Interprovinciale Baseline Informatiebeveiliging Document Versie: 1.0 (definitief)
1 Colofon Deelnemers expertgroep CIBO: Jos Bell, provincie Friesland Michel Wekema, provincie roningen Peter Tak, provincie roningen Willem van den Boogaart, provincie Drenthe Freddie Janssen, provincie elderland Peter Hepp, provincie Overijssel Jan-Willem Jorritsma, provincie Overijssel William ijse, provincie Noord-Holland Erik-Jan Oskam, provincie Zuid-Holland René Reith, provincie Zuid-Holland Annemarie van runsven, provincie Utrecht Ruben Weel, provincie Flevoland Peter van de Boogaart, provincie Noord-Brabant Leon Deben, provincie Limburg Eindredacteurs: Annemarie van runsven, Provincie Utrecht Michel Wekema, Provincie roningen Paul Peursum, DNV-CIBIT Versiebeheer Datum Versie Auteur Opmerkingen September 2010 1.0 Paul Peursum, Michel Wekema, Annemarie van runsven Documenten Titel Auteur Jaartal Omschrijving NEN-ISO/IEC-27001/27002 NEN 2005 De landelijke standaard voor informatiebeveiliging/ de code van informatiebeveiliging Business Impact Analyse ISF 2007 PETRA 0.9 2009 De provinciale referentiearchitectuur NORA 2.0 uido Bayens 2007 Nederlandse Overheid Referentie Architectuur ITIL security Management: Spruit, M. (HEC) 2003 www.marcelspruit.nl/papers/ een kritische beschouwing. RASCI Best Practice Normen Informatiebeveiliging voorzieningen http://www.kwaliteitshandvesten.nl Jaap van der Veen 2009, versie 1.0 itilsecman.pdf 2
Inhoudsopgave 1 Colofon...2 2 Inleiding...4 2.1 Informatiebeveiliging, waarom nu?...4 2.2 De definitie van Informatiebeveiliging...4 2.3 De scope van informatiebeveiliging...5 2.3.1 Mens en Organisatie...5 2.3.2 Basisinfrastructuur...5 2.3.3...5 2.4 Integratie is belangrijk...6 2.5 Standaard werkwijze en richtlijn voor maatregelen...6 2.6 Doelgroep en gebruik...6 3 De baseline, uitgangspunten...7 3.1 De baseline als onderdeel van PETRA, de provinciale referentie architectuur...7 3.2 De baseline, standaardmethode...8 3.2.1 Standaard Business Impact Analyse...8 3.2.2 Standaard maatregelensets...8 3.3 De baseline is een groeidocument, maatregelen passen bij ontwikkelingsniveau... 10 4 De baseline, gebruik... 11 4.1 Eigen basisniveau maatregelen voor iedere provincie... 11 4.2 Bepalen van het benodigde beveiligingsniveau... 11 4.3 Maatregelen uit de baseline selecteren... 11 4.4 Verantwoordelijkheden toewijzen... 11 5 De baseline, overzicht van maatregelen... 14 5.1 Compleet overzicht... 14 5.2 Verwijsindex... 15 6 Beheer en Onderhoud... 16 6.1 CIBO... 16 6.2 IPO... 16 Bijlage A. BIA... 17 A.1 Handleiding invullen formulieren... 17 A.2 Business Impact Referentie Tabel Provincies... 18 A.3 Business Impact Analyse formulieren... 18 A.4 Formulier Beschikbaarheid... 18 A.5 Formulier Integriteit... 19 A.6 Formulier Vertrouwelijkheid... 19 A.7 Formulier Samenvatting, Overall Rating... 19 Bijlage B. Baseline uitgebreid... 25 B.1 Beveiligingsbeleid... 25 B.2 Organisatie van Informatiebeveiliging... 26 B.3 Beheer van Bedrijfsmiddelen... 28 B.4 Beveiliging van Personeel... 29 B.5 Fysieke beveiliging en beveiliging van de omgeving... 31 B.6 Beheer van communicatie- en bedieningsprocessen... 32 B.7 Toegangsbeveiliging... 36 B.8 Verwerving, ontwikkeling en onderhoud van informatiesystemen... 40 B.9 Beheer van informatiebeveiligingsincidenten... 42 B.10 Bedrijfscontinuïteitsbeheer... 43 B.11 Naleving... 44 Bijlage C. RASCI... 46 3
2 Inleiding Door de toenemende digitalisering is het zorgvuldig omgaan met de gegevens van burgers, bedrijven en partners ook voor provincies van groot belang. Daarom is er nu de Interprovinciale Baseline Informatiebeveiliging. De baseline is bedoeld om alle provincies op een vergelijkbare manier te laten werken met Informatiebeveiliging. Het geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. De Interprovinciale Baseline Informatiebeveiliging is tot stand gekomen door een intensieve samenwerking van elf provincies, in opdracht van het IPO. 2.1 Informatiebeveiliging, waarom nu? Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen van de provincie. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Dat is, in twee zinnen, de bestaansreden van informatiebeveiliging. Het opnemen van informatiebeveiliging als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze, maar een noodzaak. Deze noodzaak komt onder meer voort uit de toenemende digitalisering van de provinciale dienstverlening, waardoor de afhankelijkheid van de geautomatiseerde informatieverwerking steeds verder groeit. Maar het is niet alleen de automatisering. De samenwerking met andere overheden (in ketensamenwerking) en contacten met burgers en bedrijven wordt steeds vaker digitaal van aard. Dit legt (deels nieuwe) eisen op aan de kwaliteit van de informatievoorziening van de provincie. Al was het maar dat van digitale dienstverlening vaak verwacht wordt dat deze 24 uur per dag en 7 dagen per week beschikbaar is. Daarnaast spelen wet- en regelgeving is een belangrijke rol. De WBP (Wet Bescherming Persoonsgegevens) en de Archiefwet zijn voorbeelden van wetten die eisen stellen aan de verwerking en opslag van informatie. Tot slot is er de maatschappelijke verantwoordelijkheid die een overheidsinstantie tegenover de inwoners en bedrijven heeft. Van de provincie mag verwacht worden dat zij zorgvuldig omgaat met de gegevens die zij beheert, en dat de gegevens die zij levert juist, accuraat en tijdig zijn. Kortom, structurele aandacht voor de betrouwbaarheid van de informatievoorziening, het domein van informatiebeveiliging, helpt de provincie bij een goede invulling van haar maatschappelijke taken. Een goede borging van informatiebeveiliging zorgt voor een betere betrouwbaarheid van de informatievoorziening en een grotere continuïteit van de provinciale bedrijfsvoering. 2.2 De definitie van Informatiebeveiliging Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. - Integriteit is de eigenschap dat de nauwkeurigheid en volledigheid van bedrijfsmiddelen wordt beveiligd. - Vertrouwelijkheid is de eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen. - Beschikbaarheid is het kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit. NEN-ISO/IEC-27001 en 27002 4
2.3 De scope van informatiebeveiliging Informatiebeveiliging gaat over de betrouwbaarheid van de informatievoorziening van een organisatie, en heeft tot doel risico s tot een acceptabel niveau terug te brengen. Voor een juiste borging van dit kwaliteitsaspect is een evenwichtig stelsel van maatregelen nodig. Deze maatregelen zijn divers van aard, en verspreid over alle onderdelen en hiërarchische niveaus van een organisatie. Dit wordt geïllustreerd in het architectuurmodel van NORA. Beveiliging Beheer Organisatie Diensten Producten Processen Provinciale Missie Visie Strategie Beleid Medewerkers Applicaties Berichten egevens Informatieuitwisseling Technische Componenten egevensopslag Netwerk Figuur 1 NORA Architectuurraamwerk voor bedrijfsinrichting Informatiebeveiliging reikt dan ook verder dan alleen de geautomatiseerde informatiesystemen en de -infrastructuur. Zaken zoals toegangsbeveiliging, personeel, beleid en bureauveiligheid horen ook tot haar werkgebied. Informatiebeveiliging kan daarom niet alleen het domein van de afdeling I&A zijn. Informatiebeveiliging omvat alle informatie die een organisatie nodig heeft om haar processen naar behoren uit te kunnen voeren. Naast procedurele en technische maatregelen is met name het gedrag van mensen van belang voor een effectieve informatiebeveiliging. Ook dat is een reden waarom informatiebeveiliging niet de verantwoordelijkheid van één directie of afdeling kan zijn. Vaak worden maatregelen alleen getroffen op technisch gebied. Informatiebeveiliging bestaat echter uit de aandachtsgebieden: mens en organisatie, basisinfrastructuur en. 2.3.1 Mens en Organisatie Hierbij gaat het om werkwijzen (manieren, routines, gewoonten, gedrag). Maatregelen bestaan uit procedures (AO) en het creëren van bewustzijn voor informatiebeveiliging. 2.3.2 Basisinfrastructuur De basisinfrastructuur betreft onder meer: - Elektriciteitsvoorziening; - Telecommunicatievoorzieningen; - ebouwen en toegang. Een voorbeeld van een beveiligingsmaatregel is de noodstroomvoorziening. 2.3.3 Bij gaat het om: - Applicaties en gegevensverzamelingen; - infrastructuur (computers, netwerkapparatuur en randapparatuur); - programmatuur van de infrastructuur (diverse besturingsprogramma s). Beveiligingsmaatregelen in dit vlak zijn bijvoorbeeld het opstellen van reserveapparatuur (redundantie) en het installeren van antivirusprogramma s. 5
2.4 Integratie is belangrijk Het is van belang dat de focus op het geheel van de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en gericht wordt. Het nemen van technische maatregelen alleen, is onvoldoende. Veelal wordt gesteld dat het bewustzijn van de gebruiker de belangrijkste basis is voor een goede informatiebeveiliging. Inderdaad: onbewuste gebruikers, nemen onbewust veel risico s. Er zijn ook gebruikers die bewust risico lopen zoals de medewerker die nog even een rapport op tijd af wil krijgen en vertrouwelijke informatie op een USB-stick zet om er thuis verder aan te werken. Dit is met beveiliging op het gebied van en toegangsbeveiliging slechts ten dele weg te nemen. De diverse maatregelen (uit de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en ) moeten daarom in samenhang worden genomen. Alleen op deze wijze kan er sprake zijn van een goed informatiebeveiligingsbeleid 1. 2.5 Standaard werkwijze en richtlijn voor maatregelen Bij het treffen van maatregelen moet altijd een afweging gemaakt worden tussen enerzijds de werkbaarheid en anderzijds de (noodzakelijke) beveiliging van de informatie in het proces. De te nemen maatregelen moeten in verhouding staan tot de grootte van het risico. Het proces mag bijvoorbeeld niet gefrustreerd worden door maatregelen die slechts een marginale verlaging van een risico betekenen. Dus maatregelen moeten gericht zijn op het garanderen van continuïteit en betrouwbaarheid van de informatievoorziening op een niveau dat past bij de behoefte vanuit de primaire provinciale organisatie. Daarom worden maatregelen geselecteerd op basis een risicoanalyse/risicoafweging die in de primaire organisatie wordt gemaakt. De Coördinator Informatiebeveiliging heeft hierbij een adviserende en faciliterende rol. De organisatie maakt daarbij gebruik van de Interprovinciale Business Impact Analyse (zie Bijlage A) en de Interprovinciale Baseline Informatiebeveiliging (dit document) als richtlijn voor de te nemen maatregelen. Deze Interprovinciale Baseline Informatiebeveiliging geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. Daarmee zorgt de Interprovinciale Baseline Informatiebeveiliging ervoor dat: - Alle provincies op een vergelijkbare manier werken met Informatiebeveiliging; - Het duidelijk is voor ketenpartners welke eisen provincies stellen aan informatiebeveiliging; - Provincies een sterkere positie kunnen innemen bij leveranciers van -systemen en diensten door deze eisen aan informatiebeveiliging mee te nemen. 2.6 Doelgroep en gebruik Het document is bedoeld voor specifieke functionarissen zoals: informatiebeveiligingscoördinatoren, architecten, organisatie- en procesontwerpers, programmamanagers, projectleiders, applicatieontwerpers, functioneel en technisch beheerders van systemen. De Interprovinciale Baseline Informatiebeveiliging is te gebruiken als: - Richtlijn voor inrichten van een basisbeveiligingsniveau; - Toetsingskader bij de aanvang en uitvoering van projecten; - Instrument voor risicobeheersing; - Instrument voor ondersteuning inkoop; - Richtlijn voor samenhang in de resultaten die via projecten bereikt worden; - Ontwerprichtlijn voor onder meer proces-, DIV- en applicatieontwerpers. 1 De standaard NEN-ISO/IEC-27001/27002 heeft de integratie van de drie aandachtsgebieden ook als basis. 6
3 De baseline, uitgangspunten Deze Interprovinciale Baseline Informatiebeveiliging geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. Het zorgt voor een uniforme werkwijze voor alle provincies op het gebied van informatiebeveiliging. Daarmee hebben de provincies een duidelijk communicatiemiddel naar ketenpartners en leveranciers van -systemen over de door de provincies gehanteerde beveiligingseisen. 3.1 De baseline als onderdeel van PETRA, de provinciale referentie architectuur De provinciale architectuur is het fundament voor de bedrijfsinrichting van een provincie. Daarbij gaat het om het organisatie- en procesontwerp (de business), om het ontwerp van de informatievoorziening, de applicaties en de technische infrastructuur. Een professionele ontwerpfunctie geeft inzicht in de opbouw en samenhang van de samenstellende delen van een organisatie. Hierdoor wordt het mogelijk om wijzigingen sneller en beheerst door te voeren. Dit laatste is vooral nodig omdat ontwikkelingen als elektronische dienstverlening, samenwerking met andere overheidsorganen en internationalisering in steeds hoger tempo langskomen. De complexiteit van werkprocessen en informatiehuishouding neemt hierdoor toe. De PETRA zorgt voor overzicht en daarmee een blijvende borging van een optimale samenhang tussen diensten, processen, organisatie, besturing en informatievoorziening. De PETRA is een provinciale verbijzondering van de NORA. In de onderstaande figuur is het NORA Architectuurraamwerk voor bedrijfsinrichting weergegeven. Informatiebeveiliging is een onderliggende laag voor alle domeinen van de referentiearchitectuur. Het is dus een breed onderwerp dat alle aspecten van de bedrijfsinrichting raakt. In de PETRA is ook een hoofdstuk Informatiebeveiliging opgenomen. De Interprovinciale Baseline Informatiebeveiliging zal op termijn dit onderdeel in de PETRA vervangen. Beveiliging Beheer Organisatie Diensten Producten Processen Provinciale Missie Visie Strategie Beleid Medewerkers Applicaties Berichten egevens Informatie - uitwisseling Technische Componenten egevensopslag Netwerk Figuur 2 NORA Architectuurraamwerk voor bedrijfsinrichting 7
3.2 De baseline, standaardmethode De baseline bestaat uit de volgende onderdelen: 1) Business Impact Analyse 2) Maatregelensets 3.2.1 Standaard Business Impact Analyse De Business Impact Analyse (BIA) is een hulpmiddel om vast te stellen wat de impact op een informatiesysteem of bedrijfsproces is indien de informatiebeveiliging van de informatie niet gewaarborgd of zelfs geschaad is. Met de BIA wordt het classificatieniveau van een proces bepaald. De BIA is gebaseerd op de Business Impact Analyse van het Information Security Forum (een vooraanstaand internationaal forum op het gebied van informatiebeveiliging) en is door het CIBO vertaald naar de provinciale situatie. 3.2.2 Standaard maatregelensets Deze Interprovinciale Baseline Informatiebeveiliging standaardiseert op methode (werkwijze): Elk bedrijfsproces of informatiesysteem krijgt middels de provinciale Business Impact Analyse een classificatie mee. Op basis van deze classificatie wordt een standaardpakket aan beveiligingsmaatregelen toegewezen in de Interprovinciale Baseline Informatiebeveiliging. Tevens bevat de Interprovinciale Baseline Informatiebeveiliging zogenaamde enerieke maatregelen: maatregelen die niet gekoppeld zijn aan een bepaald niveau van Beschikbaarheid, Integriteit of Vertrouwelijkheid, maar altijd genomen moeten worden. De term Interprovinciale Baseline Informatiebeveiliging suggereert één basisniveau aan maatregelen voor informatiebeveiliging voor àlle provincies, dus maatregelen die je verwacht altijd aan te treffen. Dit kan echter verschillend geïnterpreteerd worden. 1) Dit basisniveau aan maatregelen geldt altijd en hoort dus ook altijd geïmplementeerd te zijn: dit zijn dan de enerieke maatregelen en maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid = Laag. 2) Dit basisniveau aan maatregelen geldt specifiek voor dat bedrijfsproces of informatiesysteem waarvoor een provinciale Business Impact Analyse is uitgevoerd: dit zijn dan de enerieke maatregelen én de juiste maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid op basis van de provinciale Business Impact Analyse. De gedachte van deze Interprovinciale Baseline Informatiebeveiliging is dat ieder Provincie begint met de implementatie van de enerieke maatregelen en maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid = Laag. Daarnaast wordt per bedrijfsproces of informatiesysteem een provinciale Business Impact Analyse uitgevoerd, waardoor duidelijk wordt of aanvullende maatregelen uit de Interprovinciale Baseline Informatiebeveiliging nodig zijn. Zie hoofdstuk 4. Wanneer deze analyses gedaan worden op procesniveau wordt het mogelijk om onderling af te stemmen welke classificatie generiek gehanteerd kan worden voor alle provincies. Uit de totale set van maatregelen zal daarmee ook één uniform standaardpakket van basismaatregelen voor alle provincies vloeien. Een risicoanalyse op systeemniveau is niet toepasbaar omdat de concrete technische invulling voor de procesondersteuning per provincie kan verschillen. Op termijn is het dus de verwachting dat de basisniveaus van de provincies gelijk worden. Voor nu werken we met een standaardmethode, waarmee iedere provincie het classificatieniveau kan bepalen. 8
Het groeipad is daarmee ook vastgesteld: voor de volgende versie van dit document willen we de risicoanalyses op procesniveau uitvoeren zodat het uniforme standaardpakket aan maatregelen vastgesteld kan worden. 3.2.2.1 NEN-ISO/IEC-27001/27002 en NORA De inhoud van de Interprovinciale Baseline Informatiebeveiliging is gebaseerd op de landelijke standaard NEN-ISO/IEC-27001/27002 (ook wel de code van informatiebeveiliging genoemd). De Interprovinciale Baseline Informatiebeveiliging heeft de code als uitgangspunt, en is aangepast voor gebruik door de provincies: - Sommige maatregelen uit de code zijn niet van toepassing voor de provincies: deze zijn weggelaten in de Interprovinciale Baseline Informatiebeveiliging; - Andere maatregelen uit de code zijn onveranderd van toepassing voor de provincies: naar de betreffende passage in de code wordt verwezen vanuit de Interprovinciale Baseline Informatiebeveiliging; - Weer andere maatregelen uit de code zijn niet geheel of anders van toepassing op de provincies: de aanpassing is vermeld in de Interprovinciale Baseline Informatiebeveiliging; - Niet elke maatregelen is altijd van toepassing, maar slechts bij of vanaf een bepaald beveiligingsniveau. Het bijbehorende beveiligingsniveau is vermeld in de Interprovinciale Baseline Informatiebeveiliging. Daarnaast is gebruik gemaakt van de zogenaamde NORA aanpak (best practices). 9
3.3 De baseline is een groeidocument, maatregelen passen bij ontwikkelingsniveau De maatregelen voor informatiebeveiliging passen bij het ontwikkelingsniveau van provincies. Binnen alle provincies is het noodzakelijk dat Informatiebeveiliging nu verder geprofessionaliseerd wordt. Het is nu veelal op onbekend/ontluikend niveau ingericht, en moet zich naar een beheerst/professioneel niveau ontwikkelen. Ontwikkelstadium Onbezorgd Onbekend Ontluikend Beheerst Professioneel Status van informatiebeveiliging Effectieve werkwijze Verantwoordelijke Infomatiebeveiliging wordt niet in overweging genomen; er is geen budget voor informatiebeveiliging Informatiebeveiliging wordt nuttig geacht, maar heeft geen duidelijke positie in de organisatie; oplossingen worden ad-hoc gekozen Informatiebeveiliging heeft een duidelijke positie in de organisatie; het is een stafaangelegenheid Informatiebeveiliging wordt geacht integraal onderdeel te zijn van ieder proces; het is een lijnmanagementaangelegenheid Informatiebeveiliging wordt geacht integraal onderdeel te zijn van de bedrijfsvoering; het is een directieaangelegenheid en een continu aandachtspunt. Ad hoc: Er zijn geen eenduidige processen te onderkennen. Herhaald: Er wordt wel procesmatig gewerkt, maar deze zijn niet beschreven. edefinieerd: Er wordt procesmatig gewerkt en deze zijn beschreven in formele procedures. econtroleerd: Er wordt gemeten en bijgestuurd op basis van prestatie-indicatoren. eoptimaliseerd: Er wordt geoptimaliseerd ten behoeve van de ondersteunde primaire processen. Tabel 1: niveaus naar volwassenheid, bijbehorende werkwijzen en verantwoordelijken (Uit: ITIL security Management: een kritische beschouwing. M. Spruit) Beschermengel Ad hoc specialist Staffunctionaris Lijnmanagement Directie Die stap kunnen we niet in één keer zetten, daarvoor is deze te groot. Dit betekent dat we informatiebeveiliging geleidelijk verder moeten ontwikkelen. Deze eerste versie Interprovinciale Baseline Informatiebeveiliging is een eerste stap. Omdat er nog vele stappen moeten volgen, is de Interprovinciale Baseline Informatiebeveiliging een groeidocument. De inhoud van de Interprovinciale Baseline Informatiebeveiliging zal mee moeten groeien met het ontwikkelingsniveau van de provincies. De eerste versie van de Interprovinciale Baseline Informatiebeveiliging omvat een standaardmethode, waarbij alle provincies op dezelfde wijze informatiebeveiligingsmaatregelen toekennen aan hun bedrijfsprocessen. Het biedt echter nog niet de standaardwijze waarop provincies informatiebeveiliging opnemen als integraal onderdeel van de bedrijfsvoering. Daarnaast is het ontwikkelingsniveau op het gebied van informatiebeveiliging per provincie verschillend. En daarmee zullen de benodigde maatregelen ook nog verschikkend zijn. Dat betekent dat één algemene maatregelenset voor alle provincies nu nog niet mogelijk is, maar later wel. 10
4 De baseline, gebruik De Interprovinciale Baseline Informatiebeveiliging bestaat uit een standaardisatie van methoden, en (nog) niet van maatregelen. De volgende paragrafen beschrijven de interprovinciale afspraken. 4.1 Eigen basisniveau maatregelen voor iedere provincie Alle provincies bepalen (vooralsnog) hun eigen basisniveau van beveiligingsmaatregelen. Dit doen zij op basis van de in de Interprovinciale Baseline Informatiebeveiliging onderscheiden maatregelen (welke gekoppeld zijn aan de classificatieniveaus). 4.2 Bepalen van het benodigde beveiligingsniveau Bij het bepalen van het benodigde beveiligingsniveau van een bedrijfsproces wordt gebruik gemaakt van de interprovinciale Business Impact Analyse (BIA, zie Bijlage A). Dit betekent dat een bedrijfsproces een classificatie meekrijgt op het gebied van: Het vereiste beschikbaarheidsniveau (hoog, midden of laag) Het vereiste integriteitsniveau (hoog, midden of laag) Het vereiste vertrouwelijkheidsniveau (hoog, midden of laag) De Business Impact Analyse (BIA) is een hulpmiddel om vast te stellen wat de impact op een informatiesysteem of bedrijfsproces is indien de informatiebeveiliging van de informatie niet gewaarborgd of zelfs geschaad is. Op basis hiervan kunnen de risico s in kaart gebracht worden en kunnen maatregelen genomen worden ter vermindering of opheffing van deze risico s. De business Impact Analyse wordt vastgesteld tijdens een gesprek met de verantwoordelijke proceseigenaar. Dit gesprek wordt gevoerd aan de hand van de formulierenset uit Bijlage A. 4.3 Maatregelen uit de baseline selecteren Aan de hand van de vereiste niveaus, worden de voorgeschreven maatregelen uit de Interprovinciale Baseline Informatiebeveiliging geselecteerd en toegepast. Daarbij kan een afweging gemaakt worden tussen kosten van de maatregelen en de af te dekken risico s. Hierdoor kan in uitzonderlijke gevallen (beargumenteerd) worden afgeweken van de voorgeschreven maatregelen uit de Interprovinciale Baseline Informatiebeveiliging. Het risico wordt dan op een andere manier afgedekt of geaccepteerd. Dit wordt, met argumentatie, vastgelegd en periodiek geëvalueerd. 4.4 Verantwoordelijkheden toewijzen Alle provincies wijzen zelf de verantwoordelijkheden toe voor informatiebeveiliging. De overeengekomen methode daarbij is RASCI. De Interprovinciale Baseline Informatiebeveiliging heeft zich beperkt tot toewijzing van de R ( Responsible ) aan de diverse onderdelen. De overige verantwoordelijkheden verschillen per provincie omdat de organisatiestructuur per provincie verschilt. Verantwoordelijkheden zijn gekoppeld aan het provinciale bedrijfsfunctiemodel en de NEN-ISO/IEC-27001/27002. De RASCI-methode is een afkorting voor de rollen die binnen een organisatie aanwezig zijn. De methode gaat uit van het principe dat er vijf soorten rollen bestaan richting een activiteit: R Responsible Wie is verantwoordelijk voor het uitvoeren van de activiteit? A Accountable Aan wie moet verantwoording afgelegd worden? S Supportive Wie kan support geven? C Consulted Wie moet geraadpleegd worden? I Informed Wie moet geïnformeerd worden? Tabel 2 RASCI rollen Een verdere uitwerking van de RASCI methode is opgenomen in Bijlage C. 11
Voor het beleggen van de verantwoordelijkheden is in dit document gestandaardiseerd op het gebruik van RASCI, én op een gelimiteerde lijst van verantwoordelijke eenheden (zie Tabel 3). In figuur 3 is het bedrijfsfunctiemodel uit de PETRA weergegeven. In figuur 4 is de gelimiteerde lijst van verantwoordelijke eenheden afgebeeld op het bedrijfsfunctiemodel uit de PETRA. S/PS Klant - contacten Strategie ontwikkelen Besluiten Verant - woorden Sturen en organiseren Planning & control Ondersteunen S/PS Besturen Bedrijf Ontwikkelen Architectuur Projec - ten Data Primaire functies (waarde toevoegen) burger bedrijf dienstverlenings management Stimuleren burgerparticipatie Uitvoeren omgevingsbeleid Informeren Adviseren & stimuleren (doen) onderzoeken Voorlichten Toetsen plannen Bezwaar & beroep Handhaven Beleid ontwikkelen Opstellen regels Beschrijven uitvoering Inrichten en beheren omgeving Opdracht - verlening uitvoering werken Opdracht - verlening beheer eo -informatie makelaar Toezicht gemeenten Klant/ Verlenen vergunningen Verlenen subsidies Co ö rdineren Jeugdzorg Uitvoeren EU- regelingen overheid Secundaire functies (ondersteunen, beheren) COPAFIJTH Communi Perso - Finan Facili - neel ciën Inkoop - catie teiten Figuur 3: Bedrijfsfunctiemodel, PETRA versie 0.9 Responsible Directie CIB Auditor ebruikersorganisatie Proceseigenaren Direct leidinggevende COM PO FO JZ Inkoop DIV Omschrijving De directie van de provinciale organisatie Coördinator Informatiebeveiliging (deze heeft een centrale coördinerende rol, en rapporteert aan directie). onafhankelijke interne auditor alle gebruikers (werknemers) van de provinciale informatievoorziening De eigenaar voor (bedrijfs)proces De leidinggevende van een werknemer de afdeling communicatie De personele organisatie De -beheer- en ontwikkelorganisatie De facilitaire organisatie Juridische zaken Inkoop Documentaire informatievoorziening Tabel 3: Verantwoordelijkheden binnen Informatiebeveiliging en bedrijfsfunctiemodel 12
S/PS Klantcontacten DIRECTIE Strategie ontwikkelen Sturen en organiseren Verant - AUDITOR Planning Ondersteun- Besluiten woorden & control en S/PS Besturen Bedrijf Ontwikkelen CIB Projec - Architectuur ten Data Primaire functies (waarde toevoegen) burger bedrijf dienstverlenings management Klant/ Stimuleren burgerparticipatie Uitvoeren omgevingsbeleid Informeren Adviseren & stimuleren (doen) onderzoeken Verlenen vergunningen Voorlichten Toetsen plannen Bezwaar & beroep Handhaven Verlenen subsidies Beleid ontwikkelen Opstellen regels Beschrijven uitvoering Inrichten en beheren omgeving Opdracht - verlening uitvoering werken Opdracht - verlening beheer eo informatie - makelaar Toezicht gemeenten Co ö rdineren Jeugdzorg Uitvoeren EU - regelingen Direct leidinggevenden Proceseigenaren ebruikersorganisatie overheid COM PO Secundaire functies (ondersteunen, beheren) COPAFIJTH FO Inkoop Communi Perso - Finan Facili - neel ciën JZ DIV Inkoop - catie teiten Figuur 4: Bedrijfsfunctiemodel, PETRA versie 0.9 aangevuld met verantwoordelijken in Informatiebeveiliging 13
5 De baseline, overzicht van maatregelen 5.1 Compleet overzicht Bijlage B werkt de Interprovinciale Baseline Informatiebeveiliging in meer detail uit. De Interprovinciale Baseline Informatiebeveiliging is gebaseerd op de Nederlandse norm NEN- ISO/IEC-27002:2007. Deze norm bevat elf onderdelen, en elk onderdeel bevat: een beheersdoelstelling die vermeldt wat er moet worden bereikt, en een of meer beheersmaatregelen die kunnen worden toegepast om de beheersdoelstelling te realiseren. De beschrijving van beheersmaatregelen is als volgt gestructureerd: Beheersmaatregel: Definieert de specifieke maatregel om aan de beheersdoelstelling te voldoen. Implementatierichtlijnen: even nadere informatie om de implementatie van de beheersmaatregel te ondersteunen en om de beheersdoelstelling te realiseren. Sommige richtlijnen zullen niet in alle gevallen van toepassing zijn; andere manieren om de beheersmaatregel te implementeren kunnen daarom geschikter zijn. Per beheersmaatregel wordt een implementatierichtlijn beschreven die specifiek voor de Provinciale omgeving geldt. In de meeste gevallen wordt verwezen naar de tekst uit de norm NEN- ISO/IEC-27002:2007, de Code. In het geval dat de Code meerdere implementatierichtlijnen geeft, zal dit beschreven zijn als opties a, b, c, et cetera. In sommige gevallen zijn er twee opsommingen beschreven, in dat geval wordt het onderscheid aangegeven met een - bij de tweede opsomming. Voorbeeld: a,c,d,-a,-b geeft aan: Implementatierichtlijnen a, c en d uit de eerste opsomming in de Code, Implementatierichtlijnen a en b uit de tweede opsomming in de Code Voorbeeld: NEN-ISO/IEC-27002 14
Per beheersmaatregel wordt aangeven wie de eindverantwoordelijke is ( Responsible ) voor het uitvoeren van een bepaalde maatregel. Zie ook 4.4. Zie Tabel 3: Verantwoordelijkheden binnen Informatiebeveiliging en bedrijfsfunctiemodel voor een compleet overzicht van de mogelijke eindverantwoordelijken. Tot slot is per beheersmaatregel aangegeven of deze maatregel eneriek is, of specifiek geldt voor een bepaald niveau van Beschikbaarheid, Integriteit en/of Vertrouwelijkheid. Indien een maatregel eneriek is, houdt dit in dat deze te allen tijde geïmplementeerd moet worden. Bij een specifieke maatregel wordt aangegeven vanaf welk niveau de implementatierichtlijn geldt. De onderkende niveaus zijn Laag, Midden en Hoog. Zie de Business Impact Analyse Provincies als referentie. Als een bepaalde implementatierichtlijn opgesomd staat bij Beschikbaarheid=Midden, dan geldt deze ook bij Beschikbaarheid=Hoog. Evenzo: een implementatierichtlijn bij Integriteit=Laag geldt ook bij Integriteit=Midden en Integriteit=Hoog. 5.2 Verwijsindex De Interprovinciale Baseline Informatiebeveiliging is ook in MS-Excel vorm beschikbaar. Deze bevat geen detailinformatie, maar kan vooral als verwijsindex gebruikt worden. De MS-Excel sheet is voorzien van een autofilter, waardoor op eenvoudige manier allerlei doorsneden gemaakt kunnen worden. Je kunt de MS-Excel sheet gebruiken om bijvoorbeeld : alle maatregelen voor een bepaalde verantwoordelijke te tonen: Selecteer bij de betreffende verantwoordelijke de optie (NonBlanks) in het filter. De X betekent Responsible uit RASCI; alle Beschikbaarheid=Midden maatregelen te tonen: Selecteer bij Beschikbaarheid=Midden de optie (NonBlanks) in het filter. Let op: o o Als een maatregel al geldt vanaf het niveau Beschikbaarheid=Laag, dan staat deze ook in de getoonde selectie want deze moet dan ook geïmplementeerd worden; Of: Beschikbaarheid=Laag, Beschikbaarheid=Midden én Beschikbaarheid=Hoog is ingevuld. In geval van Beschikbaarheid=Midden moeten de Beschikbaarheid=Laag én Beschikbaarheid=Midden maatregelen geïmplementeerd worden. 15
6 Beheer en Onderhoud De Interprovinciale Baseline Informatiebeveiliging is een groeidocument. Dit betekent dat er regelmatig een update moet plaatsvinden. 6.1 CIBO Het CIBO is het interprovinciaal overleg voor Informatiebeveiliging. In dit overleg zijn 11 van de 12 provincies vertegenwoordigd. De deelnemers zijn allen werkzaam op het gebied van informatiebeveiliging in hun provincie. Het CIBO is inhoudelijk verantwoordelijk voor de Interprovinciale Baseline Informatiebeveiliging. Zij streeft naar een jaarlijkse update van de Interprovinciale Baseline Informatiebeveiliging (op voorwaarde van voldoende capaciteit en financiële middelen). 6.2 IPO Het IPO (of een door haar aangewezen partij, zoals BO-provincies) is procesverantwoordelijk. Zij draagt zorgt voor toewijzing van capaciteit en middelen die het CIBO nodig heeft om de Interprovinciale Baseline Informatiebeveiliging actueel te houden. 16
Bijlage A. BIA Hoe weet u als verantwoordelijke of de zaken op orde zijn? Zijn uw ketenpartners wel zuinig op de informatie van uw organisatie? En gaat u zorgvuldig om met de informatie van de ketenpartners? Of misschien wel belangrijker: Kunt u zich naar de buitenwereld verantwoorden over de situatie? Om een antwoord te geven op bovenstaande vragen, zijn enkele zaken nodig. Allereerst dient vastgesteld te worden wat de impact op een informatiesysteem of bedrijfsproces is, indien de informatiebeveiliging van de informatie niet gewaarborgd of zelfs geschaad is. Vervolgens dienen de risico s in kaart gebracht te worden en kunnen maatregelen genomen worden ter vermindering of opheffing van deze risico s. Bij de selectie van maatregelen wordt rekening gehouden met de waarde van de informatie voor de Provincie. Hoe hoger de waarde, hoe zwaarder de maatregelen om deze informatie te beschermen. Om de waarde van de informatie vast te stellen wordt een gesprek aangegaan met de verantwoordelijken aan de bedrijfsmatige kant. Tijdens dit gesprek wordt de waarde uitgedrukt in kwalitatieve zin, dat wil zeggen in termen als hoog, midden of laag, niet in geld. Hierin wordt vanuit een informatiebeveiliginginsteek gelet op de beschikbaarheid, de integriteit en de vertrouwelijkheid van de informatie. Om dit gesprek zo goed mogelijk te faciliteren, wordt gebruik gemaakt van de formulierenset uit de Interprovinciale Business Impact Analyse (BIA). De formulieren zijn te vinden in een apart document, genaamd: Business Impact Analyse Provincies 1.0.doc. Door de formulierenset stipt te volgen worden de gesprekspartners van de bedrijfsmatige kant geholpen in het bepalen van de waarde van de informatie voor hun bedrijfsproces. Zij hoeven dan geen inhoudelijke kennis van het vakgebied informatiebeveiliging te hebben. Informatiebeveiliging is de bescherming van informatie tegen een breed scala bedreigingen om bedrijfscontinuïteit te waarborgen, bedrijfsrisico s te minimaliseren en investeringsrendementen en bedrijfskansen zo groot mogelijk te maken. A.1 Handleiding invullen formulieren In de bijlage treft u vijf formulieren aan. In het kort worden deze formulieren gebruikt voor de volgende doeleinden: Formulier 1: Business Impact Referentie Tabel Provincies. Dit formulier wordt gebruikt om voor de Provincie en per onderwerp te bepalen wanneer exact de impact aangeduid kan worden met de classificatie hoog, midden of laag. Formulier 2: Business Impact Analyse Beschikbaarheid. Dit formulier wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van beschikbaarheid op het betreffende provinciale proces. Formulier 3: Business Impact Analyse Integriteit. Dit formulier wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van integriteit op het betreffende provinciale proces. Formulier 4: Business Impact Analyse Vertrouwelijkheid. Dit formulier wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van vertrouwelijkheid op het betreffende provinciale proces. Formulier 5: Samenvatting, Overall Rating. Dit formulier wordt gebruikt als samenvatting van de scores uit de vorige formulieren. 17
A.2 Business Impact Referentie Tabel Provincies De Business Impact Referentie Tabel Provincies wordt gebruikt om voor de Provincie en per onderwerp te bepalen wanneer exact de impact aangeduid kan worden met de classificatie hoog, midden of laag. De tabel is reeds ingevuld, waarbij de financiële vertaling van hoog, midden of laag (zie bij F1 tot en met F4) tussen haakjes is aangegeven als mogelijk voorbeeld. De bedoeling van de invulling van deze tabel is dat het zo specifiek en meetbaar mogelijk is. De inhoud van deze tabel wordt bij de andere formulieren weer gebruikt. A.3 Business Impact Analyse formulieren De formulieren zijn allemaal opgebouwd uit vragen in 4 categorieën. De categorieën zijn op elk formulier gelijk, en staan ook zodanig in de Business Impact Referentie Tabel Provincies. De categorieën zijn: Financieel (F): 4 vragen, F1 tot en met F4 Operationeel (O): 5 vragen, O1 tot en met O5 Klant gerelateerd (K): 3 vragen, K1 tot en met K3 Werknemer gerelateerd (W): 2 vragen, W1 en W2 De exacte bewoording bij elke vraag (F1 tot en met W2) kan verschillen, en is in lijn gebracht met het betreffende onderwerp, zijnde beschikbaarheid, integriteit of vertrouwelijkheid. Elke vraag kan beantwoord worden door een X te zetten in de juiste kolom. Bij de formulieren voor Integriteit en Vertrouwelijkheid is voor het gemak de inhoud van de Business Impact Referentie Tabel Provincies overgenomen. Vervang deze inhoud dan door de X. Bij elke vraag is ruimte opgenomen voor kort commentaar. ebruik dit veld om aan te geven waarom men tot deze conclusie/keuze is gekomen. Onderaan de formulieren, na de laatste vraag, staat een Overall Rating. Neem hier de hoogste score over van de vragen F1 tot en met W2. Hiermee wordt de essentie van het formulier dus terug gebracht tot 1 classificatie: hoog, midden of laag. A.4 Formulier Beschikbaarheid Het formulier over de Business Impact Analyse Beschikbaarheid wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van beschikbaarheid op het betreffende provinciale proces. De vragen zijn zo gesteld dat beantwoording gedaan wordt door een kruisje te zetten in die juiste kolom. Daarbij moet gekeken worden naar de Business Impact Referentie Tabel Provincies om te zien of de keuze dan ook overeenkomt met de impact classificatie. Er zijn vijf tabellen waaruit gekozen kan worden, elk met een verschillende nietbeschikbaarheids periode. Bij impact hoog wordt uit gegaan van problemen bij een niet-beschikbaarheid van maximaal 1 dag. Bij impact midden wordt uit gegaan van problemen bij een niet-beschikbaarheid van 2 à 3 dagen. Bij impact laag wordt uit gegaan dat er pas problemen ontstaan bij een nietbeschikbaarheid van 1 week of meer. De grootte van het probleem moet dan (gevoelsmatig) wel overeenkomen met de waarde zoals die in de Business Impact Referentie Tabel Provincies is opgenomen. Sluit het formulier af met de Overall Rating: de hoogste score in het formulier, en beantwoord twee additionele vragen: 1. Wat is het kritieke tijdspad voor het herstel van dit systeem (welke duur van niet beschikbaarheid is onacceptabel voor het betreffende provinciale proces)? 18
Dit komt ook weer overeen met de hoogste score in de tabel: is dit geweest bij een niet-beschikbaarheid van 1 uur, 1 dag, 2 à 3 dagen, 1 week of 1 maand? 2. Wat is de maximale toelaatbare gegevens verlies periode bij een ernstige calamiteit (gegevens kwijt geraakt doordat men terug moet naar de laatst herstelbare situatie)? In het geval van een ernstige niet-beschikbaarheid kan het voorkomen dat men dit moet herstellen door terug te gaan naar de laatst herstelbare situatie, bijvoorbeeld door een back-up terug te zetten. Hierbij zullen de gegevens die zijn ontstaan of aangepast in het tijdstip tussen de laatst herstelbare situatie en tijdstip optreden van de niet-beschikbaarheid, verloren gaan. eef hier aan wat een maximaal toelaatbare periode is voor het betreffende provinciale proces. A.5 Formulier Integriteit Het formulier over de Business Impact Analyse Beschikbaarheid wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van integriteit op het betreffende provinciale proces. De vragen zijn zo gesteld dat beantwoording gedaan wordt door een kruisje te zetten in die juiste kolom. A.6 Formulier Vertrouwelijkheid Het formulier over de Business Impact Analyse Beschikbaarheid wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van vertrouwelijkheid op het betreffende provinciale proces. De vragen zijn zo gesteld dat beantwoording gedaan wordt door een kruisje te zetten in die juiste kolom. A.7 Formulier Samenvatting, Overall Rating Het formulier wordt gebruikt als samenvatting van de scores uit de vorige formulieren. Neem in dit formulier de samenvattende gegevens uit de andere formulieren over. Noteer tevens andere gegevens op dit formulier, zoals: Voor welk provinciaal proces is deze analyse gedaan; Met welke personen is deze analyse uitgevoerd; Wie heeft de begeleiding gedaan; Wanneer is deze analyse uitgevoerd. 19
20
21
22
23
24