICTU verantwoordelijk voor de totstandkoming van dit normenkader. Voorschriften, richtlijnen, procedures en werkinstructies Voorschriften, richtlijnen, procedures en werkinstructies geven een nadere detaillering voor beveiligingsmaatregelen op fysiek, technisch, organisatorisch en procedureel gebied. Deze beveiligingsmaatregelen zijn afgeleid uit de BIR-eisen van het normenkader. De CISO ondersteunt en adviseert bij het opstellen van voorschriften, richtlijnen, procedures en werkinstructies. Het lijnmanagement is verantwoordelijk voor de invoering van de maatregelen. Zie onderstaande figuur voor deze opbouw. Strategisch Beveiligingsbeleid Strategisch kader Tactisch Normenkader Baseline Informatiebeveiliging ICTU Tactisch kader Operationeel Voorschriften Procedures Werkinstructies Operationeel kader Figuur 1: Documentstructuur informatiebeveiliging 1.5 Evaluatie Dit wordt elke twee jaar geëvalueerd door de interne auditor. 6/

7 2 Strategie informatiebeveiliging ICTU wenst een belangrijke ICT dienstverlener te zijn voor en door de overheid en positioneert zich daarbij nadrukkelijk als betrouwbare partner richting haar opdrachtgevers. Partner, want ICTU heeft bij uitstek de expertise in huis om haar opdrachtgevers bij te staan bij de ontwikkeling en introductie van ICT in nieuwe domeinen en toepassingen. Deze toepassingen worden in voorkomende gevallen gebruikt om vertrouwelijke en/of privacygevoelige informatie van burgers en bedrijfsleven te verwerken. De maatschappelijke impact op het lekken van deze vertrouwelijke informatie en/of privacygevoelige informatie kan hierbij zeer groot zijn. De beheersing van de risico s, die aan de ontwikkeling en introductie van dergelijke maatschappelijk in te zetten voorzieningen kleven, behoren dan ook tot een onderwerp waarop de ICTU een zorgplicht heeft jegens haar opdrachtgevers. Gezien in het licht van toenemende cyberrisico s is dit geen sinecure. Betrouwbaar. De opdrachtgevers moeten op ICTU kunnen rekenen, niet alleen voor een professionele manier van ontwikkelen van systemen, maar ook voor het op de juiste wijze integreren van beveiliging in deze systemen en programmatuur. Professionele risicobeheersing, dat wil zeggen een risicogebaseerde aanpak om tot een optimale beveiliging te komen hoort hier bij. Dit betreft het in opdrachten voorspellen en beheersen van ongewenste effecten van de introductie van ICT in bepaalde toepassingen in het algemeen en van ongewenste effecten voor security en privacy in het bijzonder. Daarnaast is dit de basis voor security en privacy van de interne processen en het vertrouwen in de eigen omgang met informatie door ICTU. Daarbij hanteert ICTU het principe van delen van informatie tenzij. Vakkundigheid is een ander aspect van betrouwbaar partnerschap. ICTU draagt zorg voor de juiste expertise in huis om ICT systemen/applicaties veilig te ontwerpen, ontwikkelen en beheren, waarbij de risico s voor security en privacy tot aanvaarbare proporties zijn teruggebracht. ICTU brede elementen daarbij zijn: Houding en gedrag Kennis en kunde Processen en organisatie De houding van alle ICTU-medewerkers (intern en extern) in alle situaties (interne processen en opdrachten) is dat informatie een kostbaar goed is dat zorgvuldige omgang behoeft. Medewerkers stralen dit uit in hun gedrag. Voor de interne processen is de strategie gericht op het huis op orde te hebben: ICTU heeft de informatiebeveiliging georganiseerd en belegd; ICTU heeft richtlijnen en standaarden (baselines). Daarbij vormt de Baseline Informatiebeveiliging Rijksdienst 2012 (BIR) de basis voor de ICTU baseline; ICTU heeft een werkend management systeem voor informatiebeveiliging, in vaktaal ook wel Information Security Management System (ISMS) genoemd. Dit behelst een set van werkafspraken om informatiebeveiliging binnen ICTU te beheersen en onderdeel te laten zijn van periodieke management rapportages. ICTU zal dit zo optimaal mogelijk invullen, waarbij als uitgangspunt wordt gehanteerd niet meer dan nodig. Er wordt voor elke afdeling of verantwoordelijkheidsgebied een analyse gemaakt van de risico s en de informatie. Deze analy- 7/

