Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Transcriptie

1 Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014

2 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende punten: o Toegang tot apparatuur, software en gegevens o Gedrag medewerkers bewerker door middel van bewustwording en geheimhoudingsovereenkomst o Veilig vernietigen van gegevens en maken van back-ups en omgang met (back-up) media 2) Diensten Zorg ervoor dat afspraken met IB en onderaannemers worden gemaakt die aansluiten op de eisen voortkomend uit het GGk. B) Organisatie IB 1) Gegevens: Zorg ervoor dat een proces wordt ingericht zodat er continue aandacht voor informatiebeveiliging ten aanzien van het informatiesysteem is. Verantwoordelijkheid ligt bij de systeemeigenaar. Stel een (bewerkers)overeenkomst op waarbij op basis van een risicoafweging de eisen zijn opgesteld waaraan IB dient te voldoen. Aandachtspunten hierbij zijn minimaal: welke toegang (fysiek, netwerk en gegevens) voor IB en onderaannemers noodzakelijk is en welke beveiligingsmaatregelen hiervoor noodzakelijk zijn. dat beveiligingsincidenten onmiddellijk(na detectie) worden gerapporteerd. hoe de beveiligingsmaatregelen bij IB te controleren zijn (bijv. audits en penetratietests of via een third party mededeling (TPM) of een ISAE 3402-verklaring) en hoe de toezicht hierop is geregeld. hoe de ontwikkeling en onderhoud van de software is geregeld. Hierbij dient minimaal aandacht te worden gegeven aan kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, escrow en reviews. dat voor onderaannemers dezelfde beveiligingseisen gelden als voor IB. IB is verantwoordelijk voor de borging bij de onderaannemer van de gemaakte afspraken. dat geheimhoudingsverklaring door IB-medewerkers ondertekend dienen te worden. dat gegevens veilig worden vernietigd. dat back-ups worden gemaakt en periodiek worden getest. Hoe omgegaan dient te worden met deze back-up media. Richt een cyclus in waarbij de beveiliging van het GGk regelmatig wordt geëvalueerd en bijgesteld. Hierbij dient continue beoordeeld te worden welke beveiligingsmaatregelen passend zijn en deze indien nodig bij te stellen. Daarbij hoort ook het opnieuw bekijken van de risicoanalyse bij relevante wijzigingen. Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 2

3 C) Classificatie en beheer van informatie en bedrijfsmiddelen 1) Mens: Zorg ervoor dat alle medewerkers zich bewust zijn van de noodzaak van informatiebeveiliging in het algemeen en hoe om te gaan met het informatiesysteem en de (privacy) gevoelige informatie in het bijzonder. 2) Diensten: Zorg ervoor dat bij alle betrokken partijen duidelijk is wat de classificatie van de gegevens is waarmee wordt gewerkt en de eisen die aan de beschikbaarheid, integriteit en vertrouwelijkheid worden gesteld. Neem deze cyclus als een standaard onderdeel op in de Planning en Control (P&C)-cyclus en rapporteer over informatiebeveiliging aan de hand van een in control statement 1. De medewerkers van de betrokken partijen behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van IB, voor zover relevant voor hun functie. Tijdens de bewustwording en training dient aandacht besteed te worden aan: de eisen met betrekking tot de beschikbaarheid, integriteit en vertrouwelijkheid. het aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met de ICT-voorzieningen van IB. de rollen en verantwoordelijkheden van de medewerkers. de disciplinaire maatregelen voor medewerkers die inbreuk op de informatiebeveiliging hebben gepleegd. Voordat toegang wordt verleend tot het GGk en de informatie, dient aan de volgende voorwaarden te zijn voldaan: De risico's voor het GGk en de informatie zijn geïdentificeerd en er zijn geschikte beheersmaatregelen geïmplementeerd. Hiervoor dient de informatie te zijn geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de betrokken partijen. Neem voor het GGk de relevante beveiligingseisen op in contracten en SLA s met alle betrokken partijen. Het gaat hierbij om: 1 De in control statement moet inzicht geven aan welke informatiebeveiligingsmaatregelen (BIG normen) wordt voldaan en voor welke informatiebeveiligingsmaatregelen (BIG normen) een explain is gedefinieerd. Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 3

4 D) Personele beveiligings-eisen 1) Mens: Zorg ervoor dat gemeentelijke gebruikers en beheerders voldoende beschikbaar en getraind zijn om de werkzaamheden betrouwbaar uit te voeren. Zorg ervoor dat de externe medewerkers (IB, VECOZO en RINIS): o voldoende beschikbaar en getraind zijn om de werkzaamheden betrouwbaar uit te voeren. o voldoende doordrongen zijn van hun verantwoordelijkheid. 2) Gegevens: Zorg ervoor dat tijdens bewustwordingsacties voor (alle) medewerkers aandacht wordt besteed aan: o Veilig omgaan met gegevens. o Clear desk/clear screen. o De eisen die aan de beschikbaarheid, integriteit en vertrouwelijkheid worden gesteld. o De regels die zijn vastgesteld voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met de ICT-voorzieningen van IB. o De rollen en verantwoordelijkheden van de medewerkers van de betrokken partijen die zijn vastgesteld. Het gaat hierbij om organisaties: o die toegang hebben tot het GGk of de informatie of deze informatie verwerken. o die de informatie of ICT-voorzieningen van IB beheren. De medewerkers van de betrokken partijen behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van IB, voor zover relevant voor hun functie. Tijdens deze bewustwording en training dient ook aandacht besteed te worden aan de rollen en verantwoordelijkheden. Denk hierbij aan: Veilig omgaan met gegevens, ze moeten dan ook bekend zijn met de eisen die aan deze gegevens worden gesteld. Clear desk/clear screen. Delen/gebruik van autorisaties. Tevens dient aandacht te worden besteed aan de geheimhoudingsplicht. Neem voor het GGk de relevante beveiligingseisen op in contracten en SLA s met alle betrokken partijen. Het gaat hierbij om: De eisen die worden gesteld aan de beschikbaarheid (back-up) en kennis en kunde van de medewerkers. Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 4

5 E) Fysieke beveiliging F) Beheer van communicatieen bedienings- o Delen/gebruik van autorisaties. Zorg ervoor dat dit jaarlijks wordt herhaald en dat de aanwezigheid van medewerkers aan deze cursus/training wordt geregistreerd. Zorg ervoor dat (alle) activiteiten van beheerders en gebruikers worden gelogd. 3) Diensten: Zorg ervoor dat afspraken met IB en onderaannemers worden gemaakt over de eisen die aan medewerkers worden gesteld met betrekking tot de omgang met gegevens in het GGk. 1) Apparatuur: Zorg ervoor dat er voldoende maatregelen worden getroffen om systeemuitval door externe invloeden te voorkomen. 1) Mens: Zorg ervoor dat alle gebruikers en beheerders worden opgeleid voor het (veilig) gebruiken Ook dient hierin opgenomen te zijn hoe de derde partij aantoont dat aan de gestelde eisen wordt voldaan. Bijvoorbeeld extern audit, ISO/IEC27001 certificering of een TPM. De activiteiten van gebruikers en beheerders (systeemadministrators en -operators) behoren te worden vastgelegd in audit-logbestanden. Let hierbij wel op dat logging persoonsgerelateerde of privacygevoelige informatie kan bevatten, en dat logging zodanig bewaard moet worden dat deze niet zomaar kan worden ingezien of worden gewijzigd. Computerruimten dienen zo te worden ontworpen, gebouwd en ingericht dat apparatuur wordt beschermd tegen storingen van buitenaf of menselijke calamiteiten en de gelegenheid voor onbevoegde toegang wordt verminderd. Er zijn voorzieningen getroffen om apparatuur tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen te beschermen. Deze maatregelen gelden zowel voor IB (beheer werkplekken) als Vancis (hosting organisatie). Eisen van IB aan Vancis (of andere leveranciers) dienen te zijn vastgelegd in overeenkomsten en/of contracten. Ook dient hierin opgenomen te zijn hoe de derde partij aantoont dat aan de gestelde eisen wordt voldaan. Bijvoorbeeld extern audit, ISO/IEC27001 certificering of een TPM. Medewerkers van IB en onderaannemers dienen een geheimhoudingsverklaring te ondertekenen. Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 5

