1

Welkom bij parallellijn 1 ‘On the Move’ 13.30 – 14.20 uur

Stap 3 van de BIG

Implementeren van de maatregelen, zelf opnieuw het wiel uitvinden of

synergie met wat er al is?

IBD-Praktijkdag ‘Work IT Out’

‘Implementeren van de maatregelen, zelf opnieuw het wiel uitvinden of synergie met

wat er al is?’

John van Huijgevoort

Adviseur informatiebeveiliging IBD

Programma

• Introductie

• Casus 1

– Welke beveiligingsfunctionarissen zijn er binnen de gemeente?

• Casus 2

– Specifieke maatregelen versus generieke maatregelen?

• Samenvatting & Afsluiting

4

Implementeren van de maatregelen, zelf opnieuw het wiel uitvinden of synergie met wat er al is?

Wat is de samenhang en zijn er overeenkomsten in aanpak tussen de normenkaders voor de verschillende beleidsdomeinen#?

Wat kun je als CISO leren van de aanpak binnen deze beleidsdomeinen en hoe kunnen deze gemeente-breed hergebruikt worden?

5

# Denk hierbij aan BRP/GBA, SUWI, decentralisaties en PUN et cetera

Casus 1: Verschillende beveiligingsfunctionarissen

6

Verantwoordingsrichtlijn GeVS en Normenkader GeVS 2011

1. Organisatorische aspecten

Doelstelling: Het inrichten en onderhouden van de beveiligingsfunctie en de beveiligingsorganisatie t.a.v. de informatiehuishouding. Uitgangspunt: Afnemer/Registratiehouder/Beheerder heeft de inrichting van en de taken en verantwoordelijkheden voor de beveiliging (van de eigen delen van de GeVS) beschreven, vastgesteld en belegd.

2.2 E# De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en infrastructuur moeten zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden zijn belegd. Operationeel beheer Functioneel beheer Technisch beheer Aansturing ICT-leveranciers Security Officer Autorisatiebeheer Eigenaarschap Suwinet

7

# het voldoen aan de norm is van essentieel belang

Bron: Verantwoordingsrichtlijn Gezamenlijke elektronische Voorzieningen Suwi (GeVS) 2011, d.d. 17 oktober 2011 http://www.bkwi.nl/downloads/item/verantwoordingsrichtlijn-gevs-2011/

Basisregistratie personen (BRP)

Functie Nr Vraag Antwoord BIG

Controller Informatieveiligheid

66 Is er door het college een controller informatiebeveiliging aangewezen, of is deze rol belegd?

Ja, inclusief vervanger 3.1 - 6.1.2

Ja, maar geen vervanger

Nee 6.1.3

Controller Informatieveiligheid

67 Hoe is de onafhankelijkheid van de medewerker die de controle op het informatiebeveiligingsproces uitoefent gewaarborgd?

De medewerker heeft geen uitvoerende taken met betrekking tot de BRP en heeft daartoe ook geen bevoegdheden

6.1.2 - 6.1.8

De rol van controller informatiebeveiliging is apart, onafhankelijk belegd

6.1.2 - 6.1.8

De onafhankelijkheid is niet gewaarborgd

8

Bron: Rijksdienst voor Identiteitsgegevens, ‘Vragenlijst BRP 2015’, Versie 1.0, d.d. 20 april 2015 (http://www.rijksdienstvooridentiteitsgegevens.nl/BRP/Zelfevaluatie_BRP/Vragenlijst_BRP)

Paspoortuitvoeringsregeling Nederland (PUN)

Functie Nr Vraag Antwoord BIG

Burgerzaken 11 Is er sprake van een scheiding in verantwoordelijkheden tussen de volgende rollen?

Ja, tussen de uitvoerder en de beveiligingsfunctionaris

6.1.3 en 10.1.3

Ja, tussen de opdrachtgever en de beveiligingsfunctionaris

6.1.3 en 10.1.3

Er is geen scheiding in verantwoordelijkheden

Beveiligingsfunctionaris 66 Legt de beveiligingsfunctionaris rechtstreeks verantwoording af aan de gezaghebber?

Ja

Nee

Personeelszaken 80 Is de beveiligingsfunctionaris betrokken bij de uitvoering van het reisdocumentenproces?

Ja 10.1.3

Nee

Personeelszaken 81 Zijn de taken en verantwoordelijkheden van de beveiligingsfunctionaris in een functieomschrijving vastgelegd?

Ja 6.1.3

Nee

9

Bron: Rijksdienst voor Identiteitsgegevens, Vragenlijsten ‘Paspoorten openbare lichamen 2015’, Versie 1.0, d.d. 20 mei 2015 (http://www.rijksdienstvooridentiteitsgegevens.nl/Reisdocumenten/Zelfevaluatie_paspoort_en_Nederlandse_identiteitskaart/Vragenlijst_Paspoorten_en_NIK)

Casus 1: Welke beveiligingsfunctionarissen zijn er binnen de gemeente?

• Wat zijn de taken, verantwoordelijkheden en bevoegdheden van deze verschillende beveiligingsfunctionarissen?

• Wat is de taakverdeling tussen de CISO en de Security Officers/beveiligingsfunctionarissen van de afzonderlijke beleidsdomeinen? – Kunnen we deze beveiligingstaken bij een persoon (CISO) beleggen of dienen

deze taken gescheiden te blijven (CISO, Security Officer SUWI, et cetera)?

– Is er sprake van een scheiding in verantwoordelijkheden tussen de verschillende beveiligingsfunctionarissen?

– Hoe is de onafhankelijkheid van de medewerker die de controle op de informatiebeveiligingsprocessen uitoefent gewaarborgd?

10

Casus 2: Verschillende beveiligingsmaatregelen

11

Verantwoordingsrichtlijn GeVS en Normenkader GeVS 2011 (1/2)

11. Logische toegangbeveiliging

Doelstelling: Het inrichten en onderhouden van de bescherming van de informatiehuishouding en de uitgewisselde te verwerken gegevens tegen ongeautoriseerde [logische] toegang en gebruik. Uitgangspunt: Afnemer/Registratiehouder/Beheerder beperkt de (logische) toegang tot functies, functionaliteit en componenten van de GeVS (en tot de via GeVS uitgewisselde gegevens) tot unieke geïdentificeerde, geauthenticeerde en geautoriseerde personen en slechts voor zover dit nodig is voor de uitvoering van de hen opgedragen taken.

13.1 E# De Suwipartij autoriseert en registreert de gebruikers die toegang hebben tot de Suwinet applicaties op basis van een formele procedure waarin is opgenomen. • Het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren functie /

taken • Het uniek identificeren van elke gebruiker tot één persoon • Het goedkeuren van de aanvraag voor toegangsrechten door de manager of een gemandateerde • Het tijdig wijzigen (dus ook intrekken) van de autorisatie bij functiewijziging of vertrek • Het benaderen van de Suwidatabestanden door gebruikers mag alleen plaatsvinden via

applicatieprogrammatuur (tenzij sprake is van calamiteiten)

12

# het voldoen aan de norm is van essentieel belang

Bron: Verantwoordingsrichtlijn Gezamenlijke elektronische Voorzieningen Suwi (GeVS) 2011, d.d. 17 oktober 2011 http://www.bkwi.nl/downloads/item/verantwoordingsrichtlijn-gevs-2011/

Verantwoordingsrichtlijn GeVS en Normenkader GeVS 2011 (2/2)

11. Logische toegangbeveiliging

Doelstelling: Het inrichten en onderhouden van de bescherming van de informatiehuishouding en de uitgewisselde te verwerken gegevens tegen ongeautoriseerde [logische] toegang en gebruik. Uitgangspunt: Afnemer/Registratiehouder/Beheerder beperkt de (logische) toegang tot functies, functionaliteit en componenten van de GeVS (en tot de via GeVS uitgewisselde gegevens) tot unieke geïdentificeerde, geauthenticeerde en geautoriseerde personen en slechts voor zover dit nodig is voor de uitvoering van de hen opgedragen taken.

13.4 Identificatie, authenticatie en autorisatie vinden plaats met behulp van een toegangbeveiligings-applicatie.

13.5. E# De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats. • Interne controle op rechten en gebruik van Suwinet • Analyseren van de van het BKWI verkregen informatie over het gebruik van Suwigegevens

13.6 Ongeautoriseerde toegangspogingen en essentiële activiteiten worden gedetecteerd, geanalyseerd en tegen inbreuken wordt actie ondernomen. • Analyseren van de informatie verkregen op basis van normen 1 tot en met 10 • Maximaal 18 maanden bewaren van loggegevens welke gegevens bevatten die tot natuurlijke

personen herleidbaar zijn

13

# het voldoen aan de norm is van essentieel belang

Bron: Verantwoordingsrichtlijn Gezamenlijke elektronische Voorzieningen Suwi (GeVS) 2011, d.d. 17 oktober 2011 http://www.bkwi.nl/downloads/item/verantwoordingsrichtlijn-gevs-2011/

Basisregistratie personen (BRP) (1/2)

Functie Nr Vraag Antwoord BIG

Burgerzaken 26 Welke elementen zijn in de procedure autorisatietoekenning opgenomen?

Er is vastgelegd wie autorisaties toe mag kennen 11.2

Verzoeken om autorisatie kunnen uitsluitend schriftelijk gedaan worden

11.2

Verzoeken om autorisatie worden geadministreerd 11.2

Gebruikers verklaren de autorisatie niet aan een ander ter beschikking te stellen

11.2

Gebruikers tekenen een geheimhoudingsverklaring 11.2

Dat de verstrekte persoonlijke identificaties tot het BRP systeem minimaal jaarlijks worden gecontroleerd op geldigheid en actualiteit van de autorisaties

11.2

Minimaal jaarlijkse controle van de autorisaties bij het gebruik van de BRP bij samenwerkingsverbanden

Er is geen procedure of geen van de genoemde elementen is opgenomen

14

Bron: Rijksdienst voor Identiteitsgegevens, ‘Vragenlijst BRP 2015’, Versie 1.0, d.d. 20 april 2015 (http://www.rijksdienstvooridentiteitsgegevens.nl/BRP/Zelfevaluatie_BRP/Vragenlijst_BRP)

Basisregistratie personen (BRP) (2/2)

Functie Nr Vraag Antwoord BIG

Burgerzaken 27 Wat is het resultaat (of: de uitkomst) van de dit jaar uitgevoerde controle op de autorisaties?

Alle autorisaties zijn persoonsgebonden 11.2.4

De autorisaties aan gebruikers en/of overkoepelende registraties zijn terecht verleend

11.2.4

De autorisaties aan verwerkers zijn terecht verleend

11.2.4

De autorisatie voor gebruikers BRP en/of overkoepelende registratie worden niet misbruikt

11.2.4

De profielen en/of overkoepelende registratie stemmen overeen met de toegekende rechten in de verordening

11.2.4

Geen van de genoemde resultaten

We hebben geen controle uitgevoerd

15

Bron: Rijksdienst voor Identiteitsgegevens, ‘Vragenlijst BRP 2015’, Versie 1.0, d.d. 20 april 2015 (http://www.rijksdienstvooridentiteitsgegevens.nl/BRP/Zelfevaluatie_BRP/Vragenlijst_BRP)

Paspoortuitvoeringsregeling Nederland (PUN)

Functie Nr Vraag Antwoord BIG

Burgerzaken 19 Hebben uitsluitend geautoriseerde medewerkers toegang tot het reisdocumentenproces?

Ja 11.2

Nee

Burgerzaken 21 Houdt de autorisatiebevoegde reisdocumenten een registratie bij van uitgegeven / ingetrokken autorisaties?

Ja 11.2.1

Nee

Burgerzaken 27 Hoe is het toekennen en intrekken van de autorisatie van gebruikers van de reisdocumentenmodule georganiseerd?

De toekenning, wijziging en intrekking van een autorisatie wordt geregistreerd

11.2.1 en 11.2.4

Het vervallen van de bevoegdheid van medewerkers leidt tot intrekking van de autorisatie

11.2.1

De autorisatie wordt periodiek door de applicatiebeheerder gecontroleerd

Er wordt geen registratie bijgehouden

16

Bron: Rijksdienst voor Identiteitsgegevens, Vragenlijsten ‘Paspoorten openbare lichamen 2015’, Versie 1.0, d.d. 20 mei 2015 (http://www.rijksdienstvooridentiteitsgegevens.nl/Reisdocumenten/Zelfevaluatie_paspoort_en_Nederlandse_identiteitskaart/Vragenlijst_Paspoorten_en_NIK)

Casus 2: Specifieke maatregelen versus generieke maatregelen

• Hoe vertalen we de specifieke (afzonderlijke) maatregelen voor de verschillende beleidsdomeinen naar generieke maatregelen?

– Wat zijn eventueel de opmerkingen bij deze generieke maatregelen m.b.t. de verschillende beleidsdomeinen?

– Voorbeeldmaatregel: Logische toegangsbeveiliging

• Hoe hebben jullie dit geïmplementeerd?

17

IBD Producten

18

19

Vragen

Contactinformatie

20

info@IBDgemeenten.nl Bezoek ook www.ibdgemeenten.nl

21

Einde sessie

Wij vragen u naar de volgende sessie te gaan