Informatiebeveiliging Gemeenten Handreiking uitvoeringsplan Operationeel niveau De overheid is wel of niet integer. Een beetje integer kan niet. En met de integriteit van de overheid valt of staat het bestuur; aantasting van de integriteit van de overheid betekent niet minder dan dat de overheid het vertrouwen van de burgers verliest. En zonder dat vertrouwen van de burger kan de democratie niet. Dan is er geen democratie meer. Dat is een beklemmend beeld. Minister van Binnenlandse Zaken I. Dales Utrecht, augustus 2009
Inhoudsopgave Inleiding 2 1. Het uitvoeringsplan: algemene maatregelen 4 1.1 De organisatie van de informatiebeveiliging 4 1.1.1 Portefeuillehouder beveiliging 4 1.1.2 Beveiligingsadviseur (security officer) 5 1.1.3 Proceseigenaren 6 1.1.4 Fysieke beveiliging 6 1.1.5 Verantwoordelijke voor 6 1.1.6 Verantwoordelijke voor Personeelsbeleid 7 1.1.7 Verantwoordelijkheden voor documenten 7 1.1.8 Het beheer van documenten informatiebeveiliging 8 1.2 Incidentenregistratie 8 1.3 Bewustzijn en gedrag van medewerkers 9 1.3.1 Selectie en aanstelling van medewerkers 10 1.3.2 Technische maatregelen 10 1.3.3 Plichtsverzuim 11 1.4 Afvoer en vernietiging van documenten 11 1.5 Autoriseren 11 1.6 Beveiliging van gebouwen 12 1.7 Bezoekersregeling 13 1.8 Controle van gebruik van informatie 14 1.9 Bedrijfscontinuïteit bij calamiteiten 14 2 Het uitvoeringsplan: specifieke maatregelen 16 2.1 Voorbeelden 16 2.2 Maatregelen 18 Operationeel niveau
Inleiding Op het operationele niveau geeft u concreet vorm aan de beveiliging binnen uw gemeente. Dit doet u door het vaststellen van een uitvoeringsplan waarin maatregelen getroffen worden die een evenwichtig pakket vormen en die - controleerbaar - passen binnen de op strategisch en tactisch niveau ingezette lijn. Het uitvoeringsplan geeft kort weer wat u wenst te bereiken met welke maatregelen. Belangrijk hierbij is dat de maatregelen daadwerkelijk gerelateerd worden aan weg te nemen of te reduceren risico s (zie hiervoor het document Informatiebeveiliging gemeenten Handreiking beveiligingsplan tactisch niveau). De op te lossen risico s en bedreigingen zijn op tactisch niveau bepaald door de risicoanalyses voor de primaire processen. Op basis daarvan gaat u, samen met de facilitaire afdelingen zoals gebouwbeheer, automatisering () en archieven, bepalen welke maatregelen mogelijk zijn. In het uitvoeringsplan zijn de maatregelen gekoppeld aan de risico s die beschreven zijn in het beveiligingsplan. Om de risico s het hoofd te bieden zijn de maatregelen ingedeeld in twee categorieën: 1. Algemene maatregelen die tenminste genomen moeten worden. 2. Maatregelen in de organisatie (zowel technische als fysieke maatregelen) die een selectie vormen van een totale set aan maatregelen. Door de relatie te leggen met de risico s, kunt u zien of de maatregelen geholpen hebben. Ook als een risico zich toch voordoet, zal snel blijken wat u moet bijstellen om de situatie weer structureel onder controle te houden. Ter relativering: qua beveiliging kunt u wel 100% veilig zijn door uw risico s te beheersen met tegenmaatregelen, maar 100% waterdicht lukt nooit. Risico s zullen zich op enig moment voordoen, ongeacht alle voorbereidingen. Wel bent en blijft u ook op dat moment in controle door goed voorbereid te zijn. De gemeente streeft naar een invulling van alle beveiligingsmaatregelen door een geleidelijk groeipad te volgen. In dat groeipad worden telkens nieuwe inzichten, kosten, stand van zaken en ontwikkelingen in de maatschappij meegenomen. Uiteindelijk zullen alle maatregelen tezamen het in het beleidsplan gestelde doel verwezenlijken (zie document Informatiebeveiliging gemeenten, Handreiking beleid en organisatie - strategisch niveau). Als de gewenste situatie sterk verschilt van de huidige situatie, moet u de maatregelen prioriteren en degenen die zich op tactisch en strategisch niveau met informatiebeveiliging bezighouden 2
informeren. Dat zijn uiteindelijk de niveaus die de daadwerkelijke keuze moeten maken en budget ter beschikking moeten stellen. Laat u niet verleiden tot het zelf maken van die keuzes. De keuze is namelijk een bewustwordingsproces van het management en zorgt ervoor dat ze bij informatiebeveiliging betrokken zijn en blijven. Het uitvoeringsplan van een gemeentelijke dienst of afdeling is één van de uitvoeringsplannen van de gemeente. De maatregelen moeten daarom door de facilitaire afdelingen worden omgezet naar maatregelsets zodat elkaar aanvullende, overlappende of uitsluitende maatregelen zichtbaar worden. De maatregelen worden aangevuld met een kostenraming. Op basis van de maatregelen met kostenraming kiest de gemeente de in haar plan op te nemen maatregelen die in het lopende jaar uitgevoerd worden. Maatregelen die om welke reden dan ook afvallen, worden het jaar daarop betrokken in de herbeoordeling. In dit document vindt u een handreiking om te komen tot een uitvoeringsplan voor uw gemeente. Deze handreiking kan op veel onderdelen ook als voorbeeld van een uitvoeringsplan gezien worden. Delen van de tekst in de handreiking kunt u, als uw gemeente daarachter staat, direct overnemen in uw uitvoeringsplan. Er worden ook concrete tekstvoorbeelden en tips bij gegeven. In hoofdstuk 2 worden de algemene maatregelen beschreven die u altijd moet nemen en in uw uitvoeringsplan moet opnemen. Hoofdstuk 3 geeft de maatregelen weer die u kunt koppelen aan uw bedreigingen (overgenomen uit uw beveiligingsplan). U kunt selecteren welke maatregelen u wel of niet wenst te nemen. In dit hoofdstuk wordt tevens een klein voorbeeld gegeven hoe u bedreigingen en maatregelen kunt koppelen. 3
