AANSLUITEN BIJ DE IBD Het stappenplan
Auteur IBD Datum januari 2014 2
Inhoud 1. Inleiding 4 1.1 Dienstenportfolio van de IBD 4 1.2 Officieel aansluiten bij de IBD 5 1.3 Bestuurlijk draagvlak 6 1.4 Overzicht van de stappen in het aansluitproces 6 2. Stap 1: Een ACIB 7 2.1 Doel van deze stap 7 2.2 Wat moet u doen? 7 2.3 Wat doet de IBD? 7 2.4 Hoe wordt deze stap afgerond? 8 3. Stap 2 : Een VCIB 9 3.1 Doel van deze stap 9 3.2 Wat moet u doen? 9 3.3 Wat doet de IBD? 9 3.4 Hoe wordt deze stap afgerond? 9 4. Stap 3: Een lijst met IP-adressen en URL s 11 4.1 Doel van deze stap 11 4.2 Wat moet u doen? 11 4.3 Wat doet de IBD? 11 4.4 Hoe wordt deze stap afgerond? 11 5.1 Stap 4: Een gemeentelijke ICT-foto 13 5.1 Doel van deze stap 13 5.2 Wat moet u doen? 13 5.3 Wat doet de IBD? 13 5.4 Hoe wordt deze stap afgerond? 14 Bijlage 1: IBD-aansluitformulier ACIB 15 Bijlage 2: IBD-aansluitformulier VCIB 16 Bijlage 3: Lijst met gemeentelijke IP-adressen en URL s 18 Bijlage 4: Aansluitformulier Kwetsbaarheidswaarschuwingen 19 Bijlage 5: Toelichting op de gemeentelijke ICT-foto 20 3
1. Inleiding De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de collectieve keuze van gemeenten voor coördinatie en ondersteuning op het gebied van informatiebeveiliging via de IBD. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. Eén van de doelen van de IBD is het aan gemeenten leveren van concrete ondersteuning in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. Om invulling te geven aan dit doel, heeft de IBD een dienstenportfolio ontwikkeld. Een deel van dit dienstenportfolio kunt u altijd afnemen. Voor een ander deel, wat zich richt op uw specifieke gemeentelijke situatie, moet u officieel aangesloten zijn bij de IBD. De IBD werkt hierbij nauw samen met het Nationaal Cyber Security Centrum (NCSC). Dit stappenplan beschrijft gedetaileerd het aansluitproces bij de IBD. Heeft u nog aanvullende vragen na het lezen van dit stappenplan dan kunt u contact opnemen met de IBD middels de Helpdesk van de IBD 070-373 8011 of via het e- mailadres aansluiten@ibdgemeenten.nl. 1.1 Dienstenportfolio van de IBD De IBD heeft drie concrete doelen. Bij het bereiken van deze doelen staat kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging bij gemeenten centraal. 1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. Doel twee vertaalt zich in de uitwerking naar een drietal verantwoordelijkheden richting gemeenten: 1. Incidentpreventie 2. Incidentdetectie 3. Incidentcoördinatie Om invulling te geven aan deze verantwoordelijkheden heeft de IBD een dienstenportfolio ontwikkeld. Een deel van dit dienstenportfolio kunt u altijd afnemen. Voor een ander deel, wat zich richt op uw specifieke gemeentelijke situatie, moet u officieel aangesloten zijn bij de IBD. De IBD werkt hierbij nauw samen met het Nationaal Cyber Security Centrum (NCSC). 4
Het dienstenportfolio ziet er als volgt uit: 1. Incidentpreventie Het doel van Incidentpreventie voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over algemene dreigingen, door informatie te verzamelen over gemeentelijke incidenten en hierover periodiek te rapporteren. Kwetsbaarheidswaarschuwingen Het doel van de dienstverlening Kwetsbaarheidswaarschuwingen voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over bij de IBD bekende aankomende of acute ICTgerelateerde beveiligingsrisico s, zoals kwetsbaarheden in soft- en/of hardware. 2. Incidentdetectie Het doel van Incidentdetectie voor gemeenten is het tegengaan van verdere verspreiding van mogelijke virussen, wormen, botnetten en aanvallen van buitenaf. De IBD waarschuwt die gemeenten waarvan bekend is dat deze gemeenten geïnfecteerde systemen hebben. 3. Incidentcoördinatie Het doel van Incidentcoördinatie voor gemeenten is, in het geval van incidenten, het beperken van de technische-, financiële- en imagoschade voor gemeenten. Het doel is tevens het voorkomen van verspreiding van deze incidenten. Een specifieke dienstverlening op dit vlak is: Crisiswoordvoering Het doel van crisiswoordvoering is om de impact van een incident of crisis zo gering als mogelijk te houden voor gemeenten. De IBD ondersteunt in geval van incidenten of crisis bij gemeenten middels concrete tips aan de woordvoerder van gemeenten. 1.2 Officieel aansluiten bij de IBD Om u als gemeente concreet te kunnen ondersteunen, is een officiële aansluiting van uw gemeente bij de IBD noodzakelijk. Zo n officiële aansluiting betekent enerzijds dat u als gemeente een aantal zaken dient in te richten om de IBD-dienstverlening af te nemen en anderzijds dat de IBD van u concrete informatie nodig heeft om gericht te kunnen handelen. Om het aansluitproces voor u als gemeente zo overzichtelijk als mogelijk te maken is in dit document een stappenplan beschreven voor het aansluiten bij de IBD. Hierin is per stap beschreven wat u als gemeenten moet doen, wie u dit binnen uw gemeente het beste kunt laten doen, wat u van de IBD kunt verwachten als u het hebt gedaan en hoe iedere stap wordt afgerond. 5
1.3 Bestuurlijk draagvlak Parallel aan de, in dit document beschreven stappen, is het nuttig en wenselijk om bestuurlijke aandacht te vragen voor het aansluiten op de diensten van de IBD. Dit draagt ten eerste bij aan de verbinding tussen bestuur en ambtenaren op het vlak van informatiebeveiliging, ten tweede is dit nodig omdat B&W een rol heeft tijdens het aansluitproces. De burgemeester (of de gemeentesecretaris) moet namelijk de Vertrouwde Contactpersoon Informatiebeveiliging voor de gemeente aanstellen in stap 2 en heeft een rol bij ernstige crisissituaties op het vlak van informatiebeveiliging. In het licht van de toenemende digitalisering van gemeentelijke bedrijfsvoering en dienstverlening is aandacht voor informatiebeveiliging niet alleen nuttig maar ook noodzakelijk geworden. De IBD draagt hier graag haar steentje aan bij. Samen met uw gemeente en ook samen met bestuurders van uw gemeente. Want juist door intensief samen te werken, kan informatiebeveiliging in de volle breedte een onderwerp worden dat blijvend aandacht krijgt binnen uw gemeente. Ook aan de bestuurstafel. 1.4 Overzicht van de stappen in het aansluitproces Nr. Stap Wat moet een gemeente doen? 1. Aanstellen ACIB (aanstellen van een Algemene Contactpersoon Informatiebeveiliging (ACIB)) 2. Aanstellen VCIB (aanstellen van een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB)) 3. Doorgeven IPadressen en URL s 4. Aanleveren gemeentelijke ICTfoto - IBD aansluitformulier ACIB invullen - Incident proces inrichten - IBD aansluitformulier VCIB invullen inclusief handtekening gemeentesecretaris of burgemeester - Lijst met gemeentelijke IP-adressen en URL s invullen - De lege foto invullen - Configuratiemanagement en patchmanagement proces inrichten Wat krijgt de gemeente? - Waarschuwingen en informatie met een niet vertrouwelijk karakter over algemene bedreigingen en incidenten - Mogelijkheid om incidenten te melden bij de IBD - Waarschuwingen en informatie met een vertrouwelijk karakter over mogelijke bedreigingen en incidenten - Mogelijkheid om incidenten, waarbij ook vertrouwelijke gegevens worden uitgewisseld, te melden bij de IBD - Waarschuwingen over mogelijk geïnfecteerde systemen - IBD kwetsbaarheidswaarschuwingen op maat over mogelijke kwetsbaarheden in hard- en software 6
2. Stap 1: Een ACIB 2.1 Doel van deze stap Door een Algemene Contactpersoon Informatiebeveiliging (ACIB) aan te stellen, kan uw gemeente gebruik maken van de IBD-dienstverlening behorende bij Incidentpreventie, detectie, en -coördinatie. Bovendien krijgt u hierdoor als gemeente meer grip op uw Incident Management Proces. 2.2 Wat moet u doen? Om er voor te zorgen dat u als gemeente optimaal gebruik kunt maken van de IBDdienstverlening behorende bij Incidentpreventie, -detectie en -coördinatie, is het van belang dat de IBD in ieder geval beschikt over actuele contactgegevens van de gemeentelijke Algemene Contactpersoon Informatiebeveiliging (ACIB). Bij sommige incidenten is het bovendien mogelijk dat bij de uitvoering van deze dienstverlening vertrouwelijke gegevens worden uitgewisseld. Dit doet de IBD alleen met een gemeentelijke Vertrouwde Contactpersoon Informatiebeveiliging (VCIB). Dat kan alleen als u stap 2 van het aansluitproces heeft doorlopen. U kunt meerdere personen als ACIB doorgeven. Denk echter goed na over het aantal mensen dat als ACIB wordt aangesteld. Zoveel mogelijk mensen op de lijst zetten, heeft als nadeel dat iedereen kan denken dat de ander persoon het wel oppakt. Als er slecht 1 persoon op de lijst staat, loopt u als gemeente het risico dat het niet wordt opgepakt als deze persoon er niet is. Immers, de IBD kan geen helaas opvolging geven aan out-ofoffice antwoorden op mailtjes. Het is van groot belang dat uw gemeente het Incident Management Proces ingericht en operationeel heeft. Dit, omdat incidentmeldingen vaak een spoedeisend karakter hebben, waarbij gestructureerde opvolging noodzakelijk is. U kunt de contactgegevens op het IBD-aansluitformulier ACIB (zie bijlage 1) invullen en het formulier mailen aan aansluiten@ibdgemeenten.nl. Een Word versie van het formulier kunt u vinden op de IBD-website op de pagina downloads Informatiebeveiligingsdienst onder het kopje aansluitformulieren. 2.3 Wat doet de IBD? De IBD registreert de gegevens van de ACIB in haar systemen. Hierna ontvangt u automatisch algemene incidentmeldingen per e-mail. 7
2.4 Hoe wordt deze stap afgerond? De ACIB ontvangt een bevestigingsbericht per e-mail dat hij/zij voortaan door de IBD als ACIB van uw gemeente wordt gezien. Uw burgemeester en/of gemeentesecretaris ontvangt een bevestiging per e-mail dat zijn/haar gemeente stap 1 van het aansluiten bij de IBD heeft doorlopen, inclusief de naam van de aangemelde ACIB en een uitleg over de volgende stappen in het proces. Na het afronden van deze stap kunt u de Helpdesk van de IBD 24 uur per dag, 7 dagen per week, bellen voor het melden van incidenten op telefoonnummer 070-373 8011. Tijdens kantooruren reageert de IBD binnen 30 minuten op een incidentmelding. Buiten kantooruren is de IBD bereikbaar voor spoedeisende meldingen en zal de IBD binnen 60 minuten reageren op een telefonische oproep. U bent als gemeente zelf verantwoordelijk voor het actueel houden van de contactgegevens van de ACIB. U kunt de contactgegevens wijzigen door opnieuw een IBD-aansluitformulier ACIB in te vullen en te mailen naar aansluiten@ibdgemeenten.nl. 8
3. Stap 2 : Een VCIB 3.1 Doel van deze stap Door een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) aan te stellen kan uw gemeente optimaal gebruik maken van de dienstverlening behorende bij Incidentpreventie, -detectie, -coördinatie, ook als er vertrouwelijke gegevens moeten worden uitgewisseld. Een tweede doel van deze stap is uw gemeente voor te bereiden op de volgende stappen in het aansluitproces. Zonder aangestelde VCIB kunnen de stappen 3 en 4 van dit stappenplan namelijk niet worden uitgevoerd. 3.2 Wat moet u doen? Bij het gebruik van de IBD-dienstverlening aangaande Incidentpreventie, -detectie en - coördinatie komt het regelmatig voor dat door de IBD vertrouwelijke informatie wordt verstrekt. Reden waarom de IBD van uw gemeente één of meer Vertrouwde Contactpersonen Informatiebeveiliging (VCIB) dient vast te leggen. Het NCSC en de IBD behandelen de door gemeenten aangeleverde informatie vertrouwelijk en verwachten dat ook van u als gemeente. Door als gemeente een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) aan te stellen en de contactgegevens aan de IBD door te geven, kunt u deze dienstverlening bij de IBD afnemen. De burgemeester of de gemeentesecretaris is verantwoordelijk voor het aanstellen van een VCIB. U kunt de contactgegevens op het IBD-aansluitformulier VCIB (zie bijlage 2) invullen en het formulier mailen aan aansluiten@ibdgemeenten.nl. Een Word versie van het formulier kunt u vinden op de IBD-website op de pagina downloads Informatiebeveiligingsdienst onder het kopje aansluitformulieren. 3.3 Wat doet de IBD? De IBD registreert de gegevens van de VCIB in haar systemen. Met de VCIB wordt door de IBD individuele intakegesprekken gevoerd om afspraken te maken over wat deze vertrouwelijkheid inhoudt. Zo kan het voorkomen dat de VCIB informatie ontvangt, die absoluut niet met anderen binnen uw gemeente gedeeld mag worden. 3.4 Hoe wordt deze stap afgerond? Uw VCIB ontvangt een bevestigingsbericht per e-mail dat hij/zij voortaan door de IBD als VCIB van uw gemeente wordt gezien. 9
Uw burgemeester en/of gemeentesecretaris ontvangt een bevestiging per e-mail dat zijn/haar gemeente stap 2 van het aansluiten bij de IBD heeft doorlopen, inclusief de naam van de aangemelde VCIB en een uitleg over de volgende stappen in het proces. Zodra de vertrouwelijke contactpersonen zijn vastgelegd bij de IBD, zijn dit de personen die incidenten met een vertrouwelijk karakter mogen melden en opvolgen bij de IBD. De gemeente is zelf verantwoordelijk voor het actueel houden van de contactgegevens van de VCIB. U kunt de contactgegevens wijzigen door opnieuw een IBDaansluitformulier VCIB in te vullen en te mailen naar aansluiten@ibdgemeenten.nl. 10
4. Stap 3: Een lijst met IP-adressen en URL s 4.1 Doel van deze stap Nadat de VCIB is vastgelegd bij de IBD, kunt u als gemeente uw IP- adressen en URL s doorgeven aan de IBD en hierdoor gebruik gaan maken van de dienstverlening behorende bij Incidentdetectie. 4.2 Wat moet u doen? De IBD vraagt u om een lijst met IP-adressen en URL s te maken en deze door te geven aan de IBD. U kunt een voorbeeld van deze lijst vinden in bijlage 3. Een Word versie van het formulier kunt u vinden op de IBD-website op de pagina downloads Informatiebeveiligingsdienst onder het kopje aansluitformulieren. De lijst dient u te versleutelen en te mailen naar aansluiten@ibdgemeenten.nl. Stuur het wachtwoord niet mee. De IBD neemt telefonisch contact met u op over het wachtwoord van het versleutelde document. De in gebruik zijnde gemeentelijke IP-adressen en URL s worden gebruikt door de IBD, i.s.m. met het NSCS om te controleren of deze voorkomen op lijsten die het NCSC ontvangt. Bijvoorbeeld lijsten met systemen die contact hebben gezocht met een bepaald Botnet. 4.3 Wat doet de IBD? De IBD neemt de gegevens op in haar systemen en geeft de gegevens anoniem door aan het NCSC. 4.4 Hoe wordt deze stap afgerond? De VCIB ontvangt een ontvangstbevestiging van het versleutelde bestand. De VCIB ontvangt een e-mail op het moment dat de IP-adressen en URL s zijn opgenomen in het geautomatiseerde detectieprogramma van het NCSC. Dit kan enkele weken duren. Indien daarna een besmetting is geconstateerd die betrekking heeft op uw gemeente, neemt de IBD contact op met de VCIB per e-mail of telefoon. Uw burgemeester en/of gemeentesecretaris ontvangt een bevestiging per e-mail dat zijn/haar gemeente stap 3 van het aansluiten bij de IBD heeft doorlopen en een uitleg over de volgende stappen in het proces. 11
De gemeente is zelf verantwoordelijk voor het actueel houden van de IP-adressen en URL s. U kunt de gegevens wijzigen door opnieuw een Lijst met gemeentelijke IPadressen en URL s in te vullen en te mailen naar aansluiten@ibdgemeenten.nl. 12
5.1 Stap 4: Een gemeentelijke ICT-foto 5.1 Doel van deze stap Door informatie aan te leveren over de bij uw gemeente in gebruik zijnde hard- en software, kunt u gebruik maken van de dienstverlening Kwetsbaarheidswaarschuwingen voor gemeenten. Het doel van de dienstverlening Kwetsbaarheidswaarschuwingen is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over bij de IBD bekende aankomende of acute ICT-gerelateerde beveiligingsrisico s, zoals kwetsbaarheden in soft- en/of hardware. 5.2 Wat moet u doen? In overleg met het NCSC is een bestand samengesteld met veel voorkomende hard- en software, de zogenaamde lege gemeentelijke ICT-foto. Deze lege foto kunt u opvragen bij de IBD. In het lege foto-bestand dient u aan te geven welke hard- en software bij uw gemeente in gebruik is. Voor het invullen van de lege foto heeft de IBD een aparte toelichting opgesteld. Deze toelichting vindt u in bijlage 5. Behalve het vullen van de foto moet u nadenken over de beste plek waar de Kwetsbaarheidswaarschuwingen in de organisatie kunnen binnenkomen. Dit kan de ACIB zijn, maar bijvoorbeeld ook een helpdesk of servicedesk. Belangrijk is dat de waarschuwingen worden geregistreerd, dat gestructureerd opvolging wordt gegeven en dat duidelijk is in welke gevallen er geëscaleerd moet worden. In bijlage 4 vindt u het aansluitformulier Kwetsbaarheidswaarschuwingen, waarop u apart kunt aangeven waar de waarschuwingen moeten binnenkomen, wie het periodiek overzicht van de waarschuwingen moet ontvangen en naar welk mobiel nummer een sms gezonden moet worden als er een kwetsbaarheidwaarschuwing is met een hoge inschatting van zowel kans als impact (een zgn. [H/H]-advies). Een Word versie van het formulier kunt u vinden op de IBD-website op de pagina downloads Informatiebeveiligingsdienst onder het kopje aansluitformulieren. Stuur het gevulde ingevulde en ondertekende aansluitformulier Kwetsbaarheidswaarschuwingen en het versleutelde foto-bestand aan aansluiten@ibdgemeenten.nl. Stuur het wachtwoord niet mee. De IBD neemt telefonisch contact met u op over het wachtwoord van het versleutelde document. 5.3 Wat doet de IBD? De IBD registreert de geleverde gegevens in haar systemen. 13
5.4 Hoe wordt deze stap afgerond? De VCIB en de ACIB ontvangen een e-mail op het moment dat de IBD de gemeentelijke ICT-foto in haar systemen heeft verwerkt. Vanaf dit moment ontvangt uw gemeente gerichte Kwetsbaarheidswaarschuwingen. Uw burgemeester en/of gemeentesecretaris ontvangt een bevestiging per e-mail dat zijn/haar gemeente stap 4 van het aansluiten bij de IBD heeft doorlopen met de mededeling dat het aansluitproces bij de IBD is voltooid. 14
Bijlage 1: IBD-aansluitformulier ACIB Naam Gemeente: Algemeen Contactpersoon Informatiebeveiliging Naam De heer / Mevrouw Functie E-mailadres Telefoonnummer kantoor Telefoonnummer mobiel 1 (voorkeur) Telefoonnummer mobiel 2 (alternatief) Handtekening Tweede Algemeen Contactpersoon Informatiebeveiliging Naam De heer / Mevrouw Functie E-mailadres Telefoonnummer kantoor Telefoonnummer mobiel 1 (voorkeur) Telefoonnummer mobiel 2 (alternatief) Handtekening Dit document verzenden naar aansluiten@ibdgemeenten.nl De persoonsgegevens die de Informatiebeveiligingsdienst voor gemeenten (IBD) verwerkt ten behoeve van haar dienstverlening vallen onder het Vrijstellingenbesluit van de WBP. De Informatiebeveiligingsdienst respecteert uw privacy en draagt er zorg voor dat uw persoonlijke informatie vertrouwelijk en in overeenstemming met de WBP wordt behandeld. Deze gegevens worden niet aan derden doorgegeven, tenzij u hiervoor toestemming hebt gegeven of wij hiertoe wettelijk verplicht zijn. 15
Bijlage 2: IBD-aansluitformulier VCIB Naam Gemeente: Vertrouwde Contactpersoon Informatiebeveiliging Naam De heer / Mevrouw Functie E-mailadres Telefoonnummer kantoor Telefoonnummer mobiel 1 (voorkeur) Telefoonnummer mobiel 2 (alternatief) Tweede Vertrouwde Contactpersoon Informatiebeveiliging Naam De heer / Mevrouw Functie E-mailadres Telefoonnummer kantoor Telefoonnummer mobiel 1 (voorkeur) Telefoonnummer mobiel 2 (alternatief) Bevoegd vertegenwoordiger Naam Functie E-mail adres 16
Ondertekening 1. Vertrouwde Contactpersoon Informatiebeveiliging Ondergetekende, aangewezen als Vertrouwde Contactpersoon Informatiebeveiliging van de gemeente voor de IBD, verklaart de vertrouwelijke gegevens die hem door de IBD ter beschikking worden gesteld vertrouwelijk te behandelen. Naam : Datum : Handtekening: 2. Tweede Vertrouwde Contactpersoon Informatiebeveiliging Ondergetekende, aangewezen als Vertrouwde Contactpersoon Informatiebeveiliging van de gemeente voor de IBD, verklaart de vertrouwelijke gegevens die hem door de IBD ter beschikking worden gesteld vertrouwelijk te behandelen. Naam : Datum : Handtekening: 3. Bevoegd vertegenwoordiger Ondergetekende, bevoegd vertegenwoordiger van de gemeente verklaart dat de op dit formulier ingevulde contactpersonen bevoegd zijn de gemeente te vertegenwoordigen in haar contacten met de IBD, en bevoegd zijn om vertrouwelijke gegevens te behandelen namens de gemeente. Naam : Datum : Handtekening : Dit document verzenden naar aansluiten@ibdgemeenten.nl De persoonsgegevens die de Informatiebeveiligingsdienst voor gemeenten (IBD) verwerkt ten behoeve van haar dienstverlening vallen onder het Vrijstellingenbesluit van de WBP. De Informatiebeveiligingsdienst respecteert uw privacy en draagt er zorg voor dat uw persoonlijke informatie vertrouwelijk en in overeenstemming met de WBP wordt behandeld. Deze gegevens worden niet aan derden doorgegeven, tenzij u hiervoor toestemming hebt gegeven of wij hiertoe wettelijk verplicht zijn. 17
Bijlage 3: Lijst met gemeentelijke IP-adressen en URL s Gemeente: Begin IP adres Eind IP adres Range Range Range IP nummer URL Eventuele hostingpartij Noodnummer hostingpartij Vertrouwde Contactpersoon Informatiebeveiliging Naam: Datum: Handtekening: Dit document versleuteld verzenden naar aansluiten@ibdgemeenten.nl. Stuur het wachtwoord niet mee. De IBD neemt telefonisch contact met u op over het wachtwoord van het versleutelde document. De persoonsgegevens die de Informatiebeveiligingsdienst voor gemeenten (IBD) verwerkt ten behoeve van haar dienstverlening vallen onder het Vrijstellingenbesluit van de WBP. De Informatiebeveiligingsdienst respecteert uw privacy en draagt er zorg voor dat uw persoonlijke informatie vertrouwelijk en in overeenstemming met de WBP wordt behandeld. Deze gegevens worden niet aan derden doorgegeven, tenzij u hiervoor toestemming hebt gegeven of wij hiertoe wettelijk verplicht zijn. 18
Bijlage 4: Aansluitformulier Kwetsbaarheidswaarschuwingen Naam Gemeente: E-mailadressen voor verzending Kwetsbaarheidswaarschuwingen E-mailadressen voor verzending periodiek overzicht Kwetsbaarheidswaarschuwingen Telefoonnummer mobiel voor sms bij H/H waarschuwingen (let op, ook buiten kantoortijd!) (vult u hier niets in dan ontvangt u geen SMS bij H/H) Vertrouwde Contactpersoon Informatiebeveiliging Naam : Datum: Handtekening : Het bestand Gemeentelijke ICT-foto moet versleuteld verzonden worden naar aansluiten@ibdgemeenten.nl.stuur het wachtwoord niet mee. De IBD neemt telefonisch contact met u op over het wachtwoord van het versleutelde document. De persoonsgegevens die de Informatiebeveiligingsdienst voor gemeenten (IBD) verwerkt ten behoeve van haar dienstverlening vallen onder het Vrijstellingenbesluit van de WBP. De Informatiebeveiligingsdienst respecteert uw privacy en draagt er zorg voor dat uw persoonlijke informatie vertrouwelijk en in overeenstemming met de WBP wordt behandeld. Deze gegevens worden niet aan derden doorgegeven, tenzij u hiervoor toestemming hebt gegeven of wij hiertoe wettelijk verplicht zijn. 19
Bijlage 5: Toelichting op de gemeentelijke ICTfoto Hoe komt de lege foto tot stand? De IBD stelt een zogenaamde lege gemeentelijke ICT-foto ter beschikking aan gemeenten, die willen aansluiten. Dit is een Excel-bestand met veel voorkomende harden softwareproducten. Het is een selectie uit de productenlijst van het Amerikaanse normalisatie instituut NIST (http://nvd.nist.gov/cpe.cfm) die is aangevuld met specifieke gemeentelijke software uit de KING softwarecatalogus. In de lege ICT-foto is een speciaal veld opgenomen waarin het Common Platform Enumeration (CPE) ID staat. Als een product dit ID heeft, is dit de unieke CPE identificatie zoals die is vastgelegd door NIST. (http://nvd.nist.gov/cpe.cfm) Bij zowel het NCSC als de IBD wordt dit ID veelal als sleutel gebruikt voor identificeren van producten. Om er voor te zorgen dat u als gemeente de juiste kwetsbaarheidsadviezen krijgt, is het nuttig om de CPE-identificatie op te nemen in uw CMDB. Bijkomend voordeel hiervan is dat het zowel voor u als voor de IBD makkelijker wordt om wijzigingen in de foto te verwerken. De IBD realiseert zich dat niet iedere gemeente beschikt over een actuele en volledige CMDB, die de benodigde informatie eenvoudig en snel kan leveren. Daarom hieronder een kort overzicht van een aantal verschillende manieren om de benodigde informatie voor het aansluiten bij de IBD te verzamelen en actueel te houden. Situatie 1: Gemeente beschikt over een CMDB a. Exporteer alle Configuration Items (incl. eigen sleutelveld) in CSV-formaat. b. Lever dit versleuteld aan de IBD (aansluiten@ibdgemeenten.nl). c. De IBD legt eenmalig de relatie tussen de productnamen in uw CMDBexportbestand en de standaard CPE-code. d. De IBD levert het aangevulde CMDB-exportbestand terug aan u gemeente e. De gemeente neemt CPE-codes op in de eigen CMDB. f. De gemeente organiseert het Configuratiemanagementproces zodanig dat bij nieuwe CI-items de CPE-code wordt toegvoegd. Situatie 2: Gemeente wil de aansluiting op de IBD als aanleiding gebruiken om een CMDB op te zetten: a. Combineer afzonderlijke overzichten (inkoop, contractbeheer, facturen, losse databases bij netwerkbeheer of servicedesk, licentiebeheer, verzekeringsoverzichten e.d.). b. Gebruik tooling (scanning, spider) om de componenten geautomatiseerd in kaart te brengen. c. Selecteer en vul een CMDB. d. Implementeer een configuratiemanagement proces. e. Zie verder hierboven bij situatie 1. 20
Situatie 3: Gemeente wil snel aansluiten maar is nog niet toe aan het opzetten van een configuratiemanagement proces: a. De IBD levert een fotobestand met alle items (incl. CPE-codes). b. Gemeente selecteert in dit bestand de meest kritieke Configuration items, bijvoorbeeld de items met een directe internetaansluiting, de DMZ configuratie, firewall, routers, databases met gevoelige informatie. c. Gemeente richt een proces in om de wijzigingen bij te houden en periodiek een nieuw bestand te kunnen leveren. 21