!
Samenvattende rapportage van de beveiliging van de Gezamenlijke elektronische Voorzieningen Suwi
Auteur: Datum document: Versie: Status: Datum afdruk:
J.E.Breeman 24 maart 2011 1.0 Definitief 24 maart 2011
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
!
Inhoudsopgave Management samenvatting ..............................................................................3 Conclusies en aanbevelingen...................................................................................3 Conclusies over de feitelijke situatie.........................................................................3 Conclusies met betrekking tot het stelsel .................................................................4 Aanbevelingen met betrekking tot de feitelijke situatie .............................................4 Aanbevelingen met betrekking tot het stelsel ...........................................................5 Achtergrond van de Samenvattende rapportage ....................................................6 Opdracht ................................................................................................................................ 6 Verantwoordelijkheden .......................................................................................................... 6 Doel en nut van de Samenvattende rapportage .................................................................... 7 Beperking betekenis van de Samenvattende rapportage ...................................................... 7
Totaaloverzicht .....................................................................................................9 Bijzonderheden over de verantwoording over 2010 .................................................9 Toelichting op het totaaloverzicht .............................................................................9 Analyse van de audits en van de inhoud van de tabellen.......................................12 Kerncijfers...............................................................................................................12 Overzicht van de verantwoording ................................................................13 Gemeenten (GSD, I(G)SD, RSD, GBD) .................................................................13 Uitvoeringsinstituut Werknemersverzekeringen .....................................................13 Sociale Verzekeringsbank ......................................................................................15 Het Inlichtingenbureau............................................................................................16 Bureau Keteninformatisering Werk en Inkomen .....................................................17 Arbeidsinspectie en Sociale Inlichtingen en Opsporingdienst ................................18 College van Zorgverzekeraars................................................................................18 Cultuur en Ondernemen (voorheen: Kunstenaars & Co .........................................18 Immigratie en Naturalisatiedienst ...........................................................................19 Bureau BIBOB ........................................................................................................20 Document historie .............................................................................................. 21
2 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
!
Management samenvatting Deze Samenvattende rapportage van de beveiliging van de GeVS beoogt een totaalbeeld te verschaffen over de beveiliging van de Gezamenlijke elektronische Voorzieningen Suwi als stelsel voor de uitwisseling van persoonsgegevens. Deze rapportage is samengesteld ten behoeve van: - SZW, als eigenaar van de infrastructuur; - de registratiehouders, als eigenaren van de via de GeVS uitgewisselde gegevens; - de aangesloten organisaties, ter bevestiging van het onderlinge vertrouwen en het vertrouwen in de GeVS als stelsel voor gegevensuitwisseling. Met deze rapportage wordt een beeld gegeven van het stelsel (organisatie en procedures) als totaal en inhoudelijk de mate waarin de beveiliging voldoet aan de gestelde eisen.
Conclusies en aanbevelingen De conclusies zijn gebaseerd op de uitkomsten van de afzonderlijke onderzoeken. Relevant bij deze conclusies is het besef dat: - algemeen geaccepteerd is dat de menselijke factor een groter risico vormt voor het functioneren van de beveiliging dan de techniek; - de keten ook afgelopen jaar weer een schaalvergroting kent, zowel wat betreft het aantal aangesloten organisaties en personen dat gebruik maakt van de uitgewisselde gegevens, als van het aantal aangesloten bronnen en beschikbaar gestelde gegevens; Dankzij de aandacht voor privacy en (informatie)beveiliging heeft de schaalvergroting het beveiligingsniveau niet negatief beïnvloed.
Conclusies over de feitelijke situatie De schaalvergroting van de GeVS heeft het beveiligingsniveau niet negatief beïnvloed. De rapportages laten weer verbetering zien ten opzichte van voorgaande jaren. Bij de organisaties die al eerder op deze manier inzicht gaven in de beveiliging van de eigen delen van de GeVS is de informatiebeveiliging op een enkele afwijking na op orde. De rapportages van de nieuw aangesloten GBD’s tonen een divers beeld, waarbij: - een aantal aandachtgebieden niet of niet geheel voldoet aan de norm; - een aantal van de aandachtgebieden niet is beoordeeld; - een aantal GBD’s volledig voldoet aan de norm. Gemeenten besteden in toenemende mate aandacht aan privacy en informatiebeveiliging; dit is niet zichtbaar vanuit de aangeleverde rapportages, maar wel vanuit: - de verzoeken die BKWI krijgt voor specifieke rapportages; - de bezoeken van de accountmanagers van BKWI en IB bij gemeenten; - de vragen vanuit het gemeentelijke veld aangaande de informatiebeveiliging en de inrichting van het interne controleproces. De rapportages ‘Gebruik Suwinet’ en het beeld dat het accountmanagement van BKWI en IB hebben van de beveiliging bij de sociale diensten vertonen een vergelijkbaar beeld als in de rapportages van de GBD’s.
3 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
!
