agendapunt 3.b.6 1182044
Aan College van Dijkgraaf en Hoogheemraden NOTITIE BEVEILIGING (ICT-FYSIEK) Portefeuillehouder Datum Aard bespreking Afstemming
Haersma Buma, M.A.P. van 31 maart 2015 Informatief BDV/MBDV BDV/IA 0 40431
Bijlagen Zaaknummer Gremia
Datum
Aard
PFO Hae DMT D&H
16-03-2015 18-03-2015 31-03-2015
I I I
Advies/ besluit Gewijzigd akkoord (Geen)
Parafering Geparafeerd door: Brandt, M.H.J.
Gevraagd besluit College van Dijkgraaf en Hoogheemraden 31-03-2015 I.
Kennis te nemen van de activiteiten van Delfland op het gebied van informatiebeveiliging / ICT-maatregelen en fysieke beveiliging.
Besluit College van Dijkgraaf en Hoogheemraden 31-03-2015
Notitie beveiliging ( ICT-Fysiek)
1.
Probleemstelling - context
Het thema Beveiliging heeft volop de aandacht. Ging het in voorgaande jaren vooral over de fysieke beveiliging (inbraak, brand, schade) van mensen en middelen, de laatste tijd is ook de beveiliging van de informatie een belangrijk onderwerp. Bij Delfland ziet men in dat deze aspecten van beveiliging niet op zichzelf staan, maar in elkaar verweven zijn. Daarom wordt Beveiliging in toenemende mate in samenhang bekeken en nu ook gerapporteerd. 2.
Beoogd effect
Grip en overzicht op het thema Beveiliging (in samenhang over alle aspecten). 3.
Kernboodschap
Op alle vlakken van beveiliging, zowel de informatiebeveiliging / ICT maatregelen als de fysieke beveiliging, is Delfland actief om deze op orde te krijgen cq. te houden. De activiteiten worden vanuit team FAZ, I&A en de CIO gecoördineerd. Het is belangrijk om te realiseren dat 100% veiligheid niet bestaat, maar met de grote set aan maatregelen wordt de kans op incidenten zo klein mogelijk gemaakt en worden de gevolgen van eventuele incidenten bovendien tot een minimum beperkt. 4.
Historie - eerdere besluitvorming
N.v.t. 5.
Regelgeving en Beleid
De Waterschappen zijn als overheid continu betrokken bij zowel fysieke beveiliging als de beveiliging van de gegevens, informatie als de bijbehorende informatiesystemen. Voor de informatiebeveiliging wordt de BIWA (Baseline Informatiebeveiliging Waterschappen) gebruikt als leidraad. Hiertoe is binnen team I&A een coördinator Informatiebeveiliging aangewezen. Voor de fysieke beveiliging wordt de BIWA ook gebruikt als leidraad. Binnen team FAZ is de senior medewerker Bedrijfsmiddelen hiervoor aangewezen. 6.
Financiën
n.v.t. 7. n.v.t.
Duurzaamheid
8.
Organisatorische en personele consequenties
De activiteiten op het gebied van beveiliging worden uitgevoerd en gecoördineerd binnen de bestaande organisatie. 9.
OR/GO
n.v.t. 10.
Risico- en beheersmaatregelen
De activiteiten in het kader van de beveiliging zijn op zichzelf risicobeheersende maatregelen. Zie hiervoor paragraaf 14, Toelichting. 11.
Communicatie (in- en extern)
n.v.t. 12.
Bekendmaking en vervolgprocedure
De voortgang op het gebied van beveiliging wordt aan het PFO gerapporteerd. 13.
Bevoegd orgaan
n.v.t. 14.
Toelichting
Informatiebeveiliging is en blijft een belangrijk onderwerp voor Delfland. In de afgelopen jaren zijn er al een flink aantal maatregelen op het gebied van informatiebeveiliging geïmplementeerd. Hierbij gaat het niet alleen om technische / IT maatregelen – informatiebeveiliging is een bedrijfsbreed thema.
BIWA
Techniek / Architectuur
Voorkomen / detectie
Bewustwording / Fysieke beveiliging / Procedures
Draaiboeken / Procedures
Reactie / Robuustheid
Trainingen
Op elk van deze vlakken is Delfland actief om de beveiliging op orde te krijgen cq. te houden.
