Informatieveiligheid voor lokale besturen binnen het - V-ict-or

Download Report

Transcript Informatieveiligheid voor lokale besturen binnen het - V-ict-or 

ICT-Diensten voor de Vlaamse overheid en de
lokale/provinciale besturen
Informatieveiligheid voor
lokale besturen binnen het
nieuwe VO-raamcontract.
Rutger Schenk – 13/11/2014
Naar een veilige integratie en verbinding met centrale
administraties en tussen lokale besturen onderling.
13/11/2014
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Agenda
1. Kort overzicht van de diensten binnen het nieuwe
raamcontract
2. Informatieveiligheid binnen deze diensten
3. Hoe kunnen we jullie helpen overgaan naar deze
diensten?
4. Vragen
2
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
1. Kort overzicht van
de diensten binnen het
nieuwe raamcontract
2. Informatieveiligheid
binnen deze diensten
3. Hoe kunnen we
jullie helpen overgaan
naar deze diensten?
4. Vragen?
Deel 1
Kort overzicht van de diensten binnen het
nieuwe raamcontract
3
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Overzicht van het aanbod
Werkplekdiensten
Netwerk
diensten
Projecten
Datacenter
diensten
4
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Overzicht van het aanbod – Werkplek
Diensten
Werkplekdiensten
Netwerk
diensten
Projecten
Datacenter
diensten
Exploitatie van de
gebruikersinfrastructuur.
Installatie en configuratie van een
desktop/laptop, printers, ...
Helpdeskondersteuning.
Aankoop en levering van
standaard Producten voor
werkplek. Aankopen van ICTProducten zoals opgenomen in door
de ICT-Dienstverlener beheerde
Productcatalogus (hardware en
software).
Datacenterdiensten voor
werkplek. Activatie en beschikbaar
houden van mail, agenda, instant
messaging, chat,
aanwezigheidsinformatie, virtuele
vergaderfunctionaliteit, persoonlijke
datacapaciteit voor een Gebruiker, ... 5
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Overzicht van het aanbod - Projecten
Werkplekdiensten
Netwerk
diensten
Projecten
Datacenter
diensten
Projecten:
• Programma en
Projectmanagement.
• Analyse, Design, Bouw en
Implementatie. HB-plus stelt
profielen/teams ter beschikking
van de besturen die ingezet
kunnen worden om projecten te
initiëren en tot een goed einde te
brengen.
6
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Overzicht van het aanbod Datacenterdiensten
Werkplekdiensten
Netwerk
diensten
Projecten
Datacenter
diensten
• Applicatiemanagement. Het
beschikbaar houden van een
bedrijfstoepassing.
• Platformdiensten. Aanvragen
van een databaseplatform, een
webserver, een applicatieserver,
...
• Infrastructuurdiensten. Ter
beschikking stellen en opzetten
van fysieke en virtuele servers,
storage en back-up, ..
• Computerzaalfaciliteiten.
Aanvraag voor het ter beschikking
stellen, wijzigen, opzeggen van
computerzaalruimte, ...
7
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Overzicht van het aanbod Netwerkdiensten
Werkplekdiensten
Netwerk
diensten
Projecten
• (Voorlopig?) Niet van toepassing
voor Lokale Besturen.
Lokale Besturen blijven vrij in de
keuze van netwerk leverancier, en
zullen dus zelf instaan voor de
(Internet) koppeling met de HBplus data centers, waar relevant
Datacenter
diensten
8
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Onze Oplossing is ‘uniek’
Deze oplossing biedt een geïntegreerde totaal oplossing,
uniek voor Vlaamse overheid en Lokale Besturen.
9
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
1. Kort overzicht van
de diensten binnen het
nieuwe raamcontract
2. Informatieveiligheid
binnen deze diensten
3. Hoe kunnen we
jullie helpen overgaan
naar deze diensten?
4. Vragen?
Deel 2
Informatieveiligheid binnen deze diensten
10
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Security Vereisten:
ICT contract 2015 exploitatie gebonden ICT-diensten
VO Generiek Veiligheidsbeleid
Privacy richtsnoeren
Industrie goede praktijken
11
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
De HB+ Security Visie is:
Het bieden van optimale ondersteuning en beveiligingsadvies.
