BIO-Aanpak. Kees Hintzbergen, Senior adviseur IB IBD. Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Transcriptie

1 BIO-Aanpak Kees Hintzbergen, Senior adviseur IB IBD Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

2 Waar gaan we het over hebben Het goede nieuws! Uitgangpunten Waarom Wat is de BIO BIO toepassing BIO Wat is BBN Beveiligingsniveau s Onderhoud van de BIO Hoe dan? Hoe gaan we verder als gemeente Aanpak Baselinetoets Aanpak GAP-analyse

3 Het goede nieuws! We blijven doen wat we al deden Minimale impact Volledig ondersteund met producten en ondersteuning van de IBD Keuze mogelijkheid

4 BIO uitgangspunten Uitgangspunten Hanteerbaar en efficiënt Risicomanagement is en blijft uitgangspunt De rol bepaalt wijze van verantwoording Belang bepaalt diepgang verantwoording Veilige samenwerking in ketens en bij gegevensuitwisseling Transitie VNG > BIO = verbindende standaard per De BIO is verbindend verklaard voor alle gemeenten door het bestuur van VNG op voordracht van het college van dienstverleningszaken van VNG per De BIO is daarnaast aangenomen in het OBDO waarmee het een standaard is geworden voor de hele overheid.

5 BIO Waarom ook alweer? Urgentie op politieke niveau Reguliere bijstelling (evaluatie) Nieuwe ISO 27002:2013 Operationele verbeteringen Gezamenlijke ontwikkeling Gedeelde taal, samenwerken in ketens Allemaal hetzelfde, basisnorm In de pas lopen met de NEN/ISO en de markt! 3 mei 2018 IBX 5

6 Wat is de BIO? 2017 ISO 27002:2017 = Pas toe of leg-uit norm Overheids maatregelen Relevante en passende maatregelen per BBN Addendum Specifieke maatregelen, tekstblokken of verwijzingen per overheidslaag BIO = ISO Controls + verplichte overheidsmaatregelen + risico-based maatregelen voor niet uitgewerkte controls (zijn de meeste maatregelen) 6

7 BIO en toepassing BIO Verplichtend Verbindingsdocument Verbinding norm met toepassing 2-pager per praktijkthema. (12+ thema s) Thema-uitwerking 11 Themauitwerkingen met SIVA methodiek Ondersteunend Algemene Practices overheden NORA/ISOR Objectenbibliotheek. Bestaande algemeen bruikbare Practices uit het veld (bijv. BIG-OP-producten)

8 BIO spelregels specifiek BBN2 is het standaardniveau De baselinetoets bepaalt het feitelijke BBN Controls (en onderliggende maatregelen) in een BBN zijn altijd verplicht Controls kunnen de status NVT krijgen (vereist onderbouwing door proceseigenaar) Op basis van risicoafweging moeten maatregelen bepaald worden die de doelstelling van de control afdekken. Implementatierichtlijnen uit de ISO27002 kunnen als inspiratie dienen Controls (en onderliggende maatregelen) bouwen voort op het onderliggende BBN De proces- of systeem eigenaar moet gemaakte keuzes vastleggen om uiteindelijk te kunnen verantwoorden waarom hij controls NVT gemaakt heeft.

9 Niveau BasisBeveiligingsNiveaus (BBN) BBN 1 BBN 2 Minimale beveiligingsniveau voor alle overheidssystemen Uitgangspunt voor alle informatiesystemen Vertrouwelijke informatie (max DepV, privacygevoelige, commercieel vertrouwelijk, informatie in het kader van beleidsvorming) Incidenten leiden tot bestuurlijke commotie Onzekerheid of informatie van derden open is Veiligheid van andere systemen wordt beïnvloed BBN 3 BBN2 + weerstand tegen statelijke actoren of vergelijkbare dreigers nodig (o.b.v. vertrouwelijkheid) Wordt nog nader uitgewerkt; op basis van VIR-BI en andere relevante regelgeving aangevuld met het NAVO-verdrag voor beveiliging van informatie 9

10 10 Basisbeveiligingsniveaus Beschikbaarheid, Integriteit en Vertrouwelijkheid BBN1 Wat mag minimaal verwacht worden? BBN2 Valt de maatregel onder goed huisvaderschap? BBN3 Gerubriceerde informatie (DepV) & weerstand geavanceerde dreigingen B=L I=L V=L B=M I=M V=M B=M I=M V=H Schaal: Laag, Midden, Hoog

11 11 BasisBeveiligingsNiveaus (BBN)

