de ICCIO DGOBR DIR Cntactpersn Helga van Lbenstein T 06-15896774 Rijksbrede beleidskaders vr ndersteuning apparaatnafhankelijk werken (BYOD), v0.96 Afschrift aan Inleiding Smartphnes en tablets winnen binnen de Rijksverheid in hg temp terrein. Medewerkers maken in tenemende mate gebruik van eigen (mbiele) apparaten. Het gaat daarbij vrnamelijk m algemene kantrtepassingen, zals e-mail, agenda, tegang tt dcumenten en Rijksprtaal. Deze ntitie geeft invulling aan maatregel 08 van de I-strategie Rijk Ondersteuning apparaatnafhankelijk werken (BYOD). Daarnaast is er een relatie met de TPAW ntitie van juli 2012 1 mdat de kaders bijdragen aan de gezamenlijk gefrmuleerde delen. De kaders geven richting aan de (al lpende) ntwikkelingen binnen de departementen. In Q1-2013 wrden de kaders geëvalueerd met de piltdepartementen. Daarnaast wrdt gewerkt aan acties die departementen verder meten helpen met de invering van BYOD. Prbleemstelling Rijksbreed wrdt aan de vlgende delen gewerkt: Functinaliteiten en gegevens wrden eenvudig en gebruikersvriendelijk bereikbaar gemaakt vlgens het principe van any time, any place any device. Tijd-, Plaats-, en Apparaatnafhankelijk werken (TPAW). Departementen willen weten binnen welke kaders TPAW kan en mag wrden ingeverd. Rijksinfrastructuren wrden gecnslideerd en de aanwezige gegevens wrden gecncentreerd in een bepaald aantal datacenters. Rijksinfrmatievrziening wrdt verder geschikt gemaakt vr verwerking en pslag van persneelsgegevens (WBP2) en Dep.Vertruwelijk gerubriceerde gegevens cnfrm de nrm van de BIR. 1 Zie hiervr de ntitie Rijksbrede ambities rndm Tijd- Plaats- en Apparaatnafhankelijk Werken (TPAW) (juli 2012) geschreven vanuit een samenwerkingsverband tussen de IC s Pagina 1 van 6
Deze vier delen zijn niet zmaar verenigbaar. Er is spanning aanwezig tussen gebruikersvriendelijke, ruime tegang en het beveiligingsniveau. Daarbij heeft de gecncentreerde infrastructuur extra beveiliging ndig mdat zij een extra aantrekkelijk delwit vrmt. De situatie wrdt gecmpliceerd dr de decentrale piltprjecten die bij vele departementen lpen. Hier wrdt geëxperimenteerd met een breed scala aan architecturen, platfrmen en beveiligingsplssingen. Ok wrdt geëxperimenteerd met beveiligingsbeleid, risicanalyse en visies p risicacceptatie. Deze decentrale situatie stelt de verheid vr meerdere decentrale vldngen feiten. Dit maakt verkepelende beveiligingsafspraken en infrastructuurkeuzes lastig maar extra ndzakelijk. Del De ntwikkeling van TPAW heeft geleid tt een grte behefte vanuit de departementen aan rijksbrede kaders. Deze ntitie geeft p het gebied van ICT invulling aan deze behefte. Daarnaast geeft deze ntitie de kaders mee he TPAW binnen de Rijksverheid kan wrden tegepast zdat zij aantnbaar en cntrleerbaar in cntrl is van de eigen gegevens. Vrgestelde beleidskaders Maak nderscheid tussen apparatuur buiten beheer, met enig beheer en met extra beheer van de verheid. Buiten beheer (unmanaged) is alle apparatuur waarp de gebruiker mgelijkheden en/f rechten heeft m beveiligingsrelevante delen van de cnfiguratie aan te passen. Dit zijn dus alle smartphnes, tablets, laptps en thuiswerkplekken die niet nder beheer van de verheid staan (bijvrbeeld: alle tablets waarp de gebruiker willekeurige apps kan installeren maar k alle thuiswerkplekken waarp de gebruiker de administratr rechten heeft). Op deze apparatuur is de verheid niet in cntrl en zij meten dus als niet vertruwd wrden beschuwd. Bij eventuele incidenten zal de vraag gesteld wrden: He kn de verheid tegang testaan p dit srt apparatuur? Hier is een afdende antwrd p ndig. Met enig beheer (managed) is alle apparatuur waarvan de gebruiker de beveiligingsrelevante delen tenminste die vr zakelijk gebruik - *niet* mag aanpassen en niet kan aanpassen znder beveiliging bewust te breken f te mzeilen. Hierp