Strategisch Informatiebeveiligingsbeleid
Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012
Inhoudsopgave 1.
MANAGEMENTSAMENVATTING ..................................................................................................... 1
2.
INTRODUCTIE .................................................................................................................................. 3
3.
BELEIDSPRINCIPES INFORMATIEBEVEILIGING ................................................................................ 5
4.
INFORMATIEBEVEILIGING ............................................................................................................... 7 4.1
Definitie van informatiebeveiliging ......................................................................................... 7
4.2
Belang van informatiebeveiliging ........................................................................................... 7
4.3
Reikwijdte van informatiebeveiliging ..................................................................................... 7
4.4
Wettelijke verplichtingen rondom informatiebeveiliging ....................................................... 8
4.5
De code voor informatiebeveiliging ........................................................................................ 8
4.6
Samenwerken en de gevolgen voor informatiebeveiliging .................................................... 8
4.7 Informatiebeveiligingsbeleid en het informatiebeveiligingsplan .................................................. 9 5.
INFORMATIEBEVEILIGINGSBELEID ................................................................................................ 11 5.1
5.1.1
Het bestuur .................................................................................................................. 11
5.1.2
De directie .................................................................................................................... 11
5.1.3
De concerncontroller ................................................................................................... 11
5.1.4
De informatiebeveiligingsfunctionaris (IBF) ................................................................. 12
5.1.5
De procesverantwoordelijke ........................................................................................ 12
5.2
Beheer van bedrijfsmiddelen ................................................................................................ 12
5.3
Beveiliging van personeel ..................................................................................................... 12
5.4
Fysieke beveiliging en beveiliging van de omgeving ............................................................. 13
5.5
Beheer van communicatie-‐ en bedieningsprocessen ........................................................... 13
5.6
Toegangsbeveiliging .............................................................................................................. 13
5.7
Verwerving, ontwikkeling en onderhoud van informatiesystemen ..................................... 13
5.8
Beheer van informatiebeveiligingsincidenten ...................................................................... 13
5.9
Bedrijfscontinuïteitbeheer .................................................................................................... 14
5.10 6.
Organisatie van Informatiebeveiliging .................................................................................. 11
Naleving ............................................................................................................................ 14
CLASSIFICATIE VAN INFORMATIE, PROCESSEN EN SYSTEMEN ..................................................... 15 6.1
Criteria voor het classificeren ............................................................................................... 15
6.2
Baseline informatiebeveiliging ............................................................................................. 16
pagina i
pagina ii
Informatiebeveiligingsbeleid 2013
1. MANAGEMENTSAMENVATTING Noodzaak van informatiebeveiliging Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor de organisatie. Betrouwbare informatie is bijvoorbeeld van essentieel belang voor een kwalitatief hoogwaardige én efficiënte dienstverlening, en een belangrijke basisvoorwaarde voor een succesvolle samenwerking met externe partners. Maar ook burgers en bedrijven verwachten dat er zorgvuldig wordt omgegaan met privacygevoelige informatie. De gemeente heeft een belangrijke verantwoordelijkheid op dit gebied. Informatiebeveiliging Informatie kan in verschillende vormen bestaan: schriftelijk, gesproken, digitaal, et cetera. Welke vorm informatie ook heeft, zij dient altijd op een gepaste wijze te worden beschermd tegen al dan niet opzettelijk onheil. Informatiebeveiliging reikt dan ook verder dan alleen de geautomatiseerde informatiesystemen en de ICT-‐infrastructuur. Het hoort bij de verantwoordelijkheden van elke manager en medewerker. Bewustzijn is de belangrijkste beveiligingsmaatregel. Informatiebeveiliging maakt het mogelijk dat de juiste informatie op het juiste moment voor de juiste personen beschikbaar is. Om deze betrouwbaarheid te garanderen, is er diverse wet-‐ en regelgeving op dit gebied. Daarnaast hanteert de gemeente de Code voor Informatiebeveiliging (NEN / ISO / IEC 27002:2007) als uitgangspunt en normenkader. Samenwerking met externe partijen De gemeente werkt in toenemende mate samen met partners in diverse ketens, gemeentelijke samenwerkingsvormen of besteedt taken uit. De gemeente blijft echter te allen tijde eindverantwoordelijk. Zij voert de regie over de dienstverlening. Reikwijdte Het strategisch informatiebeveiligingsbeleid is onderdeel van het informatiebeleid. Het beschrijft de ambitie van de gemeente op het gebied van de betrouwbaarheid van de informatievoorziening en wordt eens in de vier jaar herzien, of eerder wanneer daar aanleiding toe is. Het informatie-‐ beveiligingsplan concretiseert dit strategisch beleid en beschrijft welke beveiligingsmaatregelen gekozen zijn en welke richtlijnen er gelden voor de implementatie ervan. Organisatie van de informatiebeveiliging Bij het uitvoeren informatiebeveiligingstaken worden verschillende rollen onderscheiden. Elke rol heeft specifieke verantwoordelijkheden met betrekking tot informatiebeveiliging. De proces-‐ verantwoordelijke is binnen zijn of haar proces altijd verantwoordelijk en rapporteert onder andere binnen de Planning &Control-‐cyclus over de betrouwbaarheid van de informatievoorziening. Incidenten met betrekking tot informatiebeveiliging worden bijgehouden in het incidentenregister.
pagina 1
Informatiebeveiligingsbeleid 2013 Classificatie van informatie De drie kwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit bepalen gezamenlijk de betrouwbaarheid van de informatievoorziening. Voor elk kwaliteitsattribuut hanteert de gemeente de classificatieniveaus ‘normaal’, ‘hoog’ en ‘zeer hoog’. Het daadwerkelijk classificeren van de informatie, applicaties en processen is in het implementatieplan verder uitgewerkt.
pagina 2
Informatiebeveiligingsbeleid 2013
2. INTRODUCTIE Gemeenten zijn als eerste overheid het visitekaartje voor de gehele overheid en het eerste aanspreekpunt voor inwoners en bedrijven. De kwaliteit van de informatiehuishouding is in sterke mate bepalend voor de dienstverlening en behoorlijk bestuur. De informatiehuishouding voorziet in de beschikbaarheid van (1) de juiste informatie, (2) voor de juiste mensen, (3) op de juiste tijd en (4) in de juiste vorm en maakt zo effectieve besluitvorming en dienstverlening mogelijk. Informatiebeveiliging neemt in de informatiehuishouding een prominente positie in. Ze zorgt ervoor dat alle organisatorische, procedurele en technische beveiligingsmaatregelen geborgd zijn, zodat de continuïteit van de informatie en informatievoorziening zijn gegarandeerd en eventuele gevolgen van beveiligingsincidenten zijn beperkt. De urgentie om nu kordaat de informatiebeveiliging op te pakken is recentelijk duidelijk geworden door enkele landelijk in het nieuws gekomen beveiligingsincidenten bij overheden: in 2012 kwam bijvoorbeeld aan het licht dat DigiD-‐certificaten, waarmee burgers veilig zaken met de overheid moeten kunnen doen, gekraakt waren. In oktober van datzelfde jaar -‐ omgedoopt tot ‘lektober’ -‐ zijn veel overheidssites vatbaar gebleken voor inbraak, toen beveiligingsexperts om de kwetsbaarheid van deze sites aan te tonen actief tot hacken overgingen.
Zoals bovenstaande afbeelding laat zien, bestaat informatiebeveiliging niet in een vacuüm. In de maatschappelijke context zien we dat de communicatie tussen burgers, bedrijven en (gemeentelijke) overheid steeds vaker digitaal verloopt. Ook landelijke ontwikkelingen zoals decentralisaties, ketensamenwerking en veranderende wet-‐ en regelgeving hebben grote invloed op de informatievoorziening van de gemeente. Ze leveren vele voordelen op in de (elektronische) dienstverlening, de transparantie van overheidsoptreden en de efficiëntie van de bedrijfsvoering. Tegelijkertijd vraagt dit een voortdurende aandacht voor de kwetsbaarheden in de informatievoorziening die met nieuwe manieren van werken gepaard kunnen gaan. Ontwikkelingen in de externe omgeving vragen om een flexibel meebewegen van de organisatie met alle veranderingen. Het gemeentelijk informatiebeleid en informatiebeleidsplan (beide vastgesteld door het College, respectievelijk de Raad) geleiden deze veranderingen op het gebied van de informatievoorziening voor de interne bedrijfsvoering. In deze sturing op de informatievoorziening vormt informatiebeveiliging een wezenlijk aspect. Het informatiebeveiligingsbeleid bestaat uit een sturend kader (het beleid zelf), een baseline (waarmee processen en systemen zijn te positioneren in een risicoclassificatie) en een beveiligingsplan (dat concrete maatregelen bevat die de komende jaren geëffectueerd moeten
pagina 3
Informatiebeveiligingsbeleid 2013 worden). De gemeenten Nieuwegein, Montfoort en IJsselstein hebben het informatiebeveiligingsbeleid gezamenlijk vormgegeven. Hiermee is harmonisatie op dit beleidsterrein bereikt, waarmee we ook in de toekomst kunnen samenwerken aan duurzame oplossingen in de informatiebeveiliging.
pagina 4
Informatiebeveiligingsbeleid 2013
3. BELEIDSPRINCIPES INFORMATIEBEVEILIGING De hieronder genoemde beleidsprincipes gelden als uitgangspunt bij het verder ontwikkelen van maatregelen, spelregels en afspraken rondom de informatiebeveiliging van de gemeente. De principes volgen in grote lijnen de beveiligingscategorieën uit de code voor informatiebeveiliging. • Informatiebeveiliging zit in ons DNA (informatiebeveiligingsbeleid) De klassieke informatiebeveiligingsaanpak waarbij inperking van de mogelijkheden de boventoon voert, maakt plaats voor veilig faciliteren. Informatiebeveiliging is op een natuurlijke manier ingebed in de activiteiten van de organisatie en het handelen van de medewerkers. • Aansluiten op bestaande standaarden (informatiebeveiligingsbeleid) Waar mogelijk wordt bij de realisatie van de informatiebeveiliging gebruik gemaakt van (landelijke) standaarden of veelgebruikte, bewezen oplossingen. • Informatiebeveiliging is van iedereen (personeel) Informatiebeveiliging is een integraal onderdeel van het proces en hoort bij de taken en verantwoordelijkheden van elke manager en medewerker. Bewustzijn en zorgvuldig handelen zijn de belangrijkste beveiligingsmaatregelen. • De gemeente blijft eindverantwoordelijk (computer-‐ en netwerkbeheer) De gemeente voert de regie over de dienstverlening. Met alle samenwerkingspartners maakt de gemeente afspraken over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen. Samenwerkingspartners die zich niet kunnen of willen conformeren aan het normenkader kunnen niet aansluiten op de basisinfrastructuur van de gemeente. • Incidenten worden gemeld (beheer van informatiebeveiligingsincidenten) Elk incident op het gebied van informatiebeveiliging wordt ten minste gemeld aan de procesverantwoordelijke. Deze rapporteert over de incidenten in de Planning &Control cyclus. Het incidentenregister wordt gebruikt om trends te signaleren en dient als input bij de revisie van het beveiligingsplan. • Privacy en vertrouwelijke informatie (naleving) De medewerkers van de gemeente gaan integer om met privacygevoelige gegevens en vertrouwelijke informatie. Persoonsgegevens worden adequaat beveiligd. Dit wordt periodiek getoetst. • Wettelijke verplichtingen en auteursrechtelijk beschermd materiaal (naleving) De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de informatie-‐ beveiligingsaspecten binnen hun proces(sen) en dat de gemeente niet in strijd met wet-‐ en regelgeving handelt. Auteursrechtelijk beschermd materiaal wordt niet gekopieerd zonder toestemming van de eigenaar. Dit geldt ook voor programmatuur; voor alle aanwezige software (en gebruikers) zijn geldige licenties beschikbaar.
pagina 5
Informatiebeveiligingsbeleid 2013
pagina 6
Informatiebeveiligingsbeleid 2013
4. INFORMATIEBEVEILIGING Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor de organisatie. Informatie kan in verschillende vormen bestaan. Denk aan schriftelijke informatie, gesproken informatie, digitaal vastgelegde informatie, et cetera. Welke vorm informatie ook heeft, zij dient altijd op een geschikte wijze te worden beschermd tegen al dan niet opzettelijk onheil.
4.1 Definitie van informatiebeveiliging Informatiebeveiliging maakt het mogelijk dat de juiste informatie op het juiste moment voor de juiste personen beschikbaar is. De gemeente hanteert de volgende definitie voor informatiebeveiliging: ‘het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid van de informatievoorziening te waarborgen’. De term ‘betrouwbaarheid’ bestaat uit drie kwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit die als volgt worden gedefinieerd: • beschikbaarheid gaat over de mate waarin informatie op de juiste momenten beschikbaar is; • vertrouwelijkheid gaat over de mate waarin toegang tot informatie beperkt is tot diegenen die daartoe bevoegd zijn; • integriteit gaat over de mate waarin informatie correct geregistreerd en zonder fouten is.
4.2 Belang van informatiebeveiliging Een betrouwbare informatievoorziening is van essentieel belang voor een kwalitatief hoogwaardige én efficiënte dienstverlening. Digitale dienstverlening en zaakgericht werken zijn alleen mogelijk wanneer de basisgegevens op orde zijn en wanneer kan worden gerekend op de betrouwbaarheid van de informatievoorziening. Burgers en bedrijven verwachten daarnaast dat er zorgvuldig wordt omgegaan met privacygevoelige informatie. De gemeente heeft op dit gebied een belangrijke wettelijke en maatschappelijke verantwoordelijkheid en hecht belang aan het beschermen van de privacy van haar klanten. De betrouwbaarheid van de informatievoorziening is tenslotte een belangrijke basisvoorwaarde voor een succesvolle samenwerking met externe (keten)partners. Veel informatiesystemen binnen de gemeente zijn niet ontworpen met het oog op veiligheid. De beveiliging die met technische middelen kan worden bereikt is beperkt. Er zullen dus aanvullende procedures en passende beheersmaatregelen opgesteld moeten worden om tot een geschikt beveiligingsniveau te komen. Het definiëren, bereiken, onderhouden en verbeteren van de informatiebeveiliging kan van essentieel belang zijn voor de naleving van wet-‐ en regelgeving, het maatschappelijk belang en het imago van de gemeente.
4.3 Reikwijdte van informatiebeveiliging Het aspect informatiebeveiliging is een onderdeel van het strategisch informatiebeleid. Het reikt verder dan alleen de geautomatiseerde informatiesystemen en de ICT-‐infrastructuur. Het hoort in het bewustzijn en bij de taken en verantwoordelijkheden van elke manager en medewerker. De
pagina 7
Informatiebeveiligingsbeleid 2013 toenemende digitalisering maakt beveiliging van informatie wel belangrijker en complexer. Informatiesystemen zijn steeds vaker met elkaar verbonden en er vindt meer uitwisseling in de keten plaats, de impact van een verstoring kan daardoor groot zijn. Daarnaast ligt er een risico in het (onbewust) naar buiten brengen van informatie door medewerkers. Informatiebeveiliging wordt bereikt door een geschikte verzameling beheersmaatregelen in te zetten, waaronder organisatorische maatregelen, welke betrekking hebben op de organisatie als geheel, logische maatregelen verwerkt in programmatuur en fysieke maatregelen gebaseerd op apparatuur of andere materiële zaken. Deze beheersmaatregelen moeten worden vastgelegd, gecontroleerd, beoordeeld en continu verbeterd om te waarborgen dat de specifieke beveiligings-‐ en bedrijfsdoelstellingen van de gemeente worden bereikt. Dit behoort te worden gedaan in samenhang met andere bedrijfsprocessen.
4.4 Wettelijke verplichtingen rondom informatiebeveiliging De betrouwbaarheid van overheidsinformatie moet worden gegarandeerd. Daarom is er een aantal wettelijke verplichtingen waar elke overheidsinstantie aan moet voldoen. In wetten op dit gebied, zoals de Wet Bescherming Persoonsgegevens (WBP), de regelgeving met betrekking tot de Basisadministratie Persoonsgegevens en Reisdocumenten (BRP), de Structuur Uitvoering Werk en Inkomen (SUWI), de DigiD-‐audits en de toekomstige meldplicht ICT-‐incidenten zijn 1 beveiligingsverplichtingen opgenomen . Deze verplichtingen hebben gevolgen voor de inrichting van de gemeentelijke informatievoorziening. De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de informatiebeveiligingsaspecten binnen hun proces(sen) en dat de gemeente niet in strijd met wet-‐ en regelgeving handelt.
