Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Informatiebeveiligingsdienst ‘Het is nu of nooit’ Assen, 6 Maart 2014

Anita van Nieuwenborg

De IBD
Gezamenlijk initiatief VNG en KING
Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning als het gaat om informatiebeveiliging
I.s.m. het Nationaal Cyber Security Centrum (NCSC)
Voor alle gemeenten
Sinds 1 januari 2013 actief •

Tot medio 2013: start inrichting en voorbereiding op uitrol


Vanaf medio 2013 

2

Dienstverlening gefaseerd inrichten en uitbouwen

Doelen van de IBD

3

(1/2)

Doelen van de IBD

(2/2)

De IBD heeft drie concrete doelen. Hierbij staat kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging bij gemeenten centraal:

1. Bewustzijn het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging.

2. Preventie, detectie en coördinatie het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging.

3. Projecten het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen.

4

Dienstverlening m.b.t. Doel 1: Bewustwording

Waarzegger http://www.youtube.com/watch?v=B4hwS_mxz8s

5

6

Dienstverlening m.b.t. Doel 1: Bewustwording Om dit doel te bereiken werkt de IBD nauw samen met de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID).

7




Opgericht in februari 2013 voor een periode van 2 jaar door Minister Plasterk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.




De IBD ontwikkelt samen met de Taskforce BID concrete initiatieven en producten die gemeenten ondersteunen zich verder te ontwikkelen op informatiebeveiligingsvlak.

Dienstverlening m.b.t. Doel 3: Projecten  Ondersteuning t.b.v. het ICT-Beveiligingsassessment DigiD

8

Of..  De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)



Strategische Baseline Informatiebeveiliging Gemeenten Tactische Baseline Informatiebeveiliging Gemeenten

Operationele producten BIG • • • • • • • • • • • • 9

Patch management Handreiking dataclassificatie Handleiding screening personeel Anti-malware beleid Mobile Device Management Mobiele gegevensdragers Back-up en Recovery Gemeente Implementatie BIG Voorbeeld Informatiebeveiligingsbeleid Gemeenten GAP-analyse Geheimhoudingsverklaringen BIG ….

Of..  Verlagen van de Auditlast
NORA Katern IB
Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID)
Centrum Informatiebeveiliging en Privacybescherming (CIP)
Eenduidige Normatiek en Single Information Audit (ENSIA)

34

79

5

52

62

11

34

23

67

62

BIG 302 maatregelen 10

Resolutie, Informatieveiligheid, randvoorwaarde voor de professionele gemeente Dragen het bestuur van de VNG op om bij het rijk en ketenpartners te bewerkstelligen dat: 1. De BIG als basisnormenkader voor het gemeentelijke domein wordt erkend. 2. De minister van BZK zorgt voor hergebruik van bestaande informatie en beperking van audit- en monitorlast. Hierbij is het principe van Single Information Single Audit het uitgangspunt. 3. Gemeenten voldoende tijd krijgen voor een gefaseerde en gedifferentieerde implementatie van informatieveiligheid die gebaseerd is op lokale afwegingen en financieringsmogelijkheden. 4. Helderheid komt over een voor gemeenten werkbare meldplicht bij datalekken. 5. Een externe adviserende (interbestuurlijke) visitatiecommissie wordt ingericht, gefinancierd door het Rijk. 6. Wet- en regelgeving zo beperkt mogelijk wordt gehouden.

11

De IBD-dienstverlening is een feit  Helpdesk van de IBD De IBD heeft een Helpdesk, waar gemeenten al hun vragen over informatiebeveiliging kunnen stellen.

 Community Een community waar door en tussen gemeenten kennis en ervaring op informatiebeveiligingsvlak kunnen worden uitgewisseld:
Ook de producten van de BIG
Ook andere documenten die gemeenten willen delen

12

Alle gemeenten zijn aangesloten, echter…

13

Dienstverlening m.b.t. Doel 2: Incidentpreventie, -detectie en -coördinatie Eén van de doelen van de IBD is het aan gemeente leveren van concrete ondersteuning in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. Dit doel vertaalt zich in een drietal verantwoordelijkheden richting gemeenten: 1. Incidentpreventie  Doel: Voorkomen van incidenten. Een specifieke dienstverlening op dit vlak is Kwetsbaarheidswaarschuwingen 2. Incidentdetectie  Doel: Tegengaan van verdere verspreiding van mogelijke virussen, wormen, botnetten en aanvallen van buitenaf 3. Incidentcoördinatie  Doel: in geval van incidenten, de technische-, financiële- en imagoschade voor gemeente beperken en het voorkomen van verspreiding van deze incidenten. Een specifieke dienstverlening op dit vlak is: Crisiswoordvoering Om invulling te geven aan deze verantwoordelijkheden heeft de IBD een dienstenportfolio ontwikkeld. Een deel hiervan kunt u altijd afnemen. 14

Het stappenplan ‘Aansluiten bij de IBD’ Waarom officieel aansluiten bij de IBD? Om u als gemeente concreet te ondersteunen als IBD, is een ‘officiële’ aansluiting noodzakelijk. U dient hier als gemeente een aantal zaken voor in te richten:

15

Stap 1:

Stap 2:

Het aanstellen van een Algemene Contactperso on Informatiebeveiliging (ACIB)

Het aanstellen van een Vertrouwd Contactperso on Informatiebeveiliging (VCIB)

Stap 3: Het doorgeven van IPadressen en URL’s

Stap 4: Het doorgeven van in gebruik zijnde harden software (gem. ICTfoto)

Overzicht stappenplan •ACIB Formulier ● Waarschuwingen, factsheets Stap 1: •Incident management proces ● Incidenten melden ACIB

•VCIB Formulier Stap 2: •Handtekening bevoegd vertegenwoordiger

● Vertrouwelijke waarschuwingen ● Vertrouwelijke Incidenten melden

VCIB

Stap 3:

•Lijst met IP en url’s invullen

IP en URL’s

•Lege foto invullen •Configuration en patch Stap 4: management

ICT-foto

16

● Waarschuwingen over mogelijk geinfecteerde systemen

● Kwetsbaarheidswaarschuwingen op maat

Meer informatie over de IBD? – Website en community: www.IBDgemeenten.nl – Mail: [email protected] – Helpdesk IBD: 070 3738011 – Map

17

•

Factsheet IBD algemeen

•

Factsheet IBD-dienstenportfolio

•

Factsheet IBD-aansluitproces

Samen staan we sterk

18

Workshops 13.30 – 14.30 : Aansluiten bij de IBD, waarom eigenlijk ?  Uitleg over de dienstverlening van doel ‘incidenten’  Uitleg over het stappenplan voor het aansluiten

14.45 – 15.45 : Een goed gesprek: VCIB-aansluitsessie.  Voor die Vertrouwde Contactpersonen Informatiebeveiliging (VCIB’s) die nog een VCIB-gesprek moeten voeren met de IBD.  Ook voor diegenen die verwachten als VCIB aangewezen te worden

19

Vragen?

20