is de verheid *wel* in cntrl en de apparaten kunnen als vertruwd wrden beschuwd. Incidenten kunnen ng steeds vrkmen maar bij eventuele incidenten kan de verheid aantnen dat: zij zich heeft gehuden aan de gangbare best practices vr beveiliging van dergelijke infrastructuren, zij een verdedigbare afweging heeft gemaakt tussen de ksten van beveiliging en de ksten van incidenten (cmmercial reasnability, due dilligence, ged huisvaderschap). Met extra beheer (managed) is alle apparatuur waarvan zelfs een kwaadwillende aanvaller de beveiliging niet kan mzeilen en de beveiligingsrelevante delen *niet* kan aanpassen. Hierp is de verheid *wel* in cntrl en zij kunnen als aanvalsbestendig wrden beschuwd. De kans p incidenten is aantnbaar geminimaliseerd (binnen kaders van ecnmic reasnability ). Pagina 2 van 6
Welke apparatuur mag als managed wrden beschuwd Apparatuur mag als managed wrden beschuwd als de verheid in cntrl is van de tegangsmgelijkheden en de beveiliging van de verheidsgegevens. Selectie en aanschaf Apparaat gecnfigureerd en beheerd dr de verheid. Bij vrkeur k geselecteerd en aangeschaft dr de verheid (CYOD). vr centraal beheer Mbile Device Management functies waarmee beveiligingsinstellingen p afstand kunnen wrden ingesteld en waar de gebruiker niets aan kan veranderen. vr beveiliging Betruwbaar geïsleerde cntainer vr verheidsdata en apps. Versleuteling van pgeslagen data. Versleuteling van verznden data. Betruwbaar en tijdig wissen van data k bij verlies en diefstal. 2 factr authenticatie vr tegang tt verheidsdssiers. Dit geldt k vr unmanaged apparaten. vr beperking apps White-listing van apps die binnen de cntainer geïnstalleerd mgen wrden en waar de gebruiker niets aan kan veranderen. vr bewaking van gezndheid apparaat Detectie van apparatuur waarvan beveiliging is drbrken f beschadigd (jaibreak, ntbrekende updates, niet up-t-date virusscanner etc.). Pagina 3 van 6
Welke apparatuur mag als extra managed wrden beschuwd Vr tegang tt gerubriceerde data zijn de vlgende aanvullende maatregelen ndig, in aanvulling p de bvengenemde maatregelen: Selectie en vr aanschaf centraal beheer vr vr beperking vr detectie beveiliging apps misbruik Apparaat waarvan de functinaliteit beperkt is tt het hgstndige en waarbij de Mbile Device Management plssing waarvan is vastgesteld dat de architectuur, ntwerp en Een tetsbare rt f trust als basis vr de beveiliging. Bij vrkeur Een white-list van alleen de hgst ndzakelijke apps. De Mbile Device Management plssing met waarbrgen dat verheid in implementatie gebaseerd cnfiguratie zekere mate vldende p een integer is. in cntrl is betruwbaar en verzich- van de veilig is. telijke en hardware, tetsbare perating hardware system en cmpnent. applicaties. Cnsequenties vr Ondersteuning apparaatnafhankelijk werken (BYOD) Dr de medewerker zelf meegebrachte apparaten (BYOD devices ut f the bx ), waarp de gebruiker mgelijkheden en/f rechten heeft m beveiligingsrelevante delen van de cnfiguratie aan te passen, meten als buiten beheer wrden beschuwd. Ok BYOD devices met de standaard aanwezige vrzieningen vr telewerken (zals bijvrbeeld Exchange Active Sync die biedt) meten als buiten beheer wrden beschuwd. Het is vr de verheid niet verdedigbaar m via een dergelijk apparaat ruimhartige tegang te geven tt dcumenten, gegevens en applicaties met mgelijk vertruwelijke gegevens. Hiervr is minimaal een apparaat met enig beheer ndig. Om een BYOD device nder enig beheer te laten vallen met er een Mbile Device Management plssing p wrden geïnstalleerd die alle faciliteiten biedt die in de tabel hierbven zijn genemd. Het apparaat en de Mbile Device Management plssing dienen p basis van risicmanagement en algemeen aanvaarde best practices te wrden ingericht en beheerd. Ok met de gebruiker de vereiste awareness pleiding krijgen. Wij achten de bvenstaande beleidskaders verdedigbaar maar wij beseffen k dat de risic s en daarm te nemen beveiligingsmaatregelen de implementatie van any time, place en device (TPAW) niet eenvudig maken terwijl hier binnen de Rijksverheid wel grte behefte aan is. Pagina 4 van 6
Welke acties zijn ndig Actief kennis delen Binnen het Rijk is bij piltprjecten (bij vele departementen) en bij kenniscentra (zals NCSC, AIVD/NBV) ervaring pgedaan met het mgaan met apparatuur buiten beheer en met enig beheer. Er is ervaring met verschillende platfrms van apparatuur en met verschillende MDM plssingen. Ok is ervaring pgedaan met risicmanagement, beleidsvrming, gebruiksbeheer en licenties. Bij een beperkt aantal Rijksnderdelen wrdt gewerkt aan ntwikkeling van apparatuur met extra beheer (Defensie, AIVD/NBV). Het is ndzakelijk m deze kennis actief te delen m zdende vr het rijk een werkbaar geheel te maken, in lijn met de I-Strategie rijk. Nieuwe ntwikkelingen zals de mgelijkheden van HTML5 wrden k meegenmen. BYOD Beleidskaders tetsen via al lpende departementale pilts. Overleg inrichten met departementen (vralsng OCW, EL&I, Financiën, VenJ, AZ en BZK) met representatieve pilts samen met de partijen die ver relevante technische expertise en beveiligingskennis beschikken en die ver deze materie kunnen adviseren znder directe belangen te hebben bij de piltprjecten (TBGI, NCSC, AIVD/NBV). (Q4 2012 Q1 2013) Risic accepteren - De huidige situatie waarin al piltprjecten lpen en serieus ver grtschalige uitrl wrdt nagedacht stellen ns vr situaties die niet snel en eenvudig in lijn zijn te brengen met bvenstaand beleid. Vr smmige rganisaties die nu p een lagere beveiliging hebben ingezet zullen deze beleidskaders vr de krte termijn lastig uitlegbaar zijn. Het is echter ndzakelijk dat de verheid aantnbaar in cntrl is van de risic s. Daarm met een rganisatie die zich niet cnfrmeert aan deze kaders de vlgende activiteiten uitveren: het leg uit f pas te principe Een analyse maken van de risic s die het niet pvlgen van de beleidskaders plevert. De gecnstateerde risic s frmeel accepteren. Deze analyse delen met de andere rganisaties binnen de Rijksverheid zdat p termijn een gezamenlijk risic-acceptatie-niveau kan wrden bepaald en een bijbehrende best practice vr beveiliging. Gewenste rijksbrede functinaliteiten bepalen - Samen met departementen wrdt gekeken welke departementale initiatieven als Rijksbrede functinaliteit verder kunnen wrden ntwikkeld. Hierbij met gedacht wrden aan een MDM-plssing, DMS- en vergader-app, maar k andere initiatieven wrden bekeken. In Q4 vindt een de inventarisatie plaats via rnde langs alle departementale CIO s. Ontwerp/eisen vr een generieke inrichting vr het raadplegen van e-mail, dcumenten en Rijksprtaal vanaf wel/niet beheerde apparatuur. (Q1 2013) Data lekkage vrkmen - Het is belangrijk m verder nderzek te laten den naar labelling van data en beveiliging van data met behulp van digital rights management technlgie. Hiermee kan wrden afgedwngen dat bepaalde bestanden en dcumenten *nit* p de telewerk mgeving kunnen terechtkmen. Dit is k nderdeel van de I-Strategie rijk. (Q2 2013, i.a.m. SIB) Handreiking financiële en juridische cnsequenties - Een handreiking wrdt pgesteld vanuit ICOP (streefdatum Q4 2012). Met daarin: Pagina 5 van 6
fiscale en juridische cnsequenties die BYOD met zich meebrengt; de aansprakelijkheid bij verlies, diefstal en beschadiging; de vertaling van de arbeidsmstandigheden die in de ARBO-wet genemd wrden naar beleid vr apparaten; Algemene gebruiksvrwaarden vr TPAW. Wat zijn generieke vrwaarden en welke vrwaarden kunnen departementen specifiek pstellen. (Q4 2012). Beslispunten De ICCIO wrdt gevraagd akkrd te gaan met: De BYOD Beleidskaders; De in deze ntitie genemde acties en; Deze acties te beleggen nder de SGI (M08). * * * Pagina 6 van 6