Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1
Welkom bij parallellijn 1 ‘On the Move’ 13.30 – 14.20 uur
Stap 3 van de BIG
Implementeren van de maatregelen, zelf opnieuw het wiel uitvinden of
synergie met wat er al is?
IBD-Praktijkdag ‘Work IT Out’
‘Implementeren van de maatregelen, zelf opnieuw het wiel uitvinden of synergie met
wat er al is?’
John van Huijgevoort
Adviseur informatiebeveiliging IBD
Programma
• Introductie
• Casus 1
– Welke beveiligingsfunctionarissen zijn er binnen de gemeente?
• Casus 2
– Specifieke maatregelen versus generieke maatregelen?
• Samenvatting & Afsluiting
4
Implementeren van de maatregelen, zelf opnieuw het wiel uitvinden of synergie met wat er al is?
Wat is de samenhang en zijn er overeenkomsten in aanpak tussen de normenkaders voor de verschillende beleidsdomeinen#?
Wat kun je als CISO leren van de aanpak binnen deze beleidsdomeinen en hoe kunnen deze gemeente-breed hergebruikt worden?
5
# Denk hierbij aan BRP/GBA, SUWI, decentralisaties en PUN et cetera
Casus 1: Verschillende beveiligingsfunctionarissen
6
Verantwoordingsrichtlijn GeVS en Normenkader GeVS 2011
1. Organisatorische aspecten
Doelstelling: Het inrichten en onderhouden van de beveiligingsfunctie en de beveiligingsorganisatie t.a.v. de informatiehuishouding. Uitgangspunt: Afnemer/Registratiehouder/Beheerder heeft de inrichting van en de taken en verantwoordelijkheden voor de beveiliging (van de eigen delen van de GeVS) beschreven, vastgesteld en belegd.
2.2 E# De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en infrastructuur moeten zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden zijn belegd. Operationeel beheer Functioneel beheer Technisch beheer Aansturing ICT-leveranciers Security Officer Autorisatiebeheer Eigenaarschap Suwinet
7
# het voldoen aan de norm is van essentieel belang
Bron: Verantwoordingsrichtlijn Gezamenlijke elektronische Voorzieningen Suwi (GeVS) 2011, d.d. 17 oktober 2011 http://www.bkwi.nl/downloads/item/verantwoordingsrichtlijn-gevs-2011/
Basisregistratie personen (BRP)
Functie Nr Vraag Antwoord BIG
Controller Informatieveiligheid
66 Is er door het college een controller informatiebeveiliging aangewezen, of is deze rol belegd?
Ja, inclusief vervanger 3.1 - 6.1.2
Ja, maar geen vervanger
Nee 6.1.3
Controller Informatieveiligheid
67 Hoe is de onafhankelijkheid van de medewerker die de controle op het informatiebeveiligingsproces uitoefent gewaarborgd?
De medewerker heeft geen uitvoerende taken met betrekking tot de BRP en heeft daartoe ook geen bevoegdheden
6.1.2 - 6.1.8
De rol van controller informatiebeveiliging is apart, onafhankelijk belegd
6.1.2 - 6.1.8
De onafhankelijkheid is niet gewaarborgd
8
Bron: Rijksdienst voor Identiteitsgegevens, ‘Vragenlijst BRP 2015’, Versie 1.0, d.d. 20 april 2015 (http://www.rijksdienstvooridentiteitsgegevens.nl/BRP/Zelfevaluatie_BRP/Vragenlijst_BRP)
Paspoortuitvoeringsregeling Nederland (PUN)
Functie Nr Vraag Antwoord BIG
Burgerzaken 11 Is er sprake van een scheiding in verantwoordelijkheden tussen de volgende rollen?
Ja, tussen de uitvoerder en de beveiligingsfunctionaris
6.1.3 en 10.1.3
Ja, tussen de opdrachtgever en de beveiligingsfunctionaris
6.1.3 en 10.1.3
Er is geen scheiding in verantwoordelijkheden
Beveiligingsfunctionaris 66 Legt de beveiligingsfunctionaris rechtstreeks verantwoording af aan de gezaghebber?
Ja
Nee
Personeelszaken 80 Is de beveiligingsfunctionaris betrokken bij de uitvoering van het reisdocumentenproces?
Ja 10.1.3
Nee
Personeelszaken 81 Zijn de taken en verantwoordelijkheden van de beveiligingsfunctionaris in een functieomschrijving vastgelegd?
