MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Transcriptie

1 MOBIELE GEGEVENSDRAGERS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

2 Colofon Naam document Mobiele gegevensdragers Versienummer 1.0 Versiedatum oktober 2013 Copyright 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2

3 Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van zo n project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is er één van. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG en PUN, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3

4 Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit product bevat aanwijzingen en beleid rondom het gebruik van mobiele gegevensdragers zoals USB sticks of back-up media. Doelgroep Dit document is van belang voor verantwoordelijke medewerkers binnen de gemeente voor mobiele gegevensdragers en eindgebruikers van mobiele gegevensdragers. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten o Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten Informatiebeveiligingsbeleid van de gemeente Dataclassificatie ICT-beheer Encryptie Antivirus Mobile Device Management Back-ups Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

5 Inhoud 1 Inleiding Het belang van juist omgaan met mobiele gegevensdragers Raakvlakken 6 2 Groepen gegevensdragers USB-sticks Geheugenkaarten Back-up media 8 Bijlage 1: Mobiele gegevensdragers beleid gemeente <naam gemeente> 9 5

6 1 Inleiding Dit document geeft een mogelijke invulling van uitgangspunten voor mobiele gegevensdragers. Mobiele gegevensdragers worden vrij veel gebruikt en bedreigingen en incidenten nemen toe. Denk bij mobiele gegevensdragers aan USB-Sticks, CD-Rom, flash kaartjes, maar ook mobiele telefoons en tablets zijn een mobiele gegevensdrager. Deze handleiding gaat niet over Mobile Device Management (software), dit is een andere aanwijzing binnen de operationele baseline. In de BIG worden in hoofdstuk onder andere controls benoemd met betrekking tot digitale media en daarnaast staat in het informatiebeveiligingsbeleid van de gemeente in hoofdstuk 6.9 en 6.10 beheersmaatregelen in relatie tot verwijderbare media. 1.1 Het belang van juist omgaan met mobiele gegevensdragers Mobiele gegevensdragers worden gebruikt voor de transport van informatie. Vroeger gebeurde dat voornamelijk met floppy disks, tegenwoordig gebeurt dat met geheugenkaartjes, USB sticks en bijvoorbeeld mobiele apparaten. De vormen van mobiele gegevensdragers nemen toe en daarmee ook de kans op verlies van gegevens. Daarnaast kunnen mobiele media ook een bron zijn van ongewenste software zoals virussen. 1.2 Raakvlakken Overige raakvlakken die mobiele gegevensdragers hebben met de BIG zijn: Informatiebeveiligingsbeleid van de gemeente Dataclassificatie ICT-beheer Encryptie Antivirus Mobile Device Management Back-ups Externe bronnen: - NCSC: - AIVD / NBV: - voorschrift informatiebeveiliging Rijksdienst bijzondere informatie

