Interprovinciale Baseline Informatiebeveiliging. Document Versie: 1.0 (definitief)

Transcriptie

1 Interprovinciale Baseline Informatiebeveiliging Document Versie: 1.0 (definitief)

2 1 Colofon Deelnemers expertgroep CIBO: Jos Bell, provincie Friesland Michel Wekema, provincie roningen Peter Tak, provincie roningen Willem van den Boogaart, provincie Drenthe Freddie Janssen, provincie elderland Peter Hepp, provincie Overijssel Jan-Willem Jorritsma, provincie Overijssel William ijse, provincie Noord-Holland Erik-Jan Oskam, provincie Zuid-Holland René Reith, provincie Zuid-Holland Annemarie van runsven, provincie Utrecht Ruben Weel, provincie Flevoland Peter van de Boogaart, provincie Noord-Brabant Leon Deben, provincie Limburg Eindredacteurs: Annemarie van runsven, Provincie Utrecht Michel Wekema, Provincie roningen Paul Peursum, DNV-CIBIT Versiebeheer Datum Versie Auteur Opmerkingen September Paul Peursum, Michel Wekema, Annemarie van runsven Documenten Titel Auteur Jaartal Omschrijving NEN-ISO/IEC-27001/27002 NEN 2005 De landelijke standaard voor informatiebeveiliging/ de code van informatiebeveiliging Business Impact Analyse ISF 2007 PETRA De provinciale referentiearchitectuur NORA 2.0 uido Bayens 2007 Nederlandse Overheid Referentie Architectuur ITIL security Management: Spruit, M. (HEC) een kritische beschouwing. RASCI Best Practice Normen Informatiebeveiliging voorzieningen Jaap van der Veen 2009, versie 1.0 itilsecman.pdf 2

3 Inhoudsopgave 1 Colofon Inleiding Informatiebeveiliging, waarom nu? De definitie van Informatiebeveiliging De scope van informatiebeveiliging Mens en Organisatie Basisinfrastructuur Integratie is belangrijk Standaard werkwijze en richtlijn voor maatregelen Doelgroep en gebruik De baseline, uitgangspunten De baseline als onderdeel van PETRA, de provinciale referentie architectuur De baseline, standaardmethode Standaard Business Impact Analyse Standaard maatregelensets De baseline is een groeidocument, maatregelen passen bij ontwikkelingsniveau De baseline, gebruik Eigen basisniveau maatregelen voor iedere provincie Bepalen van het benodigde beveiligingsniveau Maatregelen uit de baseline selecteren Verantwoordelijkheden toewijzen De baseline, overzicht van maatregelen Compleet overzicht Verwijsindex Beheer en Onderhoud CIBO IPO Bijlage A. BIA A.1 Handleiding invullen formulieren A.2 Business Impact Referentie Tabel Provincies A.3 Business Impact Analyse formulieren A.4 Formulier Beschikbaarheid A.5 Formulier Integriteit A.6 Formulier Vertrouwelijkheid A.7 Formulier Samenvatting, Overall Rating Bijlage B. Baseline uitgebreid B.1 Beveiligingsbeleid B.2 Organisatie van Informatiebeveiliging B.3 Beheer van Bedrijfsmiddelen B.4 Beveiliging van Personeel B.5 Fysieke beveiliging en beveiliging van de omgeving B.6 Beheer van communicatie- en bedieningsprocessen B.7 Toegangsbeveiliging B.8 Verwerving, ontwikkeling en onderhoud van informatiesystemen B.9 Beheer van informatiebeveiligingsincidenten B.10 Bedrijfscontinuïteitsbeheer B.11 Naleving Bijlage C. RASCI

4 2 Inleiding Door de toenemende digitalisering is het zorgvuldig omgaan met de gegevens van burgers, bedrijven en partners ook voor provincies van groot belang. Daarom is er nu de Interprovinciale Baseline Informatiebeveiliging. De baseline is bedoeld om alle provincies op een vergelijkbare manier te laten werken met Informatiebeveiliging. Het geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. De Interprovinciale Baseline Informatiebeveiliging is tot stand gekomen door een intensieve samenwerking van elf provincies, in opdracht van het IPO. 2.1 Informatiebeveiliging, waarom nu? Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen van de provincie. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Dat is, in twee zinnen, de bestaansreden van informatiebeveiliging. Het opnemen van informatiebeveiliging als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze, maar een noodzaak. Deze noodzaak komt onder meer voort uit de toenemende digitalisering van de provinciale dienstverlening, waardoor de afhankelijkheid van de geautomatiseerde informatieverwerking steeds verder groeit. Maar het is niet alleen de automatisering. De samenwerking met andere overheden (in ketensamenwerking) en contacten met burgers en bedrijven wordt steeds vaker digitaal van aard. Dit legt (deels nieuwe) eisen op aan de kwaliteit van de informatievoorziening van de provincie. Al was het maar dat van digitale dienstverlening vaak verwacht wordt dat deze 24 uur per dag en 7 dagen per week beschikbaar is. Daarnaast spelen wet- en regelgeving is een belangrijke rol. De WBP (Wet Bescherming Persoonsgegevens) en de Archiefwet zijn voorbeelden van wetten die eisen stellen aan de verwerking en opslag van informatie. Tot slot is er de maatschappelijke verantwoordelijkheid die een overheidsinstantie tegenover de inwoners en bedrijven heeft. Van de provincie mag verwacht worden dat zij zorgvuldig omgaat met de gegevens die zij beheert, en dat de gegevens die zij levert juist, accuraat en tijdig zijn. Kortom, structurele aandacht voor de betrouwbaarheid van de informatievoorziening, het domein van informatiebeveiliging, helpt de provincie bij een goede invulling van haar maatschappelijke taken. Een goede borging van informatiebeveiliging zorgt voor een betere betrouwbaarheid van de informatievoorziening en een grotere continuïteit van de provinciale bedrijfsvoering. 2.2 De definitie van Informatiebeveiliging Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. - Integriteit is de eigenschap dat de nauwkeurigheid en volledigheid van bedrijfsmiddelen wordt beveiligd. - Vertrouwelijkheid is de eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen. - Beschikbaarheid is het kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit. NEN-ISO/IEC en

5 2.3 De scope van informatiebeveiliging Informatiebeveiliging gaat over de betrouwbaarheid van de informatievoorziening van een organisatie, en heeft tot doel risico s tot een acceptabel niveau terug te brengen. Voor een juiste borging van dit kwaliteitsaspect is een evenwichtig stelsel van maatregelen nodig. Deze maatregelen zijn divers van aard, en verspreid over alle onderdelen en hiërarchische niveaus van een organisatie. Dit wordt geïllustreerd in het architectuurmodel van NORA. Beveiliging Beheer Organisatie Diensten Producten Processen Provinciale Missie Visie Strategie Beleid Medewerkers Applicaties Berichten egevens Informatieuitwisseling Technische Componenten egevensopslag Netwerk Figuur 1 NORA Architectuurraamwerk voor bedrijfsinrichting Informatiebeveiliging reikt dan ook verder dan alleen de geautomatiseerde informatiesystemen en de -infrastructuur. Zaken zoals toegangsbeveiliging, personeel, beleid en bureauveiligheid horen ook tot haar werkgebied. Informatiebeveiliging kan daarom niet alleen het domein van de afdeling I&A zijn. Informatiebeveiliging omvat alle informatie die een organisatie nodig heeft om haar processen naar behoren uit te kunnen voeren. Naast procedurele en technische maatregelen is met name het gedrag van mensen van belang voor een effectieve informatiebeveiliging. Ook dat is een reden waarom informatiebeveiliging niet de verantwoordelijkheid van één directie of afdeling kan zijn. Vaak worden maatregelen alleen getroffen op technisch gebied. Informatiebeveiliging bestaat echter uit de aandachtsgebieden: mens en organisatie, basisinfrastructuur en Mens en Organisatie Hierbij gaat het om werkwijzen (manieren, routines, gewoonten, gedrag). Maatregelen bestaan uit procedures (AO) en het creëren van bewustzijn voor informatiebeveiliging Basisinfrastructuur De basisinfrastructuur betreft onder meer: - Elektriciteitsvoorziening; - Telecommunicatievoorzieningen; - ebouwen en toegang. Een voorbeeld van een beveiligingsmaatregel is de noodstroomvoorziening Bij gaat het om: - Applicaties en gegevensverzamelingen; - infrastructuur (computers, netwerkapparatuur en randapparatuur); - programmatuur van de infrastructuur (diverse besturingsprogramma s). Beveiligingsmaatregelen in dit vlak zijn bijvoorbeeld het opstellen van reserveapparatuur (redundantie) en het installeren van antivirusprogramma s. 5

6 2.4 Integratie is belangrijk Het is van belang dat de focus op het geheel van de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en gericht wordt. Het nemen van technische maatregelen alleen, is onvoldoende. Veelal wordt gesteld dat het bewustzijn van de gebruiker de belangrijkste basis is voor een goede informatiebeveiliging. Inderdaad: onbewuste gebruikers, nemen onbewust veel risico s. Er zijn ook gebruikers die bewust risico lopen zoals de medewerker die nog even een rapport op tijd af wil krijgen en vertrouwelijke informatie op een USB-stick zet om er thuis verder aan te werken. Dit is met beveiliging op het gebied van en toegangsbeveiliging slechts ten dele weg te nemen. De diverse maatregelen (uit de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en ) moeten daarom in samenhang worden genomen. Alleen op deze wijze kan er sprake zijn van een goed informatiebeveiligingsbeleid Standaard werkwijze en richtlijn voor maatregelen Bij het treffen van maatregelen moet altijd een afweging gemaakt worden tussen enerzijds de werkbaarheid en anderzijds de (noodzakelijke) beveiliging van de informatie in het proces. De te nemen maatregelen moeten in verhouding staan tot de grootte van het risico. Het proces mag bijvoorbeeld niet gefrustreerd worden door maatregelen die slechts een marginale verlaging van een risico betekenen. Dus maatregelen moeten gericht zijn op het garanderen van continuïteit en betrouwbaarheid van de informatievoorziening op een niveau dat past bij de behoefte vanuit de primaire provinciale organisatie. Daarom worden maatregelen geselecteerd op basis een risicoanalyse/risicoafweging die in de primaire organisatie wordt gemaakt. De Coördinator Informatiebeveiliging heeft hierbij een adviserende en faciliterende rol. De organisatie maakt daarbij gebruik van de Interprovinciale Business Impact Analyse (zie Bijlage A) en de Interprovinciale Baseline Informatiebeveiliging (dit document) als richtlijn voor de te nemen maatregelen. Deze Interprovinciale Baseline Informatiebeveiliging geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. Daarmee zorgt de Interprovinciale Baseline Informatiebeveiliging ervoor dat: - Alle provincies op een vergelijkbare manier werken met Informatiebeveiliging; - Het duidelijk is voor ketenpartners welke eisen provincies stellen aan informatiebeveiliging; - Provincies een sterkere positie kunnen innemen bij leveranciers van -systemen en diensten door deze eisen aan informatiebeveiliging mee te nemen. 2.6 Doelgroep en gebruik Het document is bedoeld voor specifieke functionarissen zoals: informatiebeveiligingscoördinatoren, architecten, organisatie- en procesontwerpers, programmamanagers, projectleiders, applicatieontwerpers, functioneel en technisch beheerders van systemen. De Interprovinciale Baseline Informatiebeveiliging is te gebruiken als: - Richtlijn voor inrichten van een basisbeveiligingsniveau; - Toetsingskader bij de aanvang en uitvoering van projecten; - Instrument voor risicobeheersing; - Instrument voor ondersteuning inkoop; - Richtlijn voor samenhang in de resultaten die via projecten bereikt worden; - Ontwerprichtlijn voor onder meer proces-, DIV- en applicatieontwerpers. 1 De standaard NEN-ISO/IEC-27001/27002 heeft de integratie van de drie aandachtsgebieden ook als basis. 6

7 3 De baseline, uitgangspunten Deze Interprovinciale Baseline Informatiebeveiliging geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. Het zorgt voor een uniforme werkwijze voor alle provincies op het gebied van informatiebeveiliging. Daarmee hebben de provincies een duidelijk communicatiemiddel naar ketenpartners en leveranciers van -systemen over de door de provincies gehanteerde beveiligingseisen. 3.1 De baseline als onderdeel van PETRA, de provinciale referentie architectuur De provinciale architectuur is het fundament voor de bedrijfsinrichting van een provincie. Daarbij gaat het om het organisatie- en procesontwerp (de business), om het ontwerp van de informatievoorziening, de applicaties en de technische infrastructuur. Een professionele ontwerpfunctie geeft inzicht in de opbouw en samenhang van de samenstellende delen van een organisatie. Hierdoor wordt het mogelijk om wijzigingen sneller en beheerst door te voeren. Dit laatste is vooral nodig omdat ontwikkelingen als elektronische dienstverlening, samenwerking met andere overheidsorganen en internationalisering in steeds hoger tempo langskomen. De complexiteit van werkprocessen en informatiehuishouding neemt hierdoor toe. De PETRA zorgt voor overzicht en daarmee een blijvende borging van een optimale samenhang tussen diensten, processen, organisatie, besturing en informatievoorziening. De PETRA is een provinciale verbijzondering van de NORA. In de onderstaande figuur is het NORA Architectuurraamwerk voor bedrijfsinrichting weergegeven. Informatiebeveiliging is een onderliggende laag voor alle domeinen van de referentiearchitectuur. Het is dus een breed onderwerp dat alle aspecten van de bedrijfsinrichting raakt. In de PETRA is ook een hoofdstuk Informatiebeveiliging opgenomen. De Interprovinciale Baseline Informatiebeveiliging zal op termijn dit onderdeel in de PETRA vervangen. Beveiliging Beheer Organisatie Diensten Producten Processen Provinciale Missie Visie Strategie Beleid Medewerkers Applicaties Berichten egevens Informatie - uitwisseling Technische Componenten egevensopslag Netwerk Figuur 2 NORA Architectuurraamwerk voor bedrijfsinrichting 7

8 3.2 De baseline, standaardmethode De baseline bestaat uit de volgende onderdelen: 1) Business Impact Analyse 2) Maatregelensets Standaard Business Impact Analyse De Business Impact Analyse (BIA) is een hulpmiddel om vast te stellen wat de impact op een informatiesysteem of bedrijfsproces is indien de informatiebeveiliging van de informatie niet gewaarborgd of zelfs geschaad is. Met de BIA wordt het classificatieniveau van een proces bepaald. De BIA is gebaseerd op de Business Impact Analyse van het Information Security Forum (een vooraanstaand internationaal forum op het gebied van informatiebeveiliging) en is door het CIBO vertaald naar de provinciale situatie Standaard maatregelensets Deze Interprovinciale Baseline Informatiebeveiliging standaardiseert op methode (werkwijze): Elk bedrijfsproces of informatiesysteem krijgt middels de provinciale Business Impact Analyse een classificatie mee. Op basis van deze classificatie wordt een standaardpakket aan beveiligingsmaatregelen toegewezen in de Interprovinciale Baseline Informatiebeveiliging. Tevens bevat de Interprovinciale Baseline Informatiebeveiliging zogenaamde enerieke maatregelen: maatregelen die niet gekoppeld zijn aan een bepaald niveau van Beschikbaarheid, Integriteit of Vertrouwelijkheid, maar altijd genomen moeten worden. De term Interprovinciale Baseline Informatiebeveiliging suggereert één basisniveau aan maatregelen voor informatiebeveiliging voor àlle provincies, dus maatregelen die je verwacht altijd aan te treffen. Dit kan echter verschillend geïnterpreteerd worden. 1) Dit basisniveau aan maatregelen geldt altijd en hoort dus ook altijd geïmplementeerd te zijn: dit zijn dan de enerieke maatregelen en maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid = Laag. 2) Dit basisniveau aan maatregelen geldt specifiek voor dat bedrijfsproces of informatiesysteem waarvoor een provinciale Business Impact Analyse is uitgevoerd: dit zijn dan de enerieke maatregelen én de juiste maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid op basis van de provinciale Business Impact Analyse. De gedachte van deze Interprovinciale Baseline Informatiebeveiliging is dat ieder Provincie begint met de implementatie van de enerieke maatregelen en maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid = Laag. Daarnaast wordt per bedrijfsproces of informatiesysteem een provinciale Business Impact Analyse uitgevoerd, waardoor duidelijk wordt of aanvullende maatregelen uit de Interprovinciale Baseline Informatiebeveiliging nodig zijn. Zie hoofdstuk 4. Wanneer deze analyses gedaan worden op procesniveau wordt het mogelijk om onderling af te stemmen welke classificatie generiek gehanteerd kan worden voor alle provincies. Uit de totale set van maatregelen zal daarmee ook één uniform standaardpakket van basismaatregelen voor alle provincies vloeien. Een risicoanalyse op systeemniveau is niet toepasbaar omdat de concrete technische invulling voor de procesondersteuning per provincie kan verschillen. Op termijn is het dus de verwachting dat de basisniveaus van de provincies gelijk worden. Voor nu werken we met een standaardmethode, waarmee iedere provincie het classificatieniveau kan bepalen. 8

9 Het groeipad is daarmee ook vastgesteld: voor de volgende versie van dit document willen we de risicoanalyses op procesniveau uitvoeren zodat het uniforme standaardpakket aan maatregelen vastgesteld kan worden NEN-ISO/IEC-27001/27002 en NORA De inhoud van de Interprovinciale Baseline Informatiebeveiliging is gebaseerd op de landelijke standaard NEN-ISO/IEC-27001/27002 (ook wel de code van informatiebeveiliging genoemd). De Interprovinciale Baseline Informatiebeveiliging heeft de code als uitgangspunt, en is aangepast voor gebruik door de provincies: - Sommige maatregelen uit de code zijn niet van toepassing voor de provincies: deze zijn weggelaten in de Interprovinciale Baseline Informatiebeveiliging; - Andere maatregelen uit de code zijn onveranderd van toepassing voor de provincies: naar de betreffende passage in de code wordt verwezen vanuit de Interprovinciale Baseline Informatiebeveiliging; - Weer andere maatregelen uit de code zijn niet geheel of anders van toepassing op de provincies: de aanpassing is vermeld in de Interprovinciale Baseline Informatiebeveiliging; - Niet elke maatregelen is altijd van toepassing, maar slechts bij of vanaf een bepaald beveiligingsniveau. Het bijbehorende beveiligingsniveau is vermeld in de Interprovinciale Baseline Informatiebeveiliging. Daarnaast is gebruik gemaakt van de zogenaamde NORA aanpak (best practices). 9

10 3.3 De baseline is een groeidocument, maatregelen passen bij ontwikkelingsniveau De maatregelen voor informatiebeveiliging passen bij het ontwikkelingsniveau van provincies. Binnen alle provincies is het noodzakelijk dat Informatiebeveiliging nu verder geprofessionaliseerd wordt. Het is nu veelal op onbekend/ontluikend niveau ingericht, en moet zich naar een beheerst/professioneel niveau ontwikkelen. Ontwikkelstadium Onbezorgd Onbekend Ontluikend Beheerst Professioneel Status van informatiebeveiliging Effectieve werkwijze Verantwoordelijke Infomatiebeveiliging wordt niet in overweging genomen; er is geen budget voor informatiebeveiliging Informatiebeveiliging wordt nuttig geacht, maar heeft geen duidelijke positie in de organisatie; oplossingen worden ad-hoc gekozen Informatiebeveiliging heeft een duidelijke positie in de organisatie; het is een stafaangelegenheid Informatiebeveiliging wordt geacht integraal onderdeel te zijn van ieder proces; het is een lijnmanagementaangelegenheid Informatiebeveiliging wordt geacht integraal onderdeel te zijn van de bedrijfsvoering; het is een directieaangelegenheid en een continu aandachtspunt. Ad hoc: Er zijn geen eenduidige processen te onderkennen. Herhaald: Er wordt wel procesmatig gewerkt, maar deze zijn niet beschreven. edefinieerd: Er wordt procesmatig gewerkt en deze zijn beschreven in formele procedures. econtroleerd: Er wordt gemeten en bijgestuurd op basis van prestatie-indicatoren. eoptimaliseerd: Er wordt geoptimaliseerd ten behoeve van de ondersteunde primaire processen. Tabel 1: niveaus naar volwassenheid, bijbehorende werkwijzen en verantwoordelijken (Uit: ITIL security Management: een kritische beschouwing. M. Spruit) Beschermengel Ad hoc specialist Staffunctionaris Lijnmanagement Directie Die stap kunnen we niet in één keer zetten, daarvoor is deze te groot. Dit betekent dat we informatiebeveiliging geleidelijk verder moeten ontwikkelen. Deze eerste versie Interprovinciale Baseline Informatiebeveiliging is een eerste stap. Omdat er nog vele stappen moeten volgen, is de Interprovinciale Baseline Informatiebeveiliging een groeidocument. De inhoud van de Interprovinciale Baseline Informatiebeveiliging zal mee moeten groeien met het ontwikkelingsniveau van de provincies. De eerste versie van de Interprovinciale Baseline Informatiebeveiliging omvat een standaardmethode, waarbij alle provincies op dezelfde wijze informatiebeveiligingsmaatregelen toekennen aan hun bedrijfsprocessen. Het biedt echter nog niet de standaardwijze waarop provincies informatiebeveiliging opnemen als integraal onderdeel van de bedrijfsvoering. Daarnaast is het ontwikkelingsniveau op het gebied van informatiebeveiliging per provincie verschillend. En daarmee zullen de benodigde maatregelen ook nog verschikkend zijn. Dat betekent dat één algemene maatregelenset voor alle provincies nu nog niet mogelijk is, maar later wel. 10

11 4 De baseline, gebruik De Interprovinciale Baseline Informatiebeveiliging bestaat uit een standaardisatie van methoden, en (nog) niet van maatregelen. De volgende paragrafen beschrijven de interprovinciale afspraken. 4.1 Eigen basisniveau maatregelen voor iedere provincie Alle provincies bepalen (vooralsnog) hun eigen basisniveau van beveiligingsmaatregelen. Dit doen zij op basis van de in de Interprovinciale Baseline Informatiebeveiliging onderscheiden maatregelen (welke gekoppeld zijn aan de classificatieniveaus). 4.2 Bepalen van het benodigde beveiligingsniveau Bij het bepalen van het benodigde beveiligingsniveau van een bedrijfsproces wordt gebruik gemaakt van de interprovinciale Business Impact Analyse (BIA, zie Bijlage A). Dit betekent dat een bedrijfsproces een classificatie meekrijgt op het gebied van: Het vereiste beschikbaarheidsniveau (hoog, midden of laag) Het vereiste integriteitsniveau (hoog, midden of laag) Het vereiste vertrouwelijkheidsniveau (hoog, midden of laag) De Business Impact Analyse (BIA) is een hulpmiddel om vast te stellen wat de impact op een informatiesysteem of bedrijfsproces is indien de informatiebeveiliging van de informatie niet gewaarborgd of zelfs geschaad is. Op basis hiervan kunnen de risico s in kaart gebracht worden en kunnen maatregelen genomen worden ter vermindering of opheffing van deze risico s. De business Impact Analyse wordt vastgesteld tijdens een gesprek met de verantwoordelijke proceseigenaar. Dit gesprek wordt gevoerd aan de hand van de formulierenset uit Bijlage A. 4.3 Maatregelen uit de baseline selecteren Aan de hand van de vereiste niveaus, worden de voorgeschreven maatregelen uit de Interprovinciale Baseline Informatiebeveiliging geselecteerd en toegepast. Daarbij kan een afweging gemaakt worden tussen kosten van de maatregelen en de af te dekken risico s. Hierdoor kan in uitzonderlijke gevallen (beargumenteerd) worden afgeweken van de voorgeschreven maatregelen uit de Interprovinciale Baseline Informatiebeveiliging. Het risico wordt dan op een andere manier afgedekt of geaccepteerd. Dit wordt, met argumentatie, vastgelegd en periodiek geëvalueerd. 4.4 Verantwoordelijkheden toewijzen Alle provincies wijzen zelf de verantwoordelijkheden toe voor informatiebeveiliging. De overeengekomen methode daarbij is RASCI. De Interprovinciale Baseline Informatiebeveiliging heeft zich beperkt tot toewijzing van de R ( Responsible ) aan de diverse onderdelen. De overige verantwoordelijkheden verschillen per provincie omdat de organisatiestructuur per provincie verschilt. Verantwoordelijkheden zijn gekoppeld aan het provinciale bedrijfsfunctiemodel en de NEN-ISO/IEC-27001/ De RASCI-methode is een afkorting voor de rollen die binnen een organisatie aanwezig zijn. De methode gaat uit van het principe dat er vijf soorten rollen bestaan richting een activiteit: R Responsible Wie is verantwoordelijk voor het uitvoeren van de activiteit? A Accountable Aan wie moet verantwoording afgelegd worden? S Supportive Wie kan support geven? C Consulted Wie moet geraadpleegd worden? I Informed Wie moet geïnformeerd worden? Tabel 2 RASCI rollen Een verdere uitwerking van de RASCI methode is opgenomen in Bijlage C. 11

12 Voor het beleggen van de verantwoordelijkheden is in dit document gestandaardiseerd op het gebruik van RASCI, én op een gelimiteerde lijst van verantwoordelijke eenheden (zie Tabel 3). In figuur 3 is het bedrijfsfunctiemodel uit de PETRA weergegeven. In figuur 4 is de gelimiteerde lijst van verantwoordelijke eenheden afgebeeld op het bedrijfsfunctiemodel uit de PETRA. S/PS Klant - contacten Strategie ontwikkelen Besluiten Verant - woorden Sturen en organiseren Planning & control Ondersteunen S/PS Besturen Bedrijf Ontwikkelen Architectuur Projec - ten Data Primaire functies (waarde toevoegen) burger bedrijf dienstverlenings management Stimuleren burgerparticipatie Uitvoeren omgevingsbeleid Informeren Adviseren & stimuleren (doen) onderzoeken Voorlichten Toetsen plannen Bezwaar & beroep Handhaven Beleid ontwikkelen Opstellen regels Beschrijven uitvoering Inrichten en beheren omgeving Opdracht - verlening uitvoering werken Opdracht - verlening beheer eo -informatie makelaar Toezicht gemeenten Klant/ Verlenen vergunningen Verlenen subsidies Co ö rdineren Jeugdzorg Uitvoeren EU- regelingen overheid Secundaire functies (ondersteunen, beheren) COPAFIJTH Communi Perso - Finan Facili - neel ciën Inkoop - catie teiten Figuur 3: Bedrijfsfunctiemodel, PETRA versie 0.9 Responsible Directie CIB Auditor ebruikersorganisatie Proceseigenaren Direct leidinggevende COM PO FO JZ Inkoop DIV Omschrijving De directie van de provinciale organisatie Coördinator Informatiebeveiliging (deze heeft een centrale coördinerende rol, en rapporteert aan directie). onafhankelijke interne auditor alle gebruikers (werknemers) van de provinciale informatievoorziening De eigenaar voor (bedrijfs)proces De leidinggevende van een werknemer de afdeling communicatie De personele organisatie De -beheer- en ontwikkelorganisatie De facilitaire organisatie Juridische zaken Inkoop Documentaire informatievoorziening Tabel 3: Verantwoordelijkheden binnen Informatiebeveiliging en bedrijfsfunctiemodel 12

13 S/PS Klantcontacten DIRECTIE Strategie ontwikkelen Sturen en organiseren Verant - AUDITOR Planning Ondersteun- Besluiten woorden & control en S/PS Besturen Bedrijf Ontwikkelen CIB Projec - Architectuur ten Data Primaire functies (waarde toevoegen) burger bedrijf dienstverlenings management Klant/ Stimuleren burgerparticipatie Uitvoeren omgevingsbeleid Informeren Adviseren & stimuleren (doen) onderzoeken Verlenen vergunningen Voorlichten Toetsen plannen Bezwaar & beroep Handhaven Verlenen subsidies Beleid ontwikkelen Opstellen regels Beschrijven uitvoering Inrichten en beheren omgeving Opdracht - verlening uitvoering werken Opdracht - verlening beheer eo informatie - makelaar Toezicht gemeenten Co ö rdineren Jeugdzorg Uitvoeren EU - regelingen Direct leidinggevenden Proceseigenaren ebruikersorganisatie overheid COM PO Secundaire functies (ondersteunen, beheren) COPAFIJTH FO Inkoop Communi Perso - Finan Facili - neel ciën JZ DIV Inkoop - catie teiten Figuur 4: Bedrijfsfunctiemodel, PETRA versie 0.9 aangevuld met verantwoordelijken in Informatiebeveiliging 13

14 5 De baseline, overzicht van maatregelen 5.1 Compleet overzicht Bijlage B werkt de Interprovinciale Baseline Informatiebeveiliging in meer detail uit. De Interprovinciale Baseline Informatiebeveiliging is gebaseerd op de Nederlandse norm NEN- ISO/IEC-27002:2007. Deze norm bevat elf onderdelen, en elk onderdeel bevat: een beheersdoelstelling die vermeldt wat er moet worden bereikt, en een of meer beheersmaatregelen die kunnen worden toegepast om de beheersdoelstelling te realiseren. De beschrijving van beheersmaatregelen is als volgt gestructureerd: Beheersmaatregel: Definieert de specifieke maatregel om aan de beheersdoelstelling te voldoen. Implementatierichtlijnen: even nadere informatie om de implementatie van de beheersmaatregel te ondersteunen en om de beheersdoelstelling te realiseren. Sommige richtlijnen zullen niet in alle gevallen van toepassing zijn; andere manieren om de beheersmaatregel te implementeren kunnen daarom geschikter zijn. Per beheersmaatregel wordt een implementatierichtlijn beschreven die specifiek voor de Provinciale omgeving geldt. In de meeste gevallen wordt verwezen naar de tekst uit de norm NEN- ISO/IEC-27002:2007, de Code. In het geval dat de Code meerdere implementatierichtlijnen geeft, zal dit beschreven zijn als opties a, b, c, et cetera. In sommige gevallen zijn er twee opsommingen beschreven, in dat geval wordt het onderscheid aangegeven met een - bij de tweede opsomming. Voorbeeld: a,c,d,-a,-b geeft aan: Implementatierichtlijnen a, c en d uit de eerste opsomming in de Code, Implementatierichtlijnen a en b uit de tweede opsomming in de Code Voorbeeld: NEN-ISO/IEC

15 Per beheersmaatregel wordt aangeven wie de eindverantwoordelijke is ( Responsible ) voor het uitvoeren van een bepaalde maatregel. Zie ook 4.4. Zie Tabel 3: Verantwoordelijkheden binnen Informatiebeveiliging en bedrijfsfunctiemodel voor een compleet overzicht van de mogelijke eindverantwoordelijken. Tot slot is per beheersmaatregel aangegeven of deze maatregel eneriek is, of specifiek geldt voor een bepaald niveau van Beschikbaarheid, Integriteit en/of Vertrouwelijkheid. Indien een maatregel eneriek is, houdt dit in dat deze te allen tijde geïmplementeerd moet worden. Bij een specifieke maatregel wordt aangegeven vanaf welk niveau de implementatierichtlijn geldt. De onderkende niveaus zijn Laag, Midden en Hoog. Zie de Business Impact Analyse Provincies als referentie. Als een bepaalde implementatierichtlijn opgesomd staat bij Beschikbaarheid=Midden, dan geldt deze ook bij Beschikbaarheid=Hoog. Evenzo: een implementatierichtlijn bij Integriteit=Laag geldt ook bij Integriteit=Midden en Integriteit=Hoog. 5.2 Verwijsindex De Interprovinciale Baseline Informatiebeveiliging is ook in MS-Excel vorm beschikbaar. Deze bevat geen detailinformatie, maar kan vooral als verwijsindex gebruikt worden. De MS-Excel sheet is voorzien van een autofilter, waardoor op eenvoudige manier allerlei doorsneden gemaakt kunnen worden. Je kunt de MS-Excel sheet gebruiken om bijvoorbeeld : alle maatregelen voor een bepaalde verantwoordelijke te tonen: Selecteer bij de betreffende verantwoordelijke de optie (NonBlanks) in het filter. De X betekent Responsible uit RASCI; alle Beschikbaarheid=Midden maatregelen te tonen: Selecteer bij Beschikbaarheid=Midden de optie (NonBlanks) in het filter. Let op: o o Als een maatregel al geldt vanaf het niveau Beschikbaarheid=Laag, dan staat deze ook in de getoonde selectie want deze moet dan ook geïmplementeerd worden; Of: Beschikbaarheid=Laag, Beschikbaarheid=Midden én Beschikbaarheid=Hoog is ingevuld. In geval van Beschikbaarheid=Midden moeten de Beschikbaarheid=Laag én Beschikbaarheid=Midden maatregelen geïmplementeerd worden. 15

16 6 Beheer en Onderhoud De Interprovinciale Baseline Informatiebeveiliging is een groeidocument. Dit betekent dat er regelmatig een update moet plaatsvinden. 6.1 CIBO Het CIBO is het interprovinciaal overleg voor Informatiebeveiliging. In dit overleg zijn 11 van de 12 provincies vertegenwoordigd. De deelnemers zijn allen werkzaam op het gebied van informatiebeveiliging in hun provincie. Het CIBO is inhoudelijk verantwoordelijk voor de Interprovinciale Baseline Informatiebeveiliging. Zij streeft naar een jaarlijkse update van de Interprovinciale Baseline Informatiebeveiliging (op voorwaarde van voldoende capaciteit en financiële middelen). 6.2 IPO Het IPO (of een door haar aangewezen partij, zoals BO-provincies) is procesverantwoordelijk. Zij draagt zorgt voor toewijzing van capaciteit en middelen die het CIBO nodig heeft om de Interprovinciale Baseline Informatiebeveiliging actueel te houden. 16

17 Bijlage A. BIA Hoe weet u als verantwoordelijke of de zaken op orde zijn? Zijn uw ketenpartners wel zuinig op de informatie van uw organisatie? En gaat u zorgvuldig om met de informatie van de ketenpartners? Of misschien wel belangrijker: Kunt u zich naar de buitenwereld verantwoorden over de situatie? Om een antwoord te geven op bovenstaande vragen, zijn enkele zaken nodig. Allereerst dient vastgesteld te worden wat de impact op een informatiesysteem of bedrijfsproces is, indien de informatiebeveiliging van de informatie niet gewaarborgd of zelfs geschaad is. Vervolgens dienen de risico s in kaart gebracht te worden en kunnen maatregelen genomen worden ter vermindering of opheffing van deze risico s. Bij de selectie van maatregelen wordt rekening gehouden met de waarde van de informatie voor de Provincie. Hoe hoger de waarde, hoe zwaarder de maatregelen om deze informatie te beschermen. Om de waarde van de informatie vast te stellen wordt een gesprek aangegaan met de verantwoordelijken aan de bedrijfsmatige kant. Tijdens dit gesprek wordt de waarde uitgedrukt in kwalitatieve zin, dat wil zeggen in termen als hoog, midden of laag, niet in geld. Hierin wordt vanuit een informatiebeveiliginginsteek gelet op de beschikbaarheid, de integriteit en de vertrouwelijkheid van de informatie. Om dit gesprek zo goed mogelijk te faciliteren, wordt gebruik gemaakt van de formulierenset uit de Interprovinciale Business Impact Analyse (BIA). De formulieren zijn te vinden in een apart document, genaamd: Business Impact Analyse Provincies 1.0.doc. Door de formulierenset stipt te volgen worden de gesprekspartners van de bedrijfsmatige kant geholpen in het bepalen van de waarde van de informatie voor hun bedrijfsproces. Zij hoeven dan geen inhoudelijke kennis van het vakgebied informatiebeveiliging te hebben. Informatiebeveiliging is de bescherming van informatie tegen een breed scala bedreigingen om bedrijfscontinuïteit te waarborgen, bedrijfsrisico s te minimaliseren en investeringsrendementen en bedrijfskansen zo groot mogelijk te maken. A.1 Handleiding invullen formulieren In de bijlage treft u vijf formulieren aan. In het kort worden deze formulieren gebruikt voor de volgende doeleinden: Formulier 1: Business Impact Referentie Tabel Provincies. Dit formulier wordt gebruikt om voor de Provincie en per onderwerp te bepalen wanneer exact de impact aangeduid kan worden met de classificatie hoog, midden of laag. Formulier 2: Business Impact Analyse Beschikbaarheid. Dit formulier wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van beschikbaarheid op het betreffende provinciale proces. Formulier 3: Business Impact Analyse Integriteit. Dit formulier wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van integriteit op het betreffende provinciale proces. Formulier 4: Business Impact Analyse Vertrouwelijkheid. Dit formulier wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van vertrouwelijkheid op het betreffende provinciale proces. Formulier 5: Samenvatting, Overall Rating. Dit formulier wordt gebruikt als samenvatting van de scores uit de vorige formulieren. 17