Ja 6.1.3
Nee
9
Bron: Rijksdienst voor Identiteitsgegevens, Vragenlijsten ‘Paspoorten openbare lichamen 2015’, Versie 1.0, d.d. 20 mei 2015 (http://www.rijksdienstvooridentiteitsgegevens.nl/Reisdocumenten/Zelfevaluatie_paspoort_en_Nederlandse_identiteitskaart/Vragenlijst_Paspoorten_en_NIK)
Casus 1: Welke beveiligingsfunctionarissen zijn er binnen de gemeente?
• Wat zijn de taken, verantwoordelijkheden en bevoegdheden van deze verschillende beveiligingsfunctionarissen?
• Wat is de taakverdeling tussen de CISO en de Security Officers/beveiligingsfunctionarissen van de afzonderlijke beleidsdomeinen? – Kunnen we deze beveiligingstaken bij een persoon (CISO) beleggen of dienen
deze taken gescheiden te blijven (CISO, Security Officer SUWI, et cetera)?
– Is er sprake van een scheiding in verantwoordelijkheden tussen de verschillende beveiligingsfunctionarissen?
– Hoe is de onafhankelijkheid van de medewerker die de controle op de informatiebeveiligingsprocessen uitoefent gewaarborgd?
10
Casus 2: Verschillende beveiligingsmaatregelen
11
Verantwoordingsrichtlijn GeVS en Normenkader GeVS 2011 (1/2)
11. Logische toegangbeveiliging
Doelstelling: Het inrichten en onderhouden van de bescherming van de informatiehuishouding en de uitgewisselde te verwerken gegevens tegen ongeautoriseerde [logische] toegang en gebruik. Uitgangspunt: Afnemer/Registratiehouder/Beheerder beperkt de (logische) toegang tot functies, functionaliteit en componenten van de GeVS (en tot de via GeVS uitgewisselde gegevens) tot unieke geïdentificeerde, geauthenticeerde en geautoriseerde personen en slechts voor zover dit nodig is voor de uitvoering van de hen opgedragen taken.
13.1 E# De Suwipartij autoriseert en registreert de gebruikers die toegang hebben tot de Suwinet applicaties op basis van een formele procedure waarin is opgenomen. • Het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren functie /
taken • Het uniek identificeren van elke gebruiker tot één persoon • Het goedkeuren van de aanvraag voor toegangsrechten door de manager of een gemandateerde • Het tijdig wijzigen (dus ook intrekken) van de autorisatie bij functiewijziging of vertrek • Het benaderen van de Suwidatabestanden door gebruikers mag alleen plaatsvinden via
applicatieprogrammatuur (tenzij sprake is van calamiteiten)
12
# het voldoen aan de norm is van essentieel belang
Bron: Verantwoordingsrichtlijn Gezamenlijke elektronische Voorzieningen Suwi (GeVS) 2011, d.d. 17 oktober 2011 http://www.bkwi.nl/downloads/item/verantwoordingsrichtlijn-gevs-2011/
Verantwoordingsrichtlijn GeVS en Normenkader GeVS 2011 (2/2)
11. Logische toegangbeveiliging
Doelstelling: Het inrichten en onderhouden van de bescherming van de informatiehuishouding en de uitgewisselde te verwerken gegevens tegen ongeautoriseerde [logische] toegang en gebruik. Uitgangspunt: Afnemer/Registratiehouder/Beheerder beperkt de (logische) toegang tot functies, functionaliteit en componenten van de GeVS (en tot de via GeVS uitgewisselde gegevens) tot unieke geïdentificeerde, geauthenticeerde en geautoriseerde personen en slechts voor zover dit nodig is voor de uitvoering van de hen opgedragen taken.
13.4 Identificatie, authenticatie en autorisatie vinden plaats met behulp van een toegangbeveiligings-applicatie.
13.5. E# De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats. • Interne controle op rechten en gebruik van Suwinet • Analyseren van de van het BKWI verkregen informatie over het gebruik van Suwigegevens
13.6 Ongeautoriseerde toegangspogingen en essentiële activiteiten worden gedetecteerd, geanalyseerd en tegen inbreuken wordt actie ondernomen. • Analyseren van de informatie verkregen op basis van normen 1 tot en met 10 • Maximaal 18 maanden bewaren van loggegevens welke gegevens bevatten die tot natuurlijke
personen herleidbaar zijn
13
# het voldoen aan de norm is van essentieel belang
Bron: Verantwoordingsrichtlijn Gezamenlijke elektronische Voorzieningen Suwi (GeVS) 2011, d.d. 17 oktober 2011 http://www.bkwi.nl/downloads/item/verantwoordingsrichtlijn-gevs-2011/
Basisregistratie personen (BRP) (1/2)
Functie Nr Vraag Antwoord BIG
Burgerzaken 26 Welke elementen zijn in de procedure autorisatietoekenning opgenomen?
Er is vastgelegd wie autorisaties toe mag kennen 11.2
Verzoeken om autorisatie kunnen uitsluitend schriftelijk gedaan worden
11.2
Verzoeken om autorisatie worden geadministreerd 11.2
Gebruikers verklaren de autorisatie niet aan een ander ter beschikking te stellen
11.2
Gebruikers tekenen een geheimhoudingsverklaring 11.2
Dat de verstrekte persoonlijke identificaties tot het BRP systeem minimaal jaarlijks worden gecontroleerd op geldigheid en actualiteit van de autorisaties
11.2
Minimaal jaarlijkse controle van de autorisaties bij het gebruik van de BRP bij samenwerkingsverbanden
Er is geen procedure of geen van de genoemde elementen is opgenomen
14
Bron: Rijksdienst voor Identiteitsgegevens, ‘Vragenlijst BRP 2015’, Versie 1.0, d.d. 20 april 2015 (http://www.rijksdienstvooridentiteitsgegevens.nl/BRP/Zelfevaluatie_BRP/Vragenlijst_BRP)
Basisregistratie personen (BRP) (2/2)
Functie Nr Vraag Antwoord BIG
Burgerzaken 27 Wat is het resultaat (of: de uitkomst) van de dit jaar uitgevoerde controle op de autorisaties?
Alle autorisaties zijn persoonsgebonden 11.2.4
De autorisaties aan gebruikers en/of overkoepelende registraties zijn terecht verleend
11.2.4
De autorisaties aan verwerkers zijn terecht verleend
11.2.4
De autorisatie voor gebruikers BRP en/of overkoepelende registratie worden niet misbruikt
11.2.4
De profielen en/of overkoepelende registratie stemmen overeen met de toegekende rechten in de verordening
11.2.4
Geen van de genoemde resultaten
We hebben geen controle uitgevoerd
15
Bron: Rijksdienst voor Identiteitsgegevens, ‘Vragenlijst BRP 2015’, Versie 1.0, d.d. 20 april 2015 (http://www.rijksdienstvooridentiteitsgegevens.nl/BRP/Zelfevaluatie_BRP/Vragenlijst_BRP)
Paspoortuitvoeringsregeling Nederland (PUN)
Functie Nr Vraag Antwoord BIG
Burgerzaken 19 Hebben uitsluitend geautoriseerde medewerkers toegang tot het reisdocumentenproces?
Ja 11.2
Nee
Burgerzaken 21 Houdt de autorisatiebevoegde reisdocumenten een registratie bij van uitgegeven / ingetrokken autorisaties?
Ja 11.2.1
Nee
Burgerzaken 27 Hoe is het toekennen en intrekken van de autorisatie van gebruikers van de reisdocumentenmodule georganiseerd?
De toekenning, wijziging en intrekking van een autorisatie wordt geregistreerd
11.2.1 en 11.2.4
Het vervallen van de bevoegdheid van medewerkers leidt tot intrekking van de autorisatie
11.2.1
De autorisatie wordt periodiek door de applicatiebeheerder gecontroleerd
Er wordt geen registratie bijgehouden
16
Bron: Rijksdienst voor Identiteitsgegevens, Vragenlijsten ‘Paspoorten openbare lichamen 2015’, Versie 1.0, d.d. 20 mei 2015 (http://www.rijksdienstvooridentiteitsgegevens.nl/Reisdocumenten/Zelfevaluatie_paspoort_en_Nederlandse_identiteitskaart/Vragenlijst_Paspoorten_en_NIK)
Casus 2: Specifieke maatregelen versus generieke maatregelen
• Hoe vertalen we de specifieke (afzonderlijke) maatregelen voor de verschillende beleidsdomeinen naar generieke maatregelen?
– Wat zijn eventueel de opmerkingen bij deze generieke maatregelen m.b.t. de verschillende beleidsdomeinen?
– Voorbeeldmaatregel: Logische toegangsbeveiliging
• Hoe hebben jullie dit geïmplementeerd?
17
IBD Producten
18
19
Vragen
21
Einde sessie
Wij vragen u naar de volgende sessie te gaan