HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Transcriptie

1 HARDENING-BELEID VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

2 Colofon Naam document Hardening-beleid voor gemeenten Versienummer 1.0 Versiedatum Oktober 2013 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2

3 Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van zo n project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: WBP, GBA, SUWI, BAG en PUN, maar ook de Archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het pas toe of leg uit principe. 3

4 Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit document geeft een mogelijke invulling van beleidsuitgangspunten voor het hardening-beleid weer. Deze beleidsuitgangspunten zijn afkomstig uit de BIG en het beleid is daarmee compliant aan de BIG. Deze beleidsuitgangspunten zijn opgenomen in hoofdstuk 3 Hardening-beleid gemeente. Doelgroep Dit document is van belang voor het bestuur (voor het beleid), de technisch beheerders / systeembeheer. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten o Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten Gemeentelijk beveiligingsbeleid Patchmanagement Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

5 Inhoud 1 Inleiding 6 2 Hardening 7 3 Hardening-beleid gemeente (gemeente) 10 5

6 1 Inleiding Eén van de makkelijkste doelen voor een aanvaller is een niet goed actueel gehouden systeem met de laatste patches en updates en een systeem waarbij functionaliteiten en privileges niet zijn teruggebracht tot het minimum dat noodzakelijk is voor het uitvoeren van de taak (hardening). De BIG geeft enkele maatregelen die op hardening ingaan, maar die ook nadere detaillering vragen bovenop wat in de BIG staat alsook in het gemeentelijke beveiligingsbeleid. Doelstelling hardening Hardening is het proces waarbij overbodige functies in besturingssystemen uitgeschakeld worden en/of van het systeem verwijderd worden. En daarnaast door zodanige waarden toekennen aan beveiligingsinstellingen dat hiermee de mogelijkheden om een systeem te compromitteren worden verlaagd en een maximale veiligheid ontstaat. Het gaat hierbij ook om het verwijderen van niet gebruikte of onnodige gebruikers accounts, en tevens het wijzigen van standaard wachtwoorden die op sommige systemen aanwezig kunnen zijn. Met systemen wordt in dit verband bedoeld: servers, actieve netwerkcomponenten zoals Firewalls en switches, desktops, laptops, mobiele devices. Kortom, alles met een besturingssysteem. Het resultaat is een gehard systeem. Indeling document In dit document wordt eerst een algemene beschrijving en uitleg van hardening gegeven, het hardening-proces. Afsluitend bevat dit document een aanvulling op het gemeentelijk beveiligingsbeleid voor hardening. Aanwijzing voor gebruik Deze aanwijzing is qua opzet geschreven om informatiebeveiligingsmaatregelen met betrekking tot hardening te duiden en scherper neer te zetten. Deze handleiding is niet een volledige procesbeschrijving en bevat geen productnamen. Deze aanwijzing bevat wel voldoende informatie om goede keuzes te maken en bewustwording te creëren met betrekking tot hardening van systemen. 6

7 2 Hardening Hardening is het proces waarbij overbodige functies in besturingssystemen uitgeschakeld worden en/of van het systeem verwijderd worden. En daarnaast door zodanige waarden toekennen aan beveiligingsinstellingen dat hiermee de mogelijkheden om een systeem te compromitteren worden verlaagd en een maximale veiligheid ontstaat. Het gaat hierbij ook om het verwijderen van niet gebruikte of onnodige gebruikers accounts, en tevens het wijzigen van standaard wachtwoorden die op sommige systemen aanwezig kunnen zijn. Met systemen wordt in dit verband bedoeld: Servers, actieve netwerkcomponenten zoals Firewalls en switches, desktops, laptops, mobiele devices. Kortom, alles met een besturingssysteem. Het resultaat is een gehard systeem. Er zijn diverse methoden te vinden die betrekking hebben op hardening van systemen. In basis gaan alle methoden volgens een vast patroon te werk zodat niets vergeten wordt. Met deze methoden wordt bedoeld: hardening van Windows systemen, hardening van Linux systemen, hardening van webservers etc. Wat zijn de effecten van hardening: De reductie van de mogelijkheden om zwakheden te benutten op systemen; Het tegenwerken van een aanvaller die binnengedrongen is door de mogelijke programma s en tooling op systemen te minimaliseren; Het tegenwerken van een aanvaller die binnengedrongen is door het minimaliseren van ter beschikking staande systeemrechten; Verhogen van de mogelijkheden van detectie bij een gelukte aanval; Daarnaast is een effect van hardening het verminderen van systeem complexiteit en daarmee een verbeterde beheersing van het systeem en lagere beheerkosten; Verdediging in lagen Defence in Depth Hardening van de actieve infrastructuur, servers en netwerkcomponenten, is een belangrijke stap in de strijd om persoonlijke gegevens en informatie te beschermen. Dit proces werkt aan de hand van het elimineren van een aanval door het patchen van kwetsbaarheden en het uitschakelen van niet-wezenlijke diensten. Hardening van een computer omvat verschillende stappen die samen verschillende beschermingslagen vormen. Deze benadering wordt vaak genoemd: verdediging in lagen. Het regelmatig toepassen van leveranciers beveiligingspatches is de eerste stap om computersystemen te hardenen. Ook adviseren veel beveiligingsexperts het installeren van een softwarematige firewall op de computer. Extra hardening acties omvatten het afsluiten van serverpoorten, het uitschakelen van delen van besturingssystemen en andere programma s waaronder file-sharing en programma's. Tips voor de hardening van computers worden hieronder opgesomd, samen met enkele andere nuttige links voor hardening. Een andere laag van bescherming voor computers is het installeren en regelmatig gebruiken van software voor antivirus- en antispyware. Het plannen van dagelijkse automatische definitie-updates en automatische scans op computers zijn hierbij essentiële stappen. Goede computer beveiliging is het vinden van de juiste balans tussen het hardenen van de systemen tegen mogelijke bedreigingen versus er voor te zorgen dat er toch mee kan worden gewerkt in relatie tot de toegewezen taak. Als een bepaalde software applicatie of service niet 7

8 nodig is moet deze worden uitgeschakeld en verwijderd. Extra software die aanwezig is vereist meer werk van de systeembeheerders om een systeem te beheren en vergroot de kans dat een aanval succesvol kan worden uitgevoerd. Onnodige software toe voegen kan ervoor zorgen dat een computer een lanceer platform wordt voor de verspreiding van een virus en tevens voor een hacker een toegangspoort wordt om andere systemen binnen het netwerk te kunnen aanvallen. Hier zijn enkele handige tips voor het hardenen van computers: Hardening-processtappen Het is verstandig om een bepaalde volgorde aan te houden bij het hardenen van systemen, om zo de kans te verkleinen dat iets vergeten wordt. Er zijn soms specifiek voor bepaalde besturingssystemen of software kant en klare hardening-aanwijzingen te vinden op het Internet. Het gaat te ver om voor alle mogelijke gemeentelijke systemen deze verschillende aanwijzingen in dit document te vermelden. Het hardening-proces dient de volgende stappen te bevatten Het verwijderen of deactiveren van software componenten die niet direct noodzakelijk zijn; Het verwijderen of deactiveren van onnodige gebruikers accounts; Het niet gebruiken van het administrator account of administrator account rechten voor server processen; Het gebruik van alleen sterke wachtwoorden van minimaal 8 tekens van gemengde samenstelling; Het veranderen van standaard wachtwoorden in systemen; Het gebruik van de firewall; Het installeren van antivirus software; Het deactiveren van alle onnodige services en poorten; Het optimaliseren van rechten op het bestandssysteem; Het inzetten van mandatory access control 1 ; Het gebruiken van uitsluitend versleutelde dataverbindingen; Het zo veel als mogelijk gebruiken van foutloze en (automatisch) gepatchte software. Een gehardened besturingssysteem heeft de volgende kenmerken: 1. Alles wat nodig is voor het systeem is geactiveerd, alle onnodige diensten, poorten en componenten zijn gewist of uitgeschakeld; 2. Alle niet benodigde gebruikers accounts zijn gewist; 3. Alle niet benodigde poorten zijn gesloten; 4. Rechten zijn zoveel als mogelijk beperkt; Maatregelen voor hardening staan nooit op zichzelf, er dienen ook andere maatregelen te worden uitgevoerd. Zoals patchmanagement, het inzetten van antivirus oplossingen, het inzetten van logging, het inzetten van Firewalls en IDS en IPS 2, die allen bijdragen aan een verdediging in lagen strategie. 1 Mandatory Access Control vrij vertaald verplichte toegangscontrole (MAC) verwijst naar een soort van toegangscontrole waarbij het besturingssysteem de toegangs mogelijkheden beperkt tot bijvoorbeeld bestanden of objecten door gebruikers of systeemprocessen, dit kan centraal worden geregeld. 2 Intrusion detection system en intrusion prevention systemen. 8

