Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van



Vergelijkbare documenten
Dit is een presenteerbaar werkdocument voor de expertgroep Actualiseren NORA-3 Het bevat views van de huidige situatie (Ist) en ideeën waar in

2. Analyse van Ist situatie; landschap van BIR, NORA 3, etc. 3. Visie op kaders en hoe zorgen we dat het werkt?

IB-Governance bij de Rijksdienst. Complex en goed geregeld

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

NORA Sessie mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

BIR2017 FAQ s Baseline Informatiebeveiliging Rijksdienst

Informatiebeveiligingsbeleid

Presentatie NORA/MARIJ

Samen werken aan informatieveiligheid & Privacy. 9 november 2017 PvIB

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

BIO-Aanpak. Kees Hintzbergen, Senior adviseur IB IBD. Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Security, standaarden en architectuur

Doorontwikkeling NORA

Security (in) architectuur

Model Classificatie en Risicoanalyse Gegevensverwerkingen

NORA dossier Informatiebeveiliging. Architectuur Aanpak

BABVI/U Lbr. 13/057

Informatiebeveiliging

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Bonte Bij Aanbestedingen ehrm

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Security Health Check

Informatiebeveiliging als proces

BEVEILIGINGSARCHITECTUUR

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN

QuickScan BIR Versie

Grip op Secure Software Development

Handleiding uitvoering ICT-beveiligingsassessment

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

FAQ s Baseline Informatiebeveiliging Overheid

Informatiebeveiligingsbeleid

Milieumanagement & Duurzaam Ondernemen

Beleid Informatiebeveiliging InfinitCare

RDC & informatieveiligheid

Taakcluster Tactisch support

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Auliitdienst Rijk Ministerie van Financiën

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

Meldplicht datalekken

Baseline Informatiebeveiliging Rijksdienst Tactisch Normenkader (TNK)

o n k Ö A fia* V/ \ ^ * f

GEMeentelijke Model Architectuur GEMMA 2

Samenwerking in Uitvoering

BIR comply or explainprocedure

Business Control binnen de gemeente DATA GOVERNANCE. Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016

Van KING. Aan Deelnemers adviesgroep informatievoorziening CC Bart Drewes (VNG), Chris Batist (IMG ), Arend van Beek (VIAG)

Baseline Informatiebeveiliging Waterschappen. Strategisch en Tactisch normenkader WS versie 1.0

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Verklaring van Toepasselijkheid

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

Informatiebeveiliging: Hoe voorkomen we issues?

Eerste uitwerking strategisch thema 'Betrouwbare digitale informatie is de basis'

CORA 1.0 Bedrijfs- en ICT-referentiearchitectuur voor woningcorporaties

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Enterprise Resource Planning. Hoofdstuk 1

Informatieveiligheid in de steiger

Bedrijfsproces-Architectuur

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Stuurgroep Informatievoorziening & ICT tactische architectuur principes versie 1.0

Privacy-by-Design (PbD) Regiobijeenkomsten Najaar 2018

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Stand van zaken NORA katern Verbinden en geplande vervolgstappen

Format risico analyse en IB-Plan

FS B. Pagina 1 van 7

Model Architectuur Rijksdienst (MARIJ)

Snel naar NEN7510 met de ISM-methode

NORA sessie 3. Samenaande slag! Generiek raamwerk. Onderwerp: 16 jan Expertgroep NORA katern Beveiliging. Jaap van der Veen

Derden-mededeling Overstapservice Onderwijs

De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof AA DEN HAAG

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiligingsbeleid

Hoe operationaliseer ik de BIC?

Huidig toezicht GETTING SOFTWARE RIGHT. Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB. Geachte dames en heren,

Tweede Kamer der Staten-Generaal

1. Beveiligingsbijlage

COMMUNIQUÉ. Amersfoort, april 2013; versie 1.1

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Innovatie in een veranderd risicolandschap

Kenissessie Privacy (by Design)

Gegevensmanagement. Verwerken in de NORA

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

Verantwoording. NORA 3.0, Principes voor samenwerking en dienstverlening

Transcriptie:

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die door de expertgroep in samenhang kunnen worden opgeleverd. De randvoorwaarden voor succes zijn tevens genoemd en gerelateerde producten die nodig zijn, maar niet door de expertgroep worden opgeleverd.

