De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

Transcriptie

1 De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD

2 Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan met de BIG als grote gemeente? 2

3 3 Samenhang producten

4 4 Informatiebeveiliging en Privacy in IV-projecten

5 Instrumenten Handreiking Dataclassificatie GAP-analyse Impactanalyse Baselinetoets BIG Diepgaande Risicoanalyse Privacy Impact Assessment (PIA) 5

6 Instrumenten: Handreiking Dataclassificatie Het niveau van de BIG bevindt zich op de volgende (BIV-) waarden: Beschikbaarheid: Belangrijk Integriteit: Hoog Vertrouwelijkheid: Vertrouwelijk 6 Classificatie leidraad

7 Instrumenten: GAP-analyse De GAP-analyse is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG 7

8 Instrumenten: Impactanalyse De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen. Ook richting leveranciers van informatiesystemen. 8

9 Instrumenten: Baselinetoets BIG Toetsen door middel van BIV- en P-vragen Toetsen van bestaand of nieuw proces/ informatiesysteem of de baseline voldoende is of dat er meer nodig is. 9

10 Stappen Baselinetoets BIG STAP 1. Intakegesprek voeren 2. Analyseren proces 3. Vaststellen betrouwbaarheidseisen BIV-P SETTING WERKWIJZE TOOLS Gesprek met opdrachtgever, meestal projectleider In kaart brengen scope, diepgang, planning, brondocumenten, respondenten etc. Baselinetoets Afstemming met proceseigenaar In kaart brengen procesomgeving, Samenhang, inhoud en eisen Generiek Procesmodel Waarderingstabellen Terugkoppeling aan opdrachtgever Consolideren van de eisen, bepalen vervolgstappen Schema vervolgstappen Vanwege toepasbaarheid zo eenvoudig mogelijk van opzet en hierdoor in korte uit te voeren. RESULTAAT Plan van Aanpak / planning voorbereiding analyse Procesmodel en eerste beeld van de eisen Geconsolideerd beeld van de eisen Inzicht in de Vervolgstappen UREN INDICATIEF 1 uur opdrachtgever 10 uur voorbereiding en uitwerken 4 uur opdrachtgever 8 uur uitwerken (per proces) 1 uur opdrachtgever

11 Resultaat Baselinetoets BIG Geeft inzicht in BIV en P ten opzichte van de BIG 11

12 Relatie PIA en diepgaande Risicoanalyse Een PIA wordt bij voorkeur uitgevoerd in het eerste ontwerpstadium van een verwerking van persoonsgegevens: Richtsnoeren Beveiliging van Persoonsgegevens (CBP) In de toekomst verplicht (EU-wetgeving) 12 Bron: Richtsnoeren beveiliging van persoonsgegevens, College bescherming persoonsgegevens (CBP), d.d. februari 2013

13 Instrumenten: PIA Eigenschappen: Vragenlijst gericht op privacy vraagstukken Eenvoudige rapportage Leidt (eventueel) tot: Uitvoeren risicoanalyse Aanvullende maatregelen Keuze om het proces aan te passen Keuze om minder gegevens te verzamelen 13

14 Instrumenten: diepgaande Risicoanalyse Mogelijk focus op BIV uit Baselinetoets Kan leiden tot aanvullende maatregelen bovenop de BIG 14

