Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1

Transcriptie

1 ARANEA ISM, niet toegestaan. 1

2 Partners van SEP Even voorstellen Daniel Bloemers ARANEA ISM, niet toegestaan. 2

3 Informatiebeveiliging en privacy Hand in hand of ieder voor zich? 1. Ontwikkelingen 2. Over de BIG, de basis en risico beperken 3. Onderdelen van het plan 4. Organisatie van informatieveiligheid & privacy 5. Vragen Wereldnieuws Verkiezingen USA 6 ARANEA ISM, niet toegestaan. 3

4 Wereldnieuws Wannacry 7 Wereldwijd Wannacry scope 8 ARANEA ISM, niet toegestaan. 4

5 Dreigingen? Phishing 9 Risico s? Privacywetgeving 10 ARANEA ISM, niet toegestaan. 5

6 Meldplicht datalekken Update 11 Ontwikkelingen en focus Ontwikkelingen op het gebied van informatieveiligheid: Van locatie en organisatiegerichte informatievoorziening naar ketens, netwerken, interfaces en stromen van data Van focus op structurele en technologische maatregelen naar focus op cultuur (awareness) Van fysieke opslag naar digitale opslag Dit alles gebeurt op basis van risico-denken: voorkomen of beperken van schade en het faciliteren van de primaire dienstverlening van de organisatie ARANEA ISM, niet toegestaan. 6

7 Informatiebeveiliging en privacy Hand in hand of ieder voor zich? 1. Ontwikkelingen 2. Over de BIG, de basis en risico beperken 3. Onderdelen van het plan 4. Organisatie van informatieveiligheid & privacy 5. Vragen Stelsel van maatregelen (BIG) Baseline Informatiebeveiliging Nederlandse Gemeenten Doel van de BIG is: 1. Hulpmiddel voor gemeenten om aan alle eisen op het gebied van Informatieveiligheid te kunnen voldoen. 2. Zelf risicoafweging maken (toepassen of uitleggen) 3. Niet alleen techniek & organisatie, ook houding en gedrag 4. De auditlast bij gemeenten verminderen. 14 ARANEA ISM, niet toegestaan. 7

8 Waaruit bestaat de BIG? 11 domeinen: A.5 Beveiligingsbeleid A.6 Organisatie van de informatiebeveiliging A.7 Beheer van bedrijfsmiddelen A.8 Personele beveiliging A.9 Fysieke beveiliging en beveiliging van de omgeving A.10 Beheer van communicatie- en bedieningsprocessen A.11 Logische toegangsbeveiliging A.12 Verwerving, ontwikkeling en onderhoud van informatiesystemen A.13 Beheer van informatiebeveiligingsincidenten A.14 Beheer van bedrijfscontinuïteit A.15 Naleving A.5 A.6 A.11.1 A.7 A.8 A.11.2 A.9 A.11.3 A.10 A.11 A.11.4 A.12 A.11.5 A.13 A.14 A.11.6 A.15 A.11.7 Domeinen Doelstellingen Beheersmaatregelen A A A Wat te doen met de BIG? 16 ARANEA ISM, niet toegestaan. 8

9 Basis op orde? Eenduidige Normatiek Single Information Audit 17 Focus op informatieveiligheid Van bedrijfsbrede beveiliging voor alle BIG-onderdelen naar situationele beveiliging (beveiligen wat nodig is voor de situatie) Basis is een generieke basisbeveiliging (technische maatregelen en generieke procedures (wijzigingsbeheer, autorisaties, netwerksecurity)) Extra maatregelen voor waar het risico groot is (o.b.v. dataclassificatie): situationele beveiliging Op deze manier kan de BIG behapbaar geïmplementeerd worden op basis van principe van grootste risico s eerst ARANEA ISM, niet toegestaan. 9

10 Situationeel beveiligen & risico beperken Beperken risico s daar waar noodzakelijk Basisbeveiliging & risicobeperking: Bepalen niveau van kritiek zijn processen/ systemen Bepalen typen informatie en risico s binnen processen ENSIA Uitvoeren beknopte risicoanalyse en/ of privacy impact analyse per (bedrijfskritisch) proces Road to? 20 ARANEA ISM, niet toegestaan. 10

11 Informatiebeveiliging en privacy Hand in hand of ieder voor zich? 1. Ontwikkelingen 2. Over de BIG, de basis en risico beperken 3. Onderdelen van het plan 4. Organisatie van informatieveiligheid & privacy 5. Vragen Onderdelen van het plan (Bewustwording, situationele beveiliging, basisbeveiliging, organisatie & privacy) 22 ARANEA ISM, niet toegestaan. 11

