Centrum Informatiebeveiliging & Privacy Samenwerking in Uitvoering Ad Reuijl, 9 oktober 2013 Security Congres ISACA, PvIB, NOREA
Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke context q Voortschrijdende ontwikkeling q CIP Cyber Security Platform
Aanleiding De digitale wereld geeft behalve dienstverlening en gemak ook uitdagingen Diginotar Pobelka Lektober DDoS
Aanleiding Toenemende afhankelijkheid overheidsdienstverlening van het internet, mobile devices,ed. Toenemende (organisatiegraad van) cyber crime Ergo: voelbare toename van risico s op het gebied van misbruik van persoonsgegevens en continuiteit van dienstverlening
Opdracht Stuurgroep Compacte Rijksdienst UWV, SVB, DUO en Belastingdienst/Toeslagen richten op zeer afzienbare termijn gezamenlijk een expertisecentrum op voor informatiebeveiliging en bescherming van persoonsgegevens. Dit expertisecentrum bundelt kennis, ervaringen en schaarse menskracht. Dit expertisecentrum staat ook open voor andere uitvoeringsorganisaties. De betrokken uitvoeringsorganisaties leveren voor bovengenoemde expertisecentra de mensen en het geld uit de bestaande middelen.
Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke context q Voortschrijdende ontwikkeling q CIP Cyber Security Platform
Doelstellingen CIP Achterliggend belang Ø Uitvoerders kunnen elkaar vertrouwen op het gebied van de integriteit, en beschikbaarheid van hun onderlinge gegevensstromen Ø Burgers kunnen vertrouwen op de dienstverlening van de uitvoerders en op het in vertrouwde handen zijn van hun gegevens. CIP Faciliteert dit door q werken aan gezamenlijke afspraken en normatiek q het aanbieden en toegankelijk maken van kennis en practices q Het bouwen aan een IB-community in de overheid
Scope Randvoorwaarden/begrenzing Participanten zelf verantwoordelijk voor IB&P Geen dingen doen die bij andere overheidsinstellingen belegd zijn (bijv. NCSC), maar: Samenwerking met deze partijen ter maximalisatie van het nut voor Participanten
Netwerkorganisatie Kennispartners Participanten Vaste kern Privacy Domeingroep Awareness Normenkaders Keten- Afhankelijkheden Publiek-Private Samenwerking
Overheidsparticipanten en -relaties
Kennispartners
Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke context q Voortschrijdende ontwikkeling q CIP Cyber Security Platform
Bestuurlijke Context Compacte Rijksdienst Manifestgroep Bestuurlijk Overleg Compacte Uitvoering Hervormingsagenda: heel de overheid digitaal in 2017 Taskforce BID: Verplichtende zelfregulering Digivaardig / Digiveilig: Alert Online
Taskforce BID (Bewustwording Informatieveiligheid Dienstverlening) Minister Ronald Plasterk van Binnenlandse Zaken en Koninkrijksrelaties (BZK) zet twee jaar lang een taskforce aan het werk om ministeries, gemeenten, provincies en waterschappen te helpen bij het verbeteren van hun informatiebeveiliging De taskforce gaat nauw samenwerken met het NCSC en met initiatieven als de gemeentelijke Informatiebeveiligingsdienst (IBD) en het Centrum Informatiebeveiliging en Privacybescherming (CIP)
Taskforce BID Doel De bewustwording versterken van bestuur en managementtop van de eisen aan informatieveiligheid, met name ook vanuit maatschappelijke en politieke risico s. De lange termijn verankering van informatieveiligheid en gerichtheid daarop in de reguliere processen en informatieketens te versterken, waarbij gerichtheid op weerbaarheid en herstel deel zijn van die verankering. Een verplichtende vorm van zelfregulering per domein is het beoogde einddoel van die verankering. Verplichtend karakter op gespannen voet met samenwerkingsmodel CIP?
Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke context q Voortschrijdende ontwikkeling q CIP Cyber Security Platform
Doelen bij verdere ontwikkeling De Droom (2013/2014) 1. Participanten zoeken eerst hergebruik in CIP-Netwerk 2. Indien niet mogelijk: Comaking 3. Indien dit praktisch onmogelijk is: zelf maken en beschikbaar stellen in CIP-Netwerk 2013: Concrete, nuttige producten door domeingroepen Ondersteuning Emergency Response Samenwerking en krachtenbundeling ter verhoging van de veiligheid van de e-dienstverlening en bescherming van persoonsgegevens in de overheid è meer vertrouwen bij burgers
Doelen bij verdere ontwikkeling De Droom (2013/2014) 1. Participanten zoeken eerst hergebruik in CIP-Netwerk 2. Indien niet mogelijk: Comaking 3. Indien dit praktisch onmogelijk is: zelf maken en beschikbaar stellen in CIP-Netwerk 2013: Concrete, nuttige producten door domeingroepen Ondersteuning Emergency Response Samenwerking en krachtenbundeling ter verhoging van de veiligheid van de e-dienstverlening en bescherming van persoonsgegevens in de overheid è meer vertrouwen bij burgers
PDC in ontwikkeling Diensten: ondersteuning implementatie Producten voor hergebruik overheid `Werkvormen voor kennisdeling en kennisontsluiting 2012 2013 2014 2015
PDC in ontwikkeling Werken aan Weerbaarheid en Herstelvermogen Ontwikkeling Producten & Diensten o.b.v. Practices (zoals doorontwikkeling Normenbibliotheek, CIP Cyber Security Platform, etc) Beheer Producten (zoals Normen bibliotheek, Maturity Assessment, e- Learningomgeving, etc) Uitvoering Diensten (zoals CIP Cyber Security Platform, ondersteuning bij implementatie van.., organiseren oefeningen, etc) Kennis Verwerven (Speurfunctie) Kennis Delen (Conferenties, Rondetafels, Bijeenkomsten Kennispartners, Domeingroepbijeenkomsten Omgevingsmanagement) Kennis Ontsluiten (Website, Samenwerkingsomgeving, CIP-Post. Werken aan Leervermogen Bedrijfsvoering & Governance (interne en externe governance, CRM, ondersteuning PE)
Onderwerpen q Aanleiding en opdracht q Opzet/Inrichting/Governance q Bestuurlijke context q Voortschrijdende ontwikkeling q CIP Cyber Security Platform
Doelstelling De subcommunity CIP-CSP richt zich op het delen van operationele informatie over actuele bedreigingen op het gebied van informatiebeveiliging, ter ondersteuning van kennisuitwisseling en het snel en daadkrachtig nemen van maatregelen. Daarmee wil het platform bijdragen aan het verhogen van de informatieveiligheid bij participanten.
De subcommunity CIP-CSP Doelstelling Elkaar richt zich op het delen van operationele informatie over actuele bedreigingen op het gebied van informatiebeveiliging, ter ondersteuning van kennisuitwisseling en het snel en daadkrachtig nemen van maatregelen. helpen met Daarmee wil het platform bijdragen aan het verhogen van de informatieveiligheid bij participanten. informatie
Positionering CPS volgens NCSC Expertpool NENCyS NL-ICT CIP CSP Operationeel liaisons Liaisonlaag Individuele deskundigen Expertise liaisons Bedrijven netwerken CIO Platform Kennis netwerken Individuele materie deskundigen
Behoeften uit kick-off Periodiek Informatiebeveiligings Overleg (+ faciliteren van communities die deelnemen) Delen best practices en opbouwen lerend vermogen Heads up signalen Focus op Ketens
CIP Cyber Security Platform als Schakelorganisatie bronnen informatie verrijking afnemers NCSC informatie CIP netwerk 0-day informatie UWV Belastingdienst schakelorganisaties zoals IBD kennispartners keten informatie analyses CIP- CSP DUO SVB RDW CAK aangesloten overheidsbedrijven informatie uit eigen keuken (of CERT) IBD
Samenwerkende partijen
Vragen??
Detailsheets
Activiteiten op het gebied van kennisdeling Voorjaar en najaarconferenties Domeingroepen, geleid door founding fathers en bezet door participerende overheidsorganisaties Tijdelijke werkgroepen Rondetafelconferenties: co-producties CIP en Kennispartners. (Herstelvermogen, DDoS, Ketenrisico s, veilig mobiel werken, etc) Ontwikkeling van de relaties met NCSC, Taskforce BID, KING/ IBD,
Producten en practices Beschikbaar of in vergevorderd stadium: Proces en eisen Secure Software Development: de opdrachtgever aan het stuur Handreiking voor gebruik Clouddienstverlening Handreiking voor omgaan met testen met productiegegevens Eerste modules binnen een structuur voor e-learning content t.b.v. hergebruik binnen de overheid Webrichtlijnen in fundamentele herorderning (ism NCSC) CIP Cyber Security Platform in eerste opzet in werking
Kennisontsluiting https://cip.pleio.nl/ www.cip-overheid.nl
Ontwikkeling op het terrein van normatiek Focus: Objecten
Ontwikkeling op het terrein van normatiek 2013 2014?? Normen Ontwerpkaders HBB PvIB BIR- OB NORA katern Beveiliging NCSC Overige kaders ISO 2005 DigID assessment BIG BIR [0] Ad- Hoc Patronen ISO nieuw Baselines [1] Informeel [2] Beheersing Stap 1 Stap 2 [~] Baseline Beveiliging Overheid Stap 3 Verleiden Besturen BIR audit DigID assessment Volwassenheid Veranderen Besturen