Security in vitale infrastructuur



Vergelijkbare documenten
Olie en (petro-)chemische industrie vitaal security

Risico s kennen, weerbaarheid. vergroten

De Nationaal Coördinator Terrorismebestrijding en Veiligheid

Commissie Bestuur & Organisatie. Ontwikkelingen Calamiteitenzorg. 6 november 2007 Margreeth Bosker

Bestuurlijke Netwerkkaarten Crisisbeheersing. Netwerkkaart 21 Telecommunicatie & cybersecurity

CBRN-security begint met een zelfanalyse

In het Algemeen Overleg met de Tweede Kamer op 11 december 2008 heb ik de Kamer een tweetal toezeggingen gedaan:

Bestuurlijke Netwerkkaarten Crisisbeheersing

Algemeen bestuur Veiligheidsregio Groningen

2 de inhoudelijke analyse bescherming vitale infrastructuur

3. Corendon Dutch Airlines, te dezen vertegenwoordigd door de Managing Director,

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bij Gasunie is Security een Boardroom Issue.

Handreiking Security Management.

Afsprakenlijst behorende bij het Convenant voor samenwerkingsafspraken tussen Veiligheidsregio s, Politie en ProRail

Verantwoord beveiligen

Informatiebeveiligingsbeleid

Integrale veiligheid als trend

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.

Incidentbestrijdingsplan Grootschalige Uitval Nutsvoorzieningen

Bestuurlijke Netwerkkaarten Crisisbeheersing. Netwerkkaart 21b Cybersecurity

Wet gegevensverwerking. en meldplicht cybersecurity

Security Starts With Awareness

etouradres Postbus EA Den Haag Directie Democratie en Burgerschap oorzitter van de Tweede Kamer der Staten-Generaal

Bestuurlijke Netwerkkaarten Crisisbeheersing. Netwerkkaart 14 Elektriciteit en gas

Handreiking Beveiligingsafstemming Vitaal en Overheid

Scenariokaart Verstoring kritieke processen door uitval / verstoring ICT

Evaluatie oefening Voyager

Bescherming vitale infrastructuur

DHM Security Management

Nr.: Renswoude, 31 maart 2015 Behandeld door: J. van Dijk Onderwerp: (concept) Regionaal Risicoprofiel Veiligheidsregio Utrecht 2014

Security Management Trendonderzoek. Chloë Hezemans

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus n EA DEN HAAG

Bestuurlijke Netwerkkaarten Crisisbeheersing. Netwerkkaart 10 Terrorisme

Deltaprogramma Nieuwbouw en herstructurering. Beslisboom waterrobuust (her)inrichten

Webinar Cyber Security. Spreker: Barend Sluijter en Marco Rijkschroeff

Convenant voor samenwerkingsafspraken tussen Veiligheidsregio s, Politie en Openbaar Ministerie in Oost-Nederland

Nieuwe hoofdstructuur bestuursdepartement per 1 juli 2011

Wet beveiliging netwerken informatiesystemen. Algemene informatie. Meer weten?

Bestuurlijke Netwerkkaarten Crisisbeheersing. Netwerkkaart 21a Telecommunicatie

Is er een standaard oplossing voor Cyber Security?

Drinkwater met natte voeten. Continuïteit van de Drinkwatervoorziening bij Rampen en grote Incidenten

Handreiking Risicoanalyse. 10 praktische modellen voor de risicoanalist

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Convenant drinkwater tussen Evides, Brabant Water, Politie Zeeland en Veiligheidsregio Zeeland

Anton Geurtsen. Adviseur Beveiliging Burgerluchtvaart. Afdeling Handhaving & Toezicht Beveiliging Burgerluchtvaart

Plan van aanpak onderzoek externe beveiliging nucleaire inrichtingen. Onderzoek naar het plan Externe Beveiligingsorganisatie (EBO) van de politie

Bijlage: Typering en belangrijkste resultaten en vervolgacties per vitale sector.

Code Interbestuurlijke Verhoudingen

111 e iii 0 Grootschalige publieksevenementen en Nationale Evenementen

RAPPORT BESCHERMING VITALE INFRASTRUCTUUR

Chiptechnologie toegangspassen

Risicomanagement en Weerstandsvermogen

Nieuwsbrief. Landelijk Implementatieteam Wet Tijdelijk Huisverbod. Inhoud

Bestuurlijke Netwerkkaarten Crisisbeheersing. Netwerkkaart 14 Elektriciteit en gas

Nationale crisisbeheersing en CIMIC. Prof. dr. Rob de Wijk Directeur HCSS en HSD Hoogleraar IB Leiden

Samenvatting Publiek-private samenwerking in tijden van diffuse dreiging

Protocol beveiliging bestuurders gemeente Heeze-Leende

Roadmap Vitaal Financiële sector

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

staat is om de AVG na te komen.

Handreiking Beveiligingsafstemming Vitaal en Overheid

Informatiebeveiliging aangepakt

Overlijden van een asielzoeker uit de EBTL Hoogeveen. Plan van aanpak incidentonderzoek

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Bijlage 2: Communicatie beveiligingsincidenten

Handreiking Alerteringssysteem Terrorismebestrijding (ATb)

Transcriptie:

Security in vitale infrastructuur Ministerie van Binnenlandse Zaken en Koninkrijksrelaties 1

Uitgave Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Project Bescherming vitale infrastructuur Postbus 20011 2500 EA Den Haag www.minbzk.nl DTP en print Grafische en Multimediale Diensten BZK Aan deze publicatie kunnen geen rechten worden ontleend. Vermenigvuldigen van informatie uit deze publicatie is toegestaan, mits deze uitgave als bron wordt vermeld. Juni 2008 37057/3122-GMD13 2

Bouwstenen voor beleid Inleiding In deze flyer worden de bouwstenen aangereikt voor het securitybeleid in de vitale infrastructuur. Deze bouwstenen fungeren als handreiking voor partijen, die werk willen maken van securitybeleid. Hiertoe rekenen we koepel- en branche - organisaties, vak departemen ten, beheerders en eigenaren van de vitale infrastructuur, maar ook alle voor security relevante stakeholders, waaronder kennisleveranciers, kennisinstellingen, onafhankelijke deskundigen uit de securitysector en/of crisispartners. Bescherming vitale infrastructuur De vitale infrastructuur bestaat uit al die processen, producten en diensten die essentieel zijn voor de Nederlandse samenleving. Deze vitale infrastructuur kan verstoord raken of uitvallen als gevolg van natuurrampen, technisch, organisatorisch of menselijk falen, maar ook als gevolg van moedwillig menselijk handelen, van vandalisme tot criminele handelingen en terrorisme. Het is in het belang van onze nationale veiligheid, dat de vitale infrastructuur weerbaar(der) wordt ten aanzien van dergelijke verstoringen. Extra inspanningen noodzakelijk Het effect van één moed willige verstoring kan dusdanig groot zijn, dat extra bescherming van de vitale infrastructuur nodig is. Zelfs als de kans dat een dergelijke verstoring zich voordoet laag is. De milleniumwisseling en de aanslagen in de Verenigde Staten in september 2001 hebben ons van dergelijke risico s bewust gemaakt. In 2004/2005 zijn in alle vitale sectoren risico-analyses uitgevoerd en als rapportage aangeboden aan de Tweede Kamer. De uitkomst van deze sectorale analyses is dat er op het gebied van security extra inspanningen noodzakelijk zijn. 3

Security verhoogt weerbaarheid Bij security gaat het om het (preventief) weerstand bieden aan moedwillige verstoring. Dit moedwillige of opzettelijke karakter is bepalend voor het onderscheid tussen security en safety. Bij safety gaat het om het (zoveel mogelijk) voorkomen van ongewenste gebeurtenissen als gevolg van natuurlijke anomalieën of rampen, technisch, organisatorisch of menselijk falen. Een structurele beheersing van risico s, security- danwel safety gerelateerd, draagt bij aan de continuïteit van de vitale infrastructuur. Méér dan bullen en spullen Bij moedwillige verstoring denken we vaak aan een kwaadwillende derde, die met goed hekwerk en sloten buiten de poort is te houden. Maar een verstoring kan ook van binnenuit komen of betrekking hebben op de ICT-infrastructuur; met ontwrichting als oogmerk, financieel gewin of bedrijfsspionage. De motieven en middelen kunnen per dader of delict verschillen. Daarnaast kan een verstoring beoogd zijn, maar ook het gevolg zijn van een ander incident. Denk aan een koperdiefstal met gevolgen voor de brand veiligheid. Dat maakt dat security méér is dan een goede beveiliging van de bullen en spullen. Bouwstenen Om een beleidscyclus voor security in te kunnen richten, zijn er vijf bouwstenen nodig: bewustwording, beeldvorming, analyse en beoordeling, planning en uitvoering, evaluatie en bijstelling. Elke bouwsteen vertegenwoordigt een stap in de ontwikkeling en uitvoering van securitybeleid. 4

Bewustwording Hoe worden we ons bewust van de mogelijke dreigingen en risico s voor de continuïteit van vitale objecttypen, netwerken of ketens? Via de media, via alertering of risico signalering, door informatiedeling, of op basis van onderzoek of incidentregistratie? risicobewustzijn vormt de basis voor de ontwikkeling van securitybeleid. Beeldvorming Welke interne en externe dreigingstypen zijn denkbaar, met welke motieven? In de fysieke omgeving of in de ICT-infra structuur? En wanneer kan een moedwillige verstoring van de vitale infra structuur gewonden of doden, economische, publieke of milieuschade tot gevolg hebben? de uitvoering van een dreigingsanalyse geeft inzicht in het dreigingsbeeld. scenario-ontwikkeling maakt gezamenlijke beeldvorming mogelijk. 5

Analyse en beoordeling Hoe groot is kans maal effect? Noodzaakt de aard van de dreigingen of de inschatting van de risico s tot een vergroting van de weerbaarheid? Welke maatregelen en -voorzieningen zijn reeds getroffen, om vitale objecttypen, netwerken of ketens te beschermen? De uitvoering van een risicobeoordeling geeft inzicht in de mate van weerbaarheid. Planvorming en uitvoering Wat kan meer, beter of anders? Welke extra maatregelen zouden aanvullend te nemen zijn? Wegen de kosten op tegen de baten? Een beleidsplan maakt het mogelijk om prioriteiten te stellen en de juiste maatregelen of voorzieningen te treffen. Evaluatie en bijstelling Hoe wordt getoetst of de getroffen maatregelen of voorzieningen daadwerkelijk doelmatig en effectief zijn? Hoe vaak wordt het securitybeleid geactualiseerd? Een (regelmatige) evaluatie maakt de bijstelling van beleid mogelijk. Sectorbeleid op maat Niet ieder dreigingstype is voor iedere sector even relevant. Per dreigingstype kan de risico-inschatting per sector een ander beeld opleveren of kan het belang van safety prevaleren boven security. Ook verschillen sectoren in de wijze van regulering. Daarom vraagt security om sectorbeleid op maat. De praktijk laat hier al goede voorbeelden van zien. In de sectoren nucleair, luchtvaart en havens ligt van oudsher een zwaar accent op wet- en regelgeving. In de telecomsector en in de financiële sector is er sprake van een combinatie van wet- en regelgeving en zelfregulering. In de drinkwatersector geven de waterbedrijven invulling aan het goed huisvaderschap. Dit securitybeleid houdt voor specifieke locaties in: beveiliging boven basisniveau. In de olie en (petro-) chemische industrie vormen convenantafspraken de basis voor een structurele publiek-private samenwerking. 6

Convenant Olie en (petro-)chemische industrie vitaal security De Olie en (petro-) chemische industrie en de overheid hebben op 27 mei 2008 in een convenant afspraken gemaakt over de bescherming van de sector tegen kwaadwillenden. De (petro-) chemische bedrijven kunnen een mogelijk doelwit van kwaadwillenden zijn om een incident te veroorzaken waardoor veel slachtoffers kunnen vallen of de leverings zekerheid van olie en olieproducten in gevaar komt. De belangrijkste afspraken in het convenant zijn: invoeren (binnen een jaar) of verder ontwikkelen van een Security Management Systeem bij de bedrijven met als onderdelen: een vastgesteld securitybeleid, risico-identificatie en - analyse, beveiligingsmaatregelen en - voorzieningen en afspraken over de interne en externe beveiligingsorganisatie; gezamenlijk opstellen van standaard scenario s die worden opgenomen in de Security Management Systemen en waar passende maatregelen op worden genomen; gezamenlijke stimulatie van bedrijven, die een A-locatie hebben of zijn, om zich aan te sluiten bij het Alerteringssysteem Terrorismebestrijding (ATb) van de Nationaal Coördinator Terrorismebestrijding (NCTb); verdergaande informatie-uitwisseling tussen de sectoren en overheid. Winst van security management Op bedrijfsniveau is security een managementverantwoordelijkheid. Security management kan worden beschouwd als een integraal onderdeel van het continuïteits- of risico management van vitale organisaties. Een goed Security Management Systeem helpt schade voorkomen, beperkt de kosten van gehele of gedeeltelijke uitval, herstel en/of aansprakelijk heid en draagt bij aan het vertrouwen van de klant. Dit vraagt om een verankering van het securitybeleid op het hoogste managementniveau in de organisatie. Daarnaast is het kennen van de eigen crisispartners (publiek en privaat) essentieel. Ten tijde van een crisis kunnen goede beveiligingsafspraken het verschil uitmaken tussen winst en verlies. 7

Informatiedeling Elk moment kunnen zich nieuwe dreigingen aandienen, zoals bijvoorbeeld het risico van hacktivisme voor de continuïteit van bedrijfsprocessystemen. Daarom maakt de nationale overheid het delen van dreigingsinformatie met de vitale sectoren mogelijk, waarbij de vertrouwelijk heid van deze (wederzijdse) infor matie - deling op basis van protocolafspraken wordt geborgd. Voor terrorismegerelateerde dreigingen geschiedt dit via het Alerterings systeem Terrorisme bestrijding (ATb) en voor cybercrime binnen het Informatie knooppunt Cybercrime (IKC) en via GOVCERT.NL, de waarschuwingsdienst van het Computer Emergency Respons Team van en voor de Nederlandse overheid. Ook het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) brengt partijen op reguliere basis bij elkaar om informatie en kennis over specifieke security thema s te delen. Ondersteuning Bij de implementatie van het securitybeleid kunnen de departementen, de beheerders van de vitale infrastructuur en de relevante kennispartners gebruik maken van de adviesfunctie van het NAVI. Het NAVI bundelt (internationale) kennis en expertise over security ten behoeve van de vitale infrastructuur, voert (sectorale) dreigings- en risico analyses uit, biedt beveiligings concepten voor bepaalde objecttypen aan, kan second opinions uitvoeren en stelt beheerders in samenwerking met de NCTb in staat om beveiligingsafspraken te maken met de decentrale overheden in de eigen regio. Daarnaast heeft het NAVI producten die de beheerders en eigenaren van de vitale infrastructuur kunnen helpen (onderdelen) van een Security Management Systeem te implementeren. Voor meer informatie: www.nationale-veiligheid.nl www.nctb.nl www.navi-online.nl www.samentegencybercrime.nl www.govcert.nl Juni 2008 8

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback