BIR comply or explainprocedure



Vergelijkbare documenten
IB-Governance bij de Rijksdienst. Complex en goed geregeld

BIR2017 FAQ s Baseline Informatiebeveiliging Rijksdienst

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspuntt

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Besluit van 8 oktober 2018 tot wijziging van het Coördinatiebesluit organisatie en bedrijfsvoering rijksdienst 2011

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Samenwerkingsprotocol Logius. Agentschap Telecom

Shared Services in ontwikkeling binnen de Rijksoverheid

Medewerker administratieve processen en systemen

2015; definitief Verslag van bevindingen

Opvolging aanbevelingen (peilmoment augustus 2014)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Auliitdienst Rijk Ministerie van Financiën

Reglement werkwijze Expertgroep toetsen. Paragraaf 1 Algemeen

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Algemene Rekenkamer..,

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

ENSIA voor informatieveiligheid

De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam.

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Toegangsverlening KB12 Groningen

Advies: Bijgaande Raadsinformatiebrief goed te keuren en toe te zenden aan de raad

IB RAPPORTAGE. Contactcenter Logius

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Informatiebeveiligingsbeleid ICTU

IT voor Controllers Mark Vermeer, CIO

Vragen en antwoorden toezichtondersteunende private kwaliteitssystemen Versiedatum: 13 september 2016

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag. Datum Betreft Raad van Toezicht Autoriteit Financiële Markten

Verantwoordingsrichtlijn GeVS 2019 (versie )

Regie en sourcing op generieke diensten. Moet je doen! 20 Januari 2010 DGOBR/IR Track 3 Huis op Orde Regie op sourcing binnen het Rijk

r'h'hil-lli'h'i'-i'l-ll-ll-ll

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Handreiking functieprofiel Chief Information Security Officer (CISO)

Voorstel Governancestructuur op hoofdlijnen

Ons kenmerk C100/ Aantal bijlagen 1

De Minister voor Wonen en Rijksdienst, Handelend in overeenstemming met het gevoelen van de ministerraad;

Informatiebeveiligingsbeleid

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Opname NLCIUS (standaard voor e-factureren) op de lijst met open standaarden

Checklist Audit voor Shared Service Centers SSC Evidence/brondocument Opmerkingen Wel of niet een SSC? Evidence/brondocument Opmerkingen

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Dit is een presenteerbaar werkdocument voor de expertgroep Actualiseren NORA-3 Het bevat views van de huidige situatie (Ist) en ideeën waar in

Voorstel Informatiebeveiliging beleid Twente

Rijksoverheidsnetwerk 2.0 Een netwerk van netwerken (RON2.0)

Generieke I Toets & Advies

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

ADDENDUM: betreffende het ontwikkelen, aansluiten, integreren en gebruiken van standaarden voor decentralisaties in het sociaal domein.

Shared Service Center ICT Haaglanden. en de digitale snelweg van de Rijksoverheid. Astrid Zwiers Vestigingsmanager Directieteam SSC-ICT Haaglanden

FAQ s Baseline Informatiebeveiliging Overheid

Privacybeleid gemeente Wierden

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal der Staten-Generaal Postbus EA DEN HAAG. Datum 22 december 2017

FS A. A: Beschrijving van de voorgestelde werkwijze B: Toelichting op het MSP en identificatie proces

Service Level Agreement Organisatie G en de Shared Services Organisatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

REGLEMENT RISICOCOMMISSIE VAN LANSCHOT N.V. EN F. VAN LANSCHOT BANKIERS N.V.

Quick scan Informatiebeveiliging gemeente Zoetermeer

Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Projectmanagement De rol van een stuurgroep

2. Analyse van Ist situatie; landschap van BIR, NORA 3, etc. 3. Visie op kaders en hoe zorgen we dat het werkt?

Opnameadvies. EI standaarden. Dennis Krukkert (TNO Informatie- en Communicatietechnologie) 5 oktober Versie 0.2. Concept versie.

