De Baseline Informatiebeveiliging en kleine gemeenten
11 december 2014 Jule Hintzbergen, IBD
Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente Praktische oefeningen
2
Wat is er aan de hand?
25 oktober 2012 3
3
Informatieveiligheid • Het gaat om het vergroten van de weerbaarheid van gemeenten tegen ICT-verstoringen en –dreigingen • Dat start bij vergroten van bewustzijn van en de sturing op informatiebeveiliging, ook bij bestuurders
• Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): • Strategische en Tactische variant van de BIG gereed op IBD-community en -website (Wat) • Producten Operationele variant nu in ontwikkeling (Hoe)
Baseline Informatiebeveiliging Nederlandse Gemeenten: Doel 1. Gemeenten op een vergelijkbare manier efficiënt te laten werken met informatieveiligheid. 2. Gemeenten een hulpmiddel te geven om aan alle eisen op het gebied van Informatieveiligheid te kunnen voldoen. 3. De auditlast bij gemeenten te verminderen. 4. Gemeenten een aantoonbaar betrouwbare partner te laten zijn.
5
Baseline Informatiebeveiliging Nederlandse Gemeenten: Uitgangspunten • Gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden: – Bijvoorbeeld: ISO 27001:2005, ISO 27002:2007, VIR, VIR-BI en BIR. • Basis beveiligingsniveau gebaseerd op normen en wetgeving: – Inclusief mapping vanuit normen en wetgeving naar de maatregelen
Strategische Variant BIG • Scope: – Bedrijfsvoeringsprocessen en onderliggende informatiesystemen en informatie van de gemeente
• Uitgangspunten: – – – –
B&W integraal verantwoordelijk Basis niveau Departementaal Vertrouwelijk Schengen’-principe gehanteerd Gerichte risicoafweging voor afwijkende situaties of wanneer een hoger beveiligingsniveau nodig is
• Randvoorwaarden: – – – – 7
Rol management Risicomanagement Bewustwording Integrale aanpak
Tactische variant BIG • Indeling als internationale beveiligingsnorm ISO/IEC 27002:2007 • Basisset aan maatregelen die voor alle gemeenten geldt • Bevat maatregelen uit aansluitnormen van de basisregistraties: – – – – –
GBA / BRP PUN BAG SUWI wet WBP en laatste richtsnoeren
• Randvoorwaarden, stappenplan
8
Operationele Variant BIG • Opgebouwd uit aanvullend beleid, procedures, handreikingen, aanwijzingen en patronen • Geven vooral antwoord op het “hoe” – detaillering, invulling maatregelen
• Welke producten: – – – –
9
Prioriteit: bepaald middels uitvraag Aantal: 50+ producten Planning: tweede helft 2013 en medio 2014. Kwaliteitsborging: review door gemeenten
Voordelen van de BIG • Gemeenten hebben nu allemaal hetzelfde kader • Bewustwording neemt toe bij gemeenten en daarmee ook de vragen • Meer in control zijn: – gemeenten worden volwassen opdrachtgevers qua beveiliging, en dat dwingt leveranciers tot volwassen opdrachtnemerschap
• Duidelijkheid voor leveranciers: – geen verschillende beveiligingseisen van verschillende gemeenten – Onderscheidende factor voor leveranciers
• Security by design
10
Syste men
Proces sen
Maatre gelen
De BIG en kleine gemeenten IB-Plan Versie 1.6
Welke ruimte biedt de BIG voor kleine gemeenten? • De BIG compleet is een hele lijst om mee te beginnen, hoe daar mee om te gaan? • Het primaire uitgangspunt voor informatiebeveiliging is en blijft risicomanagement • ‘Pas toe’ en ‘Leg uit’ is en blijft basisprincipe • Tijdpad voor implementeren van de BIG is begin 2017, daarmee is ruimte in volgorde van de systemen en maatregelen • Implementeer/prioriteer de BIG op basis van een gezonde risico-inschatting
• LET OP: de hele BIG blijft van toepassing echter er wordt gefaseerd mee omgegaan 12
Hoe dan, een stappenplan 1. Bepaal kritieke processen 2. Bepaal essentiële systemen bij deze processen •
Voeg daar 3D-systemen aan toe
3. Stel de scope vast (systemen) 4. Prioriteer BIG maatregelen (focus aanbrengen) a. Generieke maatregelen b. Specifieke maatregelen
5. Beleg de BIG maatregelen (PIOFAH actoren) 6. Bepaal inzicht in de status per maatregel •
Noteer de uitkomsten in de GAP-analyse spreadsheet
7. Bepaal de impact 8. Stel een informatiebeveiligingsplan op
13
Stap 1. Bepaal kritieke processen • Denk na over criteria • Welke criteria vinden jullie belangrijk bij het bepalen van het kritieke proces? • Welke processen zijn dan kritiek? • Wie is de eigenaar van het proces? • Laat de processen die al ‘goed’ zijn voor wat ze zijn
14
Criteria waar kun je aan denken? • Wetgeving • Raakt het de burger (burgergerichte processen) • Raakt het andere processen binnen de gemeente (organisatiegerichte processen) • Beschikbaarheid dienstverlening • Hoge herstelkosten • Hoge integriteit vereist • Verwerking van persoonsgegevens (Privacy) • Vertrouwelijkheid van informatie • Afbreukrisico politiek, imagoschade
15
5 of meer criteria aanvinken? Verstoring of uitval van het proces: heeft impact op het leven van de burger of de bedrijfsvoering van het bedrijf. zorgt voor vertraging bij het halen van onze ambities. Verstoring of uitval van het proces stokt de dienstverlening van de organisatie. stokt de bedrijfsvoering van meer afdelingen of ketenpartners.
de eigen organisatie imagoschade op. brengt een aanzienlijke kostenpost met zich mee. levert schade op bij andere (samenwerkings-)partijen. heeft een wettelijke termijn waarbinnen het proces beschikbaar moet zijn.
Snelle doorlooptijd van het proces is belangrijk voor burger of bedrijf 16 Lijst afkomstig van TF BID voor gemeentesecretarissen
Resultaat na stap 1 Kritieke processen en hun eigenaar
17
DOEN • Splits in aantal groepen • Kijk naar de lijst met criteria • Bepaal per groep maximaal 5 kritieke processen, en bedenk wie er over gaat. • Plenair terugkoppelen • Tijd 10 minuten
18
Stap 2. Bepaal essentiële systemen • Welke systemen ondersteunen de kritieke processen? • Voeg de 3D systemen hier aan toe • Wat zijn essentiële systemen van de eerder gevonden processen?
• Doen: • Op basis van de eerste lijst met kritieke processen het benoemen van essentiële systemen bij die processen • Dezelfde groepen • 5 minuten • Terugkoppeling per groep 19
Voorbeeld tabel essentiële systemen Proces
Systeem
eigenaar
gegevens
Hardware
Burgerzake n diensten
@@ 4 all (GBA)
Hoofd burgerzake n
Oracle database
Servers bij ICT
Kassa systeem
Hoofd burgerzake n
Oracle database
Kassa, pin automaat (PCI-DSS?)
RAAS
Hoofd burgerzake n
Oracle database
Servers, desktop, biometrie app
Sociale zaken diensten
Keukentafel applicatie
Hoofd sociale dienst
(cloud)
Cloud)
Woz gerichte 20 diensten
Belastingen systeem
Hoofd gemeenteb elastingen
Oracle database
Servers XXX
Resultaat na stap 2 Kritieke processen en hun eigenaar Essentiële systemen en hun eigenaar
21
Stap 3. Stel de scope vast (systemen) • De hoeveelheid systemen en processen die gevonden worden kunnen te veel (of te weinig) zijn voor een periode. • Bepaal een volgorde op basis van de aantallen criteria en stel een “knip” voor. • Laat systemen achterwege die al ‘goed’ zijn • Laat dit vaststellen door het management
22
Resultaat na stap 3 Kritieke processen en hun eigenaar Essentiële systemen en hun eigenaar De scope: met welke systemen ga je aan de slag?
23
Stap 4. Prioriteer BIG-maatregelen • In de BIG zijn 303 maatregelen verdeeld over 133 controls • Die maatregelen kun je niet allemaal ineens controleren en / of implementeren • Prioriteer op basis van risico-inschatting, belang en haalbaarheid per jaar waar je de nadruk op legt. • Doseren over 3 jaar gezien • Denk aan generieke en specifieke maatregelen • Pas de GAP analyse spreadsheet aan
24
Generieke maatregelen • Generieke maatregelen zijn maatregelen die gemeentebreed gelden over alle processen en systemen heen, verantwoordelijken PIOFAH. • Voorbeelden – – – – – – – – – – – – –
25
Gemeentelijk beveiligingsbeleid Coördineren van beveiliging Verantwoordelijkheden Goedkeuringsproces voor ICT-voorzieningen Geheimhoudingsovereenkomst Inventarisatie van bedrijfsmiddelen Eigendom van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen Arbeidsvoorwaarden Fysieke beveiliging van de omgeving Fysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Bescherming tegen bedreigingen van buitenaf
Specifieke maatregelen • Specifieke maatregelen zijn maatregelen die niet gemeentebreed gelden maar toegewezen kunnen worden aan een proces eigenaar / systeemeigenaar / directeur / manager ten behoeve van een informatiesysteem • Voorbeelden: – – – – –
Gedocumenteerde bedieningsprocedures Functioneel beheer Wijzigingsbeheer (niet het proces maar voor het systeem) Functiescheiding Scheiding van faciliteiten voor ontwikkeling, testen en productie – Reservekopieën maken (back-ups) – Uitwisselingsovereenkomsten, bewerkersovereenkomsten – Aanmaken en controleren audit-logbestanden
26
Welke keuze, hoeveel, wat kun je aan het komende jaar? • Bepaal op basis van de GAP-analyse lijst welke nadruk op beveiligingseisen je dit jaar de nadruk wilt leggen • Risico-denken
• Planning over 3 jaar • Welke zou je willen kiezen? • Leg deze keuze voor aan het management!