6 processen en beheren en van het systeem. Zorg ervoor dat beheerfuncties zo worden ingevuld dat er een back-up mogelijk is bij het wegvallen van personeel. 2) Apparatuur: Zorg ervoor dat apparaten alleen verbinding kunnen maken met het informatiesysteem middels een beveiligde verbinding (tunnel). Zorg ervoor dat duidelijke (beheer)procedures voor systeembeheer zijn opgesteld om te voorkomen dat het GGk uitvalt door menselijk handelen. 3) Gegevens: Zorg ervoor dat duidelijke procedures worden opgesteld voor de applicatiebeheerder met aandacht voor gegevensbeheer. Zorg ervoor dat gebruikte media in welke vorm dan ook wordt geschoond van informatie voordat het buiten gebruik wordt gesteld. 4) Organisatie: Zorg ervoor dat er beheerafspraken komen tussen de verschillende beheerorganisaties (zoals IB, RINIS, VECOZO, Gemnet en Diginetwerk). Alle medewerkers van IB en onderaannemers behoren een geschikte training en regelmatige bijscholing te krijgen met betrekking tot beveiligingsbeleid en de beveiligingsprocedures van IB, voor zover relevant voor hun functie. Zorg dat alle kritische (beheer)functies minimaal dubbel zijn uitgevoerd. Zorg dat bij transport van vertrouwelijke informatie over onvertrouwde netwerken, zoals het internet, geschikte encryptie te worden toegepast. 2 Waarbij de cryptografische beveiligingsvoorzieningen en componenten voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS en waar mogelijk NBV). Zorg dat sleutel- en certificatenbeheer is ingericht ter ondersteuning van het gebruik van cryptografische technieken. IB zorgt voor een verantwoorde (veilige) afvoer (vernietiging) van apparaten/informatiedragers bij beëindiging van het gebruik of een defect zodat er geen data op het apparaat aanwezig of toegankelijk is. IB zorgt voor (duidelijke) procedures met betrekking tot de omgang en het beheer van verwijderbare media. 2 Zie voor achtergrondinformatie het factsheet van het Nationaal Cyber Security Center (NCSC) Factsheet FS Kwetsbaarheid in SSL en TLS ( Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 6

7 5) Diensten: Zorg ervoor dat afspraken met IB en onderaannemers worden gemaakt over het gewenste inzicht (rapportage/logging) in de wijze waarop wordt omgegaan met het beheer van het GGk en dan met name de omgang met gegevens. IB zorgt voor (duidelijke) bediening- en beheerprocedures die onder andere informatie bevatten over opstarten, afsluiten, backup- en herstelacties, afhandelen van fouten, beheer van gegevens en logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging. IB zorgt voor procedures met betrekking tot logging. Hierbij wordt geregeld dat (alle) activiteiten van gebruikers en beheerder veilig worden vastgelegd in audit-logbestanden. Tevens dienen uitzonderingen en informatiebeveiligingsgebeurtenissen vastgelegd te worden in audit-logbestanden. Deze logbestanden worden continue gecontroleerd en gedurende een vastgestelde periode bewaard zoals in het operationele BIG document Handreiking Dataclassificatie beschreven 3. Over deze controle wordt periodiek gerapporteerd. Er zijn afspraken gemaakt met IB en onderaannemers met betrekking tot het beheer(sing) van het GGk. Special aandacht dient te worden besteedt aan wijzigingen in de ICT-voorzieningen, dat gebruik wordt gemaakt van gescheiden faciliteiten voor ontwikkeling, testen en productie en dat maatregelen getroffen worden voor detectie, preventie en herstellen om zich te beschermen tegen malware. Tevens dienen afspraken te zijn gemaakt over de controle en beoordeling van de dienstverlening van IB en onderaannemers. G) Logische 1) Apparatuur: IB zorgt voor procedures met betrekking tot toegangsbeleid en 3 Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 7