12 12 Controls & overheidsmaatregelen

13 Controls, overheids maatregelen en handreikingen 13

14 BBN3 Kader voor weerbaarheid van DepV tegen statelijke actoren, 1 e tranche Basis NATO Restricted BBN3 BBN2 BBN1

15 Implementatierichtlijn De Implementatierichtlijn is onderdeel van de ISO 27002:27002 en bevat aanwijzingen, aandachtspunten en overige informatie om bij een control passende maatregelen te bedenken. Implementatierichtlijnen geven richting en maken een control concreet Contact met speciale belangengroepen Beheersmaatregel Er behoren passende contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en professionele gemeenten te worden onderhouden. Implementatierichtlijn Lidmaatschap van speciale belangengroepen of fora behoort te worden overwogen als middel om: kennis te verbeteren over best practices en op de hoogte te blijven van relevante beveiligingsinformatie; ervoor te zorgen dat de kennis van informatiebeveiliging actueel en volledig is; vroegtijdige waarschuwingen te ontvangen inzake alarm, adviezen en patches die verband houden met aanvallen en kwetsbaarheden; toegang te krijgen tot gespecialiseerd advies over informatiebeveiliging; informatie over nieuwe technologieën, producten, bedreigingen of kwetsbaarheden te delen en uit te wisselen; geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie hoofdstuk 16).

16 Onderhoudsproces Elk half jaar: wijzigingen en aanvullingen R-maatregelen en handreikingen ter vergroting praktische toepasbaarheid Jaarlijks: gehele evaluatie en zo nodig bijstelling Input gemeenten via IBD Eerste ervaringen

17 BIO vanuit ketenpartners De BIO legt verantwoordelijkheden daar waar ze thuishoren De BIO sluit aan bij de ISO27002 > gemakkelijker communiceren De BIO als enabeler voor zakendoen en opdrachtgeverschap De BIO voor het werken in ketens > minimale set De BIO als 1 norm voor alle overheden De BIO bespaart kosten

18 De stappen: Hoe dan? Hoe gaan we verder als gemeente? 1. (begin eventueel met een hoog over GAP analyse (BIG <-> BIO) om vast te stellen waar je staat) 2. Bepaal de bedrijfsprocessen en zet deze op volgorde van belangrijkheid 3. Zoek de verantwoordelijke voor het te onderzoeken bedrijfsproces 4. Laat deze verantwoordelijke de baselinetoets uitvoeren 5. Laat de verantwoordelijke een diepgaande risicoanalyse uitvoeren bij afwijkende betrouwbaarheidseisen 6. Voer een data protection impact assessment (DPIA) uit als dat verplicht is en deze nog niet eerder uitgevoerd was 7. Zoek in de BIO de controls en verplichte maatregelen bij het geselecteerde BBN om de gevonden risico s adequaat te beheersen 8. Noteer de controls die niet van toepassing zijn, onderbouw waarom deze niet van toepassing zijn en bewaar het verslag van de analyse 9. Cluster de controls en te treffen maatregelen naar soort en verdeel ze indien nodig onder andere uitvoerders binnen de gemeente 10. Zoek aansluiting bij het organisatorische ISMS en neem daar de maatregelen en uitvoerders op ter monitoring, gebruik zo mogelijk een GRC / ISMS tool 11. Voer over de eigen controls en maatregelen een GAP-analyse uit om vast te stellen wat nog gedaan moet worden 12. Bewaak de voortgang van de implementatie (risicomanagement).

19 Baselinetoets Stap 1: Beantwoord algemene vragen, bepaal scope, het proces, de keten, de externe eisen, wet- en regelgeving en de eigenaar Stap 2: Vul vragen in over beschikbaarheid Stap 3: Vul vragen in over integriteit Stap 4: Vul vragen in over vertrouwelijkheid Stap 5: Vul vragen in over privacy Stap 6: De spreadsheet geeft in het tabblad resultaat de score weer en hieruit kan worden afgeleid wat de vervolgstappen zijn. Stap 7: Stel resultaten vast LET OP: het BBN niveau wordt bepaald door de Vertrouwelijkheid

20 DPIA In de baselinetoets zitten verschillende privacy gerelateerde vragen: Vragen van de AP over verwerkingen waarvoor een DPIA verplicht is vragen over het soort verwerking van de AP over de persoonsgegevens om alsnog te bepalen of een DPIA noodzakelijk is. Als de uitkomst van deze toets ja is dan moet een DPIA worden uitgevoerd Voor bestaande verwerkingen is er niet de plicht om dit te doen, maar het mag wel: 1. Doe dit in ieder geval bij grote wijzigingen 2. En bij nieuwe processen / systemen De IBD is bezig met een DPIA tool, verwacht Q2-2019

21 OEFENING Baselinetoets

22 Spreadsheet GAP De spreadsheet geeft de GAP-analyse weer, die bestaat uit 3 tabbladen, te weten: Vragenlijst : de inhoud van de BIO met vragen. Resultaat : een sheet met grafieken als resultaat van de vragenlijst. Aantekeningen: ruimte voor eigen aantekeningen

23 Toelichting kolommen 24

24 Aanpak GAP analyse Totaal 137 analyse vragen 72 BIG gerelateerde controls = GAP = selectie met BIG nr 65 nieuwe BIO controls = 0-meting = selectie nieuw in BIO. Onderscheid tussen van toepassing op de centrale organisatie of primaire processen 52 generieke controls 85 controls voor lijnmanagers/(eind)verantwoordelijken bij ondersteunende processen

25 Van BIG naar BIO 26

26 Voorbeelden GAP analyse vraag van BIG naar BIO BIO GAP analyse vraag BIG 27

27 Resultaat 28

28 Oefening GAP-analyse 29

29 Risico, wat is dat? Een risico is een gekwantificeerde dreiging berekend op basis van de kans en het gevolg ofwel de impact. Figuur 5-1 Risicokwadranten

30 Risicomanagement definitie (uit BVR) Het inzichtelijk en systematisch inventariseren, beoordelen en door het treffen van maatregelen beheersbaar maken van risico s en kansen, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes.

31 Risicomanagement Proces Het proces van risicomanagement bestaat in veel modellen uit zes stappen: 1. Bepaal doelstelling: wat wil de gemeente bereiken. 2. Identificeer risico s: een dreiging is een onzekere gebeurtenis met mogelijke gevolgen voor de doelstelling. 3. Identificeer mogelijke impact: Een risico is een dreiging waaraan een kans en gevolg toegevoegd zijn. 4. Beoordeel de risico s: Een gemeente moet van tevoren bepalen hoeveel risico gelopen mag worden, door het maken van een risicoprofiel en de risicobereidheid uit te werken en de belangrijkste risico s te prioriteren. 5. Beheers risico s: Dit kan op vier manieren: Vermijden: alle mogelijke beheersmaatregelen treffen om het risico s te vermijden Verminderen: beheersmaatregelen selecteren die de kans en/of impact verkleind, maar waarbij een restrisico overblijft Overdragen/verzekeren: het risico wordt overdragen aan een andere partij (denk aan een brandverzekering) Accepteren: het (rest)risico wordt geaccepteerd en er worden hiervoor geen beheersmaatregelen getroffen 6. Monitoring: Gedurende het hele proces volgen van risico s (meten, controleren en rapporteren) en de werking van maatregelen door deze maatregelen ook te koppelen aan het incidentmanagement proces. Risk management ISO 27005

32 Rol van de CISO In de BIO zijn de verantwoordelijkheden per control vastgelegd, wat in de BIO niet staat is wie nu voor de invoering van de BIO verantwoordelijk is 1. Het college is verantwoordelijk voor de BIO invoering binnen de gemeente. 2. De proces eigenaar is verantwoordelijk voor de invoering van de BIO voor zijn/haar processen 3. De CISO is verantwoordelijk voor het ISMS, de ondersteuning van de proceseigenaren en verantwoordelijk voor de rapportage naar het college

33 Leg alles vast! In ieder geval moet bij de proceseigenaar het volgende aanwezig zijn: Het verslag van de uitgevoerde baselinetoets. Het verslag van de geselecteerde BBN, de controls en uitgewerkte maatregelen. Eventueel resultaat van een uitgevoerde diepgaande risicoanalyse. Eventueel resultaat van een uitgevoerde DPIA. Opname van controls, maatregelen en actiehouders in het ISMS. Ontbrekende controls en maatregelen in een (systeem)informatiebeveiligingsplan.

34 Wat nog meer? De IBD is momenteel druk met een aantal activiteiten rondom de BIO Omzetten BIG-OP producten naar de BIO Opleveren BIO proof beleid Voorbereiden regiobijeenkomsten rondom de BIO Aanpassen ENSIA En daarnaast onder andere: Verhogen digitale weerbaarheid De IBD zelf runnen Team privacy opnemen Hoe kan de CISO zich beter wapenen: Opleiding Workshops / regiobijeenkomsten van de IBD bezoeken Vragen stellen aan de IBD en collega s Oefenen met RA en DPIA

35 Vragen?

36 Nassaulaan JS Den Haag CERT: (9:00 17:00 ma vr) CERT 24x7: Piketnummer (instructies via voic ) / incident@ibdgemeenten.nl