27
DOEN / Pauze • Denk na over de belangrijkste maatregelen waar je dit jaar op wilt focussen • Welke groepen van maatregelen vind je nu belangrijk en waarom? • Discussie in dezelfde groepen en plenaire terugkoppeling • Tijd 10 minuten
28
Resultaat na stap 4
29
Kritieke processen en hun eigenaar Essentiële systemen en hun eigenaar Generieke maatregelen voor dit jaar Specifieke maatregelen per proces-/systeemeigenaar Prioritering per jaar
Stap 5. Beleg de BIG maatregelen • PIOFAH • Kan per gemeente anders georganiseerd zijn • Eenmalig uitzoeken • Is er geen verantwoordelijke dan dit bepalen en vastleggen
•Personeel •Inkoop (soms informatievoorziening) •Organisatie •Financiën •Automatisering/Administratie •Huisvesting
30
Resultaat na stap 5
31
Kritieke processen en hun eigenaar Essentiële systemen en hun eigenaar Generieke maatregelen voor deze periode Specifieke maatregelen per proces-/systeemeigenaar Prioritering per jaar Eigenaren bij generieke maatregelen
Stap 6. Bepaal inzicht in de status per maatregel • Gebruik de BIG GAP-analyse als leidraad • Interview (of groepssessie) de vastgestelde functionarissen (eigenaren) van: – de generieke beveiligingsmaatregelen – de resterende specifieke maatregelen • Noteer alles, bij twijfel keuze maken • Ook hier ‘pas toe’ en ‘leg uit’
32
Aanpassen GAP-analyse
33
Resultaat na stap 6
34
Kritieke processen en hun eigenaar Essentiële systemen en hun eigenaar Generieke maatregelen voor dit jaar Specifieke maatregelen per proces-/systeemeigenaar Prioritering per jaar Eigenaren bij generieke maatregelen Inzicht in de (globale) status per maatregel
Stap 7. Bepaal de impact • Bepalen welke ontbrekende maatregelen het komende jaar geïmplementeerd moet worden: – Koppel hier een actiehouder aan – Stel vast wanneer het klaar moet zijn – Koppel hier budget aan (indien mogelijk) • Gebruik de impactanalyse spreadsheet • Leg ook vast: – wat er nog niet onderzocht is – wat wordt doorgeschoven naar komende jaren • Ook hier ‘pas toe’ en ‘leg uit’
35
36
Rol management, betrekken, communiceer • Er moet nu een keuze worden gemaakt, op basis van een risico inschatting, hoge kosten of korte termijn haalbaarheid door het management op basis van de lijst met resultaten. Leg iedere keuze expliciet vast voor later. • De overgebleven maatregelen moeten in een informatiebeveiligingsplan komen met acties, door wie ze uit gevoerd worden, wanneer en hoe gerapporteerd wordt. • Bewaking door CISO / IBF
37
Resultaat na stap 7
38
Kritieke processen en hun eigenaar Essentiële systemen en hun eigenaar Generieke maatregelen voor dit jaar Specifieke maatregelen per proces-/systeemeigenaar Prioritering per jaar Eigenaren bij generieke maatregelen Inzicht in de (globale) status per maatregel Inzicht in wie wat wanneer moet implementeren (impact analyse)
Stap 8. Stel een informatiebeveiligingsplan op • • • • •
Algemeen Nadruk op beveiligingseisen dit jaar Kritieke processen Essentiële systemen Welke algemene beveiligingsmaatregelen worden door wie geïmplementeerd • Welke systeem specifieke beveiligingseisen worden door wie geïmplementeerd • Overleg en overlegstructuur • Rapportage en verantwoording
39
Resultaat na stap 8 Kritieke processen en hun eigenaar Essentiële systemen en hun eigenaar Generieke maatregelen voor dit jaar Specifieke maatregelen per proces-/systeemeigenaar Prioritering per jaar Eigenaren bij generieke maatregelen Inzicht in de (globale) status per maatregel Inzicht in wie wat wanneer moet implementeren (impact analyse) Informatiebeveiligingsplan is opgesteld en kan worden uitgevoerd
40
Hergebruik van maatregelen? • Wat goed is, nu niet stukmaken • Zijn de audits / zelfassessments doorstaan dan is het goed. • Kopieer op termijn datgene wat er voor de GBA, PUN en SUWI al is binnen de gemeente, dus maak geschikte procedures en beleid “algemeen” • Haal de dubbelingen bij de processen weg zodat specifieke wettelijke eisen wel blijven bestaan en verantwoord worden 41
Vragen?
[email protected] Bezoek ook www.ibdgemeenten.nl 42
Aanvullingen als er tijd over is
43
Grote gemeenten, concern directie beleid en kaders, directies voeren uit Kritieke processen en hun eigenaar Essentiële systemen en hun eigenaar Generieke maatregelen voor dit jaar Specifieke maatregelen per proces-/systeemeigenaar Prioritering per jaar Eigenaren bij generieke maatregelen Inzicht in de (globale) status per maatregel Inzicht in wie wat wanneer moet implementeren (impact analyse) Informatiebeveiligingsplan is opgesteld en kan worden uitgevoerd
44
Voorbeeld prioriteiten
Versie 1.5
Voorbeeld prioriteiten om aan te pakken • BIG Toppers: – – – – – – – – – –
Beleid Incident management Hardening Patchmanagement Change management Continuïteit Back-up Logging en logging controle account management en Usermanagement centraal
• Processen / systemen: - Decentralisaties - Financiën
- 3D systemen - Financieel systeem - Dienstverlening zaaksysteem
BIG instrumenten, een
nadere uitleg
Versie 1.5
Instrumenten • • • • •
48
0-meting Impactanalyse Baselinetoets Diepgaande Risicoanalyse Privacy Impact Assessment (PIA)
Instrumenten: GAP analyse en impactanalyse • De GAP analyse is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG • De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen • Dus ook richting leveranciers van informatiesystemen
49
Instrumenten: baselinetoets • Zo eenvoudig mogelijk opgezet • Toetsen door middel van BIV en P vragen • Tweeledig doel: – Een bestaand systeem te toetsen of de baseline voldoende beschermd – Toetsen van een nieuw proces/informatiesysteem of de baseline voldoende is of dat er meer nodig is. • Resultaat: – BIG is voldoende – BIG is niet voldoende, voer diepgaande risicoanalyse uit en voer eventueel een PIA uit – Geeft inzicht in BIV+P ten opzichte van de BIG 50
Instrumenten: diepgaande risicoanalyse • Vervolg op de baselinetoets • Kan leiden tot aanvullende controls en maatregelen bovenop de BIG controls en maatregelen • Minimaal tijd benodigd van proceseigenaar, systeembeheerders etcetera • In korte tijd te doen • Mogelijk focus op BIV+P uit baselinetoets
51
Instrumenten: PIA • Richtsnoeren • Indien de P-vragen uit de baselinetoets aanleiding geven tot een PIA • Vragenlijst gericht op privacy vraagstukken • Eenvoudige rapportage • Leidt tot eventueel aanvullende beveiligings-/privacymaatregelen • Toekomst verplicht (EU-wetgeving)
52
53
Stappenplan gemeenten
Top risico’s sociaal domein
54
Top Risico’s
Oplossingen
Onzorgvuldig handelen Gebruikers Beheerders Leveranciers
Bewustwording Logging en monitoring en auditing Systeem documentatie Opleidingen
Derde Partijen en Cloud
Contracten, Bewerkersovereenkomsten, SLA’s en TPM
Mobiele devices
Mobile Device Management Zero footprint
Toegang tot data door onbevoegden, lekken van informatie (boetes)
- Management committment - Bewustwording -Logisch toegangsbeheer, afscherming op kolom, regel of tabelniveau, RBAC etcetera Encryptiemaatregelen -Indienst- en uitdienst- en functiewijziging procedures - Cloud aandachtspunten -Logging en monitoring
Besmettingen
Patchmanagement Hardening Antimalware maatregelen Back-up
Enkele praatplaten
Versie 1.5
Samenhang producten
56
Informatiebeveiliging en Privacy in IV Projecten
Verkennin g
Definitie
Realisatief ase
Ontwerpen Functioneel Ontwerp Technisch Ontwerp Beheer en Governance Ontwerp
Baselintetoets Informatiebeveiliging en Privacy B ≤ 8 I ≤ 14 V ≤ 14
Maatregelen Baseline
Inkoop Programma van Eisen Contracten Leveranciers Convenant gebruikers SLA DAP
B > 8 I > 14 V > 14 P > 3 Diepgaande Risico Analyse en/of Privacy Impact Analyse
Maatregelen Baseline +
Privacy Functionaris gegevensbeschermin g Transparantiedocume nt Bewerkersovereenko mst Projectaudits
Testen Testplan Pentest Functioneel Technisch
Werkinstructies Gebruikers Functioneel beheer Technisch/applicati e beheer
Overview Baseline Toets en Risicoanalyse Informatiebeveiliging
Versie 1.5
Overzicht Baselinetoets 1. Intakegesprek voeren
2. Analyseren proces
3. Vaststellen betrouwbaarheidseisen BIV-P
SETTING
Gesprek met opdrachtgever, meestal projectleider
Afstemming met proceseigenaar
Terugkoppeling aan opdrachtgever
WERKWIJZE
In kaart brengen scope, diepgang, planning, brondocumenten, respondenten etc.