8 Toegangsbeveiliging Zorg ervoor dat logging op de servers (zoals web, database, presentatie, applicatie, broker (BizTalk) en SQL server) is geconfigureerd met special aandacht voor toegang buiten het berichtenverkeer om. 2) Programmatuur: Zorg ervoor dat de anti malware software actueel wordt gehouden (up-to-date) op zowel de werkstations als de servers. 3) Gegevens: Zorg ervoor dat alleen geautoriseerde personen toegang hebben tot de gegevens in het informatiesysteem en in het bijzonder tot de vertrouwelijke gegevens. Zorg ervoor dat bij toegang tot bijzondere persoonsgegevens (die onder het medisch beroepsgeheim vallen) uitsluitend gebruik gemaakt wordt van minimaal twee-factor authenticatie. Zorg ervoor dat gegevens uitsluitend middels een beveiligde verbinding (tunnel) worden uitgewisseld. 4) Diensten: Zorg ervoor dat afspraken met IB en onderaannemers worden gemaakt over de (remote) toegang tot het GGk door logische toegangsbeveiliging, zodat alleen geautoriseerde personen toegang hebben tot de gegevens in het GGk en in het bijzonder tot de vertrouwelijke gegevens. IB maakt gebruik van twee-factor authenticatie voor toegang tot het (portaal) GGk. IB zorgt voor procedures met betrekking tot logging. Hierbij wordt geregeld dat (alle) activiteiten van gebruikers en beheerder veilig worden vastgelegd in audit-logbestanden. Tevens dienen uitzonderingen en informatiebeveiligingsgebeurtenissen vastgelegd te worden in audit-logbestanden. Deze logbestanden worden continue gecontroleerd en gedurende een vastgestelde periode bewaard zoals in het operationele BIG document Handreiking Dataclassificatie beschreven 4. Over deze controle wordt periodiek gerapporteerd. Er zijn afspraken gemaakt met IB en onderaannemers met betrekking tot het beheer(sing) van het GGk. Special aandacht dient te worden besteedt aan de maatregelen die getroffen worden voor detectie, preventie en herstellen om zich te beschermen tegen malware. Tevens dienen afspraken te zijn gemaakt over de controle en beoordeling van de dienstverlening van IB en onderaannemers. Zorg dat bij transport van vertrouwelijke informatie over 4 Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 8

9 H) Ontwikkeling en onderhoud van systemen beheerders, ontwikkelaars et cetera. 1) Programmatuur: Zorg ervoor dat er goede systeemdocumentatie worden gemaakt en onderhouden. Zorg ervoor dat door de ontwikkelaar gebruik gemaakt wordt van gescheiden omgevingen (OTAP) en duidelijke procedures voor testen en acceptatie. Zorg ervoor dat kwetsbaarheden (tijdig) onvertrouwde netwerken, zoals het internet, geschikte encryptie te worden toegepast. 5 Waarbij de cryptografische beveiligingsvoorzieningen en componenten voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS en waar mogelijk NBV). Zorg dat sleutel- en certificatenbeheer is ingericht ter ondersteuning van het gebruik van cryptografische technieken. IB heeft beleid en procedures vastgesteld en beveiligingsmaatregelen geïmplementeerd ter bescherming tegen risico's van het gebruik van draagbare computers en communicatiefaciliteiten. IB heeft beleid en procedures vastgesteld en beveiligingsmaatregelen geïmplementeerd met betrekking tot telewerken. IB zorgt voor actuele systeemdocumentatie die als onderdeel van het wijzigingsbeheerproces wordt onderhouden. Hierbij dient aandacht te worden besteed aan procedures om de installatie van programmatuur op productiesystemen te beheersen. Er zijn afspraken gemaakt met IB en onderaannemers met betrekking tot het beheer(sing) van het GGk. Special aandacht dient te worden besteedt aan wijzigingen in de ICT-voorzieningen, dat gebruik wordt gemaakt van gescheiden faciliteiten voor 5 Zie voor achtergrondinformatie het factsheet van het Nationaal Cyber Security Center (NCSC) Factsheet FS Kwetsbaarheid in SSL en TLS ( Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 9

10 (I) Beheer van beveiligingsincidenten (J) Continuïteit worden ontdekt en (tijdig) afdoende maatregelen worden genomen. 2) Gegevens: Zorg ervoor dat uitsluitend getest wordt met testdata die geen echte gegevens bevat. 3) Diensten: Zorg ervoor dat er afspraken met IB en onderaannemers worden gemaakt waarbij de invulling en instandhouding van beveiligingsmaatregelen met betrekking tot de ontwikkeling en het onderhoud van het GGk onderdeel vanuit maken. 1) Diensten: Zorg ervoor dat vanuit IB tijdig informatiebeveiligings-incidenten aan alle betrokkenen (zoals gemeenten en IBD) worden gemeld. 1) Mens: Zorg ervoor dat de gebruikers en (functioneel, technisch en applicatie) beheerders voldoende beschikbaar zijn om de continuïteit te garanderen die vereist wordt. ontwikkeling, testen en productie en dat maatregelen getroffen worden voor detectie, preventie en herstellen om zich te beschermen tegen malware. Tevens dienen afspraken te zijn gemaakt over de controle en beoordeling van de dienstverlening van IB en onderaannemers. IB zorgt voor testdata die tijdens het testen kan worden gebruikt. Het is hierbij niet toegestaan om kopieën van operationele (productie) databases voor testgegevens te gebruiken. IB heeft een proces ingericht voor het beheer van technische kwetsbaarheden. Dit proces omvat minimaal periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching. Er is een proces rondom incidentbeheer ingericht zodat de betrokken partijen tijdig op de hoogte kunnen worden gebracht bij incidenten. Om incidenten te kunnen onderzoeken, reconstrueren of om te ontdekken welke systemen nog meer zijn geraakt dient een proces voor logging en monitoring ingericht te zijn. Let hierbij wel op dat logging persoonsgerelateerde of privacygevoelige informatie kan bevatten, en dat logging zodanig bewaard moet worden dat deze niet zomaar kan worden ingezien of worden gewijzigd. Om de continuïteit van het GGk te kunnen garanderen dient aan de volgende voorwaarden te zijn voldaan: De risico's voor het GGk en de informatie zijn geïdentificeerd en er zijn geschikte beheersmaatregelen geïmplementeerd. Hiervoor dient de informatie te zijn geclassificeerd met betrekking tot de Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 10

11 2) Apparatuur: Zorg ervoor dat in een SLA voldoende eisen worden gesteld zodat IB de continuïteit waarborgd. Zorg ervoor dat IB periodiek over de geleverde dienstverlening rapporteert zodat kan worden gecontroleerd of IB aan de gestelde eisen voldoet. 3) Gegevens: Zorg ervoor dat afspraken worden gemaakt zodat gegevensverlies wordt voorkomen. Denk hierbij aan een adequaat back-up en restore proces en de controle op naleving daarvan. 4) Organisatie: Zorg ervoor dat er aansluitvoorwaarden zijn met rechten en plichten van gemeente naar IB, maar ook van IB naar gemeenten. waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de betrokken partijen. Neem voor het GGk de relevante beveiligingseisen op in contracten en SLA s met alle betrokken partijen. Het gaat hierbij om: o De eisen die aan de beschikbaarheid en continuïteit worden o gesteld. De regels die zijn vastgesteld zodat gegevensverlies wordt voorkomen. Denk hierbij aan het maken en regelmatig testen van reservekopieën van alle essentiële bedrijfsgegevens en programmatuur, zodat de continuïteit van de gegevensverwerking kan worden gegarandeerd. Dit dient overeenkomstig het vastgestelde back-upbeleid. Neem ook afspraken op over de frequentie waarop wordt gerapporteerd over de geleverde dienstverlening. Ook dient hierin opgenomen te zijn hoe de derde partij aantoont dat aan de gestelde eisen wordt voldaan. Bijvoorbeeld extern audit, ISO/IEC27001 certificering of een TPM. Er is een proces rondom capaciteitsbeheer ingericht zodat een optimale inzet van ICT-middelen ten behoeve van het GGk wordt gewaarborgd. Computercapaciteit (resources) zoals CPU tijd en schijfruimte worden tijdig en in voldoende mate beschikbaar gesteld. Let wel dat het hierbij gaat om een optimale inzet van ICTmiddelen. Optimaal wil zeggen, op de juiste plaats, op het juiste moment, in de juiste hoeveelheid en tegen gerechtvaardigde kosten. (K) Naleving 1) Gegevens: De toegangsrechten van gebruikers en beheerders worden Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 11

12 Zorg ervoor dat er periodieke controle is van toegang tot gegevens door gemeenten en beheerders om aan te kunnen tonen wie wanneer waar toegang toe heeft gehad. 2) Diensten: Zorg ervoor dat er periodieke controle is van de diensten die door IB en onderaannemers worden geleverd om de aanwezigheid en juiste werking van beveiligingsmaatregelen te kunnen verifiëren en valideren. 6 regelmatig beoordeeld en de wijze waarop is vastgelegd in een formeel proces. Neem voor het GGk de relevante beveiligingseisen op in contracten en SLA s met alle betrokken partijen. Het gaat hierbij om: o De eisen die aan worden gesteld met betrekking tot de periodieke controle om de aanwezigheid en juiste werking van beveiligingsmaatregelen te kunnen verifiëren en valideren van de diensten die worden geleverd. Neem ook afspraken op over de frequentie waarop hierover wordt gerapporteerd of wanneer een third party mededeling (TPM) of een ISAE 3402-verklaring dient te worden overlegd. 6 Hiervoor kan gebruik worden gemaakt van een third party mededeling (TPM) of een ISAE 3402-verklaring). Overzicht Informatiebeveiliging Inlichtingenbureau Pagina 12