. 2

. 3

Rationale. De reden waarom er een NORA- en een BIR beveiligingskader bestaat en we als overheid niet 1:1 de ISO-marktstandaard hanteren,heeft een goede reden, maar vergt wel wat uitleg. De belangrijkste reden daarvan is dat de huidige ISO-norm onvoldoende handvatten biedt om zowel het voortbrengingsproces als de exploitatie van informatiesystemen normatief te ondersteunen. Elk organisatie maakt daarom afhankelijk van z n doelen, context en bedrijfsproces, met de ISO in de hand, een vertaling vanuit bedrijfsdoelen naar beveiligingsnormen. Dit is een tijdrovende en kostbare zaak en maakt ITontwikkelingen onnodig complex, vooral wanneer de samenhang tussen eisen en normen ontbreekt. De BIR-2012 vervangt vijf bestaande rijkskaders en loopt qua indeling synchroon met de ISO-norm. Het rubriceringsniveau van de BIR is Dep.V en de WBP classificatie is Risicoklasse 2 verhoogd risico. Het BIR bestaat uit de ISO norm + rijksspecifieke implementatierichtlijnen. De rijksspecifieke implementatierichtlijnen zijn in de BIR met (R) gemarkeerd. Bij toepassing van de ISO/BIR als ontwerpkader moet een afleiding gemaakt worden van wet-en regelgeving naar onderwerp- gebaseerde beveiligingsgebieden en beheersdoelstellingen. Per individueel beveiligingsdoel is dit wel haalbaar, maar niet voor informatieketens die op basis van bedrijfsfuncties (en beveiligingsfuncties) ontworpen en gebouwd moeten worden. Nadeel van de ISO-27002 is dat dit kader geen beveiligingsfuncties onderkent. Het maakt ook geen onderscheid tussen normen voor beleid en uitvoering, tussen product- en procesnormen en tussen normen voor klant en leverancier. De praktijk leert, dat de ISO (en de daaraan gekoppelde BIR) met name om deze redenen niet zinvol gebruikt kan worden in het ontwerpproces voor informatievoorzieningen. Organisaties die informatiesystemen implementeren in hun bedrijfsprocessen, maken daarom een vertaling vanuit de ISO naar hun eigen ontwerpprincipes in de vorm van een specifieke set van eisen. In de NORA 3 van 2010 is deze vertaling gemaakt in het dossier Normen IT-voorzieningen en wel zodanig, dat deze opzet universeel toepasbaar is voor elke willekeurige (ook niet-overheid) organisatie. 4

Op strategisch niveau bestaat het Voorschrift Informatiebeveiliging Rijksdienst (VIR), dat het laatst in 2007 is geactualiseerd. Het VIR is gericht op Beschikbaarheid, Integriteit en Vertrouwelijkheid van informatie. Voor staatsgeheime informatie bestaat het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI). Dit document is in 2012 geactualiseerd en richt zich uitsluitend op Vertrouwelijkheid. Horizontaal het is verband tussen de VIR-kaders en het BIR weergegeven en verticaal het rubriceringsniveau dat de kaders onderscheiden. Het VIR-2007 omvat de strategische uitgangpunten en randvoorwaarden die het ministerie hanteert voor informatiebeveiliging en in het bijzonder de inbedding in, en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid; Het VIR BI -2012 onderscheidt op het niveau van vertrouwelijkheid vier rubriceringen. Het BIR-2012 definieert het hoge basisniveau voor de Rijksdienst op het niveau van Departementaal Vertrouwelijk (Dep.V). Dit vertrouwelijkheidsniveau komt overeen met de classificering WBPII+ (Wet Bescherming Persoonsgegevens Risicoklasse II verhoogd risico. Bovenop dit basisniveau; ook wel het platte dak van het BIR genoemd, kunnen als de dienstverlening dit vereist extra maatregelen worden toegevoegd. 5

