AANSLUITEN BIJ DE IBD. Het stappenplan

AANSLUITEN BIJ DE IBD Het stappenplan

Auteur

IBD

Datum

Maart 2014

2

Inhoud 1.

Inleiding

4

1.1 Dienstenportfolio van de IBD 1.2 Officieel aansluiten bij de IBD 1.3 Bestuurlijk draagvlak 1.4 Overzicht van de stappen in het aansluitproces

4 5 6 6

2. Stap 1: Een ACIB

7

2.1 Doel van deze stap 2.2 Wat moet u doen? 2.3 Wat doet de IBD? 2.4 Hoe wordt deze stap afgerond?

7 7 7 8

3. Stap 2 : Een VCIB

9

3.1 Doel van deze stap 3.2 Wat moet u doen? 3.3 Wat doet de IBD? 3.4 Hoe wordt deze stap afgerond?

9 9 9 10

4. Stap 3: Een lijst met IP-adressen en URL’s

11

4.1 Doel van deze stap 4.2 Wat moet u doen? 4.3 Wat doet de IBD? 4.4 Hoe wordt deze stap afgerond?

11 11 11 11

5.1 Stap 4: Een gemeentelijke ICT-foto

13

5.1 Doel van deze stap 5.2 Wat moet u doen? 5.3 Wat doet de IBD? 5.4 Hoe wordt deze stap afgerond?

13 13 14 14

Bijlage 1: IBD-aansluitformulier ACIB

15

Bijlage 2: IBD-aansluitformulier VCIB

16

Bijlage 3: Lijst met gemeentelijke IP-adressen en URL’s

18

Bijlage 4: Aansluitformulier Kwetsbaarheidswaarschuwingen

19

Bijlage 5: Toelichting op de gemeentelijke ICT-foto

20

3

1.

Inleiding

De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de collectieve keuze van gemeenten voor coördinatie en ondersteuning op het gebied van informatiebeveiliging via de IBD. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. Eén van de doelen van de IBD is het aan gemeenten leveren van concrete ondersteuning in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. Om invulling te geven aan dit doel, heeft de IBD een dienstenportfolio ontwikkeld. Een deel van dit dienstenportfolio kunt u altijd afnemen. Voor een ander deel, wat zich richt op uw specifieke gemeentelijke situatie, moet u officieel aangesloten zijn bij de IBD. De IBD werkt hierbij nauw samen met het Nationaal Cyber Security Centrum (NCSC). Dit stappenplan beschrijft gedetaileerd het aansluitproces bij de IBD. Heeft u nog aanvullende vragen na het lezen van dit stappenplan dan kunt u contact opnemen met de IBD middels de Helpdesk van de IBD 070 373 8011 of via het emailadres [email protected].

1.1 Dienstenportfolio van de IBD De IBD heeft drie concrete doelen. Bij het bereiken van deze doelen staat kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging bij gemeenten centraal. 1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. Doel twee vertaalt zich in de uitwerking naar een drietal verantwoordelijkheden richting gemeenten: 1. 2. 3.

Incidentpreventie Incidentdetectie Incidentcoördinatie

Om invulling te geven aan deze verantwoordelijkheden heeft de IBD een dienstenportfolio ontwikkeld. Een deel van dit dienstenportfolio kunt u altijd afnemen. Voor een ander deel, wat zich richt op uw specifieke gemeentelijke situatie, moet u officieel aangesloten zijn bij de IBD. De IBD werkt hierbij nauw samen met het Nationaal Cyber Security Centrum (NCSC). 4

Het dienstenportfolio ziet er als volgt uit: 1. Incidentpreventie Het doel van Incidentpreventie voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over algemene dreigingen, door informatie te verzamelen over gemeentelijke incidenten en hierover periodiek te rapporteren.  Kwetsbaarheidswaarschuwingen Het doel van de dienstverlening „Kwetsbaarheidswaarschuwingen‟ voor gemeenten is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over bij de IBD bekende aankomende of acute ICTgerelateerde beveiligingsrisico‟s, zoals kwetsbaarheden in soft- en/of hardware. 2. Incidentdetectie Het doel van Incidentdetectie voor gemeenten is het tegengaan van verdere verspreiding van mogelijke virussen, wormen, botnetten en aanvallen van buitenaf. De IBD waarschuwt die gemeenten waarvan bekend is dat deze gemeenten geïnfecteerde systemen hebben. 3. Incidentcoördinatie Het doel van Incidentcoördinatie voor gemeenten is, in het geval van incidenten, het beperken van de technische-, financiële- en imagoschade voor gemeenten. Het doel is tevens het voorkomen van verspreiding van deze incidenten. Een specifieke dienstverlening op dit vlak is:  Crisiswoordvoering Het doel van crisiswoordvoering is om de impact van een incident of crisis zo gering als mogelijk te houden voor gemeenten. De IBD ondersteunt in geval van incidenten of crisis bij gemeenten middels concrete tips aan de woordvoerder van gemeenten.