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Transcriptie:

BIR comply or explainprocedure Datum: 7 januari 2014 Versie: 1.0 Inleiding In 2012 is de Baseline Informatiebeveiliging Rijksdienst (BIR) van kracht geworden. De Baseline gaat uit van een comply or explain regiem. Deze nota bevat een voorstel voor de explainprocedure voor de BIR. De nota omvat zowel de explainprocedure voor de departementen (specifieke voorzieningen) als de explainprocedure voor Shared Service Organisaties (generieke of gemeenschappelijke voorzieningen). Behandeling van explains Voor de BIR geldt: comply or explain In de BIR is het volgende beschreven inzake de explains (hoofdstuk 2.1): Vertrouwen in toetsing Als ministeries hun informatievoorziening en IT inrichten volgens de BIR:2012 (in opzet, bestaan en werking) dan moet dat voldoende garantie bieden dat ministeries hun eigen informatie en die van andere ministeries veilig (beschikbaar, integer en vertrouwelijk) behandelen. Ministeries moeten elkaar hierop kunnen aanspreken. Bij de implementatie geldt voor de tactische normen en eisen een comply or explain regime. Het toetsen vindt plaats aan de hand van de in control verklaring. De in control verklaring moet dus inzicht geven aan welke BIR:2012 normen wordt voldaan en voor welke BIR:2012 normen een explain is gedefinieerd. Er wordt, buiten het kader van BIR, bij de Rijksdienst een accreditatieproces ontwikkeld waarin departementen elkaar kunnen aanspreken op explains die de vertrouwelijkheid van berichtenverkeer over meerdere ministeries heen nadelig beïnvloeden. Wat is een explain? Een explain is een door de verantwoordelijke lijnmanager 1 geaccepteerde verklaring waarom aan bepaalde normen uit de BIR niet wordt voldaan. Wat betekent voldoen aan BIR normen? In de BIR (hoofdstuk 2.3: controleerbaarheid en auditeerbaarheid) staat beschreven dat voldaan moet worden aan ISO27002/bijlage A + de R normen. Dit is leidend om te voldoen aan de BIR normen. De BIR bevat de hoofdstukindeling en de normen uit ISO27001/bijlage A. Alle 1, 2 en 3 cijferige hoofdstukjes zijn direct uit ISO27001/bijlage A overgenomen. Hieraan moet, samen met de R normen dus verplicht worden voldaan. 1 Verantwoordelijke lijnmanager: dit is de lijnmanager die door de SG, die volgens het VIR verantwoordelijk is, is gemandateerd. Hij heeft het niveau van directeur of DG,. 1

Daarnaast bevat de BIR normen met een 4 cijferige nummering die niet met een R zijn gemerkt. Dat zijn suggesties voor een goede invulling van de BIR, afgeleid van de implementatierichtlijnen uit ISO 27002. Die normen zijn niet verplicht maar wel een handige handreiking. Waarvoor moet een explain worden opgesteld? Een explain moet worden opgesteld voor elk restrisico of niet ingevulde BIR maatregel (zie BIR hoofdstuk 4, figuur 3): 1. Een BIR norm die voor de betreffende situatie (organisatie, systeem) wel van toepassing is maar waar niet aan voldaan wordt 2. Een BIR norm die volgens de eigenaar van een systeem voor de betreffende situatie niet van toepassing is 3. Overige bij een risicoanalyse gesignaleerde restrisico s. De BIR toets en het risicoafwegingsproces (zoals voorgeschreven door het VIR:2007 en in hoofdstuk 2, figuur 3 van de BIR) moet plaatsvinden voor informatieverwerkende systeemen. En informatieverwerkend systeem bestaat niet alleen uit techniek maar ook uit de betrokken fysieke omgeving, organisatie en mensen. Een explain verklaring bevat: De BIR norm of aanvullende noodzakelijk geachte maatregel waaraan niet wordt voldaan. Voldoende begrijpelijk geformuleerd en reden waarom nog niet kan worden voldaan. Risico van de explain o Voor de eigen organisatie o Voor andere organisaties (+ verklaring welke organisaties) Reden van acceptatie van de explain. Geldigheid (duurzaam of tijdelijk met vermelding van einddatum) Verantwoordelijke organisatie, actiehouder (=contactpersoon) en lijnmanager Refentienummer en datum van de explain Status (kan tussentijds worden bijgehouden) Moeten alle systemen aantoonbaar BIR compliant zijn? VIR spreekt over de systemen in een organisatie. Dit kunnen voor de hele rijksoverheid duizenden systemen zijn. Het is dus praktisch om een prioriteit te stellen bij de bedrijfskritische systemen. Dat wil zeggen bij systemen die bij falen de tijdigheid en kwaliteit van het product of de dienst van een organisatie in gevaar brengen. De organisatie moet alle systemen uiteraard wel in kaart hebben gebracht en moet dit ook inzichtelijk kunnen maken voor interne of externe audits. 2

