Bollenstreek. /ß q. ïïw ,0/LW

* V W Â ` ^ " ' -W ' Z-14-15192 / 01. Inkmend 25172 / I g J Scan nummer 1 van 1 - Scanpagina 1 van 29 ' V ' ' 1.1;, _,_»,a. «1,, _,, «.W-:ef -Y A/ _; ; I 1; ts i. ïïw I maw ëëïfar W 3* ä em r, W äer^«ß?ti~'ff~ J J/ - /ß q rss ü rtzf -Mw " * " r Bllenstreek _ f lmergjerneentelijke Sciale Dienst ltillcgm lisse nrd\v'ljk nrd\\fijlcerliul tcylingcn W W H b h Sff f92 Aan het cllege van B&W van de gemeente Nrdwijkerhut Pstbus 255-2160 AG Lisse P0StbU513 Telefn algemeen : (0800) 95 67 000 2210 AA NOORDWIJKERHOUT Fax I (0252) 345 07., Website E-mail IBAN : www.isdblienstreek.nl : inf@isdbllenstreek.nl : NL50BNGH0285099914 Uw brief/kenmerk : Lisse, 3 september 2014 Ons kenmerk : Verznden: 18 september 2014 Bijlagen : 1 Inlichtingen : F.R. Seiffers Onderwerp : Beveiligingsbeleid Geacht cllege, U ntvangt hierbij het beveiligingsbeleid van de ISD Bllenstreek met het verzek dit vast te stellen. Infrmatiebeveiliging en privacybescherming zijn de afgelpen tijd regelmatig in het nieuws geweest. Een Suwi-nderzek in december 2013 gaf aan dat slechts een klein gedeelte van de gemeenten aan alle beveiligingseisen vldeed. De ISD Bllenstreek is recent tweemaal psitief ge-audit dr nze accuntant en vr de aansluiting p het DigiD netwerk. Ok hebben we de Suwi-zelftest uitgeverd, waaruit een aanbeveling is vrtgekmen en deze is vergenmen. Deze aanbeveling betekent dat we niet één keer per twee jaar een evaluatie uitveren, maar ieder jaar. Uit de Suwi-zelftest van de VNG blijkt dat dit beleid vastgesteld met wrden dr het management en het Cllege van B&W. Vr ISD-en geldt bvendien dat alle gemeenten in het samenwerkingsverband het beveiligingsbeleid apart dienen vast te stellen. Na vaststelling dr uw Cllege hebben we k aan deze beveiligingseis vldaan. In nze jaarverslagen zullen we rapprteren ver de stand van zaken inzake beveiliging en privacybescherming. Het beveiligingsbeleid is gebaseerd p de het mdel beveiligingsbeleid van KING en hudt rekening met de Cde vr Infrmatiebeveiliging (NEN/ISO 27002) en de Baseline Infrmatiebeveiliging Nederlandse Gemeenten (BIG). Wij hebben de tekst waar ndig aangepast aan de feitelijke situatie bij de ISD Bllenstreek. Gezien de cmmtie in de media ver dit nderwerp adviseer ik u dit beveiligingsbeleid ter kennisname naar uw raad te sturen. Ik vertruw erp u hiermee vldende geïnfrmeerd te hebben. Vr vragen kunt u terecht bij de cntrller, de heer F.R. (Freek) Seiffers, bereikbaar p (0252) 345 096. Met vriendelijke gret, het da ijks bestuur van de ISD lle tre k, namensdeze, J. (Rb )'t Jng irecteu /,0/LW,. / /'

Scan nummer 1 van 1 - Scanpagina 2 van 29 1 1 É 1 z ï Intergemeentelijke Saciale Diensí hillugm lísxc urd\\-'ijk nn<^ rd\\ ijkcri1mx\ 1c~,=li'ngcn i INFORMATEEBEVEILIGINGSBELEID ISD Bllenstreek ' 1

Scan nummer 1 van 1 - Scanpagina 3 van 29 Clfn Naam dcument. lnfrmatiebeveiligingsbeleid lsd Bllenstreek Versienummer 1.0 Versiedatum Augustus 2014 Versiebeheer Het beheer van dit dcument berust bij de lnfrmatiebeveiligingsdienst vr gemeenten (IBD). Cpyright 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten vrbehuden. Verveelvudiging, verspreiding en gebruik van deze uitgave vr het del zals vermeld in deze uitgave is met brnvermelding tegestaan vr alle gemeenten en verheidsrganisaties. - 2

Scan nummer 1 van 1 - Scanpagina 4 van 29 ḷ :mw sneed 1 Uitgangspunten infrmatiebeveiliging ISD Bllenstreek... _. 4 _. 2 Organisatie van de infrmatiebeveiliging... 6 2.1 Interne rganisatie... 6 2.2 Taken en rllen... 7 2.3 Rapprtage en escalatlelijn vr infrmatiebeveiliging... _. 8 3 Beheer van bedrijfsmiddelen...._ 11 3.1 Verantwrdelijkheid vr bedrijfsmiddelen.....11 3.2 Classi catie._ van infrmatie... 12 4 Beveiliging van persneel.....14 5 Fysieke beveiliging en beveiliging van de mgeving.....15 6 Beveiliging van apparatuur en infm1atie.....16 6.1 Beheersmaatregelen...._ 16 6.2 Beheer van de dienstverlening dr een derde partij.....19 6.3 Behandeling van media.....19 6.4 Uitwisseling van infrmatie.....20 7 Lgische tegangsbeveiliging.....2 1 7.1 Authenticatie en autrisatie.....21 7.2 Externe tegang.....2 1 7.3 Mbiel en thuiswerken.....22 7.4 Overige maatregelen.....22 7.5 Beveiliging van infrmatiesystemen (sftware).....22 8 Beveiligingsincidenten... _. 24 8.1 Melding en registratie.....24 8.2 Alarmfasen.....25 9 Bedrijfscntinui'teit.....26 10 Naleving Delstelling.....27 10.1 Organisatrische aspecten.....27 10.2 (Wettelijke) kaders.....27 11 Bijlage: Relevante dcumenten en brnnen.....28 11.1 Intern.....28 11.2 Extern.....28 l i ~ 3

Scan nummer 1 van 1 - Scanpagina 5 van 29 @z sm* mz mam wat m m s@åatsspëstttets šssšešswaatšsesse ss essstreašs Het belang van infrmatie(veiiigheid) Infrmatie is één van de vrnaamste bedrijfsmiddelen van Intergemeentelijke Sciale Dienst Bllenstreek (ISD). Het verlies van gegevens, uitval van ICT, f het dr nbevegden kennisnemen f manipuleren van bepaalde infrmatie kan ernstige gevlgen hebben vr de bedrijfsvering. Het kan k leiden tt imagschade. Ernstige incidenten hebben mgelijk negatieve gevlgen vr burgers, bedrijven, partners en de eigen rganisatie met waarschijnlijk k plitieke cnsequenties. lnfrmatieveiligheid is daarm van grt belang. Infrmatiebeveiliging is het prces dat dit belang dient. Visie De ISD draagt zrg vr een betruwbare, integere en veilige infrmatiemgeving. Een betruwbare infrmatievrziening is ndzakelijk vr het ged functineren van ISD en de basis vr het beschermen van rechten van burgers en bedrijven.1 De fcus ligt hierbij p elektrnische, papieren en mndelinge infrmatie. Delstelling Dit infrmatiebeveiligingsbeleid (IB-beleid) is het kader vr passende technische en rganisatrische maatregelen m gemeentelijke infrmatie te beschermen. Hierbij waarbrgen we dat de ISD vldet aan relevante wet en regelgeving. Een nderdeel van het beleid is een psmming van maatregelen die al genmen zijn en een SMART planning van maatregelen die ng genmen meten wrden. Dit geheel is verankerd in een PDCAcyclus. Uitgangspunten - Het IB-beleid van ISD is in lijn met het algemene beleid van de ISD en de relevante landelijke en Eurpese wet- en regelgeving.2 Het beleid is gebaseerd p de Cde vr Infrmatiebeveiliging (NEN/ISO 27002) en de Baseline Infrmatiebeveiliging Nederlandse Gemeenten (BIG). Het IB-beleid wrdt vastgesteld dr Dagelijks Bestuur van de ISD. Het management herijkt peridiek het IB-beleid. Risicbenadering De aanpak van infrmatiebeveiliging in ISD is gebaseerd p de risic analyse. We gebruiken hiervr de Baseline Infrmatiebeveiliging Nederlandse Gemeenten (BIG) van VNG/KING (GAPanalyse). We veren een risicanalyse uit. De Security Officer (SO) inventariseert de kwetsbaarheid van de werkprcessen en de dreigingen die kunnen leiden tt een beveiligingsincident. Zij huden hierbij rekening met de beschermingseisen van de infrmatie. Het risic is de kans p beveiligingsincidenten en de impact daarvan p het werkprces. De afdeling kwaliteit bepaalt dit risic = kans x impact. 1 Met betruwbaarheid wrdt bedeld: beschikbaarheid (cntinuïteit van de bedrijfsvering), integriteit (juistheid, vlledigheid) en vertruwelijkheid (geautriseerd gebruik) van gegevens en infrmatie. 2 Daarbij geldt het 'cmply r explain' principe (pas te f leg uit) - 4

Scan nummer 1 van 1 - Scanpagina 6 van 29 I Delgrepen Het IB-beleid ISD is bedeld vr alle in- en externe medewerkers van de ISD:,.., `. ;,_~w ïf /.., % ~., V. W, 1,, 2 ;,;.; 1:,: ;;;. <;;';.;«j.;;~:.;=,f.<-:\2i<.;.1;.>;b.1> :','<'t>" f;;;;[ij ffi-,;±,;'å ' Integrale verantwrdelijkheid Dagelijks Bestuur Kaderstelling en implementatie Managementteam Sturing p infrmatieveiligheid en cntrle p naleving Managementteam Gedrag en naleving Allen Classificatie: bepalen van beschermingseisen van infrmatie Gegevenseigenaren Planvrming binnen Infrmatiebeveiligingskaders Beleidsmedewerkers Dagelijkse cördinatie van infrmatiebeveiliging Cördinatren Arbeidsvrvvaardelijke zaken Stafafdeling P&O Fysieke tegangsbeveiliging Bedrijfsndersteuning, UWV ICT Technische beveiliging ICT en applicatiebeheer Tetsing Auditrs IC Cmpliance Leveranciers en ketenpartners I I Scpe De scpe van dit beleid mvat alle prcessen binnen de ISD, nderliggende infrmatiesystemen, infrmatie en gegevens van de ISD en externe partijen, het gebruik daarvan dr medewerkers en (keten)partners in de meest brede zin van het wrd, ngeacht lcatie, tijdstip en gebruikte apparatuur. Dit IB-beleid van de ISD is een algemene basis. Vr bepaalde kerntaken gelden p grnd van wet- en regelgeving specifieke (aanvullende) bevei igingseisen.3 Werking Dit IB-beleid treedt in werking na vaststelling dr het Dagelijks Bestuur van de ISD en de clleges van de ISD-gemeenten. I 3 Bijvrbeeld SUWI (Structuur Uitveringsrganisatie Werk en Inkmen) en gemeentelijke basisregistraties.? 5

Scan nummer 1 van 1 - Scanpagina 7 van 29 sešsšseåše start dešašese esšäm ~ mz e ëï '<._-. f.; :,,.,- -,_ _v., ;.;-1, ~; -we <~'. Risic's Het (structureel) uitveren en brgen van beheersmaatregelen lpt gevaar wanneer verantwrdelijkheden en bijbehrende taken, prcedures en instrumenten niet expliciet zijn vastgelegd. Delstelling Beheren van de infrmatiebeveiliging binnen de rganisatie. Vaststellen van het beheerkader m de implementatie van infrmatiebeveiliging in de rganisatie te initiëren en te beheersen. Gedkeuring dr het management van het IB-beleid, de tewijzing van de rllen en de cördinatie en berdeling van de implementatie van het beleid binnen de rganisatie. Verantwrdelijkheden Het Dagelijks Bestuur (beslissende rl) is verantwrdelijk vr de beveiliging van infrmatie binnen de werkprcessen ISD Het Dagelijks bestuur: stelt kaders vr infrmatiebeveiliging p basis van landelijke en Eurpese wet- en regelgeving en landelijke nrmenkaders; Het MT (in sturende rl) is verantwrdelijk vr sturing, cntrle en uitvering van het de infrmatiebeveiliging. Het MT5: stuurt p risic's vr de lsd; cntrleert f de getrffen maatregelen vereenstemmen met de betruwbaarheidseisen en f deze vldende bescherming bieden; 0 evalueert peridiek beleidskaders en stelt deze waar ndig bij. De ISD (in vragende rl) is verantwrdelijk vr de integrale beveiliging van haar rganisatienderdelenô Het MT: stelt p basis van een expliciete risicafweging betruwbaarheidseisen vr de infrmatiesystemen vast (classificatie); 0 is verantwrdelijk vr de keuze, de implementatie en het uitdragen van de maatregelen die vrtvleien uit de betruwbaarheidseisen; stuurt p beveiligingsbewustzijn, bedrijfscntinu'iteit en naleving van regels en richtlijnen (gedrag en risicbewustzijn); rapprteert ver cmpliance aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapprtages. De ISD rganisatie (in uitverende rl) is verantwrdelijk vr uitvering: De cördinatren vr beveiliging van de infrmatievrziening en implementatie van beveiligingsmaatregelen, die vrtvleien uit betruwbaarheidseisen (c assificaties); 4 Zie k: strategische variant van de Baseline Infrmatiebeveiliging Nederlandse Gemeenten 5 Met betrekking tt de i-functie geeft de S0 p dagelijkse basis namens het MT invulling aan de sturende rl dr besluitvrming in de directie vr te bereiden en te te zien p de uitvering ervan. 6 Zie k: strategische variant van de Baseline Infrmatiebeveiliging Nederlandse Gemeenten - 6

Scan nummer 1 van 1 - Scanpagina 8 van 29 De applicatiebeheerder is verantwrdelijk I vr alle beheeraspecten van infrmatiebeveiliging, zals ICT security management, incident en prblem management en facilitaire zaken; I verzrgt lgging, mnitring en rapprtage; I levert klanten (technisch) beveiligingsadvies. De medewerker P&O is verantwrdelijk vr de persnele zaken. mm \I «: ï. V' zw Het Dagelijks Bestuur stelt het IB-beleid vast. Het MT adviseert het Dagelijks Bestuur ver het vast te stellen beleid. Zwel het Dagelijks bestuur als het Algemeen Bestuur (cntrle functie) kan pdrachtgeven tt cntrle p uitvering van het IB-beleid. De Security Officer geeft namens het MT p dagelijkse basis invulling aan de sturende rl. Hij det dit dr besluitvrming in het MT vr te bereiden en te te zien p de uitvering ervan. De cördinatren, de medewerker P&O en de applicatiebeheerder veren de infrmatiebeveiligingstaken uit. De security fficer ziet erp te dat zij de taken uitveren. De SO bevrdert en adviseert gevraagd en ngevraagd ver infrmatiebeveiliging en rapprteert eens per half jaar aan het MT ver de stand van zaken. De cördinatie van infrmatiebeveiliging is belegd de security fficer (SO). De cördinatren, de medewerker P&O en de applicatiebeheerder veren de uitverende taken uit. Zij rapprteren aan de SO. Het functineren van infrmatiebeveiliging wrdt jaarlijks gerapprteerd cnfrm de P&O cyclus. Een van de applicatiebeheerders functineert als securityfunctinaris vr het dagelijks beheer van technische infrmatiebeveiligingsaspecten. De securityfunctinaris rapprteert aan de Security fficer (SO). - 7

i ' Z-14-15192 / 01. Inkmend 25172 / Scan nummer 1 van 1 - Scanpagina 9 van 29 <«,» «,^±:,«&1~>\\«4:í šš:.\*>'< =' <e<«;;>š\\=«<«š;>j~*>< :=<<* i<,\-we.-«,:?«;z>=: : ;m >ß:?à=g.~.>.=.~.=2k@,. >íç>;zz:;f<m nsïmwsz :=.ë;f'z.ffw\».«x1.2z.:@.š @xeg«&^«x ;w ::,s.>,\;,=\,(~,>,\: ;, z;,-_,»,±;.>». _<~±~ :z :;;;:\<=-_ =h...,< ; ze-~'a«.f A,1-.s tw 2%;: ßzz:* :: sw ~ ==--1-ff,«=-* -ti \ '««~ ~\*>f?»=š~`\` ~ \>~^**š~*aí 3"/^22:44* =.rf-:=> ~'@=N»<\>» -»:, ësf=:=\:2=ef~»* :~?~ mx3,\}\\ «, w,, < š «a,.>,f.,.._ w-'~=,\,.tv Max/: fl f«`?«}fí,3~/tu"34/ `1šï$ :`«*=»*š š> f í 1fëí<í,<,>:*}«> š Éi, 3$»$E š~s ff % i«p.?šš~ï«>\ ššï\\*`è<ššà,wi-, <;,;;,<*;,<;«;i \ ;<ms::>šmx:.t~1=1a : \: ~~ ;~\ ï~,~ ~._>~<: \ \=\,M :./«t>:=.~«4 «,@, rf ff: «,\='/ = Sturen: MT dagelijkse uitvering: S0 Vragen: Afdelingshfden Uitveren: Cördinatren, Applicatiebeheer en medewerker P&O (in uitverende rl) Ontwikkelen van kaders (beleid en architectuur); reglementen; meerjarenplanning Frmuleren van beveiligingseisen (classi catie) en pstellen clusterbeleid en beveiligingsplannen Beleidsvrbereiding, technische nderzeken (marktverkenningen) lnbedding landelijke en EU-richtlijnen, advisering, handreikingen, crisisbeheersing en incident respns. Stimuleren van Beveiligingsbewustzijn bij medewerkers, risic- en bedrijfscntinu' 'teitmanagement. Leveren van security management en services (ICT), incidentbeheer, lgging, mnitring en advies Cntrle, audit, pentesten Interne cntrle (IC), sturen p naleving van regels dr medewerkers (gedrag). cmpliancy. Vulnerability scanning, evaluatie en rapprtage Bijstu ren: pdrachtverstrekking vr verbeteracties. Rapprtage aan MT/ DB Verbeteren bedrijfscntinui`teit Rapprtage aan MT/DB Uitveren verbeteracties Advies aan de SO ver aanpassingen aan de infrmatievrziening m wf. gem,:«f««, Mi) W/ 4f'^;~» ' x <' ff-2, wy 5.«1= >>É5Ö ~; «>' ~>.s f /' ' >\ i ff;«*«/rv/m sw 1%;// M ~; W/.\í~f, \ f w,~ ty., wa.,1 5 4,,«<g;; :, N W s.«. -fí šfä - ^. 3. I 2 v,/23 _ ««=;=vf -.< ^ =\..,.a;,m í aw.~v;~ _ 1. wa åvê, å«w.~ ~ '-fi? =-,-rf ;, 4 sy ft,> JW í.&% W f ~<f M.~»ï; VJ W J: *' 1f/ uw De Security Officer, cördinatren, applicatiebeheerder en medewerker P&O hebben halfjaarlijks een verleg. De rapprtage ver dit verleg gaat vlgens nderstaand verzicht. Security verantwrdelijke SO MT7 Externe partijen IB-beleid, landelijke nrmen en wet en regelgeving gelden k vr externe partijen (leveranciers, ketenpartners) waarmee de ISD samenwerkt (en infrmatie uitwisse t).8ok vr externe partijen geldt hierbij het 'cmply r explain' beginsel (pas te f leg uit). Bij cntractuele vereenkmsten gelden in beginsel altijd de Algemene Inkp Vrwaarden (AIV), waarin nder meer geheimhuding en aansprakelijkheid is geregeld. Afwijkingen p de AIV tetst de ISD aan het IB-beleid. Vereiste beveiligingsmaatregelen legt de ISD aanvullend vast in cntracten. Daarin brgt de ISD dat externe partijen beveiligingsincidenten nmiddellijk rapprteren en dat de ISD het recht heeft afspraken te (laten) cntr eren.9 Vr het tt stand brengen van datakppelingen met externe partijen, geldt een prcedure 'Aanvragen externe tegang Intranet'. Het del van de prcedure is risicbeheersing. 7 De SO is adviseur van het MT en rapprteert tegelijkertijd direct aan het DB 8 Beleidsregels vr externe partijen zijn beschreven in de Baseline Infrmatiebeveiliging Nederlandse Gemeenten. 9 Hiervr kan gebruik wrden gemaakt van een 'third party mededeling' (TPM) f een ISAE 3402-verklaring. ~ 8

Vr externe hsting van data en/f services gelden naast generiek IB-beleid de richtlijnen vr clud cmputing.1 De ISD is gehuden aan: regels mtrent grensverschrijdend dataverkeer; tezicht p naleving van regels dr de externe partij(en); hgste beveiligingseisen vr bijzndere categrieën gegevens11; melding bij cllege bescherming persnsgegevens (CBP) bij drgifte van persnsgegevens naar derde landen (buiten de EU). OO ICT crisisbeheersing en landelijke samenwerking Vr interne crisisbeheersing dient een kernteam lnfrmatiebeveiliging geïnstalleerd te zijn. Deze bestaat uit de security fficer, applicatiebeheerder en de cmmunicatiemedewerker. De werkwijze dient te zijn vastgelegd. ~ ISD participeert in relevante landelijke platfrms en nderhudt cntacten met andere sectraal gerganiseerde infrmatiebeveiligingsplatfrms. l PDCA 0 lnfrmatiebeveiliging is een cntinu verbeterprces. 'PIan, d, check en act' vrmen samen het management systeem van Infrmatiebeveiliging. Dit is in figuur 2 weergegeven. ~ Telichting figuur 2: Big: De cyclus start met het maken van een infrmatiebeveiligingsplan. Deze baseren we p het IB-beleid. In het plan staan regels vr nder meer infrmatiegebruik, bedrijfscntinuïteit en naleving. Dit plan stellen we jaarlijks p. De planning p hfdlijnen is nderdeel van het ICT jaarplan. Q: Het beleidskader is basis vr risicmanagement, uitvering van (technische) maatregelen en bevrdering van beveiligingsbewustzijn. Uitvering maakt integraal nderdeel uit van het dagelijkse werkprces. Check: Cntrl is nderdeel van het werkprces met als del: waarbrgen van de kwaliteit van infrmatie en ICT, en cmpliance aan wet- en regelgeving. 0 Externe cntrle: betreft cntrle buiten het primaire prces dr een auditr".jaarlijks vinden meerdere nderzeken plaats. De Security Officer is pdrachtgever. De auditr rapprteert aan de Security Officer en het MT. Agt; De cyclus is rnd met de uitvering van verbeteracties p basis van check en externe cntrle. De cyclus is een cntinu prces; de bevindingen van cntrles zijn weer input vr de jaarplanning en het beveiligingsplan. whttps://www.ncsc.nl/dienstverlening/expertise-advies/zie kennisdeling/whitepapers/whitepapercludcmputing.htmi 11 Ras f etnische afkmst, plitieke pvattingen, religie f vertuiging, het lidmaatschap van een vakvereniging, genetische gegevens f gegevens ver gezndheid f seksueelgedrag f strafrechtelijke verrdelingen 12 Van nder meer de accuntant, rijksverheid (vr bijv. basisregistraties) en gemeentelijke auditrs (intern). ' 9 i Scan nummer 1 van 1 - Scanpagina 10 van 29 I

Scan nummer 1 van 1 - Scanpagina 11 van 29 PLAN Wet en regelgeving Landelijke nrmen 0 BIG Beleid en delstellingen ISD Beleidskader lnfmatiebeveiliging Organisatie en gvernance lnfrmatiegebruik en persnele aspecten Beheer Tegangsbeveiliging en autrisatie Business cntinuity management Naleving en cntrle Evalueren en bijsturen ACT Evaluatie directie Management rapprtages en stuurinfnnatie Verbetervrstellen.r Audit werking infrmatie beveiliging Ai ik 156 Beleidskader is basis Inrichting en uitvering prcessen Rapprtage status en effectiviteit Security maatregelen DO w De uitvering vertaald beleidskaders in cncrete maatregelen en acties CHECK á. aa jzåšl :ml 11%* ršggš šß Audit beleid versus maatregelen 0-meting Richtlijnen en maatregelen Beveiligingsarchitectuur Uitveringsregelingen en handreikingen Bewustvvrdingsacties Sturen p naleving Op basis van risicmanagement stellen we vast wat restrisic's zijn Inzicht status en effectiviteit Security maatregelen Selfassessments TPM Interne cntrle Management rapprtage Kwetsbaarheid Pentesten Scial engineering 2 Audit werking algemene IT beheer maatregelen Systeem en prces audit Evaluatie en rapprtage 10

Scan nummer 1 van 1 - Scanpagina 12 van 29 åašitraartrars åtadr zäš % 'rašrgååtša nw rem åš Risic's: Als de ISD niet vr alle(lct~cnfiguratie) items vastlegt wie de eigenaar/hfdgebruiker is, lpt zij het risic p diefstal, beschadiging f nrdeelkundig gebruik van haar bedrijfsmiddelen en infrmatie. Wanneer nduidelijk is wie verantwrdelijk is vr gegevensbestanden, is niemand verantwrdelijk vr de beveiliging en kan niemand ptreden bij incidenten. Delstellingen Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de rganisatie. Vr alle bedrijfsmiddelen is de eigenaar vastgelegd alsk de verantwrdelijke vr het handhaven van de beheersmaatregelen. Beheersmaatregelen De medewerker financiën en cntrl identificeert alle bedrijfsmiddelen en hudt een inventarislíjst bij. De applicatiebeheerder wijst alle infrmatie en bedrijfsmiddelen, die verband huden met ICTvrzieningen aan een 'eigenaar' (een deel van de rganisatie) te. 0 Het MT stelt regels vast, vr aanvaardbaar gebruik van infrmatie en bedrijfsmiddelen die verband huden met ICT-vrzieningen. Zij zrgt vr dcumentatie en implementatie hiervan. Apparatuur, infrmatie en prgrammatuur van de rganisatie mgen niet znder testemming vraf van de eigenaar van de lcatie wrden meegenmen. De eigenaar mag de verantwrdelijkheid vr specifieke beheersmaatregelen delegeren. Hij/zij blijft verantwrdelijk vr een gede bescherming van de bedrijfsmiddelen. Medewerkers dienen zich bij het gebruik van ICT-middelen, scial media en ISD infrmatie te huden aan de gedragscde email en internetgebruik. Zij betrachten de ndige zrgvuldigheid bij het gebruik hiervan en waarbrgen de integriteit en gede naam van de ISD. ~ Medewerkers gebruiken ISD infrmatie alleen vr het uitveren van de aan hen pgedragen taken en het del waarvr de infrmatie is verstrekt. Privégebruik van ISD infrmatie en bestanden is niet tegestaan. Vr het werken p afstand en het gebruik van privémiddelen wrden nadere regels pgesteld. De medewerker is in ieder geval gehuden aan regels zals: Hij/zij mag geen illegale sftware gebruiken vr de uitvering van het werk. Hij/zij beveiligt de ISD infrmatie p eigen cmputer, ndanks dat er geen plicht bestaat de eigen cmputer te beveiligen. Hij/ zij hudt zich bij gebruik via de eigen cmputer aan regels zals gelden bij gebruik in de (fysieke) kantrmgeving. De medewerker neemt passende technische en rganisatrische maatregelen m ISD infrmatie te beveiligen tegen verlies f tegen enige vrm van nrechtmatig gebruik. De medewerker hudt hierbij in ieder geval rekening met: de beveiligingsclassificatie van de infrmatie (zie hiernder); de dr de ISD gestelde beveiligingsvrschriften (.a. dit IB-beleid); aan de werkplek verbnden risic's; het risic dr het benaderen van ISD infrmatie met andere dan dr de ISD verstrekte f gedgekeurde ICT-apparatuur. OOOO * 11

Scan nummer 1 van 1 - Scanpagina 13 van 29 De ISD gebruikt bevei igingsclassificaties13 m te kunnen bepalen welke beveiligingsmaatregelen meten wrden getrffen t.a.v. prcessen en infrmatiesystemen. Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen ndig zijn. Classificatie vindt plaats p drie betruwbaarheidsaspecten van infrmatie: Beschikbaarheid, Integriteit (juistheid, vlledigheid) en Vertruwelijkheid (BIV). Er zijn vier beschermingsniveaus van geen naar hg. De niveaus zijn in nderstaande tabel weergegeven. Tussen haakjes staan vrbeelden. Deze niveaus zijn bedacht m het prces van classificeren te vereenvudigen. Risic's: Geen inzicht in welke cmpnenten, zwel hardware als sftware, het belangrijkst zijn vr de primaire prcessen. Onjuiste classificatie draagt bij aan het njuist beschermen van infrmatie en bedrijfsmiddelen met als risic, dat deze verlren kunnen gaan f penbaar wrden terwijl dat niet de bedeling is. Delstellingen Adequate bescherming van infrmatie Beheersmaatregelen: infrmatie classificeren met betrekking tt de waarde, wettelijke eisen, geveligheid en nmisbaarheid vr de rganisatie. Opstellen en uitdragen classificatiebeleid binnen de gemeente. Ontwikkelen, implementeren van geschikte samenhangende prcedures vr de classificering en verwerking van infrmatie vereenkmstig het classificatiesysteem dat is vastgesteld 13Dit is in detail beschreven in de cmpnent architectuur lnfrmatiebeveiliging 2014, CIO, 2014. _ 12

' Scan nummer 1 van 1 - Scanpagina 14 van 29 Geen Laag.,, V (gr..f\,.f.,.12..ï,.t 3 =g.-is ; igåzf f«_, As' g«ëg±,s,;.;; 1\.., ft ;<':;;,a /.~š 5 4151 \.: =f i ;. 3<;=- ; ; _;4,.,_\_,»;«;,/I; et. W \V Openbaar infrmatie mag dr iedereen wrden ingezien (bv: algemene infrmatie p de externe website van de ISD) Bedrijfsvertruwelijk infrmatie is tegankelijk vr alle medewerkers van de rganisatie (bv: infrmatie p het intranet) Niet zeker infrmatie mag wrden veranderd (bv templates en sjablnen) Beschermd het bedrijfsprces staat enkele (integriteits~)futen te (bv: rapprtages) f t ;.~,;~(=; 1 =~, g gf, s,2r :mi <. Niet ndig gegevens kunnen znder gevlgen langere tijd niet beschikbaar zijn (bv: ndersteunende tls als ruteplanner) Ndzakelijk infrmatie mag incidenteel niet beschikbaar zijn (bv: administratieve gegevens) Midden Vertruwelijk infrmatie is alleen tegankelijk vr een beperkte grep gebruikers (bv: persnsgegevens, nanciële gegevens) Hg het bedrijfsprces staat zeer weinig futen te (bv: bedrijfsveringinfrmatie en primaire prcesinfrmatie zals vergunningen) Belangrijk infrmatie met vrijwel altijd beschikbaar zijn, cntinuïteit is belangrijk (bv:primaire prces infrmatie) Hg Geheim infrmatie is alleen tegankelijk vr direct geadresseerde(n) (bv: zrggegevens en strafrechtelijke infrmatie) Absluut het bedrijfsprces staat geen futen te (bv: infrmatie p de website) Essentieel infrmatie mag alleen in uitznderlijke situaties uitvallen, bijvrbeeld bij calamiteiten (bv: basisregistraties) Uitgangspunten De classificatietabel heeft betrekking p alle in beheer zijnde gegevensverzamelingen, gegevensdragers, infrmatiesystemen, servers en netwerkcmpnenten. Het bject van classificatie is infrmatie. We classificeren p het niveau van infrmatiesystemen (f infrmatiesen/ices). Alle classificaties van alle bedrijf kritische systemen zijn centraal vastgelegd dr de SO. De eigenaren cntrleren de classificaties jaarlijks. infrmatie kan meer f minder gevelig f kritisch zijn. Vr bepaalde infrmatie kan een extra niveau van bescherming f een speciale verwerking ndig zijn. De eigenaar van de gegevens (veelal k de prceseigenaar) bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen, geeft de eigenaar dit expliciet aan. De eigenaar van de gegevens bepaalt tevens wie tegang krijgt tt welke gegevens. De ISD streeft naar een z 'laag' mgelijk classificatieniveau; te hge classificatie leidt tt nndige ksten. Bvendien dient infrmatie in beginsel vr zveel mgelijk mensen beschikbaar te zijn (transparante verheid). De lsd streeft naar een balans tussen het te lpen risic en de ksten van tegenmaatregelen én daarnaast verdient een technische plssing altijd de vrkeur bven gedragsverandering. _ 13

Scan nummer 1 van 1 - Scanpagina 15 van 29 sas we mm Wm mms ts sas Wsrssstss mm Risic's Het aannemen f inhuren van nieuw persneel en het laten verrichten van werkzaamheden dr externe medewerkers verdient extra aandacht, mdat menselijk handelen negatieve hebben p de beschikbaarheid, integriteit en vertruwelijkheid van infrmatie. Delstelling invled kan Werknemers, ingehuurd persneel en externe gebruikers begrijpen hun verantwrdelijkheden en zijn geschikt vr hun rl. Verminderen van het risic van diefstal, fraude f misbruik van faciliteiten. Beheersmaatregelen De medewerker P&O is verantwrdelijk vr het juist afhandelen van de beveiligingsaspecten van het aangaan, wijzigen en beëindigen van een dienstverband f een vereenkmst met externen. De medewerker P&O hudt tezicht p dit prces. De verantwrdelijkheden ten aanzien van beveiliging ligt vóór het dienstverband vast in passende functiebeschrijvingen en in de arbeidsvrwaarden. De ISD screent alle kandidaten, ingehuurd persneel en externe gebruikers vr een aanstelling, in het bijznder vr vertruwensfuncties. Alle medewerkers van de lsd verleggen vr indiensttreding een Verklaring Omtrent het Gedrag (VOG). De VOG wrdt indien ndig herhaald tijdens het dienstverband. Werknemers, ingehuurd persneel en externe gebruikers, die ICT-vrzieningen gebruiken tekenen een vereenkmst ver hun beveiligingsrllen en-verantwrdelijkheden. De afdelingshfden bepalen welke rl(len) de medewerker met vervullen en welke autrisaties vr het raadplegen, pveren, muteren en afveren van gegevens hij/zij daarvr ndig heeft. Alle medewerkers (en vr zver van tepassing externe gebruikers van nze systemen) dienen training te krijgen in prcedures die gelden vr infrmatiebeveiliging. Deze training herhaalt de ISD regelmatig m het beveiligingsbewustzijn p peil te huden. Bij beëindiging van het dienstverband en inhuur wrden alle bedrijfsmiddelen van de ISD gereturneerd. Autrisaties wrden in pdracht van de cördinatren f de afdelingshfden geblkkeerd. Bij inbreuk p de beveiliging gelden vr medewerkers de gebruikelijke disciplinaire maatregelen, zals nder meer genemd in het Ambtenarenreglement en regelingen geldend vr de ISD. Regels die vlgen uit dit beleid en andere gemeentelijke regelingen gelden k vr externen, die in pdracht van de gemeente werkzaamheden uitveren. Bewustwrding Het MT bevrdert algehele cmmunicatie en bewustwrding rndm infrmatieveiligheid. De afdelingshfden bevrderen dat medewerkers (en externe gebruikers van nze systemen) zich huden aan beveiligingsrichtlijnen. Afspraken hierver wrden vastgelegd in het managementcntract. ln werkverleggen wrdt peridiek aandacht geschnken aan infrmatieveiligheid. _ 14

r Z-14-15192 / 01. Inkmend 25172 / Scan nummer 1 van 1 - Scanpagina 16 van 29 ítšššäfgisšeiëabase. Risic's mm am mm ïä Wa ag aa tauge mz, w ma åä ms _.rig waarrita arttišïgrêëtr ww W? W šš Het ntbreken van beveiliging kan leiden tt nbevegde tegang tt kritieke systemen f waardevlle infrmatie. Verlies, schade f diefstal van apparatuur. Schade dr fysieke bedreigingen en gevaren van buitenaf. Delstelling Het vrkmen van nbevegde fysieke tegang tt, schade aan f verstring van het terrein en de infrmatie van de rganisatie, bedrij'fsmiddelen en nderbreking van de bedrijfsactiviteiten. Het beschermen van lct~vrzieningen, met kritieke f gevelige bedrijfsactiviteiten, tegen tegang dr nbevegden, schade en stringen.» Het vrkmen van verlies, schade f diefstal van apparatuur en bescherming bedreigingen en gevaren van buitenaf. tegen fysieke Beheersmaatregelen Het hfdgebuw van de ISD en de ruimten die de ISD elders gebruikt krijgen een risicprfiel tegewezen. De schade dr bedreigingen van buitenaf beperkt de ISD dr passende preventieve maatregelen. Tegang tt niet-penbare gedeelten van gebuwen is alleen mgelijk na autrisatie daarte. De managementassistente registreert uitgifte van tegangsmiddelen. In gebuwen met beveiligde znes hudt beveiligingspersneel tezicht p de tegang. Hiervan wrdt een registratie bijgehuden. 0 De kwaliteit van tegangsmiddelen (deuren, sleutels, slten, tegangspassen) is afgestemd p de znering (en het risicprfiel). ~ De fysieke tegang tt ruimten waar zich infrmatie en ICT-vrzieningen bevinden is vrbehuden aan bevegd persneel. Registratie van de verleende tegang ndersteunt de uitvering van de tegangsregeling. Serverruimtes, datacenters en daaraan gekppelde bekabelingsystemen zijn ingericht in lijn met geldende 'best practices'. De ISD beschermt (Data)verbindingen tegen interceptie f beschadiging. Reserve apparatuur en back-ups zijn gescheiden in twee lcaties f datacenters, m de gevlgen van een calamiteit te minimaliseren. Vrdat de ISD apparatuur afvert zijn gegevens en prgrammatuur van de apparatuur vennijderd f veilig verschreven. De ISD bewaart en vernietigt cnfrm de Archiefwet 1995 en de daaruit vrtvleiende archiefbesluiten. De ISD registreert tegang tt kritieke systemen en waardevlle infrmatie zdat incidenten herleidbaar zijn tt individuen. De ISD heeft een clean desk plicy. De ISD heeft prcedures vr het veilig venivijderen f hergebruiken van ICT-apparatuur. - 15

Scan nummer 1 van 1 - Scanpagina 17 van 29 V wewss ss sets ssmättäåï ss šïsšss Wa mwm mam wma Risic's Het ntbreken van dcumentatie kan leiden tt futen, niet-unifrme wijze van gegevensinver, f in geval de beheerder/bediener uitvalt, tt prblemen rndm de cntinuïteit. Onjuiste autrisaties kunnen leiden tt futieve handelingen, fraude en verduistering. Het niet uitveren en vastleggen van technische en functinele applicatietesten en/f de resultaten hiervan, kan in bepaalde mstandigheden (tijdsdruk, vakantieperides, etc.) leiden tt een verhgd risic van uitval f gegevens verlies. De SD gaat steeds meer samenwerken (en infrmatie uitwisselen) in ketens. Bij beheer van systemen en gegevens dr een derde partij, kan k infrmatie van de ISD p straat kmen te liggen. De ISD blijft verantwrdelijk vr de infrmatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. Prgrammatuur en ICT-vrzieningen zijn kwetsbaar vr virussen. Het ntbreken van een regeling vr antivirus bescherming bij medewerkers thuis leidt tt hgere beveiligingsrisicds. Delstelling Waarbrgen van een crrecte en veilige bediening van ICT-vrzieningen. Vastgestelde verantwrdelijkheden en prcedures vr beheer en bediening van alle ICT vrzieningen. Dit mvat tevens de ntwikkeling van geschikte bedieningsinstructies. Tepassing, waar ndig, van functiescheiding m het risic van nalatigheid f pzettelijk misbruik te verminderen. :is V / -4 2% W ff aff' fl? ' f Y Organisatrische aspecten ln beginsel mag niemand autrisaties hebben m een gehele cyclus van handelingen in een infrmatiesysteem te beheersen, wanneer dit kan leiden tt schade in beschikbaarheid, integriteit f vertruwelijkheid. Als dit tch ndzakelijk is, legt het systeem een audit trail vast van alle handelingen en tijdstippen in het prces. Z kunnen we de transactie herleiden. De audit trail is niet tegankelijk vr degene wiens handelingen wrden vastgelegd. Er is een scheiding tussen beheertaken en verige gebruikstaken. Alleen als een medewerker is ingelgd als beheerder kan hij/zij beheen/verkzaamheden uitveren. Vr nrmale gebruikstaken is hij/zij ingelgd als gebruiker. 0 Bij externe hsting van data en/f services (uitbesteding, clud cmputing) blijft de ISD eindverantwrdelijk vr de betruwbaarheid van uitbestede diensten. Dit is gebnden aan regels en vereist gede (cntractuele) afspraken en cntrle hierp. Externe hsting van data en/f services is: gedgekeurd dr verantwrdelijke afdelingshfd; in vereenstemming met IB-beleid; vraf gemeld bij ICT t.b.v. tetsing p beheeraspecten. ' 16

Scan nummer 1 van 1 - Scanpagina 18 van 29 Systeemplanning en -acceptatie lct f applicatiebeheer testen nieuwe systemen, upgrades en nieuwe versies p impact en gevlgen. Nieuwe systemen implementeren zij pas na frmele acceptatie en gedkeuring dr het MT. Zij dcumenteren de test en de testresultaten. Systemen vr Ontwikkeling, Test en/f Acceptatie (OTA) zijn lgisch gescheiden van Prductie (P)- Faciliteiten vr ntwikkeling, testen, acceptatie en prductie (OTAP) zijn gescheiden m nbevegde tegang tt f wijziging in het prductiesysteem te vrkmen. De lsd zrgt vr een tijdige aanpassingen van de beschikbare capaciteit aan de vraag. Technische aspecten ICT/applicatiebeheer versleutelt alle gegevens anders dan classificatie 'geen' cnfrm beveiligingseisen in de infrmatiebeveiligingsarchitectuur Classificatieniveau ' aag': transprtbeveiliging buiten het interne netwerk; Classificatieniveau 'midden': transprtbeveiliging; Classificatieniveau 'hg': transprt en berichtbeveiliging. Versleuteling vindt plaats cnfrm 'best practices' (de stand der techniek), waarbij geldt dat de vereiste encryptie sterker is naarmate gegevens geveliger zijn. De lsd beschermt gegevens p papier dr een deugdelijke pslag en regeling vr de tegang tt archiefruimten. De lsd zrgt vr geautmatiseerde cntrle p virussen, trjans en andere malware bij het penen f wegschrijven van bestanden en bij inkmende en uitgaande e~mails. De update vr de detectiedefinities vindt in beginsel dagelijks plaats. Op verschillende niveaus binnen de ICT-infrastructuur (netwerkcmpnenten, servers, pc's) past de lsd antivirus sftware van verschillende leveranciers te. Alle apparatuur die is verbnden met het netwerk van de gemeente met kunnen wrden geïdentificeerd. De lsd vert 'Mbile cde'1914 uit in een lgisch geïsleerde mgeving m de kans p aantasting van de integriteit van het systeem te verkleinen. De mbile cde' vert zij uit met minimale rechten zdat het de integriteit van het hst systeem niet aantast De lsd beschermt dcumenten, pslagmedia, in- en uitvergegevens en systeemdcumentatie tegen nbevegde penbaarmaking, wijziging, verwijdering en vernietiging. Het (ngecntrleerd) kpiëren van 'geheime' gegevens is niet tegestaan, behalve vr backup dr bevegd systeembeheer. Alle infrmatie, die de lsd plaatst p haar website, beschermt zij tegen nbevegde wijziging. Op de algemeen tegankelijke website publiceert zij alleen penbare infrmatie. De lsd scheidt grepen infrmatiediensten, gebruikers en infrmatiesystemen p het netwerk zdat zij de kans p nbevegde tegang tt gegevens verder verkleint. Afhankelijk van de risic's die verbnden zijn aan nline transacties treft de ISD maatregelen m nvlledige verdracht, njuiste ruting, nbevegde wijziging, penbaarmaking, duplicatie f weergave te vrkmen. lct/applicatiebeheer mnitrt en beheert het netwerk zdat zij aanvallen, stringen f futen ntdekt en herstelt. Hierdr kmt de betruwbaarheid van het netwerk niet nder het afgesprken minimum niveau (service levels). Mbiele (privé-)apparatuur en thuiswerkplek Beveiligingsmaatregelen hebben betrekking p zwel dr de ISD verstrekte middelen als privéapparatuur ('bring yur wn device' (BYOD)). Wanneer een medewerker verbinding maakt p het lsd netwerk met privé-apparatuur is de lsd bevegd m beveiligingsinstellingen af te dwingen. Dit betreft nder meer: cntrle p wachtwrd, encryptie, aanwezigheid van malware, etc. Het 14 Sftware die wrdt uitgeverd znder expliciete testemming van de gebruiker, zals scripts (Java),Java applets, ActiveX cntrls en Flashanimaties. Dergelijke sftware wrdt gebruikt vr functies binnen (web)app icaties. i 17

Scan nummer 1 van 1 - Scanpagina 19 van 29 gebruik van privé-apparatuur waarp beveiligingsinstellingen zijn verwijderd ('jai break', 'rted device') is niet tegestaan. Op verzek van de ISD dienen medewerkers de installatie van sftware m bvenstaande beleidsregel te handhaven te te staan (denk bijvrbeeld aan mbile device management sftware'). De beveiligingsinstellingen, zals bedeld in bvenstaande regel, zijn uitsluitend bedeld ter bescherming van de infrmatie van de ISD en integriteit van het netwerk. In geval van dringende redenen kunnen ndmaatregelen wrden getrffen, zals wissen van apparatuur p afstand. Deze ndmaatregelen kunnen, vr zver dit ndzakelijk is, betrekking hebben p privémiddelen en privébestanden. Hiervr ntwikkelt de ISD een regeling. Back-up en recvery In pdracht van de ISD, maakt ICT reservekpieën van alle essentiële bedrijfsgegevens en prgrammatuur zdat de ISD de cntinuïteit van de gegevensvervverking kan garanderen. De mvang en frequentie van de back-ups is in vereenstemming met het belang van de data vr de cntinuïteit van de dienstverlening en de interne bedrijfsvering. Bij ketensystemen dient het back-up mechanisme de data-integriteit van de infrmatieketen te waarbrgen. De back-up en herstelprcedures wrden regelmatig (tenminste 1 x perjaar) getest m de betruwbaarheid ervan vast te stellen. infrmatie-uitwisseling Vr het gebruik van ISD infrmatie gelden de rechten en plichten zals vastgelegd in de diverse dcumenten, zals het CAR-UWO, geheimhudingsverklaring, huisregels. Digitale dcumenten van de ISD waar burgers en bedrijven rechten aan kunnen ntlenen, maken gebruik van PKI Overheid certificaten vr tekenen en/f encryptie. Hiervr wrdt een richtlijn PKI en certificaten pgesteld. Er is een (spam) filter geactiveerd vr inkmende e-mail berichten. 15 Cntrle.. Het gebruik van infrmatiesystemen, uitznderingen en infrmatiebeveiligingsincidenten, legt de ISD vast in Igbestanden. Deze zijnin vereenstemming met het risic, en zdanig dat ze vlden aan alle relevante wettelijke eisen 6.Relevante zaken m te lggen zijn: type gebeurtenis (zals back-up/restre, reset wachtwrd, betreden ruimte); handelingen met speciale bevegdheden; (pging tt) ngeautriseerde tegang; systeemwaarschuwingen; (pging tt) wijziging van de beveiligingsinstellingen. Een Igregel bevat minimaal: een tt een natuurlijk persn herleidbare gebruikersnaam f ID; de gebeurtenis; waar mgelijk de identiteit van het werkstatin f de lcatie; het bject waarp de handeling werd uitgeverd; het resultaat van de handeling; de datum en het tijdstip van de gebeurtenis. In een Igregel slaat de ISD alleen de vr de rapprtage ndzakelijke gegevens p. De ISD treft maatregelen m te verzekeren dat gegevens ver lgging beschikbaar blijven en niet gewijzigd kunnen wrden dr een gebruiker f systeembeheerder. De bewaartermijnen zijn in vereenstemming met wettelijke eisen. OO 15Cntrle is nader tegelicht in de Baseline Infrmatiebeveiliging Nederlandse Gemeenten (BIG). 16 In smmige prcessen is het wettelijk verplicht f zeer gewenst dat geautriseerde tegang wrdt vastgelegd, zdat achteraf steeds kan wrden vastgesteld wie tegang - tt de gegevens heeft gehad. 18

Scan nummer 1 van 1 - Scanpagina 20 van 29 I f š*f;, '\w =»./M'=' '==: / 4152,? wv W- :am šf. f»':f É=^f'2 /=-ft /=f.yl ; "*,/"; M"= /cz, f :';<=:2'y<^=:f3 it ' >f f.í %;2 "':f2r ë `2.»;'<-:i<.lt:.t 2@%:::3;š fm atll Risic's De ISD gaat steeds meer samenwerken en infrmatie uitwisselen in ketens. Bij beheer van systemen en gegevens dr een derde partij kan k infrmatie van de ISD p straat kmen te liggen. De ISD blijft verantwrdelijk vr de infrmatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. Delstelling Een passend niveau van infrmatiebeveiliging implementeren en bijhuden en dit vastleggen in een (bewerkers)vereenkmst, cntracten en/f cnvenanten. Beheersmaatregelen De ISD zrgt vr implementatie en uitvering van de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zals vastgelegd in de vereenkmst vr dienstverlening dr een derde partij. De ISD cntrleert en berdeelt de diensten, rapprten en registraties, die dr de derde partij levert en vert peridiek audits. De ISD beheert wijzigingen in de dienstverlening dr derden, in bijvrbeeld bestaande beleidslijnen, prcedures en maatregelen vr infrmatiebeveiliging. I Uitgangspunten In de basis-sla vr dienstverlening is aandacht besteed aan infrmatiebeveiliging. Er is een basiscntract vr de tegang tt de ICT-vrzieningen en/f de infrmatievrziening (bestanden, gegevens) dr derden waarin kaders staan vr de tegang tt ICT-vrzieningen dr derden. In cntractbeheer, applicatiebeheer en functineel beheer is naleving van de gemaakte afspraken pgenmen. Prgrammatuur en ICT-vrzieningen zijn kwetsbaar vr virussen. Het ntbreken van een regeling vr antivirus bescherming bij medewerkers thuis leidt tt hgere beveiligingsrisicds. - :, mm,i Risic's Venivijderbare media kan infrmatie bevatten, die in nbevegde handen kan vallen bij njuist gebruik, verlies f diefstal. Delstelling Vrkmen van nbevegde penbaarmaking, mdi catie, infrmatie en bedrijfsmiddelen. verwijdering f vernietiging van Beheersing en fysieke bescherming van media. Beheersmaatregelen De ISD stelt prcedures vast vr het beheer van verwijderbare media. De ISD stelt prcedures vast vr het p een veilige manier verwijderen van media als ze niet langer ndig zijn. De ISD beschermt systeemdcumentatie tegen nbevegde tegang. I 2 ' 19

Scan nummer 1 van 1 - Scanpagina 21 van 29 Uitgangspunten De ISD heeft prcedures vr het beheer van verwijderbare media en vr het veilig verwijderen f hergebruiken van ICT-apparatuur. De ISD wist f vernietigt harde schijven en andere media adequaat bij afstting f hergebruik. 0 De ISD heeft richtlijnen vr het pbergen van papieren en cmputermedia. De ISD heeft een innamebeleid vr mbiele apparatuur, zals laptps, pda's, ipads, vr wanneer deze niet meer wrden gebruikt. Encryptie p infrmatie met het classificatielabel vertruwelijk en zeer geheim. M; 2, ; mx: `Ö^"" É f * 2 *Z.M ` ï 2: Risic's Verlies f diefstal van laptps, USB-sticks, ipads e.d., waarbij bvendien infrmatie in verkeerde handen kmt. Beheersmaatregelen Vaststellen frmeel beleid, frmele prcedures en frmele beheersmaatregelen m de uitwisseling van infrmatie via het gebruik van alle typen cmmunicatiefaciliteiten te beschermen. Vaststellen vereenkmsten vr de uitwisseling van infrmatie en prgrammatuur tussen de rganisatie en externe partijen. Beschermingsmaatregelen vr media die infrmatie bevatten tegen nbevegde tegang, misbruik f het crrumperen tijdens transprt buiten de fysieke begrenzing van de rganisatie. Bescherming van infrmatie, die een rl speelt bij elektrnische berichtuitwisseling. Delstelling Handhaven van beveiliging van infrmatie en prgrammatuur, die wrdt uitgewisseld binnen een rganisatie en met enige externe entiteit. Beheersmaatregelen Een frmeel uitwisselingsbeleid vr de uitwisseling van infrmatie en prgrammatuur tussen rganisaties, dat in lijn is met de uitwisselingsvereenkmsten en relevante wetgeving Vastgestelde prcedures en nrmen ter bescherming van infrmatie en fysieke media, die infrmatie bevatten, die wrdt getransprteerd. Uitgangspunten Gefrmaliseerde situatie rndm het transprt van de back-ups en de mgelijkheden van leveranciers m tegang tt het netwerk te verkrijgen. Een basisraamwerk met randvn/vaarden vr gegevensuitwisseling met ketenpartners. Gevelige infrmatie (classificatie vertruwelijk en zeer geheim) wrdt nit bekend gemaakt via telefn f fax, in verband met bijvrbeeld a uisteren. Bewustzijn en sciale cntrle m het risic p het lekken van infrmatie via telefn e.d. te laten afnemen. _ 20

Scan nummer 1 van 1 - Scanpagina 22 van 29 ï? ltsegšsetrietasegartgsäetre mt M wg åíš sw 3 šü De identiteit van een gebruiker die tegang krijgt tt gemeentelijke infrmatie dient te wrden vastgesteld".lgische tegang is gebaseerd p de classificatie van de infrmatie. Risic's: Wanneer tegangsbeheersing niet expliciet gebaseerd is p de Baseline Infrmatiebeveiliging Nederlandse Gemeenten (BIG) en/f een aanvullende risicanalyse, is niet duidelijk f het juiste niveau van beveiliging wrdt gehanteerd. Verstringen dr njuist gebruik van ICT-ruimtes f lct~cmpnenten (m.n. waar k niet ICT~ teams tegang hebben). 0 Tegang dr ngeautriseerde persnen tt de dr de ISD gebruikte (werk-)ruimten. Delstelling Beheersen van de tegang tt infrmatie, ICT-vrzieningen en bedrijfsprcessen p grnd van bedrijfsbeheften en beveiligingseisen. Beheersmaatregelen Beleid ten aanzien van infrmatieverspreiding en autrisatie. Uitgangspunten De eigenaar van de data is bevegd tegang te verlenen. De ISD gebruikt in de regel geen 'algemene' identiteiten. Vr herleidbaarheid en transparantie is het namelijk ndig m te weten wie een bepaalde actie heeft uitgeverd. Indien dit geen (wettelijke) eis is kan wrden gewerkt met functinele accunts. De ISD maakt,waar mgelijk, gebruik van bestaande (landelijke) vrzieningen vr authenticatie, autrisatie en infrmatiebeveiliging (zals: DigiD en eherkenning). > ^š*š\^ De tekenning van wachtwrden is vr een beperkte peride. Wachtvvrden dienen aan eisen te vlden, het systeem dwingt dit af. Vr medewerkers met speciale bevegdheden (systeem en functineel beheerders) gelden strengere eisen18. De gebruiker is verantwrdelijk vr het geheim blijven van zijn wachtwrd. Authenticatiemiddelen zals wachtwrden wrden beschermd tegen inzage en wijziging dr nbevegden tijdens transprt en pslag (dr middel van encryptie). Autrisatie is rl gebaseerd. Autrisaties wrden tegekend via functie(s) en rganisatie nderdelen. Tegang tt infrmatie met classificaties midden f 'hg' vereist 'multi-factr' authenticatie (bijv. naam/wachtwrd + tken). äf.i<:.:±.<; ;.f De ISD kan een externe partij tegang verlenen tt het ISD netwerk. Hiervr dient een prcedure gemaakt en gevlgd te wrden. Externe partijen kunnen niet p eigen initiatief verbinding maken met het beslten netwerk van de ISD, tenzij uitdrukkelijk vereengekmen. 17 Een gebruiker kan een medewerker, leverancier, burger, bedrijf, samenwerkingspartner f applicatie zijn. 18 Het wachtvvrdbeleid is uitgewerkt in het infrmatiebeveiligingsplan 1 21

Scan nummer 1 van 1 - Scanpagina 23 van 29 De externe partij is verantwrdelijk vr authenticatie en autrisatie van haar eigen medewerkers. De ISD heeft het recht hierp te cntrleren en det dat aan de hand van de audit trail en interne lgging. tm,»,< `_ x mm < \ Vr werken p afstand is een thuiswerkmgeving beschikbaar, waarbij tegang tt vertruwelijke infrmatie wrdt verleend p basis van multifactr authenticatie. Onbeheerde apparatuur (privé-apparaten f de 'pen Iaptp') kan gebruik maken van draadlze tegangspunten (WiFi). Deze zijn lgisch gescheiden van het bedrijfsnetvverk. Mbiele bedrijfsapplicaties wrden bij vrkeur z aangebden dat er geen ISD infrmatie wrdt pgeslagen p het mbiele apparaat ('zer ft1print'). infrmatie dient te wrden versleuteld bij 9 transprt en pslag cnfrm classificatie eisen. Vrzieningen als webmail, als k sciale netwerk en cluddiensten (Drpbx, Gmail, etc.) zijn dr het lage beschermingsniveau (veelal alleen naam en wachtwrd, het ntbreken van versleuteling) niet geschikt vr het delen van vertruwelijke en geheime infrmatie. gíçhâä-:~ ~=,\ W (zw: ~>'=f.<<«;@~«/fr /wa W. 9>,=.>ë -rg. zw. Het fysieke (bekabelde) netwerk is niet tegankelijk vr nbeheerde apparatuur. Het netwerk van de ISD is waar mgelijk gesegmenteerd ( afdelingen, gebruikers en systemen zijn lgisch gescheiden). Tussen segmenten met verschillende beschermingsniveaus wrden access cntrl lists (ACL's) geïmplementeerd. 7-575? 5/3 5< ï*., U "i "I fi.. _.., 7* < É X;. J =<f f= Delstelling Bewerkstelligen dat beveiliging integraal deel uitmaakt van infrmatiesystemen. Organisatrische aspecten Prjecten met een hg risicprfiel vallen nder tezicht van ICT. Tetsing p architectuur en infrmatiebeveiliging is hier nderdeel van. Prjectmandaten wrden ten beheve van behandeling in verleg binnen de ISD (nder meer) vrzien van een advies p infrmatiebeveiliging. 0 In het prgramma van eisen vr nieuwe infrmatiesystemen f uitbreidingen van bestaande infrmatiesystemen wrden k relevante beveiligingseisen pgenmen. Sftwarentwikkeling en nderhud ~ Applicaties wrden ntwikkeld en getest.b.v. landelijke richtlijnen vr beveiliging, zals richtlijnen vr beveiliging van webapp icaties2. Er wrdt tenminste getest p bekende kwetsbaarheden zals vastgelegd in de OWASP tp 1021. 19 Separaat dcument 2 Natinaal Cyber Security Centrum, NCSC -i 22