18 A.2 Business Impact Referentie Tabel Provincies De Business Impact Referentie Tabel Provincies wordt gebruikt om voor de Provincie en per onderwerp te bepalen wanneer exact de impact aangeduid kan worden met de classificatie hoog, midden of laag. De tabel is reeds ingevuld, waarbij de financiële vertaling van hoog, midden of laag (zie bij F1 tot en met F4) tussen haakjes is aangegeven als mogelijk voorbeeld. De bedoeling van de invulling van deze tabel is dat het zo specifiek en meetbaar mogelijk is. De inhoud van deze tabel wordt bij de andere formulieren weer gebruikt. A.3 Business Impact Analyse formulieren De formulieren zijn allemaal opgebouwd uit vragen in 4 categorieën. De categorieën zijn op elk formulier gelijk, en staan ook zodanig in de Business Impact Referentie Tabel Provincies. De categorieën zijn: Financieel (F): 4 vragen, F1 tot en met F4 Operationeel (O): 5 vragen, O1 tot en met O5 Klant gerelateerd (K): 3 vragen, K1 tot en met K3 Werknemer gerelateerd (W): 2 vragen, W1 en W2 De exacte bewoording bij elke vraag (F1 tot en met W2) kan verschillen, en is in lijn gebracht met het betreffende onderwerp, zijnde beschikbaarheid, integriteit of vertrouwelijkheid. Elke vraag kan beantwoord worden door een X te zetten in de juiste kolom. Bij de formulieren voor Integriteit en Vertrouwelijkheid is voor het gemak de inhoud van de Business Impact Referentie Tabel Provincies overgenomen. Vervang deze inhoud dan door de X. Bij elke vraag is ruimte opgenomen voor kort commentaar. ebruik dit veld om aan te geven waarom men tot deze conclusie/keuze is gekomen. Onderaan de formulieren, na de laatste vraag, staat een Overall Rating. Neem hier de hoogste score over van de vragen F1 tot en met W2. Hiermee wordt de essentie van het formulier dus terug gebracht tot 1 classificatie: hoog, midden of laag. A.4 Formulier Beschikbaarheid Het formulier over de Business Impact Analyse Beschikbaarheid wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van beschikbaarheid op het betreffende provinciale proces. De vragen zijn zo gesteld dat beantwoording gedaan wordt door een kruisje te zetten in die juiste kolom. Daarbij moet gekeken worden naar de Business Impact Referentie Tabel Provincies om te zien of de keuze dan ook overeenkomt met de impact classificatie. Er zijn vijf tabellen waaruit gekozen kan worden, elk met een verschillende nietbeschikbaarheids periode. Bij impact hoog wordt uit gegaan van problemen bij een niet-beschikbaarheid van maximaal 1 dag. Bij impact midden wordt uit gegaan van problemen bij een niet-beschikbaarheid van 2 à 3 dagen. Bij impact laag wordt uit gegaan dat er pas problemen ontstaan bij een nietbeschikbaarheid van 1 week of meer. De grootte van het probleem moet dan (gevoelsmatig) wel overeenkomen met de waarde zoals die in de Business Impact Referentie Tabel Provincies is opgenomen. Sluit het formulier af met de Overall Rating: de hoogste score in het formulier, en beantwoord twee additionele vragen: 1. Wat is het kritieke tijdspad voor het herstel van dit systeem (welke duur van niet beschikbaarheid is onacceptabel voor het betreffende provinciale proces)? 18

19 Dit komt ook weer overeen met de hoogste score in de tabel: is dit geweest bij een niet-beschikbaarheid van 1 uur, 1 dag, 2 à 3 dagen, 1 week of 1 maand? 2. Wat is de maximale toelaatbare gegevens verlies periode bij een ernstige calamiteit (gegevens kwijt geraakt doordat men terug moet naar de laatst herstelbare situatie)? In het geval van een ernstige niet-beschikbaarheid kan het voorkomen dat men dit moet herstellen door terug te gaan naar de laatst herstelbare situatie, bijvoorbeeld door een back-up terug te zetten. Hierbij zullen de gegevens die zijn ontstaan of aangepast in het tijdstip tussen de laatst herstelbare situatie en tijdstip optreden van de niet-beschikbaarheid, verloren gaan. eef hier aan wat een maximaal toelaatbare periode is voor het betreffende provinciale proces. A.5 Formulier Integriteit Het formulier over de Business Impact Analyse Beschikbaarheid wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van integriteit op het betreffende provinciale proces. De vragen zijn zo gesteld dat beantwoording gedaan wordt door een kruisje te zetten in die juiste kolom. A.6 Formulier Vertrouwelijkheid Het formulier over de Business Impact Analyse Beschikbaarheid wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van vertrouwelijkheid op het betreffende provinciale proces. De vragen zijn zo gesteld dat beantwoording gedaan wordt door een kruisje te zetten in die juiste kolom. A.7 Formulier Samenvatting, Overall Rating Het formulier wordt gebruikt als samenvatting van de scores uit de vorige formulieren. Neem in dit formulier de samenvattende gegevens uit de andere formulieren over. Noteer tevens andere gegevens op dit formulier, zoals: Voor welk provinciaal proces is deze analyse gedaan; Met welke personen is deze analyse uitgevoerd; Wie heeft de begeleiding gedaan; Wanneer is deze analyse uitgevoerd. 19

20 20

21 21

22 22

23 23

24 24

25 Bijlage B. Baseline uitgebreid B.1 Beveiligingsbeleid Functiegebied NEN-ISO/IEC 27002:2007 A.5 Beveiligingsbeleid A.5.1 Informatiebeveiligingsbeleid A Beleidsdocument voor informatiebeveiliging Doelstelling Implementatierichtlijn Verantwoordelijk Directie richting en ondersteuning bieden voor informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften. Een document met informatiebeveiligingsbeleid moet door de directie worden goedgekeurd en gepubliceerd en kenbaar worden gemaakt aan alle werknemers en relevante externe partijen. Elke provincie heeft een informatiebeveiligingsbeleidsplan dat gebaseerd is op de Code voor informatiebeveiliging NEN-ISO/IEC :2007. Het informatiebeveiligingsbeleidsplan maakt integraal onderdeel uit van het informatiebeleidsplan. Directie Niveau (/B/ I/V 2 ) A Beoordelen van het informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid moet met geplande tussenpozen, of zodra zich belangrijke wijzigingen voordoen, worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft Het beleid richt zich op de interne organisatie én het samenwerken in de keten. Het informatiebeveiligingsbeleid wordt elke 4 jaar geactualiseerd. Of op momenten dat zich belangrijke ontwikkelingen voordoen. Het informatiebeveiligingsbeleid volgt de 4-jarige Planning & Control/beleidscyclus. Het informatiebeveiligingsbeleid volgt specifieke wetgeving waaronder minimaal: Archiefwet Auteurswet Wet Basisregistraties Wet Elektronische Handtekening Wet Bescherming Persoonsgegevens Wet elektronische bestuurlijk verkeer Wet Computercriminaliteit Wet op de Ondernemingsraden Wet Openbaarheid van Bestuur Provinciewet Directie Het informatiebeveiligingsbeleid volgt specifieke regelgeving waaronder minimaal: Collectieve Arbeidsvoorwaarde Provincies Ambtseed 2 =eneriek, B=Beschikbaarheid, I=Integriteit, V=Vertrouwelijkheid 25

26 B.2 Organisatie van Informatiebeveiliging Functiegebied NEN-ISO/IEC 27002:2007 Doelstelling Implementatierichtlijn Verantwoordelijk A.6 Organisatie van informatiebeveiliging A.6.1 Interne organisatie Beheren van de informatiebeveiliging binnen de organisatie. A A Betrokkenheid van de directie bij informatiebeveiliging Coördinatie van informatiebeveiliging De directie moet actief beveiliging binnen de organisatie ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. Activiteiten voor informatiebeveiliging moeten worden gecoördineerd door vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies. Het vaststellen van het informatiebeveiligingsbeleid vindt plaats op directieniveau (bedrijfsvoering, provinciesecretaris). Alle verantwoordelijkheden, taken en bevoegdheden worden expliciet toegekend aan bestaande functies (fuwaprov) in de organisatie. De eindcoördinatie is op één plek in één functie binnen de organisatie belegd. Coördinatie komt voort uit een multidisciplinair team met minimaal de volgende disciplines: Juridische zaken Personele zaken Facilitaire zaken Audit Informatiebeleid Business Directie Directie Niveau (/B/I/V) A A A A Toewijzing van verantwoordelijkheden voor informatiebeveiliging oedkeuringsproces voor IT-voorzieningen eheimhoudingsovereenkomst Contact met overheidsinstanties Alle verantwoordelijkheden voor informatiebeveiliging moeten duidelijk zijn gedefinieerd. Er moet een goedkeuringsproces voor nieuwe IT-voorzieningen worden vastgesteld en geïmplementeerd. Eisen voor vertrouwelijkheid of geheimhoudingsovereenk omst die een weerslag vormen van de behoefte van de organisatie aan bescherming van informatie moeten worden vastgesteld en regelmatig worden beoordeeld. Er moeten geschikte contacten met relevante overheidsinstanties worden onderhouden. Binnen deze disciplines moeten rollen voor de coördinatie zijn toegekend. Proceseigenaren zijn verantwoordelijk voor het eigen proces. Producteigenaren zijn verantwoordelijk voor het eigen product. Informatiebeveiliging maakt standaard onderdeel uit van het goedkeuringsproces van nieuwe IT-voorzieningen. Nieuwe en/of gewijzigde IT-voorzieningen worden beoordeeld op basis van de baseline en de classificatiesystematiek. Alle medewerkers leggen de ambtseed of integriteitsverklaring af. Medewerkers die zeer vertrouwelijke informatie behandelen, ondertekenen een aanvullende geheimhoudingsverklaring. Vb. BA Voor ingehuurde medewerkers geldt dat zij voorafgaande aan hun betrekking een geheimhoudingsovereenkomst tekenen. Toegangsbeveiliging: Bovendien moet naast de geheimhoudingsverklaring worden geborgd dat externe medewerkers geen toegang hebben tot concurrentiegevoelige informatie zoals aanbestedingsdocumenten. n.v.t. Directie Directie Directie V=Laag 26

27 Functiegebied NEN-ISO/IEC 27002:2007 A Contact met speciale belangengroepen A Onafhankelijke beoordeling van informatiebeveiliging A.6.2 Externe partijen A A A Identificatie van risico s die betrekking hebben op externe partijen Beveiliging behandelen in de omgang met klanten Beveiliging behandelen in overeenkomsten met een derde partij. Doelstelling Implementatierichtlijn Verantwoordelijk Er moeten geschikte De coördinator neemt deel aan het Directie contacten met speciale Centraal InformatieBeveiligings Overleg belangengroepen of (CIBO) en via het CIBO het Provinciaal andere specialistische Platform Architecten (PPA) platforms voor beveiliging en professionele organisaties worden onderhouden. De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) moeten onafhankelijk en met geplande tussenpozen worden beoordeeld, of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging. Er moet minimaal 1 keer per 4 jaar een audit op informatiebeveiliging plaatsvinden. Bij voorkeur voorafgaand aan herziening informatiebeveiligingsbeleid. Directie Niveau (/B/I/V) Beveiligen van de informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd. De risico s voor de informatie en ITvoorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend. Alle geïdentificeerde beveiligingseisen moeten worden behandeld voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie. In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of IT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan ITvoorzieningen waarbij sprake is van toegang, moeten alle relevante beveiligingseisen zijn opgenomen. Alle informatiebeveiligingsmaatregelen die intern worden opgelegd zijn ook van toepassing op externe partijen. Dus classificeren van informatie en maatregelen formuleren op basis van baseline. Voor externe partijen is een minimale specifieke maatregelenset gedefinieerd en dient contractueel te worden afgedwongen. Elk klantcontact, ongeacht het type kanaal, is veilig, dat wil zeggen: er heeft een classificatie van de informatie plaatsgevonden en informatiebeveiligingsmaatregelen zijn getroffen voor het betreffende kanaal. Eisen met betrekking tot informatiebeveiliging maken standaard onderdeel uit van het inkoopcontract. Directie Directie Directie 27

