de baseline informatiebeveiliging en kleine gemeenten · –functioneel beheer –wijzigingsbeheer...
TRANSCRIPT
De Baseline Informatiebeveiliging en
kleine gemeenten
11 december 2014
Jule Hintzbergen, IBD
Agenda
De Baseline Informatiebeveiliging Nederlandse
Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente Praktische oefeningen
2
3
Wat is er aan de hand?
25 oktober 2012
3
Informatieveiligheid
• Het gaat om het vergroten van de weerbaarheid van gemeenten tegen ICT-verstoringen en –dreigingen
• Dat start bij vergroten van bewustzijn van en de sturing op informatiebeveiliging, ook bij bestuurders
• Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG):
• Strategische en Tactische variant van de BIG gereed op IBD-community en -website (Wat)
• Producten Operationele variant nu in ontwikkeling (Hoe)
Baseline Informatiebeveiliging Nederlandse Gemeenten: Doel
1. Gemeenten op een vergelijkbare manier efficiënt te laten werken met informatieveiligheid.
2. Gemeenten een hulpmiddel te geven om aan alle eisen op het gebied van Informatieveiligheid te kunnen voldoen.
3. De auditlast bij gemeenten te verminderen.
4. Gemeenten een aantoonbaar betrouwbare partner te laten zijn.
5
Baseline Informatiebeveiliging Nederlandse Gemeenten: Uitgangspunten
• Gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden:
– Bijvoorbeeld: ISO 27001:2005, ISO 27002:2007, VIR, VIR-BI en BIR.
• Basis beveiligingsniveau gebaseerd op normen en wetgeving:
– Inclusief mapping vanuit normen en wetgeving naar de maatregelen
Strategische Variant BIG
• Scope: – Bedrijfsvoeringsprocessen en onderliggende
informatiesystemen en informatie van de gemeente
• Uitgangspunten: – B&W integraal verantwoordelijk
– Basis niveau Departementaal Vertrouwelijk
– Schengen’-principe gehanteerd
– Gerichte risicoafweging voor afwijkende situaties of wanneer een hoger beveiligingsniveau nodig is
• Randvoorwaarden: – Rol management
– Risicomanagement
– Bewustwording
– Integrale aanpak
7
Tactische variant BIG
• Indeling als internationale beveiligingsnorm ISO/IEC 27002:2007
• Basisset aan maatregelen die voor alle gemeenten geldt
• Bevat maatregelen uit aansluitnormen van de basisregistraties:
– GBA / BRP
– PUN
– BAG
– SUWI wet
– WBP en laatste richtsnoeren
• Randvoorwaarden, stappenplan
8
Operationele Variant BIG
• Opgebouwd uit aanvullend beleid, procedures, handreikingen, aanwijzingen en patronen
• Geven vooral antwoord op het “hoe”
– detaillering, invulling maatregelen
• Welke producten:
– Prioriteit: bepaald middels uitvraag
– Aantal: 50+ producten
– Planning: tweede helft 2013 en medio 2014.
– Kwaliteitsborging: review door gemeenten
9
Voordelen van de BIG
• Gemeenten hebben nu allemaal hetzelfde kader
• Bewustwording neemt toe bij gemeenten en daarmee ook de vragen
• Meer in control zijn:
– gemeenten worden volwassen opdrachtgevers qua beveiliging, en dat dwingt leveranciers tot volwassen opdrachtnemerschap
• Duidelijkheid voor leveranciers:
– geen verschillende beveiligingseisen van verschillende gemeenten
– Onderscheidende factor voor leveranciers
• Security by design
10
De BIG en kleine
gemeenten
Versie 1.6
IB-Plan
Maatregelen
Systemen
Processen
Welke ruimte biedt de BIG voor kleine gemeenten?