12 Plan informatieveiligheid: overzicht 1. Organisatie inrichten Wijs een CISO en een FG aan en bepaal (en leg vast): taken, verantwoordelijkheden en bevoegdheden 2. Maatregelen basisbeveiliging * Bepalen en inrichten maatregelen basisbeveiliging 3. Maatregelen voor situationele beveiliging o.b.v. specifieke risico s per proces (50-80u per proces) Op basis van geselecteerde kritische processen uitwerken Identificeren en analyseren van processen en bijbehorende risico s 4. Bewustwording Op basis van plan uitwerken bewustwordingscampagne Uitvoeren acties uit het bewustwordingsplan 5. Evt. op basis van een PIA privacygerelateerde acties toevoegen aan het plan * Per gemeente. Grote overlap (reductie resources) mogelijk bij gezamenlijke inrichting 23 Plan Permanent leren * Toetsen en beproeven: Monitoren met platform Kennistoetsen Phishing test Mystery guest Certificering Leren, begeleiden en ontwikkelen in diverse vormen: Kennistest met feedback e-learning Workshops Bestuur, management en medewerkers Nulmeting ibewustzijn * Per gemeente. Grote overlap (reductie resources) mogelijk bij gezamenlijke inrichting Focus in ibewustzijnplan Actualiteit en beveiligingsissues vertalen naar leerdoelen ARANEA ISM, niet toegestaan. 12

13 Plan Situationeel beveiligen Identificeren en selecteren kritische processen Uitvoeren PIA/ risicoanalyse voor geselecteerde processen Aanpassen plan op basis van geïdentificeerde additionele maatregelen Lean volgens principes: Kleinst mogelijke product Meten resultaten en mogelijke verbeterpunten Op basis van resultaten bijsturen en verder implementeren Basisbeveiliging: maatregelen (1) # Onderwerp Korte omschrijving 0. Informatiebeveiligingsbeleid Opstellen en vaststellen van een informatiebeveiligings-beleid met periodieke herziening 1. Autorisatiematrix Procedure + periodieke review Opstellen van een autorisatiematrix document + een procedure voor periodieke review 2. Uitgifte middelen wijzigingen + inname Opstellen van procedures en afspraken voor; de uitgifte, wijziging en inname van middelen, acceptabel gebruik, middelen van locatie meenemen. Ook moet een actuele registratie ten alle tijden aanwezig zijn 3. Uitgifte accounts wijzigingen + inname Opstellen van procedures voor; uitgifte, wijziging en inname van accounts, periodieke review van rechten 4. Logging 1. Systeemniveau 2. Applicatieniveau 5. Procedure thuiswerken/ mobiel werken (verklaring geheimhouding, etc.) Inrichten van logging op systeemniveau en applicatieniveau met alle relevante eisen, afwegingen en procedures Opstellen van procedure voor mobiel werken + verklaring en geheimhouding 6. Procedure 2-factor authenticatie Opstellen procedure 2-factor authenticatie voor alle kritische applicaties en informatie 7. Wijzigingsbeheerprocedure Opstellen van integrale wijzigingsbeheerprocedure met alle relevante eisen 8. Patch managementprocedure Opstellen procedure patch management en risico-afwegingen 9. SLA, bewerkersovereenkomst en rapportages 1. Voor nieuwe overeenkomsten 2. Voor bestaande overeenkomsten met hoog risico op proces 10. Procedure meldplicht/ incidentmanagement Opstellen van standard overeenkomsten waarin informatiebeveiliging is opgenomen, afspraken vastleggen over periodieke status en beveiligingsrapportages Opstellen procedures voor incidentmanagement (breed) en het melden van datalekken 11. Procedure uitwijk Opstellen procedures voor fysieke en technische uitwijk + periodieke test ARANEA ISM, niet toegestaan. 13

14 Basisbeveiliging: maatregelen (2) # Onderwerp Korte omschrijving 12. Handreiking informatiebeveiliging Kort A4tje met korte punten voor medewerkers met aandachtspunten voor informatiebeveiliging (clean desk, geen ww delen, clear screen, etc) 13. Platform beveiligd uitwisselen berichten Platform inrichten voor de beveiligde uitwisseling van informatie naar o.a. burgers 14. Password Manager Faciliteren van een password manager of een advies uitbrengen voor een goede password manager die voldoet aan eisen van de gemeente. 15. Redundant/ high available 1. Infrastructuur 2. Applicaties (obv metrocluster omgeving) 16. Netwerk beveiliging (AV, FW, IPS/IDS, werkplekbeleid, monitoring) Vastleggen keuzes + onderzoek welke kritische infrastructuur/applicaties dubbel uitgevoerd moeten worden. Opstellen procedures en beleid voor netwerk beveiliging, werkplek en (toegestane) applicaties, monitoring beschikbaarheid, e.d. 21. Back-up Backup procedures opstellen + periodiek testen. Vastleggen van eisen voor backup zoals bewaartermijnen en retentietijden 22. MDM 1. manier waarop applicaties beschikbaar worden gesteld 2. welke beveiligingseisen worden gesteld aan toegang 3. bestandsbeveiliging 23. BYOD 1. Voorwaarden 2. (zelf bekostigd, faciliteren licenties) Onderzoek naar MDM oplossing + opstellen eisen voor bestands- en toegangsbeveiliging. Implementeren van een MDM oplossing. Opstellen van beleid + maatregelen voor BYOD 24. Fysieke beveiliging Opstellen van procedures voor de uitgifte, wijziging en inname van fysieke toegangsmiddelen. Ook moet een actuele registratie ten alle tijden aanwezig zijn 27 Plan basisbeveiliging ARANEA ISM, niet toegestaan. 14

15 Organisatie informatieveiligheid 29 Informatiebeveiliging en privacy Hand in hand of ieder voor zich? 1. Ontwikkelingen 2. Over de BIG, de basis en risico beperken 3. Onderdelen van het plan 4. Organisatie van informatieveiligheid & privacy 5. Vragen ARANEA ISM, niet toegestaan. 15

16 Organisatie informatieveiligheid Rollen en opties 1. Privacy officer voor de implementatie van privacy in de organisatie/gemeenten Opstellen privacybeleid, uitwerken beleid in de organisatie, kaderstellend en uitvoerend; 2. CISO voor de implementatie van informatieveiligheid in de organisatie/gemeenten Opstellen IB-beleid, uitwerken beleid in de organisatie, kaderstellend en uitvoerend; 3a. Gezamenlijke Functionaris voor de gegevensbescherming (FG) Contactpersoon Autoriteit Persoonsgegevens; Controleren op en handhaven van AVG; Onafhankelijk en beschermd, maar wel in dienst; of; 3b. FG-abonnement of FG op afroep Zie hierboven, maar dan niet in dienst, maar op afroep; 31 Suggestie capaciteit Informatiebeveiliging: CISO * Aanbeveling: Minimale vereiste: Privacy: minimaal 1 FTE 0,5 FTE Functionaris Gegevensbescherming * Aanbeveling: 1 FTE (indien geen PO) Minimale vereiste: 0,5 FTE Privacy Officer * * Per gemeente. Grote overlap (reductie resources) mogelijk bij gezamenlijke inrichting Aanbeveling: minimaal 0,5 FTE (zeker periode tot mei 2018) Minimale aanbeveling: 0,3 FTE ARANEA ISM, niet toegestaan. 16

17 Privacy Verplichtingen privacy Privacywetgeving Verplichtingen privacy: opnemen in jaarlijkse plannen en beheer Organisatie Beleid, richtlijnen, protocollen Beheer (register) Risicoanalyses (PIA) Processen, (werk)instructies Overeenkomsten Etc. 33 Informatieveiligheid: informatiebeveiliging en privacy hand in hand? 34 ARANEA ISM, niet toegestaan. 17

18 Privacy zonder informatiebeveiliging? 35 Benchmark kritische processen (Benchmark over diverse Nederlandse gemeenten) 36 ARANEA ISM, niet toegestaan. 18

19 Voorbeelden kritische processen (1) Proces Beheer BRP Burgerlijke stand Uitgifte reisdocumenten Gladheidsbestrijding Gemalenbeheer Crisisorganisatie Jeugdzorg BAG/ Woz beschikkingen Verkiezingen Max. termijn niet beschikbaar (benchmark) 72 uren 72uren 72 uren <48 uren Bij veel regen - <48 uren <24 uren 2 5 dgn Afhankelijk van moment <6 wkn <2 wkn voor verkiezingen <2 dgn Voorbeelden kritische processen (2) Proces Afvalbeheer Salarisbetaling Inkoopfacturen Aanbestedingsproces Uitgifte rijbewijzen Klantenbegeleiding Betaling uitkeringen Max. termijn niet beschikbaar Bij grote hitte <1 wk <1 wk Weken Evt. uit te stellen Weken Weken 2 wkn 2 mnd ARANEA ISM, niet toegestaan. 19

20 Vragen? Implementatie en begeleiding ARANEA ISM, niet toegestaan. 20