28 B.3 Beheer van Bedrijfsmiddelen Functiegebied NEN-ISO/IEC 27002:2007 A.7 Beheer van bedrijfsmiddelen A.7.1 Verantwoordelijkheid voor bedrijfsmiddelen A A A Inventarisatie van de bedrijfsmiddelen Eigendom van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen A.7.2 Classificatie van informatie A Richtlijnen voor classificatie A Labeling en verwerking van informatie Doelstelling Implementatierichtlijn Verantwoordelijk Niveau (/B/I/V) Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie. Zie code FO / Zie code FO / Informatie bepaalt mate van beveiliging, dat wil zeggen: het type informatie is bepalend voor de maatregelen van toepassing op de middelen (PDA, PC, telefoon, etc.) Aanvaardbaar gebruik is vastgelegd in protocollen (internet, etc.), aanvaardbaar gebruik gaat vooral over bewustzijn bij medewerkers. Bewerkstelligen dat informatie een geschikt niveau van bescherming krijgt. Informatie moet worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Er moeten geschikte, samenhangende procedures worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd. Er wordt gebruik gemaakt van de Cibo Business Impact Analyse (BIA). Zie code O / FO / Alle bedrijfsmiddelen moeten duidelijk zijn geïdentificeerd en er moet een inventaris van alle belangrijke bedrijfsmiddelen worden opgesteld en bijgehouden. Alle informatie en bedrijfsmiddelen die verband houden met ITvoorzieningen moeten een eigenaar hebben in de vorm van een aangewezen deel van de organisatie Er moeten regels worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ITvoorzieningen. Proceseigenaar Proceseigenaar 28

29 B.4 Beveiliging van Personeel Functiegebied NEN-ISO/IEC 27002:2007 A.8 Beveiliging van personeel A.8.1 Voorafgaand aan het dienstverband Niveau (/B/I/V) Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. A Rollen en verantwoordelijkheden De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging moeten worden vastgesteld en gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie. A Screening Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en externe gebruikers moeten worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en moeten evenredig zijn aan de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's. A Arbeidsvoorwaarden Als onderdeel van hun contractuele verplichting moeten werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden aanvaarden en ondertekenen van hun arbeidscontract, waarin hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging moeten zijn vastgelegd. Toelichting: De term 'dienstverband' houdt in dit kader alle volgende situaties in: dienstverband van personeel (tijdelijk of vast), toewijzing van rollen, wijziging van rollen, toewijzing van contracten en beëindiging van dergelijke overeenkomsten. Alle nieuwe medewerkers nemen in het introductieprogramma kennis van informatiebeveiliging. Denk aan protocollen, huisregels, aanvaardbaar gebruik middelen. Zie code a tot en met d. Voor bepaalde risicovolle functies is aparte screening voorafgaand van het in dienst treden noodzakelijk. Het gaat bijvoorbeeld om de volgende functie: Bijzonder opsporingsambtenaar. PO PO PO V=Hoog A.8.2 Tijdens het dienstverband A Doelstelling Implementatierichtlijn Verantwoordelijk Directieverantwoordelijkheid Bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen, en het risico van een menselijke fout te verminderen. De directie moet van werknemers, ingehuurd personeel en externe gebruikers eisen dat ze beveiliging toepassen overeenkomstig vastgesteld beleid en vastgestelde procedures van de organisatie. Zie code Directie 29

30 Functiegebied NEN-ISO/IEC 27002:2007 A Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging A Disciplinaire maatregelen A.8.3 Beëindiging of wijziging van dienstverband A Beëindiging van verantwoordelijkheden A A Retournering van bedrijfsmiddelen Blokkering van toegangsrechten. Doelstelling Implementatierichtlijn Verantwoordelijk Niveau (/B/I/V) Alle werknemers van de Er is een programma waarin CIB organisatie en, voorzover van informatiebeveiliging, met name toepassing, ingehuurd personeel gericht op bewustzijn, jaarlijks en externe gebruikers, moeten bij alle medewerkers (ook geschikte training en regelmatige tijdelijk) onder de aandacht bijscholing krijgen met betrekking wordt gebracht. tot beleid en procedures van de organisatie, voorzover relevant voor hun functie. Er moet een formeel disciplinair Zie CAO, hoofdstuk Directie proces zijn vastgesteld voor werknemers die inbreuk op de beveiliging hebben gepleegd. Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers ordelijk de organisatie verlaten of hun dienstverband wijzigen. De verantwoordelijkheden voor beëindiging of wijziging van het dienstverband moeten duidelijk zijn vastgesteld en toegewezen. Alle werknemers, ingehuurd personeel en externe gebruikers moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben retourneren bij beëindiging van hun dienstverband, contract of overeenkomst. De toegangsrechten van alle werknemers, ingehuurd personeel en externe gebruikers tot informatie en IT-voorzieningen moeten worden geblokkeerd bij beëindiging van het dienstverband, het contract of de overeenkomst, of moet na wijziging worden aangepast. Zie code PO Zie code PO Zie code PO 30

31 B.5 Fysieke beveiliging en beveiliging van de omgeving Functiegebied NEN-ISO/IEC 27002:2007 Doelstelling Implementatierichtlijn Verantwoordelijk A.9 Fysieke beveiliging en beveiliging van de omgeving A.9.1 Beveiligde ruimten Niveau (/B/I/V) Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie. Deze maatregelen zijn ook van toepassing voor apparatuur die extern is geplaatst (uitwijk, extern hosten etc.) A A A Fysieke beveiliging van de omgeving Fysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Er moeten toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een bemande receptie) worden aangebracht om ruimten te beschermen waar zich informatie en IT-voorzieningen bevinden. Beveiligde zones moeten worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten. Er moet fysieke beveiliging van kantoren, ruimten en faciliteiten worden ontworpen en toegepast. Zie code FO Zie code FO Zie code FO A A A Bescherming tegen bedreigingen van buitenaf Werken in beveiligde ruimten Openbare toegang en gebieden voor laden en lossen A.9.2 Beveiliging van apparatuur A Plaatsing en bescherming van apparatuur Er moet fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten worden ontworpen en toegepast. Zie code FO Er moeten fysieke bescherming en Zie code FO richtlijnen voor werken in beveiligde ruimten worden ontworpen en toegepast. Toegangspunten zoals gebieden Zie code FO voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, moeten worden beheerst en indien mogelijk worden afgeschermd van IT-voorzieningen, om onbevoegde toegang te voorkomen. Het voorkomen van verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten. Apparatuur moet zo worden geplaatst en beschermd dat risico s van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang wordt verminderd. A Nutsvoorzieningen Apparatuur moet worden beschermd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen. A Beveiliging van kabels Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, moeten tegen interceptie of beschadiging worden beschermd. A Onderhoud van apparatuur Apparatuur moet op correcte wijze worden onderhouden, zodat deze voortdurend beschikbaar is en in goede staat verkeert. Zie code FO Zie code FO B=Laag Zie code FO Zie code FO 31

32 Functiegebied NEN-ISO/IEC 27002:2007 A Beveiliging van apparatuur buiten het terrein A A Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendommen Doelstelling Implementatierichtlijn Verantwoordelijk Niveau (/B/I/V) Apparatuur buiten de locaties Informatie bepaalt mate van FO moet worden beveiligd waarbij beveiliging, ongeacht drager. rekening wordt gehouden met de Informatiedrager is generiek diverse risico s van werken buiten beveiligd tbv. vertrouwelijkheid. het terrein van de organisatie. Alle apparatuur die opslagmedia Zie code FO bevat, moet worden gecontroleerd om te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur zijn verwijderd of veilig zijn overschreven voordat de apparatuur wordt verwijderd. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. aat specifiek over fysieke omgeving/materialen. FO B.6 Beheer van communicatie- en bedieningsprocessen Functiegebied NEN-ISO/IEC 27002:2007 A.10 Beheer van communicatie- en bedieningsprocessen A.10.1 Bedieningsprocedures en verantwoordelijkheden A edocumenteerde bedieningsprocedures Doelstelling Implementatierichtlijn Verantwoordelijk Bewerkstelligen van een correcte en veilige bediening van IT-voorzieningen. Bedieningsprocedures moeten worden gedocumenteerd, worden bijgehouden en beschikbaar worden gesteld aan alle gebruikers die deze nodig hebben. A Wijzigingsbeheer Wijzigingen in IT-voorzieningen en informatiesystemen moeten worden beheerst. A Functiescheiding Taken en verantwoordelijkheidsgebieden moeten worden gescheiden om gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. A Scheiding van faciliteiten voor ontwikkeling, testen en productie Faciliteiten voor ontwikkeling, testen en productie moeten zijn gescheiden om het risico van onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen. B:Laag, Zie bij Code: a,b B:Midden, Zie bij Code: d,e,g,h B:Hoog, Zie bij Code: c,f I:Laag, Zie bij Code: a,b I:Midden, Zie bij Code: d,e,g,h I:Hoog, Zie bij Code: c,f B:Laag, Zie bij Code: a,b,c,e B:Midden, Zie bij Code: f I:Laag, Zie bij Code: a,b,c,d,e B:Midden, Zie bij Code: alles I:Midden, Zie bij Code: alles V:Midden, Zie bij Code: alles B:Laag, Zie bij Code: a,b B:Midden, Zie bij Code: d,e I:Laag, Zie bij Code: a,b I:Midden, Zie bij Code: d,e I:Hoog, Zie bij Code: c, Direct Leidinggevende Niveau (/B/I/V) B, I B, I A.10.2 Beheer van dienstverlening door een derde partij A Dienstverlening Er moet worden bewerkstelligd dat de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd, uitgevoerd en bijgehouden door die derde partij. V:Midden, Zie bij Code: e,f V:Hoog, Zie bij Code: c eschikt niveau van informatiebeveiliging en dienstverlening implementeren en bijhouden in overeenstemming met de overeenkomsten voor dienstverlening door een derde partij. 32

33 Functiegebied NEN-ISO/IEC 27002:2007 A Controle en beoordeling van dienstverlening door een derde partij A Beheer van wijzigingen in dienstverlening door een derde partij A.10.3 Systeemplanning en acceptatie A capaciteitsbeheer Het gebruik van middelen moet worden gecontroleerd en afgestemd en er moeten verwachtingen worden opgesteld voor toekomstige capaciteitseisen, om de vereiste systeemprestaties te bewerkstelligen. A systeemacceptatie Er moeten aanvaardingscriteria worden vastgesteld voor nieuwe informatiesystemen, upgrades en nieuwe versies en er moet een geschikte test van het systeem of de systemen worden uitgevoerd tijdens ontwikkeling en voorafgaand aan de acceptatie. A.10.4 Bescherming tegen virussen en mobile code A Maatregelen tegen virussen A Maatregelen tegen mobile code A.10.5 Back-up A Reserve kopieën maken (back-ups) Doelstelling Implementatierichtlijn Verantwoordelijk De diensten, rapporten en B:Midden, Zie bij Code: a,b,c,d,e registraties die door de derde partij worden geleverd, moeten I:Midden, Zie bij Code: a,b,c,d,e regelmatig worden gecontroleerd en beoordeeld en er moeten V:Midden, Zie bij Code: a,b,c,d,e regelmatig audits worden uitgevoerd. Wijzigingen in de dienstverlening B:Laag, Zie bij Code: a,b door derden, waaronder het bijhouden en verbeteren van I:Laag, Zie bij Code: a,b bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, moeten worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en -processen en met heroverweging van risico's. Het risico van systeemstoringen tot een minimum beperken. Niveau (/B/I/V) B:Midden, Zie bij Code: alles B B:Laag, Zie bij Code: d,g,h B:Midden, Zie bij Code: a,b,c,e, f,i,j I:Laag, Zie bij Code: g,h I:Midden, Zie bij Code: b,c,d,e, i,j V:Laag, Zie bij Code: g,h V:Midden, Zie bij Code: d Beschermen van de integriteit van programmatuur en informatie. Er moeten maatregelen worden getroffen voor detectie, preventie en herstellen om te beschermen tegen virussen en er moeten geschikte procedures worden ingevoerd om het bewustzijn van de gebruikers te vergroten. Als gebruik van mobile code is toegelaten, moet de configuratie bewerkstelligen dat de geautoriseerde mobile code functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, en moet worden voorkomen dat onbevoegde mobile code wordt uitgevoerd. B:Laag, Zie bij Code: a,b,d,e,g,h B:Midden, Zie bij Code: c,f I:Laag, Zie bij Code: a,b,d,e,g,h I:Midden, Zie bij Code: c,f B:Laag, Zie bij Code: d,e I:Laag, Zie bij Code: d,e V:Laag, Zie bij Code: d, Proceseigenaar Handhaven van de integriteit en beschikbaarheid van informatie en IT-voorzieningen. Er moeten back-upkopieën van informatie en programmatuur worden gemaakt en regelmatig worden getest overeenkomstig het vastgestelde back-upbeleid. B:Laag, Zie bij Code: a,b,c,d,e, f,g I:Laag, Zie bij Code: a,b,c,d,e f,g V:Hoog, Zie bij Code: h B, I B, I 33

34 Functiegebied NEN-ISO/IEC 27002:2007 A.10.6 Beheer van netwerkbeveiliging A Maatregelen voor netwerken A Beveiliging van netwerkdiensten A.10.7 Behandeling van media A Beheer van verwijderbare media Doelstelling Implementatierichtlijn Verantwoordelijk Bewerkstelligen van de bescherming van informatie in netwerken en bescherming van de ondersteunende infrastructuur. Netwerken moeten adequaat worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd. Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten moeten worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten. B:Laag, Zie bij Code: b,c,e B:Hoog, Zie bij Code: d I:Laag, Zie bij Code: b,c,e I:Midden, Zie bij Code: a I:Hoog, Zie bij Code: d V:Laag, Zie bij Code: e V:Hoog, Zie bij Code: d B:Laag, Zie bij Code: a,b,c I:Laag, Zie bij Code: a,b,c V:Laag, Zie bij Code: a,b,c Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten. Er moeten procedures zijn vastgesteld voor het beheer van verwijderbare media. B:Laag, Zie bij Code: d B:Hoog, Zie bij Code: f I:Laag, Zie bij Code: c,d I:Hoog, Zie bij Code: h Niveau (/B/I/V) A Verwijdering van media Media moeten op een veilige en beveiligde manier worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures. A A Procedures voor de behandeling van informatie Beveiliging van systeemdocumentatie Er moeten procedures worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik. Systeemdocumentatie moet worden beschermd tegen onbevoegde toegang. V:Laag, Zie bij Code: a V:Hoog, Zie bij Code: b,h V:Laag, Zie bij Code: a,b,c,d V:Hoog, Zie bij Code: e I:Laag, Zie bij Code: i I:Midden, Zie bij Code: d V:Laag, Zie bij Code: b,f V:Hoog, Zie bij Code: a,c,e,g,h B:Laag, Zie bij Code: a I:Laag, Zie bij Code: a,c V I, V A A A.10.8 Uitwisseling van informatie A Beleid en procedures voor informatieuitwisseling Uitwisselingsovereenkomsten Fysieke media die worden getransporteerd. V:Laag, Zie bij Code: c V:Hoog, Zie bij Code: b Handhaven van beveiliging van informatie en programmatuur die wordt uitgewisseld binnen een organisatie en met enige externe entiteit. Er moeten formeel beleid, formele procedures en formele beheersmaatregelen zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen. Er moeten overeenkomsten worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen. Media die informatie bevatten moeten worden beschermd tegen onbevoegde toegang, misbruik of corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie. B:Laag, Zie bij Code: b,d,e,f,h I:Laag, Zie bij Code: b,d,e,f I:Midden, Zie bij Code: g,j I:Hoog, Zie bij Code: a V:Laag, Zie bij Code: b,d,e,f,h,n V:Midden, Zie bij Code: g,i,j V:Hoog, Zie bij Code: a,c,k,l,h,o V:Laag, Zie bij Code: a,j V:Hoog, Zie bij Code: b,c,d,e, f,g,h,i,k B:Laag, Zie bij Code: e I:Laag, Zie bij Code: d,e V:Laag, Zie bij Code: a,d V:Hoog, Zie bij Code: b,c,e PO, PO, O, PO, V 34

35 Functiegebied NEN-ISO/IEC 27002:2007 A Elektronische berichtenuitwisseling Doelstelling Implementatierichtlijn Verantwoordelijk Informatie die een rol speelt bij B:Midden, Zie bij Code: c,e O, PO, elektronische berichtuitwisseling moet op geschikte wijze worden I:Laag, Zie bij Code: f beschermd. I:Midden, Zie bij Code: a,b I:Hoog, Zie bij Code: d Niveau (/B/I/V) A Systemen voor bedrijfsinformatie Beleid en procedures moeten worden ontwikkeld en geïmplementeerd om informatie te beschermen die een rol speelt bij de onderlinge koppeling van systemen voor bedrijfsinformatie. V:Laag, Zie bij Code: f V:Midden, Zie bij Code: a,b,e B:Laag, Zie bij Code: f,g,i B:Midden, Zie bij Code: j I:Laag, Zie bij Code: a,b,c,d,i I:Midden, Zie bij Code: j V:Laag, Zie bij Code: a,b,c,d, f,g,i V:Hoog, Zie bij Code: e A.10.9 Diensten voor e- Bewerkstelligen van de beveiliging van diensten voor e-commerce, en veilig gebruik ervan. commerce A e-commerce Informatie die een rol speelt bij e- I:Laag, Zie bij Code: O, I, V commerce en die via openbare netwerken wordt uitgewisseld, moet worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en modificatie. d,e,g,h,i,j,k,l,m V:Laag, Zie bij Code: c,d,f,g, h,i,j,k,l V:Midden, Zie bij Code: a V:Hoog, Zie bij Code: b A onlinetransacties Informatie die een rol speelt bij onlinetransacties moet worden beschermd om onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen. B:Laag, Zie bij Code: a,d,e,f I:Laag, Zie bij Code: a,b,c,d,e,f V:Laag, Zie bij Code: a,b,c,d,e,f O, A Openbaar beschikbare informatie A Controle A Aanmaken van auditlogbestanden A A Controle van systeemgebruik Bescherming van informatie in logbestanden De betrouwbaarheid van de informatie die beschikbaar wordt gesteld op een openbaar toegankelijk systeem moet worden beschermd om onbevoegde modificatie te voorkomen. B:Laag, Zie bij Code: b I:Laag, Zie bij Code: a,b,c,d V:Laag, Zie bij Code: a,b,c,d Ontdekken van onbevoegde informatieverwerkingsactiviteiten. Activiteiten van gebruikers, uitzonderingen en Informatiebeveiligingsgebeurtenissen moeten worden vastgelegd in audit-logbestanden. Deze logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Er moeten procedures worden vastgesteld om het gebruik van ITvoorzieningen te controleren. Het resultaat van de controleactiviteiten moet regelmatig worden beoordeeld Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen inbreuk en onbevoegde toegang. B:Laag, Zie bij Code: l B:Midden, Zie bij Code: a,b,c,d,e B:Hoog, Zie bij Code: f,g,h,i,j I:Laag, Zie bij Code: l I:Midden, Zie bij Code: a,b,c,d,e I:Hoog, Zie bij Code: f,g,h,i,j,k V:Laag, Zie bij Code: l V:Midden, Zie bij Code: a,b,c,d,e V:Hoog, Zie bij Code: f,g,h,i,j,k B:Laag, Zie bij Code: e B:Midden, Zie bij Code: a,b,c,d I:Laag, Zie bij Code: e I:Midden, Zie bij Code: a,b,c,d V:Laag, Zie bij Code: e V:Midden, Zie bij Code: a,b,c,d B:Laag, Zie bij Code: a,b,c I:Laag, Zie bij Code: a,b,c V:Laag, Zie bij Code: a,b,c O, PO, O, 35

36 Functiegebied NEN-ISO/IEC 27002:2007 A Logbestanden van administrators en operators A A Registratie van storingen Synchronisatie van systeemklokken Doelstelling Implementatierichtlijn Verantwoordelijk Activiteiten van B:Laag, Zie bij Code: a,b,c,d systeemadministrators en systeemoperators moeten in I:Laag, Zie bij Code: a,b,c,d logbestanden worden vastgelegd. V:Laag, Zie bij Code: a,b,c,d Storingen moeten in logbestanden B:Laag, Zie bij Code: a,b worden vastgelegd en worden geanalyseerd en er moeten I:Laag, Zie bij Code: a,b geschikte maatregelen worden genomen. V:Laag, Zie bij Code: a,b De klokken van alle relevante informatiesystemen binnen een organisatie of beveiligingsdomein moeten worden gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron. Niveau (/B/I/V) B.7 Toegangsbeveiliging Functiegebied NEN-ISO/IEC 27002:2007 A.11 Toegangsbeveiliging A.11.1 Bedrijfseisen ten aanzien van toegangsbeheersing Doelstelling Implementatierichtlijn Verantwoordelijk Beheersen van de toegang tot informatie. A toegangsbeleid Er moet toegangsbeleid worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. A.11.2 Beheer van toegangsrechten van gebruikers A A Registratie van gebruikers Beheer van speciale bevoegdheden PO, Niveau (/B/I/V) Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot informatiesystemen voorkomen. Er moeten formele procedures voor het registreren en afmelden van gebruikers worden vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle informatiesystemen en - diensten. De toewijzing en het gebruik van speciale bevoegdheden moeten worden beperkt en beheerst. I:Midden, Zie bij Code: a t/m j behalve d I:Hoog, Zie bij Code: d V:Midden, Zie bij Code: a t/m j behalve d V:Hoog, Zie bij Code: d B:Laag, Zie bij Code: a,b,c,d,e B:Hoog, Zie bij Code: f I:Laag, Zie bij Code: a,b,c,d,e I:Hoog, Zie bij Code: f O, PO, I, V A A Beheer van gebruikerswachtwoord en Beoordeling van toegangsrechten van gebruikers A.11.3 Verantwoordelijkheden van gebruikers A ebruik van wachtwoorden De toewijzing van wachtwoorden moet met een formeel beheerproces worden beheerst. De directie moet de toegangsrechten van gebruikers regelmatig beoordelen in een formeel proces. V:Laag, Zie bij Code: a,b,c,d,e V:Hoog, Zie bij Code: f I:Midden, Zie bij Code: a,b,c,d,e,f,g,h V:Midden, Zie bij Code: a,b,c,d,e,f,g,h B:Midden, Zie bij Code: c,d,e I:Midden, Zie bij Code: a,b,c,d,e O, PO, O, PO I, V V:Midden, Zie bij Code: a,b,c,d,e Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot informatiesystemen voorkomen. ebruikers moeten goede beveiligingsgewoontes in acht nemen bij het kiezen en gebruiken van wachtwoorden. O, PO, 36

37 Functiegebied NEN-ISO/IEC 27002:2007 A Onbeheerde gebruikersapparatuur A Clear desk en clear screen beleid A.11.4 Toegangsbeheersing voor netwerken A Beleid ten aanzien van het gebruik van netwerkdiensten A A A A A A Authenticatie van gebruikers bij externe verbindingen Identificatie van netwerkapparatuur Bescherming op afstand van poorten voor diagnose en configuratie Scheiding van netwerken Beheersmaatregelen voor netwerkverbindingen Beheersmaatregelen voor netwerkroutering Doelstelling Implementatierichtlijn Verantwoordelijk ebruikers moeten I:Midden, Zie bij Code: alles O, PO, bewerkstelligen dat onbeheerde apparatuur afdoende is V:Midden, Zie bij Code: alles beschermd. Er moet een clear desk -beleid I:Midden, Zie bij Code: alles O, PO, voor papier en verwijderbare opslagmedia en een clear screen - V:Midden, Zie bij Code: alles beleid voor IT-voorzieningen worden ingesteld. Het voorkomen van onbevoegde toegang tot netwerkdiensten. ebruikers moet alleen toegang worden verleend tot diensten waarvoor ze specifiek bevoegd zijn. Er moeten geschikte authenticatiemethoden worden gebruikt om toegang van gebruikers op afstand te beheersen. Automatische identificatie van apparatuur moet worden overwogen als methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren. De fysieke en logische toegang tot poorten voor diagnose en configuratie moet worden beheerst. roepen informatiediensten, gebruikers en informatiesystemen moeten op netwerken worden gescheiden. Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de organisatie overschrijden, moeten de toegangsmogelijkheden voor gebruikers worden beperkt, overeenkomstig het toegangsbeleid en de eisen van bedrijfstoepassingen. Netwerken moeten zijn voorzien van beheersmaatregelen voor netwerkroutering, om te bewerkstelligen dat computerverbindingen en informatiestromen niet in strijd zijn met het toegangsbeleid voor de desbetreffende bedrijfstoepassingen. I:Laag, Zie bij Code: alles V:Laag, Zie bij Code: alles I:Midden, Zie bij Code: alles V:Midden, Zie bij Code: alles I:Midden, Zie bij Code: alles V:Midden, Zie bij Code: alles B:Midden, Zie bij Code: alles I:Midden, Zie bij Code: alles V:Midden, Zie bij Code: alles PO, PO, PO, Niveau (/B/I/V) I, V I, V I, V I, V I, V 37

38 Functiegebied NEN-ISO/IEC 27002:2007 A.11.5 Toegangsbeveiliging voor besturingssystemen Extra toelichting: Doelstelling Implementatierichtlijn Verantwoordelijk Voorkomen van onbevoegde toegang tot besturingssystemen. Niveau (/B/I/V) Er behoren beveiligingsvoorzieningen te worden gebruikt om de toegang tot besturingssystemen te beperken tot bevoegde gebruikers. De voorzieningen behoren in staat te zijn tot: a. het authentiseren van bevoegde gebruikers in overeenstemming met een gedefinieerd toegangsbeleid; b. het registreren van geslaagde en mislukte pogingen tot systeemauthenticatie; c. het registreren van het gebruik van speciale systeembevoegdheden; d. het genereren van een alarm wanneer inbreuk wordt gemaakt op het beleid voor toegangsbeveiliging; e. het bieden van een passende middelen voor authenticatie; f. het indien nodig beperken van de verbindingstijd van gebruikers. Ten aanzien van e: Het NORA Best Practice Informatiebeveiliging (NORA BP Normen v _02_2010.pdf) geeft in paragraaf 8.2, Authenticatie een 6-tal implementatierichtlijnen aan. Deze zijn: 1. Bij het intern gebruik van -voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden (Code a). 2. Bij toepassing van Single Sign On (SSO) wordt toegang verleend op basis van kennis en bezit. 3. Bij extern gebruik van -voorzieningen vindt extra authenticatie van gebruikers plaats op basis van een One Time Password token met een pincode indien: a. vanuit een vanuit een onvertrouwde omgeving wordt gewerkt (Code f, ); b. kritieke beveiligingsvoorzieningen worden beheerd (denk bijvoorbeeld aan Hardware Security Modules, firewalls, Intruder detection systems en routers). 4. Bij het niet-dagelijks beheer van kritieke beveiligingsvoorzieningen vanuit een vertrouwde omgeving is het vier ogen principe een alternatief voor 3.b (dat wil zeggen dat er altijd twee functionarissen nodig zijn om een handeling uit te voeren). 5. Een mobiel apparaat (zoals een handheld computer, smartphone, PDA) biedt de mogelijkheid om een pincode of wachtwoord te vragen bij het inschakelen van het apparaat. 6. Bij telewerken, beheer op afstand en mobiel werken (een mobiel apparaat dat draadloos verbonden is met -voorzieningen van de organisatie) wordt vastgesteld dat vanaf een voor dit doeleinde beschikbaar gestelde werkplek wordt gewerkt (Code , ) Vanaf niveau Vertrouwelijkheid=Midden, indien toegang buiten locatie, dan t/m punt 3 implementeren. Bij intern gebruik alleen punt 1 implementeren. Alle andere punten alleen ter overweging voor specifieke gevallen. A A A A Beveiligde inlogprocedures ebruikersidentificatie- en authenticatie Systemen voor wachtwoordbeheer ebruik van systeemhulpmiddelen Toegang tot besturingssystemen moet worden beheerst met een beveiligde inlogprocedure. Elke gebruiker moet over een unieke identificatiecode beschikken (gebruikers-id) voor persoonlijk gebruik, en er moet een geschikte authenticatietechniek worden gekozen om de geclaimde identiteit van de gebruiker te verifiëren. Systemen voor wachtwoordbeheer moeten interactief zijn en moeten bewerkstelligen dat wachtwoorden van geschikte kwaliteit worden gekozen. Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd moet worden beperkt en moet strikt worden beheerst. A Time out van sessies Inactieve sessies moeten na een vastgestelde periode van inactiviteit worden uitgeschakeld. I:Midden, Zie bij Code: a t/m f, h,i V:Midden, Zie bij Code: a t/m f, h,i I:Midden, Zie bij Code: alles V:Midden, Zie bij Code: alles I:Midden, Zie bij Code: a t/m i V:Midden, Zie bij Code: a t/m i I:Midden, Zie bij Code: a t/m i V:Midden, Zie bij Code: a t/m i I:Midden, Zie bij Code: alles V:Midden, Zie bij Code: alles PO, PO, PO, I, V I, V I, V I, V I, V 38

39 Functiegebied NEN-ISO/IEC 27002:2007 A Beperking van de verbindingstijd A.11.6 Toegangsbeheersing voor toepassingen en informatie A Beperken van toegang tot informatie Extra toelichting: Doelstelling Implementatierichtlijn Verantwoordelijk De verbindingstijd moet worden laten vervallen, alleen in beperkt als aanvullende uitzonderingsgevallen overwegen beveiliging voor toepassingen met een verhoogd risico. Voorkomen van onbevoegde toegang tot informatie in toepassingssystemen. Niveau (/B/I/V) Toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel moet worden beperkt overeenkomstig het vastgestelde toegangsbeleid. B:Midden, Zie bij Code: alles I:Midden, Zie bij Code: alles V:Midden, Zie bij Code: alles O, PO, Het NORA Best Practice Informatiebeveiliging (NORA BP Normen v _02_2010.pdf) geeft in de paragrafen : 8.4, Instellingen aanmelden op een systeem ; 8.5, Niets mag tenzij toegestaan ; 8.6, Tegengaan onbedoeld gebruik autorisaties ; 8.7, Minimaliseren rechten, en 8.8, Beheersbaarheid autorisaties technische implementatierichtlijnen voor het beperken van toegang tot informatie die goed toepasbaar en voldoende aanvullend zijn voor de Provinciale situatie. A Isoleren van gevoelige systemen evoelige systemen vereisen een eigen, vast toegewezen (geïsoleerde) computeromgeving. B:Laag, Zie bij Code: a B:Hoog, Zie bij Code: b, -a,-b I:Laag, Zie bij Code: a I:Hoog, Zie bij Code: b, -a,-b O, A.11.7 Draagbare computers en telewerken Extra toelichting: V:Laag, Zie bij Code: a V:Hoog, Zie bij Code: b, -a,-b Waarborgen van informatiebeveiliging bij het gebruik van draagbare computers en faciliteiten voor telewerken. ebruikers aan wie een laptop ter beschikking wordt gesteld nemen de volgende regels in acht: 1. De laptop dient alleen gebruikt te worden voor doeleinden waarvoor de gebruiker hem heeft gekregen; 2. De gebruiker dient de laptop zorgvuldig te behandelen, zoals een goed ambtenaar betaamt; 3. Onbevoegden dienen geen inzage in de gegevens op de laptop te krijgen; 4. ebruikers houden hun wachtwoord voor zichzelf; 5. Sluit de laptop minimaal eens per kwartaal aan op het netwerk van de Provincie t.b.v. synchronisatie-, back-up- en software-upgrade doeleinden; 6. Maak van belangrijke bestanden een tussentijdse kopie. 7. De security manager van de provincie dient te worden gewaarschuwd bij beveiligingsproblemen; 8. Het is gebruikers niet toegestaan de inrichting en configuratie van de laptop te wijzigen; 9. In het geval van een verstoring dient contact te worden opgenomen met de IT-afdeling. Telewerken is alleen toegestaan indien: ebruik gemaakt wordt van 2 factor authenticatie; ebruik gemaakt wordt van een beveiligde verbinding; Er geen directe netwerk connectiviteit naar backend systemen zijn; ebruik gemaakt wordt van een Firewall; Er gewerkt wordt met Stateless verbindingen. A Draagbare computers en communicatievoorzieningen Er moet formeel beleid zijn vastgesteld en er moeten geschikte beveiligingsmaatregelen zijn getroffen ter bescherming tegen risico's van het gebruik van draagbare computers en communicatiefaciliteiten. A Telewerken Er moeten beleid, operationele plannen en procedures voor telewerken worden ontwikkeld en geïmplementeerd. B:Midden, Zie bij Code: alles I:Midden, Zie bij Code: alles V:Midden, Zie bij Code: alles B:Midden, Zie bij Code: alles I:Midden, Zie bij Code: alles V:Midden, Zie bij Code: alles O, PO, O, PO, 39

40 B.8 Verwerving, ontwikkeling en onderhoud van informatiesystemen Functiegebied NEN-ISO/IEC 27002:2007 Doelstelling Implementatierichtlijn Verantwoordelijk A.12 Verwerving, ontwikkeling en onderhoud van informatiesystemen A.12.1 Beveiligingseisen Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen. voor informatiesystemen A Analyse en specificatie van beveiligingseisen A.12.2 Correcte verwerking in toepassingen A Validatie van invoergegevens A A A Beheersing van interne gegevensverwerking Integriteit van berichten Validatie van uitvoergegevens A.12.3 Cryptografische beheersmaatregelen A Beleid voor het gebruik van cryptografische beheersmaatregelen In bedrijfseisen voor nieuwe PO, informatiesystemen of uitbreidingen van bestaande informatiesystemen moeten ook eisen voor beveiligingsmaatregelen worden opgenomen. Voorkomen van fouten, verlies, onbevoegde modificatie of misbruik van informatie in toepassingen. egevens die worden ingevoerd in toepassingen moeten worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn. Er moeten validatiecontroles worden opgenomen in toepassingen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken. Er moeten eisen worden vastgesteld, en geschikte beheersmaatregelen worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen. egevensuitvoer uit een toepassing moet worden gevalideerd, om te bewerkstelligen dat de verwerking van opgeslagen gegevens op de juiste manier plaatsvindt en geschikt is gezien de omstandigheden. I:Midden, Zie bij Code: a,c,d,f,g I:Hoog, Zie bij Code: b, e I:Midden, Zie bij Code: a,b,c,d, -f,-g,-h I:Hoog, Zie bij Code: -a,-b,-c, -d,-e O, Niveau (/B/I/V) I:Midden, Zie bij Code: alles I I:Midden, Zie bij Code: a,b,d,e,f I:Hoog, Zie bij Code: c O, Beschermen van de vertrouwelijkheid, authenticiteit of integriteit van informatie met behulp van cryptografische middelen. Er moet beleid worden ontwikkeld en geïmplementeerd voor het gebruik van cryptografische beheersmaatregelen voor de bescherming van informatie A sleutelbeheer Er moet sleutelbeheer zijn vastgesteld ter ondersteuning van het gebruik van cryptografische technieken binnen de organisatie. A.12.4 Beveiliging van systeembestanden A Beheersing van operationele programmatuur Beveiliging van systeembestanden bewerkstelligen. Er moeten procedures zijn vastgesteld om de installatie van programmatuur op productiesystemen te beheersen. I:Midden, Zie bij Code: a,b,c,d, e,f,g V:Midden, Zie bij Code: a,b,c,d, e,f,g I:Midden, Zie bij Code: alles V:Midden, Zie bij Code: alles B:Laag, Zie bij Code: a,b,c,d,f B:Midden, Zie bij Code: e B:Hoog, Zie bij Code: g,h I:Laag, Zie bij Code: a,b,c,d,f I:Midden, Zie bij Code: e I:Hoog, Zie bij Code: g,h PO, PO, I I I I, V I, V A Bescherming van testdata Testgegevens moeten zorgvuldig worden gekozen, beschermd en beheerst. V:Laag, Zie bij Code: a,b,c,d,f V:Midden, Zie bij Code: e V:Hoog, Zie bij Code: g,h V:Midden, Zie bij Code: a,b,c,d V 40