7 2 Groepen gegevensdragers 2.1 USB-sticks USB sticks worden veel gebruikt en daarmee nemen ook de risico s toe, zoals gegevens verlies en het introduceren van schadelijke software. Het gebruik van een USB stick kan op zich handig zijn, om bijvoorbeeld nog even door te werken aan stukken of om een presentatie of informatie mee te nemen naar een andere gemeente of om een persoonlijke back-up te maken. Het is aan de gemeente in hoeverre men de risico s inschat van bijvoorbeeld USB-sticks. In ieder geval dienen er regels te zijn die gebaseerd zijn op het algemene beveiligingsbeleid rondom digitale media. Daarnaast is het aan te raden om de regels rondom het gebruik van USB-sticks binnen de gemeente af te dwingen door een geautomatiseerde systeemoplossing, waarmee gemeentelijke USB-sticks en de inhoud kunnen worden beheerd en waarmee ook alle USB-poorten op alle apparaten binnen de gemeente kunnen worden beheerd. Bij voorkeur worden USB-sticks gebruikt die geadviseerd zijn door het Nationaal Bureau voor Verbindingsbeveiliging (NBV) Zie hiervoor: onder de kop: Externe media beveiliging. Het gebruik van USB-sticks en andere digitale media en het risico van gegevensverlies en het introduceren van malware moet op de agenda staan van de bewustwordingscampagne rondom informatiebeveiliging. Het gebruik van privé USB-sticks moet worden afgeraden, indien vertrouwelijke informatie van de gemeente op een USB-stick moet komen te staan, dan is dat op een beheerde en een versleutelde USB-stick van de gemeente. Verlies of diefstal van de stick met vertrouwelijke informatie moet direct als beveiligingsincident worden gemeld, waarbij afhankelijk van de inhoud van de stick acties gestart kunnen worden. Deze melding moet minimaal altijd worden gedaan aan de CISO, of verantwoordelijke informatiebeveiliging van de betreffende gemeente. Zelf-startende USB-sticks moeten worden voorkomen, zie hiervoor de volgende handleiding: USB-sticks moeten bij gebruik automatisch gescand worden op malware. Ingeleverde USB-sticks worden na inname gewist met een NBV goedgekeurd wisprogramma, deze is te vinden op: onder de kop: Overige beveiliging 2.2 Geheugenkaarten Geheugenkaarten worden gebruikt in apparaten en daarnaast bevatten steeds meer computers de mogelijkheid om geheugenkaarten te lezen en te beschrijven. Daarmee gelden voor geheugenkaarten dezelfde bedreigingen als benoemd voor USB-sticks. Geheugenkaarten in mobiele apparaten, bijvoorbeeld telefoons kunnen gemeentelijke informatie bevatten en binnen de oplossing van Mobile Device Management van de gemeente kan men 7

8 overwegen om het hele geheugenkaartje, of alleen die gebieden waar gemeentelijke informatie op staat, te versleutelen. 2.3 Back-up media Back-up en recovery is beschreven in het document Back-up en Recovery van de IBD. In aanvulling daarop het volgende in relatie tot de back-up media, zoals tapes en disks die gebruikt kunnen worden door de gemeente. Back-ups kunnen gemaakt worden op externe harddisks, back-up tapes, losse (USB-) disks en op harddisks via het netwerk, bijvoorbeeld een Storage Area Network (SAN). In dit document worden met name de aanvullende regels van mobiele gegevensdragers besproken die ook van toepassing zijn op mobiele gegevensdragers die gebruikt worden voor Back-up en Recovery. 8

9 Bijlage 1: Mobiele gegevensdragers beleid gemeente <naam gemeente> Beleidsuitgangspunten mobiele gegevensdragers van gemeente <naam gemeente> Ten behoeve van de beveiliging van informatie op mobiele gegevensdragers is er beleid gericht op mobiele gegevensdragers. Het doel van dit beleid is te voorkomen dat onbevoegden toegang krijgen tot gemeentelijke informatie op mobiele gegevensdragers waar zij geen kennis van behoren te nemen dan wel waarop zij informatie kunnen aanpassen. De gemeente <naam gemeente> hanteert de volgende beleidsuitgangspunten en deze zijn ontleend aan de BIG 1.0: Algemene punten Verwijderbare media worden geregistreerd en er wordt bijgehouden bij wie deze zich bevinden Geregistreerde media met vertrouwelijke gegevens mogen alleen de gemeente verlaten na goedkeuring van de eigenaar Het bewaren van verwijderbare media geschiedt overeenkomstig de eigenschappen van de media in een veilige omgeving Verwijderbare media die gevoelige informatie bevatten, moet voldoen aan de NBV standaard Procedures voor het beheer van mobiele media hebben minimaal aandacht voor het veilig verwijderen van informatie voordat de mobiele media de organisatie verlaat of in een ander proces gebruikt wordt Als verwijderen van informatie van mobiele gegevensdragers door een derde partij gebeurt, dient er een controlemechanisme ingeregeld te zijn om te waarborgen dat media ook daadwerkelijk veilig gewist worden Er mag alleen gebruik worden gemaakt van door de CISO aangewezen en geselecteerde bedrijven voor het verwijderen van informatie van media Beschermingsmaatregelen opstellen voor media die informatie bevatten tegen onbevoegde toegang, misbruik of het corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie Mobiele gegevensdragers met geclassificeerde gegevens of persoonsgegevens Mobiele gegevensdragers met geclassificeerde gegevens of persoonsgegevens dienen met extra zorg te worden behandeld. Deze aanvullende eisen dienen genomen te worden en terug te komen in procedures van de gemeenten: - De data moeten worden versleuteld, zie hiervoor de BIG operationele baseline standaard over encryptie van de IBD welke in 2013 zal uitkomen. - Bij voorkeur wordt de gegevensdrager door een gemeentelijke koerier of een particuliere koerier aangetekend getransporteerd, waarbij een neutrale beschermende verpakking wordt gebruikt. Indien het om een magnetische gegevensdrager (bijvoorbeeld harddisk) gaat zijn maatregelen genomen om de data te beschermen tegen magnetische invloeden. De koerier gaat bij voorkeur via de kortste weg. Dezelfde dag moet er terugmelding plaatsvinden door de ontvanger van de media. 9

