Benut kansen, bescherm reputatie: daar draait het om bij de inzet van persoonsgegevens voor organisaties. Met het Privacy Impact Assessment (PIA) heb je als bedrijf een tool in handen om privacy risico's te beheersen. Zo kunt u gecontroleerd uw data inzetten, de privacy van uw klanten beschermen en daarmee uw imago. Bekijk de do's en don'ts over hoe je de PIA op een juiste manier gebruikt, in deze presentatie.
Benut kansen, bescherm reputatie: daar draait het om bij de inzet van persoonsgegevens voor organisaties. Met het Privacy Impact Assessment (PIA) heb je als bedrijf een tool in handen om privacy risico's te beheersen. Zo kunt u gecontroleerd uw data inzetten, de privacy van uw klanten beschermen en daarmee uw imago. Bekijk de do's en don'ts over hoe je de PIA op een juiste manier gebruikt, in deze presentatie.
Presentatie Kennisnet over informatiebeveiliging in mbo en vo SLBdiensten
Presentatie Leo Bakker en Axel Eissens van Kennisnet behandelen verschillende vraagstukken omtrent het informatiebeveiligingsbeleid voor het voortgezet onderwijs. Zij gaven deze presentatie op de Securitydag 15 april 2016 bij Aventus te Apeldoorn.
Presentatie Kennisnet over informatiebeveiliging in mbo en vo SLBdiensten
Presentatie Leo Bakker en Axel Eissens van Kennisnet behandelen verschillende vraagstukken omtrent het informatiebeveiligingsbeleid voor het voortgezet onderwijs. Zij gaven deze presentatie op de Securitydag 15 april 2016 bij Aventus te Apeldoorn.
2. Waar ga ik het over hebben?
• 3 thema’s:
• Baseline Informatiebeveiliging Nederlandse
gemeenten(BIG) algemeen
• Instrumenten
• Eerste resultaten van uitgevoerde analyses
sociaal domein
2
4. Informatieveiligheid
• Het gaat om het vergroten van de weerbaarheid van
gemeenten tegen ICT-verstoringen en –dreigingen
• Dat start bij vergroten van bewustzijn van en de sturing op
informatiebeveiliging, ook bij bestuurders
• Implementatie van de Baseline Informatiebeveiliging
Nederlandse Gemeenten (BIG):
• Strategische en Tactische variant van de BIG gereed
(op IBD-community) (Wat)
• Producten Operationele variant nu in ontwikkeling
(Hoe)
5. Baseline Informatiebeveiliging
Nederlandse Gemeenten - Doel
1. Gemeenten op een vergelijkbare manier
efficiënt te laten werken met
informatieveiligheid.
2. Gemeenten een hulpmiddel te geven om aan
alle eisen op het gebied van
Informatieveiligheid te kunnen voldoen.
3. De auditlast bij gemeenten te verminderen.
4. Gemeenten een aantoonbaar betrouwbare
partner te laten zijn.
5
6. Baseline Informatiebeveiliging
Nederlandse Gemeenten: Uitgangspunten
• Gekozen voor een optimale aansluiting bij de
wereld van geaccepteerde standaarden
– Bijvoorbeeld: ISO 27001:2005, ISO 27002:2007,
VIR, VIR-BI en BIR.
• Basis beveiligingsniveau gebaseerd op
normen en wetgeving
– Inclusief mapping vanuit normen en wetgeving naar
de maatregelen
7. Strategische Variant BIG
• Scope
– Bedrijfsvoeringsprocessen en onderliggende
informatiesystemen en informatie van de gemeente
• Uitgangspunten
– B&W integraal verantwoordelijk
– Basis niveau Departementaal Vertrouwelijk
– Schengen’-principe gehanteerd
– Gerichte risicoafweging voor afwijkende situaties of
wanneer een hoger beveiligingsniveau nodig is
• Randvoorwaarden
– Rol management
– Risicomanagement
– Bewustwording
– Integrale aanpak
7
8. Tactische variant BIG
• Indeling als internationale beveiligingsnorm
ISO/IEC 27002:2007
• Basisset aan maatregelen die voor alle
gemeenten geldt
• Bevat maatregelen uit aansluitnormen van de
basisregistraties
– GBA / BRP
– PUN
– BAG
– SUWI wet
– WBP en laatste richtsnoeren
• Randvoorwaarden, stappenplan
8
9. Operationele Variant BIG
• Opgebouwd uit aanvullend beleid, procedures,
handreikingen, aanwijzingen en patronen
• Geven vooral antwoord op het “hoe”
– detaillering, invulling maatregelen
• Welke producten:
– Prioriteit: bepaald middels uitvraag
– Aantal: 50+ producten
– Planning: tweede helft 2013 en medio 2014.
– Kwaliteitsborging: review door gemeenten
9
10. Voordelen van de BIG
• Gemeenten hebben nu allemaal hetzelfde kader
• Bewustwording neemt toe bij gemeenten en
daarmee ook de vragen
• Meer in control zijn
– gemeenten worden volwassener opdrachtgevers qua
beveiliging, en dat dwingt leveranciers tot volwassener
opdrachtnemerschap
• Duidelijkheid voor leveranciers
– geen verschillende beveiligingseisen van verschillende
gemeenten
– Onderscheidende factor voor leveranciers
• Security by design
10
11. Baseline en de leveranciers
• Er is nu één normenkader, eenduidige eisen
en wensen, één taal
• Toename bewustwording gemeenten, dus ook
meer vragen over informatieveiligheid in
oplossingen
• Beveiliging word vaak als sluitpost gezien
• De Baseline en er goed mee omgaan in
producten en diensten is geen last maar een
business enabler
11
13. Instrumenten: 0-meting en impactanalyse
• De 0-meting is bedoeld om te toetsen in
hoeverre de gemeente of een
proces/informatiesysteem voldoet aan de BIG
• De Impactanalyse is bedoeld om de
ontbrekende maatregelen ten opzichte van de
BIG toe te delen en te plannen
• Dus ook richting leveranciers van
informatiesystemen
13
14. Instrumenten: baselinetoets
• Zo eenvoudig mogelijk opgezet
• Toetsen door middel van BIV en P vragen
• 2-ledig doel:
– Een bestaand systeem te toetsen of de baseline
voldoende beschermd
– Toetsen van een nieuw proces/informatiesysteem of
de baseline voldoende is of dat er meer nodig is.
• Resultaat:
– BIG is voldoende
– BIG is niet voldoende, voer diepgaande risicoanalyse
uit en voer eventueel een PIA uit
– Geeft inzicht in BIV+P ten opzichte van de BIG
14
15. Instrumenten: diepgaande risicoanalyse
• Vervolg op de baselinetoets
• Kan leiden tot aanvullende controls en
maatregelen bovenop de BIG controls en
maatregelen
• Minimaal tijd benodigd van proceseigenaar,
systeembeheerders etcetera
• In korte tijd te doen
• Mogelijk focus op BIV+P uit baselinetoets
15
16. Instrumenten: PIA
• Richtsnoeren
• Indien de P-vragen uit de baselinetoets
aanleiding geven tot een PIA
• Vragenlijst gericht op privacy vraagstukken
• Eenvoudige rapportage
• Leidt tot eventueel aanvullende beveiligings /
privacy maatregelen
• Toekomst verplicht (EU-wetgeving)
16
17. Instrumenten waar leveranciers rekening
mee moeten gaan houden
• Beveiligingseisen in contracten
• Contractmanagement
• Bewerkersovereenkomst met maatregelen in
de bijlage (SaaS voorbeeld)
• SLA
• Geheimhoudingsverklaring, VoG
• Responsible disclosure
• Incidentmanagement en overige
beheerprocessen
• Naleving en controle
17
19. Top Risico’s Oplossingen
Onzorgvuldig handelen
Gebruikers
Beheerders
Leveranciers
Bewustwording
Logging en monitoring en auditing
Systeem documentatie
Opleidingen
Derde Partijen en Cloud Contracten, Bewerkersovereenkomsten,
SLA’s en TPM
Mobiele devices Mobile Device Management
Zero footprint
Toegang tot data door onbevoegden,
lekken van informatie (boetes)
- Management committment
- Bewustwording
-Logisch toegangsbeheer, afscherming
op kolom, regel of tabelniveau, RBAC
etcetera
Encryptiemaatregelen
-Indienst- en uitdienst- en
functiewijziging procedures
- Cloud aandachtspunten
-Logging en monitoring
Besmettingen Patchmanagement
Hardening
Antimalware maatregelen
Back-up19
Top risico’s sociaal domein
De gemeenten hebben de Baseline Informatiebeveiliging Nederlandse gemeenten (BIG) geaccepteerd. Welke instrumenten kunnen worden ingezet om tot een goede inschatting te komen voor informatiebeveiliging in het kader van 3D? Welke aanpak hoort daarbij? Waar kunnen gemeenten het beste mee beginnen? Zijn er al zwaartepunten aan te wijzen in de beveiliging waar leveranciers rekening mee moeten houden, is de BIG als basis voldoende of is er meer nodig?
Eerst voorstellen
Is er iemand in het publiek die de BIG nog niet kent of daar nooit een verhaal over gehad heeft.
Zo ja, dan eerst de baseline, anders deze skippen.
Is er een toename in incidenten en informatiebeveiliging tekortkomingen?
Vertel waarom de term informatieveiligheid wordt gebruikt
Informatiebeveiliging is het middel om informatieveiligheid te bereiken, opstapje naar volgende sheets
Waarom de BIG?
Wat is het doel, niet alleen die incidenten geven aan dat er iets moet gebeuren. Nee ook gemeenten hebben jarenlang geworsteld met de ISO en getuige de incidenten moest er wel een eenduidig basis normen kader komen voor gemeenten.
Deze punten zijn ook zo aan bod gekomen bij de BALV
BIG in opdracht van BZK. Gebaseerd op de Baseline Informatiebeveiliging Rijk. (Die is gebaseerd op de ISO27001/27002)
BIG – Strategische Baseline
De Strategisch Baseline kan gezien worden als de ’kapstok’ waaraan de elementen van informatiebeveiliging opgehangen kunnen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. De Strategische Baseline is een separaat document.
BIG – Tactische Baseline
De Tactische Baseline beschrijft de normen en maatregelen ten behoeve van controle en risicomanagement. De Tactische Baseline beschrijft aan de hand van dezelfde indeling als de internationale beveiligingsnorm ISO/IEC 27002:2007, de controls/maatregelen die als Tactische Baseline gelden voor de gemeenten. De Tactische Baseline omvat onderhavig document.
Security is een business enabler, ik durf te stellen dat leveranciers die niet aan security doen, of commercie en gewin boven security stellen hun langste tijd gehad hebben.
Security wordt een extra unique selling point voor jullie producten en diensten aan gemeenten.
Nu de uitleg over de instrumenten.
Pia’s sociaal domein, er zijn PIA’s beloofd door bewindslieden, daar wordt nu aan gewerkt.
Op de IBD website staat een PIA instrument voor gemeenten.
Meldplicht datalekken NL (nu tweede kamer) en later ook in EU wetgeving, hoge boetes
Toekomst Dataprotection officer ook bij de bewerker?
Mogelijk ook PIA’s bij bewerker
Privacy by design
Vanuit de operationele variant van de BIG zijn der diverse andere producten die de gemeenten kunnen helpen bij het verhogen van de informatieveiligheid
Ook Hardening, Patchmanagement
Rol IBD, aansluiten, de foto
Aanhalen nut en doel van een bewerkerovereenkomst
Leveranciers ook beleid en aandacht voor informatieveiligheid
Hoe hangen de instrumenten samen, doorheen lopen
Deze aanpak wordt nu al uitgevoerd binnen het sociaal domein met als doel te komen tot beveiligings eisen en wensen voor het programma van eisen dat gemaakt wordt door het ISD project.
Risico’s ivm mobiel werken met gevoelige gegevens, ook door niet gemeentemedewerkers
Ik heb het hier niet over de algemene maatregelen zoals beleid en dergelijke.
Logging en monitoring worden ivm meldplicht datalekken steeds belangrijker.
Denk daarbij niet alleen aan de applicatie maar ook aan de hostende partij, er zijn soms meerdere partijen betrokken bij de levering van een dienst of product.