In kaart brengen procesomgeving, Samenhang, inhoud en eisen
Consolideren van de eisen, bepalen vervolgstappen
STAP
Generiek Procesmodel
TOOLS
Baselinetoets
RESULTAAT
Plan van Aanpak / planning voorbereiding analyse
Procesmodel en eerste beeld van de eisen
UREN INDICATIEF
1 uur opdrachtgever 10 uur voorbereiding en uitwerken
4 uur opdrachtgever 8 uur uitwerken (per proces)
Waarderingstabellen
Schema vervolgstappen
Geconsolideerd beeld van de eisen Inzicht in de Vervolgstappen
1 uur opdrachtgever
Baselinetoets, tijd benodigd van de opdrachtgever • Uitgangspunt: scope is één systeem • Baselinetoets lijkt op A-analyse / BIA aanpak – Sessie/interview met proceseigenaar: 3 a 4 uur. – Terugkoppeling 1 uur • Totaal dus zo'n 5 uur tijd aan opdrachtgever kant • Overige tijd is voorbereiding en uitwerking door analist
60
Overview diepgaande risicoanalyse Door eigenaar, niet in scope
7. Opstellen Plan
STAP
4. Analyseren Informatiesysteem
5. Analyseren bedreigingen
6. Vaststellen maatregeldoelstellingen
SETTING
Gesprek met systeemeigenaar, meestal functioneel beheerder
Gesprek met systeemeigenaar, meestal functioneel beheerder
Uitwerking door Analist en terugkoppeling aan opdrachtgever
Terugkoppeling aan opdrachtgever
WERKWIJZE
In kaart brengen informatiesysteem alsmede eisen
Bepalen relevante bedreigingen i.r.t. gevolgen
Formuleren maatregeldoelstellingen o.b.v. de eisen en relevante bedreigingen
Opstellen implementatieplan per verantwoordelijke
Invulmatrix gevolgen & bedreigingen
BIG MaatregelDoelstellingen en eigen maatregeldoelstellingen
Opzet implementatieplan
Samenhangend pakket maatregeldoelstellingen
Implementatieplan informatiebeveiliging
TOOLS
MAPGOOD Invulformulier Waarderingstabellen
RESULTAAT
MAPGOOD formulier ingevuld en eerste beeld van de eisen
Overzicht van de relevante bedreigingen
UREN INDICATIEF
4 uur systeembeheer/ functioneelbeheer 8 uur voorbereiden en uitwerken
4 uur Gesprek(ken) met systeemeigenaar 20 uur voorbereiden en uitwerken
20 uur
20 uur samen met CISO en opdrachtgever
Diepgaande risicoanalyse, tijd benodigd van de opdrachtgever • Uitgangspunt: één systeem – Map goed als dat nog niet is gedaan: tot 4 uur met systeemeigenaar – dreigingenanalyse 2 tot max 3 dagdelen met systeemeigenaren – maatregelen (op Maatregel/Doelstelling niveau) vaststellen, alleen de afstemming met proces/ systeemeigenaar 4 uur • Overige tijd is voorbereiding en uitwerking door analist • Leidt tot maatregeldoelstellingen die in stap 8 worden aangescherpt, dat plan doet de eigenaar zelf 62