1.2 Officieel aansluiten bij de IBD Om u als gemeente concreet te kunnen ondersteunen, is een „officiële‟ aansluiting van uw gemeente bij de IBD noodzakelijk. Zo‟n „officiële‟ aansluiting betekent enerzijds dat u als gemeente een aantal zaken dient in te richten om de IBD-dienstverlening af te nemen en anderzijds dat de IBD van u concrete informatie nodig heeft om gericht te kunnen handelen. Om het aansluitproces voor u als gemeente zo overzichtelijk als mogelijk te maken is in dit document een stappenplan beschreven voor het aansluiten bij de IBD. Hierin is per stap beschreven wat u als gemeenten moet doen, wie u dit binnen uw gemeente het beste kunt laten doen, wat u van de IBD kunt verwachten als u het hebt gedaan en hoe iedere stap wordt afgerond.

5

1.3 Bestuurlijk draagvlak Parallel aan de, in dit document beschreven stappen, is het nuttig en wenselijk om bestuurlijke aandacht te vragen voor het aansluiten op de diensten van de IBD. Dit draagt ten eerste bij aan de verbinding tussen bestuur en ambtenaren op het vlak van informatiebeveiliging, ten tweede is dit nodig omdat B&W een rol heeft tijdens het aansluitproces. De burgemeester (of de gemeentesecretaris) moet namelijk de Vertrouwde Contactpersoon Informatiebeveiliging voor de gemeente aanstellen in stap 2 en heeft een rol bij ernstige crisissituaties op het vlak van informatiebeveiliging. In het licht van de toenemende digitalisering van gemeentelijke bedrijfsvoering en dienstverlening is aandacht voor informatiebeveiliging niet alleen nuttig maar ook noodzakelijk geworden. De IBD draagt hier graag haar steentje aan bij. Samen met uw gemeente en ook samen met bestuurders van uw gemeente. Want juist door intensief samen te werken, kan informatiebeveiliging in de volle breedte een onderwerp worden dat blijvend aandacht krijgt binnen uw gemeente. Ook aan de bestuurstafel.

1.4 Overzicht van de stappen in het aansluitproces Nr.

Stap

Wat moet een gemeente doen? - IBD aansluitformulier ACIB invullen - Incident proces inrichten

1.

Aanstellen ACIB (aanstellen van een Algemene Contactpersoon Informatiebeveiliging (ACIB))

2.

Aanstellen VCIB (aanstellen van een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB))

- IBD aansluitformulier VCIB invullen inclusief handtekening gemeentesecretaris of burgemeester

3.

Doorgeven IPadressen en URL‟s

4.

Aanleveren gemeentelijke ICTfoto

- Lijst met gemeentelijke IP-adressen en URL‟s invullen - De lege foto invullen - Configuratiemanagement en patchmanagement proces inrichten

6

Wat krijgt de gemeente? - Waarschuwingen en informatie met een niet vertrouwelijk karakter over algemene bedreigingen en incidenten - Mogelijkheid om incidenten te melden bij de IBD - Waarschuwingen en informatie met een vertrouwelijk karakter over mogelijke bedreigingen en incidenten - Mogelijkheid om incidenten, waarbij ook vertrouwelijke gegevens worden uitgewisseld, te melden bij de IBD - Waarschuwingen over mogelijk geïnfecteerde systemen - IBD kwetsbaarheidswaarschuwingen op maat over mogelijke kwetsbaarheden in hard- en software

2. Stap 1: Een ACIB 2.1 Doel van deze stap Door een Algemene Contactpersoon Informatiebeveiliging (ACIB) aan te stellen, kan uw gemeente gebruik maken van de IBD-dienstverlening behorende bij Incidentpreventie, – detectie, en -coördinatie. Bovendien krijgt u hierdoor als gemeente meer grip op uw Incident Management Proces.

