Aansluiten bij de IBD. Het stappenplan

Transcriptie

1 Aansluiten bij de IBD Het stappenplan

2 Versiebeheer versie versie februari 2018 links aangepast i.v.m. nieuwe website, nieuwe lay-out document Over de IBD De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD beheert de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruik maken van de producten en de generieke dienstverlening van de IBD. Informatiebeveiligingsdienst (IBD), Den Haag, februari Informatiebeveiligingsdienst

3 Inhoudsopgave Aansluiten bij de IBD... 1 Versiebeheer... 2 Over de IBD... 2 Inhoudsopgave Inleiding Dienstenportfolio van de IBD Officieel aansluiten bij de IBD Bestuurlijk draagvlak Overzicht van de stappen in het aansluitproces Stap 1: een ACIB Doel van deze stap Wat moet u doen? Wat doet de IBD? Hoe wordt deze stap afgerond? Stap 2: een VCIB Doel van deze stap Wat moet u doen? Wat moet u doen? Hoe wordt deze stap afgerond? Stap 3: een lijst met IP-adressen en URL s Doel van deze stap Wat moet u doen? Wat doet de IBD? Hoe wordt deze stap afgerond? Stap 4: een lijst met IP-adressen en URL s Doel van deze stap Wat moet u doen? Wat doet de IBD? Hoe wordt deze stap afgerond?...10 Informatiebeveiligingsdienst 3

4 1. Inleiding De IBD werkt aan het verhogen en op peil houden van de informatiebeveiliging van Nederlandse gemeenten vanuit de kracht van het collectief. De IBD is een initiatief van alle Nederlandse gemeenten. Alle gemeenten, intergemeentelijke sociale diensten en belastingsamenwerkingen kunnen gebruik maken van de diensten van de IBD. Eén van de doelen van de IBD is het aan gemeenten leveren van concrete ondersteuning in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. Om invulling te geven aan dit doel, heeft de IBD een dienstenportfolio ontwikkeld. Een deel van dit dienstenportfolio kunt u altijd afnemen. Voor een ander deel, wat zich richt op uw specifieke gemeentelijke situatie, moet u officieel aangesloten zijn bij de IBD. De IBD werkt hierbij nauw samen met het Nationaal Cyber Security Centrum (NCSC). Dit stappenplan beschrijft gedetailleerd het aansluitproces bij de IBD. Heeft u nog aanvullende vragen na het lezen van dit stappenplan dan kunt u contact opnemen met de IBD middels de Helpdesk van de IBD of via het adres aansluiten@ibdgemeenten.nl. 1.1 Dienstenportfolio van de IBD De IBD heeft drie concrete doelen. Bij het bereiken van deze doelen staat kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging bij gemeenten centraal. 1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. Doel twee vertaalt zich in de uitwerking naar een drietal verantwoordelijkheden richting gemeenten: 1. Incidentpreventie 2. Incidentdetectie 3. Incidentcoördinatie Om invulling te geven aan deze verantwoordelijkheden heeft de IBD een dienstenportfolio ontwikkeld. Een deel van dit dienstenportfolio kunt u altijd afnemen. Voor een ander deel, wat zich richt op uw specifieke gemeentelijke situatie, moet u officieel aangesloten zijn bij de IBD. De IBD werkt hierbij nauw samen met het Nationaal Cyber Security Centrum (NCSC). Het dienstenportfolio ziet er als volgt uit: 1. Incidentpreventie Het doel van Incidentpreventie voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over algemene dreigingen, door informatie te verzamelen over gemeentelijke incidenten en hierover periodiek te rapporteren. Kwetsbaarheidswaarschuwingen Het doel van de dienstverlening Kwetsbaarheidswaarschuwingen voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over bij de IBD bekende aankomende of acute ICT-gerelateerde beveiligingsrisico s, zoals kwetsbaarheden in soft- en/of hardware. 2. Incidentdetectie Het doel van Incidentdetectie voor gemeenten is het tegengaan van verdere verspreiding van mogelijke virussen, wormen, botnetten en aanvallen van buitenaf. De IBD waarschuwt die gemeenten waarvan bekend is dat deze gemeenten geïnfecteerde systemen hebben. 3. Incidentcoördinatie Het doel van Incidentcoördinatie voor gemeenten is, in het geval van incidenten, het beperken van de technische-, financiële- en imagoschade voor gemeenten. Het doel is tevens het voorkomen van verspreiding 4 Informatiebeveiligingsdienst