Het leveren van flexibele, modulaire en kost efficiënte diensten
die eenvoudig te bestellen zijn.
Binnen de HB-plus diensten iedere Klant de vrijheid geven om
haar veiligheidsniveau en ondersteuning te bepalen.
Iedere Klant op elk gewenst ogenblik een duidelijk zicht op
haar veiligheidsniveau kunnen bieden.
12
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
HB+ Principes en goede praktijken!
Adequate security controles inregelen om afgesproken
SLA-niveau te kunnen bieden.
Advies voor security maatregelen o.b.v. classificatie
van informatie.
Gelaagde security (‘onion model’).
Toegangsbeheer – ‘account life cycle management’
toepassen. Wie heeft op welk moment toegang?
Minimale impact op anderen.
Risico gebaseerde aanpak.
Naleving wet- en regelgeving (‘Privacy richtsnoeren’).
Van ‘perimeter security model’ naar ‘information
security model’.
13
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Service datacenters
• Beveiligde omgeving met overheidsrelevante
compliance certificatie en audit mogelijkheid;
• SSAE16/ISAE3402 SOC1 Type II / ISO27001
compliancy
• HB-plus datacenterlocaties in BE/NL
• Tier3
14
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Service operations
• HB-plus Geheimhoudingsverklaringen en
gedragscode actueel
• Authenticatie, autorisatie en accounting principes
gewaarborgd
• Geen HB-plus beheer buiten Europa
• Security incident management
15
Vrijheid
Vrijheid
Vrijheid
Vrijheid
AMaaS
PaaS
IaaS
IaaSLight
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Granulaire Beveiliging Datacenterdiensten
Eigen veiligheidsniveau
bepalen…
Veiligheidsniveau
service provider
16
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Datacenter ‘architectuur’
VPC INTERNET
Network Intrusion Prevention System (NIPS)
VPC Virtual Firewall
F5 Loadbalancer
SSL/VPN
IaaS
IaaS
AMaaS
Rev Proxy
IaaS
PaaS
13/11/2014
PaaS
Fw Proxy
AMaaS
AMaaS
HIPS
portal
SMTP
Relay
AMaaS
Zone lokale besturen
Service
Platform
Zone
AMaaS O, T&I
Andere zones
Zone DMZ
17
Zone HB+
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Service Specifieke Controles:
Datacenterdiensten
• VO compartiment
• NIPS
• Loadbalancing
• Hostbased protection
• Backup
• SAN zoning/LUN Masking
• Hardening (alleen HB+ managed systemen)
• Patching (alleen HB+ managed systemen)
• Monitoring (alleen HB+ managed systemen)
• Conformiteits meting (alleen HB+ managed systemen)
• Vulnerability scanning (alleen HB+ managed systemen)
• Security incident management
• Disk volume/database encryption (optioneel)
• DRP (optioneel)
18
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Datacenter diensten ontsluiting en beheer
Zone Locale
Besturen
Locatiegebonden toegang
Stad
IaaS
PaaS
G
e
m
. AMaaS
S
t
a
d
Gemeente
Internet
Persoonsgebonden toegang
3de partij
Datacenterdiensten
19
Security in de service
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Use case: IaaS
Basis bestelling IAAS:
• Welk Operating Systeem?
• Windows
• Linux
• Unix
• Storage?
Basis beveiligingsopties:
• Host protection
• Vulnerability scanning
• Conformiteits meting
• Patching
• NIPS
• Backup
• Monitoring
• Security incident
management
20
Security in de service
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Use case: IaaS Light
Basis bestelling IAAS:
• Welk Operating Systeem?
• Windows
• Linux
• Unix
• Storage?
Basis beveiligingsopties:
• Host protection
• Vulnerability scanning
• Conformiteits meting
• Patching
• NIPS
• Backup(optioneel)
• Monitoring
• Security incident
management
21
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Service Specifieke Controles
Datacenterdiensten WPaaS
• Sterke authenticatie
• Remote Wipe
• Spamfilter
• Anti-malware
• Audit en logging toegang
• Pentesting infrastructuur
• Interconnectiviteit wordt bepaald bij onboarding
• Toegangsbeheer mechanismen/policy wordt bepaald bij onboarding (IAM)
22
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Modulaire security in dienst
 Optionele EXTRA Security diensten die aangeboden kunnen worden:
•
•
•
•
•
•
•
Forensics – Security Incident
Response (SIRT)
Kwetsbaarheidsanalyses
Business Continuity
Management / Business
Impact Analyses
ondersteuning
Risico assessments (t.b.v.
nieuwe systemen of
toepassingen in projecten)
Penetration testen
Disk volume/database
encryption
Audit support
23
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
1. Kort overzicht van
de diensten binnen het
nieuwe raamcontract
2. Informatieveiligheid
binnen deze diensten
3. Hoe kunnen we
jullie helpen overgaan
naar deze diensten?
4. Nog even alles op
een rijtje
Deel 3
Hoe kunnen we jullie helpen overgaan naar
deze diensten?
24
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Hoe kunnen we jullie helpen?
Adviseren
Advies afgestemd op
jouw strategie
Transformeren
Ontwikkelen As A Service
Project werking
Snelheid
Volgens het
contract
Veilig
Efficiënt
Adviseren over relevante
mogelijkheden en strategieën
zowel op business als IT
gebied
Beheren “As A Service”
SLA gebaseerd
End-to-End
Kost
Beheren
Jullie huidig landschap uitbreiden
en / of ombouwen naar een
lagere TCO op basis van nieuwe
dienstverlening
Alle
componenten
inbegrepen
Jullie huidig landschap
beheren “as a service”, alles
inbegrepen
25
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Adviseren door samen de business case te
bouwen
Kick Off
•Trends Infosessies
•New Style of IT
•New Way of
Working
•As A Service
modaliteiten
•AS IS informatie
baseline vastleggen
(Blueprint)
• Evaluatie eigen
infrastructuur,
applicaties en
dienstverlening
Principes
Werksessie
•Principes voor
samenwerking
(Business,Applicati
es,Infrastructuur,
Governance)
bepalen
To Be werksessie
•Business visie
•Doelstellingen
•Hoe ver kan je / wil
je gaan naar een
“as a service
model” – begin van
roadmap
IT Roadmap
werksessie
•Roadmap naar TO
BE model
•Lange termijn
projecten
•Korte termijn
projecten
•Opties
•Overeenstemming
ambitie en
doelstellingen
Finale Business
Case
•OUTPUT = Voorstel
business case,
inclusief
Roadmap,Gaps,
Alternatieven,risico’
s en budget aanpak
•Basis om offerte
fase te starten
•GO/NO GO Offerte
traject
Modaliteiten:
• 5 Werksessies van halve dag
• 5 dagen doorlooptijd (korte doorlooptijd)
• Vast opleverproduct
26
13/11/2014
Ambitie niveau ?
Stap n
Dienstverlening
• Introductie Nieuwe /
Andere applicaties
Minimale Initiële
Transitiekost
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Resultaat: een (veilige) roadmap op jullie
maat!
Stap 3
Stap 2
Stap 1
• Contractuele on
boarding
• Groepsaankopen
• Netwerk
Aansluiting =
transformatie
project
• Applicaties – “case
by case” aanpak
• Verdere uitrol
Werkplek diensten
• Infrastructuur /
“low hanging fruit”
• Data center
Diensten
• Werkplek Diensten
– Eerste fase
• Applicatie Diensten
(waar relevant)
2015
27
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
1. Kort overzicht van
de diensten binnen het
nieuwe raamcontract
2. Informatieveiligheid
binnen deze diensten
3. Hoe kunnen we
jullie helpen overgaan
naar deze diensten?
4. Vragen
Deel 4
Vragen
28
13/11/2014
ICT-diensten voor de Vlaamse overheid en de lokale/provinciale besturen
Volg onze communicatie op:
http://www.hb-plus.be
29
ICT-Diensten voor de Vlaamse overheid en de
lokale/provinciale besturen
Bedankt voor jullie aandacht
[email protected]
Naar een veilige integratie en verbinding met centrale
administraties en tussen lokale besturen onderling.
13/11/2014