8 se kan stoppen bij de conclusie dat voor de genoemde afdeling of verantwoordelijkheidsgebied kan worden volstaan met de ICTU Baseline. Waar dat niet het geval is worden de bij de risico s passende aanvullende maatregelen beschreven in een informatiebeveiligingsplan. Informatiebeveiliging is bij ICTU een integraal onderdeel van de management cyclus. Dat wil ondermeer zeggen dat risicoanalyses, informatiebeveiligingsplannen en besluiten om af te wijken van het beleid worden vastgesteld in de normale managementgremia van ICTU, met name het DT- en het MT-overleg; ICTU heeft in relatie met haar (belangrijkste) stakeholders ook aandacht voor beveiliging en privacy en maakt hierover afspraken met samenwerkende partijen en dienstverleners; ICTU heeft haar incident management ingericht. Hiervoor worden ook externe contacten onderhouden, ondermeer met leveranciers maar ook met opdrachtgevers waar het gaat om het beheer van informatiesystemen die in productie zijn. Dit doet ICTU om de diverse type incidenten adequaat te kunnen beheersen als die zich onverhoopt voordoen. Waar nodig wordt hiervoor geoefend. Voor de informatiebeveiliging op opdrachten is de strategie gericht op: Het sturen op een goede balans tussen opdrachtgever bepaalt en zorgplicht van ICTU ; Het uitvoeren van een risicoanalyse, als onderdeel van de intake van een opdracht; Het monitoren van de risico s voor informatiebeveiliging en privacy gedurende de uitvoering van een opdracht en het (doen) treffen van adequate beheersingsmaatregelen op het project door opdrachtgever en projectmanager; Het rapporteren over risico s voor informatiebeveiliging van opdrachten in de management cyclus van Delivery Management, met eventuele escalatie naar het DT bij hoge risico s; Kennismanagement: het van elkaar leren, ook waar het gaat over informatiebeveiliging en privacy; Bij het (tijdelijk) beheer van ICT-systemen: het aansturen van operationeel beheer op adequate beveiliging en het verkrijgen van monitoring- en verantwoordingsgegevens voor deze ICT-systemen. Afspraken hierover worden vastgelegd in het contract met betreffende partijen. Aansluiting bij de kwaliteitsbeheersing voor opdrachten is hierbij een belangrijk streven. 8/

9 3 Bestuurlijk kader informatiebeveiliging ICTU hanteert een bestuurlijk kader en principes voor de inrichting en verdere uitwerking van Informatiebeveiliging. Dit kader vormt een leidraad wanneer er zich vraagstukken voordoen op het gebied van Informatiebeveiliging die niet verder zijn uitgewerkt. Dit kader bestaat uit de onderstaande punten. 1. Verantwoordelijkheden, three lines of defense De directie van ICTU is eindverantwoordelijkheid voor een werkend informatiebeveiligingsbeleid binnen ICTU. Informatiebeveiliging heeft een portefeuillehouder in het Directieteam, dit is het hoofd SSC. Er is een CISO functie gecreëerd, die rapporteert aan het hoofd SSC. De CISO is verantwoordelijk voor de coördinatie van de informatiebeveiliging, beleidsvoorbereiding en het geven van ondersteuning en advies op het gebied van informatiebeveiliging. Daarnaast is iedere medewerker verantwoordelijk en aansprakelijk voor de veiligheid van de informatie die aan hem of haar is toevertrouwd. Informatiebeveiliging is binnen de ICTU ingericht conform het gebruikelijke three lines of defense model, waarbinnen onderscheid wordt gemaakt tussen: 1 e lijn: lijnverantwoordelijkheid - Directieteam, lijnmanagers en projectmanagers 2 e lijn: adviserende en ondersteunende verantwoordelijkheid - Chief Information Security Officer 3 e lijn: onafhankelijke controle - Onafhankelijke interne of externe controle op het beleid en de uitvoering daarvan Lijnmanagement en