5 van deze incidenten. Een specifieke dienstverlening op dit vlak is: Crisiswoordvoering Het doel van crisiswoordvoering is om de impact van een incident of crisis zo gering als mogelijk te houden voor gemeenten. De IBD ondersteunt in geval van incidenten of crisis bij gemeenten middels concrete tips aan de woordvoerder van gemeenten. 1.2 Officieel aansluiten bij de IBD Om u als gemeente of samenwerkingsverband 1 concreet te kunnen ondersteunen, is een officiële aansluiting van uw gemeente of samenwerkingsverband bij de IBD noodzakelijk. Zo n officiële aansluiting betekent enerzijds dat u als gemeente of samenwerkingsverband een aantal zaken dient in te richten om de IBD-dienstverlening af te nemen en anderzijds dat de IBD van u concrete informatie nodig heeft om gericht te kunnen handelen. Om het aansluitproces voor u als gemeente of samenwerkingsverband zo overzichtelijk als mogelijk te maken, is in dit document een stappenplan beschreven voor het aansluiten bij de IBD. Hierin is per stap beschreven wat u als gemeenten of samenwerkingsverband moet doen, wie u dit binnen uw organisatie het beste kunt laten doen, wat u van de IBD kunt verwachten als u het hebt gedaan en hoe iedere stap wordt afgerond. 1.3 Bestuurlijk draagvlak Parallel aan de, in dit document beschreven stappen, is het nuttig en wenselijk om bestuurlijke aandacht te vragen voor het aansluiten op de diensten van de IBD. Dit draagt ten eerste bij aan de verbinding tussen bestuur en ambtenaren op het vlak van informatiebeveiliging, ten tweede is dit nodig omdat B&W een rol heeft tijdens het aansluitproces. De burgemeester (of de gemeentesecretaris, of het Bestuur van het samenwerkingsverband) moet namelijk de Vertrouwde Contactpersoon Informatiebeveiliging voor de gemeente aanstellen in stap 2 en heeft een rol bij ernstige crisissituaties op het vlak van informatiebeveiliging. In het licht van de toenemende digitalisering van gemeentelijke bedrijfsvoering en dienstverlening is aandacht voor informatiebeveiliging niet alleen nuttig maar ook noodzakelijk geworden. De IBD draagt hier graag haar steentje aan bij. Samen met uw gemeente en ook samen met bestuurders van uw gemeente. Want juist door intensief samen te werken, kan informatiebeveiliging in de volle breedte een onderwerp worden dat blijvend aandacht krijgt binnen uw gemeente. Ook aan de bestuurstafel. 1.4 Overzicht van de stappen in het aansluitproces Nr Stap Wat moet een gemeente doen? Wat krijgt de gemeente? 1 Aanstellen Algemene Contactpersoon Informatiebeveiliging (ACIB) 2 Aanstellen Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) 3 Doorgeven IPadressen en URL s - IBD aansluitformulier ACIB invullen - Incident proces inrichten - IBD aansluitformulier VCIB invullen inclusief handtekening burgemeester, gemeentesecretaris of Bestuur van het samenwerkingsverband - Lijst met gemeentelijke IPadressen en URL s invullen - Waarschuwingen en informatie met een niet vertrouwelijk karakter over algemene bedreigingen en incidenten - Mogelijkheid om incidenten te melden bij de IBD - Waarschuwingen en informatie met een vertrouwelijk karakter over mogelijke bedreigingen en incidenten - Mogelijkheid om incidenten, waarbij ook vertrouwelijke gegevens worden uitgewisseld, te melden bij de IBD - Waarschuwingen over mogelijk geïnfecteerde systemen 1 Sinds januari 2017 is het voor Belastingsamenwerkingen en Intergemeentelijke Sociale Diensten (ISD s) ook mogelijk om aan te sluiten bij de IBD. Daar waar u in dit document gemeenten leest, worden ook de Belastingsamenwerkingen en ISD s bedoeld. 5 Informatiebeveiligingsdienst

6 4 Aanleveren gemeentelijke ICT-foto - De lege ICT-foto invullen - IBD aansluitformulier Kwetsbaarheidswaarschuwingen invullen - Configuratiemanagement en patchmanagement proces inrichten - IBD kwetsbaarheidswaarschuwingen op maat over mogelijke kwetsbaarheden in hard- en software 6 Informatiebeveiligingsdienst