41 Functiegebied NEN-ISO/IEC 27002:2007 A Toegangsbeheersing voor broncode van programmatuur A.12.5 Beveiliging bij ontwikkelings- en ondersteuningsprocessen A Procedures voor wijzigingsbeheer A A A A Technische beoordeling na wijzigingen in het besturingssysteem Restricties op wijzigingen in programmatuurpakkett en Uitlekken van informatie Uitbestede ontwikkeling van programmatuur A.12.6 Beheer van technische kwetsbaarheden A Beheersing van technische kwetsbaarheden Doelstelling Implementatierichtlijn Verantwoordelijk De toegang tot broncode van I:Laag, Zie bij Code: alles programmatuur moet worden beperkt. V:Laag, Zie bij Code: alles Beveiliging van toepassingsprogrammatuur en -informatie handhaven. De implementatie van wijzigingen moet worden beheerst door middel van formele procedures voor wijzigingsbeheer. Bij wijzigingen in besturingssystemen moeten bedrijfskritische toepassingen worden beoordeeld en getest om te bewerkstelligen dat er geen nadelige gevolgen zijn voor de activiteiten of beveiliging van de organisatie. Wijzigingen in programmatuurpakketten moeten worden ontmoedigd, worden beperkt tot de noodzakelijke wijzigingen, en alle wijzigingen moeten strikt worden beheerst. Er moet worden voorkomen dat zich gelegenheden voordoen om informatie te laten uitlekken. Uitbestede ontwikkeling van programmatuur moet onder supervisie staan van en worden gecontroleerd door de organisatie. I:Hoog, Zie bij Code: d,e V:Hoog, Zie bij Code: d,e I:Laag, Zie bij Code: a,b,c,f I:Midden, Zie bij Code: d,e O, O, PO, V:Laag, Zie bij Code: a,b,c,f V:Midden, Zie bij Code: d,e Risico's verminderen als gevolg van benutting van gepubliceerde technische kwetsbaarheden. Er moet tijdig informatie worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden moet worden geëvalueerd en er moeten geschikte maatregelen worden genomen voor behandeling van daarmee samenhangende risico's. O, Niveau (/B/I/V) I, V I, V 41

42 B.9 Beheer van informatiebeveiligingsincidenten Functiegebied NEN-ISO/IEC 27002:2007 A.13 Beheer van informatiebeveiligingsincidenten A.13.1 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken A A Rapportage van informatiebeveiligingsg ebeurtenissen Rapportage van zwakke plekken in de beveiliging A.13.2 Beheer van informatiebeveiligingsincidenten en verbeteringen A Verantwoordelijkheden en procedures A A Leren van informatiebeveiligingsincidenten Verzamelen van bewijsmateriaal Doelstelling Implementatierichtlijn Verantwoordelijk Niveau (/B/I/V) Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden die verband houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen. Informatiebeveiligingsgebeurteniss en moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd. Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en - diensten moet worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of diensten registreren en rapporteren. Melden van: Niet correct werken van beveiligingsmaatregel (niet beschikbaar zijn), of incidenten die leiden tot integriteits en/of vertrouwelijkheids risico`s. En beschikbaarheidsverlies met grote impact. Niet eisen, dit gaat over bewustzijn / awareness. Dit moet in voldoende mate gefaciliteerd worden. CIB Direct Leidinggevende Bewerkstelligen dat een consistente en doeltreffende benadering wordt toegepast voor het beheer van informatiebeveiligingsincidenten. Er moeten leidinggevende verantwoordelijkheden en procedures worden vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten te bewerkstelligen. Er moeten mechanismen zijn ingesteld waarmee de aard, omvang en kosten van informatiebeveiligingsincidenten kunnen worden gekwantificeerd en gecontroleerd. Waar een vervolgprocedure tegen een persoon of organisatie na een informatiebeveiligingsincident juridische maatregelen omvat (civiel of strafrechtelijk), moet bewijsmateriaal worden verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd. Zie code CIB Zie code CIB Zie code Relatie met juridische zaken en/of personeelszaken CIB 42

43 B.10 Bedrijfscontinuïteitsbeheer Functiegebied NEN-ISO/IEC 27002:2007 A.14 Bedrijfscontinuïteitsbeheer A.14.1 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer A Informatiebeveiliging opnemen in het proces van bedrijfscontinuiteitsbeheer Doelstelling Implementatierichtlijn Verantwoordelijk Niveau (/B/I/V) Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen Er moet een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie worden ontwikkeld en bijgehouden, voor de naleving van eisen voor informatiebeveiliging die nodig zijn voor de continuïteit van de bedrijfsvoering. Kritische processen moeten zijn geïdentificeerd. Taken, verantwoordelijkheden en bevoegdheden mbt. de zorg voor de bedrijfscontinuïteit in de gehele organisatie zijn schriftelijk vastgelegd. FO,, Proceseigenaar, CIB A A A A Bedrijfscontinuiteit en risicobeoordeling Continuïteitsplannen ontwikkelen en implementeren, waaronder informatiebeveiliging Kader voor bedrijfscontinuïteitsplanning Testen, onderhoud en herbeoordelen van continuïteitsplannen ebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, moeten worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor informatiebeveiliging. Er moeten plannen worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen. Er moet een enkelvoudig kader voor bedrijfscontinuïteitsplannen worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud. Bedrijfscontinuïteitsplannen moeten regelmatig worden getest en geüpdate, om te bewerkstelligen dat ze actueel en doeltreffend blijven. Per bedrijfsonderdeel of proces en per informatiesysteem wordt de noodzaak voor continuïteitsvoorziening vastgesteld dmv een Business Impact Analyse (BIA) Zie Zie Zie Zie FO,, Proceseigenaar, CIB FO,, Proceseigenaar, CIB FO,, Proceseigenaar, CIB FO,, Proceseigenaar, CIB 43

44 B.11 Naleving Functiegebied NEN-ISO/IEC 27002:2007 A.15 Naleving A.15.1 Naleving van wettelijke eisen Doelstelling Implementatierichtlijn Verantwoordelijk Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van enige beveiligingseisen. Niveau (/B/I/V) A A A A A Identificatie van toepasselijke wetgeving Intellectuele eigendomsrechten Bescherming van bedrijfsdocumenten Bescherming van gegevens en geheimhouding van persoonsgegevens Voorkomen van misbruik van ITvoorzieningen Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, moeten expliciet worden vastgesteld, gedocumenteerd en actueel worden gehouden voor elk informatiesysteem en voor de organisatie. Er moeten geschikte procedures worden geïmplementeerd om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten. Belangrijke registraties moeten worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. De bescherming van gegevens en privacy moet worden bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. ebruikers moeten ervan worden weerhouden IT-voorzieningen te gebruiken voor onbevoegde doeleinden. Toepassen op alle systemen bijvoorbeeld: DMS Financiële systemen CIB, JZ, DIV Zie code JZ Zie code (archiefwet) Realiseren van zaken als audittrails ed. Privacy functionaris. WBP, Wet basisregistraties Protocol opstellen dat zich richt op activiteiten die integriteit, beschikbaarheid en/of vertrouwelijkheid aantasten, activiteiten mbt misbruik ITvoorzieningen., Proceseigenaar, DIV PO,, Proceseigenaar, CIB, JZ PO, Inkoop, CIB, JZ generiek V= Midden Protocol als onderdeel van introductie nieuwe medewerkers. A Voorschriften voor het gebruik van cryptografische beheersmaatregelen Cryptografische beheersmaatregelen moeten overeenkomstig alle relevante overeenkomsten, wetten en voorschriften worden gebruikt. Protocol op intranet. Wet elektronisch bestuurlijk verkeer, wet elektronische handtekening, wet bescherming persoonsgegevens is van toepassing., CIB I=Hoog, V= Midden We maken gebruik van PKI certificaten voor de e-overheid. 44

45 Functiegebied NEN-ISO/IEC 27002:2007 A.15.2 Naleving van beveiligingsbeleid en - normen, en technische naleving A Naleving van beveiligingsbeleid en -normen A Controle op technische naleving A.15.3 Overwegingen bij audits van informatiesystemen A Beheersmaatregelen voor audits van informatiesystemen A Bescherming van hulpmiddelen voor audits van informatiesystemen Managers moeten bewerkstelligen dat alle beveiligingsprocedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van beveiligingsbeleid en -normen. Informatiesystemen moeten regelmatig worden gecontroleerd op naleving van implementatie van beveiligingsnormen. Awarenes: het implementeren en uitdragen van informatiebeveiliging op tactisch en operationeel niveau is de verantwoordelijkheid van het lijnmanagement. Het regelen van het toezicht en het initiëren van controles op de wijze waarop informatiebeveiliging is geïmplementeerd is de verantwoordelijkheid van de Coördinator InformatieBeveiliging Doelstelling Implementatierichtlijn Verantwoordelijk Niveau (/B/I/V) Bewerkstelligen dat systemen voldoen aan het beveiligingsbeleid en de beveiligingsnormen van de organisatie. Proceseigenaar Doeltreffendheid van audits van het informatiesysteem maximaliseren en verstoring als gevolg van systeemaudits minimaliseren. Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, moeten zorgvuldig worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken. Toegang tot hulpmiddelen voor audits van informatiesystemen moet worden beschermd om mogelijk misbuik of compromittering te voorkomen. Coördinator initieert, systeembeheerders voeren uit. Opvallende informatie maakt onderdeel uit van rapportage aan directie. CIB CIB Zie code Auditor 45

46 Bijlage C. RASCI De RASCI methode 3 is een methode waarbij op een eenvoudige en praktische wijze bedrijfsprocessen in kaart worden gebracht. Het doel van deze procesbeschrijving is de medewerkers en het management duidelijk te maken wat er van hen door de organisatie verlangd wordt. Bij de procesbeschrijving worden de bedrijfsprocessen in een stroomdiagram gevisualiseerd. Binnen dit diagram koppelt de RASCI-methode taken, verantwoordelijkheden en bevoegdheden van medewerkers aan de uit te voeren activiteiten. Op deze manier wordt ook de onderlinge relaties tussen medewerkers in relatie tot deze activiteiten zichtbaar. Het resultaat is een handzame en transparante procesbeschrijving. De RASCI-methode komt uit Amerika en is een afkorting voor de rollen die binnen een organisatie aanwezig zijn. De methode gaat uit van het principe dat er niet meer dan vijf soorten rollen bestaan richting een activiteit: R Responsible Wie is verantwoordelijk voor het uitvoeren van de activiteit? A Accountable Aan wie moet verantwoording afgelegd worden? S Supportive C Consulted Wie kan support geven? Wie moet geraadpleegd worden? I Informed Wie moet geïnformeerd worden? De werkzaamheden van medewerkers binnen een organisatie moeten van toegevoegde waarde zijn voor het product of de dienst. Deze toegevoegde waarde kan gevormd worden door de 5 genoemde rollen hierboven. De relatie tussen de verschillende medewerkers en de rol(len) die zij vervullen, wordt duidelijk gedefinieerd binnen de RASCI-methode. Op deze manier maakt de methode overlap in activiteiten, overbodige activiteiten, onduidelijkheid en nalatigheid zichtbaar en kan dit gecorrigeerd worden. Zodoende zal de effectiviteit van de organisatie verbeteren. Hieronder een voorbeeld van een RASCI stroomschema. Dit schema beschrijft het proces voor het maken van een afspraak voor een onderhoudsbeurt van de auto: 46