Transcript Concern informatiebeveiligingsbeleid 2014

1-,
Gemeente Rotterdam
Concern
Informatiebeveiligingsbeleid
2014
College van B&W
Datum
10 december 2013
Doc.nr. 1139319
Inhoudsopgave
1. U i t g a n g s p u n t e n van concern informatiebeveiliging
3
2. O r g a n i s a t i e van de informatiebeveiliging
5
3. G e b r u i k van middelen en informatie
1
4. P e r s o n e e l 1
0
2
5. F y s i e k e beveiliging
1
3
6. B e v e i l i g i n g van apparatuur en informatie
1
7. L o g i s c h e toegangsbeveiliging
4
1
8
8. B e v e i l i g i n g van informatiesystemen (software)2
9. Beveiligingsincidenten 2
0
1
10. Bedrescontinuiteit
2
11. N a l e v i n g
2
2
3
Bijlage: Relevante documenten en bronnen2
Concern
D
a
Informatiebeveiligingsbeleid D e f i n i t i e f 1 0
5
t
u
1
m
0
P
a
december 2013
g
i
n
2
a
van 25
1. Uitgangspunten van concern informatiebeveiliging
Het belang van informatie(veiligheid)
Informatie is één van de voornaamste bedrijfsmiddelen van de gemeente Rotterdam. Het
verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren
van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering. Ernstige
incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen
organisatie met waarschijnlijk ook politieke consequenties. Informatieveiligheid is daarom van
groot belang, informatiebeveiliging (IB) is het proces dat dit beoogt.
Visie
Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren
van de gemeente en de basis voor het beschermen van rechten van burgers en
bedrijven.' Dit vereist een integrale aanpak, goed opdrachtgeverschap en
risicobewustzijn. leder organisatieonderdeel is hierbij betrokken. De komende jaren
zet de gemeente Rotterdam in op verhogen van informatieveiligheid en verdere
professionalisering van de IB functie in de organisatie.
Het proces van informatiebeveiliging is primair gericht op bescherming van gemeentelijke
informatie, maar is tegelijkertijd een 'enabler; het maakt bijvoorbeeld elektronische
dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van
werken. De focus is informatie in alle verschijningsvormen, elektronisch, op papier en
mondeling uitgewisseld. Het gaat niet alleen over bescherming van privacy, maar ook over
bescherming van vitale maatschappelijke functies die worden ondersteund met informatie
(verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT:
verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid.2
Doelstelling
Dit concern IB beleid is het kader voor passende technische en organisatorische maatregelen
om gemeentelijke informatie te beschermen en te waarborgen dat de gemeente voldoet aan
relevante wet en regelgeving. Rotterdam streeft er naar om 'in control' te zijn en daarover op
professionele wijze verantwoording af te leggen.
Uitgangspunten
• H e t Rotterdamse informatiebeveiligingsbeleid is in lijn met het algemene beleid van
de gemeente en relevante landelijke en Europese wet en regelgeving.
• H e t beleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 2700x) en
de daaruit afgeleide Baseline Informatiebeveiliging Gemeenten (KING, VNG).3
• H e t concern IB beleid is vastgesteld door het college van B&W.
Met betrouwbaarheid wordt bedoeld: beschikbaarheid (continuiteit van de bedrijfsvoering), integriteit (juistheid,
volledigheid) en vertrouwelijkheid (geautoriseerd gebruik) van gegevens en informatie.
2Medewerker = (I) ambtenaar in de zin van het Ambtenarenreglement of (2) degene die op arbeidsovereenkomst of
anderszins betaalde of niet-betaalde werkzaamheden voor een de gemeente Rotterdam verricht.
Daarbij geldt het uitgangspunt: 'comply or explain* (pas toe of leg uit)
concern
D
a
t
u
m
P a g i n
Informatiebevelligingsbeleid D e f i n i t i e f 1.0
1
0
december 2013
3
a
van 25
Risicobenadering
• D e aanpak van informatiebeveiliging in Rotterdam is risk based'. Dat wil zeggen:
beveiligingsmaatregelen worden getroffen op basis van risicoanalyse.4 Daartoe
inventariseert de proceseigenaar de kwetsbaarheid van zijn werkproces en de
dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de
beschermingseisen van de informatie.5 Het risico is de kans op beveiligingsincidenten
en de impact daarvan op het werkproces en wordt bepaald door de proceseigenaar:
risico = kans x impact.
Doelgroepen
• H e t concern IB beleid is bedoeld voor iedereen:
Doelgroep
College van B&W
Concemdirectie
Lijn management (proceseigenaren)
Medewerkers
Gegevenseigenaren
Beleidmakers
IB functionarissen
Personeelszaken
Facilitaire zaken
ICT diensten (en ontwikkelaars)
Auditors
Leveranciers en ketenpartners
Relevanhe voor IB
Integrale verantwoordelijkheid
Kaderstelling
Sturing op informatieveiligheid en controle op naleving
Gedrag en naleving
Classificatie: bepalen van beschermingseisen van informatie
Planvorming binnen IB kaders
Dagelijkse coördinatie van IB
Arbeidsvoorwaardelijke zaken
Fysieke toegangsbeveiliging
Technische beveiliging
Onafhankelijke toetsing
Compliance
Scope
• D e scope van dit beleid omvat alle gemeentelijke processen, onderliggende
informatiesystemen, informatie en gegevens van de gemeente en externe partijen
(bijv. politie), het gebruik daarvan door medewerkers en (keten)partners in de meest
brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
• D i t concern IB beleid is een algemene basis. Voor bepaalde kerntaken gelden op
grond van wet en regelgeving specifieke (aanvullende) beveiligingseisen.6
IB beleid en architectuur
• I B is onderdeel van de Rotterdamse Informatiearchitectuur en uitgewerkt in de IB
Architectuur.' Deze architectuur beschrijft onder meer principes, richtlijnen en
maatregelen o.b.v. verschillende beschermingsniveaus (classificatie).
Werking
• D i t IB beleid treedt in werking na vaststelling door college van B&W. Hiermee komt
het oude IB beleid (2011) te vervallen.
4De methodiek is beschreven in de handreiking dataclassificatie, 2011
5 Ze hoofdstuk 3, paragraaf: classificatie
Bijvoorbeeld SUWI (structuur uitvoeringsorganisatie werk en inkomen) en gemeentelijke basisregistraties
7Component architectuur Informatiebeveiliging 2014, CIO, 2014, voorheen: 'authenticatie, autorisatie en beveiliging'
8De processen van informatiebeveiliging worden onderdeel van de volgende GEMMA versie om daarmee de basis
voor informatieveiligheid te verankeren als integraal onderdeel van de bedrijfsvoering.
Concern
D
a
t
u
m
P a g i n
a
Inforrnatiebeveiligingsbeleid D e f i n i t i e f 1.0
van 25
1
0
december 2013
4
2. Organisatie van de informatiebeveiliging
Beheer van informatieveiligheid binnen de organisatie.
Verantwoordelijkheden
• H e t college van Burgemeester en Wethouders is integraal verantwoordelijk voor de
beveiliging van informatie binnen de werkprocessen van de gemeente.9
• D e Concern Directie (in sturende rol) is verantwoordelijk voor kaderstelling en sturing.
De concerndirectie:19
o s t e l t kaders voor informatiebeveiliging (IB) op basis van landelijke en
Europese wet en regelgeving en landelijke normenkaders;
o s t u u r t op concern risico's;
o controleert of de getroffen maatregelen overeenstemmen met de
betrouwbaarheidseisen en of deze voldoende bescherming bieden;
o e v a l u e e r t periodiek beleidskaders en stelt deze waar nodig bij.
• D e clusterdirecties (in vragende rol) zijn verantwoordelijk voor de integrale beveiliging
van hun organisatieonderdelen."
