Presentatie p stbvngisite
Upcoming SlideShare
Loading in...5
×
 

Presentatie p stbvngisite

on

  • 487 views

 

Statistics

Views

Total Views
487
Views on SlideShare
487
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Presentatie p stbvngisite Presentatie p stbvngisite Presentation Transcript

  • PresentatiePrivacy & Security Slimme MetersNetbeheer Nederland, werkgroep Privacy & SecurityJohan RambiJ h R bi9 september 2010
  • Agenda Introductie Uitleg Slimme Meter keten Privacy & Security in de media y y Privacy & Security sectoreisen Netbeheer Nederland Certificering ‘Privacy audit proof’ Project implementatie WBP en Privacy & Security sectoreisen bij Liander ISPMS cyclus Status audit Afsluiting
  • Netbeheer Nederland = brancheorganisatie
  • Rollen in de energiemarkt contract Consument Leverancier meterstanden energie meterstanden Netbeheerder
  • Uitleg slimme meter keten filmpje
  • Slimme Meter keten 1 Scope voor Netbeheerder met E- en G aansluitingen E G- P0 Modules, Slimme Centraal P1 P1 P3 P4 P3 * P P P 1 3 bijv. display bij di l E-meter E t Systeem S t P2 Data con- P3.1 P3.2 * centrator * P4 P2 ( ) (DC) Leveran-ciers 4 Meters (G / W) * De wolkjes symboliseren netwerktechnologieën, zoals GPRS, PLC (‘power line communication’), internet, etc. P4 ODA 2 Scope voor netbeheerder met enkel G- aansluitingen Centraal P4 Systeem
  • Privacy in de media
  • Privacy en wetgeving Met gemaakte keuzes in de wet zijn privacyproblemen geïntroduceerd, terwijl de samenleving steeds meer belang hecht aan privacybescherming Ontwerpkeuzes in de wet Discussie in (met name) de Eerste Kamer heeft duidelijk gemaakt zorgen voor privacyproblemen dat onvoldoende privacybescherming een ‘dealbreaker’ is Privacy lijkt geen fundamentele Voorbeelden van projecten waar zorgen over privacy tot ontwerpoverweging geweest te zijn maatschappelijke weerstand en ( t h lijk t d (waarschijnlijk) vertraging l id hij lijk) t i leiden: bij het opstellen van de wet: Keuze om naast maandstanden Telegraaf, 26 jan ’10 ook dag- en kwartierwaarden op Verpletterend NEE te slaan maakt meetdata De kilometerheffing moet van D kil h ffi privacygevoelig de baan! Dat is de mening van Integratie van de communicatie- 89 procent van de ruim module in de E-meter maakt dat 196.000 deelnemers aan de consumenten geen controle g Stelling van De Telegraaf. […] [ ] Velen lopen te hoop tegen hebben over het verzenden van het spionagekastje in de auto, data dat alle ritten registreert. Zij Netbeheerders beheren volledige vinden dit een grote inbreuk slimme-meter-infrastructuur en op de privacy en verwachten bewaren veel i f b l informatie, maar ti dat autoriteiten hiervan misbruik kunnen maken. niet alle klanten zien netbeheerders als te vertrouwen partij Bron: Trouw, Algemeen Dagblad, PrivacyFirst.nl, De Telegraaf
  • Privacy in de media
  • Security in de media
  • Security in de media
  • Security slimme meter filmpje
  • Proces totstandkoming P&S sectoreisen 2009 2010Activiteiten 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 Uitvoeren Risico analyse P&S Opstellen Privacy & Security richtlijnen Richtlijnen V1.0 Review richtlijnen door netbeheerders Review richtlijnen door TNO, PWC en RUN Framework, sectoreisen & Opstellen framework stakeholderanalyse framework, maatregelen en vertalen van richtlijnen naar P&S sectoreisen en maatregelen Impact Uitvoeren Impact analyse P&S sectoreisen analysis Review sectoreisen door netbeheerders Definitieve sectoreisen Opstellen P&S sectoreisen en maatregelen v1.50 Opzetten P&S controle en beheerorganisatie Invoeren sectorbrede Privacy g y gedragscode g Internationale afstemming en draagvlak
  • Framework Privacy & Security sectoreisen Stakeholderanalyse en ‘‘rulebase’’ St k h ld l lb doelen vanuit verwachtingen van formele wet- en normen en netbeheerders stakeholders regelgeving standaarden wat we willen bereiken Doelen (op het hoogste niveau) Principes bij formulering eisen Risico- Eisen concretisering van te bereiken doelen (‘wat’) analyse ‘wat’ te beschermen? Maatregelen manier om eis te realiseren (‘hoe’) ‘hoe’ te realiseren?
  • Voorbeelden Privacy & Security sectoreisen Beleidseisen Apparaatspecifieke eisen De netbeheerder dient zorg te dragen voor Toegang tot alle poorten op apparaten dient alleen welbepaalde, uitdrukkelijk omschreven en mogelijk te zijn na authenticatie. gerechtvaardigde doeleinden inzake de verzameling Dataconcentrators dienen ongeautoriseerd en verwerking van gegevens verzameld middels de dataverkeer op te merken en een waarschuwing te slimme meter (doelbinding). genereren voor het centraal systeem. De netbeheerder draagt zorg voor de melding inzake het verzamelen en verwerken van persoonsgegevens verzameld middels de slimme meter bij het CBP. Applicatieve eisen Organisatorische eisen Alle schakelopdrachten dienen te worden gelogd De netbeheerder dient zijn klanten juist, tijdig en door het centraal systeem (CS), ongeacht waar volledig te informeren over het verzamelen en ze vandaan komen (vanuit de netbeheerder zelf verwerken van slimme-metergerelateerde of via de P4 poort van derden) P4-poort derden). gegevens conform de eisen gesteld in de WBP WBP.
  • End-to-end beveiliging slimme meterketen P0 Data P 3.1 P 3.2 P3 P3 Slimme Centraal P4 P1 E meter E-meter Systeem concentrator P 2 P 2 Meters ( (G / W) )
  • Vervolgstappen werkgroep P&S P&S sectoreisen v1.5 vaststellen als formeel beleid door ledenraad (16/9) P&S sectoreisen v1.5 implementeren voor de wettelijke proefperiode (start medio 2011) en evalueren tijdens de proefperiode In opdracht van DG TREN van Europese Commissie onderzoek doen naar Europese afstemming rondom Privacy & Security van Slimme Meter Aansluiting zoeken bij CEN/CENELEC om een Europese Standaard rondom g j p Privacy & Security eisen Slimme Meter te ontwikkelen Opstarten roadmap in samenwerking met de meterleveranciers om een gezamenlijke visie te bepalen en next generation slimme meter te ontwikkelen Opstellen P&S sectoreisen v2.0 ten behoeve van de grootschalige uitrol
  • Implementeren communiceren Ronde Tafel Privacy en Security Slimme Meters
  • Security & Privacy ambitie bij LianderLiander Infostroom neemt een grote stap en wil zich laten certificeren voor invulling privacy.Dit resulteert in een ‘bewijslast’ aan de zijde van Infostroom en vraagt een versneld‘volwassenheidsproces’ binnen de organisatie. Gecertificeerd Compliant ‘Bewijslast’ bij Liander Ambitie Compliant ‘Bewijslast’ bij CPB InCompliant Volwassenheid
  • Raamwerk Privacy Audit Het “Raamwerk Privacy Audit” biedt praktische uitwerking van de Wbp. Opgesteld door het ‘Samenwerkingsverband Audit Aanpak’. Op basis van 9 verwerkingseisen invulling geven aan compliance V.1 Voornemen en melden V.2 Transparantie V.3 Doelbinding V.4 V 4 Grondslagen V.5 Kwaliteit van verwerking V.6 Rechten van betrokkenen V.7 Informatiebeveiliging V.8 Bewerkers V.9 Doorgifte buiten de EU g Inrichten van management control cyclus Beheersing van de verwerking (blijvend voldoen aan de Wbp) Zogenaamde ‘E-eisen’
  • Project Security & Privacy Het doel van het project: Liander Infostroom audit-ready te maken teneinde een certificering ‘Privacy audit proof’ te behalen. Voor het Security & Privacy project betekent audit ready (vanuit PWC): 1. Voldoen aan de eisen uit de Wet Bescherming Persoonsgegevens welke is opgesplitst in twee delen. I. WBP Verwerkingseis 1 t/m 4 absoluut gerealiseerd (juridisch compliant) • Voornemen en melding (V1), transparantie (V2), doelbinding (V3), rechtmatige g grondslag ( ) g (V4) II. WBP Verwerkingseis 5 t/m 9 zoveel mogelijk ingericht (vooral processen) • Kwaliteit van de verwerking (V5), rechten van betrokkenen (V6), verwerking door bewerkers binnen (V8) en buiten EU (V9) • Beveiliging (V7) inclusief het oplossen van de bevindingen op de WBP normen (V7), 2. Voldoen aan sector eisen. • Op het moment van audit geldende sector eisen zoveel mogelijk ingericht. 3. Management Control Cyclus. Implementatie van de beheersing van de processen (borging en control) • Waar niet voldaan is aan bovenstaande punten 2 en 3 dient risico analyse en plan van aanpak aanwezig te zijn EN het totale risico van openstaande punten niet te groot (naar analyse PWC).
  • Projectorganisatie Security & Privacy Projectorganisatie S&P 15 11 09 t/m 31 3 2010 15-11- 09 31-3-2010 Project board Opdrachtgever Senior gebruiker Senior Leverancier QA Programma Management Project Manager 0,5 FTE Projectleider Business Projectleider IM&ICT 0,2 FTE 1 FTE PWC aanbevelingen en Penetratietesten Implementatie Security Server** Support leveren voor PWC aanbevelingen Issues Installed Base - 3 FTE (IM-ICT) Ntb 0,8 FTE - meewerkend voorman 0,6 FTE - Teamleider 5,0 FTE Security support * 0,4 FTE Security Support * Technologie (0,7 fte) Madison Ghurka (fixed price, €110K) Technologie (0,2 fte) IM&ICT Beleid & Kader (0,7 fte) Riscure (fixed price, €130K Service & Beheer (o,1 fte) (Datacenter, TAB, Uitrol (0,4 fte) ( , ) g Overige DBA, Solutions Architect) , ) A&CM (0,1 fte) Service & Beheer (1.6 fte) Technologie (0,2 fte) IM&ICT Service & Beheer (0,1 fte) (CISO) Overige *:Inzet betreft het kernteam Privacy & Security en niet de daaronder vallende lijnafdelingen **: Inzet tot 31-05-2010
  • Security & Privacy framework - borgingVoor Privacy & Security geldt voor alle afdelingen dat er veranderingen zijn doorgevoerd opstrategisch, tactisch en operationeel niveau om aan de WBP en sectoreisen te voldoen. Dit iso.a. hieronder weergegeven. Kwaliteitsaspecten Privacy Security S it Alliandero Lianderon Aanbes Governancemodel en ISPMS nderdelen inza slimme me onderdelen inz steding & cont Risicoanalyse Strategisch Privacybeleid Informatiebeveiligingsbeleid Service& Continuïteitsbeleid Bed Tec ake chnologie zake slimme m &beheer drijfsbureau tractmaangem Uitrol U AO privacy AO security Bewerkingsovereenkomsten Afvoer persoonsgegevens Tactisch Melding Wbp Back-ups Incidentafhandeling ment meter eter Blauwdruk Awarenessprogramma Security server Disclaimers Gedragscode Penetratietesten Dataeigenaren Procedures Operationeel Geheimhouding Technische aanpassingen Aanpassen autorisaties Controls AMI Procedures contracten Aanpassen installed base
  • ISPMS procesNaast het waarborgen van de samenhang is continue verbeteringnoodzakelijk om te blijven voldoen aan de eisen. Dit wordt geïnitieerddoor o.a. nieuwe technologische ontwikkelingen, maar ook dooraanpassingen van wet- en regelgeving. regelgevingOm deze veranderingen te kunnen omzetten in juiste handelingen iseen proces opgezet, dat ISPMS is genoemd. Information Security & Privacy Management Systeem
  • Planning audit Planning audit Fase Week 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 I. I Valideren normenkader II. Vaststellen feitelijke situatie III. Conceptrapportage van bevindingen • Interviews IV. Vaststellen functioneren • Aanleveren documentatie V. Uitbrengen van definitieve rapportage, • 3 maanden Evaluatie en Afronding functioneren vaststellen VI. Bij positief oordeel aanvraag keurmerk ‘Privacy-Audit-Proof’
  • VragenJohan Rambi: privacy & security officer Liander InfostroomE-mail : johan.rambi@alliander.com johan rambi@alliander com