7 2. Stap 1: een ACIB 2.1 Doel van deze stap Door een Algemene Contactpersoon Informatiebeveiliging (ACIB) aan te stellen, kan uw gemeente of samenwerkingsverband gebruik maken van de IBD-dienstverlening behorende bij Incidentpreventie, detectie, en -coördinatie. Bovendien krijgt u hierdoor meer grip op uw Incident Management Proces. 2.2 Wat moet u doen? Om er voor te zorgen dat u als gemeente of samenwerkingsverband optimaal gebruik kunt maken van de IBDdienstverlening behorende bij Incidentpreventie, -detectie en -coördinatie, is het van belang dat de IBD in ieder geval beschikt over actuele contactgegevens van de Algemene Contactpersoon Informatiebeveiliging (ACIB). Bij sommige incidenten is het bovendien mogelijk dat bij de uitvoering van deze dienstverlening vertrouwelijke gegevens worden uitgewisseld. Dit doet de IBD alleen met een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB). Dat kan alleen als u stap 2 van het aansluitproces heeft doorlopen. U kunt meerdere personen als ACIB doorgeven. Denk echter goed na over het aantal mensen dat als ACIB wordt aangesteld. Zoveel mogelijk mensen op de lijst zetten, heeft als nadeel dat iedereen kan denken dat de ander persoon het wel oppakt. Als er slechts 1 persoon op de lijst staat, loopt u het risico dat het niet wordt opgepakt als deze persoon er niet is. Immers, de IBD kan geen helaas opvolging geven aan out-of-office antwoorden op mailtjes. Het is van groot belang dat uw gemeente of samenwerkingsverband het Incident Management Proces ingericht en operationeel heeft. Dit, omdat incidentmeldingen vaak een spoedeisend karakter hebben, waarbij gestructureerde opvolging noodzakelijk is. In de veelgestelde vragen op de IBD-website vindt u antwoorden op vragen als Welke functionaris kan ik voor mijn gemeente het beste invullen op het ACIB-formulier? en Hoe geef ik een wijziging voor een ACIB door?. U kunt de contactgegevens op het IBD-aansluitformulier ACIB invullen en het formulier mailen aan aansluiten@ibdgemeenten.nl. Een Word versie van het formulier vindt u op de IBD-website. NB: voor Belastingsamenwerking en en ISD s is een apart formulier waarop u zowel de ACIB s als de VCIB s (zie volgende stap) kunt doorgeven. Een Word versie van het formulier kunt u vinden op de IBD-website. 2.3 Wat doet de IBD? De IBD registreert de gegevens van de ACIB in haar systemen. Hierna ontvangt de ACIB automatisch algemene incidentmeldingen per Hoe wordt deze stap afgerond? De ACIB ontvangt een bevestigingsbericht per dat hij/zij voortaan door de IBD als ACIB van uw gemeente of samenwerkingsverband wordt gezien. Na het afronden van deze stap kunt u de Helpdesk van de IBD 24 uur per dag, 7 dagen per week, bellen voor het melden van incidenten op telefoonnummer Tijdens kantooruren reageert de IBD binnen 30 minuten op een incidentmelding. Buiten kantooruren is de IBD bereikbaar voor spoedeisende meldingen en zal de IBD binnen 60 minuten reageren op een telefonische oproep. U bent als gemeente of samenwerkingsverband zelf verantwoordelijk voor het actueel houden van de contactgegevens van de ACIB. U kunt de contactgegevens wijzigen door opnieuw een IBD-aansluitformulier ACIB in te vullen 2 en te mailen naar aansluiten@ibdgemeenten.nl. 2 U kunt op het formulier aangeven dat het om een wijziging gaat Informatiebeveiligingsdienst 7

8 3. Stap 2: een VCIB 3.1 Doel van deze stap Door een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) aan te stellen kan uw gemeente of samenwerkingsverband optimaal gebruik maken van de dienstverlening behorende bij Incidentpreventie, - detectie, -coördinatie, ook als er vertrouwelijke gegevens moeten worden uitgewisseld. Een tweede doel van deze stap is uw gemeente of samenwerkingsverband voor te bereiden op de volgende stappen in het aansluitproces. Zonder aangestelde VCIB kunnen de stappen 3 en 4 van dit stappenplan namelijk niet worden uitgevoerd. 3.2 Wat moet u doen? Bij het gebruik van de IBD-dienstverlening aangaande Incidentpreventie, -detectie en -coördinatie komt het regelmatig voor dat door de IBD vertrouwelijke informatie wordt verstrekt. Reden waarom de IBD van uw gemeente één of meer Vertrouwde Contactpersonen Informatiebeveiliging (VCIB) dient vast te leggen. Het NCSC en de IBD behandelen de door gemeenten of samenwerkingsverband aangeleverde informatie vertrouwelijk en verwachten dat ook van u als gemeente of samenwerkingsverband. Door een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) aan te stellen en de contactgegevens aan de IBD door te geven, kunt u deze dienstverlening bij de IBD afnemen. De burgemeester, gemeentesecretaris of het Bestuur van het samenwerkingsverband is verantwoordelijk voor het aanstellen van een VCIB. In de veelgestelde vragen op de IBD-website vindt u antwoorden op vragen als Welke functionaris kan ik voor mijn gemeente het beste invullen op het VCIB-formulier? en Hoe geef ik een wijziging voor een ACIB door?. U kunt de contactgegevens op het IBD-aansluitformulier VCIB invullen en het formulier mailen aan aansluiten@ibdgemeenten.nl. Een Word versie van het formulier kunt u vinden op de IBD-website. NB: voor Belastingsamenwerking en en ISD s is een apart formulier waarop u zowel de ACIB s als de VCIB s kunt doorgeven. Een Word versie van het formulier kunt u vinden op de IBD-website. 3.3 Wat moet u doen? De IBD registreert de gegevens van de VCIB in haar systemen. Met de VCIB wordt door de IBD het VCIBgesprek gevoerd om afspraken te maken over wat deze vertrouwelijkheid inhoudt. Zo kan het voorkomen dat de VCIB informatie ontvangt, die absoluut niet met anderen binnen uw gemeente of samenwerkingsverband gedeeld mag worden. De IBD neemt contact met de VCIB op m.b.t. het deelnemen aan het VCIB-gesprek (veelal plenair met aantal VCIB s uit de regio). 3.4 Hoe wordt deze stap afgerond? Uw VCIB ontvangt een bevestigingsbericht per dat hij/zij voortaan door de IBD als VCIB van uw gemeente of samenwerkingsverband wordt gezien. Uw burgemeester, gemeentesecretaris of bestuurder van het samenwerkingsverband ontvangt een bevestiging per dat zijn/haar gemeente of samenwerkingsverband stap 1 en 2 van het aansluiten bij de IBD heeft doorlopen, inclusief de na(a)m(en) van de aangemelde ACIB( s) en VCIB( s) en een uitleg over de volgende stappen in het proces. Zodra de vertrouwelijke contactpersonen zijn vastgelegd bij de IBD, zijn dit de personen die incidenten met een vertrouwelijk karakter mogen melden en opvolgen bij de IBD. 8 Informatiebeveiligingsdienst

9 De gemeente of samenwerkingsverband is zelf verantwoordelijk voor het actueel houden van de contactgegevens van de VCIB. U kunt de contactgegevens wijzigen door opnieuw een IBD-aansluitformulier VCIB 3 in te vullen en te mailen naar aansluiten@ibdgemeenten.nl. 4. Stap 3: een lijst met IP-adressen en URL s 4.1 Doel van deze stap Nadat de VCIB is vastgelegd bij de IBD, kunt u als gemeente of samenwerkingsverband uw IP- adressen en URL s doorgeven aan de IBD en hierdoor gebruik gaan maken van de dienstverlening behorende bij Incidentdetectie. 4.2 Wat moet u doen? De IBD vraagt u om het formulier IP-adressen en URL s in te vullen. Een Word versie van het formulier kunt u vinden op de IBD-website. De lijst dient u te versleutelen en te mailen naar aansluiten@ibdgemeenten.nl. Stuur het wachtwoord niet mee. De IBD neemt telefonisch contact met u op over het wachtwoord van het versleutelde document. De in gebruik zijnde gemeentelijke IP-adressen en URL s worden gebruikt door de IBD, i.s.m. met het NSCS om te controleren of deze voorkomen op lijsten die het NCSC ontvangt. Bijvoorbeeld lijsten met systemen die contact hebben gezocht met een bepaald Botnet. 4.3 Wat doet de IBD? De IBD neemt de gegevens op in haar systemen en geeft de gegevens anoniem door aan het NCSC. 4.4 Hoe wordt deze stap afgerond? De VCIB ontvangt een ontvangstbevestiging van het versleutelde bestand. De VCIB ontvangt een op het moment dat de IP-adressen en URL s zijn opgenomen in het geautomatiseerde detectieprogramma van het NCSC. Dit kan enkele weken duren. Indien daarna een besmetting is geconstateerd die betrekking heeft op uw gemeente of samenwerkingsverband, neemt de IBD contact op met de VCIB per of telefoon. Uw burgemeester, gemeentesecretaris of bestuurder van het samenwerkingsverband ontvangt een bevestiging per dat zijn/haar gemeente stap 3 van het aansluiten bij de IBD heeft doorlopen en een uitleg over de laatste stap in het proces. De gemeente of samenwerkingsverband is zelf verantwoordelijk voor het actueel houden van de IP-adressen en URL s. U kunt de gegevens wijzigen door opnieuw een Lijst met gemeentelijke IP-adressen en URL s in te vullen en te mailen naar aansluiten@ibdgemeenten.nl. Vermeld hierbij in uw mail dat het gaat om een update. 3 U kunt op het formulier aangeven dat het om een wijziging gaat Informatiebeveiligingsdienst 9

10 5. Stap 4: gemeentelijke ICT-foto 5.1 Doel van deze stap Door informatie aan te leveren over de bij uw gemeente of samenwerkingsverband in gebruik zijnde hard- en software, kunt u gebruik maken van de dienstverlening Kwetsbaarheidswaarschuwingen. Het doel van de dienstverlening Kwetsbaarheidswaarschuwingen is het voorkomen van incidenten. Dit door gemeenten of samenwerkingsverbanden zo snel als mogelijk te informeren over bij de IBD bekende aankomende of acute ICTgerelateerde beveiligingsrisico s, zoals kwetsbaarheden in soft- en/of hardware. 5.2 Wat moet u doen? In overleg met het NCSC is een bestand samengesteld met veel voorkomende hard- en software, de zogenaamde lege ICT-foto. Deze lege foto kunt u opvragen bij de IBD (aansluiten@ibdgemeenten.nl of helpdesk ). In het lege foto-bestand dient u aan te geven welke hard- en software bij uw gemeente of samenwerkingsverband in gebruik is. Voor het invullen van de lege foto heeft de IBD een aparte toelichting opgesteld. Deze toelichting kunt u vinden op de IBD-website. Behalve het vullen van de foto moet u nadenken over de beste plek waar de Kwetsbaarheidswaarschuwingen in de organisatie kunnen binnenkomen. Dit kan de ACIB zijn, maar bijvoorbeeld ook een helpdesk of servicedesk. Belangrijk is dat de waarschuwingen worden geregistreerd, dat gestructureerd opvolging wordt gegeven en dat duidelijk is in welke gevallen er geëscaleerd moet worden. Op het IBD aansluitformulier Kwetsbaarheidswaarschuwingen kunt u aangeven waar de waarschuwingen moeten binnenkomen en wie het periodiek overzicht van de waarschuwingen moet ontvangen. Een Word versie van het formulier kunt u vinden op de IBD-website. Stuur het gevulde ingevulde en ondertekende aansluitformulier Kwetsbaarheidswaarschuwingen en het versleutelde foto-bestand aan aansluiten@ibdgemeenten.nl. Stuur het wachtwoord niet mee. De IBD neemt telefonisch contact met u op over het wachtwoord van het versleutelde document. 5.3 Wat doet de IBD? De IBD registreert de geleverde gegevens in haar systemen. 5.4 Hoe wordt deze stap afgerond? De VCIB ontvangt een op het moment dat de IBD de gemeentelijke ICT-foto in haar systemen heeft verwerkt. Vanaf dit moment ontvangt uw gemeente of samenwerkingsverband gerichte Kwetsbaarheidswaarschuwingen. Uw burgemeester, gemeentesecretaris of bestuurder van het samenwerkingsverband ontvangt een bevestiging per dat zijn/haar gemeente stap 4 van het aansluiten bij de IBD heeft doorlopen met de mededeling dat het aansluitproces bij de IBD is voltooid. 1 Informatiebeveiligingsdienst