Informatiebeveiligingsbeleid

Transcriptie

1 Informatiebeveiligingsbeleid Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging

2 Inhoudsopgave 1. Inleiding Doel van dit document Informatiebeveiliging Waarom informatie beveiligen? Werkingsgebied Opbouw van het document Informatiebeveiligingsbeleid Stichting Inlichtingenbureau Uitgangspunten Informatiebeveiliging Stichting Inlichtingenbureau Het belang van informatie(veiligheid) Visie Doelstelling Uitgangspunten Risicobenadering Doelgroepen Scope Informatiebeveiliging en architectuur Organisatie van informatiebeveiliging Interne organisatie Taken en rollen Functioneel overleg Rapportage en escalatielijn voor informatiebeveiliging Externe partijen ICT crisisbeheersing en landelijke samenwerking Beleidscyclus Relatie met overige documenten Planning & Control cyclus Informatiebeveiligingsbeleid Strategisch Beleid 1.0 Pagina 2

3

4 1. Inleiding 1.1 Doel van dit document Dit document geeft invulling aan het informatiebeveiligingsbeleid van het Inlichtingenbureau. Het beschreven beleid is gebaseerd op eerder bestaand beleid, het Suwinet normenkader en het GGK normenkader. De opbouw van het document volgt die van het voorbeeldbeleid van de Baseline Informatiebeveiliging Rijksoverheid (BIR). Binnen de kaders van wet- en regelgeving kan het IB eigen invulling geven aan uitgangspunten, doelstellingen of maatregelen in het informatiebeveiligingsbeleid. Ook kunnen risicoanalyses aanleiding geven tot het nemen van additionele beveiligingsmaatregelen. In dit document zijn een groot aantal beleidsuitgangspunten nader uitgewerkt en zijn beveiligingseisen en- maatregelen opgenomen die voor alle processen en systemen van het IB gelden. Een beheerstructuur voor informatiebeveiliging maakt onderdeel uit van dit document. Hiermee worden verantwoordelijkheden voor informatiebeveiliging belegd en wordt informatiebeveiliging ingebed in de reguliere planning- en controlcyclus. 1.2 Informatiebeveiliging Informatiebeveiliging is het vaststellen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te garanderen. Het begrip informatiebeveiliging heeft betrekking op: Beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; Integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking; Vertrouwelijkheid / exclusiviteit: het beschermen van informatie tegen kennisname en door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn. 1.3 Werkingsgebied Informatiebeveiliging gaat over meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, beeldscherm et cetera) en alle informatie verwerkende systemen (de programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook over mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekortschietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy, hoe om te gaan met mobiele apparaten en aanwijzingen voor telewerken. Informatiebeveiligingsbeleid Strategisch Beleid 1.0 Pagina 4

5 1.4 Opbouw van het document Het Informatiebeveiligingsbeleid van het IB is onderverdeeld in twee delen: het strategische en tactische beleid. Het strategische beleid (dit document) gaat in op de organisatie van informatiebeveiliging, het tactische beleid bevat maatregelen. Dit document bestaat uit vier hoofdstukken: (1) de inleiding, (2) het informatiebeveiligingsbeleid, (3) uitgangspunten voor informatiebeveiliging bij het IB en (4) de organisatie van informatiebeveiliging. Informatiebeveiligingsbeleid Strategisch Beleid 1.0 Pagina 5

6 2. Informatiebeveiligingsbeleid Stichting Inlichtingenbureau Het management van de organisatie is verantwoordelijk voor het opstellen, uitvoeren, handhaven, bewaken en uitdragen van het informatiebeveiligingsbeleid van de organisatie. Het management maakt een inschatting van het belang en de risico s van verschillende delen van de informatievoorziening voor de organisatie. Het management bepaalt welke risico s acceptabel en niet acceptabel zijn. Het informatiebeveiligingsbeleid is van toepassing op de gehele organisatie, inclusief alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid past binnen het algemene beleid van de organisatie en wet- en regelgeving. Dit beleid bevat een tactisch-operationeel deel. Het Inlichtingenbureau is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van het beleid. Hierbij geldt: De organisatie moet voldoen aan wet- en regelgeving, zoals (niet-uitputtend): de wet SUWI, het besluit SUWI, de regeling SUWI, de Wet Bescherming Persoonsgegevens, de Meldplicht Datalekken, de Wet Openbaarheid van Bestuur en de Wet Computercriminaliteit. Er zijn twee verschillende normenkaders als basis: het GeVS-normenkader 2011 en het GGK normenkader zoals overeengekomen met de VNG. De organisatie stelt normenkaders vast, waarbij er ruimte is voor afweging en prioritering op basis van het pas toe of leg uit -principe. Het informatiebeveiligingsbeleid is gebaseerd op de volgende uitgangspunten, welke zijn ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2013), de BIR, het GGK normenkader en het GeVS-normenkader. 1. Alle informatie en informatiesystemen zijn van kritiek en vitaal belang voor de organisatie. De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn-) management, met de directeur als eindverantwoordelijke. De verantwoordelijkheden voor de bescherming van gegevens en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd. 2. Door periodieke controle, organisatie brede planning en coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses. 3. Informatiebeveiliging is een continue verbeterproces. Plan, do, check en act vormen samen het managementsysteem van informatiebeveiliging. 4. De Specialist Informatiebeveiliging en de Beleidsadviseur Informatieveiligheid ondersteunen vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover. 5. De organisatie stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen conform beleid. Informatiebeveiligingsbeleid Strategisch Beleid 1.0 Pagina 6

7 6. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld. Alle medewerkers van de organisatie worden getraind in het gebruik van beveiligingsprocedures. 7. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. Dit informatiebeveiligingsbeleid treedt in werking na vaststelling door de Directie. Hiermee komt het oude informatiebeveiligingsbeleid van het Inlichtingenbureau van 2014 te vervallen. Aldus vastgesteld door de directeur van het Inlichtingenbureau op 22 december 2015, [Naam. Functie] [Naam. Functie] Informatiebeveiligingsbeleid Strategisch Beleid 1.0 Pagina 7

8 3. Uitgangspunten Informatiebeveiliging Stichting Inlichtingenbureau 3.1 Het belang van informatie(veiligheid) Informatie is één van de voornaamste bedrijfsmiddelen van het Inlichtingenbureau. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de primaire taakuitvoering, de bedrijfsvoering en kan leiden tot imagoschade. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie en de bestuurders. Informatieveiligheid is daarom van groot belang. Informatiebeveiliging is het proces dat dit belang dient. 3.2 Visie De komende jaren zet het Inlichtingenbureau in op het verhogen van informatieveiligheid en verdere professionalisering van de informatiebeveiligingsfunctie. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de organisatie en de basis voor het beschermen van rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. Het proces van informatiebeveiliging is primair gericht op bescherming van informatie. Tegelijkertijd is informatiebeveiliging een enabler : het maakt bijvoorbeeld elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus van informatiebeveiliging ligt op informatie-uitwisseling in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over Informatiebeveiligingsbeleid Strategisch Beleid 1.0 Pagina 8

9 bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie. Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid. 3.3 Doelstelling Dit informatiebeveiligingsbeleid is het kader voor passende personele, organisatorische en technische maatregelen om informatie te beschermen en te waarborgen, zodat de organisatie voldoet aan relevante wet- en regelgeving. Het Inlichtingenbureau streeft er naar om in control te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent dat de organisatie weet welke maatregelen genomen zijn en dat er een SMART-planning is van de maatregelen die nog niet genomen zijn en tot slot dat dit geheel verankerd is in de PDCA-cyclus. 3.4 Uitgangspunten 1. Het informatiebeveiligingsbeleid van het Inlichtingenbureau is in lijn met het algemene beleid van de organisatie en de relevante wet- en regelgeving. 2. Het beleid is gebaseerd op het GeVS-normenkader en het GGK normenkader. 3. Het informatiebeveiligingsbeleid wordt vastgesteld door de directeur. Het beleid wordt minimaal één keer per jaar, of zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig bijgesteld. 4. Dit document is opgenomen in het procedureboek van het IB en is voor alle medewerkers op een toegankelijke plaats opgeslagen en te lezen naast alle andere procedures en processen. 3.5 Risicobenadering De aanpak van informatiebeveiliging van het Inlichtingenbureau is risk based. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een risicoanalyse. Daartoe inventariseert de proceseigenaar de kwetsbaarheid van de werkprocessen en de dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de beschermingseisen van de informatie. Het risico is de kans op beveiligingsincidenten en de impact daarvan op het werkproces en wordt bepaald door het MT: risico = kans x impact. Ten aanzien van risico s die voortkomen uit de risicoanalyse zal het IB per risico steeds één van de volgende strategieën kiezen om deze te verkleinen: Treat the risk (reduceren): verkleinen van het risico door middel van het nemen van informatiebeveiligingsmaatregelen. Take the risk (accepteren): het risico is zo klein dat de gevolgen acceptabel zijn. Terminate the risk (vermijden): wanneer een er een groot risico bestaat voor een bedrijfsactiviteit die weinig tot niets oplevert dan wordt deze bedrijfsactiviteit gestaakt. Transfer the risk (overdragen): overhevelen van het risico naar een derde partij door middel van uitbesteding of het afsluiten van verzekeringen. De correcte uitvoering van informatiebeveiliging wordt minimaal jaarlijks door een externe partij beoordeeld. Informatiebeveiligingsbeleid Strategisch Beleid 1.0 Pagina 9

10

11 Dit informatiebeveiligingsbeleid stelt algemene beleidskaders. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen. Deze zijn toegevoegd in het tactisch-operationele deel. 3.8 Informatiebeveiliging en architectuur Informatiebeveiliging is onderdeel van het architectuurproces. Dit architectuurproces beschrijft onder meer principes, richtlijnen en maatregelen op basis van verschillende beschermingsniveaus (classificatie). Informatiebeveiliging en architectuur hebben ieder een eigen procesbeschrijving die op bepaalde punten in het proces met elkaar overlappen. Deze procesbeschrijvingen zijn verkrijgbaar via de gemeenschappelijke omgeving en via het procedureboek. 3.9 Werking Dit informatiebeveiligingsbeleid is in werking getreden na vaststelling door de directie. Hiermee komt het oude informatiebeveiligingsbeleid van het Inlichtingenbureau van 2014 te vervallen. 4. Organisatie van informatiebeveiliging 4.1 Interne organisatie Risico s Het niet expliciet beleggen van verantwoordelijkheden en bijbehorende activiteiten, procedures en instrumenten, verhindert het daadwerkelijk en structureel uitvoeren en borgen van de beheersmaatregelen Doelstelling Beheersen van de informatiebeveiliging binnen de organisatie; Er is een beheerkader vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en beheersen; Goedkeuring door de directie, de toewijzing van de rollen en de coördinatie en beoordeling van de implementatie van het beleid binnen de organisatie Verantwoordelijkheden De directie is integraal verantwoordelijk voor de beveiliging (beslissende rol) van informatie binnen de werkprocessen van het Inlichtingenbureau, en stelt kaders voor informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders; Informatiebeveiligingsbeleid Strategisch Beleid 1.0 Pagina 11

12

13

14 4.5 Externe partijen Informatiebeveiligingsbeleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de organisatie samenwerkt (en informatie mee uitwisselt). Ook voor externe partijen geldt hierbij het pas toe of leg uit - beginsel. Bij overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV), waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV dienen te worden getoetst aan informatiebeveiligingsbeleid. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de organisatie het recht heeft afspraken te (laten) controleren. Voor externe hosting van data en/of services gelden naast generiek informatiebeveiligingsbeleid de richtlijnen voor cloud computing. De organisatie is gehouden aan: o regels omtrent grensoverschrijdend dataverkeer; o toezicht op naleving van regels door de externe partij(en); o hoogste beveiligingseisen voor bijzondere categorieën persoonsgegevens; o melding bij de Autoriteit Persoonsgegevens (AP) bij doorgifte van persoonsgegevens naar derde landen (buiten de EU); o melding bij de AP bij datalekken. 4.6 ICT crisisbeheersing en landelijke samenwerking Voor interne crisisbeheersing dient een kernteam informatiebeveiliging geïnstalleerd te zijn, bestaande uit de directie, de Beleidsadviseur Informatieveiligheid, de Specialist Informatiebeveiliging, relevante experts en de communicatieafdeling. De werkwijze dient te zijn vastgelegd. Het Inlichtingenbureau participeert in relevante landelijke platforms en onderhoudt contacten met andere sectoraal georganiseerde informatiebeveiligingsplatforms. 4.7 Beleidscyclus Binnen het IB wordt een beheerkader vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en te beheersen. Het informatiebeveiligingsbeleid wordt door de directeur van het IB vastgesteld. Beveiligingsrollen worden toegewezen en de implementatie van de beveiligingsmaatregelen binnen het IB wordt door de respectievelijke Managers gecoördineerd en beoordeeld. Omdat de IT-voorzieningen continu onderhevig zijn aan veranderingen, is Informatiebeveiliging binnen het IB een continu (verbeter)proces. Informatiebeveiligingsbeleid Strategisch Beleid 1.0 Pagina 14

15 Het informatiebeveiligingsproces doorloopt de zogenaamde Deming Cyclus die de fases Plan, Do, Check en Act bevat. De uit te voeren werkzaamheden zijn als volgt te plaatsen in de cyclus 4.8 Relatie met overige documenten Dit informatiebeveiligingsbeleid is gebaseerd op en is in lijn met de algemene strategie (visie en missie) en de ICT-strategie van het IB. Het informatiebeveiligingsbeleid wordt door middel van een informatiebeveiligingsplan geoperationaliseerd. Dit betekent dat de concrete uitvoering van dit beleid door middel van een plan voor het (gefaseerd) implementeren van informatiebeveiligingsmaatregelen is beschreven in het informatiebeveiligingsplan. In het informatiebeveiligingsplan wordt beschreven welke maatregelen ingevoerd moeten worden, op welke manier, door wie en binnen welk tijdsbestek. Indien van toepassing worden activiteiten uit het informatiebeveiligingsplan verder uitgewerkt in afzonderlijke projectplannen. In onderstaand figuur is de samenhang grafisch weergegeven. Informatiebeveiligingsbeleid Strategisch Beleid 1.0 Pagina 15

16