• De BIG compleet is een hele lijst om mee te beginnen,
hoe daar mee om te gaan? • Het primaire uitgangspunt voor informatiebeveiliging is
en blijft risicomanagement • ‘Pas toe’ en ‘Leg uit’ is en blijft basisprincipe • Tijdpad voor implementeren van de BIG is begin 2017,
daarmee is ruimte in volgorde van de systemen en maatregelen
• Implementeer/prioriteer de BIG op basis van een gezonde risico-inschatting
• LET OP: de hele BIG blijft van toepassing echter er wordt gefaseerd mee omgegaan
12
Hoe dan, een stappenplan
1. Bepaal kritieke processen 2. Bepaal essentiële systemen bij deze processen
• Voeg daar 3D-systemen aan toe
3. Stel de scope vast (systemen) 4. Prioriteer BIG maatregelen (focus aanbrengen)
a. Generieke maatregelen b. Specifieke maatregelen
5. Beleg de BIG maatregelen (PIOFAH actoren) 6. Bepaal inzicht in de status per maatregel
• Noteer de uitkomsten in de GAP-analyse spreadsheet
7. Bepaal de impact 8. Stel een informatiebeveiligingsplan op
13
Stap 1. Bepaal kritieke processen
• Denk na over criteria
• Welke criteria vinden jullie belangrijk bij het bepalen van het kritieke proces?
• Welke processen zijn dan kritiek?
• Wie is de eigenaar van het proces?
• Laat de processen die al ‘goed’ zijn voor wat ze zijn
14
Criteria waar kun je aan denken?
• Wetgeving
• Raakt het de burger (burgergerichte processen)
• Raakt het andere processen binnen de gemeente (organisatiegerichte processen)
• Beschikbaarheid dienstverlening
• Hoge herstelkosten
• Hoge integriteit vereist
• Verwerking van persoonsgegevens (Privacy)
• Vertrouwelijkheid van informatie
• Afbreukrisico politiek, imagoschade
15
5 of meer criteria aanvinken?
Verstoring of uitval van het proces:
heeft impact op het leven van de burger of de bedrijfsvoering
van het bedrijf.
zorgt voor vertraging bij het halen van onze ambities.
Verstoring of uitval van het proces stokt de dienstverlening van
de organisatie.
stokt de bedrijfsvoering van meer afdelingen of ketenpartners.
de eigen organisatie imagoschade op.
brengt een aanzienlijke kostenpost met zich mee.
levert schade op bij andere (samenwerkings-)partijen.
heeft een wettelijke termijn waarbinnen het proces beschikbaar
moet zijn.
Snelle doorlooptijd van het proces is
belangrijk voor burger of bedrijf 16
Lijst afkomstig van TF BID voor gemeentesecretarissen
Resultaat na stap 1
Kritieke processen en hun eigenaar
17
DOEN
• Splits in aantal groepen
• Kijk naar de lijst met criteria
• Bepaal per groep maximaal 5 kritieke processen, en bedenk wie er over gaat.
• Plenair terugkoppelen
• Tijd 10 minuten
18
Stap 2. Bepaal essentiële systemen
• Welke systemen ondersteunen de kritieke processen?
• Voeg de 3D systemen hier aan toe
• Wat zijn essentiële systemen van de eerder gevonden processen?
• Doen: • Op basis van de eerste lijst met kritieke processen het
benoemen van essentiële systemen bij die processen
• Dezelfde groepen
• 5 minuten
• Terugkoppeling per groep
19
Voorbeeld tabel essentiële systemen
Proces Systeem eigenaar gegevens Hardware
Burgerzaken diensten
@@ 4 all (GBA)
Hoofd burgerzaken
Oracle database
Servers bij ICT
Kassa systeem
Hoofd burgerzaken
Oracle database
Kassa, pin automaat (PCI-DSS?)
RAAS Hoofd burgerzaken
Oracle database
Servers, desktop, biometrie app
Sociale zaken diensten
Keukentafel applicatie
Hoofd sociale dienst
(cloud) Cloud)
Woz gerichte diensten
Belastingen systeem
Hoofd gemeentebelastingen
Oracle database
Servers XXX
20
Resultaat na stap 2
Kritieke processen en hun eigenaar
Essentiële systemen en hun eigenaar
21
Stap 3. Stel de scope vast (systemen)
• De hoeveelheid systemen en processen die gevonden worden kunnen te veel (of te weinig) zijn voor een periode.
• Bepaal een volgorde op basis van de aantallen criteria en stel een “knip” voor.
• Laat systemen achterwege die al ‘goed’ zijn
• Laat dit vaststellen door het management
22
Resultaat na stap 3
Kritieke processen en hun eigenaar
Essentiële systemen en hun eigenaar
De scope: met welke systemen ga je aan de slag?
23
Stap 4. Prioriteer BIG-maatregelen
• In de BIG zijn 303 maatregelen verdeeld over 133 controls
• Die maatregelen kun je niet allemaal ineens controleren en / of implementeren
• Prioriteer op basis van risico-inschatting, belang en haalbaarheid per jaar waar je de nadruk op legt.
• Doseren over 3 jaar gezien
• Denk aan generieke en specifieke maatregelen
• Pas de GAP analyse spreadsheet aan
24
Generieke maatregelen • Generieke maatregelen zijn maatregelen die
gemeentebreed gelden over alle processen en systemen heen, verantwoordelijken PIOFAH.
• Voorbeelden – Gemeentelijk beveiligingsbeleid – Coördineren van beveiliging – Verantwoordelijkheden – Goedkeuringsproces voor ICT-voorzieningen – Geheimhoudingsovereenkomst – Inventarisatie van bedrijfsmiddelen – Eigendom van bedrijfsmiddelen – Aanvaardbaar gebruik van bedrijfsmiddelen – Arbeidsvoorwaarden – Fysieke beveiliging van de omgeving – Fysieke toegangsbeveiliging – Beveiliging van kantoren, ruimten en faciliteiten – Bescherming tegen bedreigingen van buitenaf
25
Specifieke maatregelen
• Specifieke maatregelen zijn maatregelen die niet gemeentebreed gelden maar toegewezen kunnen worden aan een proces eigenaar / systeemeigenaar / directeur / manager ten behoeve van een informatiesysteem
• Voorbeelden: – Gedocumenteerde bedieningsprocedures
– Functioneel beheer
– Wijzigingsbeheer (niet het proces maar voor het systeem)
– Functiescheiding
– Scheiding van faciliteiten voor ontwikkeling, testen en productie
– Reservekopieën maken (back-ups)
– Uitwisselingsovereenkomsten, bewerkersovereenkomsten
– Aanmaken en controleren audit-logbestanden
26
Welke keuze, hoeveel, wat kun je aan het komende jaar?
• Bepaal op basis van de GAP-analyse lijst welke nadruk op
beveiligingseisen je dit jaar de nadruk wilt leggen
• Risico-denken
• Planning over 3 jaar
• Welke zou je willen kiezen?
• Leg deze keuze voor aan het management!
27
DOEN / Pauze
• Denk na over de belangrijkste maatregelen waar je dit jaar op wilt focussen
• Welke groepen van maatregelen vind je nu belangrijk en waarom?
• Discussie in dezelfde groepen en plenaire terugkoppeling
• Tijd 10 minuten
28
Resultaat na stap 4
Kritieke processen en hun eigenaar
Essentiële systemen en hun eigenaar
Generieke maatregelen voor dit jaar
Specifieke maatregelen per proces-/systeemeigenaar
Prioritering per jaar
29
Stap 5. Beleg de BIG maatregelen
• PIOFAH
• Kan per gemeente anders georganiseerd zijn
• Eenmalig uitzoeken
• Is er geen verantwoordelijke dan dit bepalen en vastleggen
30
•Personeel
•Inkoop (soms informatievoorziening)
•Organisatie
•Financiën
•Automatisering/Administratie
•Huisvesting
Resultaat na stap 5
Kritieke processen en hun eigenaar
Essentiële systemen en hun eigenaar
Generieke maatregelen voor deze periode
Specifieke maatregelen per proces-/systeemeigenaar
Prioritering per jaar
Eigenaren bij generieke maatregelen
31
Stap 6. Bepaal inzicht in de status per maatregel
• Gebruik de BIG GAP-analyse als leidraad
• Interview (of groepssessie) de vastgestelde functionarissen (eigenaren) van:
– de generieke beveiligingsmaatregelen
– de resterende specifieke maatregelen
• Noteer alles, bij twijfel keuze maken
• Ook hier ‘pas toe’ en ‘leg uit’
32
Aanpassen GAP-analyse
33
Resultaat na stap 6
Kritieke processen en hun eigenaar
Essentiële systemen en hun eigenaar
Generieke maatregelen voor dit jaar
Specifieke maatregelen per proces-/systeemeigenaar
Prioritering per jaar
Eigenaren bij generieke maatregelen
Inzicht in de (globale) status per maatregel
34
Stap 7. Bepaal de impact
• Bepalen welke ontbrekende maatregelen het komende jaar geïmplementeerd moet worden:
– Koppel hier een actiehouder aan
– Stel vast wanneer het klaar moet zijn
– Koppel hier budget aan (indien mogelijk)
• Gebruik de impactanalyse spreadsheet
• Leg ook vast:
– wat er nog niet onderzocht is
– wat wordt doorgeschoven naar komende jaren
• Ook hier ‘pas toe’ en ‘leg uit’
35
36
Rol management, betrekken, communiceer
• Er moet nu een keuze worden gemaakt, op basis van een risico inschatting, hoge kosten of korte termijn haalbaarheid door het management op basis van de lijst met resultaten. Leg iedere keuze expliciet vast voor later.
• De overgebleven maatregelen moeten in een informatiebeveiligingsplan komen met acties, door wie ze uit gevoerd worden, wanneer en hoe gerapporteerd wordt.
• Bewaking door CISO / IBF
37
Resultaat na stap 7
Kritieke processen en hun eigenaar
Essentiële systemen en hun eigenaar
Generieke maatregelen voor dit jaar
Specifieke maatregelen per proces-/systeemeigenaar
Prioritering per jaar
Eigenaren bij generieke maatregelen
Inzicht in de (globale) status per maatregel
Inzicht in wie wat wanneer moet implementeren (impact analyse)
38
Stap 8. Stel een informatiebeveiligingsplan op
• Algemeen
• Nadruk op beveiligingseisen dit jaar
• Kritieke processen
• Essentiële systemen
• Welke algemene beveiligingsmaatregelen worden door wie geïmplementeerd
• Welke systeem specifieke beveiligingseisen worden door wie geïmplementeerd
• Overleg en overlegstructuur
• Rapportage en verantwoording
39
Resultaat na stap 8
Kritieke processen en hun eigenaar
Essentiële systemen en hun eigenaar
Generieke maatregelen voor dit jaar
Specifieke maatregelen per proces-/systeemeigenaar
Prioritering per jaar
Eigenaren bij generieke maatregelen
Inzicht in de (globale) status per maatregel
Inzicht in wie wat wanneer moet implementeren (impact analyse)
Informatiebeveiligingsplan is opgesteld en kan worden uitgevoerd
40
Hergebruik van maatregelen? • Wat goed is, nu niet stukmaken
• Zijn de audits / zelfassessments doorstaan dan is het goed.
• Kopieer op termijn datgene wat er voor de GBA, PUN en SUWI al is binnen de gemeente, dus maak geschikte procedures en beleid “algemeen”
• Haal de dubbelingen bij de processen weg zodat specifieke wettelijke eisen wel blijven bestaan en verantwoord worden
41
Aanvullingen als er tijd over is
43
Grote gemeenten, concern directie beleid en kaders, directies voeren uit Kritieke processen en hun eigenaar
Essentiële systemen en hun eigenaar
Generieke maatregelen voor dit jaar
Specifieke maatregelen per proces-/systeemeigenaar
Prioritering per jaar
Eigenaren bij generieke maatregelen
Inzicht in de (globale) status per maatregel
Inzicht in wie wat wanneer moet implementeren (impact analyse)
Informatiebeveiligingsplan is opgesteld en kan worden uitgevoerd
44
Voorbeeld prioriteiten
Versie 1.5
Voorbeeld prioriteiten om aan te pakken
• BIG Toppers:
– Beleid
– Incident management
– Hardening
– Patchmanagement
– Change management
– Continuïteit
– Back-up
– Logging en logging controle
– account management en
– Usermanagement centraal
• Processen / systemen:
- Decentralisaties
- Financiën
- 3D systemen
- Financieel systeem
- Dienstverlening zaaksysteem
BIG instrumenten, een
nadere uitleg
Versie 1.5
Instrumenten
• 0-meting
• Impactanalyse
• Baselinetoets
• Diepgaande Risicoanalyse
• Privacy Impact Assessment (PIA)
48
Instrumenten: GAP analyse en impactanalyse
• De GAP analyse is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG
• De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen
• Dus ook richting leveranciers van informatiesystemen
49
Instrumenten: baselinetoets
• Zo eenvoudig mogelijk opgezet
• Toetsen door middel van BIV en P vragen
• Tweeledig doel:
– Een bestaand systeem te toetsen of de baseline voldoende beschermd
– Toetsen van een nieuw proces/informatiesysteem of de baseline voldoende is of dat er meer nodig is.
• Resultaat:
– BIG is voldoende
– BIG is niet voldoende, voer diepgaande risicoanalyse uit en voer eventueel een PIA uit
– Geeft inzicht in BIV+P ten opzichte van de BIG
50
Instrumenten: diepgaande risicoanalyse
• Vervolg op de baselinetoets
• Kan leiden tot aanvullende controls en maatregelen bovenop de BIG controls en maatregelen
• Minimaal tijd benodigd van proceseigenaar, systeembeheerders etcetera
• In korte tijd te doen
• Mogelijk focus op BIV+P uit baselinetoets
51
Instrumenten: PIA
• Richtsnoeren
• Indien de P-vragen uit de baselinetoets aanleiding geven tot een PIA
• Vragenlijst gericht op privacy vraagstukken
• Eenvoudige rapportage
• Leidt tot eventueel aanvullende beveiligings-/privacy- maatregelen
• Toekomst verplicht (EU-wetgeving)
52
Sta
pp
en
pla
n g
em
een
ten
53
Top Risico’s Oplossingen
Onzorgvuldig handelen Gebruikers Beheerders Leveranciers
Bewustwording Logging en monitoring en auditing Systeem documentatie Opleidingen
Derde Partijen en Cloud Contracten, Bewerkersovereenkomsten, SLA’s en TPM
Mobiele devices Mobile Device Management Zero footprint
Toegang tot data door onbevoegden, lekken van informatie (boetes)
- Management committment - Bewustwording -Logisch toegangsbeheer, afscherming op kolom, regel of tabelniveau, RBAC etcetera Encryptiemaatregelen -Indienst- en uitdienst- en functiewijziging procedures - Cloud aandachtspunten -Logging en monitoring
Besmettingen Patchmanagement Hardening Antimalware maatregelen Back-up 54
Top risico’s sociaal domein
Enkele praatplaten
Versie 1.5
Sam
en
han
g p
ro
du
cte
n
56
Informatiebeveiliging en Privacy in IV Projecten
Verkenning
Definitie
Realisatiefase
Maatregelen Baseline
Maatregelen Baseline +
Baselintetoets Informatiebeveiliging
en Privacy
Diepgaande Risico Analyse en/of Privacy Impact
Analyse
Ontwerpen Functioneel
Ontwerp Technisch Ontwerp
Beheer en Governance
Ontwerp
Contracten Leveranciers Convenant gebruikers
SLA DAP
Inkoop Programma van
Eisen
Privacy Functionaris
gegevensbescherming
Transparantiedocument
Bewerkersovereenkomst
Werkinstructies Gebruikers
Functioneel beheer Technisch/applicati
e beheer
Testen Testplan Pentest
Functioneel Technisch
B ≤ 8
I ≤ 14
V ≤ 14
Projectaudits
B > 8
I > 14
V > 14
P > 3
Overview Baseline Toets
en Risicoanalyse
Informatiebeveiliging
Versie 1.5
Overzicht Baselinetoets
STAP
SETTING
WERKWIJZE
TOOLS
RESULTAAT
1. Intakegesprek
voeren
2.
Analyseren proces
Gesprek met opdrachtgever,
meestal projectleider
In kaart brengen scope, diepgang,
planning, brondocumenten, respondenten etc.
Plan van Aanpak / planning
voorbereiding analyse
Baselinetoets
Afstemming met proceseigenaar
In kaart brengen procesomgeving,
Samenhang, inhoud en eisen
Generiek Procesmodel
Waarderings-
tabellen
Procesmodel en eerste beeld van de eisen
3. Vaststellen
betrouwbaar- heidseisen BIV-P
Terugkoppeling aan opdrachtgever
Consolideren van de eisen, bepalen vervolgstappen
Geconsolideerd beeld van de eisen
Inzicht in de
Vervolgstappen
Schema vervolgstappen
UREN INDICATIEF
1 uur opdrachtgever 10 uur voorbereiding en
uitwerken
4 uur opdrachtgever 8 uur uitwerken (per
proces) 1 uur opdrachtgever
Baselinetoets, tijd benodigd van de opdrachtgever
• Uitgangspunt: scope is één systeem
• Baselinetoets lijkt op A-analyse / BIA aanpak
– Sessie/interview met proceseigenaar: 3 a 4 uur.
– Terugkoppeling 1 uur
• Totaal dus zo'n 5 uur tijd aan opdrachtgever kant
• Overige tijd is voorbereiding en uitwerking door analist
60
Overview diepgaande risicoanalyse
STAP
SETTING
WERKWIJZE
TOOLS
RESULTAAT
UREN INDICATIEF
5. Analyseren
bedreigingen
Gesprek met systeemeigenaar,
meestal functioneel beheerder
Bepalen relevante
bedreigingen i.r.t. gevolgen
Overzicht van de relevante
bedreigingen
Invulmatrix gevolgen &
bedreigingen
4 uur Gesprek(ken) met systeemeigenaar
20 uur voorbereiden en uitwerken
6. Vaststellen
maatregeldoel-stellingen
Uitwerking door Analist en
terugkoppeling aan opdrachtgever
Formuleren maatregeldoel- stellingen o.b.v.
de eisen en relevante bedreigingen
Samenhangend pakket maatregel-
doelstellingen
BIG Maatregel- Doelstellingen en eigen maatregel-
doelstellingen
20 uur
7. Opstellen
Plan
Terugkoppeling aan opdrachtgever
Opstellen implementatieplan
per verantwoordelijke
Implementatieplan informatiebeveiliging
Opzet implementatieplan
20 uur samen met CISO en
opdrachtgever
4. Analyseren Informatie-
systeem
Gesprek met systeemeigenaar,
meestal functioneel beheerder
In kaart brengen informatiesysteem
alsmede eisen
MAPGOOD Invulformulier
Waarderings-
tabellen
MAPGOOD formulier ingevuld en eerste beeld van de eisen
4 uur systeembeheer/ functioneelbeheer 8 uur voorbereiden
en uitwerken
Door eigenaar,
niet in scope
Diepgaande risicoanalyse, tijd benodigd van de opdrachtgever
• Uitgangspunt: één systeem
– Map goed als dat nog niet is gedaan: tot 4 uur met systeemeigenaar
– dreigingenanalyse 2 tot max 3 dagdelen met systeemeigenaren
– maatregelen (op Maatregel/Doelstelling niveau) vaststellen, alleen de afstemming met proces/ systeemeigenaar 4 uur
• Overige tijd is voorbereiding en uitwerking door analist
• Leidt tot maatregeldoelstellingen die in stap 8 worden aangescherpt, dat plan doet de eigenaar zelf
62