Conclusies met betrekking tot het stelsel Deze rapportage geeft, voor die organisaties die niet verplicht zijn de relevante informatie voor deze Samenvattende rapportage aan te leveren, geen volledig beeld1, maar veeleer een indicatie in van de stand van zaken hun werkveld. De conclusies en aanbevelingen moeten in dit licht worden gezien. BKWI is ook dit jaar door het niet of late aanleveren van rapportages niet in staat geweest de Samenvattende rapportage tijdig samen te stellen, af te stemmen en te verspreiden. Het blijkt met enige regelmaat dat het niet uitvoerbaar is de Samenvattende rapportage per 15 maart aan te leveren. Immers: deze rapportage wordt samengesteld uit de afzonderlijke rapportages, met eenzelfde aanlevermoment. Vervolgens moet de rapportage worden afgestemd met de domeingroep Privacy en Beveiliging. Gemeenten zijn wel degelijk in staat transparant te zijn over de beveiliging van de GeVS; dat blijkt uit de rapportages van de gemeentelijke belastingdeurwaarders. De impact van deze transparantie, zoals de kosten van een audit, vormen een reële belemmering. Zeker in de tijd van bezuinigingen moeten de registratiehouders komen tot een generieke verantwoordingsrichtlijn en een generiek normenkader. De lastenverlichting die dit oplevert kan worden omgebogen naar een transparantie verplichting. In het Normenkader GeVS wordt een kunstmatige onderscheid gemaakt tussen de beveiliging van de gegevensuitwisseling en van de gegevensverwerking en tussen de beveiliging van de GeVS en van de eigen informatiehuishouding. Deze zaken zijn echter verweven en het is dan ook gewenst te komen tot een situatie waarbij aangesloten organisaties transparantie bieden aangaande de beveiliging van de (eigen) informatiehuishouding conform een generieke richtlijn en een generiek normenkader en waarbij elke materiële afwijking, onder vermelding van de hieraan verbonden risico’s en getroffen maatregelen, wordt benoemd.
Aanbevelingen met betrekking tot de feitelijke situatie Het verdient aanbeveling dat: 1) de aangesloten organisaties de geconstateerde (materiële) afwijkingen verbeteren. 2) de aangesloten organisaties nader overwegen - gezien de resultaten van de rechtmatigheidonderzoeken – of het interne controleproces wel voldoende aandacht krijgt.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 1
Niet alle organisaties hebben een rapportage aangeleverd.
4 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
!
Aanbevelingen met betrekking tot het stelsel Het verdient aanbeveling dat: 3) de Domeingroep Privacy en Beveiliging de verantwoordingsrichtlijn en het Normenkader zodanig aan past dat deze de gehele interne informatiehuishouding betreffen. Dit kan een beduidende lastenverlichting betekenen voor de aangesloten organisaties. (Richting Suwi-keten kunnen zij volstaan met één onderzoek en één rapportage). 4) de wetgever en registratiehouders borgen bij voorkeur in generieke wetgeving dat alle aangesloten organisaties jaarlijks een rapportage verstrekken aangaande de informatiehuishouding. 5) de aangesloten organisaties borgen dat BKWI tijdig de informatie ontvangt, om de Samenvattende rapportage van de beveiliging van de GeVS samen te stellen. De wetgever verplaatst het moment van aanleveren van de Samenvattende rapportage naar 15 april.
5 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
!
Achtergrond van de Samenvattende rapportage Opdracht Ingevolge artikel 6.4 Regeling Suwi d.d. 21 december 2001 is de Security Officer van het BKWI verplicht om jaarlijks, ten behoeve van SZW en de IWI, een totaaloverzicht samen te stellen over de beveiliging van de gegevensuitwisseling via de GeVS. Daarnaast voorziet deze Samenvattende rapportage de registratiehouders van informatie over de beveiliging van de GeVS als “veilig” instrument voor het uitwisselen van gegevens. Het begrip ‘beveiliging’ is nader gepreciseerd met de onderstaande kwaliteitscriteria: de mate waarin de bedrijfsprocessen voor het beheer van de - beschikbaarheid: GeVS en de koppelvlakken gericht op de gegevensuitwisseling, ongestoord voortgang kunnen vinden. de mate waarin de toegang tot de gegevensuitwisseling via de - exclusiviteit: GeVS en de koppelvlakken en de kennisname van de informatie daarin, is beperkt tot een gedefinieerde groep van gerechtigden. de mate waarin de gegevensuitwisseling via de GeVS en in het - integriteit: koppelvlak zonder fouten is. - controleerbaarheid: de mate waarin door de mens kan worden vastgesteld dat de bedrijfsprocessen gericht op de gegevensuitwisseling via de GeVS en het koppelvlak tot het beoogde resultaat hebben geleid.
Verantwoordelijkheden
Het management van elk op de GeVS aangesloten organisaties, incluis het BKWI, is zelf verantwoordelijk voor de beveiliging van de eigen delen van de GeVS. De beveiliging van de gegevensuitwisseling via de GeVS is ingericht en wordt beoordeeld conform de vigerende versie van het Suwinet-Normenkader2. Ook is elke organisatie zelf verantwoordelijk voor de inhoud van de eigen jaarlijkse rapportage aan de Minister van SZW, aan de IWI en aan de registratiehouders van wie zij persoonsgegevens raadplegen. Voor zover hieraan gehouden, verantwoorden zij zich conform de vigerende versie van de Verantwoordingsrichtlijn, waarmee de resultaten in de afzonderlijke rapportages op elkaar aansluiten. Het staat het management van de aangesloten organisaties vrij te kiezen of zij in haar jaarverslag verantwoording aflegt over de informatiebeveiliging via het oordeel van een geregistreerde edp-auditor (over de beveiliging van – de eigen delen van – de GeVS) of dat zij dit zelf doet in de mededeling bedrijfsvoering3. De edp-auditor/accountant van elk van deze organisaties is verantwoordelijk voor: - het oordeel over de mate waarin de verantwoording van het management getrouw weergeeft in hoeverre is voldaan aan de vastgestelde normenkaders en gemaakte afspraken betreffende de beveiliging van de gegevensuitwisseling (conform artikel 6.4 Regeling Suwi) of - het oordeel over de beveiliging van – de eigen delen van – de GeVS van de beoordeelde organisatie. De Security Officers van de afzonderlijke organisaties brengen (de publieke versie van) de verantwoording van hun organisatie in de DPB. De publieke versies dienen de garantie te bevatten dat deze correspondeert met de onderliggende auditrapporten.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 2
Bijlage bij de Verantwoordingsrichtlijn voor de edp-audit van de beveiliging van Suwinet. In dit laatste geval dient deze mededeling vergezeld te gaan van een oordeel/verklaring van getrouwheid van een geregistreerde auditor.! 3
6 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
! De Security Officer van het BKWI stelt op basis van (de publieke versies van) de rapportages van de afzonderlijke organisaties (over de beveiliging van de gegevensuitwisseling via de GeVS) – een Samenvattende rapportage samen. In overleg met de DPB formuleert de Security Officer van het BKWI conclusies en aanbevelingen over de beveiliging van de GeVS als geheel. De Security Officer van het BKWI en ook de DPB zijn niet verantwoordelijk voor de beoordeling van de juistheid van de publieke rapportages of voor het oordeel of en in hoeverre de beveiliging aan de gestelde eisen voldoet; deze beoordeling valt onder de verantwoordelijkheid van de IWI.
Doel en nut van de Samenvattende rapportage
Deze Samenvattende rapportage van de beveiliging van de GeVS beoogt de minister, de IWI, de registratiehouders en de aangesloten organisaties, respectievelijk als verantwoordelijke, toezichthouder en/of belanghebbenden, een totaalbeeld te tonen van het gehele stelsel van maatregelen en procedures ter bescherming van de privacy en de beveiliging van de GeVS. Dit totaalbeeld dient de beoordeling te ondersteunen of alle risico’s zijn afgedekt en of met de besteding van geld en inspanningen de gewenste risicoreductie is bereikt. In overeenstemming met de rol en taken van het BKWI wordt de minister – door middel van evaluatie van inhoud en toepassing van het beveiligingsbeleid – aldus ondersteund in zijn regelgevende verantwoordelijkheid, tegelijkertijd biedt het totaalbeeld de registratiehouders een indicatie over de beveiliging van de door hen verstrekte gegevens.
Reikwijdte van de Samenvattende rapportage
In de Samenvattende rapportage wordt een beeld gegeven van de beveiliging van het stelsel voor gegevensuitwisseling via de GeVS, conform Art. 6.4 Regeling Suwi. In dit beeld is niet opgenomen een beeld van de beveiliging van de gegevensverwerking, conform Art. 5.22 Regeling Suwi4. Ook bevat de rapportage geen informatie over de beveiliging van die delen van de GeVS waarover de Security Officer van het BKWI geen informatie heeft ontvangen, zoals van de gemeenten. Gemeenten zijn niet gehouden verantwoording af te leggen aan de minister van SZW en wettelijk niet verplicht om aan [de Security Officer van] het BKWI te rapporteren en verstrekken derhalve geen rapportage aangaande de mate waarin zij aan de gestelde eisen voldoen. De organisaties welke niet aan BKWI rapporteren vormen ca. 46% van het totaal aantal gebruikers van de GeVS, zodat het maar de vraag is in hoeverre de informatie in deze Samenvattende rapportage een reële weergave is van de beveiliging van de GeVS als geheel en in wezen wordt BKWI belemmerd in het uitvoeren van haar wettelijke taak wat betreft het samenstellen van een totaaloverzicht van de beveiliging van de GeVS als geheel en voldoet de Samenvattende rapportage in feite niet aan het gestelde doel.
Beperking betekenis van de Samenvattende rapportage
In het jaarverslag van de betrokken organisaties5 wordt verslag gedaan over de gehele informatiebeveiliging, zowel over de gegevensuitwisseling als over de gegevensverwerking. In de beveiligingsparagraaf, opgenomen in het managementstatement van het Jaarverslag doet het management verslag van:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
4 De verantwoording van de verwerking van de via de GeVS uitgewisselde gegevens vindt plaats in de eigen reguliere verantwoording van de afzonderlijke organisaties. 5 De GBD’s kennen geen jaarverslag met Managementstatement. In de nieuwe Verantwoordingsrichtlijn zal hiervoor een oplossing worden gevonden.!
7 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
! -
alle materiële afwijkingen aangaande de beveiliging van de eigen delen van de GeVS; de daarbij gelopen risico’s; de daarop getroffen maatregelen.
Deze Samenvattende rapportage bevat geen informatie over: - de beveiliging van de gegevensverwerking; - de beveiliging van de gegevensuitwisseling via die delen van de GeVS, welke onder de verantwoordelijkheid vallen van organisaties die hierover niet aan het BKWI rapporteren; - de beveiliging van de gegevensuitwisseling via de applicatiekoppelingen waarmee gegevens via de GeVS uitgewisseld worden; - getroffen maatregelen of procedures. In de rapportage wordt zo veel mogelijk getracht een vergelijk mogelijk te maken; zo worden de huidige bevindingen naast de bevindingen van het voorgaande jaar gepresenteerd. De Verantwoordingsrichtlijn en het bijbehorende Suwinet-Normenkader worden jaarlijks geëvalueerd, waardoor bij wijziging van richtlijn of normen, de grondslag van de beoordeling (de normen) aangaande het “voldoen aan de norm” over de verschillende jaren niet per definitie gelijk hoeven te zijn. De rapportage biedt alleen een betrouwbaar en bruikbaar beeld wanneer alle aangesloten organisaties zich - op vergelijkbare wijze – over hun deel van de beveiliging verantwoorden. Aangezien deze Samenvattende rapportage is samengesteld uit een beperkt aantal rapportages, heeft de informatie in deze rapportage slechts beperkte betekenis. De betekenis van onderstaande conclusie moet dan ook - rekening houdend met deze beperking - worden gelezen.
8 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
!
Totaaloverzicht Bijzonderheden over de verantwoording over 2010 Voor de verantwoording over het jaar 2010 is versie 2.0 van de Verantwoordingsrichtlijn gebruikt en gelijk aan 2009 vindt verantwoording plaats conform een Addendum op de Verantwoordingsrichtlijn, welke in overleg tussen de Suwi-organisaties, SZW, de IWI en door de Stuurgroep ICT is vastgesteld6.
Toelichting op het totaaloverzicht Niet elke aangesloten organisatie heeft een rapportage aangeleverd of het oordeel van getrouwheid van de auditor meegestuurd. Ook blijkt dat niet elke organisatie alle normen heeft beoordeeld. Als gevolg hiervan zijn de resultaten in de afzonderlijke rapportages niet volledig vergelijkbaar en is de juistheid van een deel van de aangeleverde informatie niet beoordeeld. De informatie in de Samenvattende rapportage van de beveiliging van de GeVS over 2010 is gebaseerd op – zover aangeleverd – de rapportages van de volgende organisaties: AI en SIOD BIBOB BKWI CVZ I(G)SD RSD
De gezamenlijke rapportage van de Arbeidsinspectie en Sociale Inlichtingen en Opsporingsdienst is verwerkt. De rapportage van Bureau BIBOB is verwerkt. De rapportage van Bureau Keteninformatisering Werk en Inkomen is verwerkt. Het College van Zorgverzekeraars was niet in staat de rapportage op tijd voor deze Samenvattende rapportage aan te leveren. De gemeentelijke, intergemeentelijke en regionale sociale diensten leveren geen rapportages aan ten behoeve van deze Samenvattende rapportage.
GBD
In totaal zijn 53 gemeentelijke belastingdeurwaarders zelfstandig of via een samenwerkingsverband aangesloten op de GeVS. Met de 23 ontvangen rapportages hebben 31 GBD’s verantwoording afgelegd. Deze rapportages zijn verwerkt.
RMC
Op basis van een pilot zijn in 2009 vier “Regionaal Meld- en Coördinatiefunctie voortijdig schoolverlaters” aangesloten. De pilot is in 2010 afgelopen en het ligt in de bedoeling dat de gemeenten van de pilot-RMC’s en nieuw aan te sluiten RMC’s zich ook jaarlijks zullen verantwoorden. De rapportage van Stichting het Inlichtingenbureau is verwerkt. Niet alle normen zijn beoordeeld. De rapportage van de Immigratie en Naturalisatiedienst is verwerkt. De Landelijke interventieteams leggen verantwoording af via de eigen organisatie. Met de Belastingdienst zijn geen afspraken gemaakt aangaande verantwoording. Van Cultuur en Ondernemen (voorheen Kunstenaars & Co is geen rapportage ontvangen De rapportage van de Sociale Verzekeringsbank is verwerkt. De verantwoording van het Uitvoeringsinstituut Werknemersverzekeringen (incl. UWV WERKbedrijf) is verwerkt. Uit de rapportage blijkt dat niet alle normen zijn beoordeeld.
IB IND IVT K&Co SVB UWV
Aangesloten organisaties per 2010
Overzichtstabellen
In onderstaande tabellen is de door het management aangeleverde informatie over de beveiliging verwerkt. De bevindingen van de afzonderlijke aandachtgebieden zijn weergegeven met een kleurencode, welke is bepaald aan de hand van de uitkomsten van de beoordeling van de individuele normen waaruit het onderwerp is samengesteld en welke mede is gebaseerd op het professional judgment van de edp-auditor.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 6
Deze is vastgesteld per d.d. 11 augustus 2009.
9 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
! De volgende tabellen tonen per organisatie de beoordeling van “opzet, bestaan en werking” voor de verschillende aandachtsgebieden van het stelsel van procedures en maatregelen over 2010 en 2009 en vervolgens de legenda bij deze tabellen.
Toegangbeveiligingsoftware
Koppelingen / koppelpunten
Server
Netwerk
Suwinet-Mail
15 16 17 18 19 20 21 22 P NB NB NB P P P P P NB NB NB NB NB NB NB P P P P P P B P
Elektronische ketenberichten
14 P P P
Suwinet-Inlezen
Logische toegangsbeveiliging
Netwerkbeheer
Testen
Wijzigingsbeheer
Probleembeheer
Incidentbeheer
Configuratiebeheer
5 6 7 8 9 10 11 12 13 P P NB P P P NB P P NB NB NB NB NB NB NB NB P P B P B P P B P B
Suwinet-Inkijk
4 P P B
Componenten
Functies Fysieke beveiliging
3 P NB P
Continuïteitsbeheer
2 P P P
Capaciteitsbeheer
1 P P P
Beheerprocessen
Architectuur / Standaarden Dienstenniveau Beheer
Organisatie
Aandachtgebied AI/SIOD BIBOB BKWI Cultuur & Ondernemen 7 CVZ GBD GSD 8 IB IND IVT SVB UWV
Organisatie Beveiligingsbeleid en -plan
2010
Van Cultuur & Ondernemen is geen rapportage ontvangen. B P NB NB NB NB P NB NB NB NB P P P P NB NB NB P NB NB P De bevindingen van de Gemeentelijke Belastingdeurwaarders zijn weergegevens in een separate tabel. Van de sociale diensten is geen rapportage ontvangen. P P P P P B P P P P P NB F NB P NB NB NB NB NB NB NB B B P P P P P P P P P P P P P NB NB NB P P P P De IVT-deelnemers leggen verantwoording af via de eigen organisatie. P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P B B B NB P P P P
Resultaten over 2010
Aandachtgebied AI/SIOD BIBOB BKWI CVZ GBD GSD 9 IB IND IVT K & Co SVB UWV
Server
Netwerk
Suwinet-Mail
Toegangbeveiligingsoftware
Elektronische ketenberichten
Suwinet-Inlezen
Suwinet-Inkijk
Fysieke beveiliging
Logische toegangsbeveiliging
Koppelingen / koppelpunten
Componenten
Functies Netwerkbeheer
Testen
Wijzigingsbeheer
Probleembeheer
Incidentbeheer
Configuratiebeheer
Continuïteitsbeheer
Beheerprocessen Capaciteitsbeheer
Architectuur / Standaarden Dienstenniveau Beheer
Organisatie
Organisatie Beveiligingsbeleid en -plan
2009
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 P P P P P NB NB P P NB NB P P P P NB NB NB P P P P Van BIBOB is geen rapportage ontvangen. P P P B B B P B P B B P P B B P P B P P P B Van CVZ is geen verantwoordingsrapportage ontvangen. De recent aangesloten gemeentelijke belastingdeurwaarders hebben nog geen verantwoording afgelegd. Van de sociale diensten is geen rapportage ontvangen. P B P B P P B P P B P P F P P NB NB NB NB F B B B B P P P P P P P P P P P P P NB NB NB P P P P De IVT-deelnemers leggen verantwoording af via de eigen organisatie. Van Kunstenaars & Co is geen rapportage ontvangen. P P P P P P P P P P P P P P P NB NB NB P B P P NB NB NB P P P P B P P P NB NB NB NB NB NB NB NB NB NB NB
Resultaten over 2009
P Voor dit aspect van de beveiliging zijn voldoende effectieve procedures en maatregelen getroffen. Voor dit aspect van de beveiliging zijn getroffen procedures en maatregelen maar gedeeltelijk B geïmplementeerd. F Voor dit aspect van de beveiliging zijn geen of vrijwel geen procedures en maatregelen getroffen. Dit aspect van de beveiliging is niet beoordeeld, omdat deze niet van toepassing is of dat niet voldoende NB evidence beschikbaar was. Legenda bij de resultaten
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 7
De bevindingen van CVZ zijn indicatief, omdat het verslag van de auditor nog niet binnen is. De auditor van IB heeft over 2010 geen oordeel van getrouwheid afgegeven. 9 Het Inlichtingenbureau heeft over 2009 een conceptversie aangeleverd.! 8
10 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
! Onderstaande tabel toont van de Gemeentelijke Belastingdeurwaarders de beoordeling van “opzet, bestaan en werking” voor de verschillende aandachtsgebieden van het stelsel van procedures en maatregelen over 2010.
NB NB NB NB P B
P P B
P P F
P P F
NB
Server
18 19 20 21 NB P NB P NB NB NB NB NB P NB P NB P NB P NB P
NB NB NB
Koppelingen / koppelpunten
P P P
17 NB NB NB NB NB
Netwerk
P P P
15 16 P NB NB P NB P NB P NB
Suwinet-Mail
14 P
Toegangbeveiligingsoftware
13 P
Elektronische ketenberichten
10 11 12 P NB P NB P NB P P NB P NB NB P
Suwinet-Inlezen
9 P
Suwinet-Inkijk
8 P
Fysieke beveiliging
7 P
Logische toegangsbeveiliging
6 P
Netwerkbeheer
P P B
5 P
Testen
P P NB
Wijzigingsbeheer
P P B
Probleembeheer
P P B
Incidentbeheer
4 P
Configuratiebeheer
3 P
Continuïteitsbeheer
2 B
Architectuur / Standaarden Dienstenniveau Beheer
1 P
Componenten
Functies
Capaciteitsbeheer
Beheerprocessen
Organisatie
Aandachtgebied Alkmaar Almere Amersfoort Amsterdam Assen Belasting Samenwerking Rivierenland Bernheze Best Breda Capelle aan den IJssel Cocensus Delft Den Bosch Den Haag Deventer Drechtsteden Echt-Susteren Ede Emmen Gem. Regeling Parkstad Limburg Groningen Hilversum Houten Leeuwarden Leiden LeidschendamVoorburg Lelystad Leudal Maastricht Nieuwegein Olst-Wijhe Ooststellingwerf Rotterdam Spijkenisse Utrecht Waalre Zaanstad Zeist
Organisatie Beveiligingsbeleid en -plan
2010
22 P P P P
NB
NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB F P NB NB NB NB P P P P NB P P NB P NB NB NB P NB P P P
B
P
P
P
P
P
B
F
B
F
B
P P P B
B P B B
P P P B
P P P F
B
B
B
P
NB NB P P F F F B P
P
P
B
P
P
P
P P P F
P P F B
P P F F
P
B
B
NB NB P
NB NB NB NB P NB F P P P NB P P NB
P
P
P
P
P
P
P P P B
B P B B
P P P P
P P F P
B
B
B
B
P
P P P P
P P P B
B
P
P P F B B
P
P
NB
P
P
P
P
P P
P P
P
P
P
NB
P P P P
P P P P
B
B
NB
B
B
B
P
P
P
P
P
P
P
P
P
P
P
B P
B P
P P
P
P
P
B
P
P
P B P P
P P P P
P P P P
NB F P P P NB NB NB NB NB NB NB NB NB PB NB P P B NB P P NB NB P NB P NB NB NB P P P NB P P NB P P P P P NB P P P P P P P P P P P NB NB P P P P NB P P P
P
P
P
NB
P P
P
NB NB NB NB NB NB NB NB NB
NB NB NB NB NB NB NB NB NB
P
P
P P
NB
P
NB NB NB NB NB NB NB NB NB
NB
B
B P
P
NB NB NB NB NB NB NB NB NB
NB NB NB
B
P P
NB NB NB
NB NB NB NB NB NB
P P
P
P P
P
NB NB NB NB NB
NB NB NB NB NB
P
NB NB NB NB NB
P
P
NB NB NB
P
NB
P P
P P
P P
P
NB
P
P
P
P
P P P P
P P P P
P P P P
NB NB NB NB NB NB NB NB NB NB NB NB
NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB NB
NB NB NB P NB NB P NB NB NB NB NB P NB NB NB P NB NB NB NB P NB NB B NB NB P NB NB P NB
Resultaten van de Gemeentelijke Belastingdeurwaarders over 2010
11 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
!
Analyse van de audits en van de inhoud van de tabellen In eerste twee tabellen is weer een lichte verbetering zichtbaar; bij beduidend minder onderdelen staat NB en ook het aantal B’s is afgenomen. Uit de rapportages en begeleidend schrijven vanuit de GBD’s blijkt dat getracht is de verantwoordingsrichtlijn te volgen en dat een en ander verschillend is geïnterpreteerd. De resultaten doen vermoeden dan ook dat bij de beoordeling de beveiliging niet bij alle GBD’s even strak tegen de norm gehouden is. Dit beeld is vergelijkbaar met dat van de audit rapportages van de Suwi-partijen over 2002-2004. Informatiebeveiliging kan slechts dan effectief en efficiënt zijn wanneer alle procedures en maatregelen van alle aangesloten organisaties gezamenlijk voldoende bescherming bieden. Niet alle aangesloten organisaties zijn echter onderworpen aan het verantwoordingsregime (van de GeVS). Het is alleszins logisch te verlangen dat alle aangesloten organisaties input leveren voor een Samenvattende rapportage, opdat daarmee een totaaloverzicht samengesteld kan worden van de beveiliging van het stelsel van gegevensuitwisseling als geheel.
Kerncijfers
Onderstaande tabellen tonen een aantal kerncijfers over het gebruik van de GeVS. 2010
2009
376
384
Aangesloten bronnen
15
14
Gebruikte overzichtspagina’s
33
33
54.456
50.626
25.744.999
23.847.407
1.201.148
Niet gemeten
1.201.148
1.270.922
Aangesloten organisaties
10
Gebruikte accounts Uitgewisselde berichten via Suwinet-Inkijk (gestructureerde berichten) Uitgewisselde berichten via Suwinet-Inlezen (gestructureerde berichten via applicatiekoppeling) Uitgewisselde berichten via Suwinet-Mail (ongestructureerde berichten) Overzicht van behaalde resultaten 2010 Organisatie
2009
Aantal
Pct.
Aantal
Pct.
256
0,47%
256
0,51%
BIBOB
35
0,06%
36
0,07%
BKWI
67
0,13%
48
0,09%
CVZ*
58
0,11%
15
0,03%
AI
GBD’s*
325
0,60%
50
0,10%
GSD’en
23.003
42,24%
22.873
45,18%
IB
8
0,01%
8
0,02%
IND
151
0,28%
131
0,26%
IVT
252
0,46%
187
0,37%
Cultuur & Ondernemen (K&Co)
12
0,02%
11
0,02%
SIOD
173
0,32%
147
0,29%
RMC
55
0,10%
SVB
2.110
3,87%
2.153
4,25%
UWV
27.410
50,33%
23.177
45,78%
54.456
100,00%
Aantal gebruikers, totaal Aantallen en accounts voor Suwinet-Inkijk per organisatie
0,00%
50.626 100,00%
11
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 10 11
Verscheidene gemeenten hebben een gezamenlijke aansluiting binnen een samenwerkingsverband. Het aantal gebruikers is inclusief de beheersaccounts"!
12 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
!
Overzicht van de verantwoording De op de GeVS aangesloten organisaties leggen op basis van Art. 6.4 Regeling Suwi jaarlijks verantwoording af over de beveiliging van de gegevensuitwisseling via de GeVS en op basis van Art. 5.22 Regeling Suwi over de beveiliging van de gegevensverwerking. Dit hoofdstuk bevat per organisatie het managementstatement uit het jaarverslag of het oordeel van de beveiliging over 2010.
Gemeenten Van de gemeentelijke, intergemeentelijke en regionale sociale diensten is geen rapportage ontvangen. Hiertoe zijn ze niet wettelijk of contractueel verplicht. Dit jaar hebben de recent aangesloten Gemeentelijke Belastingdeurwaarders, verder genoemd GBD’s) in het kader van transparantie aan de keten een rapportage aangeleverd. In totaal maken 61 GBD’s, via een eigen aansluiting of via een samenwerkingsverband, gebruik van Suwinet-Inkijk. Van 27 GBD’s is een rapportage ontvangen. Vergelijkbaar met de rapportages van de ZBO’s van 2002 en 2003, vertonen de rapportages van de GBD’s een divers beeld. Duidelijk moeten deze organisaties wennen aan deze manier van controle en verantwoorden Al eerder is, onder andere door de IWI, gesignaleerd dat gemeenten moeite hebben met de Verantwoordingsrichtlijn en het Normenkader. Daarom zijn de GBD’s gevraagd expliciet melding te maken van alle knelpunten waarmee ze geconfronteerd werden bij het onderzoek en de rapportage zowel voor de Verantwoordingsrichtlijn als het Normenkader. Met deze knelpunten zal zo goed mogelijk rekening gehouden worden bij de nieuwe Verantwoordingsrichtlijn en het nieuwe Normenkader.
Uitvoeringsinstituut Werknemersverzekeringen
13 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
!
14 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
! Sociale Verzekeringsbank
15 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
! Het Inlichtingenbureau 5.6 Informatiebeveiliging en privacybescherming Op basis van het (interne) Informatiebeveiligingsplan 2010 rapporteert de service procesmanager maandelijks aan de directeur over de stand van zaken ten aanzien van informatiebeveiliging. In mei heeft er een interne controle op de gegevensverwerking plaatsgevonden. Daaruit bleek dat de gegevensverwerking adequaat geschiedt, maar dat procedureel nog wel verbeteringen nodig zijn, met name ten aanzien van het inzichtelijk maken van de noodzakelijke activiteiten en de controleerbaarheid daarvan. Deze verbeteringen zijn in de laatste kwartalen gerealiseerd. Een in dezelfde periode uitgevoerde pre-audit wees uit dat het Inlichtingenbureau volledig voldoet aan de SUWI-audit-eisen. In het sectorloket gemeenten verzamelt het Inlichtingenbureau informatie uit verschillende bronnen en stelt die op een bepaalde manier aan ondermeer gemeenten ter beschikking. Gemeentelijke sociale diensten gebruiken deze informatie ondermeer om hun handhavingprocessen te ondersteunen. Een betrouwbare verwerking van de bevragingen in het sectorloket is daarmee van groot belang. Het Inlichtingenbureau dient zorg te dragen voor een adequaat niveau van informatiebeveiliging conform de vastgestelde (SUWI-) normen. In dat kader wordt periodiek getoetst of (nog) aan alle vastgelegde beveiligingseisen wordt voldaan. Jaarlijks wordt ook een externe edp-audit uitgevoerd. Een rapport van bevindingen van de auditor heeft als uitgangspunt gediend voor deze verantwoording, waarin het management verslag doet in hoeverre de informatiebeveiliging voldoet aan de gestelde eisen en richtlijnen. Het management van het Inlichtingenbureau is van mening dat in 2010 ruim voldoende maatregelen zijn getroffen om de betrouwbaarheid van de gegevensverwerking te kunnen waarborgen. Er is geen indicatie dat in de verslagperiode beveiligingsincidenten daadwerkelijk hebben geleid tot het compromitteren van de privacy of van misbruik van persoonsgegevens In 2010 is uitvoering gegeven aan het (interne) privacyjaarplan 2010. Onder andere is een periodiek overleg tussen SUWI-juristen van UWV, SVB en IB ingevoerd voor overleg en afstemming over diverse juridische onderwerpen met name op het gebied van privacy.
6.10 Informatiebeveiligingsbeleid & procesmanagement Algemeen In 2010 is het informatiebeveiligingsbeleid integraal toegepast. Controles hebben plaatsgevonden en het beleid is daar waar nodig up-to- date gebracht of aan nieuwe situaties aangepast. Het besef van de medewerkers van het moeten toepassen van beveiligingsbeleid is ten opzichte van 2009 aanzienlijk verbeterd en kan nu als voldoende worden beschouwd. Om in 2009 geconstateerde tekortkoming te repareren is in het informatie beveiligingsplan van 2010 als maatregel opgenomen het periodiek uitvoeren van interne controles op volledigheid van aanleveren. Deze controles hebben in 2010 plaatsgevonden en lieten een aanzienlijk verbetering zien. Echter ook is geconstateerd dat met name structurele controle op bronaanlevering en brongegevens verwerking beter kan. De service- en beveiligingsprocessen zijn in 2010, in vervolg op de aanpassingen van deze processen in 2009, consequent toegepast. Daardoor zijn informatie beveiligingsrisico’s in 2010 - door de gehele procesketen heen - beter volgbaar gebleken. De interne en externe audits laten over 2010 een duidelijk oplopende lijn zien in werking en effectiviteit van deze processen. Dienstenniveaubeheer In 2010 zijn bijna alle bronleveringscontracten met achterstallig onderhoud vernieuwd. Daarmee is het inlichtingenbureau volledig in controle over de bronlevering. De praktijk van 2010 is dat ook gebleken. Steeds als er een dreiging was van niet tijdig of geheel leveren is dat steeds tijdig gesignaleerd en gecorrigeerd. Licentiebeheer In 2010 heeft er mede in het kader van de aanbesteding van het sectorloket een volledige her inventarisatie plaatsgevonden. Daaruit is gebleken dat het licentiebeheer geheel op orde is.
16 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
! Incidentbeheer Het beheer van (beveiligings)incidenten is in 2010 conform procedures uitgevoerd. Dit heeft in werking en effectiviteit een positief resultaat laten zien. Mede daardoor zijn mogelijke beveiligingsincidenten in 2010 vroegtijdig gesignaleerd en/of voorkomen. Wijzigingbeheer In 2010 zijn alle wijzigingen voor zover ze een beveiliging risico in zich droegen voorzien van een impact analyse. Een en ander is ook zo vastgesteld tijdens de EDP-audit over 2010. Netwerk- en serverbeheer In 2010 is er actief beleid gevoerd met betrekking tot het aanbrengen van systeem- en databasepatches. HP heeft op ons verzoek steeds tijdig laten weten wanneer er belangrijke informatiebeveiligingspatches beschikbaar waren. IB kon vervolgens opdracht geven deze te installeren. Daardoor is beter gewaarborgd dat de systemen altijd up-to date zijn. Bijzonder voor 2010 is dat het IB geen audit bij HP heeft laten uitvoeren. De reden hiervan is dat in 2010 hosting en onderhoud van het sectorloket zijn aanbesteed en per 1 januari 2011 naar nieuwe contractpartners zijn overgegaan. Daarmee was een audit bij HP naar de mening van het Inlichtingenbureau niet meer zinvol, terwijl het voor een audit bij de nieuw aangesloten organisaties nog te vroeg was. Een en ander is besproken met het ministerie van SZW en vervolgens is ook de IWI hierover geïnformeerd. Releasebeheer Alle releases in 2010 zijn getest voor ze in productie zijn genomen. Steeds is de procedure `In beheer nemen´ toegepast. Deze procedure zorgt voor een finale check op alle aspecten van informatiebeveiliging en kwaliteit voordat een release of product in productie en beheer wordt gezet. Gebruikersbeheer In 2010 is de procedure en werking ervan, conform het informatiebeveiligingsplan 2010, periodiek getoetst. Uit de edp-audit blijkt dat een strakkere controle op de autorisaties heeft plaatsgevonden. Verder zullen er in 2011 meer periodieke controles worden uitgevoerd op autorisaties van interne medewerker accounts. Een bijzonder punt van aandacht vormt de autorisatie van HP medewerkers. Uit de edp-audit van 2009 bleek dat binnen HP meer dan 200 medewerkers zijn geautoriseerd. Dit had te maken met de 24 uur beschikbaarheid en de manier waarop dit binnen HP ingeregeld is voor al hun klanten. Het IB heeft er bewust voor gekozen om voor de resterende looptijd van het contract deze werkwijze niet alsnog anders te regelen. Belangrijkste reden zijn de onevenredig hoge kosten en de zeer beperkte resterende looptijd van het contract met HP.
Bureau Keteninformatisering Werk en Inkomen Privacy en Beveiliging Rapportages krijgen veel aandacht binnen BKWI, zowel ter ondersteuning van sturing en beheer als voor integriteitcontrole. Door de aangebrachte verbeteringen in zowel het proces als de techniek worden de rapportages weer op tijd verstrekt, terwijl de vraag naar rapportages nagenoeg is verdubbeld. Ook is de betrouwbaarheid van de rapportages verbeterd en meer inzichtelijk gemaakt. BKWI ontwikkelt een mechanisme om de juistheid van de rapportages te waarborgen en een testset waarmee ook op termijn bij wijzigingen de betrouwbaarheid van informatie kan worden getest. Op enkele processen na zijn alle beheerprocessen verbeterd, zowel wat betreft de procesbeschrijvingen, als betere registratie en gerichter interne afstemming. Door ontstane achterstanden worden echter niet alle incidenten binnen de gestelde tijden opgelost of op tijd afgesloten. Naar verwachting wordt deze achterstand in het eerste kwartaal van 2011 ingelopen.
17 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
! De aanbeveling van de auditor van vorig jaar aangaande organisatorische uitwijk is niet opgevolgd. Het maken van afspraken over een organisatorische uitwijk reduceert een aantal risico’s bij calamiteiten. In aanmerking genomen dat het BKWI gezamenlijk met het Inlichtingenbureau gehuisvest is en - zelfstandig - onderdeel is van het UWV wordt het risico van een niet beschreven en formele organisatorische uitwijk laag geacht. De afspraken met leveranciers blijven een punt van aandacht. Uit de verantwoordingsrapportage (TPM-verklaring en SAS 70 type II rapportage) blijkt niet dat de leveranciers volledig aan alle normen hebben voldaan. De SAS 70 rapportage raakt niet alle aandachtsgebieden van het Suwinet-Normenkader, zo wordt in deze rapportage niets gemeld continuïteitsbeheer. Afgelopen jaar in BKWI over gegaan van PC’s met Windows besturingssysteem naar iMacs met Mac OS. Deze toch wel majeure operatie is redelijk probleemloos verlopen en heeft slechts tot beveiligingsincidenten van zeer geringe impact geleid. Vanuit de uitgevoerde penetratietest is een kwetsbaarheid zichtbaar geworden waarbij toegang tot de ontwikkelomgeving van Suwinet kon worden verkregen. Deze kwetsbaarheid is begin januari 2011 verholpen. Het testproces is duidelijk verbeterd, waardoor onder andere het proces beter gevolgd kan worden. Dit jaar heeft na release 8.2 geen evaluatie plaatsgevonden en zonder evaluatie bestaat een risico dat zicht ontbreekt of de wijzigingen wel voldoen aan de standaarden of dat de functionaliteit als gevraagd is opgeleverd. Het testproces krijgt ook komend jaar extra aandacht, onder andere wat betreft het vastleggen van het proces en de communicatie over de go-no-go beslissingen. Voortaan wordt vanuit het Keten-CAB bewaakt dat evaluatie heeft plaatsgevonden. Alle beheerprocessen – inclusief de recent aangepaste – zullen komend jaar worden gevolgd en waar nodig verder worden aangepast.
Arbeidsinspectie en Sociale Inlichtingen en Opsporingdienst Informatiebeveiliging (Regeling Suwi, artikelen 5.22 en 6.4) Gedurende 2010 hebben Arbeidsinspectie en SIOD gebruik gemaakt van SUWI inkijk. SIOD en Arbeidsinspectie dragen zorg voor een adequaat niveau van informatiebeveiliging conform de vastgestelde normen VIR 2007, VIR-BI en WBP. Het aspect informatiebeveiliging wordt meegenomen in alle projecten en bij alle reguliere wijzigingen. SIOD en Arbeidsinspectie hebben een Veiligheidsofficier /coördinator informatiebeveiliging in dienst die periodiek vaststelt of aan alle vastgelegde beveiligingseisen wordt voldaan. De rapportage over de beveiliging van Suwinet beoogt een totaalbeeld te verschaffen over het betrouwbaarheidsniveau van de gegevensverwerking Suwi, gebaseerd op de interne controle- en beheersmaatregelen. Hierbij verklaren ondergetekenden dat de rapportage over de beveiliging van Suwinet een getrouw beeld geeft. Daarmee wordt recht gedaan aan de artikelen 5.22 en 6.4 van de Regeling Suwi.
College van Zorgverzekeraars Het is het CVZ niet gelukt om de definitieve rapportage over het jaar 2010 op tijd aan te leveren. De vertraging is te wijten aan een verplichte aanbestedingsprocedure mbt de externe audit. Deze procedure heeft onverwacht te veel tijd gekost. Dit is de eerste IT-audit voor het CVZ en hierbij is bewust gekozen de rapportage professioneel af te handelen. In de toekomst zal geen sprake meer zijn van een vertraging. Het CVZ verwacht de audit over ca. 4 weken af te ronden en kan dan een definitieve rapportage verstrekken. Ter indicatie is de rapportage over het jaar 2009 toegestuurd.
Cultuur en Ondernemen (voorheen: Kunstenaars & Co Cultuur en ondernemen (voorheen geheten Kunstenaars & Co) heeft niet op tijd een rapportage kunnen aanleveren.
18 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
! Immigratie en Naturalisatiedienst
19 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
! Bureau BIBOB
20 van 21
Samenvattende rapportage van de beveiliging van de GeVS over 2010 !
!
Document historie Datum en versienummer
Auteur
Opmerking
23 februari 2011
Concept 0.1 J.E.Breeman
Eerste versie
1 maart 2011
Concept 0.2 J.E.Breeman
Verwerking van de publieke rapportages van de aangesloten organisaties
23 maart 2011
Concept 0.3 J.E.Breeman
Verwerking van de reactie van de DPB en de directeur BKWI
24 maart 2011
Definitief
Vastgesteld
J.E.Breeman
21 van 21