Rijksbrede beleidskaders voor ondersteuning apparaatonafhankelijk werken (BYOD), v0.96



Vergelijkbare documenten
Projectaanvraag Versterking sociale infrastructuur t.b.v. burgerkracht in Fryslân

Missie, visie en strategie Informatievoorziening veiligheidsregio s Definitief RBC 5/11/14

WHITE PAPER HET INRICHTEN VAN KWALITEITSMANAGEMENT

Op basis waarvan verwerken we jouw persoonsgegevens?

Stappenplan BTW-verhoging van 19 naar 21% per 1 oktober 2012

De burgemeester, het college en de raad van de gemeente Muiden;

Beleidsregels Hulp bij humanitaire rampen.

Release Notes Three Ships MobileApp. Three Ships versie 11.5

Bij leefbaarheid gaat het er om hoe mensen hun omgeving ervaren en beoordelen.

Regeling: strategisch plan duurzame ontwikkeling werknemer

Reactie op uitkomsten audit Beheervoorziening BSN

Intervisiemethodes. In andermans schoenen methode. Incidentenmethode. Kernmodel intervisiemethode. Roddelmethode. Leren van elkaars succes methode

Stel uw inkomen zeker, sluit een arbeidsongeschiktheidsverzekering af

Definitieve versie d.d. 24 mei Privacy statement

Requirements marktscan Generieke inrichting Digikoppeling adapter

Zijn in de aanvraag bijlagen genoemd en zijn die bijgevoegd? Zo ja, welke? Nummer desgewenst de bijlagen.

Start duurzame inzetbaarheid

Servicedocument vrijstelling generieke examinering Nederlandse taal, rekenen en Engels

Pedagogische Civil Society

Klanttevredenheidsonderzoek 2012

Privacy Statement andere betrokkenen (niet zijnde studenten of medewerkers)

Privacy Statement Studenten

D i e n s t v e r l e n i n g s d o c u m e n t

Algemene Verordening Gegevensbescherming (AVG) Toelichting, tips en stappenplan

Asbestbeleidsplan. Beleid en beheer asbest

Gefaseerde implementatie projectbeheersing methodiek Hogeschool van Utrecht

Office 365 migratie cursussen. In-company computercursussen bij bedrijven en organisaties

Handleiding. Het opstellen van een diaconaal beleidsplan

UPGRADEN NAAR EEN NIEUWE VERSIE VAN DYNAMICS CRM

BYOD - Uitgangspunten versie 1.0

Deelprojectplan. Projectadministraties

Privacy Statement Medewerkers

Maak van 2015 jouw persoonlijk professionaliseringsjaar

Aanvraagformulier vergoeding individueel gedupeerden

Verkorte Handleiding Versie Medewerker Januari 2013

VOEL OOK DE MAGIE VAN KINDEROPVANG EN NATUUR!

Brochure Samenwerking Opleidingen

Inhoudsopgave Privacy statement... 3 Algemeen... 3 Grondslagen... 3 Waarom verzamelen wij uw persoonsgegevens?... 3 Welke persoonsgegevens gebruiken

Richtlijnen i.v.m. het beveiligen van gegevens en documenten op basis van classificatie.

De gastouder schept een vertrouwde en familiare opvang omgeving voor het gastkind

Huiswerk. Waarom geven wij op school huiswerk? Wij vinden huiswerk zinvol, omdat we denken daar het volgende mee te kunnen bereiken :

Masterclass SharePoint Online. in het onderwijs. APS IT-diensten, Utrecht

Frans Halslaan 4, 1921EP Akersloot

Privacy Policy. Grondslag voor deze persoonsgegevens is: o de overeengekomen opdracht. Bijgewerkt op:

Tips Digiduif. 1. U logt in op digiduif met uw adres en wachtwoord.

- PRIVACYREGLEMENT -

Confidentieel. 16 januari / Sectorbrief Themaonderzoek Uitbesteding Vermogensbeheer. Geacht bestuur,

Actieplan leeftijdsbewust personeelsbeleid

IT Management Group. Samenvatting PRINCE2 2009

SIG Groene ICT & Duurzaamheid jaarverslag 2014 / jaarplan 2015

V-ICT-OR begeleidt besturen in hun informatiehuishouding voor optimaal verloop van samenvoeging gemeente en OCMW

Notitie Evaluatie Dienstverlening en Financiën Antwoord

Voor- en Vroegschoolse Educatie (VVE) Winterswijk

Voorbehouden en risicovolle handelingen binnen het primair onderwijs. Protocol Medisch Handelen

Passend Onderwijs. Tot wanneer is het nog passend?

EXPERTISESTEEKKAART. 1) Naam van de school/dienst/voorziening: Dominiek Savio Instituut. Adresgegevens: Koolkampstraat Gits

Het Nieuwe Werken: hieperdepiep hoera? De rol van de OR bij de invoering van Het Nieuwe Werken

Toelichting Checklist Optimale informatie beleggingsverzekering

COOKIEVERKLARING. FIXAM B.V. is gevestigd in Nederland en volgt bijgevolg de Nederlandse wetgeving inzake cookies.

PRIVACY STATEMENT DE HUISMEESTERS

Model-veiligheidsplan

Projectomschrijvingen van het Uitvoeringsprogramma Visie Openbaar Vervoer 2020

Protocol medicijnverstrekking en medisch handelen

Informatiebrief over deelname aan het onderzoek Food2Learn

PARTIJEN. Achtergrond

Verandertrajecten voor individuele medewerkers

Privacyverklaring. Wanneer u contact met ons opneemt (via bijvoorbeeld telefoon, of social media) verzamelen wij ook gegevens over u.

PRIVACY VERKLARING VAN BEAUTYSALON ANKE

1.1 Verantwoording Indeling Treasurystatuut 2

Missie. Wij stellen informatie beschikbaar aan burgers en bedrijven en voor al onze processen.

Management review. CO2-reductiesysteem. Rapportage juli 2015 (referentiejaar = 2010) I. Bangma O. Van der Ende

Ict-puzzel voor het onderwijs

Wat is een besturingssysteem of operating system?

Aanvullingen op handboek Veiligheidsladder (VL) ten behoeve van pilot

Uitstroomprofiel opleiding Klinisch Informatica September 2014

Privacy en Cookie Policy van OxHill7

Wie verkoopt uw huis?

Voor partners, werknemers, uitzendkrachten, inleenkrachten, student-stagiaires, en sollicitanten van imailo is een ander beleid van toepassing.

IMPLEMENTATIE WET VERPLICHTE MELDCODE HUISELIJK GEWELD EN KINDERMISHANDELING GEMEENTEN NOORDOOST-BRABANT

Schadeverzekeringen Zakelijk Zorgverzekeringen. o o

SHAREPOINT TRAININGEN

Toelichting bij het gebruik van het Model Legionella Risicoanalyse en Beheersplan Luchtbevochtingsinstallatie

Vrijwilligersbeleid voetbalvereniging N.B.S.V.V.

Versie 1.0 augustus 2018 PRIVACY STATEMENT

De raadsfracties zijn zodanig geïnformeerd dat zij goed toegerust hun standpunt kunnen bepalen bij debat en/of besluitvorming.

1. Persoonsgegevens. 2. Verwerkersovereenkomsten

IWI. De Gemeenteraad Postbus 11563

BlackBerry Standard Support

Bestaat er een economische en/of organisatorische eenheid met andere bedrijven? Zo ja, graag nadere informatie waaronder een organogram.

Hoe kan uw overheidsorganisatie professionalisering en verduurzaming van het inkoopproces bewerkstelligen

Verantwoordelijkheden Afkortingen en definities Regelgeving en wetten Relevante websites... 13

AGENDAPUNT voor burgemeester en wethouders

Voorbeeldvragen Methodiek NEN 2767

Handleiding Site to Edit Modules Vergadering & Forum

Energie management actieplan 2015 (2)

LOGBOEK van: klas: 1

Wat is een bevalplan Waarom dit bevalplan Locatie

Transmuraal Programma Management

Ontwikkelingsplan van het transmissienet voor elektriciteit ELIA

1. Inhoud Inleiding Gebruiksmogelijkheden InVerbinding als softphone... 5

Transcriptie:

de ICCIO DGOBR DIR Cntactpersn Helga van Lbenstein T 06-15896774 Rijksbrede beleidskaders vr ndersteuning apparaatnafhankelijk werken (BYOD), v0.96 Afschrift aan Inleiding Smartphnes en tablets winnen binnen de Rijksverheid in hg temp terrein. Medewerkers maken in tenemende mate gebruik van eigen (mbiele) apparaten. Het gaat daarbij vrnamelijk m algemene kantrtepassingen, zals e-mail, agenda, tegang tt dcumenten en Rijksprtaal. Deze ntitie geeft invulling aan maatregel 08 van de I-strategie Rijk Ondersteuning apparaatnafhankelijk werken (BYOD). Daarnaast is er een relatie met de TPAW ntitie van juli 2012 1 mdat de kaders bijdragen aan de gezamenlijk gefrmuleerde delen. De kaders geven richting aan de (al lpende) ntwikkelingen binnen de departementen. In Q1-2013 wrden de kaders geëvalueerd met de piltdepartementen. Daarnaast wrdt gewerkt aan acties die departementen verder meten helpen met de invering van BYOD. Prbleemstelling Rijksbreed wrdt aan de vlgende delen gewerkt: Functinaliteiten en gegevens wrden eenvudig en gebruikersvriendelijk bereikbaar gemaakt vlgens het principe van any time, any place any device. Tijd-, Plaats-, en Apparaatnafhankelijk werken (TPAW). Departementen willen weten binnen welke kaders TPAW kan en mag wrden ingeverd. Rijksinfrastructuren wrden gecnslideerd en de aanwezige gegevens wrden gecncentreerd in een bepaald aantal datacenters. Rijksinfrmatievrziening wrdt verder geschikt gemaakt vr verwerking en pslag van persneelsgegevens (WBP2) en Dep.Vertruwelijk gerubriceerde gegevens cnfrm de nrm van de BIR. 1 Zie hiervr de ntitie Rijksbrede ambities rndm Tijd- Plaats- en Apparaatnafhankelijk Werken (TPAW) (juli 2012) geschreven vanuit een samenwerkingsverband tussen de IC s Pagina 1 van 6

Deze vier delen zijn niet zmaar verenigbaar. Er is spanning aanwezig tussen gebruikersvriendelijke, ruime tegang en het beveiligingsniveau. Daarbij heeft de gecncentreerde infrastructuur extra beveiliging ndig mdat zij een extra aantrekkelijk delwit vrmt. De situatie wrdt gecmpliceerd dr de decentrale piltprjecten die bij vele departementen lpen. Hier wrdt geëxperimenteerd met een breed scala aan architecturen, platfrmen en beveiligingsplssingen. Ok wrdt geëxperimenteerd met beveiligingsbeleid, risicanalyse en visies p risicacceptatie. Deze decentrale situatie stelt de verheid vr meerdere decentrale vldngen feiten. Dit maakt verkepelende beveiligingsafspraken en infrastructuurkeuzes lastig maar extra ndzakelijk. Del De ntwikkeling van TPAW heeft geleid tt een grte behefte vanuit de departementen aan rijksbrede kaders. Deze ntitie geeft p het gebied van ICT invulling aan deze behefte. Daarnaast geeft deze ntitie de kaders mee he TPAW binnen de Rijksverheid kan wrden tegepast zdat zij aantnbaar en cntrleerbaar in cntrl is van de eigen gegevens. Vrgestelde beleidskaders Maak nderscheid tussen apparatuur buiten beheer, met enig beheer en met extra beheer van de verheid. Buiten beheer (unmanaged) is alle apparatuur waarp de gebruiker mgelijkheden en/f rechten heeft m beveiligingsrelevante delen van de cnfiguratie aan te passen. Dit zijn dus alle smartphnes, tablets, laptps en thuiswerkplekken die niet nder beheer van de verheid staan (bijvrbeeld: alle tablets waarp de gebruiker willekeurige apps kan installeren maar k alle thuiswerkplekken waarp de gebruiker de administratr rechten heeft). Op deze apparatuur is de verheid niet in cntrl en zij meten dus als niet vertruwd wrden beschuwd. Bij eventuele incidenten zal de vraag gesteld wrden: He kn de verheid tegang testaan p dit srt apparatuur? Hier is een afdende antwrd p ndig. Met enig beheer (managed) is alle apparatuur waarvan de gebruiker de beveiligingsrelevante delen tenminste die vr zakelijk gebruik - *niet* mag aanpassen en niet kan aanpassen znder beveiliging bewust te breken f te mzeilen. Hierp is de verheid *wel* in cntrl en de apparaten kunnen als vertruwd wrden beschuwd. Incidenten kunnen ng steeds vrkmen maar bij eventuele incidenten kan de verheid aantnen dat: zij zich heeft gehuden aan de gangbare best practices vr beveiliging van dergelijke infrastructuren, zij een verdedigbare afweging heeft gemaakt tussen de ksten van beveiliging en de ksten van incidenten (cmmercial reasnability, due dilligence, ged huisvaderschap). Met extra beheer (managed) is alle apparatuur waarvan zelfs een kwaadwillende aanvaller de beveiliging niet kan mzeilen en de beveiligingsrelevante delen *niet* kan aanpassen. Hierp is de verheid *wel* in cntrl en zij kunnen als aanvalsbestendig wrden beschuwd. De kans p incidenten is aantnbaar geminimaliseerd (binnen kaders van ecnmic reasnability ). Pagina 2 van 6

Welke apparatuur mag als managed wrden beschuwd Apparatuur mag als managed wrden beschuwd als de verheid in cntrl is van de tegangsmgelijkheden en de beveiliging van de verheidsgegevens. Selectie en aanschaf Apparaat gecnfigureerd en beheerd dr de verheid. Bij vrkeur k geselecteerd en aangeschaft dr de verheid (CYOD). vr centraal beheer Mbile Device Management functies waarmee beveiligingsinstellingen p afstand kunnen wrden ingesteld en waar de gebruiker niets aan kan veranderen. vr beveiliging Betruwbaar geïsleerde cntainer vr verheidsdata en apps. Versleuteling van pgeslagen data. Versleuteling van verznden data. Betruwbaar en tijdig wissen van data k bij verlies en diefstal. 2 factr authenticatie vr tegang tt verheidsdssiers. Dit geldt k vr unmanaged apparaten. vr beperking apps White-listing van apps die binnen de cntainer geïnstalleerd mgen wrden en waar de gebruiker niets aan kan veranderen. vr bewaking van gezndheid apparaat Detectie van apparatuur waarvan beveiliging is drbrken f beschadigd (jaibreak, ntbrekende updates, niet up-t-date virusscanner etc.). Pagina 3 van 6

Welke apparatuur mag als extra managed wrden beschuwd Vr tegang tt gerubriceerde data zijn de vlgende aanvullende maatregelen ndig, in aanvulling p de bvengenemde maatregelen: Selectie en vr aanschaf centraal beheer vr vr beperking vr detectie beveiliging apps misbruik Apparaat waarvan de functinaliteit beperkt is tt het hgstndige en waarbij de Mbile Device Management plssing waarvan is vastgesteld dat de architectuur, ntwerp en Een tetsbare rt f trust als basis vr de beveiliging. Bij vrkeur Een white-list van alleen de hgst ndzakelijke apps. De Mbile Device Management plssing met waarbrgen dat verheid in implementatie gebaseerd cnfiguratie zekere mate vldende p een integer is. in cntrl is betruwbaar en verzich- van de veilig is. telijke en hardware, tetsbare perating hardware system en cmpnent. applicaties. Cnsequenties vr Ondersteuning apparaatnafhankelijk werken (BYOD) Dr de medewerker zelf meegebrachte apparaten (BYOD devices ut f the bx ), waarp de gebruiker mgelijkheden en/f rechten heeft m beveiligingsrelevante delen van de cnfiguratie aan te passen, meten als buiten beheer wrden beschuwd. Ok BYOD devices met de standaard aanwezige vrzieningen vr telewerken (zals bijvrbeeld Exchange Active Sync die biedt) meten als buiten beheer wrden beschuwd. Het is vr de verheid niet verdedigbaar m via een dergelijk apparaat ruimhartige tegang te geven tt dcumenten, gegevens en applicaties met mgelijk vertruwelijke gegevens. Hiervr is minimaal een apparaat met enig beheer ndig. Om een BYOD device nder enig beheer te laten vallen met er een Mbile Device Management plssing p wrden geïnstalleerd die alle faciliteiten biedt die in de tabel hierbven zijn genemd. Het apparaat en de Mbile Device Management plssing dienen p basis van risicmanagement en algemeen aanvaarde best practices te wrden ingericht en beheerd. Ok met de gebruiker de vereiste awareness pleiding krijgen. Wij achten de bvenstaande beleidskaders verdedigbaar maar wij beseffen k dat de risic s en daarm te nemen beveiligingsmaatregelen de implementatie van any time, place en device (TPAW) niet eenvudig maken terwijl hier binnen de Rijksverheid wel grte behefte aan is. Pagina 4 van 6

Welke acties zijn ndig Actief kennis delen Binnen het Rijk is bij piltprjecten (bij vele departementen) en bij kenniscentra (zals NCSC, AIVD/NBV) ervaring pgedaan met het mgaan met apparatuur buiten beheer en met enig beheer. Er is ervaring met verschillende platfrms van apparatuur en met verschillende MDM plssingen. Ok is ervaring pgedaan met risicmanagement, beleidsvrming, gebruiksbeheer en licenties. Bij een beperkt aantal Rijksnderdelen wrdt gewerkt aan ntwikkeling van apparatuur met extra beheer (Defensie, AIVD/NBV). Het is ndzakelijk m deze kennis actief te delen m zdende vr het rijk een werkbaar geheel te maken, in lijn met de I-Strategie rijk. Nieuwe ntwikkelingen zals de mgelijkheden van HTML5 wrden k meegenmen. BYOD Beleidskaders tetsen via al lpende departementale pilts. Overleg inrichten met departementen (vralsng OCW, EL&I, Financiën, VenJ, AZ en BZK) met representatieve pilts samen met de partijen die ver relevante technische expertise en beveiligingskennis beschikken en die ver deze materie kunnen adviseren znder directe belangen te hebben bij de piltprjecten (TBGI, NCSC, AIVD/NBV). (Q4 2012 Q1 2013) Risic accepteren - De huidige situatie waarin al piltprjecten lpen en serieus ver grtschalige uitrl wrdt nagedacht stellen ns vr situaties die niet snel en eenvudig in lijn zijn te brengen met bvenstaand beleid. Vr smmige rganisaties die nu p een lagere beveiliging hebben ingezet zullen deze beleidskaders vr de krte termijn lastig uitlegbaar zijn. Het is echter ndzakelijk dat de verheid aantnbaar in cntrl is van de risic s. Daarm met een rganisatie die zich niet cnfrmeert aan deze kaders de vlgende activiteiten uitveren: het leg uit f pas te principe Een analyse maken van de risic s die het niet pvlgen van de beleidskaders plevert. De gecnstateerde risic s frmeel accepteren. Deze analyse delen met de andere rganisaties binnen de Rijksverheid zdat p termijn een gezamenlijk risic-acceptatie-niveau kan wrden bepaald en een bijbehrende best practice vr beveiliging. Gewenste rijksbrede functinaliteiten bepalen - Samen met departementen wrdt gekeken welke departementale initiatieven als Rijksbrede functinaliteit verder kunnen wrden ntwikkeld. Hierbij met gedacht wrden aan een MDM-plssing, DMS- en vergader-app, maar k andere initiatieven wrden bekeken. In Q4 vindt een de inventarisatie plaats via rnde langs alle departementale CIO s. Ontwerp/eisen vr een generieke inrichting vr het raadplegen van e-mail, dcumenten en Rijksprtaal vanaf wel/niet beheerde apparatuur. (Q1 2013) Data lekkage vrkmen - Het is belangrijk m verder nderzek te laten den naar labelling van data en beveiliging van data met behulp van digital rights management technlgie. Hiermee kan wrden afgedwngen dat bepaalde bestanden en dcumenten *nit* p de telewerk mgeving kunnen terechtkmen. Dit is k nderdeel van de I-Strategie rijk. (Q2 2013, i.a.m. SIB) Handreiking financiële en juridische cnsequenties - Een handreiking wrdt pgesteld vanuit ICOP (streefdatum Q4 2012). Met daarin: Pagina 5 van 6

fiscale en juridische cnsequenties die BYOD met zich meebrengt; de aansprakelijkheid bij verlies, diefstal en beschadiging; de vertaling van de arbeidsmstandigheden die in de ARBO-wet genemd wrden naar beleid vr apparaten; Algemene gebruiksvrwaarden vr TPAW. Wat zijn generieke vrwaarden en welke vrwaarden kunnen departementen specifiek pstellen. (Q4 2012). Beslispunten De ICCIO wrdt gevraagd akkrd te gaan met: De BYOD Beleidskaders; De in deze ntitie genemde acties en; Deze acties te beleggen nder de SGI (M08). * * * Pagina 6 van 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback