Format risico analyse en IB-Plan

Transcriptie

1 Format risico analyse en IB-Plan Versie Datum Status Vastgesteld directeur Logius (naam en handtekening) d.d. Vastgesteld opdrachtgever (naam en handtekening)

2 Colofon Portefeuille plaatsvervangend directeur Logius Organisatiestaf Compliance en Risk Management maart 2015 Pagina 2 van 27

3 Inhoud Pagina 3 van 27

4 Managementsamenvatting Opdracht Namens de directeur Logius en in afstemming met de opdrachtgever ZZZ is door de afdeling XXX een risico-analyse voor de voorziening YYY uitgevoerd. Het hoofd van de afdeling XXX is verantwoordelijk voor de inhoudelijke juistheid en volledigheid en voor de implementatie van de maatregelen die voortvloeien uit de risico-analyse. Doelstelling De risico-analyse heeft tot doel het bepalen van het gewenste betrouwbaarheidsniveau in het kader van het Besluit voorschrift informatiebeveiliging rijksdienst 2007 (VIR). Risico s en betrouwbaarheidseisen Om via een inzichtelijk redeneerproces tot een beargumenteerde vaststelling te komen van het gewenste betrouwbaarheidsniveau, is een workshop georganiseerd. In een workshop zijn de processen en informatiesystemen geclassificeerd,de informatiestromen en de te verwerken persoonsgegevens benoemd en is bepaald of de risico s voor een proces met ondersteunende voorzieningen voldoende door de Baseline Informatiebeveiliging Rijksdienst (BIR) worden afgedekt. De BIR beschrijft het minimale beveiligingsniveau waaraan elke voorziening binnen de rijksoverheid moet voldoen. Conclusie Voor voorziening YYY is gebleken dat met de implementatie van de maatregelen uit de BIR kan worden volstaan. Voor voorziening YYY is gebleken dat niet alleen met de implementatie van de maatregelen uit de BIR kan worden volstaan. Met een aanvullende risicoanalyse is vastgesteld waar specifieke kwetsbaarheden liggen. Tevens is aangegeven met welke additionele maatregelen - bovenop de BIR - de kwetsbaarheden worden ondervangen. Het totale overzicht van de uiteindelijk getroffen maatregelen is opgenomen in het informatiebeveiligingsplan (IB-plan). OF Pagina 4 van 27

5 1 Inleiding Betrouwbare informatie en betrouwbaar werkende voorzieningen zijn een noodzaak om op een verantwoorde wijze processen te kunnen uitvoeren. Informatiebeveiliging dient ervoor deze betrouwbaarheid te bewerkstellingen. Betrouwbare informatievoorziening is overeenkomstig het Besluit voorschrift informatiebeveiliging rijksdienst (VIR) de verantwoordelijkheid van de lijnmanager. Door op een systematische wijze na te gaan welke risico s er zijn en vervolgens vast te stellen welke daarvan al dan niet acceptabel zijn, kan er een bewuste afweging worden gemaakt. Het VIR geldt voor de Rijksdienst waartoe worden gerekend de ministeries met de diensten, bedrijven en instellingen die daaronder ressorteren. Het VIR is dus onverkort van toepassing op Logius. In het VIR staat een risico-analyse centraal, de manier waarop is niet meer voorgeschreven. De interdepartementaal door het ICCIO vastgestelde Quickscan BIR is echter te beschouwen als de risico-analyse voor de rijksoverheid en biedt de mogelijkheid om vast te stellen in hoeverre de onderkende processen afhankelijk zijn van de betrouwbaarheid van de voorzieningen die deze processen ondersteunen en welke schade kan optreden als gevolg van het falen van deze voorzieningen. Het geheel mondt uit in het IB-plan waarin een overzicht is opgenomen van de maatregelen die ten uitvoer zijn gelegd om informatie te beveiligen. Logius heeft per voorziening een opdrachtgever. Deze is dan ook eindverantwoordelijk voor de informatiebeveiliging. Daarom is deze risico-analyse en het daaruit volgende IB-plan in onderlinge samenwerking tot stand gekomen en door beide partijen ondertekend. In de risico-analyse worden de volgende stappen doorlopen en in de navolgende hoofdstukken beschreven: Keuze van het onderzoeksobject (Hoofdstuk 2 en 3). Hierin worden de processen en voorzieningen geïnventariseerd en geclassificeerd. Beschrijving van de betrokken partijen c.q. actoren in het sturingsparadigma (Hoofdstuk 4). De verwerking van informatie en persoonsgegevens (Hoofdstuk 5). De inventarisatie van cruciale belangen in het kader van de kwetsbaarheid spionage (Hoofdstuk 6). Een beeld van de toekomstige ontwikkelingen (Hoofdstuk 7). Koppeling van voorzieningen aan processen (Hoofdstuk 8). Hierin komen de beschikbaarheids-, exclusiviteits- en de integriteitseisen van de voorzieningen voor de processen aan de orde. Vaststellen betrouwbaarheidseisen (Hoofdstuk 9). Hierin wordt bepaald of met de BIR kan worden volstaan dan wel dat een aanvullende risico-analyse nodig is. De voorafgaande hoofdstukken wordt afgesloten met het IB-plan (Hoofdstuk 10) en de explains (Hoofdstuk 11). Pagina 5 van 27

6 2 Processen 2.1 Beschrijving processen Naam van het Proces Proceseigenaar Beschrijving van het proces De klant van het proces De output van het proces Koppelvlakken met andere processen <naam van de proceseigenaar> Een korte, kwalitatieve omschrijving van het soort processen dat wordt uitgevoerd met de voorziening. Hou de beschrijving van het proces beperkt. Als de omschrijving van het proces niet voor zichzelf spreekt, voeg dan een korte toelichting toe. De klant is degene die direct aan het eind van het proces het resultaat (de output) afneemt: - <wie is de interne klant?> - <wie is de externe klant?> <De output is het resultaat van handelen in het proces> - <aanleverende processen/organisaties> - <afnemende processen/organisaties> 2.2 Classificatie processen Ieder proces wordt geclassificeerd naar de mate van belang. In onderstaande tabel worden de classificaties weergegeven. Classificatie: Ondersteunend Taak: Voorwaardenscheppend De activiteiten waaraan de typering handig om te hebben kan worden toegekend. Deze activiteiten hebben geen directe relatie naar het voortbrengen van de producten/diensten waaraan Logius haar bestaansrecht ontleent. In de meeste gevallen is hier sprake van een ondersteunende rol naar de lijn. De activiteiten vormen een waardevolle support van het primaire proces. Classificatie: Bijdragend Taak: Subtaak Er is slechts sprake van een indirecte relatie met de hoofdactiviteiten van de opdrachtgever of Logius. Het ontbreken echter van het bijdragende proces heeft echter wel effectiviteits- en efficiencyverliezen binnen het primaire proces tot gevolg. Classificatie: Strategisch Taak: Afgeleide kerntaak Het proces heeft een directe relatie met het uitvoeren van de doelstellingen van de opdrachtgever of Logius. Het betreft een primaire proces. - Aan het proces kan een ontwikkelpotentieel worden toegekend. Met andere woorden, het wordt in de toekomst belangrijker in verband met mogelijke veranderingen in de strategische doelstellingen van de opdrachtgever of Logius. - Een aanzienlijk deel van de omzet wordt gegenereerd met dit proces of een aanzienlijk deel van het te besteden budget komt ten goede aan dit proces. - Het proces heeft te maken met de uitvoering van wettelijke taken (het betreft hier primaire processen met wettelijk/contractueel vastgelegde termijnen). Pagina 6 van 27

7 Classificatie: Kritisch strategisch Taak: Kerntaak In relatie tot de doelstellingen van de opdrachtgever of Logius speelt het proces een primaire rol. Het hoort bij de primaire taken waarop de opdrachtgever of Logius direct kan worden aangesproken. De opdrachtgever of Logius ontleent haar bestaansrecht aan het uitvoeren van deze taken. - Het betreft een maatschappelijk vitaal proces. Deze vitale belangen zijn als volgt gedefinieerd: a. territoriale veiligheid: het ongestoord functioneren van Nederland als onafhankelijke staat, en in het bijzonder de territoriale integriteit van het grondgebied en de internationale positie; b. fysieke veiligheid: het ongestoord functioneren van de mens in Nederland en zijn omgeving; c. economische veiligheid: het ongestoord functioneren van Nederland als een effectieve en efficiënte economie; d. ecologische veiligheid: het beschikken over voldoende zelf herstellend vermogen van de leefomgeving bij aantasting; e. sociale en politieke stabiliteit: het ongestoorde voortbestaan van een maatschappelijk klimaat waarin groepen mensen goed met elkaar kunnen samenleven binnen de kaders van de democratische rechtstaat en gedeelde kernwaarden. - Logius krijgt 80% of meer van de inkomsten uit dit proces c.q. het budget van Logius wordt voor meer dan 80% uitgeput door dit proces. - Als de activiteit langer dan één dag stilvalt of niet goed verloopt, heeft dit ernstige gevolgen voor het voortbestaan van de organisatie, c.q. het brengt de opdrachtgever, het ministerie of Logius in een hachelijke positie. Argumentatie van de gekozen classificatie voor het proces Beschrijf de keuze die is gemaakt voor de classificatie. Van belang is het dat goed wordt gedocumenteerd wat de onderliggende keuzes zijn voor de gekozen classificatie. De resultaten zijn als volgt: Proces Classificatie Argumentatie <proces 1> Kritisch strategisch <proces 2> Strategisch <proces 3> Bijdragend <proces 4> Ondersteunend Pagina 7 van 27

8 3 Voorzieningen 3.1 Beschrijving voorziening Een beschrijving van de voorziening (en de onderliggende architectuurplaat) die wordt gebruikt voor de in de voorgaande hoofdstuk genoemde processen. Een voorziening kan bestaan uit meerdere applicaties/lagen. Aangezien het eigenaarschap van de bepaalde applicaties/lagen buiten de eigen organisatie kan liggen, is het zinvol dit onderscheid te maken. 3.2 Classificatie voorzieningen Om een proces goed te kunnen laten functioneren, wordt gebruik gemaakt van een aantal voorzieningen. In onderstaande tabel is een overzicht gegeven van classificaties van het voorzieningen. De classificaties geven een waarde aan die men hecht aan de voorziening ter ondersteuning van het proces. Typering Waardering Nuttig (N) - De voorziening geeft support bij de activiteiten binnen het proces en is handig om te hebben. Belangrijk (B) - De voorziening levert een belangrijke bijdrage aan de activiteiten binnen het proces en/of de levering van de producten of diensten. - Slechts met grote, onevenredige inspanning is voortzetting van het proces mogelijk. - Inzet van de voorziening heeft een positief effect op de doeltreffendheid en doelmatigheid van de organisatie. - De voorziening wordt door veel (interne/externe) medewerkers/burgers/organisaties gebruikt. Vitaal (V) - Het uitvoeren van de processen of het tot stand brengen van producten/diensten is (nagenoeg) onmogelijk zonder de inzet van de voorziening. - Inzet van de voorziening is essentieel voor een goede uitvoering van het proces. Argumentatie van de gekozen classificatie voor de voorziening Geef in onderstaande tabel per voorziening de classificatie aan in hoeverre het proces afhankelijk is van de voorziening. Van belang is het dat goed wordt gedocumenteerd wat de onderliggende keuzes zijn voor de gekozen classificatie. Pagina 8 van 27

9 <voorziening 1> < voorziening 2> < voorziening 3> < voorziening 4> Concept Format risico-analyse De resultaten zijn als volgt: Processen Voorzieningen <proces 1> Vitaal Belangrjk Vitaal <proces 2> Belangrijk Nuttig Vitaal <proces 3> Nuttig Nuttig Vitaal <proces 4> Nuttig Belangrijk <proces 5> Nuttig Pagina 9 van 27

10 4 Sturingsparadigma 4.1 Beschrijving sturingsparadigma rondom proces en voorziening Aanbeveling Ga, waar aan de orde, ten minste in op: 1. Opdrachtgever De opdrachtgever van een voorziening geeft de opdracht tot het gecoördineerd leveren van een voorziening voor een specifieke business behoefte. 2. Belanghebbenden oplossing/stakeholders De belanghebbenden/stakeholders bij een oplossing zijn alle externe partijen die bij de oplossing zijn betrokken. Dit kan gaan om publieke partijen of private partijen. In het algemeen wordt onderscheid gemaakt tussen de ondernemer, intermediairs en uitvragende partijen. 3. Stuurgroepen Vanuit verschillende programma s/domeinen zijn er bestuurlijke overleggen, afnemersoverleggen en stuurgroepen opgezet om sturing te geven aan de ontwikkelingen in het domein. 4. Interne leveranciers De interne leveranciers (bijvoorbeeld SSC-ICT Haaglanden) maken onderdeel uit van het Rijk, maar ook bijvoorbeeld Easi managed services dat wordt aangestuurd door een aparte afdeling binnen Logius, te weten: Infrastructuur en Services (I&S). Deze voorziening staat ter beschikking aan één of meerdere andere voorzieningen van Logius. 5. Externe leveranciers De externe leveranciers maken geen onderdeel uit van het Rijk en voeren functies uit voor Logius. 6. Governance Het organiseren van de governance is noodzakelijk voor een gestructureerde afstemming tussen de bij een voorziening betrokken partijen. De governancestructuur maakt duidelijk welke gremia bestaan in het kader van de besluitvorming en welke type beslissingen in welk gremium wordt genomen. Ook maakt de structuur duidelijk hoe taken, relaties en communicatie tussen partijen is geborgd. Pagina 10 van 27

11 5 Verwerking van informatie en persoonsgegevens 5.1 Verwerking van informatie Onder verwerken wordt verstaan het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van informatie. De volgende verwerkingen van informatie vinden plaats: Omschrijving informatie <informatie 1> <informatie 2> 5.2 Rubricering van informatie De informatie kan als volgt worden gerubriceerd: Omschrijving Rubricering Geen Departementaal vertrouwelijk Staatsgeheim confidentieel Staatsgeheim geheim Staatsgeheim zeer geheim Departementaal VERTROUWELIJK (afgekort Dep.V.) Indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries. Staatsgeheim CONFIDENTIEEL (afgekort Stg.C) Indien kennisname door niet geautoriseerden schade kan toebrengen aan een van de vitale belangen van de Staat of zijn bondgenoten. Staatsgeheim GEHEIM (afgekort Stg.G) Indien kennisname door niet geautoriseerden ernstige schade kan toebrengen aan een van de vitale belangen van de Staat of zijn bondgenoten Staatsgeheim ZEER GEHEIM (afgekort Stg.ZG) Indien kennisname door niet geautoriseerden zeer ernstige schade kan toebrengen aan een van de vitale belangen van de Staat of zijn bondgenoten. Voor verwerkingen van informatie die vallen tot en met departementaal vertrouwelijk volstaat de invoering van de BIR en er hoeven dus geen aanvullende beveiligingsmaatregelen te worden getroffen. Voor verwerkingen die vallen onder de rubricering staatsgeheim confidentieel of hoger moeten naast de invoering van de BIR aanvullende maatregelen worden getroffen. 5.3 Verwerking van persoonsgegevens Onder persoonsgegevens wordt verstaan elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Pagina 11 van 27

12 Persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, evenals persoonsgegevens over het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag alsook een nummer dat ter identificatie van een persoon bij wet is voorgeschreven (waaronder het BSN) zijn aan te merken als bijzondere persoonsgegevens. De volgende verwerkingen van persoonsgegevens (zoals bijvoorbeeld de nawgegevens (=naam, adres, woonplaats), telefoonnummers, geboortedata, functies, maar ook bijvoorbeeld gegevens als ziekteverzuim, verlof, salaris, reiskostenvergoedingen, gebruiks- of verbruikscijfers, IP-adressen en dergelijke) vinden plaats: Omschrijving persoonsgegevens <persoonsgegeven 1> <persoonsgegeven 2 > Bijzonder persoonsgegeven J/N 5.4 Doel verwerking van persoonsgegevens Hier dient u zo duidelijk mogelijk aan te geven wat het doel (of de samenhangende doeleinden) van de verwerking is. Persoonsgegevens <persoonsgegeven 1> <persoonsgegeven 2 > Doel 5.5 Rechtvaardigingsgrondslag Leg vast op welk van de volgende rechtvaardigingsgrondslagen, ingevolge artikel 8 van de Wbp, de verwerking plaatsvindt: 1. De betrokkene heeft toestemming gegeven voor de verwerking van zijn gegevens. 2. De verwerking is noodzakelijk voor het uitvoeren van een overeenkomst waarbij de betrokkene partij is. 3. De verwerking is noodzakelijk om een wettelijke verplichting na te komen. 4. De verwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene. 5. De verwerking is noodzakelijk voor uitvoering van publieke taken door bestuursorganen. 6. De verwerking is noodzakelijk voor het behartigen van een belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, mits de persoonlijke levenssfeer van de betrokkenen niet te sterk wordt aangetast. Persoonsgegevens <persoonsgegeven 1> <persoonsgegeven 2 > Rechtvaardigingsgrondslag 5.6 Classificering van persoonsgegevens Op 1 maart 2013 heeft het College Bescherming Persoonsgevens de Richtsnoeren beveiliging persoonsgegevens uitgebracht en gepubliceerd in de Staatscourant. Met de publicatie van de Richtsnoeren is AV23 (Achtergrond Studies en Verkenningen Pagina 12 van 27

13 23) uit 2001 vervallen. Daarmee zijn ook de in de AV23 opgenomen risicoklassen ingetrokken. De risicoklassen van de AV23 gaven op een duidelijke en herkenbare wijze een normering voor de risico s die gaan gepaard met de verwerking van persoonsgegevens. Bij de overheid worden de AV23 risicoklassen in de BIR nog steeds gebruikt om beveiligingsrisico s te duiden en deze klassen worden daarom in dit document als referentiekader gebruikt. Er wordt uitgegaan van vier risicoklassen. Risicoklasse 0 : Publiek niveau Dit zijn de openbare persoonsgegevens. Voorbeelden daarvan zijn de gegevens die zijn opgenomen in telefoonboeken, brochures, reclamefolders, internetsites, dag- en weekbladen, radio en tv enzovoorts. Risicoklasse I : Basisniveau Deze gegevens betreffen gegevens zoals lidmaatschapsgegevens, gegevens over werkgever/werknemerrelaties, school-leerlingrelaties, cliëntrelaties, enzovoorts. Risicoklasse II : Verhoogd risico Hieronder vallen de gegevens waarvan verlies of onzorgvuldige verwerking extra negatieve gevolgen heeft. Denk bijvoorbeeld aan bijzondere gegevens zoals gegevens over iemands gezondheid, ras, seksuele leven en dergelijke. Ook gegevens die te maken hebben met iemands economische positie vallen daaronder, of gegevens over iemands gedrag. Risicoklasse III : Hoog risico Bij deze gegevens gaat het om opsporingsgegevens, DNA-gegevens zoals gegevens over erfelijke aandoeningen waaraan iemand in de toekomst zal leiden, of gegevens over de veiligheidsonderzoeken van personen die een bijzondere positie bekleden. De persoonsgegevens kunnen als volgt worden gerubriceerd: Persoonsgegeven <persoonsgegeven 1> <persoonsgegeven 2 > Risicoklasse De BIR bevat maatregelen tot en met risicoklasse II. Voor verwerkingen die vallen in de risicoklasse III moeten naast de invoering van de BIR aanvullende maatregelen worden getroffen. 5.7 Bewaartermijn verwerking van persoonsgegevens Hier dient u zo duidelijk beargumenteerd mogelijk aan te geven wat de bewaartermijn van de persoonsgegevens is. Het resultaat is als volgt: Persoonsgegeven Bewaartermijn Argumentatie <persoonsgegeven 1> <persoonsgegeven 2 > 5.8 Verwerker van persoonsgegevens Hier dient u zo duidelijk beargumenteerd mogelijk aan te geven wie de verwerker van de persoonsgegevens is. Dat kan Logius zijn, maar ook ICT-leveranciers die Pagina 13 van 27

14 bepaalde diensten verlenen aan Logius. In dat laatste geval is er sprake van een bewerker en dient een bewerkersovereenkomst te worden opgesteld. Het resultaat is als volgt: Persoonsgegeven <persoonsgegeven 1> <persoonsgegeven 2 > Verwerker/bewerker Nota bene: Bij gegevensverkeer met landen binnen de Europese Unie zijn de gewone bepalingen over het verwerken van persoonsgegevens in de Wbp van toepassing. Bij gegevensverkeer met landen buiten de Europese Unie zijn aparte regels in de Wbp van toepassing. Raadpleeg het team CRM! Pagina 14 van 27

15 6 Belangen 6.1 Inventarisatie cruciale belangen Onder een cruciaal belang in het kader van de kwetsbaarheid spionage (KWAS) wordt verstaan informatie waarvan: kennisname door anderen dan direct belanghebbenden, waardoor de veiligheid of andere gewichtige belangen van de staat of haar bondgenoten wordt aangetast en/of; kan worden verondersteld dat buitenlandse inlichtingendiensten er belang bij hebben deze te bezitten. Er zijn drie categorieën van cruciale belangen: 1. Dataset en blauwdrukken: hierbij gaat het om in organisaties aanwezige gegevensbestanden, ontwerpen en bouwtekeningen. 2. Standpunten en strategie: bijvoorbeeld beleidsstandpunten, langjarige visies en onderhandelingsstrategieën. 3. Opkomende kernbelangen en infrastructuur: denk aan wetenschappelijke innovaties die in de toekomst in de concrete toepassingen belangrijke bijdragen aan de Nederlandse economie kunnen leveren. Argumentatie van de gekozen classificatie voor de cruciale belangen Beschrijf de keuze die is gemaakt voor de classificatie. Van belang is het dat goed wordt gedocumenteerd wat de onderliggende keuzes zijn voor de gekozen classificatie. De resultaten zijn als volgt: Informatie Cruciaal belang Argumentatie <informatie 1> < informatie 2> < informatie 3> < informatie 4> Voor de cruciale belangen moet worden vastgesteld of er naast de invoering van de BIR aanvullende maatregelen worden getroffen om de weerbaarheid te vergroten. Pagina 15 van 27

16 7 Toekomstige ontwikkelingen Schets de ontwikkelingen die op termijn relevant zijn, maar nog niet worden meegenomen. Anticipeer waar mogelijk wel op passende beveiligingsmaatregelen die nu al kunnen worden getroffen. Bijvoorbeeld: de verdere doorontwikkeling van een voorziening maakt nieuwe of verbreding van processen of dienstverlening mogelijk. Pagina 16 van 27

17 8 Betrouwbaarheidseisen die aan het proces met de voorziening worden gesteld 8.1 Betrouwbaarheidseisen Het belang dat wordt toegekend aan een proces kan verder worden gedetailleerd naar de betrouwbaarheidsaspecten beschikbaarheid, exclusiviteit/vertrouwelijkheid en integriteit., de zogeheten BEI-eisen. Beschikbaarheid betreft de mate waarin een voorziening in bedrijf is op het moment dat het voor het proces noodzakelijk is. Exclusiviteit betreft de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden. Integriteit betreft de mate waarin een informatiesysteem zonder fouten is. In de hierna volgende tabel voor beschikbaarheid, vertrouwelijkheid/exclusiviteit en integriteit worden de volgende waarden gehanteerd: Zeer Laag (ZL), Laag (L) Laag (L) Midden (M) Hoog (H Zeer Hoog (ZH). Pagina 17 van 27

18 8.2 Betrouwbaarheidseisen In de hierna volgende tabel voor beschikbaarheid, vertrouwelijkheid/exclusiviteit en integriteit worden de volgende waarden gehanteerd: Zeer Laag (ZL), Laag (L) Laag (L) Midden (M) Hoog (H Zeer Hoog (ZH). Waarden Zeer Laag/Laag Midden Hoog Zeer Hoog Beveiliging is geen/nagenoeg geen criterium. Een zekere mate van beveiliging wordt op prijs gesteld. Beveiliging is absoluut noodzakelijk. Beveiliging is primair criterium. Betrouwbaarheidseisen Beschikbaarheid Onnodig Noodzakelijk Wezenlijk Onmisbaar Er hoeven geen garanties te worden gehaald. Een enkele keer uitval is aanvaardbaar. Nauwelijks uitval. Slechts in uitzonderlijke gevallen niet operationeel. Exclusiviteit Openbaar Afgeschermd Cruciaal Dwingend Gegevens behoeven niet te worden afgeschermd. Gegevens uitsluitend ter inzage voor een bepaalde groep. Gegevens uitsluitend toegankelijk voor direct betrokkenen. Belangen worden ernstig geschaad indien ongeautoriseerden toegang krijgen. Integriteit Passief Actief Detecteerbaar Onontbeerlijk Geen integriteitsbescherming. Proces tolereert enkele fouten. Een zeer beperkt aantal informatie. fouten is toegestaan. Proces eist foutloze Pagina 18 van 27

19 Bij het bepalen van de finale waarden worden de volgende risico s met impact meegenomen: Risico Impact Financieel/ - Klein dragelijk financieel verlies. economisch - Aanzienlijk verlies met consequenties voor liquiditeit. belang - Substantieel verlies, onoverbrugbare kosten, voortbestaan in geding. Vertraging dienstverlening - Nauwelijks merkbaar en snel herstel. Kwaliteit dienstverlening nauwelijks in het geding; geen aantasting van leveringsafspraken. - Kwaliteit dienstverlening kan in het geding komen. - Kwaliteit dienstverlening ernstig in het geding. Imago - Beperkte negatieve uitingen in de media. - Bijzondere persoonsgegevens of gerubriceerde informatie op straat. Negatieve publiciteit op grote schaal, maatschappelijke verontwaardiging. Juridisch - Geen aantasting van afspraken; geen juridische sancties. - Boetes en schadeclaims. - Intervenieren door College Bescherming Persoonsgegevens. Politiek - Geen politieke onrust. - Kamervragen, vragen van ombudsman, parlementair onderzoek, bewindslieden ter verantwoording. - Onvolkomenheden bij rekenkameronderzoek of onderzoek auditdienst rijk, parlementaire enquete, positie bewindslieden ter discussie. Relatie klant- Logius Halen van beleidsdoelstellingen - Ongemak op medewerkersniveau kenbaar gemaakt. - Communicatie op managementniveau; verlies van managementcontrol. - Bestuurlijke escalatie. - Geen gevolgen buiten de organisatie; individuele ambtenaar wordt aangesproken. - Gevolgen intern zichtbaar. Directeur wordt aangesproken. - Gevolgen fors zichtbaar buiten Logius. Minister wordt aangesproken. Werkwijze Ga per proces na wat de gevolgen zijn van het falen van de desbetreffende voorziening voor het proces op de betrouwbaarheidsaspecten Beschikbaarheid (B), Exclusiviteit (E) en Integriteit (I) en geef in de tabel de waardering aan: Zeer Laag (ZL), Laag (L), Midden (M), Hoog (H), Zeer hoog (ZH). Resultaten Beschikbaarheid <proces 1> <proces 2> <voorziening 1> <voorziening 2> - Pagina 19 van 27

20 Resultaten Exclusiviteit <proces 1> <proces 2> <voorziening 1> <voorziening 2> - Resultaten Integriteit <proces 1> <proces 2> <voorziening 1> <voorziening 2> - Argumentatie van de gekozen betrouwbaarheidseisen Beschrijf hier de keuze die is gemaakt voor de gekozen waardering. Van belang is het dat goed wordt gedocumenteerd wat de onderliggende keuzes zijn. Pagina 20 van 27

21 9 Conclusies 9.1 Samenvatting resultaten en conclusies Aan de hand van onderstaande indeling kan worden bepaald of met de BIR kan worden volstaan, danwel dat moet worden bepaald of additionele maatregelen nodig zijn. Samenvatting resultaten Proces beschrijving Proces Voorziening Boven BIR niveau Classificatie proces & voorziening Kritisch strategisch Strategisch Bijdragend Ondersteunend Vitaal Nuttig Ondersteunend Kritisch strategisch + Vitaal Of Strategisch + Vitaal Betrouwbaarheidseis - Beschikbaarheid Zeer Laag Laag Midden Hoog Zeer Hoog Zeer Hoog Betrouwbaarheidseis - Integriteit Zeer Laag Laag Midden Hoog Zeer Hoog Zeer Hoog Betrouwbaarheidseis - Vertrouwelijkheid Zeer Laag Laag Midden Hoog Zeer Hoog Zeer Hoog Pagina 21 van 27

22 Conclusie Conclusie Wanneer het proces en de ondersteunende voorziening is geclassificeerd als: - Kritisch strategisch proces in combinatie met vitale voorziening; of - Strategisch proces in combinatie met vitale voorziening; dan volstaat de BIR niet en dient een aanvullende risico-analyse te worden uitgevoerd. Wanneer een proces of voorziening eisen stelt op het gebied van Beschikbaarheid, Integriteit en Vertrouwelijkheid op het niveau Zeer Hoog, dan volstaat de BIR niet en dient een aanvullende risico-analyse te worden uitgevoerd. Pagina 22 van 27

23 10 IB-Plan Op grond van het VIR en het VIRBI, en op grond van een ordelijk en controleerbare administratieve organisatie, is het verplicht om de de risico-analyse voortvloeiende maatregelen schriftelijk vast te leggen. Daarmee wordt dan tevens aan de eis van schriftelijke vastlegging als bedoeld in artikel 15, lid 5, van de Wbp voldaan. Definieer de getroffen maatregelen aan de hand van de BIR en de aanvullende risicoanalyse. Het IB-plan is derhalve niet een implementatieplan van nog in te voeren maatregelen Samenvatting resultaten en conclusies Het beheer van voorziening moet ten minste voldoen aan zowel de BIR. De BIR bestaat uit de volgende hoofdstukken: Beveiligingsbeleid Organisatie van informatiebeveiliging Beheer van bedrijfsmiddelen Beveiligingseisen ten aanzien van personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Verwerving, ontwikkeling en onderhoud van informatiesystemen Beheer van informatiebeveiligingsincidenten Bedrijfscontinuïteitsbeheer Naleving In deze paragraaf worden, per hoofdstuk van de BIR, de maatregelen (en eventueel de vindplaats) ter beheersing daarvan weergegeven. Pagina 23 van 27

24 Voorbeeld: 8. Personele beveiliging Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. nr Onderwerp Toelichting Beheersmaatregel Toelichting/Vind plaats/ Screening Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en externe gebruikers behoren te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoren evenredig te zijn aan de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's Van de in dienst getreden medewerker is de identiteit vastgesteld. De in dienst getreden medewerker heeft een VOG overlegd. Ingehuurd personeel heeft een geheimhouding sverklaring ondertekend. De in dienst getreden medewerker op een vertrouwensfu nctie beschikt over een functiegerelate erde VGB Risico s die niet door de BIR worden afgedekt Inventariseer de bedreigingen die boven de BIR uitgaan en de kans op het manifest worden van bedreigingen en de gevolgen hiervan. Hier komt de inhoudelijke argumentatie waarom de BIR wordt overschreden. In deze paragraaf wordt vervolgens aangegeven welke type aanvullende maatregelen zijn getroffen. Aanvullende maatregelen zijn ten minste aan de orde bij: 1. Verwerkingen van informatie die vallen onder de rubricering staatsgeheim confidentieel of hoger. 2. Verwerkingen van persoonsgegevens die vallen in risicoklasse III. Pagina 24 van 27

25 Aanvullende maatregelen kunnen voorts aan de orde zijn bij: 3. Cruciale belangen als bedoeld in hoofdstuk Behandeling aanvullende risico-analyse Er dient systematisch te worden vastgesteld en vastgelegd welke significante, boven de BIR-uitstijgende risico s worden gelopen voor de processen bij falende voorzieningen. De risicobeoordeling is het inschatten van: de kans (waarschijnlijkheid) dat een risico of een kans zich zal voordoen; de gevolgen/impact/schade/voordelen van een risico of een kans op de doelbereiking. Voor de behandeling van de in deze analyse bepaalde risico s kunnen vier scenario s worden genoemd: vermijden van risico s door het aanpassen van processen en/of van de informatievoorziening; overdragen van risico s aan andere partijen, bijvoorbeeld verzekeraars of leveranciers; bewust aanvaarden van (rest)risico s; verbeteren van beveiligingsmaatregelen (preventief en/of repressief). Vermijden van risico s [Gezien de aard van de processen en de informatievoorziening en de vastgestelde risico s komen er geen risico s in aanmerking voor de optie van Vermijden. ] Overdragen van risico s Het eventueel verder overdragen van risico s wordt voorgesteld voor [bedreigingen van fysieke aard die potentieel catastrofale gevolgen kunnen hebben], zoals [bedreiging]. Het verder verzekeren van deze risico s kan hierbij een optie zijn. Bewust aanvaarden van (rest)risico s De bedreigingen die onderaan de rangschikking staan en een relatief lage kans en geringe gevolgen hebben komen in aanmerking voor het bewust aanvaarden van het risico. Verbeteren van beveiligingsmaatregelen Op grond van de analyse wordt een aantal aanbevelingen gedaan voor het verbeteren van beveiligingsmaatregelen. De beoordeling van de maatregelen geeft namelijk aan dat verdere verbetering van maatregelen mogelijk is. De volgende maatregelen komen voor verbetering in aanmerking. Maatregel [Motivatie en toelichting]. Pagina 25 van 27

26 11 Explains In dit hoofdstuk wordt een overzicht van de explains opgenomen Wat is een explain Een explain is een door de verantwoordelijke lijnmanager geaccepteerde verklaring waarom aan bepaalde normen uit de BIR niet wordt voldaan Wat betekent voldoen aan BIR normen? In de BIR (hoofdstuk 2.3: controleerbaarheid en auditeerbaarheid) staat beschreven dat voldaan moet worden aan ISO27002/bijlage A + de R-normen. Dit is leidend om te voldoen aan de BIR normen. De BIR bevat de hoofdstukindeling en de normen uit ISO27001/bijlage A. Alle 1, 2 en 3-cijferige hoofdstukjes zijn direct uit ISO27001/bijlage A overgenomen. Hieraan moet, samen met de R- normen dus verplicht worden voldaan. Daarnaast bevat de BIR normen met een 4 cijferige nummering die niet met een R zijn gemerkt. Dat zijn suggesties voor een goede invulling van de BIR, afgeleid van de implementatierichtlijnen uit ISO Die normen zijn niet verplicht maar wel een handige handreiking Waarvoor moet een explain worden opgesteld? Een explain moet worden opgesteld voor elk restrisico of niet ingevulde BIR maatregel: 1. Een BIR norm die voor de desbetreffende situatie (organisatie, systeem) wel van toepassing is maar waar niet aan voldaan wordt 2. Een BIR norm die volgens de eigenaar van een systeem voor de desbetreffende situatie niet van toepassing is 3. Overige bij een risicoanalyse gesignaleerde restrisico s Een explain-verklaring bevat: De BIR norm of aanvullende noodzakelijk geachte maatregel waaraan niet wordt voldaan. Voldoende begrijpelijk geformuleerd en reden waarom nog niet kan worden voldaan. Risico van de explain o Voor de eigen organisatie o Voor andere organisaties (+ verklaring welke organisaties) Reden van acceptatie van de explain. Geldigheid (duurzaam of tijdelijk met vermelding van einddatum) Verantwoordelijke organisatie, actiehouder (=contactpersoon) en lijnmanager Refentienummer en datum van de explain Status (kan tussentijds worden bijgehouden) Pagina 26 van 27

27 Bijlage 1 Deelnemers risico-analyse/ib-plan Pagina 27 van 27