4.5 De code voor informatiebeveiliging Als normenkader en uitgangspunt hanteert de gemeente de code voor informatiebeveiliging. Deze internationale norm (NEN / ISO / IEC 27002:2007) is een algemeen aanvaarde basis voor informatiebeveiliging die door het College Standaardisatie is vastgesteld als standaard voor de Nederlandse overheid.
4.6 Samenwerken en de gevolgen voor informatiebeveiliging De gemeente werkt in toenemende mate samen met partners in diverse ketens, gemeentelijke samenwerkingsvormen of besteedt taken uit. De gemeente blijft echter te allen tijde eindverantwoordelijk. Zij voert de regie over de dienstverlening. De toenemende samenwerking met ketenpartners zal er toe leiden dat er steeds vaker, en op diverse manieren, informatie wordt uitgewisseld. Hier kunnen kwetsbaarheden ontstaan. Als ketenpartners aansluiten op de basisinfrastructuur van de gemeente, dienen zij zich te conformeren aan ons normenkader. Met alle samenwerkingspartners maakt de gemeente heldere afspraken over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen, zodat ze zich op basis van afspraken over het niveau van de informatiebeveiliging richting de lokale politiek kan verantwoorden. Deze afspraken hebben gevolgen voor de inrichting van de informatievoorziening
1
Dit betreft geen uitputtende opsomming.
pagina 8
Informatiebeveiligingsbeleid 2013 van de gemeente. Het is belangrijk dat de gemeente controle heeft over de betrouwbaarheid van de informatievoorziening en dat het mogelijk is om organisatie brede wijzigingen of nieuwe standaarden door te voeren.
4.7 Informatiebeveiligingsbeleid en het informatiebeveiligingsplan In het informatiebeveiligingsbeleid wordt de ambitie van de gemeente op het gebied van de betrouwbaarheid van de informatievoorziening op strategisch niveau vastgelegd. Het informatiebeveiligingsplan concretiseert dit beleid. Het beschrijft welke beveiligingsmaatregelen gekozen zijn, waarom de betreffende maatregelen gekozen zijn, welke middelen hierbij worden gebruikt en welke richtlijnen er gelden voor de implementatie ervan. Omdat het informatiebeveiligingsplan verscheidene gegevens bevat die gevoelig zijn voor veroudering, dient dit plan regelmatig geactualiseerd te worden. De afbeelding hieronder geeft de plaats van deze documenten in bredere samenhang aan:
pagina 9
Informatiebeveiligingsbeleid 2013
pagina 10
Informatiebeveiligingsbeleid 2013
5. INFORMATIEBEVEILIGINGSBELEID In dit hoofdstuk wordt beschreven hoe de gemeente de borging van het kwaliteitsaspect informatiebeveiliging in de organisatie heeft belegd. Het kernelement daarbij is bewustzijn: beveiliging is in eerste instantie een kwestie van mentaliteit. Formeel kunnen richtlijnen over beveiligingsbeleid worden verstrekt aan alle werknemers, belangrijker is dat er aandacht wordt besteed aan cultuur, houding, bewustwording, kennis en opleiding. Bij een goede bewustwording is informatiebeveiliging op een natuurlijke manier ingebed in de activiteiten van de organisatie en het handelen van de medewerkers. De indeling hieronder volgt die van NEN / ISO / IEC 27002:2007.
5.1
Organisatie van Informatiebeveiliging
Bij het uitvoeren van het proces informatiebeveiliging worden de volgende rollen onderscheiden: het bestuur, de directie, de concerncontroller, de afdelingshoofden en de informatiebeveiligingsfunctionaris (IBF). We benoemen hier uitsluitend algemene rollen; het kan voorkomen dat deze rollen in de organisatie andere benamingen of samenstellingen hebben. In de volgende paragrafen worden de verantwoordelijkheden en bevoegdheden van deze rollen beschreven.
5.1.1 Het bestuur
Het college van B&W stelt het informatiebeveiligingsbeleid vast en delegeert de uitvoering hiervan aan de directie. Het college informeert de Raad en legt verantwoording af aan de raad.
5.1.2 De directie De directie zorgt ervoor dat: • de organisatie in staat is om de verschillende verantwoordelijkheden te dragen; • er wordt gerapporteerd over de betrouwbaarheid van de informatievoorziening aan het college van B&W; • de controle op de informatiebeveiliging binnen de organisatie is gewaarborgd.
5.1.3 De concerncontroller De concerncontroller is verantwoordelijk voor: • de periodieke controle op de juiste naleving, de werking, de effectiviteit en de kwaliteit van de maatregelen; • de controle op de voortgang van het uitvoeren van de maatregelen uit het informatiebeveiligingsplan; • de controle op de periodieke revisie van het informatiebeveiligingsbeleid (elke vier jaar) en op het informatiebeveiligingsplan (jaarlijks).
pagina 11
Informatiebeveiligingsbeleid 2013
5.1.4 De informatiebeveiligingsfunctionaris (IBF) De IBF heeft een adviserende taak, daarbij gelden de volgende verantwoordelijkheden: • stelt het informatiebeveiligingsplan op en zorgt voor de jaarlijkse revisie van dat plan; • ondersteunt de directie en de procesverantwoordelijken met kennis over informatiebeveiliging zodat zij hun verantwoordelijkheid voor de betrouwbaarheid van de informatievoorziening juist kunnen invullen; • is op de hoogte van de interne en externe invloeden die van invloed zijn op het informatiebeveiligingsbeleid en de jaarlijkse informatiebeveiligingsplannen. In het geval van ernstige informatiebeveiligingsincidenten mag de IBF, wanneer dat noodzakelijk is, buiten de hiërarchie om rechtstreeks met de directie communiceren over alle aspecten van informatiebeveiliging (vertrouwelijkheid, integriteit en beschikbaarheid).
5.1.5 De procesverantwoordelijke De procesverantwoordelijke is verantwoordelijk voor: • de (informatie)beveiliging en de betrouwbaarheid van hun proces; • het uit (laten) voeren van maatregelen uit het informatiebeveiligingsplan, die voor het betreffende proces van toepassing zijn; • de registratie van informatiebeveiligingsincidenten in een incidentenregister en de juiste afhandeling en evaluatie van incidenten; • rapportage binnen de Planning &Control-‐cyclus over het aspect informatiebeveiliging; • het bevorderen van bewustwording van medewerkers op het gebied van informatiebeveiliging; • is aanspreekpunt voor de medewerkers van de gemeente over het onderwerp informatiebeveiliging; • het maken en toetsen van beveiligingsafspraken met derde partijen, voor zover van toepassing in het betreffende proces.
5.2
Beheer van bedrijfsmiddelen
De taken en verantwoordelijkheden op dit gebied zijn onder andere: • toewijzen en verantwoorden van alle bedrijfsmiddelen aan een verantwoordelijke eigenaar; • gebruik van classificatieschema’s om bij de verwerking van informatie de noodzaak, prioriteiten en verwachte graag van bescherming te kunnen aangeven.
5.3
Beveiliging van personeel
De taken en verantwoordelijkheden op dit gebied zijn onder andere: • bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheid begrijpen, en het risico van diefstal, fraude of misbruik van faciliteiten te beperken;
pagina 12
Informatiebeveiligingsbeleid 2013
5.4
Fysieke beveiliging en beveiliging van de omgeving
De taken en verantwoordelijkheden op dit gebied zijn onder andere: • inbraakpreventie en het beheer van de beveiligingsinstallaties; • de coördinatie van de beveiliging rond het gemeentehuis; • de verantwoordelijkheid voor het testen, het onderhoud en de certificering van de brand meldinstallatie. Maatregelen op het gebied van fysieke beveiliging en toegang tot gebouwen kunnen onderdeel uitmaken van het informatiebeveiligingsplan.
5.5
Beheer van communicatie-‐ en bedieningsprocessen
De taken en verantwoordelijkheden op dit gebied zijn onder andere: • het waarborgen van een correcte en veilige bediening van IT-‐voorzieningen;
5.6
Toegangsbeveiliging
De taken en verantwoordelijkheden op dit gebied zijn onder andere: • periodieke controle van het netwerkverkeer en proactieve reactie op interne en externe bedreigingen van de veiligheid van het netwerk via netwerkverbindingen. Denk hierbij onder andere aan aanvallen op het netwerk die plaatsvinden via internet of pogingen om in het draadloze netwerk te infiltreren; • beheer van firewalls en technisch forensisch onderzoek op verzoek van de directie of justitie; • toetsen van software en hardware die aangesloten wordt op het netwerk zodat er geen beveiligingslekken kunnen ontstaan. Maatregelen op het gebied van netwerk-‐ en systeembeveiliging kunnen onderdeel uitmaken van het informatiebeveiligingsplan.
5.7
Verwerving, ontwikkeling en onderhoud van informatiesystemen
De taken en verantwoordelijkheden op dit gebied zijn onder andere: • vaststellen en overeenkomen van de beveiligingseisen voorafgaand aan de ontwikkeling en implementatie van informatiesystemen; • waarborgen dat veilige systemen ook veilig blijven.
5.8
Beheer van informatiebeveiligingsincidenten
Beveiligingsincidenten zijn gebeurtenissen die de betrouwbaarheid van de informatievoorziening bedreigen of verstoren. Deze incidenten worden bijgehouden in het incidentenregister. Dit register wordt onder meer gebruikt om trends te signaleren en wordt gebruikt als input bij de jaarlijkse revisie van het beveiligingsplan. Elke nieuw incident wordt geëvalueerd en er wordt bekeken welke maatregelen genomen kunnen worden om optreden van hetzelfde incident in de toekomst te voorkomen. Deze evaluatie wordt uitgevoerd of gecoördineerd door de IBF die er tevens over rapporteert.
pagina 13
Informatiebeveiligingsbeleid 2013 Informatiebeveiliging is één van de kwaliteitscriteria waarover in de Planning &Control-‐cyclus wordt gerapporteerd. Het aspect informatiebeveiliging wordt opgenomen in de paragraaf bedrijfsvoering. Binnen de Planning &Control-‐cyclus rapporteren de procesverantwoordelijken over de betrouwbaarheid van de informatievoorziening. Aan de orde komen onder andere: • de voortgang van de invoering van de geplande maatregelen; • nieuwe maatregelen bijvoorbeeld op basis van trends in de beveiligingsincidenten; • consequenties voor de betrouwbaarheid van de informatievoorziening na wijzigingen in netwerken, applicaties of systemen; • registraties van informatiebeveiligingsincidenten in het incidentenregister; • de opvolging, escalatie en evaluatie van beveiligingsincidenten; • continuïteitsmanagement en wijzigingen in processen of draaiboeken; • communicatie en coördinatie over informatiebeveiliging, bewustzijn, houding en gedrag van medewerkers.
5.9
Bedrijfscontinuïteitbeheer
De taken en verantwoordelijkheden op dit gebied zijn onder andere: • beschermen van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen en het bewerkstelligen van tijdig herstel.
5.10 Naleving De taken en verantwoordelijkheden op dit gebied zijn onder andere: • Naleving op wettelijke , regelgevende en contractuele voorschriften; • Beveiligingscontrole op werkprocessen en IT-‐systemen; Het strategisch informatiebeveiligingsbeleid wordt eens in de vier jaar herzien. Wanneer daar aanleiding toe is, wordt het tussentijds bijgesteld. De noodzaak van een tussentijdse bijstelling kan het gevolg zijn van een wetswijziging, consequenties van wijzigingen in de nationale cyber security strategie, maar ook van een wijziging in de organisatie(structuur) van de gemeente.
pagina 14
Informatiebeveiligingsbeleid 2013
6. CLASSIFICATIE VAN INFORMATIE, PROCESSEN EN SYSTEMEN De betrouwbaarheid van de informatievoorziening valt uiteen in de drie kwaliteitsattributen vertrouwelijkheid, integriteit en beschikbaarheid. De gemeente onderscheidt voor elk van deze kwaliteitsattributen de classificatieniveaus ‘normaal’, ‘hoog’ en ‘zeer hoog’. De tabel in paragraaf 6.1 bevat criteria waarmee per kwaliteitsattribuut een classificatie kan worden bepaald. Het daadwerkelijk classificeren van de binnen de gemeente gebruikte informatie, processen en systemen zal in het implementatieplan verder worden uitgewerkt. Het beveiligingsniveau kan per kwaliteitsattribuut verschillen. Wanneer we bijvoorbeeld de informatie op de gemeentelijke website willen classificeren, zullen we vaststellen dat het hier openbare informatie betreft. De classificatie voor het kwaliteitsattribuut vertrouwelijkheid is dus ‘normaal’. Wanneer deze informatie niet klopt is dit echter wél erg vervelend voor de burgers en wordt de gemeente in verlegenheid gebracht. De classificatie voor het kwaliteitsattribuut integriteit is daarom ‘hoog’.
6.1 Criteria voor het classificeren classificatie kwaliteitsattribuut Vertrouwelijkheid De mate waarin toegang tot gegevens of functionaliteiten beperkt is tot degene die daartoe bevoegd is.
Integriteit De mate waarin gegevens correct geregistreerd en zonder fouten zijn.
Beschikbaarheid
De mate waarin gegevens of functionaliteiten op de juiste momenten beschikbaar zijn.
Normaal
Hoog
Zeer hoog
Openbare informatie die door iedereen kan worden ingezien.
Niet openbare informatie. Het openbaar worden van deze informatie zou de gemeente in verlegenheid brengen.
Openbare informatie buiten het beheer van de gemeente. Correctheid is niet van toepassing. Wijziging van deze informatie is niet of nauwelijks schadelijk.
Correctheid van deze informatie is van belang. Onjuistheden veroorzaken schade voor de gemeente of brengen de gemeente in verlegenheid of diskrediet. Bedrijfskritisch. Uitval is een enkele keer mogelijk. Wanneer de informatie niet beschikbaar is ontstaan vervelende vertragingen in de dienstverlening naar burgers of ketenpartners.
Strikt vertrouwelijke informatie. Het openbaar worden van deze informatie dient maximaal voorkomen te worden. De correctheid van de informatie dient zeker te zijn en is van groot belang. Incorrecte informatie veroorzaakt grote schade, financiële en mogelijk imagoschade.
Niet bedrijfskritisch. Uitval is mogelijk. Wanneer de informatie niet beschikbaar is ontstaan er geen of uiterst beperkte problemen in de dienstverlening naar burgers of ketenpartners.
Zeer bedrijfskritisch. Uitval is in principe niet toegestaan. Wanneer de informatie niet beschikbaar is ontstaan er onaanvaardbare problemen in de dienstverlening naar burgers en ketenpartners.
pagina 15
Informatiebeveiligingsbeleid 2013
6.2 Baseline informatiebeveiliging In de periode tot eind 2014 worden -‐ op grond van risicoanalyses -‐ de verschillende beveiligingsmaatregelen uit het informatiebeveiligingsplan geïmplementeerd en geborgd in de organisatie. De prioriteit van deze maatregelen wordt bepaald door (1) het risico dat een incident zich voordoet, (2) de mogelijk schade die daarbij veroorzaakt wordt en (3) de kosten van een maatregel. In de risicoanalyse wordt daarom altijd een afweging gemaakt of de kosten opwegen tegen het verminderen van het risico en/of de eventuele schade. Van elke maatregel wordt aangegeven voor welk(e) proces(sen) de maatregel van toepassing is. Tijdens de implementatie van de maatregelen wordt voor elk proces de betrouwbaarheid van de informatievoorziening geclassificeerd volgens bovenstaand schema. Deze classificaties vormen gezamenlijk de Baseline informatievoorziening -‐ een minimaal basisniveau waaraan de informatiebeveiliging altijd moet voldoen. Eind 2014 zal deze baseline als bijlage aan dit beleid worden toegevoegd. De Baseline Informatiebeveiliging Gemeenten (KING/Logius/BZK) gaat hierbij als leidraad fungeren.
pagina 16