De clusterdirectie:
o s t e l t op basis van een expliciete risicoafweging betrouwbaarheidseisen voor
zijn informatiesystemen vast (classificatie);
o i s verantwoordelijk voor de keuze, de implementatie en het uitdragen van de
maatregelen die voortvloeien uit de betrouwbaarheidseisen;
o s t u u r t op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en
richtlijnen (gedrag en risicobewustzijn);
o rapporteert over compliancy aan wet en regelgeving en algemeen beleid van
de gemeente in de management rapportages.
• D e directie van de Rotterdamse Service Organisatie (in uitvoerende rol) is
verantwoordelijk voor uitvoering.12
De directie van de service organisatie:
o i s verantwoordelijk voor beveiliging van de informatievoorziening en
implementatie van beveiligingsmaatregelen die voortvloeien uit
betrouwbaarheidseisen (classificaties);
o i s verantwoordelijk voor alle beheeraspecten van informatiebeveiliging, zoals
ICT security management, incident en problem management, facilitaire en
personele zaken;
o v e r z o r g t logging, monitoring en rapportage;
o l e v e r t klanten (technisch) beveiligingsadvies.
De verdeling van verantwoordelijkheden is onderstaand weergegeven volgens het concern
governance model voor de bedrijfsvoering.
Ze ook: Baseline Informatiebeveiliging Gemeenten, Strategisch normenkader, KING (VNG)
19Met betrekking tot de i-functie geeft de CIO op dagelijkse basis namens de concerndirectie invulling aan de
sturende rol door besluitvorming in de concerndirectie voor te bereiden en toe te zien op de uitvoering ervan.
n Zie ook: Baseline Informatiebeveiliging Gemeenten, Strategisch normenkader, KING (VNG)
'9 Let op, ASO is tegelijk ook klant, het gaat hier echter om de uitvoerende rol
Concern
D
a
t
u
m
P a g
Inforrnatiebeveiligingsbeleid D e f i n i t i e f 1.0
1
0
december 2013
i n
5
a
van 25
Sturende rol (concern directie)
• kaderstelling (beleid. regels)
• s t u r i n g op (concern) risico's
• t o e t s i n g en advisering
Vraagrol (clusters)
• d e f i n i ë r e n beveiligingseisen
• s t u r e n op bedrijfscontinuïteit
• t o e t s i n g op naleving (gedrag)
Uitvoerende rol (RSO)
• s e c u r i t y management
• i n c i d e n t beheer
• (technische) advisering
Concern governance voor IB
Taken en rollen
• H e t College van B&W stelt formeel het IB beleid vast. Zowel het College als de Raad
kan uitvoering van beleid (laten) controleren. De concern directie (CD) adviseert B&W
formeel over vast te stellen beleid.
• D e CIO geeft namens de concerndirectie op dagelijkse basis invulling aan de
sturende rol door besluitvorming in de concerndirectie voor te bereiden en toe te zien
op de uitvoering ervan. De IB taken die hieruit voortvloeien zijn belegd bij de 'concern
information security officer (CISO). De CISO bevordert en adviseert gevraagd en
ongevraagd over IB en rapporteert eens per kwartaal concernbreed over de stand
van zaken.
• D e coördinatie van informatiebeveiliging is belegd bij de strategisch advies functie
binnen alle clusters (dus inclusief RSO en BSD). Uitvoerende taken zijn belegd bij
een (decentrale) i-security functionaris. Het cluster rapporteert aan de CISO. Over het
functioneren van informatiebeveiliging wordt jaarlijks gerapporteerd door het cluster
conform de P&C cyclus.
• D e service organisatie (RSO) heeft een security functionaris aangesteld voor
dagelijks beheer van technische IB aspecten. De security functionaris rapporteert aan
de CISO. lnformatiebeveiliging is onderdeel van de service management rapportage.
Wie
Sturen:
CD
dagelijkse
uitvoering:
CIO/CISO
Vragen:
Clusters,
incl. RSO,
BSD
Uitvoeren:
RSO (in
uitvoerde
rol)
Plan:
Kwici•ift.ling
Ontwikkelen van kaders
(beleid en architectuur);
reglementen; meearen
planning
Do:
Uitvoering
Inbedding landelijke en
EU richtlijnen, advisering,
handreikingen,
crisisbeheersing en
incident respons
Formuleren van
Stimuleren van
beveiligingseisen
beveiligingsbewustzijn bij
(classificatie) en opstellen medewerkers, risico- en
clusterbeleid en
bedrijfscontinuiteitbeveiligingsplannen
management
Beleidsvoorbereiding,
Leveren van security
technische onderzoeken
management en services
(marktverkenningen)
(ICT), incidentbeheer,
logging, monitoring en
advies.
Concern
inforrnatiebeveiligingsbeleid D e f i n i t i e f 1.0
Check:
Act:
Controle
Vürkretirinu;
Controle, audit, pentesten Bijsturen:
opdrachtverstrekking voor
verbeteracties
Rapportage aan CD/
B&W
Interne controle (IC),
Verbeteren
bedrijfscontinuïteit.
sturen op naleving van
regels door medewerkers Rapportage aan
(gedrag), compliancy
CIO/CISO
Vulnerability scanning,
evaluatie en rapportage
Uitvoeren verbeteracties
Advies aan de CIO/CISO
over aanpassingen aan
de informatievoorziening
Datum
Pagina
10december 2013
6 van 25
Concern overleg
CISO, decentrale security verantwoordelijken van alle clusters en de security functionaris van
RSO zijn vertegenwoordigd in de concern information security board (CISB). De board komt
tenminste één maal per kwartaal bij elkaar. De CISO is voorzitter; De CISB is een
adviesorgaan van de 1-Raad (en indirect de CD). De CISB richt zich met name op beleid en
adviseert over tactisch/strategische kwesties.
Rapportage en escalatielijn voor IB
Decentrale security verantwoordelijke --> CISO -> CIO -› Concerndirectie/GS13
Externe partijen
• I B beleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen
(leveranciers, ketenpartners) waarmee de gemeente Rotterdam samenwerkt (en
informatie mee uitwisselt).14 Voor beleid en landelijke normen geldt hierbij het 'comply
or explain' beginsel (pas toe of leg uit).
• B i j contractuele afspraken gelden in beginsel altijd de Rotterdamse Algemene Inkoop
Voorwaarden (AIV), waarin onder meer geheimhouding en aansprakelijkheid is
geregeld.15 Afwijkingen op de AIV dienen te worden getoetst aan IB beleid. Vereiste
beveiligingsmaatregelen worden aanvullend vastgelegd in contracten. Daarin is onder
meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat
de gemeente Rotterdam het recht heeft afspraken te (laten) controleren.16
• V o o r het tot stand brengen van datakoppelingen met externe partijen geldt naast
generiek IB beleid de procedure "Aanvragen externe toegang Intranet Rotterdam".17
Het doel van de procedure is risicobeheersing.
• V o o r externe hosting van data en/of services gelden naast generiek IB beleid de
richtlijnen voor cloudcomputing.18 De gemeente is gehouden aan:
• r e g e l s omtrent grensoverschrijdend dataverkeer;
• t o e z i c h t op naleving van regels door de externe partij(en);
• d e hoogste beveiligingseisen voor bijzondere categorieën gegevens19 en bij
wet voorgeschreven nummers (bsn);
• d e eis van een passend beveiligingsniveau bij doorgifte van
persoonsgegevens naar derde landen (buiten de EU).