2
BIWA
De BIWA (Baseline Informatiebeveiliging Waterschappen) is het beleid waaraan de informatiebeveiliging van Delfland wordt getoetst. Als zodanig wordt het door Delfland gebruikt: het is de leidraad aan de hand waarvan de activiteiten worden ontplooid en bestuurlijk worden terug gemeld. De BIWA bevat een groot aantal richtlijnen, dus de implementatie van maatregelen dient gecoördineerd plaats te vinden – hiervoor heeft Delfland een functionaris aangewezen.
Techniek / Architectuur
Op het gebied van de techniek en het ontwerp van de informatievoorziening van Delfland (de ‘architectuur’) kan de status van de beveiliging het best via een aantal voorbeelden worden toegelicht: Het netwerk van Delfland is goed beveiligd tegen aanvallen van buitenaf - zo is de afgelopen jaren gebleken bij het uitvoeren van de jaarlijkse security scan Kritieke ICT infrastructuur is dubbel uitgevoerd (verbindingen, data, applicaties) Er is een uitwijkvoorziening geregeld De SCADA systemen en de beheerobjecten zijn niet rechtstreeks via het internet te benaderen. Men moet altijd eerst aanloggen op het netwerk van Delfland en kan pas daarna inloggen op de SCADA systemen (2-step authentication). Ook leveranciers krijgen alleen via deze weg toegang Telewerkfaciliteit middels SMS authenticatie beveiligd Het Wifi netwerk is gescheiden in een Delfland netwerk en een Wifi-gasten netwerk. Via Wifi-gasten komen gebruikers alleen op het internet terecht waarna ze via webmail of telewerk faciliteiten bij Delfland terecht kunnen komen Follow-me printing is ingevoerd – hierdoor wordt voorkomen dat geprinte documenten op de printer blijven liggen In 2015 staan de volgende activiteiten gepland: -
-
-
Mobile Device Management. Hiermee wordt het beheren van smartphones, tablets en laptop nog beter georganiseerd. De testomgevingen worden geanalyseerd op gebruik en aanwezige gebruikersnamen In het kader van de BIWA zullen de volgende technische maatregelen worden doorgevoerd: o De schermbeveiliging instellingen worden afgestemd op de norm van de BIWA o Time-out settings van applicaties worden geanalyseerd en daar waar nodig aangepast aan de BIWA norm o Procedures rondom Identificatie van netwerkapparatuur wordt opgesteld Er worden procedures opgesteld over hoe om te gaan met log-gegevens en het monitoren van log-gegevens – hiermee wordt het mogelijk om patronen en trends vast te stellen Het overzicht van de door Delfland gebruikte certificaten wordt geactualiseerd en de procedure hoe om te gaan met gecompromitteerde certificaten wordt geactualiseerd. Een onderzoek wordt gestart naar het implementeren van een Intrusion Detection Systeem Huidige systemen worden geanalyseerd op functiescheiding en toegekende rechten Het gebruik van testdata door medewerkers van Delfland en externe partijen wordt geanalyseerd Bij het doorvoeren van wijzigingen in applicaties wordt voorkomen dat leverancier ongeplande, ongeoorloofde wijzigen doorvoeren. Alle wijzigingen worden getoetst binnen het I&A besturingsmodel
3
-
Delfland is met een aantal partners begonnen aan een innovatief onderzoek naar veilige gegevensuitwisseling tussen sensoren in het veld en de inwinsystemen over publieke netwerken (onder de naam ‘Weightless Water’)
Bewustwording / Fysieke beveiliging / Procedures
Draaiboeken / Procedures
Als de bewustwording en de fysieke beveiliging wordt beschouwd, dan is de status van de beveiliging als volgt samen te vatten: Er is een integriteitsbeleid, diverse protocollen en uitgebreide informatiepagina’s op intranet en deze zijn gecommuniceerd naar medewerkers. Er zijn diverse maatregelen getroffen voor de fysieke beveiliging van server ruimtes en klimaat controle en noodstroomvoorziening zijn geïmplementeerd Het I&A wijzigingsproces loopt goed, en diverse andere I&A processen zijn beschreven en geïmplementeerd. BIV-codering voor applicaties is opgesteld Informatiebeveiliging is een belangrijk onderdeel geworden in het nieuwe I&A besturingsmodel (I-loket, architectuur) De rol van Informatiebeveiligingscoördinator is belegd Bewustwording van management groeit Alle kantoorpanden en Zuiveringen zijn uitgerust met toegangscontrolesysteem (kaartlezers, camera’s, intercom, slagbomen en hekwerken) Er zijn workflows voor uitgifte, wijziging en inname toegangspassen Er is beleid ten aanzien van de ingerichte autorisaties (beveiligingsschillen)van het toegangscontrole systeem. Alle kantoorpanden en Zuiveringen zijn aangesloten op de PAC (Particuliere Alarm Centrale) waarbij alle brand, inbraak en storingsmeldingen binnen komen. Het hoofdkantoor beschikt over een brandmeldinstallatie en een inbraakinstallatie Alle overige kantoorpanden en Zuiveringen beschikken over een, ontruimingsinstallatie en een inbraakinstallatie Er zijn contracten ten aanzien van onderhoud beveiligings- en toegangscontrole installaties, blusmiddelen en brandmeldinstallaties Alle kantoorpanden zijn uitgerust met brandhaspels en overige blusmiddelen Alle kantoorpanden (op kantoor Kijkduin en Kulkweg 100 na) worden geopend en gesloten door bewakingsdienst. Alle kantoorpanden (op kantoor Kijkduin en Kulkweg 100 na) zijn uitgerust met een receptie Er is een bezoekersprocedure waarbij bezoeker opgehaald moet worden Er is een procedure handboek bij alle recepties ten aanzien van de uitgifte van bezoekers- en leverancierspassen, diverse storingen en calamiteiten Team FAZ heeft een wachtdienst zodat er op storingen/calamiteiten na kantoortijd conform procedure wordt geacteerd Bij falen Nutsvoorzieningen wordt automatisch geschakeld op UPS en noodstroomaggregaat in alle kantoorpanden en Zuiveringen In 2015 worden op dit gebied de volgende activiteiten ontplooid: De iBewustzijn campagne loopt ook dit jaar door waarmee de bewustwording van heel Delfland op het gebied van informatiebeveiliging wordt vergroot Aansluiten op Nationaal Respons Netwerk Op basis van diverse nulmetingen (kantoorautomatisering, procesautomatisering, fysieke beveiliging en een aantal BIWA onderwerpen) zullen maatregelenplannen worden opgesteld en na risico analyse, worden uitgevoerd De procedures rondom back-up en recovery worden geactualiseerd De procedures rondom wachtwoorden en het gebruik van wachtwoorden worden onderzocht en daar waar nodig aangescherpt De procedures fysieke beveiliging en recepties worden geactualiseerd In het PVE Gemeenlandshuis Delft worden de beveiligingsschillen herzien
4
Trainingen
Trainingen op het gebied van beveiliging zijn bij Delfland gecentreerd rondom het calamiteitenbestrijdingsplan. Dit plan wordt momenteel uitgebreid met een aantal I&A thema’s. Dit jaar zullen aan de hand van dit bestrijdingsplan een aantal oefeningen worden georganiseerd. Thema’s in dit plan zijn duidelijk gericht op de robuustheid: virusuitbraak, uitvallen internet, uitvallen netwerk en uitvallen telefonie. 15.
Bijlagen
5
Alleen in te vullen indien het een VV-voorstel betreft ** = in te vullen door team Bestuur
Kenmerk VV
:
…**
Vergaderdatum
:
…
Beleidsveld
:
…
Agendapunt
:
…**
De Verenigde Vergadering van Delfland, op voordracht van dijkgraaf en hoogheemraden van …(datum collegevergadering), kenmerk …(BIS-zaaknummer D&H besluit); gelezen het positieve/negatieve …(bij ondertekening doorstrepen wat niet van toepassing is) advies van de commissie(s) …(commissie noemen); overwegende dat: … (motiveer het besluit, waarom wordt dit besluit genomen). Gelet op: … artikel 84 van de Waterschapswet (bij D&H-voostellen); artikel 77 van de Waterschapswet (bij VV-voorstellen); alle andere wetgeving (zoals KRW, NBW, verordening Zuid-Holland, delegatiebesluit etc.; Besluit: … Dit moet in overeenstemming zijn met het ontwerpbesluit (ontwerpbesluit kopiëren).
Aldus besloten in de openbare vergadering van …(datum) De Verenigde Vergadering voornoemd, de Secretaris,
de Voorzitter,
mr. drs. P.I.M. van den Wijngaart
mr. M.A.P. van Haersma Buma