10 - Indien er encryptie / versleuteling plaatsvindt worden de sleutels via een ander kanaal verzonden en niet tegelijkertijd met de mobiele gegevensdrager. Bijvoorbeeld middels SMS naar de contactpersoon. - Een mobiele gegevensdrager die verloren raakt, dient altijd te worden gemeld als beveiligingsincident aan de Security Officer van de gemeente of gelijkwaardig. Aanvullende eisen aan een mobiele gegevensdrager voor back-up en Recovery. - De gemeente is, en blijft, altijd verantwoordelijk voor gegevens op back-up media, het maakt niet uit waar deze zich bevinden - De kans is groot dat op back-up media altijd persoonsgegevens en/of andere geclassificeerde gegevens staan. In dat geval moeten back-up media versleuteld zijn en de sleutels dienen apart beveiligd bewaard te worden (zie de gemeentelijke encryptie standaard) - Back-up media moeten worden getransporteerd in speciale beschermende koffers, dit ter bescherming van de media tegen (magnetische) invloeden en verlies - Alle back-up media transportkoffers dienen te worden geregistreerd. Er wordt bijgehouden welke koffer zich waar bevindt en wat de inhoud is. - Back-up media mogen maar op een beperkt aantal locaties van de gemeente zijn, te weten: o o o o Computerruimte Tape opslag ruimte (buiten het pand) Tape koffers De uitwijklocatie - Problemen met back-up media dienen te worden geregistreerd, geanalyseerd en het probleem moet zo spoedig mogelijk worden opgelost - Er vindt een deugdelijke registratie plaats van transport koffers, de back-up media en hun verblijfplaats - Het uitvoeren van een recovery met behulp van back-up media mag alleen worden uitgevoerd door ICT personeel en op dezelfde dag dat de media of tape wordt ontvangen en op doelsystemen die voldoen aan dezelfde beveiligingseisen als die van de bronsystemen Transport van back-up media In het geval dat de gemeente kiest voor het halen en wegbrengen van tapes of schijven door een koeriersdienst, aanvullende maatregelen: - De koeriersdienst dient vooraf geautoriseerd te worden voor het transport van digitale media - De koerier moet worden geïdentificeerd voordat de back-up media transportkoffer kan worden meegegeven - Er worden altijd transportkoffers gebruikt en altijd voor hele back-up sets - Bij ontvangst van back-up transportkoffers wordt altijd gecontroleerd of het de juiste is, bovendien worden de media gecontroleerd of ze de juiste zijn - Alleen ICT-beheerders mogen back-up media in de transport koffer doen of deze eruit halen 10

11 Rapportage en controle van back-up tapes of disks: Maandelijks wordt gerapporteerd aan de CISO over de back-up media roulatie, transport en back-up media problemen. Het beheer van back-up media wordt jaarlijks gecontroleerd of aan een audit onderworpen Aldus vastgesteld door burgemeester en wethouders van [gemeente] op [datum], [Naam. Functie] [Naam. Functie] 11

12 INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN JS DEN HAAG POSTBUS GK DEN HAAG HELPDESK ALGEMEEN FAX