presentatie big en grote gemeenten regiobijeenkomst q4 2014
TRANSCRIPT
![Page 1: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/1.jpg)
De Baseline Informatiebeveiliging &
grote gemeenten
6 oktober 2014John van Huijgevoort, IBD
![Page 2: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/2.jpg)
Agenda
� De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG):
• Samenhang• Instrumenten
� Hoe om te gaan met de BIG als grote gemeente?
2
![Page 3: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/3.jpg)
3
Samenhang producten
![Page 4: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/4.jpg)
Informatiebeveiliging en Privacy in IV-projecten
4
![Page 5: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/5.jpg)
Instrumenten
• Handreiking Dataclassificatie
• GAP-analyse
• Impactanalyse
• Baselinetoets BIG
• Diepgaande Risicoanalyse
• Privacy Impact Assessment (PIA)
5
![Page 6: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/6.jpg)
Instrumenten: Handreiking Dataclassificatie
• Het niveau van de BIG bevindt zich op de volgende (BIV-) waarden:
– Beschikbaarheid: Belangrijk
– Integriteit: Hoog
– Vertrouwelijkheid: Vertrouwelijk
6
Classificatie leidraad
![Page 7: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/7.jpg)
Instrumenten: GAP-analyse
• De GAP-analyse is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG
7
![Page 8: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/8.jpg)
Instrumenten: Impactanalyse
• De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen. Ook richting leveranciers van informatiesystemen.
8
![Page 9: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/9.jpg)
Instrumenten: Baselinetoets BIG
• Toetsen door middel van BIV- en P-vragen
• Toetsen van bestaand of nieuw proces/ informatiesysteem of de baseline voldoende is of dat er meer nodig is.
9
![Page 10: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/10.jpg)
Stappen Baselinetoets BIG
Vanwege toepasbaarheid zo
‘eenvoudig mogelijk’ van opzet en
hierdoor in korte uit te voeren.
STAP
SETTING
WERKWIJZE
TOOLS
RESULTAAT
1.Intakegesprek
voeren
2.Analyseren
proces
Gesprek metopdrachtgever,
meestalprojectleider
In kaart brengenscope, diepgang,
planning,brondocumenten,respondenten etc.
Plan van Aanpak / planning
voorbereiding analyse
Baselinetoets
Afstemming metproceseigenaar
In kaart brengenprocesomgeving,
Samenhang, inhouden eisen
GeneriekProcesmodel
Waarderings-tabellen
Procesmodel eneerste beeld van de eisen
3.Vaststellen
betrouwbaar-heidseisen BIV-P
Terugkoppeling aan opdrachtgever
Consolideren van deeisen, bepalenvervolgstappen
Geconsolideerdbeeld van de eisen
Inzicht in de Vervolgstappen
Schemavervolgstappen
UREN INDICATIEF
1 uur opdrachtgever10 uur voorbereiding en
uitwerken
4 uur opdrachtgever8 uur uitwerken (per
proces)1 uur opdrachtgever
![Page 11: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/11.jpg)
Resultaat Baselinetoets BIG
Geeft inzicht in BIV en P ten opzichte van de BIG
11
![Page 12: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/12.jpg)
Relatie PIA en diepgaande Risicoanalyse
• Een PIA wordt bij voorkeur uitgevoerd in het eerste ontwerpstadium van een verwerking van persoonsgegevens:
– Richtsnoeren Beveiliging van Persoonsgegevens (CBP)
– In de toekomst verplicht (EU-wetgeving)
12Bron: ‘Richtsnoeren beveiliging van persoonsgegevens‘, College bescherming persoonsgegevens (CBP) , d.d. februari 2013
![Page 13: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/13.jpg)
Instrumenten: PIA
• Eigenschappen:– Vragenlijst gericht op
privacy vraagstukken
– Eenvoudige rapportage
• Leidt (eventueel) tot:– Uitvoeren risicoanalyse
– Aanvullende maatregelen
– Keuze om het proces aan te passen
– Keuze om minder gegevens te verzamelen
13
![Page 14: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/14.jpg)
Instrumenten: diepgaande Risicoanalyse
• Mogelijk focus op BIV uit Baselinetoets
• Kan leiden tot aanvullende maatregelen bovenop de BIG
14
![Page 15: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/15.jpg)
Door eigenaar,niet in scope
Stappen diepgaande Risicoanalyse
In korte tijd uit te voeren en minimale
inspanning nodig van
proceseigenaar, systeembeheerder
et cetera.