projectmanagement De lijnmanager/projectmanager is verantwoordelijk voor de beheersing van de informatiebeveiligingsrisico s binnen het eigen verantwoordelijkheidsgebied (afdeling, project). Hiertoe voert deze een risicoanalyse uit conform de binnen de ICTU gebruikelijke methode. Rekening houdend met de voor de ICTU geldende voorschriften en standaarden worden dan (aanvullende / specifieke) beveiligingsmaatregelen getroffen en in een informatiebeveiligingsplan vastgelegd, de ICTU Baseline vormt hiervoor de basis. De analyse en het plan worden ter accordering voorgelegd aan het DT, vergezeld van een advies van de CISO. Het lijnmanagement actualiseert risico s en plannen tenminste elke 2 jaar of eerder als significante wijzigingen dat nodig maken. CISO De CISO is een adviserende, coördinerende en ondersteunende functie. De CISO kan gevraagd en ongevraagd adviseren. De CISO zal in het kader van zijn adviesfunctie signaleren wanneer deze ongewenste risico s ziet. Onafhankelijke controle De derde line of defense is de onafhankelijke controle. Deze functie wordt voor de interne organisatie belegd bij de concerncontroller van de ICTU. Voor de onafhankelijke controle wordt jaarlijks een audit-agenda opgesteld door de concerncontroller in overleg met de CISO. 9/

10 2. Basisbeveiligingsniveau ICTU hanteert een beschreven basisniveau van Informatiebeveiliging, de ICTU Baseline. Dit basisniveau is afgeleid van de Baseline Informatiebeveiliging Rijksdienst (BIR) Classificatie ICTU heeft een classificatieschema opgesteld waarmee de mate van vertrouwelijkheid van de binnen ICTU aanwezige informatie kan worden aangegeven. Deze classificatie sluit aan bij de gangbare begrippen van de Rijksoverheid en bestaat uit de volgende niveaus: Nr Classificatie Omschrijving 1 Personeelsvertrouwelijk Indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van ICTU en/of haar medewerkers. 2 Commercieel vertrouwelijk Indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van ICTU en /of haar dienstverleners. 3 Departementaal VERTROUWELIJK (Dep-V) 4 Staatsgeheim CONFIDENTIEEL (Stg C) 5 Staatsgeheim GEHEIM (Stg G) 6 Staatsgeheim ZEER GEHEIM (Stg ZG) Indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van ICTU en/of één of meerdere ministeries. Indien kennisname door niet geautoriseerden schade kan toebrengen aan één van de vitale belangen van de Staat of zijn bondgenoten Indien kennisname door niet geautoriseerden ernstige schade kan toebrengen aan één van de vitale belangen van de Staat of zijn bondgenoten Indien kennisname door niet geautoriseerden zeer ernstige schade kan toebrengen aan één van de vitale belangen van de Staat of zijn bondgenoten Figuur 2: Classificatieschema ICTU De classificaties 1 t/m 3 zullen bij ICTU het meest voorkomen. De overige Staatsgeheime classificaties komen bij ICTU niet of zeer incidenteel voor. 10/

11 4. Management systeem ICTU heeft een aantoonbaar werkend management systeem (set van werkafspraken) voor informatiebeveiliging. Voor elk verantwoordelijkheidsgebied (afdeling of project) is een risicoanalyse gemaakt, waarin informatie en informatieverwerkende systemen zijn geclassificeerd en waar maatregelen zijn gekozen op basis van een risicoafweging. Restrisico s worden daarbij expliciet geaccepteerd. De uitvoering van deze maatregelen is onderdeel van een PDCA cyclus en wordt jaarlijks herzien. Risico s worden gerapporteerd in een risicomonitor in de relevante managementgremia (MT, DT). Er wordt gebruik gemaakt van een gestandaardiseerde methode voor de uitvoering van risicoanalyses. 5. Balans Beveiligingsmaatregelen zijn wat inspanning en kosten betreft in balans met het te beschermen belang of waarde. ICTU wil nadrukkelijk ook flexibel en modern blijven. Inzet van moderne ICTmiddelen en voorzieningen of diensten moet mogelijk zijn, tenzij het duidelijk is dat dit niet verenigbaar is met een adequate beveiliging. 6. Eigenaarschap Alle processen, applicaties en generieke infrastructuur (fysiek en informatie) hebben één formele eigenaar. Dit geldt ook voor een combinatie van processen in een keten. 7. Efficiency en restrisico Risico s worden beperkt tot een aanvaardbaar niveau. Het aanvaardbare niveau wordt vastgesteld door de eigenaar van het proces, applicatie of generieke infrastructuur met ondersteuning door de CISO. Het restrisico wordt expliciet gemaakt en geaccepteerd. Geaccepteerde restrisico s worden gerapporteerd in de normale managementcyclus. 8. Beveiligingsbewustzijn Beveiligingsbewustzijn leidt op ieder niveau binnen de organisatie tot medewerkers die zich bewust zijn welke risico s ICTU kan lopen, weten voor welke risico's zij verantwoordelijk zijn en hoe en waarom zij de gewenste beheersmaatregelen uit moeten voeren. De directie van ICTU draagt zorg voor bewustzijnsbevorderende activiteiten. De CISO en het lijnmanagement dragen de boodschap uit en houden het bewustzijn onder de medewerkers levend. Beveiligingsbewustzijn is geen eenmalige zaak, maar een doorlopende actie, mede gegeven de vele wisselingen van medewerkers bij de ICTU. In het introductieprogramma voor alle nieuwe medewerkers is er aandacht voor informatiebeveiliging. 9. Toegang ICTU hecht er veel waarde aan om intern kennis te delen. Inhoudelijke informatie uit projecten zal daarom in de regel openbaar zijn en zelfs actief worden gedeeld, waarbij het principe geldt Informatie is vrij toegankelijk voor iedereen, tenzij. Tenzij, want er is ook informatie waarop een meer restrictieve verspreiding van toepassing is. Dat betreft alle informatie die de bedrijfsvoering van de ICTU betreft, zoals personele (privacy) en commercieel gevoelige informatie. Maar ook de managementinformatie van opdrachten (afwijkingen, financiën, voortgang) zijn alleen op need to know basis beschikbaar. Met name is dat relevant voor opdrachten die op meer dan gemiddelde politieke belangstelling mogen rekenen. De toekenning van rechten is hierop aangepast. 11/

12 10. Comply or Explain Daar waar een afdeling afwijkt van vastgesteld beleid of standaarden, legt het management van die afdeling dit vast in een formele verklaring. De verklaring bevat een risico-inschatting van de afwijking en de mogelijke consequenties en dit wordt aan de CISO voorgelegd. De CISO stelt een advies op en biedt deze samen met de verklaring van de afwijking aan het DT aan ter besluitvorming. 11. Flexibel werken, Bring Your Own Device (BYOD) ICTU vindt het belangrijk dat haar medewerkers flexibel kunnen werken. Thuis werken of op locaties buiten ICTU moet op een veilige manier kunnen worden gefaciliteerd. In het kader van flexibel werken is het ook mogelijk dat medewerkers gebruik maken van hun eigen apparatuur (Bring Your Own Device, BYOD). Hiervoor gelden passende regels voor beveiliging, beheer en gebruik. ICTU formuleert deze gebruiksregels en het bijbehorend beheer in een specifieke richtlijn. 12. Cloudvoorzieningen Een bijkomend aspect van flexibel werken is gebruik maken van cloudvoorzieningen die dit op een gebruikersvriendelijke manier faciliteren. Het is de intentie van ICTU om gebruik te maken van bepaalde cloudvoorzieningen mits dit op een verantwoorde en veilige wijze mogelijk is. Het gebruik van cloudvoorzieningen is uitsluitend toegestaan mits er door de CISO een positief advies over dit gebruik is uitgebracht en het DT heeft ingestemd met het voorziene gebruik. ICTU stelt voorschriften voor het toegestane gebruik van cloudvoorzieningen op en de eisen die aan beveiliging van cloudvoorzieningen moeten worden gesteld. 13. Naleving en sancties Iedere medewerker van ICTU handelt in lijn met dit en de daar uit afgeleide maatregelen (gedragscode). 14. Evaluatie Dit beleid zal tenminste elke 2 jaar worden geëvalueerd en bijgesteld, of zoveel eerder als significante veranderingen in de risico s voor ICTU dat nodig maken. 12/