15 Stappen diepgaande Risicoanalyse Door eigenaar, niet in scope STAP SETTING WERKWIJZE TOOLS Gesprek met systeemeigenaar, meestal functioneel beheerder In kaart brengen informatiesysteem alsmede eisen MAPGOOD Invulformulier 4. Analyseren Informatiesysteem Waarderingstabellen 5. Analyseren bedreigingen Gesprek met systeemeigenaar, meestal functioneel beheerder Bepalen relevante bedreigingen i.r.t. gevolgen Invulmatrix gevolgen & bedreigingen 6. Vaststellen maatregeldoelstellingen Uitwerking door Analist en terugkoppeling aan opdrachtgever Formuleren maatregeldoelstellingen o.b.v. de eisen en relevante bedreigingen BIG Maatregel- Doelstellingen en eigen maatregeldoelstellingen 7. Opstellen Plan Terugkoppeling aan opdrachtgever Opstellen implementatieplan per verantwoordelijke Opzet implementatieplan In korte tijd uit te voeren en minimale inspanning nodig van proceseigenaar, systeembeheerder et cetera. RESULTAAT MAPGOOD formulier ingevuld en eerste beeld van de eisen Overzicht van de relevante bedreigingen Samenhangend pakket maatregeldoelstellingen Implementatieplan informatiebeveiliging UREN INDICATIEF 4 uur systeembeheer/ functioneelbeheer 8 uur voorbereiden en uitwerken 4 uur Gesprek(ken) met systeemeigenaar 20 uur voorbereiden en uitwerken 20 uur 20 uur samen met CISO en opdrachtgever

16 16 Stappenplan gemeenten

17 Maatregelen Prioriteer de BIG-maatregelen: Generieke maatregelen: Dit zijn maatregelen die gemeentebreed gelden over alle processen en systemen heen, verantwoordelijken PIOFAH. Specifieke maatregelen: Dit zijn maatregelen die niet gemeentebreed gelden maar toegewezen kunnen worden aan een proces- / systeemeigenaar/directeur / manager ten behoeve van een informatiesysteem. Beleg de BIG-maatregelen 17

18 Prioriteer de BIG-maatregelen De BIG bevat 303 maatregelen verdeeld over 133 controls: Deze maatregelen kunnen niet allemaal ineens worden geïmplementeerd. Prioriteer deze maatregelen op basis van: risico-inschatting belang haalbaarheid Doseer over een periode (bijvoorbeeld 3 jaar gezien) Pas de GAP-analyse spreadsheet aan 18

19 Beleg de BIG-maatregelen PIOFAH Kan per gemeente anders georganiseerd zijn Eenmalig uitzoeken Is er geen verantwoordelijke, dan dit bepalen en vastleggen Personeel Inkoop (soms informatievoorziening) Organisatie Financiën Automatisering/Administratie Huisvesting 19

20 20 Beheerprocesen: ISMS en PDCA Het doel van het Informatie Beveiligings Management Systeem (ISMS) is onder andere het continue beoordelen welke beveiligingsmaatregelen passend zijn en indien nodig bij te stellen. Het ISMS is een proces dat de basis legt voor passende beveiligingsmaatregelen door bijvoorbeeld risicoanalyses, BIA en classificatie van informatie. Overige beheerprocessen: Risicomanagement Configuratiemanagement Wijzigingsbeheer Patchmanagement Hardening Incidentmanagement Bedrijfscontinuïteitsmanagement

21 Rapportage Periodiek over de voortgang: Gedurende de hele levenscyclus van maatregelen: vanaf het plannen tot en met uitfaseren door de verantwoordelijke functionaris In managementrapportages 21

22 Horizontale en verticale verantwoording Gemeenten dienen transparant te zijn: Horizontale verantwoording, vanuit het College van B&W aan de gemeenteraad, de lokale rekenkamer en het lokale publiek over geleverde diensten en bereikte resultaten op het gebied van informatiebeveiliging, vanuit de gemeentelijke verantwoordelijkheid. Verticale verantwoording, vanuit het College van B&W: aan de gemeenteraad en wetgevers (inspecties/toezichthouders) als onderdeel van de paragraaf bedrijfsvoering van de begroting en het jaarverslag. om zekerheid te krijgen over opzet en bestaan van de maatregelen, door de verantwoordelijke een in control statement te laten afgeven voor hun deel van de set. 22

23 Doen: Hoe gaan grote gemeenten om met de BIG? Wat heeft de BIG voor jullie betekend? Welke fasering passen jullie toe? Welke clustering? Hoe verdeel je de financiële middelen? Hoe pakken jullie de BIG aan? Wat gaat goed? medewerking Waar lopen jullie tegenaan? tegenwerking Wat kan de IBD voor jullie betekenen? 23

24 Vragen? Bezoek ook Word lid van de community 24