STAP
SETTING
WERKWIJZE
TOOLS
RESULTAAT
UREN INDICATIEF
5.Analyseren
bedreigingen
Gesprek metsysteemeigenaar,
meestal functioneelbeheerder
Bepalen relevante
bedreigingen i.r.t. gevolgen
Overzicht van derelevante
bedreigingen
Invulmatrix gevolgen &
bedreigingen
4 uurGesprek(ken) met systeemeigenaar
20 uur voorbereiden en uitwerken
6.Vaststellen
maatregeldoel-stellingen
Uitwerking door Analist en
terugkoppeling aanopdrachtgever
Formulerenmaatregeldoel-stellingen o.b.v.
de eisen en relevantebedreigingen
Samenhangendpakket maatregel-
doelstellingen
BIG Maatregel-Doelstellingen en eigen maatregel-
doelstellingen
20 uur
7.Opstellen
Plan
Terugkoppeling aan opdrachtgever
Opstellen implementatieplan
per verantwoordelijke
Implementatieplaninformatiebeveiliging
Opzet implementatieplan
20 uursamen met CISO en
opdrachtgever
4.AnalyserenInformatie-
systeem
Gesprek metsysteemeigenaar,
meestal functioneelbeheerder
In kaart brengeninformatiesysteem
alsmede eisen
MAPGOOD Invulformulier
Waarderings-tabellen
MAPGOOD formulieringevuld en eerstebeeld van de eisen
4 uur systeembeheer/ functioneelbeheer8 uur voorbereiden
en uitwerken
![Page 16: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/16.jpg)
Stappenplan gemeenten
16
![Page 17: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/17.jpg)
Maatregelen
• Prioriteer de BIG-maatregelen:
– Generieke maatregelen:
Dit zijn maatregelen die gemeentebreed gelden over alle
processen en systemen heen, verantwoordelijken PIOFAH.
– Specifieke maatregelen:
Dit zijn maatregelen die niet gemeentebreed gelden maar toegewezen kunnen worden aan een proces- / systeemeigenaar/directeur / manager ten behoeve van een informatiesysteem.
• Beleg de BIG-maatregelen
17
![Page 18: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/18.jpg)
Prioriteer de BIG-maatregelen
• De BIG bevat 303 maatregelen verdeeld over 133 controls:
– Deze maatregelen kunnen niet allemaal ineens worden geïmplementeerd.
– Prioriteer deze maatregelen op basis van:
• risico-inschatting
• belang
• haalbaarheid
– Doseer over een periode (bijvoorbeeld 3 jaar gezien)
• Pas de GAP-analyse spreadsheet aan
18
![Page 19: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/19.jpg)
Beleg de BIG-maatregelen
• PIOFAH
• Kan per gemeente anders georganiseerd zijn
• Eenmalig uitzoeken
• Is er geen verantwoordelijke, dan dit bepalen en vastleggen
19
•Personeel
•Inkoop (soms informatievoorziening)
•Organisatie
•Financiën
•Automatisering/Administratie
•Huisvesting
![Page 20: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/20.jpg)
Beheerprocesen: ISMS en PDCA
• Het doel van het Informatie Beveiligings Management Systeem (ISMS) is onder andere het continue beoordelen welke beveiligingsmaatregelen passend zijn en indien nodig bij te stellen.
• Het ISMS is een proces dat de basis legt voor passende beveiligingsmaatregelen door bijvoorbeeld risicoanalyses, BIA en classificatie van informatie.
• Overige beheerprocessen:– Risicomanagement
– Configuratiemanagement
– Wijzigingsbeheer
– Patchmanagement
– Hardening
– Incidentmanagement
– Bedrijfscontinuïteitsmanagement20
![Page 21: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/21.jpg)
Rapportage
• Periodiek over de voortgang:
– Gedurende de hele levenscyclus van maatregelen:
• vanaf het plannen tot en met uitfaseren
• door de verantwoordelijke functionaris
– In managementrapportages
21
![Page 22: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/22.jpg)
Horizontale en verticale verantwoording
Gemeenten dienen transparant te zijn:– Horizontale verantwoording, vanuit het College van B&W
– aan de gemeenteraad, de lokale rekenkamer en het lokale publiek
– over geleverde diensten en bereikte resultaten op het gebied van informatiebeveiliging, vanuit de gemeentelijke verantwoordelijkheid.
– Verticale verantwoording, vanuit het College van B&W:
– aan de gemeenteraad en wetgevers (inspecties/toezichthouders) als onderdeel van de paragraaf bedrijfsvoering van de begroting en het jaarverslag.
– om zekerheid te krijgen over opzet en bestaan van de maatregelen, door de verantwoordelijke een in control statement te laten afgeven voor hun deel van de set.
22
![Page 23: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/23.jpg)
Doen: Hoe gaan grote gemeenten om met de BIG?• Wat heeft de BIG voor jullie betekend?
• Welke fasering passen jullie toe?
– Welke clustering?
– Hoe verdeel je de financiële middelen?
• Hoe pakken jullie de BIG aan?
– Wat gaat goed?
• medewerking
– Waar lopen jullie tegenaan?
• tegenwerking
• Wat kan de IBD voor jullie betekenen?
23
![Page 24: Presentatie BIG en grote gemeenten Regiobijeenkomst Q4 2014](https://reader034.vdocuments.pub/reader034/viewer/2022051714/5875f1861a28ab9c3c8b57e5/html5/thumbnails/24.jpg)
Vragen?
24
Bezoek ook www.IBDgemeenten.nlWord lid van de community