UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum
Universiteit van Amsterdam Beleid Informatiebeveiliging 2010
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
1/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum
Het document Beleid informatiebeveiliging UvA Doel van dit document is om de beleidsuitgangspunten op het gebied van beveiliging van de informatievoorziening te definiëren en vast te leggen.
Documentbeheer versie
datum
distributie
status
wijzigingen op hoofdpunten
0.1
1-11-2009
Ronald Boontje
1e concept
n.v.t.
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
2/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum Inhoudsopgave Inhoudsopgave........................................................................................................................................................3 1
Inleiding.......................................................................................................................................................4 1.1 1.2 1.3 1.4 1.5
2
3
Informatiebeveiliging ....................................................................................................................... 4 Het belang van informatiebeveiliging .............................................................................................. 5 Doelstelling van het informatiebeveiligingsbeleid ........................................................................... 6 Reikwijdte van het informatiebeveiligingsbeleid ............................................................................. 6 Gerelateerde beveiligingsgebieden................................................................................................... 7
Organisatorische aspecten van informatiebeveiliging .............................................................................8 2.1 2.2 2.3 2.4 2.5
Eigenaarschap................................................................................................................................... 8 Verantwoordelijkheden .................................................................................................................... 8 Beveiligingsorganisatie .................................................................................................................... 9 Central Security Officer.................................................................................................................... 9 Decentrale Functionaris Informatiebeveiliging .............................................................................. 10
2.6
Information Security Officer .......................................................................................................... 10
2.7 2.8
Infrastructuur Specialist Informatiebeveiliging .............................................................................. 11 Computer Emergency Response Team (CERT-UvA).................................................................... 12
2.5.1 2.5.2 2.6.1 2.6.2 2.6.3
Beleidsmatige rol ........................................................................................................................................................ 10 Architectuur rol........................................................................................................................................................... 10 UvA brede architectuur rol ......................................................................................................................................... 10 IC Beveiligingsmanager rol........................................................................................................................................ 11 Applicatiespecialist rol ............................................................................................................................................... 11
Planning en control cyclus .......................................................................................................................12 3.1 3.2
Beleidsmatige evaluatie.................................................................................................................. 12 Jaarlijkse operationele evaluatie ..................................................................................................... 13
4
Risicobeheersing .......................................................................................................................................13
5
Financiering...............................................................................................................................................14
6
Melding en afhandeling van beveiligingsincidenten en -inbreuken......................................................14
7
Voorschriften en Naleving........................................................................................................................15 7.1 7.2
8
Wet- en Regelgeving ...................................................................................................................... 15 Naleving ......................................................................................................................................... 15 7.2.1 7.2.2
Maatregelen................................................................................................................................................................. 15 Aansprakelijkheid en schadeverhaal .......................................................................................................................... 16
Bevorderen van het beveiligingsbewustzijn............................................................................................16
Bijlage 1
Bestandsnaam : Versie : Datum :
Organisatie Universiteit van Amsterdam ....................................................................................17
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
3/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum
1
Inleiding
1.1
Informatiebeveiliging Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening tegen risico’s en bedreigingen. Hierbij richt het zich op drie aspecten:
Vertrouwelijkheid: Het waarborgen dat informatie alleen toegankelijk is voor degenen die daartoe bevoegd zijn; de bescherming van de privacy valt onder dit aspect;
Integriteit: Het waarborgen dat informatie en verwerkingsmethoden zo min mogelijk fouten bevatten; invoercontroles, vierkantstotalen en bestandscontrolegetallen zijn voorbeelden waarmee integriteit kan worden verbeterd;
Beschikbaarheid: Het waarborgen dat bevoegde gebruikers, wanneer dat nodig is, toegang hebben tot informatie en aanverwante bedrijfsmiddelen; Backup en herstel van gegevens, dubbel uitgevoerde services zijn voorbeelden waarmee beschikbaarheid kan worden verbeterd.
Beleid en organisatie
Informatie
Evaluatie
Selectie
Bewaking
Implementatie
Informatiebeveiliging als iteratief proces 1
Het proces informatiebeveiliging is niet een eenmalig uit voeren proces maar een continu cyclisch proces. De zich cyclisch herhalende activiteiten binnen het proces zijn de volgende: Informatie verzamelen: het vergaren van gegevens over welke bedreigingen onacceptabele risico’s voor de informatievoorziening vormen en welke beveiligingsmaatregelen daartegen ingezet kunnen worden. Selectie van maatregelen: het kiezen van een pakket beveiligingsmaatregelen waarmee de onacceptabele risico’s voldoende ingeperkt kunnen worden. Implementatie van maatregelen: de geselecteerde maatregelen inregelen en in gebruik nemen in de organisatie, de applicaties en de infrastructuur. 1
Bestandsnaam : Versie : Datum :
Uit: Overbeek, Roos Lindgren, Spruit - Informatiebeveiliging onder controle
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
4/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum Bewaking: het controleren in hoeverre de geïmplementeerde beveiligingsmaatregelen door de betrokkenen nageleefd worden. Daarnaast zijn er twee activiteiten die continu de aandacht vragen, namelijk: Beleid en organisatie: het formuleren van het beleid ten aanzien van informatiebeveiliging en het inrichten van een beveiligingsorganisatie die dat beleid uit kan voeren. Evaluatie: het beoordelen van alle activiteiten die deel uitmaken van de beveiligingscyclus; op basis van de bevindingen kan in de cyclus ingegrepen worden. Het proces informatiebeveiliging heeft onder andere tot doel om te zorgen dat de organisatie steeds beschikt over een geschikte verzameling van beveiligingsmaatregelen, waarmee de dreigingen, die de gewenste vertrouwelijkheid, integriteit en/of beschikbaarheid in gevaar kunnen brengen, worden tegengegaan. Deze verzameling beveiligingsmaatregelen is in de Baseline Informatiebeveiliging UvA verder uitgewerkt (zie ook hoofdstuk 4 Risicobeheersing). 1.2
Het belang van informatiebeveiliging Veel van de onderzoek- en onderwijsactiviteiten binnen de UvA worden tegenwoordig in meer of mindere mate ondersteund met ICT hulpmiddelen, zoals computers, netwerken en toepassingsprogramma’s. Ook voor de ondersteunende administratieve processen maken studenten en medewerkers meer en meer gebruik van ICT hulpmiddelen. Deze werkzaamheden en de resultaten daarvan worden in steeds sterkere mate afhankelijk van de correcte werking van deze ingezette (ICT) hulpmiddelen. Dit vereist niet alleen dat er steeds meer keuzes gemaakt moeten worden, maar ook en steeds vaker, dat men bewust bepaalde beveiligingsrisico’s moet nemen. Het wordt immers steeds moeilijker en kostbaarder om alle risico’s te vermijden. Kon de verantwoordelijkheid voor informatiebeveiliging lange tijd als het ware worden uitbesteed aan de ICT-afdeling, met het voortschrijden van de automatisering zullen afdelingshoofden steeds vaker verantwoordelijk zijn voor ongewenste beveiligingsproblemen. De UvA wil zich, net als andere instellingen voor hoger onderwijs, als een open en toegankelijke instelling blijven presenteren. Elke belangstellende krijgt als het ware fysiek en virtueel direct toegang tot de door hem gewenste informatie. Aan de andere kant brengt dat grote risico’s met zich mee omdat niet alles toegankelijk kan en mag zijn voor iedereen. Naast bewust bedoelde uitwisseling van informatie komt het steeds vaker voor dat er ongewenst of onbedoeld informatie wordt uitgewisseld of ongewenste toegang wordt geforceerd. Op Europees en landelijk niveau bestaat inmiddels een groot aantal wetten en voorschriften, waaraan ook de r instellingen voor hoger onderwijs zich te houden hebben. Zo stelt wetgeving onder meer eisen aan de bescherming van persoonsgegevens en aan de integriteit van te verstrekken informatie. De door de VSNU uitgebrachte “Code goed bestuur Universiteiten 2007” toont aan dat het onderwerp “corporate governance” een steeds nadrukkelijker rol gaat spelen. Eén van de pijlers onder “corporate governance” is het “in control” zijn. Dat vereist een grote mate van zekerheid omtrent de betrouwbaarheid van de informatievoorziening; zekerheid die het bestuur van een instelling aantoonbaar geacht wordt te bieden.
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
5/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum Al deze redenen vereisen dat nadrukkelijk aandacht besteed wordt aan de wijze van vergaren en verwerken van informatie en de beveiliging daarvan. 1.3
Doelstelling van het informatiebeveiligingsbeleid Het doel van het informatiebeveiligingsbeleid van de Universiteit van Amsterdam is: "Het bieden van een raamwerk van beleidsuitgangspunten, dat gericht is op het waarborgen van de informatiebeveiliging ten aanzien van de handmatige en geautomatiseerde informatievoorziening, en dat afgestemd is op het belang van de informatievoorziening voor het functioneren van de UvA”. Het informatiebeveiligingsbeleid is er op gericht om sturing en ondersteuning te bieden bij de opzet en in stand houding van informatiebeveiliging en tevens om er voor te zorgen dat bedreigingen worden opgevangen en de gevolgen van het optreden van verstoringen en inbreuken worden geminimaliseerd, zonder dat daarbij de vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening nog verder worden aangetast. In het beleid gaat het daarbij dus om de afweging van de mate van beveiliging die men bereiken wil ten opzichte van de inspanning die daarvoor moet worden geleverd, waarbij dit in overeenstemming dient te zijn met de universitaire bedrijfsstrategie en doelstellingen.
1.4
Reikwijdte van het informatiebeveiligingsbeleid Het proces van informatievoorziening houdt zich bezig met het verzamelen, bewerken, opslaan en vernietigen van informatie. Informatie kan in allerlei gedaanten voorkomen, variërend van conventionele media voor gegevensopslag en –overdracht (zoals papier en telefoon) tot elektronische media (zoals CD-Rom en E-mail). Het informatiebeveiligingsbeleid is dan ook van toepassing op het gehele proces van informatievoorziening, inclusief de niet geautomatiseerde stappen waarin nog sprake is van papieren gegevensuitwisseling of dossiers. Het informatiebeveiligingsbeleid geldt voor alle onderdelen van de informatievoorziening van de Universiteit van Amsterdam en heeft betrekking op zowel de administratieve informatievoorziening als de onderwijskundige en onderzoekskundige informatievoorziening binnen de UvA. Het informatiebeveiligingsbeleid heeft raakvlakken met de fysieke veiligheid en beveiliging. De invulling hiervan wordt niet tot het terrein van informatiebeveiliging gerekend, maar er worden wel eisen gesteld aan de fysieke veiligheid en beveiliging. Het informatiebeveiligingsbeleid stelt ook eisen aan
derden, waaraan delen van de UvA-informatievoorziening is uitbesteed
derden, waarvan de UvA ICT voorzieningen in haar beheer heeft.
In bijlage 1 is een opsomming opgenomen van de organisatorische hoofdeenheden waarop dit beleid van toepassing is.
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
6/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum 1.5
Gerelateerde beveiligingsgebieden Informatiebeveiligingsbeleid maakt deel uit van het algemeen geldende Informatie- en Automatiseringsbeleid, dat belegd is binnen het beleidsprogramma I&I en vastgelegd in het betreffende beleidsplan. Het informatiebeveiligingsbeleid heeft raakvlakken met andere beleidsgebieden, te weten:
Personeels- en organisatiebeleid; belegd binnen beleidsprogramma P&O met als aandachtsgebieden onder andere privacy, functiescheiding en vertrouwensfuncties;
Algemeen veiligheids- en beveiligingsbeleid, belegd binnen de Bestuursstaf, de AMD en het FC met aandachtsgebieden als bedrijfshulpverlening, fysieke toegang en -beveiliging, crisis management, huisvesting, ongevallen, etc.);
Functionaris voor de Gegevensbescherming, belast met de uitvoering van de WBP
AO/IC, in verband met de uitvoering van interne audits, gericht op informatiebeveiliging;
Er dient goede afstemming te bestaan tussen deze beleidsgebieden en het informatiebeveiligingsbeleid over risico’s, bedreigingen en maatregelen. Het betrokken management dient zorg te dragen voor deze afstemming.
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
7/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum
2
Organisatorische aspecten van informatiebeveiliging
2.1
Eigenaarschap Naast de informatiebeveiligingsfuncties die hierna worden behandeld geldt dat ieder proces, informatiedienst of verantwoordelijkheidsgebied een aanwijsbare (functionele) eigenaar kent. Deze eigenaar is verantwoordelijk voor het vaststellen van het vereiste beveiligingsniveau voor het betreffende proces, dienst of verantwoordelijkheidsgebied en de implementatie van de hierbij horende maatregelen. In beginsel dient de eigenaar hierbij de richtlijnen te volgen die zijn opgesteld door de Manager Informatiebeveiliging. Hij mag van richtlijnen afwijken, mits hiervoor een rationele verklaring gegeven kan worden. Om goed invulling te kunnen geven aan deze verantwoordelijkheid kan de eigenaar een beroep doen op zijn lokale Functionaris Informatiebeveiliging en de middelen die de Manager Informatiebeveiliging ter beschikking stelt. De eigenaar blijft echter uiteindelijk verantwoordelijk. De eigenaar bepaalt ook wie toegang heeft tot de gegevens welke verwerkt worden binnen het proces, dienst of verantwoordelijkheidsgebied en of men gerechtigd is tot raadplegen, invoeren, wijzigen, verwijderen en/of verstrekken van gegevens aan derden (autorisaties) . Een voorbeeld hiervan is de “Regeling Autorisaties Administratieve Systemen” waarin de autorisaties van SAP zijn geregeld.. De eigenaar bepaalt, binnen de richtlijnen voor gegevensbeheer, op welke wijze het beheer van de gegevens vorm krijgt.
2.2
Verantwoordelijkheden De eindverantwoordelijkheid voor de informatiebeveiliging als geheel ligt bij het College van Bestuur (CvB). Het CvB stelt het informatiebeveiligingsbeleid vast in een beleidsdocument, draagt het beleid uit en ziet toe op beleidsimplementatie. De verantwoordelijken voor de diverse beleidsprogramma’szijn tevens verantwoordelijk voor de informatiebeveiliging voor het eigen verantwoordelijkheidsgebied. In beheersafspraken en bij ontwikkeling van informatiesystemen dienen zij het vereiste informatiebeveiligingsniveau expliciet te benoemen. Waar het faculteiten en ondersteunende eenheden betreft is uiteindelijk de directie verantwoordelijk voor de informatiebeveiliging van het eigen verantwoordelijkheidsgebied. Hierbij wordt zij bijgestaan door de eigen Functionaris Informatiebeveiliging.
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
8/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum
2.3
Beveiligingsorganisatie In onderstaande figuur is een overzicht weergegeven van de organisatorische inrichting van informatiebeveiling.
De beveiligingsorganisatie, zoals in blauwe ovalen in de figuur weergegeven, is ondersteunend aan de lijnorganisatie, immers in de lijn is de individuele verantwoordelijkheid belegd voor het navolgen van het vastgestelde beleid en de daaruit voortvloeiende regels. Specifieke taken en verantwoordelijkheden op het gebied van informatiebeveiliging zijn expliciet belegd. In de meeste gevallen in de vorm van een extra rol die aan een medewerker wordt toegewezen. In de navolgende paragrafen worden de verschillende functies in perspectief geplaatst en wordt de personele invulling vastgelegd. Een formele functiebeschrijving zal apart worden opgesteld. 2.4
Central Security Officer De Central Security Officer houdt zich bezig met integrale (beleids)advisering aan het CvB op het brede terrein van veiligheid, inclusief informatieveiligheid, en verzekeringen. Hij heeft, naast de andere beleidsgebieden, tot taak het ontwikkelen van strategie en beleid gericht op informatiebeveiliging, het bevorderen en coördineren van de ontwikkeling van uitvoeringsrichtlijnen en het toezien op de realisatie van het beleid. Hij functioneert als zelfstandig opererend intern beleidsadviseur, ressorterend onder het lid van het CvB verantwoordelijk voor informatiebeveiliging. Hij geeft functioneel leiding aan Informatiebeveiligingsmedewerkers in de gehele organisatie door sturing op interne rapportages over de uitvoering van het informatiebeveiligingsbeleid, het naleven van uitvoeringsrichtlijnen.
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
9/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum De Central Security Officer wordt daarbij geholpen door een of meer (staf)functionarissen. De (staf)medewerker(s) van de Central Security Officer maken organisatorisch en hiërarchisch deel uit van het Informatiseringscentrum. Functioneel rapporteren zij aan de Central Security Officer. 2.5
Decentrale Functionaris Informatiebeveiliging Voor elke faculteit en gemeenschappelijke dienstverlenende eenheid geeft de informatiemanager invulling aan de functie van Decentrale Functionaris Informatiebeveiliging voor de eenheid. De functionaris informatiebeveiliging dient voldoende tijd te krijgen om zich te bekwamen in het vakgebied informatiebeveiliging en zijn werkzaamheden toereikend te kunnen uitvoeren. Afhankelijk van de omvang en complexiteit van de eenheid zal de belasting uiteenlopen van 0.1 tot 0.2 FTE. De Decentrale Functionaris Informatiebeveiliging kent twee rollen die desgewenst bij verschillende medewerkers belegd kunnen zijn.
2.5.1
Beleidsmatige rol Taken zijn het ontwikkelen van decentraal beleid gericht op het naleven van concernkaders voor informatiebeveiliging, het ondersteunen van het management hierbij en toezien op de realisatie van het beleid. Hij functioneert namens het management van de faculteit of gemeenschappelijke dienstverlenende eenheid als zelfstandig adviseur op het gebied van informatiebeveiliging en houdt toezicht op het naleven van uitvoeringsrichtlijnen.
2.5.2
Architectuur rol Taak is het ontwikkelen en actueel houden van een visie of deelarchitectuur voor het aspect informatiebeveiliging in de procesarchitectuur van de faculteit of gemeenschappelijke dienstverlenende eenheid en de positionering van beveiligingsfunctionaliteiten daarbinnen. Het betreft een procesarchitect met als specialisatie Informatiebeveiliging. Hij vertaalt beleidskaders voor informatiebeveiliging naar proces architectuur en vervult daarbij zowel een architecten- als adviseursrol. Hij treedt met name op als procesarchitect voor locale beveiligingsfunctionaliteiten en ziet toe op naleving van architectuurprincipes voor informatiebeveiliging. Hij houdt voortdurend zicht op marktontwikkelingen op het gebied van informatiebeveiliging.
2.6
Information Security Officer Onderstaande drie rollen voor informatiebeveiliging zijn verenigd in de functie van Information Security Officer. De functie van Information Security Officer is functioneel ondergebracht bij de staf van de Central Security Officer. Organisatorisch en hiërarchisch maakt de functie deel uit van het Informatiseringscentrum. De functie van Information Security Officer bestaat binnen het IC als aparte formatie van 1 FTE.
2.6.1
UvA brede architectuur rol De Architect Informatiebeveiliging heeft tot taak het ontwikkelen en actueel houden van een visie of deelarchitectuur voor het aspect informatiebeveiliging in de UvAbrede proces architectuur als concretisering van een deel van het strategisch IB-beleid en de positionering van generieke beveiligingsfunctionaliteiten daarbinnen.
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
10/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum Hij is een procesarchitect met als specialisatie Informatiebeveiliging, vertaalt beleidskaders voor informatiebeveiliging naar proces architectuur en vervult daarbij zowel een architecten- als adviseursrol. Hij treedt voornamelijk op als procesarchitect voor generieke beveiligingsfunctionaliteiten, bijvoorbeeld op het gebied van logische toegangsbeveiliging, encryptie, logging- en auditing. Hij ziet toe op naleving van architectuurprincipes voor informatiebeveiliging. Houdt voortdurend zicht op marktontwikkelingen op het gebied van informatiebeveiligingsproducten. 2.6.2
IC Beveiligingsmanager rol De taak van de IC Manager Informatiebeveiliging is het ontwikkelen van beleid gericht op informatiebeveiliging binnen de IC-organisatie, ondersteunen van het IC management, zorgdragen voor de ontwikkeling van uitvoeringsrichtlijnen en toezien op de realisatie van het beleid. Hij functioneert namens het IC-management als zelfstandig en breed opererend adviseur en toezichthouder op het gebied van informatiebeveiliging. Geeft functioneel leiding aan Informatiebeveiligingsmedewerkers in de IC-organisatie door sturing op interne rapportages over de uitvoering van het informatiebeveiligingsbeleid, het naleven van uitvoeringsrichtlijnen.
2.6.3
Applicatiespecialist rol De Applicatie Specialist Informatiebeveiliging heeft tot taak het ontwikkelen en actueel houden van het aspect Informatiebeveiliging (binnen de informatiearchitectuur) dat zowel gericht is op het voldoen aan het IB-beleid en de IBvoorschriften als op de generieke beveiligingsfunctionaliteiten binnen de informatiearchitectuur. Daarbij hoort het toepasbaar maken van deze architectuur op hoofdlijnen (systeemschets) van het ontwerp en het onderhoud van de generieke beveiligingsfunctionaliteiten. Hij is een applicatie-architect met als specialisatie Informatiebeveiliging in relatie tot ICT en vertaalt beleidskaders voor informatiebeveiliging naar de informatiearchitectuur en vervult daarbij zowel een architecten- als adviseursrol. Hij treedt voornamelijk op als informatie-architect voor generieke beveiligingsfunctionaliteiten, bijvoorbeeld op het gebied van logische toegangsbeveiliging, encryptie, logging- en auditing. Hij ziet toe op naleving van architectuurprincipes voor informatiebeveiliging en houdt voortdurend zicht op marktontwikkelingen op het gebied van informatiebeveiligingsproducten.
2.7
Infrastructuur Specialist Informatiebeveiliging De Infrastructuur Specialist Informatiebeveiliging heeft tot taak het ontwikkelen en actueel houden van het aspect Informatiebeveiliging binnen de ICT-architectuur die zowel gericht is op het voldoen aan het IB-beleid en de IB-voorschriften als op de generieke beveiligingsfunctionaliteiten binnen de technische infrastructuur. Daarbij hoort het toepasbaar maken van deze architectuur op hoofdlijnen (systeemschets) van het ontwerp en het onderhoud van de generieke beveiligingsfunctionaliteiten. Hij is een infrastructuur-architect met als specialisatie Informatiebeveiliging in relatie tot ICT. Hij vertaalt beleidskaders voor informatiebeveiliging naar infrastructuur en vervult daarbij zowel een architecten- als adviseursrol. Hij treedt voornamelijk op als infrastructuur-architect voor generieke beveiligingsfunctionaliteiten, bijvoorbeeld op het gebied van logische toegangsbeveiliging, encryptie, logging- en auditing. Hij ziet toe op naleving van architectuurprincipes voor informatiebeveiliging. Hij houdt voortdurend zicht op marktontwikkelingen op het gebied van informatiebeveiligingsproducten.
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
11/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum De infrastructuur Specialist Informatiebeveiliging treedt op als voorzitter van CERTUvA. De functie van Infrastructuur Specialist Informatiebeveiliging bestaat binnen het IC als aparte formatie van 1 FTE. 2.8
Computer Emergency Response Team (CERT-UvA) Het UvA Computer Emergency Response Team (CERT-UvA) is ingesteld ter coördinatie van het oplossen en voorkomen van incidenten op het gebied van computer- en netwerkbeveiliging. Het CERT -UvA bestaat uit een beperkt aantal (5-10) personen bij voorkeur afkomstig uit verschillende gelederen van de UvA. Het CERT -UvA heeft als opdracht preventie, detectie en correctie en richt zich primair op de coördinatie van detectie en correctie van incidenten (signalering en afhandeling). Aan preventie draagt het CERT-UvA bij door het geven van algemene voorlichting en het doen van aanbevelingen ten aanzien van kwetsbaarheden en bedreigingen. De voorzitter van CERT-UvA, zijnde de Infrastructuur Specialist Informatiebeveiliging, kan daartoe gemandateerd door de Directeur IC beveiligingsmaatregelen bindend voorschrijven op basis van de ICTbeveiligingsrichtlijnen en kan beveiligingsnoodmaatregelen nemen nadat de contactpersoon van de betrokken eenheid is geïnformeerd. Het CERT -UvA kan gevraagd en ongevraagd, al dan niet op basis van audits, advies uitbrengen dat ten doel heeft UvA-specifieke beveiligingsproblemen te helpen oplossen of te verminderen.
3
Planning en control cyclus
3.1
Beleidsmatige evaluatie Veranderingen in de organisatie, vernieuwing van apparatuur en programmatuur en voortschrijdend inzicht kunnen er toe leiden dat periodiek de informatiebeveiliging getoetst en geëvalueerd moet worden. Elke drie jaar wordt in opdracht van het CvB door de Central Security Officer het informatiebeveiligingsbeleid geëvalueerd. Dit resulteert in een geactualiseerd UvA-breed beleidsdocument. Bovendien wordt elke 3 jaar het basisniveau informatiebeveiliging (de baseline) geëvalueerd en zonodig bijgesteld in een document met het basis beveiligingsniveau. De evaluatie betreft de gehele UvA organisatie en richt zich op:
De kwaliteit van de informatiebeveiliging als samenhangend geheel (beleid, organisatie, objecten etc.)
De effectiviteit van de genomen maatregelen en de blijvende werking ervan.
Het lijnmanagement van de faculteiten en gemeenschappelijke dienstverlenende eenheden is verantwoordelijk voor het evalueren van (de uitvoering van) het eigen informatiebeveiligingsplan en het opstellen van geactualiseerde risicoanalyses. Deze evaluaties zijn tevens bron voor de UvA-brede evaluatie van de informatiebeveiliging. Meetpunten daarbij zijn ondermeer:
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
12/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum
Verzamelde gegevens over incidenten en consequenties op informatiebeveiligingsgebied;
Aanwezigheid van beveiligingsplannen, organisatorische maatregelen, regelingen en afspraken
De betreffende informatiemanagers rapporteren voor hun verantwoordelijkheidsgebieden over de uitvoering van de informatiebeveiliging aan de directie van de beheerseenheid en aan de Central Security Officer. 3.2
Jaarlijkse operationele evaluatie De UvA kent daarnaast een jaarlijkse planning en control cyclus voor informatiebeveiliging. Het is een periodiek evaluatieproces waarmee de inhoud en de effectiviteit van het vastgestelde informatiebeveiligingsbeleid kunnen worden getoetst. Alle activiteiten voor informatiebeveiliging zijn onderdeel van dit cyclisch proces, dat bestaat uit een viertal stappen: Het jaarlijks maken van werkplannen (plan), het gedurende het jaar uitvoeren van de plannen (do), het nagaan of de geplande producten voldoen aan de gestelde wensen (check) en het aan de hand van deze toets tussentijds bijstellen van de uitvoering (act). Hierna start de cyclus is opnieuw. In de cyclus is opgenomen dat de directie van iedere faculteit of ondersteunende eenheid jaarlijks een eigen werkplan opstelt t.b.v. het aandachtsgebied informatiebeveiliging. De externe controle van een gedeelte van het beveiligingsstelsel en de maatregelen zal in het kader van de werkzaamheden op het gebied van de jaarrekening jaarlijks plaatsvinden. Mede in het licht van deze periodieke externe ICT-audit (jaarrekening) wordt deze P&C cyclus zo goed mogelijk afgestemd op de plancycli voor overige onderwerpen, zoals financiën.
4
Risicobeheersing
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
13/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum Per verantwoordelijkheidsgebied (bedrijfsproces, informatiedienst) dient te worden vastgesteld wat het vereiste beveiligingsniveau is en welke maatregelen zijn vereist om het beveiligingsrisico acceptabel te houden. Dit is de verantwoordelijkheid van de eigenaar van het betreffende verantwoordelijkheidsgebied. De Central Security Officer stelt hiertoe gestandaardiseerde beveiligingsniveaus met bijhorende maatregelselecties vast en neemt de minimaal vereiste beveiligingsmaatregelen op in de “Baseline Informatiebeveiliging UvA”. Tevens stelt hij zogenoemde classificatiehulpmiddelen ter beschikking waarmee de verantwoordelijke eigenaar het vereiste beveiligingsniveau kan bepalen. In de Baseline zijn beveiligingsmaatregelen opgenomen op gebieden als organisatie, inrichting en ontwikkeling van ICT-hulpmiddelen (apparatuur, programmatuur, ruimten), beheer en onderhoud en gebruik van ICT-hulpmiddelen. Voor de maatregelen die behoren tot het vastgestelde beveiligingsniveau geldt: pas toe of geef een rationele verklaring omtrent waarom toepassing ervan niet nodig of mogelijk zou zijn. De beveiligingsniveaus worden samengesteld en geactualiseerd op basis van risicoanalyses alsmede eerdere implementatie van beveiligingsmaatregelen en ontwikkelingen in de omgeving van de UvA.
5
Financiering De financiering van de informatiebeveiliging is in beginsel een interne aangelegenheid van de verschillende verantwoordelijke eenheden en wordt in tarieven verwerkt. Niet reguliere activiteiten voor voorlichting en bewustwording, het opstellen van algemeen geldende informatiebeveiligingsvoorschriften en –standaarden, zoals de baseline informatiebeveiliging, worden projectmatig uitgevoerd en als zodanig gefinancierd. Bij aanschaf en ontwikkeling van nieuwe informatiesystemen en bij voorbereiding van nieuwe investeringen in infrastructurele voorzieningen dienen (aanvullende) investeringen in beveiligingsmaatregelen deel uit te maken van de investeringsafweging en dienen de kosten voor (aanpassing van) te nemen maatregelen te worden meebegroot.
6
Melding en afhandeling van beveiligingsincidenten en -inbreuken Individuele medewerkers die een incident of inbreuk op het gebied van informatiebeveiliging vermoeden, voorzien of constateren, dienen dit te melden. Op centraal UvA-niveau bestaan hiervoor meldpunten, te weten de Servicedesk van het Informatiseringscentrum en het Computer Emergency Response Team van de UvA (CERT-UvA). De melding dient te eindigen bij CERT-UvA, die tevens verantwoordelijk is voor de registratie en de afhandeling van de beveiligingsincidenten. De incidenten die daarvoor in aanmerking komen worden periodiek aan de Manager Informatiebeveiliging gerapporteerd en vormen één van de bronnen voor de jaarlijkse evaluatie van het informatiebeveiligingsbeleid
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
14/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum 7
Voorschriften en Naleving
7.1
Wet- en Regelgeving Op Europees en landelijk niveau bestaat een groot aantal wetten en voorschriften, waaraan eenieder zich dient te houden en waar instellingen voor Hoger Onderwijs zich aan te houden hebben. Te denken valt aan:
7.2
Resolutie van de Europese Raad van 22 maart 2007 inzake een strategie voor een veilige informatiemaatschappij waarin benadrukt wordt dat de veiligheid van netwerken en informatie onmisbaar is;
Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie. Deze richtlijn geldt voor openbare communicatienetwerken waarvoor specifieke wettelijke, bestuursrechtelijke en technische bepalingen moeten worden vastgesteld teneinde de rechten van natuurlijke personen en rechtspersonen te beschermen tegen de steeds grotere mogelijkheden van geautomatiseerde opslag en verwerking van gegevens;
Wet Bescherming Persoonsgegevens, met voorschriften inzake geheel of gedeeltelijke geautomatiseerde verwerkingen met persoonsgegevens. In artikel 13 WBP wordt voorgeschreven dat passende technische en organisatorische maatregelen genomen moeten worden ter beveiliging van persoonsgegevens. Daarbij moet sprake zijn van een passend beveiligingsniveau gelet op de risico’s. Artikel 14 schrijft voor dat bij uitbesteding aan een derde gezorgd moet worden dat deze derde voldoende beveiligingsmaatregelen neemt. Dit moet contractueel geregeld worden. Artikel 28 verplicht de melder van ieder bestand met persoonsgegevens een algemene beschrijving te geven van de beveiligingsmaatregelen.;
Gedragscode voor gebruik persoonsgegevens in wetenschappelijk onderzoek (VSNU). In deze code worden adequate beveiligingsmaatregelen voorgeschreven bij verwerking van direct identificerende persoonsgegevens. Een ieder die betrokken is bij de verwerking zal een geheimhoudingsverklaring ondertekenen;
Nederlandse Gedragscode wetenschapsbeoefening 2005 (VSNU). De code bevat principes die de bij een universiteit betrokken wetenschapsbeoefenaars (docenten en onderzoekers) individueel, tegenover elkaar en tegenover de maatschappij in acht zouden moeten nemen.
Reglement UvAnet inclusief de in de bijlagen opgenomen gedragsregels. De gedragsregels geven een opsomming en toelichtende beschrijving van de regels waaraan gebruikers van de ICT hulpmiddelen van de UvA zich dienen te conformeren.
Naleving Schending van wetgeving, voorschriften en regels op het gebied van informatiebeveiliging kan leiden tot corrigerende maatregelen door of namens het CvB.
7.2.1
Maatregelen Maatregelen kunnen bijvoorbeeld blokkering inhouden van bepaalde netwerkdiensten. Maatregelen worden genomen in overleg met de aangewezen beveiligingsfunctionaris (in geval van een student) of de leidinggevende (in geval van een medewerker). In
Bestandsnaam : Versie : Datum :
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
15/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum ernstige gevallen worden maatregelen met opgaaf van redenen schriftelijk medegedeeld aan de gebruiker. Voor studenten geldt dat indien deze zich niet houden aan de geldende huisregels, door of namens het CvB op grond van de WHW de toegang tot gebouwen en terreinen van de UvA ontzegd kan worden voor ten hoogste één jaar. Voor medewerkers geldt dat indien deze iets doen of nalaten of een voorschrift overtreden, er sprake kan zijn van plichtsverzuim, in welk geval er door of namens het CvB op grond van de CAO een disciplinaire maatregel opgelegd kan worden. 7.2.2
Aansprakelijkheid en schadeverhaal Wanneer de UvA schade leidt door misbruik van voorzieningen of wordt aangesproken door derden op overtreding van regelgeving of schending van rechten van anderen, kan de UvA de schade verhalen op de schadeveroorzaker.
8
Bevorderen van het beveiligingsbewustzijn Het bevorderen van het beveiligingsbewustzijn van de UvA-medewerkers is een verantwoordelijkheid van het lijnmanagement, daarbij ondersteund door de informatiebeveiligingsspecialisten. Beveiliging is een kwestie van mentaliteit. Daarbij gaat de UvA ervan uit dat elke medewerker zich bewust is van zijn verantwoordelijk op het gebied van informatiebeveiliging en alert is op juiste toepassing en overtreding van geldende voorschriften en richtlijnen. Het beveiligingsbewustzijn zal worden vergroot door:
Bestandsnaam : Versie : Datum :
Voorlichtende communicatie rond beveiligingsthema’s in allerlei vormen (presentaties, workshops, artikelen)
Organiseren van cursussen en trainingen (kennisniveau verhogen)
Opstellen en uitdragen van gedragsregels (Acceptable Use Policy, internetgebruik, telewerken)
Stimuleren van beveiligingspolicies (zoals clean desk, clear screen)
Toepassen van procedures (melding en afhandeling van incidenten, inbreuken etc.)
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
16/17
UNIVERSITEIT VAN AMSTERDAM Informatiseringscentrum
Bijlage 1
Organisatie Universiteit van Amsterdam In dit organisatieschema zijn de organisatorische eenheden aangegeven die gebruik maken van de ICT infrastructuur van de UvA en waarop het informatiebeveiligingsbeleid van toepassing is.
Onderscheiden worden:
Bestandsnaam : Versie : Datum :
CvB - College van Bestuur;
Bestuursstaf;
De Faculteiten;
De Universitaire Instituten;
De Gemeenschappelijke Dienstverlenende Eenheden;
De Gelieerde Instellingen, voor zover gebruik gemaakt wordt van UvA ICTfaciliteiten.
Beleid IB 2010 V01.doc 0.1 = in bespreking 01-11-2009
Auteur : Type : Project :
B. Visser, R. Boontje, J. van Dongen Beleidsdocument Informatiebeveiliging (IB)
17/17