ICT crisisbeheersing en landelijke samenwerking
• I n G4 verband wordt samengewerkt op gebied van ICT crisismanagement. De
werkwijze is vastgelegd in het draaiboek G4 ICT crisisbeheersing.2u
19De CIO is adviseur van de concerndirectie en rapporteert tegelijkertijd direct aan de wethouder
14Beleidsregels voor externe partijen zijn beschreven in de Baseline Informatiebeveiliging Gemeenten (KING)
AIV voor (1) goederen en diensten, (2) kleine opdrachten voor diensten, (3) kleine opdrachten voor leveringen
16Hiervoor kan gebruik worden gemaakt van een 'third party mededeling (TPM) of een ISAE 3402-verklaring.
17Procedure aanvragen externe toegang Intranet Rotterdam, 2012
19Checklist en aandachtpunten cloudcomputing, 2011
'9 Godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede
persoonsgegevens betreffende het lidmaatschap van een vakvereniging. alsmede strafrechtelijke persoonsgegevens
en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding
van dat gedrag.
99Zie: draaiboek G4 ICT crisismanagement, 2013. Hierin is ook de relatie met openbare orde en veiligheid
beschreven
Concern
D
a
t
u
m
P a g i n
Informatiebeveiligingsbeleid D e f i n i t i e f 1.0
1
0
december 2013
7
a
van 25
• V o o r interne crisisbeheersing is een kernteam IB geinstalleerd bestaande uit CISO,
security functionaris RSO, experts en concern communicatie. De werkwijze is
vastgelegd in een draaiboek.`1
• R o t t e r d a m participeert (al dan niet in G4 verband) in relevante landelijke platforms en
onderhoudt contacten met andere sectoraal georganiseerde IB platforms.
POCA
• Informatiebeveiliging is een continu verbeterproces. 'Plan, do, check en act vormen
samen het management systeem van informatiebeveiliging.22 Deze kwaliteitscyclus is
in onderstaande figuur weergegeven.
PLAN
GS / CD
Audt werking
(ISMS)
Informatiebeveiliging
Concern 8 Beleiri
Wet- en regelgeving (compliancy)
Landeltlke normen
Gemeentelijk beleid en doelstellingen
Leidt tot
ACT
Evaluatie
f
Evalueren
en
bijsturen
Beleidskader concern IB
Organisatie en govemance
- Informatiegebruik en personele aspecten
Beheer
- Toegangsbeveiliging en autorisatie
Business Continuity Management (BCM)
Naleving en controle
Managemenstuurintatite ' t a g e en
Verbetervoorstetien
Rapportage status en effectiviteit
security maatregelen
Beleidskader is basis i n n c h t i n g en ueeenng processen
FISO
BSO
Clusters
Audit IB beleid vs
maatregelen
Audt werking
algemene rr beheermaatregelen
De uiNoering vertaalt beleidskaders in
concrete maatregelen en acties.
See assessments, Cotture
scan, TPM
- richtlijnen en maalregelen
(bevedigingsarchitectuur)
-legging, monitoring
- uiNoeringsregelingen
- handreikingen
- beriestwordingsacties
-sturen op naleving.
Interne Controle (IC)
aers"P's
Management rapportage
Inzicht status
en effectiviteit
security
maatregelen
Vulnerability scanning
Pentesten
Cp basis van risicomanagement
wordt vastgesteld wat (rest-) risico's
zijn.
Evaluatie en rapportage
Information Security Management System
• To e l i c h t i n g :
o P l a n : De cyclus start met IB beleid, gebaseerd op wet en regelgeving,
landelijke normen en 'best practices', uitgewerkt in regels voor onder meer
informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt op
jaarlijkse basis en wordt indien nodig tussentijds bijgesteld. De planning op
hoofdlijnen is onderdeel van het CIO jaarplan en uitgewerkt in het
ontwikkelpad IB. Clusterspecifieke activiteiten worden gepland in het cluster
IB plan of cluster informatieplan.
o D o : Het beleidskader is de basis voor risicomanagement, uitvoering van
(technische) maatregelen en bevordering van beveiligingsbewustzijn.
Uitvoering geschiedt op dagelijkse basis en maakt integraal onderdeel uit van
het werkproces.
o C h e c k : Control is onderdeel van het werkproces met als doel: waarborgen
van de kwaliteit van informatie en ICT en compliancy aan wet en regelgeving.
2' Draaiboek ICT crisisbeheersing, Kernteam IB, 2012
22NEN/ISO 27001
Concern
D
a
Intonnatiebeveiligingsbeleid D e f i n i t i e f 1 . 0
t
u
1
m
0
P
a
december 2013
g
i
n
8
a
van 25
• E x t e r n e controle: betreft controle buiten het primaire proces door een
auditor.23 Dit heeft het karakter van een steekproef. Jaarlijks worden
meerdere van dergelijke onderzoeken uitgevoerd, waarbij de CIO in
principe opdrachtgever is. Bevindingen worden gerapporteerd aan de
CIO en de concerndirectie/GS.
o A c t : De cyclus is rond met de uitvoering van verbeteracties o.b.v. check en
externe controle. De cyclus is een continu proces; de bevindingen van
controles zijn weer input voor de jaarplanning. De bevindingen worden in
beginsel gerapporteerd aan de concerndirectie. Voor ingrijpende
verbeteracties wordt een gevraagde beslissing voorgelegd,
23van onder meer de accountant, rijksoverheid (voor bijv. basisregistraties) en concern auditing (intern)
Concern
D
a
Informatiebevelligingsbeleid D e f i n i t i e f 1.0
t
u
1
m
0
P
a
december 2013
g
i
n
9
a
van 25
3. Gebruik van middelen en informatie
Bereiken en handhaven van een passende bescherming van middelen en
gemeentelijke informatie.
Het gebruik van (privé)middelen en gemeentelijke informatie24
• M e d e w e r k e r s dienen bij het gebruik van ICT-middelen, social media en gemeentelijke
informatie de nodige zorgvuldigheid te betrachten en de integriteit en goede naam
van de gemeente te waarborgen.
• M e d e w e r k e r s gebruiken gemeentelijke informatie primair voor het uitvoeren van de
aan hen opgedragen taken en het doel waarvoor de informatie is verstrekt.
• P r i v é g e b r u i k van gemeentelijke informatie en bestanden is niet toegestaan.
• W e r k e n op afstand en het gebruik van privé middelen is toegestaan mits
medewerkers zich houden aan de bepalingen van de Regeling ICT en
Informatiegebruik. De medewerker is gehouden aan de regels, zoals:
o I l l e g a l e software mag niet worden gebruikt voor de uitvoering van het werk.
o E r bestaat geen plicht de eigen computer te beveiligen, maar de
gemeentelijke informatie daarop wel.
o H e t verbod op ongewenst gebruik in de (fysieke) kantooromgeving geldt ook
als dat via de eigen computer plaatsvindt.
• D e medewerker neemt passende technische en organisatorische maatregelen om
gemeentelijke informatie te beveiligen tegen verlies of tegen enige vorm van
onrechtmatige gebruik. De medewerker houdt hierbij in ieder geval rekening met:
O d e beveiligingsclassificatie van de informatie (zie hieronder);
O d e door de gemeente gestelde beveiligingsvoorschriften (o.a. dit beleid);
o a a n de werkplek verbonden risico's (o.a. meekijken, afluisteren);
o h e t risico door het benaderen van gemeentelijke informatie met andere dan
door de gemeente verstrekte of goedgekeurde ICT-apparatuur.
Classificatie
Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v.
bedrijfsmiddelen worden beveiligingsclassificaties gebruikt.25 Classificatie maakt het vereiste
beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er
wordt geclassificeerd op drie betrouwbaarheidsaspecten van informatie: beschikbaarheid,
integriteit (juistheid, volledigheid) en vertrouwelijkheid. Bij elkaar ook wel afgekort als BIV.
Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau 'geen'.
Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat
informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes
staan voorbeelden.
24Rechten en plichten t.a.v. het gebruik van ICT middelen gemeentelijke informatie zijn uitvoerig beschreven in de
Regeling ICT en Informatiegebruik, B&W, 2012
25Dit is in detail beschreven in de architectuur Informatiebeveiliging 2014, CIO, 2014
Concern
D
a
t
u
m
P a g i n
a
1
van 25
0
Niveau
Velv:uweiiikheid
Inteiriteit
Geen
Openbaar
informatie mag door iedereen
worden ingezien
(bv: algemene informatie op
www.rotterdam.n1)
Niet zeker
informatie mag worden
veranderd
(bv: templates en sjablonen)
Bedrijfsvertrouwelijk
informatie is toegankelijk voor
alle medewerkers van de
Organisatie
(bv: informatie op Sjaan)
Midden
Vertrouwelijk
informatie is alleen toegankelijk
voor een beperkte groep
gebruikers
(bv: financiële
(persoons)gegevens)
Geheim
Hoog
informatie is alleen toegankelijk
voor direct geadresseerde(n)
(bv: zorggegevens en
strafrechtelijke informatie)
Classificatieniveaus (met voorbeelden)
Laag
Beschermd
het bedrijfsproces staat enkele
(integriteits-)fouten toe
(bv: rapportages)
Hoog
het bedrijfsproces staat zeer
weinig fouten toe
(bv: bednifsvoeringinformatie en
primaire procesinformatie zoals
vergunningen)
Absoluut
het bedesproces staat geen
fouten toe
(bv: gemeentelijke informatie op
de website)
;esr.;Nk5iv.rflei:.1
Niet nodig
gegevens kunnen zonder
gevolgen langere tijd niet
beschikbaar zijn
(bv: ondersteunende tools als
routeplanner)
Noodzakelijk
informatie mag incidenteel niet
beschikbaar zijn
(bv: administratieve gegevens)
Belangrijk
informatie moet vrijwel altijd
beschikbaar zijn, continuiteit is
belangrijk
(bv: primaire proces informatie)
Essentieel
informatie mag alleen in
uitzonderlijke situaties uitvallen,
bijvoorbeeld bij calamiteiten
(bv: basisregistraties)
• D e eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste
beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen wordt dit
expliciet aangegeven. De eigenaar van de gegevens bepaalt tevens wie toegang
krijgt tot welke gegevens.26
• E r wordt gestreefd naar een zo "laag" mogelijk classificatieniveau; te hoge
classificatie leidt tot onnodige kosten. Bovendien dient informatie in beginsel voor
zoveel mogelijk mensen beschikbaar zijn (transparante overheid).
• H e t object van classificatie is informatie. We classificeren op het niveau van
informatiesystemen (of informatieservices). Alle classificaties van alle bedrijfskritische
systemen zijn centraal vastgelegd door de CISO en worden jaarlijks gecontroleerd
door alle clusters.27
Toelichting
De te nemen maatregelen moeten worden afgestemd op de risico's, waarbij rekening dient te
worden gehouden met technische mogelijkheden en de kosten van maatregelen. Dit is vaak
situatie afhankelijk. Naarmate de gegevens een gevoeliger karakter hebben, of gezien de
context waarin ze gebruikt worden een groter risico inhouden, dienen zwaardere eisen aan de
beveiliging van die gegevens te worden gesteld. In het algemeen kan worden gesteld dat
indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd
dit als "passend" moeten worden beschouwd. Extra beveiliging is echter niet meer passend,
indien de kosten voor het mitigeren van de risico's disproportioneel hoog zijn.28 Kort gezegd:
risico's en tegenmaatregelen dienen in balans te zijn.
26 Zie handreiking dataclassificatie
27 Het streven is om de classificatie op termijn op te nemen in het informatiebeheerplan (stadsarchief)
28Dit is uitgebreid beschreven in: 'Beveiliging van persoonsgegevens', Cbp richtsnoeren, 2013
Concern
D
a
t
u
m
P a g i
Intormatiebeveiligingsbeleid D e f i n i t i e f 1.0
1
0
december 2013
1
n
1
a
van 25
4. Personeel
Reduceren van het risico van diefstal, fraude of misbruik van faciliteiten en
bewerkstelligen dat medewerkers hun verantwoordelijkheden begrijpen.
Organisatorische aspecten
• H e t lijnmanagement is verantwoordelijk voor het juist afhandelen van de
beveiligingsaspecten van het aangaan, wijzigen en beëindigen van een
dienstverband of een overeenkomst met externen. RSO voert dit proces uit. Concern
HR is kadersteller en houdt toezicht op dit proces.
• B i j beëindiging van het dienstverband en inhuur worden alle bedrijfsmiddelen van de
organisatie geretourneerd. Autorisaties worden in opdracht van het lijnmanagement
geblokkeerd.
• M e d e w e r k e r s die werken met vertrouwelijke of geheime informatie overleggen voor
indiensttreding een Verklaring Omtrent het Gedrag (VOG). De VOG wordt indien
nodig herhaald tijdens het dienstverband.
• H e t lijnmanagement bepaalt welke rol(len) de medewerker moet vervullen en welke
autorisaties voor het raadplegen, opvoeren, muteren en afvoeren van gegevens
moeten worden verstrekt.
• A l l e medewerkers (en voor zover van toepassing externe gebruikers van onze
systemen) dienen training te krijgen in procedures die binnen hun cluster gelden voor
informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het
beveiligingsbewustzijn op peil te houden.
• B i j inbreuk op de beveiliging gelden voor medewerkers de gebruikelijke disciplinaire
maatregelen, zoals onder meer genoemd in het Ambtenarenreglement en de
Regeling ICT en Informatiegebruik.
• R e g e l s die volgen uit dit beleid en de Regeling ICT en Informatiegebruik en de
Algemene Inkoopvoorwaarden (AIV) gelden ook voor externen die in opdracht van de
gemeente Rotterdam werkzaamheden uitvoeren.
Bewustwording
• H e t concern bevordert algehele communicatie en bewustwording rondom
informatieveiligheid.
• H e t lijnmanagement bevordert dat medewerkers (en externe gebruikers van onze
systemen) zich houden aan beveiligingsrichtlijnen. Afspraken hierover worden
vastgelegd in het management contract.
• I n werkoverleggen wordt periodiek aandacht geschonken aan informatieveiligheid.
Voor zover relevant worden hierover afspraken vastgelegd in planningsgesprekken.
Concern
D
a
Informatiebeveiligingsbeleid D e f i n i t i e f 1.0
t
u
1
m
0
P
a
december 2013
g
i
n
1
2
a
van 25
5. Fysieke beveiliging29
Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van
het terrein en de informatie van de organisatie.
Het Concern veiligheids- en beveiligingsbeleid heeft tot doel om de gebouwen, terreinen,
inventaris, werkplekken en de aanwezige mensen te bewaken en te beveiligen alsmede de
risico's en calamiteiten die het Concern Rotterdam bij het uitvoeren van activiteiten loopt, te
voorkomen, te beperken dan wel te beheersen.
• A l l e objecten (gebouwen) en activiteitengroepen van de gemeente Rotterdam krijgen
op basis van generieke profielen een risicoprofiel toegewezen. Dit is het generieke
risicoprofiel dat het beste aansluit bij het object.
• D e schade door bedreigingen van buitenaf (zoals brand, overstroming, explosies,
oproer, stroomonderbreking) wordt beperkt door passende preventieve maatregelen.
• To e g a n g tot niet-openbare gedeelten van gebouwen of beveiligingszones is alleen
mogelijk na autorisatie daartoe.
• D e uitgifte van toegangsmiddelen wordt geregistreerd.
• I n gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op de
toegang. Hiervan wordt een registratie bijgehouden.
• D e kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is
afgestemd op de zonering (en het risicoprofiel).