Deze plaat schetst de NORA-3 opzet van 2010 (voor beveiliging van IT-voorzieningen) Van boven naar beneden zien we de afleiding vanuit de wet- en regelgeving en dreigingen naar bedrijfsprincipes, beveiligingsfuncties,beheersmaatregelen en tenslotte naar implementatierichtlijnen. In ontwerp- en exploitatiefase kan de digitale veiligheid van informatievoorzieningen getoetst worden, gebruik makend van één kader.. De verbinding met de ISO-standaard is geregeld via cross-references tussen NORA implementatierichtlijnen en overeenkomstige ISO implementatierichtlijnen. 6

De toepassing en samenhang van ontwerp- en toetsingskaders voor beveiliging van bedrijfsprocessen van de overheid is weergegeven in bovenstaande figuur. Inrichten. Vanuit bedrijfsdoelen en inrichtingsprincipes worden informatiesystemen ontworpen. Daarbij worden door projecten NORA beveiligingsprincipes gehanteerd, die via IB-functies worden geconcretiseerd in patronen en NORA implementatierichtljnen voor het informatiesysteem. Daarvoor geldt het regiem pas toe of leg uit. De normen uit het NORA katern fungeert daarbij als ontwerpkader voor informatiesystemen van de overheid. Op basis daarvan wordt het systeem gebouwd en beveiligingsmechanismen geconfigureerd. Best practices zoals patronen worden toegepast Toetsen. De werking van beveiligingsmechanismen in de informatievoorziening wordt in exploitatie (periodiek) getoetst op basis van de voor het informatiesysteem relevante beheersdoelstellingen en daarvan afgeleide implementatierichtlijnen. Daarvoor geldt het regiem pas toe of leg uit. De ISO + verbrede BIR fungeert daarbij het toetsingskader voor de overheid. ISO staat daarbij centraal, het BIR in de nieuwe addendum-vorm zorgt voor toepasselijkheid binnen de overheid. Kwetsbaarheden en afwijkingen van de norm in de informatievoorziening leiden tot maatregelen of bijstelling van het beleid en beveiligingsdoelen, die meegenomen worden in verbeteracties voor organisatie, proces of techniek. De verbinding tussen ISO /BIR en NORA normen is de cross-reference van implementatierichtlijnen. Op deze manier benutten we het beste van twee werelden: NORA princpes en productnormen voor inrichten van informatiesystemen onder architectuur en de ISO als internationale norm voor toetsing, inclusief mogelijkheden voor certificering en toepassen van standaard tools en BI(R) voor toepasbaarheid. Tevens ontkoppelen we hiermee de voortbrengingsfase van een informatiesysteem en het gebruik in exploitatie daarvan, zodat we security by design eisen kunnen stellen aan producten van leveranciers. Samengevat staat de ISO-norm centraal. Overheidsbreed normaliseert NORA naar toepassingskaders 7

Dit is de SOLL- situatie met de ISO norm centraal afgebeeld als toetsingskader, waarbij de NORA productnorm de inrichting van de informatievoorziening normeert. Het hart van de bloem vormt de ISO norm, die bestaat uit het stelsel: ISO 27001 en ISO 27002 Het lichtbruine deel zijn de overheidsspecifieke toetsingsnormen bovenop de ISO. Streven is één addendum. De steel is het NORA kader voor de ontwerp en inrichting van informatievoorzieningen. De donkere bladeren vormen het stelsel van best-practices, open source en overige in de markt, waarin de nodige differentiatie van beveiligingsdoelen van grote en kleine organisaties wordt uitgewerkt. Nieuwe versies van de ISO kunnen in deze opzet zonder veel moeite ingevoerd worden. Die updates van de ISO-27002 worden in 2013 en 2014 verwacht. Alleen sommige delen van de toepassingskaders (b.v. cross-references) behoeven in de toekomst te worden geactualiseerd. Governance is de basis. Het governance model van de BIR is vertrekpunt voor het overheids-governancemodel. 8

. 9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback