TOEGANGSBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Colofon Naam document Toegangsbeleid Versienummer 1.0 Versiedatum oktober 2013 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright © 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met:
2
Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1.
het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging.
2.
het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging.
3.
het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveilgingsassessment DigiD is een voorbeeld van zo’n project.
Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: -
Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG en PUN, maar ook de archiefwet.
-
Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
-
De gemeente stelt dit normenkader vast, waarbij er in de naleving van dat kader ruimte is voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe.
3
Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit document bevat een good practice voor het toegangsbeleid van een gemeente. De in deze handreiking genoemde niveaus en (bewaar)termijnen zijn een voorstel en komen uit verschillende brondocumenten. Waaronder: wetgeving, PVIB-patronen, een gemeente en de Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten (BID). Doelgroep Dit document is van belang voor het bestuur (voor het beleid), werknemers, inleners en bezoekers Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o
Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten
o
Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten
Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Hoofdstuk 9.1
4
Inhoud 1
Inleiding
6
1.1 1.2 1.3
6 6 6
Het belang van Toegangsbeleid Raakvlakken Opbouw
Bijlage 1: Beleidsuitgangspunten toegangsbeleid
7
Bijlage 2: Algemene Huisregels en gedragscodes gemeente
8
5
1
Inleiding
Dit document bevat een good practice voor het fysieke toegangsbeleid van een gemeente. Toegangsbeleid is de basis voor een goede en beheerste toegang tot de burelen van een gemeente. Deze aanwijzing gaat niet over logische (netwerk) toegangsbeveiliging.
1.1
Het belang van Toegangsbeleid
Het doel van dit beleid is te voorkomen dat onbevoegden toegang krijgen tot ruimtes met informatie waar zij geen kennis van behoren te nemen dan wel dat informatie kan worden aangepast. Het toegangsbeleid spitst zich daarnaast toe op de fysieke beveiliging van kantoren, ruimten en faciliteiten.
1.2
Raakvlakken
De in deze handreiking genoemde niveaus en (bewaar)termijnen zijn een voorstel en komen uit verschillende brondocumenten, waaronder: wetgeving, een gemeente en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), hoofdstuk 9.1.
1.3
Opbouw
Dit document is onderverdeeld in een voorbeeld voor het gemeentelijk toegangsbeleid en in een algemeen en allesomvattend document met huisregels waarin informatiebeveiliging een plaats heeft gekregen. In dit document is een speciale regel opgenomen met betrekking tot het melden van vermeende informatiebeveiligingsincidenten en zijn de regels die een raakvlak hebben met het informatiebeveiligingsbeleid vet gearceerd. De huisregels moeten van toepassing verklaard worden op interne medewerkers en op inleenmedewerkers en op alle bezoekers van de gemeente. Interne medewerkers en inleenmedewerkers dienen de huisregels te ontvangen op hun eerste werkdag, voor bezoekers kunnen de huisregels gepubliceerd worden bij de toegangswegen tot de algemene ruimtes en de burelen van de gemeente.
6
Bijlage 1: Beleidsuitgangspunten toegangsbeleid Beleidsuitgangspunten toegangsbeleid van gemeente Ten behoeve van de beveiliging van informatie is er toegangsbeleid voor alle gemeentelijke voorzieningen. Het doel van dit beleid is te voorkomen dat onbevoegden toegang krijgen tot ruimtes met informatie waar zij geen kennis van behoren te nemen dan wel dat informatie kan worden aangepast. Het toegangsbeleid spitst zich daarnaast toe op de fysieke beveiliging van kantoren, ruimten en faciliteiten. De gemeente hanteert de volgende beleidsuitgangspunten en deze zijn ontleend aan de BIG 1.0: 1. De gemeente heeft barrières aangebracht om ruimten te beschermen waar zich ICTvoorzieningen dan wel persoonsgegevens (art 16 WBP) en / of gevoelige gegevens bevinden (classificatie) 2. Er is een zoneringsplan met daarin opgenomen de volgende zones: Openbaar, wachtruimten en spreekkamers, werkruimten, ICT-ruimte/beveiligde ruimte (paspoort opslag of WBP art. 16 informatie of gevoelige gegevens) 3. Er is een overvalplan met afspraken over aanrijroutes en contacten met de politie 4. Er is cameratoezicht op toegangswegen en beveiligde ruimtes 5. Gebouwen bieden voldoende weerstand bij gewelddadige aanvallen zoals inbraak en vandalisme, hierbij wordt ook rekening gehouden met de omgeving 6. Er zijn alarmknoppen geplaatst in wachtruimten en spreekkamers en op verder alle plaatsen waar bezoekers in contact komen met gemeenteambtenaren 7. De kwaliteit van de toegangsmiddelen hoort in overeenstemming te zijn met de zonering 8. Toegang tot gebouwen of beveiligingszones is alleen mogelijk na autorisatie 9. Voor toegang tot speciale ruimtes is doelbinding vereist ((ICT)-Beheer, BHV, GBA, PUN) 10. In gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op de toegang en houdt hiervan een registratie bij 11. Er is 24 uur, 7 dagen per week bewaking met een inbraak alarm gekoppeld aan een alarmcentrale 12. Medewerkers/bezoekers zonder autorisatie mogen alleen onder begeleiding van bevoegd personeel en als er een noodzaak is, toegang krijgen tot de beveiligde omgeving 13. Zonder expliciete toestemming mogen in beveiligde ruimtes geen opnames (beeld en/of geluid) worden gemaakt 14. Niet uitgegeven toegangsmiddelen worden beveiligd opgeborgen 15. Toegangsmiddelen vallen onder de verantwoordelijkheid van P&O/ de facilitaire dienst 16. Er vindt één keer per half jaar een controle/evaluatie plaats op de autorisaties voor fysieke toegang 17. De huisregels voor toegangsbeleid worden bekend gesteld aan al het personeel en de bezoekers. Aldus vastgesteld door burgemeester en wethouders van [gemeente] op [datum], [Naam. Functie]
[Naam. Functie]
_______________
_______________
7
Bijlage 2: Algemene Huisregels en gedragscodes gemeente Huisregels ten aanzien van het gebruik van de gemeentelijke gebouwen, terreinen en andere gemeentelijke voorzieningen 1. Een ieder die zich bevindt op gemeentelijke terreinen, in gemeentelijke gebouwen en/of gebruik maakt van gemeentelijke voorzieningen, dient zich te houden aan de geldende voorschriften, alsmede aan door of namens het college van Burgemeester en Wethouders gegeven aanwijzingen. Desgevraagd dient een ieder zich te legitimeren via een lokale toegangspas dan wel met een wettelijk erkend identiteitsbewijs zoals omschreven in de Wet op de identificatieplicht1. Een ieder dient zich zodanig te gedragen dat: a.
aan de gemeente en/of derden, geen directe en/of indirect schade wordt berokkend dan wel overlast wordt bezorgd
b.
geen inbreuk wordt gemaakt op een recht van de gemeente of van derden
c.
niet gehandeld wordt in strijd met bij of krachtens wet gegeven voorschriften
d.
geen handelingen worden verricht, dan wel nagelaten in strijd met hetgeen ook volgens ongeschreven recht in het maatschappelijk verkeer betaamt, en niet wordt gehandeld in strijd met aan gemeente geldende voorschriften
2. Bij overtreden van deze huisregels of als op een andere manier overlast veroorzaakt wordt, dan nemen wij gepaste maatregelen. 3. Bezoekers die zonder geldige reden aanwezig zijn, kan de toegang tot het gebouw of de ruimtes ontzegd worden. 4. Iedereen is verplicht vermeende inbreuken op de huisregels te melden, sommige inbreuken worden aangemerkt als een informatiebeveiligingsincident en deze moeten altijd adequaat opgevolgd worden. 5. Een directeur van een dienst kan in spoedeisende gevallen, namens het college van Burgemeester en Wethouders, degene die handelt in strijd met de huisregels en ordemaatregelen, de toegang tot terreinen en gebouwen, en/of het gebruik van voorzieningen ressorterend onder de desbetreffende beheerseenheid, ontzeggen. 6. De secretaris van de gemeente kan in spoedeisende gevallen, namens het college van Burgemeester en Wethouders, degene die handelt in strijd met het bepaalde in artikel 1, de toegang tot terreinen en gebouwen, en/of het gebruik van voorzieningen ontzeggen voor maximaal zeven dagen. Hij meldt zulks terstond aan het college van Burgemeester en Wethouders onder opgave van de redenen. Hij kan het college van Burgemeester en Wethouders verzoeken de duur van de maatregel te verlengen, en/of de maatregel uit te 1
http://wetten.overheid.nl/BWBR0006297/geldigheidsdatum_23-09-2013
8
breiden. 7. Rollerskates, skeelers, skateboarden en andere (on)gemotoriseerde vervoersmiddelen zijn in alle gebouwen van gemeente verboden, met uitzondering van hulpmiddelen gebruikt door personen met een functiebeperking en transportmiddelen die noodzakelijk zijn voor de uitvoering van werkzaamheden. 8. Rijwielen mogen uitsluitend worden gestald in de daarvoor aangewezen plaatsen. Het is niet toegestaan om rijwielen tegen de gebouwen of in de plantsoenen van de gemeente te plaatsen. Het is niet toegestaan om rijwielen mee te nemen in de gebouwen, uitgezonderd dienstfietsen indien dit noodzakelijk is voor de uitvoering van de werkzaamheden. 9. Het meenemen van dieren in de gebouwen van gemeente is niet toegestaan met uitzondering van blindengeleidehonden en speciaal getrainde honden die personen met een functiebeperking behulpzaam zijn (de zogenaamde sociale hond; SOHO). 10. Iedereen is persoonlijk verantwoordelijk voor zijn of haar eigendommen. Bij beschadiging, verlies of diefstal is gemeente niet aansprakelijk. 11. In alle gebouwen van gemeente geldt een rookverbod, uitgezonderd in de als rookruimte aangemerkte locaties. Bij overtreding kunnen sancties worden opgelegd. 12. Er mogen geen voorwerpen worden geplaatst in algemene verkeersruimtes zoals hallen, trappenhuizen, gangen en vluchtwegen en voor nooduitgangen. 13. Iedereen die in de gebouwen of op het terrein van gemeente direct of indirect schade toebrengt aan de gemeente en/of derden, kan hiervoor aansprakelijk worden gesteld. 14. Alle op de gemeente geldende gebods- en verbodsaanduidingen, alsmede aanwijzingen door daartoe bevoegde personen, zoals beveiligingsbeambten en bedrijfshulpverleners, moeten worden nageleefd. 15. Toegang tot afgeschermde ruimtes is alleen mogelijk onder begeleiding van aangewezen personeel van de gemeente. 16. Als er een toegangspas verstrekt is, dan dient deze te allen tijde zichtbaar gedragen te worden. 17. Het is niet toegestaan om zonder toestemming gemeente-goederen mee te nemen. Controle kan worden uitgevoerd door de bewaking/receptie. 18. Fotograferen en/of filmen in de gebouwen en/of op de terreinen van gemeente, door de media en/of derden, anders dan voor beperkt gebruik in de privésfeer, is niet toegestaan zonder voorafgaande toestemming van de afdeling Voorlichting van gemeente.
9
19. Het is niet toegestaan om persoonlijk verstrekte sleutels en/of toegangspassen door te geven aan derden en/of te dupliceren. Bij misbruik en/of verlies kan de houder financieel aansprakelijk worden gesteld. 20. Het is niet toegestaan om gemeente-meubilair in een andere ruimte te plaatsen zonder voorafgaande toestemming van de facilitaire dienst. 21. Voor een aantal onderwerpen is een separate regelgeving van toepassing.
10
INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82 [email protected] WWW.KINGGEMEENTEN.NL
11