2.2 Wat moet u doen? Om er voor te zorgen dat u als gemeente optimaal gebruik kunt maken van de IBDdienstverlening behorende bij Incidentpreventie, -detectie en -coördinatie, is het van belang dat de IBD in ieder geval beschikt over actuele contactgegevens van de gemeentelijke Algemene Contactpersoon Informatiebeveiliging (ACIB). Bij sommige incidenten is het bovendien mogelijk dat bij de uitvoering van deze dienstverlening vertrouwelijke gegevens worden uitgewisseld. Dit doet de IBD alleen met een gemeentelijke Vertrouwde Contactpersoon Informatiebeveiliging (VCIB). Dat kan alleen als u stap 2 van het aansluitproces heeft doorlopen. U kunt meerdere personen als ACIB doorgeven. Denk echter goed na over het aantal mensen dat als ACIB wordt aangesteld. Zoveel mogelijk mensen op de lijst zetten, heeft als nadeel dat iedereen kan denken dat de ander persoon het wel oppakt. Als er slecht 1 persoon op de lijst staat, loopt u als gemeente het risico dat het niet wordt opgepakt als deze persoon er niet is. Immers, de IBD kan geen helaas opvolging geven aan „out-ofoffice‟ antwoorden op mailtjes. Het is van groot belang dat uw gemeente het Incident Management Proces ingericht en operationeel heeft. Dit, omdat incidentmeldingen vaak een spoedeisend karakter hebben, waarbij gestructureerde opvolging noodzakelijk is. In de veelgestelde vragen op de IBD-website vindt u antwoorden op vragen als “Welke functionaris kan ik voor mijn gemeente het beste invullen op het ACIB-formulier?” en “Kan de ACIB en VCIB dezelfde persoon zijn?”. U kunt de contactgegevens op het IBD-aansluitformulier ACIB (zie bijlage 1) invullen en het formulier mailen aan [email protected]. Een Word versie van het formulier kunt u vinden op de IBD-website op de pagina „downloads Informatiebeveiligingsdienst‟ onder het kopje „aansluitformulieren‟.

2.3 Wat doet de IBD? De IBD registreert de gegevens van de ACIB in haar systemen. Hierna ontvangt u automatisch algemene incidentmeldingen per e-mail.

7

2.4 Hoe wordt deze stap afgerond? De ACIB ontvangt een bevestigingsbericht per e-mail dat hij/zij voortaan door de IBD als ACIB van uw gemeente wordt gezien. Na het afronden van deze stap kunt u de Helpdesk van de IBD 24 uur per dag, 7 dagen per week, bellen voor het melden van incidenten op telefoonnummer 070-373 8011. Tijdens kantooruren reageert de IBD binnen 30 minuten op een incidentmelding. Buiten kantooruren is de IBD bereikbaar voor spoedeisende meldingen en zal de IBD binnen 60 minuten reageren op een telefonische oproep. U bent als gemeente zelf verantwoordelijk voor het actueel houden van de contactgegevens van de ACIB. U kunt de contactgegevens wijzigen door opnieuw een IBD-aansluitformulier ACIB in te vullen en te mailen naar [email protected].

8

3. Stap 2 : Een VCIB 3.1 Doel van deze stap Door een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) aan te stellen kan uw gemeente optimaal gebruik maken van de dienstverlening behorende bij Incidentpreventie, -detectie, -coördinatie, ook als er vertrouwelijke gegevens moeten worden uitgewisseld. Een tweede doel van deze stap is uw gemeente voor te bereiden op de volgende stappen in het aansluitproces. Zonder aangestelde VCIB kunnen de stappen 3 en 4 van dit stappenplan namelijk niet worden uitgevoerd.

3.2 Wat moet u doen? Bij het gebruik van de IBD-dienstverlening aangaande Incidentpreventie, -detectie en coördinatie komt het regelmatig voor dat door de IBD vertrouwelijke informatie wordt verstrekt. Reden waarom de IBD van uw gemeente één of meer Vertrouwde Contactpersonen Informatiebeveiliging (VCIB) dient vast te leggen. Het NCSC en de IBD behandelen de door gemeenten aangeleverde informatie vertrouwelijk en verwachten dat ook van u als gemeente. Door als gemeente een Vertrouwde Contactpersoon Informatiebeveiliging (VCIB) aan te stellen en de contactgegevens aan de IBD door te geven, kunt u deze dienstverlening bij de IBD afnemen. De burgemeester of de gemeentesecretaris is verantwoordelijk voor het aanstellen van een VCIB. In de veelgestelde vragen op de IBD-website vindt u antwoorden op vragen als “Welke functionaris kan ik voor mijn gemeente het beste invullen op het VCIB-formulier?” en “Moet met iedere VCIB een intake-gesprek gevoerd worden?”. U kunt de contactgegevens op het IBD-aansluitformulier VCIB (zie bijlage 2) invullen en het formulier mailen aan [email protected]. Een Word versie van het formulier kunt u vinden op de IBD-website op de pagina „downloads Informatiebeveiligingsdienst‟ onder het kopje „aansluitformulieren‟.

3.3 Wat doet de IBD? De IBD registreert de gegevens van de VCIB in haar systemen. Met de VCIB wordt door de IBD individuele intakegesprekken gevoerd om afspraken te maken over wat deze vertrouwelijkheid inhoudt. Zo kan het voorkomen dat de VCIB informatie ontvangt, die absoluut niet met anderen binnen uw gemeente gedeeld mag worden.

9

3.4 Hoe wordt deze stap afgerond? Uw VCIB ontvangt een bevestigingsbericht per e-mail dat hij/zij voortaan door de IBD als VCIB van uw gemeente wordt gezien. Uw burgemeester en/of gemeentesecretaris ontvangt een bevestiging per e-mail dat zijn/haar gemeente stap 1 en 2 van het aansluiten bij de IBD heeft doorlopen, inclusief de na(a)m(en) van de aangemelde ACIB(‟s) en VCIB(‟s) en een uitleg over de volgende stappen in het proces. Zodra de vertrouwelijke contactpersonen zijn vastgelegd bij de IBD, zijn dit de personen die incidenten met een vertrouwelijk karakter mogen melden en opvolgen bij de IBD. De gemeente is zelf verantwoordelijk voor het actueel houden van de contactgegevens van de VCIB. U kunt de contactgegevens wijzigen door opnieuw een IBDaansluitformulier VCIB in te vullen en te mailen naar [email protected].

10

4. Stap 3: Een lijst met IP-adressen en URL’s 4.1 Doel van deze stap Nadat de VCIB is vastgelegd bij de IBD, kunt u als gemeente uw IP- adressen en URL‟s doorgeven aan de IBD en hierdoor gebruik gaan maken van de dienstverlening behorende bij Incidentdetectie.

4.2 Wat moet u doen? De IBD vraagt u om een lijst met IP-adressen en URL‟s te maken en deze door te geven aan de IBD. U kunt een voorbeeld van deze lijst vinden in bijlage 3. Een Word versie van het formulier kunt u vinden op de IBD-website op de pagina „downloads Informatiebeveiligingsdienst‟ onder het kopje „aansluitformulieren‟. De lijst dient u te versleutelen en te mailen naar [email protected]. Stuur het wachtwoord niet mee. De IBD neemt telefonisch contact met u op over het wachtwoord van het versleutelde document. In de veelgestelde vragen op de IBD-website vindt u antwoorden op vragen als “Hoe versleutel ik de formulieren voor stap 3 en 4?” en “Welke IP-adressen moet de gemeente doorgeven als het gaat om ketenpartijen (bijv. Zorgloket)?”. De in gebruik zijnde gemeentelijke IP-adressen en URL‟s worden gebruikt door de IBD, i.s.m. met het NSCS om te controleren of deze voorkomen op lijsten die het NCSC ontvangt. Bijvoorbeeld lijsten met systemen die contact hebben gezocht met een bepaald Botnet.

4.3 Wat doet de IBD? De IBD neemt de gegevens op in haar systemen en geeft de gegevens anoniem door aan het NCSC.

4.4 Hoe wordt deze stap afgerond? De VCIB ontvangt een ontvangstbevestiging van het versleutelde bestand. De VCIB ontvangt een e-mail op het moment dat de IP-adressen en URL‟s zijn opgenomen in het geautomatiseerde detectieprogramma van het NCSC. Dit kan enkele weken duren. Indien daarna een besmetting is geconstateerd die betrekking heeft op uw gemeente, neemt de IBD contact op met de VCIB per e-mail of telefoon.

11

Uw burgemeester en/of gemeentesecretaris ontvangt een bevestiging per e-mail dat zijn/haar gemeente stap 3 van het aansluiten bij de IBD heeft doorlopen en een uitleg over de volgende stappen in het proces. De gemeente is zelf verantwoordelijk voor het actueel houden van de IP-adressen en URL‟s. U kunt de gegevens wijzigen door opnieuw een Lijst met gemeentelijke IPadressen en URL‟s in te vullen en te mailen naar [email protected].

12

5.1 Stap 4: Een gemeentelijke ICT-foto 5.1 Doel van deze stap Door informatie aan te leveren over de bij uw gemeente in gebruik zijnde hard- en software, kunt u gebruik maken van de dienstverlening „Kwetsbaarheidswaarschuwingen‟ voor gemeenten. Het doel van de dienstverlening Kwetsbaarheidswaarschuwingen is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over bij de IBD bekende aankomende of acute ICT-gerelateerde beveiligingsrisico‟s, zoals kwetsbaarheden in soft- en/of hardware.

5.2 Wat moet u doen? In overleg met het NCSC is een bestand samengesteld met veel voorkomende hard- en software, de zogenaamde „lege gemeentelijke ICT-foto‟. Deze lege foto kunt u opvragen bij de IBD. In het lege foto-bestand dient u aan te geven welke hard- en software bij uw gemeente in gebruik is. Voor het invullen van de lege foto heeft de IBD een aparte toelichting opgesteld. Deze toelichting vindt u in bijlage 5. Behalve het vullen van de foto moet u nadenken over de beste plek waar de Kwetsbaarheidswaarschuwingen in de organisatie kunnen binnenkomen. Dit kan de ACIB zijn, maar bijvoorbeeld ook een helpdesk of servicedesk. Belangrijk is dat de waarschuwingen worden geregistreerd, dat gestructureerd opvolging wordt gegeven en dat duidelijk is in welke gevallen er geëscaleerd moet worden. In bijlage 4 vindt u het „aansluitformulier Kwetsbaarheidswaarschuwingen‟, waarop u apart kunt aangeven waar de waarschuwingen moeten binnenkomen, wie het periodiek overzicht van de waarschuwingen moet ontvangen en naar welk mobiel nummer een sms gezonden moet worden als er een kwetsbaarheidwaarschuwing is met een hoge inschatting van zowel kans als impact (een zgn. [H/H]-advies). Een Word versie van het formulier kunt u vinden op de IBD-website op de pagina „downloads Informatiebeveiligingsdienst‟ onder het kopje „aansluitformulieren‟. In de veelgestelde vragen op de IBD-website vindt u antwoorden op vragen als “Hoe vul ik de lege ICT-foto?” en “Hoe versleutel ik de formulieren voor stap 3 en 4?”. Stuur het gevulde ingevulde en ondertekende aansluitformulier Kwetsbaarheidswaarschuwingen en het versleutelde foto-bestand aan [email protected]. Stuur het wachtwoord niet mee. De IBD neemt telefonisch contact met u op over het wachtwoord van het versleutelde document.

13

5.3 Wat doet de IBD? De IBD registreert de geleverde gegevens in haar systemen.

5.4 Hoe wordt deze stap afgerond? De VCIB en de ACIB ontvangen een e-mail op het moment dat de IBD de gemeentelijke ICT-foto in haar systemen heeft verwerkt. Vanaf dit moment ontvangt uw gemeente gerichte Kwetsbaarheidswaarschuwingen. Uw burgemeester en/of gemeentesecretaris ontvangt een bevestiging per e-mail dat zijn/haar gemeente stap 4 van het aansluiten bij de IBD heeft doorlopen met de mededeling dat het aansluitproces bij de IBD is voltooid.

14

Bijlage 1: IBD-aansluitformulier ACIB Naam Gemeente: Algemeen Contactpersoon Informatiebeveiliging Naam

De heer / Mevrouw

Functie E-mailadres Telefoonnummer kantoor Telefoonnummer mobiel 1 (voorkeur) Telefoonnummer mobiel 2 (alternatief) Handtekening Tweede Algemeen Contactpersoon Informatiebeveiliging Naam

De heer / Mevrouw

Functie E-mailadres Telefoonnummer kantoor Telefoonnummer mobiel 1 (voorkeur) Telefoonnummer mobiel 2 (alternatief) Handtekening

Dit document verzenden naar [email protected] De persoonsgegevens die de Informatiebeveiligingsdienst voor gemeenten (IBD) verwerkt ten behoeve van haar dienstverlening vallen onder het Vrijstellingenbesluit van de WBP. De Informatiebeveiligingsdienst respecteert uw privacy en draagt er zorg voor dat uw persoonlijke informatie vertrouwelijk en in overeenstemming met de WBP wordt behandeld. Deze gegevens worden niet aan derden doorgegeven, tenzij u hiervoor toestemming hebt gegeven of wij hiertoe wettelijk verplicht zijn.

15

Bijlage 2: IBD-aansluitformulier VCIB

Naam Gemeente: Vertrouwde Contactpersoon Informatiebeveiliging Naam

De heer / Mevrouw

Functie E-mailadres Telefoonnummer kantoor Telefoonnummer mobiel 1 (voorkeur) Telefoonnummer mobiel 2 (alternatief) Tweede Vertrouwde Contactpersoon Informatiebeveiliging Naam

De heer / Mevrouw

Functie E-mailadres Telefoonnummer kantoor Telefoonnummer mobiel 1 (voorkeur) Telefoonnummer mobiel 2 (alternatief) Bevoegd vertegenwoordiger Naam Functie E-mail adres

16

Ondertekening 1. Vertrouwde Contactpersoon Informatiebeveiliging Ondergetekende, aangewezen als Vertrouwde Contactpersoon Informatiebeveiliging van de gemeente voor de IBD, verklaart de vertrouwelijke gegevens die hem door de IBD ter beschikking worden gesteld vertrouwelijk te behandelen. Naam : Datum : Handtekening:

2. Tweede Vertrouwde Contactpersoon Informatiebeveiliging Ondergetekende, aangewezen als Vertrouwde Contactpersoon Informatiebeveiliging van de gemeente voor de IBD, verklaart de vertrouwelijke gegevens die hem door de IBD ter beschikking worden gesteld vertrouwelijk te behandelen. Naam : Datum : Handtekening:

3. Bevoegd vertegenwoordiger Ondergetekende, bevoegd vertegenwoordiger van de gemeente verklaart dat de op dit formulier ingevulde contactpersonen bevoegd zijn de gemeente te vertegenwoordigen in haar contacten met de IBD, en bevoegd zijn om vertrouwelijke gegevens te behandelen namens de gemeente. Naam : Datum : Handtekening :

Dit document verzenden naar [email protected] De persoonsgegevens die de Informatiebeveiligingsdienst voor gemeenten (IBD) verwerkt ten behoeve van haar dienstverlening vallen onder het Vrijstellingenbesluit van de WBP. De Informatiebeveiligingsdienst respecteert uw privacy en draagt er zorg voor dat uw persoonlijke informatie vertrouwelijk en in overeenstemming met de WBP wordt behandeld. Deze gegevens worden niet aan derden doorgegeven, tenzij u hiervoor toestemming hebt gegeven of wij hiertoe wettelijk verplicht zijn.

17

Bijlage 3: Lijst met gemeentelijke IP-adressen en URL’s Gemeente: Begin IP adres

Eind IP adres

URL

Eventuele hostingpartij

Range Range Range

IP nummer

Noodnummer hostingpartij

Vertrouwde Contactpersoon Informatiebeveiliging Naam: Datum:

Handtekening:

Dit document versleuteld verzenden naar [email protected]. Stuur het wachtwoord niet mee. De IBD neemt telefonisch contact met u op over het wachtwoord van het versleutelde document.

De persoonsgegevens die de Informatiebeveiligingsdienst voor gemeenten (IBD) verwerkt ten behoeve van haar dienstverlening vallen onder het Vrijstellingenbesluit van de WBP. De Informatiebeveiligingsdienst respecteert uw privacy en draagt er zorg voor dat uw persoonlijke informatie vertrouwelijk en in overeenstemming met de WBP wordt behandeld. Deze gegevens worden niet aan derden doorgegeven, tenzij u hiervoor toestemming hebt gegeven of wij hiertoe wettelijk verplicht zijn.

18

Bijlage 4: Aansluitformulier Kwetsbaarheidswaarschuwingen Naam Gemeente:

E-mailadressen voor verzending Kwetsbaarheidswaarschuwingen

E-mailadressen voor verzending periodiek overzicht Kwetsbaarheidswaarschuwingen

Telefoonnummer mobiel voor sms bij H/H waarschuwingen (let op, ook buiten kantoortijd!) (vult u hier niets in dan ontvangt u geen SMS bij H/H)

Vertrouwde Contactpersoon Informatiebeveiliging Naam : Datum: Handtekening :

Het bestand ‘Gemeentelijke ICT-foto’ moet versleuteld verzonden worden naar [email protected] het wachtwoord niet mee. De IBD neemt telefonisch contact met u op over het wachtwoord van het versleutelde document.

De persoonsgegevens die de Informatiebeveiligingsdienst voor gemeenten (IBD) verwerkt ten behoeve van haar dienstverlening vallen onder het Vrijstellingenbesluit van de WBP. De Informatiebeveiligingsdienst respecteert uw privacy en draagt er zorg voor dat uw persoonlijke informatie vertrouwelijk en in overeenstemming met de WBP wordt behandeld. Deze gegevens worden niet aan derden doorgegeven, tenzij u hiervoor toestemming hebt gegeven of wij hiertoe wettelijk verplicht zijn.

19

Bijlage 5: Toelichting op de gemeentelijke ICTfoto Hoe komt de lege foto tot stand? De IBD stelt een zogenaamde „Lege ICT-foto‟ ter beschikking aan gemeenten die willen aansluiten bij de IBD. Dit is een Excel-bestand met veel voorkomende hard- en softwareproducten. Het is een selectie uit de productenlijst van het Amerikaanse normalisatieinstitut NIST (http://nvd.nist.gov/cpe.cfm) die is aangevuld met specifieke gemeentelijke software uit o.a. de KING-softwarecatalogus. In de „foto‟ is een speciaal veld opgenomen waarin het Common Platform Enumeration (CPE) ID staat. Als een product dit ID heeft, is dit de unieke CPE identificatie zoals die is vastgelegd door NIST.

Hoe vul ik de ICT-foto? De IBD realiseert zich dat niet iedere gemeente beschikt over een actuele en volledige CMDB die de benodigde informatie voor de „foto‟ eenvoudig en snel kan leveren. Daarom hieronder een kort overzicht van een aantal verschillende manieren om de benodigde informatie voor het vullen van de „foto‟ te verzamelen en actueel te houden. Idealiter verloopt het proces als volgt: IBD levert de „Lege ICT-foto‟ De gemeente vergelijkt dit bestand met de gemeentelijke CMDB en plaatst in het lege fotobestand een vinkje bij de items die in gebruik zijn De gemeente versleutelt dit bestand en mailt het naar [email protected] Is er geen volledige CMDB voorhanden dan heeft u als gemeente nog de volgende mogelijkheden om zonder veel moeite de „ICT-foto‟ te vullen: Combineer afzonderlijke overzichten (inkoop, contractbeheer, facturen, losse databases bij netwerkbeheer of servicedesk, licentiebeheer, verzekeringsoverzichten e.d.) Gebruik tooling (scanning, spider) om uw componenten geautomatiseerd in kaart te brengen Maak een rondje langs netwerk- en systeembeheerders met de „Lege ICT-foto‟ Denk van buiten naar binnen, welke systemen komen eventuele hackers als eerste tegen? Zorg er in ieder geval voor dat die systemen vermeld staan in de ‟Lege ICT-foto‟

Hoe vaak moet ik een nieuwe ‘foto’ aanleveren? De IBD adviseert u om jaarlijks een nieuwe „ICT-foto‟ aan te leveren bij de IBD. Bij grote wijzigingen aan de infrastructuur of operatingsystemen is het raadzaam om vlak hierna een nieuwe „foto‟ te leveren aan de IBD.

Hoe werkt dat bij gemeentelijke samenwerkingsverbanden? Als u onderdeel uitmaakt van een samenwerkingsverband van verschillende gemeenten en u beheert de gehele ICT van alle gemeenten in één omgeving, dan hoeft u maar één „foto‟ aan te leveren bij de IBD.

20

Beheert u meerdere afzonderlijke omgevingen voor verschillende gemeenten dan kunt u er voor kiezen om per gemeente een afzondelijke „ICT-foto‟ te leveren. Denk er dan wel aan om ook afzonderlijke aansluitformulieren kwetsbaarheidswaarschuwingen in te vullen met per omgeving een apart e-mailadres. Op die manier kunt u makkelijk onderscheiden welke kwetsbaarheidswaarschuwing op welke gemeente van toepassing is.

21

INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD)

NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82 [email protected] WWW.IBDGEMEENTEN.NL

22