Explainprocedure voor departementen Bij de specifieke systemen, van een departement legt de systeemeigenaar (=lijnfunctionaris) de explain voor aan het verantwoordelijke lijnmanagement (directeur of DG). De verantwoordelijke lijnmanager bepaalt of een explain al dan niet wordt geaccepteerd. Ook bepaalt hij of de explain consequenties kan hebben voor andere ministeries of ketenpartners. In dit proces wordt de verantwoordelijke lijnmanager geadviseerd door de CIO. De CIO monitort ook de compleetheid van de explains en de voortgang m.b.t. de oplossing van de explains. Als een explain gevolgen kan hebben voor een ander ministerie legt de lijnmanager de explain voor aan de TIB (expertgroep Tactische InformatieBeveiliging) van TBGI. Toetsing door de TIB Inhoudelijk wordt de explain op de volgende wijze getoetst door de TIB: Is een niet van toepassing onderbouwd en correct? Is de explain inhoudelijk goed (/ voldoende)? Zijn van de explain de restrisico s duidelijk, en verbeterplanning)? Zijn er risico s van ee hebben? is de tijdsduur bepaald (met n explain die invloed of potentieel invloed op andere departementen Is de verwachting van de indiener dat een explain binnen een half jaar verandert in een comply? In dit geval wordt de explain beschouwd als een comply. De TIB adviseert aan de SIB om explains goed of af te keuren en meldt dit terug aan de indiener. Indien er een explain is ingediend waarbij er risico s voor andere departementen bestaan (ketenafhankelijkheid) dan zal dit advies, onderbouwd door TIB, de volgende besluitvorming kennen: 3

Het TIB adviseert de opdrachtgever (en rapporteert deze aan de SIB. ) De explain wordt, samen met het advies van de TIB, aan de SIB, in haar rol als Security Accreditation Authority, voorgelegd ter afweging, risico acceptatie en besluitvorming. Besluiten van het SIB worden als hamerstuk geagendeerd bij de ICCIO en (afhankelijk van de impact) ter kennisneming naar de ICBR gezonden. Explainprocedure voor SSO s Bij een SSO kan sprake zijn van dienstverlening door middel van een generiek of een gemeenschappelijk systeem. Voor generieke systemen is een explainprocedure vastgesteld in het ICCIO van augustus 2012, waarbij de expertgroep TIB is gemandateerd als Security Advisory Accreditation Panel. In deze beschrijving wordt dat proces uitgebreid voor gemeenschappelijke systemen. Het ICCIO besluit over welke systemen generiek zijn, en daarvan wordt een overzicht bijgehouden met de (gedelegeerd) opdrachtgevers. Dit overzicht dient te worden aangevuld met systemen die als gemeenschappelijk zijn aangemerkt. Afnemerskant De gebruikersorganisaties zijn eindverantwoordelijk (Accountable) voor het risicomanagement van een gemeenschappelijke dienst. Deze verantwoordelijkheid ligt formeel bij de SG maar wordt vaak aan de psg s of integraal managers gedelegeerd. De gebruikersorganisaties blijven eindverantwoordelijk en dienen inzichtelijk te maken hoe zij deze eindverantwoordelijkheid invulling geven. Bij een gemeenschappelijke dienst is een opdrachtgevend orgaan, het opdrachtgeversberaad (OGB), verantwoordelijk voor het opstellen van een pakket van eisen en wensen, het inrichten van de vraagarticulatie en de functionele behoeftestelling richting de dienstverlener. De afnemers treden gezamenlijk op in het OGB. Eisen en kaders ten aanzien van de te leveren beveiliging op het gebied van ondermeer vertrouwelijkheid, integriteit, beschikbaarheid en toezicht maken hiervan onderdeel uit. Met de opdrachtnemer (SSO) worden afspraken gemaakt over de wijze waarop deze inzicht verschaft hoe hij de uitvoering van deze eisen borgt binnen de organisatie. 4

