Handboek Informatiebeveiliging Versie 1.01 31 juli 2012
Inhoud Inhoud...2 0. Mutatieoverzicht...3 1. Inleiding & verantwoording...4 2. Beleidsplan...5 3. Organisatie...7 3.1. Rollen...7 3.1.1. Informatiemanager...7 3.1.2. Controller...7 3.2. Beleidscyclus / P&C-cyclus...7 3.3. Managementcyclus...7 3.4. Onafhankelijke controle...8 3.4.1. Basisadministratie Persoonsgegevens en Reisdocumenten...8 3.4.2. Suwinet...8 3.4.3. DigiD...8 3.5. Documentatiebeheer...9 3.4.1. Handboek Informatiebeveiliging...9 3.4.2. Verbeterplan Informatiebeveiliging...9 3.5. Incidentenbeheer...9 4. Beveiligingsmaatregelen... 10 4.1. Fysieke beveiliging... 10 4.2. Personele beveiliging... 12 4.3. ICT maatregelen... 13 4.3.1. ICT Infrastructuur... 13 4.3.2. Applicatiesoftware... 14 4.3.3. Beschermingsmaatregelen... 15 4.3.4. Continuiteitsmaatregelen... 15 4.4. Gegevensbeveiliging... 17 4.4.1. Vastleggen van analoge documenten... 17 4.4.2. Opslag van documenten... 18 4.4.3. Privacybescherming van gegevens en documenten... 18 Bijlage 1: Normen voor beveiliging webapplicaties met DigID-beveiliging... 19 Versie 1.01, 31 juli 2012 Pag. 2 van 21
0. Mutatieoverzicht Hfdst./Artikel Onderwerp / Omschrijving Gewijzigd door Releasenummer en datum Geheel Nieuw handboek Nico de Vos 1.00 31/01/2012 3.4 en Bijlage 1 Beveiliging DigiD webapplicaties en toegang Suwinet Nico de Vos 1.01 31/07/2012 Versie 1.01, 31 juli 2012 Pag. 3 van 21
1. Inleiding & verantwoording Het voorliggende handboek bevat alle maatregelen die de gemeente heeft genomen voor de bewaking van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van en over haar burgers. Dit handboek is inzichtelijk voor alle medewerkers en bestuurders van de gemeente. Informatie die het functioneren van de informatiebeveiliging zou kunnen schaden als deze publiek zou zijn is opgenomen in geclassificeerde bijlagen, die alleen inzichtelijk zijn voor de direct belanghebbenden. Het handboek geeft achtereenvolgens inzicht in het beleid, de organisatie en de maatregelen op het gebied van informatiebeveiliging. Het handboek wordt onderhouden door de door de Informatiemanager of, facultatief, de Informatie Beveiligingsfunctionaris (IBF) Versie 1.01, 31 juli 2012 Pag. 4 van 21
2. Beleidsplan Doel en reikwijdte Het is de taak van de gemeente Neder-Betuwe om zorgvuldig om te gaan met informatie over en voor haar ingezetenen, personeel en andere belanghebbenden en zorg te dragen voor de vertrouwelijkheid, integriteit en beschikbaarheid van deze informatie. De gemeente verstaat onder: Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn Integriteit: het waarborgen van de correctheid en de volledigheid van de informatie en de verwerking daarvan Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot de informatie en aanverwante bedrijfsmiddelen Uitgangspunten De gemeente dient wat betreft haar informatiebeveiliging te voldoen aan alle door de overheid opgelegde eisen, zoals: artikel 213a van de gemeentewet de beveiligingseisen voor GBA en reisdocumenten de beveiligingseisen voor BAG de RODIN-richtlijnen voor digitale archivering en volledige substitutie De gemeente heeft deze eisen uit efficiëntie overwegingen gebundeld in een integraal kwaliteitssysteem voor informatiebeveiliging conform ISO 27002:2005 (Code voor Informatiebeveiliging) en vastgelegd in het Handboek Informatiebeveiliging. Deze maatregelen voorzien te samen in het handhaven ven een basisniveau van beveiliging bestaande uit: Maatregelen ter voorkoming van de beschadiging, vernietiging, ontvreemding en ongewenste manipulatie of gebruik van informatie Maatregelen ter voorkoming van de implementatie van ondeugdelijke of kwaadaardige componenten (hardware, software) in de informatie-infrastructuur Maatregelen om de continuïteit van de bedrijfsprocessen te waarborgen Maatregelen voor het werken met gegevens buiten kantoor. Naast het vastleggen en implementeren van deze maatregelen is de gemeente er zich van bewust dat naleving van deze maatregelen alleen succesvol zal zijn als het beveiligingsbewustzijn van haar medewerkers op peil gehouden wordt. Hiervoor is een doorlopende bewustwordingscampagne ontwikkeld onder de titel Omgaan met Informatie. Organisatie en verantwoordelijkheid De burgemeester heeft de Informatiemanager subsidiair de Manager Middelen aangesteld als managementverantwoordelijke voor de uitvoering van het informatiebeveiligingsbeleid. Deze zal hiertoe een organisatie inrichten en in standhouden, die verantwoordelijk is voor: het adequaat reageren op beveiligingsincidenten en risicomeldingen het implementeren, handhaven, evalueren en continue verbeteren van de informatiebeveiliging het onderhouden van een plan voor de continue verbetering in het Verbeterplan Informatiebeveiliging de maandelijkse rapportage hierover aan het management en de burgemeester Versie 1.01, 31 juli 2012 Pag. 5 van 21
