In deze bundel is opgenomen:
o
Beleid voor de informatiebeveiliging
Voorschrift Informatiebeveiliging Rijksdienst 1994
Handboek Informatiebeveiliging Rijksdienst 1995
Voorwoord
a
Om de sturende rol op het gebied van het verkeer en de waterstaat goed t e vervullen moet het ministerie over t a l van gegevens beschikken; informatie over het verkeer, de waterkwaliteit, de ontwikkeling op de vervoersmarkt, etc. Een deel van die gegevens betreft informatie over derden. Als secretaris-generaalen als burger hecht ik er groot belang aan dat die informatie bij ons ministerie goed is beveiligd.
0
In de Bestuursraad is het beleid voor de informatiebeveiliging omschreven als: het gefaseerd tot stand brengen en in stand houden van een goed en kontroleerbaar niveau van informatiebeveiliging.
De voor u liggende bundel zie ik als een praktisch instrument, dat u behulpzaam zal zijn bij het realiseren van een goede informatiebeveiliging. Het is de eerste van een reeks over dit onderwerp. Deze eerste bundel gaat vooral in op uw en mijn verantwoordelijkheid als lijnmanager, hoe deze wordt ingevuld en op welke wijze ik, als eindverantwoordelijke, mij hierover een oordeel zal vormen. De reeks bedoelt het lijnmanagement van Verkeer en Waterstaat t e ondersteunen, maar evenzeer de medewerkers die verantwoordelijk zijn voor de uitvoering van het beleid voor de informatiebeveiliging. De reeks verschaft noodzakelijke en nuttige informatie voor deze medewerkers en zal door het V&W-brede gebruik ervan tevens het beveiligingsbewustzijnbevorderen.
Ik ben van mening dat de inhoud van deze bundel samen met die van de nog volgende bundels, zeg maar de verzamelde werken betreffende informatiebeveiliging, ons mede in staat zullen stellen het voor Verkeer niveau van informatiebeveiliging t e realiseren. .a.....................,....
secretaris-generaal ir. A.B.M. van der Plas
Minisiene van Veikceren watesfaat Informatie en Documcntntic Porlbur 20901 25W EX Den Haag Tel. 070-3517086 I F ~ X070.35q6<130 .
Colofon uitgave:
Ministerie van Verkeer en Waterstaat ûirectie Organisatie en Informatie
Vormgeving:
Hiemstra van Geest bNO, Den Haag
üruk:
De Longte, Klomp en Bosman Drukkers, Dordrecht
Redactie en samenstelling:
Coördinatie met betrekking tot de distributie van deze bundel voor informatiebeveiliging en behandeling van eventueel voorgestelde wijzigingen enlof aanvullingen: Ir. J. Bakker Directie Organisatie en Informatie telefoon 070 3 5 1 6 8 7 8 telefax 070 3562749
-
-
december 1995
Beieid voor de informafiebeveiliging
Beleid voor de informatiebeveiliging
0 I
Ministerievan Verkeer en Waterstaat, februari 1995. 1
Inhoudsopgave 1. Inleiding
3
2. Managementsamenvatting
4
3. Kaders voor het Verkeer en Waterstaat-beleid voor de infotmatiebeveiliging
5
4. Invulling van het Verkeer en Waterstaat-beleid voor de informatiebeveiliging
6
Bijlage 1: Verantwoordelijkheden
11
Bijlage 2: VIR
12
2
O
O
1.
0
0
Inleiding
Het functioneren van ons ministerie, zowel intern als extern, wordt in toenemende mate bepaald door de integriteit, beschikbaarheid en exclusiviteit van de ondersteunende informatiesystemen en de informatie daarin. Met het toenemen van de maatschappelijke afhankelijkheid daarvan, stelt ook de rijksoverheid strengere eisen aan de infonatiebeveiliging. Dit blijkt onder meer uit recente wetgeving en herhaald onderzoek door de Algemene Rekenkamer. Aanleiding het beleid voor de informatiebeveiliging van Verkeer en Waterstaat bij te stellen, is het 1 januari 1995 van kracht geworden 'Besluit Voorschrift Informatiebeveiliging Rijksdienst 1994' WIR). Aitikel 3 hiervan, bepaalt dat de Secretaris-Generaal (SG) het informatiebeveiligingsbeleid in een beleidsdocument vastlegt en dit beleid uitdraagt. Het beleid is door DO1 voorbereid met medewerking van het Overlegplatform Beveiliging Informatiesystemen, daarbij ondersteund door de Meetkundige Dienst van RWS. De Bestuursraad heeft nu het aan de ontwikkelingen aangepaste 'Beleid voor de informatiebeveiliging' vastgesteld, na een positief advies van het Functionele O&l-overleg.
O
Het aangepaste beleid is vastgelegd in dit dokument en vervangt het in 1989 vastgestelde beleid. Hierin vindt u, na de managementsamenvatting, de kaders voor het Verkeer en Waterstaat-beleid en de invulling daarvan. Als bijlagen: de specifieke verantwoordelijkheden en het 'Besluit Voorschrift Informatiebeveiliging Rijksdienst 1994'.
BELEIDVOOR
DE
-
INFOAMATIEBWEILIGING FEBRUARI 1995
3
2.
Managementcamenvatting
Informatiebeveiligingis een lijnverantwoordelijkheiden vormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen. De essentie van dit beleid is dat voor elk informatiesysteemen elk verantwoordelijkheidsgebiedduidelijk wordt welke lijnmanager verantwoordelijkis. Voor elk informatiesysteem en elk verantwoordelijkheidsgebied worden door de verantwoordelijke: een afhankelijkheidsanalyse uitgevoerd die resulteert in de te steiien eisen aan de betrouwbaarheid - de bedreigingen gèidentificeerden geanalyseerd; - door middel van een kwetsbaarheidsanalyse aangetoond dat aan de gestelde betrouwbaarheidseisen wordt voldaan: een informatiebeveiligingsplan opgesteld; - elk beveiligingsplan periodiek geëvalueerd en zonodig aangepast.
-
-
In opdracht van de SG zal, periodiek, een onafhankelijke deskundige zowel het beleid als de implementatieen de uitvoering daawan beoordelen. De bevindingen worden aan de SG gerapporteerd. Het iijnmanagement draagt en zorg voor dat voor elk bestuurs- of bedrljfsptuces de maatregelen die uit hoofde van de informatiebeveiligingvan toepassing zijn op de ondersteunende informatiesystemen en verantwoordelijkheidsgebiedenworden vastgelegd, gèimplementeerd en/of uitgedragenen dat de werking ewan volgens een vastgelegd schema wordt gecontroleerd. Dit beleid is gebaseerd op het ‘Besluit Voorschrift Informatiebeveiliging Rijksdienst 1994‘ dat 1 januari 1995 in werking is getreden. Informatiebeveiligingsplan: Afhankelijk van de fase van ontwikkeling: a) Een opsomming van alle plannen, inclusief benodigde tijd, mensen en overige middelen, die leiden tot het treffen van maatregelen die voor een informatiesysteem en of verantwoordelijkheidsgebied noodzakelijk zijn. b) Opsomming van alle beveiiigingsrnaatregelenen/of de vindplaatsen daarvan die voor een informatiesysteemof een verantwoordeliikheidsgebiedvan kracht zijn. 4
- FEBRUARI1995
BELEID VOOR DE INFORMATIEBEVEILIGING
I
3.
e
Kaders voor het Verkeer en Waterstaatbeleid voor de informatiebeveiliging
Kaders voor het Verkeer en Waterstaat-beleid zijn: I 'Besluit Voorschrift InformatiebeveiligingRijksdienst 1994' WIR); II de bestuursstructuurVerkeer en Waterstaat. Ad I) Het VIR is bepalend voor het beleid voor de informatiebeveiligingvan Verkeer en Waterstaat. Dit MR-besluit is 8 september 1994 gepubliceerd in de Staatscourant. Het VIR treedt met ingang van 1 januari 1995 gefaseerd in werking en moet 1 januari 1997 volledig ingevoerd zijn. De precieze invulling van de fasering staat in artikel 6 van het VIR en de toelichting daarop. De begripsbepalingenin artikel 1 van het VIR zijn van toepassing op de gebruikte termen in het Verkeer en Waterstaat-beleid. Ad li) De bestuursstructuurvan Verkeer en Waterstaat betekent dat elk departementsonderdeel zelf verantwoordelijk is voor de implementatieen de uitvoering van het beleid voor de informatiebeveiliging,de interne controle, het uitdragen van dit beleid alsmede de hiervoor benodigde middelen.
e
hno1 1, Anno 1995 2 in d i O rectoraai-Goneiaal Rii6waters1aat. de Centrale 0 . e n ~ l ~ D n .mcioraalG~n0i.W door hei Vernor. D.iectoraat.Generaa Scheepvaan en Mai imw Za~en.Kon n6 '16 Nooüi anos MOtoOrOIO~IEChI n s I ~ t ~ Hwlüd Ji rectie Teiecammm C B W en Post. O rectoraat-GQneiaal Rijksluchtvaartdienst. Rijksdienst VDOT het Wsgverkeer. BELEID VOOR DE INFORMATIEBEVEILIGING
- FEBRUARI 1995
5
4.
Invulling van het Verkeer en Waterstaatbeleid voor de informatiebeveiliging
a. De strategische uitgangspunten en randvoorwaarden ten aanzien van informatiebeveiliging. Dy inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid. De invulling van het algemene beveiligingsbeieiden het beleid voor de informatievoorziening wordt bij ons ministerievoor een belangrijk deel vormgegeven bij de departementsonderdelen. De departementsleidingstelt waar nodig wel randvoorwaarden op. Een aantal van deze randvoorwaarden is te vinden in de bundel: Departementale afspraken informatievoorziening en automatisering.Deze bundel wordt onder verantwoordelijkheidvan DO1 samengesteld en bij de tijd gehouden. Naast het VIR geldt als randvoorwaarde ook de vigerende wetgeving, als de Comptabiliteitswet, de Wet bescherming staatsgeheimen, de Wet persoonsregistraties,de Wet telecommunicatievoorieningen, de Wet computercrimininaliteitbenevens de daarop gebaseerde algemene maatregelen van bestuur. b. De organisatie van de informatiebeveiligingsfunctie,waaronder verantwoordelijkheden, taken en bevoegdheden. De 'informatiebeveiligingsfunctie' is het complex van activiteiten en middelen binnen Verkeer en Waterstaat gericht op de beveiliging van informatie. Informatiebeveiligingvormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen en Is een lijnverantwoordelijkheid. De verdeling van de verantwoordelijkheden over de managementniveaus departement en departementsonderdeel is als volgt: Departement De SG is voor Verkeer en Waterstaat Verantwoordelijk voor: - het aanwijzen van de verantwoordelijken voor de informatiesystemen enlof verantwoordelijkheidsgebieden die door meer dan één departementsonderdeel worden gebruikt; - het vaststellen en uitdragen van het beleid: - het controleren van de uitvoering. In opdracht van de CG zal, periodiek, een onafhankelijke deskundige zowel de toereikendheid van het beleid als de implementatieen de uitvoering daarvan beoordelen. De bevindingenworden aan de SG gerapporteerd. het bijstellen van het beleid.
-
6
BELEID VOOR OE INFORMATIEBEVEILIGING
- FEBRUARI 1995
O
O
Voor het uitvoeren van deze verantwoordeiijkheid.legtde SG taken neer bij zijn stafdiensten en overlegvormen ter zake. De Directie Organisatie en Informatie (DOI) verricht voor de SG ondersteunende werkzaamheden zoals: het opstellen van het beleid voor de informatiebeveiligingvoor Verkeer en Waterstaat: het, in overleg met de SG, eenduidig toewijzen van de verantwoordelijkheidvoor een informatiesysteemenlof een verantwoordelijkheidsgebiedaan het Hoofd van een departementsonderdeel (Zie Bijlage 1); - het uitdragen van dit beleid en het creëren van een zo breed mogelijk draagvlak ervoor binnen het ministerie; - zicht houden op de toereikendheidvan dit beleid en het aanpassen ervan aan gewijzigde omstandigheden, mede aan de hand van de periodieke rapportage van de onafhankelijk deskundige aan de SG. Dit in goed overleg met de leden van het Functioneel O&l-hoofden overleg, dat vakinhoudeiijk wordt ondersteunddoor het Overlegplatform Beveiliging Informatiesystemen (OBI). Als middel om het managen van de informatiebeveiligingte ondersteunen neemt vanuit elk departementsonderdeel de Beveiligingscoördinatorzitting in het OBI. Hierin kunnen ook functionarissen met een specifieke taak op het gebied van de informatiebeveiligingdeelnemen, zoals de Beveiligingsambtenaar.
-
Het OBI werkt onder andere mee aan het ontwikkelenvan departementsbrede hulpmiddelen: een ‘Leidraad voor informatiebeveiliging’: een ‘Technisch Handboek’. Dit document zal een aantal praktische checklists en maatregelen voor systeem- en netwerkbeheerders bevatten: - het bij de tijd houden van de reeds voor iedere medewerker beschikbarebrochure ‘Geheim-Zinnig Omgaan met Informatie‘, die het beveiligingsbewustzijnbevordert en praktischetips bevat op het gebied van de informatiebeveiligingop de werkplek.
-
Departementsonderdeel Het hoofd van een departementsonderdeel is voor zijn dienst verantwoordelijk voor: het vaststellen en uitdragen van het beleid: het aanwijzen van verantwoordelijken voor de informatiesystemen enlof verantwoordelijkheidsgebieden binnen zijn dienst; - het controlerenvan de uitvoering; het bijstellenvan het beleid: - het aansteilen van een Beveiligingscoördinator.
-
BELEID VOOR DE INFORMATIEBEVEILIGING
- FEBRUARI 1995
7
c. De eenduidige en volledige indeling in informatiesystemen en verantwoordelijkheidsgebiedenen de toewijzing van de verantwoordelijkheden daarvoor aan lijnmanagers. De indeling vereist een inventarisatievooraf van de informatiesystemenen voorzieningen die bij de departementsonderdelenvan Verkeer en Waterstaat in gebruik zijn. De situatie kan zich voordoen dat meer dan één departementsonderdeel gebruik maakt van eenzelfde informatiesysteem,of eenzelfde ondersteunende voorziening. De inventarisatie hiervan heeft geleid tot de in Bijlage 1 vermelde informatiesystemenen voorzieningen. Alleen in deze situatie wijst de SG het Hoofd van één van deze departementsonderdelenaan ais verantwoordelijke voor de informatiebeveiligingvan dat informatiesysteem,of het geheel van deze ondersteunende voorzieningen (= het verantwoordelijkheidsgebied). Het hoofd van een in Bijlage 1 genoemde dienst is voor de informatiebeveiligingde eerst aanspreekbare lijnmanager. Hij maakt de afspraken over de verdeling van verantwoordelijkhedenten aanzien van de informatiebeveiliging met de Hoofden van de overige betrokken departementsonderdelenen de eventuele externe partijen, en legt deze afspraken vast. Doet deze situatie zich niet voor: dan is voor de beveiliging van informatiesystemenen ondersteunende voorzieningen, die alleen bij het eigen departementsonderdeelin gebruik zijn, het Hoofd van dit departementsonderdeelde verantwoordelijke. Hij ziet erop toe dat managers, beheerders, gebruikers en eventuele externe partijen afspraken met elkaar maken over de informatiebeveiliging en deze afspraken vastleggen.
d. De wijze waarop het beleid wordt vertaald naar concrete maatregelen en de wijze waarop deze worden gefinancierd. De financiering is een zaak van het betrokken lijnmanagement. De wijze waarop het beleid wordt vertaald naar concrete maatregelen is aangegeven in artikel 4 en 5 van het VIR. Bij artikel 5 dient bij de punten a, b en d in plaats van "elk informatiesysteem" te worden gelezen: "elk informatiesysteem en elk verantwoordeiijkheidsgebied". 8
BELEID VOOR DE INFORMATIEBEVEILIGING-
FEBRUARI 1995
e. De gemeenschappelijke betrouwbaarheidseisenen maatregelen die voor heel Verkeer en Waterstaat van toepassing zijn. Naast het gestelde in artikel 6 van het VIR, gelden er geen eisen voor het hele ministerie. Aanbeveling: Het is nuttig om een zo genoemde ‘base-line’ beveiliging af te spreken als de homogeniteit van ondersteunende informatiesystemen (in termen van beschikbaarheid, integriteit en exclusiviteit)relatief groot is.
f. De wijze waarop geconstateerde dan wel vermoede inbreuken op de informatiebeveiliging door medewerkers worden gemeld en de wijze waarop deze worden afgehandeld. Voor elk informatiesysteem en elk verantwoordelijkheidsgebiedlegt de verantwoordelijke lijnmanager vast op welke wijze geconstateerde dan wel vermoede inbreuken op de informatiebeveiliging worden gemeld en op welke wijze deze worden afgehandeld.
g. De wijze waarop en de frequentie waarmee volgens een vastgesteld schema: (i) het informatiebeveiligingsbeleidwordt geëvalueerd en (ii)de toereikendheid van het informatiebeveiligingsbeleidalsmede de implementatie en de uitvoering daarvan wordt beoordeeld door een onafhankelijke deskundige. Een deskundige die onafhankelijk is van de beleidsmaker en de beleidsuitvoerder controleert periodiek zowel beleid, beleidsimplementatie als uitvoering en rapporteert hierover aan de SG. Deze beoordeling bestaat uit de volgende punten: Waar het voor een departementsonderdeel relevant is: g l .is er voor elk informatiesysteem een afhankelijkheidsanalyse uitgevoerd, uitmondend in aan het informatiesysteem te stellen eisen voor de betrouwbaarheid; 92. is er voor elk verantwoordelijkheidsgebiedeen afhankelijkheidsanalyse uitgevoerd, uitmondend in aan het verantwoordelijkheidsgebiedte stellen eisen voor de betrouwbaarheid; g3.zijn er voor elk informatiesysteem en voor elk verantwoordelijkheidsgebiedde bedreigingen gèldentificeerd en geanalyseerd; BELEID VOOR DE INFORMATIEBEVEILIGING - FEBRUARI1995
9
g4.zijn er voor elk informatiesysteem en voor elk verantwoordelijkheidsgebieddusdanige maatregelen gekozen dat door middel van een kwetsbaarheidsanalyse naar redelijkheid kan worden aangetoond dat aan de gestelde betrouwbaarheidseisen wordt voldaan: g5.is er voor elk informatiesysteem en voor elk verantwoordelijkheidsgebiedeen informatiebeveiligingsplanopgesteld, waarin een calamiteitenparagraaf is opgenomen waarvan de effektiviteit periodiek wordt getoetst: g6. wordt elk informatiebeveiligingsplanperiodiek geëvalueerd en, zo nodig, aangepast aan veranderde omstandigheden. h. De wijze waarop het beveiligingsbewustrijn wordt bevorderd.
De belangrijkstevoorwaarde om te komen tot een goede informatiebeveiligingis het besef van de noodzaak tot beveiligen bij alle medewerkers. Diaioe is een PR-plan opgesteld en zullen er periodiek ministerie-bredeactiviteiten worden opgestart ter verhoging van dit besef. Tot de taak van het lijnmanagement rekent de SG nadrukkelijk ook het uitdragen van dit ‘Beleid voor de informatiebeveiliging’.
10
BELEID VOOR OE INFORMATIEBEVEILIGING - FEBRUARI i995
e
I
Bijlage 1:Verantwoordelijkheden Management verantwoordelijkheidvoor de informatiesystemen en/of verantwoordelijkheidsgebieden (IN), die in gebruik zijn bij meer dan één departementconderdeel. In 3c is aangegeven wat deze verantwoordelijkheid inhoudt.
e
e
De OBI-leden is gevraagd bij hun dienst te inventariseren welke informatiesystemenen/of verantwoordelijkheidsgebiedenhieraan voldoen en deze aan DO1 te melden. Met als resultaat de kolom 'IN in onderstaande tabel. Daarnaast, in de kolom 'verantwoordelijke', is per IN de dienst aangegeven waarvan het Hoofd verantwoordelijkis voor de informatiebeveiliging.
IN
verantwoordelijke
FAIS NDM Plesmanweg-netwerk Ven W-net Interpers Salaris-systeem Ven W-LIS NEVLOG PERBOS GESIS POPEYE DMS
FEZ FAZ FAZ DO1 DPZ DPZ DVO DGSM DGSM DGSM APCD RWS
BELEID VOOR DE INFORMATIEBEVEILIGING - FEBRUARI 1995
11
Bijlage 2 VIR Bijlage 2 is het Voorschrift InformatiebeveiligingRijksdienst. Dit is een uitgave van het Ministerie van Binnenlandse Zaken. Het betrefi het: Besluit Voorschrift InformatiebeveiligingRijksdienst 1994. Een besluit van de Ministerraad(zomer 1994). 8 september gepubliceerd in de Staatscourant.
12
&LEI0
- FEBRUARI1995
VOOR DE ~NFORMATIEBNEILIGING
O
l.
Voorschrift Informatiebeveiliging Rijksdienst 1994
Ministerie van Binnenlandse Zaken 1
I
Inhoudsopgave Voorwoord Bepalingen van het voorschrift
I
3 5
Algemene toelichting
10
Artikelsgewijze toelichting 1 Begripsbepalingen 2 Plaatsbepalingen reikwijdte 3 Beleidsdocument informatiebeveiliging 4 Bepalen van de maatregelen 5 Vastleggen, implementeren, uitvoeren en controleren 6 Slotbepaling
23 23 28 31 37
44 53
Bijlagen Besluit aanpassing aanwijzingen voor de beveiliging van staatsgeheimen en vitale onderdelen bij de rijksdienst
58
Aanbiedingsbrief Voorschrift Informatiebeveiliging Rijksdienst aan de Ministerraad
60
Lijst van actuele publicaties
63
2
O
O
Voorwoord Het gebruik van computers en datacommunicatie is binnen de rijksdienst gemeengoed geworden. Veel routinematige processen verlopen geautomatiseerd en op praktisch iedere werkplek staat een computer of terminal. Dat verhoogt de produktiviteit van de Rijksdienst, maar leidt ook tot andersoortige werkprocessen zeker waar om het de communicatie tussen personen en organisaties gaat. De kwaliteit van die werkprocessen wordt steeds meer bepaald door de kwaliteit van de hulpmiddelen die de informatietechnologiebiedt. Informatiebeveiliging is een essentieel onderdeel van die kwaliteit. Integriteit, exclusiviteit en beschikbaarheid van informatieen informatiesystemen zijn in hoge mate bepalend voor de kwaliteit van de werkprocessen binnen de Rijksdienst. Vanuit verschillende invalshoeken wordt hieraan aandacht besteed. De controleerbaarheid van financiële cijfers is bijvoorbeeld al lang een aandachtsgebied van accountants waardoor de EDP-Auditor zijn intrede heeft gedaan. De wetgever heeft middels de Wet Persoonsregistraties speciale aandacht geschonken aan de exclusiviteit van persoonsgegevens. Voor de waarborging van de beschikbaarheid van de informatievoorziening maken organisaties gebruik van speciale uitwijkcentravoor noodsituaties. Die invalshoeken zijn steeds vaker gelijktijdig van betekenis voor een en hetzelfde informatiesysteem. Systemen die alleen financiële gegevens bevatten zijn in de minderheid, veelal zullen in zo’n systeem ook persoonsgegevens zitten of is het systeem van dusdanig belang dat de beschikbaarheid ervan bijzondere aandacht behoeft. De verschillende regimes die of uitgaan van het soort gegeven dat beveiligd dient te worden of van de handeling die beschermd dient te worden (denk aan opslag, verwerking en overdracht) overlappen elkaar steeds meer. Het is daarom alleen al vanuit praktisch oogpunt gewenst dat er een kader bestaat voor de rijksdienst, waarbinnen systematisch en vergelijkbaar met alle aspecten van informatiebeveiliging wordt omgegaan. Zo’n kader is neergelegd in de vernieuwde regelgeving voor informatiebeveiliging die twee bestaande voorschriften voor de rijksdienst uit het begin van de jaren tachtig vervangt, Daarbij gaat het dus niet om beveiligingsmaatregelendie worden voorgeschreven maar om basisbegrippen, een beperkt aantal pmdukten en methodischestappenom daartoe te komen. In de toelichting op het voorschrift wordt de relatie met de praktijk aan de orde gesteld. Verdere uitwerking heeft plaatsgevonden in VOORSCHRIFT INFORMATEBEVEILIGING RIJKSDIENST 1994
3
het handboek informatiebeveiligingrijksdienst dat ter ondersteuningvan de inspanningen binnen de rijksdienst wordt aangereikt. De overheid dient op een betrouwbare manier om te gaan met gegevens van burgers en bedrijfsleven. Ze is daarbij afhankelijk van informatietechnologie.Voor een deei vloeit de noodzaak tot betrouwbaarheidvoort uit wet- en regelgeving. De voortschrijdende ontwikkeling van de informatietechnologieen de inzet daarvan noodzaken tot voortdurende bezinning. Afwegingen met betrekking tot de inzet van informatietechnologieen de organisatie daarvan dienen vastgelegd te worden, ook vanuit de optiek van integriteit, exclusiviteit en beschikbaarheid.De naleving van beveiiigingsmaatregeien die op basis van genoemde afwegingen plaatsvind, dient controleerbaar te zijn. Dat is voor de hele overheid ais maatschappelijkepartij van belang maar zeker ook voor de Individueleorganisatie. Bij gebruik van gegevens van derden bijvoorbeeld, dient van het begin af aan duidelijk te zijn hoe met vervuiling van die gegevens wordt omgegaan. Informatietechnologiekan de efficiëntie van de rijksdienst verhogen maar dient niet ten koste te gaan van de positie van de burger. Goede afspraken bij het koppelen van bestanden zijn daarom nodig. Die afspraken worden vereenvoudigd door het gebruik van het kader dat het voorschrift biedt. Dit boekje bevat het Voorschrift InformatiebeveiligingRijksdienst 1994 en de toelichting daarop. Ais bijlage is een aanpassing van de aanwijzingen voor de beveiligingvan staatsgeheimen en vitale onderdelen bij de rijksdienst opgenomen. De wijziging was nodig om een van de bestaande voorschriften te kunnen laten vervallen. Verder is de aanbiedingsbrief aan de Ministerraadopgenomen als achtergrondinformatie. Voor vragen over het voorschrift en meer algemeen voor informatie over informatiebeveiligingkunt u steeds terecht bij het Advies- en Coördinatiepunt Informatiebeveiliging(ACiB) van de directie InterbestuurlijkeBetrekkingen en Informatievoorziening van het Ministerie van Binnenlandse Zaken. De directeur interbestuurlijke Betrekkingen en Informatievoorziening, drs. M. Sint
4
VOORSCHRIFT INFORMATIEBEVEILIGINGRIJKSDIENST 1994
O
Vaststelling van de Aanwijzingen voor informatiebeveiliging
Besluit van 22 juli 1994 De Minister-president. Overwegende, - dat het functioneren van de rijksdienst, zowel intern als in relatie met de maatschappij, in belangrijke mate bepaald wordt door de integriteit, beschikbaarheiden exclusiviteit van de ondersteunende informatiesystemen en de daarin opgenomen informatie, dat behoefte bestaat aan een uniform beleidskader met betrekking tot informatiebeveiliging,dat op hoofdlijnenvastlegt hoe het inforrnatiebeveiligingsbeleidbinnen de rijksdienst dient te worden gevormd en gevoerd, - dat de zorgplicht die is neergelegd in algemene en specifieke wet- en regelgeving met betrekking tot het gebruik van informatie en informatiesystemen mede noodzaakt tot het treffen van informatiebeveiiigingsmaatregelen en - dat het wenselijk is de voorschriften voor de informatiebeveiligingin de rijksdienst te actualiseren.
-
Gelet op artikel 9 van het Besluit Informatievoorziening in de Rijksdienst 1990
-
Handelend in overeenstemming met het gevoelen van de ministerraad:
0
Besluit: Artikel 1
Begripsbepalingen
In dit besluit wordt verstaan onder: a. afhankelijkheldsanalyse: het vaststellen in hoeverre bestuws- of bedrijfsprocessendie door informatiesystemen ondersteund worden, afhankelijk zijn van de betrouwbaarheid van deze systemen en het vaststellen welke potentiële schades kunnen optreden als gevolg van het falen van deze informatiesystemen: b. beschikbaarheid: de mate waarin een informatiesysteem in bedrijf is op het moment dat de organisatie het nodig heeft: VASTSTELUNG VAN DE AANWIJZINGEN
VOOR DE
INFORMATIEBEVEILIGING
5
c. betrouwbaarheid: de mate waarin de organisatie zich kan verlaten op een informatiesysteem voor zijn informatievoorziening; d. calamiteitenparagraaf opsomming van alle maatregelen welke tot uitvoering moeten komen indien zich een situatie voordoet waarbij de beschikbaarheid, integriteit en/of exclusiviteit van een informatiesysteem in beduidende mate niet aan de eisen voldoen: e. exclusiviteit: de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden; f. informatiebeveiliging:het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid, integriteit en exclusiviteit van een informatiesysteem en daarmee van de informatie daarin; g. informatiebeveiligingsplan: opsomming van alle beveiligingsmaatregelen en/of de vindplaatsen daarvan welke voor een informatiesysteemof een verantwoordelijkheidsgebiedvan kracht zijn; h. informatiesysteem: een geheel van gegevensverzamelingen,personen, procedures, programmatuur en opslag-, verwerkings- en communicatieapparatuur; i. integriteit: de mate waarin een informatiesysteemzonder fouten is; j. kwaliteit: de mate waarin het geheel van eigenschappen van een informatiesysteem voldoet aan de uit het gebruiksdoel voortvloeiende eisen; k. kwetsbaarheidsanalyse: het vaststellen van de invloed van het manifest worden van bedreigingen op het functioneren van een informatiesysteemof een verantwoordelijkheidsgebied; I. systeemexploitatie: de zorg voor het functioneren van een deel van een informatiesysteem; m. systeemverwerving: de zorg voor het ontwikkelen, kopen, huren e.d. en het uitvoeren van aanpassingen aan (delen van) een informatiesysteem z,oals procedures, programmatuur en/of apparatuur; n. verantwoordelijkheidsgebied: een geheel van voorzieningen dat ter beschikking staat aan een of meerdere informatiesystemenen waarvoor de verantwoordelijkheid eenduidig is toe te wijzen aan één organisatorische eenheid; Artikel 2
Plaatsbepaling en reikwijdte
a. Dit voorschrift geldt voor de Rijksdienst waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen. b. Dit voorschrift geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen,ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. 6
VASTSTELLING VAN DE AANWIJZINGEN VOOR DE INFORMATIEBEVEILIGING
a
c. Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor bedrijfs- en bestuursprocessen en de ondersteunende informatiesystemen. d. Informatische relaties tussen een departement en een andere instantie gaan vergezeld van schriftelijke afspraken over het vereiste betrouwbaarheidsniveauen de wijze waarop zekerheid wordt verkregen over de realisatie daarvan.
Artikel 3
De secretaris-generaalvan een departement stelt het informatiebeveiiigingsbeleidvast in een beleidsdocument en draagt dit beleid uit. Het document omvat tenminste:
a. De strategische uitgangspunten en randvoorwaarden die het departement hanteert ten aanzien van informatiebeveiliging, met name de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid. b. De organisatie van de informatiebeveiligingsfunctie,waaronder verantwoordelijkheden,taken en bevoegdheden. c. De eenduidige en volledige indeling van informatievoorzieningsfaciliteitenin informatiesystemen en verantwoordelijkheidsgebiedenen toewijzing van de verantwoordelijkheden daarvoor aan lijnmanagers. d. De wijze waarop het beleid vertaald wordt naar concrete maatregelen en de wijze waarop deze gefinancierd worden. e. De gemeenschappelijkebetrouwbaarheidseisen en maatregelen die voor het departement van toepassing zijn. f. De wijze waarop geconstateerde dan wel vermoede inbreuken op de informatiebeveiligingdoor medewerkers gemeld worden en de wijze waarop deze worden afgehandeld. g. De wijze waarop en de frequentie waarmee volgens een vastgesteld schema (i) het informatiebeveiligingsbeleid geëvalueerd wordt en (ii) de toereikendheid van het informatiebeveiligingsbeleidalsmede de implementatie en de uitvoering daarvan wordt beoordeeld door een onafhankelijkedeskundige. h. De wijze waarop het beveiligingsbewustzijn wordt bevorderd. Artikel 4
O
Het iijnmanagement draagt er zorg voor dat voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied op systematische wijze bepaald wordt welk stelsel van maatregelen uit hoofde van Informatiebeveiliginggetroffen dient te worden. Deze zorgplicht omvat tenminste:
VASTSTELLINGVAN OE AANWIJZINGEN
VOOR DE
INFORMATIEBEVEILIGING
7
a. Voor elk informatiesysteem wordt een afhankelijkheidsanalyse uitgevoerd, uitmondend in aan het informatiesysteem te stellen betrouwbaarheidseisen. b. Voor elk verantwoordelijkheidsgebied wordt een analyse uitgevoerd, uitmondend in aan het verantwoordelijkheidsgebiedte stellen betrouwbaarheidseisen. c. Voor eik informatiesysteem en voor elk verantwoordelijkheidsgebied worden de bedreigingen geïdentificeerd en geanalyseerd. d. Voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied worden dusdanig maatregelen gekozen dat door middel van een kwetsbaarheidsanalyseaangetoond kan worden dat aan de gestelde betrouwbaarheidseisenwordt voldaan. e. Voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied wordt een informatiebeveiligingsplanopgesteld. Hierin is een calamiteitenparagraafopgenomen waarvan de effectiviteit periodiek wordt getoetst. f. Elk informatiebeveiligingsplanwordt periodiek geëvalueerd en eventueel aangepast aan veranderde omstandigheden.
Artikel 5
a.
b. c.
d.
e.
R
Het lijnmanagement draagt er zorg voor dat voor elk bestuurs- of bedrijfsproces de maatregelen die uit hoofde van de informatiebeveiligingvan toepassing zijn op de ondersteunende informatiesystemen worden vastgelegd, geïmplementeerden/of uitgedragen en dat de werking ervan volgens een vastgesteld schema wordt gecontroleerd. Deze zorgplicht betreft tenminste:
'oor elk informatiesysteemworden de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor de gebruikers vastgelegd en uitgedragen door het lijnmanagement. Voor elk informatiesysteem worden de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor systeemexploitatie schriftelijk vastgelegd. Indien de systeemexploitatie geheel of gedeeltelijk is uitbesteed, dient volgens een vastgesteld schema een onafhankelijk oordeel over de kwaliteit van de bij de opdrachtnemer getroffen informatiebeveiligingsmaatregelen en over het handhaven en naleven daarvan te worden verlangd. Voor eik informatiesysteem worden de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor systeemvetwerving door het lijnmanagementschriftelijk vastgelegd. De uit het informatiebeveiligingsplanvoortvloeiende maatregelen voor systeemvewerving worden getoetst op hun implementatie en werking. VASTSTELLING VAN DE hNWIJZINGEN VOOR DE INFORMATIEBEVEILIGING
Artikel 6
O
Slotbepaiing
a. Ingetrokkenworden: 1. de Aanwijzingen inzake de beveiliging van persoonsgegevens, verwerkt en opgeslagen in geautomatiseerde gegevensverwerkende systemen bij de Rijksoverheid, vastgesteld bij besluit van de minister-presidentvan 16 juli 1982; 2. het Voorschrift inzake de beveiligingvan gerubriceerdegegevens, verwerkt en opgeslagen in geautomatiseerde systemen bij de Rijksoverheid, vastgesteld bij besluit van de minister-president van 25 maart 1980. b. Dit besluit treedt in werking met ingang van 1 januari 1995. c. Dit besluit kan worden aanaehaald ais het Besluit Voorschrift InformatiebeveiligingRijksdienst 1994.
O Dit besluit zal worden gepubliceerd in de Staatscourant. Van de terinzagelegging van de toelichting op het besluit zal mededeling worden gedaan in de Staatscourant.
'S-Gravenhage, 22 juli 1994
De Minister-president, Minister van Algemene Zaken,
O
VASTSTELLING VAN OE AANWIJZINGEN VOOR OE INFORMATIEBEVEILIGING
9
Algemene toelichting Aanleiding Bestuurs- en bedrijfsprocessen in moderne organisatieszijn in belangrijke mate afhankelijk van goed functionerende informatiesystemen.Veel processen zijn nagenoeg onmogelijk zonder de toepassing van geautomatiseerde gegevensverwerking: men denke aan het betallngsverkeer, bevolkings-administratie,logistieke besturing, belastingheffing, telediensten, enzovoorts. Uitval van computers of teiecommunicatiesystemen, het in ongerede raken van gegevensbestanden, of het door onbevoegden kennisnemen dan wel manipulerenvan bepaalde gegevens kan ernstige gevolgen hebben voor de beleids- en bedrijfsvoering. De genoemde afhankelijkheid wordt mede beinvloed door technologische ontwikkelingen op het gebied van de informatievoorziening.Vergaande deconcentratie van apparatuur, programmatuur, gegevens en de daarmee gepaard gaande decentralisatie van het beheer, maar ook de koppeling van voorheen losstaande informatiesystemen, leiden tot complexe situaties met diffuse verantwoordelijkheden. Gegevens komen steeds gemakkelijker beschikbaar, maar gegevensstromen zijn steeds moeilijker beheersbaar. Geautomatiseerdeinformatievoorziening vindt niet meer voornamelijk in gespecialiseerdeorganisatie-eenheden plaats, maar op alie werkplekken van overheidsorganisaties.Dit gebruik van informatievoorzieningenneemt daarbij een veelheid aan verschijningsvormen aan: kantoorautomatisering, electronische post, local en wide area networking e.d. De wijze waarop deze geautomatiseerde hulpmiddelen ter beschikking worden gesteld en geëxploiteerd worden, is aan verandering onderhevig. Veelmeer dan voorheen is er sprake van gedecentraliseerdebeslissingsbevoegdheden binnen een departement, belangrijke delen van de programmatuur worden kant-en-klaar gekocht in plaats van zelf ontwikkeld en expioitatie/beheer wordt regelmatig uitbesteed. De inrichting van de informatievoorzieningsfunctiebinnen de Rijksdienst is daarmee veel gediversificeerder dan voorheen. De technologische ontwikkelingen en de ontwikkeling van de beheersregels binnen de overheid, wijzen er op dat deze diversificatie niet kleiner maar groter zal worden. De mogelijkheden op het gebied van datacommunicatie, de integratie van spraak, beeld en conventionele data en dergelijke trends, en de veranderde inzichten over de aansturing van en het beheer van overheidsorganisaties, zoals verzelfstandiging (intern en extern), integraal management en zeifbeheer zijn voorbeelden van deze ontwikkelingen. 10
ALGEMENE TOELICHTING
. '
Op verschillende terreinen zijn ontwikkelingen gaande die invloed hebben op het denken over beveiliging: vastleggen van administratieve organisatie en procedures en de daaraan gerelateerde accountantscontrole als onderdeel van de kwaliteitsbeoordelingvan de financiële informatievoorziening, systematisering van het ontwerp en het gebruik van informatiesystemen, opkomst van nieuwe technologiën die andere systeemconcepten 'mogelijk maken, integrale benadering van kwaliteitszorg, enzovoorts. Geconstateerd kan worden dat de bestaande voorschriften op het gebied van (informatie)beveiliging onvoldoende aansluiten op deze ontwikkelingen, te specifiek gericht zijn op bepaalde soorten van gegevens (persoonsgegevens, gerubriceerde gegevens) en een grote mate van detaillering te zien geven. Aard en noodzaak Het bovenstaande heeft niet alleen als consequentie dat een bijstellingvan de bestaande regelgeving op het gebied van informatiebeveiliging plaats diende te vinden, maar dat ook een andere benadering van de wijze van het stellen van regels gezocht moest worden. Gestreefd moest worden naar een stelsel van regels dat een hogere mate van toekomstvastheid bezit dan die welke bereikt wordt door expliciet aandacht te schenken aan de nu toegepaste technologiën. De levenscyclus van informatietechnologiën is immers kort, een nieuwe technologie kan zijn intrede doen zonder dat daarover nu uitspraken mogelijk zijn en bestaande technologiën kunnen binnen een paar jaar verouderd zijn. Het is daarom niet wenselijk om op het niveau van technische maatregelen regels op te stellen voor informatiebeveiliging.
0
Datzelfde geldt ook voor de meeste organisatorische maatregelen die in het kader van informatiebeveiliging gesteld zouden kunnen worden. De vraag rijst daarmee of enigerlei vorm van regelgeving op het onderhavige gebied nog wel zin heeft. Deze vraag moet om een aantal redenen positief beantwoord worden. Informatievoorziening neemt een dusdanig belangrijke plaats in bij het functioneren van de overheid dat beveiliging daarvan akonderlijke aandacht vereist. Voor zover het gaat om de interne informatievoorziening van afzonderlijke departementen is dat overigens de verantwoordelijkheid van de departementen zelf. Uit dien hoofde zou volstaan kunnen worden met enige globale regels ten aanzien van hetgeen minimaal departmentsbreed dient te worden geregeld op de wijze waarop dat in het onderhavige voorschrift in artikel 3 is gebeurd. De afzonderlijke ministers zijn immers verantwoordelijk voor de beveiliging van de informatie en de informatievoorziening binnen de eigen ministeries. Veel informatievoorzieningsprocessenhebben echter niet alleen betrekking op het interne functioneren van overheidsorganisaties maar staan ten ALGEMENE TOELICHTING
11
dienste van informatieverwerkingen -transport ten behoeve van anderen (zoals andere departementen, uitvoeringsorganisaties,lagere overheden, bedrijfsleven en burgers). Het ligt daarom voor de hand om helderheid te creëren met betrekking tot de begrippen op het gebied van informatiebeveiligingen minimale randvoorwaarden te stellen aan de wijze waarop met informatie-beveiliging wordt omgegaan bij informatische relaties tussen een departement en andere instanties (zie artikel 2). Informatievoorzieningsprocessenzijn vaak complex als gevolg van de toegepaste technologie en het aantal betrokken interne en externe actoren. De beveiliging van informatievoorzieningbrengt zijn eigen complexiteit met zich mee, door de verschillen van benadering (technisch, juridisch, controlerend, organisatorisch), verschillen in optiek (privacy, landsbelang, continuïteit, integriteit) en de verschillen in de objecten van beveiliging (gegevensverwerking, -opslag, transport). Hierdoor kan onduidelijk worden wie voor welk deel van informatiebeveiligingverantwoordelijk is, bestaat de kans op overlappende inspanningen en treedt inefficiëncy op bij het benutten van de mogelijkhedendie door de verschillende specialismen op dit gebied worden aangereikt. Bovendien wordt de beveiliging van informatievoorzieningvaak ervaren als een kostenpost waar geen tastbare opbrengsten aan te relateren zijn. Dit is de reden om voor de rijksdienst enige methodologische stappen te beschrijven waarmee tot een evenwichtig pakket van maatregelen voor informatiebeveiligingwordt gekomen. Deze stappen vormen onderdeel van de systeemontwikkelingsactiviteitenen koopprocessen en monden uit in een informatiebeveiligingsplan(zie artikel 4). Dit informatiebeveiligingsplanvormt het uitgangspunt voor lijnmanagers die de verantwoordelijkheid hebben voor een informatiesysteem om inhoud te geven aan informatiebeveiligingtijdens het gebruik van zo'n systeem. Zij dienen het vastgestelde stelsel van maatregelen te vertalen, uit te dragen, te effectueren en te controleren naar de verschillende groepen van betrokkenen (zie artikel 5). Hiermee zijn de spelregels vastgelegd waarmee binnen overheidsorganisaties aan informatiebeveiliging inhoud gegeven dient te worden met het oog op een efficiënt samenwerkende overheid die betrouwbaar omgaat met de haar toevertrouwde informatie. Een belangrijk kenmerk van het nieuwe voorschrift is de globaliteit, hetgeen echter niet betekent dat het vrijblijvend is. Er wordt op hoofdlijnen vastgelegd waaraan het informatiebeveiligingsbeleidmoet voldoen. Deze hoofdlijnen vormen als het ware een afspraak tussen de ministeries over de wijze waarop informatie en de informatievoorzieningworden beveiligd. In het voorschrift zijn de "spelregels" vastgelegd waaraan elk ministerie zich te houden heeft en als zodanig biedt het voorschrift steun en houvast bij het voeren van beleid terzake. 12
ALGEMENE TOELICHTING
0
De globaliteit van het voorschrift brengt met zich mee dat daarbij gedetailleerderichtlijnen voor het opstellen van beveiligingsplannen en het uitvoeren van analyses ontbreken. Wel is onderkend dat behoefte bestaat aan het aanreiken van de verschillende mogelijkhedenhiertoe. Dit gebeurt door de parallelle introductievan een aparte publicatie "Handboek Informatie-beveiligingRijksdienst". In dit handboek zijn voorbeelden opgenomen die de departementen kunnen gebruiken bij de inrichting en vormgeving van hun informatiebeveiligingsbeleid. Begripsbepaling De beveiliging van informatie en van informatiesystemenheeft in de verschillende disciplines die zich met informatievoorzieningbezig houden, verschillende betekenissen. In dit voorschrift wordt, tetwille van de haalbaarheid van het praktisch gestalte geven aan informatiebeveiliging voor de lijnmanager, uitgegaan van een synthese van deze verschillende benaderingen. Informatiebeveiligingwordt gezien als een onderdeel van kwaliteitszorg. Dit betreft het geheel van die zaken die geregeld dienen te worden om er voor te zorgen dat een informatiesysteemniet alleen functioneel in orde is, dat wil zeggen dat de juiste dingen worden gedaan, maar dat deze dingen ook op de juiste wijze worden gedaan. Informatiebeveiligingwordt in het onderhavige voorschrift gedefinieerd als het treffen van een samenhangend pakket van maatregelen ter waarborging van de betrouwbaarheid van een informatiesysteem. De kern van alle activiteiten om tot informatiebeveiligingte komen is daarmee dat uitgaandevan betrouwbaarheidseisen tot maatregelen gekomen moet worden. De betrouwbaarheidseisen zelf worden afgeleid uit de mate waarin de beleids- en bedrijfsprocessenafhankelijk zijn van een ondersteunend informatiesysteem. Ze hebben betrekking op drie kenmerken van het proces van informatievoorziening: beschikbaarheid, integriteit en exclusiviteit die tezamen een betrouwbare informatievoorzieningmoeten opleveren. De maatregelen worden bij het ontwikkelen, verwerven en onderhouden van informatie-systemen volgens een aantal stappen geselecteerd. De technische maatregelen worden vervolgens geïmplementeerd in het (technische) deel van een informatiesysteem. De procedurele maatregelen dienen te worden uitgevoerd, uitgedragen en gecontroleerd tijdens het gebruik en de exploitatie van een informatiesysteem, waarbij het voor de hand ligt om zoveel mogelijk te streven naar inbedding in de normale werkprocedures.
@
Beschikbaarheidvan informatievoorzieningimpliceert dat informatiesystemen en informatie beschikbaar dienen te zijn ter ondersteuningvan werkprocessen. Dat stelt eisen aan de aanwezigheid, bedrijfszekerheid, vervangbaarheid en dergelijke van de componentenvan informatieALGEMENETOELICHTING
13
systemen. Integriteit wordt gerealiseerd door de correctheid van informatiesystemen. Centraal hierbij staat in hoeverre het proces tot de beoogde resultaten leidt. Exclusiviteittenslotte wordt bereikt door het beheersen van de toegang tot en het gebruik van systemen en componentendaarvan. Hierbij gaat het om de mate waarin slechts een gedefinieerde groep van gerechtigden de informatie en de informatiesystemen mag benutten. Overigens worden naast de begrippen beschikbaarheid, integriteit en exclusiviteit ook vaak die termen continuïteit, correctheid en vertrouwelijkheid gehanteerd. Reikwijdte Het voorschrift is gericht op de Rijksdiensten daarbinnen op de secretarissen-generaal van de departementen. De gerichtheid op de Rijksdienst brengt met zich mee dat het voorschrift ais een van de Algemene aanwijzingen voor de Rijksdienst wordt uitgebracht. De implicatie is tevens dat het voorschrift geen rechtstreekse werking heefl op de Hoge Colleges van Staat en op zelfstandige bestuursorganen. In de artikelgewijzetoelichting wordt op dit aspect nader ingegaan. De verplichting voor de secretarissen-generaal om een departementaal beleidsdocumentvoor informatiebeveiligingop te stellen, wordt in de toelichting op artikel 3 op voor de hand liggende wijze genuanceerd. Voor de situatie dat er sprake is van relatief autonoom functionerende dienstonderdelen, kan ertoe overgegaan worden dat aizonderlijke beleidsdocumentenworden samengesteld. Het is aan de departementen er zorg voor te dragen dat de verschillende regimes die mogelijkerwijsheersen ten aanzien van informatiebeveiliging (ni. departement, autonome dienstonderdelen en zelfstandige bestuursorganen) in een juiste verhouding tot elkaar staan. Interorganisatorische aspecten In het tweede artikel van het voorschrift komt onder meer het interorganisatorischeaspect aan de orde. Dit betreft de beveiliging van gegevensuitwisseling tussen een onderdeel van de Rijksdienst en een andere instantie. In deze situatie is niet à priori helder hoe de verantwoordelijkheden zijn verdeeld en wordt daarom voorgeschreven dat er schriftelijke afspraken tussen partijen moeten worden gemaakt. Een goede basis voor deze afspraken wordt overigens gevormd door hetgeen in artikel vier staat over het proces om tot informatiebeveiliging te komen. Het gebruik van datacommunicatiein het bedrijfsleven en de daarbij door partijen gehanteerde stelsels van afspraken (waaronder het EDI Interchange Agreement, Trusted Third Party constructies, Codes of 14
ALGEMENE TOELICHTING
I
0
O
Practice e.d.) beogen om naast het vastleggen van de technologische modaliteitenvan deze vorm van communicatie ook de (privaatrechtelijke) juridische aspecten aan de orde te stellen (waaronder de bewijskracht). Gezien de problematiek van technologischestandaardisatie binnen de overheid kan er op voorhand niet van uit gegaan worden dat analoge mechanismen van voldoende kwaliteit zich zonder aansporing tijdig zullen ontwikkelen. Omdat een privaatrechtelijkerechtspersoon met een veelheid aan overheidsinstanties gegevensuitwisseling pleegt, is op termijn uniformiteit op dit gebied wenselijk. Vooruitlopend op de welhaast onvermijdelijke trend naar electronificatie van deze communicatie, is een eerste stap naar regulering gewenst. Dat voor deze stap in de vorm van schriftelijke vastlegging is gekozen en niet voor een zwaardere vorm is momenteel onvermijdelijk gezien de onvoorspelbaarheid van de vlucht van electronische gegevensuitwisseling. Door schriftelijkevastlegging voor te schrijven wordt bereikt dat dit aspect van informatiebeveiliging niet aan de aandacht ontsnapt en dat helderheid over de afspraken verkregen wordt.
'
De organisatie Het derde artikel van het voorschrift richt zich op de overheidsorganisatie als geheel. Omdat informatiebeveiliging(nog) niet vanzelfsprekend is, dienen door het topmanagement de spelregels vastgelegd en uitgedragen te worden. De vastlegging gebeurt door middel van een beleidsdocument dat op het hoogste niveau van de organisatie, de secretaris-generaal, wordt vastgesteld. Dat dit beleidsdocument niet op zichzelf staat, blijkt onder meer uit de positionering er van ten opzichte van het algemene beveiligingsbeleid (beveiliging van gebouwen, personeel) en van het informatievootzieningsbeleid.De afstemming met het (algemene) informatievoorzieningsbeleid kan gerealiseerd worden door informatiebeveiliging een van de onderdelen van het (departementale) informatieplanningproces te laten zijn en/of door een mogelijk bestaande departementale stuurgroep informatievoorziening expliciet het beveiligingsaspect te laten behandelen. De inbedding van informatiebeveiliging in het algemene beveiligingsbeleid van een departement is gewenst omdat op het niveau van de maatregelen (en dus ook op de hogere niveaus: beieidsvorming, operationalisering daarvan en planvorming) de verschillende 'soorten' van beveiliging met elkaar samenhangen. Voorbeelden van deze samenhang betreffen toegangsbeveiliging (toegang tot gebouwen, tot computerfaciliteiten,tot gegevens en programmatuur) en maatregelen ten aanzien van het personeel (geheimhoudingsverùlaringen, functiescheiding, melding van incidenten), Deze samenhang wordt versterkt door periodiek de verschillende objecten van beveiliging ook in combinatie met elkaar te beschouwen Voor de hand ligt om dit te realiseren door samenwerking met ALGEMENETOEUCHnNG
15
de beveiligingsambtenaar van het departement. Gebeurt dit niet dan bestaat het gevaar dat maatregelen elkaar overlappen of tegenstrijdig zijn hetgeen ten koste gaat van de effectiviteit ervan. Toewijzen verantwoordelijkheden De meest voor de hand liggende afstemming van het informatiebeveiligingsbeleidbetreft overigens die met de verdeling van taken en bevoegdheden binnen de organisatie. Dit wordt verwoord door te steilen dat informatiebeveiligingeen lijnverantwoordelijkheidis. Impliciet wordt er daarbij van uit gegaan dat de verantwoordelijkheidvoor de primaire processen binnen een departement iocaliseerbaar is bij individuele lijnmanagers. Ten behoeve van deze werkprocessen beschikken deze over een of meerdere informatiesystemen voor het gebruik waarvan zij de verantwoordelijkheiddragen. Onderdeel van deze verantwoordelijkheid betreft informatie beveiliging.
e
O
Essentieel onderdeel van het voorschrift is dat voor elk informatiesysteem de Verantwoordelijkheid voor de informatiebeveiligingis toegewezen aan een lijnmanager. Uit het voorgaande mag duidelijk zijn dat deze toewijzing van verantwoordelijkheden direct kan volgen uit het departementale infomatievoorzieningsbeleid. Bij het concretiseren van deze hoofdregel treden overigens een aantal complicaties op. Een belangrijkeis het verschijnsel dat verschillendeinformatiesystemen vaak gebruik maken van dezelfde componenten. Hierbij kan het gaan om gebruik door meerdere informatiesystemen van dezelfde werkplek-hardwardsoftwareof van gemeenschappelijke interne netwerkvoorzieningen. Ook kunnen meerdere bedrijfsprocessengebruik maken van dezelfde informatiesystemen (zoals bij kantoorautomatisering) en kunnen meerdere bedrijfsprocessen gebruikmaken van dezelfde informatie. Verantwoordelijkheidsgebieden Aangezien deze complicaties bij de meeste overheidsorganisaties optreden, is het nodig aan te geven op welke wijze de in beginsel elkaar rakende verantwoordelijkheden ten opzichte van elkaar gepositioneerd dienen te worden. Hiervoor wordt in het voorschrift het concept verantwoordelijkheids-gebied ge'introduceerd. Het geheel van informatievoorzieningsfaciliteitenbinnen een departement kan worden ingedeeld in een aantal verantwoordelijkheidsgebiedenop zodanige wijze dat geen overlappingen of niet ingedeelde faciliteiten bestaan. Een voor de hand liggende indeling die bij veel overheidsorganisaties direct toepasbaar is, betreft: de software voor kantoorautomatisering, de werkplek-platforms (hardware en systeem-programmatuur), het interne netwerk, het interne rekencentrum en specifieke applicaties (zoals de financiële en personele toepassingsprogrammatuur). Het is de verantwoordelijkheidvan een 16
ALGEMENE TOEUCHTING
O
e
overheidsorganisatie zelf om een adequate, op de eigen organisatie toegesneden indeling vast te cteiien.
o
e
e
De primaireverantwoordelijkheidvoor informatiesystemen wordt door lijnmanagers gerealiseerd door het maken van adequate afspraken over de diensten die afgenomen worden van diverse verantwoordelijkheidsgebieden in combinatie met het aansturen en instrueren van hun eigen medewerkers. De beveiliging van een informatiesysteembouwt voort op en stelt eisen aan de beveiliging van gemeenschappelijke structuren zoals netwerken, rekencentra en ontwikkelings-afdelingen. Omgekeerd kan pas inhoud aan de beveiligingvan verantwoordelijkheidsgebieden worden gegeven als duidelijk is weike de eisen, nu en in de toekomst, worden gesteld vanuit de verschillende informatiesystemendie van deze verantwoordelijkheidsgebiedengebruik maken. Deze benadering is niet alleen nodig om intern tot een heldere afbakening van de verantwoordelijkheden binnen een organisatie te komen. Zoals in de inleiding gesteld is, treedt in steeds grotere mate het verschijnsel op dat tot uitbesteding, outsourcing enlof facilities management wordt overgegaan. Dat betekent dat de in de vorige alinea genoemde afspraken die een lijnmanager dient te maken, voor een deel ook met derden gemaakt moeten worden en dan in de vorm van privaatrechtelijkecontracten vastgelegd dienen te worden. Afspraken over informatiebeveiligingmoeten dan ook teruggevonden worden in overeenkomsten voor het laten ontwikkelen van programmatuur, voor het laten uitvoeren van de gegevensverwerking door een extern rekencentrum, in een facilities management contract voor het operationeel houden van een intern netwerk en andere overeenkomsten. Een derde voordeel van het hanteren van verantwoordelijkheidsgebieden betreft het gebruik van externe informatie, het gebruik van datacommunicatie-netwerken en het leveren van informatie aan derden. Bij datacommunicatieis het niet steeds zinvol om te spreken van informatiesystemen in de klassieke betekenis.Van de vijf componentenvan een informatiesysteem(apparatuur, programmatuur, mensen, procedures en informatie) is immers de component 'informatie' vaak weinig grijpbaar (vergelijk de situatie waarin gedigitaliseerdespraak als data over een ISDNverbinding wordt verzonden). De term verantwoordelijkheidsgebiedis daarom beter toepasbaar. Bij gebruik van een datacommunicatie-netwerk, dienen met de netwerkdienstenleverende partij afspraken te worden gemaakt ten aanzien van informatiebeveiligingvan het technische systeem dat de informatie transporteert. Voor elk informatiesysteem dat van een datacommunicatie-verbindinggebruik maakt, dient vanuit de optiek van de afhankelijkheid van het bedrijfsproces waaraan het informatiesysteem zijn bestaansrecht ontleend, eisen te worden geformuleerden dienovereenALGEMENETOELICHTING
17
I
komstige afspraken te worden gemaakt met de beheerder van de datacommunicatie-faciliteiten ten aanzien van de beveiliging die dit verantwoordelijkheidsgebiedlevert. Daarnaast dienen met de instantie waarmee gecommuniceerdwordt afspraken te worden gemaakt betreffende de beveiliging van de informatie als onderdeel van hei informatiesysteem.
O
Maatregelen op het niveau van de organisatie (base-line) Het gebruik van verantwoordelijkheidsgebiedenkan ertoe leiden dat etvoor gekozen wordt de afspraken tussen deze gebieden op het hoogste niveau van een organisatie te maken. Een verschijningsvorm van deze gang van zaken is het vaststellen van een base-line informatiebeveiliging. Daaronder wordt verstaan een stelsel van maatregelendie voor een bepaalde periode binnen een organisatie wordt overeengekomen en dat voor elk informatiesysteem van toepassing is. In aanvulling op een base-line (denk ook aan een standaard beveiiigingsniveau) kunnen voor sommige informatiesystemen aanvullende eisenhnaatregelengeformuleerd worden. Het voordeel van zo'n base-line benadering is dat vermeden wordt dat een reeks van gelijksoortige afwegingen gemaakt dient te worden door individuele lijnmanagers over de gewenste set van maatregelen. Een mogelijke werkwijze bij het vaststellen van een base-line volgt het volgende patroon: Vanuit de bedrijfsprocessen van een organisatie wordt de afhankelijkheidvan de verantwoordelijkheidsgebieden bepaald in termen van beschikbaarheid, integriteit en exclusiviteit (hierbij wordt het afzonderlijke informatiesysteemovergeslagen). Dit leidt tot het formuleren van eisen aan de verantwoordelijkheidsgebieden. Na inventarisatie van de bedreigingen kan vervolgens tot een keuze van evenwichtige maatregelen worden gekomen. Veelal zal in de loop van dit proces zichtbaar worden welke bedrijfsprocessen (of delen daarvan) eisen stellen die hoger zijn dan het gemiddelde. Besloten kan dan worden om deze bedrijfsprocessen apart te behandelen (ze passen niet in het grootste gemene veelvoud en voor hen is de base-line niet voldoende). Tenslotte moet dan nog wel per informatiesysteemworden nagegaan of het geheel van de gezamenlijk afgesproken maatregelen inderdaad voldoende is. Overigens kan in beginsel ook de situatie optreden dat een base-line niet van toepassing is op sommige informatiesystemenvan een departement. Deze conclusie dient uiteraard wel op departementaal niveau te worden vastgelegd en gefiatteerd. Gemeenschappelijke informatie en informatiesystemen (klassificaties) Bij het gebruik van gemeenschappelijke informatie leidt de verantwoordelijkheidsstelling van de lijnmanagersmogelijkerwijs tot de situatie dat aan gelijksoortige gegevens vanuit verschillende bedrijfsprocessenVerschillende eisen worden gesteld. In het algemeen is deze situatie niet optimaal (leidt tot dubbel werk) en kan tot inconsistentie leiden. Het ligt daarom voor de 18
ALGEMENE TOELICHTING
e
hand om voor dit type informatie departementsbreed af te spreken op welke wijze daarmee wordt omgegaan. Dat houdt in dat eenmalig vastgesteld wordt aan welke eisen de beveiliging van deze informatie dient te voldoen en eventueel welke maatregelen in dat kader verplicht worden gesteld voor informatiesystemen die deze informatiegebruiken.
0
0
Een verschijningsvorm van deze werkwijze is het gebruik van klassificaties. Daarbij kan onderscheid worden gemaakt naar klassificatie van de betrouwbaarheidseisen die bijvoorbeeldaan informatie wordt gesteld en naar een klassificatievan maatregelen die toegepast worden. Bij een hogere klasse van betrouwbaarheid hoort dan een hogere klasse van maatregelen (d.w.z. zwaardere maatregelen). De interorganisationele tegenhanger van deze situatie, treedt op als frequent gegevens worden uitgewisseld met een veelheid van andere overheids-organisaties. In die gevallen is het praktisch om, bijvoorbeeld in het kader van periodiek op te stellen informatiestructuurschetsen, gezamenlijk vast te stellen welke eisen vanuit de optiek van informatiebeveiliging van toepassing dienen te zijn. In veel gevallen zullen deze eisen in wisselwerking met specifieke wet- en regelgeving opgesteid worden. De andere bijzondere situatie die voor behandeling in het kader van een beleidsdocument aan de orde kan komen, betreft het gebruik door meerdere lijnmanagers van eenzelfde informatiesysteem. De eisen die gesteld worden aan dat informatiesysteem kunnen het meest pragmatisch departementsbreed worden vastgesteld. Bij gebruik van informatiesystemen binnen meerdere departementen [interdepartementaal) en/of binnen meerdere bestuurslagen [interbestuurlijk) ligt het tevens voor de hand om de initiële verantwoordelijk-heid voor informatiebeveiligingop het niveau te leggen waar de verantwoordelijkheid voor de overige aspecten van het informatiesysteem liggen. De daar geformuleerde eisen dienen vervolgens als basis voor door lijnmanagers nader te concretiseren maatregelen, die in de meeste gevallen vooral betrekking zuilen hebben op hun eigen gebruikersorganisaties. Kiezen van maatregelen In het vierde artikel van het voorschrift wordt ingegaan op de wijze waarop voor informatiesystemen en verantwoordelijkheidsgebieden bepaald wordt welke maatregelen gekozen worden om concreet inhoud te geven aan informatiebeveiliging. Het kiezen van deze maatregelen is voor een belangrijk deel te positioneren in het proces van systeemontwikkeling, -onderhoud en -verwerving. Dit geldt overigens ook voor de implementatie van de technologische maatregelen. Belangrijk uitgangspunt bij het keuzeproces van de maatregelen is het zorgen voor een samenhangend en evenwichtig geheel. ALGEMENETOELICHTING
19
Het keuzeproces bestaat uit het bepalen van de afhankelijkheidvan bedrijfsprocessen van een informatiesysteem, het inventariseren en analyseren van potentiële verstoringen, de feitelijke keuze van de maatregelen en de toetsing daarvan via een kwetsbaarheidsanalyseen uiteindelijk het vastleggen van de keuze van de maatregelen in een informatiebeveiligingsplan. Vastleggen van maatregelen Dit laatste verdient overigens bijzondere aandacht. Voor een deel liggen de maatregelen vast in de technische specificaties van een informatiesysteem. Het gaat dan bijvoorbeeld om integriteitscontroles, maatregeien op het gebied van de beschikbaarheid van hardware en dergelijke. Een aantal van deze maatregelen is alleen bedoeld om de betrouwbaarheid van het informatiesysteemte waarborgen terwijl andere ook voor andere doelen van nut zijn (prestatienormenten aanzien van de verwerkingssneiheden, responsetijden e.d). Het geheel van alie maatregelen, dus inclusief de specifieke beveiligingsmaatregelen,maakt of onderdeel uit van de contracten (bij verwerving) enlof van de systeemdocumentatie (bij eigen systeemontwikkeling). Gelijktijdig zijn er maatregelen gekozen ten aanzien van de te hanteren procedures bij het gebruik van het informatiesysteem. Gezien de Verschillende aard van de maatregelen (technisch versus procedureel) en de verwevenheid van de maatregelen (beveiligingsmaatregelen vormen vaak niet een direct identificeerbareafzonderlijke categorie) is het in veei gevallen niet zinvol om te streven naar een apart document waarin alle maatregelen zijn opgesomd. Dit zou slechts tot administratieve ballast leiden. Van belang zijn twee zaken. In de eerste plaats moet eenvoudig na te gaan zijn wat het totale pakket van maatregelen is. Dat kan gebeuren door als afsluiting van het proces van keuze van maatregelen, een uitputtende lijst van vindplaatsen van de maatregelen vast te leggen. In de tweede plaats dienen de maatregelen ontsloten te worden voor die medewerkers enlof organisatie-eenhedenwaarop ze betrekking hebben. Sommige maatregelen zijn van toepassing op de gebruikers van een informatiesysteem, vastlegging door middel van een werkinstructie ligt dan voor de hand; andere maatregeien hebben bijvoorbeeld betrekking op de exploitatie van een informatiesysteem en lenen zich meer voor vastlegging een uitbestedingscontract. Dit deel van het voorschrift impliceert dat niet voor elk informatiesysteem een informatiebeveiligingsplan in de vorm van een afzonderlijk document behoeft te worden gemaakt. Wel dienen, onder meer vanwege de beheersbaarheidvan het aspect informatiebeveiliging beschikbaar te zijn (i) een uitputtende lijst van vindplaatsen waar de maatregelen staan beschreven en (2) vertaling van de maatregelen naar de verschillende verantwoordeiijkheidsgebiedenen in het bijzonder naar de gebruikers daarvan. 20
ALGEMENETOELICHTING
O
e
Realisatie van maatregelen Het vijfde artikel gaat in op het effectueren van de maatregelen die vastgelegd zijn in het informatiebeveiligingsplan.Hierbij gaat het om de hierboven vermelde vertalingen van de maatregelen zodat deze helder zijn voor degenen die belast zijn met informatiegebruik,systeemexploitatieen systeemverwerving. In dit artikel komt de verantwoordelijkheid van het lijnmanagement expliciet aan bod omdat het er om gaat zijn eigen medewerkers aan te sturen, om binnen de organisatie afspraken te maken en om overeenkomsten te sluiten met andere organisaties waarvan diensten worden afgenomen. Daarentegen worden de activiteiten die op grond van het vierde artikel uitgevoerddienen te worden wel onder zijn verantwoordelijkheid uitgevoerd, maar kan hijhij daarin zelf slechts in beperkte mate een rol in spelen die meer inhoud dan het goedkeuren of afkeuren van activiteiten in het kader van een svsteemverwervinastraiect. 1
0
.
Evaluatie en controle In het voorschrift is geen aizonderlijk artikel gewijd aan de wijze waarop evaluatie en controle (‘beheersing’) dient te geschieden. In plaats daarvan is in de meeste artikelen telkens een lid opgenomen waarin het aspect van beheersing aan de orde komt. In het geval van informatische relaties tussen een departement en een andere instantie (artikel2, lid d), wordt vermeld dat de wijze waarop zekerheid wordt verkregen over het vereiste betrouwbaarheidsniveau, onderdeel dient deel uit te maken van de schriftelijke afspraken tussen departement en de andere instantie. In artikel 3 komt op het niveau van het departement de evaluatie en de beoordeling van het informatiebeveiligingsbeieidaan de orde. In artikel 4 wordt voorgeschreven dat informatiebeveiligingsplannenperiodiek geëvalueerd dienen te worden. Tenslotte wordt in artikel 5 aan de orde gesteld dat de werking van maatregelen die uit hoofde van informatiebeveiliging van toepassing zijn, volgens een vast schema worden gecontroleerd. In de leden c en e van hetzelfde artikel wordt aan het aspect controle expliciet aandacht besteed. Vervangen voorschriften Het onderhavige voorschrift dient ter vervanging van een tweetal voorschriften uit begin jaren tachtig, te weten (i) de Aanwijzingen inzake de beveiligingvan persoonsgegevens, verwerkt en opgeslagen in geautomatiseerde gegevensverwerkende systemen bij de Rijksoverheid, vastgesteld bij besluit van de minister-president van 16 juli 1982 (verder aan te duiden met AAR-4) en (2) het Voorschrift inzake de beveiligingvan gerubriceerde gegevens, verwerkt en opgeslagen in geautomatiseerde systemen bij de Rijksoverheid, vastgesteld bij besluit van de ministerpresident van 25 maart 1980.
ALGEMENE TOELICHTING
21
Beide voorschriften richten zich op zogenaamde G-gehelen en zijn geschreven voor de situatie dat geautomatiseerde gegevensverwerking vooral plaatsvond in rekencentra met behulp van relatief grote computers. Naast de overwegingen die in het begin van deze algemene toelichting zijn gegeven, betreffendewenselijkheid om tot vernieuwing van de bestaande regelgeving te komen, wordt in de artikelsgewijzetoelichting voor artikel 6, eerste lid nader ingegaan op de aard van deze te vervallen regelgeving en wordt aangegeven waarom het laten vervallen ervan mogelijk is.
22
ALGEMENE TOELICHTING
Artikelsgewijze toelichting Artikel 1 Begripsbepalingen Informatiebeveiligingheeft zowel betrekkingop informatievoorzieningals op (algemene) beveiliging. De begripsbepalingenomvatten daarom begrippen uit beide disciplines. Er is van af gezien om ook begripsomschrijvingenop te nemen uit andere disciplines, zoals accountancy, EDP-auditing en privaatrecht. Deze spelen wel een rol bij informatiebeveiligingmaar staan niet centraal. Waar nodig wordt op de relatie tussen begrippen uit de verschillendedisciplines ingegaan. De begrippen worden gegroepeerd naar het aandachtsgebiedwaartoe ze behoren, aan de orde gesteld. Hieronder volgen eerst zonder toelichting twee kernbegrippen: h. informatiesysteem: een geheel van gegevensverzamelingen, personen, procedures, programmatuur en opslag-, verwerkings- en communicatieapparatuur; j. kwaliteit: de mate waarin het geheel van eigenschappen van een informatiesysteemvoldoet aan de uit het gebruikcdoel voortvloeiende eisen; Voor praktische doeleinden en om aansluiting te realiseren met onder meer de Wet Persoonsregistraties, is het van belang de verschillende rollen te definiëren die optreden bij informatievoorziening. Onderscheiden worden het gebruik van informatieen informatiesystemen, de systeemexploitatieen de systeemverwerving. Informatiegebruiken systeemexploitatietezamen vallen grotendeels samen met de inhoud van het begrip informatiebeheer zoals dat in het Besluit IVR 1990 wordt omschreven (‘de zorg voor het waarnemen, vastleggen, verzamelen, verwerken, verstrekken en gebruiken van informatie en voor het exploiteren van een informatiesysteem’). Door het afzonderlijk definiëren van systeemexploitatiewordt aansluiting gevonden bij de term ’houder van een persoonsregistratie’(deze is veelal een lijnmanagervan de informatiegebruikers) en bij de term ‘bewerker van een persoonsregistratie’(dit is veelal de rechtspersoondie de zorg voor de systeemexploitatieheeft) en wordt tevens aansluiting gevonden met de tendens tot uitbesteding van de verwerking en het transport van gegevens. Het begrip ‘systeemverwerving’ valt grotendeels samen met de IVR-term ‘systeembeheer’ (‘de zorg voor het tot stand brengen, het invoeren, het in stand houden en het uitbreiden van informatiesystemen waaronder begrepen het opstellen en onderhouden van de proceduresvoor het ARTIKELSGEWIJZE TOELICHTING
23
informatiebeheer’). Verschillen betreffen het zgn. kleine onderhoud (nieuwe releases implementeren waarvoor aanpassingen van een toepassingsprogramma nodig kan zijn) en het opstellen en onderhouden van procedures voor het informatiebeheer. Deze verschillen zijn, naast bestaande begripsverwarringin de praktijk over de invulling van het begrip systeembeheer, aanleiding om het begrip systeemvenverving te introduceren. In het bijzonder de grote vlucht die uitbesteding van activiteiten met betrekking tot systeemontwikkelingen het kopen van standaardprogrammatuur heefi genomen, was hiertoe aanleiding. Naast het begrip informatiesysteem wordt in deze toelichting ook de term systeem gehanteerd, veelal als aanduiding voor een gedeelte van een informatiesysteem. Aangezien een informatiesysteemkortweg gegevens, mensen, procedures, programmatuur en apparatuur omvat, wordt de term systeem vooral gehanteerd ais er slechts sprake is van vier van deze vijf componenten. Toepassingen van het begrip zijn: datacommunicatie-systeem(of netwerk; hierbij is de component gegevens niet of niet steeds in gestructureerdeen tastbare zin aanwezig), kantoorautomatiserings-systeem(idem voor wat betreft de gegevens), een intern rekencentrum (geen gebruikers aanwezig, overigens wel bedienend personeel) of een database-management systeem (geen volwaardig informatiesysteem maar een bouwsteen voor een informatiesysteem, de toepassingsprogrammatuur ontbreekt). Ook de termen systeemexploitatieen systeemvetwerving kunnen vanuit deze optiek worden beschouwd; het gaat veelal om de exploitatie van een deei van het informatiesysteem(met het accent op de techniek) en om de verwerving van een deel van het informatiesysteem (naast de techniek in de vorm van apparatuur en programmatuur kan het hierbij ook om het opzetten van de administratief-organisatorische procedures gaan) Daarnaast maakt het begrip systeem het mogelijk om relatief eenvoudig de organisatorische tegenhanger er van te definiëren. Met verantwoordelijkheids-gebied wordt de organisatorische eenheid bedoeld die verantwoordelijkheid draagt voor een of meer voorzieningen waarvan door informatiesystemen gebruik wordt gemaakt. Deze verantwoordelijkheidbetreft uiteraard aileen de systeemexploitatieen de systeemverwerving. Verantwoordelijkheidsgebiedenzijn zinvol te onderscheiden daar waar verschillende informatiesystemengebruik maken van gemeenschappelijke componenten (zoais netwerken, hardware- en sofiwareplatforms, interne rekencentra). Om de verantwoordelijkheidvoor informatiebeveiliginghelder toe te kunnen delen is het noodzakelijk om dit concept te hanteren om de brug te slaan van de informatische wereld naar de organisatie. 24
AATIKELSGEWIJZE TOELICHTING
0
e
* 0
i. systeemexploitatie:de zorg voor het functioneren van een deel van een informatiesysteem; m. systeemverwerving: de zorg voor het ontwikkelen, kopen, huren e.d. en het uitvoeren van aanpassingen aan (delen van) een informatiesysteem zoals procedures, programmatuur en/of apparatuur; n. verantwoordelijkheidsgebiedeen geheel van voorzieningen dat ter beschikking staat aan een of meerdere informatiesystemenen waarvoor de verantwoordelijkheideenduidig is toe te wijzen aan één organisatorischeeenheid; Het kernbegrip voor dit voorschrift is het woord informatiebeveiligingzeif. Dit wordt gedefinieerddoor gebruik te maken van de drie algemeen geaccepteerdeaspecten van beveiliging: beschikbaarheid, integriteit en exclusiviteit (internationaalworden vaak de begrippen confidentiaiity, integrity en availability gehanteerd). Voor het definiërenvan het begrip informatiebeveiligingstaan in beginsel twee mogelijkheden ter beschikking. Er kan voor worden gekozen om het begrip informatie centraal te stellen en er kan voor worden gekozen om het begrip informatiesysteemcentraal te stellen. Beide mogelijkheden kennen hun beperkingen. Kiezen voor het begrip informatie heeft als nadeel dat vervolgens dit begrip ingeperkt dient te worden tot die informatie waarvoor gemeenschappelijke afspraken binnen de Rijksdienst mogelijk zijn. Het voorschrift zou anders ook betrekking hebben op het voeren van gesprekken en het houden van vergaderingen. Bij deze keuze wordt voorbij gegaan aan de technologische realiteit die de primaire aanleiding vormt voor dit voorschrift. Kiezen voor het ophangpunt informatiesysteemheeft als nadeel dat niet direct zichtbaar wordt dat het uiteindelijk gaat om de beveiligingvan (bepaalde soorten van) informatie; tevens kan de indruk ontstaan dat het slechts gaat om het geautomatiseerde deel van de informatievoorziening. Omdat het hoofddoel van dit voorschrift is te komen tot eenduidige toedeling van de verantwoordelijkheden ten aanzien van informatiebeveiligingen deze toedeling het meest eenvoudig te realiseren is door gebruik te maken van de toedeling van de verantwoordelijkheden voor informatiesystemenbinnen organisaties, is uiteindelijk gekozen voor het ophangpunt informatiesysteem. Waar nodig zal in de toelichting op dit voorschrift aandacht worden besteed aan de invalshoek informatie om de beperkingenvan de invalshoek informatiesysteem zoveel ais mogelijk te compenseren. Voor wat de definitie van informatiebeveiligingzelf betreft, deze impliceert onder meer dat een systematische verzameling van gegevens in de zin van de Wet persoons-registratieseen informatiesysteemvormt en dat voor de beveiliging daarvan binnen de rijksdienst dit voorschrift van toepassing is. Iets algemener betekent dit dat het voorschrift niet uitsluitend betrekking heeft op geautomatiseerde informatiesystemen. ARTIKELSGEWIJZE TOELICHTING
25
Naast het begrip informatiebeveiliging,wordt het begrip betrouwbaarheid gehanteerd. Hiermee wordt de eindtoestand van de activiteit informatiebeveiliging aanduid. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en exclusiviteit. Het aspect controleerbaarheid speelt wel een belangrijke rol bij informatiebeveiliging maar wordt in het kader van dit voorschrift niet op dezelfde wijze behandeld als de drie hiervoor benoemde aspe,cten. In plaats daarvan wordt het geacht een randvoorwaardete zijn bij het kiezen, implementeren en naleven van maatregelen. Conform de gebruikelijke definitie van controleerbaarheid, wordt hieronder
in dit voorschrift verstaan de mate waarin door mensen vastgesteld kan worden dat een bepaald proces tot het beoogde resultaat heeft geleid. Dit komt in het voorschrift op drie verschillende plaatsen aan de orde. In de eerste plaats bij evaluatie naar en onderzoek van het informatiebeveiligingsbeleidvan een departement (artikel 3, lid 9); ten tweede bij de evaluatie van informatie-beveiligingspiannen(artikel4, lid 9 en ten derde bij het vastleggen, implementeren en uitdragen van (beveiligings-)maatregelen (artikel 5, lid c en lid e). In het laatste geval gaat het specifiek om de mogelijkheid vast te stellen dat het proces van gegevensverwerkingen infonatievoorziening tot het beoogde resultaat heeft geleid. Impliciet aan het gestelde met betrekking tot het plaatsvinden van bepaalde controles In de hiervoor vermelde onderdelen van het voorschrift, is de controleerbaarheidvan de uitvoering van de voorgeschreven activiteiten in het kader van informatiebeveiliging. Het begrip betrouwbaarheid wordt in dit voorschrift gebruikt in de betekenis die het in het dagelijks spraakgebruik heeft (de betrouwbaarheid van een auto betreft ook de beschikbaarheid, d.w.z. het rijklaar zijn ervan). Deze betekenis verschilt van die binnen de discipline accountancy en in het bijzonder de EDP-auditingwereid, gebruikelijk is. Daar was het nagenoeg een synoniem voor integriteit, dat wil zeggen voor een van de drie aspecten van informatie-beveiliging (bijvoorbeeld in NIVRA-geschrift nummer 26). Met het verschijnen van NIVW-geschrift 53 omvat het begrip betrouwbaarheid zoals dat door EDP-Auditors wordt gehanteerd, de aspecten integriteit, exclusiviteit en Controleerbaarheid.In de Wet Computercriminaliteit wordt het begrip betrouwbaarheid gebruikt naast het begrip continuïteit (een woord dat bijna synoniem is met beschikbaarheid) en lijkt het dus exclusiviteit en integriteit te omvatten. Er is niet voor gekozen om, conform NIVRA-geschrift 53, in plaats van betrouwbaarheid het begrip kwaliteit te hanteren. Kwaliteit wordt met méér zaken geassocieerd dan met beschikbaarheid, integriteit en exclusiviteit (denk bijvoorbeeld aan de kwaliteit van de gebruikersinterfacevan een 26
ARTIKELSGEWIJZE TOELICHTING
0
o
e
informatie-systeem, hierbij staat de gebruikersvriendelijkheidcentraal en juist niet de potentieel drempelverhogendemechanismen voor bijvoorbeeld toegangsbeveiliging). Alleen bij het gebruik van het begrip betrouwbaarheid in relatie tot informatie wordt niet direct de associatie met de beschikbaarheid van informatie gelegd; wel echter wanneer het begrip betrouwbaarheid gehanteerd wordt gebruikt als kenmerk van een informatiesysteem.
b. beschikbaarheid: de mate waarin een informatiesysteem in bedrijf is op het moment dat de organisatie het nodig heeft; c. betrouwbaarheid: de mate waarin de organisatie zich kan verlaten op een informatiesysteemvoor zijn informatievoorziening e. exclusiviteit: de mate waarin de toegang tot en de kennisname van een informatiesysteemen de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden; f. informatiebeveiliging:het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid, integriteit en exclusiviteit van een informatiesysteem en daarmee van de informatie daarin; i. integriteit: de mate waarin een informatiesysteemzonder fouten is; De bovenstaande definities van beschikbaarheid en integriteit zijn geformuleerd in termen van informatiesystemen (het begrip exclusiviteit is ook in termen van informatie beschreven). Voor de toepassing van dit voorschrift kunnen de volgende definities, waarbij de nadruk ligt op het begrip informatie, ais gelijkwaardig worden beschouwd: beschikbaarheid is de mate waarin informatie beschikbaar is op het moment dat de organisatie deze nodig heeft; integriteit is de mate waarin informatie in overeenstemming is met het afgebeelde deel van de realiteit. Zoals eerder vermeld heeft betrouwbaarheid zowel betrekking op informatiesystemen alsook op informatie. Tenslotte worden vier specifieke acties omschreven die voor het realiseren van betrouwbare informatievoorzieningvan essentieel belang zijn. Voordat tot het treffen van maatregelen uit hoofde van informatiebeveiligingover gegaan kan worden, dienen een aantal analyses uitgevoerd te worden die de keuze van een evenwichtig geheel van maatregelen mogelijk maken en dienen de maatregelen zelf aantoonbaar te worden vastgelegd. a. afhankelijkheidsanalyse: het vaststellen in hoeverre bestuurs- of bedrijfsprocessen die door informatiesystemenondersteund worden, afhankelijk zijn van de betrouwbaarheid van het systeem en het vaststellen welke potentiële schades kunnen optreden als gevolg van het falen van deze informatiesystemen; ARTIKELSGENIJZE TOELICHTING
27
d. calamiteitenparagraaf:opsomming van alle maatregelen welke tot uitvoering moeten komen indien zich een situatie voordoet waarbij de beschikbaarheid,integriteit d o f exclusiviteit van een informatiesysteemin beduidende mate niet aan de eisen voldoen; g. lnformatiebeveiligingsplan: opsomming van alle beveiligingsmaatregelen d o f de vindplaatsen daarvan welke voor een informatiesysteemof een verantwoordelijkheidsgebiedvan kracht zijn: k. kwetsbaarheidsanalyse: het vaststellen van de invloed van het manifest worden van bedreigingen op het functioneren van een informatiesysteemof van een verantwoordelijkheidsgebied; Artikel 2 Plaatsbepaling en reikwijdte In dit artikel wordt de reikwijdte van het voorschrift omschreven zowel in de zin van de overheidsorganisaties die het aangaat als van het onderwerp van informatiebeveiliging.Voorts positioneert dit artikel het aspect informatiebeveiligingals een 'gewone' lijnverantwoordeiijkheid.Daaraan inhoud geven gebeurt zowei op basis van interne overwegingen betreffendede betrouwbaarheid van de werkprocessen van een organisatie als op basis van externe randvoorwaarden zoals bestaandewet- en regelgeving. Uitgangspuntdaarbij vormt de noodzaak om tot integrale benadering van informatiebeveiligingte komen. a. Dit voorschrift geldt voor de Rijksdienst waartoe gerekend worden de ministeries met de daaronder ressorterende diensten, bedrijven en instellingen. Tot de Rijksdienst behoren de departementen met hun directoraten-generaal, centrale en stafdirecties en intern verzelfstandigde dienstonderdelen (zoals agencles). Dat wil zeggen alle organisatie-onderdelen op rijksniveau waarvoor de ministeriëleverantwoordelijkheidonverkort geldt. Er is niet voor gekozen om de regelgeving op het gebied van informatiebeveiliging rechtstreeksvan toepassing te laten zijn op extern verzelfstandigde onderdelen van de rijksoverheid. De consequentievan zo'n keuze zou zijn dat in plaats van een voorschrift een wet op de informatiebeveiliging gemaakt zou moeten worden. Het belang van het onderwerp rechtvaardigt dit echter niet. Overwogen is verder om voor te schrijven dat het voorschrift door de departementen verplicht wordt voorgeschreven bij externe verzelfstandiging. Gezien het feit dat op het gebied van informatievoorzieningin het algemeen slechts wordt bepaald dat aandacht aan de informatische relaties wordt geschonken in de insteliingswetgeving,is daarvan afgezien. Het blijft daarmee de verantwoordelijkheidvan de individuele ministers om ervoor zorg te dragen dat het onderhavige voorschrift zelf of een 28
ARTIKELSGEWIJZE TOELICHTING
O
0
gemotiveerdander stelsel van bepalingen betreffendeinformatiebeveiliging op individuelezelfstandige bestuursorganen van toepassing wordt. Dit kan geschieden in de instellingswetgevingvoor nieuw te creëren zelfstandige bestuursorganen of in een afzonderlijk informatiestatuutwaarin afspraken worden vastgelegd tussen een zelfstandig bestuursorgaan en de minister. Als gekozen wordt voor het van toepassing laten zijn van het voorschrift op zelfstandige bestuursorganen dan dient in het volgende voor ’departement’, ‘bestuursorgaan’ te worden gelezen en voor ‘secretarisgeneraal’, ‘hoogst verantwoordelijkevan het bestuursorgaan’. b. Dit voorschrift geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Binnen het proces van informatievoorzieningkunnen zowel geautomatiseerde als niet geautomatiseerde informatiesystemen voorkomen. In veel systemen komen verschillendetechnologiën en informatiedragers naast elkaar voor, die tijdens de levenscyclusook nog kunnen veranderen. Het voorschrift is zodanig opgezet dat het daar onafhankelijk van is. Uiteraard wordt de keuze voor bepaalde maatregelen wel Minvloed door de toegepaste technologie en door de vorm waarin de informatie wordt vastgelegd en gepresenteerd. Een van de aanleidingen tot dit voorschrift vormt het gegeven dat zowel voor de verwerking van gegevens als het transport daarvan frequenter van electronische media gebruik wordt gemaakt waarbij de menselijke factor geringer wordt en daarmee gebruikelijke controle-mechanismenop bijvoorbeeld de juistheid van de verwerking aangevuld dienen te worden met technische en procedurele maatregelen die de betrouwbaarheid verhogen. Omdat het traject van informatievoorziening waarbij gebruik wordt gemaakt van electronische media veelal niet afdoende is af te scheiden van het traject waarbij conventionelemedia worden gebruikt, is het voorschrift van toepassing op het gehele proces van informatievoorziening. c. Informatiebeveiligingis een lijnverantwoordelijkheiden vormt een onderdeel van de kwaliteitszorgvoor bedrijfs- en bestuursprocessen en de ondersteunende informatiesystemen.
0
De primaire verantwoordelijkheidvoor informatiebeveiligingligt bij de departementen. Elk departement is vrij in het kiezen van de wijze waarop de beveiligingsfunctiewordt georganiseerd, maar de ambtelijke eindverantwoordelijkheid voor (informatie)-beveiliging beNSt altijd bij de secretarisgeneraal van het departement waartoe de organisatie behoort. ARTIKELSGEWIJZE TOELICHTING
29
Lijnfunctionarissen hebben de primaire verantwoordelijkheid voor het kiezen, uitvoeren en handhaven van informatiebeveiligingsmaatregelen; gespecialiseerde staffunctionarissen kunnen daarbij een ondersteunende, stimulerende en controlerende rol spelen. Informatiebeveiliging is geen doei op zich, maar levert een bijdrage aan de kwaliteit van de informatievoorziening binnen een organisatie en daarmee aan de betrouwbare uitvoering van de werkprocessen. Beveiliging is een onderdeel van het geheel van managementtaken. Uitgaande van kwaliteitseisen die aan de producten en diensten van een organisatie worden gesteld, zullen de werkprocessen adequaat moeten worden ingericht. De daarbij gebruikte informatiesystemen moeten zodanig worden ontworpen en gebruikt dat ze geen belemmering vormen voor het voldoen aan de eisen die aan de werkprocessen worden gesteld. Kwaliteit is een meerdimensionaal begrip; informatiebeveiliging is gericht op het kwaliteitskenmerk betrouwbaarheid, dat uiteenvalt in drie deelkenmerken: beschikbaarheid, integriteit en exclusiviteit. De kwaliteitseisen vloeien zowel voort uit de aard van de taken en Verantwoordelijkheden van de organisatie zelf alsook uit de diverse belangen (maatschappelijk belang, financieel belang, commercieel belang, privacybelang, landsbelang of bondgenootschappelijk belang) die spelen bij de bestuurs- en bedrijfsprocessen in overheidsorganisaties. Vigerende wetgeving (met name de Comptabiliteitswet, de Wet bescherming staatsgeheimen, de Wet persoonsregistraties, de Wet teiecommunicatievoorzieningen, de Wet computercriminaliteit benevens de daarop gebaseerde algemene maatregelen van bestuur) vormt voor elk departement een extern bepaalde randvoorwaarde bij het beveiligingsbeleid.
d. Informatische relaties tussen een departement en een andere instantie gaan vergezeld van Schriftelijkeafspraken over het vereiste betrouwbaarheidsniveauen de wijze waarop zekerheid wordt verkregen over de realisatie daarvan. Indien een departement met andere instanties gegevens uitwisselt dan dient vastgelegd te worden onder wiens verantwoordelijkheid deze uitwisseling plaatsvindt, aan welke betrouwbaarheidseisende uitwisseling voldoet en welke maatregelen vanuit het oogpunt van informatiebeveiliging door partijen worden getroffen. Afhankelijk van het structurele karakter van de gegevens-uitwisseling en van de aard van de andere instantie kunnen de schriftelijke afspraken verschillende vormen aannemen. Zo kan routinematige gegevensuitwisselingzijn grondslag vinden in (bestaande) wet- en regelgeving die de taakuitvoering vastlegt; de afspraken kunnen daarvan deel uitmaken. 30
ARTIKELSGEWIJZE TOELICHTINQ
O
Bij informatie-uitwisselingdie volledig op conventionele wijze plaatsvindt kunnen de in dit lid aangeduide afspraken veelal geacht worden te zijn gemaakt als onderdeel van het geheel van geldende procedures en bestaande maatschappelijke conventies. in het geval echter dat van electronische media gebruik wordt gemaakt d o f van programmatuur voor het vastleggen d o f bewerken van de gegevens in directe samenhang met de gegevensuitwisseling zal het veelal nodig zijn om afzonderlijke afspraken te maken met betrekkingtot onder meer de authenticiteit, de bewijskracht,de verplichtingen ten aanzien van tijdigheid en in het algemeen de verdeling van de verantwoordelijkheden tussen de partijen. Zo'n stelsel van afspraken zal de vorm van een overeenkomst aannemen als het een informatische relatie met een niet overheidsorganisatie betreft. Deze bepaling kan als consequentie hebben dat een overheidsorganisatie zich verplicht tot het uitvoeren van zwaardere informatiebeveiiigingsmaatregelen dan die uit haar eigen beleid zouden volgen. Onderdeel van de afspraken kan zijn dat men een onafhankelijk oordeel over de kwaliteit van de elders getroffen informatiebeveiligingsmaatregelen en over het handhaven en naleven daarvan verlangt.
O '
Het kan zinvol zijn om voor bepaalde soorten gegevens respectievelijk voor bepaalde soorten van gegevensuitwisseling eenmalig binnen een deel van de openbare sector afspraken te maken over het gewenste betrouwbaarheids-niveau.Het is aan te bevelen hierbij aansluiting te zoeken bij het gestelde in het Besluit Informatievoorziening Openbare Sector 1990 betreffende de eewtverantwoordelijke ministers voor bepaalde deelgebieden van de informatievoorziening. Uit het bovenstaande mag duidelijk zijn dat onder het begrip informatische relatie niet de uitbesteding van ontwikkeling, verwerking, transport en dergelijke wordt verstaan: dat aspect van informatievoorziening komt in artikel 5 van het voorschrift aan de orde. Artikel 3 De secretaris-generaal van een departement stelt het informatiebeveiligingsbeleidvast in een beleidsdocument en draagt dit beleid uit.
8
In dit artikel wordt bepaald dat voor een departement een beleidsdocument voor informatiebeveiiiging vastgesteld Bn uitgedragen dient te worden door de hoogst verantwoordelijke ambtenaar. De minimale inhoud van dit beleidsdocument wordt in de afzonderlijke leden van dit artikel omschreven. Het document vormt de basis voor diverse vormen van communicatie naar de medewerkers toe, mede in het kader van bewustmakingsprogramma's, en geeft aan welk inforrnatiebeveiligingsbeARTIKEISGEWIJZE TOELICHTING
31
leid wordt gevoerd. Het document dient aan de medewerkers duidelijk te maken dat bij onvoldoende informatiebeveiliging de afhankelijkheid van (al dan niet geautomatiseerde) informatiesystementot onacceptabele economische, politieke, sociale en/of ethische consequenties kan leiden en dat er grenzen zijn aan de schade die het departement bereid is te riskeren. Voor de situatie dat een departement een of meerdere dienstonderdelen omvat die, voor wat het interne functioneren ervan betreft, een relatief grote mate van autonomie kennen, is het mogelijk dat het beleidsdocument op departementaal niveau niet deze dienstonderdelen omvat maar dat voor deze aparte beleidsdocumenten vastgesteld en uitgedragen worden. In het departementale beleidsdocument dient dan wel te worden vermeld voor welke dienstonderdelen dit het geval is en welke ambtenaar als eerstverantwoorde-lijke voor zo‘n dienstonderdeei is. Deze ambtenaar is daarmee tevens eerstverantwoordelijkevoor de informatiebeveiligingvan het dienstonderdeel. Het onderhavige voorschrift is op zo’n dienstonderdeel van toepassing, waarbij voor ‘departement‘ de naam van 20%dienstonderdeel dient te worden gelezen en voor ‘secretaris-generaai’ de eerstverantwoordelijkeambtenaar voor dat dienstonderdeei. in deze situatie blijft het gestelde in het artikel 39 van het voorschrift onverkort van toepassing op de secretaris-generaal van het departement. a. De strategische uitgangspunten en randvoorwaarden die het departement hanteert ten aanzien van informatiebeveiligingmet name de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid. Het algemene beveiiigingsbeleid heeft naast informatiebeveiligingtevens betrekking op de beveiliging van materieel en personen. De maatregelen die uit dien hoofde worden getroffen kunnen tevens van belang zijn voor de beveiliging van de informatievoorzieningvan een departement. Ook voor de aspecten bewustzijn, melding van incidenten en vooral voor de inrichting van de informatiebeveiligingsfunctieis afstemming van belang teneinde wederzijdse versterking te bereiken en overlappingen en tegenstrijdigheden te vermijden. In het informatievoorzieningsbeieidligt onder andere vast welke rol informatiesystemen in de bestuurs- en bedrijfsprocessen spelen, welke systemen voor (verdergaande) automatisering in aanmerking komen - de informatieplanning en hoe de verschillende systemen samenhangen en zijn afgebakend, zowel intern als extern. informatiebeveiligingis een van de aspecten van informatievoorziening. Het ligt voor de hand om de activiteiten ten behoeve van beveiliging in te bedden in het geheel van activiteiten voor informatie-voorziening.Op beleidsmatig niveau geldt dit in het bijzonder
-
32
ARTIKELSGEWIJZE TOELICHTING
O
voor het vaststellen van de strategische uitgangspuntenen randvoorwaarden, de verdeling van de verantwoordelijkheden (zie lid c) en de financiering.
O
Het is overigens vanzelfsprekend dat alie activiteiten met betrekking tot informatiebeveiliging zonder meer zijn ingebed in de normale verantwoordeiijkheidsverdeling met betrekking tot de taken van het departement. In het bijzonder geldt dit voor de wijze waarop de beheersing en controle van het geheel van informatiebeveiligings-activiteitenplaatsvindt. b. De organisatie van de informatiebeveiligingsfunctie,waaronder verantwoordelijkheden, taken en bevoegdheden.
o
Informatiebeveiliging is voor wat de eindverantwoordelijkheid betreft, een zaak van het lijnmanagement. Het uitvoeren van activiteiten ten einde tot een evenwichtig pakket aan maatregelen te komen, noodzaakt tot het inzetten van andere disciplines die bijvoorbeeld in staf- en ondersteunende diensten gebundeld is. Helder dient te worden gemaakt onder welke randvoorwaarden van deze deskundigen gebruikt kan worden gemaakt en wat de specifiekeverantwoordelijkheid van hen is in relatie tot de eindverantwoordelijkheid van het lijnmanagement. Dit geldt in het bijzonder voor die maatregelen welke voor het departement als geheel vastgesteld worden (zie lid e), voor de wijze waarop de melding van incidenten plaatsvindt (zie lid t) en voor de wijze waarop evaluatie en onderzoek van informatiebeveiligingsbeleid en - maatregelen worden uitgevoerd (zie onder meer lid 9). De term informatiebeveiligingsfunctiedient niet te worden opgevat in de betekenis van een afzonderlijke functie binnen een organisatie die aan een persoon is opgedragen. De term omvat het geheel van functies binnen een organisatie en de taken die bij die functies horen, voorzover ze betrekking hebben op informatiebeveiliging. Een onderdeel van dat geheel is bijvoorbeeld een departementale beveiligingsambtenaar (een functionaris), een geheel ander onderdeel is bijvoorbeeldde taak die een afdeling Personeelszaken heeft om nieuwe medewerkers voor te lichten op de gedragsregels met betrekking tot informatiebeveiligingen hen te wijzen op hun verplichtingenten aanzien van geheimhoudig. c. De eenduidige en volledige indeling in informatiesystemen en verantwoordeiijkheidsgebieden en de toewijzing van de verantwoordelijkheden daarvoor aan lijnmanagers. Lijnmanagers zijn verantwoordelijk voor het gebruik van de informatiesystemen waarmee de aan hen toevertrouwde bedrijfsprocessen worden ondersteund. Omdat binnen een organisatie de verschillende informatiesystemen veelal niet onafhankelijk van elkaar kunnen worden beschouwd is verder een indeling in verantwoordelijkheidsgebiedennodig. ARTIKELSGEWIJZE TOELICHTING
33
Het is de verantwoordelijkheid van een departement om, binnen de algemene definitie van het begrip informatiesysteem in artikel 1 van dit voorschrift, het begrip informatiesysteemconcreet in te vullen en de verantwoordelijkheden ervoor toe te wijzen. Het kan voorkomen dat informatiesystemen op de verschillende niveaus binnen een organisatie verschillend worden afgebakend. In het beleidsdocument dient aangegeven te worden welke indeling in informatiesystemen in het kader van infonnatiebeveiliging van toepassing is. Daarbij kan onder andere clustering van programmatuur plaatsvinden. Het geheel van informatievoorzieningsfaciliteitenbinnen een organisatie, valt bij een meer complexe organisatie te vergelijken met een netwerk van wederzijds afhankelijke entiteiten. Vanuit de invalshoek van de verantwoordelijkheid van lijnmanagers voor de aan hen toevertrouwde werkprocessen, worden de primaire eisen gesteld aan de informatiesystemen waarvan de werkprocessen gebruik maken. Deze informatiesystemen vallen bij nadere beschouwing uiteen in een aantal te onderscheiden componenten waarvan er sommige wel en andere niet of slechts ten dele binnen de Verantwoordelijkheidvan de lijnmanager vallen. Veelal worden bepaalde componenten, zoals interne netwerken, door meerdere managers tegelijk benut voor hun informatiesystemen en is de verantwoordelijkheid etvoor toegewezen aan een ondersteunende of stafeenheid. Voor het realiseren van het door hem gewenste niveau van informatiebeveiliging is een lijnmanager daarom aangewezen op afspraken met anderen binnen zijn organisatie. Essentieel voor het maken van afspraken over de wijze waarop betrouwbaarheidseisenvan verschillende organisatie-eenhedenvia maatregelen worden gerealiseerd, is dan ook dat er een eenduidige en volledige indeling van verantwoordelijkheidsgebieden wordt gemaakt. Over de indeling van de verantwoordelijkheidsgebiedenbinnen een departement kan in een algemeen voorschrift geen uitspraak worden gedaan, net zo min als over de wijze waarop de diverse informatiesystemen worden afgebakend. In de praktijk kan voor deze indeling en afbakening meestal gebruik worden gemaakt van de bestaande taak- en verantwoordeiijkheidstoedelingvoor de departementale informatievoorzieningsfaciliteiten.Voorbeelden van verantwoordelijkheidsgebieden zijn: een ontwikkelorganisatie, een lokaal communicatienetwerk, een (intern of extern) rekencentrum. De toewijzing van verantwoordelijkheden is noodzakelijk om eenduidig vast te kunnen leggen wie betrouwbaarheidseisen stelt en wie zorg draagt voor het realiseren van het gewenste betrouwbaarheidniveau. Waar verantwoordelijkheidsgebieden elkaar raken (een local-area netwerk verzorgt de communicatie van gebruikers met een intern rekencentrum) dienen de betrokken managers afspraken te maken. 34
ARTIKELSGEWIJZE TOELICHTING
d. De wijze waarop het beleid vertaald wordt naar concrete maatregelen en de wijze waarop deze gefinancierd worden. Bij het vaststellen van een nieuw beleidsdocument voor O informatiebeveiliging ' zal onder meer aandacht besteed dienen te worden aan: de termijn waarbinnen het beleid van kracht wordt, de realisatie van de maatregelen die voor het gehele departement van kracht worden (waaronder de financiering) en de realisatie en financiering van andere maatregelen. Het is zinvol onderscheid te maken tussen realisatie en financiering van maatregelen voor bestaande en voor nieuwe informatievoorzieningsfaciliteiten.
De inhoudelijke vertaling van het beleid in maatregelen kan betrekking hebben op het gebruik van methoden en technieken voor informatiebeveiliging, de inbedding daarvan in de gehanteerde systeemontwikkelingsmethode en aan het opbouwen of inhuren van deskundigheid. e. De gemeenschappelijke betrouwbaarheidseisen en maatregelen die voor het departement van toepassing zijn. Een departement kan er voor kiezen om een gemeenschappelijk stelsel van betrouwbaarheidseisen en/of maatregelen af te spreken. Zo'n stelsel zal in het algemeen betrekking hebben op het merendeel van de informatiesystemen dat gebruikt wordt en ontlast tot op zekere hoogte de individuele lijnmanagers van hun taak om informatiebeveiliging gedetailleerd inhoud te geven. Het heeft bijvoorbeeldbetrekking op de wijze waarop de logische en fysieke toegangsbeveiliging binnen het departement gerealiseerd wordt of bestaat uit een pakket aan betrouwbaarheidseisen die aan de 'normale' processen en ondersteunende informatiesystemen worden gesteld (daarbij worden aanvullend per informatiesysteem specifieke eisen gesteld). Vaak wordt zo'n stelsel aangeduid met de term base-line.
.
De eisen kunnen ook het karakter hebben van een Classificatie van informatie (en daarmee van de informatiesystemen waarin deze informatie potentieel optreedt). Hiermee wordt een indeling in gevoeligheidsklassen bedoeld waaraan veelal in oplopende volgorde steeds zwaardere eisen worden gesteld ten aanzien van een of meerdere aspecten van beveiliging. Een voorbeeld van zo'n klasse voor het aspect vertrouwelijkheidvan informatie wordt gevormd door de rubricering van staatsgeheimen. Er is in dit voorschrift gekozen om het hanteren van een vast stramien van klasseindelingen niet voor te schrijven.
ARTIKELSGEWIJZE TOELICHTING
35
Er is ook niet voor gekozen om in dit voorschrift voor de heie rijksdienst een aantal gemeenschappelijke maatregelen of zelfs een base-iine voor te schrijven. De voortschrijdende ontwikkeling van de informatietechnologie maakt dit tot een onmogelijke opgave terwijl ook deverschillen in organisatorisch opzicht tussen de departementen te groot moeten worden geacht. Veeleer lijkt het zinvol om, waar mogelijk, op departementaal niveau of wellicht nog lager binnen departementen, te ondetzoeken of een base-line tot de mogelijkheden behoort. In het bijzonder daar waar de homogeniteit van ondersteunende informatiesystemen in termen van beschikbaarheid, integriteit en exclusiviteit relatief groot is, kan verwacht worden dat een base-line zijn nut zal hebben. Onderkend dient wel te worden dat een base-line frequenter aan verandering onderhevig zal zijn dan stelsels van maatregelen die op individuele informatie-systemen zijn toegesneden omdat de vaak generieke maatregelen die ze bevat-ten toereikend dienen te blijven bij de introductie van nieuwe technologiën in slechts een of enkele van de informatiesystemen waarvoor de base-line geldt. Voor het samenstellen van een baseline wordt dezelfde systematiek gevolgd als voor het vaststellen van een stelsel van maatregelen voor een individueel informatiesysteemzoals deze in artikel 5 van dit voorschrift staat beschreven. Een en ander gebeurt dan wei op een hoger abstractieniveau. f.
De wijze waarop geconstateerde dan wel vermoede inbreuken op de infomatiebeveiliging door medewerkers gemeld worden en de wijze waarop deze worden afgehandeld.
Uitgangspunt bij het optreden van incidenten is dat deze door medewerkers gemeld dienen te worden. Bij welke functionaris een dergelijk signaal moet worden afgegeven en hoe daarmee binnen een departement wordt omgegaan, wordt vastgelegd in het beleidsdocument inzake informatiebeveiliging. g. De wijze waarop en de frequentie waarmee volgens een vastgesteld schema (i) het informatiebeveiligingsbeleidgeëvalueerd wordt en (ii) de toereikendheid van het informatiebeveiligingsbeleid alsmede de implementatie en de uitvoering daarvan wordt beoordeeld door een onafhankelijke deskundige. De evaluatie van het beleid en de beoordeling van implementatie en uitvoering er van, heeft betrekking op de organisatie van de beveiligingsfunctie binnen het departement, op alle verantwoordeiijkheidsgebieden en op alle informatiesystemen. Door het Opstellen van een schema kan zowel de volledigheid van het onderzoek 36
AF(~KELSGEWIJZE TOELICHTING
naar de uitvoering van het beleid en de gemeenschappelijke eisen en maatregelen worden bewerkstelligdalsook differentiatieworden aangebracht in de frequentie waarmee bepaalde onderdelen worden onderzocht. Het ligt voor de hand de frequentie te verhogen voor die onderdelen waarvan het betrouwbaar functioneren van de informatievoorziening van een departement het meest van belang is. Bij een te lage onderzoeksfrequentie voor bepaalde onderdelen kan gebtuik worden gemaakt van (aselecte) steekproeven. Van het onderzoek wordt verslag uitgebracht aan de secretaris-generaal. De rol van de onafhankelijke deskundige in dit lid kan vervuld worden door een daartoe gekwalificeerde medewerker van de departementale accountantsdienstof door een externe deskundige. h. De wijze waarop het beveiligingsbewustzijn wordt bevorderd. Ongedisciplineerdheid in een organisatie brengt met zich mee dat, ondanks deugdelijke procedures, de beveiliging niet goed werkt. Beveiliging is vooral een kwestie van mentaliteit; lering trekken uit fouten is essentieel. Het is belangrijk dat beveiliginggp natuurlijkewijze is ingebed in de normale gang van zaken en niet als iets aparts wordt ervaren. Het veranderen van de mentaliteit van medewerkers kan slechts geleidelijk gerealiseerd worden. Periodieke voorlichting is een van de manieren waarmee een blijvend effect bewerkstelligdkan worden. Artikel 4 Het lijnmanagement draagt er zorg voor dat voor elk informatiesysteem en elk verantwoordelijkheidsgebied op systematische wijze bepaald wordt welk stelsel van maatregelen uit hoofde van informatiebeveiliging getroffen dient te worden. Om tot een evenwichtig, samenhangend en afdoend stelsel van beveiligingsmaatregelen voor een informatiesysteem te komen, is het nodig systematisch een aantal activiteiten uit te voeren. In dit voorschrift wordt daartoe onderscheid gemaakt tussen (a) het vaststellen van de betrouwbaarheidseisen waaraan een informatiesysteem dient te voldoen uitgaandevan de afhankelijkheid van bedrijfs- en bestuursprocessen van een informatiesysteem, (b) het identificerenen analyseren van bedreigingen, (c) het kiezen van de maatregelen, (d) het verifieren dat de maatregelen voldoende zijn en (e) het vastleggen van de maatregelen. De realisatieof implementatie van de maatregelen en de controle daarop zijn het onderwerp van het volgende artikel. Er is in dit voorschrift niet voor gekozen om het begrip risico-analyse centraal te stellen. Met risico-analysewordt een uiteenlopende groep van ARTIKELCGEWIJZE TOELICHTING
37
methoden aangeduid om tot de keuze van maatregelen te komen. Veelal vallen de hiervoor aangeduide activiteiten (a) tot en met (d) onder het geheel van activiteiten dat bij een risico-analysewordt uitgevoerd. In plaats daarvan worden de begrippen afhankelijkheidsanalyse voor activiteit (a) en kwetsbaarheidsanalyse voor activiteit (d) gehanteerd. Deze twee activiteiten dienen minimaalvoor een informatiesysteemonder verantwoordelijkheidvan de betrokken lijnmanager te worden uitgevoerd. Daarbij kunnen methoden en technieken op het gebied van risico-analyse een nuttige functie vervullen. De verschillende activiteiten zijn in de volgende figuur ten opzichte van elkaar gepositioneerd. De pijlen in de figuur duiden de volgorde aan waarin de verschillende activiteiten worden uitgevoerd en de (deel-)productendie vervaardigd worden. Uiteraardis er sprake van een iteratief proces; de voornaamste terugkoppelingenzijn in het schema opgenomen. bimai*obw&#w. hWd
E*l nxonMaphbm-
o~lsrp,osnx~>
4 “0.
mmn .eam-
4
me
~ n n > m U i l * ~ R ~m ~~B“ i*h”m4wuagmaf
Het proces om tot een evenwichtig stelsel van maatregelen te komen heeft niet alleen betrekkingop informatiesystemenmaar ook op verantwoordelijkheids-gebieden zoals die binnen de organisatie worden onderscheiden. Hierbij is alieen de inhoud van de afhankelijkheidsanalyse verschillend van die bij een informatiesysteem(zie lid b). 38
ARTIKECSGEWLIZE TOELICHTING
a. Voor elk informatiesysteem wordt een afhankelijkheidsanalyse uitgevoerd, uitmondend in aan het informatiesysteem te stellen betrouwbaarheidseisen.
0
O
Een afhankelijkheidsanalyse houdt in dat vastgesteld wordt in welke mate bestuurs-ibedrijfsprocessen afhankelijk zijn van de betrouwbaarheid van een informatiesysteem en welke potentiële schades kunnen optreden als gevolg van verstoringen in de informatievoorziening. Daarbij dient onderscheid te worden gemaakt in directe, herstel- en gevolgschade. Met name de laatste soort schade is in het openbaar bestuur moeilijk te kwantificeren, vaak kan worden volstaan met een kwalitatieve indicatie van de mogelijke schade(s) die als argument voor de te stellen betrouwbaarheidseisen worden gebruikt. In het systeemontwikkelingstraject dient een dergelijke analyse te worden uitgevoerd tijdens de fase “definitiestudie”, eventuele detailleringen passen in de fasen “basisontwerp” en “detailontwerp”. Het resultaat van de afhankelijkheldsanalyse is een set van betrouwbaarheidseisen, die aan het betreffendeinformatiesysteem worden gesteld. De analyse moet periodiek worden herhaald, omdat de afhankelijkheid in de loop der tijd kan verschuiven. Waar zinvol kan voor infomatiesystemendie eenzelfde bestuurs/bedrijfsproces ondersteunen een gecombineerde afhankelijkheidsanalyse worden uitgevoerd. Het uitvoeren van de afhankelijkheidsanalyse voor een informatiesysteem is de verantwoordelijkheid van het lijnmanagement. Voor zover afzonderlijke betrouwbaarheidseisen worden gesteld aan (delen van) een informatiesysteem of informatie met behulp waawan toegang kan worden verkregen tot bepaalde (delen van) een informatiesysteem of informatie daarin, is het vanzelfsprekend dat deze eisen de exclusiviteitseisen omvatten die gesteld worden aan die bepaalde (delen van een) informatiesysteem of informatie daarin.
’
In sommige situaties kunnen betrouwbaarheidseisen rechtstreeks worden afgeleid uit de relevante wet- en regelgeving. Voor persoonsgegevens kan in dit verband aan de Wet persoonsregistraties worden gedacht; voor staatsgeheimen aan de Aanwijzingen voor de beveiliging van staatsgeheimen en vitale onderdelen bij de rijksdienst. Ook de betrouwbaarheidseisen die op departementaal niveau zijn vastgesteld, kunnen rechtstreekse werking op individuele informatiesystemen hebben. In al deze gevallen dient gestreefd te worden naar het samenstellen van een pakket betrouwbaarheidseisen van gelijksoortigeaard en detaillering. b. Voor elk verantwoordelijkheidsgebiedwordt een analyse uitgevoerd, uitmondend in aan het verantwoordelijkheidsgebiedte stellen betrouwbaarheidseisen. ARTIKELSGEWIJZE TOELICMING
39
Bij deze analyse wordt uitgegaan van de betrouwbaarheidseisen van de bestaande informatiesystemen die van het verantwoordelijkheidsgebied gebruikmaken. Daarnaast dient rekening te worden gehouden met toekomstig gebruik door nieuwe informatiesystemen. Besloten kan worden dat niet alie eisen die gesteld worden vanuit de ‘gebruikende’ informatiesystemen, overgenomen worden maar dat bijvoorbeeld alleen de betrouwbaarheidseisen worden overgenomen die vanuit meer dan de helft van de ‘gebruikende’ informatiesystemen worden gesteld. Dit heefl uiteraard gevolgen voor het realiseren van de eisen via maatregelen voor de informatiesystemendie dit betreft. De analyse resulteert in betrouwbaarheidseisen die aan het verantwoordelijkheidsgebiedworden gesteld. Er kan ook voor worden gekozen om bij het bepalen van de betrouwbaarheidseisen die gesteld worden aan verantwoordelijkheidsgebieden, de tussenstap van het informatiesysteem over te slaan en rechtstreekste analyseren welke eisen door de bestuurs-/ bedrijfsprocessengesteld worden aan de verantwoordelijkheidsgebieden waarvan gebruik wordt gemaakt. Deze laatste werkwijze komt in aanmerking als een organisatie of organisatie-onderdeel een base-line benaderingvoor informatiebeveiliging wenst toe te passen die op de meeste ‘gewone’ informatiesystemenvan toepassing wordt verklaard. c. Voor elk informatiesysteem en voor elk verantwoordelijkheidsgebled worden de bedreigingen gdidentificeerden geanalyseerd. Nadat in de afhankelijkheidsanalyse de betrouwbaarheidseisen zijn vastgesteld, wordt expliciet vastgesteld met welke bedreigingenwel en niet rekqning wordt gehouden. Dit is een onmisbare stap om infonatiebeveiligingsmaatregelente kunnen kiezen. Een dergelijke analyse van potentiele verstoringen dient periodiek te worden herhaald, omdat zich in de loop der tijd nieuwe bedreigingen kunnen voordoen. d. Voor elk informatiesysteemen voor elk verantwoordelijkheidsgebied worden dusdanig maatregelen gekozen dat door middel van een kwetsbaarheidsanalyse aangetoond kan worden dat aan de gestelde betrouwbaarheidseisen wordt voldaan. Uitgaande van de betrouwbaarheidseisen en de in beschouwing genomen bedreigingen wordt gekomen tot een evenwichtig pakket van maatregelen die de eisen, gegeven deze bedreigingen, realiseren. Evenwichtig betekent dat een balans bestaat tussen de kosten en lasten van (extra) maatregelen enerzijds en de baten in de vorm van vermeden risico’s anderzijds. Hierbij dient steeds het complete scala aan maatregelensoorten in de beschouwingte worden betrokken. Voor wat de werkingssfeer betreft gaat 40
ARTIKELSGEWIJZE TOELICHTING
@
a
e
het om personele, procedurele, organisatorische, fysieke, juridische, programmatische maatregelen en om maatregelen die in de apparatuur zijn opgenomen. Bij het kiezen van (informatiebeveiligings-)maatregelen dient zoveel mogelijk gebruik te worden gemaakt van maatregelen die binnen de organisatie reeds uit andere hoofde zijn getroffen. Dit kunnen maatregelen zijn in andere verantwoordelijkheidsgebieden waarvan gebruik wordt gemaakt en waarop voortgebouwd kan worden, om maatregelen die andere kwaliteitsaspectenvan het verantwoordelijkheidsgebiedof informatiesysteem betreffen of maatregelen die bijvoorbeeld in het kader van het algemene beveiligingsbeleid zijn getroffen. Het gekozen stelsel van informatiebeveiligingsmaatregelendient op ieder moment van dien aard te zijn dat aangetoond kan worden dat aan de betrouwbaarheidseisen wordt voldaan. Hiertoe wordt periodiek een kwetsbaarheidsanaiyse uitgevoerd. Dit omvat het analyseren van de invloed van het manifest worden van bedreigingen op het functioneren van het informatiesysteem. In het cysteemontwikkelingstrajectdient een dergelijkeanalyse te worden uitgevoerd tijdens de fase ‘detailontwerp’. Overigens gaat het hierbij om een iteratief proces: zolang niet aan de eisen wordt voldaan, dienen meer dan wel andere maatregelen te worden getroffen of dienen de betrouwbaarheidseisen opnieuw aan de orde te worden gesteld. In het voorgaande ligt de nadruk op de noodzaak om een voldoend stelsel van maatregelen te verkrijgen. Het is van belang te onderkennen dat er niet altijd sprake hoeit te zijn van additionele (‘extra’) maatregelen ten behoeve van informatiebeveiliging en ook dat kan blijken dat maatregelen die vroeger noodzakelijk werden geacht, inmiddels niet meer nodig zijn. e. Voor elk informatiesysteem en voor elk verantwoordelijkheidsgebied wordt een informatiebeveiiigingsplanopgesteld. Hierin is een
calamiteiten-paragraaf opgenomen waarvan de effectiviteit periodiek wordt getoetst. In dit plan wordt vastgelegd welke informatiebeveiligingsmaatregelenvoor het betreffende informatiesysteem of verantwoordelijkheidsgebiedvan kracht zijn. Bij het opstellen van het plan moet rekening worden gehouden met de uitgangspunten zoals vastgelegd in het informatiebeveiligingsbeleid. In het informatiebeveiligingsplanvan een informatiesysteem moet tot uitdrukking komen welke samenhang er bestaat met maatregelen die voor andere verantwoordelijkheidsgebiedenzijn getroffen. Informatiebeveiligingsplannenkunnen verschillende vormen hebben. Uitgangspuntis steeds dat het plan een consolidatievormt van de ARTIKELSGEWIJZE TOELICHTING
41
maatregelen die gekozen zijn. Het dient dus minimaal een compleet stelsel van verwijzingen te bevatten naar de plaatsen waar de maatregelen zelf staan beschreven. in die vorm is het opstellen van een informatiebeveiligingsplan de natuurlijke afronding van het proces waarin tot de keuze van maatregelen is gekomen.
e
Daarnaast kunnen informatiebeveiligingsplannen worden gebruikt als basis voor de communicatie over maatregelentussen verschillende verantwoordelijkheidsgebieden. In de veel voorkomende situatie dat een informatiesysteemgebruik maakt van een aantal verantwoordelijkheidsgebieden, heeft een aantal maatregelen voor dat informatiesysteem vanuit de optiek van de verantwoordelijke lijnmanager de vorm van afspraken met de verantwoordelijken voor de (andere) verantwoordelijkheidsgebieden. Door op een geschikte wijze inforrnatiebeveiligingsplannen op te stellen, kunnen deze gls referentiekadervoor de te maken afspraken dienen. Voor verantwoordelijkheidsgebieden die door de gehele organisatie worden benut, verdient het aanbeveling om de vaststelling van het informatiebeveiligingsplanop het hoogste niveau van de organisatiete laten geschieden, dus in hetzelfde kader als de Vaststelling van het informatiebeveiligingsbeleidvan een organisatie. Wordt voor deze werkwijze gekozen voor alle verantwoordelijkheidsgebieden(die geen informatiesystemen zijn) dan ontstaat een zgn. 'base-iine'. Overigens is het niet zo dat daarmee de individuele verantwoordelijkheid van lijnmanagers voor de door hen benutte informatiesystemenkomt te vervallen. De inhoud van een informatiebeveiligingsplanis onder meer afhankelijk van het soort informatiesysteemof verantwoordelijkheidsgebied. Zo bevat een informatiebeveiligingspian voor een systeemontwikkelings-afdelingtwee soorten van maatregelen. De eerste betreft het proces van systeemontwikkeling, waaronder (elementen van) standaards voor de in te zetten hulpmiddelen, methoden, technieken etc. en maatregelen met betrekking tot functiescheiding tussen bijvoorbeeld het bouwen, testen en opleveren van systemen. Het tweede betreft de generieke maatregelen die op alle informatiesystemenvan de organisatie van toepassing zijn, zoals standaardcontrolesop invoergegevens, controletellingen, back-ups en herstart-opties. Een calamiteitenparagraafis gericht op het reageren op situaties waarin een systeem niet bestand is gebleken tegen bepaalde bedreigingen. De paragraaf bevat een consistente set van noodmaatregelendie tot uitvoering moeten komen in het geval zich een noodsituatie voordoet, de bijbehorendecondities waaronder het plan in werking treedt en de wijze waarop deze maatregelen zullen worden gecoördineerd. Dit plan heeft dus 42
ARTIKELSGEWIJZE TOELICHTING
O
het karakter van een draaiboek. Maatgevend is steeds de voortzetting van de meest belangrijke bestuurs-/bedrijfsprocessen in een noodsituatie waarbij (een deel van) het ondersteunende informatiesysteem of van een verantwoordelijkheidsgebiedniet meer functioneert. Wat onder een calamiteit wordt verstaan, kan het best door een departement of organisatie-eenheid zelf worden gedefinieerd. Naast calamiteiten in de zin van het niet meer (volledig) beschikbaar zijn van een informatiesysteem zijn er ook die betrekking hebben op de integriteit en/of vertrouwelijkheid. Gedacht kan worden aan de situatie dat een onbevoegde zich toegang heeft verschaft tot een systeem waarvan de integriteit zeer belangrijk is (hoge geldbedragen) of de exclusiviteitvan de gegevens zwaar teit. Bij het opstellen van de paragraaf moet rekening worden gehouden met de uitgangspunten zoals vastgelegd in het algemene beveiligingsbeleid. Op gezette tijden dient de calamiteitenparagraaf te worden getest. Vooraf moet door het verantwoordelijke management worden aangegeven op welke wijze en onder welke omstandigheden het testen plaatsvindt. Naast de vormgeving van een paragraaf in het informatiebeveiligingsplan, kan ook gekozen worden voor een afzonderlijk calamiteitenplan. Deze kunnen overigens ook voor groepen van informatiesystemen enlof verantwoordelijkheidsgebiedenof voor de gehele organisatie worden opgesteld. Daarbij dient onder meer aandacht te worden besteed aan de onderlinge prioriteitsstellingvan de informatiesystemen en verantwoordelijkheidsgebieden. Een van de onderdelen van een calamiteitenparagraaf kan het aspect noodvernietiging betreffen. Hierbij ligt het accent op het verzekeren van de exclusiviteit van informatie op de meest ingrijpendewijze namelijk door vernietiging. Een voorziening voor noodvernietigingbetreft het aangeven van de omstandigheden waaronder, de wijze waarop en de beslissingsbevoegheid tot het overbrengen van gegevens en programmatuur naar een andere locatie of de vernietiging ervan.
f. Elk informatiebeveiligingsplanwordt periodiek geëvalueerd en eventueel aangepast aan veranderde omstandigheden. Het doel van evaluatie is na te gaan of het gehele pakket van maatregelen nog steeds voldoen, dat wil zeggen de gewenste betrouwbaarheid geven. Vooraf moet worden vastgesteld (in het beleidsdocument inzake informatiebeveiliging) op welke wijze deze evaluatie plaatsvindt. De evaluatie kan aanleiding geven tot het bijstellen van de maatregelen zoals die vastliggen in het informatiebeveiligingsplan.Evaluatie en aanpassing zijn eveneens van toepassing op calamiteitenparagrafen of, indien daarvoor is gekozen, op calamiteitenplannen. ARTIKELSGEWIJZE TOELICHTING
43
Artikel 5 Het lijnmanagement draagt er zorg voor dat voor elk bestuurs- of bedrijfsproces de maatregelen die uit hoofde van de informatiebeveiliging van toepassing zijn op de ondersteunende informatiesystemen worden vastgelegd, geïmplementeerd enlof uitgedragen en dat de werking ervan volgens een vast schema wordt gecontroleerd. Het onderhavige artikel heeft tot doel een aantal ijkpunten te omschrijven waarmee de werking van maatregelen tijdens het gebruik van een informatiesysteem door de verantwoordelijke lijnmanager bewerkstelligd en beheerst wordt. Deze moet in staat zijn om het aspect beveiliging van informatievoorzieningop een vanzelfsprekendewijze mee te nemen in het geheel van zijn managementtaken. Daarbij treden drie aandachtsgebieden op: de aansturing van zijn medewerkers die het informatiesysteem gebruiken, de zorg voor het betrouwbaar (laten) exploiteren van het informatiesysteem en de zorg voor het betrouwbaar (laten) verwerven van (componenten van) het informatiesysteem. Voor alle drie de aandachtsgebieden geldt dat de van toepassing zijnde maatregelen dienen te worden vastgelegd, uitgedragen en op hun werking te worden gecontroleerd. Afhankelijk van het subject waarop de maatregelen van toepassing zijn en afhankelijk van de mate waarin maatregelen specifiek zijn voor een bepaald informatiesysteem, treden er verschillen op in de praktische uitwerking van vastleggen, uitdragen en controle. De vormgeving van vastleggen, uitdragen en controle wordt bepaald door het subject waarop de maatregelen van toepassing zijn. Hierbij is het onderscheid tussen eigen medewerkers, collega managers van de eigen organisatie en andere organisaties bepalend. De vastlegging varieert van aansturing (van medewerkers) middels werkinctructies, bilaterale schrifteiijhe afspraken (met andere verantwoordelijkheidsgebieden)tot contractuele afspraken (met andere organisaties). Voor de controle gaat het respectievelijk om methoden waarmee een lijnmanager de activiteiten van zijn medewerkers beheerst, methoden waarmee binnen een organisatie over het naleven van afspraken zekerheid wordt verkregen en het laten uitvoeren van een onderzoek door een (onafhankelijke)deskundige. De plaats waar de maatregelen vastgelegd (en uitgedragen en gecontroleerd) dienen te worden, wordt bepaald door het wel of niet specifiek zijn van maatregelen voor een bepaald informatiesysteem. Tot de verantwoordelijkheid van de lijnmanager behoort in ieder geval de vastlegging (etc.) van de maatregelen die specifiek zijn voor een bepaald informatiesysteem (en die dus geen deel uitmaken van bijvoorbeeld een departementale base-he). In het geval dat van de diensten van andere organisatie-eenheden gebruik wordt gemaakt waarvoor niet hetzelfde 44
ARTIKEffiGMiIJZE TOELICHTING
a
stelsel van gemeenschappelijke maatregelen geldt, zal de vastlegging (etc.) door de lijnmanager volledig dienen te geschieden. Hetzelfde geldt als gebruik wordt gemaakt van de diensten van andere organisaties dan het eigen departement. Het fundament voor Vastleggen, uitdragen en controle van maatregelen wordt gevormd door het informatiebeveiligingsplanvoor het informatiesysteem. Dit bevat minimaal een uitputtende opsomming van de vindplaatsen waar de maatregelen beschreven staan (zie artikel 4, lid e). Het opstellen van het informatiebeveiligingsplanvormt de laatste stap in het (methodologische) proces om tot de keuze van een evenwichtig pakket van maatregelen voor beveiliging te komen. De vertaling van dit plan in werkinstructies, afspraken en contracten bestemd voor bepaalde doelgroepen (‘subjecten‘) betekent dat de maatregelen gegroepeerd worden naar de wijze waarop ze in de praktijk van toepassing zijn. In de afzonderlijkeleden van dit artikel wordt het voorgaande geconcretiseerd voor respectievelijk informatiegebruik, systeemexploitatie en systeemvenveiving. a. Voor elk informatiesysteem worden de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor de gebruikers vastgelegd en uitgedragendoor het lijnmanagement.
O
o
Voorzover maatregelen niet specifiek zijn voor een bepaald informatiesysteem en dus onderdeel uitmaken van een stelsel van maatregelen dat bijvoorbeeldop departementaal niveau is vastgesteld, is het (uiteraard) niet nodig dat de lijnmanager deze maatregelen nogmaals vastlegt. Voor zover deze maatregelen bovendien betrekking hebben op zijn eigen medewerkers kan er van uit gegaan worden dat deze reeds op andere wijze zijn geinstrueerd en dat de controle op de naleving geschiedt via het mechanisme als omschreven in artikel 3, lid a. Is er sprake van specifieke maatregelen voor een bepaald informatiesysteem dan is het de verantwoordelijkheidvan de lijnmanager de voorwaarden te creëren waarbinnen zijn medewerkers de gestelde maatregelen en procedures ten aanzien van informatiebeveiliging (maar ook met betrekkingtot de andere aspecten van de werkprocessen) naleven.
’
Daarbij gaat het niet alleen om het vastleggen van maatregelen maar vooral om het toegankelijk maken er van. Dit kan worden bereikt door middel van een werkinstructie of een gebruikershandleiding maar ook door een helpfunctie in de betreffende toepassingsprogrammatuur. Het is overigens niet in alle gevallen nodig om specifiek de maatregelen (mede) ten behoeve van informatiebeveiliging als zodanig te groeperen. ARTIKELSGEWIJZE TOELICHTING
45
Voor de controle op de uitvoering en naleving van de maatregelen zijn verschillende mogelijkheden aanwezig. Het meest voor de hand ligt het om de controle als onderdeel van de normale beheersing van de activiteiten van medewerkers op te vatten. Afhankelijk van het belang van een informatie-systeemvoor de beleids- en bestuursprocessen en voor de zwaarte die aan de maatregelen is toebedeeld die betrekking hebben op de eigen medewerkers, kan voor de controle door het lijnmanagement een daarvoor geëquipeerd staforgaan ingeschakeld worden. Van de controlebevindingenmoet een verslag worden gemaakt en aan de bevindingen moeten door het lijnmanagement consequenties worden verbonden. De controlefrequentiekan per informatiesysteemverschillen, afhankelijk van de betekenis van het systeem voor de organisatie. In het algemeen zal het inschakelen van een daarvoor geëquipeerd staforgaan slechts in uitzonderlijke situaties optreden. Hierbij kan gedacht worden aan situaties waarin een informatiesysteem gebruikt wordt waarbij geen afdoende functiescheiding tussen gebruik, exploitatie en vetwerving aanwezig is (zoais bij gebruik van moderne kantoorautomatlserings-hulpmiddelen steeds vaker voorkomt) en waarbij wel aanzienlijke risico’s ten aanzien van de beschikbaar, exclusiviteit en/of integriteit worden gelopen. De situatie kan voorkomen dat het gebruik van een informatiesysteemniet uitsluitend plaatsvindt door de eigen medewerkers. Een voorbeeld treedt op bij de toepassing van financiële pakketten waarvan delen decentraal worden gebruikt (bijvoorbeelddoor budgethoudendedirecties en afdelingen) en andere delen centraal binnen het departement (door de directie financieel-economischezaken). Als in deze situatie ervoor gekozen wordt om het (financiële) informatiesysteem breed te definiëren, dus inclusief de decentrale verlengstukken, dan dienen ook de decentrale gebruikers door de directeur financieel-economische zaken op de hoogte te worden gesteld via een werkinstructie van de maatregelen die uit hoofde van informatiebeveiligingop hun werkzaamheden van toepassing zijn. In deze situatie geldt ten aanzien van de controle op de naleving van de maatregelen dat dit door of namens de directeur van de financieeleconomische directie dient te geschieden. In het algemeen zal deze controle paralel verlopen met de gebruikelijke controle door de departementale accountantsdienstenop de handelingen die financiële consequenties hebben. Het is overigens ook mogelijk om het financiële informatiesysteemzo te definiëren dat het alleen gebruikers kent die tot de directie financieeleconomischezaken behoren. In die situatie zal de directeur financieeleconomische zaken eisen stellen aan de betrouwbaarheidvan de informatie die door de budgethoudende organisatie-eenheden wordt aangeleverd en dient hij er zich van te verzekeren dat de afgesprokeneisen 46
ARTIKELSGEWIJZETOELICHTING
door de individueleorganisatie-eenheden worden gerealiseerd. Dit laat onverlet dat de lijnmanager van zo’n organisatie-eenheid zelf verantwoordelijk is en blijft voor de keuze van maatregelen op basis van de door de directie financieel-economische zaken gestelde aanleveringseisen en de implementatie en naleving van deze maatregelen. De keuze van de maatregelen is in deze situatie in eerste instantie de verantwoordelijkheid van de budgethoudende afdelingen. Wel ligt het voor de hand dat om efficiency redenen een coördinerende rol door de financieel-economische directie zal worden ingevuld bij het kiezen van de maatregelen.
0
0
De situatie dat het gebruik van een informatiesysteem niet uitsluitend plaatsvindt door medewerkers van de eigen organisatie, treedt nog niet frequent op. Gedacht kan worden aan toepassingsprogrammatuurvan overheidsorganisaties zoals de Belastingdienst en het Centraal Bureau voor de Statistiek die ter beschikkingwordt gesteld aan ondernemingen ten behoeve van het overnemen, vastleggen enlof verzenden van gegevens uit hun administratief-boekhoudkundige informatiesystemen. Doelstelling van deze applicaties is het vereenvoudigen van het leveren van informatie door derden aan overheidsorganisaties. Een voorbeeld buiten de rijksdienst betreft de faciliteiten die door de Postbank aan haar rekeninghouders ter beschikkingwordt gesteld in de vorm van Girotel. In zo’n situatie dient duidelijk vast te liggen onder wiens verantwoordelijkheid het gebruik plaatsvindt en wie daarmee de verantwoordelijkheid voor vastlegging, uitdragen en controle van de van toepassing zijnde maatregelen draagt. Afspraken dienaangaande maken onderdeel uit van de afspraken die uit hoofde van artikel 2, lid d dienen te worden gemaakt tussen een departement en een andere instantie waarmee een informatischerelatie wordt onderhouden. In de praktijk kan een (1ijn)managergeconfronteerd worden met een aantal informatiesystemen waarvan zijn medewerkers (en evt. anderen) gebruik maken. Naast de verantwoordelijkheden die betrekking hebben op het gebruik van elk informatiesysteem afzonderlijk, dient aandacht te worden geschonken aan de consequenties van het bestaan van meerdere sets maatregelen voor eik van deze informatiesystemen. Dit kan er toe leiden dat het voor de individuelegebruiker zonder aanzienlijk verlies van productiviteit, niet doenlijk is om bewust alle geldende maatregelen na te leven. Het onderhavige lid impliceert dat het de verantwoordelijkheid van een manager is om zorg te dragen voor afstemming tussen de verschillende sets van maatregelen. b. Voor elk informatiesysteem worden de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor systeemexploitatie schriftelijk vastgelegd. ARTIKELSGEWIJZE TOELICHTING
47
Geschiedt de exploitatie van het informatiesysteemdoor medewerkers van de verantwoordelijke manager, dan is vastlegging in de vorm van werkinstructies of expliciete vermelding van de maatregelen in het informatiebeveiligingsplan afdoende mits dat plan beschikbaar wordt gesteld aan en toegankelijk is voor de medewerkers die belast zijn met de systeemexploitatie. Is de exploitatie van het informatiesysteemof van onderdelen daarvan intern uitbesteed aan een ander verantwoordelijkheidsgebieddan dient de beschrijvingvan de maatregelen expliciet deel uit te maken van de vastlegging van de afspraken over de afname van diensten van dat verantwoordelijkheidsgebied. Hierbij kunnen twee situaties optreden.
Het verantwoordelijkheidsgebied dat de diensten ten aanzien van systeemexploitatie aanbiedt zal de van kracht zijnde maatregelen middels een inforrnatiebeveiligingsplanhebben vastgelegd (op basis van het gesteld in artikel 5). Als dit plan geformaliseerd is (bijvoorbeelddoordat het een onderdeel vormt van de departementale base-line) en vast ligt voor welke periode het geldt en wat de wijzigingsprocedureis, kan het beschouwd worden ais de schriftelijke vastlegging die volgens het onderhavige lid dient te geschieden, mits voor het betreffende informatiesysteemgeen zwaardere maatregelen ten aanzien van systeemexploitatiegelden dan die welke voor de gehele organisatie van toepassing zijn. De wijzigingsprocedure van het informatiebeveiligingsplanvan zo'n verantwoordelijkheidsgebied dient dan wel in voldoende mate de betrokkenheidvan de afnemers van de diensten van het verantwoordelijkheidsgebied te omvatten. Deze optie ligt het meest voor de hand als het gaat om de afname van diensten betreffendeintern gegevens-transport of gegeVensverwerking door een intern rekencentrum. Is er geen sprake van een geformaliseerd informatiebeveiligingsplanvoor een verant-woordelijkheidsgebiedwaarvan diensten met betrekking tot systeemexploitatie worden betrokken of is er sprake van zwaardere maatregelen dan die welke voor de organisatie als geheel gelden, dan dienen de afspraken met betrekkingtot informatiebeveiligingtussen een lijnmanager en dat verantwoordelijkheidsgebiedafzonderlijk vastgelegd te worden. Wordt voor opslag, verwerking of transport van gegevens of andere exploitatie diensten zoais facilities management gebruik gemaakt van een externe instantie, dan dienen de maatregelen die van toepassing zijn op deze externe instantie, onderdeel uit te maken van de overeenkomst die met deze instantie is gesloten. Zo'n externe instantie kan gezien worden als een verantwoordelijkheidsgebied.Gaat het om een instantie met een eigen rechtspersoon dan dient het van toepassing zijnde informatiebeveiligingsregime onderdeel uit te maken van het privaatrechtelijkecontract voor opslag, verwerking en/of transport van gegevens en/of faciiities management. 48
ARTIKELSGEWIJZETOELICHTING
O
Bij uitbestedingvan exploitatietaken, is het de vraag of de elders getroffen informatiebeveiligingsmaatregelenvoldoende zijn en blijven om het betreffende informatiesysteem aan de gestelde betrouwbaarheidseisen te laten voldoen: zo niet, dan dienen bij de andere organisatie aanvullende maatregelen te worden getroffen. c. Indien de systeemexploitatiegeheel of gedeeltelijk is uitbesteed, dient volgens een vastgesteld schema een onafhankelijk oordeel over de kwaliteit van de bij de opdrachtnemer getroffen informatiebeveiligingsmaatregelen en over het handhaven en naleven daawan te worden verlangd. Het feit dat een dergelijk oordeel verlangd wordt moet worden opgenomen in het contract met de externe organisatie [bijvoorbeeld een rekencentrum of een telecommunicatie-leverancier) die de opslag, het transport of de verwerking van gegevens verzorgt. Voor zover er geen maatregelen worden vereist die zwaarder zijn dan hetgeen standaard door een leverancier van systeem-exploitatie diensten wordt geleverd, kan gebruik worden gemaakt van een onafhankelijk oordeel dat wordt afgegeven voor het geheel van diensten dat door de leverancier wordt aangeboden en dat dus niet alleen betrekking heeft op de specifieke diensten die worden afgenomen in het kader van het voornoemde contract. In het geval de leverancier van de exploitatie-dienstenop basis van bestaande wet- en regelgeving verplicht is alleen diensten aan te bieden met een welomschreven niveau van betrouwbaarheid en indien dit niveau dusdanig is dat de uit het informatiebeveiligingsplanvoortvloeiende maatregelen voor systeemexploitatie gerealiseerd kunnen worden geacht, behoeft geen afzonderlijk onafhankelijk oordeel in de zin van dit lid te worden vereist. Het oordeel zoals in dit lid omschreven staat bekend onder de naam Third Party Mededeling (TPM). Een TPM kan zowel betrekking hebben op de dienstverlening door een leverancier aan een enkele opdrachtgever als meer generiek van aard zijn en betrekking hebben op de dienstverlening van de leverancier als geheel. Dit onderdeel van artikel 4 strekt ertoe om in beginsel bij uitbestedingvan systeemexploitatie in de overeenkomst vast te leggen dat een TPM vereist wordt. Voorzover een leverancier voor de levering van zijn diensten zelf weer gebruik maakt van de diensten van een andere partij, worden deze diensten geacht onderdeel uit te maken van de dienstverlening van de leverancier zelf. Deze situatie treedt in het bijzonder op bij het verlenen van datacommunicatie diensten, waarbij uiteindelijk veelal de Koninklijke P l T Nederland (KPN)een aantal basisdienstenlevert (in het bijzonder het gebruik van de telecommunicatie infrastructuurzoals telefoonlijnen). Voor deze basisdiensten is momenteel (1993) in het algemeen geen TPM vereist aangezien de bestaande wetgeving op het ARTIKELSGEWIJZETOELICHTING
49
gebied van telecommunicatie voorziet in een basisniveau van beveiliging van het transport van gegevens over de telecommunicatie infrastructuur. De ontwikkelingen op het gebied van de telecommunicatie regelgeving kunnen hier overigens verandering in brengen. d. Voor elk informatiesysteem worden de uit het informatiebeveiligingsplan voornloeiende maatregelen voor systeemverwerving door het lijnmanagement schriftelijk vastgelegd. Geschiedt de systeemverwerving door eigen medewerkers dan kan voor de vastlegging worden volstaan door opname en beschrijving van de maatregelen in de systeemdocumentatie. Feitelijk is het dan niet nodig om de maatregelen nog een keer afzonderlijk vast te leggen. Wordt voor de systeemverwerving gebruik gemaakt van een verantwoordelijk-heidsgebied (bijvoorbeeld een systeemontwikkelings- of onderhoudsafdeling) dat niet onder de verantwoordelijkheid van de lijnmanager valt, dan treden dezelfde twee mogelijkheden op als bij systeemexploitatie. De eerste mogelijk-heid is dat er sprake is van een formeel informatiebeveiligingsplanvoor zo’n verantwoordelijkheidsgebied dat als afdoende vastlegging van de maatregelen in kwestie kan worden beschouwd voor die informatiesystemen waarvoor ten aanzien van de systeemverwerving geen zwaardere eisen worden gesteld dan die welke voor de gehele organisatie gelden. De tweede mogelijkheid heeft betrekking op de overige gevallen. In dat geval zullen alle maatregelen (in geval van het ontbreken van een formeel informatiebeveiligingsplan) respec-tieveiijk de maatregelen die niet voor de gehele organisatie van toepassing zijn afzonderlijk schriftelijk vastgelegd dienen te worden. In die situaties waarin de precieze invulling van de maatregelen pas in de loop van bijvoorbeeld een systeemontwikkelingstraject mogelijk is (zoals het geval kan zijn bij innova-tieve informatiesystemen, het gebruik van geavanceerde ontwikkelmethoden, of bij gedetailleerde maatregelen zoals invoercontroles), bestaat het bepalen van de (gedetailleerde) maatregelen uit een iteratief proces tussen (in de praktijk) de vertegenwoordiger van de lijnmanager en van de systeem-ontwikkelaars. Dit betekent dat in de loop van dit proces het getailleerde informatiebeveiligingsplanvoor het informatiesysteem wordt opgebouwd. Behalve het in eigen huis (laten) uitvoeren van de systeemverwervingsactiviteiten, kunnen deze ook worden uitbesteed. Daarvan zijn twee varianten: het uitbesteden van systeemontwikkeling en onderhoud (ook wel aangeduid met de maatwerk-situatie) en het aankopen van een systeem (bijvoorbeeld het verwerven van een licentie in het geval van standaardprogrammatuur). In het geval dat de systeemontwikkeling wordt uitbesteed, 50
ARTIKELSGWIJZE TOELICHTINQ
e
e
0
treedt een vergelijkbare situatie op als bij het laten ontwikkelen van een informatiesysteemdoor een eigen systeemontwikkelingsafdeling. De hoofdlijnen van het informatiebeveiligingsplan,waartoe in ieder geval de betrouwbaarheidseisen en de generieke maatregelen behoren, dienen nu echter formeel onderdeel te zijn van de overeenkomst tussen lijnmanager en de externe systeemontwikkelaar. Bovendien dient het volledige informatiebeveiliglngsplanonderdeel uit te maken van de systeemdocumentatiedie door de leverancier in het kader van de ontwikkeiingsovereenkomstopgeleverd dient te worden. Bij het kopen van een systeem is het de verantwoordelijkheidvan de lijnmanager om er voor te zorgen dat tijdens het selectieproces de betrouwbaarheidseisen die aan het informatiesysteemgesteld worden, als randvoorwaarden gesteld worden. Nadat de keuze voor een bepaald systeem is gemaakt dient het volledige informatiebeveiligingsplante worden samengesteld op basis van de systeemdocumentatievan de leverancier. Heeft de verwerving niet betrekkingop ean nieuw informatiesysteemmaar betreft het onderhoud op een bestaand informatiesysteem(dat geen deel uitmaakt van de systeemexploitatie) dan geldt onverkort dat het lnformatiebeveiligingsplanvan een informatiesysteemeen van de randvoorwaarden vormt voor de onderhoudsactiviteiten. Daarbij is het wel mogelijk dat de inhoud van dat plan als gevolg van systeemwijzigingen zelf ook aangepast dient te worden. Zo'n aanpassing dient onderdeel te zijn van de onderhouds-activiteitenen dient, ingeval van uitbesteding van het onderhoud, middels de onderhoudcovereenkomst te worden vastgelegd als een van de producten die door een leverancier worden geleverd. e. De uit het informatlebeveiligingsplanvoortvloeiendemaatregelen voor systeemverwerving worden getoetst op hun implementatieen werking. Deze toetsing kent verschillende gradaties: raadplegen van informele toetsing door anderen, het uitvoeren van een acceptatietest onder verantwoordelijkheidvan het lijnmanagement, het laten uitvoeren van een onderzoek door een onafhankelijke deskundige en het gebruikmaken van rapportages van onafhankelijke deskundigen (bijvoorbeeldin de vorm van produkt gebonden certificaten)die reeds zijn uitgevoerd. De zwaarte van de toetsing is afhankelijk van de soort van het informatiesysteemen van het belang dat het informatiesysteem heeft voor de organisatie. Gebruikmaken van de resultaten van informeletoetsing die door anderen is uitgevoerd en waarover is gepubliceerd is vooral relevant als het gaat om standaardpakkettenop microcomputers(spreadsheets, databasemanagement systemen). Voorzover deze onderdelen van ARTIKELSGEWIJZE TOELICHllNG
51
kantoorautomatisering worden gebruikt voor de ondersteuning van werkprocessen waarmee geen groot belang voor de organisatie is verbonden, is deze vorm van toetsing afdoende en bestaat er veelal geen praktische mogelijkheid (in termen van kosten en doorlooptijd) om een hoger niveau van toetsing te realiseren. Zo’n lichte toetsing is overigens veelal standaard onderdeel van het selectieproces om tot aanschaf van informatiesystemen over te gaan. Wordt dit type hulpmiddel gebruikt ter ondersteuning van werkprocessen waaraan een groter belang dan normaal wordt toegekend dan dient een van de zwaardere vormen van toetsing te worden gehanteerd of dienen de maatregelen te worden gerealiseerd middels gespecialiseerdebeveiligingsprogrammatuur.De toetsing van het geheel van zo’n informatiesysteem richt zich in die situatie op die componenten van het informatiesysteemwaarmee de beveiligingsmaatregelenworden gerealiseerd (bijvoorbeeld de programmatuur voor de logische en íysieke toegangsbeveiliging). Het uitvoeren van een acceptatietest is in ieder geval noodzakelijk (en gebruikelijk) in het geval maatwerk-programmatuureen onderdeel uitmaakt van een informatiesysteem. Vanuit het oogpunt van informatiebeveiliging dient in zo’n acceptatietest afzonderlijke aandacht aan de implementatie en werking van de beveiligingsmaatregelente worden geschonken. In deze situatie is het overigens gebruikelijk dat in de overeenkomst tot het laten ontwikkelen van maatwerk-programmatuureen bepaling wordt opgenomen die het mogelijk maakt dat een onafhankelijke derde wordt ingeschakeld voor de beoordeling van (de resultaten van) de acceptatietest. Zo’n bepaling kan specifiek ten behoeve van het testen van de maatregelen voor informatiebeveiligingworden benut. Een volgende mogelijkheid voor toetsing bestaat erin dat een onafhankelijke derde (apart) opdracht krijgt om na te gaan in hoeverre er zekerheid bestaat dat door een informatiesysteemaan de daaraan gestelde betrouwbaarheids-eisen(en eventuele generieke maatregelen) wordt voldaan en in hoeverre zekerheid bestaat over de correcte implementatie en werking van de geimplementeerdemaatregelen. Deze vorm van toetsing zal in het algemeen slechts gehanteerd hoeven te worden als er sprake is van zwaarwegende belangen voor de organisatie. Tenslotte kan er gebruik worden gemaakt van de resultaten van toetsingen die door anderen zijn uitgevoerd en die zijn uitgemond in verklaringen of certificaten waarin uitspraken worden gedaan over de soort en kwaliteit van de getroffen beveiiigingsmaatregeien. Referentiekadersvoor deze vorm van toetsing zijn onder meer het Orange Book, de ITSEC en de in ontwikkeling zijnde Common Criteria. Deze zware vorm van certificatie biedt vooralsnog slechts beperkte toepassingsmogeiijkheden. 52
ARTIKELSGEWIJZE TOELICHTING
O
O
Er is in dit voorschrift niet voor gekozen om uitgaande van een indeling of classificatie van betrouwbaarheidsniveaus, aan te geven bij welk niveau welke soort van controle nodig is. De feitelijke stand van techniek en organisatie op dit gebied voorziet op dit moment niet in een uitgebalanceerd stelsel van controle- en evaluatiemethoden die op het brede gebied van bestuurlijke informatievoorzieningtoepasbaar zijn.
'
Artikel 6 Slotbepaling
O
0
o
a. Ingetrokkenworden: 1. de Aanwijzingen inzake de beveiligingvan persoonsgegevens, verwerkt en opgeslagen in geautomatiseerde gegevensverwerkende systemen bij de Rijksoverheid, vastgesteld bij besluit van de minister-presidentvan 16 juli 1982; De onder (a) vermelde Aanwijzingen, verder aan te duiden als AAR-4. bevatten een beschrijvingvan de maatregelen die getroffen dienen te worden bij de verwerking en opslag van persoonsgegevens. Centraal daarbij staat het begrip G-geheel, dat de betekenis heeft van 'geautomatiseerd gegevensverwerkend geheel'. Een G-geheel is een onder één verantwoordelijke functionaris ressorterende combinatie van onder meer apparatuur, programmatuur, personeel, huisvesting, gegevensverzamelingen etc. met als doel de geautomatiseerde gegevensverwerking in de meest ruime zin. Uit de AAR-4 komt naar voren dat een van de verschijningsvormen van een G-geheel een rekencentrum kan zijn. In het onderhavige voorschrift informatie-beveiligingRijksdienst (verder te noemen: besluit VIR) is de benaming G-geheel vervallen en wordt het begrip verantwoordelijkheidsgebiedgehanteerd dat een breder toepassingsgebied heeft. Naast een rekencentrum kan bijvoorbeeld ook een intern netwerk van een departement als verantwoordelijkheidsgebied worden gedefinieerd. Het gestelde in dit besluit, met name in artikel 4, heeft daarmee een bredere werking dan de AAR-4. Dit is noodzakelijkheid vanwege de wijze waarop informatietechnologietegenwoordig wordt toegepast binnen de Rijksdienst. In de AAR-4 wordt het begrip informatiesysteemniet gehanteerd, daarvoor in de plaats komt het begrip houder van een persoonsregistratievoor. Gezien het meer algemene karakter van het besluit VIR in verhouding tot de AAR-4, is deze generalisatie in het besluit VIR voor de hand liggend. In de AAR-4 wordt de verantwoordelijkheidvoor het formuleren van beveiligingseisen (vergelijkbaar met de betrouwbaarheidseisen in het AKTIKELSGMIIJZETOELICHTING
53
besluit VIR) toegedeeld aan de houder van een persoonsregistratie. Het vaststellen van de maatregelen daarentegen, voorzover die niet al in de AAR-4 zelf zijn voorgeschreven, wordt door de (ondersteunende) beveiligingsfunctionarisgedaan. Het voorliggende besluit volgt in dit opzicht een geheel andere lijn. Het opstellen van de eisen geschiedt door degene die verantwoordelijk is voor een informatiesysteem hetgeen ook geldt voor het uitvoeren van de stappen beschreven in artikel 4 waarmee van eisen tot maatregelen wordt gekomen en de acties beschreven in artikel 5 waarmee deze maatregelen geoperationaliseerd worden. Terwijl in de AAR-4 uitgebreid ingegaan wordt op de maatregelen die getroffen dienen te worden ten aanzien van de verschillende componenten van een G-geheel, zoals personeel, apparatuur e.d., wordt in het besluit VIR de aandacht gericht op de methodologische stappen die moeten leiden tot een samenhangend pakket van maatregelen en wordt in artikel 5 ingegaan op de effectuering van deze maatregelen door het verantwoordelijke lijnmanagement. Over de maatregelen in AAR-4 valt nog het volgende op te merken: *
*
een aantal maatregelen zijn dusdanig algemeen van aard dat het niet nodig is ze in een voorschrift voor informatiebeveiliging afzonderlijk vast te leggen (in het bijzonder geldt dit voor geheimhoudingsverklaringen, de maatregelen bij inzet van personeel van derden, de reactie op inbreuken door eigen medewerkers); van andere maatregelen is de inzet afhankelijk van de concrete situatie en/of van het bestaan van standaards die de technische strekking van de maatregelen afdoende beschrijven. Dit geldt onder meer voor de uitgebreide functiescheiding (zie ook de toelichting op artikel 5), het antecedentenonderzoek, de beveiliging van gegevensdragers, autorisatie en logische toegangsbeveiliging; een beperkt aantal maatregelen is, weliswaar veelal in gewijzigde vorm, overgenomen (het bevorderen van de beveiligingszin, rampenplan/ calamiteitenplan, meldingsplicht bij compromittering, het omgaan met uitbesteding);
De verplichting in de AAR-4 betreffende het opstellen van een noodvernietigingsplanwordt geacht opgenomen te zijn in artikel 4, lid e onder het gestelde betreffende de calamiteitenparagraaf. De verplichting om bij het toepassen van (data-)vercijferingstechnieken bij datacommunicatie, het advies van de departementale beveiligingsfunctionaris in te winnen, is in het besluit V i ñ niet overgenomen omdat deze Verplichting niet rechtstreeks bijdraagt aan informatiebeveiliging binnen departementen. 54
ARTIKELSGEWIJZE TOELICHTING
O
(a. ingetrokken worden) 2. het Voorschrift inzake de beveiligingvan gerubriceerdegegevens, verwerkt en opgeslagen in geautomatiseerde systemen bij de Rijksoverheid, vastgesteld bij besluit van de minister-presidentvan 25 maart 1980. De relatie van de verschillende onderdelen van het bovenvermelde voorschrift (verder aan te duiden als Voorschrift-1980) met overige wet- en regelgeving, in het bijzonder de Aanwijzingen voor de beveiligingvan staatsgeheimen en vitale onderdelen bij de Rijksdienst (verder aan te duiden met AAR-9), worden hieronder in kaart gebracht. Hiermee wordt aangetoond dat het laten vervallen van Voorschrift-1980mogelijk is.
8
In Voorschrift-1980 wordt in artikel 1 de organisatie van de beveiligingsfunctieaan de orde gesteld 1.1 kan vervallen gezien het gestelde in AAR-9, artikel 5 1.2 wordt vervangen VIR, artikel 2, lid (iijnverantwoordelijkheid) 1.3 wordt vervangen door VIR, artikel 4 1.4 kan vervallen gezien het gestelde in onderdeel F van AAR-9 1.5 wordt vervangen door VIR, artikel 3 Artikel 2 van Voorschrift-1 980 behandelt de personele beveiliging. Met uitzondering van de laatste zin van lid 2.4 (cursief gedrukt) kan het gestelde geacht te zijn vervangen op grond van hetgeen hiervoor over AAR-4 is vermeld. De laatste zin van de toelichting op artikel 2.4 kan vervallen gezien het gestelde in AAR-9, lid 45.1. Artikel 3 van Voorschrift-1 980 behandelt G-apparatuur, bedrijfs- en steunprogrammatuur en van derden betrokken toepassingsprogrammatuur. Voor het gestelde in artikel 3 dat van toepassing is zonder de restrictie dat het gaat om gerubriceerde gegevens, geldt het volgende: 3.1: wordt vervangen door VIR artikel 4 3.2: wordt vervangen door VIR, artikel 4 3.4: komt te vervallen (de maatregel is altijd al aanwezig); 3.5: wordt vervangen door VIR, artikel 5 3.6: wordt vervangen door VIR, artikel 5 3.8: wordt vervangen door VIR, artikel 5 3.10 wordt vervangen door VIR, artikel 5
8
Voor het gestelde in artikel 3 dat alleen van toepassing is op gerubriceerde gegevens, geldt het volgende. 3.3 kan vervallen gezien het gestelde in AAR-9, lid 39 3.4: komt te vervallen (de maatregel is altijd al aanwezig) 3.6: kan vervallen gezien het gestelde in AAR-9, lid 45.1 3.7: zie lid 3.6 ARTIKELSGEWIJZE TOELICHTING
55
I I
3.8: 3.9
kan vervallen: de maatregel is in dusdanig algemene termen gesteld dat hiervan geen praktische werking uitgaat zie lid 3.7
Artikel 4 van het Voorschrift-I 980 betreft de íysieke beveiligingsmaatregelen. Deze kunnen vervallen gezien het gestelde in AAR-9, afdeling F. Artikel 5 van Voorschrift-1980 betreft de beveiliging van gegevens. Voor het gestelde dat van toepassing is zonder de restrictie van gerubriceerde gegevens, geldt het volgende: 5.1: kan vervallen gezien het gestelde in AAR-9, lid 15.1 5.2: kan vervallen gezien het gestelde in AAR-9, lid 16.4 5.3 wordt vervangen door VIR, artikel 4 5.1 1: wordt vervangen door VIR, artikel 4 5.12: wordt vervangen door VIR, artikel 4 Voor het gestelde in artikel 5 dat alleen van toepassing is op gerubriceerde gegevens, geldt het volgende: 5.1: kan vervallen gezien het gestelde in AAR-9, lid 15.3 en 15.4 5.4: zie lid 5.1 5.5: zie lid 5.1 5.6: wordt vervangen door VIR, artikel 4 5.7: kan vervallen gezien het gestelde in AAR-9, artikel 36 5.8: kan vervallen gezien het gestelde in AAR-9, lid 15.3 en 15.4 5.9: kan vervallen gezien het gestelde in AAR-9. lid 31 en 44.1 5.10: kan vervallen gezien het gestelde in de artikelsgewijze toelichting op VIR, artikel 4, lid a, derde alinea 5.12: kan vervallen gezien het gestelde in AAR-9, artikel 29 5.13 kan vervallen gezien het gestelde in AAR-9, artikel 39 Artikel 6 van het Voorschrift-1980 behandelt de beveiliging tegen compromitterende elektromagnetische straling. 6.1: wordt vervangen door VIR, artikel 4 6.2: kan vervallen gezien het gestelde in AAR-9, artikel 60 Artikel 7 van het Voorschrift-1980 behandelt de beveiliging gedurende de verwerking van gerubriceerde gegevens. De afzonderlijke bepalingen in dit artikel zijn dusdanig geformuleerd en van ontsnappingsclausules voorzien, dat er nauwelijks een directe werking van uit gaat. Dit is begrijpelijk gezien de stand van de techniek. Voor zover ze wel een directe werkingskracht bezitten, zijn de bepalingen niet volledig uitvoerbaar. Het gehele artikel wordt vervangen door het gestelde in VIR, artikel 4, met uitzondering van lid 7.2 waarvoor een afzonderlijk besluit betreffende wijziging van AAR-9 gelijktijdig met het onderhavige besluit van kracht wordt. 56
AKMELSGEWNZE TOELICHTING
0
0
Artikel 8 van het Voorschrift-I980 behandelt de operationele procedures. Het artikel bevat één lid: "Voor de beveiliging van de verwerking van gerubriceerdegegevens dienen instructies te worden opgesteld waarin de verwerkingsprocedures zijn omschreven. Deze instructies dienen voor zover noodzakelijk alle beveiligingsaspecten bij de invoer, opslag, bewerking, beheer, uitvoer en vernietigingvan gerubriceerdegegevens te omvatten". Dit lid wordt vervangen door VIR, artikel 5. De toelichting bevat een opsomming van de beveiligingsaspecten waaraan onder meer (voor zover van toepassing) aandacht dient te worden geschonken. Hiermee wordt op voor de hand liggende wijze vertaling gegeven aan het gestelde in AAR-9 en de voorgaande artikelen van Voorschrift-I980. De toelichting wordt vervangen door de artikelsgewijze toelichting op de artikel 4 en 5 van VIR. Artikel 9 van het Voorschrift-1980behandelt de vetwerking van gegevens door externe organisaties. Het daarin gestelde wordt velvangen door VIR, artikel 5, een na laatste lid. Artikel 1O van het Voorschrift-1980 behandelt het onderwerp compromittering. Het daarin gestelde wordt vervangen door VIR, artikel 3 (melding van inbreuken) respectievelijkAAR-9, artikel 63. b. Dit besluit treedt in werking met ingang van de datum van 1 januari 1995. Aan het gestelde in de artikelen 1,2 en 3, met uitzondering van lid Zd, dient vanaf 1 januari 1995 voldaan te zijn. Voorzover de ontwikkeling of ingrijpendewijziging van informatiesystemen en/of informatische relaties na deze datum ter hand wordt genomen, dient aan het gestelde in artikel 2, lid d, artikel 4 en artikel 5 vana; 1 juli 1995 voldaan te zijn. Voor bestaande informatiesystemen en/of bestaande informatische relaties dient het gestelde in artikel 2, lid d, artikel 4 en artikel 5 binnen twee jaar na de ingangsdatum van dit besluit gerealiseerd te zijn. In de periode die verstrijkt totdat het gestelde in de vorige volzin een feit is, blijven de onder lid a, onderdeel 1 van dit besluit vermelde Aanwijzingen en de onder lid a, onderdeel 2 van dit besluit vermeide Voorschrift voor de betrokken informatiesystemen en/of informatische relaties van kracht. c. Dit besluit kan worden aangehaald als het Besluit Voo-;chrift InformatiebeveiligingRijksdienst 1994.
ARTIKELSGINIJZE
TOELICHTING
57
Besluit aanpassing aanwijzingen voor de beveiliging van staatsgeheimen en vitale onderdelen bij de rijksdienst
De Minister-president, overwegende dat het wenselijk is de voorschriften voor de informatiebeveiligingin de rijksdienst te actualiseren: gelet op de Aanwijzingen voor informatiebeveiliging,artikel 6, lid a, onderdeel 2; handelend in overeenstemming met het gevoelen van de ministerraad:
Besluit:
Aan de aanwijzingen voor de beveiliging van staatsgeheimen en vitale onderdelen bij de rijksdienst wordt toegevoegd artikel 47A, dat ais volgt luidt: 47A
Indien zeer geheim gerubriceerdegegevens moeten worden verwerkt, dient tijdens de uitvoering van die opdracht de daarbij gebruikte apparatuur in principe uitsluitend voor de betreffendeverwerking te worden toegewezen. Daarbij dienen eindstations, die niet mogen worden ingeschakeld bij de verwerking van zeer geheime gegevens of die geen toegang mogen hebben tot deze gegevens, automatisch te worden uitgeschakeldvanuit het centrale computersysteem.
Algemene toelichting Bij het in werking treden van het Voorschrift Informatiebeveiliging Rijksdienst op 1 januari 1995, komt het Voorschrift inzake de beveiliging van gerubriceerde gegevens, vetwerkt en opgeslagen in geautomatiseerde systemen bij de Rijksoverheidte vervallen. Voor alle bepalingen van dit voorschrift, met uitzondering van artikel 7, lid 2, geldt dat erin voorzien wordt door Òf het Voorschrift InformatiebeveiligingRijksdienst Òf de Aanwijzingen voor de beveiliging van staatsgeheimen en vitale onderdelen bij de rijksdienst.Gezien de aard van artikel 7, lid 2 ligt het voor de hand om deze bepaling inclusief de bijhorendetoelichting zonder wijzigingen onderdeel uit te laten maken van genoemde aanwijzingen. Inhoudelijke toelichting Indien bij de verwerking van zeer geheim gerubriceerde gegevens het in de praktijk zeer bezwaarlijk is de apparatuur exclusief voor die opdracht toe te wijzen, mogen tegelijkertijd andere gegevens met een lagere rubricering worden verwerkt indien voldaan is aan alle volgende voorwaarden: 58
BESLUIT AANPASSING AANWIJZINGEN VOOR DE BEVEILIGING VAN STAATSGEHEIMEN EN VITALE ONDERDELEN BIJ DE RIJKSDEINST - 22 JULI 1994
- de andere gegevens in nauwe relatie staan tot de zeer geheim
O
-
-
gerubriceerde gegevens, en de kans op inbreuk op het 'need to know'beginsel aanvaardbaar wordt geacht; alle ingeschakeldeeindstations en de te gebruiken verbindingen zijn goedgekeurd voor inschakeling bij de geautomatiseerdeverwerking van zeer geheim gerubriceerde gegevens; vóór gebruik of verdere distributie van alle uiivoer-gegevens nauwkeurig wordt gecontroleerd of de aangebrachte rubricering correct is vermeld. Deze controlehandeling is nodig om ervan verzekerd te zijn dat er gedurende de geautomatiseerde verwerking geen ongewenste vermenging van zeer geheim en lager gerubriceerde gegevens heeít plaatsgevonden.
Dit besluit treedt in werking op 1 januari 1995. Dit besluit zal met bijhorende toelichting worden gepubliceerd in de Nederlandse Staatscourant.
%-Gravenhage, 22 juli 1994
De Minister-president, Minister van Algemene Zaken,
BES-UiI A4hPASSING bAhNI.1 NGEh VOOR DE BEVE JGlhG VAh STbAlCOFHE MEN Eh VITALE ONDERDCLEh O J DF R,.KSDENCT
.22 J..
59 1994
Regelgeving informatiebeveiliging Ter behandeling in de vergadering van de Raad van 1 juli 1994 zend ik u hlerbij een concept Voorschrift InformatiebeveiligingRijksdienst en een voorstel tot wijziging van de Aanwijzingen voor de beveiligingvan staatsgeheimen en vitale onderdelen bij de Rijksdienst. Deze regelgeving vormt de actualisatie van twee bestaande voorschriften op het gebied van informatiebeveiliging,te weten: 1. De Aanwijzingen inzake de beveiliging van persoonsgegevens, verwerkt
en opgeslagen in geautomatiseerde gegevensverwerkende systemen bij de Rijksoverheid, vastgesteld bij besluit van de minister-presidentvan 16juli 1982; 2. Het Voorschrift inzake de beveiliging van gerubriceerdegegevens, verwerkt en opgeslagen in geautomatiseerde systemen bij de Rijksoverheid, vastgesteld bij besluit van de minister-presidentvan 25 maart 1980.
Met de invoering van het Voorschrift InformatiebeveiligingRijksdienst, komen deze twee bestaande voorschriften te vervallen. Wel is het wenselijk gebleken om de letterlijke tekst van een van de artikelen uit het tweede voorschrift betreffende de verwerking van zeer geheim gerubriceerde gegevens toe te voegen aan de Aanwijzigingen voor de beveiliging van staatsgeheimen en vitale onderdelen bij de Rijksdienst (vastgesteldbij besluit van de minister-president,minister van Algemene zaken, handelende in overeenstemming met het gevoelen van de Raad van ministers, van 20 januari 1989). De herziening van de bestaande regelgeving maakt deel uit van het geheel van activiteiten dat vanaf begin 1990 is gestart naar aanleiding van het onderzoeksrapportvan de Algemene Rekenkamer over computerbeveiligingen een in opdracht van mijn ministerie uitgevoerd onderzoek naar de kwetsbaarheidvan bestuurlijke informatiesystemen. Uit beide onderzoeken, bleek de wenselijkheid van een intensievere aanpak van de problematiek van informatiebeveiliging.Dat is het gevolg van de steeds grotere afhankelijkheid van de rijksdienst van geautomatiseerde informatiesystemen en datacommunicatieverbindingenzowel in de uitvoeringssfeerals bij de beleidmoorbereiding.
60
-
REGELGEVING INFORMATIEBEVEILIGING 27 JUNI 1994
Het Voorschrift kent een invoeringstermijnvan twee jaar vanaf de datum van de inwerkingtredingop 1 januari 1995. Mijn intentie is om na die periode aan twee zaken expiiclet aandacht te schenken.
i . In de eerste plaats dient nagegaan te worden in hoeverre het gewenst is de reikwijdte van het Voorschrift uit te breiden. In het voorliggende concept is er voor gekozen om de zelfstandige bestuursorganen niet rechtstreeks onder de reikwijdte te laten vallen. Daar hoort wel de aantekening bij dat ministeries bij verzelfstandigingvan departementsonderdelen expliciet aandacht besteden aan het aspect informatiebeveiliging.Het is in beginsel niet uitgesloten dat deze decentrale benadering tot te grote diversiteit In aanpak en realisatievan informatiebeveiligingtussen rijksoverheidsinstanties leidt, waardoor een belemmering kan ontstaan bij de gegevensuitwisseling door middel van datacommunicatie. Na de volledige invoering van het onderhavige Voorschrift zal hiernaar onderzoek plaatsvinden. 2. Het tweede punt van aandacht betreft de noodzaak om de bestaande
Privacy Raamovereenkomst tussen de Staat der Nederlanden en RCC, het voormailge rijkscomputercentrum,te continueren, Deze overeenkomst is bij de privatiseringvan RCC op verzoek van de Tweede Kamer afgesloten met het oog op de beschermingvan persoonsgegevens die in opdracht van de departementenbij RCC verwerkt worden. Nadat het onderhavige Voorschrift aantoonbaar volledig is ingevoerd, zijn er geen inhoudelijkeargumenten om de betreffende overeenkomst te handhaven. Daarbij speelt ook een rol dat de Privacy Raamovereenkomst voor een belangrijk deel het karakter van een overgangsregeling voor de in 1990 gewijzigde relatie tussen de Staat en het RCC heeft. Feitelijke invoering door de departementen van het Voorschrift wordt op een aantal manieren ondersteund. Ten eerste door een handboek InformatiebeveiligingRijksdienst waarmee een handreiking wordt geboden om tot realisatievan het voorschrift te komen. Dat Handboek heeft een faciliterend karakter: er bestaat geen formele binding met het Voorschrift. In de tweede plaats zal dit jaar gewerkt worden aan het ondersteunen van de contractuele aspecten van informatiebeveiligingdoor middel van aanvullingen op de ModelcontractenAutomatisering. Ook in de Telematicaatlas zal gericht aandacht worden besteed aan informatie-beveiligingin relatie met datacommunicatie. Over het onderhavige concept is advies ultgebracht door de InterdepartementaleCommissie Informatiebeveiliging(iClB) op 3 mei 1994. in dit advies wordt de aandacht gevestigd op de mogelijke taakverzwaring REGELGWING INFORMATIEEEMILIGING
- 27 JUNI 1994
61
I
die het Voorschrift met zich mee kan brengen voor de ministeries. Dat is het gevolg van de aandacht die aan de drie aspecten van informatiebeveiliging-beschikbaarheid, integriteit en exclusiviteit- moet worden besteed en de verantwoordelijkheid voor het lijnmanagement in deze. Voor een deel wordt hierin voorzien door het bestaan van het Adviesen Coördinatiepunt Informatiebeveiiiging (ACIB) dat een adviserende rol vervult bij de implementatievan het Voorschriit. Door gebruik te maken van de diensten van het ACIB, wordt vermeden dat relatief dure externe deskundigheid door de departementen ingehuurd hoeft te worden. Daarmee wordt invulling gegeven aan een van de aanbevelingen van de Algemene Rekenkamer in het hiervoor vermelde rapport.
.
In het advies van de ICIB wordt tevens aandacht geschonken aan de wenselijkheid om de regelgeving inzake de beveiligingvan staatsgeheimen meer toe te snijden op de bestaande en toekomstige technologische ontwikkelingen. Daarbij gaat het in het bijzonder om gegevens die een hogere 'rubricering' krijgen toegekend (verder te noemen: de bijzondere informatiebeveiliging).Dit onderwerp behoort in eerste instantie tot het domein van de inlichtingen- en veiligheidsdiensten, gezien de relatie met het gebruik van de zwaardere cryptografischehulpmiddelen. Met deze diensten wordt momenteel overleg gevoerd over de wijze waarop de verantwoordeliikheden op het gebied van de gewone informatiebeveiliging helder afgebakend kunnen worden van die op het gebied van de bijzondere informatiebeveiliging, onder behoud van de noodzakelijkeverbindingen tussen belde aandachtsgebieden. Dat overleg vindt plaats in het kader van de samenwerking op het gebied van informatiebeveiliging waartoe uw Raad op 21 januari 1991 heeít besloten. Conform de destijds gemaakte afspraken wordt deze samenwerking nu geëvalueerd ten einde de structurele verankering van het aandachtgebied informatiebeveiliging binnen de rijksdienst vorm te geven. Over de uitkomsten van dat overleg hoop ik u binnenkortte informeren. DE MINISTER VAN BINNENLANDSE ZAKEN D.1J.W. de Graaf-Nauta
62
REGELGMNG INFORMATIEBEVEILIGING 27 JUNI 1994 ~
Lijst van actuele publicaties Algemeen informatievoorzieningsbeleid Beleidsnotitie InformatievoorzieningOpenbare Sector (BIOS-i) BIOS-2: De computer gestuurd Besluit InformatievoorzieningRijksdienst 1990 (Besluit iVR) Jaaroverzichten Informatievoorziening Daiacommunicatie Itelematica Telematica-atlas Beleidsnotitie datacommunicatie openbare sector: Het netwerk gestuurd Project Electronische Post Rijksdienst: diverse publicaties W.O. Rijk voorzien van informatie;X400-adressering; X500 en de adresgids voor electronische post; ODPJODiV norm voor documentuitwisseling: Documentaire informatievoorziening Omslag in opslag Het heden onthouden DiV-opleidingseisen:eisen die de overheid stelt aan opleidingen op het gebied van de documentaire informatievoorziening Informatiebeveiliging Kwetsbaarheiden beveiliging van bestuurlijke informatievoorziening Voorschrift Informatiebeveiliging Rijksdienst 1994 Handboek Informatiebeveiliging Rijksdienst 1995 Service Centra van de Overheid Ikwaliteitsmonitor Dienstencentrain het buitenland De blik naar buiten: geïntegreerde dienstverlening als structuurprincipe Beleidsnotitie Service Centra van de overheid: naar een doelmatiger en doeltreffenderdienstverlening? Kwaliteitszorg bij gemeenten: een beschrijving van de Kwaliteitsmonitor en een kaderschets voor de toepassing Overige onderwerpen Beslissen over informatievoorziening Besluit Standaardschrijfwijze Persoonsgegevens Contra-expertise bij risicovolleautomatiseringsprojecten Kennissystemenbij de overheid Modelcontracten Automatisering Normen voor de elektronische uitwisseling van persoonsgegevens Project Databanken Wet- en Regelgeving: diverse publicaties Sectorale verwijsindexen persoonsinformatiebeleid
1989 1992 1991 1988 e.v.
1993 1994
1990 e.v.
1991 1993 1994
1989 1994 1994
1991 1994 1992 1994
1994 1993 1993 1993 1991 e.v. 1991 e.v. 1991 e.v. 1992
63
I
Uitgave Directie interbestuurlijke Betrekkingen en Informatievoorziening Ministerievan BinnenlandseZaken Postbus20011 2500 EA Den Haag
__
.
drs. M.A.J. BI& MiM, Ministerie van BinnenlandseZaken, voonitter ir. J.J. Fierloos, Ministerie van Buitenlandse Zaken Itkol J.M.W. van de Garde RE. IA.J. de Bruijn R.A., Ministerievan Defensie dr. T. Goemans Idrs. R.A. s'Jacob KPMG, adviseurs L. Heil. Ministerie van Onderuiis en Wetenschappen H.J.A. Jansen, Ministerie van VROM drs. C.W.L.J. Kieboom, Ministerie van Financiën drs. R.L.J. Laurey, Ministerie van Landbouw, Natuurbeheer en Visserij ir. P. Oosterlee, Ministerie van BinnenlandseZaken R. Rehorst, Ministerie van Verkeer en Waterstaat J. Schijf, Ministerie van Justitie drs. M.E.G. Ten Have R.E. R.A., EDP Audit Pool drs. F. Taal / drs. N.Visser. Nationaal Bureau voor Verbindingsbeveiliging T. Thoma I Itkol I? van der Hoek, Ministerievan Defensie ing. K.W. Wiessing, Advies- en Coördinatiepunt Infomatiebeveiliging C.Woltering I mr. M. van Dulm, Ministerievan BinnenlandseZaken
64
Handboek Informatiebeveiliging Rijksdienst 1995
e
O Ministerie van Binnenlandse Zaken
ACIB 1
Inhoudsopgave Voorwoord Deel i
Deel 2
Deel 3
Deel 4
3
Algemeen 1 Inleiding 2 Conceptueel kader voor informaiiebeveiliging 3 Vigerende wet- en regelgeving 4 Ontwikkelingen elders
7 12 20 30
Veraniwoordelijkheden 1 Inleiding 2 Verantwoordelijkheid 3 Te maken afspraken 4 Toetsing van naleving van afspraken
37 39 49 57
Informatiebeveiliging op departementaal niveau 1 Inleiding 2 Positie van het informatiebeveiligingsbeleid 3 Totstandkoming van het informatiebeveiligingsbeleid 4 inhoud van het infomatíebeveiligingsbeleid 5 Klassificatieen baselines 6 Organisatie van de informatiebeveiligingsfunctie 7 Controle en evaluatie 8 Werking van het informatiebeveiligingsbeleid
74 78 85 94 1o1
Bepalen van informatiebeveiliglngsmaatregelen 1 Inleiding 2 Formuleren van betrouwbaarheidseisen 3 Identificerenvan bedreigingen 4 Kiezen van beveiligingsmaatregelen 5 Informatiebeveiligingsplannen
107 110 125 129 138
65 66
70
Bijlagen 1.1 Verklarende lijst van begrippen 2.1 Aandachtspunten overeenkomst tussen opdrachtgever en rekencentrum 2.2 Service Level Agreement 2.3 Voorbeeld van een mededeling 4.1 Checklist voor bedreigingen 4.2 Aandachtspunten voor het opstellen van een calamiteitenparagraaf 2
147 151 157 159 160
163
Voorwoord
0
Dit handboek vormt een handreikingbij het uitvoeren van het Voorschrift InformatiebeveiligingRijksdienst 1994. Bij de start van het vernieuwen van de bestaande regelgeving op het gebied van informatiebeveiliging,werd als een van de randvoorwaarden gesteld dat de nieuwe regelgeving zich tot de hoofdlijnen zou beperken. Wel werd het voorliggende handboek in het vooruitzicht gesteld. Daarin wordt uitvoeriger ingegaan op die onderwerpen van infomatiebeveiligingdie tot uitgebreide discussie in de begeleidingsgroep hebben geleid. Dat gebeurt vooral door het uitwerken van een aantal belangrijkeconcepten die relatief nieuw zijn (zoals verantwoordelijkheidsgebieden) en het geven van een aantal voorbeelden. Het is dus niet de opzet geweest om in dit handboek diep in te gaan op alle mogelijke onderwerpen. Daarvoor bestaan al een aantal publicaties (waaronder handboeken) en worden door het Advies- en Coördinatiepunt Informatiebeveiliging(ACIB) regelmatig brochures gepubliceerd over actuele onderwerpen. U kunt daar ook altijd terecht voor vragen over het Voorschrift en het voorliggende Handboek. De wnd. directeur InterbestuurlijkeBetrekkingen en Informatievooniening, J.J. de Waal
,
O HANDBOEK INFORMATIEBEVEILIGING
RIJKSDIENST 1995
3
Handboek Informatiebeveiliging Rijksdienst 1995
Deel I Algemeen
5
Inhoudsopgave deel 1 1
2
Inleiding 1.1- Noodzaak tot informatiebeveiliging 1.2 Voorschrift voor de rijksdienst 1.3 Opzet van het handboek
7 7 8
9 12 12
Conceptueel kader voor informatiebeveiliging 2.1 Te beschermen belangen 2.2 Informatiebeveiliging als onderdeel van kwaliteitszorg 2.3 Het kwaliteitskenmerk betrouwbaarheid
13 15
3
Vigerende wet- en regelgeving 3.1 Algemeen 3.2 Internationale verdragen 3.3 EU-verordeningen en -richtlijnen 3.4 Formele wetten 3.5 Algemene maatregelen van bestuur 3.6 Ministeriële regelingen 3.7 Voorschriften en aanwijzingen voor de rijksdienst 3.8 Ministeriële besluiten
20 20 20 21 22 26 27 27 28
4
Ontwikkelingen elders
30
6
a
a
@
O
1
Inleiding
1.1
Noodzaak tot informatiebeveiliging
Bestuurs- en bedrijfsprocessenin organisaties zijn in belangrijke mate afhankelijk van goed functionerende informatiesystemen. Veel processen zijn nagenoeg onmogelijk zonder de toepassing van geautomatiseerde gegevensverwerking; men denke aan het betalingsverkeer, bevolkingsadministratie, logistieke besturing, belastingheffing, telediensten, enzovoorts. Uitval van computers of telecommunicatiesystemen,het in ongerede raken van gegevensbestanden, of het door onbevoegden kennisnemen dan wel manipuleren van bepaalde gegevens kan ernstige gevolgen hebben voor de beleids- en bedrijfsvoering. De genoemde afhankelijkheid wordt mede beïnvloed door technologische ontwikkelingenop het gebied van de informatievoorziening. Vergaande deconcentratievan apparatuur, programmatuur, gegevens en de daarmee gepaard gaande decentralisatievan het beheer, maar ook de koppeling van voorheen losstaande informatiesystemen, leiden tot complexe situaties met diffuse verantwoordelijkheden. Gegevens komen steeds gemakkelijker beschikbaar, maar gegevensstromen zijn steeds moeilijker beheersbaar. Beveiligingvan gegevens is binnen de rijksoverheidgeen onbekend terrein. De nadruk heefi daarbij lange tijd gelegen op de vertrouwelijkheidvan de gegevens (met het oog op staatsgeheimen en op privacy). Er zijn echter meer redenen om eisen te stellen aan de informatievoorziening bij de overheid: zo is bijvoorbeeld de continuïteit een belangrijk kenmerk geworden. De uitvoering van veel regelgeving bijvoorbeeld op de gebieden sociale zekerheid, belastingen, onderwijs, gezondheidszorg en volkshuisvesting- is nagenoeg onmogelijk zonder de toepassing van geautomatiseerde informatieverwerking. De terugweg naar handmatige verwerking is dan vrijwel afgesloten.
-
Verstoring van de informatievoorzieningbij de overheid kan ernstige maatschappelijkegevolgen hebben op het vlak van bijvoorbeeld inkomensoverdrachten. rechtsverkeer, commerciële vertrouwelijkheiden aantasting van de persoonlijke levenssfeer. Naast de van oudsher bekende aspecten vertrouwelijkheiden integriteit krijgt ook het aspect beschikbaarheidvan gegevens een steeds grotere nadruk. Over het algemeen is men zich onvoldoende bewust van de mate waarin men afhankelijk is van een ongestoorde informatievoorziening. Maatregelen om deze kwetsbaarheidte reduceren kosten echter geld en vergen discipline, ALGEMEEN
7
-
-
terwijl de opbrengst daarvan in de vorm van vermeden schade niet altijd even tastbaar is. Wat dat betreft is de situatie in de publieke sector niet wezenlijk anders dan in de private sector.
Bestuurs- en bedrijfsprocessenin organisaties zijn in belangrijke mate afhankelijk van goed functionerende informatiesystemen. Over het algemeen is men zich onvoldoende bewust van de mate waarin men afhankelijk is van een ongestoorde informatievoorziening.
1.2
Voorschrift voor de rijksdienst
De Rijksdienstkent reeds geruime tijd voorschfiften voor beveiliging in het algemeen en daaronder voor informatiebeveiliging.Het zogenoemde beveiligingsvoorschriftI stamt uit 1949, dus uit een tijdperk dat er van automatiseringnog geen sprake was. Dit voorschrift is in later jaren aangevuld met andere die specifiek betrekking hadden op de beveiliging van gegevens in geautomatiseerde systemen. Daarbij deed zich echter het probleemvoor dat deze voorschriften door hun detaillering en vormgeving weinig toegankelijk en wervend waren. Voorts waren zij relatief snel achterhaald door technologischeontwikkelingen; enkele voorbeelden: Er komen steeds krachtiger en gemakkelijker te transporteren personal computers met grotere geheugens; hierin wordt nauwelijks gebruik gemaakt van beveiligingstechnieken. - Er komen steeds snellere printers, copiers en faxen die een overvloed aan papier genereren, waarvan wij paradoxalerwijssteeds afhankelijker worden; ook in het "electronic office" is papier dus niet verdwenen. - De snel toenemende behoefte aan telecommunicatie kan steeds beter worden bevredigd door de digitalisering van informatietransport; gebleken Is echter dat de communicatielijnenkwetsbaar zijn voor manipulatie, rerouting, aftappen, e.d. - Informatiesystemen worden steeds meer aan elkaar gekoppeld, waardoor compartimenteringals beproefd beveiligingsconceptwegvalt en multilevelomgevingen ontstaan; de beheersing van complexe netwerken wordt moeilijker. - Nieuwe technologieën roepen op zich weer nieuwe bedreigingenop (computeivirussen, hackers): computercriminaliteit doet zijn intrede en de georganiseerde misdaad zal zich richten op systemen waar grote baten zijn te behalen, bijvoorbeeld betaalsystemen.
-
In het thans van kracht zijnde voorschrift voor informatiebeveiligingis op deze ontwikkelingen ingespeeld door geen gedetailleerde uitvoeringsregels 8
ALGEMEEN
O
te stellen, maar alleen op hoofdlijnen vast te leggen waaraan het informatiebeveiiigingsbeieidmoet voldoen. Deze hoofdlijnenvormen als het ware een afspraak over de wijze waarop het beveiligingsbeleidwordt gevoerd: het voorschrift bevat niet meer dan een consistente set van uitgangspuntendie voor elk onderdeel van de Rijksdienst gelden. De globaliteit van het voorschrift leidt echter tot de behoefte aan concrete handreikingen aan degenen die binnen de Rijksdienst het beleid moeten vormen en implementeren. Aan die behoefte komt het voorliggende Handboek tegemoet, dat moet worden gezien als een (onmisbare) toevoeging op het voorschrift.
'
Het voorschrift geldt voor de Rijksdienst, dat wil zeggen de departementen met hun directoraten-generaal, centrale en stafdirecties, buitendienstenen intern verzelfstandigde dienstonderdeien. Anders gezegd, alle organisatieonderdelen op rijksniveau waarvoor de ministeriëleverantwoordelijkheid onverkort geldt. Voor zelfstandige bestuursorganen met een eigen rechtspersoonlijkheid,waarvoor de ministeriëleverantwoordelijkheid beperkt is, bestaat de mogelijkheid in een afzonderlijk informatiestatuut vast te leggen welke regels met betrekking tot informatiebeveiligingvan kracht zijn. In het thans van kracht zijnde voorschrift voor informatiebeveiliging worden geen gedetailleerde uitvoeringsregeisgesteld, maar alleen op hoofdlijnenvastgelegd waaraan het informatiebeveiligingsbeleidbij de organisatie-Onderdelen op rijksniveau moet voldoen.
o
1.3
Opzet van het handboek
Het handboek sluit nauw aan bij de lijnen waarlangs het voorschrift is opgezet. Deel 1 geeft het conceptueel kader voor informatiebeveiliging. waarbij beveiligingwordt gezien als onderdeel van kwaliteitszorg. Voorts bevat Deel 1 een overzicht van vigerende wet- en regelgeving op het gebied van informatiebeveiliging. In Deel 2 wordt de verantwoordelijkheid van de lijnmanager voor informatiebeveiligingbehandeld, inclusief de afspraken die nodig zijn om die verantwoordelijkheidwaar te maken. Deel 3 gaat in op het informatiebeveiligingsbeleid dat op departementaal niveau gevoerd dient te worden, waarbij een belangrijke plaats is weggelegd voor een beleidsdocumentdat door de departementale top moet worden goedgekeurd en uitgedragen. In Deel 4 tenslotte wordt het iteratieve proces om tot adequate beveiligingsmaatregelen te komen behandeld.
ALGEMEEN
9
Bij het opstellen van zowel het voorschrift ais het handboek is veel aandacht besteed aan het gehanteerde begrippenstelsel.Als belangrijkste voorwaarde is gesteld dat het intern consistent moet zijn; immers, met een rammelend begrippenstelselals fundament kan nooit een heldere handreiking worden geboden. Daarnaast is getracht zoveel mogelijk aan te sluiten bij wet ‘elders in de wereld’ aan begrippen ingeburgerd is. Op punten waarbij dat niet mogelijk was bijvoorbeeldomdat het elders gebruikte begrippenstelselniet consistent is is aangegeven waar de verschillen in zitten.
-
-
Op deze plaats is het zinvol twee veel gebruikte algemene begrippen nader toe te lichten, namelijk informatievoorrieningen informatiesysteem. Elk departement bestaat uit onderdelen (directies, diensten, enzovoorts), die verantwoordelijkzijn voor bepaalde bestuurs- en bedrijfsprocessen.Ter ondersteuningvan deze primaire processen isaen goede informatievoorziening onontbeerlijk. Onder informatievoorzieningwordt verstaan: informatievoorziening = het geheel van activiteiten dat nodig is om een organisatie-onderdeel te voorzien van de informatie die nodig is om de toegewezen taken te vervullen. Welke technologie daarbij wordt gebruikt is voor de begripsvorming niet relevant. Binnen het proces van informatievoorzieningnemen informatiesystemeneen belangrijke plaats in. Zij leveren de informatie die nodig is in de bestuurs- en bedrijfsprocessenen zijn daarom een essentieel object als het gaat om het treffen van beveiligingsmaatregelen. Men dient zich eohter wei te realiseren dat het begrip ‘systeem’ een abstractie is, die alleen in het hoofd van mensen bestaat. Het is een gestructureerd samenstel van componentenwaartussen relaties bestaan en die bepaalde functies vervullen. Onder informatiesysteem wordt verstaan: informatiesysteem = een geheel van gegevensverzamelingen, programmatuur, apparatuur en personen met de procedures volgens welke zij werken.
De functie van een informatiesysteem is direct gekoppeld aan de bestuursen bedrijfsprocessenin een organisatie. In dit handboek wordt een veelheid van begrippen gehanteerd, waarvan de betekenis wordt uitgelegd op de plaats waar zij worden geïntroduceerd. Om toch het overzicht te kunnen bewaren is in Bijlage 1.1 een verklarende lijst opgenomen van alle begrippen die in het hele handboek worden gehanteerd. Deze lijst is een uitbreiding van het begrippenoverzichtdat in het voorschrift is opgenomen. 10
ALGEMEEN
Tot slot nog het volgende. Veel van wat in dit handboek is behandeld is algemeen geldig voor welke sector dan ook, publiek en privaat. In elke organisatie treit men bedrijfsprocessen, informatievoorzieningen informatiesystemen. Overal is informatiebeveiligingnoodzakelijken een aandachtspuntvan het management. Waar in dit handboek sprake is van een 'departement' kan in veel gevallen ook 'bedrijf' worden gelezen, zonder dat daardoor de aanpak van informatiebeveiligingverandert. Veel van wat in dit handboek is behandeld is algemeen geldig voor welke sector dan ook, publiek en privaat. Waar sprake is van een 'departement' kan in veel gevallen ook 'bedrijf' worden gelezen, zonder dat daardoor de aanpak van informatiebeveiligingverandert.
ALQEMEEN
11
2
Conceptueel kader voor informatiebeveiliging
2.1
Te beschermen belangen
In het vorige hoofdstuk is de noodzaak van informatiebeveiliging aan de orde gesteld. Meer in het algemeen kan men stellen dat beveiliging gewenst is ter bescherming van verschillende belangen: maatschappelijk belang: het niet beschikbaar zijn of een foutieve werkwijze van bepaalde informatiesystemen kan enorme maatschappelijke schade veroorzaken; te denken valt aan systemen van de Belastingdiensten van de Informatiseringsbank; commercieei belang: het bekend raken of het in ongerede raken van gegevens kan het commercieei belang van een departement schaden; te denken valt aan de onderhandelingspositie; - landsbelang: met name bij het bekend raken van gerubriceerde gegevens kan het landsbelang of het bondgenootschappelijk belang geschaad worden; privacy belang: hierbij gaat het vooral om het bekend raken van persoonsgegevens opgeslagen en vetwerkt in bijvoorbeeldjustitiëie systemen; - financieel belang: uiteindelijk is veel schade op geld te waarderen, maar het gaat hier echter om het directe financieel belang, bijvoorbeeld bij geautomatiseerde betaalsystemen.
-
-
Vanuit deze belangen zal men bepaalde eisen stellen aan het functioneren van een informatiesysteem. Het blijkt dat met een beperkt aantal soorten van eisen alle belangen kunnen worden afgedekt. Verderop in dit hoofdstuk komen deze soorten van eisen uitvoeriger aan bod; op deze plaats wordt volstaan met het overkoepelende begrip betrouwbaarheid van informatiesystemen waarop de eisen zich concentreren. Gegeven deze eisen zal men tot een keuze van beveiligingsmaatregelen moeten komen. Dit leidt tot de volgende tentatieve definitie van informatiebeveiliging: informatiebeveiliging = het treffen en onderhouden van een samenhangend pakket van maatregelenter waarborging van de betrouwbaarheid van een informatiesysteem en daarmee van de informatie daarin Daarmee hebben we een belangrijk punt van het conceptueel kader te pakken: uitgaande van betrouwbaarheidseisen moet men tot maatregelen komen. Men gaat dus niet uit van beveiligingseisen in termen van maatregelen. 12
ALGEMEEN
Beveiligingsmaatregelen vormen de resultantevan een keuzeproces en zorgen ervoor dat het informatiesysteemvoldoet aan de betrouwbaarheidseisen. Met nadruk wordt erop gewezen dat ‘pakket van maatregelen’ ruim moet worden opgevat: beveiliging is in eerste instantie een kwestie van mentaliteit. Medewerkers moeten de zin van beveiliging inzien en een zekere discipline opbrengen. In de definitie van het begrip informatiebeveiliginggaat het om het treffen van maatregelen. In het kader van dit handboek worden deze maatregelen ook wel infotmatiebeveiligingsmaatregelengenoemd. Hiermee worden alle maatregelen bedoeld die de betrouwbaarheidvan een informatiesysteem kunnen waarborgen. In veel gevallen betreft dit maatregelen die alleen dat tot doel hebben. Er zijn echter ook maatregelen die primair een ander doel dienen, maar tegelijk van betekenis zijn in het kader van infotmatiebeveiliging. Een voorbeeld hiervan is functiescheiding, die ook wordt gehanteerd als middel voor een doelmatige arbeidsverdeling. Met andere woorden: dezelfde maatregel kan verschillende doelen dienen en als zodanig ook anders worden genoemd. In het kader van dit handboek wordt functiescheiding daarom ook als een informatiebeveiligingsmaatregel gezien. Informatiebeveiligingbetreft dus alle maatregelen die betrouwbaarheid bevorderen, ongeacht de vraag of zij ook andere doelen dienen en in die gevallen ook anders worden genoemd. Beveiligingsrnaatregelenvormen de resultantevan een keuzeproces en zorgen ervoor dat het informatiesysteem voldoet aan de gestelde eisen. Beveiliging is echter in eerste instantie een kwestie van mentaliteit.
e
I
2.2
I
Informatiebeveiliging als onderdeel van kwaliteitszorg
Kwaliteitszorgstaat sterk in de belangstelling,zowel in de private als in de publieke sector. Onder kwaliteit wordt in het algemeen verstaan: de mate waarin het geheel van eigenschappen van een produkt, proces of dienst voldoet aan de gestelde eisen welke voortvloeien uit het gebruikcdoel. De eisen moeten dus bekend zijn om iets over kwaliteit te kunnen zeggen. Bij het ontwerpen van een informatiesysteemzal men dus moeten specificeren aan welke eisen zo’n systeem moet voldoen. Het is belangrijk daarbij twee soorten eisen te onderscheiden: functionele eisen: welke functies moet het systeem velvullen ; kwaliteitseisen, ook wel prestatie-eisengenoemd: met welke kwaliteit moet het systeem functioneren, ofwel welke prestaties moet het leveren.
-
ALGEMEEN
13
Uitgaandevan deze eisen zal het informatiesysteemzodanig moeten worden ontworpen, dat aan de eisen aantoonbaar wordt voldaan. Deze benadering is overigens niet bijzonder voor informatiesystemen, maar is universeel toepasbaar bij het ontwerpen van welk systeem dan ook. Kwaliteit is echter een begrip met meerdere dimensies. Met andere woorden: er zijn aan kwaliteit verschillende (ho0fd)kenmerken te onderscheiden. in de praktijk komen voor deze kenmerken diverse indelingen voor; in het kader van dit handboek wordt de volgende opsplitsing gehanteerd:
,
betrouwbaarheid duurzaamheid
kwaliteit gebruiksvriendelijkheid
---. integreerbaarheid
Elk van deze kwaiiteitskenmerken is weer verder op te delen en bij elk kenmerk horen specifieke kwaliteitseisen.Informatiebeveiligingis gericht op de betrouwbaarheid van informatiesystemen(zie de definitie in paragraaf 2.1): in het onderstaande wordt verder op dit kenmerk ingegaan. Over de overige kenmerken valt het volgende te zeggen. Duurzaamheid heeft te maken met de flexibiliteit, onderhoudbaarheiden aanpasbaarheid van het systeem. Gebruiksvriendelijkheid heeft te maken met het bedieningsgemak, de inzichtelijkheiden overdraagbaarheid van het systeem. Integreerbaarheid heeft te maken met de modulariteit (aansluitend bij verantwoordelijkheden binnen een organisatie) en standaardisatie. Juist vanwege deze verscheidenheid aan kwaliteitseisen,die bovendien soms op gespannen voet met elkaar staan, ontstaat een gecompliceerd ontwerp-proces. Veel problemen met informatiesystemenzijn dan ook terug te voeren tot onvoldoende aandacht voor goed op elkaar afgestemde kwaliteitseisen. Een aanpak is dus geboden waarbij een zeker evenwicht wordt nagestreefd. Het gewenste kwaliteitsniveaumoet voortdurend worden afgewogen tegen de daarbij behorende inspanning en kosten ("ontwikkelen is balanceren"). Het zal dus duidelijk zijn dat informatiebeveiligingmoet concurreren met andere aandachtsgebieden. Bij deze afweging dient men zich te realiseren dat er naast de kwantificeerbarekosten van beveiligingsmaatregelen ook minder tastbare lasten zijn. Immers: - beveiliging impliceert gedragsbeperkingen voor medewerkers en vergt discipline: 14
ALGEMEEN
-
O
er wordt een beroep gedaan op de beschikbare systeemcapaciteit, omdat een zekere overhead wordt ingebouwd (vanwege bijvoorbeeld toegangsregels); behalve de systeemprestatiegaat ook de flexibiliteit achteruit; beveiliging wordt daardoor nogal eens ervaren als verstarrend.
-
Uitgaande van de gestelde kwaliteits- of prestatie-eisen zal het informatiesysteem zodanig moeten worden ontworpen, dat aan de eisen aantoonbaar wordt voldaan. Het gewenste kwaliteitsniveau moet voortdurend worden afgewogen tegen de daarbij behorende inspanning en kosten.
O
2.3
Het kwaliteitskenmerk betrouwbaarheid
Wat moet nu onder het kwaliteitskenmerk 'betrouwbaarheid' worden verstaan? De algemene definitie daarvoor luidt: betrouwbaarheid = de mate waarin een organisatie zich kan verlaten op het informatiesysteem voor zijn informatievoorziening
0
Daarmee is het echter nog te abstract; een nadere uitwerking is noodzakelijk om tot concrete kwaliteitseisente komen aan de hand waarvan beveiligingsmaatregelen kunnen worden gekozen. In de Engelstalige literatuur gebruikt men daarbij wel de letters C.I.A. die staan voor de kenmerken Confidentiality, Integrity, Availability. De moeilijkheid bij het hanteren van een set Nederlandstaligekenmerken is dat de definitie van betrouwbaarheid niet alleen betrekking heeft op het systeem, maar ook op het proces van informatievoorziening.Er zijn kenmerken die meer geassocieerd worden met het systeem (zoals beschikbaarheid)en er zijn kenmerken die meer geassocieerd worden met het proces (zoals continu'iteit). Om het eenvoudig te houden is in het voorschrift gekozen voor de volgende opsplitsing van het hoofdkenmerk betrouwbaarheid beschikbaarheid betrouwbaarheid
integriteit exclusiviteit
0
Met gebruikmaking van deze kenmerken kan de hiervoor gegeven definitie van informatiebeveiliging als volgt worden uitgebreid: ALGEMEEN
15
informatiebeveiliging = het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid, integriteit en exclusiviteit van een informatiesysteem en daarmee van de informatie daarin Een toelichting op de verschillende betrouwbaarheidskenmerken is op zijn plaats. De beschikbaarheid van een informatiesysteem is de mate waarin het in bedrijf is op het moment dat de organisatie het nodig heeft. De oorzaak van het niet (geheel) beschikbaar zijn ligt in het algemeen bij het uitvallen van één of meer systeemcomponenten. Dit stelt enerzijds eisen aan de aanwezigheid, de bedrijfszekerheiden de robuustheidvan de systeemcomponenten en, voor het geval ze onverhoopt toch uitvallen, aan de repareerbaarheid en de vervangbaarheid. In procestermenis de continu'iteit van de informatievoorzieningde mate waarin het proces is beschermdtegen alle verstoringen of veranderingen. Hierbij zijn de kenmerken overleefbaarheid (kan het proces in beperkte mate worden voortgezet na verstoring?)en herstartbaarheid(kan het proces gemakkelijk worden hervat na verstoring?)van belang. De integriteit van een informatiesysteemis de mate waarin de systeemcomponenten (met name de informatie en de implementatie) zonder fouten zijn. Verder uitgewerkt gaat het om de kenmerken correctheid (in overeenstemming met het afgebeelde deel van de realiteit?), volledigheid (niets ten onrechte achtergehouden of verdwenen?) en actualiteit (de realiteit van dat moment?). Wat betreft het proces van informatievoorzieningzijn de kenmerken onverstoorbaarheid (kan het proces worden voortgezet na verandering in het systeem?), consistentie (is onderling samenhangende informatie met elkaar in overeenstemming?) en controleerbaarheid(is traceerbaar hoe het proces verlopen is?) van belang. De exclusiviteit van een informatiesysteem is de mate waarin de toegang tot de systeemcomponenten (met name de informatie) beperkt is tot een gedefinieerde groep van gerechtigden. Toegespitst op informatie kan men het kenmerk afscherrnbaarheid (kan ongeautoriseerd kennisnemen, uitlezen, kopiëren of muteren worden voorkomen?) hanteren. Een opmerking is nog op zijn plaats met betrekkingtot het kenmerk controleerbaarheid. Hierboven is het gebruikt in de zin van "auditibility", maar men kan er ook een wijdere betekenis aan geven in de zin van beheersbaarheid (het Engelse to control is in wezen beheersen). Indien de kwaliteit van een informatiesysteemaantoonbaar aan de gestelde eisen moet voldoen, slaat dit niet alleen op de betrouwbaarheidseisen maar ook 16
ALGEMEEN
0
a
op de duurzaamheids-, gebruikersvriendelijkheiden integreerbaarheidseisen. In al die gevallen moet men iets aantonen en ‘controleren’, dat wil zeggen beheersen. In deze paragraaf is informatiebeveiligingals kwaliteitszorg behandeld in relatie tot ontwikkeling, beheer en gebruik van informatiesystemen. In deel 4 van dit handboek wordt deze relatie nader uitgewerkt, met name waar het gaat om de inbedding van kwaliteitszorg in het proces van systeemontwikkeling, -verwetving en -exploitatie. Men kan echter nog een stap verder gaan en informatiebeveiligingvolledig integreren in de kwaliteitszorg. Dit heeft als voordeel dat beveiligingals apart aandachtspuntverdwijnt en op natuurlijkewijze is ingebed in het kwaliteitssysteemvoor de organisatie als geheel. Daarvoor is wel nodig dat een departement c.q. departementsonderdeel bekend is met kwaliteitssystemen.
Informatiebeveiligingheeft tot doel de betrouwbaarheid van een informatiesysteemte waarborgen. Het kwaliteitskenmerk betrouwbaarheidis op te splitsen in beschikbaarheid, integriteit en exclusiviteit.
ALGEMEEN
17
Een huis-tuin-en-keuken voorbeeld: de warme bakker Ter illustratie van enkele in dit hoofdstuk behandelde begrippen volgt hier de case van de warme bakker. Het is niet de bedoeling hiermee een perfecte analogie met het onderwerp informatievoorzieningte geven, maar veeleer om de lezer gevoel te geven voor het werken in termen van input-proces-output en van betrouwbaarheid-eisen-maatregelen. De bakker heeft een pand waarin zich bevinden een bakkerij waar het brood wordt gebakken en een winkel waar het brood wordt verkocht. De bakkerij zorgt voor de broodvoorziening, het bedrijfsproces is 'brood bakken'. Er staat een bakoven, de grondstoffen aan de inputkant zijn meel, melk en water, en het personeel werkt met bepaalde procedures om de output (brood) te leveren. Het bedrijfsproces 'brood verkopen' blijft hier buiten beschouwing. De bakker redeneert vanuit de outputkant en komt zo tot de volgende functionele eisen aan het bedrijfsproces 'brood bakken': - de bakkerij moet tussen 05.00 en 08.00 uur een x-tal broden kunnen leveren (capaciteitseis); - de bakkerij moet een bepaalde verscheidenheidaan broden kunnen leveren (assortimentseis). Voorts zal hij kwaliteitseisen aan de output stellen: - het brood moet lekker smaken en er goed uitzien; - het brood mag niet verontreinigd zijn; - het brood moet een bepaalde voedingswaarde hebben (een wettelijke eis). Dit betekent dat de bakker betrouwbaarheidseisenaan de broodvoorziening moet stellen, te vertalen naar: - de oven, het personeel en de grondstoffen moeten in de aangegeven periode beschikbaar zijn (continuïteitseisen aan het proces); er mogen geen verontreinigingenvoorkomen (integriteitseis aan het proces); - de receptuur moet vertrouwelijk zijn en niet door derden achterhaald kunnen worden (exciusiviteitseisaan het proces).
-
18
ALGEMEEN
e
O
Om dit te bewerkstelligen zal de bakker maatregelen moeten treffen: een goed onderhoudscontract sluiten voor de oven, goed opgeleid personeel aantrekken, zorgen voor adequate salariëring en arbeidsomstandigheden,een leveringscontract sluiten voor het meel, de bakkerij goed schoon houden, enzovoorts. Eventueel kan de bakker extra eisen gaan stellen, bijvoorbeeld het assortiment moet eenvoudig aan te passen zijn (flexibiliteitseis), of het brood moet langer houdbaar zijn (duurzaamheidseis).Ook kan hij in het kader van zijn strategische beieidsvorming de zaak uitbreiden of aanpassen door bijvoorbeeld: - de capaciteit te vergroten door een tweede of een grotere bakoven aan te schaffen: - niet alleen 's ochtends vroeg maar de hele dag door te gaan bakken; - banket aan het assortiment toe te voegen: een tweede winkel te openen die van dezelfde bakkerij gebruik maakt: - de bakkerij uit te besteden aan een derde.
-
Het zal duidelijk zijn dat door deze veranderingen de bedrijfsvoering complexer wordt (meerdere parallelle processen, afhankelijkheid van een grote oven, meer grondstoffen, meer toeleveranciers en afnemers). Een aantal eisen zal moeten worden bijgesteld: zo is bijvoorbeeld gebak exclusiever dan brood en vergt ander personeel. Dit heeft consequenties voor de set van maatregelen om de kwaliteit van de zaak op peil te houden.
e
a ALGEMEEN
19
3
Vigerende wet- en regelgeving
3.1
Algemeen
Vigerende wet- en regelgeving vormt voor elk departement een extern bepaalde randvoorwaarde bij het beveiligingsbeieid. In dit hoofdstuk wordt een overzicht gegeven van de verschillende regelingen welke voor de rijksdienst van toepassing zijn bij het beveiligen van informatiesystemen. De volgende typen regelingen worden onderscheiden: - Internationale verdragen - EU-verordeningen en -richtlijnen - Formele wetten - Algemene maatregelen van bestuur - Ministeriële regelingen - Voorschriften en aanwijzingen voor de rijksdienst - Ministeriële besluiten Per type regeling is vervolgens aangegeveo wat er van kracht is, waarbij tevens enkele relevante punten kort zijn vermeld. Voor een uitgebreid overzicht van relevante wet- en regelgeving met betrekking tot informatiebeveiliging kan men de desbetreffende ACIE-publicatie raadplegen.
3.2
Internationale verdragen
In internationale verdragen kunnen bepalingen voorkomen met een rechtstreekse doorwerking in de Nederlandse rechtsorde. Relevant voorbeeld in dit geval is het Verdrag ter bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, vastgesteld door de Raad van Europa op 28 januari 1981. De Verenigde Naties en de OESO hebben enkele aanbeveilngen ("guidelines") gepubliceerd waarin informatiebeveiliging aan de orde komt. Deze zijn echter niet bindend en werken niet rechtstreeks door in ons rechtsstelsel. De NAVO heeft voorschriften inzake informatiebeveiligingdie voor de'lidstaten bindend zijn. Deze hebben met name betrekking op het kwaiiteitskenmerk exclusiviteit; gewerkt wordt aan een nieuwe serie handboeken waarin de kenmerken beschikbaarheid en integriteit aan de orde komen. Ook de WEU besteedt aandacht aan informatiebeveiliging en werkt aan een richtlijn "Security Regulations". 20
AILGEMEEN
3.3
EU-verordeningenen -richtlijnen
EU-verordeningen zijn rechtstreeks van toepassing op de lidstaten en behoeven geen nadere uitwerking in de nationale regelgeving. Zij hebben een hogere status dan formele wetten. EU-richtlijnenzijn niet rechtstreeks van toepassing op de lidstaten en moeten door de lidstaten met eigen instrumentenworden ingevuld (meestal door aanpassingen van nationale wetgeving, binnen een bepaalde afgesproken tijd). Zij zijn bindend voor de lidstatenvoor wat betreft het eindresultaat, maar de lidstaten hebben zelf de vrijheid met betrekking tot hoe het beoogde resultaat wordt bereikt. Momenteel zijn geen EU-verordeningen van kracht op het gebied van informatiebeveiliging; er zijn wel twee relevante ontwerp-richtlijnen, waarmee de Europese Commissie de bescherming van personen in verband met de behandeling van persoonsgegevens in het algemeen (en in het bijzonder in het kader van telecommunicatie) wil realiseren. De eerste Richtlijn (SYN 287) heeft betrekking op privacy in het algemeen; de tweede, sectoriële Richtlijn (SYN 288) bevat speciale regels en voorschriften ten aanzien van beschermingvan persoonsgegevens in het telecommunicatieverkeer. Het ontwerp van de Algemene Privacy-richtlijn bepaalt in art. 17 dat technische en organisatorische maatregelen dienen te worden getroffen die voor de beveiligingtegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen toevallig verlies, vervalsing of gegevensverstrekking, dan wel tegen enige andere vorm van onbevoegde behandeling van persoonsgegevens passend en noodzakelijkzijn. Deze maatregelen moeten ten aanzien van de geautomatiseerde gegevensbehandeling een passend beveiligingsniveau waarborgen, met inachtneming van enerzijds de stand van de techniek ter zake en anderzijds de aard van de te beveiligen gegevens en de potentiële risico's. Voorts bepaalt de richtlijn in artikel 17 dat een ieder die toegang heeft tot persoonsgegeven, deze niet zonder toestemming van de voor de behandeling verantwoordelijke aan derden mag verstrekken, tenzij ter nakoming van in de nationale of communautaire wetgeving besloten liggende verplichtingen. Tot slot bepaalt de richtlijn in artikel 17 dat de uitvoering van verwerking door derden wordt geregeld in een overeenkomst of een rechtsakte. Het ontwerp van de sectoriële Richtlijn bepaalt in artikel 4 dat indien een bijzonder risico bestaat dat de beveiligingvan het netwerk wordt doorgebroken, bijvoorbeeld op het gebied van de mobiele radiotelefonie, de teiecommunicatie-organisatiede abonnee van deze risico's op de hoogte dient te stellen en hem een versleutelingsdienst dient aan te bieden. ALGEMEEN
21
3.4
Formele wetten
Deze worden door de regering en de Staten-Generaal vastgesteld, de Raad van State brengt er advies over uit; de naleving ervan is afdwingbaar. Relevante formele wetten zijn: Comptabiliteitswet Laatstelijk gewijzigd op 8 december 1988. In de Comptabiliteitswet wordt niet expliciet ingegaan op beveiligingsaspecten;wei wordt gesteld dat de administratie bij departementen, rijksorganen en -diensten moet voldoen aan de eisen van doelmatig beheer en controle. Beveiligingsmaatregeienmaken onderdeel uit van Controlemaatregelenen passen ook in het kasbeheer, zoals geregeld in de wet. Geautomatiseerdebetaalsystemen zonder adequate (t0egangs)beveiiiging kunnen in strijd zijn met deze regeling. De controle op de betrouwbaarheid en de beveiliging van systemen behoort tot de taak van de departementale accountantsdienst (zie ook paragraaf 3.5). Wet bescherming staatsgeheimen In werking getreden op 5 april 1951, gewijzigd op 30 juni 1967. Deze wet maakt het mogelijk "verboden plaatsen" aan te wijzen ter bescherming van gegevens waarvan de geheimhouding door het belang van de veiligheid van de staat en van de bondgenoten wordt geboden. Tevens worden in de wet enkele artikelen van het Wetboek van Strafrecht aangepast. Wet persoonsregistraties In volledige werking getreden op 1 juli 1990. De Wet persoonsregistraties (WPR) wil voor ieder individu waarborgen scheppen dat binnen de publieke en de private sector zorgvuldig met zijn of haar persoonsgegevenswordt omgegaan. Hiertoe stelt de WPR eisen aan de organisatorische en technische maatregelen ten aanzien van het opzetten, in stand houden en gebruiken van persoonsregistraties. In artikel 2 van de WPR wordt een opsomming gegeven van persoonsregistraties waarop de wet niet van toepassing is: onder andere registraties zoals aangeduid in bepaalde artikelen van de Archiefwet, de Wet op de inlichtingen- en veiligheidsdiensten en de Politiewet. De WPR heeft het karakter van een raamwet: er is een belangrijke plaats ingeruimd voor de registratiehouder.De materiële normen dienen namelijk door hemzelf nader te worden uitgewerkt. Voor de overheid dient dit te geschieden in de vorm van reglementen. De WPR stelt in artikel 8 als volgt eisen aan de beveiliging van persoonsregistraties: "De houder draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter 22
ALGEMEEN
O
beveiligingvan een persoonsregistratietegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan”.
0
O
Wat precies moet worden verstaan onder “de nodige voorzieningen van technische en organisatorische aard” is door de wetgever met opzet open gelaten. Deze beveiligingsopdrachtvraagt om nadere invulling door de organisatie zelf. De wijze waarop en de mate waarin persoonsregistraties beveiligd moeten worden, verschilt naar de aard en het belang van de registraties.Beveiliging betreft niet alleen de persoonsregistratiezelf: ook eventuele back-up of archiefbestandendienen hierin te worden betrokken. Materiële en immateriële schade welke de geregistreerde lijdt als gevolg van onvoldoende beveiliging is voor risico van de registratiehouder. Uit toekomstige jurisprudentie zal moeten blijken hoe deze beveiligingsnorm naar redelijkheid moet en kan worden ingevuld. Bij algemene maatregel van bestuur zijn regels gesteld omtrent de uitvoering van de wet, met name de aanwijzing van persoonsregistraties waarop bepaalde artikelen van de wet niet van toepassing zijn en voorschriften inzake het opnemen van gevoelige gegevens in een persoonsregistratie(zie ook paragraaf 3.5).
Wet politieregisters In werking getreden op 21 december 1990. In artikel 2 van de Wet persoonsregistratieswordt bepaald dat deze wet niet van toepassing is op persoonsregistratiesdie worden aangelegd ten dienste van de uitvoering van de politietaak, omschreven in artikel 28 van de Politiewet. De Wet politieregisterstreedt hiervoor in de plaats. In deze wet worden de beheerders van politieregistersexpliciet genoemd. De taak van een beheerder kan gelijk worden gesteld met die van een houder, zoals vermeld in de WPR. Ten aanzien van de beveiliging geldt hetzelfde als hetgeen in de WPR is vermeld. Daaraan wordt nog toegevoegd dat bij algemene maatregelen van bestuur regels worden gesteld omtrent gevallen waarin het in het kader van technische werkzaamheden noodzakelijkis van gegevens kennis te nemen (zie ook paragraaf 3.5).
*
Wet computercriminaliteit In werking getreden op 1 maart 1993. In de wet komt het begrip beveiliging op een aantal plaatsen aan de orde. Allereerst in het kader van het strafbaar zijn van het inbreken in computers (nieuw artikel 138a Wetboek van Strafrecht). In dit artikel is geen rechtstreekse plicht tot beveiliging opgenomen doch wordt beveiliging als voorwaarde voor strafbaarheid geïntroduceerd. Indien niet aan die voorwaarde is voldaan, kan een organisatie geen beroep doen op de repressieve ALGEMEEN
23
bescherming van het strafrecht. De voorwaarden, zoals vermeld in artikel 138a WvSr luiden als volgt: a daarbij enige beveiliging doorbreken; b de toegang verwerven door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel het aannemen van een valse hoedanigheid.
O
Onder a wordt een expliciete handeling van de rechthebbende vereist: het aanbrengen van een kenbare drempel als voorwaarde voor strafbaarheid van het gedrag van de verdachte. Volgens de minister bestaat deze drempel uit een maatregelen die erop is gericht het informatiesysteemte beschermen ten het binnendringen en waarvan de inhoud kan variëren naar tijd, plaats, stand van de techniek en de inhoud van de gegevens. De minister stelt dat indien bij een aangifte enige verwijzing wordt gevoegd dat sprake is van het doorbreken van een beveiligingssysteem,welke dit ook is, dit toereikend is voor vervolging. Zou de verdediging het bestaan van een beveiligingssysteemaanvechten, dan kan het slachtoffer volstaan met een enkele aanwijzing die het bestaan van een beveiligingssysteem aannemelijk maakt. De minister erkent overigens dat de verdediging op de openbare terechtzitting de beveiliging altijd aan de orde kan stellen ter vermindering van de strafmaat. Onder b wordt strafbaar gesteld degene die een systeem binnendringt waarbij geen sprake is van doorbreking van beveiliging in strikte zin. Het kan dan gaan om iemand die zich de toegang heeft vertrekt door bijvoorbeeld het password van de rechthebbende onbevoegd te gebruiken, zelfs indien volgens de minister dit password van een bulletin board is gehaald en de beheerder van het systeem wist dat dat password daar beschikbaar was en nalatig is geweest de beveiliging overeenkomstig aan te passen. Overigens wordt opgemerkt dat alleen bij het inbreken in computers beveiliging als voorwaarde voor strafbaarheid is geïntroduceerd. Bij geen enkel ander strafbaar feit, ook niet bij het strafbaar stellen van het onrechtmatig manipuleren van gegevens, is dit het geval. Bij een tweetal ander artikelen wordt niet alleen degene strafbaar gesteld die het feit zelf heeft begaan maar ook degene aan wiens schuld dit te wijten is. Deze artikelen betreffen het verstoren van de geautomatiseerde gegevensverwerking en het manipuleren van gegevens, inclusief het verspreiden van gegevens. Daarbij gaat het alleen om grove schuld of opzet. Deze twee artikelen impliceren derhalve een minimale beveiligingspiicht die bij de behandeling van het wetsontwerp niet verder is toegelicht. Civielrechtelijk bestaat een dergelijke verplichting uiteraard ook. 24
ALGEMEEN
O
0
In het kader van dit handboek relevante aspecten van de Wet Computercriminaliteitzijn voorts: - de verplichting van de beheerder van een systeem onder bepaalde voorwaarden de organen belast met opsporing, vervolging en berechting toegang te verstrekken tot het systeem; - de verplichting van de controlerendeaccountant in het verslag aan een door hem of haar gecontroleerde huishoudingaan de raad van commissarissen en aan het bestuur bevindingen met betrekkingtot de betrouwbaarheiden continuïteit van de geautomatiseerde gegevensverwerking. Het laatst genoemde aspect is binnen de rijksdienst mede een taak voor de departementale accountantsdienst. Wet gemeentelijke basisadministratie persoonsgegevens (wet GBA)
O in' werking getreden op 1 oktober 1994.
Elk gemeentebestuur is houder van een geautomatiseerde basisadministratiemet persoonsgegevens over de bevolking. In de wet is de beveiliging een onderdeel van de voorwaarden. Onderscheid wordt gemaakt tussen: beveiliging die inherent is aan het gekozen stelsel, zoals de mogelijkheden inherent aan de keuze voor een niet-interactief berichtennetwerk; - specifieke aanvullende beveiligingsmaatregelen, waaronder naast íysieke en systeemtechnische voorzieningen ook maatregelen gericht op de continuïteit.
-
De wet GBA geeit in artikel 6 aan dat bij of krachtens algemene maatregel van bestuur regels worden gesteld omtrent de technische en administratieveinrichting en werking en de beveiliging van de basisadministraties.Voor het overige hebben de gemeenten de vrije keus voor de vormgeving van hun GBA-systemen en zijn zij verantwoordelijk voor de goede werking ervan. Zij zijn tevens verantwoordelijkvoor de inrichting en bijhouding van de basisadministratie; dus ook voor de juistheid, betrouwbaarheid en actualiteit van de daarin opgeslagen persoonsgegevens.
De Minister van Binnenlandse Zaken draagt zorg voor de aanleg en instandhoudingvan een beveiligd netwerk (artikel 4). Men is pas gerechtigd tot gebruik van het GBA-netwerk na verkregen toestemming van de Minister van Binnenlandse Zaken. Deze toestemming wordt pas verleend, nadat is onderzocht of de beveiliging van de basisadministratievoldoet aan de gestelde eisen. ALGEMEEN
25
Wet op de telecommunicatievoo~ieningen In werking getreden op 1 januari 1989. In de Wet op de telecommunicatievoorieningen is de verzorging van de telecommunicatiestructuur en de aanbieding van de zogenoemde basistelecommunicatiediensten,alsmede de aanbieding van vaste verbindingen (huurlijnen) geregeld. Als houder van de concessie voor de verzorging van de telecommunicatie-infrastructuur is aangewezen: KPN. De aanleg, de aanwezigheid en het gebruik door anderen is slechts toegestaan als daarvoor een machtiging is verleend. Ter uitvoering van de wet kan de Minister van Verkeer en Waterstaat algemene richtlijnen uitvaardigen (artikel 8). De richtlijnen bevatten onder andere uitgangspunten en maatstaven voor de beveiliging van de telecommunicatiestructuur en de geheimhouding van diensten, welke betrekking hebben op het directe transport van gegevens van en naar aansluitpunten en op de vaste verbindingen. Volgens de algemene richtlijn dient de concessiehouder naar de stand van de technische mogelijkheden onder afweging van de hiermee gepaard gaande kosten de infrastructuur zo goed mogelijk beveiligen tegen inbreuken door derden. Hierbij valt behalve aan de bescherming tegen kennisneming door derden van de getransporteerde gegevens ook te denken aan een adequate bescherming en beveiliging tegen kennisneming door onbevoegden van gegevens omtrent contracten. Ook zullen bepalingen worden opgenomen met betrekking tot de geheimhouding van bedrijfsgegevens van de concessiehouder. Ten aanzien van personeel van derden zullen voorts maatregelen worden getroffen met betrekking tot adequaat toezicht op hun aanwezigheid en op de door hen verrichte activiteiten in de telecommunicatie-infrastructuur. 3.5
Algemene maatregelen van bestuur
Deze hebben de basis in een formele wet, behalve als het gaat om een zogenoemd zelfstandige Algemene maatregel van bestuur. Het zijn Koninklijke Besluiten, waarover advies wordt uitgebracht door de Raad van State. Relevant zijn vier Amvb's, te weten: - het Besluit genormeerde vrijstelling, in werking getreden op 1 januari 1990, inzake aanwijzing van persoonsregistratieswaarop de artikelen 19, 24 en 25 van de Wet persoonsregistratiesniet van toepassing zijn; - het Besluit gevoefige gegevens, in werking getreden op 1 juni 1993, inzake het opnemen van gevoelige gegevens in een persoonsregistratie: - het Besluit Politieregisters, in werking getreden op 17 februari 1991 (zie ook de reikwijdte van de Wet persoonsregistraties); 26
ALGEMEEN
-
0
het Besluit taak departementale accountantsdienst,in werking getreden op 20 augustus 1987, waarin gesteld wordt dat de continuïteit, de beveiliging, de privacy-beschermingen de controleerbaarheidvan grotere en geautomatiseerde administratieve systemen objecten van beoordeling door de accountantsdienstzijn.
3.6
Ministeriële regelingen
De bevoegdheidtot het vaststellen van een ministeriëleregeling dient in een wet of een Amvb te zijn vastgelegd. Deze regelingen worden door de betrokken minister vastgesteld: de naleving is afdwingbaar. Relevante ministeriële regelingen zijn momenteel:
0
Beschikkingantecedentenonderzoek In werking getreden op 1 maart 1970 op basis van Artikel 8 3de lid van het Algemene Rijksambtenarenreglernenten Artikel 7 2de lid van het Arbeidsovereenkomstenbesluit. Het antecedentenonderzoek dient voor de beoordeling van de geschiktheid van een belanghebbende voor het vervullen van een functie. Het bestaat in elk geval uit het verifiëren en zonodig aanvullen van aan de belanghebbende gevraagde gegevens en uit het inwinnen van de justitiële antecedenten. Indien het om de vervulling van een vertrouwensfunctie gaat, behoort ook het verrichten van een veiligheidsonderzoek tot het antecedentenonderzoek. Beschikkingveiligheidsonderzoeken In werking getreden op 10 mei 1976 op basis van Artikel 71a van het Algemene Rijksambtenarenreglement en Artikel 47b van het Arbeidsovereenkomstenbesluit. Het veiligheidsonderzoek is erop gericht vast te stellen of twijfel mogelijk is aan de waarborgen dat een belanghebbende bij de vervulling van de vertrouwensfunctiezijn plicht als ambtenaar of werknemer onder alle omstandigheden getrouwelijk zal volbrengen. In voorbereiding is de Wet veiligheidsonderzoeken, waarmee dezelfde materie in een bredere context wordt geregeld.
3.7
o
Voorschriften en aanwijzingen voor de rijksdienst
Dit zijn afspraken om binnen de rijksdienst op een bepaalde manier te werken: zij worden vastgesteld door de minister-president,handelend in overeenstemming met het gevoelen van de ministerraadwaarbij meestal niet om advies aan de Raad van State wordt gevraagd. De naleving ervan dient door de minister(s) zelf te worden gehandhaafd (soms via door een ALGEMEEN
27
daarmee belast deel van het apparaat). De volgende voorschriften en aanwijzingen zijn relevant voor de beveiliging van de informatievoorziening. Beveiligingsvoorschrift 1949 Vastgesteld door de Minister-president op 20 april 1949. In dit voorschrift is vastgelegd dat de secretaris-generaal de algemene zorg voor de beveiliging draagt en terzijde wordt gestaan door een (door de minister aangewezen) beveiligingsambtenaar(EVA). De SG kan personen aanwijzen die de EVA bijstaan. De EVD kan de SG adviseren en kan de werkzaamheden van de EVA's coördineren. Aanwijzingen voor beveiliging staatsgeheimen en vitale onderdelen van de rijksdienst (Algemene Aanwijzingen voor de Rijksdienstnr 9). vastgesteld door de Minister-President op 20 januari 1989. Een minister bepaalt (in overleg met de Minister van Binnenlandse Zaken) of een onderdeel van de rijksdienst van vitaal belang is voor de defensie of voor het in stand houden van het maatschappelijk leven. De dagelijkse zorg voor de beveiliging ligt bij de EVA, eventueel bijgestaan door een of meer sub-EVA's. De minister stelt een of meer beveiligingsplannenvast. Er zijn drie rubriceringen: ZEER GEHEIM (in geval van zeer ernstige schade of nadeel), GEHEIM (ernstige schade of nadeel) en CONFIDENTIEEL (schade of nadeel). Deze aanwijzingen zijn qua uitwerking overigens met name gericht op niet-geautomatiseerde omgevingen. Voorschrift InformatiebeveiligingRijksdienst Vastgesteld door de Minister-president op 22 juii 1994. Het Besluit waarbij dit voorschrift is vastgesteld is 1 januari 1995 van kracht geworden. Met het voorschrift wordt een uniform beleidskader nagestreefd, dat op hoofdlijnen vastlegt hoe het informatiebeveiligingsbeleidbinnen de rijksdienst dient te worden gevormd en gevoerd. Tevens worden hiermee twee eerdere voorschriften uit 1980 (inzake de beveiliging van gerubriceerde gegevens, verwerkt en opgeslagen in geautomatiseerde systemen bij de rijksoverheid) en 1982 (inzake de beveiliging van persoonsgegevens, verwerkt en opgeslagen in geautomatiseerde gegevensverwerkende systemen bij de rijksoverheid) ingetrokken. Het nieuwe voorschrift is de directe aanleiding voor de publicatie van het voorliggende handboek.
3.8
Ministeriële besluiten
In dit kader verstaan we daaronder besluiten die door een minister worden genomen en gelden voor het betreffende departement dan wel voor de gehele rijksdienst. In het laatste geval neemt de minister het besluit handelend in overeenstemming met de gevoelens van de ministerraad. De 28
ALGEMEEN
naleving van deze besluiten dient door de minister($ zelf te worden gehandhaafd: bij blijvende geschilpunten beslist uiteindelijk de ministerraad. Relevante besluiten zijn: Besluit informatievoorzieningin de Rijksdienst 1990. Vastgesteld door de Minister van Binnenlandse Zaken op 18 januari 1991, handelend in overeenstemming met het gevoelen van de ministerraad. De Minister van Binnenlandse Zaken heeft de verantwoordelijkheidvoor de coördinatie op het gebied van de informatievoorzieningin de openbare sector als geheel. De Minister kan nadere aanbevelingen opstellen voor de informatievoorziening in de Rijksdienst. De reeds geldende voorschriften c.q. aanwijzingen op het gebied van beveiliging (hierboven genoemd) zijn aan dit besluit gekoppeld. Besluiten verbindingsbeveiliging Op het punt van verbindingsbeveiligingbestaan voorschriften en richtlijnen, opgesteld door het Nationaal Bureau voor Verbindingsbeveiliging en vastgesteld door de NationaleVerbindingsbeveiligingsraad (NVBR). Conform de instellingsbeschikkingvan de NVBR kunnen sommige van deze besluiten van kracht worden verklaard voor de gehele rijksoverheid.
O ALGEMEEN
29
4
Ontwikkelingen elders
Dit hoofdstuk bevat een korte beschouwing over “Handleidingen informatiebeveiliging” die in ons land door andere instanties zijn gepubliceerd. Handboek informatiebeveiliging Gemeente Amsterdam, juni 1994 (tweede versie) Dit handboek is door het Gemeentelijk Centrum voor Elektronische Informatieverwerkingen de Adviesgroep van de Gemeentelijke Accountantsdienst vervaardigd en tot stand gekomen in opdracht van de Wethouder Bestuurlijke Vernieuwing en Informatievoorziening.Het handboek beoogt voor het management van de organisatie-onderdelenvan de gemeente een praktisch hulpmiddel te zijn om een voldoende beveiligde informatiefunctie te realiseren en in stand te houden. Het handboek beperkt zich tot de geautomatiseerde informatievoorziening en geefi een beschrijving van standaardmaatregelen. Naast een aantal algemene hoofdstukken over het kader van informatiebeveiliging, gegevensclassificatieen risico-analyse worden deze maatregelen in afzonderlijke hoofdstukken beschreven voor een netwerk-, PC-, minicomputer- en mainframe-omgeving. Voorts wordt ingegaan op de regelgeving rond privacy en op de externe controle. In het handboek wordt een risico gekenmerkt door een bedreiging, het object waarop de bedreiging zich richt, de kans dat een bedreiging manifest wordt en de omvang van de eventuele schade. Naast een algemene beschouwing over risico-analyse en een korte bijlage over relatieve weging van risico’s, wordt verder niet ingegaan op de toepassing daarvan bij het treffen van maatregelen. De maatregelen zijn onderverdeeld in: - organisatorische maatregelen; - fysieke toegangsbeveiligingsmaatregelen; - overige iysieke maatregelen; - logische toegangsbeveiligingsmaatregelen: - continuïteitsmaatregelen; - integriteitsmaatregelen. Voor de verschillende omgevingen (netwerk, PC, minicomputer en mainframe) wordt per categorie een uitvoerig overzicht gegeven van soorten maatregelen. 30
ALGEMEEN
VIAG Handboek Beveiliging; draaiboek voor het opstellen van beveiligingsplannen voor gemeenten, oktober 1992 Dit handboek is tot stand gekomen op initiatief van het bestuur van de VIAG en beschrijft een methodiek voor het opstellen van beveiligingsplannen voor gemeenten. Een beveiligingsplanwordt daarbij gedefinieerd als een plan voor te nemen maatregelen ter beveiligingvan belangrijke objecten en processen op grond van een analyse van risico's en reeds genomen maatregelen. In het handboek wordt de inventarisatievan de objecten en processen als eerste stap bij het opstellen van een beveiligingsplanbeschouwd. De objecten worden onderscheiden in voorwerpen van waarde en gegevensverzamelingen. De processen zijn de door de gemeenten uit te voeren bedrijfsprocessen. De bedreigingen worden onderscheiden in fysieke bedreigingen, het doorbreken van de continuïteit, inbreuk op de vertrouwelijkheiden fraude. De kans dat een bedreiging zich voordoet wordt een risico genoemd. In het handboek worden handreikingen geboden voor zowel het kwantificerenals het kwalificerenvan de risico's. Bij het kwantificerenvan de risico's moet per object de verwachte schade bij het zich voordoen van de bedreiging worden bepaald en vervolgens een schatting worden gemaakt van het verwachte aantal schades per jaar. Het hieruit voortvloeiendeverwachte jaarlijkse verlies moet worden gesteld tegenover de jaarlijkse kosten van de te treffen beveiligingsmaatregelen. Het handboek is modulair opgezet: per hoofdbedreigingeen module. In elke module wordt ingegaan op het samenstellen van een werkgroep die het (betreffende onderdeel van het) beveiligingsplanop moet stellen en de inventarisatievan de objecten en processen, de analyse van bedreigingen, de evaluatie van beveiligingsmaatregelen, de weging van aanvullende maatregelen en de rapportage van aanbevelingen moet verzorgen. Het handboek bevat voorbeeldenvan objecten, bedreigingenen maatregelen.
NIVRA Handboek EDP-auditing Dit handboek is binnen het Nederlands Instituut van Registeraccountants (NIVRA) in ontwikkeling. Het geeft een invulling op tal van aspecten die in het nieuwe Voorschrift InformatiebeveiligingRijksdienst staan aangegeven. De doelgroepen voor dit handboek zijn de edp-auditors, het management, de informatici en de accountants. De doelstelling is het gehele vakgebied EDP-auditingin al zijn facetten gestructureerden in onderlinge samenhang in kaart te brengen en te beschrijven. Dit betekent dat zowel aandacht wordt besteed aan algemene uitgangspunten, definities, concepten en taken, als aan de werkzaamheden van de EDP-auditors. ALGEMEEN
31
Het uitgangspunt van dit handboek is het ruime begrip "kwaliteit van de informatievoorziening". Er wordt aandacht besteed aan zowel de kwaliteitsbeheersingals aan de beoordeling van de kwaliteit van de geautomatiseerde informatievoorziening.Daarbij worden de kwaliteitscriteria onderscheiden die zijn ontleend aan NIVRA-geschrift 53 Automatisering en Controle Deel VII "Kwaliteitsoordelen over informatievoorziening": beschikbaarheid, exclusiviteit, integriteit, controleerbaarheid, doelmatigheid, doeltreffendheid en bescherming van waarden. In het handboek wordt uitgegaan van een risicobenaderingvan de beheersbaarheids- en beoordelingsproblematiek van de geautomatiseerde informatievoorziening.
Code voor Informatiebeveiliging Eind 1994 is de Code voor Informatiebeveiliging(hierna te noemen CIB) verschenen, een gedragscode die tot stand is gekomen na overleg met het bedrijfsleven. Dezecöde wordt onderschreven door het NCO en wordt nationaal en internationaal (vanuit de Engelse Code of Practice) gezien als de-facto standaard. In het onderstaande wordt de relatie tussen de CIB en het Voorschrift InformatiebeveiligingRijksdienst (hierna te noemen Voorschrift) nader toegelicht. Het voorschrift is opgezet als een uitvoeringsvoorschrift naar de ministeries toe, waarin de aandachtspunten met betrekking tot informatiebeveiliging op hoog niveau worden neergezet. Het CIB heeft een ander karakter. Naast aandacht voor beleidsuitgangspunten bij het topmanagement, wordt een gedetailleerde checklist geboden. Daarbij worden eisen geformuleerd, maar ook maatregelen. Het Voorschrift geeft geen checklist van maatregelen, maar schrijft voor dat betrouwbaarheidseisendienen te worden geformuleerd waaraan met behulp van maatregelen aantoonbaar moet worden voldaan. Het Voorschrift spitst zich daardoor vooral toe op het kiezen van maatregelen, meer dan op de maatregelen zelf. Naast een lijst van mogelijke eisen en maatregelen biedt de CIB een sieutellijst van de "belangrijkste maatregelen", die door de opstellers van de code gezien worden als essentieel voor informatiebeveiliging als zodanig ook genoemd worden als beginpunt voor informatiebeveiliging. Deze omvatten: het hebben van een beleidsdocument, het toewijzen van verantwoordelijkhedenvoor informatiebeveiliging,opleiding en training, het rapporteren van incidenten, enzovoorts. Ook in het Voorschrift komen deze zaken aan de orde. De in het CIB gepresenteerde lijst van eisen en maatregelen wordt door de opstellers van de code bruikbaar geacht als baseline. De meeste maatregelen in de CIB worden op grote schaal geaccepteerd in grote, ervaren organisaties en aanbevolen als richtsnoer in 32
ALGEMEEN
alle organisaties. Men noemt deze algemeen geaccepteerde maatregelen "basismaatregelen" voor informatiebeveiliging.Met andere woorden: het invoeren van deze maatregelen behoeft veelal geen analyse vooraf. Alleen in bijzondere gevallen (in de CIB wordt het voorbeeld van enctyptie gebruikt) kan een nadere risico-analyse noodzakelijk zijn. In het Voorschrift wordt benadrukt dat men altijd expliciet moet nagaan of er sprake is van een bijzonder geval. De CIB spreekt over de verantwoording van bedrijfsmiddelen, waarbij impliciet wordt uitgegaan van een duidelijke indeling verantwoordelijkheden ten aanzien van deze bedrijfsmiddelen. Het Voorschrift gaat een stap verder en legt de nadruk op overlappende verantwoordelijkheidsgebieden; het geeft bovendien aan hoe Verantwoordelijke lijnmanagersdaarmee om dienen te gaan. Algemeen gesteld is de CIB meer technisch gericht en in die zin is het complementair aan het Voorschrift. Steeds geldt dat de verantwoordelijke lijnmanager, of hij nu binnen de overheid of het bedrijfsleven opereert, zijn eigen inschatting moeten maken van de voor hem relevante mix van eisen daarmee gepaard gaande maatregelen. Beveiliging van persoonsregistraties Dit is een advies uitgebracht door de Registratiekamer. Het bevat uitgangspunten en richtlijnen om te bepalen in welke mate persoonsregistraties in een organisatie moeten worden beveiligd. Het is bestemd voor houders en bewerkers van persoonsregistraties, maar kan ook van belang zijn voor anderen die op een of andere wijze verantwoordelijk zijn voor de bescherming van informatie en gegevensverkeer. Het toezicht op de naleving van de Wet persoonsregistratiesis opgedragen aan de Registratiekamer. Deze heeft de bevoegdheid een onderzoek in te stellen naar de wijze waarop de wet wordt nageleefd, waarbij beveiliging een van de bijzondere aandachtspunten zal zijn. De aanbevelingen in het onderhavige advies gelden tegelijkertijd ais uitgangspunt voor de wijze waarop de Registratiekamer in de nabije toekomst haar toezichthoudende taak zal uitoefenen. Hoofdstuk 2 van het advies bevat een beschrijving van de instrumenten en de uitgangspunten van de WPR voor de beveiliging van persoonsregistraties, mede in relatie tot internationale regelingen. Welke mate van beveiliging noodzakelijk is wordt vooral bepaald door de aanwezige risico's van onzorgvuldig of onbevoegd gebruik van de persoonsgegevens. Een schatting moet worden gemaakt van de kans dat dergelijk gebruik zich voordoet en van de schade die dat zou opleveren. ALGEMEEN
33
In hoofdstuk 3 wordt aangegeven welke factoren overwogen moeten worden in een dergelijke risico-analyse.De uitkomst leidt tot het toekennen van een bepaalde exclusiviteitswaardeaan de persoonsregistratie, die vervolgens maatgevend is voor het vereist niveau van beveiliging. De Registratiekamer presenteert een indeling in drie exclusiviteitsklassen;die indeling is onvermijdelijk globaal en voorlopig. Verder onderzoek en ervaring in het toezicht op de beveiliging van persoonsregistraties kan aanielding zijn voor een nauwkeuriger onderscheiding. Hoofdstuk 4 bevat een beschrijving van de maatregelen die kunnen worden getroffen voor een afdoende beschermingvan (persoons)registraties. De keuze voor de beveiligingsmaatregelen moet worden gebaseerd op de exclusiviteitsklassedie aan de betreffende registratie is toegekend.
34
ALGEMEEN
O
Handboek Informatiebeveiliging
O
Rijksdienst 1995
Deel 2 Verantwoordelijkheden
Inhoudsopgave deel 2 1
Inleiding
37
2
Verantwoordelijkheid 2.1 Algemeen 2.2 Verantwoordelijkheidsgebieden 2.3 Complexiteiten 2.4 Externe verantwoordelijkheidsgebieden
39 39 39 41 47
3
Te maken afspraken 3.1 Algemeen 3.2 Afspraken door de lijnmanager 3.3 Informatische relaties
49 49
Toetsing van naleving van afspraken 4.1 Algemeen 4.2 Het 60-9000 certificaat 4.3 De derdenmededeling Controle op de uitvoer van informatiesystemen 4.4
57 57 50 59 61
4
36
55 49
0
e
1
0
0
Inleiding
Informatievoorzieningsprocessenzijn vaak complex als gevolg van de toegepaste technologie en het aantal betrokken interne en externe actoren. Hierdoor kan onduidelijk worden wie voor welk deel van inforrnatiebeveiligingverantwoordelijk is: in deel 1 van dit handboek is in dit verband gewezen op het gevaar van een diffuse verantwoordelijkheidsstructuur. Enerzijds kan het leiden tot overlappende inspanningen die niet op elkaar aansluiten, anderzijds kan het leiden tot witte vlekken waar niemand aandacht aan besteedt. Bovendien kan inefficiency optreden bij het benutten van de mogelijkheden die door de verschillendespecialismen op dit punt worden aangereikt. Een essentieel punt in het Voorschrift InformatiebeveiiigingRijksdienst is dat voor elk informatiesysteemde verantwoordelijkheidvoor informatiebeveiligingis toegewezen aan een lijnmanager. Bij het concretiserenvan deze hoofdregel treedt een aantal complicaties op, waar in hoofdstuk 2 van dit handboekdeel op wordt ingegaan. Belangrijk is het verschijnsel dat verschillende informatiesystemen vaak gebruik maken van dezelfde werkplek-hardware/software of van gemeenschappelijke interne netwerkvoorzieningen. Ook kunnen meerdere bedrijfsprocessengebruik maken van dezelfde informatiesystemen en van dezelfde informatie. Veel informatievoorzieningsprocessenhebben niet alleen betrekking op het interne functioneren van overheidsorganisaties, maar staan ten dienste van informatieverwerkingen -transport door anderen (zoals andere departementen, uitvoeringsorganisaties, andere overheden, bedrijfsleven en burgers). Voor die gevallen is het nodig om aan te geven op welke wijze de in beginsel elkaar rakende verantwoordelijkheden voor inforrnatiebeveiligingten opzichte van elkaar gepositioneerddienen te worden. Hiervoor wordt in hoofdstuk 2 het begrip verantwoordelijkheidsgebied geintroduceerd.
O '
0
De primaire verantwoordelijkheidvoor informatiesystemen wordt door lijnmanagers gerealiseerd dor het maken van adequate afspraken over de diensten die afgenomen worden van diverse verantwoordelijkheidsgebieden, in combinatie met het aansturen van de eigen medewerkers. De beveiliging van een informatiesysteembouwt voort op en stelt eisen aan de beveiliging van gemeenschappelijke structuren zoals netwerken, rekencentra en ontwikkeiingsafdelingen. Deze afspraken komen aan de orde in hoofdstuk 3,waarbij onderscheid gemaakt wordt tussen systeemgebruik, systeem-verwerving en systeemexploitatie. VERANTWOORDELIJKHEDEN
37
De naleving van dergelijke afspraken zal op gezette tijden getoetst moeten worden; daarvoor biedt hoofdstuk 4 handvaten.
I I
O
In veel situaties is niet a priori duidelijk hoe de verantwoordelijkheden voor informatiebeveiligingzijn verdeeld. Daarom moeten schriftelijke afspraken tussen partijen worden gemaakt. I
38
I
0
0
2
Verantwoordelijkheid
2.1
Algemeen
De verantwoordelijkheidvoor de uitvoering van bedrijfsprocessenligt bij lijnmanagers. Het principe van integraal management houdt in dat deze verantwoordelijkheidzich uitstrekt tot financiën, personeel en informatie. Daaruit volgt dat (inf0rmatie)beveiligingeen lijnverantwoordelijkheidis. Een lijnmanager bezit niet alleen de middelen om iets aan informatiebeveiliging te doen, maar beschikt ook over de situationele gegevens op grond waarvan de benodigde afwegingen kunnen worden gemaakt ten aanzien van de te nemen maatregelen. Het mag niet zo zijn dat men in de lijn denki dat beveiliging ‘elders’ geregeld wordt, bijvoorbeelddoor een gespecialiseerde staffunctionaris of -afdeling. Laatstgenoemde kan uiteraard wel een coördinerende en stimulerende rol spelen. Binnen de Rijksdienst berust de ambtelijke eindverantwoordelijkheidvoor (informatie)beveiligingbij de secretaris-generaal. Wie verantwoordelijkheiddraagt moet daarover op gezette tijden verantwoordingafleggen. Een lijnmanager stelt vast welke betrouwbaarheidseisen aan een informatiesysteem worden gesteld en zorgt ervoor dat inforrnatiebeveiiigingsmaatregelenworden getroffen die het systeem de gewenste betrouwbaarheidgeven. Dat die eisen zijn gesteld en dat het systeem betrouwbaar is moet aantoonbaar zijn; daartoe dienen documenten die tijdens het ontwikkelingstrajectdoor de lijnmanager zijn goedgekeurd. Informatiebeveiligingis een lijnverantwoordelijkheid. Het mag niet zo zijn dat men in de lijn denkt dat beveiliging ‘elders’ wordt geregeld.
O 2.2
Verantwoordelijkheidsgebieden
In de praktijk is de situatie echter iets gecompliceerder dan in de vorige paragraaf wordt gesuggereerd. Om dat duidelijk te maken is het begrip verantwoordelijkheidsgebied nodig, dat aan de hand van onderstaand schema wordt toegelicht. Uitgangspunt is een zogenoemde basisorganisatie als meest simpele situatie die in de praktijk kan worden aangetroffen. Figuur 1 toont deze basisconfiguratie. 39
Een departement bestaat uit meerdere departementsonderdelen, die elk meerdere bedrijfsprocessen kennen. Elk bednjfsprocesmaakt gebruik van een informatiesysteem (stand-alone), dat speciaal voor dat bedrijfsproces de informatievoorziening verzorgt. Van het informatiesysteem zijn drie componenten getekend (applicatie)programmatuur, (app1icatie)data en apparatuur (inclusief systeemprogrammatuur). De twee overige componenten mensen en procedures zijn vanwege de overzichtelijkheid niet getekend. Zoals in hoofdstuk 1 is aangegeven behoeven niet alle functies in een informatiesysteem geautomatiseerd te zijn; in de praktijk treft men dan ook niet-geautomatiseerde componenten aan. Departement
I
Infotmallesysteem
I
inlormallasysteem
Onder een verantwoordelijkheidsgebiedwordt nu verstaan: een geheel van voorzieningen dat ter beschikkingstaat aan een informatiesysteem (of aan meerdere systemen) en waarvoor de verantwoordelijkheid eenduidig is toe te wijzen aan Bén organisatorische eenheid. Binnen dat verantwoordelijkheidsgebiedvallen het gebruik en beheer van programmatuur en data (het applicatie- en gegevensbeheer) en het beheer van de apparatuur (hardware en systeemsoftware - het technisch beheer). Informatiebeveiliging wordt in principe geregeld per verantwoordeiijkheidsgebied, hetgeen betekent dat voor elk informatiesysteem een eigen beveiligingsregime kan voorkomen. Er wordt immers uitgegaan van betrouwbaarheidseisen die gerelatewdzijn aan bedrijfsprocessen en die eisen kunnen per proces verschillen. 40
VERAMWOORDELIJKHEDEN
In het Voorschrift Informatiebeveiliging Rijksdienst is evenwel opgenomen dat op strategisch (departementaal) niveau een informatiebeveiligingsbeleid moet worden geformuleerd. De mogelijkheid bestaat om op basis van dit beleid - voor elk verantwoordelijkheidsgebied een set van minimale betrouwbaarheidseisen en daarop gebaseerde maatregelen (een "baseline") vast te stellen. Dit legt voor het departement als geheei een vloer in het informatiebeveiligingsregime. Per departementsonderdeel kan men dan desgewenst per verantwoordelijkheidsgebied,door het formuleren van aanvullende beleidsuitgangspunten, zwaardere betrouwbaarheidseisen stellen en dus tot stringentere maatregelen komen.
-
Voor elk informatiesysteem kan in principe een eigen informatiebeveiligingsregime voorkomen. De mogelijkheidbestaat voor elk verantwoordelijkheidsgebiedeen set van minimale betrouwbaarheidseisen en daarop gebaseerde maatregelen ("baseline) vast te stellen.
e 2.3
Complexiteiten
Ten opzichte van de basisconfiguratie worgt nu stappen naar meer complexiteit gezet. Complexiteit i A Meerdere informatiesystemen maken gebruik van dezelfde hardware & systeemsoftware (apparatuur-base)
0
0
Het komt veel voor dat meerdere informatiesystemen gebruik maken van dezelfde apparatuur. Dit kunnen losse apparaten zijn (bijvoorbeeld een fax of een printer), een communicatienetwerk (LAN), of een centraal computersysteem. De gemeenschappelijke apparatuur krijgt hier de naam 'apparatuur-base'. Er ontstaat nu een apart verantwoordelijkheidsgebied, namelijk de apparatuur-base. Dat verantwoordelijkheidsgebied, zeg een netwerk, heeft een eigen beheerder die verantwoordelijk is voor de handhaving van o.a. de voor dat netwerk gekozen beveiligingsmaatregelen. Verschillende varianten zijn denkbaar. Elk departementsonderdeel kan een eigen apparatuur-base hebben, of er kan één apparatuur-base zijn voor het gehele departement. Het is ook mogelijk dat een extern rekencentrum of servicebureau de apparatuur-base vormt. Wel zal steeds binnen elk informatiesysteem enige eigen apparatuur blijven bestaan, bijvoorbeeld een of meer Pc's. Men kan de apparatuur-base ook zien als een centraal punt dat bijvoorbeeld PC's aanschaft en verdeelt binnen de organisatie. Figuur 2 toont de aangepaste configuratie: VEWNWOORDELIJKHEDEN
41
Departementonderdeel
üedrljfsprnces
hlormatlssysteem
Informatresysteem
u Apparatuur-base
Op het punt waar twee verantwoordeiijkheidsgebieden elkaar raken (bijvoorbeeld: een informatiesysteem maakt gebruik van een netwerk) zullen afspraken nodig zijn. De lijnmanager die verantwoordelijk is voor (de beveiliging van) het informatiesysteemzal de netwerkbeveiliging in eerste instantie als een gegeven kunnen beschouwen. Indien dit regime de gewenste betrouwbaarheid kan waarborgen, komt het netwerk voor gebruik in aanmerking. Zo niet, dan zullen aanvullende beveiligingsmaatregelen nodig zijn, of moet naar een andere oplossing worden gezocht. Vanuit het netwerk gezien betekent dit dat men met verschillende eisen kan worden geconfronteerd, waardoor een keuze noodzakelijk is. Men kan dan bijvoorbeeld uitgaan van de zwaarste eisen en daarop de maatregelen baseren. Het applicatie- en gegevensbeheer blijft in deze opzet volledig onder verantwoordelijkheidvan de lijnmanagersc.q. departementsonderdelen vallen. Wat dat betreft verandert er dus niets ten opzichte van de basisconfiguratie.
42
VERANTWOORDELIJKHEDEN
Complexiteit 1B Meerdere informatiesystemen maken gebruik van dezelfde programmatuur (programmatuur-base).
O
Een andere vorm van complexiteit is de introductievan gemeenschappelijk gebruikte programmatuur, dat wil zeggen verschillendeinformatiesystemen maken gebruik van dezelfde programma’s. Er ontstaat dan een zogenoemde programmatuur-base met een apart verantwoordelijkheidsgebied. Figuur 3 toont de aangepaste configuratie:
i i Departement
Depaflementonderdeel
eedrijisproces
eedrijlsproces
informatiesysteem
inlormaiiesysieem
Progmmmaiuur-base
a
Ook hier zijn verschillende varianten denkbaar. Elk departementsonderdeel kan een eigen programmatuur-base hebben, of er kan één programmatuurbase zijn voor het gehele departement. Ook een externe programmatuurbase is mogelijk. In het algemeen zal de programmatuur-base ook apparatuur nodig hebben, maar de programmatuur-base is bijvoorbeeld ook te zien als een centraal punt dat programma‘s uitdeelt aan deparìementsonderdelen, die dan dus hetzelfde programma binnen hun eigen informatiesystemen gebruiken. Die programma’s kunnen zelf of extern worden ontwikkeld, dan wel als standaardpakketworden gekocht (bijvoorbeeld: de gehele organisatie gebruikt één tekstvenverkingspakket). VEPANWOOROELIJKHEOEN
43
In deze situatie is sprake van een splitsing van het applicatiebeheer: applicatiebeheer van de programmatuur-base en applicatiebeheer van de individuele informatiesystemen. De beheerder van de programmatuur-base is bijvoorbeeldVerantwoordelijk voor systeemontwikkeling, systeemonderhoud, testen, helpdesk en versiebeheer van de gemeenschappelijke programmatuur. Aangezien dit een apart verantwoordeiijkheidsgebiedis, zijn afspraken nodig met de lijnmanagers die van de programmatuur-base gebruik maken. Het is echter wel zo dat de lijnmanager altijd verantwoordelijk is voor de betrouwbaarheid van de informatievoorziening binnen zijn bedrijfsproces. Complexiteit 1C Meerdere informatiesystemen maken gebruik van dezelfde gegevens (database) Weer een andere vorm van complexiteit is de introductievan gemeenschappelijk gebruikte gegevens, waardoor een zogenoemde database ontstaat met een apart verantwoordelijkheidsgebied. Figuur 4 toont de aangepaste configuratie:
v r F , T $ Infomatiesysteem
Informatiesysteem
e 44
VERANWDORDELIJKHEDEN
i
e
O
Ook hier zijn verschillende varianten denkbaar. Elk departementsonderdeel kan een eigen database hebben, of er kan één database zijn voor het gehele departement (in een niet-geautomatiseerde omgeving is dat bijvoobeeld het archief). Ook een externe database is mogelijk. De database kan functioneren als gemeenschappelijke bron (de informatiesystemen lezen de data) of als gemeenschappelijke ontvanger (de informatiesystemen schrijven de data) of als beide. In het algemeen zal een database vergezeld gaan van apparatuur en programmatuur; voor zover deze onderdeel uitmaken van een apparatuur-base resp. programmatuur-base ontstaat de hierna te behandelen complexiteit 2. Ook in deze situatie is sprake van elkaar rakende verantwoordelijkheidsgebieden: beheer van de database en beheer van een informatiesysteem: er zullen dus afspraken nodig zijn. Indien het beveiligingsregirne van de database de gewenste betrouwbaarheidkan waarborgen, komt de database in aanmerking om vanuit het informatiesysteem gegevens weg te schrijven. En omgekeerd: indien het beveiligingsregime van het informatiesysteem de gewenste betrouwbaarheid kan waarborgen, komt het informatiesysteem in aanmerking om vanuit de database gegevens te lezen. Zo niet, dan zullen aanvullende beveiligings-maatregelen nodig zijn, of moet naar een andere oplossing worden gezocht. Vanuit de database bezien betekent dit dat men met verschillende eisen kan worden geconfrontaerd, waardoor een keuze noodzakelijk is. Men kan dan bijvoorbeelduitgaan van de zwaarste eisen en daarop de maatregelen baseren.
VERANTWOORDELIJKHEDEN
45
Complexiteit 2 Meerdere informatiesystemenmaken gebruik van dezelfde programmatuur, data en apparatuur (support-systeem) In veel gevallen komen de complexiteiten 1A, 16 en 1C gecombineerd voor, waarbij de verschillende “bases” samenkomen in een gemeenschappelijk zogenoemd support-systeem. Figuur 5 toont deze situatie.
a
Deprtement
I Depeementonderdeel
üdflispmces
pr--+-z& Infomallesysteem
Infomtlesysteem
y Progr:
Support-systeem
De informatie-systemen bestaan dan in feite uit invoer- en uitvoermodules en de daarbij benodigde apparatuur en systeemprogrammatuur (meestal intelligente PC’S),inclusief de mensen en procedures. Alle overige verwerkingsprocessen vinden plaats binnen het support-systeem. Dit support-systeem kan verschillende vormen aannemen: bijvoorbeeld een extern rekencentrum, een electronic-mailsysteem, een ontwikkelorganisatie, enzovoorts. Alle afspraken die bij de voorgaande complexiteiten zijn aangegeven zijn dan ook hier van toepassing. Steeds geldt dat de lijnmanager verantwoordelijk is voor de betrouwbaarheid van de informatievoorziening binnen zijn bedrijfsproces.
46
e
Het zal duidelijk zijn dat door voortschrijdende onderlinge verwevenheid van informatiesystemen en door het gemeenschappelijk gebruik van apparatuur, programmatuur enlof gegevens de wederzijdse afhankelijk van organisaties en organisatie-onderdelen groter wordt. Dit noodzaakt tot het maken van interorganisatorische afspraken, teneinde zekerheid te verkrijgen over de wijze waarop met elkaars zaken wordt omgegaan. Dit kan betekenen dat een organisatie zich verplicht tot het hanteren van zwaardere informatie-beveiligingsinaatregelen dan normaal vanuit haar eigen beleid van kracht zouden zijn.
o
In een aantal gevallen is binnen de Rijksdienst sprake van een gemeenschappelijke verantwoordelijkheid met betrekking tot informatiebeveiliging. Voor een deel vloeit dit voort uit bestaande 'hogere' regelgeving, zoals de Wet persoonsregistraties. Voor een ander deel vloeien demvoort uit het gemeenschappelijk gebruik van bepaalde soorten van gegevens binnen een sector (denk aan justitiële gegevens en financiële gegevens). Het kan dus gewenst zijn het vast stellen van de betrouwbaarheidseisen niet per informatiesysteem onder verantwoordelijkheidvan de lijnmanager uit te voeren, maar dat op een hoger niveau binnen een organisatie of zelfs voor een hele sector (interdepartementaal d o f interbestuurlijk) te doen. Door voortschrijdende onderlinge verwevenheid van informatiesystemen en door het gemeenschappelijk gebruik van apparatuur, programmatuur d o f gegevens wordt de wederzijdse afhankelijkheid van organisaties en organisatie-onderdelen groter. Dit noodzaakt tot het maken van interorganisatorische afspraken, teneinde zekerheid te verkrijgen over de wijze waarop met elkaars zaken wordt omgegaan. 2.4
Externe veranîwoordelijkheidsgebieden
In de voorgaande paragraaf is bij de verschillende complexiteiten aangegeven dat de verantwoordelijkheidsgebieden waarvan diensten worden afgenomen ook buiten de eigen organisatie kunnen liggen. In toenemende mate wordt in diverse sectoren overgegaan tot uitbesteding, outsourcing en/of facilities management. Dat betekent dat de daarbij behorende afspraken met derden gemaakt moeten worden en in de vorm van privaatrechtelijke overeen-komsten vastgelegd dienen te worden. Afspraken over informatiebeveiliging moeten dan ook teruggevonden worden in contracten voor het laten ontwikkelen van programmatuur, voor het laten uitvoeren van gegevensverwerking door een extern rekencentrum, VERANTWOORDELIJKHEDEN
41
in een facilities management contract voor het operationeel houden van een intern netwerk, enz. Een goed voorbeeld is het gebruik van externe informatie via datacommunicatienetwerken. Bij datacommunicatie is het niet steeds zinvol om te spreken van informatiesystemen in de klassieke betekenis; de term verantwoordelijkheidsgebiedis daarom beter toepasbaar. Niet alleen moeten met de netwerkdiensten leverende partij afspraken worden gemaakt ten aanzien van beveiliging van het technische systeem dat de informatie transporteert, maar ook met de instantie waarmee men communiceert moeten afspraken worden gemaakt ten aanzien van de beveiliging van de informatie ais onderdeel van het informatiesysteembij die instantie. De sleutel tot een goede informatiebeveiliging is dus een goede afbakening van verantwoordelijkheidsgebieden, waarbij onderscheidenworden: - het lokale netwerk (één lokatie binnen de organisatie); - het interlokale netwerk (meerdere lokaties binnen de organisatie); - het externe netwerk (organisatiegrenzen overschrijdend); - het aangesloten systeem; de applicaties en teiematicafuncties op dat systeem.
9
-
Bij externe netwerken speelt de netwerkorganisatieeen belangrijke rol. Er zijn netwerken die gedomineerd worden door één gebruikende partij die veelal ook de netwerkorganisatie is of direct aanstuurt (voorbeelden: RDW, CBS, Douane). Er zijn ook netwerken waarbij meerdere gelijkwaardige organisaties applicaties met vergelijkbare functionaliteiten benutten en waarbij sprake is van een afzonderlijke netwerkorganisatie (voorbeelden: GBA, Beanet). Indien een dergelijke ordenende netwerkorganisatie zwak is of ontbreekt (voorbeeld: internet), wordt het moeilijk om informatiebeveiliging afdoende te regelen. In de volgende hoofdstukken wordt nader ingegaan op de afspraken die een lijnmanager, geconfronteerd met verschillende verantwoordelijkheidsgebieden, moet maken. Daarbij komt ook aan de orde het toetsen van de naleving van gemaakte afspraken. Niet alleen met de instantie waarmee men communiceert moeten beveiligingsafsprakenworden gemaakt, maar ook met de organisatie die het externe netwerk beheert c.q. de netwerkdienst levert.
48
VERANTWOORDEL~JKHEDEN
3
Te maken afspraken
3.1
Algemeen
In het vorige hoofdstuk is gesteld dat waar verantwoordelijkheidsgebieden elkaar raken, afspraken dienen te worden gemaakt over het gewenste betrouwbaarheidsniveau en de wijze waarop dit kan worden vastgesteld. In paragraaf 3.2 wordt ingegaan op het maken van dergelijke afspraken vanuit het perspectief van de lijnmanager die wordt geconfronteerdmet verschillendeverantwoordelijkheidsgebieden. Daarbij wordt ingegaan op de partijen met wie de lijnmanager afspraken moet maken, de inhoud van dergelijke afspraken en de instrumentenwaardoor deze effectief kunnen worden. Tevens wordt aandacht besteed aan afspraken over gemeenschappelijke betrouwbaarheidseisen en maatregelen die op een hoger niveau binnen een departement kunnen worden gemaakt. In paragraaf 3.3 wordt specifiek ingegaan op de afspraken in het kader van informatische relaties die een departement aangaat met een andere instantie. Dergelijke afspraken gaan veelal gepaard met afspraken over systeemexploitatieen systeemvenvetving. Aan de hand van enkele voorbeelden worden dergelijke complexe afspraken toegelicht. Daar waar verantwoordeiijkheidsgebieden elkaar raken, dienen afsprakente worden gemaakt over het gewenste betrouwbaarheidsniveau en de wijze waarop dit kan worden vastgesteld.
3.2
Afspraken door de lijnmanager
Als gevolg van de diverse complexiteiten in de (geautomatiseerde) informatievoorzieningwordt een lijnmanager geconfronteerdmet verschillendeverantwoordeiijkheidsgebieden. De afspraken op het gebied van informatiebeveiligingkunnen vanuit een drietal dimensies worden beschouwd 1. de partijen met wie de afspraken moeten worden gemaakt; 2. de inhoud van afspraken; 3. de instrumenten die gehanteerd kunnen worden waardoor de afspraken het beoogde effect hebben.
0
De voornaamste partijen met wie de lijnmanager afspraken moet maken zijn: VERANTWOORDELIJKHEDEN
49
-
de onder de lijnmanager ressorterende medewerkers; managers van ander verantwoordelijkheidsgebieden binnen het departement: managers van verantwoordelijkheidsgebiedenbuiten het departement.
De inhoud van de afspraken die gemaakt moeten worden betreffen in hoofdlijnen: - het gebruik van informatiesystemen; de verwerving van (delen van) informatiesystemen; - de exploitatie van (delen van) informatiesystemen.
-
Wat betreft de instrumentendie gehanteerd kunnen worden om de afspraken het beoogde effect te laten hebben, gaat het voornamelijk om: - het formuleren van betrouwbaarheidseisen dan wei beveiligingsmaatregelen; - de juridische vorm van de afspraken (zie ook de modelcontractendie door het Ministerievan Binnenlandse Zaken zijn opgesteld): - de te hanteren controle-instrumentenwaardoor een bepaalde mate van zekerheid kan worden verkregen omtrent de naleving van de gemaakte afspraken. Combinatie van deze invalshoeken levert in principe 27 soorten afspraken: een deel daarvan is echter niet relevant. Vanwege de overzichtelijkheidis in onderstaande beschouwing als eerste ingang gebruikt de inhoud van de afspraken die moeten worden gemaakt. Systeemgebruik De afspraken die een lijnmanager maakt met zijn of haar medewerkers betreffen voornamelijk het gebruik van het informatiesysteem. Aspecten die daarbij aan de orde komen zijn bijvoorbeeld de wijze waarop toegang tot het systeem en de daarin opgeslagen gegevens kan worden verkregen, de invoer van gegevens en de controle daarop en de controle op de uitvoer van de systemen. De meest voor de hand liggende vorm voor dergelijke afspraken zijn werkinstructies,al dan niet opgenomen in een handboek AdministratieveOrganisatie. Ook het opstellen van functie- en taakomschrijvingenkan worden beschouwd als het maken van afspraken tussen een lijnmanager en diens medewerkers over het gebruik van een informatiesysteem. Andere afspraken kunnen de bevorderingvan het beveiligingsbewustzijnbetreffen. Alle maatregelen gericht op het gebruik van het informatiesysteem dienen zo veel mogelijk te worden geiintegreerd in de bestaandewerkprocessen. Bovendien zullen deze zo eenvoudig mogelijk gehouden moeten worden 50
O
VERANTWOORDELIJKHEDEN
O
teneinde de kans op een consequente naleving te verhogen. Indien dezelfde medewerkers gebruik maken van meerdere informatiesystemen, dan is het de verantwoordelijkheid van de lijnmanager de werkinstructies zo veel mogelijk te uniformeren en op elkaar af te stemmen. Indien medewerkers van andere departementsonderdelen gebruik maken van gegevens van een informatiesysteem, dienen daarover door de verantwoordelijke lijnmanager afspraken te worden gemaakt met de betrokken lijnmanagers. Deze afspraken kunnen mondeling dan wel schriftelijk worden gemaakt, mede afhankelijk van het belang van de gegevens. De vorm waarin schriftelijke afspraken gemaakt kunnen worden is bijvoorbeeld een afzonderlijk informatiestatuut.In een dergelijk statuut kunnen, naast afspraken over vorm, inhoud, situaties waarin en de frequentie waarmee informatie word verstrekt, afspraken worden vastgelegd over het gebruik van de gegevens. Dit Is bijvoorbeeld van belang indien hieraan hoge vertrouwelijkheidseisen worden gesteld. Indien gegevens van derden worden betrokken, zijn vanuit het perspectief van de lijnmanager vooral afspraken over de correctheid en de beschikbaarheid van belang. Voor zover sprake is van informatische relaties tussen een departement en een andere instantie dienen afspraken over het gebruik in ieder geval schriftelijk worden vastgelegd. In paragraaf 3.3 van dit hoofdstuk wordt hier nader op ingegaan.
Systeemverwerving In veel gevallen worden (delen van) informatiesystemen waarvoor de lijnmanager verantwoordelijk is, niet door de eigen medewerkers ontwikkeld. Vaak wordt standaard programmatuur of apparatuur gekocht, of wordt programmatuur door een andere organisatie binnen het departement of door een externe organisatie (in opdracht) ontwikkeld. Voor wat betreít de aanschaf van standaard pakketten kunnen onder andere afspraken gemaakt worden over: - de in de applicatie opgenomen geprogrammeerde maatregelen ter waarborging van de integriteit (waaronder de geprogrammeerde controles); de wijze waarop de toegang tot de functies en gegevens beheerst kan worden; - de kwaliteitsstandaards die door de leverancier worden gehanteerd bij de ontwikkeling en het onderhoud van het pakket; de wijze waarop het testen, accepteren en installeren van (wijzigingen op) het pakket plaats vindt; - de wijze waarop de continuïteit van het onderhoud kan worden gegarandeerd.
-
51
Indien sprake is van ontwikkeling van maatwerk-programmatuurzullen dergelijke afspraken meer nadruk moeten krijgen en integraal onderdeel uitmaken van het systeemontwikkeltraject. De inhoud van de afspraken is in dergelijke gevallen niet anders. Afspraken inzake informatiebeveiligingte maken bij het aanschaffenvan apparatuur (bijvoorbeeld ten behoeve van de automatisering van de werkplek) betreffen onder andere het onderhoud, de tijdelijke vervanging bij storingen, de waarborgen ten aanzien van de integriteit (waaronder de maatregelen gericht op het onderkennen en corrigeren van storingen) en de maatregelen op het gebied van het toegangsbeheer. In geval van het laten ontwikkelen van nieuwe administratief-organisatorischeprocedures (in bredere zin: herontwerp van bedrijfsprocessen)zal vooral aandacht moeten worden besteed aan de daarin op te nemen maatregelen van interne controle. Veelal kunnen de afspraken inzake informatiebeveiligingbij de aanschaf van standaard programmatuur of apparatuur worden gemaakt op het niveau van betrouwbaarheidseisen. In geval van maatwerk-ontwikkeling van programmatuur zullen deze veelal eerst op het niveau van eisen worden gemaakt (definitiestudie fase) en later verder tot op het niveau van maatregelen worden uitgewerkt (detailontwerp). Geschiedt de systeemvetwerving door de eigen medewerkers, dan kan voor de vastlegging van de afspraken worden volstaan met opname en beschrijving van de feitelijke maatregelen in de systeemdocumentatie. Indien de systeemverwerving plaats vindt door een ander departementsonderdeel, kunnen de afspraken inzake informatiebeveiligingworden gemaakt in de vorm van nota's en dergelijke of, in geval van ontwikkeling van maatwerk-programmatuur,volledig worden gèintegreerd in de standaard (mijlpaa1)produktenvan een systeemvetwervingctraject (definitiestudie rapport, enzovoorts), De feitelijke maatregelen kunnen volledig worden gèintegreerd in de systeemdocumentatie. Voor wat betreft de kwaliteitsstandaards die door dat departementsonderdeelworden gehanteerd, kan veelal worden volstaan met de formele beschrijving daarvan, tenzij de lijnmanager hogere eisen stelt. Ook indien alleen sprake is van de aanschaf van standaard apparatuur of programmatuur door een departementsonderdeeizijn deze afspraken van belang. De lijnmanager blijfl immers verantwoordelijk voor de bedrijfsprocessenen de daarbij gebruikte (automatiseringstechnische)hulpmiddelen.
O
Indien de systeemvenverving plaats vindt door een externe instantie, dan is een contract de meest geëigende vorm. De afspraken inzake informatiebeveiligingkunnen dan onderdeel uitmaken van andere 52
VERANTWOORDELIJKHEDEN
O
afspraken die met die instantie over de levering van de betreffende diensten of produkten worden gemaakt. De feitelijke maatregelen kunnen eveneens volledig worden geïntegreerd in de systeemdocumentatie. Met name het aspect controle op de naleving van de gemaakte afspraken dient in de verhouding met een externe leverancier expliciete aandacht te krijgen. In hoofdstuk 4 wordt hier nader op ingegaan. Systeemexploitatie
O
Veel lijnmanagers worden geconfronteerd met systeemexploitatie die gedeeltelijk of geheel buiten de eigen organisatie plaats vindt. De afspraken kunnen worden gemaakt op het niveau van betrouwbaarheidseisen of op het niveau van (soorten) maatregelen. De inhoud van de afspraken is in principe niet afhankelijk van het feit of de systeemexploitatie door een departementsonderdeel of door een externe instantie wordt uitgevoerd. Geschiedt de exploitatie van het informatiesysteem door medewerkers van de verantwoordelijke lijnmanager, dan is vastlegging van de afspraken in de vorm van werkinstructies of door expliciete vermelding van de maatregelen in het informatiebeveiiigingsplanafdoende, mits dat laatste beschikbaar wordt gesteld aan en toegankelijk is voor de medewerkers die belast zijn met de exploitatie.
a
O
In geval van systeemexploitatiedoor een departementsonderdeel, kunnen de afspraken worden gemaakt in de vorm van nota’s en dergelijke of in de vorm van een statuut. Ook het door dat departementsonderdeel gehanteerde informatiebeveiligingsplan kan worden beschouwd als een vastlegging van de gemaakte afspraken, tenzij door de verantwoordelijke lijnmanager zwaardere eisen worden gesteld. Deze zwaardere eisen en de daaruit voortvloeiende maatregelen dienen afzonderlijk te worden vastgelegd. In geval van uitbesteding van de exploitatie aan een externe instantie, is een contract de meest geëigende vorm. In Bijlage 2.1 zijn aandachtspunten opgenomen voor een dergelijk contract, waarbij met name aandacht wordt besteed aan de opbouw van het beheersdossier. Daarnaast zuilen de door een gegevensverwerkende organisatie te leveren prestaties worden waarover in vastgelegd in een zogenoemd service level agreement (SU). Bijlage 2.2 enkele bijzonderheden zijn opgenomen. Ook de controle op de naleving van de gemaakte afspraken dient in de verhouding met een externe organisatie expliciete aandacht te krijgen. In hoofdstuk 4 wordt hier nader op ingegaan.
53
Afspraken over informatiebeveiliging en systeemexploitatie betreffen onder andere: - organisatorische functiescheiding; - het toegangsbeheer (logisch en fysiek); produktiebesturing en -planning; afhandeling van produktieproblemen; de logging van transacties; - de door de systeemprogrammatuur geboden waarborgen ten aanzien van de integriteit; het testen en installeren van nieuwe applicaties; het testen en installeren van nieuwe apparatuur en (versies van) systeemprogrammatuur; - de continu'iteit van de gegevensverwerking en calamiteitenplanning; - de interne controle opgenomen in de expioitatieprocessen; de controle op de naleving van de gemaakte afspraken.
-
Voor wat betreit het transport van de gegevens kunnen de afspraken inzake informatiebeveiligingonder andere betrekking hebben op: het beheer van de fysieke en logische toegang tot de netwerkcomponenten; - de beveiliging van de inhoud van de berichten, bijvoorbeeld met behulp van cryptografische technieken; - het sleutelbeheer in geval van het gebruik van cryptografische technieken; - de beveiliging in verband met de berichtenuitwisseling teneinde de afzender en de ontvanger middelen te verschaffen om te controleren en vast te stellen wie hun wederpartij is; - de logging van berichten of het berichtenverkeer; - de controle op de naleving van de gemaakte afspraken.
-
Afspraken op departementaal niveau
In het voorgaande is uitgegaan van het niveau van de lijnmanager. De mogelijkheid bestaat echter, dat op departementaal niveau afspraken worden gemaakt over de gemeenschappelijke betrouwbaarheidseisenen maatregelen die voor het gehele departement of voor bepaalde departementsonderdelen van toepassing zijn. Dergelijke afspraken maken onderdeel uit van het informatiebeveiligingsbeleid. Elke lijnmanager zal dan dus op de hoogte moeten zijn van deze afspraken. Bij het maken van afspraken met de managers van andere departementale verantwoordelijkheidsgebieden kan worden volstaan met het verwijzen naar de gemeenschappelijke betrouwbaarheidseisenen maatregelen, tenzij hogere eisen gesteld worden of specifieke maatregelen vereist zijn, zoals het geval kan zijn bij het doen ontwikkelen van maatwerk-programmatuur. 54
VERANTWOORDELIJKHEDEN
Het maken van afspraken met andere partijen kan als consequentie hebben dat een overheidsorganisatiezich verplicht tot het uitvoeren van zwaardere informatiebeveiligingsmaatregeiendan die uit haar eigen beleid zouden volgen.
O 3.3
Informatische relaties
Indien een departement met andere instanties gegevens uitwisselt, dient vastgelegd te worden onder wiens verantwoordelijkheid deze uitwisseling plaatsvindt, aan welke betrouwbaarheidseisende uitwisseling voldoet en welke maatregelen vanuit het oogpunt van informatiebeveiliging door partijen worden getroffen. Afhankelijk van het structurele karakter van de gegevensuitwisselingen van de aard van de andere instantie kunnen de schriftelijke afspraken verschillende vormen aannemen. Zo kan routinematige gegevensuitwisselingzijn grondslag vinden in (bestaande) wet- en regelgeving die de taakuitvoering regelt; de afspraken kunnen hiervan deel uitmaken. Indien echter van electronische media gebruik wordt gemaakt enlof van programmatuur voor het vastleggen en/of bewerken van de gegevens, zal het veelal nodig zijn om afzonderlijke afspraken te maken met betrekking tot onder andere de beveiliging van het transport van de gegevens. De inhoud van dergelijke afspraken wijkt niet af van hetgeen hierover in de voorgaande paragraaf is vermeld. Voorbeelden hiervan zijn het SAGITTA systeem voor het doen van aangifte van invoerrechten en accijnzen aan de belastingdienst en het op electronische wijze aanleveren van statistische gegevens aan het CES. De afspraken over de betrouwbaarheid van de aangeleverde gegevens liggen vast in bestaande wet- en regelgeving, doch over het transport en de beveiliging daarvan dienen separate afspraken te worden gemaakt en vastgelegd.
O
In veel gevallen zal bij een informatische relatie met een andere instantie sprake zijn van externe gebruikers die niet rechtstreeks zijn aan te sturen door de verantwoordelijke lijnmanager. Afspraken over het gebruik van (verstrekte) gegevens of andere componenten van het informatiesysteem (bijvoorbeeld de applicatie ten behoeve van het invoeren van de gegevens) dienen eveneens schriftelijk te worden gemaakt. Een voorbeeld hiervan is het gebruik van gegevens over kentekens van voertuigen door andere instanties dan de RDW.
De afspraken over informatiebeveiliging kunnen bij het aangaan van informatische relaties complex van aard zijn. Veelal gaan deze relaties VERANTWOORDELIJKHEDEN
55
immers gepaard met het electronische transport van gegevens (waarbij de Koninklijke PTT Nederland een belangrijke rol speelt), externe systeemverwerving en systeemexploltatiedoor een extern rekencentrum en externe gebruikers. Voorbeelden van dergelijke complexe informatische relaties zijn EDI toepassingen zoals het hierboven genoemde SAGITTA systeem en het GBA. In veel gevallen zal de organisatie die het transport van de gegevens verzorgt ook diensten leveren op het gebied van: - sleutelbeheer in geval gebruik wordt gemaakt van ctyptografische technieken; - bewijskracht; - integriteit van de berichten; - autorisatie en authenticatie. Dit impliceert dat sprake moet zijn van een betrouwbare partij, veelal Trusted Third Party genoemd. Dergelijke organisaties leveren op het gebied van informatiebeveiligingeen toegevoegde waarde. Om vast te kunnen stellen dat het inderdaad om een betrouwbare partij gaat, is het noodzakelijkdat hier door een onafhankelijke (vierde) partij periodiek onderzoek naar wordt gedaan en aan alle relevante partijen over de uitkomsten daarvan wordt gerapporieerd. In hoofdstuk 4 wordt hier nader op ingegaan. Het kan zinvol zijn om voor bepaalde soorten gegevens of voor bepaalde soorten van gegevensuitwisseling eenmalig binnen een deel van de openbare sector afspraken te maken over het gewenste betrouwbaarheidsniveau. Het is aan te bevelen hierbij aansluiting te zoeken bij het gestelde in het Besluit Informatievoorziening Rijksdienst 1990 betreffendede eerstverantwoordelijke ministers voor bepaalde deelgebieden van de informatievoorziening. Informatischerelaties tussen een departement en een andere instantie gaan vergezeld van schriftelijk vastgelegde afspraken over het vereiste betrouwbaarheidsniveau en over de wijze waarop zekerheid wordt verkregen over de realisatie daarvan. I
56
I
VERANIWOORDELIJKHEDEN
I
O
4
Toetsing van naleving van afspraken
4.1
Algemeen
~
In het voorgaande hoofdstuk is ingegaan op het maken van afspraken door de lijnmanager met managers van verschillende verantwoordelijkheidsgebieden. De lijnmanager is en blijft verantwoordelijkvoor deze afspraken en zal derhalve de naleving van de gemaakte afspraken moeten toetsen. Teneinde toetsing mogelijk te maken, dient de naleving van afspraken in ieder geval te kunnen worden aangetoond door het verantwoordelijkheidsgebied waarmee deze afspraken zijn gemaakt. In feite gaat het niet alleen om het leveren van kwaliteit, maar ook om het aantoonbaar maken daarvan. Indien de systeemexploitatiegedeeltelijke of geheel is uitbesteed, dient volgens het Voorschrift InformatiebeveiligingRijksdienst (artikel 5c) volgens een vast schema een onafhankelijk oordeel over de kwaliteit van de getroffen informatiebeveiiigingsmaatregelenen over het handhaven en naleven daarvan te worden verlangd. Een dergelijk oordeel staat bekend onder de naam Third Party Mededeling (TPM)of derdenmededeling. In geval van systeemverwetving dienen volgens het Voorschrift Informatiebeveiliging Rijksdienst (artikel 5e) de uit het informatiebeveiligingsplan voortvloeiende maatregelen te worden getoetst op hun implementatie en werking. De toetsing kent verschillende gradaties: raadplegen van informeletoetsing door anderen, het uitvoeren van een acceptatietest onder de verantwoordelijkheidvan de lijnmanager, het gebruik maken van rapportages naar aanleiding van onderroeken door een onafhankelijke deskundige (bijvoorbeeld in de vorm van een certificaat) die reeds zijn uitgevoerd en het laten uitvoeren van een gericht onderzoek door een onafhankelijke deskundige. De zwaarte van de toetsing is afhankelijk van de soort van (de component van) het informatiesysteemen van het belang dat (de component van) het informatiesysteem heeft voor de organisatie. In dit hoofdstuk wordt ingegaan op een drietal vormen van toetsing van de naleving van afspraken. In paragraaf 4.2 wordt ingegaan op het 150-9000 certificaat. Vervolgens wordt in paragraaf 4.3 ingegaan op de derdenmededeling en tenslotte bevat paragraaf 4.4 een beschouwing over een permanente controle op de uitvoer van informatiesystemen. Alle drie genoemde vormen van toetsing kunnen betrekking hebben op de toetsing van naleving van afspraken over zowel de systeemexploitatieals de systeemverwerving. VERRNTWOORDELIJKHEDEN
57
Teneinde toetsing mogelijk te maken, dient de naleving van afspraken in ieder geval te kunnen worden aangetoond door het verantwoordelijkheidsgebiedwaarmee deze afspraken zijn gemaakt.
4.2
Het ISO-9000 certificaat
De NAVO, en daarmee het ministerie van Defensie, zijn de initiatiefnemers voor wat nu bekend staat onder de term certificering. Aan organisaties die produkten wilden leveren voor militaire doeleinden zijn zij contractvootwaarden gaan opleggen. Ook organisatorische eisen maakten daarvan deel uit. Op deze wijze wilde men er zeker van zijn, dat de contractpartner in staat kon worden geacht de gevraagde prestatie ook daadwerkelijk te leveren. De normen die daarbij gehanteerd werden staan bekend onder de naam AQAP. De militaire autoriteiten legden niet alleen die normen op, zij controleerden die ook. Bedrijven die aan de norm voldeden, konden een certificaat krijgen, het zogenoemde AQAP-certificaat. Vrij snel zijn opdrachtgevers uit de nucleaire hoek gevolgd. Er ontstond een civiele variant van het AQAP-certificaat met in plaats van de opdrachtgever een onafhankelijk derde als beoordelaar. Zo ontstonden er tal van landelijke kwaliteitsnormen, ondermeer de Nederlandse NEN, de Duitse DIN en de Britse BSI. De Europese eenwording heeft bijgedragen aan het proces om de verschillende nationale standaarden onder één noemer te brengen. Dit was door de gemeenschappelijkebasis betrekkelijk eenvoudig en heeft geleid tot de 150-9000 serie van de International Organization for Standardization (150). Onder invloed van de NAVO en de nucleairewereld is een verschuiving opgetreden van produktcertificering naar procescertificering. De vorm van Certificeringwaarmee we bij de IS0 te maken hebben gaat nog verder, namelijk systeemcertificering en in het bijzonder certificering van de organisatie die wordt gezien als een systeem. In de 150-9000 serie wordt in de norm niets gezegd over het proces, het produkt of dienst, maar worden eisen gesteld aan de wijze waarop de kwaliteit van de organisatie wordt gewaarborgd. De 150-9000 serie bestaat uit een norm voor een ontwerpende, vervaardigende en distribuerende organisatie (de iSO-9001), een norm VOOI een vervaardigende en distribuerende organisatie (de 150-9002) en een norm voor een inspecterende organisatie (de 150-9003). Daarnaast is er een standaard (150-9004) die een toelichting geefi op de samenhang 58
VERANTWOOROFI IlIKHEDEN
tussen de opzet van kwaliteitsbeleid, kwaiiteitsmanagement en de begrippen en definities in de genoemde normen. De ISO-9000 normen verlangen globaal dat: voor de waarborging van de kwaliteit van de output relevante organisatorische voorzieningen zijn gecreëerd en vastgelegd; - de vastleggingen ook aantoonbaar in praktijk worden gebracht, vast te stellen door de certificerende instantie; actualisering van de voorzieningen is geregeld.
-
Een aantal organisaties in Nederland is inmiddels voorzien van een ISO-9000certificaat, waaronder rekencentra en softwarebedrijven.Een organisatie met een dergelijk certificaat kan door buitenstaandersworden beoordeeld door kennisname van het kwaiiteitshandboek.Hiervan is immers vastgesteld door de certificerende instantie dat de inhoud "getrouw en werkelijk is". Is een organisatie eenmaal gecertificeerd, dan krijgt zij te maken met een jaarlijkse (onverwachte) tusseninspectieen een tweejaarlijkse hertoetsing. Het ISO-9000 certificaat houdt op zich geen kwaliteitsgarantiein voor een produkt of een dienst (bijvoorbeeldde kwaliteit van het verwerkingsproces van een rekencentrum of de kwaliteit van de geleverde software). Om hier meer zekerheid over te verkrijgen zijn specifieke onderzoeken nodig. 4.3
De derdenmededeling
Een derdenmededeling houdt in dat door een onafhankelijke deskundige een onderzoek wordt uitgevoerd naar de naleving van afspraken door een verantwoordelijkheidsgebieden de bevindingen hierover aan de lijnmanagers rapporteert, alsmede een mededeling afgeeft. Een departementale accountantsdiensten een extern accountantskantoor kunnen onder andere worden beschouwd als een onafhankelijke deskundige. Het onderzoek kan betrekking hebben op: het transport van gegevens; - de gegevensverwerking; het functioneel systeembeheer; - een afzonderlijk informatiesysteem, ai dan niet in ontwikkeling; het gebruik en beheer van gegevens en informatiesystemen.
-
0
Genoemde onderzoekterreinen kunnen in principe eik naar opzet, bestaan en werking worden beoordeeld. Onder opzet wordt verstaan de structuur van de organisatie of het systeem, alsmede de daarbij behorende VERANTWOORDELIJKHEDEN
59
voorschriften, procedures of te gebruiken hulpmiddelen. Met het bestaan wordt bedoeld de beoordeling of de opzet ook daadwerkelijk in de praktijk aanwezig is. Onder werking wordt verstaan de daadwerkelijke aanwezigheid van de opzet gedurende een bepaalde periode. De mededelingen kunnen in principe betrekking hebben op alle mogelijke kwaliteitskenmerken van de informatie en de informatievoorziening. Specifieke onderzoeken naar de integriteit, exclusiviteit en continuïteit afzonderlijk of een combinatie daarvan zijn uiteraard mogelijk. in veel gevallen betreft een derdenmedeling alleen het algemene stelsel van beheersmaatregelen waarbij algemeen aanvaarde normen worden gehanteerd. Een dergelijke mededeling verschaft onvoldoende informatie over het nakomen van de gemaakte afspraken. Het is derhalve effectiever indien de mededeling de gemaakte en vastgelegde afspraken over informatiebeveiligingexpliciet betreft. Dit impliceert dat een derdenmededeling alleen daadwerkelijk van nut is indien het lijnmanagementdeze afspraken expliciet heeft gemaakt en aan de onafhankelijke deskundige een gespecificeerde opdracht verleent. Het verrichten van het onderzoek (frequentie, deskundige, normen, rapportage, kosten enzovoorts) kan dan op zich onderdeel uitmaken van de gemaakte afspraken over informatiebeveiliging. Bijiage 2.3 geeii een voorbeeld van een derdenmededeling (in dit geval van een departementale accountantsdienst aan de minister). Veelal wordt een derdenmededelingafgegeven in opdracht van meerdere lijnmanagers die allen afspraken hebben gemaakt met het betreffende verantwoordelijkheidsgebied.Soms neemt de manager van het betreffende verantwoordelijkheidsgebiedzelf de beslissing een onderzoek uit te doen voeren door een onafhankelijke deskundige en hierover aan alle lijnmanagers met wie afspraken zijn gemaakt te iaten rapporteren. Een derdenmededeling kan een lijnmanager inzicht verschaffen in de mate waarin de door hem gemaakte afspraken worden nageleefd en niet zo zeer of deze afspraken op zich beantwoorden aan het doel waarvoor deze zijn gemaakt. Een derdenmededelingheeft alleen nut indien het lijnmanagement de afspraken over informatiebeveiligingexpliciet heeft vastgelegd en aan de onafhankelijke deskundige een gespecificeerde opdracht verleent. I
60
I
O
4.4
Controle op de uitvoer van informatiesystemen
Een bijzondere vorm van toetsing van de naleving van afspraken is het uitvoeren van controles gericht op de uitvoer van een informatiesysteem. De noodzaak tot het uitvoeren van dergelijke controles kan gelegen zijn in het feit dat onvoldoende zekerheid kan worden verkregen over de kwaliteit van het invoertraject, het transpolt en de verwerking van gegevens of het testen van programmatuur en apparatuur. Ook kan meespelen dat die zekerheid pas op een laat tijdstip kan worden verkregen (bijvoorbeeld indien slechts jaarlijks een derdenmededeling wordt ontvangen). Door middel van het uitvoeren van controles gericht op de uitvoer van een informatiesysteem, kan op indirecte wijze worden vastgesteld of de betrouwbaarheid als geheel aan de gestelde eisen voldoet of heeft voldaan. Voorwaarde voor het uitvoeren van controles op de uitvoer van informatiesystemen kunnen bijvoorbeeldworden ontleend aan de technologie van kerncentrales en de vliegtuigbouw. De hierin gebouwde informatiesystemen leveren veel controle informatieop aan de hand waarvan de goede werking van diezelfde systemen kan worden beoordeeld. Deze controles zijn complementair aan het grondig testen van (nieuwe) ontwerpen en het frequent uitvoeren van preventief onderhoud. Ook de finale testrit van elke auto die wordt geproduceerd kan worden beschouwd ais een uitvoer gericht middel om vast te stellen of alle voorgaande kwaliteitsmaatregelen hebben gewerkt. Met name financieel administratieve informatiesystemen lenen zich voor controles op de uitvoer. Voorbeelden van dergelijke controles zijn: - kritische cijfermatige beoordeling van het uitgaand geldverkeer; - verbandscontroles, zoals de vergelijking van het totaal aantal personeelsleden in het personeelssysteem met het aantal uitbetalingen; - gerichte,detailwaarnerningenzoals het periodiek narekenen van een salansslip Door middel van het uitvoeren van controles gericht op de uitvoer van een informatiesysteem, kan op indirecte wijze worden vastgesteld of de betrouwbaarheid als geheel aan de gestelde eisen voldoet of heefl voldaan.
O VEFANWOOROELIJKHEOEN
61
O
Handboek Informatiebeveiliging Rijksdienst i995 Deel 3 Informatiebeveiliging op departementaal niveau
63
Inhoudsopgave deel 3 65
1
Inleiding
2
Positie van het informatiebeveiligingsbeleid 2.1 Algemeen Positie ten opzichte van andere beleidsterreinen 2.2 2.3 Afgeleid beleid
66
3
Totstandkoming van het informatiebeveiligingsbeleid 3.1 Algemeen 3.2 Stappenplan
70 70 70
4
Inhoud van het informatiebeveiligingsbeleid 4.1 Algemeen 4.2 Inhoud van het beleidsdocument
74 74 74
5
Klassificatie en baselines 5.1 Algemeen 5.2 Klassificatie 5.3 Baselines
78 78 79 82
6
Organisatie van de informatiebeveiligingsfunctie 6.1 Algemeen 6.2 Lijn- en staftaken 6.3 Communicatie 6.4 Implementatie
85 85 86
Controle en evaluatie 7.1 Algemeen 7.2 Controleren en beheersen Periodieke onderzoeken in opdracht van de SG 7.3 7.4 Registratie van inbreuken
94
7
8
64
Werking van het informatiebeveiligingsbeleid 8.1 Algemeen 8.2 Kritische succesfactoren 8.3 Instrumenten voor het lijnmanagement
O
66 67 68
O
89 91
94 95 97
99 1o1 1o1
101 103
O
I
1
Inleiding
In dit deel van het Handboek InformatiebeveiligingRijksdienst wordt ingegaan op informatiebeveiligingop departementaal niveau. Allereerst wordt in hoofdstuk 2 de positie van het (departementale) informatiebeveiligingsbeleidgeschetst ten opzichte van hieraan gerelateerde beleidsterreinen. Hoofdstuk 3 bevat een beschouwing over de wijze waarop het informatiebeveiligingsbeleid tot stand kan komen. Het resultaat van dat proces is een beleidsdocumentwaarvan de inhoud is beschreven in hoofdstuk 4.
De organisatie van de informatiebeveiligingsfunctie,met andere woorden de toewijzing van verantwoordelijkheden, taken en bevoegdheden is een essentieel onderdeel van het managen van informatiebeveiliging.in hoofdstuk 5 wordt hier, mede gelet op de complexe verantwoordelijkheidsstructuren in de informatievoorziening, nader op ingegaan. Hoofdstuk 6 bevat een algemene visie op controle en evaluatie in het kader van informatiebeveiligingen de wijze waarop hier op departementaal niveau vorm en inhoud aan kan worden gegeven. Tenslotte wordt in hoofdstuk 7 ingegaan op de werking van het informatiebeveligingsbeleid. Het adequaat managen van informatiebeveiligingdraagt veelal bij aan de realisatie van de strategische departementale doelstellingen. Informatiebeveiligingmaakt integraal onderdeel uit van alle departementale bestuurs- en bedrijfsprocessen.
O
INFORMATIEBEVEILIGING OP DEPARTEMENTAAL NIVEAU
65
2
Positie van het informatiebeveiligingsbeleid
2.1
Algemeen
Het informatiebeveiligingsbeleidis een verzameling strategische uitgangspunten waarin het topmanagement van een departement duidelijk maakt het tactisch en operationeel niveau welke gedragslijn het departement aanneemt om te komen tot een afgewogen stelsel van maatregelen. NIVEAU
üELEID
CONTROLEEVALUATIE
Stmtegisch
vomsn
Tacllsch
Vensien
0pemtiO"Eel
uitvoeie"
Op strategisch niveau vindt beleidsformuleringplaats, op tactisch niveau wordt dit beleid vertaald naar concreet te treffen maatregelen die op operationeel niveau worden uitgevoerd. Op alle niveaus vindt controle en evaluatie plaats. Controle houdt in het vaststellen of de beoogde taken en maatregelen adequaat worden uitgevoerd. Evaluatie houdt in het vaststellen of het beoogde samenstel van verantwoordelijkheden, taken en bevoegdheden, alsmede de maatregelen op zich nog steeds effectief zijn in het licht van de te behalen informtttiebeveiligingsdoelstellingen. In paragraaf 2.2 wordt nader ingegaan op de positie van het informatiebeveiligingsbeleidten opzichte van de hieraan gerelateerd beleidsterreinen. In paragraaf 2.3 wordt ingegaan op het formuleren van afgeleid beleid voor
Het informatiebeveiligingsbeleidis een verzameling strategische uitgangspuntenwaarin het topmanagement van een departement duidelijk maakt aan het tactisch en operationeel niveau welke gedragslijn het departement aanneemt om te komen tot een afgewogen stelsel van maatregelen.
66
INFORMATIEBEVEILIGING OP DEPARTEMENTML NIWU
2.2
Positie ten opzichte van andere beleidsterreinen
Informatiebeveiliging kan worden gezien als een onderdeel van de kwaliteitszorgvoor de informatievoorziening. Deze zorg betreft meer aspecten dan alleen de integriteit, de beschikbaarheid en de exclusiviteit. Bovendien wordt het karakter van informatiebeveiligingsmaatregelen in sterke mate beinvloed door de aard van toegepaste informatietechnologie. Het informatiebeveiligingsbeleiddient derhalve te worden afgestemd op de beleidsuitgangspunten op het gebied van de (kwaliteit van) informatievoorziening. Ook op tactisch en operationeel niveau dient afstemming plaats te vinden.
0
Informatiebeveiliging vertoont een zekere overlap met de beveiliging van gebouwen en terreinen. Gegevens worden verwerkt met behulp van apparatuur die is opgesteld in een bepaalde locatie. De fysieke toegang tot deze apparatuur is veelal mede afhankelijk van de algemene toegangsbeveiligingsmaatregelen die voor die locatie zijn getroffen. Bovendien worden fysieke sleutels en sloten vaak vervangen door geautomatiseerde toegangsbeheets- of geïntegreerde gebouwbeheerscystemen. Ook kan de beveiliging van personen afhankelijk zijn van de beveiliging van over hen in geautomatiseerde systemen opgeslagen gegevens. Daar waar gegevens over geld of goederen zijn opgeslagen in geautomatiseerde systemen, vertoont informatiebeveiligingraakvlakken met de beveiliging van deze activa. Alle beveiligingsvraagstukken dienen derhalve te worden gebaseerd op dezelfde beleidsuitgangspunten. Voorts dient afstemming op tactisch en operationeel niveau plaats te vinden. Het informatiebeveiligingsbeleidvertoont ook overlap met het personeels(voorzienings)beleid. Aspecten die daarbij een belangrijke rol spelen zijn het bevorderen van het beveiligingsbewustzijn, het eventueel opnemen van speciale condities in het arbeidscontract (bijvoorbeeld bij ontdekking van inbreuken op de beveiliging door het personeel) en de procedures bij aanname van personeel op uit beveiligingsoogpunt kritische functies. Zowel op strategisch als op tactisch en operationeel niveau dient afstemming plaats te vinden.
0
Voorts kan informatiebeveiliging afstemming noodzakelijk maken met de zorg voor arbeidsomstandigheden en de zorg voor het milieu, zowel op het gebied van de toegepaste management instrumenten als inhoudelijk. Voorbeelden van overeenkomstige management instrumenten zijn beleidsdocumenten, procedures, plannen, opleidingen, bewustwordingsprogramma’s en controles. Voorbeelden van inhoudelijke raakvlakken zijn toegangbeperkende maatregelen die onder bepaalde omstandigheden in strijd kunnen zijn met de (arbeids)veiligheid, klimaatbeheersingsINFORMATIE~EVEILIGING OP DEPARTEMEMAAL NIVEAU
67
maatregelen voor computers die schadelijk kunnen zijn voor het milieu en geautomati-searde produktieprocessenen milieuzorgsystemen waarvan de kwaliteit afhankelijk is van de beschikbaarheid,integriteit en de exclusiviteit van de informatie en de informatievoorziening. Het voorgaande is overigens geen betoog voor het geïntegreerd benaderen van informatiebeveiligingmet andere (be1eids)terreinen. Het managen van al die processen wordt daarmee onnodig complex. Wel wordt hiermee aangegeven dat het inforrnatiebeveiligingsbeleidafgestemd dient te worden op de hieraan gerelateerde beleidsterreinen.
De vraag in welke beleidsdocumenthet informatiebeveiligingsbeleidmoet worden vastgelegd is in feite niet relevant. Het meest belangrijke is dát het informatiebeveiligingsbeleid wordt vastgelegd en wordt bekrachtigd en uitgedragen door het departementale topmanagement. De communicatie over informatiebeveiligingkan echter worden bevorderd door de beleidsuitgangspuntenop te nemen in een afzonderlijk beleidsdocument. De vraag in welke beleidsdocumenthet informatiebeveiligingsbeleid moet worden vastgelegd is in feite niet relevant. Het meest belangrijke is dát het informatiebeveiligingsbeleidwordt vastgelegd en wordt bekrachtigd en uitgedragen door het departementale topmanagement.
2.3
Afgeleid beleid
Grote departementsonderdelen zullen veelal de behoefte hebben aan een "eigen" informatiebeveiligingsbeleid. In dit afgeleid beleid kunnen de algemene departementale beleidsuitgangspuntennader worden geconcretiseerd. De vrijheid die het betreffendedepartementsonderdeel heeft bij het afwijken van de algemene beleidsrichtlijnenis in principe gelijk aan de vrijheid op andere beleidsterreinen, Daarbij kunnen onder andere de volgende factoren een rol spelen: - organisatie- en cuituurkenmerken van het departementsonderdeel; het belang van de informatiesystemenvan het betreffende departementsonderdeel in verhouding tot het belang van de overige informatiesystemen van het departement: - de aard van de toegepaste technologie binnen het departementsonderdeel.
-
68
INFORMATIE BEVEILIG IN(^ OP DFPA~FMFNTAAL NIVEAU
Indien in het departementale informatiebeveiligingsbeleidvoor alle departementsonderdelen bepaalde minimum eisen zijn opgenomen, is het niet mogelijk dat een bepaald departementsonderdeel minder stringente eisen hanteert. Op zich is dit geen voor informatiebeveiligingunieke situatie; ook op het gebied van bijvoorbeeld de inrichting van de financiële administratieworden minimum eisen geformuleerd waar alle departementconderdelen aan dienen te voldoen. Uiteraard staat het een departementsonderdeel vrij om een stringenter regime te voeren. Grote departementconderdelen kunnen een "eigen" afgeleid informatiebeveiligingsbeleidformuleren, vastleggen en bekrachtigen.
INFORMATIEBWEILIGING OP DEPARTEMENTARL NIVEAU
69
3
Totstandkoming van het informatiebeveiligingsbeleid
3.1
Algemeen
Het formuleren van informatiebeveiligingsbeleidis primair een verantwoordelijkheidvan het departementale topmanagement. Het informatiebeveiligingsbeleidis immers een verzameling strategische uitgangspuntenwaarin het topmanagement van een departement duidelijk maakt aan het tactisch en operationeel niveau welke gedragslijn het departement aanneemt om te komen tot een afgewogen stelsel van maatregelen. Beleidsvorming op het gebied van informatiebevelliginggeschiedt in principe op dezelfde wijze ais beleidsvorming op andere terreinen. In paragraaf 3.2 wordt hiertoe een praktisch stappenplan geschetst. Gezien de hiervoor beschreven relaties met andere beleidsterreinen, vereist het tot stand komen van informatiebeveiligingsbeleideen multidisciplinaire inbreng. Het formuleren van informatiebeveiligingsbeleidis geen eenmalige actie doch een iteratief proces. Veranderende omgevingsfactoren (bijvoorbeeldwetgeving en informationelerelaties) en interne factoren (bijvoorbeeldde organisatiestructuuren de aard en omvang van de toegepaste informatietechnologie)kunnen aanleiding vormen het beleid aan te passen. Periodieke beleidsevaluatie is een noodzaaki Het formuleren van informatiebeveiligingsbeleid is primair een verantwoordelijkheidvan het departementale topmanagement. Beleidsvorming op het gebied van informatiebeveiliginggeschiedt in principe op dezelfde wijze als beleidsvorming op andere terreinen.
3.2
Stappenplan
Het topmanagement kan aan haar verantwoordelijkheidvorm en inhoud geven door aan een tijdelijke projectorganisatieeen (schriftelijk)opdracht te geven voor het formuleren van het beleid en dit beleid te laten bekrachtigen door de Secretaris- Generaal (SG). Het volgende stappenplan kan daarbij worden doorlopen:
70
INFORMATIEBEVEILIGING OP DEPAWEMENTAAL Nimii
2. Inrichten pmjectorganisatie
+ 3. Opstellen projectplan
4. Inventarisa1ie en ewiualie
5. Opstellen beleidsdacumenlen
Stap I:Initiatie door de SG Gezien het feit dat de SG als hoogste lijnmanager verantwoordelijk is voor de informatiebeveiliging in het departement, zal de opdracht tot het vormen van het informatiebeveiligingsbeleid (schriftelijk)door hem of haar moeten worden gegeven. Stap 2 Inrichten projectorganisatie Het voorziiterschap van het project kan door de SG worden toegewezen aan bijvoorbeeld de directeur O M De projectgroep zal bij voorkeur worden samengesteld uit deskundigen. Participatiemoet worden gebaseerd op inzicht, kennis en eivaring. Aan de projectgroep kan, al dan niet op ad hoc basis, inbreng worden geleverd vanuit onder andere de volgende disciplines: - organisatie en informatievoorziening; kwaliteitszorg; beveiliging: - personeelszaken: (accountants)controie.
-
Kennis (op strategisch niveau) van de departementale bestuurs- en bedrijfsprocessen, doelstellen en organisatie en informatievoorziening zal vanuit de diverse departementsonderdelen moeten worden geleverd.
INFORMATIEBNEILIGINGOP DEPARTEMENTML " E A U
71
Stap 3: Opstellen projectplan Onderdelen van het projectplan kunnen onder andere zijn: doelstellingen; - activiteiten: - methoden en technieken; - planning: financiën. Het projectplan zal ter goedkeuring aan de SG worden voorgelegd.
-
-
Stap 4: Inventarisatie en analyse De projectgroep zal alie relevante informatie moeten vergaren en analyseren, waaronder informatie over: - relevante wet- en regelgeving; externe informationele relaties: - organisatie- en cultuurkenmerken; - departementale doelstelling en de daartoe ingerichte bestuurs- en bedrijfsprocessen; - aard en omvang van de toegepaste informatietechnologie: - Verantwoordelijkheden in het informatievoorzieningsproces.
-
Deze informatiezal moeten worden geanalyseerd. Met name het analyseren van het belang van de kwaliteit van de informatievoorziening voor (onderdelen van) het departement is daarbij relevant. Stap 5: Opstellen beleidsdocument Op basis van de geïnventariseerde en geanalyseerde informatie zal het informatiebeveiligingsbeleid moeten worden opgesteld. In het document zullen tenminste de volgende ondeiwerpen aan de orde moeten komen: - de strategische beleidsuitgangspunten en randvoorwaarden; - de organisatie van de informatiebeveiligingsfunctie; - de wijze waarop het beleid wordt vertaald naar het tactisch en operationeel niveau (het managen van het informatiebeveiliging); - de wijze waarop de maatregelen worden gefinancierd; - de wijze waarop en frequentie waarmee controle op de uitvoering en evaluatie van het beleid plaats vindt. Stap 6 Bekrachtigen beleid Het door de projectgroep opgestelde beleidsdocument zal moeten worden besproken door het strategisch topmanagement en bekrachtigd door de SG. 72
INFORMATIEBEVEILIGING OP DEPARTEMENTAAL NIVEAU
Stap 7: Opheffen projectorganisatie Nadat het beleidsdocument door de SG is bekrachtigd, kan de projectgroep worden opgeheven. Alle verantwoordelijkheden, taken en bevoegdheden van de projectorganisatiegaan daarmee over naar de in het beleidsdocument beschreven organisatie van de beveiiigingsfunctie. Het topmanagement kan aan haar verantwoordelijkheid vorm en inhoud geven door aan een tijdelijke projectorganisatie een (schrifteiiik)opdracht te geven voor het formuleren van het beleid en dit te laten bekrachtigen door de Secretaris-Generaal.
INFORMATIEBWEILIQING OP DEPARTEMENIAAL NIVEAU
73
4
Inhoud van het informatiebeveiligingsbeleid
4.1
Algemeen
In dit hoofdstuk wordt een aanzet gegeven voor de inhoud van het infonnatiebeveiligingsbeleid, vast te leggen in een beleidsdocument.Elk departement heeft specifieke kenmerken die een eigen informatiebeveiligingsbeieidrechtvaardigen. In grote lijnen zal de structuur van het beleidsdocumentper departement echter niet veel afwijken. Bij het formuleren van het beleid kan een departement gebruik maken van do inhoud van het Voorschrift InformatiebeveiligingRijksdienst. Indien hieraan de voor het departement specifieke onderwerpen aan worden toegevoegd, is de basis voor het beleid reeds gelegd. Het beleidsdocument,dat door de ambtelijke top wordt vastgesteld en uitgedragen, dient aan de medewerkers duidelijk te maken dat bij onvoldoende beveiliging de afhankelijkheid van (al dan niet geautomatiseerde) informatiesystemen tot onacceptabele economische, politieke, sociale d o f ethische consequenties kan leiden en dat er grenzen zijn aan de schade die het departement bereid is te riskeren.
De vraag kan worden gesteld of het beleidsdocumentzelf een vertrouwelijk karakter heeft en als zodanig behandeld moet worden. In de meeste gevallen zal dit niet het geval mogen zijn. Over het beleid moet open gecommuniceerd kunnen worden, zowel intern als naar externe relaties. Wel kan het voorkomen dat bepaalde documenten die ten grondslag liggen aan het beleidsdocument, zoals bijvoorbeeld een sterkte-zwakte analyse van de beveiiigingssituatievan het departement, een vertrouwelijk karakter hebben en niet aan het beleidsdocumentworden toegevoegd. Informatiebeveiiigingsbeleidop zich is nog geen garantie voor succes. Dat is het pas als het beleid adequaat wordt vertaald, uitgevoerd en gehandhaafd. I
4.2
Inhoud van het beleidsdocument
Het informatiebeveiligingsbeleid zou kunnen bestaan uit de volgende onderdelen: a Strategischeuitgangspuntenen randvoorwaarden; b Organisatie van de beveiligingsfunctie; 74
INFORMATIEBEVEILIGING
OP DEPARTEMENTW NIVEAU
c Indeling van informatiesystemen en verantwoordelijkheidsgebieden; d Vertaling van beleid naar maatregelen; e Gemeenschappelijke eisen en maatregelen; Registratie van inbreuken: fg Evaluatie en beoordeling: h Bewustmaking. a. Strategische uitgangspunten en randvoorwaarden In dit deel gaat het om de departementale beleidsdoelstellingen, de bestuurs- en bedrijfsprocecsen en het belang van de informatievoorziening daarbij. Met name moet aan de orde komen hoe informatiebeveiliging wordt ingebed in en afgestemd op het algemene beveiligingsbeleid en het informatie-voorzieningsbeleid.Dit is van belang in verband met wederzijdse versterking en vermijding van overlappingen en tegenstrijdigheden. Voorts kan in dit deel worden aangegeven welke (inter)nationalewet- en regelgeving en welke departementale voorschriften en documenten van direct belang zijn. b. Organisatie van de beveiliglngsfunctie In dit deel kan een beschrijvingzijn opgenomen van alle verantwoordelijkheden, taken en bevoegdheden op het gebied van informatiebeveiliging, alsmede de wijze waarop communicatie, controle en evaluatie plaats vindt. In hoofdstuk 6 van dit handboekdeel wordt hier nader op ingegaan.
o. Indeling in informatiesystemen en verantwoordelijkheidsgebieden In dit deel kunnen de kenmerken van de departementale informatievoorziening worden opgenomen, waaronder een beschrijving van: - de voornaamste informatiesystemen (financieel administratieve systemen, geldverkeersystemen, logistieke systemen, personeelssystemen, procesondersteunende systemen, documentaire systemen, kantoorondersteunende systemen etc.): het belang van deze informatiesystemen voor de bestuurs- en bedrijfsprocessen; - de departementale infrastructuur (verwerkingscentra, netwerken etc.): - de wijze waarop programmatuur, apparatuur en systeemprogrammatuur wordt aangeschaft dan wel ontwikkeld en beheerd.
-
Omdat binnen een organisatie de verschillendeinformatiesystemen veelal niet onafhankelijk van elkaar kunnen worden beschouwd, is verder een indeling in verantwoordelijkheidsgebiedennodig. Daarmee kan eenduidig worden vastgelegd wie betrouwbaarheidseisen stelt en wie zorg draagt voor het realiseren van het gewenste bettuuwbaarheidsniveau. Voorts moet duidelijk zijn dat, waar verantwoordelijkheidsgebiedenelkaar raken, de INFORMATIE8EVEILIQINQ OP DEPARTEMENTAAL NIVEAU
75
betrokken managers afspraken moeten maken. Zie voor dit onderwerp met name Deel 2 van dit handboek. d. Vertaling van beleid naar maatregelen In dit deel kan een beschrijving worden opgenomen van de wijze waarop het beleid zal worden vertaald naar concreet te treffen maatregelen en van de rol die het management daarbij speelt. Het is daarbij zinvol onderscheid te maken tussen realisatie en financiering van maatregelen voor bestaande en voor nieuwe systemen. In Deel 4 van dit handboek wordt hier nader op ingegaan.
e. Gemeenschappelijke eisen en maatregelen In dit deel kan worden aangegeven of het departement kiest voor een gemeenschappelijk stelsel van betrouwbaarheidseisen en/of maatregelen en, zo ja, waarop dat stelsel (veelal aangeduid met de term baseline) is gebaseerd. In het bijzonder daar waar de homogeniteit van ondersteunende informatiesystemen in termen van beschikbaarheid, integriteit en exclusiviteit relatief groot is, kan een baseline nut hebben. Zie voor dit onderwerp ook hoofdstuk 5 van dit handboekdeel. f. Registratie van inbreuken In dit deel kan worden vastgelegd dat medewerkers alle geconstateerde of vermoede inbreuken op de informatiebeveiliging dienen te melden. Het dient aan iedereen bekend te zijn hoe het departement met dergelijke signalen omgaat en bij welke functionaris en hoe de inbreuk moet worden gemeld. Zie verder hoofdstuk 7 van dit handboekdeel. g. Evaluatie en beoordeling In dit deel kan worden aangegeven dat volgens een vastgesteld schema het informatiebeveiligingsbeleidwordt geëvalueerd en de implementatie en uitvoering ervan wordt beoordeeld door een onafhankelijke deskundige. Van het ondeizoek wordt verslag uitgebracht aan de secretaris-generaal. Zie verder hoofdstuk 7 van dit handboekdeel. h. Bewustmaking In dit deel kan worden aangegeven langs welke wegen de medewerkers bewust worden gemaakt en gehouden van het feit dat informatiebeveiliging belangrijk is voor het functioneren van de organisatie en een zekere discipline vergt. Het is belangrijk dat beveiliging op natuurlijke wijze is ingebed in de normale gang van zaken en niet als iets aparts wordt ervaren. Overwogen kan worden de belangrijkstebeleidsuitgangspunten in de vorm van "tien geboden" separaat aan de organisatie kenbaar te maken. Als voorbeeld:
76
INFORMATIEBEVEILIGING OP DEPARTEMENTAAL Nlwu
1 Informatiebeveiligingdraagt bij aan strategische doelstellingen van het departement 2 De bestuurs- en bedrijkprocessenzijn in belangrijke mate afhankelijk van de kwaliteit van de informatievoorziening. Informatiebeveiligingis een onderdeel van de kwaliteitszorgvan de informatievoorzieningen is gericht op beschikbaarheid, integriteit en exclusiviteit. 3 Eisen te stellen aan de informatiesystemen en bedreigingenwaartegen het departementzich wenst te beschermen, worden expliciet vastgesteld. 4 Informatiebeveiligingis een onderdeel van het algemeen beveiligingsbeleiden heeft nauwe relaties met het informatievoonieningsbeleid. 5 Het informatiebeveiligingsbeleid is van toepassing op de volgende departementsonderdelen: de directoraten generaal; enzovoorts. 6 Informatiebeveiligingheeft betrekking op de volgende verantwoordelijkheidsgebieden van de informatievoorziening: - het departementale netwerk; - enzovoorts. 7 Voor alle verantwoordelijkheidsgebieden zal binnen twee jaar een baseline worden gedefinieerd en worden vastgesteld. 8 Informatiebeveiligingwordt gerealiseerd door een evenwichtig samenstel van middelen, maatregelen en procedures aangevuld met specifiek personeelsbeleid. Maatregelen worden volledig geintegreerd in werkprocessen en procedures. 9 Bij het vertalen van het beleid naar concreet te treffen maatregelen, het handhaven daarvan en de controle en evaluatie speelt het lijnmanagement een belangrijke rol, daarbij ondersteund door een specifieke staffuncties. 1O Voor het realiseren van informatiebeveiligingworden voldoende mensen en middelen beschikbaar gesteld. Maatregelen worden gefinancierd vanuit bestaande budgetten voor organisatie en informatievoorziening.
-
Het beleidsdocumentvoor informatiebeveiligingwordt door de ambtelijke top vastgesteld en uitgedragen. Het document vormt de basis voor diverse vormen van communicatie naar de medewerkers toe.
INFORMATIEBEVEILIGING OP DEPARTEMENIAAL Nivmu
77
5
Klassificatie en baselines
5.1
Algemeen
In het informatiebeveiligingsbeleiddient de wijze waarop het beleid wordt vertaald naar concrete maatregelen te worden vastgelegd. Tevens dienen de gemeenschappelijke betrouwbaarheidseisen en maatregelen die voor het departement van toepassing zijn, te worden vastgelegd. In paragraaf 5.2 wordt ingegaan op het opstellen en hanteren van een systeem van klassificatie van eisen. In paragraaf 5.3 wordt ingegaan op het voor één of meerdere verantwoordelijkheidsgebieden hanteren van een algemeen minimum stelsel van maatregelen. Een dergelijk stelsel wordt ook wel een baseline genoemd. In beide paragrafen komt de relatie aan de orde met de drie in het Voorschrift InformatiebeveiligingRijksdienst genoemde hoofdactiviteiten, die moeten leiden tot het vertalen van het beleid naar concrete maatregelen: 1. formuleren van eisen (afhankelijkheidsanalyse); 2. identificeren en analyseren van bedreigingen (bedreigingenanalyse); 3. kiezen van maatregelen (kwetsbaarheidsanalyse).
De samenhang tussen deze activiteiten kan als volgt schematisch worden weergegeven:
1
""
maatregeien
I
In deei 4 van dit handboek wordt nader ingegaan op deze drie hoofdactiviteiten,waarbij op verschillende plaatsen zal worden gerefereerd aan het hanteren van een systeem van klassificatievan eisen of een baseline. Een klassificatiesysteemof een baseline kan veelal worden 76
INFORMATIEQNEIUGING OP DEPAKTEMENTML NIVEAU
gedefinieerd door of namens het management van de betreffende veranîwoordelijkheidsgebieden. Hiermee kan op tactisch niveau informatiebeveiligingworden ingevuld en de overgang van het strategisch naar het operationeel niveau worden gemaakt.
Een klassificatiesysteemof een baseline kan de overgang van het strategisch naar het operationeel niveau verzorgen. De door een departement(sonderdee1)gehanteerde klassen van betrouwbaarheidseisen en de gemeenschappelijke maatregelen maken onderdeel uit van het informatiebeveiligingsbeleid.
*
O
5.2
Klassificatie
Teneinde het stellen van eisen en de communicatie daarover te vereenvoudigen, is het mogelijk om de beschikbaarheidseisen, integriteitseisenen exclusiviteitseisente klassificeren. Klassen van eisen ontstaan indien klassen van mogelijkeschade voor de bestuurs- en bedrijfsprocessenworden gedefinieerd, die het gevolg zijn van verstoringen in de informatievoorziening. Deze klassen van schade kunnen vervolgens worden gefonnuleerdin termen van klassen van beschikbaarheids-, integriteits- en exclusiviteitseisen. Zo zouden hoge integriteitseisen kunnen worden gesteld indien bij een verstoring in de informatievoorziening: - meer dan 1 .O00burgers betrokken kunnen zijn; - de mogelijke schade meer bedraagt dan 10% van de initiële budgetruimte; er geen mensenlevens bij betrokken zijn (indien dat wel het geval is worden bijvoorbeeld zeer hoge eisen gesteld); een verstoring aanzienlijke bestuurs- en beheersproblemen oplevert.
-
De klassen van eisen krijgen pas een zinvolle betekenis indien deze gerelateerd worden aan klassen van soorten maatregelen. Deze klassen van soorten maatregelen worden veelal ook beveiligingsniveau’s of beveiligings-nonnengenoemd en kunnen op verschillende abstractieniveau’s worden gedefinieerd. Zo zouden drie klassen van authenticatie kunnen worden gedefinieerd: 1. authenticatie op basis van kennis (bijvoorbeeldeen passwordmechanisme); 2. authenticatie op basis van kennis en bezit (bijvoorbeeldhet gebruik van een pincode en een pasje): 3. authenticatieop basis van kennis, bezit en persoonlijke eigenschappen (bijvoorbeeldhet gebruik van een pincode met pasje gecombineerd met authenticatie op basis van vingerafdrukken). INFORMATIEBEVEILIGING OP DEPARTEMEMAAL NIVEAU
79
Op een lager abstractieniveau kan klasse 1 bijvoorbeeld ook worden uitgedrukt in termen van: het persoonsgebonden zijn van het password; - lengte van het password; geldigheidstermijn; syntax van het password; enzovoorts.
-
Het relateren van deze niveaus aan de klassen van eisen betekent dat duidelijk wordt welk niveau in welke situatie van toepassing moet zijn. Zo zou vastgesteld kunnen worden dat indien hoge integriteitseisengesteld worden een authenticatieprocedureop basis van kennis en bezit noodzakelljk is. Schematisch kan een compleet klassificatiesysteem derhalve ais volgt worden weergegeven:
1
Excluslvltelf
Indien het management van een departement(sonderdee1)dit model invult, dan ontstaat een klassifikatiesysteem dat voor alle informatiesystemen als "sjabloon" kan worden gehanteerd bij het formuleren van eisen, identificeren van bedreigingen en het treffen van maatregelen. Tevens kan de communicatie over informatiebeveiligingbinnen het departement plaats vinden in termen van klassen zonder dat daarbil een limitatieveopsomming van maatregelen hoeft te worden vermeld. Overigens is het niet noodzakelijkdat het klessificatiesysteemvoor alle kenmerken van betrouwbaarheid en voor alle verantwoordelijkheidsgebieden volledig wordt ingevuld. Ook delen van klassificatiesystemen kunnen behulpzaam zijn bij het vertalen van het beleid naar concrete maatregelen. Het compleet invullen van een klassificatiesysteemis immers een zeer arbeidsintensieve activiteit.
80
INFORMATIEBEVEILIGING OP DEPARTEMENTAAL NIVEAU
Klassificatiesystemenkennen zowel in de literatuur als in de praktijk allerlei verschijningsvormen. Veel van deze verschijningsvormen betreffen het kenmerk exclusiviteit. De te stellen eisen worden meestal gerelateerd aan de aard van de gegevens. Binnen de belastingdienst zijn bijvoorbeeld de volgende exclusiviteitsklassenvan gegevens gedefinieerd: I systeem- en beveiligingsgegevens; II persoonsgegevens; 111 vertrouwelijke bedrijfsgegevens; IV interne gegevens; V openbare gegevens. Per klasse zijn criteria opgesteld voor het indelen van gegevens in deze klassen. Aan deze klassen zijn beveiligingsniveau’s gerelateerd en zijn richtlijnen en daaruit voortvloeiende maatregelen gedefinieerd.
O
Een voor de gehele rijksdienst belangrijketoepassing is de rubriceringvan gegevens zoals vervat in de Aanwijzing voor beveiliging van staatsgeheimen en vitale onderdelen van de rijksdienst. Deze aanwijzing is een rijksdienst-brede invulling van een onderdeel van de exclusiviteitsklassen,namelijk de vertrouwelijkheidvan staatsgeheimen. In de aanwijzing worden drie klassen (“rubriceringen”)gehanteerd zeer geheim, geheim en confidentieel. Per rubricering is in termen van schade een indicatie gegeven van de omstandigheden waaronder staatsgeheimen moeten worden gerubriceerd. Tevens worden in de aanwijzing voor de drie rubriceringen maatregelen voorgeschreven. Een ander voorbeeld is te vinden in het referentiekader dat door de Registratiekamer is opgesteld voor de beveiligingvan persoonsregistraties. Daarin wordt gewerkt met drie exclusiviteitsklassen,die de mate van exclusiviteit van de registratie aangeven: - klasse 1: basisniveau klasse 2: verhoogd risico - klasse 3: hoog risico
-
In welke exclusiviteitsklasseeen persoonsregistratievalt moet volgens de Registratiekamer worden bepaald aan de hand van een risico-analyse, waarbij risico is opgevat als kans op onzorgvuldig of onbevoegd gebruik van de persoonsgegevens vermenigvuldigdmet de daarmee gepaard gaande schade. Hoe hoger de exclusiviteitsklasse,hoe stringenter de beveiligingsmaatregelen die minimaal genomen dienen te worden. In internationaalverband kunnen de ”Trusted Computer System Evaluation Criteria (TCSEC, ook wel Orange Book genoemd)” van het Amerikaanse Ministerie van Defensie als klassificatie systeem worden aangemerkt, zij het INFORMATIEBEVEILIGING OP DEPAMEMEMANNIVEAU
81
dat deze alleen beveiiigingsniveau's betreffen en geen klassificatie van eisen. De criteria hebben voorts alleen betrekking op de exclusiviteit, inclusief de wijze waarop dit kan worden aangetoond. Door de Europese Commissie zijn de "lnformation Technology Security Evaluation Criteria" (ITSEC, ook wel White Book genoemd) opgesteld, die naast exclusiviteit ook beschikbaarheid en integriteit betreffen. Dit klassificatiesysteem betreft echter alleen het indelen van vormen van certificering in klassen. Bij opstellen van een klassificatie systeem voor een departement(sonderdee1) kunnen in principe de volgende stappen worden doorlopen, waarbij gebruik kan worden gemaakt van (delen van) bestaande klassificatiesystemen: 1, initiëren van een werkgroep in opdracht van het (t0p)management; 2. globale analyse van de informatiesystemenen de daardoor ondersteunde bestuurs- en bedrijfsprocessen, alsmede de mogelijke soorten schade als gevolg van verstoringen in de informatievoorzieningen resulterend in klassen van eisen; 3. globale identificatie van de bedreigingen waarmee het management rekening wenst te houden; 4. globale analyse van mogelijk te treffen maatregelen, gegeven de aard en omvang van de organisatie en de aard van de toegepaste infomatietechnologie, resulterend in klassen van maatregelen: 5. relateren van de klassen van eisen aan de klassen van maatregelen; 6. vaststelien van het klasslficatiesysteemdoor het (top)management. Elk departement of departementsonderdeelzou voor de onder haar beheer staande informatiesystemeneen klassificatie van eisen kunnen hanteren. Klassen van eisen krijgen pas een zinvolle betekenis indien deze gerelateerd worden aan klassen van maatregelen. Een klassificatie systeem kan voor alle informatiesystemen als "sjabloon" worden gehanteerd bij het formuleren van eisen, identificeren van bedreigingen en het treffen van maatregelen alsmede bij de communicatie daarover.
5.3
Baselines
Teneinde het proces van het kiezen van maatregelen sterk te vereenvoudigen, kan een departement(sonderdee1) ertoe overgaan voor één of meerdere verantwoordeiijkheidsgebieden een baseline te definiëren. Onder een baseline wordt verstaan een opsomming van maatregelen die voor het betreffende veraniwoordelijkheidsgebiedals minimum wordt gehanteerd, soms ook wel het standaard beveiligingsniveauof standaard 82
INFORMATIEBEVEILIGING
OP DEPARTEMENWAL NIVEAU
O
O
beveiligings-stelselgenoemd. Voor het niveau waarop deze maatregelen worden gedefi-nieerd, geldt hetzelfde als hetgeen in de voorgaande paragraaf is vermeld. Het hanteren van een baseline voor één of meerdere verantwoordelijkheidsgebiedenis veelal een praktische aanpak van informatiebeveiliging en voorkomt dat door verschillende managers dezelfde afwegingen moeten worden gemaakt bij het kiezen van de maatregelen. Daarbij wordt het risico aanvaard dat door het uitvoeren van globalere analyses bepaalde normen of maatregelen niet evenwichtig of efficiënt zijn. Het hanteren van een baseline is sterk aan te bevelen in de opstartfase van informatiebeveiliging, omdat dan snel tot een behoorlijk niveau van beveiliging kan worden gekomen. Daarna, indien ervaringen zijn opgedaan, kunnen de analyses per informatiesysteem concreter worden uitgevoerd, wellicht mede aan de hand van een klassificatiesysteem, met als doel een effectievere en efficiëntere werking van informatiebeveiliging. Het vaststellen van een baseline verloopt volgens dezelfde stappen als voor het vaststellen van een klassificatiesysteem (zie paragraaf 5.2). In ieder geval zal daarbij aandacht moeten worden besteed aan: 1. de mate waarin een departement(sonderdee1) afhankelijk is van het adequaat functioneren van de infonnatievoorzieningsprocessenbinnen het betreffende verantwoordelijkheidsgebied; 2. de bedreigingen waarmee het lijnmanagement rekening wenst te houden; 3. maatregelen op grond van de aard en omvang van de organisatie en de informatievoorziening. In sommige gevallen kan een baseline ontstaan vanuit de praktijk reeds getroffen maatregelen worden na een uitvoerige evaluatie en eventuele bijstellingentot baseline benoemd en gedocumenteerd. Het geïmplementeerd hebben van een baseline is echter geen garantie dat voor alle informatiesystemen voldaan wordt aan de daaraan te stellen betrouwbaarheidseisen. Nadere analyses blijven noodzakelijk, zij het dat dan alleen nog maar hoeft te worden vastgesteld of volstaan kan worden met de reeds getroffen beveiligingsmaatregelen en welke additionele maatregelen eventueel nog getroffen moeten worden.
0
Zowel in nationaal verband als in internationaal verband komen steeds meer baselines beschikbaar. In het algemeen geldt echter dat: - veel baselines niet alle kenmerken van betrouwbaarheid afdekken maar veelal gericht zijn op het kenmerk exclusiviteit; - de meeste basehnes een beperkt aantal aandachtsgebieden van informatiebeveiliging betreffen, waaronder de centrale gegevensverwerking en het netwerkbeheer; INFORMATIEBEVEILIGING OP DEPARTEMENTAAL NIVEAU
83
-
vaak niet duidelijk is met welke bedreigingen rekening wordt gehouden: baselines soms ook gehanteerd worden bij juridische procedures als het gaat om het aantonen van de deugdelijkheid van het stelsel van getroffen maatregelen, zeker als deze in nationaal of internationaal verband tot stand zijn gekomen.
Het zonder wijzigingen implementerenvan een reeds beschikbare externe baseline is derhalve veelal niet mogelijk. Wel kunnen deze als leidraad worden gehanteerd bij het opstellen van een baseline voor het departemenî(sonderdee1).Voorbeelden van bestaande baselines zijn: - 1-4 baseline controls van het International Information Integrity Institute; - A Code of Practice, van het Engelse Department of Trade and Industry: - The IBAG Framework for Commercial IT Security, van de INFOSEC Business Advisoty Group (IBAG). Een daarbij veel gebruikte indeling bij een baseline voor een rekencentrum is: - organisatie van de beveiiigingsfunctie; - personeel: - logische toegangsbeveiliging; fysieke beveiliging: - technische infrastructuur; systeemexploitatie: - calamiteitenpianning.
-
In principe kunnen ook de voorschriften op het gebied van personeel in dienst van de overheid (waaronder de Ambtenarenwet, de Beschikking Antecedentenonderzoeken de Beschikking Veiligheidsonderzoek)en voorschriften op het gebied van bouwkundige voorzieningen van de Rijksgebouwendienstals baseline worden beschouwd voor respectievelijk personeel en gebouwen. Op een hoger abstractieniveau is zelfs het Voorschrift Informatiebeveiliging Rijksdienst een baseline. Het vaststellen van een baseline kan, net als het klassificeren van eisen, informatiebeveiiiging beter beheersbaar maken. Het geimple-menteerd hebben van een baseline is geen garantie dat voor alle informatiesystemen voldaan wordt aan de daaraan te stellen eisen. Nadere analyses blijven noodzakelijk.
84
INFORMATIEBEYEILIGING OP
DEPARTEMENTAAL NIVEAU
6
Organisatie van de informatiebeveiligingsfunctie
6.1 Algemeen Eén van de belangrijkstemaatregelen op het gebied van informatiebeveiliging is, naast het bevorderen van het beveiligingsbewustzijn, de inrichting van de beveiligingsfunctie.Onder de beveiligingsfunctiewordt verstaan het toewijzen van verantwoordelijkheden, taken en bevoegdheden op het gebied van informatiebeveiligingaan lijn- en staffunctionarissen binnen een departement teneinde het beleid te formuleren, realiseren, handhaven en evalueren.
Belangrijke uitgangspunten daarbij zijn: 1. de SG is als hoogste lijnmanager eindverantwoordelijkvoor informatiebeveiliging binnen het departement; 2. informatiebeveiligingis een lijnverantwoordelijkheid,de lijnmanager aan wie de verantwoordelijkheidvoor een bestuurs- of bedrijfsproces is toegewezen is daarmee tevens verantwoordelijkvoor de informatievoorzieningter ondersteuningvan de uitvoering van dat proces. Deze verantwoordelijkheidgeldt ongeacht de herkomst van de apparatuur, programmatuur en gegevens of de manier waarop en door wie de gegevens worden verwerkt, getransporteerdof opgeslagen; 3 specifieke taken, niet de verantwoordelijkheid, kunnen worden toegewezen aan staffuncties; 4. de taken op het gebied van informatiebeveiligingmoeten niet alleen onderling op elkaar worden afgestemd doch ook worden afgestemd met taken op andere, aan informatiebeveiliginggerelateerde beleidsterreinen; 5. verantwoordelijkheden, taken en bevoegdheden dienen ZO veel mogelijk te worden geintegreerd in bestaande functies, processen en procedures. Op basis van een analyse van relevante kenmerken van de omgeving, de organisatie en de informatievoorziening(zie paragraaf 4.2) moeten verantwoordelijkheden, taken en bevoegdheden worden vastgesteld, een coördinatiemechanisme worden bepaald en functie en taakomschrijvingen worden opgesteld dan wel gewijzigd
INFORMATIEBEVEILIGING OP DEPARTEMEWARL NIVEAU
85
Omgevingsfacioren
Organisariekeomerken
Kenmerken van de informatievoorziening
Inrichren beveiiigingsfuncrie
In paragraaf 6.2 wordt ingegaan op lijn- en staftaken en de daan benodigde bevoegdheden. De wijze waarop binnen de informatiebeveiligingsfunctie kan worden gecommuniceerd teneinde de uitvoering van de taken op elkaar af te stemmen, wordt behandeld in paragraaf 6.3. Paragraaf 6.4 bevat enkele praktische handreikingenvoor implementatie van de informatiebeveiligingsfunctie binnen een departement, uitgaande van enkele complexe verantwoordelijkheidsstructurenin de informatievoorziening.
Eén van de belangrijkste maatregelen op het gebied van informatiebeveiging is, naast het bevorderen van het beveiligingsbewustzijn,de inrichting van de beveiligingsfunctie. Specifieke taken, niet de verantwoordelijkheid (die ligt immers bij de iijn), kunnen worden toegewezen aan staffuncties.
6.2
Lijn- en staftaken
Bij het vaststellen van taken kan onderscheid worden gemaakt tussen lijnen staftaken. Idealiter zouden alle taken aan lijnfunctionarissen moeten worden toegewezen. Onder andere op grond van algemene organisatieprincipes kunnen taken worden toegewezen aan staffuncties. Hieronder is voor het strategisch, tactisch en operationeel niveau expliciet aangegeven welke taken bij uitstek kunnen worden toegewezen aan lijnfunctionarissen en welke aan staffunctionarissen. Strategisch niveau Het formuleren van informatiebeveiligingsbeleid is een zaak voor het strategisch lijnmanagement. Daarbij horen onder andere de volgende lijntaken: bewust dragen van de eindverantwoordelijkheidvoor informatiebeveiliging; opdracht geven voor het formuleren van informatiebeveiligingsbeleid alsmede van normen en richtlijnen;
-
86
INFORMATIEBEVEILIGING
OP DEPARTEMENTAAL NIVEAU
-
accorderen van het informatiebeveiligingsbeleid: actief uitdragen van beveiligingsattitudenaar het tactisch niveau; initiëren van controle- en evaluatie: bijsturen naar aanleiding van resultaten van controle- en evaluatie.
Daarnaast kunnen op het strategisch niveau onder andere de volgende taken worden toegewezen aan staffuncties: - inventariseren en analyseren van bedrijfs- en cultuurkenmerken: - inventariseren en analyseren van het belang, de aard en de omvang van de informatievoorzieningen de toegepaste informatietechnologie: - inventariseren en analyseren van relevante omgevingsfactorenzoals externe informationelerelaties en wet- en regelgeving; - evalueren van het informatiebeveiligingsbeleid: - uitwerkenvan het informatiebeveiligingsbeleidnaar concrete normen en richtlijnen; - toezien op de naleving van het informatiebeveiligingsbeleid; adviseren over het vertalen van het beleid op tactisch niveau alsmede het bewaken en coördineren van taken op het tactische niveau; - verlenen van ondersteuning bij het bevorderen van het beveiligingsbewustzijn: - afstemmen van het informatiebeveiligingsbeleidop andere hieraan gerelateerde beleidsterreinen.
-
Tactisch niveau Op het tactisch niveau vindt de vertaling plaats van het informatiebeveiligingsbeleidnaar te treffen maatregelen. Daarbij horen onder andere de volgende lijntaken: - formuleren van de aan de bedrijfsprocessenen daarvan afgeleid aan de informatiesystemen te stellen beschikbaarheids-,integriteits- en exclusiviteitseisen: initiëren van het identificerenvan bedreigingen: accorderen van gdidentificeerde bedreigingenwaarmee rekening wordt gehouden: doen vaststellen van kwetsbare delen van informatiesystemen: initiëren van het opstellen van beveiligingsplannen: - accorderen van beveiligings-en calamiteitenplannen: actief uitdragen van beveiligingsattitudenaar het operationeel niveau: - initiëren van controle- en evaluatie op operationeel niveau: - bijsturen naar aanleiding van resultaten van controle- en evaluatie op operationeel niveau.
-
INFORMATIEBEVEILIGING OP DEPARTEMENTML NIVEAU
87
Daarnaast kunnen op het tactisch niveau onder andere de volgende taken worden toegewezen aan staffuncties: - verrichten van analyses ten behoeve van het formuleren van de aan de bednjfsprocessenen daatvan afgeleid aan de informatiesystemente stellen beschikbaarheids-,integriteits- en exclusiviteitseisen; identificeren en analyseren van bedreigingen; bepalen van kwetsbaarheden; - kiezen van informatiebeveliigingsmaatregelen: - opstellen van beveiligingsplannen; adviseren over en begeleiden van op operationeel niveau te treffen maatregelen; - opstellen en uitvoerenvan bewustwordingsprogramma’s; uitvoeren van controles op en evaluaties van op operationeelniveau getroffen maatregelen.
-
-
Operationeel niveau Op operationeel niveau vindt de implementatie en uitvoering van de informatiebeveiliglngsmaatregelenplaats. Ook kan op operationeel niveau een groot gedeelte van de controle op de naleving van informatiebeveiligingsmaatregelenplaats vinden. In het kader van dit handboek voert het te ver om daarbij onderscheid te maken naar lijn- en staftaken. De te treffen maatregelen zijn immers geheel afhankelijk van: - de geformuleerde eisen; - de onderkende bedreigingen; - de aard en omvang van de informatievoorziening; - de aard van de toegepaste informatietechnologie. De keuze tussen het toewijzen van de implementatie en uitvoering van maatregelen aan lijnfunctionarissenof aan staffunctionarissenis afhankelijk van de aard, omvang en complexiteit van de te treffen maatregelen. Zo komt het bijvoorbeeld in de praktijk vaak voor dat het implementeren van bevoegdheden in een toegangsbeveiligingspakket geschiedt door een staffunctionaris,veelal werkzaam binnen de automatiseringsorganisatie. De controle op uitkomst van een geautomatiseerd systeem zal bijvoorbeeld vaak gedeeltelijk zijn overgelaten aan een staffunctie, terwijl bijvoorbeeld controle op de integriteit van de invoer vaak gewoon onderdeel uitmaakt van proceduresdie door lijnfunctionarissen worden uitgevoerd. Uitgangspunt blijft dat het lijnmanagement aan wie de verantwoordelijkheid voor bestuurs- of bedrijfsprocessenis toegewezen verantwoordelijkis voor de informatiebeveiliging.Indien maatregelen worden getroffen binnen andere verantwoordelijhheidsgebieden,heeft dit lijnmanagement tot taak hier een evaiuatie(rapport) over te eisen.
88
INFORMATIEBEVEILIGING OP DEPARTEMENTAAL NIVEAU
Verantwoordelijkheden, taken en bevoegdheden dienen zo veel mogelijk te worden geïntegreerd in bestaande functies. Teneinde taken uit te kunnen voeren, dienen zowel lijn- als staffunctionarissen over de daartoe benodigde bevoegdheden te beschikken.
6.3
Communicatie
Teneinde de hiervoor genoemde taken effectief en efficiënt uit te voeren, dienen deze op elkaar en op taken op andere aan informatiebeveiliging gerelateerde beleidsterreinen te worden afgestemd. Deze afstemming kan zowel door middel van mondelinge als door middel van schriftelijke commu-nicatieworden gerealiseerd. Mondelinge en Schriftelijke communicatie zijn Complementair aan elkaar. Het verdient de voorkeur deze communicatie over informatiebeveiliging te integreren in reeds uit andere hoofde bestaande communicatiestructuren. Hieronder zal op beide vormen van communicatie worden ingegaan. Daarbij wordt alleen aandacht besteed aan de interne communicatie. Uiteraard zal over informatiebeveiliging ook externe communicatiemet afnemers en leveranciers van informatie alsmede met leveranciers van informatietechnologie produkten (apparatuur en programmatuur) plaats moeten vinden. In deel 1 van het handboek is hier reeds op ingegaan. Mondelinge communicatie Mondelinge communicatie is van evident belang voor een adequate afstemming van taken en zal met name worden gevoerd over het formuleren van beleid alsmede over de implementatie, de uitvoering en de INFORMATIEBNEILIGINQ OP DEPARTEMENT. NIVEAU
89
handhaving van dit beleid. Communicatiedient plaats te vinden op het strategisch, tactisch en operationeel niveau alsmede tussen de verschillende niveaus. Mogelijke vormen van mondelinge communicatie zijn: informatiebeveiligingals terugkerend agendapunt in bestaande overlegstructurenzoals het departementaal beraad, het Audit Committee of het overleg tussen informatiemanagers; specifiek overleg over informatiebeveiliging,bijvoorbeeld tussen staffunctionarissenop strategisch en tactisch niveau of overleg in projectverbandtussen deskundigen op specifieke gebieden over concrete problemen op het terrein van informatiebeveiliging (bijvoorbeeldover een uniforme opzet van het geautomatiseerd toegangsbeheer).
-
-
Daarnaast zal veel mondelinge communicatie tussen lijn- en staffunctionarissenop de verschillende niveaus plaats vinden teneinde te adviseren over de implementatieen de handhaving van het informatiebeveiligingsbeieid.Dit overleg zal veelal op ad hoc basis bilateraal plaatsvinden, Het bevorderen van het beveiligingsbewustzijn vereist eveneens veel mondelinge communicatie, bijvoorbeeld in de vorm van voorlichtingssessiesen management games. Schriftelijke communicatie De hiervoor genoemde vormen van mondelinge communicatiedienen te worden aangevuld met schriftelijkecommunicatie. De meest voor de hand liggende vorm van schriftelijke communicatie over informatiebeveiligingis het op schrift stellen van: - het informatiebeveiligingsbeleid; - beveiiigings- en calamiteitenplannen: - bevindingen naar aanleiding van uitgevoerdecontroles en evaluaties. Deze documenten kunnen een belangrijk hulpmiddel vormen voor het adequaat managen van informatiebeveiliging. Voor wat betreft de schriftelijke rapportage over bevindingen naar aanleiding van uitgevoerde controles en evaluaties wordt opgemerkt dat deze ofwel integraal onderdeel uit kunnen maken van bestaande management rapportages, ofwel specifieke rapportages over informatiebeveiliging kunnen betreffen. Zo zouden lijnmanagers bijvoorbeeld periodiek aan kunnen geven: in hoeverre de beleidsdoelstellingenzoals geformuleerd in het informatiebeveiligingsbeieidzijn behaald;
-
90
~NFORMATIEBNEILIGINGOP DEPARTEMENTARL " E A U
-
o
-
of gedurende de periode waarop de rapportage betrekking heeft, voldaan is aan de beschikbaarheids-, integnteits- en exclusiviteitseisen die gesteld zijn aan de infomatievoorzieningen op welke wijze dat is vastgesteld; wat het effect van eventuele inbreuken op de informatiebeveiliging op de bestuurs- en bedrijfsprocessen en de bedrijfsdoelstellingis geweest.
Ook zou het management van bijvoorbeeldeen rekencentntm periodiek ten behoeve van alle gebruikers verantwoording af kunnen leggen over de naleving van het stelsel van informatiebeveiligingsmaatregelen. Het zou tot de taken van een onaíhankelijke controle instantie kunnen behoren om deze verantwoording periodiek te toetsen en hierover schriftelijk te rapporteren. In hoofdstuk 6 wordt nader ingegaan op controle.
0
Tenslotte wordt opgemerkt dat ten behoeve van het bevorderen van het beveiligingsbewustzijn veel schriftelijke communicatie nodig is ter ondersteuning van de mondelinge communicatie. Voorbeelden hiervan zijn posters, brochures en dergelijke over informatiebeveiliging. Zowel intern als extern dient te worden gecommuniceerd over informatiebeveiliging. Mondelinge en schriftelijke communicatie zijn complementair aan elkaar. 6.4
Implementatie
Bij de inrichting van de beveiligingsfunctiespelen een aantal complexiteiten in de verantwoordelijkheid voor informatievoorziening een belangrijke rol. Deze doen zich met name voor indien: - programmatuur door een departementale ontwikkelingsorganisatie wordt ontwikkeld, al dan niet in samenwerking met externe instanties: het beheer van informatiesystemen door derden plaats vindt, al dan niet interdepartementaal: - meerdere informatiesystemen gebruik maken van eenzelfde verwerkings-eenheid (rekencentrum) of transporteenheid (datacommunicatie netwerk): gegevens door meerdere bedrijfsprocessen worden gebruikt, al dan niet door derden beheerd; gegevens van derden worden betrokken of aan derden worden doorgegeven: een departement een centraal inkoopbeieidvoert voor apparatuur en apparatuur.
-
-
INFORMATIEBEVEILIGING OP DEPARTEMENTAAL NIVEAU
91
Teneinde de beveiligingsfunctieadequaat in te kunnen richten is het van evident belang dat de verantwoordelijkheidvoor eik gebied van de informatievoorzieningeenduidig wordt toegewezen aan een lijnmanager. Deze verentwoordelijkheidstoewijzingis met name van belang om vast te stellen wie betrouwbaarheidseisen stelt en wie zorg draagt voor het gewenste betrouwbaarheidsniveau. Daar waar verantwoordelijkheidsgebiedenelkaar raken, bijvoorbeeld indien één of meerdere informatiesystemengebruik maken van hetzelfde rekencentrum, dienen de betrokken lijnmanagers afspraken te maken. Naast integratie van taken in bestaande structuren, kan het voor een departement nuttig zijn om de beveiligingsfunctieals volgt te implementeren: Bureau beveiliging Dit bureau kan tot taak hebben alle beveiligingsvraagstukken binnen het departement te coördineren en te baseren op gemeenschappelijke uitgangspunten. Het bureau kan dan de spil in de beveiligingsfunctie vervullen. Het bureau kan bestaan uit deskundigen op het gebied van: - informatiebeveiliging; persoonsbeveiliging; - materieeibeveiliging; bedrijfspsychologie. Het bureau kan de in paragraaf 6.2 genoemde strategische (staotaken uitvoeren. Overleg kan plaatsvinden met de SG, de directeur O&I, directeur Personeelszaken en de directeur Accountantsdienst.
-
Projectgroepen beveiliging Specifieke vraagstukken op het gebied van informatiebeveiligingkunnen worden uitgevoerd in projectverband, onder voorzitierschap van een deskundige van het bureau beveiliging. Participatie door functionarissenuit de gehele organisatie vindt plaats op grond van.kennis, inzicht en ervaring. Stuurgroep informatiebeveiliging Deze stuurgroep kan tot taak hebben de beleidsrealisatiete coördineren en te bewaken. Onder voorzitterschapvan de SG, kunnen hieraan de volgende functionarissen deelnemen: het hoofd bureau beveiliging; de directeuren generaal; - de directeuren FEZ,O&I, Personeelszaken en Accountantsdienst.
-
Uitkomsten van controles en evaluaties kunnen mede onderwerp van besprekingzijn.
92
INFORMATIEBEVEILIGING OP DEPARIEMENTM NIMAU
O
O
Directie O&I Uitgaandevan algemene beleidsuitgangspunten op het gebied van informatiebeveiliging kan de beleidsrealisatie worden gecoördineerd door middel van het formuleren van richtlijnen voor: _ ' ontwikkeling ' en onderhoud van programmatuur: beheer van informatiesystemen, rekencentra en netwerken: logische toegangsbeveiliging.
-
Door de directie zou methodische ondersteuning kunnen worden verleend aan de lijnmanagers van de directoraten generaal, onder andere bij het formuleren van eisen, identificerenvan bedreigingen en het treffen van maatregelen. Externe informationele relaties kunnen door de directie worden onderhouden.
Audit Committee De taken op het gebied van controle en evaluatie kunnen binnen het Audit Committee op elkaar worden afgestemd, gepland en geëvalueerd. Teneinde alle beveiligingsvraagstukken te baseren op dezelfde uitgangspunten, kan op strategisch niveau, rechtstreeks onder de SG,een bureau beveiliging worden ingesteld dat een coördinerende, sturende, adviseren en evaiuerende rol vervult.
O I
I
INFORMATIEBEVEILIGING OP DEPARTEMENTAAL NIVEAU
93
7
Controle en evaluatie
7.1
Algemeen
Dit hoofdstuk bevat een algemene visie op controle en evaluatie. Met name het begrip controle is een beladen term. Het controlebegrip zoals gehanteerd in dit handboek wordt primair gezien als een instrument voor het lijnmanagement gericht op het beheersen van de kwaliteitsaspecten beschikbaarheid, integriteit en exclusiviteit teneinde blijvend te voldoen aan de gestelde eisen. Als beheersinstrument zal controle (vergelijk het Engelse begrip "to control") als een integraal onderdeel moeten worden gezien van de bestuurs- en bedrijfsprocessen. Controle heeft bovendien de betekenis van het uitvoeren van een beoordelend onderzoek achteraf ten aanzien van een bepaald object met het doel om vast te stellen dat of het stelsel van beheersmaatregelen heeft gewerkt. Deze vorm van controle wordt aangeduid met het Engelse begrip "to audit". Het betreffen met name de in- en externe accountantsonderzoeken door de (departementale) accountantsdienstenen de Algemene Rekenkamer. Daarover gaat paragraaf 7.2. Daarnaastzijn er onderzoeken die tot doel hebben vast te stellen of het beoogde beleid, de plannen en de uitvoering nog steeds doelmatig en doeltreffend zijn. Dergelijke onderzoeken worden in het kader van dit handboek aangeduid met evaluatie en behandeld in paragraaf 7.3. Een bijzonder beheersinstrument is het registreren van inbreuken op de beveiliging. Een dergelijke registratie kan een belangrijke rol spelen bij het uitvoeren van controles en evaluatie; dit ondetwerp komt in paragraaf 7.4 aan de orde. Als beheersinstrument zal controle een integraal onderdeel moeten zijn van de bestuurs- en bedrijfsprocessen. Evaluatie vindt plaats om vast te stellen of het beoogde beleid, de plannen en de uitvoering nog steeds doelmatig en doeltreffendzijn.
94
INFOAMATIEBWEILIGINGOP
DEPAKTEMENTAAL NIVEAU
7.2
Controleren en beheersen
Controle als behsersinstrument voor het lijnmanagement wordt ook wel interne controle genoemd. Deze vorm van controle levert onder andere een bijdrage aan het waarborgen van de beschikbaarheid, integriteit en exclusiviteit van de informatievoorziening. Op basis van de interne controle dient het management een redelijke zekerheid te krijgen dat voortdurend wordt voldaan aan vooraf vastgestelde eisen. Omdat interne controle volgens een bepaald vooropgezet doel, stelselmatig en samenhangend in bestuurs- en bedrijfsprocessenmoet zijn ingebouwd, spreekt men veelal van het "systeem van interne controle". Dit systeem heeft een grotere reikwijdte dat de betrouwbaarbid van de informatievoorziening. Interne controle is bijvoorbeeld ook gericht op een betrouwbare financiële verantwoording. Bij het gebruik en beheer van informatiesystemen spelen de door de gebruikerszelf uitgevoerde controlehandelingen een belangrijke rol. Dergelijke controlehandelingen worden ook wel zelfcontrole genoemd. Bepaalde interne controlemaatregelen kunnen worden uitgevoerd door speciaal daarmee belaste functionarissen: het verbijzonderen van interne controle. De belangrijkste reden om interne controles ter verbijzonderen is dat voor bepaalde werkzaamheden een zekere specialistische deskundigheid vereist is. Verbijzondering vindt derhalve zijn oorsprong in de noodzaak tot een doelmatige arbeidsverdeling. Om interne controles effectief werkzaam te doen zijn moet aan bepaalde vootwaardan worden voldaan. De voornaamste daarvan zijn: 1 beheersing van het controleproces Het is van belang te constateren dat het interne controleproces inzake informatiebeveiligingintegraal is opgenomen in de procesgang van een organisatie en dat interne controle functioneert: hoe organiseert en stuurt de leiding van een departement(sonderdee1)het geheel van interne controle, welke normen voor interne controle worden gehanteerd, welke rapportering wordt verlangd via de normale hiërarchieke lijnen en hoe adequaat reageert vervolgens de leiding om een en ander bij te stellen.
0
2 controleerbaarheid van basisprocessen Belangrijk is dat de informatiebeveiligingvan de bedrijfsprocessen en de registratie daarvan controleerbaar zijn omdat anders niet zichtbaar kan worden gemaakt dat de beveiliging heeft gefunctioneerd. Een andere belangrijkevoorwaarde is dat bepaalde handelingen dienen te worden gedocumenteerd. INFORMATIEBEVEILIGING OP DEPARTEMENIAAL NIVEAU
95
3 controlebetrokkenheid Van groot belang is dat zowel de leiding als de uitvoerenden zich bewust zijn van het feit dat interne controle ten aanzien van het informatiebeveiliging essentieel is. Interne controle is noodzakelijk om te kunnen bepalen of uitkomsten aansluiten bij de vooraf gestelde eisen. Het inbouwen van interne controle Is noodzakelijk op grond van delegatie van bevoegdheden: de leiding heeft de plicht controle toe te passen en de uitvoerenden hebben recht op controle teneinde gedechargeerd te worden. De leiding dient dan ook betrokken te zijn bij een goede opzet van het systeem van interne controle en zij dient op een goede discipline bij de uitvoering toe te zien. Deze vorm van "hogere" interne controle vormt een belangrijk onderdeel van het interne controle bouwwerk. Het verdient derhalve aanbeveling om in het kader van de beveiliging van de informatie de hoogste departementale leiding te betrekken. 4 controledeskundigheid Deskundigheid van uitvoerenden van basisprocessen is van groot belang voor een goede beheersing van de bedrijfsprocessen. Datzelfde geldt voor de deskundigheid van het personeel dat is betrokken bij controles. 5 controletechnische functiescheidingen
Een voorwaarde voor vele interne controles bij informatiebeveiliging is de aanwezigheid van zogenaamde controletechnische functiescheidingen. De controletechnische functiescheidingen hebben tot doel een evenwicht te verkrijgen in de verantwoordingen van: - het beherenlbeschikken (het beslissen tot het verrichten van transacties); - bewaren (het accepteren of het afleveren van waarde): registreren (het vastleggen van gegevens); - de uitvoering.
-
Het is de bedoeling dat deze verantwoordingen zijn gescheiden zodat wordt bereiki dat beheersing van processen op een logische wijze is ingebed in de organisatie en interne controle reageert bij disfunctioneren.
I
I
Om interne controles effectief werkzaam te doen zijn moet aan bepaalde voorwaarden worden voldaan. De voornaamste daarvan zijn: beheersing van het controleproces, controleerbaarheid van basisprocessen, controlebetrokkenheid, controledeskundigheid en controletechnische functiescheidingen. I
96
I
INFORMATIEBEVEILIGING OP
DEPARTEMENTAAL NIVEAU
7.3
O
Periodieke onderzoeken in opdracht van de SG
In opdracht van de Secretaris-Generaal dient volgens een vastgesteld schema door een onafhankelijke deskundige een onderzoek plaats te vinden naar de kwaliteit van het informatiebeveiligingsbeleiden van het gehele stelsel van informatiebeveiligingsmaatregelen binnen het departement. Dit onderzoek heeft zowel een controlerend (in de zin van toetsing achteraf) als een evaluerend karakter. Van het onderzoek wordt een verslag uitgebracht aan de Secretaris-Generaal.
'
Door het opstellen van een schema kan zowel de volledigheid van het onderzoek worden bewerkstelligd. alsook differentiatieworden aangebracht in de frequentie waarmee bepaalde onderdelen worden onderzocht. Het ligt voor de hand de frequentie te verhogen voor die onderdelen waarvan het betrouwbaarfunctioneren van de informatievoorziening van een departement het meest van belang is. Het onderzoek heeft betrekkingop het beleid, op de organisatie van de beveiligingsfunctieen op alle verantwoordelijkheidsgebieden (informatiesystemen, verwerkingsorganisaties, ontwikkeiingsorganisaties, de netwerkorganisaties etc.). Bij het onderzoek naar de organisatie van de beveiligingsfunctiekunnen alle aspecten worden betrokken die genoemd zijn in hoofdstuk 5; met name de doelmatigheid en doeltreffendheid van de beveiligingsfunctiezijn van belang. Het onderzoek naar de realisatieen handhaving van het beleid kan om doelmatigheidsredenen per verantwoordelijkheidsgebied worden uitgevoerd. Belangrijke aandachtsgebieden zijn: - de wijze waarop het lijnmanagement het beleid vertaald heeft naar plannen; het systeem van interne controle gericht op het beheersen van de beschikbaarheid, integriteit en exclusiviteit, met name de daarbij gehanteerde instrumenten; de doelmatigheid en doeltreffendheid van de beoogde maatregelen.
-
In het hiernavolgende deel van deze paragraaf wordt nader ingegaan op de evaluatie van het beleid en het opstellen van een onderzoeksplan. Beleidsevaluatie Het uitgangspunt is dat systematischeen periodiekebeleidsevaluatie een rol kan spelen bij het beoordelen van de doeltreffendheid en doelmatigheid van beleid, maar ook bij decentrale resultaat gerichte sturing binnen de rijksdienst. Beleidsevaluatie maakt het mogelijk de doeltreffendheid van beleid te beoordelen. Zij kan een antwoord geven op de vraag of de INFORMATIEBEVEILIGING OP DEPARTEMEMAAL NIVEAU
97
I
beoogde effecten worden gerealiseerd. In veel gevallen zal daarbij tegelijkertijd worden onderzocht in hoevene al dan niet verwachte, positieve of negatieve neveneffecten optreden. Door beleidsevaluatiewordt het mogelijk meer ten princlpale beleidsalternatieven tegen elkaar af te wegen. Beleidsevaluatie kan in dit opzicht een wezenlijke bijdrage leveren aan allocatie van middelen.
O
Naast de vraag naar doeltreffendheidvan beleid is er bovendien de noodzaak van een voortdurende kritischetoetsing van de bestaande activiteiten op hun doelmatigheid. Daarbij is het noodzakelijkte zoeken naar mogelijkheden om de doelmatigheidte verbeteren. Het gaat er dan om de beleidsdoelstellingente realiseren met een zo goed mogelijke inzet van middelen. Met beleidsevaluaties kan worden ondetzocht of dit ook gebeurt en waar verbeteringen nodig zijn. Met betrekking tot het stimuleren van beleidsevaluaties kunnen verder de volgende uitgangspuntenworden gehanteerd: - beleidsevaluatiesmaken een integraal onderdeel uit van beleidsprocessenhetgeen impliceert dat alle beleid periodiek onderwerp is van evaluatieonderzoek; beleidsevaluaties worden zoveel mogelijk binnen de bestaande kaders en structuren ingebed. Dit is een voorwaarde om de interactie tussen inzichten uit beleidsevaluaties, de ontwikkeling van nieuw beleid en het bijsturen van bestaand beleid te waarborgen; - het is primair de verantwoordelijkheidvan de politieke en ambtelijke leiding van de afzonderlijkedepartementen om evaluaties te bevorderen en de resultaten ervan bij de beleidsvorming te betrekken; - het is essentieel dat de uitkomstenvan evaluaties worden betrokken bij budgettaire afwegingen, ook buiten de grenzen van de betreffende begrotingen; het gebruik van indicatoren en kentallen is een vorm van evaluatie. De bevorderingvan de beleidsevaluatie door het gebruik van indicatoren is wenselijk.
-
-
Opstellen van een onderzoeksplan Het doel van het evaluatieplan is om door middel van een goede planning een zodanig efficiënt gebruik van de beschikbare mensen en middelen te bereiken, dat een goede en tijdige uitvoering van de evaluatie gerealiseerd kan worden. Voorts is het plan bedoeld om, na een adequate prioriteltsstelling en allocatie van de resterende personele capaciteit en middelen, door planning te komen tot een optimale uitvoering van taken van het gehele departement.Vervolgens dient het plan gedurende de uitvoering van de geplande werkzaamheden als instrument bij de bewaking van de voortgang van deze activiteiten. In die zin vormt het evaluatieplan een 98
INFORMATIEBEVEILIGINGOP
DEPARTEMENML" E A U
O
communicatie-functiein het overleg tussen de departementsleiding, het lijnmanagement, de departementale accountantsdienst en de interne controle afdelingen. Het opstellen van het evaluatieplan kan in een aantal fasen geschieden: 1 Het inventariseren van de evaluatie-objecten binnen de verantwoordelijkheidsgebiedenvan de onder de SG ressorterende lijnmanagers: 2 Het inventariseren van de beschikbare evaluatiecapaciteit; het personele en materiële budget; 3 Het vaststellen van de prioriteiten met betrekking tot de evaluatieobjecten en het bij de evaluatie te hanteren tijdschema: 4 De keuze van de rapporteringsvorm; 5 Het vaststellen van de bij de planning en uitvoering te hanteren risico's; 6 Het invulling geven aan de taak van de onderzoeker. Systematische en periodieke beleidsevaluatie kan een rol spelen bij het beoordelen van de doeltreffendheid en doelmatigheidvan beleid, maar ook bij decentrale resultaatgerichte sturing binnen de rijksdienst. Hiertoe dient een evaluatieplan te worden opgesteld. 7.4
o
o
Registratie van inbreuken
Ondanks de getroffen beveiligingsmaatregelen kan er toch het een en ander mis gaan. Gebeurtenissen waarbij sprake kan zijn van verstoring van het normale functioneren van een informatiesysteem en de betrouwbaarheid in het geding is, worden in het algemeen incidenten genoemd. De oorzaken kunnen zijn technisch falen, onderling tegenstrijdigeprocedures, externe factoren (zoals brand en wateroverlast) en menselijk handelen. In deze paragraaf komt de laatste categorie aan de orde, met name het zodanig handelen van mensen dat gesproken kan worden van inbreuken op de beveiliging. Het is van groot belang dat dergelijke inbreuken worden geregistreerd. Het doel daatvan is iets te leren over enerzijds de effectiviteit van de beveiligingsmaatregelen en anderzijds de wegen waarlangs inbreuken plaats vinden. Voorzover inbreuken niet automatisch door het systeem zelf worden geregistreerd, staat of valt de procedure met de bereidheid van medewerkers om geconstateerde of vermoede inbreuken te melden. Bekendheid zal moeten worden gegeven aan de wijze waarop, de personen waarbij en de plaats waar inbreuken gemeld kunnen worden. INFORMATIE~EVEILIGING OP DEPARTEMENTAAL NIVEAU
99
Veel abnormale gebeurtenissen rond de informatiebeveiliging zijn een gevolg van onwetendheid bij of vergissingen van mensen. Haast of gemakzucht zijn ook nogal eens redenen om het niet zo nauw te nemen met beveiliging. In dergelijke gevallen moet meer aandacht worden gegeven aan de bewustmaking en opleiding. Overigens kan het frequent optreden van bepaalde fouten een teken zijn dat procedures moeten worden herzien.
O
Indien er sprake is van opzettelijk handelen met de bedoeling schade toe te brengen, komen de volgende zaken aan de orde: - inschatten van de ernst van de situatie (waar ligt de bron, wat was het doel van de dader, hoe groot is de schade): vaststellen of de schade acceptabel is, of maatregelen moeten worden getroffen om verdere schade te beperken, dan wel of de schade hersteld moet worden: beslissen wie tot op welke hoogte ingelicht moet worden; - beslissenof interne disciplinaire maatregelen noodzakelijk zijn.
-
De voorwaarden die de organisatie stelt aan het registreren van inbreuken zullen moeten zijn ingegeven door de wens dat er een klimaat bestaat waarin het melden van inbreuken niet als negatief wordt ervaren, maar dat het een positieve invloed heeft op de beveiliging van de organisatie en de processen. Het moet mogelijk zijn dat er meldingen worden gedaan van inbreuken, die in principe niet leiden tot sancties tegen degene die inbreekt. Extreem gesteld kan men overwegen een premie te geven aan degene die in staat is door een beveiliging heen te breken. Registratie van inbreuken op de infortnatiebeveiligingspeelt een belangrijke rol bij het uitvoeren van controles en evaluatie. Waar en hoe een inbreuk moet worden gemeld, dient vast te liggen in het beleidsdocument inzake informatiebeveiliging.
1O0
INFORMATIEBEVEILIGING OP DEPARTEMENTAAL NIVEAU
O
8
Werking van het informatiebeveiligingcbeleid
8.1
Algemeen
Zoals in deel 3 van het handboek is gesteld, is het vastleggen van beleid geen garantie voor succes. Informatiebeveiliging impliceert vaak het verhogen van drempels, kan de uitvoering van processen vertragen en het resultaat is moeilijk meetbaar. Investeringen in beveiliging zijn moeilijk te motiveren en worden vaak ten laste gebracht van budgetten voor organisatie en informatievoorziening die om diverse reden vaak onder grote druk staan. Complexe verantwoordelijkheidsstructuren in de infonatievoorzieningen complexe technologischeoplossingen kunnen de beleidsrealisatie voorts belemmeren. Het is derhalve van groot belang dat het lijnmanagement over adequate instrumenten beschikt om het beleid te realiseren, handhaven en evalueren. Alvorens hier in dit hoofdstuk nader op in wordt gegaan, wordt eerst een aantal kritische succesfactoren geschetst. Teneinde het infomiatiebeveiligingsbeleidte realiseren, kan het lijnmanagement een breed scala aan management instrumenten hanteren. Infonatiebeveiligingis echter zowel organisatorisch als inhoudelijk een moeilijk te managen proces.
8.2
Kritische succesfactoren
Hieronder is een aantal kritische succesfactoren weergegeven die van belang zijn bij de realisatie van het informatiebeveiligingsbeleid. Motivatie van het topmanagement Het topmanagement van een departement zal zelf bijzonder gemotiveerd moeten zijn het beleid te realiseren en dit ook moeten uitstralen, mede door een actieve betrokkenheid. Sponsor Informatiebeveiliging heeit binnen het departement een sponsor nodig: iemand die zich er voor inzet "het gewoon voor elkaar te krijgen" en "de schouders er onder zet". Gedragsverandering Informatiebeveiliging impliceert vaak gedragsverandering, gebaseerd op INFORMATIEBWEILIGING OP DEPAATEMENTAAL N I ~ U
101
weten, willen en handelen. Het management zal derhalve gericht moeten zijn op respectievelijk informeren, stimuleren en ondersteunen. Informatiebeveiliging is mensenwerk. Met ander woorden, de mensen moeten zelf doordrongen zijn van het belang van beveiliging en als zodanig gaan kunnen handelen. Doelen: Gedrag: Hulp:
Weien
Willen
Ik weet dat het goed is.
Ik neem mij voor goed te handelen. Stimuleren
Informeren
O
Handelen Ik handel er Wk naar. Ondersteunen
Het lijnmanagement en de ondersteunende staffunctionarissen dienen van het proces van gedragsverandering doordrongen te zijn. Bedrijfspsychologischeinbreng bij informatiebeveiliging klinkt wellicht vreemd, maar is het absoluut niet! Betrokkenheid door participatie Door participatie kan de betrokkenheid van gebruikers van informatiesystemen worden vergroot hetgeen de kans op succes verhoogt. Hieraan kan onder andere gestalte worden gegeven door gebruikers met name bij het ontwerp en de implementatie van maatregelen te betrekken. Het (dwingend) opleggen van maatregelen creëert vaak weer situaties om deze maatregelen te niet te doen. Zo kan het te frequent verplicht moeten wijzigen van wachtwoorden gebruikers er toe bewegen hun wachtwoord op te schrijven. Top-down aanpak versus bonom-up Informatiebeveiligingvraagt om een top-down aanpak. Er dient echter voldoende ruimte te zijn voor betrokkenen om initiatieven te nemen, ideeën aan te dragen en (bonom-up)voorstellen te doen. Multidisciplinaire inbreng Alleen met goed teamwork vanuit verschillende disciplines kan een evenwichtig stelsel van maatregelen worden bereikt met de hoogste kans op naleving. Deskundigheid Beleid, plannen en maatregelen dienen door deskundigen te worden opgesteld. Met name voor maatregelen geldt dat indien deze kwalitatief onvoldoende blijken te zijn, de gestelde eisen niet gehaald zullen worden. Deskundigheid heeft betrekking op kennis, inzicht en ervaring. Complexe technologischeoplossingen vragen ook om deskundigheid bij het treffen van maatregelen, echter er dient voor te worden gewaakt dat informatiebeveiliging zich af gaat spelen binnen een beperkte groep experts die uiteindelijk niet meer te managen blijken te zijn. 102
INFORMATIEBMILIGING OP DEPARTEMENTAAL NIMAU
O
Integratie Maatregelen moeten zo nauwkeurig aansluiten bij bestaande werkprocessen en procedures.
Kernwoorden voor een effectief stelsel van maatregelen zijn: betrokkenheid, participatie, commitment en motivatie. Beveiliging is mensenwerk.
8.3
Instrumenten voor het lijnmanagement
Bij de beleidsrealisatie en -handhaving staan het lijnmanagement onder andere de volgende instrumenten ter beschikking: beleidsdocumenten; - bewustwordingsprogramma’s; - opleidingsprogramma’s; - organisatorische inbedding van de beveiligingsfunctie; eisen die worden afgeleid van bestuurs- en bedrijfsprocessen: zichtbaar maken van bedreigingen waartegen men zich wenst te beveiligen; opstellen van beveiligings- en calamiteitenplannen met onderbouwing van alternatieven en het aangeven van de consequenties: hanteren van richtlijnen; integreren van controle gericht op het beheersen van bestuurs- en bedrijfsprocessen; periodiekeinterne en externe controles en evaluaties, gerelateerd aan het behalen van de doelstellingen van de bestuurs- en bedrijfsprocessen (meetbaar maken van beveiliging).
-
-
Voorts dienen richtlijnen en maatregelen volledig te worden geïntegreerd in bestaande documenten, werkprocessen en procedures, bijvoorbeeld door integratie in: alle relevante besluitvormingsprocessen, wellicht in de vorm van verplichte consultatie van deskundigen of het opnemen van een “beveiligingsparagraaf“ in besluitvormingsdocumenten; cursusprogramma’s en management games: - handboeken systeemontwikkeling en systeembeheer; administratief organisatorische procedures.
-
Informatiebeveiliging kan worden beschouwd als een zorgsysteem. Het toe te passen instrumentarium vertoont grote overeenkomsten met andere zorgsystemen, met name kwaliteitszorg. INFORMATIEBWEILIGING OP DEPARTEMENIAAL Nimu
103
Handboek Informatiebeveiliging Rijksdienst 1995
O Deel 4 Bepalen van informatiebeveiligingsmaatregelen
105
Inhoudsopgave deel 4 1
Inleiding
107
2
Formuleren van betrouwbaarheidseisen 2.1 Algemeen 2.2 Bestuurs- en bedrijfsprocessenen de infonatievoorziening 2.3 Vaststellen van betrouwbaarheidseisen 2.4 Clustering van informatiesystemen 2.5 Betrouwbaarheidseisen voor verantwoordelijkheidsgebieden
110 110
3
Identificerenvan bedreigingen 3.1 Algemeen 3.2 Systematische analyse van bedreigingen 3.3 Relatie met risico-analyse
125 125 126 127
4
Kiezen van beveiligingsmaatregelen 4.1 Algemeen 4.2 Soorten maatregelen 4.3 Maatregelenkeuze als iteratief proces 4.4 Lasten van informatiebeveiliging
129 129 130 132 135
5
Informatiebeveiligingsplannen 5.1 Algemeen 5.2 Opzet en doel van een informatie beveiligingsplan De calamiteitenparagraaf 5.3 5.4 Implementatie, handhaving en evaluatie van informatiebeveiligingsplannen
138 138
106
111 115 120 122
138 140 141
1
Inleiding
In deel 1 van dit handboek is aangegeven dat informatiebeveiligingeen onderdeel van kwaliteitszorg is en als zodanig een essentieel aandachtspunt vormt bij de ontwikkelingvan (inf0rmatie)systemen. Het is gebruikelijk in het ontwikkeltrajecteen (al of niet gestandaardiseerde) fasering toe te passen: elke fase wordt afgesloten met een mijlpaal in de vorm van een document dat door de opdrachtgever moet worden goedgekeurd alvorens de volgende fase kan statten. Uitgaandevan een bij systeemontwikkeling veel gebruikte fase- aanduiding is hieronder aangegeven welke plaats de kwaliteitszorgin elke fase heeft. Definitiestudie In deze fase worden de globale functionele en kwaliteitseisen geformuleerd. Uitgangspunten zijn daarbij de vigerende regelgeving, de te beschermen belangen en het informatiebeveiligingsbeleid dat voor de organisatie als geheel geldt. Voor zover een basis-beveiligingsniveau aanwezig is, kan men daar uiteraard gebruik van maken. De kwaliteitseisen zullen in dit stadium vooral in kwalitatievetermen kunnen worden geformuleerd.
e
Basisontwerp In deze fase vindt een uitwerking plaats van de globale kwaliteitseisen naar meer gedetailleerde eisen, waaronder betrouwbaarheidseisen. Uitgangspuntdaarbij is de mate waarin bedrijfs- en bestuursprocessen afhangen van een betrouwbare informatievootziening. Vastgesteld wordt tegen welke bedreigingen het systeem beveiligd moet worden. Er wordt een eerste vertaalslag gemaakt naar (typenvan) beveiligingsmaatregelen; hier begint ook al het afwegen om tot een evenwichtige set van kwaliteitskenmerken te komen. In deze fase zijn vooral de hoofdstukken 2 en 3 van dit handboekdeel van belang. Detallontwerp In deze fase gaat het om de keuze van de beveiligingsmaatregelen, uitgaande van de betrouwbaarheidseisen en de geïdentificeerde bedreigingen. Een iteratieve aanpak is noodzakelijk om vast te kunnen stellen of aan de gestelde eisen wordt voldaan en of de lasten (denk aan responstijden, gebruiks-vriendelijkheid, kosten, en dergelijke) aanvaardbaar zijn. De overwegingen op grond waarvan tot bepaalde maatregelen is besloten worden vastgelegd: voor zover organisatorische maatregelen in het spel zijn, wordt daarvoor een implementatieplan gemaakt. Eventueel kunnen alternatieve ontwerpen worden uitgewerkt en kan aanpassing van BEPALEN VAN INFORMATEBEYEILIGINQSWATREQELEN
107
het systeemconcept noodzakelijk zijn. In het extreme geval kan een en ander leiden tot bijstelling van het informatiebeveiligingsbeleidvan de organisatie. In deze fase is vooral hoofdstuk 4 van dit handboekdeel van belang. Realisatie Het is in deze fase dat het systeem de gewenste kwaliteitskenmerken ofwel -eigenschappen krijgt door de implementatie van de gekozen beveiligingsmaatregelen. Als onderdeel van de documentatie van het systeem wordt een beveiligingsplan inclusief calamiteitenparagraaf gemaakt. Daarvoor is hoofdstuk 5 van belang. Acceptatie en invoering In deze fase worden de kwaliteitskenmerken van het geleverde systeem getoetst aan de eerder gestelde eisen, zoals die in het basisontwerpwaren vastgelegd. De uit te voeren test zal de uiteindelijke produktieomstandigheden zo goed mogelijk moeten benaderen. Voor systeemkenmerken die gedefinieerd zijn in termen van levensduur is een acceptatietest onmogelijk. Hier moet dus vertrouwd worden op ervaringscijfers en op de mate waarin de ontwerper de keuze voor bepaalde maatregelen aannemelijk kan maken.
O
Gebruik en exploitatie In deze fase vindt het beheer en onderhoud plaats, waarbij beveiliging uiteraard een voortdurend aandachtspunt is. Er zal een regelmatige controle op de correcte uitvoeringen naleving van de beveiligingsmaatregelen noodzakelijk zijn. Daarnaast dient men zich op gezette tijden af te vragen of de maatregelen op zich nog relevant en juist zijn in het licht van technologische, maatschappelijke d o f organisatorische ontwikkelingen. Voorts is het gewenst om zicht te hebben op zich voordoende inbreuken op de informatiebeveiliging. Een en ander kan leiden tot aanpassing van de maatregelen of bijstelling van het beleid. In deel 2 van dit handboek is aangegeven dat de lijnmanager verantwoordelijk is voor de beveiliging van de onder zijn of haar beheer staande informatiesystemen. Deze verantwoordelijkheid wordt ingevuld doordat de lijnmaneger: de opdracht geeft voor het formuleren van de betrouwbaarheidseisen en het identificerenvan de bedreigingen: deze betrouwbaarheidseisen en bedreigingen accordeert: - de opdracht geeft voor het kiezen van zodanige maatregelen dat aan de eisen aantoonbaar wordt voldaan: - deze maatregelen accordeert.
-
1O8
BEPALEN VAN INFORMATIEBEVEILIGINGSMAATREGELEN
De gekozen maatregelen zullen vervolgens moeten worden geintegreerd in alle werkprocessen en wel zodanig dat alle medewerkers deze maatregelen als vanzelfsprekend ervaren.
O Informatiebeveiliging is een onderdeel van kwaliteitszorg is en vormt als zodanig een essentieel aandachtspunt bij de ontwikkeling van (inf0rmatie)systemen.
109
2
Formuleren van betrouwbaarheidseisen
2.1
Algemeen
In dit hoofdstuk wordt een systematiek aangereikt volgens welke betrouwbaarheidseisen aan een informatiesysteem kunnen worden gesteld. Centraal staat het vaststellen in hoeverre een bestuurs- of bedrijfsproces afhankelijk is van de betrouwbaarheid van een informatiesysteem en welke potentiële schaden kunnen optreden als gevolg van verstoringen in de informatievoorziening. Een dergelijke analyse wordt in het Voorschrift Informatiebeveiliging Rijksdienst een afhenkelijkheidsanalyse genoemd. Het resultaat van een afhankelijkheidsanalyse is: 1. inzicht in de mate waarin de bedrijfsprocessenafhankelijk zijn van het adequaat functioneren van het informatiesysteem; 2. een set van betrouwbaarheidseisen die aan het informatiesysteem worden gesteld.
De eisen worden, onafhankelijk van de aard en omvang van de bedreigingen, afgeleid van: - eisen die ontleend worden aan de door het lijnmanagement vastgestelde maximaal toelaatbare schade als gevolg van een verstoring in de informatievoorziening (conform de systematiek zoals uitgewerkt in de hiernavolgende paragrafen): - de door externe instanties (leveranciers en afnemers van informatie en wet- en regelgeving) rechtstreeks aan het informatiesysteem gestelde eisen (bijvoorbeeld indien een salarisadministratie zeer vertrouwelijke persoonsgegevens van een externe instantie krijgt aangeleverd ten behoeve van de salarisberekening). ,
,
,
Het formuleren van betrouwbaarheidseisen vindt plaats onder de: verantwoordelijkheid van het lijnmanager dat verantwoordelijk is voor de bestuurs- en bedrijfsprocessen die door het betreffende informatiesysteem worden ondersteund. Samen met de gdidentificeerdebedreigingen, waartegen het management zich wenst te.beveiligen,geven deze elsen richting aan het stelsel van te treffen informatiebeveiligingsmaatregelen. In de paragrafen 2.2 en 2.3 wordt respectievelijk ingegaan op de relatie tussen de bestuurs- en bedrijfsprocessen,ende informatievoorziening en op het vaststellen van betrouwbaarheidseisen voor één informatiesysteem. Veivolgens wordt in paragraaf 2.4 ingegaan op het clusteren van informatiesystemen teneinde het formuleren van betrouwbaarheidseisen te vereenvoudigen. Tenslotte wordt in paragraaf 2.5 ingegaan op het 110
BEPALEN VAN iNFOAMATIEEEMILlQlNQSMAATREQ~~
O
formuleren van betrouwbaarheidseisen voor verantwoordelijkheidsgebieden.
Het resultaat van een afhankelijkheidsanalyse is het inzicht in de mate waarin bedrijfsprocessenafhankelijk zijn van het adequaat functioneren van het informatiesysteem, alsmede een set van betrouwbaarheidseisen die aan het informatiesysteem worden gesteld.
2.2
Bestuurs- en bedrijfsprocessen en de informatievoorziening
Het beveiligen van informatie en informatiesystemen kan niet los worden gezien van de bestuurs- en bedrijfsprocessendie door die informatiesystemen worden ondersteund. Deze processen worden zodanig ingericht dat de doelstellingenvan de organisatie gehaald kunnen worden. Informatie-systemen dienen daarbij als belangrijk hulpmiddel. Veel departementale processen bestaan voornamelijk uit gegevensverwerkende processen. Met andere woorden: veel bestuurs- en bedrijfsprocessenzijn afhankelijk van de kwaliteit van de informatiesystemen. Het vaststellen van de mate waarin de bestuurs- of bedrijfsprocessen afhankelijk zijn van de betrouwbaarheid van een informatiesysteem en welke potentiële schaden kunnen optreden ais gevolg van verstoringen in de informatievoorziening verloopt in drie stappen:
van doelstelllngm
tussen p m c w e n en
mogel~heschade a.g.v. "erSt0ri"ga"
Deze drie stappen worden hieronder toegelicht. Stap i:inventariseren van de doelstellingen en de bestuursen bedrljfsprocessen Essentieel onderdeel van het uitvoeren van een afhankelijkheidsanalyse is het verkrijgen van inzicht in: - de doelstellingenvan het departementsonderdeel die ten grondslag liggen aan de bestuurs- en bedrijfsprocessen; - de produkten van de bestuurs- en bedrijfsprocessen; - de kerngegevens van de bestuurs- en bedrijfsprocessen: BEPALEN VAN INFOAMATIEBEVEIUGINGSMAATREGELEN
111
-
de wijze waarop de bestuurs- en bedrijfsprocessenmet elkaar samenhangen; de aard en omvang van de relatie met externe instanties (leveranciers en afnemers van informatie, íysieke stromen of geldstromen met derden).
In feite is dit een vorm van procesanalyse die ook uit andere hoofde dan informatiebeveiligingtijdens het ontwerpprocesvan een informatiesysteem zal worden uitgevoerd. Stap 2 vaststellen van de relatie tussen de bestuurs- en bedrijfsprocessen en het informatiesysteem De tweede stap omvat het vaststellen van de relatie tussen het te ontwerpen informatiesysteem en de bestuurs- en bedrijfsprocessen. Van belang is vast te stellen: - welk processen door het informatiesysteem worden ondersteund; - op welke wijze deze ondersteuning plaats zal vinden: de relatieve voordelen van informatiebeveiliging, bijvoorbeeldhet continu kunnen bieden van bepaalde diensten of het zonder fouten kunnen verstrekken van subsidies.
-
Het aangeven van de voordelen van informatiebeveiliging is een positieve benadering. Een hoge mate van integriteit kan bijvoorbeeld het vertrouwen van burgers in de dienstveriening door een departement(sonderdee1) verhogen. Tijdens deze stap kan dat expliciet worden aangegeven. Niet alleen de rechtstreeksdoor het informatiesysteem ondersteunde processen zijn daarbij van belang maar ook alle indirekt daaraan gerelateerde processen. De resultatenvan stap 1 kunnen behulpzaam zijn bij het vaststellen van deze relaties. Ook deze stap wordt vaak uit andere hoofde dan informatiebeveiliging tijdens het ontwerpprocesvan een informatiesysteem al uitgevoerd, zij het dat vaak weinig aandacht wordt besteed aan de positieve effecten van betrouwbaarheid.
O
Stap 3 vaststellen van de potentiële schade als gevolg van verstoringen in de informatievoorziening De resultaten van de voorgaande twee stappen vormen de basis voor het vaststellen van de potentiele schade als gevolg van verstoringen in de informatievoorziening. Door welke oorzaken deze verstoringen kunnen optreden doet in dit stadium van de analyse niet ter zake; het gaat primair om het effect op het behalen van de positief geformuleerde doelstellingen. 112
O
BEPALEN VAN INFORMATIEBRIEILIGIN~~~EQELEN
~
Bij het vaststellen van de schade kan onderscheid worden gemaakt naar directe schade, herstelschadeen gevolgschade Onder directe schade wordt verstaan het verlies aan activa (fysiekeen intellectuele eigendommen) en de directe gevolgen daarvan, bijvoorbeeld: renteverliezen bij vertraagde belastinginning: gederfde omzet: - ten onrechte uitgekeerdesubsidies.
0 -
Onder herstelschadewordt verstaan de kosten die men binnen het informatiesysteemmoet maken om de activa opnieuw aan te schaffen of op te bouwen, bijvoorbeeld: het vervangen van een beschadigdeprocessor: - het opnieuw vergaren van verloren gegane onderzoekgegevens.
-
@
Onder gevolgschadewordt alle indirecte schade verstaan die verbonden is met het voorgaande. Veelal omvat de gevolgschade het grootste deel van de totale schade. In de publieke sector zal met name het bepalen van de gevolgschadeaanzienlijke moeilijkheden opleveren, omdat verstoring in de dienstverleningtot maatschappelijkeproblemen kan leiden die bovendien vaak niet te kwantificeren zijn. Onderscheid kan worden gemaakt tussen: - sociaal-psychologischeeffecten, bijvoorbeeld het verlies aan vertrouwen in de overheid (verlies van imago) en het ontstaan van maatschappelijkeonrust: sociaal-economischeeffecten, bijvoorbeeld de negatieve effecten op het betalingsverkeer of de inkomensverdeling van het uitvallen van een maatschappelijkzeer belangrijk informatiesysteem.
-
Mogelijke grootheden, te hanteren bij het vaststellen van de indirecte schade, zijn: het aantal burgers dat hinder ondervindt van de verstoring: - de financiële omvang: het aantal (mogelijke) mensenlevens: - de aard en omvang van eventuele bestuurs- en beheersproblemen: - de politieke implicaties (kamervragen).
-
Bij het vaststellen van het effect (potentiëleschade) van het in mindere of meerdere mate niet betrouwbaarzijn van de informatievoorzieningdient onderscheid te worden gemaakt naar de drie kenmerken van betrouwbaarheid: beschikbaarheid,integriteit en exclusiviteit. Het verband tussen verstoring en schade kan immers voor die kenmerken verschillendzijn.
BEPALEN VAN INFORMATEBNEILIGINGSMbATREGELEN
113
1
Wat betreft beschikbaarheid kan de potentiëleschade worden uitgedrukt in relatie tot de tijd gedurende welke een informatiesysteem niet beschikbaar is. De volgende grafiek geeft dit modelmatig weer:
v d gedurende welke het lnfomatlesysteem NIETbeschlkbaar Is
d
In de grafiek zijn twee curven weergegeven. Curve A geeft het effect van het niet beschikbaar zijn weer voor een kritisch informatiesysteem (bijvoorbeeld een geautomatiseerd betaalsysteem), curve B geeft dat effect weer voor een minder kritisch systeem (bijvoorbeeld een grootboeksysteem). De grafiek suggereert wellicht dat er een bepaalde wiskundige, kwantificeerbare, relatie bestaat. De grafiek dient echter als denkmodel. Alleen voor het kenmerk beschikbaarheid kan een zekere "concrete" tijdschaal worden gehanteerd, bijvoorbeeld het niet beschikbaar zijn gedurende 5 minuten, een uur, een dag(deel), 24 uur, één week en permanent verlies van gegevens. Dat maakt het kenmerk beschikbaarheid tot het meest tot de verbeelding sprekend en daarmee minst complex te doorgronden kenmerk van betrouwbaarheid. ,
.
.
~
Naast de duur van het niet beschikbaar zijn is voortc.de frequentie van de verstoringen van belang. In veel gevallen is het eenmaal per jaar gedurende een bepaalde periode niet beschikbaar zijn nog acceptabel, doch indien de verstoring bijvoorbeeld eenmaal per maand optreedt kan dit leiden tot onacceptabele situaties. Complexiteitsverhogende factor is overigens de situatie dat het informatiesysteem op één bepaald tijdstip (bijvoorbeeldde laatste maandag van elke maand) absoluut beschikbaar moet zijn. ,.
Wat betreft integriteit kan de potentiëleschade worden uitgedrukt in relatie tot de aard en omvang van de fout in de gegevens. Eengegeven isinteger of niet integer, zonder dat daar een glijdende schaal voor is aan te geven. Wel is het zo dat de aard van het soort gegevens bepalend is voor de aard 114
BEPALEN VAN INFORMATIEBRIEILIGINGSMAATREOBEN
O
O
en mogelijk omvang van de schade. Zo heeft een niet integere journaalpost in een grootboeksysteem een ander effect dan een niet integer doseringsgegeven in een medisch informatiesysteem. Wel kan een bepaalde massa van gegevens in meerdere of mindere mate integer zijn. De schade kan voorts worden gerelateerd aan de omvang van de fout: de frequentie van optreden en het aantal betrokkenen dat schade ondeivindt. Wat betrefl exclusiviteit kan de potentiële schade worden uitgedrukt in relatie tot de aard van de gegevens. Ook hier is geen glijdende schaal aan te geven: gegevens raken wel of niet bekend aan derden. Wel is de aard van de informatie en de omvang van de groep gerechtigden van belang. Sommige gegevens, bijvoorbeeld research gegevens, verliezen hun waarde (directe schade) indien deze bekend raken. Andere gegevens, bijvoorbeeld staatsgeheimen, kunnen bij bekendmaking bij niet gerechtigden al dan niet ernstige schade (gevolgschade) aan de veiligheid of andere gewichtige belangen van de Staat of van zijn bondgenoten veroorzaken. Overigens kan exclusiviteit in specifieke gevallen behalve op gegevens ook betrekking hebben op andere systeemcomponenten, bijvoorbeeld de werking van specifiekefuncties van complexe besluitvormingsprocessen. Ongeautoriseerde kennisname van (de werking van) die componenten kan ook schade veroorzaken. Het beveiligen van informatie en informatiesystemen kan niet los worden gezien van de bestuurs- en bednjfsprocessen die door die informatiesystemen worden ondersteund. Van belang is het vaststellen van het effect op de bestuurs- en bednjfsprocessen van het in mindere of meerdere mate niet beschikbaar, integer en exclusief zijn van de informatie en het informatiesysteem.
e
I
2.3
I
Vaststellen van betrouwbaarheidseisen
Nadat bekend is geworden welke invloed de beschikbaarheid, integriteit en exclusiviteit van de informatievoorziening heeft op de bestuurs- en bedrijfsprocessen, is het mogelijk om de beschikbaarheidseisen, integriteitseisen en exclusiviteitseisen voor het informatiesysteem vast te stellen. Dit proces verloopt in twee stappen, te weten: vaststellen van de maximaal toelaatbare schade; formuleren van de aan het informatiesysteem te stellen eisen.
-
e BEPALEN VAN INFORMATIEBEVEILIGINGSMARTREGELEN
115
In combinatie met de stappen zoais beschreven in de vorige paragraaf ontstaat nu het volgende complete stappenpian:
h' inventariseren van doelstellingen en pmcessen
vaststellen reiatie
tussen pmcessen en infosysteem
vaststellen van mogelfke schade a.g.v. verstoringen
psragmf 2.3
De laatste twee stappen worden hierna toegelicht. Stap 4 vaststellen van de maximaal toelaatbare schade Om een uitspraak te kunnen doen over de aan het informatiesysteem te stellen eisen, zal het management allereerst een uitspraak moeten doen over de maximaai toelaatbare schade. Met andere woorden: het expliciet vaststellen van de al dan niet toelaatbare ongewenste gebeurtenissen en het effect daarvan. Zoals gesteld is de totale schade vrijwel niet kwantificeerbaar. Derhalve is het niet mogelijk een gekwantificeerde uitspraak te doen over de maximaal toelaatbare schade. Hoe concreter echter het effect en de schade van het niet beschikbaar, integer en exclusief zijn van de informatie(voorziening) gekwalificeerd is (stap 3), hoe eenvoudiger het is om uiteindelijk de eisen te vast te stellen. Stap 5: formuleren van de aan het informatiesysteem te stellen eisen De door het management vastgestelde maximaal toelaatbare schade vormt
de belangrijkste basis voor het vaststellen van de aan het informatiesysteem te stellen eisen. In paragraaf 2.5 wordt ingegaan op het formuleren van betrouwbaarheidseisen voor verantwoordelijkheidsgebieden. Bij het formuleren van eisen dient onderscheid te worden gemaakt naar beschikbaarheidseisen, integriteitseisen en exclusiviteitseisen. Zo kunnen bijvoorbeeldaan een informatiesysteem hoge integriteitseisenen minimale exclusiviteitseisen gesteld worden. Algemene betrouwbaarheidseisen zijn niet te stellen. li6
BEPALEN VAN INFORMATIEBEVEILIGINGSMARTREGELEN
O
Beschikbaarheidseisen Uitgaande van een maximaal toelaatbare schade kan de maximale tijd worden vastgesteld dat het informatiesysteem niet beschikbaar mag zijn. Onderstaande grafiek geeft dit, als denkmodel. weer.
EIS voor
A
Els voor Ejdgedumnde welhe het lofomalieü systeem NiETbeschlhbaaris ---)
Voor systeem A gelden derhalve hogere eisen dan voor systeem 8. Beschikbaarheidseisen kunnen enerzijds worden vertaald naar eisen te stellen aan de bedrijfszekerheiden robuustheidvan het informatiesysteem en de systeemcomponenten en voor het geval dat deze onverhoopt toch niet beschikbaar zijn aan de vervangbaarheid, repareerbaarheid en herstatibaarheid. Anderzijds kunnen er eisen gesteld worden aan het minimum niveau waarop de informatievoorziening in noodgevallenmag terugvallen. Niet alle functies van het informatiesysteemzullen bijvoorbeeld even vitaal zijn en wellicht is het aanvaardbaar dat slechts enkele functies gedurende een bepaaldetijd niet vervuld worden mits andere functies wel beschikbaar blijven. Dit wordt gedekt door het begrip overleefbaarheid. In een ruimer verband kunnen ook eisen worden gesteld aan de onderhoudbaarheid en de aanpasbaarheid.
0
Voorbeelden van beschikbaarheidseisen zijn: - het informatiesysteemmag maximaal gedurende 24 uur niet beschikbaarzijn: - component A en component Y van het systeem dienen binnen 12 uur vervangen dan wel gerepareerd te kunnen worden; - in geval van een calamiteit dient minimaal functie X van het informatiesysteembinnen 6 uur beschikbaar te zijn, functies Y en Z dienen binnen 36 uur weer normaal te kunnen functioneren; permanent verlies van gegevens dient absoluut niet voor te kunnen komen.
-
BEPALEN VAN INFORMATiEBEVEILIGINGSMA4TREGELEN
117
Integriteitseisen Integriteitseisen kunnen niet op dezelfde wijze als voor het kenmerk beschikbaarheid worden geformuleerd aangezien gegevens alleen wel of niet integer zijn, zonder dat daar een glijdende schaal voor is aan te geven. Wel is het mogelijk eisen te stellen aan de totale massa van gegevens of om de eisen voor bepaalde (groepen van) gegevens vast te stellen. Daarbij zijn twee vormen van integriteit te onderscheiden: logische en technische integriteit. Logische integriteit heeft betrekking op de mate waarin de informatie in overeenstemming is met het afgebeelde deel van de werkelijkheid. Eisen kunnen worden gesteld aan de wijze waarop en de intensiteit waarmee dit wordt gewaarborgd. Met ander woorden: eisen te stellen aan de aantoonbaarheid (gegevens worden bijvoorbeeld pas integer geacht te zijn indien dat positief is aangetoond) en de geprogrammeerdeen handmatige controles. Technische integriteit heeft betrekking op het ongeschonden blijven van de gegevens nadat deze door de gebruiker accoord zijn bevonden. Dit stelt eisen aan de kwaliteit van de apparatuur en de applicatie- en systeemprogrammatuur waarmee de gegevens worden verwerkt. Voorbeelden van integriteitseisen zijn: - voordat gegevens A en B in de database verwerkt worden, dient de logische integriteit daarvan expliciet en positief te worden vastgesteld - dagelijks dient de technische integriteit van de database te worden vastgesteld en aangetoond; - van de in de database opgenomen gegevens dient minimaal 98% integer te zijn; het dient ten alle tijden mogelijk te zijn om de logische integriteit na elke maandelijkse verwerking vast te stellen; - de integriteit van de programmatuur dient integraal te zijn vastgesteld voordat deze in produktie wordt genomen; - tijdens het transport van gegevens E en F dient de integriteit in detail positief te worden vastgesteld, voor wat betreft gegevens G en H kan worden volstaan met een totaalcontrole.
-
Exclusiviteitseisen Exclusiviteitseisenzijn te vertalen naar eisen te stellen aan de omvang van de groep der gerechtigden en de (logische en fysieke) afschermbaarheid. Hoe hoger de waarde van de gegevens en eventuele andere systeemcomponenten (afgeleid van de maximaal toelaatbare schade als gevolg van het niet exclusief zijn), hoe hoger de eisen op dit gebied zullen zijn. 118
BEPALEN VAN INFORMATIEBEVEILIGINGSMMTREQELEN
O
Voorbeelden van exclusiviteitseisen zijn: gegevens dienen alleen aan functionarissen te worden bekendgesteld indien dat voor de uitoefening van hun taken strikt noodzakelijk is; gegevens A en B worden alleen bekend gesteld aan functionarissendie voldoen aan criteria X en Y tijdens transport van gegevens C en D dient het niet mogelijk te zijn dat deze bekend raken aan derden; - voor transport van gegevens naar lokaties buiten het gebouw dient expliciet toestemming te worden gegeven door functionaris Z.
-
Extern opgelegde eisen Extern opgelegde eisen kunnen zowel de eisen van leveranciers en afnemers van informatie betreffen als wettelijke eisen. De op grond van bovenstaande aanpak geformuleerde eisen zullen daarmee derhalve moeten worden aangevuld. De door leveranciers en afnemers van informatie gestelde eisen zullen bij een goede procesanalyse (stap 1) zichtbaar worden. Wettelijke eisen zijn veelal zeer globaal gedefinieerd. Zie hetgeen hierover in deel 1 van dit handboek is opgemerkt. Attentiepunten Bij de hietvoor beschreven vijf stappen kunnen nog de volgende attentiepuntenworden genoemd.
I.Gedurende het ontwerpproces van het informatiesysteem kan een afhankelijkheidsanalysesteeds gedetailleerder worden uitgevoerd en kunnen ook de eisen steeds gedetailleerder geformuleerd kunnen worden. Tevens wordt het effect van het optreden van een bepaalde bedreigingen en de te treffen maatregelen dan steeds duidelijker. De inhoudelijke betrokkenheid van het management neemt echter af naarmate de eisen meer gedetailleerd worden geformuleerd. 2. Bij sommige systemen is de inhoud van de gegevens op voorhand niet bekend. Voorbeelden van dergelijke systemen zijn documentaire informatiesystemen en tekstvetwerkende systemen. Zo kan een tekstverwerkend systeem dat gebruikt wordt ten behoeve van het verwerken van ministerraadstukken uiterst gevoelige gegevens bevatten, maar ook gegevens waaraan geen hoge eisen gesteld zullen worden. De aan het betreffendeinformatiesysteem te stellen exclusiviteitseisen zullen dan moeten worden afgestemd op de meest waardevolle gegevens die verwerkt zouden kunnen worden.
BEPALEN VAN INFORMATIEBEVEILIGINGSMAATREGELEN
119
3. Bij het formuleren van betrouwbaarheidseisen kan een klassificatiesysteem behulpzaam zijn, zeker indien On termen van schade) criteria zijn geformuleerd voor het indelen van informatiesystemen in de gedefinieerde klassen. Met name het uitvoeren van stap 5 wordt hiermee sterk vereenvoudigd. Zie ook hetgeen hierover is opgemerkt in deel 3. 4. Vooruitlopend op hoofdstuk 4 van dit handboekdeel wordt opgemerkt dat bijvoorbeeldals gevolg van zeer hoge eisen de kosten van de beveiligingsmaatregelen niet meer in verhouding zouden kunnen staan tot de vermeden mogelijke schade. Informatiebeveiligingis een iteratief proces: de maatregelen zullen uiteindelijk moeten worden afgewogen tegen de vermeden schade. Op grond van het voorgaande moge duidelijk zijn dat een dergelijke afweging zeer subjectieve elementen bevat, nog even afgezien van de vraag of het mogelijk is om de kosten van beveiligingsmaatregelen objectief te bepalen. Bij het formuleren van betrouwbaarheidseisen dient onderscheid te worden gemaakt naar eisen op het gebied van beschikbaarheid, integriteit en exciusiviteit. Algemene betrouwbaarheidseisen zijn niet te stellen. In de loop van het ontwerpproces van het informatiesysteem kan een afhankelijkheidsanalyse steeds gedetailleerder worden uitgevoerd en kunnen ook de eisen steeds gedetailleerder geformuleerdworden. 2.4
Clustering van informatiesystemen
Om doelmatigheidsredenen alsmede om beheersmatige redenen kunnen gelijksoortige informatiesystementijdens een afhankelijkheidsanalyse worden geclusterd. Dit is met name relevant indien de analyse wordt uitgevoerd (of herhaald) voor bestaandeinformatiesystemen. Clustering verschaft bovendien inzicht in de samenhang met de afhankelijkheid van het informatiesysteem binnen het geheel van alie informatiesystemen binnen het departement(sonderdee1). AI tijdens het opstellen van het informatiebeveiligingsbeleidkunnen voor het departement(sonderdee1)de clusters van informatiesystemen worden benoemd of criteria voor het indelen in clusters worden geformuleerd. Hiermee kan het management sturing geven aan het efficiënt doen uitvoeren van afhankelijkheidsanaiyses.Clustering van informatiesystemen kan veelal plaatsvinden naar systemen die eenzelfde (soort) bestuurs- of bedrijfsproces ondersteunen dan wel systemen die gelijksoortige functionaliteit bevatten. 120
BEPALEN VAN INFORMATIEBEVEIUGINGSMAATREGELEN
Voorbeelden van clusters zijn: 1. Financieel administratieve systemen: grootboeksysteem; - begrotings- en budgetteringssysteem; - debiteuren en crediteurensysteem; voorraadsysteem. 2. Personeelsinformatiesystemen: - personeeisadministratiesysteem: loopbaanplanningssysteem; capaciteitsplanningssysteem. 3. In- en uitgaand geldverkeer systemen: automatische incasso; - salarissysteem; - reisdeclaratiesysteem; factuurbetalingssysteem. 4. Kantoorautomatiseringssystemen: standaard tekstvewerkingssystemen; - eiectronischepostsystemen; - postregistratiesystemen. 5. Primair processystemen vergunningen systeem: subsidiesysteem; - bevolkingsadministratiesysteem; research systeem; beslissingsondersteunende systemen enzovoorts.
-
-
-
O
Onder de primair processystemen worden die informatiesystemenverstaan die de primaire departementale processen ondersteunen dan wel vormgeven. in een aantal gevallen zijn dergelijke informatiesystemen dermate uniek dat eik systeem een cluster op zich vormt waaraan unieke eisen te stellen zijn.
’
De betrouwbaarheidseisen die aan de informatiesystemen binnen dergelijke clusters (met uitzondering van de laatste cluster) worden gesteld, zullen veelal niet veel van elkaar verschillen. Om deze eisen te kunnen formuleren, dienen de in paragraaf 2.2 en 2.3 beschreven vijf stappen voor de cluster als geheel te worden doorlopen. Het formuleren van eisen kan daardoor efficiënter en beter beheersbaar verlopen. Daar waar het echter gaat om het formuleren van eisen te stellen aan specifieke gegevenselementen zal toch een diepgaande analyse per systeem uitgevoerd moeten worden. Deze diepgaande analyse kan dan echter wel gericht plaatsvinden. Bovendien verschilt de aard van het soort gegevens binnen een bepaalde cluster vaak niet veel per informatiesysteem, mits de clustering adequaat is geschied. BEPALENVAN INFORMATIEBEVEILIGINGSMAATREGELEN
121
Om doelmatigheidsredenen alsmede om beheersmatige redenen kunnen gelijksoortige informatiesystemen tijdens een afhankelijkheidsanaiyse worden geclusterd. Clustering van informatiesystemen kan veelal plaatsvinden naar systemen die eenzelfde (soort) bestuurs- of bedrijfsprocesondersteunen dan wel systemen die gelijksoortigefunctionaliteit bevatten. 2.5
Betrouwbaarheidseisenvoor veraniwoordelijkheidsgebieden
Voor elk verantwoordelijkheidsgebieddient een analyse te worden uitgevoerd, uitmondend in aan het verantwoordelijkheidsgebiedte stellen betrouwbaarheidseisen. Bij deze analyse wordt uitgegaan van de betrouwbaarheidseisen van de bestaande (clusters van) informatiesystemen die van het verantwoordeiijkheidsgebiedgebruik maken. Daarnaast dient rekening te worden gehouden met eventuele toekomstige informatiesystemen (hiervoor kan bijvoorbeeld het informatieplan als bron worden gehanteerd). Het is derhalve noodzakelijk om per verantwoordelijkheidsgebiedzicht te krijgen op: - de bestaande (clusters van) informatiesystemen die gebruik maken van het verantwoordelijkheidsgebied; - eventuele toekomstige informatiesystemen die van het verantwoordelijkheidsgebiedgebruik zullen maken; - de aan deze informatiesystemen gestelde respectievelijk te stellen betrouwbaarheidseisen. Het formuleren van de aan het verantwoordelijkheidsgebiedte stellen eisen is in principe de verantwoordelijk van het betreffende management. Daarbij zijn twee situaties mogelijk ofwel er wordt gekozen voor de zwaarste eisen ofwel er wordt bewust, bijvoorbeelduit kostenoverwegingen, besloten niet alle gestelde eisen worden overgenomen maar alleen een grootste gemene deler. In het laatste geval ontstaat een spanningsveld tussen de manager die verantwoordeiijk is voor het informatiesysteem aan wiens eisen niet wordt voldaan en de manager van het betreffende verantwoordelijkheidsgebied.
122
Dit spanningsveld kan als volgt tot een oplossing leiden: 1 . door de manager van het informatiesysteem wordt besloten geen gebruik te maken van het betreffende verantwoordelijkheidsgebied; 2. door de manager van het informatiesysteem wordt getracht compenserende maatregelen te treffen buiten het betreffende verantwoordelijkheidsgebied ter beperking van eventuele schade als gevolg van het niet kunnen voldoen aan de gestelde eisen; 3. door de manager van het verantwoordelijkheidsgebiedwordt alsnog voldaan aan de hoge eisen, echter de consequenties daarvan (waaronder de kosten) komen geheel ten laste van de manager die verantwoordelijk is voor het informatiesysteem. Een voorbeeld van de eerste oplossing is de situatie waarbij wordt besloten de ontwikkelingvan het informatiesysteem aan een andere ontwikkelorganisatie uit te besteden die wel aan de hoge eisen kan voldoen. of het gebruiken van eigen hardware in een zeer beschermde omgeving in plaats van gebruik te maken van het gemeenschappelijke rekencentrum. Een voorbeeld van de tweede oplossing is de situatie waarbij door de gebruikers extra controlemaatregelen worden uitgevoerd in het geval dat de integriteit door het rekencentnimof de netwerkorganisatie onvoldoende kan worden gegarandeerd. Een dergelijke oplossing zal in de praktijk echter niet vaak kunnen worden gerealiseerd.
~
e
Indien de beide hiervoor geschetste oplossingen geen reëel alternatief vormen, rest er geen andere optie dan de consequenties te aanvaarden. Praktisch gezien betekent dit veelal dat de kosten van het kunnen voldoen aan de hoge eisen worden doorbelast aan degene die deze veroorzaakt, in casu de voor het informatiesysteem verantwoordelijke manager. In alle gevallen zullen duidelijke afspraken moeten worden gemaakt tussen de voor het informatiesysteem verantwoordelijke manager en de manager van het betreffende verantwoordelijkheidsgebied. Zie hetgeen hierover is opgemerkt in deel 2 van het Handboek Informatiebeveiliging Rijksdienst. Teneinde het proces van het formuleren van betrouwbaarheidseisen voor de verantwoordelijkheidsgebiedente vereenvoudigen, is het mogelijk om op departementaal niveau of op het niveau van een departementsonderdeel eenduidig vast te stellen aan weiUe eisen wordt voldaan. In de meeste gevallen impliceert dit dat voor een aantal verantwoordelijkheidsgebiedengekozen wordt voor een baseline benadering. Zie hetgeen hierover in deel 3 is opgemerkt. Voor informatiesystemen waarbij door een verantwoordelijk-heidsgebied niet volledig wordt voldaan aan de gestelde eisen, dient op dezelfde wijze een oplossing te worden gevonden als hiervoor is beschreven.
I
BEPALEN VAN INFORMATIEBWEILIGINGSMAATREQELEN
123
Bij het vaststellen van de aan een verantwoordelijkheidsgebiedte stellen betrouwbaarheidseisen dient rekening te worden gehouden met de eisen die gesteld worden aan de informatiesystemen die daarvan gebruik (zullen) maken. De aan de verantwoordelijkheidsgebieden te stellen betrouwbaarheidseisen kunnen ook op depatte-mentaai niveau of op het niveau van een depattementsonderdeel worden vastgesteld.
124
BEPALEN VAN INFORMATIEBNEIUGINGSMAATREGELEN
3
Identificeren van bedreigingen
3.1
Algemeen
In het voorgaande hoofdstuk is beschreven op welke wijze betrouwbaarheidseisenkunnen worden gesteld aan een informatiesysteem. Dit hoofdstuk bevat een beschouwing over de wijze waarop het management bedreigingen kan identificeren en daar al dan niet rekening mee kan houden. De gestelde eisen en de geidentificeerde bedreigingen geven richting aan het effectief en efficiënt treffen van infomatiebeveiligingsmaatregelen. Bij het identificeren van bedreigingen heeft het management een zekere keuzevrijheid. Lang niet alle managers zullen bijvoorbeeld in dezelfde mate rekening houden met een terroristische aanval op een rekencentrum. Evenzo zullen organisaties in de buurt van een vliegveld meer rekening houden met de bedreiging van een neerstortend vliegtuig dan organisaties die daar op grotere geografische afstand van zijn gevestigd. Wel moeten de volgende relaties worden onderkend: - hoe meer een organisatie afhankelijk is van de beschikbaarheid van een informatiesysteem,hoe hoger de te stellen eisen zijn en hoe meer er rekening moet worden gehouden met bedreigingenals sabotage en terrorisme: - hoe hoger de waarde van de gegevens voor een organisatie, hoe hoger de te stellen eisen en hoe meer er tevens rekening moet worden gehouden met bedreigingen als fraude en bedrijfsspionage.
0
O
Voor het management is het derhalve belangrijk om zicht te krijgen op de factoren die het realiseren van de gestelde eisen kunnen bedreigen en om gericht maatregelen te kunnen treffen. De resultaten van de analyse van de bedreigingen moeten derhalve worden vastgelegd in een document, ai dan niet geïntegreerd in de mijlpaalrapporten van het systeemontwikkeltraject. De systematische analyse van bedreigingen komt aan de orde in paragraaf 3.2 van dit hoofdstuk, terwijl in paragraaf 3.3 de relatie met risico-analyse wordt besproken.
Voor het management is het belangrijk om zicht te krijgen op de factoren die het realiserenvan de gestelde eisen kunnen bedreigen en om gericht maatregelen te kunnen treffen. Bij het identificeren van bedreigingenheeft management een zekere keuzevrijheid.
BEPALEN VAN INFORMATIEBEVEILIGINGSMAATREGELEN
125
3.2
Systematische analyse van bedreigingen
Bedreigingenkunnen op veel verschillendewijzen worden gerangschikt en op meerdere niveaus worden uitgewerkt. Een alomvattendesystematische opsomming van bedreigingen op alle niveaus is niet te maken. Bovendien zijn bedreigingenafhankelijk van de aard van de toegepast informatietechnologie. Een groot mainframe met daaraan vele intelligente werkstations gekoppeld brengt andere bedreigingen met zich mee dan een stand alone PC. Een praktische benadering is het indelen van bedreigingen naar kenmerk van betrouwbaarheid, gekoppeld aan componenten van een informatiesysteem. Voor de meest voorkomende informatiesystemen kunnen de volgende componenten worden onderscheiden: - hardware en systeemsoftware, opgesteld in fysieke ruimtes met de daarbij behorende organisatie; netwerken (eveneens hardware, systeemsoftware en datacommunicatieverbindingen, opgesteld in fysieke ruimtes), met de daarbij behorende organisatie; - de gegevens en de gegevensverwerking; - de applicatieprogrammatuuren de systeemontwikkel-en onderhoudsorganisatie; - de gebruikersorganisatie.
-
Bij elk van deze componenten kan verlies aan beschikbaarheid, integriteit en exclusiviteit ontstaan, veroorzaakt door: - "natuurlijke" oorzaken (blikseminslag, storm etc.). - onopzettelijk menselijk falen; opzettelijk menselijk handelen; - technisch falen.
-
Indien systematischvoor alle componentenvan informatiesystemen nagegaan wordt waardoor verlies aan beschikbaarheid, integriteit en exclusiviteit kan ontstaan (per oorzaak), ontstaat een vrij volledig beeld van alle mogelijke bedreigingen. Daarbij kan een analyse plaatsvinden op verschillende niveaus. Er ontstaat als het ware een hiërarchie van bedreigingenen subbedreigingen. Het is dan vooral van belang om de relaties tussen de (sub)bedreigingen te onderkennen. Zo kan integriteitsverliesontstaan als gevolg van onjuiste programmatuur, veroorzaakt door een gebrekkige systeemontwikkelorganisatie, op zich weer veroorzaakt door onder andere gebrek aan kwalitatief hoogwaardig personeel, gebrek aan kwaliteitsstandaards,gebrekkige hulpmiddelenen onvoldoende testactiviteiten, maar ook door het opzettelijk toevoegen van ongewenste functionaliteiten door een programmeur. 126
BEPALEN VAN INFORMATIEBEVEIUGINGMDATREGELEN
De praktijk leert dat de keuze van bedreigingenzich voornamelijk afspeelt rondom de vraag in hoeverre rekening moet worden gehouden met "natuurlijke" oorzaken en met opzettelijk handelen. Bijlage 4.1 geeft een checklist voor bedreigingen.
Een praktische benadering is het indelen van bedreigingennaar kenmerk van betrouwbaarheidgekoppeld aan componentenvan een informatiesysteem. De praktijk leert dat de keuze van bedregingen zich voornamelijk afspeelt rondom de vraag in hoeverre rekening moet worden gehouden met "natuurlijke" oorzaken en met opzettelijk handelen.
3.3
Relatie met risico-analyse
In de literatuur wordt nogal eens het begrip risico gebruikt, ondanks het feit dat het begrip als zodanig moeilijk te hanteren is. Over hoe mensen met risico omgaan bij het nemen van beslissingenzijn boeken volgeschreven; er zijn zelfs brede maatschappelijkediscussies over gehouden. Een inmiddels algemeen aanvaarde definitie van risico is: de kans op een bepaald gevolg. Risico wordt meestal geassocieerd met negatieve gevolgen, zodat men ook kan zeggen: de kans op een bepaalde schade. Er zijn stromingen die zeggen dat risico gelijk is aan kans x schade, ook wel verwachte schade genoemd. Een kleine kans op grote schade levert op die manier een beperkte verwachte schade. Dat lijkt aantrekkelijk, maar levert in de praktijk een aantal problemenop: - Schade is nooit helemaal kwantitatief te maken; met name in de gevolgschadezit een kwalitatief en dus subjectief element, waardoor vermenigvuldiging met een kans onmogelijk is. Om toch te kunnen vermenigvuldigen moet men zich beperken,totde wel kwantificeerbare schade, hetgeen een ontoelaatbare vereenvoudiging is omdat de gevolgschademeestal overheersend is; - Kansen zijn veelal niet objectief bekend, omdat er onvoldoende empirisch materiaal is over gebeurde ongevallen. Dit speelt met name bij het voorspellen van menselijk gedrag en bij ernstige ongevallen ("low-frequency-high-impact accidents"), waardoor men zijn toevlucht moet nemen tot subjectieve kansschattingen. En dan is vermenigvuldiging met een subjectieve schade-omvang uiteraard kwestieus; Werken met kans x schade staat bekend als de rationele benadering, maar veel mensen blijken niet op die basis te beslissen. Daardoor zijn zij manipuleerbaar; verzekeraars maken daar gebruik van door de mogelijke schade te benadrukken. Loterijen bestaan bij de gratie van ~
BEPALEN VAN INFORMATIEBNEILIGINGSM&VREGELEN
127
I
een aantrekkelijke prijs, terwijl toch de verwachte opbrengst kleiner is dan de inleg. Sommige maatschappelijke processen zijn in extreme mate beveiligd (bijv. toepassing kernenergie), omdat de potentiële schade afschrikwekkend is. Absolute beveiliging is onmogelijk, enerzijds omdat niet alle bedreigingen a priori bekend zijn en anderzijds omdat er toch altijd niet voorziene wegen blijken zijn waarlangs iets mis kan gaan. Om het in kanstermen te zeggen: de kans dat een bedreiging tot een verstoring leidt is per definitie niet helemaal tot nul terug te brengen: er blijfl dus een (klein) restrisico. Het bovenstaande betekent overigens niet dat het systematisch nadenken over de kans dat een bepaalde ongewenste gebeurtenis zich voordoet geheel zinloos is. Het helpt zeker bij de beantwoording van de vraag met welke bedreigingen en daaruit voortvloeiende verstoringen rekening moet worden gehouden. Wat men in elk geval moet doen is de paden analyseren waarlangs bedreigingen tot verstoringen kunnen leiden. Zodoende kan men "ongevalscenario's" construeren en op die manier kan men verrassingen voorkomen. Door het introduceren van beveiligingsmaatregelen kan men de "ongevaispaden" beinvloeden, dat wil zeggen blokkeren, afbuigen, verengen, enzovoorts. Via een samenstel van maatregelen kan men er voor zorgen dat de schade, gegeven een optredende bedreiging, niet groter is dan wat toelaatbaar wordt geacht. De kans dat een bedreiging zich voordoet speelt daarbij geen rol, m.a.w. aangenomen wordt dat hij zich voordoet. Het staat iedereen uiteraard vrij toch met verwachte schade te werken, maar men dient zich dan wel bewust te zijn van het controversiële karakter van die benadering. I
I
Men dient in elk geval de paden te analyseren waarlangs bedreigingen tot verstoringen kunnen leiden. Zodoende kan men "ongevalscenario's" construeren: op die manier zijn verrassingen te voorkomen.
128
BEPALEN VAN INFORMATIEBNEILIGINGSMWTREGELEN
0
4
Kiezen van beveiligingcmaatregelen
4.1
Algemeen
Uitgaande van de betrouwbaarheidseisen en de in beschouwinggenomen bedreigingen, wordt vervolgens de stap gezet naar een evenwichtig pakket van maatregelen dat het systeem gegeven deze bedreigingen de gewenste betrouwbaarheid geeft. Evenwichtig betekent dat een balans bestaat tussen de lasten van (extra) maatregelen enerzijds en de baten in de vorm van vermeden schade anderzijds. Hierbij dient steeds het complete scala aan soorten maatregelen in beschouwingte worden genomen: deze soorten komen in paragraaf 4.2 aan de orde.
-
-
Bij het kiezen van informatiebeveiligingsmaatregelendient zoveel mogelijk gebruik te worden gemaakt van maatregelen die binnen de organisatie reeds uit andere hoofde zijn getroffen. Dit kunnen zijn maatregelen in andere verantwoordelijkheidsgebiedenwaarvan gebruik wordt gemaakt en waarop voortgebouwd kan worden, maatregelen die andere kwaliteitskenrnerken van het verantwoordelijkheidsgebiedof informatiesysteem betreffen, of maatregelen die bijvoorbeeldin het kader van het algemene beveiligings-beleidzijn getroffen. Een en ander betekent dat niet altijd sprake hoeft te zijn van extra maatregelen ten behoeve van informatiebeveiliging.
O
Het gekozen stelsel van maatregelen dient op elk moment van dien aard te zijn dat aantoonbaar aan de betrouwbaarheidseisen wordt voldaan. Hiertoe zal men periodiek een zogenoemde kwetsbaarheidsanalyse uit moeten voeren: is het systeem inderdaad bestand tegen bepaalde bedreigingen en verstoringen? Het iteratieve proces waarin een dergelijke analyse is ingebed wordt besproken in paragraaf 4.3. Tot slot van dit hoofdstuk worden in paragraaf 4.4 enkele opmerkingen gemaakt over het begrip "lasten" bij informatiebeveiliging.
'
Het gekozen stelsel van maatregelen dient op elk moment van dien aard te zijn dat aantoonbaar aan de betrouwbaarheidseisen wordt voldaan. Hiertoe zal men periodiek een zogenoemde kwetsbaarheidsanalyse uit moeten voeren.
BEPAWN VAN INFORMATIEBEVEILIGINGSMMTREGELEN
129
4.2
Soorten maatregelen
Maatregelen ter waarborging van de betrouwbaarheid van informatievoorziening kunnen naar verschillende gezichtspunten worden ingedeeld. Deze indeling is relevant, omdat daarmee de mogelijkheid ontstaat verschillende soorten maatregelen te kiezen en zodoende een evenwichtig stelsel van maatregelen te bereiken. Dit geeft een keten met schakels van gelijke sterkte en zo’n keten is in het algemeen moeilijk te breken. Bovendien dwingt zo’n keten bij gebruikers respect af, waardoor zij sneller geneigd zijn zich aan de beveiligingsmaatregelen te houden. Het zou aantrekkelijk zijn. indien maatregelen ook zouden kunnen worden ingedeeld naar hun effect. Helaas is dat niet mogelijk. omdat juist combinatiesvan maatregelen uit verschillende gebieden tezamen het effect sorteren. Eén uniform indeiingsprincipebestaat niet; elke indeling heeft zijn eigen merites. Hieronder zijn de gangbare indelingen gegeven met voorbeelden van maatregelen. Maatregelen naar hun aard Beveiligingsmaatregelen kunnen ingedeeld worden naar het moment van hun functioneren in relatie tot het optreden van een verstoring: - preventieve maatregelen om het optreden van verstoringen te voorkomen (voorbeelden: screening van personeel, weren van ‘vreemde’ programmatuur, rookverbod); detecthe maatregelen om het optreden van verstoringen en de gevolgen daarvan te ontdekken (voorbeeld: inbraakdetectie); - repressieve maatregelen om mogelijke gevolgen van verstoringen te onderdrukken dan wel te begrenzen (voorbeelden: biusapparatuur, noodstroomvoorziening, default-instellingen); correctieve maatregelen om gevolgen van verstoringen te herstellen (voorbeeld: back-ups).
-
Deze opsomming geeft tevens de voorkeursvolgorde aan voor de keuze van te treffen maatregelen. Preventieve maatregelen hebben de voorkeur boven repressieve en repressieve maatregelen hebben de voorkeur boven correctieve, althans bij gelijkblijvende kosten. Om repressieve en correctieve maatregelen toe te kunnen passen zijn uiteraard altijd detectieve maatregelen nodig. De uiteindelijke keuze wordt mede bepaald door de werkingssfeer en de kosten van de maatregelen. Maatregelen naar hun werkingssfeer Maatregelen kunnen ook worden onderscheiden naar het gebied waarin of waarvoor ze worden getroffen. Deze indeling maakt het mogelijk een verband te leggen met de soorten bedreigingen die zijn te onderkennen. 130
BEPALEN VAN INFORMATIEBEVEILIGINGSMPATREQELEN
- fysieke maatregelen hebben te maken met toegangscontrolevoor
0
-
-
0 -
gebouwen, ruimten en installaties en met alle andere vormen van omgevingsbescherming en -beheersing (voorbeelden: concentratie van objecten binnen opvolgende 'verdedigingsgordels', klimaatregeling, brandbestnjdingsmiddelen, noodstroomvoorziening); organisatorische en personele maatregelen hebben te maken met het vastleggen van beleid en procedures, met het beveiligen tegen inbreuken door eigen personeel en derden en met bewustmaking van medewerkers van het belang van beveiliging (voorbeelden: screening van personeel, functiescheiding, beperking van de tijdsduur voor het bekleden van functies, registratievan inbreuken, periodieke controle en evaluatie, uitdragen van het informatiebeveiligingsbeleiddoor de top, calamiteitenregeling); maatregelen in apparatuur en programmatuur hebben betrekking op het gebruik van specifieke onderdelen van een informatiesysteem (voorbeelden: gebruik van regelmatig te wijzigen paswoorden, bevoegdhedenmatrix, registratie van aangebrachte wijzigingen en pogingen tot ongeautoriseerde toegang, encryptie bij datacommunicatie, onderdrukken van compromitterendestraling); jurfdische maatregelen hebben te maken met afdwingbare afspraken tussen lijnmanagers van verschillende verantwoordelijkheidsgebieden en organisaties (voorbeelden: seivice level agreements, contracten, periodieke controle op naleving, derdenmededeling).
In principe geldt dat maatregelen van meer dan één soort getroffen dienen te worden, maar de keuze wordt uiteraard mede bepaald door de kosten van de maatregelen. Functiescheiding is in grote organisaties eenvoudiger dan in kleine. De mate waarin van functie kanhoet worden gewisseld hangt af van de beschikbaarheid van personeel en van de bedreiging die uitgaat van mogelijke misdragingen van een medewerker die een vertrouwensfunctie bekleedt. Voorts wordt de keuze voor bepaalde maatregelen uiteraard mede bepaald door de technische mogelijkheden binnen het informatiesysteem.
,
Maatregelen naar hun effect op betrouwbaarheid Beveiligingsmaatregelenzijn ook in te delen naar het betrouwbaarheidskenmerk (continuïteit,integriteit en exclusiviteit van de informatievoorziening) waarop zij primair betrekking hebben. Hierdoor kan een relatie gelegd worden met kwaliteitszorg. Daarbij dient men zich wel te realiseren dat een maatregel op meer dan één betrouwbaarheidskenmerk betrekking kan hebben. Ook andere kwaliteitskenmerken kunnen worden bdinvloed, zoals gebruiksvriendelijkheid. - Continuïteit van de informatievoorziening wordt bevorderd door het informatiesysteem te beschermen tegen verstoringen van moedwillige BEPALEN VAN INFORMATIEBEVEILIGINGSMA4TREGELEN
131
-
-
en noodlottige aard (maatregelen: toegangscontrolein brede zin, infrastructurelevoorzieningen, screening van personeel), door te zorgen voor een hoge beschikbaarheid van systeemcomponenten (maatregelen: bedrijfszekere apparatuur, onderhoudscontracten, goede arbeidsomstandigheden) en door er voor te zorgen dat, indien onverhoopt toch een verstoring optreedt, het proces van informatievoorziening zo goed mogelijk kan worden voortgezet (maatregelen: back-ups van programmatuur en gegevens, uitwijkregeling); integriteit van de informatievoorziening wordt bevorderd door het kunnen traceren van onterechte (al dan niet frauduleuze) wijzigingen via een wijzigingenoverzicht en door het inbouwen van toetsen op juistheid (waarborgen dat een feit overeenstemt met een vooraf vastgestelde uitkomst), volledigheid (waarborgenvan de compleetheidvan een geheel van feiten door langs gescheiden wegen het totaal van de feiten vast te stellen, bijvoorbeeldhet totaalbedrag van een reeks vorderingen), bestaanbaarheid (toetsen van een feit aan een vooraf vastgesteld aspect, bijvoorbeeld een bepaalde cijfercombinatie, of aan vooraf vastgestelde grenswaarden),consistentie (waarborgen dat onderling samenhangende gegevens met elkaar in overeenstemming zijn), of tijdigheid (waarborgen dat een feit op een vooraf bepaald tijdstip manifest wordt, bijvoorbeeldselectie van uit te betalen lonen); Exclusiviteitvan de informatievoorziening wordt bevorderd door het voorkomen van ongeautoriseerd kennisnemen, uitlezen, kopiëren, of muteren van gegevens (maatregelen: toegangscontrole in brede zin, afschermen van systeemcomponenten, autorisatiematrix, gecontroleerde distributie) en door vast te leggen wie gepoogd heeft om ongeautoriseerd toegang te krijgen.
O
O
in principe zal men maatregelen van meer dan éBn soort dienen te treffen, maar de keuze wordt uiteraard mede bepaald door de kosten van de maatregelen. Het zijn juist combinaties van maatregelen die tezamen het gewenste effect sorteren. Daarbij dient men zich wel te realiseren dat een maatregel op meer dan één betrouwbaarheidskenmerk betrekking kan hebben. 4.3
Maatregelenkauzeals iteratief proces
In de vorige paragraaf zijn de soorten maatregelen aan de orde gesteld die in aanmerking komen om een informatiesysteem c.q. informatievoorzienings-proceste beveiligen. Een checklist is echter niet meer dan wat de naam zegt: een geheugensteun om na te gaan of aan 132
O
BEPALEN VAN INFORMATIEBNEILIGINGSMAATREGELEN
alles is gedacht. Het bevat de maatregelen die men kan treffen, maar zegt niets over de maatregelen die men in een bepaald geval moet treffen. In deze paragraaf worden de stappen besproken die nodig zijn bij het kiezen van een evenwichtige en afdoende set van beveiligingsmaatregelen. De onderstaande figuur toont in beknopte vorm het gehanteerde stappenschema. Informatie
I~NgkOPpSl~flg algemeen
bedreigingen
nee
I
teNgkoppeling per iníormat1esysteem
beveiiigingsplan
BEPALEN VAN INFORMATIEBEVEILIGINGSMAATREGELEN
133
Startpunt van het schema ligt bij de volgende gegevenheden: Het informatiesysteem in kwestie waarvoor beveiligingsmaatregelen moeten worden gekozen; dit kan een in ontwikkeling zijnde systeem zijn in het stadium van detailontwerp, of een bestaand systeem dat aan onderhoud toe is, dan wel een aan te schaffen systeem: De betrouwbaarheidseisen die aan het informatiesysteem worden gesteld; deze eisen zijn gevolgd uit de afhankelijkheidsanalyse: De bedreigingen waarmee men rekening wenst te houden en waartegen het systeem beveiligd moet worden; deze bedreigingen zijn gevolgd uit de bedreigingenanalyse.
-
Vervolgens begint een iteratief proces. De opgave is zodanige maatregelen te kiezen dat de betrouwbaarheid van het systeem bij de gegeven bedreigingen voldoet aan de gestelde eisen. Het proces is iteratief, omdat er geen één-op-één relatie is tussen eis en maatregel. Een eis kan meerdere maatregeled in combinatie vergen en omgekeerd kan een maatregel ten dienste staan van meerdere eisen. De iteratie begint met een eerste provisorische keuze van maatregelen, waarbij men zich - naast checklists en algemene vaktechnische grondslagen - kan baseren op het principe dat van elke soort (naar aard en werkingssfeer) er tenminste één maatregel vertegenwoordigd moet zijn en dat alle kwaliteitskenmerken afgedekt moeten zijn. Voorts ligt het voor de hand om de eerste keuze te baseren op de "baseline" die voor de betreffende organisatie (of het organisatie-onderdeel)van kracht is. Men mag ervan uitgaan dat over die baseline-maatregelengoed is nagedacht. Het is uiteraard niet zo, dat met die maatregelen het informatiesysteem automatisch aan de gestelde betrouwbaarheidseisen voldoet. Dat hangt immers af van die specifiekeeisen. Men mag er nooit van uitgaan dat de baseline-maatregelen zonder meer een afdoende beveiliging bieden; dat moet steeds worden gecheckt. Met andere woorden: de iteratieloop moet tenminste BBnmaal worden doorlopen.
De volgende stap behelst een zogenoemde kwetsbaarheidsanalyse. Daarbij wordt nagegaan in hoeverre de bedreigingen tot verstoringen kunnen leiden: populair gezegd: in hoeverre het informatiesysteem tegen een stootje kan. De gekozen beveiligingsmaatregelenzorgen ervoor dat de verstoringen hetzij niet voor kunnen komen, dan wel worden opgevangen. Op basis van de kwetsbaarheidsanalyse kan men constateren of de resulterende betrouwbaarheid van het systeem voldoet aan de gestelde eisen. Zo niet, dan dienen andere of aanvullende maatregelen te worden genomen en moet de kwetsbaarheidsanalyse opnieuw worden uitgevoerd. Indien de betrouwbaarheid uitgaat boven de gestelde eisen, kan men minder Stringente maatregelen overwegen. 134
BEPALEN VAN INFORMATIEBEVEIUOINGSMAATREGELEN
l .
e
e
Na een of meer iteratiestappenleidt dit tot een betrouwbaar systeem. Dan komt echter nog de vraag of de gekozen maatregelen wel betaalbaar zijn; anders gezegd: of de beveiligingslasten aanvaardbaar zijn (paragraaf 4.4 bevat een beschouwing over deze lasten). Zo niet, dan zal men gedwongen zijn het systeemconcept te heroverwegen. Uiteindelijk komt uit deze iteratie een informatiesysteem dat voldoende betrouwbaar en qua belasting aanvaardbaar is. De daarbij behorende beveiligingsmaatregelen worden vervolgens uitgewerkt en opgenomen in het informatiebeveiligingsplan(zie hoofdstuk 5). Het kan zinvol zijn de kwetsbaarheidsanalyse op gezette tijden te herhalen. Aanleiding daatvoor kan zijn: er doen zich nieuwe bedreigingen voor waarmee nog geen rekening was gehouden; het bedrijfsproceswordt aangepast waardoor de betrouwbaarheidseisen aan het systeem veranderen; de uitvoering van de gekozen maatregelen levert problemen op waardoor een andere mix van maatregelen gewenst is; het systeemconcept wordt aangepast als gevolg van technologische ontwikkelingen; - de baseline of de organisatie wordt aangepast waardoor sommige maatregelen niet meer passen.
-
Het kiezen van informatiebeveiligingsmaatregelen is een iteratief proces: zolang niet aan de betrouwbaarheidseisen wordt voldaan, zal men meer dan wel andere maatregelen moeten treffen of dienen de eisen opnieuw aan de orde te worden gesteld.
e
4.4
Lasten van informatiebeveiliging
Hoe men het ook wendt of keert, beveiligingsmaatregelen vormen een belasting. Een voor de hand liggende last zijn de kosten die men moet maken om speciale voorzieningen aan te schaffen en in te bouwen. Voorts ziet men meestal als last de tijd en moeite die gaan zitten in het ontwikkelen en implementeren van een beveiligingsbeleid, al of niet begeleid door een externe consultant. Daarnaast zijn er echter lasten die veel moeilijker in geld zijn uit te drukken, maar die daarom niet minder belangrijk zijn. Managers met weinig belangstellingvoor informatiebeveiliging zullen de neiging hebben vooral te kijken naar de direct waarneembare kosten van beveiligingsmaatregelen en daarop trachten te beknibbelen, met als gevolg dat de minder tastbare lasten vergeten worden. BEPALEN VAN INFORMAllEBEVEILIGINGSMA4TREGELEN
135
Er wordt eenextra beroep gedaan op de beschikbaresysteemcapaciteit, omdat een zekere overhead wordt ingebouwd. Beveligingsmaatregelen vergen computertijd, extra handelingen, supervisie en bewaking. De hoeveelheid opgeslagen gegevens neemt toe: enerzijds door het gebruik van wachtwoorden, encryptiesleutelsen toegangsregels (en de vergissingen daarmee kosten tijd), en anderzijds vooral door de opslag van alle mutaties (om controleredenen). Elke inbreuk op de beveiliging vergt aandacht: in 99% van de gevallen gaat het om vergissingen, maar de kunst is om die 1% waarbij opzet in het spel is te ontdekken.
O
Ter illustratie enkele opmerkingen over de toegangscontrole bij telecommunicatie.Ten eerste zal een gebruiker zich moeten identificeren: een dergelijke identificatiewordt door het systeem gebruikt ter registratie van de ontplooide activiteiten en eventueel voor de doorberekening van kosten. Indien men beschikt over een eigen PC, dan kan de gebruikersidentificatieworden voorgeprogrammeerd. Vervolgens tracht het systeem te weten te komen of de gebruiker inderdaad is wie hij pretendeert te zijn, de zogenoemde authenticatiestap.Meestal wordt daarvoor een wachtwoord gebruikt dat slechts bij die gebruiker bekend behoort te zijn. De praktijk leert echter dat dit verre van waterdicht is, omdat mensen eenvoudig te herinneren (en dus ook te raden) wachtwoorden hanteren, of er slordig mee omspringen. Allerlei remedies tegen dit probleem maken een systeem veelal gebruikersonvriendelijk en vergen een zekere beheersinspanning. Betere maar duurdere authenticatiemethoden zijn niet gebaseerd op wat iemand weet, maar op wat hij bezit (bijvoorbeeldeen smart card, die echter te ontvreemden is), of op een unieke fysiologische eigenschap (stem, vingerafdruk, oogretina). Ter verificatie van een terminallokatie kan men het zogenoemde terugbel-pnncipe hanteren: het systeem verbreekt eerst de verbinding en belt zelf terug naar een vooraf vastgelegd telefoonnummer. Dit sluit bepaalde inbreuken uit, maar ook weer niet alle. Toegang hebben tot een systeem na identificatieen authenticatie zal in het algemeen niet betekenen dat men overal bij kan en alles mag. Het systeem autoriseert een gebruiker tot het verrichten van bepaalde handelingen met een beperkt aantal bestanden en programma's. Dit gebeurt aan de hand van een ingebouwde autorisatiematrix, waarin per persoon is aangegeven wat is toegestaan. Het is duidelijk dat dit bij personeelsmutatiesextra beheersinspanning vergt. Behalve de systeemprestatie gaat ook de systeemflexibiliteit veelal achteruit, omdat maatregelen die uitgaan van het principe "alles is 136
BEPALEN VAN ~NFORMATIEBNEILIGINGSM~~EGELEN
O
I
verboden, tenzij het is toegestaan" gebruikers in een keurslijf dringen. De met beveiliging gepaard gaande verstarring leidt in het algemeen tot een verminderde aanpasbaarheid van informatiesystemen, hetgeen weer negatief kan uitwerken op de levensduur van systemen. Dit stelt op zijn minst'hogere eisen aan de ontwerp-methodieken onderhoudbaarheidvan de programmatuur. Dit vestigt nog eens de aandacht op het spanningsveld dat kan bestaan tussen de verschillende kwaliteitskenmerkenvan een systeem. Een kostensoort of -plaats "beveiliging informatievoorziening"komt weinig of niet voor. De kosten verbonden met beveiligingvan de informatievoorziening maken onderdeel uit van de uitgaven voor het inrichten en beheren van de gehele informatievoorziening binnen een organisatie, dan wel van de verwervingskosten van een systeem. Managers met weinig belangstelling voor informatiebeveiliging zullen de neiging hebben vooral te kijken naar de direct waarneembare kosten van beveiligingsmaatregelen en daarop trachten te beknibbelen, met als gevolg dat de minder tastbare lasten vergeten worden.
BEPALEN VAN
INFORMATIEBEVEILIGINGSMARTREGELEN
137
5
Informatiebeveiligingsplannen
5.1
Algemeen
In dit hoofdstuk wordt de opzet en totstandkomingvan het informatiebeveiligingsplan behandeld. Het sluit aan op Artikel 4 lid e van het Voorschrift InformatiebeveiligingRijksdienst. De plaats van dit informatiebeveiligingspianin het activiteitenschema is ais volgt: kiezen van beveiliglngsmaafwelen
opsfelle" "a" informatie beveiliginssplan
Implementatie en gQbNlk Van maatmaelen
confmla en evaiuafie
Daarmee vormt dit plan het sluitstuk van het ontwerpproces van beveiligingmaatregelen; het wordt normaliter opgesteld voor elk verantwoordelijkheidsgebied,dat wil zeggen een informatiesysteem of een supportsysteem. In het informatiebeveiligingsplanvan een informatiesysteem moet tot uitdrukking komen welke samenhang er bestaat met maatregelen die voor andere verantwoordelijkheidsgebieden zijn getroffen. De opzet van het plan komt in paragraaf 5.2 aan deorde. In paragraaf 5.3 wordt aandacht besteed aan de noodzakelijke calamiteitenparagraaf in het plan, die gericht is op het reageren op situaties waarin een systeem niet bestand is gebleken tegen bepaalde bedreigingen. Nadat de maatregelen zijn ge'implementeerd en het systeem in gebruik is genomen, zal vervolgens gecontroleerdmoeten worden of de maatregelen ook inderdaad als bedoeld worden uitgevoerd, maar dit is een activiteit die in het algemeen voor de organisatie als geheel wordt verricht en niet voor één verantwoordeiijkheidsgebiedafzonderlijk. Hetzelfde geldt voor de evaluatie van de beveiligingsrnaatregeien, dat wil zeggen het nagaan of de gekozen maatregelen nog steeds adequaat zijn. De slotparagraaf van dit hoofdstuk gaat op deze zaken in.
Het opstellen van een informatiebeveiligingsplan,waarin is vastge-legd welke maatregelen voor het betreffende informatiesysteem of verantwoordelijkheidsgebiedvan kracht zijn, is de natuurlijke afron-ding van het proces waarin tot de keuze van maatregelen is gekomen.
138
BEPALEN VAN INFORMATIEBRIEILIGINGSMMTREGELEN
O
5.2
Opzet en doel van een informatiebeveiligingsplan
Een informatiebeveiligingsplanbehelst een beschrijving van de informatiebeveiligingsmaatregelen welke voor een informatiesysteem van kracht zijn. Als zodanig vormt het een consolidatie van hetgeen in de voorgaande stap van het beveiligingsproces aan maatregeien is gekozen. Het plan dient minimaal een compleet stelsel van verwijzingen te bevatten naar plaatsen waar de maatregelen zelf staan beschreven. De overwegingen op grond waarvan men tot die maatregelen is gekomen behoeven niet in het plan te worden opgenomen. Daarvoor kan men terecht bij de documenten waarin de afhankelijkheids-, bedreigingen- en kwetsbaarheidsanalyses (zie de hoofdstukken3 en 4 van dit handboekdeel) zijn opgenomen. Deze documenten monden uit in een weloverwogen en door het lijnmanagement goedgekeurde set van beveiligingsmaatregelen. Doel van het plan is drieledig: het is een middel om naar de gebruikers en de systeemtechnische beheerder te communiceren waar men rekening mee moet houden en aan moet voldoen; het is een middel om verantwoording af te leggen aan het hogere lijnmanagement over het getroffen beveiligingsregime; - het vormt de basis voor een periodieke controle op de goede werking van de getroffen beveiligingsmaatregeien.
-
Hiervoor is gesteld dat een informatiebeveiligingsplanbetrekking heeft op een verantwoordelijkheidsgebied. Waar verschillende verantwoordeiijkheidsgebieden elkaar raken, bijvoorbeeld als er sprake is van gemeenschappelijk gebruik van apparatuur, programmatuur enlof gegevens, worden (al dan niet contractueel) afspraken gemaakt over het gewenste beveiligingsregime. Zo zal de voor een informatiesysteem verantwoordelijk iijnmanager moeten kunnen beschikken over het beveiligingsplan van het supportsysteem waarvan zijn systeem gebruik maakt. In het beveiligingsplanvan het informatiesysteem kan dan naar het andere plan worden verwezen. Door op een geschikte wijze informatiebeveiligingsplannen op te stellen, kunnen deze als referentiekader dienen voor met de managers van andere verantwoordelijkheidsgebiedente maken afspraken. Het verdient aanbeveling voor verantwoordelijkheidsgebiedendie door de gehele organisatie worden benut het plan op het hoogste niveau van de organisatie te laten vaststellen. Dit kan in hetzelfde kader gebeuren als de vaststellingvan het informatiebeveiligingsbeleid. Langs deze weg kan een zogenoemde baseline ontstaan (zie ook deel 3 van dit handboek). Uiteraard komt daardoor de individuele verantwoordelijkheidvan de lijnmanagers voor de door hen benutte informatiesystemen niet te Vervallen. BEPALEN VAN INFORMATIEBEVEIUGINGSMAATREGELEN
139
Het informatiebeveiligingsplanzal vastgesteld moeten worden door de voor het informatiesysteem verantwoordelijke lijnmanager. Deze goedkeuring houdt in dat het plan past binnen de uitgangspunten en randvoorwaarden van het informatiebeveiligingsbeleidvan de organisatie, zoals vastgesteld door het topmanagement. Voorts is het een legiiimering voor de inspanningen die verbonden zijn met de implementatievan nieuwe beveiligingsmaatregelen (zie ook paragraaf 5.5). Wie in de organisatie een exemplaar van het informatiebeveiligingsplan moet hebben is ter beoordeling van de voor het informatiesysteem verantwoordelijke lijnmanager. De specifiek voor de gebruikers bestemde infomatie over beveiiigingsmaatregelen zal worden opgenomen in de gebruikershandleiding van het systeem.
r
I
Inforrnatiebeveiligingsplannenkunnen als referentiekader dienen voor met de managers van andere verantwoordelijkheidsgebieden te maken afspraken. Het verdient aanbeveling voor verantwoordelijkheidsgebieden die door de gehele organisatie worden benut, het plan op het hoogste niveau van de organisatie te laten vaststellen. 5.3
De calamiteitenparagraaf
Informatiesystemen zijn langzamerhand zo belangrijk geworden voor bestuurs- en bedrijfsprocessen in organisaties, dat het uitvallen van die systemen ernstige gevolgen heefi. Er zullen dus eisen gesteld moeten worden aan de beschikbaarheid van informatiesystemen. Door middel van het informatiebeveiligingsplanbereikt men dat de meeste bedreigingen niet tot schadelijke effecten leiden. Desalniettemin moet er rekening mee worden gehouden dat zich situaties voordoen waartegen het informatiesysteem niet bestand is met als gevolg dat delen van het systeem tijdelijk uitvallen dan wel onbruikbaar worden. Het informatiebeveiligingsplandient daarom een aparte calamiteitenparagraaf te bevatten, waarin is vastgelegd op welke wijze belangrijke bestuurs- en bedrijfsprocessenworden voortgezet nadat zich een noodsituatieheefi voorgedaan. Dergelijke noodsituaties kunnen van verschillende aard en omvang zijn: - een centrale database is niet meer toegankelijk, maar er is nog wel lokale intelligentieaanwezig; - het systeem werkt niet, maar de werkplekken zijn nog intact (bijvoorbeeldbij uitval van stroomvoorziening); 140
BEPALEN VAN INFORMATIEBEVEILIGINGSMAA~EGELEN
i
- de werkplekken zijn niet meer intact of toegankelijk, maar de directe omgeving functioneert normaal (bijvoorbeeldbij brand of bezetting);
- niet alieen (een deel van) het gebouw is beschadigd of ontoegankelijk, maar ook de omgeving is verstoord (bijvoorbeelddoor terroristische actie, ontploffing met gaswolk, of grote overstroming). Indien alle bedrijfsprocessen van een organisatie (dus ook de niet door informatiesystemen ondersteunde) tot stilstand komen, komt het herstarten van de informatievoorziening uiteraard in een apart daglicht te staan. Bij grootschalige rampen zal lijfsbehoud prioriteit hebben boven continuering van bedrijfsprocescen. Toch zal men ook in die gevallen zo snel mogelijk op alternatieve voorzieningen moeten kunnen terugvallen. Wat onder een calamiteit wordt verstaan, kan het best door een departement of organisatie-eenheid zelf worden gedefinieerd. Globaal gesproken kunnen alternatieve voorzieningen variëren van handmatig doorwerken enerzijds tot uitwijken naar een andere lokatie anderzijds. Terwijl een informatiebeveiiigingsplanvooral het karakter heeft van een beschrijving van een status quo (met periodieke aanpassingen), heeft een calamiteitenparagraaf vooral het karakter van een draaiboek. Immers, snel en doeltreffend handelen direct nadat zich een noodsituatie heeft voorgedaan is essentieel. Dit betekent dat alle betrokken medewerkers zich bewust moeten zijn van hun (eventueel nieuwe) taken en bestemmingen, terwijl de condities waawoor de calamiteitenparagraaf in werking moet treden duidelijk vast moeten liggen. Een ten onrechte opgestarte operatie leidt tot verwarring en wekt ergernis op. Bijlage 4.2 bevat een overzicht van punten waarin in de calamiteitenparagraaf aandacht moet worden gegeven. De calamiteitenparagraaf in het informatiebeveiligingsplanbevat een consistente set van noodmaatregelen die tot uitvoering moeten komRn in het geval zich een noodsituatie voordoet, de bijbehorende condities waaronder de paragraaf in werking treedt en de wijze waarop deze maatregelen zullen worden gecoördineerd.
O
5.4
implementatie, handhaving en evaluatie van informatiebeveiligingsplannen
Het opstellen van een informatiebeveiligingsplanmaakt integraal onderdeel uit van de systeemontwikkelingsactiviteiten. In hoofdstuk 4 van dit handboekdeel is aangegeven hoe informatiebeveiligingmeeloopt in de systeemontwikkeling. BEPALEN VAN ~NFORMATIEBNEILIGINGSMAATREGELEN
141
Nieuwe dan wei stringentere beveiligingsmaatregelen, die niet uit andere hoofde reeds van kracht zijn, dienen eerst te worden geimplementeerd alvorens men deze van kracht kan verklaren. Dit geldt met name voor de organisatorische maatregelen, omdat er tijd voor nodig is om deze in te voeren. Daarvoor dient een actieplan, waarin staat vermeld op welke termijn, met welke middelen en met welke menskracht de betreffende maatregelen zullen worden geimplementeerd. Een informatiebeveiligingspiandient in z'n geheel beschikbaar te zijn op het moment dat het informatiesysteem de operationele fase ingaat. Het kan echter voorkomen dat beveiligingsmaatregelen van kracht zijn voor de fasen die daaraan vooraf gaan (bijv. met betrekking tot de ontwikkel- of testomgeving). In veel gevallen zal men in deze fasen echter gebruik maken van faciliteiten in een ander verantwoordelijkheidsgebied (met name bij uitbesteding),waarvoor reeds een beveiligingspian van kracht is. In zijn algemeenheid kan men stellen dat een plan beschikbaar moet zijn zodra men van een beveiiigingsmaatregel gebruik wil gaan maken. De van toepassing zijnde maatregelen dienen te worden vastgelegd, uitgedragenen op hun werking te worden gecontroleerd. De vastlegging varieert van aansturing (van medewerkers) middels werkinstructies, bilaterale schriftelijke afspraken (met andere verantwoordelijkheidsgebieden),tot contractuele afspraken (met andere organisaties). Bij de controle gaat het respectievelijk om methoden waarmee een lijnmanager de activiteiten van zijn medewerkers beheerst, methoden waarmee binnen een organisatie over het naleven van afspraken zekerheid wordt verkregen, en het laten uitvoeren van een onderzoek door een (onafhankelijke) deskundige. Zie voor dit laatste ook deel 2 van het handboek. In het algemeen is de lijnmanager verantwoordelijk voor het creëren van de voorwaarden waarbinnen zijn medewerkers de gestelde maatregelen en procedures met betrekking tot informatiebeveiliging naleven. Een belangrijk punt bij de vastlegging van maatregelen is de toegankelijkheidervan. Dit kan worden bereikt door middel van een werkinstructie of een gebruikershandieiding, maar ook door een helpfunctie in de betreffende toepassingsprogrammatuur.Voor zover maatregelen niet specifiek zijn voor een bepaald informatiesysteem (en dus onderdeel uitmaken van een stelsel van maatregelen dat bijvoorbeeldop departementaal niveau is vastgelegd), is het uiteraard niet nodig dat de lijnmanager deze maatregelen nogmaals vastlegt.
142
BEPALEN VAN INFORMATIEBEVEILIOINQSM~TREQELEN
In het algemeen vormen informatiebeveiiigingsmaatregeieneen belasting voor de gebruikers, waardoor na verloop van tijd (en met name indien zich geen inbreuken of verstoringen hebben voorgedaan) de neiging bestaat soepeler met de voorgeschreven maatregelen om te gaan. Daarom is een regelmatige controle op de uitvoering en naleving van de maatregelen noodzakelijk. Deze controle dient volgens een vastgesteld schema te worden uitgevoerd door of namens de verantwoordelijke lijnmanager, die een daarvoor geëquipeerd staforgaan kan inschakelen. Aan de controlebevindingen moet de lijnmanager consequenties verbinden. De controlefrequentie kan per informatiesysteem verschillen, afhankelijk van de betekenis van het systeem voor de organisatie. Een bijzonder aspect van een calamiteitenparagraafis het oefenen ermee. In wezen is dit iets anders dan het controleren van de correcte uitvoering van beveiligingsmaatregelen. De maatregelen in de calamiteitenparagraaf treden immers alleen in bepaalde, strak omschreven, situaties in werking. Een onverwachtse oefening is in feite de enig juiste test , maar in de praktijk schrikt men gewoonlijk terug voor de kosten en de opschudding die zo'n oefening veroorzaakt. Toch geldt dat een plan waarvan niet in de praktijk bewezen is dat het goed is, van weinig waarde is. Daarbij komt dat oefenen onder "full load" omstandigheden pas uitsluitsel geeft over de toereikendheid van de noodvoorzieningen. Overigens kan men het plan ook in delen testen, bijvoorbeeld alleen de berichtgeving intern en extern, alleen de taakverdeling onder het betrokken personeel, of alleen de beschikbaarheid van up-to-date back-up bestanden en programma's. Eens per jaar een integrale oefening is echter het minimum. Het informatiebeveiligingsplandient periodiek te worden geëvalueerd met als doel na te gaan of het gehele pakket van maatregelen nog steeds voldoet, dat wil zeggen de gewenste betrouwbaarheid geeft. Let wel: dit is iets anders dan het checken of de gekozen maatregelen correct worden uitgevoerd. Het gaat erom of de maatregelen op zich nog afdoende zijn. Immers, bedreigingen kunnen veranderd zijn, het systeem en lof de organisatie kan inmiddels aangepast zijn, maatregelen werken wellicht anders uit dan oorspronkelijk bedoeld, enzovoorts. Vooraf moet worden vastgesteld (in het beleidsdocument inzake informatiebeveiliging, zie deel 3 van dit handboek) op welke wijze en met welke frequentie deze evaluatie plaatsvindt. De evaluatie kan aanleiding zijn tot het bijstellen van de maatregelen zoals die vastliggen in het beveiligingsplan; dit geldt uiteraard ook voor de calamiteitenparagraaf.
BEPALEN VAN INFORMATIEBNEILIGINGSMAATREGELEN
143
Telkens als beveiligingsmaatregelen worden gewijzigd zal het plan dienovereenkomstig moeten worden aangepast. Systeemonderhoud impliceert dus "beveiligingsonderhoud" en omgekeerd. Dit vergt een goede communicatieen afstemming tussen verantwoordelijkheidsgebieden;zo zal bekend moeten zijn wie van welke faciliteiten gebruik maakt, opdat alle betrokkenen tijdig g6informeerd kunnen worden over aanpassingen. De van toepassing zijnde maatregelen dienen te worden vastgelegd, uitgedragenen op hun werking te worden gecontroleerd. Het informatiebeveiligingsplandient periodiek te worden geëvalueerd met als doel na te gaan of het gehele pakket van maatregelen nog steeds voldoet, dat wil zeggen de gewenste betrouwbaarheid geeft.
144
BEPALEN VAN INFORMATIEBNEILIGINGSM/L4TREGELEN
Handboek Informatiebeveiliging Rijksdienst 1995
0 Bijlagen
‘ o
145
Inhoudsopgave bijlagen Bijlage 1.1
Verklarende lijst van begrippen
Bijlage 2.1
Aandachtspunten overeenkomst tussen opdrachtgever en rekencentrum
151
Bijlage 2.2
Setvice Level Agreement
157
Bijlage 2.3
Voorbeeld van een mededeling
159
Bijiage 4.1
Checklist voor bedreigingen
160
Bijlage 4.2
Aandachtspunten voor het opstellen van een calamiteitenparagraaf
146
O 163
Bijlage 1.1 Verklarende lijst van begrippen ACTUALITEIT de mate waarin de informatiein het systeem overeenkomt met het buitengebeuren van dat moment AFHANKELIJKHEID de mate waarin bestuurs- en bedrijfsprocessenin een organisatie steunen op een betrouwbaar werkend informatiesysteem
@
AFHANKELIJKHEIDSANALYSE het vaststellen in hoeverre bestuurs- en bedrijfsprocessendie door informatiesystemenworden ondersteund, afhankelijk zijn van de betrouwbaarheidvan deze systemen en het vaststellen welke potentiële schaden kunnen optreden als gevolg van het falen van deze informatiesystemen AFSCHERMBAARHEID de mate waarin ongeautoriseerde kennisname kan worden voorkomen BEDREIGING gevaar opleverende situatie, gebeurtenis of ontwikkeling BEDREIGINGENANALYSE het identificerenvan de bedreigingen die het betrouwbaar functioneren van een informatiesysteem kunnen verstoren
0
BEDRIJFSZEKERHEID de kans dat een informatiesysteem de vereiste functies kan vervullen onder de gedefinieerde omstandigheden in een vastgelegde tijdspanne BESCHIKBAARHEID de mate waarin het informatiesysteem in bedrijf is op het moment dat de organisatie het nodig heeft BETROUWBAARHEID de mate waarin de organisatie zich kan verlaten op het informatiesysteem voor zijn informatievoorziening
BIJLAGE 1.1 VERKLARENDE LLISTVAN BEGRIPPEN
147
CALAMITEITENPARAGRAAF opsomming van aiie informatiebeveiligingsmaatregelenwelke tot uitvoering moeten komen indien zich een situatie voordoet waarbij de beschikbaarheid, integriteit en/of exclusiviteit van een informatiesysteem in beduidende mate niet aan de eisen voldoet CONSISTENTIE de mate waarin onderling samenhangende informatie met elkaar in overeenstemming is CONTINUITEIT de mate waarin de informatievoorziening is beschermd tegen verstoringen CONTROLEERBAARHEID de mate waarin wijzigingen binnen het informatiesysteem kunnen worden getraceerd CORRECTHEID de mate waarin de informatie zonder fouten is EXCLUSIVITEIT de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden HERSTARTBAARHEID het gemak waarmee en de mate waarin na reparatie de informatievoorziening kan worden hervat INFORMATIE feiten en opvattingen (in tekst of figuur), op een zodanige wijze geselecteerd en bewerkt door een mens of machine dat de verschijningsvorm geschikt is om een boodschap over te brengen INFORMATIEBEVEILIGING het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid, integriteit en exclusiviteit van een informatiesysteem en daarmee van de informatie daarin INFORMATIEBEVEILIGINGSPIAN opsomming van alle beveiligingsmaatregelenen/of de vindplaats daarvan, welke voor eeninformatiesysteem of een verantwoordelijkheidsgebied van kracht zijn 148
BIJLAGE
1.1
VERKLARENDE LIJSTVAN BEGRIPPEN
INFORMATIESYSTEEM geheel van gegevensverzamelingen, personen, procedures, programmatuur en opslag-, verwerkings- en communicatie-apparatuur INFORMATIEVOORZIENING geheel van activiteiten dat nodig is om een organisatie-eenheidte voorzien van de informatie die nodig is om de toegewezen taken te vetvullen INTEGRITEIT de mate waarin het informatiesysteem zonder fouten is KIASSIFICATIE rangschikking in klassen (van eisen of van schaden) KWALITEIT de mate waarin het geheel van eigenschappenvan een informatiesysteem voldoet aan de uit het gebruiksdoel voortvloeiende eisen KWETSBAARHEID de mate waarin een informatiesysteem onbeschermd is tegen de verstorende invloed van een bedreiging KWETSBAARHEIDSANALYSE het vaststellen van de invloed van het manifest worden van bedreigingen op het functioneren van een informatiesysteemof een verantwoordelijkheidsgebied NOODVERNIETIGINGSPIAN opsomming van alle maatregelen welke tot uitvoering moeten komen indien bepaalde informatie vernietigd moet worden ONVERSTOORBAARHEID de mate waarin bij veranderingen in het informatiesysteemverstoring van de informatievoorzieningkan worden voorkomen OVERLEEFBAARHEID de mate waarin de informatievoorzieningkan worden voortgezet nadat een verstoring daarin is opgetreden die de gedefinieerde beschermbaarheid te boven ging REPAREERBAARHEID het gemak waarmee storingen in de implementatie en in de apparatuur kunnen worden opgespoord en gerepareerd
BIJLAGE 1.1 VERKLARENDE LUST VAN BEGRIPPEN
149
ROBUUSTHEID de mate van stevigheid van de apparatuur van het informatiesysteem onder de voorziene omstandighedenwaarin het systeem moet functioneren RIJKSDIENST de departementen en de daaronder ressorterende diensten, bedrijven en instellingen SYSTEEMEXPLOITATIE de zorg voor het functioneren van (een deel van) een informatiesysteem SYSTEEMVERWERVING de zorg voor het ontwikkelen, kopen, huren, en dergelijke en het uitvoeren van aanpassingen aan (delen van) een informatiesysteem, zoals procedures, programmatuur en/of apparatuur VERANTWOORDELIJKHEIDS-GEBIED een geheel van voorzieningen dat ter beschikking staat aan een of meerdere informatiesystemen en waarvoor de verantwoordelijkheid eenduidig is toe te wijzen aan één organisatorischeeenheid
150
ENLAGE 1.1 VERKLARENDE LIJSTVAN.BEGRIPPEN
Bijlage 2.1 Aandachtspunten overeenkomst tussen opdrachtgever en rekencentrum 1
Contract
De basis voor de Werkzaamheden, in welke vorm dan ook, wordt gevormd door een overeenkomst (een contract) tussen de opdrachtgever en de automatiseringsorganisatie(de verwerkingsorganisatie).Deze overeenkomst kan als volgt zijn opgebouwd. a Opdrachtgever, opdrachtnemer(s) en definities. b Onderwerp van overeenkomst: te verrichten werkzaamheden ten aanzien van de produktie en eventueel het transport, het beheer, het onderhoud en de ontwikkeling. c Looptijd van de overeenkomst, inclusief opzegtermijn en verlengingsmogelijkheden. d Beheerszaken, overlegstructuren en rapportage. e (Produktie)acceptatietest(en). f Garanties en kwaliteitsborging. g Aansprakelijkheid. h Prijsafspraken, betaling. i Gebruiksrecht en intellectueeleigendomsrecht(en). j Geheimhouding en beveiliging. k Verzekering. I Documentatie. m Ontbinding. 2
Beheersdossier
Het beheersdossier bevat het geheel van procedures en afspraken die nodig zijn om materieel invulling te geven aan de afspraken die contractueel worden vastgelegd tussen opdrachtgever en opdrachtnemer bij uitbesteding van gegevensverwerking. Vanuit een beheersdossier wordt verwezen naar het erboven liggende contract en naar een aantal andere bijlagen van dat contract, zoals de specificaties van de verwerkingsprogrammatuuren de prestatie-eisen die aan dienstverlening met betrekking tot exploitatie worden gesteld (het zogenoemde service level agreement. zie ook bijlage 2.2). Zo'n beheersdossier is nodig om de verschillen in dynamiek en belang van de afspraken tussen opdrachtgever en leverancier tot hun recht te laten komen. Vaak wordt ook de benaming DAP gebruikt voor het beheersdossier; DAP staat daarbij voor Dossier Afspraken en Procedures. BIJIAGE2.1 AANDACHTSPUMENOVEREENKOMST TUSSEN OPDRACHTGEVER EN REKENCEMRIJM
151
Een beheersdossier moet de actuele stand van zaken weergeven. Dat betekent dat in het erboven liggende exploitatiecontract vastgelegd dient te worden op welke wijze (procedureel) en door wie wijzigingen in het beheers-dossier worden verwerkt. De soort van afspraken en procedures wordt in deze bijlage aangegeven aan de hand van de verschillende componenten van een informatiesysteem: apparatuur/programmatuur, organisatie/overleg en gegevens/gegevensverwerking.De inhoudsopgave wordt dan als volgt.
O
1 Algemeen 2 Apparatuur en programmatuur 2.1 Configuratiebeheer bij opdrachtgever 2.2 Configuratiebeneer bij leverancier 2.3 Verwerkingsprogrammatuur 2.4 Datacommunicatie-verbindingen 3 Organisatie en overlegstructuren 3.1 Bevoegdheidsstructuur opdrachtgever 3.2 Verwerkingsorganisatieleverancier 3.3 Overlegstructuren 4 Gegevens en gegevensverwerking 4.1 Ontvangst, verwerking en distributie 4.2 Produktieproblemen en calamiteiten 4.3 Informatiebeveiliging 4.4 Controle en onderzoek 5 Overige onderwerpen
5.1 Formulieren Hierna volgt een nadere toelichting op elk van de paragrafen. ad. 1
Algemeen
Het beheersdossier bevat de procedures ten behoeve van de dagelijkse gang van zaken voor de exploitatie van een informatiesysteem door een leverancier ten behoeve van een opdrachtgever. Vastgelegd dient t e worden om welk contract het gaat, van welke verwerkingsprogrammatuur door het informatiesysteem gebruik wordt gemaakt en welke diensten de exploitatie omvat. Dit gebeurt door verwijzingen naar het contract, naar de specificatie van de verwerkingsprogrammatuuren door het in aanvulling op het contract eventueel nader omschrijven van de te leveren diensten.
152
BIJLAGE 2.1 AANDACHTSPUNTEN OVEREENKOMST TUSSEN OPDRACHTGEVER EN REKENCENTRUM
O
aa. 2
Apparatuur en programmatuur
ad. 2.1 Configuratiebeheer bij opdrachtgever Deze paragraaf is van belang in die situaties dat de apparatuur/ programmatuur, die bij de opdrachtgever staat en onder diens verantwoordelijkheid valt, door middel van datacommunicatie in verbinding staat met apparatuur/ programmatuur van de leverancier (bijvoorbeeld bij on-line verwerking). Het exploitatiecontractvraagt van de leverancier zich op de hoogte te stellen van het goed functioneren van deze apparatuur/programmatuurin combinatie met zowel zijn eigen apparatuudprogrammatuur als ook de vetwerkingsprogrammatuur.Ook ligt bij de leverancier de verantwoordeiijkheid voor het correct functioneren van verwerkingsprogrammatuurin combinatie met de apparatuudprogrammatuur van de opdrachtgever, waarbij opdrachtgever zorgt dient te dragen voor correct onderhoud en beheer van zijn configuratie. Om dit alles waar te kunnen maken dient de leverancier in voldoende mate betrokken te zijn bij het configuratiebeheer van de betrokken apparatuur/programmatuur door opdrachtgever. In deze paragraaf dient aan deze betrokkenheid verder inhoud te worden gegeven. ad. 2.2 Configuratiebeheer bij leverancier Deze (optionele) paragraaf dient om, indien gewenst, opdrachtgever in staat te stellen invloed uit te oefenen op de apparatuur/programmatuur bij de leverancier. Normaliter verplicht leverancier zich tot het leveren van bepaalde diensten, waarbij de opdrachtgever vooral ganteresseerd is in het resultaat en in mindere mate in de wijze waarop dit tot stand komt. Het kan voorkomen dat opdrachtgever nadere eisen wenst te stellen aan apparatuudprogrammatuur van de leverancier, bijvoorbeeld met het oog op de toekomstige omvang van de gegevensverwerking, de door opdrachtgever gewenste technische standaards of door hem gewenste beveiliging. In deze paragraaf kunnen hiertoe afspraken worden vastgelegd.
a
ad. 2.3 Vetwerkingsprogrammatuur De vetwerkingsprogrammatuurals zodanig wordt niet in het beheersdossier gespecificeerd: deze specificaties zullen in het algemeen een afzonderlijke bijlage van het exploitatiecontract vormen. Wel dient in het beheersdossier te worden aangegeven hoe omgegaan wordt met wijzigingen in de verwerkingsprogrammatuur. Hieronder valt het maken van nadere afspraken (indien nodig) omtrent tussentijdse produktieacceptatietesten, het informeren door opdrachtgever van leverancier over voorgenomen wijzigingen in de verwerkingsprogrammatuur, het betrekken van leverancier bij het implementeren van wijzigingen, en dergelijke. Andere BIJLAGE 2.1
ARNDACHTSPUNTEN OVEREENKOMST TUSSEN OPDWCHTGNER EN REKENCENTRUM
153
aspecten betreffen het bewaren van de verwerkingsprogrammatuur, het beperken van de toegang tot het gebruik en het waarborgen van de integriteit ervan. ad. 2.4 Datacommunicatie-verbindingen In het beheersdossier zal moeten worden vastgelegd op welke wijze een eventuele datacommunicatie-verbindingtussen opdrachtgever en leverancier wordt gerealiseerd. Wat betreft de technische realisatie kan in een bijlage een opsomming van de betrokken apparatuur/programmatuur worden opgenomen. De verantwoordelijkheidsverdelingtussen opdrachtgever, leverancier en eventueel betrokken derden dient in het beheersdossier zelf te worden vastgelegd. Andere aspecten die voor opname in het beheersdossier in aanmerking komen zijn het gebruik van standaards voor de datacommunicatie, de (al dan niet contractuele) afspraken met derden zoals de P T ,de beschikbaarheid van de verbinding en de prestatie-eisen die worden gesteld (bijvoorbeeldsnelheid en capaciteit). ad. 3
Organisatie en overlegstructuren
ad. 3.1 Bevoegdheidsstnrctuurbij opdrachtgever Aan de kant van de opdrachtgever kunnen verschillende rollen worden onderscheiden ten aanzien van een informatiesysteem zoals de eigenaar van een systeem, de houder van een registratie, de applicatiebeheerder en de gebruikers. In het beheersdossier dient vastgelegd te worden van welke benamingen de opdrachtgever in zijn organisatie gebruikt maakt en welke verdeling van verantwoordelijkheden en bevoegdheden hierbij horen. Het is van belang om de beschrijving van de verantwoordelijkheden en bevoegdheden van medewerkers van de gebruiksorganisatie in overeenstemming te laten zijn met hetgeen hierover in de verwerkingsprogrammatuur wordt onderscheiden. De beschrijving vormt de basis voor het effectueren door de leverancier van de verschillende soorten van autorisaties (hetzij in tabellen die door de verwerkingsprogrammatuur worden benut, hetzij middels andere voorzieningen).
ad. 3.2 Vefwerkingsorganisatie leverancier Evenals bij de opdrachtgever kunnen bij de leverancier verschillende rollen worden onderscheiden ten aanzien van de verwerking van gegevens. Voorbeelden zijn: de accountmanager, de systeembeheerder, de operator, de produktieplanner en de helpdesk. In het beheersdossier dient vastgelegd te worden van welke benamingen de leverancier in zijn organisatie gebruik maakt en welke verdeling van verantwoordelijkheden en bevoegdheden hierbij hoort. Het feitelijk vermeiden van de namen van relevante functionarissen voor de communicatie op de verschillende niveaus met de opdrachtgever kan het beste in een bijlage worden gedaan. 154
BIJLAGE 2.1 AANDACHTSPUNTEN OVEREENKOMST NSEN
OPDRACHTGEVER EN REKENCENTRUM
ad. 3.3 Overlegstructuur Teneinde de continu'iteit van de gegevensverwerking te waarborgen, is het van belang te voorzien in de behoefie aan regelmatige communicatie tussen opdrachtgever en leverancier. Hierbij kunnen verschillendeniveaus worden onderscheiden, zoals het managementniveaudat bijvoorbeeld eenmaal per jaar overleg voert over zaken die het contract betreffen en het exploitatieniveaudat regelmatiger bijeenkomt.
ad. 4
Gegevens en gegevensverwerking
De aan de gegevensverwerking gestelde eisen worden in belangrijke mate bepaald door de specificaties van de verwerkingsprogrammatuur. In aanvulling daarop zullen de bestaande proceduresen dergelijke binnen de gebruikersorganisatie en bij de leverancier van invloed zijn op de vormgeving van de feitelijke gang van zaken. Het is van belang om in het kader van een exploitatiecontract gemeenschappelijk vast te leggen welke procedures geiden tussen hetgeen bij de opdrachtgevende organisatie en hetgeen bij de leverancier gebruikelijk is. ad. 4.7 Ontvangst, verwerking en distributie Voor de hand liggende aandachtspuntenzijn: de wijze waarop de gegevens door de leverancier in ontvangst worden genomen (te denken valt aan het gebruik van geleideiijstenen de functie van handtekeningen daarop), de wijze van opdrachtverstrekkingvoor gegevensvetwerking (waarbij onderscheid naar periodieke en naar incidentele verwerking voor de hand ligt), de tijdstippen waarop de verwerking plaatsvindt (een hulpmiddel hierbij vormt een kwartaal- of maandpianning), de verstrekking van gegevens door leverancier (de tijdstippen waarop dit gebeurt, de voorwaarden waaronder dit mag gebeuren), de acceptatie van gegevens door opdrachtgever (bijvoorbeeldde termijn waarbinnen fouten gemeld dienen te worden) en het bewaren van gegevens (bijvoorbeeldte termijn van bewaren). ad. 4.2 Produktieproblemenen Calamiteiten Deze paragraaf dient om aizonderlijk aandacht te besteden aan de behandeling van problemen die bij de gegevensverwerking optreden. In aanmerking komende onderwerpen zijn: de wijze waarop omgegaan wordt met afwijkingen van de opgestelde planning (signalering, correctieve acties, periode waarbinnen de planning weer wordt gerealiseerd) en het omgaan met fouten in de verwerkte gegevens (signalering, correctieveacties bij fouten van ondergeschikte aard respectievelijkbij fouten die herhaling van de verwerking noodzakelijk maken). In het bijzonder dient aandacht te worden besteed aan afspraken ov,er de wijze waarop de gegevensverwerking wordt voortgezet bij het optreden van calamiteiten (al BIJLAGE2.1 AANOACHTSPUMEN OVEREENKOMST TUSSEN OPDRACHTGEVER EN REKENCENTRUM
155
dan niet uitwijkmogelijkhedenvoor delen van de gegevensverwerking). Als leidraad voor de te behandelen onderwerpen in deze paragraaf kunnen de prestatie-eisenvoor de gegevensverwerking dienen, zoals deze bijvoorbeeld in een service level agreement zijn vastgelegd. ad. 4.3 Informatiebeveiliging Speciale aandacht is gewenst voor de beveiligingseisenzoals die voortvloeien uit de specificatiesvan de verwerkingsprogrammatuur en voor eventuele additionele eisen waar het toegang tot de gegevens en het gebruik elvan betreft. Het verdient aanbeveling deze eisen, eventueel door middel van referenties, in het beheersdossier op te nemen. Een voorbeeld bij persoonsgegevens betreft het opnemen van een vermelding of het wel of niet een persoonsregistratiein de zin van de WPR betreft. ad. 4.4 Controle en onderzoek Naast controles die zijn ingebouwd in de vewerkingsprogrammatuur, kan het nodig zijn om andere soorten van controlemogelijkhedente onderkennen. Zo zal het gebruik van datacommunicatieeen ander soort controle op de juistheid van gegevens vereisen dan het gebruik van magneetbanden. Op een ander niveau ligt de controle zoals deze door EDP auditors wordt uitgevoerd. Afspraken kunnen betrekking hebben op het vastleggen van een controleplan, op de status van de aanbevelingen van de onderzoekers en op de te hanteren normen bij controle. Ook kan worden afgesproken dat regelmatig onderzoek wordt uitgevoerd naar de wijze waarop de verwerkingsprogrammatuur technisch in voldoende mate .. de mogelijkheden van apparatuur/programmatuurvan de leverancier benut. ad. 5
Overige onderwerpen
ad. 5.7 Formulieren Het ligt voor de hand om voor een aantal routinematige communicatiemomenten gebruik te maken van formulieren, bijvoorbeeld bij opdrachtverstrekkingvoor gegevensverwerking, bij het aanleveren en accepteren van gegevens, of bij het constaterenvan fouten. De daarbij te gebruiken formulieren dienen in overleg tussen opdrachtgever en leverancier te worden vastgesteld en er dienen afspraken te worden gemaakt voor het wijzigen van deze formulieren. De formulieren zelf kunnen desgewenst als bijlage in het beheersdossier worden opgenomen.
156
BIJLAGE 2.1 AANDACHTSPUNTEN OVEREENKOMST TUSSEN OPDRACHTGWER EN REKENCENTRUM
Bijlage 2.2 Service Level Agreement
0
0
Een service level agreement of SLA is een veel gebruikt hulpmiddel om te komen tot afspraken over prestaties, die door een gegevensverwerkende organisatie (rekencentrum) worden geleverd aan een organisatie die zijn gegevensverwerking uitbesteedt. Vaak concentreertzo'n SLA zich op de snelheid waarmee de gegevensverwerking plaatsvindt en (direct daarmee samenhangend) op de beschikbaarheid van de diensten die geleverd worden. Dat gegeven maak een SLA ook relevant vanuit de optiek van informatiebeveiliging,in het bijzonder voor de beschikbaarheidvan informatie en informatiesystemen. Een SLA kan opgebouwd worden gedacht uit drie verschillende lagen. De eerste laag betreft de algemene prestatie-karakteristiekenvan diensten die geleverd worden. Deze zijn te omschrijven los van de specifieke hulpmiddelenwaarmee de dienst wordt geleverd. De tweede laag betrefi de prestatie-karakteristiekendie samenhangen met de generieke soorten van diensten die worden verleend. Daarbij treedt het verschil op tussen diensten als batch-processing,transactievetwerkingen bijvoorbeeld het bevragen van databases. De derde laag tenslotte betrefi prestatie-karakteristieken die verband houden met de specifieke dienst die verleend wordt. Een voorbeeld daarvan is de datum waarop overboekingsgegevens aan bankinstellingenworden geleverd. Op deze laatste categorie van prestatiekarakteristiekenwordt hier, juist vanwege het specifieke karakter, niet verder ingegaan. Voorbeelden van algemene beschikbaarheidskarakteristieken
O
O
-
openingsnorm:
- gebruikspercentage: -
stonngsnorm:
-
herstelnorm:
-
calamiteitennorm:
openingstijden en -dagen van de dienstverlenende instantie; het percentagevan de openingstijd dat de dienst ongestoord kan worden gebruikt: het maximaal aantal storingen van X minuten of langer binnen de openingstijd; het aantal storingen dat binnen een tijdsduur van 90 minuten is opgelost als percentage van het totaal aantal storingen dat langer duurt dan X minuten; de periode die maximaal verstrijkt voordat de, ais gevolg van een calamiteit niet beschikbare diensten. wederom peschikbaar zijn.
BIJLAGE 2.2 SERVICELEVELAGREEMENT
157
Voorbeelden van dienst-afhankelijke beschikbaarheidskarakteristieken batchverwerking batch-afhandelingsnorm: de maximale tijd (dan wei het uiterste periodieke tijdstip) waarop een batchjob volledig is afgehandeld;
-
transectieverwerking gebruikers responstijd
-
bevragen van databases beantwoordingstijd:
-
hebdesk-faciliteiten reactienorm:
-
antwoordnorm:
de maximale tijd die verstrijkt tussen het beëindigen van de invoer van een transactie en de ontvangst van de mededeling dat het deel van de transactie dat volgens de specificaties van de dienst direct afgehandeld wordt, metterdaad is afgehandeld (bij gemiddelde werkbelasting door de collectie transacties waarvoor de norm is afgesproken): de maximale tijd die verstrijkt tussen het door een gebruiker indienen van een vraag ('query') en het verschijnen van het (eerste deel van het) antwoord bij de gebruiker op de vraag (bij gemiddelde werkbelasting ten gevolge van het bevragen van de database waarvoor de norm is afgesproken);
het aantal vragen waarvoor binnen 15 minuten met een oplossing wordt gestart, als percentage van het totaal aantal vragen: het aantal vragen dat binnen X uur is afgehandeld, ais percentage van het totaal aantal vragen.
Het is gebruikelijk dat door de dienstverlenende instantie periodiek een rapportage wordt verstrekt over de feitelijke waarden, die de overeengekomen prestatie-karakteristiekenin de afgelopen periode hebben bereikt. Daarnaast is het natuurlijk zinvol ais ook vanuit de gebruikende organisatie deze waarden worden gemonitord.
158
0
BIJLAGE 2.2 SERVICE LEVELAQREEMENT
O
Bijlage 2.3 Voorbeeld van een mededeling
0
MEDEDELING Aan de Minister van XYZ In het kader van de algemene controletaak zoals genoemd in artikel 3, eerste lid, van het Besluit taak departementale accountantsdiensthebben wij een onderzoek ingesteld naar de mate waarin het voor de Directie ABC van het Ministerie van XYZ ontwikkelde informatiesysteem DEF (het DEFsysteem) naar de stand per 30 juni 19xx voldoet aan de kwaliteitseisen beschikbaarheid, integriteit en beschikbaarheid. Onder het DEF-systeem wordt verstaan: het stelsel van maatregelen en procedures van interne controle en beveiliging opgenomen in het geautomatiseerde deel van het systeem; het in de gebruikersorganisatie getroffen stelsel van maatregelen en procedures en de aansluiting daarvan op het geautomatiseerde deel van het systeem: het stelsel van maatregelen en procedures getroffen ten behoeve van het beheer van genoemd systeem.
-
De kwaliteitseisen zijn als volgt gesteld:
Op grond van ons onderzoek zijn wij van oordeel, dat het DEF-systeem in voldoende mate beantwoordt aan de gestelde kwaliteitseisen.
0
Den Haag, 30 juni 19xx De accountant
BIJIAQE2.3 VOORBEELD VAN EEN MEDEDELING
159
Bijlage 4.1 Checklist voor bedreigingen Bedreigingen in relatie tot de verzorgingsstructuur 1. Buitengebeuren
- natuurgeweld (overstroming, blikseminslag, storm, aardbeving, enzovoorts);
- overig geweld (oorlog, terrorisme, brandstichting, inbraak, neerstortend vliegtuig);
- rest (blokkade, staking, enz.). 2. Nutsvoorzieningen uitval van stroom, water, telefoon: - overlast door lekkage, bluswater; uitval licht-, klimaat-, sprinklerinstallatie.
-
Bedreigingen in relatie tot de apparatuur 1. Spontaan technisch falen
- veroudering of slijtage:
-
mechanische storing:
- ontwerp-, fabricage-, installatie-, onderhoudsfouten, 2. Technisch falen door invloeden van buiten - spanningscchommelingen; - te hogeilagetemperatuur of vochtigheid: - vuil, stof: - electromagnetische straling; - electrostatischeoplading.
3. Menselijk handelen
- bedieningsfouten; - opzettelijkefunctieverandering of -toevoeging; - beschadiging of vernieling;
-
diefstal; ontbrekende toebehoren.
Bedreigingen in relatie tot programmatuur 1. Programmatuuriouten
- ontwerp-. programmeer-, implementatie-, onderhoudsfouten; - manipulatie voor of na ingebruikname. 160
BIJLAGE4.1 CHECKLIST VOOR BEDREIGINGEN
O
2. Programmatuurgebruik - opzettelijke introductie van virus e.d.; - onopzettelijke introductie van virus e.d. door gebruik van ongescreende programma's: 'illegaal kopiëren van programmatuur: diefstal of'privégebruik i n programmatuur
-
Bedreigingen in relatie tot gegevens I. Via gegevensdragers diefstal of zoekraken; - beschadigingdoor vuur, water, vochtigheid, ontmagnetisering, of verkeerde behandeling: - incompatibeleformats: foutieve ver- of ontsieuteling: - foutieve of vervalste identificatie.
-
0
-
2. Via apparatuur
-
fysieke schrijf- of leesfouten: fouten in interne geheugens.
3. Via programmatuur foutieve of gemanipuleerde programmatuur: doorwerking van virussen e.d.; afbreken van verwerking.
-
O
4. Via personen - foutieve gegevensinvoer, -verandering of -verwijdering (wellniet opzettelijk, wellniet bevoegd personeel): - illegaal kopiëren van gegevens: meelezen zichtbare invoer en uitvoer (printer, beeldscherm); uitlezen ' electromagnetische straling (beeldscherm): - onzorgvuldige vernietiging; - foutieve bediening.
-
Bedreigingen in relatie tot personen
I.Wegvallen vootzienbaar (ontslag, vakantie): onvoorzienbaar (ziekte, dood, staking).
-
BIJLAGE 4.1 CHECKLISTVOOR BEDREIGINGEN
161
2. Onopzettelijk foutieve handelingen onkunde, slordigheid of stress; foutieve, strijdige procedures; - complexe foutgevoelige bediening: - onzorgvuldig omgaan met passwords (raadbaar, vindbaar).
-
3. Opzettelijk foutieve handeiingen - niet in acht nemen van voorschriften: - fraude of diefstal op eigen initiatief of onder druk van derden: - ongeautoriseerde toegang (kraken of omzeilen toegangscontroledoor eigen personeel of buitenstaanders).
Bedreigingen in relatie tot communicatienetwerken Netwerk ongecontroleerde aansluitingen: technisch falen communicatie-apparatuur: sabotage of vernieling: manipulatie van communicatieprogrammatuur: uitval filesetver in lokaal netwerk; storing in communicatielijn; overbelasting netwerk. 2. Verbindingen foutieve verbindingen; - afluisteren verbindingsopbouw: verbindingsopbouw met valse identiteit.
-
3. Berichten - meeluisteren: veranderen van berichten: verlies van berichten: foutieve berichtenvolgorde: - analyse berichtenverkeer: - ontkennen berichtenoverdracht (door zender of ontvanger).
-
I
162
BIJLAGE 4.1 CHECKLIST VOOR BEOREIGINQEN
Bijlage 4.2 Aandachtspunten voor het opstellen van een calamiteitenparagraaf Enkele punten waaraan in een calamiteitenregeling aandacht moet worden besteed:
-
Vastgesteld moet worden bij welke condities een incident tot een calamiteit wordt bestempeld (bijvoorbeeld indien een probleem niet binnen X uur op te lossen is) en wie van het lijnmanagement de beslissing neemt tot het uitroepen van een calamiteit en het in werking stellen van de calamiteitenregeling;
- Vastgesteld moet worden welke bevoegdheden en communicatie-
O
patronen in de plaats komen voor de normale operationeleprocedures;
- Indien zich een calamiteit voordoet valt de afhandeling onder de bevoegdheidvan een zogenoemde calamiteitencoördinatordie de calamiteitenregeling in werking stelt, het calamiteitenteam inschakelt, een logboek bijhoudt en na beëindiging van de noodsituatie een evaluatie uitvoert. De calamiteitencoördinator beschikt over een apart budget;
-
O
-
Zowel binnen als buiten de organisatie zal informatie moeten worden verstrekt over de ontstane situatie (bijvoorbeeld over de uitgevallen delen of functies van het informatiesysteem) en de verwachte duur ewan. Het gaat daarbij met name om de veraniwoordelijkheidsgebieden waarvan diensten worden afgenomen (zoals de facilitaire dienst) en waaraan diensten worden uitbesteed (zoals een rekencentrum). De betrokken lijnmanagers dienen bekend en bereikbaar te zijn; Naast computerfaciliteitenzal men meestal ook over andere faciliteiten moeten kunnen blijven beschikken, zoals telefoon- en faxverbindingen en postverzending;
- Herstarten elders is meestal een gecompliceerde operatie, die speciale
-
O I
eisen stelt aan bijvoorbeeld de personeelsvoorziening. De prioriteiten bij herstarten dienen vastgelegd te zijn; Wat betreft de beveiliging blijven uiteraard de betrouwbaarheidseisen ook in de noodsituatiekan kracht, zodat het informatiebeveiligingsplan ook dan bruikbaar moet zijn;
BIJLAGE 4.2 AANDACHTSPUWEN VOOR H E I OPSTELLEN VAN EEN CALAMITEITENPARAGWAF
163
I
- De terugkeer naar de herstelde oude situatie dient net zo zorgvuldig te worden gepland als het inwerking stellen van noodvoorzieningen. De calamiteitencoördinator legt op basis van een evaluatierapport verantwoording af aan het lijnmanagement;
- Men dient zich te realiseren dat een terugkeer naar de oude configuratie niet aitijd mogelijk of gewenst is, bijvoorbeeldomdat apparatuur niet meer geleverd kan worden of verouderd is. Men zal zich dus moeten voorbereiden op beslissingen over nieuwe configuraties:
-
Wie in de organisatie een exemplaar van de calamiteitenregeling moet hebben is ter beoordeling van de verantwoordelijk lijnmanager. In elk geval zal iedere medewerker die in noodsituatieseen taak heeft, moeten weten wat er van hemlhaar verwacht wordt. De specifiek voor de gebruiker bestemde informatie over hoe te handelen in noodsituatieszal worden opgenomen in de gebruikershandleiding van het systeem.
104
BIJLAOE 4.2 hNDACHTSPUNlEN VOOR H E I OPSTELLEN VAN EEN CALAMITEITüNPAR4GWAF
Lijst van actuele publicaties Algemeen infonatievoorzieningsbeleid BeleidsnotitieInfomatievoorzieningOpenbare Sector (BIOS-I) BIOS-2: De computer gestuurd Besluit InformatievoorzieningRijksdienst 1990 (Besluit IVR) Jaaroverzichten informatievoorziening Terug naar de toekomst (concept)
1989 1992 1991 1988 e.v. 1995
Datacommunicatie I telematica Telematica-atlas Beleidsnotitie datacommunicatie openbare sector: Het netwerk gestuurd Overheidsdatacommunicatieprofiei(ODCP) Project ElectronischePost Rijksdienst: diverse publicaties
1993 1994 1994 1990-1994
Documentaire infomatievoorziening DiV-opleidingseisen: eisen die de overheid stelt aan opleidingen op het gebied van de documentaire informatievoorziening Het heden onthouden Omslag in opslag
1994 1993 1991
Infonatiebeveiliging Kwetsbaarheiden beveiliging van bestuurlijke informatievwrziening Voorschrift informatiebeveiliging rijksdienst 1994 Handboek informatiebeveiliging rijksdienst 1995 Diverse ACiB-brochures: * Overzicht wet- en regelgeving * Aíhankeiijkheids- en kwetsbaarheidsanaiyse * Toelichting op de wet computercriminaliteit * Computervirussen Kader v w r de ontwikkeling van het infomatiebeveiiigingsbeleid en het beleidsdocument ’ Veilig telewerken (concept)
LIJSTVAN ACTUELEPUBLICATIES
1989 1994 1995 1994 1994 1994 1994 1994 1995
165
Service Centra van de Overheid Ikwaiiteltsmonitoi 1991
Dienstencentrain het buitenland De biik naar buiten: geiiitegreerde dienstverlening ais structuurprincipe BeleidsnotitieSewice Centra van de overheid: naar een doelmatiger en doeltreffenderdienstverlening? Kwaliteitszorg bij gemeenten: een beschrijving van de Kwaiiteitsmonitor en een kaderschetsvoor de toepassing
1994 1992 1994
Overige onderwerpen Beslissen over informatievoorzienlng Besluit StandaardschrijfwijzePersoonsgegevens Contra-expertise bij risicovolle automatiseringsprojecten Kennissystemenbij de overheid Modeicontracten Automatisering Normen voor de eiekironische uitwisseling van persoonsgegevens Project Databanken Wet- en Regelgeving: diverse publicaties Sectorale verwijsindexen perswnsinformatiebeieid Toekomstverkenningeninformatievoorziening
1994 1993 1993 1993 1991 e.v. 1991 e.v. 1991 e.v. 1992 1994
Organisatie Rijksdienst De organisatie van de rijksdiena(SG-rapport) Functioneel bestuur, waarom en hoe? Verantwoard verzelfstandigen (rapportage van de commissie Sint) Voortgangsrapportegesproject HerzieningAdviessteisei
1993 1990 1994 1994 e.v.
166
PUSUCATIES
LIJSTVAN &NEL€
O
Uitgave Directie InterbestuurlijkeBetrekkingenen Informatievoorziening Ministerie van BinnenlandseZaken Postbus 20011 2500 EA Den Haag Auteurs dr. ir. T. Goemans KPMG drs. R.A. s'Jacob KPMG Samenstelling begeleidingsgroep drs. M.A.J. Blauw MIM. Ministerie van BinnenlandseZaken, VoOrzitter ir. J.J. Fierloos, Ministerie van Buitenlandse Zaken Itkol J.M.W. van de Garde R.E. IA.J.M. de Bruijn R.A., Ministerie van Defensie L. Heij, Ministerie van Onderwijs en Wetenschappen H.J.A. Jansen. Ministerie van VROM drs. C.W.L.J. K i e b m , Ministerie van Financiën drs. R.L.J. Laurey, Ministerie van Landbouw, Natuurbeheer en Visserij ir. P. Oosterlee. Ministerie van BinnenlandseZaken R. Rehorst. Ministerie van Verkeer en Waterstaat J. Schljf. Ministerie van Justitie drs. M.E.G. Ten Have R.E. R.A., EDP Audit Pool drs. F. Taai Idrs. N. Visser, Nationaal Bureau voor Verbindingsbeveiliging T. Thoma IItkol p. van der Hoek, Ministerie van Defensie ing. K.W. Wiessing, Advies- en Coördinatiepunt Informatiebeveiliging C . Woltering Imr. M. van Dulm, Ministerie van Binnenlandse Zaken
167