Hoofdstuk 1 Het uitvoeringsplan: algemene maatregelen In dit hoofdstuk gaan wij in op de algemene maatregelen die u kunt nemen om uw informatie te beveiligen. Achtereenvolgens behandelen wij: - de organisatie van de informatiebeveiliging - incidentenregistratie - bewustzijn en gedrag medewerkers - afvoer en vernietiging documenten - autoriseren - beveiliging van gebouwen - bezoekersregeling - controle van gebruik van informatie - bedrijfscontinuïteit bij calamiteiten 1.1 De organisatie van de informatiebeveiliging In het beveiligingsplan heeft u vastgelegd dat er een beveiligingsorganisatie moet zijn met de volgende hoofdtaken: 1. Beleidsadvisering 2. Controle en onderzoek 3. Operationeel Hier geeft u concreet vorm aan de invulling van deze taken in de organisatie. 1.1.1 Portefeuillehouder beveiliging De gemeente wijst de controller aan als portefeuillehouder van de gemeentebrede beveiliging. Functioneel gaat de controller daarmee over de: Informatiebeveiligingsadviseur (security officer) Adviseur gebouwbeveiliging Privacy functionaris De onafhankelijkheid van de controller wordt benut om de integrale beveiliging te beleggen. De decentrale adviseurs doen het werk, maar leggen functioneel verantwoording af aan de controller. Deze verantwoording geeft de adviseur de ruimte om buiten de eigen lijn problemen aan te kaarten. De portefeuillehouder rapporteert jaarlijks over de gemeentebrede stand van zaken van de beveiliging aan het college. Het college kan deze rapportage benutten om zo nodig verantwoording af te leggen aan de ministeries of aan de gemeenteraad. 4
Onafhankelijkheid kan op meerdere manieren bereikt worden. Een portefeuillehouder is een mogelijkheid. Deze is niet verplicht, maar helpt wel de disciplines aan elkaar te koppelen en de managers aan te spreken op hun verantwoordelijkheid. 1.1.2 Beveiligingsadviseur (security officer) De Beveiligingsadviseur stelt het beleid op, zorgt dat acties in gang gezet worden voor de implementatie van dit beleid, stelt eisen en normen op voor de beveiliging, voert in overleg met proceseigenaren beveiligingsanalyses uit en stimuleert de bewustwording bij management en medewerkers. Functie-eisen: - HBO werk- en denkniveau, aan te tonen met relevante opleiding en meerdere jaren werkervaring. - Meerdere jaren relevante werkervaring op het gebied van (informatie)beveiliging. - Kennis van (Informatie)beveiliging. - Ervaring met proces- en informatie-analyses. - Een goede mondelinge en schriftelijke uitdrukkingsvaardigheid. - Zelfstandig het werk kunnen organiseren en plannen. - Sturing kunnen geven aan andere medewerkers. - Diplomatieke omgang met collega s, leiding en ketenpartners. - Politieke gevoeligheid. - Kunnen begrijpen van wetteksten en deze interpreteren naar relevantie en toepassing binnen het vakgebied en deze kunnen (laten) toepassen in het werk. - Kennis van de gemeentelijke wereld in het algemeen en het werkveld van de sociale dienst is een pré. - Kennis van relevante wet- en regelgeving is een eis (o.a. WBP). Ten behoeve van een goede invulling wordt de functie van beveiligingsadviseur belegd bij de afdeling.. met een minimale omvang van fte. Diens plaatsvervanger binnen dezelfde afdeling krijgt beveiliging als taakaccent voor tenminste.. fte, met dien verstande dat deze plaatsvervanger vrijgemaakt wordt zodra de beveiligingsadviseur niet aanwezig is. Let op: één is geen. Dus er moet tenminste een plaatsvervanger zijn van de beveiligingsadviseur. Dit is afhankelijk van de omvang van de gemeente. Het verdient aanbeveling de functie te beleggen bij een onafhankelijke afdeling, zoals de controller of Informatiemanagement indien deze gescheiden is van de -afdeling. 5
1.1.3 Proceseigenaren De gemeente wijst, zoals opgenomen in het beleidsplan (strategisch niveau), proceseigenaren aan die het management counterpart vormen voor de beveiligingsadviseur. De gemeente kiest ervoor ieder diensthoofd aan te wijzen als proceseigenaar voor alle processen binnen die dienst. De gemeente stelt een lijst op van proceseigenaren en zorgt dat die voor iedereen toegankelijk is, bijvoorbeeld door publicatie op het gemeentelijk intranet. Afhankelijk van de gemeente kunnen de proceseigenaren nog lokaal ondersteund worden door taakaccenthouders, de adviseurs binnen de diensten die de vooruitgeschoven post vormen van informatiebeveiliging. 1.1.4 Fysieke beveiliging De beveiliging van de toegang tot het gebouw en de werkplekken wordt uitvoerend belegd bij de afdeling... Hiermee is de verantwoordelijkheid voor beveiligingssystemen en beveiligingpersoneel voor alle gemeentelijke gebouwen belegd. De bevoegdheid beperkt zich tot het bewaken van de toegang tot de gemeentelijke gebouwen, het uitreiken van toegangscodes, toegangspasjes, bezoekerspasjes (inclusief registratie) en sleutels van werkkamers. De bevoegdheid om fysieke beveiligingsmaatregelen af te dwingen binnen werkruimten van medewerkers, zoals het verplicht opbergen van vertrouwelijke dossiers in afsluitbare kasten, wordt niet aan deze afdeling belegd. De afdeling controleert de aanwezigheid, rapporteert daarover aan de proceseigenaar en de beveiligingsadviseur. Deze twee functionarissen zorgen zo nodig voor afdwingen van het gewenste gedrag. De gemeente moet hier een keuze maken over het beleggen van verantwoordelijkheden. Het is aan te bevelen om controle van de werkplek niet in dezelfde hand te leggen als degene die de regels opstelt. Deze scheiding maakt het makkelijker voor de manager om de medewerkers aan te spreken, en niet de fysieke beveiliger. 1.1.5 Verantwoordelijke voor Binnen de afdeling benoemt de gemeente een technisch specialist beveiliging. Deze technische specialist zorgt voor de vertaling van de functionele eisen van de beveiligingsadviseur naar maatregelen. De gemeente maakt hiervoor. fte vrij. De technisch specialist voert controles uit op de genomen maatregelen en bewaakt de procedures rondom virussen, toegang en geautomatiseerde gegevensuitwisseling. Deze specialist voert geen EDP-audits uit, en stelt dus niet vast of aan de eisen voldaan wordt. Deze controle wordt onafhankelijk belegd. 6
De verantwoordelijke voor de gaat over het hoe en beveiligingsadviseur over het wat. De controle ligt onafhankelijk om te voorkomen dat ieder zijn eigen werk toetst. 1.1.6 Verantwoordelijke voor Personeelsbeleid Het gedrag van medewerkers is de achilleshiel van het beveiligingsbeleid. Zonder de bereidheid en discipline van de medewerkers om zich aan het beleid te houden, is elk beveiligingsbeleid zinloos. Medewerkers moeten bewust zijn van beveiligingsrisico s van de informatie waarmee ze werken en moeten actief handelen om deze risico s te verminderen. Om dit gedrag te bewerkstelligen, moet een groot aantal instrumenten in samenhang worden ingezet. Te denken valt aan screening, ambtseden, opname in functiebeschrijvingen en bespreking tijdens functioneringsgesprekken, interne communicatie en voorlichting en uiteindelijk disciplinaire maatregelen. Al deze instrumenten dienen in samenhang te worden ingezet, geëvalueerd en aangepast. De afdeling P&O krijgt de taak beveiliging structureel onderdeel te maken van het arbeidsrechtelijke traject (functionering, beoordeling, eed/belofte, screening, disciplinaire maatregelen). De afdeling P&O maakt hiervoor. fte vrij. De beveiligingsadviseur wordt betrokken om de samenhang met gehele pakket van beleid tot uitvoering te bewaken. 1.1.7 Verantwoordelijkheden voor documenten Het stellen en bewaken van regels voor de fysieke en digitale documentenstroom in de organisatie is een taak van de afdeling archief en van de beveiligingsadviseur. Het gaat om regels voor het registreren, classificeren, opslaan, beschikbaar stellen, archiveren en vernietigen van documenten. De gemeente zorgt ervoor dat de proceseigenaren, in samenspraak met de beveiligingsadviseur, kaders scheppen waarbinnen dit moet gebeuren. Deze kaders zijn beperkt door de archiefwet en de WOB. De regels van de archiefwet moeten vertaald worden naar de omgeving. De technisch specialist van de afdeling ondersteunt daarbij. De medewerkers van de gemeente moeten zich houden aan de gestelde regels en zijn, binnen de grenzen van hun mogelijkheden, verantwoordelijk voor de dossiers die zij fysiek of digitaal onder zich hebben. Uiteindelijk gaat het er om dat documenten en dossiers zodanig door de organisatie stromen dat vast te stellen is waar een dossier zich bevindt en wat de geldende versie is. In principe ligt het voortouw voor archiefwaardige stukken bij de archivaris van de gemeente. Die wordt geacht specialist te zijn op het terrein van de archiefwetgeving. De digitale situatie dient een gespiegelde vorm te zijn van wat in de fysieke wereld geregeld moet zijn. Voor alle dossiers en documenten die niet archiefwaardig zijn neemt de proceseigenaar, in samenspraak met de beveiligingsfunctionaris, het voortouw. 7
1.1.8 Het beheer van documenten over informatiebeveiliging Het gaat in dit proces om het beheer van alle documenten die relevant zijn voor de informatiebeveiliging, zoals: Beleidsnota's en uitvoeringsplannen College en b&w-besluiten Protocollen en reglementen Procedurebeschrijvingen Templates voor rapportages Gedragsregels Het beheer van deze documenten bestaat uit de volgende activiteiten: Totstandkoming van documenten Controle op correcte besluitvorming, wijzigen of laten vervallen van documenten en het (laten) ontwerpen en onderhouden van templates voor rapportages van documenten. Bewaren van documenten Het bewaren van actuele beleidsdocumenten en rapportages archiveren van oude versies. Verstrekken van documenten Het laten vaststellen en bewaken van beleid rond openbaarmaking van stukken en het ter beschikking stellen van documenten o.a. via intranet. Voorgesteld wordt het beheer van de beveiligingsdocumenten uit te laten voeren door de beveiligingsadviseur en de feitelijke archivering door de archivaris. In feite zijn ook alle documenten die betrekking hebben op -middelen, zoals licenties, contracten en handleidingen, relevant voor informatiebeveiliging. Dit geldt vooral voor het aspect beschikbaarheid. Toch is het praktischer om dit type documenten te laten beheren door de afdeling. Belangrijk is dat de documenten over beveiliging zijn vastgelegd en dat duidelijk is voor de organisatie wat de geldende richtlijnen zijn. De feitelijke archivering is belangrijk als bewijsvoering, maar is niet voldoende om de organisatie te laten weten wat de regels zijn. In de bewustwording zal dat meegenomen moeten worden. 1.2 Incidentenregistratie De registratie van incidenten heeft twee doelen: 1. Het waarborgen van een snelle en adequate reactie op beveiligingsincidenten. 2. Het analyseren van incidenten om daaruit lering voor de toekomst te trekken. 8
Ten behoeve van deze registratie wordt de afdeling gevraagd een geautomatiseerd systeem ter beschikking te stellen. Het proces bestaat uit de volgende stappen: Melding van incidenten. Afhandeling op het juiste niveau. Terugmelden van de afhandeling aan de melder. Registratie van incidenten in het geautomatiseerde systeem. De incidenten worden door de beveiligingsfunctionaris jaarlijks geanalyseerd en gerapporteerd aan de concerncontroller. Voorbeeld: Stel, dat een elektronische toegangspas wordt verloren. Dan moet dit zo snel mogelijk worden gemeld, hetzij bij de beveiliging, de gebouwenbeheerder, het facilitair meldpunt of de icthelpdesk. Het proces van incidentenregistratie moet er toe leiden, dat de melding wordt geregistreerd en dat de kaart wordt geblokkeerd. Waar de meeste incidentregistraties zich uitsluitend richten op de opgetreden incidenten, doet u er goed aan ook bijna incidenten of gevaarlijke situaties te registreren. Ervaringen vanuit andere velden, met name de luchtvaart, leert dat er veel winst te behalen is door deze registratie uit te breiden. Om een voorbeeld te geven: het aantal keren dat iemand onder een steiger doorloopt met een steen op het punt van vallen is groot, het aantal keren dat de steen achter of voor iemand valt is kleiner, maar het allerkleinst is de kans dat de steen op iemand valt. Als u dus alleen dat laatste registreert gooit u veel leergeld weg. Iedere medewerker die een gevaarlijke steen ziet zou dat moeten melden. 1.3 Bewustzijn en gedrag van medewerkers Zoals ook in paragraaf 1.1.7 al aan de orde kwam, vormt het personeel de meest cruciale factor voor het slagen van de informatiebeveiliging. Wanneer het personeel zich niet houdt aan de beveiligingsrichtlijnen of nog erger, deze bewust schendt, is elk beleid tot mislukken gedoemd. Met bewustwording op tactisch niveau streeft u ernaar dat uw medewerkers zich werkelijk bewust zijn van hun eigen rol en positie in relatie tot veilig gedrag. Op operationeel niveau gaat u een stap verder. Hier dient u regels op te stellen waar de medewerkers zich aan moeten houden. Ook moet duidelijk zijn wat de consequenties zijn als ze dat niet doen. Deze regels en het sanctiebeleid geven de medewerkers een handvat hoe zij zich moeten gedragen binnen de eigen verantwoordelijkheid. Regels zijn echter geen excuus voor de medewerkers om niet meer zelf na te denken en moeten ook als zodanig gepositioneerd te worden. 9
De vraag is wat de organisatie kan doen om het juiste gedrag van het personeel te bevorderen. Er is een aantal mogelijkheden: Er zijn maatregelen mogelijk waarmee het beveiligingsbewustzijn wordt vergroot. Er kunnen maatregelen worden genomen om te voorkomen, dat er verkeerde medewerkers in dienst zijn of dat verkeerd gedrag ongemerkt of ongestraft kan plaatsvinden. Sommige gedragsregels kunnen door technische maatregelen worden afgedwongen. Ernstige of herhaaldelijke schendingen van de informatiebeveiliging kunnen worden aangemerkt als plichtverzuim met alle gevolgen van dien. Naast het formuleren van de regels moeten deze actief onder de aandacht worden gebracht. Uitsluitend als medewerkers op de hoogte konden zijn van de regels kunt u hen daar op aanspreken. Vanuit hun facilitaire rollen kunnen diverse gemeentelijke afdelingen bijdragen aan bewustwording. Bewustwording kent zijn grenzen en is niet gericht op medewerkers die willens en wetens de regels overtreden. Het gaat om het voorkomen van onjuist handelen door onwetendheid, slordigheid etc. De managers moeten deze bewustwording actief ondersteunen. 1.3.1 Selectie en aanstelling van medewerkers Om te voorkomen, dat onbetrouwbaar personeel wordt aangenomen, vindt tijdens de sollicitatieprocedure screening plaats. Behalve de formele screening in de vorm van een identiteitsbewijs en een bewijs van goed gedrag, verdient het aanbeveling om bij het natrekken van referenties expliciet aandacht te schenken aan het aspect informatiebeveiliging. Zeker als het een functie betreft waarin dit een belangrijke rol speelt. NB. het natrekken van referenties gebeurt uitsluitend met toestemming van de betrokkene. Voor medewerkers via een uitzendorganisatie of een detacheringbureau binnen uw organisatie werken, geldt evenzeer dat zij gescreend moeten zijn. Die screening vindt dan plaats door de bureaus die deze medewerkers bemiddelen. De uitkomst moet aan u overlegd worden. Bij de aanstelling van zowel tijdelijke als vaste medewerkers, maar ook bij inhuur van tijdelijke medewerkers via een uitzendorganisatie, moet altijd een integriteits- en geheimhoudingsverklaring worden ondertekend (zie bijlage 4 van het document Handreiking beveiligingsplan tactisch niveau). 1.3.2 Technische maatregelen Er zijn tal van technische mogelijkheden om gewenst gedrag af te dwingen. Dit soort maatregelen heeft voor- en nadelen. De voordelen zijn dat de integriteit van de informatie beter wordt beschermd en dat de technische beheersbaarheid wordt vergroot. Dit laatste punt kan een bijdrage leveren aan de mogelijkheden van de -afdeling om de continuïteit te waarborgen. Een nadeel is dat de suggestie zou kunnen worden gewekt, dat alles wat kan, ook mag. Een ander nadeel kan zijn, dat 10
het vaak moeilijk is om de maatregelen zo in te regelen, dat het ook ongevaarlijke activiteiten belemmerd. Een voorbeeld daarvan is het downloaden van nuttige (en ongevaarlijke) software. Neem na alle afwegingen zo veel mogelijk technische maatregelen om het gedrag van medewerkers te sturen. Deze maatregelen worden uitsluitend ingevoerd na instemming van de OR. 1.3.3 Plichtsverzuim Wanneer ondanks de bovenstaande inspanningen en maatregelen medewerkers zich schuldig maken aan het handelen in strijd met het informatiebeveiligingsbeleid kan dit leiden tot het vaststellen van plichtsverzuim. Overigens hoeft er geen sprake te zijn van een bewust in strijd handelen met het beleid; ook het onbewust in strijd handelen met het beleid levert plichtsverzuim op. Afhankelijk van de ernst en de mate waarin in strijd met het beleid is gehandeld, kan een sanctie worden opgelegd, oplopend van een schriftelijke berisping tot een gedwongen ontslag. 1.4 Afvoer en vernietiging van documenten Alle gemeentelijke gebouwen worden voorzien van containers voor de vernietiging van papieren documenten. Deze containers zijn alleen toegankelijk voor bevoegd personeel. Ongeacht de vertrouwelijkheid van de documenten wordt de inhoud van deze containers via een gespecialiseerd bedrijf vernietigd. Hiermee wordt voorkomen dat medewerkers keuzes moeten maken tussen wat wel en wat niet te vernietigen. Op afdelingen waar extra vertrouwelijk materiaal aanwezig is, zoals de Sociale Dienst, krijgt men aanvullend de beschikking over papierversnipperaars. De procedure wordt via de bewustwording en het intranet onder de aandacht van de medewerkers gebracht. Uiteindelijke doel van deze maatregelen is dat papieren dossiers die niet worden gearchiveerd vernietigd worden. De eenvoudigste wijze is alles als vertrouwelijk te behandelen, zelfs de notities van medewerkers. Minder kans op vergissingen, minder kans op uitlekken van informatie. 1.5 Autoriseren De gebruikers van alle geautomatiseerde systemen beschikken over toegangscodes bestaande uit een gebruikersnaam en een wachtwoord. Voor diverse systemen zijn andere toegangen gedefinieerd. De medewerkers zijn, binnen kaders, zelf verantwoordelijk voor keuze, gebruik en beheer van hun wachtwoorden. De autorisaties worden toegekend op basis van de functie en rol die iemand vervult. Het is noodzakelijk professionals alleen toegang te geven tot gegevens die nodig zijn voor de uitvoering 11
van de taak. Een weloverwogen toekenning van autorisaties beschermt de burger én de medewerker. De gemeente heeft hiertoe een matrix opgesteld die beschrijft welke rechten bij welke functie/rol combinatie hoort. Om autorisaties correct te laten functioneren, beschikt iedere medewerker tevens over een gemeentelijk identiteitsbewijs. Dit identiteitsbewijs bevat de naam, de foto en andere aanvullende informatie. Een gemeentelijk identiteitsbewijs kan heel goed gecombineerd worden met een toegangspas. Dit als de gebouwen daarop ingericht zijn. De autorisatiematrix moet u zelf opstellen. Belangrijk is dat u besluit wie bij wat mag en dat u dit documenteert. Hierdoor kunt u zich later verantwoorden. Voor het autoriseren van rollen voor Suwinet-Inkijk is een handreiking autorisaties gemeenten beschikbaar. Kijk hiervoor op de website van het BKWI, www.bkwi.nl. De gemeente richt een procedure in voor aanmelding, wijziging en afmelding van gebruikers. Maak als extra controlemiddel elk kwartaal een overzicht van alle gebruikers. Deze lijsten moeten gecontroleerd worden door de afdelingshoofden en, na een eventuele correctieronde, geparafeerd naar de concern controller worden gestuurd. 1.6 Beveiliging van gebouwen De gemeente treft maatregelen zodanig dat werkplekken niet voor derden toegankelijk zijn. Naast de algemene toegangsbeveiliging voor alle werkruimten/gebouwen kiest de gemeente voor zones met extra beveiliging voor bijvoorbeeld: Werkplekken van het college Werkplekken van de sociale dienst Werkplekken van de afdeling financiën In de panden met extra beveiligde zones is beveiligingspersoneel aanwezig. Verder treft men extra maatregelen om bijvoorbeeld de volgende waardegoederen te beschermen: Geld en waardepapieren Identiteitsbewijzen (rijdbewijs, paspoort, identiteitskaart) Dossiers van de sociale dienst Planvorming van ruimtelijke ordening 12
Alle gebouwen zijn voorzien van inbraakalarm. Met een particulier beveiligingsbedrijf is een contract afgesloten voor alarmopvolging. Welke maatregelen u hier ook neemt, bedenk goed wat u extra wenst te beschermen. Medewerkers hebben recht op een minimaal beveiligde werkplek, maar op sommige werkplekken zijn de risico s of de aanwezige waardegoederen/informatie dusdanig dat die extra maatregelen rechtvaardigen. Medewerkers zijn verantwoordelijk voor hun eigen gedrag, dat betekent dat zij: ramen en deuren sluiten; nooduitgangen niet open laten staan om bij voorbeeld even te roken; geprinte documenten direct ophalen; hun bureau opgeruimd achter te laten; de werkplek afsluiten; beeldschermen afsluiten; uitloggen bij einde werkdag. U moet de medewerker hierop wijzen (bewustwording) en mogelijkheden bieden (kasten, sleutels, bureauladen). 1.7 Bezoekersregeling De gemeente heeft een bezoekersregeling. Dit betekent dat iedere bezoeker: van te voren aangemeld moet worden; opgehaald moet worden bij de balie; niet onbegeleid in het gebouw mag zijn; weer teruggebracht wordt naar de balie/algemeen toegankelijke ruimtes. Deze procedure staat op het intranet beschreven en medewerkers zijn verplicht zich hier aan te houden. Iedere bezoeker die onbegeleid wordt aangetroffen, wordt teruggebracht naar de balie. De receptie controleert bij wie de bezoeker hoort en zorgt dat de leidinggevende van de medewerker daarover geïnformeerd wordt. Bezoekers dienen gecontroleerd in de panden aanwezig te zijn. Als u een intern legitimatiebewijs gaat hanteren dat tevens een toegangspas is, valt het te overwegen het zichtbaar dragen ervan verplicht te stellen. Bezoekers kunnen dan een speciale bezoekerspas krijgen die zij zichtbaar dragen. 13
1.8 Controle van gebruik van informatie De gemeente controleert regelmatig het gebruik van de informatie door haar medewerkers. Hiertoe zijn afspraken gemaakt met de OR en is de volgende procedure ingeregeld: De beveiligingsadviseur laat de managementrapportages opstellen. In het geval van rapportages SUWI is de beveiligingsadviseur gemandateerd om deze aan te vragen bij de servicedesk van het BKWI. De beveiligingsadviseur controleert de rapportages, toetst deze steekproefsgewijs tegen de dossiers (doelbinding van informatiegebruik) en probeert afwijkende patronen te ontdekken. Bij vermoeden van misbruik overlegt de beveiligingsadviseur met de portefeuillehouder beveiliging en stemt af hoe verder gehandeld wordt. o Normaal gesproken wordt de leidinggevende geïnformeerd over het vermoeden en diens mening gevraagd, o Indien nodig wordt de detaillogging opgevraagd en gecontroleerd. o De medewerker wordt door de eigen manager aangesproken op het gedrag en krijgt de mogelijkheid zijn visie naar voren te brengen o Afhankelijk van de ernst van de situatie volgen er, in overleg met het college, disciplinaire maatregelen Tijdens het onderzoek kan besloten worden een medewerker (tijdelijk) op non actief te stellen met behoud van bezoldiging. Deze maatregel is bedoeld om in ernstige gevallen verder afwijkend gedrag, verlies aan informatie, of andere risico s te beperken. Belangrijk is dat u het gedrag controleert, dat er een procedure is, dat medewerkers hiervan op de hoogte zijn (vooraf), en dat dit is afgestemd met uw OR. Als de logging bekeken gaat worden bij de controle van rapportages en de inbreuk op de privacy van de medewerker, is het goed een onafhankelijke toets in te bouwen. Uw portefeuillehouder beveiliging zal in de veronderstelling zijn dat er een onafhankelijke toets heeft plaatsgevonden en dat deze door de controller is uitgevoerd. 1.9 Bedrijfscontinuïteit bij calamiteiten Na calamiteiten dient u te voorzien in bedrijfscontinuïteit. In eerste instantie zijn alle inspanningen gericht op het herstellen en beperken van de schade. Zo heeft bijvoorbeeld het ontruimen van de panden voorrang op andere zaken. Vanuit informatiebeveiliging dient gecontroleerd te worden in hoeverre voorzien is in bedrijfscontinuïteit na de calamiteit. Ook wordt (beperkt) gecontroleerd of er tijdens de calamiteit rekening gehouden wordt met beveiliging. Hiertoe stelt u vast: of in de rampenbestrijdingsplannen een paragraaf is opgenomen over bewaking van toegang tot het pand tijdens en na de ontruiming. of er voorzien is in een uitwijkvoorziening voor de belangrijkste processen. 14
dat die belangrijkste processen zijn benoemd, inclusief de minimale faciliteiten die zij nodig hebben om te functioneren. of er voorzien is in communicatie naar cliënten waar en hoe zij zich moeten melden. of informatie op een uitwijklocatie beschikbaar kan komen, hetzij door back up of door redundantie. De uitwijkvoorzieningen betreffen de gebouwen en de. Voor gebouwen moet aangegeven zijn welke functies/afdelingen eventueel kunnen wijken naar andere panden. Indien noodzakelijk heeft u een prioriteitsvolgorde van welke processen doorgang moeten vinden. Deze volgorde kunt u bepalen door gebruik te maken van de inschattingen van het belang van de processen door de proceseigenaren op tactisch niveau. Voor de moet eerder bepaald zijn of uw gemeente een tweede rekencentrum noodzakelijk acht. Dit moet concreet vormgegeven zijn. Mocht u geen tweede rekencentrum inrichten dan moet bepaald zijn hoe u verder gaat als uw -voorzieningen niet meer werken en hoe u digitaal opgeslagen informatie dan kunt bereiken. U moet tenminste back ups op andere locaties hebben. Wellicht kunt u een contract afsluiten met een uitwijkvoorziening. Indien aan één of meerdere punten niet is voldaan, zorgt u ervoor dat betreffende items zijn uitgewerkt en opgenomen in de plannen. Het is niet de bedoeling om vanuit informatiebeveiliging eigen uitwijkplannen op te stellen. De gemeentebrede plannen zijn daarvoor geschikt. Wel is het goed deze te controleren en zonodig aan te vullen. 15
Hoofdstuk 2 Het uitvoeringsplan: specifieke maatregelen In dit hoofdstuk gaan we in op de maatregelen die u kunt nemen om dreigingen die u geconstateerd hebt in het beveiligingsplan (tactisch niveau) te voorkomen of te beperken. Iedere maatregel moet u koppelen aan een bedreiging die u in uw beveiligingsplan geconstateerd hebt en weg wenst te nemen. Het door u in het beveiligingsplan gekozen niveau van beveiliging bepaalt hoe ver u gaat met de invulling van de maatregel. Hieronder vindt u eerst uitgewerkte voorbeelden van koppelingen tussen bedreigingen en maatregelen. Daarna treft u tabellen aan met maatregelen waar u uit kunt kiezen. De maatregelen die hier zijn opgenomen, zijn ook beschikbaar in een aparte excel spreadsheet die u kunt gebruiken om uw niveau (huidig/gewenst) in te vullen per maatregel. Die spreadsheet is daarmee een hulpmiddel om snel uw maatregelen te kunnen bepalen, selecteren en verder te verwerken. 2.1 Voorbeelden Hier volgen twee voorbeelden over hoe u een bedreiging, kunt koppelen aan de maatregelen. In het eerste voorbeeld gaat het om de bedreiging ondeskundig personeel. In het tweede voorbeeld gaat het om de bedreiging reparatie. Voorbeeld 1: Ondeskundig personeel Bedreiging Maatregel Toelichting Ondeskundig personeel Opleiding, toetsing, certificaat: instructeur Gebruikers van apparatuur hebben een opleiding gevolgd en afgesloten met een certificaat. Opleiding en certificering zou vormgegeven kunnen worden met instructeurs (goed opgeleide gebruikers met meerdere jaren ervaring) Gedragsnorm Het gewenste gedrag in de omgang met de apparatuur is vastgelegd. Automatisch blokkeren De apparatuur wordt automatisch geblokkeerd na een vastgestelde tijdsperiode. Strafrechtelijk handelen Functiescheiding Bevoegdheden en verantwoordelijkheden zijn gescheiden. Een juist autorisatiebeheer is ingericht. Sleutelbeheer -> centraal Het sleutelbeheer van de apparatuur en software wordt centraal uitgevoerd. Beheerders gecertificeerd De beheerders van ketenpartners zijn gecertificeerd en de certificaten kunnen, indien de gemeente dat wenst, ingezien worden. 16
Bedreiging Maatregel Toelichting Onduidelijke afspraken met leveranciers Sluitende afspraken Aansprakelijkheid Contracten met leveranciers bevatten paragrafen over geheimhouding en omvang van dienstverlening De aansprakelijkheid van de leverancier is geregeld ten aanzien van directe en indirecte schade Voorbeeld 2: Reparatie Bedreiging Maatregel Toelichting Reparatie 100% gesloten registratie Wanneer apparatuur ter reparatie wordt aangeboden dient er een sluitende administratie plaats te vinden. Hierdoor is het aangeboden apparaat tijdens reparatie te traceren, en vindt een gedegen reparatie registratie (historie) van het apparaat plaats. Een apparaat mag uitsluitend ter reparatie aan leverancier worden aangeboden wanneer hij is ontdaan van bedrijfsgevoelige informatie. Afgesloten ruimtes Een apparaat welke ter reparatie is aangeboden mag zich uitsluitend bevinden in een afgesloten ruimte. Voor (tijdelijke) opslag dient een afsluitbare kast gebruikt te worden. Programmering vindt in een afgesloten ruimte plaats, met apparatuur welke uitsluitend voor deze programmering activiteiten uit de kluis gehaald moet worden. Apparatuur uit en niet gekoppeld tijdens opslag Apparatuur is aanwezig in de volgende hoedanigheid: 1) Opslag voor uitgifte; niet geprogrammeerd in afsluitbare ruimte. 2) Opslag voor reparatie; geprogrammeerd in afgesloten kast in afsluitbare ruimte. 3) Opslag voor uitleen; geprogrammeerd in afgesloten kast in afsluitbare ruimte 17
2.2 Maatregelen (deze maatregelen vindt u ook uitgewerkt terug in een apart excel spreadsheet) Beschikbaarheid Mens Fysiek Fysiek Maatregel Onderhoudspersoneel aanwezig Onderhoudspersoneel voor centrale voorzieningen is aanwezig op de vastgestelde tijdstippen, in ieder geval tijdens openingstijden van de gemeente Buiten de aanwezigheid is een piketregeling van kracht. Met leveranciers is een service level afgesproken die zorgt voor snel herstel van apparatuur en software Ziekte/verlof: vervanging + oproepbaar personeel U houdt rekening met ziekte en verlof van uw personeel U heeft een vakantieplanning beschikbaar en zorgt voor een bezetting van tenminste de helft van uw medewerkers U heeft afspraken met uitzendbureaus over oproepbaar personeel (dat u al kent, gescreend heeft en al is opgeleid) om bij ziekte en calamiteiten in te vallen Periodieke audit U toetst minimaal één keer per jaar of uw maatregelen aan de eisen voldoen U zorgt dat iedere 2 jaar getoetst wordt of uw beveiligingsuitgangspunten nog voldoen U toetst de werking van uw beveiligingsorganisatie U toetst het gebruik van informatie door maandelijkse rapportages Bevoegde manager is oproepbaar De beslissingsbevoegde manager of diens plaatsvervanger is oproepbaar in geval van calamiteiten Indien nodig is er een escalatiemodel afgesproken waarbij iemand namens het college beslissingen kan nemen Bij deze regeling is rekening gehouden met ziekte en verlof Meenemen in functionerings- en beoordelingsgesprekken U spreekt met de OR af dat beveiliging een onderdeel wordt van functioneren en beoordelen U stelt criteria op waaraan u kunt vaststellen dat een medewerker hieraan voldoet (CP- onderzoekt de mogelijkheid gedragsregels aan te bieden) U neemt beveiliging mee in de functionerings- en beoordelingscyclus Toegang tot systemen blokkeren na misbruik U heeft een procedure die zorgt dat toegang tot gebouwen en systemen wordt geblokkeerd na geconstateerd misbruik U heeft een interne organisatie die toeziet op de naleving van de integriteitsregels van de gemeente U heeft een meldingsprocedure voor vermoeden van misbruik, fraude of ander ongewenst gedrag en neemt iedere melding serieus in onderzoek Beschikbaarheid deskundig en opgeleid personeel U heeft duidelijk gedefinieerd wat de opleidingseisen zijn voor uw personeel U zorgt voor opleidingen en herhaling daarvan U wijst ervaren gebruikers aan als instructeur op de werkvloer U zorgt voor regelmatige herhaling van trainingen U bewaakt de onderlinge sfeer Noodstroom U heeft gedefinieerd voor welke faciliteiten u noodstroom wenst U zorgt naast de noodstroom voor het rekencentrum ook voor noodstroom van een minimaal aantal werkplekken of u zorgt voor een uitwijkpand U heeft afspraken dat als u meerdere panden heeft welke processen daarin voorrang krijgen als er keuzes gemaakt moeten worden Archief is brandveilig 18
Fysiek Uw papierenarchief bevindt zich in een volgens de normen gecertificeerde ruimte Het archief is beschermd tegen brand en bij de blusinstallatie houdt u rekening met schade die door water kan ontstaan De brandweer en andere hulpdiensten worden indien nodig gewezen op de aanwezigheid van het archief en hoe dat te herkennen Het rekencentrum is voorzien van speciale blusinstallaties, inclusief waarschuwing naar de medewerkers Reconstructie archief is aanwezig U kunt het archief reconstrueren door middel van elektronische stukken en de procesgang U kunt bij verlies van dossiers aan cliënten vragen om de onderliggende papieren opnieuw aan te leveren, u weet in ieder geval welke cliënten u moet benaderen daarvoor Incrementele backup gedurende de dag U zorgt voor backup gedurende de dag op een andere locatie Deze betreft de mutaties van een dag Volledige backup s avonds + programmatuur Iedere avond draait u een volledige backup, inclusief de software Uitwijk U heeft een uitwijkvoorziening of een redundant rekencentrum U kunt binnen 4 uur de uitwijk ingeregeld hebben als de productieomgeving Testen uitwijk U test uw uitwijk voorzieningen door eens in de zoveel tijd in de weekenden over te schakelen U laat regelmatig de uitwijk procedures onderzoeken In geval van redundante omgevingen laat u regelmatig testen of de tweede omgeving een volledige kopie bevat Oefenen uitwijk U oefent periodiek de uitwijk U oefent periodiek een ontruiming, inclusief omschakeling naar een uitwijk omgeving Bewaking/monitoring Uw personeel controleert actief de juiste werking van de omgeving U heeft een procedure die zorgt dat de helpdesk meldingen die structureel voor komen of die ernstig van aard zijn direct doorzetten naar de beheerders U heeft hardware en software matige tooling draaien die alarmeren indien vooraf gedefinieerde grenzen worden overschreden Contracten met hard- en software leveranciers U heeft contracten met hard- en software leveranciers waarin hersteltijden zijn afgesproken Juridisch aansprakelijkheid leveranciers regelen De aansprakelijkheid van de leveranciers is geregeld indien zij niet voldoen aan de afspraken U houdt zo nodig rekening met het op andere wijze moeten regelen van beschikbaarheid indien een leverancier niet voldoet U heeft een escrow regeling ten aanzien van belangrijke software SLA met leverancier over beschikbaarheid en snelheid U heeft afspraken over wanneer de leverancier bereikbaar is Hoe snel de leverancier aanwezig is Reserveonderdelen aanwezig U heeft van bedrijfskritische apparatuur reserveonderdelen op voorraad of u heeft een redundante omgeving In een redundante omgeving heeft u single points of failure uitgesloten Exclusiviteit 19