• I n diverse panden van de gemeente wordt gebruik gemaakt van cameratoezicht. Het
maken en gebruiken van beeldmateriaal is beperkt door de Wet Bescherming
Persoonsgegevens en nadere regels.3°
• D e fysieke toegang tot ruimten waar zich informatie en ICT-voorzieningen bevinden is
voorbehouden aan bevoegd personeel. Registratie van de verleende toegang
ondersteunt de uitvoering van de toegangsregeling.
• Serverruimtes, datacenters en daar aan gekoppelde bekabelingsystemen zijn
ingericht in lijn met geldende 'best practices'.
• ( D a t a ) verbindingen worden beschermd tegen interceptie of beschadiging.
• R e s e r v e apparatuur en back-ups zijn gescheiden in twee datacenters, om de
gevolgen van een calamiteit te minimaliseren.
• G e g e v e n s en programmatuur worden van apparatuur verwijderd of veilig
overschreven voordat de apparatuur wordt afgevoerd. Informatie wordt bewaard en
vernietigd conform de Archiefwet 1995 en de daaruit voortvloeiende Archiefbesluiten.
29Een concernbreed beveiligingsbeleid (veiligheid en beveiliging) is in ontwikkeling 2013
" Zoals het Reglement cameratoezicht Stadhuiscomplex, 2006. Hierin zijn taken verantwoordelijkheden en
procedures vastgelegd met het oog op integer gebruik van beeldmateriaal en privacybescherming.
Concern
D
a
t
u
m
P a g i
Informatiebeveiligingsbeleid D e f i n i t i e f 1.0
1
0
december 2013
1
n
3
a
van 25
6. Beveiliging van apparatuur en informatie
Waarborgen van een correct en veilig gebruik van ICT voorzieningen
Organisatorische aspecten
• I n beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen
in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of
vertrouwelijkheid kan worden gecompromitteerd. Indien dit toch noodzakelijk is dient
een audit trail te worden vastgelegd van alle handelingen en tijdstippen in het proces,
dusdanig dat transactie kan worden herleid. De audit trail is niet toegankelijk voor
degene wiens handelingen worden vastgelegd.
• E r is een scheiding tussen beheertaken en overige gebruikstaken.
Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als beheerder,
normale gebruikstaken alleen wanneer ingelogd als gebruiker.
• B i j externe hosting van data en/of services (uitbesteding, cloud computing) blijft de
gemeente Rotterdam eindverantwoordelijk voor de betrouwbaarheid van uitbestede
diensten. Dit is gebonden aan regels en vereist goede (contractuele) afspraken en
controle hierop (zie hoofdstuk 2, 'externe partijen').
• E x t e r n e hosting van data en/of services is:
• g o e d g e k e u r d door verantwoordelijk lijnmanager;
in overeenstemming met IB en algemeen gemeentelijk beleid;
vooraf gemeld bij RSO t.b.v. toetsing op beheeraspecten.
Systeemplanning en —acceptatie
• N i e u w e systemen, upgrades en nieuwe versies worden getest op impact en gevolgen
en pas geimplementeerd na formele acceptatie en goedkeuring door de
opdrachtgever (veelal de proceseigenaar). De test en de testresultaten worden in de
regel gedocumenteerd.
• S y s t e m e n voor ontwikkeling, test en acceptatie (OTA) zijn logisch gescheiden van
Productie (P) om onbevoegde toegang tot of wijzigingen in productiesystemen te
voorkomen.
• I n de OTA worden test accounts gebruikt. Er wordt in beginsel niet getest met
productie accounts, tenzij voor de test absoluut noodzakelijk en dan met instemming
van de proceseigenaar.
• Vertrouwelijke of geheime data uit de productieomgeving mag in principe niet worden
gebruikt in de ontwikkel-, test-, opleidings-, en acceptatieomgeving tenzij de
gegevens zijn geanonimiseerd. Indien het toch noodzakelijk is om data uit productie
te gebruiken is uitdrukkelijke toestemming van de eigenaar van de gegevens vereist.
• H e t gebruik van ICT middelen wordt gemonitord ten behoeve van een tijdige
aanpassing van de beschikbare capaciteit aan de vraag.
concern
D
a
Intonnatiebeveiligingsbeleid D e f i n i t i e f 1.0
t
u
1
m
0
P
a
december 2013
g
i
1
n
4
a
van 25
Technische aspecten
• A l l e gegevens anders dan classificatie 'geen' worden versleuteld conform
beveiligingseisen in de IB architectuur.3'
o Classificatieniveau t r a n s p o r t b e v e i l i g i n g buiten het Rotterdamse
netwerk32
o Classificatieniveau midden': transport en berichtbeveiliging
o Classificatieniveau 'hoog': transport, berichtbeveiliging en versleuteling bij
opslag
• Versleuteling vindt plaats conform best practices (de stand der techniek), waarbij
geldt: de vereiste encryptie is sterker naarmate gegevens gevoeliger zijn.
• G e g e v e n s op papier worden beschermd door een deugdelijke opslag en regeling
voor de toegang tot archiefruimten.
• B i j het openen of wegschrijven van bestanden worden deze geautomatiseerd
gecontroleerd op virussen, trojans en andere malware. Ook inkomende en uitgaande
e-mails worden hierop gecontroleerd. De update voor de detectiedefinities vindt in
beginsel dagelijks plaats.
• O p verschillende niveaus binnen de ICT-infrastructuur (netwerkcomponenten,
servers, pc's) wordt antivirus software van verschillende leveranciers toegepast.
• A l l e apparatuur die is verbonden met het netwerk van de gemeente Rotterdam moet
kunnen worden geïdentificeerd.
• ' M o b i l e code'33 wordt uitgevoerd in een logisch geïsoleerde omgeving om de kans op
aantasting van de integriteit van het systeem te verkleinen. De mobile code wordt
altijd uitgevoerd met minimale rechten zodat de integriteit van het host systeem niet
aangetast wordt?4
• D o c u m e n t e n , opslagmedia, in- en uitvoergegevens en systeemdocumentatie worden
beschermd tegen onbevoegde openbaarmaking, wijziging, verwijdering en
vernietiging.
• H e t (ongecontroleerd) kopiëren van 'geheime' gegevens is niet toegestaan, behalve
voor back-up door bevoegd systeembeheer.
• A l l e informatie die wordt geplaatst op websites van de gemeente wordt beschermd
tegen onbevoegde wijziging. Op algemeen toegankelijke websites wordt alleen
Openbare informatie gepubliceerd.
• G r o e p e n informatiediensten, gebruikers en informatiesystemen worden op het
netwerk gescheiden zodat de kans op onbevoegde toegang tot gegevens verder
wordt verkleind.
• A f h a n k e l i j k van de risico's die verbonden zijn aan on line transacties worden
maatregelen getroffen om onvolledige overdracht, onjuiste routing, onbevoegde
wijziging, openbaarmaking, duplicatie of weergave te voorkomen.
31Zie: Component architectuur Informatiebeveiliging 2014, cio, 2014
32Concern ICT infrastructuur en de veilig gekoppelde ICT infrastructuren van derde partijen die afgescheiden zijn van
andere ICT infrastructuren en voldoen aan de voorwaarden van de gemeente Rotterdam
33Software die wordt uitgevoerd zonder expliciete toestemming van de gebruiker, zoals scripts (Java), Java applets,
ActiveX controls en Flash animaties. Dergelijke software wordt gebruikt voor functies binnen (web)applicaties.
34 In ontwikkeling 2013
Concern
D
a
Intormatiebevelligingsbeleid D e f i n i t i e f 1.0
t
u
1
m
0
P a g i
december 2013
1
n
5
a
van 25
• H e t netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten
ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk niet
onder het afgesproken minimum niveau (service levels) komt.
Mobiele (privé)apparatuur en thuiswerkplek
• Beveiligingsmaatregelen hebben betrekking op zowel door de gemeente verstrekte
middelen als privé apparatuur ('bring your own device'). Op privé apparatuur
waarmee verbinding wordt gemaakt met het Rotterdamse netwerk is de gemeente
bevoegd om beveiligingsinstellingen af te dwingen. Dit betreft onder meer: controle
op wachtwoord, encryptie, aanwezigheid van malware, etc. Het gebruik van privé
apparatuur waarop beveiligingsinstellingen zijn verwijderd ('jailbreak', 'rooted device')
is niet toegestaan.
• O p verzoek van de gemeente dienen medewerkers de installatie van software om
bovenstaande beleidsregel te handhaven toe te staan (denk bijvoorbeeld aan 'mobile
device management software'). De beveiligingsinstellingen, zoals bedoeld in
bovenstaande regel, zijn uitsluitend bedoeld ter bescherming van gemeentelijke
informatie en integriteit van het gemeentelijke netwerk.
• I n geval van dringende redenen kunnen noodmaatregelen worden getroffen, zoals
wissen van apparatuur op afstand. Deze noodmaatregelen kunnen, voor zover dit
noodzakelijk is, betrekking hebben op privé-middelen en privé-bestanden.36
Back up en recovery
• I n opdracht van de gegevenseigenaar, maakt de Rotterdamse Service Organisatie
(RSO) reservekopieën van alle essentiële bedrijfsgegevens en programmatuur zodat
de continuïteit van de gegevensverwerking kan worden gegarandeerd.
• D e omvang en frequentie van de back-ups is in overeenstemming met het belang van
de data voor de continuïteit van de dienstverlening en de interne bedrijfsvoering,
zoals gedefinieerd door de eigenaar van de gegevens (de classificatietabel is
leidraad).
• B i j ketensystemen dient het back-up mechanisme de data-integriteit van de
informatieketen te waarborgen.
• D e back-up en herstelprocedures worden regelmatig (tenminste 1 x per jaar) getest
om de betrouwbaarheid ervan vast te stellen.
Informatie-uitwisseling
Voor het gebruik van gemeentelijke informatie gelden de rechten en plichten zoals
vastgelegd in de Regeling ICT en Informatiegebruik.36
• D i g i t a l e documenten van de gemeente waar burgers en bedrijven rechten aan
kunnen ontlenen maken gebruik van PKI Overheid certificaten voor tekenen en/of
encryptie.37
• E r is een (spam) filter geactiveerd voor inkomende e-mail berichten.
35Zie Regeling ICT en Informatiegebruik, 2012, art. 4, lid 5
36Zie Regeling ICT en Informatiegebruik, B&W, 2012
37 Voor meer informatie zie: Richtlijn certificaten, 2011
Concern
D
a
Intormatiebeveiligingsbeleid D e f i n i t i e f 1.0
t
u
1
m
0
P
a
december 2013
g
i
n
1
6
a
van 25
Logging38
• H e t gebruik van informatiesystemen, alsmede uitzonderingen en
informatiebeveiligingsincidenten worden vastgelegd in logbestanden, op een manier
die in overeenstemming is met het risico en zodanig dat tenminste wordt voldaan aan
alle relevante wettelijke eisen.39 Relevante zaken om te loggen zijn:
o t y p e gebeurtenis (zoals back up/restore, reset wachtwoord, betreden ruimte);
o handelingen met speciale bevoegdheden;
o ( p o g i n g e n tot) ongeautoriseerde toegang;
o systeemwaarschuwingen;
o ( p o g i n g tot) wijziging van de beveiligingsinstellingen.
• E e n logregel bevat minimaal:
o e e n tot een natuurlijk persoon herleidbare gebruikersnaam of ID;
o d e gebeurtenis;
o w a a r mogelijk de identiteit van het werkstation of de locatie;
o h e t object waarop de handeling werd uitgevoerd;
o h e t resultaat van de handeling;
o d e datum en het tijdstip van de gebeurtenis.
• I n een logregel worden alleen de voor de rapportage noodzakelijke gegevens
opgeslagen.
• E r worden maatregelen getroffen om te verzekeren dat gegevens over logging
beschikbaar blijven en niet gewijzigd kunnen worden door een gebruiker of
systeembeheerder. De (wettelijke) bewaartermijn is 6 maanden.
" Controle is nader toegelicht in de Baseline Informatiebeveiliging Gemeenten, KING
'9 In sommige processen is het wettelijk verplicht of zeer gewenst dat geautoriseerde toegang wordt vastgelegd zodat
achteraf steeds kan worden vastgesteld wie toegang tot de gegevens heeft gehad.
Concern
D
a
t
u
m
P a g i n
Intormatiebeveiligingsbeleid D e f i n i t i e f 1.0
1
0
december 2013
1 7
a
van 25
7. Logische toegangsbeveiliging
Beheersen van de toegang tot informatie.
De identiteit van een gebruiker die toegang krijgt tot gemeentelijke informatie dient te worden
vastgesteld.40 Logische toegang is gebaseerd op de classificatie van de informatie.
Uitgangspunten
• D e eigenaar van de data is bevoegd toegang te verlenen.
• E r worden in de regel geen "algemene" identiteiten gebruikt. Voor herleidbaarheid en
transparantie is het namelijk nodig om te weten wie een bepaalde actie heeft
uitgevoerd. Indien dit geen (wettelijke) eis is kan worden gewerkt met functionele
accounts.
• D e Gemeente Rotterdam maakt (waar mogelijk) gebruik van bestaande (landelijke)
voorzieningen voor authenticatie, autorisatie en informatiebeveiliging (zoals: DigiD en
eHerkennine Intern is de Kernregistratie Medewerkers (KRM) de bron voor
identiteiten.''
Authenticatie en autorisatie
• Wa c h t w o o r d e n worden voor een beperkte periode toegekend (3 tot maximaal 6
maanden). Wachtwoorden dienen aan eisen te voldoen, deze worden afgedwongen
door het systeem. Voor medewerkers met speciale bevoegdheden (systeem en
functioneel beheerders) gelden strengere eisen.42
▪ D e gebruiker is verantwoordelijk voor het geheim blijven van zijn wachtwoord.
• Authenticatiemiddelen zoals wachtwoorden worden beschermd tegen inzage en
wijziging door onbevoegden tijdens transport en opslag (encryptie).
• A u t o r i s a t i e is rol gebaseerd. Autorisaties worden toegekend via functie(s) en
organisatie onderdelen.
• To e g a n g tot informatie met classificaties 'midden' of 'hoog' vereist 'multifactor'
authenticatie (bijv. naam/wachtwoord + token).
Externe toegang
• E e n cluster kan een externe partij toegang verlenen tot het gemeentelijke netwerk.
Hiervoor geldt de procedure aanvragen externe toegang.43 Externe partijen kunnen
niet op eigen initiatief verbinding maken met het besloten netwerk van de gemeente,
tenzij uitdrukkelijk overeengekomen.
4° Een gebruiker kan een medewerker, leverancier, burger, bedrijf, samenwerkingspartner of applicatie zijn
41Zie architectuur 18
43Het wachtwoordbeleid is uitgewerkt in de Baseline Informatiebeveiliging Rotterdam
43Procedure 'aanvragen externe toegang tot Intranet Rotterdam'
Concern
D
a
t
u
m
P a
informatiebeveiligingsbeleid D e f i n i t i e f 1.0
1
0
december 2013
g
i
n
1
8
a
van 25
• D e externe partij is verantwoordelijk voor authenticatie en autorisatie van haar eigen
medewerkers." De gemeente Rotterdam heeft het recht hierop te controleren.
Mobiel en thuiswerken
• V o o r werken op afstand is een thuiswerkomgeving beschikbaar. Toegang tot
vertrouwelijke informatie wordt verleend op basis van multifactor authenticatie.
• O n b e h e e r d e apparatuur (privé apparaten of de 'open laptop') kan gebruik maken van
draadloze toegangspunten (WIFI). Deze zijn logisch gescheiden van het Rotterdamse
bedrijfsnetwerk."
• M o b i e l e bedrijfsapplicaties worden bij voorkeur zo aangeboden dat er geen
gemeentelijke informatie wordt opgeslagen op het mobiele apparaat ("zero footprint").
Gemeentelijke informatie dient te worden versleuteld bij transport en opslag conform
classificatie eisen."
• Voorzieningen als Alfresco en Outlook Web Access (webmail), alsook sociale
netwerk en clouddiensten (dropbox, gmail, etc.) zijn door het lage
beschermingsniveau (veelal alleen naam en wachtwoord, het ontbreken van
versleuteling) niet geschikt voor het delen van vertrouwelijke en geheime informatie.
Overige maatregelen
• H e t fysieke (bekabelde) netwerk is niet toegankelijk voor onbeheerde apparatuur.47
• H e t netwerk van de gemeente Rotterdam is gesegmenteerd (clusters, gebruikers en
systemen zijn logisch gescheiden)." Tussen segmenten met verschillende
beschermingsniveaus worden access control lists (ACLs) geïmplementeerd.
"Uitgewerkt in de component architectuur
Gepentest eind 2012
"Architectuur Informatiebeveiliging, 2014
47Op dit moment, dit kan in de toekomst veranderen, afhankelijk van de herinrichting van de ICT infrastructuur
48Gepentest begin 2012
Concern
D
a
t
u
m
P a g i
Informatiebevelligingsbeleid D e f i n i t i e f 1.0
1
0
december 2013
1
n
9
a
van 25
8. Beveiliging van informatiesystemen (software)
Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen.
Organisatorische aspecten
• To e t s i n g op IB beleid is onderdeel van de architectuurtoets voor projecten met een
ICT component en onderdeel van de project start en eind architectuur (PSA en PEA).
• P r o j e c t e n met een hoog risicoprofiel vallen onder toezicht van portfoliomanagement
(Monitor ICT Projecten). Toetsing op architectuur (en IB) is hier onderdeel van.
• Projectmandaten worden ten behoeve van behandeling in de Informatieraad (onder
meer) voorzien van een advies op informatiebeveiliging.
• I n het programma van eisen voor nieuwe informatiesystemen of uitbreidingen van
bestaande informatiesystemen worden ook relevante beveiligingeisen opgenomen.
Softwareontwikkeling en onderhoud
Applicaties worden ontwikkeld en getest o.b.v. landelijke richtlijnen voor beveiliging,
zoals richtlijnen voor beveiliging van webapplicaties.49 Er wordt tenminste getest op
bekende kwetsbaarheden zoals vastgelegd in de OWASP top 10.5°
• Webapplicaties worden voor in productie name onder meer getest op invoer van
gegevens (grenswaarden, format, inconsistentie, SQL injectie, etc.).
• D e uitvoerfuncties van programma's maken het mogelijk om de volledigheid en
juistheid van de gegevens te kunnen vaststellen (bijv. door checksums).
• A l l e e n gegevens die noodzakelijk zijn voor de gebruiker worden in de applicatie
gepresenteerd ('uitgevoerd'), rekening houdend met beveiligingseisen (classificatie).
• To e g a n g tot de broncode is beperkt tot die medewerkers die deze code onderhouden
of installeren.
• Te c h n i s c h e kwetsbaarheden worden regulier met een minimum van 4 keer per jaar
gerepareerd door 'patchen' van software, of ad hoc bij acute dreiging. Welke software
wordt geupdate wordt mede bepaald door de risico's.
Encryptie (versleuteling)
• D e gemeente Rotterdam gebruikt encryptie conform PKIoverheid standaard.51
• I n t e r n dataverkeer ('machine to machine') wordt conform classificatie beveiligd met
eigen Rotterdam root certificaten.
• Beveiligingscertificaten worden centraal beheerd door concern certificaten (RSO).
49Nationaal Cyber Security Centrum, NCSC
httpsi/www.owasp.org/index.php/Main_Page50
51Public Key Infrastructure voor de overheid waarborgt op basis van Nederlandse wetgeving de betrouwbaarheid van
informatie-uitwisseling via e-mail, websites of andere gegevens-uitwisseling.
Concern
D
a
t
u
m
P a g i n
a
Informatiebeveiligingsbeleid D e f i n i t i e f 1.0
van 25
1
0
december 2013
2
0
9. Beveiligingsincidenten
Bewerkstelligen dat (informatiebeveiliging) incidenten zodanig kenbaar worden
gemaakt dat tijdig maatregelen kunnen worden genomen.
Melding en registratie
• D e medewerker dient geconstateerde of vermoede beveiligingslekken en
beveiligingsincidenten direct te melden bij de functionaris informatiebeveiliging.52
• E l k cluster heeft een eigen informatiebeveiligingsfunctionaris voor het melden van
beveiligingsincidenten. Deze is verantwoordelijk voor de afhandeling van incidenten
binnen het eigen cluster.
• Beveiligingsincidenten die worden gemeld bij de service desk worden als zodanig
geregistreerd en voorgelegd aan de security functionaris van het dienstencentrum
l&A (DIA, RSO). Voor afhandeling geldt de reguliere rapportage en escalatielijn (zie
organisatie van IB).
• A f h a n k e l i j k van de ernst van een incident is er een meldplicht bij het College
Bescherming Persoonsgegevens.53
• E r n s t i g e incidenten, waarbij een alarmfase (zie onder) in werking treedt, worden
opgenomen in de kwartaalrapportage concern informatiebeveiliging.
Alarmfasen
• B i j grote incidenten wordt gehandeld en opgeschaald conform de draaiboeken ICT
crisisbeheersing en G4 ICT crisismanagement.54
Alarm
fase
1
2
Kenmerk
Impact
Opschair ng
hijzoncierileden
Lokaal ICTincident bij één
cluster/ afdeling.
ICT-Incident bij
meerdere clusters
/ afdelingen,
Oplosbaar
probleem:
bronbestrijding.
Nog steeds een
geisoleerd
probleem: bron - +
effectbestrijding.
Impact op de
gemeentelijke
dienstverlening
wordt echt
ervaren.
Kemteam komt in beginsel niet
bij elkaar. Probleem wordt
opgelost door RSO.
Kemteam komt in beginsel wel
bij elkaar. CIO / directies
worden geinformeerd.
Kernteamleden informeren
elkaar (early warning). G4
contact is optioneel.
Melding bij NCSC indien nodig.
Concemcommunicatie is
optioneel. G4 wordt in principe
geinformeerd.
Melding bij NCSC indien nodig.
Concemcommunicatie is
vereist. G4 wordt geinformeerd.
3
Concernbreed
ICT-incident (en
mogelijk andere
gemeenten / G4)
4
ICT-Incident is
concern
overstijgend
(landelijk)
Impact op de
gemeentelijke
dienstverlening is
manifest.
Kemteam komt bij elkaar.
Afhankelijk van het incident
(impact) treedt de GRIP55
structuur in werking. Bestuur,
CIO en directies worden
geinformeerd.
Mogelijk treedt de GRIP
structuur in werking. Het
kernteam is dan in beginsel
adviserend en voert
desgewenst coördinatie (binnen
het ICT domein).
Er is sprake van landelijke
opschaling via de technische
lijn (NCSC, VNG/KING) of via
de maatschappelijke lijn (NCC).
G4 wordt geinformeerd.
52Regeling ICT en Informatiegebruik, art 4, lid 4
53Wetsvoorstel "Gebruik meldplicht datalekken", er is tevens een EU verordening op handen (2014 en verder)
5° Draaiboek ICT crisisbeheersing, 2012
55Gecoördineerde Regionale Incidentbestrijdings Procedure
Datum P a g i n
Concern
10december 2013
2 1
Informatiebeveiligingsbeleid D e f i n i t i e f 1.0
a
van 25
10. Bedrijfscontinuïteit
Tegengaan van onderbreking van bedriffsactiviteiten en bescherming van kritische
informatiesystemen tegen de gevolgen van omvangrijke storingen of rampen en om
tijdig herstel te bewerkstelligen.
• E l k gemeentelijk cluster voert een business impact analyse uit aan de hand van de
'zelftoets voor bedrijfscontinuiteitsmanagement (BOM)'. '6 Afhankelijk van de
bevindingen worden per cluster vervolgacties gepland.
• E l k cluster heeft een eigen BCM plan. In de continuiteitsplannen wordt minimaal
aandacht besteed aan:
o Risico's.
o Identificatie van essentiële procedures voor bedrijfscontinuïteit.
o W i e het plan mag activeren en wanneer, maar ook wanneer er weer
gecontroleerd wordt teruggegaan.
o Ve i l i g te stellen informatie (aanvaardbaarheid van verlies van informatie).
o Prioriteiten en volgorde van herstel en reconstructie.
o Documentatie van systemen en processen.
o K e n n i s en kundigheid van personeel om de processen weer op te starten.
• E r worden minimaal jaarlijks oefeningen of testen gehouden om de BCM plannen te
toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de
plannen bijgesteld en wordt de organisatie bijgeschoold.
z
4.
Oefenen
continuiteitsplan en
-voorzieningen
1.
Bepalen vitale
processen en
continuiteitseisen
7
2 .
70pstelleniaanpassen
..•••••• c o n t i n u i t e i t s plan
3.
tnrichten/aanpassen
continuïteitsvoorzieningen
Cyclus van BCM
56Conform besluit concern directie 04-07-2012: zelftoets BCM bij uitval ICT, 2012
Concern
Datum
Pagina
Informatiebeveiligingsbeleid D e f i n i t i e f 1.0
10 december 2013
22 van 25
11. Naleving
Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of
contractuele verplichtingen, en van beveiligingseisen.
Organisatorische aspecten
• H e t verbeteren van de kwaliteit van informatieveiligheid is een continu proces en
onderdeel van alle gemeentelijke processen waarin wordt gewerkt met gevoelige
informatie. Informatieveiligheid is een kwaliteitskenmerk van het primaire proces,
waarop het management van elk cluster stuurt. De kwaliteit wordt gemeten aan:
o d e mate waarin een volledige set aan maatregelen is geimplementeerd,
gebaseerd op vastgesteld beleid;
o effectiviteit van de geimplementeerde maatregelen;
o d e mate waarin de informatiebeveiliging het bereiken van de strategische
doelstellingen ondersteunt.
• D e CISO zorgt namens de gemeentesecretaris voor het toezicht op de uitvoering van
het IB beleid.
• D e RSO en externe hosting providers leggen verantwoording af aan hun
opdrachtgevers over de naleving van het IB beleid. Bij uitbestede (beheer)processen
kan een verklaring bij leveranciers worden opgevraagd (TPM of ISAE3402verklaring).
• N a l e v i n g van regels vergt in toenemende mate ook externe verantwoording,
bijvoorbeeld voor het gebruik van DigiD, Suwi en GBA. Aanvullend op dit concern IB
beleid kunnen daarom specifieke normen gelden voor clusters.57
• P e r i o d i e k wordt de kwaliteit van informatieveiligheid in opdracht van de CIO
onderzocht door Concern Auditing en door onafhankelijke externen (bijvoorbeeld
door middel van 'penetratietesten'). Jaarlijks worden ca. 3 audits/onderzoeken
gepland. De bevindingen worden gebruikt voor de verdere verbetering van de
informatieveiligheid.
• I n de P&C cyclus wordt gerapporteerd over informatieveiligheid aan de hand van het
'in control' statement.
(Wettelijke) kaders
• E e n overzicht van relevante wet en regelgeving is opgenomen als bijlage in de IB
architectuur.58 Zo is het gebruik van persoonsgegevens geregeld in de Wet
Bescherming Persoonsgegevens.58
• V o o r elk type registratie wordt de bewaartermijn, het opslagmedium en eventuele
vernietiging bepaald in overeenstemming met wet, regelgeving, contractuele
verplichtingen en bedrijfsmatige eisen. Bij de keuze van het opslagmedium wordt
rekening gehouden met de bewaartermijn, de achteruitgang van de kwaliteit van het
medium in de loop van de tijd en de voortdurende beschikbaarheid van hulpmiddelen
(zoals hard- en software) om de gegevens te raadplegen en te bewerken.
57Binnen de sector gemeenten wordt gestreefd naar een uniform audit-kader om de verantwoordingslast zo veel
mogelijk te beperken.
" Een concept overzicht van wetten, regelingen en andere kaders is beschikbaar op de website van KING.
" Zie ook: Cbp richtsnoeren
Concern
D
a
t
u
m
P a g i
n
a
Intormatiebeveiligingsbeleid D e f i n i t i e f 1.0
3
van 25
1
0
december 2013
2
• B i j het (laten) vervaardigen en installeren van programmatuur wordt er voor gezorgd
dat de intellectuele eigendomsrechten die daar op rusten niet worden geschonden.
• V o o r gebruik van bedrijfsmiddelen geldt de 'Regeling ICT en Informatiegebruik 2012.
Concern
D
a
Informatiebeveiligingsbeleid D e f i n i t i e f 1.0
t
u
1
m
0
P
a
december 2013
g
i
n
2
4
a
van 25
Bijlage: Relevante documenten en bronnen
Intern
• Informatiebeleid 2010-2014 gemeente Rotterdam, B&W, 2010
• R e g e l i n g ICT en Informatiegebruik, B&W, 2012
• C o m p o n e n t Architectuur Authenticatie, Authorisatie en Beveiliging, CIO, 2011
o w o r d t Component Architectuur Informatiebeveiliging, CIO, 2014
• B a s e l i n e Informatiebeveiliging, RSO, 2012
• R i c h t l i j n Certificaten, CIO, 2012
• C h e c k l i s t Cloudcomputing, juridische diensten, 2011
• P r o c e d u r e aanvragen externe toegang tot Intranet Rotterdam (risicoanalyse)
• H a n d r e i k i n g dataclassificatie, CIO, 2011
Bovenstaande documenten, inclusief factsheets en rapportages zijn gepubliceerd op:
htto://siaan.rotterdam.nlibestuursdienstinformatiebeveiliginq
• B C M en zelftoets:
http://sjaan.rotterdam.nl/bestuursdienst:bedrijfs continuteitsmanagement bcm
• A l g e m e n e Inkoop Voorwaarden, gemeente Rotterdam
http://siaan.rotterdam.nl/servicedienst:2algemene inkoop voorwaarden aiv
Extern
• N E N / I S O 27001 en 27002 (Code voor Informatiebeveiliging), 2007
• B a s e l i n e Informatiebeveiliging Gemeenten (BIG), KING, 2013
o Strategisch normenkader (SNK)
o Ta c t i s c h normenkader (TNK)
Cbp richtsnoeren 'beveiliging van persoonsgegevens', 2013:
htto://www.cboweb.nl/Paoes/ob 20130219 richtsnoeren-beveilioindpersoonsaeoevens.aspx
GEMMA: http://www.kinddemeenten.n1/kino-kwaliteitsinstituut-nederlandseoemeenten/e-dienstverlenina-verbeteren/oemma
Concern
D
a
Intonnatiebeveiligingsbeleid D e f i n i t i e f 1.0
t
u
1
m
0
P
a
december 2013
g
i
n
2
5
a
van 25