Informatiebeveiligingsbeleid Gemeente Geldermalsen
Editie 2012
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
Inhoudsopgave 1.
MANAGEMENTSAMENVATTING............................................................................................................3
2.
INTRODUCTIE.................................................................................................................................................4
3.
INFORMATIEBEVEILIGING........................................................................................................................5 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8
4.
VISIE OP INFORMATIEBEVEILIGING .............................................................................................................5 DEFINITIE VAN INFORMATIEBEVEILIGING...................................................................................................5 EXTERN KADER, WETTEN EN DE CENTRALE OVERHEID ..............................................................................6 DE CONTEXT VAN INFORMATIEBEVEILIGING IN DE GEMEENTE GELDERMALSEN ......................................6 DE RELATIE MET DE GBA-AUDIT ................................................................................................................6 REIKWIJDTE..................................................................................................................................................7 INFORMATIEBEVEILIGINGSBELEID EN HET INFORMATIEBEVEILIGINGSPLAN .............................................7 SAMENWERKING EN DE GEVOLGEN VOOR INFORMATIEBEVEILIGING ........................................................7
ORGANISATIE VAN INFORMATIEBEVEILIGING...............................................................................8 4.1 DE BORGING IN DE ORGANISATIE................................................................................................................8 4.2 VERANTWOORDELIJKHEDEN, TAKEN EN BEVOEGDHEDEN ........................................................................8 4.2.1 Het bestuur..............................................................................................................................................8 4.2.2 De directie................................................................................................................................................8 4.2.3 De concerncontroller ...............................................................................................................................9 4.2.4 De afdelingshoofden.................................................................................................................................9 4.2.5 De informatie beveiligingsfunctionaris (IBF)..........................................................................................9 4.2.6 Netwerk en systeembeveiliging .............................................................................................................10 4.2.7 Fysieke beveiliging en toegang tot gebouwen ........................................................................................11 4.3 EVALUATIE EN BIJSTELLING VAN HET BELEID ...........................................................................................11 4.4 INFORMATIE BEVEILIGINGSINCIDENTEN EN HET INCIDENTENREGISTER .................................................11 4.5 RAPPORTAGE OVER INFORMATIEBEVEILIGING EN INBEDDING IN DE P&C CYCLUS ................................12 4.6 FUNCTIONEEL (APPLICATIE)BEHEER .........................................................................................................12
5.
CLASSIFICATIE VAN INFORMATIE.......................................................................................................13 5.1 5.2
CRITERIA VOOR HET CLASSIFICEREN.........................................................................................................13 EISEN PER KWALITEITSATTRIBUUT EN CLASSIFICATIENIVEAU .................................................................14
6.
TOEGANG TOT INFORMATIE .................................................................................................................15
7.
CONCLUSIES EN AANBEVELINGEN .....................................................................................................16
2 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
1.
Managementsamenvatting
De gemeente Geldermalsen heeft op het gebied van privacy een belangrijke maatschappelijke verantwoordelijkheid en hecht belang aan het beschermen van de privacy van haar burgers. Een verhoging van de betrouwbaarheid van de informatievoorziening zal ook de betrouwbaarheid van de dienstverlening verder verhogen en efficiënter werken mogelijk maken. De gemeente Geldermalsen heeft daarnaast de ambitie om intensief samen te werken met andere gemeenten en ketenpartners. De betrouwbaarheid van de gemeentelijke informatievoorziening is een belangrijke basisvoorwaarde voor succesvolle samenwerking.
De recente media-aandacht voor beveiligingsincidenten bij de overheid heeft er toe geleid dat er op dit moment (eind 2011) binnen het kabinet en de tweede kamer verscherpte aandacht is voor het onderwerp informatiebeveiliging. Minister Spies van Binnenlandse Zaken en Koninkrijksrelaties heeft bekend gemaakt dat alle overheidsorganisaties die gebruik maken van DigiD voor het einde van 2013 een ICT audit moeten doorlopen.
Door periodieke controle, organisatiebrede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt jaarlijks bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en de risicoanalyse GBA. De informatie beveiligingsfunctionaris (IBF) ondersteund vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover.
Door gebruik te maken van voorbeelden en standaarden hoeft de gemeente Geldermalsen niet opnieuw het wiel uit te vinden. Deze beleidsnota is daarom gedeeltelijk gebaseerd op het beveiligingsbeleid van een gemeente waar nu, op het gebied van ICT, al mee wordt samengewerkt. Daarnaast hanteert de gemeente Geldermalsen de code voor informatiebeveiliging (NEN / ISO / IEC 27002:2007) als uitgangspunt en normenkader.
Er wordt geadviseerd om te laten onderzoeken in hoeverre beveiligingsmaatregelen in relatie tot de GBA, het archief, netwerk en systeembeveiliging, fysieke beveiliging en overige beveiligingsmaatregelen verder geïntegreerd kunnen worden in het integrale informatiebeveiligingsbeleid. Daarnaast wordt er geadviseerd om in te toekomst de informatiebeveiliging gezamenlijk met samenwerkingspartners te organiseren. Verschillen in de eisen aan informatiebeveiliging tussen samenwerkingspartners kan samenwerking onnodig complex en ingewikkeld maken. Het informatiebeveiligingsbeleid sluit aan bij de overige ontwikkelingen binnen de gemeentelijke organisatie die er op zijn gericht om de bedrijfsvoering verder te professionaliseren. Het onderwerp informatiebeveiliging zal pragmatisch worden opgepakt. De hoeveelheid middelen die elk jaar beschikbaar worden gesteld voor de uitvoering van activiteiten uit het informatiebeveiligingsplan, zal afhankelijk zijn van overige ontwikkelingen binnen de organisatie en de door de directie gestelde prioriteiten.
3 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
2.
Introductie
De vermelding van het ontbreken van (integraal) informatiebeveiligingsbeleid in de managementletter met bevindingen van de interim-controle in 2010 is de aanleiding voor het schrijven van deze beleidsnota.
De gemeente Geldermalsen krijgt met de introductie van het stelsel van basisregistraties steeds breder toegang tot landelijke gegevensverzamelingen. De gemeente Geldermalsen wordt, vanwege de toegang tot deze centraal beheerde gegevensverzamelingen, steeds meer medeverantwoordelijk voor de beveiliging van deze gegevens. We zullen ons daarom ook steeds vaker tegenover externe partijen moeten verantwoorden op het gebied van informatiebeveiliging.
Naar aanleiding van de recente beveiligingsincidenten bij de overheid heeft Minister Spies van Binnenlandse Zaken en Koninkrijksrelaties bekend gemaakt dat alle overheidsorganisaties die gebruik maken van DigiD voor het einde van 2013 een ICT audit moeten doorlopen. Wanneer er onvoldoende vertrouwen is in de beveiliging van een organisatie zal de aansluiting op DigiD worden beëindigd en zal digitale dienstverlening nog maar zeer beperkt mogelijk zijn.
Deze eerste editie van het (integrale) informatiebeveiligingsbeleid is gedeeltelijk gebaseerd op het beveiligingsbeleid van een gemeente waar nu, op het gebied van ICT, al mee wordt samengewerkt. Het is de ambitie van de gemeente Geldermalsen om, onder andere op het gebied van de informatievoorziening, intensiever te gaan samenwerken met andere gemeentelijke organisaties. In de toekomst zal het informatiebeveiligingsbeleid van de gemeente Geldermalsen daarom mogelijk worden vervangen door een gemeenschappelijk informatiebeveiligingsbeleid.
Als normenkader en uitgangspunt hanteert de gemeente Geldermalsen de code voor informatiebeveiliging. Deze internationale norm (NEN / ISO / IEC 27002:2007) is een algemeen aanvaarde basis voor informatiebeveiliging, die door het College Standaardisatie (onderdeel van de rijksoverheid) is vastgesteld als standaard voor de Nederlandse overheid.
4 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
3.
Informatiebeveiliging
3.1
Visie op informatiebeveiliging
De klanten van de gemeente Geldermalsen hebben behoefte aan een toegankelijke, betrouwbare en efficiënte dienstverlening, maar verwachten óók dat hun privacy goed wordt beschermd. Om aan deze klantvraag te kunnen voldoen, zijn de volgende speerpunten de kern van het informatiebeveiligingsbeleid van de gemeente Geldermalsen:
≠
De gemeente Geldermalsen heeft op het gebied van privacybescherming een belangrijke maatschappelijke verantwoordelijkheid en hecht belang aan het beschermen van de privacy van haar burgers. Informatiebeveiliging is voor de gemeente Geldermalsen vooral belangrijk omdat haar klanten verwachten dat er zorgvuldig wordt omgegaan met hun privacygevoelige informatie.
≠
Een verhoging van de betrouwbaarheid van de informatievoorziening zal de betrouwbaarheid van de dienstverlening verder verhogen en daarnaast efficiënter werken mogelijk maken.
≠
De gemeente Geldermalsen heeft de ambitie om intensiever te gaan samenwerken met andere gemeenten en ketenpartners, zodat de efficiency en de continuïteit van de gemeentelijke organisatie kan worden verhoogd. De betrouwbaarheid van de gemeentelijke informatievoorziening is een belangrijke basisvoorwaarde voor een succesvolle samenwerking met externe partners.
De gemeente Geldermalsen hecht belang aan de waarborging van de betrouwbaarheid van de informatievoorziening. Door periodieke controle, organisatiebrede planning en centrale coördinatie van het bewaken én het verhogen van de betrouwbaarheid van de informatievoorziening zal de kwaliteit van de informatievoorziening worden bewaakt.
3.2
Definitie van informatiebeveiliging
Informatiebeveiliging maakt het mogelijk dat de juiste informatie op het juiste moment voor de juiste personen beschikbaar is. De door de gemeente Geldermalsen gehanteerde definitie voor informatiebeveiliging is: ‘Het treffen van een samenhangend pakket van maatregelen ter waarborging van de betrouwbaarheid van de informatievoorziening.’
De betrouwbaarheid bestaat uit de kwaliteitsattributen vertrouwelijkheid, integriteit en beschikbaarheid die als volgt worden gedefinieerd: ≠
Vertrouwelijkheid gaat over de mate waarin toegang tot informatie beperkt is tot degene die daartoe bevoegd is;
≠
Integriteit gaat over de mate waarin informatie correct geregistreerd en zonder fouten is;
≠
Beschikbaarheid gaat over de mate waarin informatie op de juiste momenten beschikbaar is.
5 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
3.3
Extern kader, wetten en de centrale overheid
De betrouwbaarheid van overheidsinformatie moet worden gegarandeerd. Daarom zijn er een aantal wettelijke verplichtingen waar elke overheidsinstantie aan moet voldoen. In wetten op dit gebied, zoals de Wet Bescherming Persoonsgegevens (WBP), de regelgeving met betrekking tot de Basisadministratie Persoonsgegevens en Reisdocumenten (BPR) en de Structuur Uitvoering Werk en Inkomen (SUWI), zijn beveiligingsverplichtingen opgenomen. Deze verplichtingen hebben gevolgen voor de inrichting van de gemeentelijke informatievoorziening.
Recente ontwikkelingen op dit gebied zijn de aangekondigde wettelijke ‘meldplicht datalekken’ en de aangekondigde ‘DigiD beveiligingstoets’. Daarnaast zijn er, als gevolg van de Nationale Cyber Security Strategie, recentelijk nieuwe instanties in het leven geroepen, die de overheid gaan adviseren over informatiebeveiliging. Het gaat hier om de Cyber Security Raad (CSR) en het Nationaal Cyber Security Ceter (NCSC). Deze instanties zullen met richtlijnen en adviezen komen die ook gevolgen zullen hebben voor de inrichting van de informatievoorziening van de gemeente Geldermalsen.
3.4
De context van informatiebeveiliging in de gemeente Geldermalsen
Een betrouwbare informatievoorziening is van essentieel belang voor een kwalitatief hoogwaardige én efficiënte dienstverlening. Digitale dienstverlening en zaakgericht werken is alleen mogelijk wanneer de basisgegevens op orde zijn en wanneer er kan worden gerekend op de betrouwbaarheid van de informatievoorziening.
Het principe éénmalig opslaan, meervoudig gebruik brengt ook nieuwe uitdagingen voor informatiebeveiliging met zich mee. Een voorbeeld hiervan zijn de medewerkers van groep 3 van het Klanten Contact Center (KCC). Zij krijgen instructies over de manier waarop ze om horen te gaan met privacygevoelige informatie en wat de gevolgen zijn van oneigenlijk gebruik. Omdat steeds meer medewerkers direct of indirect van deze privacygevoelige informatie gebruik maken, is het belangrijk dat óók deze medewerkers worden geïnstrueerd over hoe zij met deze informatie om moeten gaan.
3.5
De relatie met de GBA-audit
Net zoals bij de meeste gemeenten was ook in Geldermalsen de wet GBA en de daaruit voortvloeiende driejaarlijkse cyclus van de GBA-audits op de uitvoering van die wet, de eerste kennismaking met informatiebeveiliging. Het informatiebeveiligingsbeleid moet echter meer dan alleen het werkterrein van de GBA afdekken.
In 2012 wordt zeer waarschijnlijk de Wet Basisregistratie Persoonsgegevens van kracht. Deze wet houdt in het kort in dat elke gemeente verplicht overgaat van de GBA naar de Basisregistratie Personen (BRP). De structuur van de beheerorganisatie rond de beveiliging van de GBA zal voorlopig in zijn huidige vorm blijven bestaan. Het (aanvullende) gemeentebrede informatiebeveiligingsbeleid sluit aan op het huidige beleid rond de beveiliging van de GBA. Het is wenselijk om de beveiliging van de GBA in de toekomst op te nemen in het gemeentebrede beveiligingsbeleid.
6 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
3.6
Reikwijdte
Zoals eerder al is aangegeven reikt informatiebeveiliging verder dan alleen de geautomatiseerde informatiesystemen en de ICT-infrastructuur. Het is daarom dan ook niet alleen het domein van het taakveld I&A van de afdeling BBO. Zaken als toegangsbeveiliging, personeel en bureauveiligheid horen ook tot het werkgebied van informatiebeveiliging. Zij dragen ook bij aan de betrouwbaarheid van de informatievoorziening.
Informatiebeveiliging heeft als aandachtsgebieden: ≠
Organisatie: verantwoordelijkheden, rapportages, sturing, communicatie, coördinatie, bewustzijn, de houding en het gedrag van medewerkers;
≠
Facilitaire beveiliging: toegangsbeveiliging, inbraakbeveiliging, kantoren en stroomvoorziening;
≠
ICT-beveiliging: applicaties, netwerken, back-up systemen en beheerprocedures.
Het verdient de aanbeveling om te onderzoeken in hoeverre beveiligingsmaatregelen in relatie tot netwerk en systeembeveiliging, de fysieke beveiliging, het archief en overige beveiligingsmaatregelen geïntegreerd kunnen worden in het integrale informatiebeveiligingsbeleid.
3.7
Informatiebeveiligingsbeleid en het informatiebeveiligingsplan
In het informatiebeveiligingsbeleid wordt de ambitie van de gemeente op het gebied van de betrouwbaarheid van de informatievoorziening op strategisch niveau vastgelegd. Daarnaast wordt er elk jaar een nieuw informatiebeveiligingsplan opgesteld. Dit plan bevat een reeks concrete activiteiten die gedurende één jaar worden ondernomen. Het informatiebeveiligingsplan zal worden gebaseerd op externe ontwikkelingen, een risicoanalyse en het incidentenregister. Elk jaar zal er (indien nodig) budget worden aangevraagd voor de uitvoering van de in het informatiebeveiligingsplan opgenomen maatregelen.
3.8
Samenwerking en de gevolgen voor informatiebeveiliging
Intergemeentelijke samenwerking en het samenwerken met ketenpartners zal er toe leiden dat er steeds vaker informatie wordt uitgewisseld met samenwerkingspartners. Met deze samenwerkingspartners worden afspraken gemaakt over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen. Deze afspraken hebben gevolgen voor de inrichting van de informatievoorziening van de gemeente Geldermalsen. Het is belangrijk dat de gemeente Geldermalsen controle heeft over de betrouwbaarheid van de informatievoorziening en dat het mogelijk is om organisatiebrede wijzigingen of nieuwe standaarden door te voeren.
7 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
4.
Organisatie van informatiebeveiliging
4.1
De borging in de organisatie
In dit hoofdstuk wordt beschreven hoe de gemeente Geldermalsen de borging van het kwaliteitsaspect informatiebeveiliging in de organisatie heeft belegd. De kernelementen zijn: De eindverantwoordelijkheid voor informatiebeveiliging ligt bij de directie, die deze verantwoordelijkheid
≠
gedelegeerd heeft gekregen van de portefeuillehouder organisatieontwikkeling & bedrijfsvoering. Elk afdelingshoofd heeft een eigen verantwoordelijkheid voor het uitvoeren van en invulling geven aan
≠
informatiebeveiliging; ≠
Het aspect informatiebeveiliging wordt opgenomen in de paragraaf bedrijfsvoering in de P&C cyclus;
≠
De informatiebeveiligingsfunctionaris (IBF) coördineert het proces rond informatiebeveiliging vanuit een ondersteunende rol en een onafhankelijke positie. De integratie van informatiebeveiliging in de dagelijkse bedrijfsprocessen van de gemeente Geldermalsen is
≠
gebaseerd op twee pijlers: 1
Ondersteuning vanuit de directie en het management voor informatiebeveiliging als normaal kwaliteitsaspect van een gezonde bedrijfsvoering;
2
De IBF, die naast de verantwoordelijkheid voor het rapporteren binnen de P&C cyclus, de organisatie ondersteunt met kennis en ervaring op het gebied van informatiebeveiliging.
4.2
Verantwoordelijkheden, taken en bevoegdheden
Bij het uitvoeren van het proces informatiebeveiliging worden de volgende rollen onderscheiden: ≠
Het bestuur;
≠
De directie;
≠
De concerncontroller;
≠
De afdelingshoofden;
≠
De informatie beveiligingsfunctionaris (IBF).
In de volgende paragrafen worden de taken, verantwoordelijkheden en bevoegdheden van deze rollen beschreven. Daarnaast wordt ook de verantwoordelijkheid voor netwerk en systeembeveiliging en de fysieke beveiliging van de omgeving beschreven.
4.2.1
Het bestuur
Het college van B&W stelt het informatiebeveiligingsbeleid vast en delegeert de uitvoering hiervan aan de directie. Binnen het college valt de betrouwbaarheid van de informatievoorziening onder de portefeuille organisatieontwikkeling & bedrijfsvoering. Het college informeert de Raad.
4.2.2
De directie
De informatievoorziening is een aspect van de bedrijfsvoering, de betrouwbaarheid van de informatievoorziening valt daarom onder de verantwoordelijkheid van de directie. De directie zorgt er voor dat: ≠
De organisatie in staat is om de gedelegeerde verantwoordelijkheden te dragen;
≠
Er wordt gerapporteerd over de betrouwbaarheid van de informatievoorziening aan het college van B&W;
≠
De controle op de informatiebeveiliging binnen de organisatie is gewaarborgd. 8 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
4.2.3
De concerncontroller
De concerncontroller is verantwoordelijk voor: ≠
De periodieke controle op de juiste naleving, de werking, de effectiviteit en de kwaliteit van de maatregelen;
≠
De controle op de voortgang van het uitvoeren van de maatregelen uit het informatiebeveiligingsplan;
≠
De controle op de periodieke revisie van informatiebeveiligingsbeleid (elke vier jaar) en op het informatiebeveiligingsplan (jaarlijks).
De concerncontroller baseert zijn of haar bevindingen, in eerste instantie, op de rapportages van de IBF maar kan voor de controle ook gebruik maken van externe partijen.
4.2.4
De afdelingshoofden
De afdelingshoofden zijn verantwoordelijk voor: ≠
Als procesverantwoordelijken zijn zij ook verantwoordelijk voor de (informatie)beveiliging en de betrouwbaarheid van de processen binnen hun afdeling;
≠
Het uitdragen van het informatiebeveiligingsbeleid en het in woord en daad ondersteunen van het beleid;
≠
Het uit (laten) voeren van maatregelen uit het informatiebeveiligingsplan, die op de afdeling van toepassing zijn;
≠
Het bevorderen van bewustwording van medewerkers op het gebied van informatiebeveiliging.
Deze verantwoordelijkheden kunnen eventueel binnen een afdeling (deels) worden gedelegeerd aan teamleiders, senior medewerkers en functioneel (applicatie) beheerders.
4.2.5
De informatie beveiligingsfunctionaris (IBF)
De directie belegt de uitvoering van haar taken bij een informatiebeveiligingsfunctionaris (IBF), die een adviserende en coördinerende taak heeft (0,2 FTE1). Deze verantwoordelijkheid sluit aan bij de rol van gegevensbeheerder (beleidsmedewerker Informatisering en Automatisering) zoals beschreven in de detailstructuur Geldermalsen, die is opgesteld naar aanleiding van het organisatieontwikkeltraject STROOM.
De IBF heeft de volgende verantwoordelijkheden en taken: ≠
Houdt de registratie van informatiebeveiligingsincidenten bij in een incidentenregister en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten.
≠
Stelt het informatiebeveiligingsplan op en zorgt voor de jaarlijkse revisie van dat plan;
≠
Coördineert de uitvoering van informatiebeveiligingsmaatregelen uit het informatiebeveiligingsplan;
≠
Rapporteert binnen de P&C cyclus over het aspect informatiebeveiliging;
≠
Ondersteunt de directie en de afdelingshoofden met kennis over informatiebeveiliging zodat zij hun verantwoordelijkheid voor de betrouwbaarheid van de informatievoorziening juist kunnen invullen;
≠
Is aanspreekpunt voor medewerkers van de gemeente Geldermalsen over het onderwerp informatiebeveiliging;
≠
Is op de hoogte van externe invloeden die van invloed zijn op het informatiebeveiligingsbeleid en de jaarlijkse informatiebeveiligingsplannen.
1
Deze 0,2 FTE is een inschatting. Een analyse van de zwaarte van de taken van de functie heeft niet plaats gevonden. 0,2 tot 0,5 FTE is
gebruikelijk voor een functie van IBF of Security Manager voor gemeentelijke organisaties met een omvang zoals Geldermalsen.
9 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
In het geval van ernstige informatiebeveiligingsincidenten mag de IBF, wanneer dat noodzakelijk is, buiten de hiërarchie om rechtstreeks met de directie communiceren over alle aspecten van informatiebeveiliging (vertrouwelijkheid, integriteit en beschikbaarheid).
4.2.6
Netwerk en systeembeveiliging
Deze verantwoordelijkheid is grotendeels gedelegeerd aan de senior medewerker informatievoorziening. De taken en verantwoordelijkheden op dit gebied zijn onder andere: ≠
Controleert periodiek het netwerkverkeer en reageert proactief op interne en externe bedreigingen van de veiligheid van het netwerk via netwerkverbindingen. Denk hierbij onder andere aan aanvallen op het netwerk die plaatsvinden via het Internet of pogingen om in het draadloze netwerk te infiltreren;
≠
Beheert de firewalls en doet technisch forensisch onderzoek op verzoek van de directie of justitie;
≠
Toetst software en hardware die aangesloten wordt op het netwerk zodat er geen beveiligingslekken ontstaan.
Maatregelen op het gebied van netwerk- en systeembeveiliging kunnen onderdeel uitmaken van het informatiebeveiligingsplan.
10 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
4.2.7
Fysieke beveiliging en toegang tot gebouwen
Deze verantwoordelijkheid is grotendeels gedelegeerd aan de medewerker interne dienst. De taken en verantwoordelijkheden op dit gebied zijn onder andere: ≠
Inbraak preventie en het beheer van de beveiligingsinstallaties;
≠
De coördinatie van de beveiligingsgroep en de beveiliging rond het gemeente huis;
≠
De verantwoordelijkheid voor het testen, het onderhoud en de certificering van de brandmeldinstallatie.
Maatregelen op het gebied van fysieke beveiliging en toegang tot gebouwen kunnen onderdeel uitmaken van het informatiebeveiligingsplan.
4.3
Evaluatie en bijstelling van het beleid
Het informatiebeveiligingsbeleid wordt eens in de 4 jaar herzien. Wanneer daar aanleiding toe is wordt het tussentijds bijgesteld. De noodzaak van een tussentijdse bijstelling kan het gevolg zijn van een wetswijziging, consequenties van wijzigingen in de nationale cyber security strategie maar ook van een wijziging in de organisatie(structuur) van de gemeente Geldermalsen.
4.4
Informatie beveiligingsincidenten en het incidentenregister
Beveiligingsincidenten zijn gebeurtenissen die de betrouwbaarheid van de informatievoorziening bedreigen of verstoren. Voorbeelden van informatie beveiligingsincidenten zijn: ≠
Brieven die zijn gericht aan overledenen of onjuist zijn geadresseerd;
≠
De beveiliging van een leverancier van software of hardware blijkt niet op orde te zijn waardoor ook de beveiliging van de gemeente Geldermalsen wordt bedreigd;
≠
Het lekken van vertrouwelijke informatie (bijvoorbeeld via de website);
≠
De dienstverlening wordt ernstig verstoord omdat ICT-systemen niet kunnen worden gebruikt;
≠
Het account van een medewerker die al een half jaar uit dienst is, is nog steeds met ongewijzigd wachtwoord toegankelijk;
≠
Een back-up blijkt niet leesbaar te zijn wanneer een medewerker vraagt of een belangrijk bestand, wat onterecht is verwijderd, terug gezet kan worden.
Incidenten op het gebied van informatiebeveiliging worden door de IBF bijgehouden in het incidentenregister. Dit register wordt onder meer gebruikt om trends te signaleren en wordt gebruikt als input bij de jaarlijkse revisie van het beveiligingsplan. Elk nieuw incident wordt geëvalueerd en er wordt bekeken welke maatregelen genomen kunnen worden om optreden van hetzelfde incident in de toekomst te voorkomen. Deze evaluatie wordt uitgevoerd of gecoördineerd door de IBF die er tevens over rapporteert.
11 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
4.5
Rapportage over informatiebeveiliging en inbedding in de P&C cyclus
Informatiebeveiliging is één van de kwaliteitscriteria waarover in de P&C cyclus wordt gerapporteerd. Het aspect informatiebeveiliging wordt opgenomen in de paragraaf bedrijfsvoering. Binnen de P&C cyclus rapporteert de IBF over de betrouwbaarheid van de informatievoorziening. Aan de orde komen:
≠
De voortgang van de invoering van de geplande maatregelen;
≠
Nieuwe maatregelen bijvoorbeeld op basis van trends in de beveiligingsincidenten;
≠
Consequenties voor de betrouwbaarheid van de informatievoorziening na wijzigingen in netwerken, applicaties of systemen;
≠
Registraties van beveiligingsincidenten in het incidentenregister;
≠
De opvolging, escalatie en evaluatie van beveiligingsincidenten;
≠
Continuïteitsmanagement en wijzigingen in processen of draaiboeken;
≠
Communicatie en coördinatie over informatiebeveiliging, bewustzijn, houding en het gedrag van medewerkers.
4.6
Functioneel (applicatie)beheer
Afdelingshoofden zijn als procesverantwoordelijken verantwoordelijk voor de (informatie)beveiliging en de betrouwbaarheid van informatie binnen de processen die onder hun verantwoordelijkheid vallen. Door de afdelingshoofden worden taken en verantwoordelijkheden voor een applicatie en de daarin geregistreerde gegevens gedelegeerd aan een functioneel (applicatie)beheerder. Deze beheerder hoeft niet altijd werkzaam te zijn binnen de afdeling zelf. Beheer kan worden uitbesteed aan een andere afdeling, een samenwerkingspartner of een commerciële partij. Het afdelingshoofd is er verantwoordelijk voor dat er goede afspraken worden gemaakt over de kwaliteit van het beheer.
Het uitvoeren van maatregelen uit de informatiebeveiligingsplannen is (mede) afhankelijk van de ondersteuning door de functioneel (applicatie)beheerders. De functioneel (applicatie)beheerders verlenen en beheren toegangsrechten en zien er op toe dat beveiligingsprocedures worden nageleefd. Daarnaast zal een aanzienlijk deel van de beveiligingsmaatregelen uit het informatiebeveiligingsplan door de functioneel (applicatie)beheerders worden uitgevoerd.
Het moet duidelijk zijn welke verantwoordelijkheden en taken er precies aan de functioneel (applicatie)beheerders zijn gedelegeerd. Ook is het belangrijk dat de functioneel (applicatie)beheerders over voldoende kennis en capaciteit beschikken om de, aan hen gedelegeerde, verantwoordelijkheid te kunnen dragen. Daarnaast is het van belang dat er voldoende tijd beschikbaar is voor het uitvoeren van de beheerwerkzaamheden. In het informatiebeveiligingsplan zal er aandacht worden besteed aan de ondersteuning van afdelingshoofden bij het verder professionaliseren van het functioneel (applicatie)beheer binnen de afdelingen.
12 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
5.
Classificatie van informatie
De betrouwbaarheid van de informatievoorziening valt uiteen in de drie kwaliteitsattributen vertrouwelijkheid, integriteit en beschikbaarheid. De gemeente Geldermalsen onderscheidt voor elk van deze kwaliteitsattributen de classificatie niveaus ‘normaal’, ‘hoog’ en ‘zeer hoog’.
De eerste tabel bevat criteria waarmee per kwaliteitsattribuut een classificatie kan worden bepaald. De tweede tabel bevat per kwaliteitsattribuut concrete eisen voor elk classificatieniveau. Het daadwerkelijk classificeren van de, binnen de gemeente gebruikte, informatie en applicaties zal in de jaarlijkse beveiligingsplannen verder worden uitgewerkt.
Het beveiligingsniveau van informatie kan per kwaliteitsattribuut verschillen. Wanneer we bijvoorbeeld de vermelding van het centrale telefoonnummer op de gemeentelijke website willen classificeren, zullen we vaststellen dat het hier openbare informatie betreft. De classificatie voor het kwaliteitsattribuut vertrouwelijkheid is dus ‘normaal’. Wanneer het telefoonnummer niet klopt is dit echter wél erg vervelend voor de burgers en wordt de gemeente in verlegenheid gebracht. De classificatie voor het kwaliteitsattribuut integriteit is daarom ‘hoog’.
5.1
Criteria voor het classificeren Classificatie:
Normaal
Hoog
Zeer hoog
Openbare informatie die door iedereen kan worden ingezien.
Niet openbare informatie. Het openbaar worden van deze informatie zou de gemeente in verlegenheid kunnen brengen.
Strikt vertrouwelijke informatie. Het openbaar worden van deze informatie dient maximaal voorkomen te worden.
Openbare informatie buiten het beheer van de gemeente Geldermalsen. Correctheid is niet van toepassing. Wijziging van de informatie is niet of nauwelijks schadelijk.
Correctheid van de informatie is van belang. Onjuistheden veroorzaken schade voor de gemeente of brengen de gemeente in verlegenheid of diskrediet.
De correctheid van de informatie dient zeker te zijn en is van groot belang. Incorrecte informatie veroorzaakt grote schade, financiële en mogelijk imagoschade.
Niet bedrijfskritisch. Uitval is mogelijk. Wanneer de informatie niet beschikbaar is ontstaan er geen of uiterst beperkte problemen in de dienstverlening naar burgers of ketenpartners.
Bedrijfskritisch. Uitval is een enkele keer mogelijk. Wanneer de informatie niet beschikbaar is ontstaan vervelende vertragingen in de dienstverlening naar burgers of ketenpartners.
Zeer bedrijfskritisch. Uitval is in principe niet toegestaan. Wanneer de informatie niet beschikbaar is ontstaan er onaanvaardbare problemen in de dienstverlening naar burgers en ketenpartners .
Kwaliteitsattribuut: Vertrouwelijkheid (de mate waarin toegang tot gegevens of functionaliteiten beperkt is tot degene die daartoe bevoegd is) Integriteit (de mate waarin gegevens correct geregistreerd en zonder fouten zijn)
Beschikbaarheid (de mate waarin gegevens of functionaliteiten op de juiste momenten beschikbaar zijn)
13 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
5.2
Eisen per kwaliteitsattribuut en classificatieniveau Classificatie:
Normaal
Hoog
Zeer hoog
Geen aanvullende maatregelen.
Door maatregelen en procedures wordt gegarandeerd dat deze informatie uitsluitend toegankelijk is binnen de afdeling of het taakveld die de informatie nodig heeft voor het uitvoeren van de werkzaamheden. Medewerkers worden periodiek geïnstrueerd over hoe om te gaan met deze gevoelige informatie en de gevolgen van oneigenlijk gebruik ervan.
Door maatregelen en procedures wordt gegarandeerd dat alleen de persoon die de informatie aantoonbaar voor het uitoefenen van het werk nodig heeft kan benaderen. Op termijn zal de gemeente streven naar een audittrail voor alle wijzigingen en bewerkingen. Medewerkers worden periodiek geïnstrueerd over hoe om te gaan met deze gevoelige informatie en de gevolgen van oneigenlijk gebruik ervan.
Geen aanvullende maatregelen.
Er is een stelsel van maatregelen, procedures en controles die de juistheid van de informatie bewaken.
Er is een stelsel van maatregelen, procedures en controles die de juistheid van de informatie bewaken, en onterechte wijzigingen signaleren en/of corrigeren. In veel gevallen zijn voor deze informatie, bijvoorbeeld financiële informatie of persoonsgegevens, nu al procedures ingericht.
Geen aanvullende maatregelen nodig. (Stand van de techniek). Na een storing moet de informatie binnen 5 werkdagen weer beschikbaar zijn.
Na een storing moet de informatie binnen 24 uur weer beschikbaar zijn. Een storing mag maximaal 4 keer per jaar optreden.
Na een storing moet de informatie binnen 4 uur weer beschikbaar zijn. Een storing mag maximaal 4 keer per jaar optreden.
Kwaliteitsattribuut: Vertrouwelijkheid (de mate waarin toegang tot gegevens of functionaliteiten beperkt is tot degene die daartoe bevoegd is)
Integriteit (de mate waarin gegevens correct geregistreerd en zonder fouten zijn)
Beschikbaarheid (de mate waarin gegevens of functionaliteiten op de juiste momenten beschikbaar zijn)
14 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
6.
Toegang tot informatie
Een belangrijke oorzaak van het ontstaan van beveiligingslekken is de manier waarop medewerkers reageren op een onvolledige informatievoorziening. Wanneer medewerkers geen toegang hebben tot informatie die ze nodig hebben voor de uitoefening van hun werkzaamheden gaan ze ‘op zoek’ naar die informatie. In de praktijk betekend dat vaak dat er wachtwoorden en inlogcodes worden ‘geleend’ van collega’s.
Naast maatregelen die de toegang tot informatie beperken zijn er dus ook maatregelen nodig die juist zorgen voor toegang tot informatie. Het is belangrijk dat medewerkers toegang krijgen tot alle informatie die ze voor het uitvoeren van hun werkzaamheden nodig hebben. Het is daarom van belang dat er in de informatiebeveiligingsplannen ook aandacht wordt besteed aan het in kaart brengen van de informatiebehoefte en het ontsluiten van relevante informatie voor de medewerkers die deze informatie nodig hebben.
Op dit moment wordt er binnen de gemeente nog beperkt gebruik gemaakt van softwareapplicaties die primair gericht zijn op het raadplegen van informatie. De softwareapplicaties die bedoeld zijn om gegevens te muteren worden nu vaak ook gebruikt door medewerkers die niet bevoegd zijn om deze gegevens te muteren. Daarnaast hebben medewerkers via deze applicaties soms toegang tot meer gegevens dan ze nodig hebben voor het uitvoeren van hun wettelijke taken.
Door zo veel mogelijk informatie op maat te ontsluiten met behulp van softwareapplicaties die primair gericht zijn op het raadplegen van informatie, wordt het eenvoudiger om binnen de wettelijke kaders te opereren. Daarnaast zal de informatie voor medewerkers toegankelijker zijn waardoor ze over betrouwbare gegevens kunnen beschikken en geen eigen (schaduw) administraties meer bij hoeven te houden. Het bijhouden van dubbele administraties is inefficiënt en verhoogt het risico op het werken met incorrecte gegevens.
15 van 16
Informatiebeveiligingsbeleid gemeente Geldermalsen, editie 2012
7.
Conclusies en aanbevelingen
Deze beleidsnota vormt, samen met het informatiebeveiligingsplan, het fundament onder een betrouwbare informatievoorziening. Het informatiebeveiligingsplan wordt jaarlijks bijgesteld op basis van nieuwe ontwikkelingen en registraties in het incidentenregister.
De speerpunten van het informatiebeveiligingsbeleid zijn: ≠
De gemeente Geldermalsen heeft op het gebied van privacybescherming een belangrijke maatschappelijke verantwoordelijkheid en hecht belang aan het beschermen van de privacy van haar burgers. Informatiebeveiliging is voor de gemeente Geldermalsen vooral belangrijk omdat haar klanten verwachten dat er zorgvuldig wordt omgegaan met hun privacygevoelige informatie.
≠
Een verhoging van de betrouwbaarheid van de informatievoorziening zal de betrouwbaarheid van de dienstverlening verder verhogen en daarnaast efficiënter werken mogelijk maken.
≠
De gemeente Geldermalsen heeft de ambitie om intensiever te gaan samenwerken met andere gemeenten en ketenpartners, zodat de efficiency en de continuïteit van de gemeentelijke organisatie kan worden verhoogd. De betrouwbaarheid van de gemeentelijke informatievoorziening is een belangrijke basisvoorwaarde voor een succesvolle samenwerking met externe partners.
Door periodieke controle en organisatiebrede planning en coördinatie van het bewaken én verhogen van de betrouwbaarheid van de informatievoorziening, zal de kwaliteit van de informatievoorziening worden gewaarborgd. De informatie beveiligingsfunctionaris (IBF) ondersteund vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover. Informatiebeveiliging is een van de kwaliteitscriteria waarover in de P&C cyclus wordt gerapporteerd. Het aspect informatiebeveiliging wordt als paragraaf opgenomen binnen het onderdeel bedrijfsvoering in de P&C cyclus.
Het is nuttig om komende jaren te onderzoeken in hoeverre beveiligingsmaatregelen in relatie tot de GBA, het archief, netwerk en systeembeveiliging, fysieke beveiliging en overige beveiligingsmaatregelen verder geïntegreerd kunnen worden in het integrale informatiebeveiligingsbeleid.
Daarnaast is het om in te toekomst de informatiebeveiliging gezamenlijk met samenwerkingspartners te organiseren. Verschillen in de eisen aan informatiebeveiliging tussen samenwerkingspartners kan samenwerking onnodig complex en ingewikkeld maken.
16 van 16