9 Hardening testen en monitoren IT systemen Daarnaast is monitoring door middel van Security Information and Event Management (SIEM) een middel dat kan bijdragen aan een goede monitoring van software en hardware. SIEM technologie biedt een real-time analyse van beveiligingswaarschuwingen gegenereerd door netwerk-hardware en applicaties. SIEM oplossingen kunnen bestaan uit software, apparaten of managed services, en worden ook gebruikt voor het loggen van beveiligingsincidenten en het genereren van rapportages op naleving van doeleinden. Hardening kan deels getest worden door middel van de genoemde vulnerability scanners voor patchmanagement, daarnaast zijn er ook producten die scannen op zwakheden. Zie de bronnen. Hardening-naslag, enkele bronnen: NCSC web richtlijnen 1%2B%2Bleesversie%2B.pdf NSA aanwijzingen voor het hardenen van systemen Enkele Microsoft TechNet links en de laatste link naar Microsoft tooling Apache hardening-handleidingen 9

10 3 Hardening-beleid gemeente (gemeente) Het hardening-beleid van de gemeente geeft richting aan de wijze waarop de gemeente maatregelen wenst te treffen voor hardening. De gemeente onderschrijft het belang van een adequaat hardening-beleid omdat het niet uitvoeren van hardening ernstige schade kan toebrengen aan gemeentelijke systemen en de informatievoorziening in termen van beschikbaarheid, exclusiviteit (vertrouwelijkheid) en integriteit. Bovendien kan het niet uitvoeren van hardening schade toebrengen aan het belang van de burger en het vertrouwen in de gemeente. Hardening dient gestructureerd te worden aangepakt en er moeten procedures worden vastgesteld om hardening doeltreffend en ordelijk te laten plaatsvinden. Dit beleid is van toepassing op alle systemen die in gebruik zijn is bij de gemeente. De volgende uitgangspunten zijn vastgesteld voor de gemeente en deze zijn ontleend aan het gemeentelijk informatiebeveiligingsbeleid, de Code voor Informatiebeveiliging (NEN/ISO 27002:2007) en de BIG: 1. Om te voorkomen dat schadelijke software kan worden uitgevoerd door middel van een browser dient de mogelijkheid van een gebruiker om mobiele code uit te voeren te worden beperkt. Daarnaast dienen de instellingen die dit mogelijk maken te worden geblokkeerd door middel van een systeem policy. Gebruikers rechten worden beperkt tot het minimaal noodzakelijke; 2. Gegevensuitwisseling tussen vertrouwde en niet vertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware; 3. Poorten, diensten en soortgelijke voorzieningen op een netwerk of computer die niet vereist zijn voor de dienst dienen te worden afgesloten door systeembeheerders; 4. Op alle apparatuur waar dit mogelijk is, worden beschikbare Firewalls, antivirusscanners en andere beschermende maatregelen geactiveerd; 5. Op alle apparatuur wordt (waar mogelijk) systeem logging geactiveerd om detectie mogelijk te maken van malware en ongebruikelijke systeem activiteiten; 6. Werkstations worden zo ingericht dat routeren van verkeer tussen verschillende zones of netwerken niet mogelijk is; 7. De indeling van zones binnen de technische infrastructuur vindt plaats volgens een operationeel beleidsdocument waarin is vastgelegd welke uitgangspunten voor zonering worden gehanteerd. Van systemen wordt bijgehouden in welke zone ze staan. Er wordt periodiek, minimaal één keer per jaar, geëvalueerd of het systeem nog steeds in de optimale zone zit of verplaatst moet worden; 8. Zonering wordt ingericht met voorzieningen waarvan de functionaliteit is beperkt tot het strikt noodzakelijke (hardening van voorzieningen); 9. Alleen geautoriseerd personeel kan functies en software installeren of activeren; 10. Voor toegang tot systemen door middel van wachtwoorden dient men zich te houden aan het (separate) wachtwoord beleidsdocument. 11. Alle apparatuur moet regelmatig worden getest op bekende zwakheden zoals beschreven in de aanwijzing patchmanagement. Aldus vastgesteld door burgemeester en wethouders van [gemeente] op [datum], [Naam. Functie] [Naam. Functie] 10

11 INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN JS DEN HAAG POSTBUS GK DEN HAAG HELPDESK ALGEMEEN FAX