Het feit dat een collectief verantwoordelijk is voor de opdrachtverstrekking kan voor onduidelijkheden zorgen. Invoering van Wifi in het verzorgingsgebied van SSC ICT heeft aangetoond, dat de opdrachtnemer baat heeft bij een éénduidige sturingslijn. Daarom is het aan te bevelen als opdrachtgevende organen, zoals een OGB, voor gemeenschappelijke voorzieningen steeds één van de departementen mandateren als de opdrachtgever door die betreffende dienst, namens de gemeenschappelijke afnemers. Daarmee zijn zowel de IB compliance verantwoordelijkheid als de opdrachtverstrekking éénduidig belegd. Aanbiederskant De dienstenleverancier, als uitvoerende partij, is verantwoordelijk voor het afgesproken resultaat en moet aan de opdrachtgever laten zien dat hij op dit punt in control is. Tevens heeft de dienstenleverancier een belangrijke taak om te signaleren als er veiligheidsrisico s bestaan. Deze kunnen bijvoorbeeld ontstaan door integratie van diensten zowel binnen het eigen domein van een SSO als met de domeinen van collega dienstverleners. De aanbieder zal inzichtelijk maken welke gemeenschappelijke diensten worden aangeboden. Verantwoordelijkheden bij explains Evenals bij een ministerie is, bij een SSO, het lijnmanagement verantwoordelijk voor BIR compliancy, risicoanalyses, de opstelling van explains en het al dan niet accepteren van de explains. De CIO adviseert het lijnmanagement daarbij. Toezicht en monitoring De CIO heeft een adviserende, controlerende en monitorende taak. De BVA s van de departementen die gemeenschappelijke diensten afnemen zijn verantwoordelijk voor het toezicht (op afstand) op de integrale beveiliging binnen het eigen departement. Hieronder vallen ook de diensten die door het departement worden afgenomen. Zo mogelijk wordt het toezicht bij een gemeenschappelijke dienst door de betrokken BVA s op een gecoördineerde wijze vorm gegeven. Te volgen proces Voorgesteld wordt om voor de IB compliancytoetsing (d.w.z. toetsing op BIR compliancy), voor de eenvoud, het proces te volgen dat voor generieke systemen gebruikelijk is: De SSO zal van de generieke of gemeenschappelijke dienst aangeven waar deze wel aan de BIR voldoet (comply) of niet (explain, met één of meerdere restrisico s), of niet van toepassing is, met een toelichting. 5

De opdrachtgever van de SSO zal deze comply or explain voor elke dienst voorleggen aan de expertgroep Tactische InformatieBeveiliging (TIB) van het TBGI. De TIB behandelt de explains op de wijze zoals eerder in dit document is uiteengezet in het hoofdstuk Toetsing door de TIB. 6

Bijlage 1: Begrippen Algemene uitgangspunten Begrippen Generieke dienst Een generieke dienst is een dienst die door een SSO aan alle onderdelen van de rijksoverheid wordt geleverd. Gemeenschappelijke dienst Een gemeenschappelijke dienst is een dienst die door een SSO aan meerdere onderdelen van de rijksoverheid wordt geleverd. Specifieke dienst dienst Een departementale, ofwel specifieke, dienst is een dienst die aan of door één departement wordt geleverd. SSO (Shared Service Organisatie) Een SSO is een serviceorganisatie, in dit geval binnen de Rijksoverheid, die aan meerdere ministeries diensten verleent. Voorbeelden: SSC ICT, P direct, Logius. Verantwoordelijkheden Ministeriele verantwoordelijkheid: Informatiebeveiliging, en daarmee de implementatie van de BIR, is een verantwoordelijkheid van het lijnmanagement van de ministeries, met als hoogste lijnmanager de SG (gebaseerd op VIR:2007 artikel 4). Systeemverantwoordelijkheid en verantwoording De minister van BZK is systeemverantwoordelijk voor de bedrijfsvoering van het Rijk, incl. ICT en de beveiliging daarvan zoals vastgelegd in het coördinatiebesluit organisatie en bedrijfsvoering rijksdienst 2011 (20 januari 2011, STB 13864, ISSN 0920 2064). Dat wil zeggen dat de Minister van BZK jaarlijks publiceert over de organisatie van de bedrijfsvoering van de ministeries (art 5) en daartoe ook de informatie van de ministeries ontvangt (art 6). Minister BZK (DGOBR) ondersteunt de ministeries bij de invoering en naleving van de BIR. Verantwoordelijkheid voor generieke en gemeenschappelijke diensten Op het eerste gezicht is de ministeriële verantwoordelijkheid strijdig met de systeemverantwoordelijkheid van BZK. Dit is niet het geval. Het hoofdstuk explainprocedure voor SSO s van dit document gaat hierop in. Verantwoordelijke Lijnmanager Het lijnmanagement van het primaire proces is verantwoordelijk voor de kwaliteit van zijn eindproduct en daarmee ook voor de beveiliging van zijn informatiesystemen (conform VIR:2007, art 4). De verantwoordelijke lijnmanager heeft altijd het niveau van directeur of DG. 7