het samenstellen en onderhouden van het Handboek Informatiebeveiliging waarin ook de organisatie van de informatiebeveiliging beschreven staat. Toetsing De interne controle op de informatiebeveiliging is belegd bij de Controller subsidiair de Manager Financiële Zaken. Deze zal hiertoe elke zes maanden een interne audit uitvoeren en hierover rapporteren aan management en burgemeester opdat deze de effectiviteit van het gevoerde beleid kunnen beoordelen. Getekend, De Burgemeester Ir. C. Veerhoek Ochten, 4 juni 2012 Versie 1.01, 31 juli 2012 Pag. 6 van 21
3. Organisatie 3.1. Rollen 3.1.1. Informatiemanager Namens het bestuur is de Informatiemanager, zoals aangegeven in het Beleidsplan, verantwoordelijk voor het plannen, doen uitvoeren, bewaken en verbeteren van de informatiebeveiliging en de rapportage daarover aan het MT en het college van B&W.. De Informatiemanager is in deze rol verantwoordelijk voor: Het maandelijks agenderen van informatiebeveiliging op de MT-vergadering Het agenderen van verbetermaatregelen in het Verbeterplan Informatiebeveiliging Het doen uitvoeren van de voorgenomen verbetermaatregelen Het toetsen en doen verbeteren van de effectiviteit van de genomen maatregelen Het registreren en opvolgen van gemelde beveiligingsincidenten Het ondersteunen van interne en externe audits Het verzorgen van de maandelijkse rapportage aan het bestuur Het documentbeheer, waaronder o Het opstellen, onderhouden en uitgeven van het Handboek Informatiebeveiliging o Het opstellen en onderhouden van het Verbeterplan Informatiebeveiliging o Het bijhouden van het Incidenten logboek 3.1.2. Controller De controller verifieert periodiek (minimaal 1 x per jaar) of het ingezette informatiebeveiliging beleidsplan effectief wordt uitgevoerd door het (doen) houden van een interne audit tegen de ISO 27001-norm en wettelijk opgelegde richtlijnen. Hij/zij spreekt verbetermaatregelen af met de Informatiemanager en rapporteert aan de portefeuillehouder in het college van B&W. 3.2. Beleidscyclus / P&C-cyclus Het bestuur stelt het infornatiebeveiligingsbeleidsplan vast en evalueert jaarlijks de effectiviteit daarvan op basis van de rapportage van de controller. Het bestuur wordt maandelijks op de hoogte gehouden van de status van de uitvoering van het beleidsplan middels de rapportage van de informatiemanager. 3.3. Managementcyclus Maandelijks staat het onderwerp Informatiebeveiliging op de agenda van het MT. Het onderwerp wordt voorbereid door Informatiemanager. Behandeld worden: Gerapporteerde incidenten en afwijkende controleresultaten Auditresultaten (indien van toepassing) Nieuwe maatregelen en/of nieuwe aanpassingen aan bestaande maatregelen voor opname in het Verbeterplan Informatiebeveiliging Voortgang uitvoering Verbeterplan Informatiebeveiliging Besluiten worden opgenomen in de verslaglegging van het MT en geborgd door onderstaande stappen conform de Deming-circle voor kwaliteitsmanagement: Versie 1.01, 31 juli 2012 Pag. 7 van 21
Plan De Informatiemanager verwerkt nieuwe verbeteringen in het Verbeterplan Informatiebeveiliging en zet deze op basis van prioriteit uit in de organisatie. Do Voor elke verbetering wordt een verantwoordelijke aangewezen. Deze werkt de maatregel uit. Een onderdeel van de maatregel moet de meetbaarheid er van zijn. De maatregel wordt getoetst door de Informatiemanager en eventueel aangepast. Als de Informatiemanager de maatregel goedkeurt wordt deze geïmplementeerd door de maatregel te communiceren via het intranet en vast te leggen in de volgende release van het Handboek Informatiebeveiliging. Check De maatregelen worden operationeel gecontroleerd door de voor het aandachtsgebeid verantwoordelijke MT-leden. Controle resultaten worden vastgehouden voor de periodieke interne audit door de Interne Controller en voor de naspeurbaarheid bij het oplossen van incidenten. Act Indien afwijkingen gevonden worden neemt de betrokken manager daarop in overleg met de Informatiemanager direct passende maatregelen (zie ook Incidentenbeheer hieronder). 3.4. Onafhankelijke controle 3.4.1. Basisadministratie Persoonsgegevens en Reisdocumenten Elke 3 jaar wordt de informatiebeveiliging rond de BPR door een onafhankelijke deskundige beoordeeld. Onderwerp van inspectie zijn het proces van het vastleggen van mutaties in het GBA-systeem en het beheer van dat systeem, alsmede het proces van verstekking van identiteit- en reisdocumenten en het beheren van de bij de gemeente geplaatste systemen daarvoor: de RA-server. De RA-server en software hiervoor worden geleverd en beheerd door het Ministerie van Binnenlandse Zaken en dienen in een aparte afgesloten ruimte te staan. 3.4.2. Suwinet Het Suwinet geeft toegang tot alle (financiële) gegevens van een burger. Dit door het Ministerie van Sociale Zaken ter beschikking gestelde netwerk wordt gebruikt door de daartoe geautoriseerde medewerkers bij schuldhulpverlening en bij het aanvragen van sociale uitkeringen. Deze taken zijn belegd bij de gemeente Tiel en zijn onderdeel van het beveiligingsplan van Tiel. Bij controle door het VNG en de Inspectie SZW moet overlegd kunnen worden hoe de beveiligingsaspecten rond het Suwinet contractueel met de gemeente Tiel zijn afgesproken en hoe de gemeente daar controle op houdt. 3.4.3. DigiD Jaarlijks moet door een gecertificeerde EDP-auditor (RE) worden vastgesteld of de ICTbeveiligingsrichtlijnen voor Webapplicaties met een DigiD-beveiliging worden nageleefd. De minimum regels zijn ogenomen in Bijlage 1 van dit document Versie 1.01, 31 juli 2012 Pag. 8 van 21
3.5. Documentatiebeheer 3.4.1. Handboek Informatiebeveiliging Het Handboek Informatiebeveiliging wordt door de Informatiemanager aangepast en uitgebreid op basis van de activiteiten in het Verbeterplan Informatiebeveiliging. Het handboek wordt releasematig uitgegeven op basis van een door de Beveiligingsfunctionaris te bepalen urgentie. Het versienummer van het handboek wordt als opgebouwd volgens de structuur: n.mm n = hoofdversienummer te beginnen met 1, dit nummer wordt alleen opgehoogd als het na een omvangrijke wijziging die de gehele structuur of context van het handboek wijzigt m = subversienummer te beginnen met 01, dit nummer word met 1 opgehoogd na elke (groep) aanpassing(en). Het handboek wordt door de Informatiemanager gedistribueerd via het intranet met een aankondiging op de nieuwspagina bij wijzigingen en is voor alle medewerkers toegankelijk. Het origineel wordt bewaard in Decos. 3.4.2. Verbeterplan Informatiebeveiliging Het Verbeterplan Informatiebeveiliging wordt door de Informatiemanager maandelijks aangepast aan de status van verbeteracties en projecten. De versienummering bestaat uit: jjjj.nn jjjj = het huidige jaartal nn = het volgnummer, dat vanaf het begin van het jaar beginnend met 01 telkens met 1 wordt opgehoogd Het Verbeterplan wordt door de Informatiemanager via Decos gedistribueerd met email notificatie aan de leden van het MT en betrokken uitvoerders. 3.5. Incidentenbeheer Iedere medewerker die een overtreding van de beveiligingsmaatregelen constateert of een zwakke plek in de beveiliging ontdekt heeft de morele plicht dat direct of via zijn/haar manager te melden bij de Informatiemanager. De Informatiemanager registreert het incident in een Incidenten logboek en ziet toe op de afhandeling en opvolging daarvan. Dit kan leiden tot een verbetervoorstel van een beveiligingsmaatregel, aanvullende training en/of disciplinaire maatregelen tegen de overtreders. De status wordt in het logboek bijgehouden. Versie 1.01, 31 juli 2012 Pag. 9 van 21
4. Beveiligingsmaatregelen 4.1. Fysieke beveiliging Zonering Het gemeentehuis kent vier beveiligingszones: 1. Publieke ruimte toegankelijk voor iedereen 2. Raadszaal en fractieruimten toegankelijk voor iedereen 3. Kantoortuinen alleen toegankelijk voor medewerkers en college 4. Bijzondere ruimten (Archief, ICT) alleen toegankelijk voor doelgroep Elektronische toegangsbeveiliging Toegang tot ruimten is geregeld met zogenaamde druppel -tags die persoonsafhankelijk toegang gegeven tot de verschillende ruimten. De tags worden door P&O geadministreerd en uitgegeven aan vaste en tijdelijke medewerkers waarvan de identiteit is vastgesteld. Op basis van het achterliggende toegangscontrolesysteem kan worden nagegaan wie er wanneer binnen geweest is. De deuren tussen de zones dienen altijd gesloten te zijn. Bezoek Indien bezoekers toegang moeten krijgen tot zone 3 of 4 dan dienen zij zich te legitimeren en in te schrijven bij aankomst en bij vertrek weer uitschrijven bij de receptie. Hierdoor wordt er overzicht gehouden op wie er zich in het gebouw bevindt. Gedurende de duur van het bezoek wordt de bezoeker begeleid door een medewerker van de gemeente. Elektronische Inbraakbeveiliging en brandbeveiliging Het gehele gebouw is voorzien van inbraakbeveiliging op ramen en buitendeuren en een aantal ruimten zijn voorzien van bewegingsdetectoren. Deze installatie is geactiveerd buiten kantooruren/vergaderuren en voorzien van een vaste lijnverbinding met een alarmcentrale. De alarmcentrale heeft een overzicht van personen die bij een melding moeten worden gewaarschuwd. Op diverse plaatsen zijn kleine blusmiddelen aangebracht. De blusmiddelen staan aangegeven op het ontruimingsplan en worden eens per jaar onderhouden door het bedrijf dat de middelen geplaatst heeft. Op diverse plaatsen zijn rookmelders aangebracht die zowel bij de receptie en, buiten kantooruren, de alarmcentrale melden dat er brand is. Van daaruit wordt de brandweer en de politie gealarmeerd. De alarminstallatie wordt jaarlijks onderhouden door een erkend installatiebedrijf. De alarminstallatie is gecertificeerd op niveau 3. Brand Handelswijze bij brand: 1. Zorg voor eigen veiligheid 2. Meld de brand aan de receptie, deze waarschuwt de BHV en de brandweer 3. Waarschuw de mensen in de omgeving van de brand 4. Sluit deuren en ramen 5. Breng mensen in veiligheid 6. Blus de brand indien mogelijk Versie 1.01, 31 juli 2012 Pag. 10 van 21
Evacuatie Zorg steeds voor je eigen veiligheid: let daarbij vooral op rookontwikkeling (waar rook is, is geen zuurstof) en een open vluchtroute Kies het juiste blusmiddel: water voor vaste stoffen (papier, hout, plastic) en bluspoeder voor elektrische apparaten (onderbreek de stroom, indien mogelijk). Richt op het brandende voorwerp, niet op de vlammen Blijf aandachtig: het vuur kan weer oplaaien Als je het niet aan kan: stop en evacueer Handelswijze bij evacuatie: 1. Bij het afgaan van het alarm dienen alle werkzaamheden gestopt te worden. Sluit kluisdeuren en zet apparatuur uit. 2. Neem de kortste vrije weg naar buiten, neem bezoekers mee en volg de instructies van de BHV op. 3. Maak geen gebruik van de liften, deze kunnen stilvallen 4. Ga na evacuatie zo snel mogelijk naar het aangewezen verzamelpunt en blijf daar totdat de BHV heeft geïnventariseerd wie er allemaal geëvacueerd zijn. 5. Ga niet naar huis of elders zonder toestemming van de BHV. 6. De BHV geeft het sein veilig Eenmaal per jaar houdt de BHV onaangekondigd een evacuatieoefening. Iedereen is verplicht daaraan mee te doen. Stroomuitval Het gemeentehuis is voorzien van een noodaggregaat. Dit aggregaat voorziet ICT en de rampencentrale van het gemeentehuis van stroom indien de netstroom wegvalt. Indien het aggregaat wordt ingeschakeld mag geen gebruik worden gemaakt van de liften. Het aggregaat wordt 1x per jaar getest. Versie 1.01, 31 juli 2012 Pag. 11 van 21
4.2. Personele beveiliging Aannamebeleid vaste en tijdelijke medewerkers Personeel wordt door P&O aangenomen op voordracht van het management en na toetsing van de identiteit en relevante referenties, diploma s en certificaten. Voor alle administratieve functies is een VOG verplicht. Toegang tot ruimten en informatiesystemen wordt door P&O na toestemming van de betrokken manager gegeven op basis van de functie die de medewerker krijgt. Bij verandering van functie of bij vertrek wordt de toegang door P&O gewijzigd cq. ingenomen. Elke medewerker dient een geheimhoudingsverklaring te ondertekenen alsmede het Protocol omgaan met ICT-faciliteiten en informatie. Opzettelijke schending van de geheimhoudingsverklaring of het protocol leidt tot ernstige berisping en corrigerende maatregelen en afhankelijk van de ernst van de situatie eventueel tot schorsing, ontslag en juridische vervolging. Onopzettelijke schending leidt tot een corrigerend gesprek met de leidinggevende. Aannamebeleid derden (Gedetacheerden en ZZPers) Inzet van derden wordt bepaald door het verantwoordelijk management in overleg met Inkoop. P&O toetst van de in te zetten personen de identiteit en relevante referenties, diploma s en certificaten alsmede de KvK inschrijving van de betrokken bedrijven en de VAR en VOG verklaringen van ZZPers. Toegang tot ruimten en informatiesystemen wordt door P&O gegeven op basis van de functie/opdracht die de derde krijgt. Bij verandering van functie/opdracht of bij vertrek wordt de toegang door P&O gewijzigd cq. ingenomen. Elke aangenomen derde die in aanraking komt met informatie dient een geheimhoudingsverklaring en het Protocol omgaan met ICT-faciliteiten en informatie te ondertekenen. Opzettelijke schending van de geheimhoudingsverklaring leidt tot directe beëindiging van de opdracht en eventueel tot juridisch vervolging. Onopzettelijke schending leidt tot een corrigerend gesprek met de leidinggevende. Training / instructie Alle medewerkers/derden worden getraind/geïnstrueerd in het uitvoeren van hun functie en het omgaan met de bijbehorende informatie in verschillende werksituaties (op kantoor, buiten kantoor, in contact met de Raad, etc.). De afdelingsmanager is verantwoordelijk voor deze training/instructie. Bewustwording informatiebeveiliging Elke medewerker/derde krijgt toegang tot dit handboek via het intranet. Jaarlijks wordt vanuit Informatiemanagement een bewustwordingscampage gevoerd voor alle medewerkers. Melding van veiligheidsincidenten en risico s Iedere medewerker/derde die weet heeft van een actueel probleem met de beveiliging (bijv. misbruik of ongeoorloofde manipulatie van informatie) of een risico in de informatiebeveiliging dient dit direct of via zijn/haar manager te melden bij de Beveiligingsfunctionaris. Deze onderzoekt de melding en neemt gepaste maatregelen. Opzettelijke misbruik of ongeoorloofde manipulatie van informatie kan leiden tot ontslag op staande voet en juridische vervolging. Versie 1.01, 31 juli 2012 Pag. 12 van 21
4.3. ICT maatregelen 4.3.1. ICT Infrastructuur Configuratiebeheer Er wordt een administratie bijgehouden van alle aanwezige hardware en software(licenties). Deze administratie geeft aan waar of bij wie het betreffende artikel is en wat de status er van is. Omgevingen Er wordt gebruik gemaakt van een Testomgeving en een Productieomgeving. In de Testomgeving wordt aangepaste of nieuwe software getest en geaccepteerd voor het naar de Productieomgeving overgezet mag worden. Nieuwe hardware Nieuwe hardware wordt alvorens die in de productie- of testomgeving opgenomen wordt getest op goede werking en afwezigheid van malware. Oude hardware Hardware die uit de productie- of testomgeving gehaald wordt, wordt ontdaan van alle aanwezige data of onbruikbaar gemaakt. Nieuwe of aangepaste systeemsoftware (patches) Alle systeemsoftware (de software die de servers en netwerken bestuurt) wordt door ICT getest voordat het in de productieomgeving wordt opgenomen. De status wordt bijgehouden in het configuratiebeheer. Virtuele werkplekken Medewerkers hebben de beschikking over een virtuele werkplek op een server. Afhankelijk van de plaats waar een medewerker inlogt krijgt hij/zij toegang tot die applicaties die hij/zij op die plek mag gebruiken. De virtuele werkplek is izowel via het kantoornetwerk als via een VPN-verbinding over het internet benaderbaar vanuit elk daarvoor geschikt hulpmiddel: een PC, een tablet, een smartphone. De medewerker is zelf niet in staat om software aan de virtuele werkplek tot te voegen. Servers en netwerkapparatuur De gemeente maakt gebruik van een AS400-server (Maurik) voor GBA en CiVision en ESXservers (Opheusden) voor de overige applicaties. De servers en netwerkapparatuur (routers, switches, modems) bevinden zich in daarvoor geschikte computerruimte voorzien van airconditioning en alleen toegankelijk voor bevoegden. UPS De gemeente beschikt voor de servers over UPS-systemen (Uninteruptible Power Supply) om wisselingen in de netspanning op te vangen en bij volledige uitval van zowel netspanning als aggregaat niet werkt binnen 15 minuten de servers correct af te sluiten. RAID De gemeente maakt gebruik van RAID-systemen (Redunant Array of Independent Disks) waarbij dezelfde data op meerdere schijven is opgeslagen. Bij defect van een schijf gaat er geen data verloren. Middels dagelijkse controle worden defecte schijven opgespoord en vervangen. Versie 1.01, 31 juli 2012 Pag. 13 van 21
4.3.2. Applicatiesoftware Testen Nieuwe of gewijzigde applicatiesoftware is bij de gemeente altijd afkomstig van externe leveranciers. De gemeente doet geen eigen ontwikkeling. Voor het testen van nieuwe en gewijzigde applicaties is er een testomgeving beschikbaar. Testen vinden onder bewaking van de applicatiebeheerder volgens een vast protocol plaats, dit protocol kent fr volgende stappen: Installatie volgens het script van de leverancier door ICT Basisfunctietest door de key-user, deze bestaat uit een testscript (= testacties en verwachte resultaten) dat bij elke wijziging dient te worden uitgevoerd. De belangrijkste functies, zoals het opslaan, oproepen, aanpassen en verwijderen van gegevens en de verbinding met andere pakketten worden hiermee getest. Specifieke functietest door de key-user, deze bestaat uit het afhandelen van een gedetailleerd testscript voor de specifieke wijziging Toets gebruikersdocumentatie door key user Acceptatie door de afdelingsmanager Elke stap wordt afgetekend door de betrokken functionaris. Problemen worden gelogd en teruggegeven aan de leverancier. De specificatie van de wijziging en de testresultaten dienen minimaal drie jaar bewaard te worden bewaard voor inspectie achteraf. Voor webapplicaties die met DigiD werken, dient tevens getest te worden of de applicatie voldoet aan de eisen zoals gesteld in bijlage 1. Gebruikersinstructie Alvorens een geaccepteerde applicatie in productie geïnstalleerd wordt, wordt door de applicatiebeheer en/of de key-user instructie gegeven aan de gebruikers. Dit kan klassikaal of individueel en waar nodig ondersteund met instructiekaarten of gebruikershandleidingen. Installeren in productie Installaties vinden in principe altijd plaats op vrijdag na 16:00u en na het maken van een volledige back-up van de bestanden waarop de betreffende applicatie werkt. Per geval moet een roll-back scenario worden opgesteld. Installaties vinden plaats volgens een vast protocol dat bestaat uit de volgende stappen: Maken roll-back scenario door ICT in overleg met applicatiebeheerder Maken van volledige back-up van de betrokken bestanden door ICT Installeren volgens script leverancier door ICT Basisfunctietest door applicatiebeheerder Go / No go besluit: herstel, roll-back of vrijgave volgens besluit applicatiebeheerder. Een roll-back besluit wordt alleen genomen in overleg met de afdelingsmanager Bijwerken versiebeheer: applicatiesoftware opnemen in programmabibliotheek productie door ICT Elke stap wordt afgetekend door de betrokken medewerker. Problemen worden gelogd. De applicatiebeheerder, de key-user en ICT zijn s maandags na een nieuwe installatie altijd aanwezig te zijn voor de opvang van problemen. Het afgetekende protocol wordt minimaal drie jaar bewaard voor inspectie achteraf. Verwijderen applicaties Periodiek worden applicaties die niet meer gebruikt worden door ICT in ovrleg met de applicatiebeheerders verwijderd. De betreffende applicatie en data worden daartoe eerste op een back-up tape gezet of op CD-gebrand. Dit wordt geadministreerd in het configuratie beheer. Versie 1.01, 31 juli 2012 Pag. 14 van 21
4.3.3. Beschermingsmaatregelen Applicatietoegang Op basis van de functie wordt autorisatie toegekend voor het gebruik van bepaalde applicaties. Het afdelingshoofd bekrachtigd de functie die iemand heeft bij P&O. P&O geeft ICT de opdracht de betreffende medewerker de bij de functie passende autorisatie te geven. Hiervoor is in Decos een workflow opgenomen. Bij functiewijziging of ontslag wordt de zelfde route doorlopen. Netwerktoegang Men krijgt van ICT een inlogcode bestaande uit de voorletter direct gevolgd door de achternaam zonder voorzetsel. Deze inlogcode behoudt men gedurende de tijd dat men bij de gemeente in dienst is. Men mag zelf een wachtwoord aanmaken van minimaal 6 karakters. Om de 90 dagen dient men dit wachtwoord te wijzigen. Het nieuwe wachtwoord mag niet lijken op de voorgaande 4. Het wachtwoord is persoonlijk en niet opvraagbaar. Informatietoegang Voor die applicaties waarbij dat mogelijk en noodzakelijk is (bijv. Decos, Suwinet, GBA), wordt binnen de applicatie de toegang tot gegevens beperkt tot bepaalde groepen of personen. Event logging Er wordt geregistreerd wie er wanneer toegang tot het netwerk gekregen heeft en, voor zover de verschillende gebruikersapplicaties dat toelaten, wie welke activiteiten heeft uitgevoerd. Deze event logs worden steekproefsgewijs door het management gecontroleerd. Beschermingsprogrammatuur De gemeente heeft een abonnementen op programmatuur voor anti-virus, anti-spyware, antispam en anti-phishing. Deze programmatuur wordt automatische geupdate via het internet. De status van de update wordt dagelijks gecontroleerd door ICT om te zien of de update goed is verlopen. Firewallprorammatuur Met behulp van firewall programmatuur wordt het interne netwerk beschermd tegen ongewenste toegang van buiten door hackers. Deze programmatuur wordt automatische geupdate via het internet. De status van de update wordt dagelijks gecontroleerd door ICT om te zien of de update goed is verlopen. 4.3.4. Continuiteitsmaatregelen Uitwijk Voor zowel de AS400 als de ESX-omgeving is er een uitwijkcontract met IBM. 1x per jaar wordt deze uitwijk door ICT geoefend. Hiervan worden verslagen gemaakt. Back-up & restore Dagelijks wordt door ICT een incremental back-up (= alleen de wijzigingen ten opzichte van de vorige back-up) gemaakt en op vrijdag een volledige back-up. Deze back-up vindt plaats op tapes. Aan het eind van de back-up controleert het systeem automatisch of de tape gelezen kan worden. Zo niet, dan dient de back-up opnieuw te geschieden en de tape vernietigd te worden (cassette uiteen nemen en tape verknippen). Restores vinden plaats als gegevens ongewild onbruikbaar zijn geworden of zijn verwijderd. Versie 1.01, 31 juli 2012 Pag. 15 van 21
Een restore opdracht kan alleen gegeven worden door een afdelingsmanager. Er wordt door ICT een logboek bijgehouden van uitgevoerde back-ups en restores en er wordt een roulatieschema voor de tapes bijgehouden. Versie 1.01, 31 juli 2012 Pag. 16 van 21
Handboek Informatiebeveiliging 4.4. Gegevensbeveiliging 4.4.1. Vastleggen van analoge documenten De gemeente werkt papierarm. Dat betekent dat alle informatie die niet in digitale vorm is aangeleverd gedigitaliseerd wordt door verwerking in een processysteem enerzijds en de vastlegging in het elektronisch archief middels scanning anderzijds. Documenten worden gescand met een kwaliteit van 200bpi voor zwart/wit en 300bpi voor kleur. Er wordt alleen in kleur gescand als de kleur functioneel is. Dat wil zeggen: waarde toevoegt aan de tekst, zoals bijvoorbeeld met diagrammen en met kleur benadrukte tekst. Na het scannen wordt de kwaliteit van de scan optisch gecontroleerd door de persoon die gescand heeft. Het brondocument wordt na het scannen een week bewaard alvorens vernietigd te worden. Scans van te registreren post worden vastgelegd in het Document Management Systeem. Versie 1.01, 31 juli 2012 Pag. 17 van 21
4.4.2. Opslag van documenten Bewaren en vernietigen van digitale documenten Documenten behoren bij een zaak en een zaak is gekoppeld aan een zaaktype. In het zaaktype uit de door de gemeente vastgestelde zaaktype catalogus staat de bewaartermijn van de onderliggende documenten vermeld. Dit kan variëren van 1 jaar tot voor altijd te bewaren. Op basis van dit gegeven wordt jaarlijks de te vernietigen informatie geselecteerd. De eigenaren van de betrokken zaken moeten deze selectie bekrachtigen alvorens daadwerkelijk tot vernietiging overgegaan kan worden. De bewaartermijnen zijn afgeleid uit het Vaststellingsbesluit selectielijst archiefbescheiden gemeentelijke en intergemeentelijke organen vanaf 1 januari 1996 Bewaren en vernietigen van papieren documenten Het streven is om zoveel mogelijk papieren archief te digitaliseren en onder te brengen in het Document Management Systeem. Zodra de gescande archiefstukken onder het juiste zaaktype zijn opgeslagen, kan het origineel vernietigd worden tenzij dat vanwege vorm en/of inhoud (cultuur)historische waarde heeft. Bewaren en vernietigen binnengekomen post Binnenkomende post wordt gescand en zes weken bewaard alvorens tot vernietiging wordt overgegaan. Boeken en tijdschriften worden gedistribueerd naar de geadresseerde. Kwaliteitsbewaking Periodiek zal op basis van een steekproef door DIV worden getoetst of documenten op de juiste wijze worden opgeslagen. 4.4.3. Privacybescherming van gegevens en documenten Gegevens en documenten worden conform onderstaande tabel afgeschermd middels de toegangsbeveiliging tot en binnen softwareapplicaties en de aanvraagprocedure van fysieke dossiers. Privacy Omschrijving niveau 1 Alleen toegankelijk voor direct betrokkenen 2 Alleen toegankelijk voor betrokken afdeling / team Van toepassing op Personeelsdossiers Bibob-onderzoeken, Suwinet-data WMO-, WBB- en Schuldsaneringdossiers, GBA-mutaties en afgifte identiteitsbewijzen Intranet en alles behalve bovenstaand 3 Toegankelijk voor alle medewerkers en bestuur 4 Toegankelijk voor Raad Raadstukken 5 Openbaar Alle stukken waarop de wet openbaarheid van bestuur van toepassing is De vastlegging en inzage van zaken op privacy niveau 1 en 2 mogen alleen op kantoor plaatsvinden. Versie 1.01, 31 juli 2012 Pag. 18 van 21
Bijlage 1: Normen voor beveiliging webapplicaties met DigID-beveiliging De beveiliging van webapplicaties moet minimaal voldoen aan de volgende ichtlijnen uit het handboek ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 & 2 van het Nationaal Cyber Security Centrum van januari 2012. Norm Richtlijn Doel Algemene beveiligingsrichtlijnen B0-5 Alle wijzigingen worden eerste getest voordat ze in productie genomen worden (zie ook par. 4.3.2. van dit handboek) B0-6 Maak gebruik van een hardeningsproces, zodat alle lctcomponenten zijn gehard tegen aanvallen (zie ook par. 4.3.3. van dit handboek). B0-7 De laatste beveiligingspatches zijn geïnstalleerd en volgens het patchmanagementproces doorgevoerd (zie ook par. 4.3.1. van dit handboek) B0-8 Penetratietests worden periodiek uitgevoerd B0-9 Vulnerability assessments (scurity scans) worden periodiek uitgevoerd (zie ook par. 3.1.2. van dit handboek) B0-12 Ontwerp en richt maatregelen in met betrekking op toegangsbeveiliging/beheer (zie ook par. 4.3.3. van dit handboek) B0-13 Nier meer gebruikte websites en/of informatie moet worden verwijderd (zie ook par. 4.3.2. van dit handboek) B0-14 Leg afspraken met de leveranciers vast in een overeenkomst (momenteel niet van toepassing). Netwerkbeveiliging B1-1 Er moet gebruik gemaakt worden van een DMZ waarbij compartimentering wordt toegepast en de verkeersstromen daartussen tot het hoogst noodzakelijke worden beperkt. B1-2 Beheer en productie zijn van elkaar gescheiden. Het garanderen van een correcte en veilige werking van de ICT-voorzieningen door het op een gecontroleerde manier doorvoeren van wijzigingen. Het tot een minimum beperken van de kans op misbruik van systeem faciliteiten Alle aanwezige software is tijdig voorzien van de laatste patches om mogelijke uitbuiting van kwetsbaarheden voor te zijn. Op een zo efficiënt mogelijke wijze met zo min mogelijk verstoringen een stabiel systeem creëren. Inzicht krijgen en houden in de mate waarin een webapplicatie weerstand kan bieden aan pogingen om het te compromiteren (binnendringen of misbruiken) Inzicht hebben in de mate waarin de ICTomgeving bekende kwetsbaarheden en zwakheden bevat, zodat deze waar mogelijk weggenomen kunnen worden Voorkom ongeautoriseerde toegang tot netwerken, besturings-systemen, informatie en informatiesystemen en diensten, zodat schade bij misbruik zo beperkt mogelijk is Voorkom misbruik van oude en niet meer gebruikte wensites en informatie Het handhaven van het beveiligingsniveau, wanneer verantwoordelijkheid voor de ontwikkeling van de webapplicatie en/of het beheer daarvan is uitbesteed aan een andere organisatie Voorkom of beperk de risico s van een aanval door het scheiden van componenten waaraan verschillende betrouwbaarheidseisen worden gesteld. Voorkom rechtstreekse toegang tot het interne netwerk vanaf het internet. Voorkom dat misbruik kan worden gemaakt van de beheersvoorzieningen vanaf internet Versie 1.01, 31 juli 2012 Pag. 19 van 21
B1-3 Netwerktoegang tot de webapplicaties is voor alle gebruikersgroepen op een zelfde wijze ingeregeld. Platformbeveiliging B2-1 Maak gebruik van veilige beschermingsmechanismen Applicatiebeveiliging B3-1 De webapplicatie valideert de inhoud van een http-request voor die wordt uitgevoerd. B3-2 De webapplicatie controleert voor elk http-request of de initiator geautoriseerd is en de juiste autorisatie heeft B3-3 De webapplicatie normaliseert invoerdata voor validatie B3-4 De webapplicatie codeert dynamische onderdelen in de uitvoer B3-5 Voor het raadplegen en/of wijzigen van gegevens in de database gebruikt de webapplicatie alleen geparameteriseerde queries B3-6 De webapplicatie valideert alle invoer gegevens, die aan de webapplicatie worden aangeboden, aan de serverzijde B3-7 De webapplicatie satt geen dynamische file includes toe of beperkt de keuze mogelijkheid (white listing) B3-15 Een (geautomatiseerde) black box scan wordt periodiek uitgevoerd B3-16 Zet de cookie attributen HttpOnly en Secure Vertrouwelijkheid en onweerlegbaarheid B5-1 Voer sleutelbeheer in waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op servers te vinden zijn. B5-2 Maak gebruik van versleutelde (https) verbindingen B5-3 Sla gevoelige gegevens versleuteld Voorkom nieuwe beveiligingsrisico s omdat de webapplicaties ook bereikbaar moeten zijn vanaf het interne netwerk voor gebruikers binnen de organisatie. Voorkom misbruik van beheervoorzieningen Voorkom het verlies, wijziging of misbruik van gegevens door onbetrouwbare invoer. Voorkom dat applicatielogica wordt beïnvloedt Valideer de initiator van een http-request teneinde te voorkomen dat kwaadwillenden transacties uit naam van een valide gebruiker uitvoeren. Normaliseer alle invoerdata (onnodige witruimten en codetekens verwijderen) om te voorkomen dat filtermechanismen ongewenste patronen niet herkennen. Codeer dynamische onderdelen (afkomstig uit databases) om te voorkomen dat er ongewenste tekens in de uitvoer zitten. Door de databasequeries samen te stellen op basis van geparameteriseerde queries (in tegenstelling tot dynamische strings), wordt de kan op SQL-injectie aanzienlijk verkleind. Voorkom dat controles kunnen worden omzeild. Voorkom dat ongewenste bestanden worden geïncorporeerd in de webapplicatie Testen of er kwetsbaarheden in de webapplicatie bestaan Voorkom dat cookie communicatie kan worden afgeluisterd en voorkom dat cookies gestolen kunnen worden via cross site scripting Doelmatig gebruik van cryptografische technieken door het beheren van cryptografische sleutels. Voorkom misbruik van vertrouwelijke gegevens Voorkom misbruik van opgeslagen vertrouwelijke gegevens of gehashed op B5-4 Versleutel cookies Voorkom dat kwaadwillenden de inhoud van cookies kunnen inzien en/of aanpassen, zodat de vertrouwelijkheid en Versie 1.01, 31 juli 2012 Pag. 20 van 21
integriteit van de cookie gewaarborgd blijft. Monitoring, auditing en alerting B7-1 Maak gebruik van Intrusion Detection Systemen (IDS) Detecteren van aanvallen op webapplicaties B7-8 Voer actief controles uit op logging Het detecteren van inbraak en misbruik B7-9 Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat te zijn vastgelegd pogingen Het managen van de informatiebeveiliging binnen de organisatie Versie 1.01, 31 juli 2012 Pag. 21 van 21