Gemeente Alphen aan den Rijn

Maat: px

Weergave met pagina beginnen:

Download "Gemeente Alphen aan den Rijn"

Christa van der Horst
7 jaren geleden
Aantal bezoeken:

1 Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A

3 Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid In 2014 heeft de afdeling I&A een nieuw Informatiebeveiligingsbeleid voor de periode opgesteld. Informatiebeveiliging wordt bereikt door een geschikte verzameling beheersmaatregelen in te zetten, waaronder beleid, werkwijzen, procedures, organisatiestructuren en programmatuur-en apparatuur functies, om daarmee de betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatievoorziening te waarborgen. Het algemene beleid is destijds uitgewerkt in verscheidene beleidsgebieden te weten: Organisatie van de informatiebeveiliging; Beheer van bedrijfsmiddelen; Personeel; Fysieke beveiliging; Beheer van communicatie en bedieningsprocessen; Logische toegangsprocessen; Systeem ontwikkelen en onderhoud; Incident management; Continuïteitsplanning; Toezicht en naleving. Deze beleidsgebieden zijn conform de Baseline Informatiebeveiliging Nederlandse Gemeenten en de NEN-ISO/IEC norm. Ons informatiebeveiligingsbeleid is opgesteld voor een periode van 4 jaar en wordt jaarlijks getoetst. Hierbij worden oagap analyses uitgevoerd, alsmede zijn er PEN-testen (penetratietesten) uitgevoerd om onze hard-en softwaretetoetsen tegen het Informatiebeveiligingsbeleid.

4 GAP Analyse Bij de opzet van onze GAP analyse is uitgegaan van de eisen aan informatiebeveiligingsmaatregelen zoals die zijn beschreven in de (Tactische) Baseline Informatiebeveiliging Gemeenten (BIG), en is daarmee een weergave van de mate van overeenstemming met de eisen uit de BIG. Onderstaande tabel en grafiek geven de overall resultaten van de GAP analyse weer:

5 GAP Analyse Belangrijkste constateringen uit de Gap analyse (eind 2014) De gemeente heeft geen overkoepelende security organisatie (geen security officer); Voor diverse afdelingen bestaan richtlijnen voor classificatie en beheer van bedrijfsmiddelen en informatie, maar die zijn niet algemeen geldend voor alle afdelingen. Er is nog geen formele informatiearchitectuur voor de hele gemeente, waarin het beleid ten aanzien van classificatie en beheer nader is uitgewerkt (een dergelijke informatie architectuur was ten tijde van de analyse in ontwikkeling); Informatiebeveiligingseisen worden nog niet altijd in contracten met leveranciers opgenomen; Er zijn ten aanzien van het aanvaardbaar gebruik van bedrijfsmiddelen wel een aantal regels opgesteld ( protocol), maar deze zijn niet algemeen bekend; De Baseline Informatiebeveiliging Gemeenten schrijft voor dat de taken en verantwoordelijkheden voor informatiebeveiliging worden beschreven in de functieomschrijving. De gemeente maakt gebruik van generieke functiebeschrijvingen voor medewerkers waarin deze taken en verantwoordelijkheden niet expliciet zijn opgenomen; Er is geen formeel gemeentelijk beleid voor fysieke toegangsbeveiliging; Aandachtspunten zijn het beheer van technische kwetsbaarheden (vulnerability management en patch management) en het gebruik van productiegegevens voor testdoeleinden, zonder dat de informatie geanonimiseerd wordt. Processen voor het beheer van technische kwetsbaarheden zijn momenteel in ontwikkeling; De continuïteitsvoorzieningen die de gemeente heeft ingericht zijn met name gericht op recovery van de technische infrastructuur. De (meeste) informatiesystemen zijn uitwijkbaar, maar de uitwijkbaarheid van processen is niet/minder duidelijk geborgd; Verschillende afdelingen (Publiekszaken/GBA, sociaal domein) hebben een eigen informatiebeveiligingsdossier waarin alle voor de afdeling relevante informatiebeveiligingsprocessen en maatregelen staan beschreven. Er is echter geen gemeentebreed overkoepelend Information Security Management System (ISMS).

PEN testen Aanpak en doel In opdracht van gemeente Alphen aan den Rijn worden er regelmatig externe Black box Security Penetratietest uitgevoerd op onze doelsystemen.

geëxploiteerd kunnen worden. De penetratietest geeft een inzicht in en statusoverzicht over het beveiligingsniveau van de doelsystemen.

6 PEN testen Aanpak en doel In opdracht van gemeente Alphen aan den Rijn worden er regelmatig externe Black box Security Penetratietest uitgevoerd op onze doelsystemen. Eén van de doelen van deze penetratietest is om aan te tonen of de doelsystemen en de daarop draaiende (web) applicaties kwetsbaarheden bevatten en of deze kwetsbaarheden ook daadwerkelijk geëxploiteerd kunnen worden. De penetratietest geeft een inzicht in en statusoverzicht over het beveiligingsniveau van de doelsystemen. Bij een penetratietest wordt vanaf het internet het doelsysteem onderzocht op kwetsbaarheden en indien aanwezig, worden deze kwetsbaarheden nader geanalyseerd. Daarnaast wordt getracht het doelsystemen te benaderen op een wijze zoals een kwaadwillende hacker dat ook zou kunnen doen..

7 Vervolg Op basis van de uitkomsten scherper wij ons jaarplan aan en nemen dan de volgende maatregelen: 1. Per 1/1/2015 aanstelling Security Officer binnen I&A 2. Security Jaarplan 2015/16 opgesteld (incl. maandelijkse management rapportages) met daarin de volgende doelstellingen/aandachtgebieden: Aansluiting IBD Awareness programma Informatiebeveiliging in 2016 opstarten Aanscherpen Informatiebeveiligingsbeleid (ook in relatie met Cloud beleid) Realiseren en implementeren van een ISMS (Information Security Management Systeem) Resultaten GAP analyse oppakken en verbeteren Nulmeting en Privacy Impact Analyse Sociaal Domein, incl. pentest Suite4SocialeRegie Audits DigiD, BAG, BRP en SuwiNet uitvoeren Mobile Device Management verder invoeren (incl. pentesten tablets) (fysieke) toegangsbeveiliging Uitwijktesten (continuïteitsmanagement) In afstemming met JZI IB-beleid en Privacy beleid afstemmen Regie op het beheer van certificaten (o.a. allerlei PKI certificaten) Wet Meldplicht Datalekken (incl. handboeken data-incidenten en meldplicht datalekken) EDP Audits (accountant) Andere belangrijke aandachtgebieden op dit moment: Hoe om te gaan met mobiel tenzij Hoe om te gaan met Cloud computing (o.a. Office365) Veilig communiceren van ongestructureerde data (o.a. mail met bijlage) IB in relatie tot samenwerkingsverbanden

8 Vragen en/of discussie

Vergelijkbare documenten

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases