Verantwoordingsrichtlijn voor de edp-audit van de beveiliging van Suwinet
Conceptversie 2.0 definitief
Inhoudsopgave 0. 1. 1.1. 1.2. 1.3.
2.
3.
4.
5.
Managementsamenvatting Inleiding
3 5
Achtergrond Leeswijzer Onderhoud Verantwoordingsrichtlijn edp-audit Suwinet en SuwinetNormenkader
5 6
Toelichting bij de edp-audit
6
7
2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7.
Opdracht en opdrachtgever Betrokkenen Doelstelling Uitgangspunten Afbakening object van onderzoek Te gebruiken kwaliteitscriteria Frequentie en diepgang van het onderzoek
7 7 7 8 9 11 11
Uitvoeringsnormen aan de edp-audit
13
3.1. 3.2. 3.3. 3.4. 3.5.
Inleiding Kwaliteitseisen onderzoek edp-auditor Oordeelsvorming en weging Uitbesteding ICT, controle en oordeelsvorming Toetsen van opzet, bestaan en werking
Toetsingsnormen
13 13 14 17 18
19
4.1. 4.2. 4.3. 4.4.
Uitgangspunten Normenkader Opbouw Normenkader Niveau Normenkader Bronnen / ‘best practices’
Rapportage
19 20 21 21
23
5.1. 5.2. 5.3. 5.4. 5.5.
Eisen rapportage beveiliging Suwinet Jaarlijkse rapportage Publieke versie jaarlijkse rapportage Samenvattende Rapportage Openbaarmaking rapportages
23 23 24 25 25
6. Bijlagen Verantwoordingsrichtlijn edp-audit Suwinet Bijlage A: Model “Oordeel edp-audit Suwi-partijen” Bijlage B: Model “Oordeel edp-audit BKWI” Bijlage C: Elementen Samenvattende Rapportage Bijlage D: Suwinet-Normenkader Bijlage E: Handreiking tot de werking in context van opzet en bestaan Bijlage F: Begrippen, definities & afkortingen Bijlage G: Wijzigingen ten aanzien van vorige versies Bijlage H: Literatuurlijst Bijlage I: Samenstelling Werkgroep Verantwoordingsrichtlijn
26 27 32 36 40 65 69 71 73 73
Verantwoordingsrichtlijn v2.0.doc - 2 van 73
0. Managementsamenvatting
Het Suwinet vervult een essentiële functie bij de uitwisseling van gegevens door de partijen binnen het Suwidomein. Het niet of in onvoldoende mate functioneren van het Suwinet heeft grote invloed op het deel van de bedrijfsprocessen bij de Suwi-partijen dat gebruik maakt van bij een andere Suwipartij beschikbare informatie. In het licht hiervan, alsmede gezien de aard van de uitgewisselde informatie (privacy gevoelige persoonsgegevens), dient door de Suwi-partijen die gebruik maken van Suwinet een uniform niveau van betrouwbaarheid in termen van beschikbaarheid, integriteit en vertrouwelijkheid te worden gewaarborgd. De Regeling SUWI d.d. 21 december 2001 (hierna te noemen Regeling SUWI) en vooral Bijlage XIV van deze Regeling (‘Beveiliging Suwinet’, versie 1.0, hierna te noemen Bijlage XIV) bevatten afspraken en eisen die de Suwi-partijen moeten naleven om de beveiliging van Suwinet op een gelijkwaardig niveau te verwezenlijken. Ook zijn in deze documenten bepalingen opgenomen over het verantwoordingsstelsel. Met dit stelsel beogen de Suwi-partijen elkaar transparantie te verschaffen over de mate waarin hun onderdeel van de Suwiketen aan de wettelijke beveiligingseisen voldoet. Op deze wijze kunnen de Suwi-partijen aan de wettelijke eis voldoen dat het uitwisselen van persoonsgegevens alleen mag plaatsvinden indien de verantwoordelijke zich ervan heeft overtuigd dat de ontvanger de informatie zorgvuldig en volgens de eisen in de wet behandelt. De in de Regeling SUWI en Bijlage XIV genoemde afspraken en eisen zijn echter niet zodanig 1
geformuleerd dat er operationeel een gelijkwaardig oordeel uit kan voortvloeien. Daarom hebben de Suwi-partijen het initiatief genomen om gezamenlijk een gemeenschappelijke richtlijn en normenkader vast te stellen voor de inrichting van de beveiliging alsmede de jaarlijkse verantwoording daarvan naar het ministerie van Sociale Zaken en Werkgelegenheid (hierna te noemen SZW), de Inspectie Werk & Inkomen (hierna te noemen IWI) en naar elkaar (via de Samenvattende Rapportage van het BKWI). Deze onder de verantwoordelijkheid van de Domeingroep Privacy & Beveiliging (hierna te noemen: DPB) opgestelde verantwoordingsrichtlijn (hierna te noemen Verantwoordingsrichtlijn edp-audit Suwinet) gaat in op de wijze waarop de verplichte edp-audit van de beveiliging van Suwinet (hierna te noemen: edp-audit Beveiliging Suwinet) vorm en inhoud moet worden gegeven. Naast een eenduidig inzicht maakt de voorgeschreven rapportagevorm het tegelijkertijd mogelijk om op evenwichtige wijze het totaaloverzicht over de beveiliging van het Suwinet (hierna te noemen Samenvattende Rapportage), dat de Security Officer van het BKWI jaarlijks, in overleg met de DPB, moet uitbrengen aan de Minister van SZW en IWI, samen te stellen. IWI ziet namens de Minister van SZW toe op de kwaliteit van de edp-audits en het niveau van beveiliging.
1
Een ‘gelijkwaardig oordeel’ houdt in dat de edp-auditors zodanige normen en werkwijzen hanteren dat, rekening houdend met de specifieke situatie bij het object van onderzoek / de opdrachtgever, de uitkomsten leiden tot een gelijkluidend oordeel ongeacht de edp-auditor die de audit heeft uitgevoerd.
Verantwoordingsrichtlijn v2.0.doc - 3 van 73
Het oordeel van de edp-auditor houdt een uitspraak in over de bij een Suwi-partij aangetroffen situatie in relatie tot de norm zoals is gedefinieerd in Bijlage XIV. Deze verantwoordingsrichtlijn bevat als bijlage D een normenkader voor de beveiliging van het Suwinet (hierna te noemen SuwinetNormenkader) dat meer aansluit op de operationele bedrijfsvoering dan de inhoud van Bijlage XIV en dat deze bijlage vervangt bij de uitvoering van de edp-audit Beveiliging Suwinet. Deze verantwoordingsrichtlijn met bijlagen dient daarom onderdeel te zijn van de opdracht aan de edpauditor. Gestreefd is in het oordeel zoveel als mogelijk nuances in te bouwen. Daarom is van de totale normenset een beperkt aantal normen tot essentieel benoemd. Aan deze essentiële normen dient in elk geval te worden voldaan, in de overige normen is ruimte voor `niet materiele tekortkomingen’. Voor de goede orde wordt opgemerkt dat: •
Deze verantwoordingsrichtlijn uitsluitend betrekking heeft op de beveiliging van de gegevensuitwisseling via het Suwinet (conform Artikel 6.4 van de Regeling SUWI). De beveiliging van de gegevensverwerking (conform Artikel 5.22 van de Regeling SUWI), valt onder een ander verantwoordingsregime.
•
De Samenvattende Rapportage geen inzicht biedt in het door de gemeenten gerealiseerde beveiligingsniveau, omdat niet is voorgeschreven dat daarover aan het BKWI wordt gerapporteerd.
Het kan nodig blijken dat van jaar tot jaar verschillende accenten kunnen of moeten worden gelegd ten opzichte van de in deze verantwoordingsrichtlijn en de bijlagen opgenomen uitgangspunten. Deze accenten zullen in een jaarlijks addendum worden opgenomen. Dat addendum moet altijd worden bezien in relatie tot deze richtlijn. Het totstandkomen van het addendum doorloopt het goedkeuringproces dat ook voor deze richtlijn is gevolgd. Deze verantwoordingsrichtlijn is door de werkgroep Verantwoordingsrichtlijn ontwikkeld en op advies van het PPI door het Algemeen Ketenoverleg (verder genoemd: AKO ) op 29 oktober 2004 vastgesteld en heeft de instemming van het ministerie van SZW en IWI. Onderhoud vindt, in afstemming met de ICT auditors van de ketenpartijen en IWI, plaats in de DPB. Nieuwe versies worden ter vaststelling voorgelegd aan AKO.
Verantwoordingsrichtlijn v2.0.doc - 4 van 73
1. Inleiding 1.1.
Achtergrond
De Regeling SUWI bevat de basis voor de edp-audit Beveiliging Suwinet, die verder uitgewerkt is in Bijlage XIV. Deze basis is abstract geformuleerd en geeft onvoldoende sturing en inhoud aan de elementen die moeten leiden tot een voor elke Suwi-partij en het BKWI gelijkwaardig oordeel. Daarnaast is in de praktijk gebleken dat de beveiligingseisen in Bijlage XIV in onvoldoende mate en/of evenwichtige wijze zijn geformuleerd in relatie tot functies en bedrijfsprocessen van het Suwidomein. Bovenstaande is de aanleiding voor het samenstellen van deze verantwoordingsrichtlijn en het hierin opgenomen normenkader. Met deze richtlijn wordt de inhoud van de uit te voeren edp-audit Beveiliging Suwinet nader gedefinieerd en met het Suwinet-Normenkader wordt een meer op de praktijk bij de Suwi-partijen toegesneden normenkader geformuleerd. Bij het samenstellen van deze verantwoordingsrichtlijn en de bijlagen is er van uitgegaan dat de uitwerking partij- en maatregelonafhankelijk moet worden geformuleerd zodat ook eventuele nieuwe Suwi-partijen de richtlijn en normen kunnen toepassen. Daarbij heeft deze verantwoordingsrichtlijn tot doel richtlijnen te geven om de uitkomsten van de edp-audit Beveiliging Suwinet bij de diverse Suwi-partijen en het BKWI te aggregeren en te presenteren ten behoeve van de Samenvattende Rapportage. Dit document is samengesteld door de Werkgroep Verantwoordingsrichtlijn (hierna te noemen: WGV) die onder de verantwoordelijkheid valt van de DPB. De DPB heeft geconcludeerd dat de beschreven beveiligingseisen in Bijlage XIV door het aantal te toetsen onderwerpen en een verschil in het niveau van de eisen niet geschikt is als directe basis voor de edp-audit Beveiliging Suwinet. Daarom heeft de WGV een normenkader samengesteld dat is opgebouwd uit normen die zijn gerelateerd aan binnen de Suwi-partijen herkenbare organisatorische aspecten, beheerprocessen, toepassingen en componenten. Deze normen zijn gebaseerd op “best practices” en zijn voorzien van accenten waarin tegelijkertijd de eisen zijn verwerkt die zijn opgenomen in Bijlage XIV. Het op deze wijze ontwikkelde normenkader maakt het door de Suwi-partijen gerealiseerde beveiligingsniveau transparant en vormt daarmee de basis voor het creëren van een onderlinge vertrouwensbasis die wordt versterkt via de oordelen met bijbehorende rapportages van de edpauditor van de Suwi-partijen. De eisen die gelden voor de beveiliging van het Suwinet zoals die zijn uitgewerkt in Bijlage XIV zijn ontleend aan: •
Code voor Informatiebeveiliging 2000:
•
Achtergrondstudies en Verkenningen 23 – Beveiliging van Persoonsgegevens (uitgegeven in april 2001 door het College Bescherming Persoonsgegevens);
•
Specifieke eisen die samenhangen met de (beveiliging)structuur van het Suwinet.
Uit de eis om een zelfde beveiligingsniveau voor het Suwinet te realiseren vloeit voort dat het ontwikkelde normenkader onderling is afgestemd in de daartoe ingerichte overlegorganen, te weten de DPB en het AKO .
Verantwoordingsrichtlijn v2.0.doc - 5 van 73
Het Suwinet-Normenkader is integraal van toepassing op alle (toekomstige) partijen die gebruik maken van het Suwinet. De delen van dit normenkader, die bij een Suwi-partij niet van toepassing zijn, worden buiten de edp -audit Beveiliging Suwinet en daarmee buiten het oordeel gehouden. In de toelichting op het oordeel wordt gemotiveerd welke delen dit betreft. Het niet van toepassing verklaren van delen van dit normenkader mag uitsluitend zijn gebaseerd op het niet vervullen van bepaalde Suwinet functies. Andere motieven (zoals schaalgrootte van een organisatie) zijn geen geldig motief, omdat daarmee het beveiligingsniveau van het Suwinet als geheel in het geding kan komen. Het Suwinet-Normenkader is opgenomen als bijlage D en nader toegelicht in hoofdstuk 4. In deze verantwoordingsrichtlijn zijn naast de normen ook de richtlijnen opgenomen voor de uit te voeren edp-audit en voor de jaarlijkse verantwoording, waardoor de rapportages eenduidig en eenvormig zijn en de oordelen zijn gebaseerd op uniforme weging en afspraken.
1.2.
Leeswijzer
Deze verantwoordingsrichtlijn bevat informatie voor de edp-auditor die noodzakelijk is voor het uitvoeren van de edp-audit Beveiliging Suwinet, voor het formuleren van het oordeel over de beveiliging van Suwinet bij de afzonderlijke Suwi-partijen en voor het samenstellen van de rapportage bij dat oordeel. Het BKWI heeft in haar hoedanigheid van netwerkbeheerder een afwijkend object van onderzoek. Het Suwinet-Normenkader bevat de eisen die gelden als leidraad voor het operationeel management bij het inrichten van de organisatorische en technische infrastructuur voor de beveiliging van de gegevensuitwisseling via het Suwinet. Deze eisen moeten worden uitgewerkt in de vorm van procedures en maatregelen, die passend zijn in relatie tot de door de betreffende Suwi-partij gemaakte keuzes voor de inrichting en beheersing van de bedrijfsprocessen. Voor de edp-auditor van de Suwi-partij en het BKWI vormen de bijlagen de norm waaraan wordt getoetst of de opzet, het bestaan en de werking van de feitelijke beveiligingsmaatregelen voldoen aan de gestelde eisen.
1.3.
Onderhoud Verantwoordingsrichtlijn edp-audit Suwinet en SuwinetNormenkader
De verdere ontwikkeling en gebruik van het Suwinet-Normenkader en ook de ervaringen bij het gebruik van de Verantwoordingsrichtlijn edp-audit Suwinet zullen leiden tot de noodzaak om deze verantwoordingsrichtlijn en de bijlagen te onderhouden. De Verantwoordingsrichtlijn edp-audit Suwinet inclusief bijlagen is in beheer bij de DPB. Onderhoud vindt, in afstemming met de ICT auditors van de ketenpartners en IWI, plaats in de DPB en gewijzigde versies worden vastgesteld door het AKO. Aanvulling- of wijzigingsvoorstellen kunnen worden ingediend bij het secretariaat van de Domeingroep op het volgende adres: Het BKWI T.a.v. secretariaat Domeingroep Privacy en Beveiliging Postbus 7801 1008 AA AMSTERDAM
Verantwoordingsrichtlijn v2.0.doc - 6 van 73
2. Toelichting bij de edp-audit 2.1.
Opdracht en opdrachtgever
De opdracht voor het uitvoeren van de edp-audit als bedoeld in Artikel 6.4 Regeling SUWI wordt vers trekt door: •
De Raad van Bestuur van CWI, SVB, respectievelijk UWV;
•
Het Stichtingsbestuur van het Inlichtingenbureau;
•
De gemeenteraad voor de gemeentelijke sociale diensten;
•
De Algemeen Directeur van de Arbeidsinspectie;
•
De Directeur van, respectievelijk de SIOD;
•
De D irecteur van het BKWI.
Deze verantwoordingsrichtlijn met de bijlagen moet een integraal onderdeel uitmaken van de opdrachtverstrekking aan de edp-auditor, ook ingeval van uitbesteding van (een deel van) de werkzaamheden van de edp-audit Beveiliging Suwinet. Indien wenselijk, kunnen de uitgangspunten voor de edp-audit Beveiliging Suwinet jaarlijks bijgesteld worden. Deze bijstelling wordt door het AKO bekrachtigd.
2.2.
Betrokkenen
De werkzaamheden in het kader van deze verantwoordingsrichtlijn zijn gebaseerd op de Regeling SUWI. Deze regeling maakt onderdeel uit van de Wet SUWI. Deze wet is tot stand gekomen onder de verantwoordelijkheid van de Minister van SZW, die de (politieke) verantwoordelijkheid draagt voor de uitvoering van deze wet. Voor het toezicht op het functioneren en de naleving van de Wet SUWI maakt de Minister van SZW gebruik van de onafhankelijke, toezichthoudende werkzaamheden van IWI, die toeziet op de uitvoering en naleving van deze verantwoordingsrichtlijn en hierover rapporteert aan SZW. De strategische aspecten die samenhangen met de Wet SUWI worden behandeld in het AKO. Het overleg in het AKO wordt mede gevoed vanuit diverse gremia op het tactische niveau. Het voor deze verantwoordingsrichtlijn verantwoordelijke gremium op dit niveau is de DPB. In alle gremia hebben medewerkers van de Suwi-partijen en het BKWI zitting. Het BKWI is de ondersteunende instantie die ten dienste staat van de organisaties in de Suwiketen. Naast het zorgen voor het tot stand komen van afspraken om de Suwiketen te laten functioneren, is het BKWI ook verantwoordelijk voor het beheer van het Suwinet: het stelsel van technische voorzieningen waarmee de Suwi-partijen bij elkaar gegevens kunnen opvragen en uitwisselen.
2.3.
Doelstelling
Op grond van Artikel 6.4 Regeling SUWI moeten de Suwi-partijen jaarlijks voor 15 maart aan SZW en IWI rapporteren over de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensuitwisseling via het Suwinet. In paragraaf 2.4 wordt de opdracht nader toegelicht. Deze rapportage moet zijn vergezeld van een oordeel en een rapport van bevindingen
Verantwoordingsrichtlijn v2.0.doc - 7 van 73
van een register edp-auditor. In haar jaarlijkse rapportage doet de Auditdienst van SZW verslag van de beveiliging van de AI en de SIOD. De publieke versie van deze rapportages vormt mede de basis voor de jaarlijks door de Security Officer van het BKWI in overleg met de DPB uit te brengen “Samenvattende rapportage van de beveiliging van Suwinet” (verder genoemd Samenvattende Rapportage). Deze rapportage is bestemd voor de Minister van SZW en IWI. De Suwi-partijen hebben een eigen verantwoordelijkheid voor het beheer van hun bedrijfsprocessen, de wijze waarop zij die beheersen en de wijze waarop zij daarover verantwoording afleggen. Ook hebben de Suwi-partijen de plicht om de edp -audit te laten verrichten door een door hen aan te wijzen persoon die is toegelaten tot de Nederlandse Orde van Register EDP-Auditors (NOREA). Deze uitgangspunten leiden ertoe dat de verschillende Suwi-partijen voor de bedrijfsvoering die onder hun verantwoordelijkheid valt, verschillende organisatorische, functionele en technologische keuzes voor de inrichting van de beveiliging van het Suwinet hebben gemaakt. Ook wordt de edpaudit bij elke Suwi-partijen door verschillende interne en externe (edp-audit)organisaties uitgevoerd. Daardoor is het noodzakelijk dat voor de edp-audit Beveiliging Suwinet afspraken worden gemaakt over: •
De doelstelling van het onderzoek;
•
De afbakening van het object van onderzoek;
•
De mate van zekerheid dat het oordeel moet bieden;
•
De frequentie en de diepgang van het onderzoek;
•
De weging van afwijkingen;
•
Het te gebruiken normenkader;
•
De vorm en inhoud van het oordeel en de bijbehorende rapportage.
De hiervoor genoemde elementen zijn in deze verantwoordingsrichtlijn uitgewerkt. Aangezien edp-auditors bij een edp-audit toetsen aan normen en omdat het in de situatie van het Suwinet belangrijk is dat er sprake is van een gelijkwaardig oordeel, dienen de edp-auditors van alle Suwi-partijen zich te baseren op hetzelfde normenkader, te weten het Suwinet-Normenkader dat door de WGV is ontwikkeld en dat op advies van het PPI is vastgesteld door het AKO .
2.4.
Uitgangspunten
De doelstelling van de beveiliging van Suwinet luidt: het creëren van waarborgen ten aanzien van de kwaliteit van gegevens, bescherming van privacy en andere beveiligingsmaatregelen binnen het Suwidomein en de zeggenschap van elke org anisatie over de eigen onderdelen van het Suwinet. Het realiseren van deze doelstelling heeft tot gevolg dat elke2 partij die van het Suwinet gebruik maakt moet beschikken over een oordeel met de strekking “Het stelsel van maatregelen voldoet aan de norm”, uitgesproken over de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beveiliging van de gegevensuitwisseling via Suwinet. Het ontbreken van een dergelijk oordeel over een of meerdere delen van de Suwiketen leidt ertoe dat geen evenwichtige “Samenvattende Rapportage” kan worden samengesteld over de beveiliging van de Suwiketen als geheel. 2
De grondslag voor de audit verplichtingen van partijen die recent zijn aangesloten op Suwinet wordt in de actualisering van de verantwoordingsrichtlijn van volgend jaar opgenomen.
Verantwoordingsrichtlijn v2.0.doc - 8 van 73
Voor de uitvoering van de edp -audit zal aan de edp-auditor toereikende informatie verstrekt moeten worden om in voldoende mate vast te kunnen stellen dat de beveiliging van (een deel van) de gegevensuitwisseling via het Suwinet voldoet aan de geformuleerde kwaliteitscriteria. De wetgever heeft in de Artikelen 5.22 (betrouwbaarheid gegevensverwerking) en 6.4 (beveiliging gegevensuitwisseling) van Regeling SUWI de opdracht voor het uitvoeren van edp-audits gedefinieerd. De inhoud van deze artikelen luidt als volgt: Artikel 5.22. Verantwoording gegevensverwerking 1. De CWI, het UWV, de SVB en het IB rapporteren vóór 15 maart van elk jaar over de opzet en werking van het stelsel van maatregelen en procedures, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. De rapportage wordt vergezeld van een oordeel en een rapport van bevindingen van een tot de Nederlandse Orde van Register EDP-Auditors toegelaten persoon.
2.
Artikel 6.4. Beveiliging Suwinet 1.
De Suwinet-partijen dragen zorg voor de beveiliging van de gegevensuitwisseling tegen inbreuken op de beschikbaarheid, de integriteit en de vertrouwelijkheid, overeenkomstig hetgeen over de voor het stelsel van maatregelen en procedures te hanteren normen wordt bepaald in de bij deze regeling behorende Bijlage XIV (`Beveiliging Suwinet 1.0').
2.
De Suwinet-partijen geven ieder in een beveiligingsplan aan op welke wijze zij invulling geven aan het eerste lid.
3.
Artikel 5.22 is van overeenkomstige toepassing op het gebruik en de inrichting van Suwinet.
De objecten van onderzoek van deze edp-audits en het daarbij te gebruiken normenkader zoals dat is gedefinieerd in deze artikelen en de toelichting daarop, sluiten niet logisch aan op de organisatorische verdeling van de bedrijfsprocessen over de Suwi-partijen en het BKWI. Daarom is in overleg met IWI en het ministerie van SZW voorgesteld om vooralsnog de volgende scope voor het onderzoek naar de beveiliging van de gegevensuitwisseling via Suwinet te gebruiken: Het oordeel van de edp-auditor omvat de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de beveiliging van de bedrijfsprocessen: •
Bij de Suwi-partijen wat betreft de beheerde onderdelen van het koppelvlak (zie B in het schema in 2.5)
•
Bij het BKWI wat betreft: o
De beheerde onderdelen van de koppelvlakken (zie B in het schema in 2.5)
o
Het beheer van het Suwinet (zie C in het schema in 2.5)
Deze omschrijving van het object van onderzoek wordt in deze verantwoordingsrichtlijn samengevat onder de noemer ‘de beveiliging van de gegevensuitwisseling via het Suwinet’.
2.5.
Afbakening object van onderzoek
De reikwijdte van het onderzoek is het beoordelen van de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beveiliging van de gegevensuitwisseling via Suwinet.
Verantwoordingsrichtlijn v2.0.doc - 9 van 73
De scope van het onderzoek omvat de beveiliging van de gegevensuitwisseling via het Suwinet. Deze scope is, gegeven de functie van het Suwinet (het beschikbaar stellen van de infrastructuur voor gegevensuitwisseling tussen aanleverende en afnemende systemen), beperkt tot de roze vlakken B en het gele vlak C van onderstaand schema.
Niet tot de scope van de edp -audit Beveiliging Suwinet wordt gerekend: •
De tijdigheid en kwaliteit van de gegevensverstrekkingen;
•
De gegevensverwerking bij de Suwi-partijen;
•
De verzending van Meldingen via RINIS ;
•
De gegevensuitwisseling anders dan via Suwinet (bijvoorbeeld de uitwisseling via post).
A:
In dit gebied vindt de gegevensverwerking door de primaire bedrijfsprocessen en systemen bij
3
de Suwi-partijen4 plaats. De gegevensverwerking in dit gebied omvat zowel de gegevens die zijn verkregen via het Suwinet als uit andere omgevingen. In dit gebied vallen bovendien de (ondersteunende) bedrijfsprocessen en systemen die gegevens verwerken die niet onder de Wet SUWI vallen. Voorbeelden hiervan zijn de financiële processen, het beheer van personeel, materieel beheer, etc. De blauwe vlakken A vallen buiten de scope van de edp-audit Beveiliging Suwinet. B:
In dit gebied (de koppelvlakken) vallen alle bedrijfsprocessen en systemen en ook de
ondersteunende processen en systemen die specifiek voor de gegevensuitwisseling met Suwinet zijn ontwikkeld. Als voorbeelden van deze specifieke systemen kunnen worden genoemd: •
De Meldingenadapter bij de Suwi-partijen;
•
De webservices voor Suwinet-Inkijk;
•
De webportals voor Suwinet toepassingen.
Deze specifieke systemen voor Suwinet en de (eerste) koppeling (de interfaces) naar de primaire systemen van de Suwi-partijen (zie A) vallen onder de scope van de beveiliging van Suwinet. De roze vlakken B vallen geheel binnen de scope van de edp-audit Beveiliging Suwinet.
3
Routeringsinstituut voor (inter)Nationale Informatie Stromen Bij de actualisering van de verantwoordingsrichtlijn volgend jaar worden bij de scope de gebieden van de aangesloten partijen, die tot het Suwi domein behoren opgenomen. 4
Verantwoordingsrichtlijn v2.0.doc - 10 van 73
C:
In dit gebied bevinden zich de centrale processen en systemen die nodig zijn voor de
gegevensuitwisseling via Suwinet en die niet integraal aan een van de Suwi-partijen zijn toe te wijzen. Het beheer van dit centrale domein ligt bij het BKWI. Het gele vlak C valt geheel binnen de scope van de edp-audit Beveiliging Suwinet.
2.6.
Te gebruiken kwaliteitscriteria
Voor de edp-audit Beveiliging Suwinet wordt het volgende samenstel van kwaliteitscriteria en de betekenis daarvan gebruikt: •
Beschikbaarheid (continuïteit): De mate waarin de bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken gericht op de gegevensuitwisseling, ongestoord voortgang kunnen vinden.
•
Integriteit (volledigheid, juistheid, tijdigheid): De mate waarin de gegevensuitwisseling via het Suwinet en in het koppelvlak zonder fouten is.
•
Vertrouwelijkheid (exclusiviteit): De mate waarin de toegang tot de gegevensuitwisseling via het Suwinet en de koppelvlakken en de kennisname van de informatie daarin, is beperkt tot een gedefinieerde groep van gerechtigden.
•
Controleerbaarheid: De mate waarin door de m ens kan worden vastgesteld dat de bedrijfsprocessen gericht op de gegevensuitwisseling via het Suwinet en het koppelvlak tot het beoogde resultaat hebben geleid.
2.7.
Frequentie en diepgang van het onderzoek
De jaarlijkse rapportage over de beveiliging van Suwinet door de Suwi-partijen, en daarmee het onderzoek door de edp-auditor, moet betrekking hebben op de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen. De edp-auditor moet toereikende informatie verkrijgen zodat met hoge mate van zekerheid geconcludeerd kan worden dat de beveiliging van de gegevensuitwisseling via Suwinet in alle van materieel belang zijnde opzichten voldoet aan de kwaliteitscriteria, te weten: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid. De eis tot het uitvoeren van een edp-audit die leidt tot het kunnen doen van een uitspraak met een hoge mate van zekerheid is gebaseerd op de volgende omstandigheden: •
De aard van de gegevens. Uit de toelichting op de Regeling SUWI blijkt dat een analyse is gemaakt van de gegevens die worden uitgewisseld via Suwinet. Deze analyse heeft geleid tot de conclusie dat sprake is van het verwerken van persoonsgegevens die vallen onder de risicoklassen II (verhoogd risico) en in concrete gevallen zelfs onder risicoklasse III (hoog risico). Deze classificatie is ontleend aan het document ‘Beveiliging persoonsgegevens’ – Achtergrond en Verkenningen 23, in april 2001 uitgegeven door het CBP.
•
Het maatschappelijke belang van de processen. De gegevens die via Suwinet worden uitgewisseld vormen de invoer voor processen die leiden naar werk of het toekennen en uitbetalen van uitkeringen. Het niet tijdig en correct uitwisselen of verwerken van gegevens kan leiden tot voor de maatschappij onacceptabele gevolgen.
Verantwoordingsrichtlijn v2.0.doc - 11 van 73
•
Het juridische belang van de procedure. Het niet of niet tijdig voldoen aan de wettelijke vereisten kan bij de Suwi-partijen leiden tot een aansprakelijkheidsstelling door de benadeelde.
•
Het politieke belang. Het niet of niet juist en tijdig functioneren van de uitkeringsprocessen kan leiden tot de situatie dat de Minister van SZW ter verantwoording wordt geroepen door de Tweede Kamer van de Staten-Generaal.
•
De gevolgen van de processen voor de bedrijfsvoering. De bedrijfsvoering van de Suwi-partijen is in hoge mate geautomatiseerd. Uitval van het Suwinet leidt tot stagnatie in de bedrijfsprocessen en het niet kunnen functioneren van een groot aantal medewerkers. Dit kan onder meer leiden tot het niet tijdig verstrekken van (politiek) gevoelige informatie.
Verantwoordingsrichtlijn v2.0.doc - 12 van 73
3. Uitvoeringsnormen aan de edp-audit 3.1.
Inleiding
In dit hoofdstuk worden de eisen en normen beschreven waaraan de edp-auditor zich dient te houden bij de uitvoering van de edp-audit Beveiliging van Suwinet.
3.2.
Kwaliteitseisen onderzoek edp-auditor
Het onderzoek naar de beveiliging van de gegevensuitwisseling via Suwinet moet plaatsvinden op een zodanige wijze dat de uitspraak in het oordeel een hoge mate van zekerheid biedt, dat in alle van materieel belang zijnde opzichten is voldaan aan de kwaliteitscriteria. Dit uitgangspunt, in combinatie met het feit dat de edp-audit Beveiliging Suwinet door verschillende edp-auditors en (edp-audit)organisaties wordt uitgevoerd, is aanleiding voor het op hoofdlijnen vastleggen van een aantal uitgangspunten waarmee bij het uitvoeren van de edp-audit Beveiliging Suwinet rekening moet worden gehouden. De invulling van de edp-audit Beveiliging Suwinet in de concrete situatie bij een Suwi-partij wordt niet uitgewerkt. De aanpak van de edp-audit Beveiliging Suwinet dient door de edp-auditor te worden uitgewerkt in het controleplan en werkprogramma die aansluiten op de verstrekte opdracht. De edp-auditor moet bij het verrichten van het onderzoek rekening houden met de volgende uitgangspunten: •
De edp-auditor is ingeschreven als RE. Daaruit vloeit voort dat de GBRE van toepassing is;
•
De richtlijnen in het kader van de attestfunctie van toepassing zijn (opdrachtformulering en – aanvaarding; dossiervorming en –beheer; rapportage);
•
De edp-audit Beveiliging Suwinet beperkt zich tot datgene wat in de opdracht beschreven staat en de opdracht omvat minimaal de Verantwoordingsrichtlijn edp-audit Suwinet en het SuwinetNormenkader5.
De opdracht van de edp-auditor voor het beoordelen van de beveiliging van de gegevensuitwisseling via het Suwinet omvat het beoordelen van de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen. Het begrip ‘stelsel’ brengt tot uitdrukking dat de getroffen procedures en maatregelen moeten worden bezien in hun onderlinge samenhang. De edp-auditor stelt een plan op waarin voor opzet en reikwijdte van de edp-audit Beveiliging Suwinet wordt gemotiveerd welke systemen, procedures, etc. worden betrokken in de edp-audit Beveiliging Suwinet. In dit controleplan moet ook een analyse met motivering zijn opgenomen over de frequentie van de edp-audit Beveiliging Suwinet. Het is de taak van de edp -auditor om vast te stellen dat de opzet, het bestaan en de werking van het stelsel van maatregelen zodanig van structuur en samenstelling is dat aan de normen die zijn gedefinieerd in het Suwinet-Normenkader wordt voldaan. De edp-audit kan slechts leiden tot het signaleren van structurele inbreuken op het stelsel van procedures en maatregelen en niet van incidentele afwijkingen. 5
Eventueel kan de edp-audit Beveiliging Suwinet gecombineerd worden met andere edp-audits, mits hierbij deze Verantwoordingsrichtlijn en het Suwinet-Normenkader onverminderd wordt gebruikt.
Verantwoordingsrichtlijn v2.0.doc - 13 van 73
Tijdens de uitvoering van de edp-audit kan de edp-auditor constateren dat er geen of onvoldoende informatie kan worden verkregen, waardoor niet of in onvoldoende mate kan worden vastgesteld dat de beveiliging van (een deel van) de gegevensuitwisseling via het Suwinet voldoet aan de geformuleerde kwaliteitscriteria. De oorzaak voor deze constatering kan zijn gelegen in: •
Een objectieve verhindering, dat wil zeggen een situatie die niet in positieve zin kan worden beïnvloed door de opdrachtgever. De edp-auditor moet deze verhindering, mits van materieel belang, gemotiveerd in het oordeel tot uitdrukking brengen. (Een voorbeeld van een objectieve verhindering is het niet voldoen aan het criterium beschikbaarheid als gevolg van het onverwachte faillissement van een als gegoed bekend staande leverancier.)
•
Een subjectieve verhindering, dat wil zeggen een situatie die wel in positieve zin kan worden beïnvloed door de opdrachtgever. De edp-auditor constateert bijvoorbeeld dat de werking (voor een deel) van het auditobject niet voldoet aan het criterium controleerbaarheid. Bij materieel van belang zijnde elementen in het stelsel van procedures en maatregelen zal deze constatering moeten leiden tot het oordeel: “Het stelsel van maatregelen voldoet niet aan de norm”. (Een voorbeeld van een subjectieve verhindering is het gebrek aan, of het handhaven van, voldoende functiescheiding.)
3.3.
Oordeelsvorming en weging
3.3.1. Inleiding De edp-audit inzake de beveiliging Suwinet wordt bij de verschillende Suwi-partijen door verschillende edp-auditors uitgevoerd. Met behoud van organisatiespecifieke aspecten is onderstaande richtlijn voor de oordeelsvorming door de edp-auditor opgesteld om zoveel mogelijk te komen tot een gelijkwaardige oordeelsvorming bij gelijksoortige omstandigheden.
3.3.1. Uitgangspunten Oordeelsvorming en Weging edp-auditor Algemene uitgangspunten •
Het jaarlijkse oordeel van de edp-auditor over de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beveiliging van de gegevensuitwisseling via het Suwinet is een volkomen oordeel. Dat wil zeggen dat alle materieel van belang zijnde bedrijfsprocessen en de daaronder ressorterende (ondersteunende) processen en componenten in de controle moeten worden betrokken. De vraag of en de mate waarin (delen van) de bedrijfsprocessen gedeeltelijk roulerend binnen een periode van drie jaar in de controle kunnen worden betrokken, moet worden geanalyseerd en gemotiveerd in het controleplan en zal vooraf in de opdracht worden benoemd.
•
De uitspraak van de edp-auditor over de opzet, het bestaan en de werking van de beschikbaarheid van het stelsel van procedures en maatregelen houdt mede in, dat mag worden verwacht dat de beschikbaarheid het komende jaar is gewaarborgd.
•
Het oordeel van de edp-auditor is gebaseerd op een deugdelijke grondslag. Met andere woorden er is voldoende bewijs verzameld om de bevindingen waarop het eindoordeel is gebaseerd te onderbouwen
Verantwoordingsrichtlijn v2.0.doc - 14 van 73
•
Het oordeel van de edp-auditor schept een verwachting die op basis van het verrichte onderzoek gerechtvaardigd is. Met andere woorden het geeft de lezers van het oordeel een duidelijk beeld over de status van de beveiliging en over de voor dat onderwerp getroffen maatregelen.
•
Om te komen tot een oordeel weegt de edp-auditor de consequenties van alle bevindingen die bij de edp-audit naar voren zijn gekomen. Naast de aard en ernst van de bevindingen en de op grond daarvan getrokken conclusies, wordt in dit afwegingsproces ook rekening gehouden met het gebruik van het oordeel en de hoge mate van zekerheid dat aan het oordeel ontleend mag worden. De edp-auditor maakt hiervoor gebruik van zijn professional judgment.
•
Een oordeel van de edp-auditor is een kwalitatief oordeel in hoeverre het onderzoeksobject voldoet aan de normen. De relatie met het proces/product waarin het onderzoeksobject speelt is daarbij van belang. Als het onderzoeksobject niet of slechts ten dele aan de gestelde eisen voldoet, moet worden nagegaan welke invloed dit heeft op het betreffende proces of product.
Specifieke uitgangspunten •
De edp-auditor voert de edp-audit Beveiliging Suwinet uit op basis van het SuwinetNormenkader dat door het AKO is vastgesteld.
•
Indien daar aanleiding voor is zal elk jaar een addendum voorgelegd worden aan het AKO met de specifieke uitgangspunten voor de edp-audit Beveiliging Suwinet voor dat betreffende verantwoordingsjaar.
•
Bij de edp-audit Beveiliging Suwinet geeft de edp-auditor één totaaloordeel over de beveiliging van Suwinet, waar alle vier de kwaliteitsaspecten (beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) onder vallen. Het oordeel zal niet naar afzonderlijke kwaliteitsaspecten worden verbijzonderd. In de toelichting op het oordeel zal de edp-auditor op basis van de uitkomst van het onderzoek risico´s signaleren. Bij het formuleren van deze risico’s worden de gevolgen voor de verschillende kwaliteitsaspecten beschreven.
•
Het oordeel van de edp-auditor inzake de Beveiliging van Suwinet kan drie verschillende strekkingen hebben: o
Een Oordeel “Het stelsel van maatregelen voldoet aan de norm”.
o
Een Oordeel “Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect”. De bevinding mag niet materieel zijn omdat dan sprake is van het oordeel “Het stelsel van maatregelen voldoet niet aan de norm”.
o •
Een Oordeel “Het stelsel van maatregelen voldoet niet aan de norm”.
De edp-audit Beveiliging Suwinet op grond van Artikel 6.4 Regeling SUWI kan binnen de Suwipartijen veelal worden uitgevoerd in combinatie met de edp-audit van de gegevensverwerking op grond van Artikel 5.22 Regeling SUWI, of met de integrale edp-audit van de beveiliging bij van die organisatie. De uitkomsten van de edp-audits kunnen voor beide opdrachten worden aangewend onder voorwaarde dat: o
Het onderzoek leidt tot een aparte, zelfstandig leesbare rapportage.
o
Het oordeel over de beveiliging van het Suwinet kan worden herkend uit de resultaten van het algemene onderzoek.
In het geval van een oordeel “Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect” of van een oordeel “Het stelsel van maatregelen voldoet niet aan de norm”, zal de edp-auditor in een
Verantwoordingsrichtlijn v2.0.doc - 15 van 73
toelichtende paragraaf aangeven ten aanzien van welke normen en in welke mate een afwijking is geconstateerd. Bij deze motivering dient het noodzakelijk geachte inzicht geen afbreuk te doen aan het eventueel vertrouwelijke karakter van de oorzaak van de afwijking. Bij een oordeel “Het stelsel van maatregelen voldoet aan de norm” mag de edp-auditor ook een toelichtende paragraaf geven. De toelichtende paragraaf mag bij een oordeel “Het stelsel van maatregelen voldoet aan de norm” of bij een oordeel “Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een nietmaterieel kwaliteitsaspect”, geen afbreuk doen aan de positieve strekking van het oordeel van de edp-auditor. Voor de Suwi-partijen en het BKWI zijn afzonderlijke modellen opgenomen voor het door de edpauditor af te geven oordeel, en de daarbij te verstekken toelichting. Deze modellen zijn respectievelijk opgenomen als bijlage A en bijlage B. Het gebruikte model is voor het overgrote deel gebaseerd op de NOREA-handreiking6 ‘Oordelen van gekwalificeerde IT -auditors’, versie juni 2003. Wanneer het oordeel: “Het stelsel van maatregelen voldoet aan de norm” Van de totale normenset uit het normenkader zijn 25 normen als van essentieel belang gekenmerkt voor de beveiliging van Suwinet. Deze essentiële normen zijn in het Suwinet-Normenkader (bijlage D) met een E gemarkeerd. De normen die als essentieel worden gezien voor de beveiliging van Suwinet zijn voor de edpauditor normen waar in ieder geval aan voldaan moet worden. Aangezien de edp -auditor een oordeel geeft over het geheel van de normen, geeft edp-auditor pas een oordeel “Het stelsel van maatregelen voldoet aan de norm” indien uit de bevindingen van alle 26 als essentieel onderkende normen blijkt dat voldaan wordt aan de norm én bovendien eventuele afwijkingen in de overige normen niet materieel zijn. Of een afwijking in de overige normen materieel is, wordt afgewogen vanuit het professional judgment van de edp-auditor. In de praktijk kan het dus voorkomen dat voor de Suwi-partij, ondanks het feit dat voldaan wordt aan alle essentiële normen, toch een oordeel “Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect” of zelfs een oordeel “Het stelsel van maatregelen voldoet niet aan de norm” afgegeven wordt, wanneer in de overige normen een of meer materiele afwijkingen worden geconstateerd. Wanneer het oordeel: “Het stelsel van maatregelen voldoet niet aan de norm” Het Oordeel “Het stelsel van maatregelen voldoet niet aan de norm” wordt door de edp-auditor gegeven wanneer de Suwi-partij aan één of meer van de voor de beveiliging als essentieel onderkende normen niet voldoet of als er sprake is van een of meer materiele tekortkomingen bij de overige normen. Wanneer het oordeel: “Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect”
6
NOREA: Beroepsvereniging van Register EDP-auditors
Verantwoordingsrichtlijn v2.0.doc - 16 van 73
De bevindingen ten aanzien van de overige normen, die niet materieel van aard zijn, kunnen leiden tot het aanbrengen van een uitzondering in positieve strekking van het oordeel. Een oordeel “Het stelsel van maatregelen voldoet aan de norm met uitzondering van een niet-materieel onderdeel van het onderzoeksobject of een niet-materieel kwaliteitsaspect” mag volgens de NOREA-handreiking alleen worden gegeven wanneer de geconstateerde afwijking van de norm niet materieel is. Het is vooraf niet goed mogelijk om strikt voor te schrijven wanneer dit oordeel wordt gegeven. Ook hier moet gesteund worden op het professional judgment van de edp-auditor. Wanneer is sprake van materieel belang: De vraag of een afwijking van materieel belang is hangt af van de volgende aspecten: •
de ernst van de geconstateerde afwijking;
•
de relatie van de afwijking met de beveiliging van Suwinet (essentieel of minder van belang);
•
de attitude van de organisatie ten aanzien van beveiliging (wordt het probleem onderkend);
•
de actiebereidheid van de organisatie om de afwijking op korte termijn aan te pakken (zijn er concrete acties gepland of acties reeds in gang gezet maar nog niet afgerond om het probleem op te lossen);
•
de aard van het Suwinet-proces en van de verwerkte gegevens;
•
het betrouwbaarheidsniveau van de functie;
•
het gemeenschappelijke belang bij en verantwoordelijkheid voor de beveiliging via Suwinet in de Suwiketen.
3.4.
Uitbesteding ICT, controle en oordeelsvorming
Een Suwi-partij kan om haar moverende redenen overgaan tot uitbesteding van (een deel van) de activiteiten die betrekking hebben op de gegevensuitwisseling via Suwinet. Veelal is dit van toepassing bij ICT-activiteiten. In die situatie moet de inhoud van deze verantwoordingsrichtlijn met bijlagen onverkort van toepassing worden verklaard op deze uitbesteding (zie essentiële norm 4.2), althans voor normen die relevant zijn voor de afgesproken diensten. De controle op naleving van de afspraken door de ICT-leverancier vindt plaats door de Suwi-partij en is gedefinieerd in de essentiële norm 4.3. De invulling en uitwerking van de onverkort van toepassing verklaarde set relevante normen kan op verschillende manieren worden ingevuld door de Suwi-partij. Dit kan plaatsvinden door middel van mantelovereenkomsten, SLA’s, beveiligingsovereenkomsten met onderliggende afspraken, etc. Bij uitbesteding moet vanuit de ICT-leverancier inzicht verschaft worden in de mate waarin wordt voldaan aan beheer- en beveiligingseisen. De ICT-leverancier rapporteert hierover aan de Suwipartij en deze controleert de naleving van de gemaakte afspraken. De controle door de Suwi-partijen op de naleving van de afspraken kan op verschillende manieren plaatsvinden, zoals blijkt uit de richtinggevende accenten bij essentiële norm 4.3. De Suwi-partij kan bijvoorbeeld controle uitvoeren door middel van een leveranciersoverleg, het beoordelen van aangereikte rapportages (onder andere rapportages over geleverd dienstenniveau en incidentenrapportages), de uitkomsten van interne controle van kwaliteitsprocessen en ook door middel van audits.
Verantwoordingsrichtlijn v2.0.doc - 17 van 73
Bij audits zijn de twee bekendste vormen het door de Suwi-partij zelf bij de ICT-leverancier (laten) uitvoeren van een edp-audit of het aan de Suwi-partij afgeven van een TPM (Third Party Mededeling) door de ICT-leverancier. De oordeelsvorming over de uitbestede dienst maakt integraal onderdeel uit van het oordeel van de Suwi-partij over de beveiliging van Suwinet als geheel. Voor de oordeelsvorming over de uitbesteding wordt dan ook aangesloten bij hetgeen is opgenomen in paragraaf 3.3.2.: voor een oordeel “Het stelsel van maatregelen voldoet aan de norm“ mogen geen tekortkomingen optreden in de als essentieel benoemde normen en geen materiele a fwijkingen voorkomen in de overige normen. De edp-auditor van de Suwi-partij zal het oordeel over het realiseren van de normen door de ICTleverancier onder andere baseren op de set van door de Suwi-partij met de ICT-leverancier overeengekomen controlemiddelen die genoemd zijn bij norm 4.3. Cruciaal is dat de inzet van de genoemde controlemiddelen de edp-auditor voldoende zekerheid biedt over de effectiviteit van maatregelen om een oordeel, gebaseerd op een deugdelijke grondslag, af te kunnen geven.
3.5.
Toetsen van opzet, bestaan en werking
Zoals in paragraaf3.3.2. is weergegeven dient de edp-auditor bij de edp-audit Beveiliging Suwinet de opzet, bestaan en werking van het stelsel van procedures en maatregelen die onder het onderzoeksobject vallen te beoordelen. In dit verband wordt verstaan onder: •
de opzet: Dit begrip omvat de formele inrichting en beschrijving van de wijze waarop de organisatie het proces wil gaan uitvoeren. Veelal treft de edp-auditor de opzet aan in handboeken, beleidspla nnen, architectuurbeschrijvingen, etc.
•
het bestaan: Dit begrip omvat de wijze waarop processen en maatregelen daadwerkelijk in de organisatie zijn geïmpleme nteerd. Deze situatie kan afwijken van hetgeen in de aanwezige beschrijvingen en plannen (de opzet) is vermeld.
•
de werking: Dit begrip omvat het bestaan van processen gedurende een bepaalde periode. Hierbij wordt vastgesteld op welke wijze een organisatie een proces bij voortduring heeft uitgevoerd. Zie ook de handreiking m.b.t. de werking in bijlage E
De opzet wordt veelal beoordeeld tijdens de ontwerpfase, het bestaan tijdens de implementatiefase en de werking tijdens de uitvoering van de processen. De controle op de werking wordt periodiek (veelal jaarlijks) uitgevoerd. Hierbij wordt eerst beoordeeld of opzet en bestaan ten opzichte van het voorgaande jaar zijn gewijzigd. Het vaststellen van de werking vereist dat gedurende de controleperiode bij de Suwi-partij wordt nagegaan of de procedures en maatregelen worden nageleefd. De wijze waarop deze controle wordt ingericht en de frequentie waarmee die wordt uitgevoerd, worden door de edp-auditor uitgewerkt in het controleplan. Ten aanzien van een aantal normen zullen in een addendum richtlijnen gegeven worden, hoe de werking van deze normen kan worden getoetst.
Verantwoordingsrichtlijn v2.0.doc - 18 van 73
4. Toetsingsnormen Het Suwinet-Normenkader omvat de normen voor de uitvoering van de edp-audit en waaraan de edp-auditors van de Suwi-partijen, van de gemeenten, van de AD van SZW (wat betreft de AI en de SIOD), en van het BKWI dienen te toetsen.
4.1.
Uitgangspunten Normenkader
Het Suwinet-Normenkader is nader onderverdeeld in normen voor •
De Suwi-partijen, de gemeenten, de AI en de SIOD
•
Het BKWI, deze normen zijn in het normenkader gemarkeerd met een B.
Bij het uitwerken van het normenkader zijn de volgende uitgangspunten gebruikt. •
De Suwinet-functies (Suwinet-Inkijk, Suwinet-Inlezen, Suwinet-Melding en Suwinet-Mail) worden gerealiseerd via bedrijfsprocessen in het Suwidomein en het Suwinet. De bedrijfsprocessen vallen uiteen in: o Organisatorische aspecten (beveiligingsplan, organisatie van de beveiliging, etc.) o Beheerprocessen (ITIL-processen, logische toegangbeveiliging, etc.) o Toepassingen (Suwinet-Inkijk, Suwinet-Inlezen, Suwinet-Melding, Suwinet-Mail) o Componenten (server, firewall, toegangbeveiligingspakket , etc.) Voor een volledig overzicht van de indeling van de bedrijfsprocessen wordt verwezen naar 4.2. De uitwerking is opgenomen in bijlage D.
•
Het realiseren van de beveiligingseisen vindt plaats door het treffen van procedures en maatregelen in relatie tot de organisatorische aspecten, beheerprocessen, toepassingen en componenten.
Verantwoordingsrichtlijn v2.0.doc - 19 van 73
4.2.
Opbouw Normenkader
Een van de gebruikte uitgangspunten voor het Suwinet-Normenkader is, dat de normen transparant zijn en pragmatisch moeten kunnen worden toegepast. Daarom is in deze verantwoordingsrichtlijn een analyse opgenomen van het object waarop het normenkader moet zijn toegesneden. Dit object, de koppelvlakken (= B in het schema in 2.5) en de centrale systemen en processen (=C in het schema in 2.5), is opgedeeld in 22 onderwerpen. Deze onderwerpen zijn gegroepeerd naar organisatorische aspecten, beheerprocessen, toepassingen en componenten. Deze groepering is weergegeven in de volgende tabel: Organisatorische aspecten
Beheerprocessen
Componenten
Toepassingen
1
Beveiligingsbeleid en beveiligingsplan
4
Dienstenniveau Beheer
20
Server
15
Suwinet-Inkijk
2
Organisatie
5
Capaciteitsbeheer
21
Netwerk
16
Suwinet-Inlezen
3
Architectuur / Standaarden
6
Continuïteitsbeheer
22
Koppelingen / koppelpunten
17
Suwinet-Meldingen
7 8
Configuratiebeheer Incidentbeheer
18 19
Suwinet-Mail Toegangbeveiligingspakket
9 10 11 12 13
Probleembeheer Wijzigingbeheer Testen Netwerkbeheer Logische toegangbeveiliging Fysieke beveiliging
14
De onderverdeling sluit waar mogelijk aan op binnen de organisaties herkenbare (ITIL) processen De relatie tussen deze aspecten, processen, toepassingen en componenten is weergegeven in het volgende model: Bedrijfsprocessen van de afzonderlijke betrokken organisaties Koppelvlak Organisatorische aspecten Beheerprocessen Componenten Toepassingen
Ter verheldering van het normenkader volgt hieronder een toelichting van de betekenis van de diverse elementen:
Verantwoordingsrichtlijn v2.0.doc - 20 van 73
a) In de kop is na het Volgnummer het Onderwerp vermeld. De onderwerpen zijn ontleend aan een analyse van de bedrijfsprocessen bij alle afzonderlijke organisaties. b) In de kop is onder het volgnummer de Doelstelling van het onderwerp opgenomen. Deze doelstelling bevat de belangrijkste elementen die met het onderwerp moeten worden gerealiseerd. c) Het onderwerp is onderverdeeld in een aantal normen genummerd 1 tot en met X. d) De normen met de letter B achter het nummer zijn alleen van toepassing op het BKWI. Deze normen zijn gerelateerd aan de rol van het BKWI als beheerder van het Suwinet. e) De normen met de letter E zijn als essentieel aangemerkt f) Een normenregel kan zijn voorzien van een of meer bullets (?). Deze bullets zijn accenten die dienen als hulpmiddel voor de edp-auditor bij de beoordeling van de mate waarin de norm is ingevoerd. Deze accenten kunnen worden beschouwd als elementen die onderdeel uitmaken van het werkprogramma van de edp-auditor en zijn richtinggevend van aard.
4.3.
Niveau Normenkader
De inschaling van de gegevens die via het Suwinet worden uitgewisseld (risicoklasse II of III) heeft tot gevolg dat het niveau van de normering moet voldoen aan hoge eisen. Voor het realiseren van het Suwinet-Normenkader geldt verder dat de maatregelen in verhouding moeten staan met de normen. Verder wordt opgemerkt dat de volgende onderwerpen uit Bijlage XIV algemeen geldend zijn en moeten worden betrokken in elke edp-audit: •
Het op elkaar laten aansluiten van de technische en organisatorische maatregelen;
•
Het in acht nemen van functiescheidingen;
•
Documentatie.
Deze basisprincipes zijn niet expliciet in het normenkader opgenomen maar worden geacht impliciet te worden beoordeeld bij de edp-audit.
4.4.
Bronnen / ‘best practices’
Het ontwikkelen van normen (dat zijn de eigenschappen die de waarde tot uitdrukking brengen) voor het toepassen van ICT en de omgevingen waarop ICT van invloed is, vormt een activiteit waarmee veel gremia zich bezig hebben gehouden en zich nog bezighouden. De diversiteit qua invalshoek van waaruit normen door die gremia zijn of worden ontwikkeld, leidt bij gelijknamige normen tot verschillen in inhoud en/of diepgang. Het Suwinet-Normenkader is, rekeninghoudend met wet- en regelgeving, ontleend aan diverse toonaangevende publicaties die ‘best practice’ als uitgangspunt hebben. Naast de Code voor Informatiebeveiliging en studierapport AV23 van het CBP waarop Bijlage XIV mede is gebaseerd, zijn de belangrijkste van de gebruikte bronnen: •
CobiT van het IT Governance Institute;
•
IT Infrastructure Library (ITIL) opgesteld in opdracht van de Britse overheid;
•
Basisnormen Beveiliging en Beheer ICT-infrastructuur van het Platform Informatiebeveiliging.
Verantwoordingsrichtlijn v2.0.doc - 21 van 73
Uit deze publicaties is een selectie gemaakt van normen die het voor het Suwinet noodzakelijke beveiligingsniveau het best tot uitdrukking brengen.
Verantwoordingsrichtlijn v2.0.doc - 22 van 73
5. Rapportage 5.1.
Eisen rapportage beveiliging Suwinet
De verantwoording over de beveiliging van Suwinet leidt tot de volgende rapportagevormen: • De jaarlijkse rapportage van de Suwi-partijen en het BKWI aan de Minister van SZW en IWI. Deze rapportage moet worden vergezeld van een oordeel en rapport van bevindingen van een register edp-auditor. • De publieke versie van de jaarlijkse rapportage van de Suwi-partijen aan de Security Officer van het BKWI. • De samenvattende rapportage over de beveiliging van Suwinet van de Security Officer van het BKWI die op basis van de publieke rapportages van de verschillende organisaties en in overleg met de DPB wordt samengesteld en uitgebracht aan de Minister van SZW en de IWI. De jaarlijkse rapportage van een partij geldt als publieke versie tenzij de partij besluit een aparte publieke versie samen te stellen. Wel is logisch dat de componenten, vergelijkbaar met de publieke versie, ook in de jaarlijkse rapportage opgenomen zijn. Naast de hiervoor genoemde rapportages kunnen afspraken met het management of de uitkomst van de edp-audit aanleiding zijn voor andere vormen van (tussen)rapportages. Deze andere vormen worden in deze richtlijn niet behandeld.
5.2.
Jaarlijkse rapportage
De Suwi-partijen rapporteren jaarlijks voor 15 maart op grond van Artikelen 5.22 en 6.4 Regeling SUWI over de opzet, het bestaan en de werking van de beveiliging van Suwinet. Deze rapportage moet zijn vergezeld van een oordeel en een rapport van bevindingen van een register edp-auditor. Het staat partijen vrij om het management via de rapportage verantwoording af te laten leggen en in die rapportage het oordeel en de bevindingen van de edp-auditor op te nemen, dan wel de verantwoording door het management en de rapportage van de edp-auditor in afzonderlijke rapporten op te nemen. Essentieel is dat de betrokkenen aan de hand vanuit de jaarlijkse rapportage een duidelijk en niet voor interpretatie vatbaar gemeenschappelijk beeld krijgen over de uitkomsten van het onderzoek dat door de edp -auditor is verricht. De edp-auditor stelt de jaarlijkse rapportage op volgens de eisen die gesteld zijn in deze verantwoordingsrichtlijn (toetsingsnormen, oordeelsvorming volgens model bijlage A en B en rapportage-eisen benoemd in deze paragraaf). De rapportage van de edp-auditor bevat tenminste de volgende onderwerpen: •
Inleiding met definiëring doelstelling, onderzoeksobject met begrenzing en de werkwijze volgens het model van bijlage A (Suwi-partij) of bijlage B (BKWI).
•
Oordeel van de edp-auditor conform de inhoud en volgens het model van bijlage A (Suwipartijen) of bijlage B (BKWI).
•
Toelichting op het oordeel van de edp-auditor conform de inhoud en volgens het model van bijlage A (Suwi-partij) of bijlage B (BKWI). Deze toelichting bevat onder 2.a. een tabel waarin de
Verantwoordingsrichtlijn v2.0.doc - 23 van 73
edp-auditor per onderwerp de bevindingen toelicht over de mate waarin de getroffen procedures en maatregelen zijn gerealiseerd en welke risico’s mogelijk nog bestaan. Die bevinding wordt samengevat via een kleurencode (groen, geel, rood). Deze kleurencode wordt bepaald aan de hand van de uitkomsten van de beoordeling van de individuele normen waaruit een onderwerp is samengesteld en is, evenals de oordeelsvorming het geval is, mede gebaseerd op het professional judgment van de edp-auditor. Zo zal het bepalen van de codering bij onderwerpen die geen essentiële normen bevatten eerder tenderen naar de code ‘groen’ (voldoende effectieve procedures en maatregelen getroffen), dan vergelijkbare bevindingen bij een onderwerp dat een of zelfs meerdere essentiële normen bevat. De in de tabel gepresenteerde bevindingen vormen een element bij de oordeelsvorming door de edp-auditor. •
De rapportage van de bevindingen van alle afzonderlijke normen, naar analogie van het gestelde in de vorige bullet, ook wat betreft de kleurindicatie.
Naast de hiervoor genoemde onderwerpen kan het wenselijk of noodzakelijk zijn om in de jaarlijkse rapportage meer gedetailleerd in te gaan op de bevindingen. Ook voor het management relevante bevindingen die niet de strekking van het oordeel raken, kunnen in deze rapportage worden opgenomen. Ook kan worden overwogen een reactie van het management op te nemen over de conclusies van de edp-auditor.
5.3.
Publieke versie jaarlijkse rapportage
De publieke versie wordt door de Security Officer van de betrokken partij ingebracht in de DPB. De Security Officer van het BKWI stelt op basis van deze rapportage, in overleg met de DPB, de Samenvattende Rapportage op (zie 5.4). Wanneer een Suwi-partij kiest voor rapportering via een aparte publieke rapportage, dan zullen de belangrijkste elementen uit de jaarlijkse rapportage samengevat worden in de publieke versie van de jaarlijkse rapportage (volgens het model van bijlage A (Suwi-partijen) of bijlage B (BKWI). Vanuit deze verantwoordingsrichtlijn is als eis gesteld dat de jaarlijkse rapportage en de publieke versie van de jaarlijkse rapportage met elkaar corresponderen; beide rapporten bevatten minimaal het oordeel en het aantal voorgeschreven elementen van de toelichting uit bijlage A of B). Het op een effectieve wijze bieden van inzicht in de stand van de beveiliging en het opstellen van de Samenvattende Rapportage (zie 5.4) is alleen mogelijk indien afspraken tussen de partijen en hun edp-auditors zijn gemaakt over de minimale inhoud van deze rapportage en de verwoording van de oordelen door de edp-auditors. Die minimale inhoud verschilt niet in een situatie waarbij het management de verantwoording opstelt ten opzichte van de situatie waarbij de edp-auditor de verantwoording samenstelt. De publieke rapportage moet daarom tenminste de informatie bevatten zoals die is gedefinieerd in de bijlagen A (Suwi-partijen) en B (het BKWI). De Suwi-partijen zijn vrij in het bepalen van de inhoud van de overige delen van de rapportage. De vorm en lay-out van deze publieke rapportage zijn, behoudens het gestelde in de bijlagen A en B, vormvrij. De informatie in deze publieke versie moet zodanig zijn verwoord dat door de verspreiding van het document geen inbreuk kan worden gepleegd op de beveiliging van de gegevensuitwisseling via het Suwinet.
Verantwoordingsrichtlijn v2.0.doc - 24 van 73
5.4.
Samenvattende Rapportage
De Security Officer van het BKWI stelt op grond van het gestelde in Bijlage XIV, in overleg met de DPB, op basis van de publieke rapportages (zie 5.3) van de afzonderlijke Suwi-partijen een totaaloverzicht samen over de beveiliging van Suwinet als geheel. Deze Samenvattende Rapportage wordt uitgebracht aan de Minister van SZW en IWI. In bijlage C zijn de belangrijkste elementen van de Samenvattende Rapportage uitgewerkt. Van jaar tot jaar kan het noodzakelijk of wenselijk blijken toelichtingen op te nemen in aanvulling op de in bijlage C opgenomen minimale informatie. De inhoud van bijlage C is gebaseerd op de modellen zoals die in de bijlagen A en B zijn voorgeschreven. Waar mogelijke en wenselijk voorzien de Suwi-partijen de Security Officer van het BKWI van nadere informatie uit hun jaarlijkse rapportage ter onderbouwing en toelichting op de conclusies in de Samenvattende Rapportage. Naast de verschillende edp-auditrapportages moet ook de Samenvattende Rapportage op 15 maart van elk jaar ter beschikking worden gesteld aan de Minister van SZW en IWI. Rekening houdend met de tijd die de Security Officer van het BKWI nodig heeft om het concept van de Samenvattende Rapportage samen te stellen en het overleg hierover in de DPB, moet de Suwi-partij in haar opdracht aan de edp-auditor betrekken dat de publieke versie van de rapportage, al dan niet formeel vastgesteld, samen met het oordeel en de toelichting daarop, tijdig kan worden verstrekt aan de Security Officer van het BKWI.
5.5.
Openbaarmaking rapportages
De verstrekking van de verschillende rapportages vindt plaats binnen het besloten verkeer dat bestaat uit het ministerie van SZW, IWI en de DPB. De Wet openbaarheid van bestuur (WOB) is echter op de Suwi-partijen van toepassing. Het van toepassing zijn van de WOB op de oordelen over de beveiliging van de gegevensuitwisseling via het Suwinet heeft tot gevolg dat de publieke versie in combinatie met de toelichting een zelfstandig leesbaar document moet zijn. Bij het samenstellen van het oordeel moet met mogelijke consequenties van de WOB rekening worden gehouden.
Verantwoordingsrichtlijn v2.0.doc - 25 van 73
6. Bijlagen Verantwoordingsrichtlijn edp-audit Suwinet
Verantwoordingsrichtlijn v2.0.doc - 26 van 73
Bijlage A: Model “Oordeel edp-audit Suwi-partijen” 1. OORDEEL Opdracht Ingevolge Artikel 6.4 Regeling SUWI d.d. 21 december 2001 is aan ons in brief van DD-MMJJJJ (kenmerk XXX) in relatie tot de beveiliging van de gegevensuitwisseling via Suwinet opdracht verstrekt voor het uitvoeren van een onderzoek naar de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen, opgenomen in de onder het beheer 1 van [AI/CWI/GSD/IB/SIOD/SVB/UWV ] vallende bedrijfsprocessen in het koppelvlak met Suwinet. Het begrip ‘beveiliging’ is nader gedefinieerd met de onderstaande kwaliteitscriteria: • Beschikbaarheid: de mate waarin de bedrijfsprocessen in het koppelvlak gericht op de gegevensuitwisseling, ongestoord voortgang kunnen vinden. • Integriteit: de mate waarin de gegevensuitwisseling in het koppelvlak zonder fouten is. • Vertrouwelijkheid (exclusiviteit): de mate waarin de toegang tot de gegevensuitwisseling in het koppelvlak en de kennisname van de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden. • Controleerbaarheid: de mate waarin door de mens kan worden vastgesteld dat de bedrijfsprocessen gericht op de gegevensuitwisseling in het koppelvlak tot het beoogde resultaat hebben geleid. 1
De afbakening van de onder het beheer van [AI/CWI/GSD/IB/SIOD/SVB/UWV ] vallende delen van de gegevensuitwisseling via het Suwinet is opgenomen in de toelichting bij dit oordeel. Verantwoordelijkheid Het management van [AI/CWI/IB/SIOD/SVB/UWV/het college van Burgemeester en 1 Wethouders ] is verantwoordelijk voor het inrichten van dit stelsel van procedures en maatregelen. Het is onze verantwoordelijkheid om een oordeel inzake dit stelsel van procedures en maatregelen te verstrekken. Indien het oordeel wordt afgegeven bij een door het management van 1 [AI/CWI/IB/SIOD/SVB/UWV/het college van Burgemeester en Wethouders ] opgestelde verantwoording moet de tekst aan het einde van de eerste zin worden uitgebreid met de woorden ‘en het daarover afleggen van verantwoording’. Werkzaamheden De kwaliteitscriteria beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid zijn uitgewerkt in normen. Deze normen zijn opgenomen in het Suwinet-Normenkader. [De aanvullingen op deze normenset zijn vermeld in de toelichting op het oordeel.] [De opzet en het bestaan van het stelsel van procedures en maatregelen in de organisatie van 1 [AI/CWI/GSD/IB/SIOD/SVB/UWV ] hebben wij naar stand per DD-MM-JJJJ getoetst aan deze 3 normen. Tevens is gedurende 200X de werking van het stelsel van procedures en 2 maatregelen onderzocht ]. Indien het oordeel wordt afgegeven bij een door het management van 1 [AI/CWI/IB/SIOD/SVB/UWV/het college van Burgemeester en Wethouders ] opgestelde verantwoording moet de tekst aan het einde van deze alinea worden uitgebreid met de zin: ’Vervolgens is door ons de verantwoording hierover beoordeeld zoals die is vermeld op de 3 bladzijden AA tot en met BB van het verslag ‘XXXX’ over het jaar 200X .’ Het onderzoek is gebaseerd op het kennisnemen van documentatie, het houden van interviews, het beoordelen van de resultaten van de uitgevoerde interne controles en het verrichten van eigen (aanvullende) werkzaamheden. Het onderzoek is zodanig verricht dat de strekking van het oordeel met een hoge mate van zekerheid is onderbouwd.
Verantwoordingsrichtlijn v2.0.doc - 27 van 73
Oordeel Op grond van ons onderzoek komen wij tot het oordeel dat het stelsel van procedures en 1 maatregelen, opgenomen in de onder het beheer van [AI/CWI/GSD/IB/SIOD/SVB/UWV ] vallende bedrijfsprocessen in het koppelvlak gericht op de beveiliging van de 3 gegevensuitwisseling via Suwinet [naar de stand per DD-MM-200X / gedurende 200X ] 1 [voldoet / voldoet met uitzondering van … / niet voldoet aan de normen ]. Verstrekken aan anderen dan de opdrachtgever Deze rapportage inclusief het oordeel, dat uitsluitend mag worden verstrekt in samenhang met de toelichting op dit oordeel, is primair bedoeld voor het verstrekken van het vereiste inzicht aan de M inister van Sociale Zaken en Werkgelegenheid, de Inspectie Werk en Inkomen en de Security Officer van de eigen organisatie. Deze zal een publieke versie inbrengen in de Domeingroep Privacy en Beveiliging. De Security Officer van het BKWI gebruikt deze versie voor het opstellen van het totaaloverzicht over de beveiliging van Suwinet voor de Minister, de Inspectie Werk & Inkomen, de Domeingroep Privacy & Beveiliging en het Ketenoverleg (zie Bijlage XIV Deel I hoofdstuk 3). Plaats ABC, DD-MM-JJJJ Organisatie, vertegenwoordigd door XXX, RE Handtekening
1
Doorhalen wat niet van toepassing is. Bij opzet en bestaan is van toepassing ‘Naar de stand per’. Bij werking is van toepassing ‘gedurende’. 200X is het jaar van beoordeling. 4 200Y is het jaar voorafgaand aan het jaar van beoordeling. 2 3
Verantwoordingsrichtlijn v2.0.doc - 28 van 73
2. TOELICHTING OP OORDEEL Toelichting op het oordeel inzake de beveiliging van de gegevensuitwisseling [naar de stand 3 3 1 per DD-MM-200X en gedurende 200X ] via Suwinet bij [AI/CWI/GSD/IB/SIOD/SVB/UWV ]. Ter toelichting op het oordeel melden wij het volgende: 2.1 Uitkomst per onderwerp In onderstaande tabel is per onderwerp uit het Suwinet-Normenkader de uitkomst van de beoordeling van het stelsel van procedures en maatregelen toegelicht. De uitkomsten van deze beoordeling hebben, rekening houdend met de diverse wegingsfactoren, geleid tot het samenvattende oordeel zoals vermeld onder punt 1. Tevens is ter vergelijking de status vermeld van het voorgaande jaar. 1
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
STATUS INFORMATIEBEVEILIGING SUWINET [AI/CWI/GSD/IB/SIOD/SVB/UWV] Onderwerp Toelichting bevindingen 200X3 200Y4 Beveiligingsbeleid en beveiligingsplan Organisatie Architectuur / Standaarden Dienstenniveau Beheer Capaciteitsbeheer Continuïteitsbeheer Configuratiebeheer Incidentbeheer Probleembeheer Wijzigingsbeheer Testen Netwerkbeheer Logische toegangsbeveiliging Fysieke beveiliging Suwinet-Inkijk Suwinet-Inlezen Suwinet-Meldingen Suwinet-Mail Toegangbeveiligingspakket Server Netwerk Koppelingen / koppelpunten Voldoende effectieve procedures en maatregelen getroffen Procedures en maatregelen getroffen, maar gedeeltelijk geïmplementeerd Geen of vrijwel geen procedures en maatregelen getroffen.
De kolom ‘Toelichting bevindingen’ bevat per onderwerp de samenvatting van de bevindingen van de edp-auditor over de mate waarin de getroffen procedures en maatregelen zijn gerealiseerd en welke risico’s mogelijk nog bestaan. Die bevinding is samengevat via een kleurencode. Deze kleurencode is bepaald aan de hand van de uitkomsten van de beoordeling van de individuele normen waaruit een onderwerp is samengesteld en is, evenals de oordeelsvorming het geval is, mede gebaseerd op het professional judgment van de edp-auditor. Deze bevindingen vormen een element bij de oordeelsvorming door de edp-auditor.
2.2. Koppelvlak Suwinet Het oordeel heeft betrekking op de volgende, onder het beheer van 1 [AI/CWI/GSD/IB/SIOD/SVB/UWV ] vallende bedrijfsprocessen in het koppelvlak met Suwinet: Samenstelling van onder het beheer van
1
[AI/BKWI/CWI/GSD/IB/SIOD/SVB/UWV ] vallende organisatorische aspecten, beheerprocessen, toepassingen en componenten die deel uitmaken van het koppelvlak Nr. Naam organisatorisch aspect, beheerproces, toepassing of component
Verantwoordelijkheid
1
[AI/CWI/GSD/IB/SIOD/SVB/UWV ]
BKWI
Verantwoordingsrichtlijn v2.0.doc - 29 van 73
2.3. Toelichting uitzondering op oordeel voldoet aan de normen met uitzondering van (Facultatief) In het oordeel is aangegeven dat voldaan wordt aan de norm met uitzondering van ABCDEFGH. Deze uitzondering wordt veroorzaakt door ……… In relatie tot deze uitzondering merkt het management van [AI/CWI/IB/SIOD/SVB/UWV/het 1 college van Burgemeester en Wethouders ] op, dat …… Deze zin vervalt indien het oordeel betrekking heeft op een verantwoording. In die verantwoording moet het standpunt van het management reeds zijn verwoord. Dit punt komt te vervallen indien niet van toepassing 2.4. Toelichting op oordeel voldoet niet aan de normen (Facultatief) In het oordeel is aangegeven dat niet voldaan wordt aan de norm voor ABCDEFGH. Het oordeel “Het stelsel van maatregelen voldoet niet aan de norm” wordt veroorzaakt door……… In relatie tot het oordeel “Het stelsel van maatregelen voldoet niet aan de norm” merkt 1 management van [AI/CWI/IB/SIOD/SVB/UWV/het college van Burgemeester en Wethouders ] op, dat ……. Deze zin vervalt indien het oordeel betrekking heeft op een verantwoording. In die verantwoording moet het standpunt van het management reeds zijn verwoord. Dit punt komt te vervallen indien niet van toepassing 2.5. Verantwoording srichtlijn (Facultatief) In relatie tot de in het oordeel opgenomen verwijzing naar de Verantwoordingsrichtlijn edp-audit Suwinet wordt opgemerkt dat de volgende aanvullingen of aanpassingen ten opzichte van de bij die richtlijn behorende normen kaders zijn gedaan: • … Dit punt komt te vervallen indien niet van toepassing 2.6. Stand van zaken bevindingen van invloed strekking oordeel (Facultatief) In de voorgaande rapportage(s) is melding gemaakt van een aantal bevindingen dat van invloed was op de strekking van het oordeel. De stand van zaken ten aanzien van deze bevindingen luidt als volgt: • … Dit punt komt te vervallen indien niet van toepassing 2.7. Begrenzing van Oordeel Het oordeel is gebaseerd op de volgende uitgangspunten: • De opzet en reikwijdte van de edp-audit zijn uitgewerkt in een plan waarin wordt gemotiveerd welke systemen, procedures etc. worden betrokken in de edp-audit. Het onderzoek is zodanig uitgevoerd dat toereikende informatie is verkregen om met een hoge mate van zekerheid te kunnen concluderen dat de beveiliging van de gegevensuitwisseling via Suwinet in alle van materieel belang zijnde opzichten voldoet aan de genoemde kwaliteitscriteria. Relevant is te onderkennen dat: • Het oordeel niet zonder meer geldig is na datum van ondertekening van het oordeel. • Het oordeel geen betrekking heeft op: o de delen van het Suwinet die vallen binnen de bedrijfsprocessen van 1 [AI/CWI/GSD/IB/SIOD/SVB/UWV ]; o de gegevensverwerking door de Suwi-partijen en daarmee op de inhoud van de gegevens die zijn uitgewisseld via Suwinet. • De beoordeling van het kwaliteitscriterium ‘beschikbaarheid’ mede een zekere verwachtingswaarde voor de toekomst inhoudt, dit in tegenstelling tot de andere kwaliteitscriteria die een uitspraak inhouden over feitelijkheden [naar de stand per DD-MM3 200X / gedurende 200X ]. 2.8. Oordeelsvorming en Weging Toelichting wanneer het van toepassing zijnde oordeel wordt gegeven
Verantwoordingsrichtlijn v2.0.doc - 30 van 73
2.9. Opzet, bestaan en Werking Deze rapportage inclusief H het oordeel van de edp-auditor omvat de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de beveiliging van de bedrijfsprocessen wat betreft de beheerde onderdelen van het koppelvlak (zie B in het schema in 2.5) Deze omschrijving van het object van onderzoek wordt in deze verantwoordingsrichtlijn same ngevat onder de noemer ‘de beveiliging van de gegevensuitwisseling via het Suwinet’
Verantwoordingsrichtlijn v2.0.doc - 31 van 73
Bijlage B: Model “Oordeel edp-audit BKWI” 1. OORDEEL Opdracht Ingevolge Artikel 6.4 Regeling SUWI d.d. 21 december 2001 is aan ons in brief van DD-MMJJJJ (kenmerk XXX) in relatie tot de beveiliging van de gegevensuitwisseling via Suwinet opdracht verstrekt voor het uitvoeren van een onderzoek naar de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen, opgenomen in de onder het beheer van het BKWI vallende bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken. Het begrip ‘beveiliging’ is nader gepreciseerd met de onderstaande kwaliteitscriteria: • Beschikbaarheid: de mate waarin de bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken gericht op de gegevensuitwisseling, ongestoord voortgang kunnen vinden. • Integriteit: de mate waarin de gegevensuitwisseling via het Suwinet en in het koppelvlak zonder fouten is. • Vertrouwelijkheid (exclusiviteit): de mate waarin de toegang tot de gegevensuitwisseling via het Suwinet en de koppelvlakken en de kennisname van de informatie daarin, is beperkt tot een gedefinieerde groep van gerechtigden. • Controleerbaarheid: de mate waarin door de mens kan worden vastgesteld dat de bedrijfsprocessen gericht op de gegevensuitwisseling via het Suwinet en het koppelvlak tot het beoogde resultaat hebben geleid. De afbakening van de onder het beheer van het BKWI vallende delen van de gegevensuitwisseling binnen het Suwinet is opgenomen in de toelichting bij dit oordeel. Verantwoordelijkheid Het management van het BKWI is verantwoordelijk voor het inrichten van dit stelsel van procedures en maatregelen en het daarover afleggen van verantwoording. Het is onze verantwoordelijkheid om een oordeel inzake dit stelsel van procedures en maatregelen en de verantwoording daarover te verstrekken. Werkzaamheden De kwaliteitscriteria beschikbaarheid, exclusiviteit, integriteit en controleerbaarheid zijn uitgewerkt in normen. Deze normen zijn opgenomen in het Suwinet-Normenkader. [De aanvullingen op deze normenset zijn vermeld in de toelichting op het oordeel.] [De opzet en het bestaan van het stelsel van procedures en maatregelen in de organisatie van het BKWI hebben wij naar de stand per DD-MM-JJJJ getoetst aan deze normen. Tevens 3 is gedurende 200X de werking van het stelsel van procedures en maatregelen onderzocht.] Vervolgens is door ons de verantwoording hierover beoordeeld zoals die is vermeld op de 3 bladzijden AA tot en met BB van het verslag ‘XXXX’ over het jaar 200X . Het onderzoek is gebaseerd op het kennisnemen van documentatie, het houden van interviews, het beoordelen van de resultaten van de uitgevoerde interne controles en het verrichten van eigen (aanvullende) werkzaamheden. Het onderzoek is zodanig verricht dat de strekking van het oordeel met een hoge mate van zekerheid is onderbouwd.
Verantwoordingsrichtlijn v2.0.doc - 32 van 73
Oordeel Op grond van ons onderzoek komen wij tot het oordeel dat het stelsel van procedures en maatregelen, opgenomen in de onder het beheer van het BKWI vallende bedrijfsprocessen voor het Suwinet en de koppelvlakken gericht op de beveiliging van de gegevensuitwisseling 3 via Suwinet [naar de stand per DD-MM-200X / gedurende 200X ] [voldoet / voldoet met 1 uitzondering van … / niet voldoet aan de normen ]. Verstrekken aan anderen dan de opdrachtgever Deze rapportage inclusief het oordeel, dat uitsluitend mag worden verstrekt in samenhang met de toelichting op dit oordeel, is primair bedoeld voor het verstrekken van het vereiste inzicht aan de Minister van Sociale Zaken en Werkgelegenheid, de Inspectie Werk en Inkomen en de Security Officer van de eigen organisatie. Deze zal een publieke versie inbrengen in de Domeingroep Privacy en Beveiliging. De Security Officer van het BKWI gebruikt deze versie voor het opstellen van het totaaloverzicht over de beveiliging van Suwinet voor de Minister, de Inspectie Werk & Inkomen, de Domeingroep Privacy & Beveiliging en het Ketenoverleg (zie Bijlage XIV Deel I hoofdstuk 3). Plaats ABC, DD-MM-JJJJ Organisatie, vertegenwoordigd door XXX, RE Handtekening
1
Doorhalen wat niet van toepassing is. Doorhalen wat niet van toepassing is. Bij opzet en bestaan is van toepassing ‘Naar de stand per’. Bij werking is van toepassing ‘gedurende’. 3 200X is het jaar van beoordeling. 4 200Y is het jaar voorafgaand aan het jaar van beoordeling. 2
Verantwoordingsrichtlijn v2.0.doc - 33 van 73
2. TOELICHTING OP OORDEEL Toelichting op het oordeel inzake de beveiliging van de gegevensuitwisseling [naar de stand 1 3 per DD-MM-200X / gedurende 200X ] via Suwinet bij het BKWI. Ter toelichting op het oordeel melden wij het volgende: 2.1 Uitkomst per onderwerp In onderstaande tabel is per onderwerp uit het Suwinet-Normenkader de uitkomst van de beoordeling van het stelsel van procedures en maatregelen toegelicht. De uitkomsten van deze beoordeling hebben, rekening houdend met de diverse wegingsfactoren, geleid tot het samenvattende oordeel zoals vermeld onder punt 1. Tevens is ter vergelijking de status vermeld van het voorgaande jaar. STATUS INFORMATIEBEVEILIGING SUWINET BIJ BKWI 3 4 Onderwerp Toelichting bevindingen 200X 200Y 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
Beveiligingsbeleid en beveiligingsplan Organisatie Architectuur / Standaarden Dienstenniveau Beheer Capaciteitsbeheer Continuïteitsbeheer Configuratiebeheer Incidentbeheer Probleembeheer Wijzigingsbeheer Testen Netwerkbeheer Logische toegangsbeveiliging Fysieke beveiliging Suwinet-Inkijk Suwinet-Inlezen Suwinet-Meldingen Suwinet-Mail Toegangbeveiligingspakket Server Netwerk Koppelingen / koppelpunten
Voldoende effectieve procedures en maatregelen getroffen Procedures en maatregelen getroffen maar gedeeltelijk geïmplementeerd Geen of vrijwel geen procedures en maatregelen getroffen De kolom ‘Toelichting bevindingen’ bevat per onderwerp de samenvatting van de bevindingen van de edpauditor over de mate waarin de getroffen procedures en maatregelen zijn gerealiseerd en welke risico’s mogelijk nog bestaan. Die bevinding is samengevat via een kleurencode. Deze kleurencode is bepaald aan de hand van de uitkomsten van de beoordeling van de individuele normen waaruit een onderwerp is samengesteld en is, evenals de oordeelsvorming het geval is, mede gebaseerd op het professional judgment van de edp-auditor. Deze bevindingen vormen een element bij de oordeelsvorming door de edp-auditor.
2.2 Koppelvlak Suwinet Ter toelichting op het oordeel melden wij het volgende:Het oordeel heeft betrekking op de volgende, onder het beheer van het BKWI vallende bedrijfsprocessen voor het Suwinet en de koppelvlakken: Samenstelling van onder het beheer van het BKWI vallende organisatorische aspecten, bedrijfsprocessen, toepassingen en componenten die deel uitm aken van het Suwinet Nr Naam organisatorisch aspect, bedrijfsproces, toepassing of component
Verantwoordingsrichtlijn v2.0.doc - 34 van 73
2.3 Toelichting uitzondering op oordeel voldoet aan de normen met uitzondering van (Facultatief) In het oordeel is aangegeven dat voldaan wordt aan de norm met uitzondering van ABCDEFGH. Deze uitzondering wordt veroorzaakt door ……… en is nader toegelicht in de verantwoording van de directeur van het BKWI. Dit punt komt te vervallen indien niet van toepassing 2.4 Toelichting op oordeel voldoet niet aan de normen (Facultatief) In het oordeel is aangegeven dat niet voldaan wordt aan de norm voor ABCDEFGH. Het oordeel “Het stelsel van maatregelen voldoet niet aan de norm” wordt veroorzaakt door ……… en is nader toegelicht in de verantwoording van de directeur van het BKWI. Dit punt komt te vervallen indien niet van toepassing 2.5 Verantwoordingsrichtlijn (Facultatief) In relatie tot de in het oordeel opgenomen verwijzing naar de Verantwoordingsrichtlijn edpaudit Suwinet wordt opgemerkt dat de volgende aanvullingen of aanpassingen ten opzichte van de bij die richtlijn behorende normen kaders zijn gedaan: • … Dit punt komt te vervallen indien niet van toepassing 2.6 Stand van zaken bevindingen van invloed strekking oordeel (Facultatief) In de voorgaande verantwoording(en) is melding gemaakt van een aantal bevindingen dat van invloed was op de strekking van het oordeel. De stand van zaken ten aanzien van deze bevindingen is vermeld in de verantwoording van het management waarop dit oordeel betrekking heeft. Dit punt komt te vervallen indien niet van toepassing 2.7 Begrenzing van Oordeel Het oordeel is gebaseerd op de volgende uitgangspunten: • De opzet en reikwijdte van de edp-audit zijn uitgewerkt in een plan waarin wordt gemotiveerd welke systemen, procedures etc. worden betrokken in de edp-audit. • Het onderzoek is zodanig uitgevoerd dat toereikende informatie is verkregen om met een hoge mate van zekerheid te kunnen concluderen dat de beveiliging van de gegevensuitwisseling via Suwinet in alle van materieel belang zijnde opzichten voldoet aan de genoemde kwaliteitscriteria. Relevant is te onderkennen dat: • Het oordeel niet zonder meer geldig is na datum van ondertekening van het oordeel. • Het oordeel geen betrekking heeft op de gegevensverwerking door de Suwi-partijen en daarmee op de inhoud van de gegevens die zijn uitgewisseld via Suwinet. • De beoordeling van het kwaliteitscriterium ‘beschikbaarheid’ mede een zekere verwachtingswaarde voor de toekomst inhoudt, dit in tegenstelling tot de andere kwaliteitscriteria die een uitspraak inhouden over feitelijkheden [naar de stand per DDMM-200X / gedurende200X]. 2.8. Oordeelsvorming en Weging Toelichting wanneer het van toepassing zijnde oordeel wordt gegeven 2.9. Opzet, bestaan en Werking Het oordeel van de edp-auditor omvat de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de beveiliging van de bedrijfsprocessen tot: • De beheerde onderdelen van de koppelvlakken (zie B in het schema in 2.5) • Het beheer van het Suwinet (zie C in het schema in 2.5) • Deze omschrijving van het object van onderzoek wordt in deze verantwoordingsrichtlijn same ngevat onder de noemer ‘de beveiliging van de gegevensuitwisseling via het Suwinet’.
Verantwoordingsrichtlijn v2.0.doc - 35 van 73
Bijlage C: Elementen Samenvattende Rapportage 1. TOTAALOVERZICHT OVER DE BEVEILIGING VAN SUWINET Opdracht Ingevolge Artikel 6.4 Regeling SUWI d.d. 21 december 2001 is de Security Officer van het BKWI verplicht om in overleg met de DPB in relatie tot de beveiliging van de gegevensuitwisseling via Suwinet een totaaloverzicht te verstrekken op basis van de publieke versie van de edp-rapporten van de Suwi-partijen. Het begrip ‘beveiliging’ is nader gedefinieerd met de onderstaande kwaliteitscriteria: • Beschikbaarheid: de mate waarin de bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken gericht op de gegevensuitwisseling, ongestoord voortgang kunnen vinden. • Integriteit: de mate waarin de gegevensuitwisseling via het Suwinet en in het koppelvlak zonder fouten is. • Vertrouwelijkheid (exclusiviteit): de mate waarin de toegang tot de gegevensuitwisseling via het Suwinet en de koppelvlakken en de kennisname van de informatie daarin, is beperkt tot een gedefinieerde groep van gerechtigden. • Controleerbaarheid: de mate waarin door de mens kan worden vastgesteld dat de bedrijfsprocessen gericht op de gegevensuitwisseling via het Suwinet en het koppelvlak tot het beoogde resultaat hebben geleid. Verantwoordelijkheid Het management van de afzonderlijke Suwi-partijen en het BKWI zijn elk verantwoordelijk voor de inhoud van de eigen jaarlijkse rapportage aan de Minister van SZW en IWI. De edp-auditor van die organisaties is verantwoordelijk voor het oordeel over en de inhoud van deze verantwoording. De edp-auditor van die organisaties is verantwoordelijk voor het oordeel over de beveiliging van de beoordeelde organisatie en ziet toe dat de rapportage van de organisatie correspondeert met zijn oordeel. De Security Officer van het BKWI heeft de inhoud van de publieke versies van de jaarlijkse rapportages samengevoegd en heeft, in overleg met de DPB, conclusies en aanbevelingen geformuleerd over de beveiliging van het Suwinet als geheel. De juistheid van de publieke rapportages en het daarin opgenomen oordeel zijn door de Security Officer van het BKWI en de DPB niet beoordeeld. Dit valt onder de verantwoordelijkheid van IWI. Totaaloverzicht De uitkomsten van de onderzoeken bij de verschillende Suwi-partijen luiden als volgt Suwi-partij AI BKWI CWI GSD IB SIOD SVB UWV
Oordeel 3 200X Voldoet [met uitzondering van …] [niet] aan de norm Voldoet [met uitzondering van …] [niet] aan de norm Voldoet [met uitzondering van …] [niet] aan de norm Voldoet [met uitzondering van …] [niet] aan de norm Voldoet [met uitzondering van …] [niet] aan de norm Voldoet [met uitzondering van …] [niet] aan de norm Voldoet [met uitzondering van …] [niet] aan de norm Voldoet [met uitzondering van …] [niet] aan de norm
4
200Y Idem Idem Idem Idem Idem Idem Idem Idem
Beperking betekenis totaaloverzicht De Samenvattende Rapportage over de beveiliging van het Suwinet bevat geen informatie over de beveiliging van de gegevensuitwisseling via de delen van het Suwinet die bij de gemeenten operationeel zijn. De betekenis van onderstaande totaal conclusie moet rekening houdend met deze beperking worden gelezen.
Verantwoordingsrichtlijn v2.0.doc - 36 van 73
De conclusie op basis van de uitkomsten van de onderzoeken naar de beveiliging van de gegevensuitwisseling via het Suwinet tussen de genoemde partijen, maar exclusief de 3 gemeenten, luidt dat in 200X …. 4
Ten opzichte van 200Y ….
Verantwoordingsrichtlijn v2.0.doc - 37 van 73
Onderwerp CWI 200X3 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
200Y4
SVB 200X3
200Y4
UWV 200X3
200Y4
Bevindingen AI 200X3 200Y4
SIOD 200X3
200Y4
IB 200X3
200Y4
BKWI 200X3
200Y4
Beveiligingsbeleid en beveiligingsplan Organisatie Architectuur / Standaarden Dienstenniveau Beheer Capaciteitsbeheer Continuïteitsbeheer Configuratiebeheer Incidentbeheer Probleembeheer Wijzigingsbeheer Testen Netwerkbeheer Logische toegangsbeveiliging Fysieke beveiliging Suwinet-Inkijk Suwinet-Inlezen Suwinet-Meldingen Suwinet-Mail Toegangbeveiligingspakket Server Netwerk Koppelingen / koppelpunten
Voldoende effectieve procedures en maatregelen getroffen Procedures en maatregelen getroffen maar gedeeltelijk geïmplementeerd Geen of vrijwel geen procedures en maatregelen getroffen De kolom ‘Bevindingen’ bevat per onderwerp de samenvatting van de bevindingen van de edp-auditor over de mate waarin de getroffen procedures en maatregelen zijn gerealiseerd en welke risico’s mogelijk nog bestaan. Die bevinding is samengevat via een kleurencode. Deze kleurencode is bepaald aan de hand van de uitkomsten van de beoordeling van de individuele normen waaruit een onderwerp is samengesteld en is, evenals de oordeelsvorming het geval is, mede gebaseerd op het professional judgment van de edp-auditor. Deze bevindingen vormen een element bij de oordeelsvorming door de edp-auditor.
Verantwoordingsrichtlijn v2.0.doc - 38 van 73
2.2 Analyse inhoud tabel … Analyse inhoud tabel, mede gerelateerd aan de gesignaleerde risico’s op onderwerp niveau. 2.3 Aanbevelingen
Bijlage D: Suwinet-Normenkader
1.
Beveiligingsbeleid en beveiligingsplan
12
Netwerkbeheer
2.
Organisatorische aspecten
13
Logische toegangbeveiliging
3.
Architectuur / Standaarden
14
Fysieke beveiliging
4.
Dienstenniveau Beheer
15
Suwinet-Inkijk
5.
Capaciteitsbeheer
16.
Suwinet-Inlezen
6.
Continuïteitsbeheer
17.
Suwinet-Meldingen
7.
Configuratiebeheer
18.
Suwinet-Mail
8.
Incidentbeheer
19.
Toegangbeveiligingspakket
9.
Probleembeheer
20.
Server
10.
Wijzigingbeheer
21.
Netwerk
11.
Testen
22.
Koppelingen / koppelpunten
Voor dit normenkader geldt: De norm is norm. Deze kan echter op verschillende wijze worden ingevuld, of er kunnen compenserende maatregelen zijn getroffen. De beoordeling van de afwijking van de norm valt onder het professional judgment van de auditor. •
Bij de ontwikkeling van het Suwinet normenkader heeft de Werkgroep Verantwoordingsrichtlijn bullets geplaatst onder de normen. Hiervoor is afgesproken dat deze bullets richtinggevend zijn. Aangezien de normen op het Wat-niveau zijn en bij de uitvoering van de ICT-audits, zeker bij uitbesteding, elke keer een andere ICT-auditor betrokken kan zijn, geven deze bullets niets meer of minder weer dan aandachtspunten voor de ICTauditor. De bullets zijn ook op verzoek van IWI opgenomen. Dat de bullets verschillend zijn en verschillend geïnterpreteerd kunnen worden is een gegeven. Hierbij moet er vertrouwd worden op het professional judgment van de ICT-auditor.
Verantwoordingsrichtlijn v2.0.doc - 40 van 73
1.
Beveiligingsbeleid en beveiligingsplan
Doelstelling: Het definiëren van een informatiebeveiligingsbeleid en informatiebeveiligingsplan met beleidslijnen waaraan de beveiliging van Suwinet moet voldoen. De Suwi-partij beschikt over een informatiebeveiligingsbeleid dat aansluit op de documenten zoals genoemd in Bijlage H. 1. • Algemeen beleid over beveiliging, risicoanalyse, toegang tot data en infrastructuur, rol gespecialiseerde beveiligingsadviseurs • Organisatie van de beveiliging • Classificatie • Beveiliging van personeel • Fysieke beveiliging • Logische toegangbeveiliging • Systeemontwikkeling en onderhoud • Beheer en beheersing ICT-omgevingen (inclusief uitbesteding) • Continuïteitsplanning • Toezicht • De documenten passen binnen het beveiligingsconcept voor de totale organisatie De Suwi-partij heeft voor de Suwi-omgeving (applicaties, processen en infrastructuur) een Suwinet beveiligingsplan opgesteld, dat gebaseerd is 2. op het informatiebeveiligingsbeleid van de organisatie en afspraken in de Suwiketen. • (Meerjaren) activiteiten voor Suwinet • Afspraken gebaseerd op de Keten SLA Suwinet 3. E Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet zijn goedgekeurd door het management van de Suwi-partij. 4.
E Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden uitgedragen in de organisatie.
5.
E Het informatiebeveiligingsbeleid en het beveiligingsplan van het Suwinet worden jaarlijks geëvalueerd en indien nodig geactualiseerd.
Verantwoordingsrichtlijn v2.0.doc - 41 van 73
2.
Organisatorische aspecten
Doelstelling: Het inrichten en onderhouden van de beveiligingsfunctie en de beveiligingsorganisatie van Suwinet. De Suwi-partij beschikt over een ingerichte organisatie voor het beheersen van de beveiliging van het Suwinet7. 1. 2.
3.
4.
5.B
7
E De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet
gegevens, applicaties, processen en infrastructuur moeten zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden zijn belegd. • Operationeel beheer • Functioneel beheer • Technisch beheer • Aansturing ICT-leveranciers • Security Officer • Autorisatiebeheer • Eigenaarschap Suwinet E De Security Officer beheert en beheerst beveiligingsprocedures en –maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. • De Security Officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat m.b.t. de beveiliging van Suwinet de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet • De Security Officer rapporteert rechtstreeks aan het hoogste management Personeel en ingehuurde krachten die met Suwinet werken dienen vertrouwelijk om te gaan met de privacygevoelige gegevens uit Suwinet. • Geheimhoudingsplicht • Clear-Desk m.b.t. persoonsgegevens • Training gebruikers m.b.t. bewustwording voor informatiebeveiliging • Verwijderen/vernietigen gegevens(dragers) E De Security Officer (van het BKWI) voert zijn specifieke rol uit t.a.v. de beveiliging van Suwinet. • Coördinatie van de beveiliging • Archiveren rapportage DPB • Samenvatten jaarlijkse publieke rapportages van de Suwi-partijen conform Artikel 6.4 en rapportage na overleg met de DPB aan de Minister van SZW en IWI • Afsluiten van een (deel) van Suwinet bij ernstige bedreiging van de beveiliging van Suwinet
NB: De inrichting van een organisatie (voor de beveiliging) van Suwinet is een randvoorwaarde voor het realiseren van het minimale beveiligingsniveau voor Suwinet. Verantwoordingsrichtlijn v2.0.doc - 42 van 73
3.
Architectuur / Standaarden
Doelstelling: Het voor de gegevensuitwisseling en beveiliging van Suwinet toepassen van de gezamenlijk door het PPI en AKO vastgestelde uitgangspunten. De gestructureerde gegevensuitwisseling vindt plaats op basis van het Stelselontwerp Suwinet, het SGR, de Suwinet-Ketenarchtectuur en de 1. onderliggende set van afspraken en documenten. De ongestructureerde gegevensuitwisseling vindt plaats op basis van het Stelselontwerp Suwinet, de Suwinet-Ketenarchitectuur en de onderliggende set van afspraken en documenten. De Suwi-partij volgt de actuele wet- en regelgeving en maakt een vertaalslag ten behoeve van de aansluiting op het SGR en definiëren 2. richtlijnen voor het gebruik van de gegevens en stellen deze gezamenlijk vast. • Verpakking van berichten • Stuurgegevens • Gebruik communicatieprotocollen • Naamgeving • Versiebeheer Het Stelselontwerp Suwinet evenals de onderliggende set van afspraken en documenten worden door het BKWI beheerd en beschikbaar 3.B gesteld. Het SGR wordt door BKWI beheerd en beschikbaar gesteld (afspraken conform wijziging- en releasebeheer). 4.B
Verantwoordingsrichtlijn v2.0.doc - 43 van 73
4.
Dienstenniveau Beheer
Doelstelling: Het inrichten en onderhouden van de gewenste en onderling overeengekomen niveaus van dienstverlening voor Suwinet tussen Suwipartijen en het BKWI en tussen de Suwi-partijen met hun ICT leveranciers. De dienstverlening en de daarop betrekking hebbende beveiligingsnormen zijn gebaseerd op wet- en regelgeving en ook op 1. gemeenschappelijke afspraken die formeel zijn vastgelegd in Service Level Agreements (SLA’s) en nader zijn uitgewerkt in de Keten DAP Suwinet en eventuele onderliggende documenten. Het Suwinet-Normenkader is onverkort van toepassing, ook indien tot uitbesteding van (delen van) diensten wordt overgegaan 2. E − Concrete en meetbare afspraken over taken, verantwoordelijkheden en bevoegdheden. − Contract − SLA − Detailafspraken − Registratie van uitbestedingovereenkomsten − Evaluatie 3. E Het naleven van de afspraken tussen de Suwi-partij en de uitbesteding (van delen) van diensten wordt gecontroleerd. • Interne kwaliteitsprocessen / controle • Third party mededelingen • Toezicht op naleving afspraken • Rapportage uitkomsten controle
Verantwoordingsrichtlijn v2.0.doc - 44 van 73
5.
Capaciteitsbeheer
Doelstelling: Het inrichten en onderhouden van gewenste en onderling overeengekomen beschikbaarheid van de benodigde middelen van en voor Suwinet. 1.
2. 3.
4.
De Suwi-partij heeft een proces voor capaciteitsbeheer ingeregeld. • Capaciteitsplan • Capaciteitswijzigingsvoorstellen (afspraken conform wijziging- en releasebeheer) • Voorstellen voor aanpassing van afgesproken dienstverlening • Escalatieprocedures De capaciteitsbehoefte wordt geborgd volgens de afspraken vastgelegd in de Keten SLA Suwinet. De beheerders van de Suwinet-voorzieningen bewaken of het capaciteitsbeslag op de Suwinet-voorzieningen overeenkomt met de waarden zoals vastgelegd in de Keten SLA Suwinet en signaleren bij dreigende overschrijdingen. • Escalatieprocedures (escalatie vindt plaats conform het incidentbeheer) • Performance en werklast • Minimum en maximum capacititeit Het capaciteitsgebruik wordt permanent gecontroleerd en regelmatig aan de hand van performance indicatoren geanalyseerd. Als de capaciteit ontoereikend dreigt te worden dient dit door de betrokken ICT-leverancier te worden gemeld en actie te worden ondernomen.
Verantwoordingsrichtlijn v2.0.doc - 45 van 73
6.
Continuïteitsbeheer
Doelstelling: Het inrichten en onderhouden van de beschikbaarheid van de benodigde middelen van en voor Suwinet. De organisatie beschikt over een continuïteitsbeleid. 1. • Definitie calamiteiten • Calamiteitenorganisatie • Aanwijzing calamiteitencoördinator • Calamiteitenniveau per bedrijfsproces • Beleid ten aanzien van eventuele uitwijk De organisatie beschikt over een continuïteitsplan. 2. • Continuïteitsplan met beschrijving van Suwinet objecten en/of toepassingen en de gerelateerde afhankelijkheden • Testplan • Calamiteitenplan 3. E Het continuïteitsbeheer komt overeen met de afspraken in de geldende Keten SLA Suwinet. • Openstellingtijden • Onderhoudstijden • Uitwijk De in de geldende Keten SLA Suwinet en Keten DAP Suwinet benoemde noodvoorzieningen worden jaarlijks getest. 4. • Een maal per jaar zonder koppeling bedrijfsprocessen • Een maal per jaar met koppeling bedrijfsprocessen De Suwinet-gegevens moeten beschikbaar zijn conform de overeengekomen beschikbaarheidpercentages zoals vastgelegd in de Keten SLA 5. Suwinet. • Bewaartermijnen back-up • Testen herstel (recovery) • Externe opslag • Reserve apparatuur
Verantwoordingsrichtlijn v2.0.doc - 46 van 73
7.
Configuratiebeheer
Doelstelling: Het inrichten en onderhouden van een betrouwbare registratie van alle relevante configuratie items van Suwinet [inclusief de uitwijkmiddelen] en ook van hun status, onderlinge relaties en waarde. De Suwi-partij registreert en onderhoudt binnen het eigen domein de componenten die specifiek worden ingezet voor de gegevensuitwisseling 1. via het Suwinet. • Eenduidige naamgevingconventie • Identificerende gegevens op fysieke componenten • Labelen gegevensdragers • Periodieke controle van feitelijke situatie en registratie (geldt ook voor middelen op uitwijklocaties) De Suwi-partij beheert en onderhoudt de licenties van de voor het Suwinet ingezette hard- en software. 2. 3. 4.B
De objecten van onderzoek welke zijn gepositioneerd binnen het onderkende koppelvlak van Suwinet worden geadministreerd. In de Keten SLA Suwinet worden voor enkele van deze objecten nadere afspraken gemaakt. Ten behoeve van de ketenbrede processen voor incident-, probleem- en wijzigingbeheer, registreert het BKWI alle ketencomponenten, hun onderlinge samenhang en status. • Identificerende gegevens op fysieke componenten • Periodieke controle van feitelijke situatie en registratie
Verantwoordingsrichtlijn v2.0.doc - 47 van 73
8.
Incidentbeheer
Doelstelling: Het registreren, prioriteren en (doen) verhelpen van gebeurtenissen die een onderbreking of vermindering van de kwaliteit van de dienstverlening van of voor Suwinet veroorzaken. Deze gebeurtenissen [incidenten of storingen] worden conform de afspraken in de Keten SLA Suwinet afgewikkeld zodat de gegevensuitwisseling ongestoord voortgang kan vinden. Een procedure is van kracht die regelt dat (beveiliging)incidenten en zwakke plekken in de beveiliging van Suwinet applicaties, processen en 1. infrastructuur gemeld worden. • De incidenten procedure moet bekend zijn bij de betrokken medewerkers • Onderdeel van de procedure is dat de Security Officer van de Suwi-partij beveiligingsincidenten meldt aan de voorzitter van de DPB • De procedure voorziet in een escalatieprocedure 2. E De incidenten worden centraal vastgelegd, gerapporteerd, geanalyseerd, gekwantificeerd en afgewikkeld in relatie tot het betrouwbaarheid sniveau en de ernst van de storing voor de bedrijfsvoering van Suwinet conform de afspraken in de Suwiketen.(Keten SLA Suwinet, en procedure Incident beheer). Incidenten die niet binnen de overeengekomen oplostijd binnen Incident Beheer kunnen worden opgelost, worden geëscaleerd. 3. 4. 5.B
Incidenten die kunnen worden opgelost maar waarvan de verwachting bestaat dat deze opnieuw kunnen optreden worden voorgelegd aan probleembeheer ter nadere analyse. Het BKWI treedt voor Suwi-partij overstijgende incidenten op als tweedelijns ondersteuning (zie incidentprocedure Suwinet). E • Bewaken incidenten • Melden van relevante incidenten aan probleembeheer ter nadere analyse
Verantwoordingsrichtlijn v2.0.doc - 48 van 73
9.
Probleembeheer
Doelstelling: Het registreren, prioriteren en (doen) oplossen van [achterliggende oorzaken van fouten van Suwinet, teneinde stabiliteit in de IT dienstverlening van Suwinet te bereiken. De Suwi-partij beschikt over een procedure voor het analyseren en het trekken van lering uit incidenten en zorgen ervoor dat het beleid en 1. maatregelen overeenkomstig wordt aangepast. • Probleem melding • Registreren (probleemeigenaar, Known-Errors) • Analyseren (onderzoek en diagnose en prioritering) • Oplossen (Wijzigingsverzoek indienen en Foutbeheer) • Afsluiten (rapportage) • Escalatieprocedure Het Problem Management dient door Incident Management van de verschillende Suwi-partijen geïnformeerd te worden en informeert Incident 2. Management over Known-Errors en Work-Arounds.
Verantwoordingsrichtlijn v2.0.doc - 49 van 73
10.
Wijzigingbeheer
Doelstelling: Het inrichten en onderhouden dat gestandaardiseerde methoden en technieken worden gebruikt voor efficiënte en tijdige afhandeling van alle wijzigingen aan of voor Suwinet, om aan wijziging gerelateerde problemen voor Suwinet te voorkomen. 1. E De productie-, ontwikkel-, test-, acceptatie omgevingen zijn ten minste logisch van elkaar gescheiden. • De omgevingen zijn beschikbaar conform de Keten SLA Suwinet. 2. E De wijzigingen op Suwinet worden doorgevoerd volgens een gestructureerde wijzigingenprocedure met centrale regie. • Plannen, registreren, bewaken van voortgang en uitvoerbaarheid van wijzigingen • Impactanalyse op (beveiliging) van andere wijzigingen • Doorvoeren versiebeheer op de wijzigingen • Alle wijzigingen worden eerst getest en goedgekeurd alvorens zij in productie genomen worden Elke Suwi-partij voert volgens de releaseplanning de wijzigingen op ketencomponenten van Suwinet door, volgens het ketenbreed 3. overeengekomen wijziging- en releasebeheer. • Wijzigingen worden in overleg met de ketenpartijen gepland • Aanmelding ketenwijzigingen bij en registratie door ketenbrede wijzigingbeheer • Elke release of wijziging doorloopt de fasen: analyse, realisatie, acceptatie en implementatie • Wijzigingen worden slechts doorgevoerd, wanneer aan alle randvoorwaarden, zoals in het Ketenbrede Wijzigingbeheer benoemd, wordt voldaan De Suwi-partij onderkent in het systeemontwikkelingtraject van Suwinet applicaties beveiligingseisen en specificeert die voor een project. 4. • Eisen verantwoorden en documenteren en implementeren • Implementatie in afstemming met Suwi-partijen Ketenbreed wordt door het ketenbrede wijzigingbeheer regie gevoerd over de geplande wijzigingen. 5. • Het ketenbrede wijzigingbeheer en de wijzigingscoördinatoren van de Suwi-partijen toetsen of aan alle voorwaarden, zoals beschreven in het Ketenbrede Wijzigingbeheer, is voldaan voor het doorvoeren van een wijziging • Het ketenbrede wijzigingbeheer beslist, wanneer aan alle voorwaarden wordt voldaan, dat een wijziging kan worden doorgevoerd • Het ketenbrede wijzigingbeheer en de wijzigingscoördinatoren van de Suwi-partijen escaleren richting AKO bij niet nakomen van wijzigingsverplichtingen door Suwi-partijen In de ketenbrede wijzigings-applicatie, onderdeel van het BKWI, vindt de registratie en coördinatie plaats voor alle wijzigingsverzoeken voor 6.B E Suwinet. • Communiceren met Suwi-partijen • Beschikbaarheid wijzigings-applicatie
Verantwoordingsrichtlijn v2.0.doc - 50 van 73
11.
Testen
Doelstelling: Het testen en vaststellen dat wijzigingen van of voor Suwinet de gewenste resultaten bieden, opdat de overeengekomen niveaus van dienstverlening van Suwinet bij wijzigingen gewaarborgd blijven. 1. E De Suwi-partij test binnen de eigen omgeving of de nieuwe functionaliteit van het Suwinet voldoet aan het gestelde doel zoals vastgelegd in het wijzigingsvoorstel (het functioneel testen) en voeren op componenten acceptatietesten uit. • Testmethodiek en strategie • Testorganisatie • Testplan en voorbereiding • Testspecificatie (testdata en testgevallen) en testuitvoering • Vastlegging testresultaten en goedkeuring test • De test is reproduceerbaar • Plan voor gebruikersacceptatietest • Acceptatiecriteria (gebruikersdocumentatie en gebruikersprocedures) • Acceptatietest verslag • Formele goedkeuring door gebruiker 2. E De technische werking van de koppelingen in de ketenbrede testomgeving wordt door de Suwi-partijen gezamenlijk vastgesteld in de Keten Integratie Test (KIT). • Afspraken over zekerheid dat met de juiste versies en data in de juiste omgeving getest wordt • Evaluatie van testresultaten en over hoe om te gaan met gesignaleerde fouten en de oplossing daarvoor • Afspraken over moment uitvoering testen 3. E De Keten Acceptatie Test (KAT – gebruikersacceptatietest) wordt in de ketenbrede testomgeving uitgevoerd door de eindgebruikers van de Suwi-partijen nadat de KIT is afgerond. • Plan voor gebruikersacceptatietest • Acceptatiecriteria (gebruikersdocumentatie en gebruikersprocedures) • In de test vindt gegevensvalidatie plaats, waarin getest wordt of gegevenselementen overeenkomen met het SGR • Acceptatietest verslag en Evaluatie resultaten • Overleg en besluit over moment van invoering Het testen vindt plaats met fictieve persoonsgegevens. Indien bij het testen gebruik gemaakt moet worden van persoonsgegevens uit de 4. productieomgeving moeten de gebruikte persoonsgegevens inclusief de inhoudelijke testresultaten na uitvoering van de test worden verwijderd uit de testomgeving en traceerbaar vernietigd. De ketenbrede testomgevingen (KIT en KAT) zijn beschikbaar conform de Keten SLA Suwinet of conform nadere afspraken. 5.
Verantwoordingsrichtlijn v2.0.doc - 51 van 73
11.
Testen
Doelstelling: Het testen en vaststellen dat wijzigingen van of voor Suwinet de gewenste resultaten bieden, opdat de overeengekomen niveaus van dienstverlening van Suwinet bij wijzigingen gewaarborgd blijven. BKWI vult haar specifieke rol bij het testen van Suwinet in. 6.B • Coördinatie ketenbrede testen • Testen en acceptatie van de ondersteunende functies van Suwinet welke niet gebruikt worden door de eindgebruikers van Suwi-partijen • Verzorgen, in overleg met de Suwi-partijen, van de feitelijke operationalisatie van Suwinet-functies na de KAT
Verantwoordingsrichtlijn v2.0.doc - 52 van 73
12.
Netwerkbeheer
Doelstelling: Het inrichten en onderhouden van betrouwbare en beschikbare netwerkvoorziening voor Suwinet. Het gebruik van het Suwinet netwerk en de verwachte ontwikkelingen worden geanalyseerd. 1. • Detecteren en oplossen congesties • Analyseren transportvolumes De Suwinet infrastructuur tot aan de koppelpunten van de Suwi-partijen wordt centraal beheerd door het BKWI. Het netwerk van de Suwi2. partijen tot en met het koppelpunt met de Suwinet infrastructuur wordt door de Suwi-partijen beheerd. • Onderhoud netwerk(besturings)programmatuur • Analyse beschikbaarheid • Analyse netwerkbelasting • Melden en afwikkelen van onvolkomenheden • Signaleren en afwikkelen van inbreuken op netwerkbeveiliging • Signaleren en afwikkelen van aanvallen op netwerk De netwerkcomponenten zijn ingebed in het configuratie- en continuïteitsmanagement (externe koppeling). 3. • Beveiliging tegen stroomonderbreking • Back-ups • Herstelproces De Security Officer (van het BKWI) kan bij ernstige inbreuken op de beveiliging van Suwinet, (delen van) het Suwinet af la ten afsluiten. 4.B
Verantwoordingsrichtlijn v2.0.doc - 53 van 73
13.
Logische toegangbeveiliging
Doelstelling: Het inrichten en onderhouden van de bescherming van Suwinet en de Suwi-gegevens tegen ongeautoriseerde [logische] toegang en gebruik. 1.
E De Suwi-partij autoriseert en registreert de gebruikers die toegang hebben tot de Suwinet applicaties op basis van een formele procedure
waarin is opgenomen. Het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren functie / taken Het uniek identificeren van elke gebruiker tot één persoon Het goedkeuren van de aanvraag voor toegangsrechten door de manager of een gemandateerde Het tijdig wijzigen (dus ook intrekken) van de autorisatie bij functiewijziging of vertrek Het benaderen van de Suwi-databestanden door gebruikers mag alleen plaatsvinden via applicatieprogrammatuur (tenzij sprake is van calamiteiten) Technisch Beheerders hebben geen. Suwinet-account. • • • • •
2. 3. 4. 5.
6.
7.
8. 9.
Functioneel Beheerders hebben alleen toegang tot persoonsgegevens van Suwinet volgens onder 13.1 gestelde eisen. • Procedures en wachtwoorden passend voor die beheeractiviteiten Identificatie, authenticatie en autorisatie vinden plaats met behulp van een toegangbeveiligings-applicatie. E De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats.
• Interne controle op rechten en gebruik van Suwinet • Analyseren van de van het BKWI verkregen informatie over het gebruik van Suwigegevens Ongeautoriseerde toegangspogingen en essentiële activiteiten worden gedetecteerd, geanalyseerd en tegen inbreuken wordt actie ondernomen. • Analyseren van de informatie verkregen op basis van normen 1 tot en met 10 • Maximaal 18 maanden bewaren van loggegevens welke gegevens bevatten die tot natuurlijke personen herleidbaar zijn Het gebruik van wachtwoorden is gebaseerd op de afspraken voor het Suwinet. • Overdracht verbieden • Wijzigen initiële wachtwoord • Geen hergebruik laatste 5 wachtwoorden • Procedure bij ‘vergeten wachtwoord’ • Minimaal acht posities bestaande uit cijfers en letters, niet zijnde voornaam, achternaam, gebruikersnaam • Wijziging na acht weken afdwingen Het aantal achtereenvolgende ongeldige inlogpogingen is beperkt tot vier (het aantal aanlogpogingen is vijf). Overschrijding leidt tot automatische afsluiting van het toegangsrecht. Het toepassen van een Screensaver na 15 minuten en het activeren van applicatie via een wachtwoord.
Verantwoordingsrichtlijn v2.0.doc - 54 van 73
13.
Logische toegangbeveiliging
Doelstelling: Het inrichten en onderhouden van de bescherming van Suwinet en de Suwi-gegevens tegen ongeautoriseerde [logische] toegang en gebruik. 10.
De inrichting van de schermen en rollen worden door de DPB getoetst op proportionaliteit en doelbinding.
Verantwoordingsrichtlijn v2.0.doc - 55 van 73
14.
Fysieke beveiliging
Doelstelling: Het beschermen van de componenten en data van Suwinet tegen ongeautoriseerde [fysieke] toegang, diefstal, verlies verandering, verminking en oneigenlijk gebruik. De ruimten met Suwinet-componenten en -data zijn alleen toegankelijk voor geautoriseerde personen. 1. • Regime beperking toegang • Fysieke beveiliging 2. E De ruimten met Suwinet-componenten en -data zijn fysiek beveiligd. • Geconditioneerde ruimten • Detectie vuur en water • Beveiliging kabels tegen interceptie • Ups • Noodstroom • Onderhoudsschema’s • Signalering- en herstelprocedures • Controle op functioneren voorzieningen • Scheiding processing en nabewerking • Inrichting voor geschikt voor behandeling data met verschillende risicoclassificatie • Bijgehouden back-ups worden op externe locatie opgeslagen
Verantwoordingsrichtlijn v2.0.doc - 56 van 73
15.
Suwinet-Inkijk
Doelstelling: Een applicatie voor het beveiligd online ophalen en raadplegen van gegevens d.m.v. webservice-technologie. Het online ophalen van gegevens vindt plaats conform het Stelselontwerp Suwinet, het SGR en Architectuur Suwinet-Inkijk. 1. 2.
3.
4. 5.
De authenticiteit van de communicatiepartners moet vaststaan. • De authenticiteit van de vragende en aanbiedende organisatie van Inkijkgegevens moet vaststaan • De authenticiteit van eindgebruikers binnen de vragende organisatie van Inkijkgegevens moet vaststaan De vertrouwelijkheid van Inkijkgegevens moet gewaarborgd zijn. • Ongeautoriseerd gebruik van de Inkijkgegevens ten tijde van het transport tussen de vragende en aanbiedende webservice is niet mogelijk • Ongeautoriseerd gebruik van de Inkijkgegevens is niet mogelijk De integriteit van de gegevensuitwisseling moet gewaarborgd zijn (ongeautoriseerde wijzigingen, toevoegingen en weglatingen door derden mag niet mogelijk zijn ten tijde van het transport). De Inkijkgegevens mogen tijdens transport niet verloren raken en Suwinet-Inkijk is beschikbaar conform de afspraken in de Keten SLA Suwinet.
Verantwoordingsrichtlijn v2.0.doc - 57 van 73
16.
Suwinet-Inlezen
Doelstelling: Het beveiligd online ophalen van Inkijk-gegevens d.m.v. webservice-technologie en deze gegevens direct verwerken/inlezen in de [eigen] bedrijfsapplicaties. Het online ophalen van gegevens vindt plaats conform het Stelselontwerp Suwinet, het SGR en Architectuur Suwinet-Inkijk. 1. 2.
3.
4. 5.
De authenticiteit van de communicatiepartners moet vaststaan. • De authenticiteit van de vragende en aanbiedende organisatie van de Suwi-gegevens moet vaststaan • De authenticiteit van eindgebruikers binnen de vragende organisatie van de ingelezen Suwi-gegevens moet vaststaan De vertrouwelijkheid van Inkijkgegevens moet gewaarborgd zijn. • Ongeautoriseerd gebruik van de ingelezen Suwi-gegevens ten tijde van het transport tussen de vragende en aanbiedende webservice is niet mogelijk • Ongeautoriseerd gebruik van de ingelezen Suwi-gegevens is niet mogelijk De integriteit van de gegevensuitwisseling moet gewaarborgd zijn (ongeautoriseerde wijzigingen, toevoegingen en weglatingen door derden mag niet mogelijk zijn ten tijde van het transport). De ingelezen Suwi-gegevens mogen tijdens transport niet verloren raken, de online opgevraagde Inkijk-gegevens moet ongeschonden bij de aanvrager aankomen en de gegevensuitwisseling is beschikbaar conform de vastgestelde afspraken in de Keten SLA Suwinet (en eventuele afspraken rond nadere uitwerking tussen ketenpartijen onderling).
Verantwoordingsrichtlijn v2.0.doc - 58 van 73
17.
Suwinet-Meldingen
Doelstelling: Het middels gestructureerde berichten beveiligd uitwisselen van signalen over gebeurtenissen [Meldingen] binnen Suwinet middels webservices. De meldingen worden uitgewisseld conform het Stelselontwerp Suwinet, het SGR en Architectuur Suwinet-Meldingen. 1. 2.
3. 4. 5.
De authenticiteit van de communicatiepartners moet vaststaan. • De authenticiteit van de vragende en aanbiedende organisatie van meldingen moet vaststaan • De authenticiteit van eindgebruikers binnen de vragende organisatie van meldingen moet vaststaan De vertrouwelijkheid van de meldingen moet gewaarborgd zijn, ongeautoriseerd gebruik van de uitgewisselde meldingen is niet mogelijk; d.w.z. meldingen mogen alleen ingezien en ontvangen worden door de beoogde (en dus geautoriseerde) ontvanger. De integriteit van de meldingen moet gewaarborgd zijn, ongeautoriseerde wijzigingen, toevoegingen en weglatingen door derden is niet mogelijk. Meldingen mogen tijdens transport niet verloren raken.
Verantwoordingsrichtlijn v2.0.doc - 59 van 73
18.
Suwinet-Mail
Doesltelling: Het beveiligd uitwisselen van ongestructureerde [e-mail] berichten tussen medewerkers van verschillenden Suwi-partijen. De Mailuitwisseling vindt plaats conform het Stelselontwerp Suwinet en Architectuur Suwinet-Mail en de Handreiking Suwinet-Mail. 1. 2.
3.
4. 5. 6.
Alle e-mail inclusief eventuele attachments worden voor gebruik op mogelijk schadelijke inhoud gecontroleerd. • E-mail en attachments worden gecontroleerd op besmetting met virussen • Soorten attachments, welke een verhoogd risico inhouden op het gebied van de beveiliging van de infrastructuur, worden gefilterd Het e-mailgebruik van Suwigegevens is gebaseerd op beleid. • Classificatie van berichten • Bescherming tegen ongeautoriseerd gebruik • Onvolkomenheden rapporteren • Documenteren • Ongewijzigd blijven bericht • Controle op juistheid en volledigheid • Persoonsgegevens beschermen conform wet- en regelgeving Het is niet mogelijk e-mail te versturen dat niet afkomstig is uit het eigen domein (open-mail-relay). De inrichting van Suwinet-Mail waarborgt, behalve door viruscontrole en back-updoeleinden, de exclusieve toegang tot de inhoud van emailberichten door uitsluitend de eigenaar van het e-mail account en de geadresseerde. De e -mail faciliteit is beschikbaar conform de afspraken in de Keten SLA Suwinet.
Verantwoordingsrichtlijn v2.0.doc - 60 van 73
19.
Toegangbeveiligingspakket
Doelstelling: Een applicatie die op rollen gebaseerde [en op basis van gedelegeerd beheer] geautoriseerde toegang tot Suwinet-Inkijk borgt en daarmee op gebruikersniveau proportionaliteit en doelbinding invult. 1. E De authenticatie en autorisatie (voor gebruikers) vinden plaats door middel van het toegangbeveiligingspakket. • Controle alle http-verkeer op basis van gebruikersadministratie • Tijdsduur geldigheid log-on beperken De gebruikersadministratie is decentraal (gedelegeerd) ingericht, de toekenning van de rechten is gedelegeerd. 2. • Autorisatieverkeer vindt plaats op basis van ketenbrede afspraken • Er zijn voorschriften inzake Gebruikersadministratie • Benoeming en administratie van locale beheerders voor het autorisatieverkeer autorisatieprofiel • Bevoegdhedenprofiel beperken, alleen toegang tot geautoriseerde diensten • Inkijkpagina’s alleen lezen en autorisatie op functionaris / gebruikersniveau • Gebruikersrollen worden alleen aan gebruikers toegekend (Beheerders krijgen geen gebruikersrol toegewezen) Het autoriseren van eindgebruikers gebeurt op basis van rollen met beperking van de weer te geven gegevens per pagina. 3. 4. 5.B
6.B
7.B
De aspecten rond logging voor Suwinet-Inkijk zijn vastgelegd in een binnen de Suwiketen overeengekomen logprocedure. De lograpportage over Suwinet-Inkijk wordt periodiek verstrekt aan de Suwi-partijen verstrekt voor analyse doeleinden. • Centrale logging over het gebruik door de eindgebruikers van Suwinet-Inkijk • Centrale verzorging van de lograpportage op reguliere basis • Analyse van lograpportage wanneer daar aanleiding toe is Het toegangbeveiligingspakket is beschikbaar voor beheerders en eindgebruikers conform de Keten SLA Suwinet. • Het beheer van het toegangbeveiligingspakket is belegd bij BKWI • Alle wijzigingen in de gebruikersadministratie worden gelogd • Het toegangbeveiligingspakket en de instellingen hiervan zijn gedocumenteerd Gebruikers-ID en wachtwoord worden versleuteld opgeslagen.
Verantwoordingsrichtlijn v2.0.doc - 61 van 73
20.
Server
Doelstelling: Het volgens de gangbare beveiligingsstandaarden inrichten en parametriseren van de apparatuur waar de functies van het Suwinet op worden uitvoerd. De apparatuur en programmatuur voldoen aan de gangbare opvattingen (proven technology). 1. • Onderhoud • Actuele versies / releases / patches • Documentatie • Ontdaan van overbodige functies • Gehardend besturingssysteem De toegang is voor eindgebruikers alleen mogelijk via applicatieprogrammatuur en voor beheerdoeleinden alleen door geautoriseerde 2. beheerders. De beveiligingsopties (parameterisering) zijn binnen de eigen organisatie ingeregeld. 3. • Wachtwoorden niet in leesbare vorm beschikbaar • Mogelijkheid om programma -, netwerk- en gebruikerssessies af te sluiten (Policy) • Aanbrengen time-slots • Beperking verbindingstijd tot kantooruren • Automatische herstart en herconfiguratie-mechanismen Er zijn maatregelen getroffen om overbelasting van de server(s) cq. het netwerk door valse berichten tegen te gaan. 4. De mogelijkheid van overbelasting door valse berichten wordt geminimaliseerd. Het niet-beschikbaar zijn wordt (automatisch) gedetecteerd. 5. 6. 7.
De mail- en client- servers zijn voorzien van actuele anti virus software en updates.
De Suwinet-servers bevatten, buiten logbestanden en buiten wat in het vluchtige geheugen staat, geen gegevens van Suwi-partijen. Daar waar gegevens op servers tijdelijk bewaard worden (cache), mag dit alleen gedurende een vooraf afgesproken periode, afgestemd met de Suwipartij welke eigenaar van de gegevens is.
Verantwoordingsrichtlijn v2.0.doc - 62 van 73
21.
Netwerk
Doelstelling: De infrastructuur welke benodigd is voor de gegevensuitwisseling via en voor Suwinet. De infrastructuur van het Suwinet is beschikbaar conform de afspraken in de Keten SLA Suwinet en Keten DAP Suwinet. 1. • Het lokaal netwerk is beschikbaar en ongeautoriseerde toegang tot Suwinet is niet mogelijk 2. E Het Suwinet maakt alleen gebruik van vaste lijnen. 3.
E Het Suwinet heeft geen directe verbinding met internet.
4.
E Alleen verkeer uit het eigen netwerk van de Suwi-partij wordt via firewalls aangeboden aan het SuwiKoppelpunt.
6.
• Uitsluitend afkomstig van toegewezen IP-adressen • Filteren op IP -adres • IP-nummerplan De door Suwi-partijen voor de gegevensuitwisseling via het Suwinet ingezette netwerkcomponenten moeten elkaar wederzijds authenticeren. • Automatische identificatie zend-, ontvangstpunten en werkstations • Alleen directe toegang tot geautoriseerde diensten • Beheersen route naar werkstation • Authenticatie gebruikers en computers op afstand • Beheersing diagnosepoorten en verbinding • Routering en faciliteiten via logische toegangbeveiliging • Geen systeem- of toepassingsidentificatie tonen voor voltooiing aanlogproces • Bescherming tegen ongeautoriseerd gebruik • Geen hulpboodschappen tijdens aanloggen • Verificatie aanloginformatie na volledige invulling gegevens • Documentatie beveiligingskenmerken • Verbindingstijd beperken Alle afwijkingen met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid worden gemeld als beveiligingsincident (monitoren gebruik).
7.
De beveiligingsopties in netwerkapparatuur en –programmatuur worden toegepast (gedocumenteerd).
5.
8.
Telewerken is alleen toegestaan indien via het eigen (lees Suwi-partij) netwerk aan Suwinet wordt gekoppeld. De dataopslag op de werkplek buiten de organisatie vindt encrypt plaats en ook de gegevensuitwisseling tussen de werkplek buiten de organisatie en het eigen netwerk is versleuteld.
Verantwoordingsrichtlijn v2.0.doc - 63 van 73
22.
Koppelingen / koppelpunten
Doelstelling: De routers en firewalls die ongeautoriseerd netwerkverkeer tussen het Suwinet en het eigen netwerk van de Suwi-partijen blokkeren. 1. E Bij koppelingen van de Suwi-partij aan de Suwinet-infrastructuur wordt filtering toegepast, waarmee alleen geautoriseerd netwerkverkeer tussen de Suwi-partijen wordt doorgelaten. • Beschermd tegen indringen • Verkeer wordt alleen op de applicatielaag uitgewisseld • Toegang vanuit het externe netwerk vindt uitsluitend via de router cq. firewall plaats • Alle berichten scannen op schadelijke codes • Analyse van verdachte activiteiten à tempo (intrusion detection) De componenten die worden ingezet voor koppeling, zijn gebaseerd op bewezen technologie. 2. • Gestandaardiseerde componenten • Combinatie beveiligingsmaatregelen op de applicatie- en netwerklaag • Dwingt protocolstandaards af voor het externe netwerkverkeer • Geen overbodige functies in de componenten (ook wel hardening of stripping genoemd) • Sterke authenticatiemechanismen voor het beheer, autorisatie voor beheerders • Verbergt de structuur van het interne netwerk • Voorzien van de nieuwste (beveiligings)patches • Voorziet in een audit-trail van alle verkeer • Voorziet in signalering van verdachte activiteiten • Reduceert vervolgschade 3. E De inrichting van de externe koppeling moet voorzien zijn van afzonderlijke beveiliging zones. 4.
De (externe) koppeling is beschikbaar conform de afspraken in de Keten SLA Suwinet.
6.
Het technisch en operationeel beheer van de (externe) koppeling dient blijvende veiligheid te garanderen (de updates, uitbreidingen en aanpassingen dienen expliciet te worden geautoriseerd en met de grootste zorg plaats te vinden). De inrichting van de (externe) koppeling dient te allen tijde controleerbaar te zijn.
7.
De instellingen van de componenten van de externe koppeling/router mogen alleen geautoriseerd worden gewijzigd.
5.
Verantwoordingsrichtlijn v2.0.doc - 64 van 73
Bijlage E: Handreiking tot de werking in context van opzet en bestaan Het begrip werking moet worden gezien in relatie tot de begrippen opzet en bestaan. In paragraaf 3.5 van de Verantwoordingsrichtlijn v1.0 zijn deze begrippen als volgt gedefinieerd: •
de opzet: Dit begrip omvat de formele inrichting en beschrijving van de wijze waarop de organisatie het proces wil gaan uitvoeren. Veelal treft de edp-auditor de opzet aan in handboeken, beleidsplannen, architectuurbeschrijvingen, etc.
•
het bestaan: Dit begrip omvat de wijze waarop processen en maatregelen daadwerkelijk in de organisatie zijn geïmplementeerd. Deze situatie kan onder motivatie afwijken van hetgeen in de aanwezige beschrijvingen en plannen (de opzet) is vermeld.
•
de werking: Dit begrip omvat het bestaan van processen gedurende een bepaalde periode. Hierbij wordt vastgesteld op welke wijze een organisatie een proces bij voortduring heeft uitgevoerd.
De controle op de werking wordt periodiek (veelal jaarlijks) uitgevoerd. Hierbij wordt eerst beoordeeld of opzet en bestaan ten opzichte van het voorgaande jaar zijn gewijzigd. Het vaststellen van de werking vereist dat wordt nagegaan of de procedures en maatregelen gedurende de controleperiode zijn nageleefd. De controle op de werking is afhankelijk van in hoever de organisatie “in control” is en de organisatie en inrichting voor de interne controle.
Inhoud begrip ‘werking’ De inhoud van het begrip ‘werking’ is in de literatuur niet eenduidige gedefinieerd. Onderkend worden opties die inhouden dat ‘werking’ betrekking heeft op: •
het vaststellen door de auditor van het bestaan op elk moment;
•
het vaststellen door de auditor dat geen systematische en materiële afwijkingen van betekenis zijn opgetreden.
Voor beide opties geldt, dat een zekerheid van 100% over de werking nooit is te geven. In de praktijk is een tendens zichtbaar voor de invulling van het begrip ‘werking’ in de tweede betekenis (geen systematische en materiële afwijkingen van betekenis). De keuze voor die optie lijkt logisch: eerste optie is kostbaar omdat de auditor moet vaststellen dat de processen en maatregelen bij voortduring operationeel zijn (geweest). In de tweede optie kan de edp-auditor volstaan met minder arbeidsintensieve activiteiten en deze optie heeft verder als voordeel dat wordt aangesloten bij ontwikkeling op het terrein van de financial audit waar deze begrippen ook worden toegepast. De uitwerking van het begrip ‘werking’ is voor de edp-audit van het Suwinet gebaseerd op de betekenis: ”Het vaststellen door de auditor dat geen systematische en materiële afwijkingen van betekenis zijn opgetreden.”
Verantwoordingsrichtlijn v2.0.doc - 65 van 73
Randvoorwaarden Bij de invulling van het begrip ‘werking’ zoals gedefinieerd in de vorige paragraaf, spelen onder meer de volgende uitgangspunten een rol: •
De edp-auditor vervult een audit rol, dat wil zeggen: vastgesteld wordt dat het management de ICT beheerst. Eén van de beheersingsinstrumenten van het management is het inrichten van (verbijzonderde) interne controle. De edp-auditor beoordeelt dus de werking van de interne controle en voert zelf geen eigen controles uit.
•
De edp-auditor zal niet in staat zijn te komen tot oordeel over de werking indien de controleerbaarheid van de beheersingsmechanismen ontbreekt. Dit uitgangspunt geldt ondubbelzinnig bij onvervangbare interne controlemaatregelen.
•
De invulling van het begrip ‘werking’ kan niet eenduidig qua inhoud en omvang worden gedefinieerd. De omvang van de werkzaamheden om bij voortduring het functioneren van het beveiligingsstelsel gedurende een periode (in het geval van Suwinet: een heel jaar) te kunnen vaststellen, is sterk afhankelijk van factoren zoals: o de omvang van de organisatie (optimale – minimale functiescheiding, aantal transacties); o de attitude in de huishouding (visie management op beheersing, risicomijdend – risicolopend gedrag, stijl van werken, etc.); o het (materieel) belang van de informatie voor de bedrijfsvoering (primair – ondersteunend, generiek – specifiek, persoonsgegevens); o het (materieel) belang van het object (primair - ondersteunend proces, omvang van het proces); o het betrekking hebben op vervangbare versus onvervangbare interne controlemaatregelen; o het beschikken over (verbijzonderde) interne controle.
•
De edp-auditor moet in het controleplan een analyse opnemen van de hiervoor genoemde elementen en hun onderlinge relatie. Daarbij kan sprake zijn van compenserende maatregelen. Deze elementen moeten worden geplaatst in relatie tot onder meer de kennis van de bedrijfsactiviteiten, het inzicht in de administratieve organisatie en de interne controle. Ook is van invloed de mate van zekerheid dat het oordeel van de edp-auditor moet verschaffen. Bij Suwinet is gekozen voor een hoge mate van zekerheid. De kwantiteit en de kwaliteit van de edpaudit dient te zijn afgestemd op dit zekerheidsniveau.
•
Het controleplan is de basis voor het uitwerken van de controle in het werkprogramma en het opstellen van de planning, mede ingegeven door de opleverdatum van de Samenvattende Rapportage op 15 maart. In het controleplan moet ook worden aangegeven of, en zo ja op welke wijze, gebruik wordt gemaakt van geautomatiseerde technieken en de voorwaarden waaronder die worden toegepast.
•
Het beoordelen van de werking van de interne controle is mogelijk door de resultaten van de interne controle te onderzoeken en tevens via gegevensgerichte werkzaamheden zoals het verzamelen en beoordelen van evidence van een aantal mutaties. De conclusie over de werking moet mede worden gebaseerd op de controle van de feitelijks situatie / data. Bepalend daarbij is de beoordeling of er op het onderwerp geen systematische afwijkingen zich hebben voorgedaan.
•
Het oordeel over de werking heeft betrekking op een heel jaar, wat impliceert dat de organisatie moet borgen dat gewenste evidence geleverd kan worden. De organisatie zal afspraken met de auditor kunnen maken over de minimale hoeveelheid en diepgang van de te bewaren evidence.
•
De invloed van de hiervoor genoemde factoren op het controleplan leiden op punten tot de
Verantwoordingsrichtlijn v2.0.doc - 66 van 73
noodzaak om professional judgment toe te passen. De keuzes op grond van dat professional judgment moeten zijn toegelicht in het controleplan. Voor de goede orde wordt opgemerkt dat in het geval van Suwinet ook de keuzes van toegepast professional judgment, welke toegelicht moeten zijn in het controleplan, onderwerp zijn van beoordeling door de Inspectie Werk en Inkomen (IWI).
Werking specifieke onderwerpen De controle op de werking is generiek gehouden en voor een aantal onderwerpen worden hier voorbeelden gegeven hoe de controle op de werking kan plaatsvinden. De uitgangspunten voor de controle van de werking zijn aangegeven in relatie tot: •
de frequentie van de controle door de edp-auditor;
•
de evidence waarop de beoordeling van de werking betrekking heeft. Deze evidence zal veelal zijn verzameld in het kader van de beoordeling van de opzet en het bestaan.
•
het selecteren en beoordelen van de mutaties waarin de werking tot uitdrukking komt;
•
de mogelijkhe id om geautomatiseerde hulpmiddelen toe te passen bij de controle;
•
de relatie met reeds gerealiseerde (interne) controles op de naleving van de interne controlemaatregelen;
•
de rapportages die in het kader vanuit het beheerproces mogen worden verwacht;
De uitwerking is abstract geformuleerd omdat de feitelijke invulling van het beheer met organisatorische en technische maatregelen en daaraan gerelateerde procedures qua inrichting en naamgeving zal verschillen per organisatie en per omgeving binnen de organisatie. Ook is de beschrijving van de werking gebaseerd op de uitgangspunten dat: •
de opzet en het bestaan is beoordeeld;
•
de controle van opzet en bestaan heeft niet geleid tot het constateren van leemten;
•
de in opzet en bestaan beoordeelde interne controlemaatregelen functioneren.
De uitwerking is gebaseerd op een aantal aannames over de opzet en bestaan die niet in alle gevallen expliciet zijn uitgeschreven. Waar mogelijk is bij de uitwerking ook een indicatie gegeven over de inhoud van de controle van de werking op het niveau van de accenten binnen een norm die door middel van een bullet zijn aangegeven.
Verantwoordingsrichtlijn v2.0.doc - 67 van 73
Bij de controle kan de volgende documentatie dienen als evidence: 1. Reguliere rapportages over de operationele beheerprocessen •
Overzichten van instellingen
•
Incidentrapportages
•
Rapportage van afwijkingen
•
Wijzigingsverzoeken
•
Autorisatieaanvragen
•
Overdracht- en acceptatierapportages
•
Log-rapportages
•
Verwerkingsverslagen en -overzichten
2. Reguliere rapportages over de tactische beheerprocessen •
Ketenafspraken (Keten-SLA, Keten-DAP) en overige afspraken, SLA’s en SNO’s)
•
Architectuurdocumentatie
•
Netwerkplan en tekeningen van het netwerk en de koppelingen
•
Maand- en kwartaalrapportages
•
Rapportage over penetratietests en quick-scans e.d.
•
TPM-verklaringen
•
Planningskalender
•
Analyses en aanbevelingen
•
Opgeleverde documenten
Verantwoordingsrichtlijn v2.0.doc - 68 van 73
Bijlage F: Begrippen, definities & afkortingen
Begrippenlijst bij de Verantwoordingsrichtlijn edp-audit Suwinet. Begrip A Algemeen Ketenoverleg
Afkorti ng AKO
B Beschikbaarheid
Best practices Bestaan Betrouwbaarheid Control OBjectives for Information Technology Controleerbaarheid C Continuïteit D Deficiëntie E Exclusiviteit
CobiT
Omschrijving Algemeen Keten Overleg; waarin de Suwi-partijen (UWV, CWI, Divosa, VNG) met elkaar overleggen op strategisch niveau omtrent Businessaangelegenheden De mate waarin de bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken gericht op de gegevensuitwisseling, ongestoord voortgang kunnen vinden (percentage beschikbaarheid = werkelijk beschikbare tijd / overeengekomen tijd x 100%) De literatuur met een onbesproken kwaliteitsniveau waarop het normenkader is gebaseerd De feitelijke im plementatie van de opzet Het kwaliteitscriterium waarmee tot uitdrukking wordt gebracht dat gegevens of processen waarmee die tot stand komen, voldoen aan eisen van beschikbaarheid, integriteit en vertrouwelijkheid ‘Best practice’ voor processen gericht op de beheersing van IT. Uitgegeven door het IT Governance Institute De mate waarin de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevensuitwisseling via het Suwinet en in de koppelvlakken kan worden vastgesteld. Zie beschikbaarheid Een niet-materiële afwijking ten opzichte van de norm Zie vertrouwelijkheid
G GBRE GBRE Gedrags- en Beroepsregels voor de Register EDP-auditor I Informatiebeveiliging Het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid, integriteit en vertrouwelijkheid van een informatiesysteem en daarmee van de informatie daarin Information ITIL Deze defacto beheerstandaard (‘best practice’) helpt bij het procesmatig Technology inrichten van beheerprocessen in verwerkingsorganisaties, opgesteld in Infrastructure Library opdracht van de overheid van het Verenigd Koninkrijk om zodoende de kwaliteit van het beheer te kunnen besturen. ITIL kent hiervoor een aantal gedefinieerde processen. Integriteit a) De mate waarin de gegevensuitwisseling via het Suwinet en in het koppelvlak zonder fouten is (volledig, juist, tijdig, correct, actueel, authentiek, consistent) b) De mate waarin een informatiesysteem zonder fouten is K Kwaliteit De mate waarin het geheel van eigenschappen van een informatiesysteem voldoet aan de uit het gebruiksdoel voortvloeiende eisen Kwaliteitscriterium De maatstaf of toets bij een beoordeling, uitgedrukt met de begrippen beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid N Norm De eigenschappen die de waarde tot uitdrukking brengen O Object van Het onderwerp dat aan de edp-audit is onderworpen. Voor dit normenkader is onderzoek dat het koppelvlak tussen het Suwinet en de bedrijfsprocessen van een Suwi-partij en het BKWI Opzet De formele inrichting van de bedrijfsprocessen in het koppelpunt bij de Suwipartijen die is gericht op de beveiliging van de gegevensuitwisseling via het Suwinet S Stelselontwerp De beschrijving van de technische voorzieningen, de functionaliteiten en de Suwinet specificaties die worden toegepast bij de inrichting en de werking van Suwinet. Zie voor de wettelijke omschrijving Artikel 66 van de Wet SUWI. SUWI SUWI Structuur Uitvoeringsorganisatie Werk en Inkomen Suwi SGR Een datamodel met alle voor elektronische gegevensuitwisseling in het Gegevensregister Suwidomein relevante attributen, entiteiten en relaties.
Verantwoordingsrichtlijn v2.0.doc - 69 van 73
Suwidomein
a) De organisaties waarop de Wet SUWI betrekking heeft: Primair CWI, SVB, UWV en GSD en daarnaast Inlichtingenbureau, AI, SIOD en het BKWI. b) Het Suwinet en de onder het beheer van de Suwi-partijen vallende organisatieonderdelen, applicaties en elektronische infrastructuur die betrokken zijn bij de uitwisseling van gegevens en berichten als bedoeld in de Wet SUWI Het stelsel van afspraken, regelgeving, overlegorganen en technische voorzieningen t.b.v. de gestroomlijnde gegevensuitwisseling tussen de Suwipartijen. De onder het beheer van het BKWI vallende elektronische infrastructuur bedoeld in Artikel 62, tweede lid Wet SUWI De CWI, het UWV en B&W van de gemeenten maken bij de uitvoering van de taken die bij of krachtens de Wet SUWI of enige andere wet aan de CWI of het UWV en bij of krachtens de WWB, IOA en IOAZ aan B&W van de gemeenten is opgedragen, gebruik van een elektronische infrastructuur die daartoe door hen en Onze Minister wordt ingericht en in stand gehouden. Het uit normen opgebouwde onderdeel van de Verantwoordingsrichtlijn edpaudit Suwinet waarin de meetlat is opgenomen die de edp-auditor gebruikt bij het uitvoeren van de jaarlijkse edp-audit van de beveiliging van het Suwinet Dit zijn de organisaties die, al dan niet via Gemnet, gekoppeld zijn aan het Suwinet en via het Suwinet gegevens uitwisselen, te weten: AI, BKWI, CWI, GSD, IB, SIOD, SVB, UWV.
Suwiketen Suwinet
SuwinetNormenkader Suwinet-partij
Suwi-organisatie
Suwi-partij
T Toepassing V Vertrouwelijkheid Verwerking van persoonsgegevens
Werking Wet Openbaarheid van Bestuur Wet SUWI
WOB
Bijlage XIV; hoofdstuk 1: Algemeen; lid 1:Uitgangspunten: …..Elke Suwiorganisatie (CWI inclusief BKWI, SVB, UWV, GSD’s en IB) is verantwoordelijk voor het eigen domein en de (informatie)beveiliging daarvan. …… Een van de organisaties die deel uitmaken van de keten van werk en inkomen: CWI, SVB, UWV, GSD, VNG, IB, BKWI, ministerie van SZW Suwinet-partijen volgens Regeling SUWI, Algemen begripsbepalingen lid p: de CWI, het UWV, burgemeester en wethouders en het IB; (Het BKWI heeft hierbij een andere rol, maar wordt in deze als onderdeel van CWI gezien.) Het gebruikersproces welk gebruik maakt van het Suwinet (Inkijk, Meldingen, Mail) (definitie aangepast naar enkelvoud) De mate waarin de toegang tot de gegevensuitwisseling via het Suwinet en in de koppelvlakken en de kennisname van de informatie daarin Elke handeling of elk geheel van handelingen wat betreft persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, en ook het afschermen, uitwissen of vernietigen van gegevens. Het functioneren van de opzet gedurende het jaar Laatst gewijzigd 18 juni 1998 Wet Structuur Uitvoering Werk en Inkomen. Via deze wet is de samenwerking tussen de partijen op het gebied van ‘Werk en Inkomen’ en de elektronische gegevensuitwisseling geregeld.
Verantwoordingsrichtlijn v2.0.doc - 70 van 73
Bijlage G: Wijzigingen ten aanzien van vorige versies
De Verantwoordingsrichtlijn edp-audit Suwinet is ontwikkeld op basis van de volgende documenten: Versie Versie 0.1 Versie 0.2 Versie 0.3 Versie 0.4 Versie 0.5 Versie 0.6 Versie 0.7 Versie 1.0 Versie 2.0
Document Verantwoordingsrichtlijn Uitwerking 3.3, 4,1, 6, 7.1 en 7.1 Uitwerking grootste deel m.u.v. 7.3 Beperking scope tot C en D Document gecorrigeerd op taal- en spellingsfouten. Documentaangepast t.a.v. de rol van BKWI Verantwoordingsrichtlijn edp-audit Suwinet (nieuwe opzet), waarin het SuwinetNormenkader is geïntegreerd Finale review Goedkeuring door AKO d.d. 29 oktober 2004 Overzicht van de aanpassingen van de nieuwe versie t.o.v. versie 1.0: Algemeen Lay-out aangepast, taalfouten verbeterd en spelling gecorrigeerd Reikwijdte verruimd met de organisaties SVB, SIOD en Arbeidsinspectie. De termen exclusiviteit, integriteit en controleerbaarheid vervangen en in deze volgorde aangehouden door: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid. Bij vertrouwelijkheid in de modeloordelen “exclusiviteit” toegevoegd. Uitbreiding met een set van normen voor het aandachtsgebied Suwinet-Inlezen. Als bijlage E toegevoegd: “Handreiking tot de werking in context van opzet en bestaan” en de overige bijlagen hernummerd. 0 Managementsamenvatting: Inhoud in lijn gebracht met de inhoud van het document. Vaststelling Verantwoordingsrichtlijn beschreven. 1 Inleiding Par. 1.1: Achtergrond: Verwijzingen naar spoort 1, spoor 2 en PPI verwijderd 2 Toelichting bij de edp-audit Par. 23: Doelstelling: Beschrijving van de verantwoording voor AI en SIOD toegevoegd Par. 2.4: Uitgangspunten: Tekst van Art 6.4 en Art 5.22 aangepast. Par. 2.5 : Afbakening van onderzoek: Afbeelding aangepast n.a.v. SVB, AI en SIOD. 3 Uitvoeringsnormen aan de edp-audit Par. 3.2: Kwaliteitseisen onderzoek auditor Voetnoot toegevoegd mbt eventuele combinatie van de edp-audit Suwinet met andere audits. Par. 3.3.2: Uitgangspunten, Oordeelsvorming en Weging edp-auditor Bij specifieke uitgangspunten bij de vijfde bullet is de mogelijke combinatie met een integrale edp-audit van de beveiliging toegevoegd. Bij specifieke uitgangspunten bij de tweede open bullet is de tekst aangepast mbt de zelfstandig leesbare rapportage. Par. 3.4: Uitbesteding ICT, controle en oordeelsvorming: Relevantie met uitbestede diensten benoemd in de eerste allinea en bij de tweede allinea verwijderd. Par. 3.5 : oetsen van opzet, bestaan en werking: Verwijzing naar bijlage E toegevoegd 4 Toetsingsnormen Tekst in de eerste allinea verduidelijkt Par. 4.2: Opbouw Normenader Reikwijdte bij a) verruimd tot alle afzonderlijke organisaties 5 Rapportage Tekst m.b.t. de Samenvattende rapportage verduidelijkt. Bijlagen A en B Model oordeel Jaartallen aangepast en modellen aangepast m.b.t. SVB, AI en SIOD. Tabel 2 “Toelichting op het oordeel” Facultatieve onderdelen hernummerd en benoemd Paragraaf opgenomen mbt oordeelsvorming en weging Paragraaf opgenomen mbt opzet, bestaan en werking Tekst “Het oordeel” bij “Verstrekken aan anderen dan de opdrachtgever” vervangen door: “Deze rapportage inclusief het oordeel” Bijlage C Elementen Samenvattende rapportage Tekst aangepast m.b.t. Verantwoordelijkheid en jaartallen aangepast. De verantwoordelijkheid van elk van de Suwi-partijen t.a.v. de eigen rapportage De verantwoordelijkheid over het oordeel. De tabel TOELICHTING OP HET TOTAALOVERZICHT aangepast:
Status Concept Concept Concept Concept Concept Concept Concept Definitief Concept
Verantwoordingsrichtlijn v2.0.doc - 71 van 73
Een regel “bevindingen” toegevoegd en de legenda voor de tabel aangepast. Nummering 2.1 – 2.3 aangebracht Bijlage D Suwinet-Normenkader Doelstellingen bij de aandachtsgebieden aangepast. Toelichting m.b.t. de bullets ingevoegd. Norm 2.1: Afhankelijkheid van schaalomvang van de organisatie benoemd Norm 3.1: Het document “Suwinet-Ketenarchtectuur” toegevoegd. Norm 4.1: Uitwerking in Keten-DAP benoemd Norm 5.1: tekst aangepast bij bullet Norm 5.2: aangepast naar: capaciteitsbehoefte volgens afspraken in Keten-SLA Suwinet Norm 6.1: calamiteitenplan verplaatst naar bullet. Norm 6.4: tekst t.a.v. escalatie van incidenten aangepast conform definitie in ketenafspraken Norm 6.5: aangepast in relatie tot afspraken in Keten-SLA Suwinet Norm 8.4B: tekst bij tweede bullet aangepast in relatie tot escalatie tot probleem 10 Wijzigingbeheer De normen voor wijzigingbeheer aangepast conform routering en terminologie zoals benoemd in het ketenbrede wijzigingbeheer Norm 10.1: tenminste” is vervangen door: “ten minste”. Norm 10.2: 5e bullet vervalt. Is onderdeel van de doelstelling van wijzigingbeheer 11 Testen De normen voor testen aangepast conform routering en terminologie zoals benoemd in het ketenbrede wijzigingbeheer Norm 11.5: tekst aangepast De ketenbrede testomgevingen (KIT en KAT) zijn beschikbaar conform de Keten SLA Suwinet of conform nadere afspraken. Norm 13.2: Tekst van de norm aangepast “Technisch Beheerders hebben geen. Suwinet-account.” Norm 13.10: Nieuwe norm toegevoegd n.a.v. Besluit SUWI Stb. 2005-724 “De inrichting van de schermen en rollen worden door de DPB getoetst op proportionaliteit en doelbinding.” 16 Suwinet Inlezen Nieuw aandachtsgebied toegevoegd en volgorde van nummering aangepast Vooralsnog alleen identieke normen toegevoegd als geldend voor Suwinet-Inkijk Norm 17.5: Tekst aangepast “Meldingen mogen tijdens transport niet verloren raken.” Norm 18.1: Tekst aangepast “Architectuur Suwinet-Meldingen” vervangen door “Architectuur Suwinet-Mail en de Handreiking Suwinet-Mail”. Norm 19.7: Tekst aangepast “buiten log-bestanden”vervangen door: “”buiten logbestanden en buiten wat in het vluchtige geheugen staat” Norm 21.1: derde Bullet: “de firewall” vervangen door “de router cq. firewall” Norm 21.6: Tekst aangepast Alle afwijkingen met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid worden gemeld als beveiligingsincident (monitoren gebruik). Bijlage E: Handreiking toegevoegd en overige bijlagen hernummerd: Handreiking tot de werking in context van opzet en bestaan Bijlage F: Definities in overeenstemming gebracht met de wetteksten Bijlage G: Aangepast m.b.t. de wijzigingen t.o.v. versie 1.0. Bijlage H: VIR toegevoegd en nummering gecorrigeerd. Bijlage I: Overzicht Samenstelling WVR gesorteerd op achternaam.
Versie 2.1
Concept
Verantwoordingsrichtlijn v2.0.doc - 72 van 73
Bijlage H: Literatuurlijst De Verantwoordingsrichtlijn edp-audit Suwinet is ontwikkeld op basis van de volgende documenten: 1 2 3 4 5 6 7 8 9 10 11 12 13
Naam document
Versie / datum
Regeling SUWI Bijlage XIII bij de Regeling SUWI, ‘Stelselontwerp Suwinet’’ Bijlage XIV bij de Regeling SUWI, ’Beveiliging Suwinet’ Voorschrift Informatiebeveiliging Rijksdiensten Achtergrondstudies en Verkenningen 23 – Beveiliging van Persoonsgegevens (Uitgegeven in door het College Bescherming Persoonsgegevens) Code voor Informatiebeveiliging 2000 Beveiligingsbeleid Suwinet Handleiding Oordelen van gekwalificeerde IT-auditors (uitgave van NOREA – de beroepsorganisatie van IT-auditors) Richtlijn Assurance-opdrachten (RAC 100) NIVRA – de beroepsorganisatie van registeraccountants Keten SLA Suwinet Keten DAP Suwinet (Dossier Afspraken en Procedures) Regeling SUWI Bijlage XIII bij de Regeling SUWI, ‘Stelselontwerp Suwinet’’
21 dec 2001 V1.0 V1.0 april 2001 2000 V1.3 juni 2003
V2.4, 14 febr. 2006 V2.0 21 dec 2001 v1.0
Bijlage I: Samenstelling Werkgroep Verantwoordingsrichtlijn Vanuit de WGV hebben de volgende personen aan dit document meegewerkt:: Werkgroeplid
Organisatie
René Jan Max Sirkka Wilma Wim Peter Maarten Bas Turabi Henk
SVB BKWI SZW UWV CP-ICT gemeenten IB-Groep IWI IB CWI UWV CM&P
Backer Breeman Bulder Gleusteen Hebing Krol Spermon van der Werff de Wit Yildirim de Zwart
Voorzitter
Verantwoordingsrichtlijn v2.0.doc - 73 van 73