Systeemeigenaar Elk systeem moet een eigenaar hebben. Aangezien het systeem de kwaliteit van het eindproduct van de organisatie betreft is de verantwoordelijke lijnmanager uiteindelijk de eigenaar van het systeem. Bij ketens, generieke diensten en gezamenlijke diensten wordt een partij gemandateerd om op te treden als eigenaar namens de verschillende betrokken lijnmanagers. De lijnmanagers houden dan wel toezicht op de goede uitvoering van het systeemeigenaarschap. CIO en CISO De CIO adviseert en ondersteunt het departement met kaders, concrete adviezen en houdt toezicht op de goede uitvoering van informatievoorziening binnen zijn departement. De CIO heeft tevens de rol van CISO (Chief Information Security Officer). In die rol ondersteunt hij de business op het gebied van informatiebeveiliging (adviezen en toezicht op goede uitvoering). Voor explains is een advies van de CIO daarom noodzakelijk. BVA, RijksBVA en IBR BVA s, IBR en RijksBVA houden toezicht. Zij monitoren of alle partijen hun rollen en verantwoordelijkheden t.a.v. beveiliging goed invullen. De RijksBVA houdt toezicht op de werking van het systeem van integrale beveiliging. Daarvoor krijgt/vraagt hij informatie van de departementale BVA s en van de CIO Rijk. De BVA s krijgen dit op hun beurt ook weer van de departementale CIO s. Dit systeem van BVA toezicht moet dus gevoed worden door informatie over BIR compliance uit het CIO/SIB/TIB domein. 8

Bijlage 2: Voorbeeld explainformulier Dit formulier is een voorbeeld. Voor een zeer eenvoudige manier van elektronisch registreren en rapporteren kan de methode van MinVenJ als voorbeeld dienen, zie: http://ciso venj.rijksweb.nl/index.html Aanvrager Algemene gegevens aanvrager. Organisatie: Verantwoordelijke lijnmanager (directeur of DG): Contactpersoon: Datum: BIR TNK Norm De BIR norm uit het Tactisch Normen Kader (TNK) waar de Explain op van toepassing is. BIR Norm: Eventueel geconstateerd restrisico n.a.v. risicoanalyse Proces / Informatiesysteem: Proces en informatiesysteem waar de Explain op van toepassing is. 9

Informatiesysteem: Doel informatiesysteem: Afwijking Beschrijving van de afwijking, toelichting, risico s van het niet voldoen aan de BIR norm, mitigerende maatregelen en duur van de afwijking. Beschrijving: Reden/toelichting: Risico s: Oplossing / Mitigerende maatregel(en): Hoe lang blijft afwijking bestaan? 0 Duurzaam 0 Tijdelijk tot [datum] Interdepartementale effecten: 0 Niet aanwezig 0 Wel aanwezig, namelijk. Advies CIO Advies (goedkeuring Explain, Akkoord J/N) Geldigheidsduur: 0 Duurzaam 0 Tot [datum] 10

Datum: Toelichting: Besluit Verantwoordelijke lijnmanager Besluit van de verantwoordelijke lijnmanager. In de praktijk kan dit een geaggregeerde goedkeuring zijn voor een bundeltje explains) Overname Advies: Geldigheidsduur: Toelichting: Handtekening + datum Advies TIB Advies (voorzitter) TIB. Advies: Geldigheidsduur: Datum: 11

Toelichting: Besluit voorzitter SIB Besluit voorzitter SIB. In de praktijk kan dit een geaggregeerde goedkeuring zijn voor een bundeltje explains) Besluit Geldigheidsduur: Datum: Toelichting: 12

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback