3.1.1. Rollen en verantwoordelijkheden bij informatiebeveiliging

In dit document worden enkel de functieprofielen benoemd die direct betrokken zijn bij het opstellen, uitvoeren en controleren van het informatiebeveiligingsbeleid.

Tabel 2: Rollen en verantwoordelijkheden bij informatiebeveiliging

Referentie: BIO versie 1.04zv beheersmaatregel 6.1.1, 5.1.1.1.b & 5.1.1.1.c.

3.1.2. Scheiding van taken

Conflicterende taken en verantwoordelijkheden dienen van elkaar te worden gescheiden zodat het risico van ongewenste wijzigingen of misbruik van bedrijfsmiddelen wordt verminderd.

In ieder onderdeel van dit beleid staan de verantwoordelijken benoemt. De verantwoordelijkheden zijn gekoppeld aan functies op een wijze waardoor men nooit de gehele cyclus van een proces kan beïnvloeden.

Deze functies dienen nimmer bij eenzelfde persoon belegd te worden. In onderstaande tabel staan de functies die niet tegelijktijdig bij een eenzelfde persoon mogen worden belegd. De ‘x’ geeft aan dat deze functies niet belegd mogen zijn bij dezelfde persoon.

Tabel 3: Functies die niet bij eenzelfde persoon belegd mogen zijn

Referentie: BIO versie 1.04zv beheersmaatregel 6.1.2.

3.1.3. Contact met overheidsinstanties

In het kader van informatiebeveiliging is de CISO verantwoordelijk voor de contacten met toezichthouders en andere overheidsinstanties, waaronder de Informatiebeveiligingsdienst (IBD). Uitzondering op bovenstaande is het contact met de Autoriteit Persoonsgegevens (AP), waar de Functionaris Gegevensbescherming verantwoordelijk voor is.

Ten aanzien van de contacten met de overheidsinstanties dient een contactoverzicht te worden opgesteld door de CISO, die dit overzicht jaarlijks actualiseert. Het contactoverzicht wordt vastgelegd bij het informatiebeveiligingsbeleid en bevat de volgende onderdelen:

• •

  Relevante overheidsinstanties waarmee contact onderhouden dient te worden;

• •

  Contactgegevens overheidsinstanties, zoals postadres, e-mail, telefoon;

• •

  Verantwoordelijke vanuit de gemeente voor het contact;

• •

  In welk geval contact opgenomen moet worden met de overheidsinstantie;

• •

  Datum van meest recente actualisatie contactoverzicht.

In het geval van incidenten en calamiteiten kan er afgeweken worden van bovenstaande. Het Bedrijfscontinuïteitsplan (BCP) en Incident Response Plan omvatten de verantwoordelijkheden in het geval van calamiteiten en incidenten.

Referentie: BIO versie 1.04zv beheersmaatregel 6.1.3.

3.1.4. Informatiebeveiliging in projectbeheer

Informatiebeveiliging is onderdeel van alle projecten.

Voorafgaand aan een project

Voorafgaand aan een project wordt de informatie die noodzakelijk is voor het project geclassificeerd aan de hand van hoofdstuk 5 uit dit beleid. Vervolgens worden informatiebeveiligingsrisico’s geïdentificeerd middels een risicoanalyse.

Maatregelen en risico acceptatie

Na identificatie moet er gekozen worden voor welke risico’s maatregelen worden getroffen en welke risico’s worden geaccepteerd. De verantwoordelijke voor deze keuzes wordt als volgt bepaald:

Indien het project één of een deel van één werkproces omvat, dient de proceseigenaar deze keuzes te maken.

Indien het project meer dan één werkproces bevat maar geen werkprocessen in andere afdelingen raakt, dan is de strategisch manager hiervoor verantwoordelijk.

Als het project meerdere afdelingen raakt dient de gemeentesecretaris deze keuzes maken.

Te allen tijde dient de verantwoordelijke advies te vragen aan de CISO.

Vastlegging

De risicoanalyse en onderverdeling in te accepteren risico’s en te nemen maatregelen worden schriftelijk vastgelegd door de verantwoordelijke en gedeeld met de CISO. Na vastlegging worden de project specifieke beveiligingsmaatregelen, in overleg met de CISO of ISO, uitgewerkt en opgenomen in de acceptatiecriteria én de kosten in de financiële verantwoording van het project.

Tijdens de uitvoering van het project

Tijdens uitvoering van projecten dient te allen tijde conform dit beleid gewerkt te worden. Tevens dienen de uitgewerkte project specifieke beveiligingsmaatregelen zo vroeg mogelijk aantoonbaar in het project te worden geïmplementeerd. De projectleider is verantwoordelijk voor de naleving en monitoring hiervan.

Referentie: BIO versie 1.04zv beheersmaatregel 6.1.5.

4.1.1. Screening

Voor aanvang werkzaamheden

Alle medewerkers, stagiaires en extern ingehuurde overleggen voor de aanvang van werkzaamheden een Verklaring Omtrent het Gedrag (VOG) specifiek voor de te vervullen functie.

Registratie

Team HR registreert het overleggen van de VOG waarbij de registratie minimaal de volgende punten bevat:

• •

  Naam medewerker;

• •

  Datum indiensttreding;

• •

  Functie medewerker;

• •

  Datum overlegde functie specifieke VOG;

• •

  Verwachte datum voor vernieuwde VOG-aanvraag.

Functiewijziging

Bij functiewijziging dient een nieuwe VOG aangevraagd te worden voor de te vervullen functie. Team HR is verantwoordelijk voor het verzamelen van de aangevraagde VOG’s.

Vernieuwing VOG

Iedere vijf jaar dient de VOG opnieuw aangevraagd en overlegd te worden voor iemand die een kwetsbare of risicovolle functie en/ of taak uitvoert. De criteria hiervoor zijn vastgelegd in een screeningsbeleid.

Niet kunnen overleggen VOG

Bij het niet kunnen overleggen van een VOG zijn overeenkomsten niet geldig (zie paragraaf 4.1.2).

Opslag VOG’s

VOG’s zijn geclassificeerd als informatie met classificatieniveau ‘Midden’ (zie hoofdstuk 5). De eisen voor deze classificatie gelden voor de opslag, het beheer en andere zaken omtrent VOG’s. Aanvullend geldt dat de VOG na 5 jaar onomkeerbaar verwijderd wordt.

Referentie: BIO versie 1.04zv beheersmaatregel 7.1.1.

4.1.2. Arbeidsvoorwaarden

Arbeidsovereenkomsten en inhuurovereenkomsten dienen de volgende punten te bevatten:

• 1.

  De plichten en verantwoordelijkheden van de ondertekende ten aanzien van informatiebeveiliging;

• 2.

  De disciplinaire procedure (paragraaf 4.2.4), met te nemen maatregelen voor wanneer:

  • a.

    Geheimhouding geschonden wordt;

  • b.

    Het informatiebeveiligingsbeleid niet wordt nageleefd;

  • c.

    De plichten en verantwoordelijkheden niet worden nageleefd;

• 3.

  De randvoorwaarde dat men enkel voor de gemeente kan werken indien iedere vijf jaar een geldige VOG overlegt kan worden.

Medewerkers in dienst van de gemeente

Arbeidsovereenkomsten voor medewerkers in dienst van de gemeenten dienen een verwijzing naar de Ambtenarenwet te bevatten én alvorens aanvang van de werkzaamheden dient de ambtelijke eed ter geheimhouding te worden vastgelegd.

Inhuur, externen en stagiaires

Inhuur, externen en stagiaires dienen voor aanvang van de werkzaamheden een geheimhoudingsverklaring te ondertekenen. De plicht ter geheimhouding blijft na het beëindigen van de werkzaamheden van kracht (zie paragraaf 4.2.5).

Tevens dienen de gedragsregels voor het gebruik van bedrijfsmiddelen voor extern personeel in het contract vastgelegd te zijn.

Referentie:
BIO versie 1.04zv beheersmaatregel 7.1.2 & 8.1.3.2.

4.1.3. Personeelsreglement

Het personeelsreglement bevat minimaal:

• •

  De verantwoordelijkheden van medewerkers, stagiaires en extern ingehuurde ten aanzien van informatiebeveiliging.

• •

  De plicht dat iedereen het informatiebeveiligingsbeleid en de maatregelen die van toepassing zijn dient te kennen.

• •

  De plicht dat iedereen de verantwoordelijkheid heeft de gemeentelijke informatie te beschermen.

Referentie: BIO versie 1.04zv beheersmaatregel 7.1.2.

4.2.1. Directieverantwoordelijkheden

De directie heeft de verantwoordelijkheid ervoor te zorgen dat het informatiebeveiligingsbeleid van de gemeente wordt nageleefd door iedereen die werkzaam is voor de gemeente. De directie dient daarom:

• 1.

  Periodiek, ten minste per kwartaal, te controleren of regels en procedures worden nageleefd;

• 2.

  Opleidingen en trainingen beschikbaar stellen aan medewerkers over hoe ze informatiebeveiliging moeten toepassen;

• 3.

  Voor een duidelijk communicatiemiddel omtrent informatiebeveiliging te zorgen.

Referentie: BIO versie 1.04vz beheersmaatregel 7.2.1.

4.2.2. Klokkenluidersregeling

Wanneer afspraken rondom informatiebeveiliging niet of onvoldoende worden nagekomen, dient de directie te zorgen voor een klokkenluidersregeling conform de Wet bescherming klokkenluiders. Hiervoor is het noodzakelijk dat specifiek voor informatiebeveiliging de volgende punten worden gewaarborgd:

• •

  Medewerkers moeten anoniem melding kunnen doen, zonder dat de melding is terug te traceren naar de melder;

• •

  Klokkenluidersmeldingen zijn geclassificeerd als informatie met informatieclassificatie ‘Hoog’. Alle eisen ten aanzien van deze informatieclassificatie gelden voor deze meldingen;

• •

  De melding komt alleen terecht bij degene die verantwoordelijk zijn voor het behandelen van beveiligingsincidenten om de vertrouwelijkheid van de melder te beschermen;

• •

  Het meldpunt dient onafhankelijk van de rest van de gemeente te opereren;

• •

  Medewerkers dienen terugkoppeling te krijgen van de behandelaar van de melding over hoe hun melding is behandeld en wat er met de informatie is gedaan;

• •

  Medewerkers die melding maken dienen te worden beschermd tegen de consequenties van het doen van de melding;

• •

  De procedure ten aanzien van de klokkenluidersregeling dient duidelijk gecommuniceerd te worden naar de medewerkers, zodat inzichtelijk is hoe een beveiligingsissue gemeld moet worden en wat er vervolgens mee gebeurt.

Referentie: BIO versie 1.04vz beheersmaatregel 7.2.1.1.

4.2.3. Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

Beschikbaar stellen van informatie

Informatie met betrekking tot het informatiebeveiligingsbeleid wordt beschikbaar gesteld op het intranet en bestaat minimaal uit de beleidsdocumenten, de gehouden presentaties en andere relevante documenten gerelateerd aan dit beleid.

Binnen 3 maanden na aanvang werkzaamheden

Iedereen die werkzaam is voor de gemeente dient binnen drie maanden na aanvang van de werkzaamheden een bewustzijnstraining succesvol te hebben gevolgd. De training eindigt met een toets om het kennisniveau van de personen te bepalen.

Aanvullend wordt de presentatie van de voorgaande sessie verstrekt binnen één maand na aanvang van de werkzaamheden.

Registratie initiële training

Van de deelname aan de bewustzijnstraining dient een registratie te worden bijgehouden door de teamleider in het centrale register voor bewustzijnstrainingen. Deze registratie moet ten minste de volgende onderdelen bevatten:

• •

  Naam deelnemer;

• •

  Functie deelnemer;

• •

  Datum indiensttreding deelnemer;

• •

  Datum van succesvol afronden bewustzijnstraining.

Deze registratie maakt inzichtelijk welke medewerkers de training nog moeten volgen en welke medewerkers de training succesvol hebben afgerond.

Geen succesvolle afronding

Indien uit de toets blijkt dat een persoon een onvoldoende kennisniveau heeft dan dient deze persoon deel te nemen aan de volgende bewustzijnstraining.

Periodieke training

Om iedereen bewust te laten omgaan met informatiebeveiliging wordt ten minste halfjaarlijks een verplichte bewustzijnstraining gehouden. In onderstaande tabel staan de verantwoordelijkheden ten aanzien van de verplichte trainingen:

Tabel 4: Periodieke training

De CISO of ISO bereidt de presentatie voor en ondersteunt de verantwoordelijke in de sessie. De presentaties worden samen met de verantwoordelijke gegeven.

Gemiste training door omstandigheden

Als een persoon niet bij een periodieke bewustzijnstraining aanwezig kan zijn, dient deze zich te melden bij de ISO. De ISO plant een vervangende training in voor de personen die niet aanwezig waren. Deze training dient binnen één maand van de originele training plaats te vinden.

Referentie: BIO versie 1.04zv beheersmaatregel 7.2.2.

4.2.4. Disciplinaire procedure

Er is een formele disciplinaire procedure voor de gevallen waarin:

• 1.

  Het geheimhoudingsbeding is geschonden;

• 2.

  Het informatiebeveiligingsbeleid niet is nageleefd;

• 3.

  Er onrechtmatig inbreuk is gepleegd op de informatiebeveiliging.

De procedure wordt gebruikt om men tot verantwoording te roepen en om te zorgen dat dergelijke, vergelijkbare, overtredingen in de toekomst worden voorkomen. Het college is eindverantwoordelijk voor het opstellen, uitvoeren en handhaven van de disciplinaire procedure.

Meldingen

De directie stelt een team of persoon aan die verantwoordelijk is voor het ontvangen en onderzoeken van meldingen, het vaststellen van de verantwoordelijkheid van de overtreder, het opleggen van de straffen en het handhaven van de procedure.

Eisen aan de procedure

De disciplinaire procedure dient ten minste de volgende onderdelen te bevatten:

• •

  Beschrijving van hoe een melding van een inbreuk op de informatiebeveiliging moet worden gemaakt;

• •

  Beschrijving van hoe de melding vervolgens wordt behandeld;

• •

  Beschrijving van hoe een melding wordt onderzocht;

• •

  Wie verantwoordelijk is voor het onderzoeken van de melding;

• •

  Hoe bewijs wordt verzameld en vastgelegd;

• •

  Beschrijving van welke straffen er opgelegd kunnen worden voor de inbreuken;

• •

  Beschrijving hoe de straf wordt bepaald;

• •

  Beschrijving wie verantwoordelijk is voor het opleggen van de straf;

• •

  Hoe de beslissingen over de inbreuken worden gecommuniceerd naar de verantwoordelijke;

• •

  Wie verantwoordelijk is voor de communicatie en hoe de communicatie wordt gemonitord;

• •

  Hoe de straffen worden gehandhaafd;

• •

  Beschrijving van hoe de procedure periodiek wordt geëvalueerd en verbeterd.

Opslag van meldingen én vervolgacties

Informatie omtrent meldingen en onderzoeken ten aanzien van de disciplinaire procedure hebben het classificatieniveau ‘Hoog’. Alle eisen van dit classificatieniveau zijn van toepassing op de opslag, verwerking en communicatie van deze informatie.

Kennisname van de procedure

De directie, strategisch managers en teamleiders dienen ervoor te zorgen dat de disciplinaire procedure bekend is bij de medewerkers. De procedure dient ook opgenomen te zijn in alle overeenkomsten.

Referentie: BIO versie 1.04zv beheersmaatregel 7.2.3.

4.2.5. Beëindiging en wijziging van dienstverband

Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband zijn gedefinieerd in het geheimhoudingsbeding en worden bij in- en uitdiensttreding gecommuniceerd aan de medewerker of contractant door team HR. Het geheimhoudingsbeding blijft permanent van kracht, ook als de werkzaamheden voor de gemeente zijn beëindigd.

Referentie: BIO versie 1.04zv beheersmaatregel 7.3.

6.1.1. Inventariseren van bedrijfsmiddelen

Per afdeling zijn alle bedrijfsmiddelen die samenhangen met informatie of informatie verwerkende faciliteiten vastgelegd in een inventaris. De inventaris wordt ieder kwartaal bijgewerkt. De strategisch manager is verantwoordelijk voor de vastlegging en het onderhoud van de inventaris op afdelingsniveau.

Indien een bedrijfsmiddel op teamniveau beheerd wordt, is de teamleider verantwoordelijk voor de vastlegging en het onderhoud van de inventaris op teamniveau. Deze inventaris dient onderdeel te zijn van de inventaris op afdelingsniveau.

Bedrijfsmiddelen die gedeeld worden door afdelingen worden in een gemeente brede inventaris opgenomen. Het gehele strategisch managementteam (SMT) is hiervoor verantwoordelijk.

De inventaris dient opgesteld te worden aan de hand van een gemeente brede standaard waarin minimaal de volgende zaken worden vastgelegd:

• •

  Wat het bedrijfsmiddel is;

• •

  Om welk type bedrijfsmiddel het gaat;

• •

  Onder welke afdeling het valt;

• •

  Indien van toepassing, onder welk team het valt;

• •

  Wie de eigenaar (verantwoordelijke) is van het bedrijfsmiddel;

• •

  Wie de gebruikers (functies) zijn van het bedrijfsmiddel.

Referentie: BIO versie 1.04zv beheersmaatregel 8.1.1 en 8.1.2.

6.1.2. Aanvaardbaar gebruik van bedrijfsmiddelen

Voordat bedrijfsmiddelen verstrekt worden, dient aan een aantal voorwaarden te worden voldaan:

• 1.

  Middels de risicoanalyse ‘Aanvaardbaar gebruik bedrijfsmiddelen’ stelt de gemeente vast dat de ontvangende partij het gebruik van de bedrijfsmiddelen toevertrouwd kan worden;

• 2.

  De verantwoordelijke voor de bedrijfsmiddelen geeft expliciet toestemming voor het verstrekken van de bedrijfsmiddelen aan de ontvangende partij voor het beoogde doel;

• 3.

  De ontvangende partij heeft een dienstverband, contract of overeenkomst met de gemeente;

• 4.

  De ontvangende partij ondertekent voor de bedrijfsmiddelen een bruikleenovereenkomst conform de standaard van de gemeente (zie paragraaf 6.1.3);

• 5.

  De bruikleenovereenkomst is ondertekend en vastgelegd voordat de bedrijfsmiddelen worden verstrekt.

Referentie: BIO versie 1.04zv beheersmaatregel 8.1.3 & 6.1.2.1.

6.1.3. Bruikleenovereenkomst

De ontvangende partij ondertekent voor de bedrijfsmiddelen een bruikleenovereenkomst conform de standaard van de gemeente. In de bruikleenovereenkomst moeten minimaal de volgende onderdelen opgenomen zijn:

• •

  Omschrijving van het bedrijfsmiddel dat in bruikleen wordt genomen;

• •

  Omschrijving waarvoor het bedrijfsmiddel gebruikt mag worden;

• •

  Omschrijving van welke gegevens uit het bedrijfsmiddel worden opgeslagen en gedeeld;

• •

  Voorwaarden waaronder het bedrijfsmiddel in bruikleen wordt gegeven;

• •

  Inwerkingtreding van de bruikleenovereenkomst;

• •

  Looptijd van de bruikleenovereenkomst;

• •

  De gevolgen indien het in bruikleen gegeven bedrijfsmiddel tijdens de bruikleenperiode verloren gaat of beschadigd raakt;

• •

  Inleverprocedure;

• •

  Contactgegevens van de verantwoordelijke voor het bedrijfsmiddel, inclusief functie;

• •

  Contactgegevens van de gebruiker van het bedrijfsmiddel, inclusief functie;

• •

  Handtekeningen van de verantwoordelijke voor het bedrijfsmiddel en de gebruiker;

• •

  Gedragsregels behorende bij het bedrijfsmiddel.

De verantwoordelijke voor het bedrijfsmiddel is verantwoordelijk voor de afsluiting van de bruikleenovereenkomst (zie paragraaf 6.1.2). De bruikleenovereenkomst dient centraal te worden opgeslagen en dient toegankelijk te zijn voor de betrokken partijen.

Referentie: BIO versie 1.04zv beheersmaatregel 6.1.2.1 & 8.1.3.1.

6.1.4. Registratie uitgifte bedrijfsmiddelen

De uitgifte van bedrijfsmiddelen dient geregistreerd te worden. De registratie dient centraal bijgehouden te worden en is enkel inzichtelijk voor geautoriseerde personen. De registratie bevat minimaal de volgende zaken:

• •

  Ontvanger van het bedrijfsmiddel, inclusief naam, functie en contactgegevens van de ontvanger;

• •

  Verstrekker van het bedrijfsmiddel, inclusief naam, functie en contactgegevens van de verstrekker;

• •

  Identificatie bedrijfsmiddel, inclusief type, merk, model en serienummer van het bedrijfsmiddel en eventueel de softwareversie van het bedrijfsmiddel;

• •

  Datum van uitgifte;

• •

  Datum van inname;

• •

  Door wie en wanneer en in welke staat het bedrijfsmiddel retour is ingenomen;

• •

  Bewijs dat de bruikleenovereenkomst door beide partijen is getekend;

• •

  Indien van toepassing, beveiligingsinstellingen die zijn toegepast op het bedrijfsmiddel (zoals versleuteling of kunstmatige limitatie);

• •

  Indien van toepassing, incidenten (bijvoorbeeld schade) die zich hebben voorgedaan met het bedrijfsmiddel.

De registratie van bedrijfsmiddelen dient periodiek, ten minste per kwartaal, gecontroleerd te worden door de strategisch manager.

Referentie: BIO versie 1.04zv beheersmaatregel 6.1.2.1.

6.1.5. Teruggeven van bedrijfsmiddelen

Alle bedrijfsmiddelen worden teruggegeven aan de gemeente wanneer deze voor de uit te voeren werkzaamheden niet meer noodzakelijk zijn of bij beëindiging van het dienstverband, contract of overeenkomst. De gemeente geeft een schriftelijke bevestiging van inlevering van bedrijfsmiddelen aan de ontvangende partij en registreert de inname in de inventaris. De inname status van de inventaris dient maandelijks door de verantwoordelijke te worden beoordeeld. In de beoordeling wordt minimaal geverifieerd of:

• •

  De staat van het ingenomen bedrijfsmiddel voldoende is;

• •

  Het bedrijfsmiddel is ingenomen binnen de gestelde looptijd van de bruikleenovereenkomst.

Referentie: BIO versie 1.04zv beheersmaatregel 8.1.4.

6.2.1. Beheer van verwijderbare media

Verwijderbare media kan informatie bevatten die in onbevoegde handen kan vallen bij onjuist gebruik, verlies of diefstal. Voor het beheren van verwijderbare media geldt dat:

• •

  Digitale verwijderbare media (bijv. USB-sticks) zijn bedrijfsmiddelen, bij uitwisseling dient er te worden voldaan aan de eisen van paragraaf 6.2.3.

• •

  Vernietiging vindt plaats conform het reglement ‘Vernietiging opslagmedia’ (zie paragraaf 9.2.7).

• •

  Versleutelingseisen conform hoofdstuk 8 zijn ten alle tijden van toepassing.

• •

  Hergebruik geldt alleen voor digitale media waarbij de eisen van paragraaf 9.2.7 te allen tijde van toepassing zijn.

• •

  Verwijderbare media (zowel papier als digitale media) worden na werktijd altijd achter slot en grendel opgeborgen. Verder gelden de eisen van paragraaf 9.2.9.

Referentie: BIO versie 1.04zv beheersmaatregel 8.3.1.

6.2.2. Verwijderen van media

Media die vertrouwelijke informatie bevatten, zijn opgeslagen op een plek die niet toegankelijk is voor onbevoegden. Media die niet langer nodig zijn, behoren op een veilige en beveiligde manier te worden verwijderd (zie paragraaf 9.2.7).

Eisen omtrent het hergebruik van verwijderbare media (opslagmedia) staan beschreven in paragraaf 9.2.7.

Referentie: BIO versie 1.04zv beheersmaatregel 8.3.2.

6.2.3. Media fysiek overdragen

Media die informatie bevatten, dienen te worden beschermd tegen onbevoegde toegang, misbruik of corruptie tijdens de overdracht. Voor het uitwisselen en overdragen van media dient een uitwisselingsbeleid te worden opgesteld. Dit beleid moet worden vastgesteld door het college. In dit beleid dienen ten minste de volgende onderdelen te worden opgenomen:

• •

  Welke typen media kunnen worden overgedragen;

• •

  Wie media kan overdragen;

• •

  Aan wie de media overgedragen mag worden;

• •

  Binnen welke termijn de media worden overgedragen;

• •

  Wat de gevolgen zijn als media onjuist of onrechtmatig wordt overgedragen;

• •

  Op welke wijze de media overgedragen mag worden;

• •

  Per classificatieniveau informatie eisen omtrent het gebruik van koeriers of transporteurs;

• •

  Wie verantwoordelijk is voor het fysiek transport van de media.

Referentie: BIO versie 1.04zv beheersmaatregel 8.3.3.

7.1.1. Beleid voor logische toegangsbeveiliging

De gemeente heeft een ‘Logisch toegangsbeveiligingsbeleid’ vastgesteld en gedocumenteerd. Het toegangsbeveiligingsbeleid is bekend gemaakt aan iedereen die werkzaam is voor de gemeente. Het toegangsbeveiligingsbeleid wordt periodiek, minimaal jaarlijks, geëvalueerd door de CISO.

In het toegangsbeveiligingsbeleid dienen ten minste de volgende aspecten aan de orde te komen:

• •

  Algemene identiteiten (groepsaccounts)

  • o

    Er worden in de regel geen ‘algemene’ identiteiten (groepsaccounts) gebruikt. Indien er gewerkt moet worden met ‘algemene’ identiteiten dient hiervoor de procedure ‘Aanvraag algemene identiteiten’ gevolgd te worden;

  • o

    Indien er een ‘algemene’ identiteit wordt aangemaakt is de proceseigenaar van het proces waarbinnen de identiteit wordt gehanteerd tevens de eigenaar van deze identiteit.

• •

  Monitoring

  • o

    Voor herleidbaarheid en transparantie dient er middels logging vastgelegd te worden wie een bepaalde actie heeft uitgevoerd binnen een systeem of netwerk.

• •

  Standaarden

  • o

    De gemeente maakt, waar mogelijk, gebruik van bestaande (landelijke) voorzieningen voor authenticatie, autorisatie en informatiebeveiliging (bijv. DigiD en eHerkenning);

  • o

    De gemeente hanteert zoveel mogelijk geaccepteerde standaarden voor de informatiebeveiliging;

  • o

    Indien afgeweken wordt van een standaard dient de motivatie hiervoor centraal vastgelegd te worden.

• •

  Autorisaties

  • o

    Alle toegekende bevoegdheden worden per functieprofiel en per systeem geregistreerd en beheerd in een autorisatiematrix.

  • o

    Gebruikers krijgen alleen autorisaties die benoemd zijn in de autorisatiematrix behorende bij het functieprofiel.

  • o

    In de autorisatiematrix dient vastgelegd te worden wie toegang heeft tot welke informatiesystemen, welke gegevens binnen het systeem en welke acties de gebruiker mag uitvoeren.

  • o

    Systemen kunnen tevens gebruiker zijn van een ander systeem, hiervoor dienen aparte autorisatiematrixen opgesteld te worden.

  • o

    Aanvragen voor toegang worden geautoriseerd door gemandateerde werknemers middels een gestandaardiseerd aanvraagformulier;

  • o

    De gemandateerde werknemer dient met behulp van een gestandaardiseerd formulier schriftelijk een autorisatieverzoek in voor een nieuwe of gewijzigde autorisatie bij de systeemeigenaar;

  • o

    Autorisaties worden doorgevoerd in de systemen door de systeemeigenaren op last van de gemandateerde en na controle van het aanvraagformulier (zie paragraaf 7.2);

  • o

    De systeemeigenaar registreert deze aanvraag of wijziging in een registratiesysteem en voegt daar de originele aanvraag bij;

  • o

    De aanvragen dienen conform de wettelijke bewaartermijn bewaard te worden;

  • o

    Voor iedere deelprocedure, zoals beschreven in paragraaf 7.2, is een gestandaardiseerd formulier beschikbaar;

  • o

    Het toekennen van speciale bevoegdheden wordt beperkt en beheerd door het SMT (zie paragraaf 7.2.3).

• •

  Mandaat

  • o

    Het SMT wijst medewerkers aan die gemandateerd zijn tot het aanvragen van toegang tot systemen.

  • o

    Een mandaat geldt óf voor één proces of voor één systeem.

  • o

    Gemandateerde werknemers en de voor welke processen of systemen zij mandaat hebben wordt centraal bijgehouden in een register. Alleen het SMT mag hier wijzigingen in aanbrengen. Het mandaatregister wordt ieder kwartaal geëvalueerd.

  • o

    Systeemeigenaren mogen alleen leesrechten hebben op het mandaatregister ter controle van het mandaatrecht van de indiener van het autorisatieverzoek.

• •

  Wachtwoorden

  • o

    Bij het beheer van gebruikerswachtwoorden is vastgelegd op welke wijze het initiële wachtwoord aan de gebruiker kenbaar wordt gemaakt en hoe gehandeld wordt bij het vergeten van het wachtwoord;

  • o

    Verstrekte wachtwoorden moeten onmiddellijk na het eerste gebruik door de gebruiker worden gewijzigd.

Verder gelden alle eisen benoemt in dit hoofdstuk.

Referentie: BIO versie 1.04zv beheersmaatregel 9.1.1, 9.2.1, 9.2.1.1, 9.2.1.2, 9.2.2, 9.2.2.1 & 9.2.2.3.

7.1.2. Toegang tot netwerken en netwerkdiensten

Gebruikers

Men krijgt alleen toegang tot de netwerken en de netwerkdiensten waarvoor zij conform het functieprofiel bevoegd zijn. De gemeente hanteert hiervoor de procedure ‘Autorisatieprocedure toegang netwerken en netwerkdiensten’. Deze procedure dient te bestaan uit de volgende deelprocedures:

• •

  Aanvragen;

• •

  Vrijgeven;

• •

  Wijzigen;

• •

  Spoed;

• •

  Blokkeren;

• •

  Verwijderen.

Apparatuur

Alleen geautoriseerde apparatuur kan toegang krijgen tot een netwerk met gemeentelijke informatie (zie hoofdstuk 11).

Bring Your Own Device

Het gebruik van persoonlijke apparatuur is niet toegestaan voor gemeentelijke werkzaamheden. Ongeautoriseerde apparatuur krijgt enkel toegang tot het openbare netwerk waar gemeentelijke informatie niet toegankelijk is (zie hoofdstuk 11).

Referentie: BIO versie 1.04zv beheersmaatregel 9.1.2, 9.1.2.1 & 9.1.2.2.

7.2.1. Controle autorisatieverzoek

De systeemeigenaar beoordeelt het autorisatieverzoek waarbij in ieder geval wordt gecontroleerd of:

• 1.

  Het aanvraag- of wijzigingsformulier volledig en op de juiste manier is ingevuld;

• 2.

  Het aanvraag- of wijzigingsformulier door een autorisatiebevoegde medewerker is ingediend en ondertekend;

• 3.

  Het autorisatieverzoek in overeenstemming is met de beveiligingseisen zoals vastgelegd in het overzicht van wel en niet toegestane combinaties van taken, zodat er geen met elkaar conflicterende bevoegdheden ontstaan die niet aan één gebruiker gekoppeld mogen worden;

Referentie: BIO versie 1.04zv beheersmaatregel 9.2.1 & 9.2.1.1.

7.2.2. Functieprofielen en autorisatiematrixen

Functieprofiel

Per functieprofiel dient er een autorisatiematrix aanwezig te zijn waar per systeem is vastgelegd wie toegang heeft tot welke informatiesystemen, welke gegevens binnen het systeem en welke acties de gebruiker mag uitvoeren.

Autorisatiematrixen worden bepaald op basis van een risicoanalyse. Functiescheiding is een verplicht onderdeel van deze analyse.

Autorisatiematrixen voor systemen

Systemen kunnen tevens gebruiker zijn van een ander systeem, hiervoor dienen aparte autorisatiematrixen opgesteld te worden op basis van een risicoanalyse.

Voor alle autorisaties geldt dat deze zo beperkt mogelijk gehouden moeten worden. Indien enkel leesrechten benodigd zijn worden enkel leesrechten gegeven.

Referentie: BIO versie 1.04zv beheersmaatregel 9.2.2, 9.2.2.2 & 9.2.2.3.

7.2.3. Beheren van speciale toegangsrechten

Het toewijzen en gebruik van speciale toegangsrechten dienen te worden beperkt en beheerst. Speciale toegangsrechten zijn vastgelegd in het deelproduct ‘Risicovolle Profielen’. Gebruikers hebben toegang tot speciale bevoegdheden voor zover dat voor de uitoefening van hun taak noodzakelijk is. Dit wordt bepaald door het strategisch management (SMT). Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties. De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld door het strategisch management (SMT). Indien de speciale bevoegdheden niet meer noodzakelijk zijn voor het uitoefenen van de functie, worden de speciale bevoegdheden weer ingetrokken.

De volgende stappen behoren in overweging te worden genomen:

• 1.

  De speciale toegangsrechten behorend bij elk systeem of proces en de gebruikers aan wie ze moeten worden toegewezen, dienen te worden geïdentificeerd;

• 2.

  Speciale toegangsrechten dienen op basis van noodzaak tot gebruik per gebeurtenis aan gebruikers te worden toegekend in overeenstemming met het toegangsbeveiligingsbeleid;

• 3.

  Er dient een autorisatieprocedure en een verslaglegging van alle toegekende speciale toegangsrechten te worden bijgehouden. Speciale toegangsrechten worden niet verleend voordat de autorisatieprocedure is afgerond;

• 4.

  Voor het vervallen van speciale toegangsrechten dienen eisen te worden gedefinieerd;

• 5.

  Speciale toegangsrechten dienen te worden toekend aan een gebruikersidentificatie die verschilt van identiteiten die voor reguliere bedrijfsactiviteiten worden gebruikt;

• 6.

  De competenties van gebruikers met speciale toegangsrechten dienen regelmatig te worden beoordeeld om te verifiëren of ze in overeenstemming zijn met hun taken;

• 7.

  Toewijzingen van speciale toegangsrechten dienen regelmatig, ten minste maandelijks, te worden gecontroleerd om te waarborgen dat speciale toegangsrechten niet onbevoegd zijn verkregen;

• 8.

  Wijzigingen in speciale accounts dienen bijgehouden te worden in logbestanden voor de periodieke beoordeling;

• 9.

  Specifieke procedures dienen te worden vastgesteld en onderhouden om onbevoegd gebruik van gebruikersidentificaties voor algemeen beheer te voorkomen, in overeenstemming met de configuratiecapaciteiten van het systeem;

• 10.

  Voor gebruikersidentificaties voor algemeen beheer dient de geheimhouding van geheime authenticatie-informatie in acht te worden genomen als deze wordt gedeeld.

Referentie: BIO versie 1.04zv beheersmaatregel 9.2.3 & 9.2.5.

7.2.4. Beoordeling van toegangsrechten van gebruikers

Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen. Bij het beoordelen van toegangsrechten van gebruikers worden de volgende onderdelen in acht genomen:

• •

  Toegangsrechten van gebruikers dienen regelmatig, ten minste eenmaal per halfjaar, en na wijzigingen, zoals promotie, degradatie of beëindiging van het dienstverband, te worden beoordeeld door de systeemeigenaar nadat de teamleider deze heeft geïnformeerd over personele wijzigingen;

• •

  Indien de gebruiker een andere functie krijgt binnen de gemeente, dienen de toegangsrechten van de gebruiker te worden beoordeeld en opnieuw te worden toegekend;

• •

  Toewijzingen van speciale toegangsrechten dienen regelmatig, ten minste maandelijks, te worden gecontroleerd om te waarborgen dat speciale toegangsrechten niet onbevoegd zijn verkregen;

• •

  Wijzigingen in accounts dienen bijgehouden te worden in logbestanden voor de periodieke beoordeling;

• •

  De opvolging van bevindingen is gedocumenteerd in centraal registratiesysteem en wordt behandeld als beveiligingsincident.

Referentie: BIO versie 1.04zv beheersmaatregel 9.2.5.

7.2.5. Toegangsrechten intrekken of aanpassen

De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast. De teamleider is verantwoordelijk voor de coördinatie hiervan.

Bij beëindiging van het dienstverband worden alle toegangsrechten van een persoon voor informatie en bedrijfsmiddelen ingetrokken. Dit bevat tevens de fysieke en logische toegangsrechten. Intrekking of aanpassing vindt plaats door verwijdering, intrekking of vervanging van sleutels, identificatiekaarten, informatie verwerkende faciliteiten of abonnementen.

Indien een medewerker die uit dienst treedt of een externe gebruiker wachtwoorden kent van gebruikersidentificaties die actief blijven, dan behoren deze bij beëindiging of wijziging van het dienstverband, contract of overeenkomst te worden gewijzigd. De teamleider informeert de eigenaar van de algemene identiteit dat een persoon die gebruik maakte van deze identiteit uit dienst is of een andere functie vervult. De eigenaar van de identiteit is verantwoordelijk voor het doorvoeren van de noodzakelijke wijzigingen.

Referentie: BIO versie 1.04zv beheersmaatregel 9.2.6.

7.4.1. Beperking toegang tot informatie

Standaard dient toegang tot informatie beperkt te worden tot personen die zonder de informatie hun werk niet kunnen uitvoeren, het zogenaamde ‘need-to-know’ principe. De toegang tot informatie dient gekoppeld te zijn aan functieprofielen (rollen) waarbij personen aan de rollen gekoppeld worden. Voor digitale informatie dient de toegang beperking, na toekenning van de rollen, automatisch te geschieden.

Per functieprofiel dient er per informatiebron, waar de functie toegang tot moet krijgen, een autorisatieprocedure worden opgesteld waarin staat:

• •

  Wat de acties zijn met betrekking tot de informatie;

  • o

    
    Bijvoorbeeld: alleen lezen of ook bewerken.

• •

  Hoe lang de toegang tot de informatiebron geldt;

• •

  Hoe vaak de informatiebron mag worden geraadpleegd per gedefinieerde periode;

  • o

    
    Bijvoorbeeld: 10x per jaar of onbeperkt.

• •

  Wat de reden is dat het functieprofiel de gedefinieerde acties mag uitvoeren op de informatiebron.

De proceseigenaars zijn verantwoordelijk voor het opstellen van de autorisaties per functieprofiel en dienen deze aan te leveren bij het team Informatiemanagement, HR en de CISO. Jaarlijks dienen de autorisaties door de teamleiders geëvalueerd te worden. De CISO / ISO dient jaarlijks steekproefsgewijs de autorisaties te controleren vanuit het oogpunt informatiebeveiliging. In geval het een digitale informatiebron betreft, is de systeemeigenaar verantwoordelijk voor de inregeling van de autorisaties. Indien het een fysieke informatiebron betreft is de eigenaar van de informatiebron verantwoordelijk voor de controle van de autorisaties.

Referentie: BIO versie 1.04zv beheersmaatregel 9.4.1.

7.4.2a Beveiligde inlogprocedure

Op basis van het beleid voor logische toegangsbeveiliging behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. Deze inlogprocedure dient:

• •

  Geen systeem- of toepassingsidentificatoren te tonen voordat het inlogproces met succes is afgerond;

• •

  Een algemene waarschuwing te tonen dat de computer alleen toegankelijk is voor bevoegde gebruikers;

• •

  Tijdens de inlogprocedure geen hulpboodschappen weer te geven waarmee onbevoegde gebruikers hun doel kunnen bereiken;

• •

  De inloginformatie pas na invoer van alle gegevens te valideren. Indien zich een fout voordoet, dient het systeem niet aan te geven welk deel van de gegevens juist of onjuist is;

• •

  Bescherming te bieden tegen inlogpogingen die met grove middelen worden uitgevoerd;

• •

  Niet-succesvolle en succesvolle pogingen te registreren;

• •

  Een informatiebeveiligingsgebeurtenis te initiëren als een poging tot of een succesvolle schending van de inlogbeheersmaatregelen is vastgesteld;

• •

  De volgende informatie te tonen nadat het inloggen met succes is voltooid:

  • o

    Datum en tijdstip waarop de vorige keer met succes is ingelogd;

  • o

    Details van niet-succesvolle pogingen om in te loggen sinds de vorige succesvolle poging om in te loggen;

• •

  Een wachtwoord dat wordt ingevoerd niet weer te geven;

• •

  Geen ongecodeerde wachtwoorden via een netwerk te versturen;

• •

  Inactieve sessies na een bepaalde tijd van inactiviteit te beëindigen, vooral op locaties met een hoog risico, zoals openbare of externe locaties die buiten het beveiligingsbeheer van de gemeente vallen, of op mobiele appraten;

• •

  De verbindingstijd te beperken om extra beveiliging te bieden voor toepassingen met een hoog risico en de mogelijkheden voor onbevoegde toegang te verkleinen.

Als vanuit een niet vertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van multi-factor authenticatie.

Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend.

Referentie: BIO versie 1.04zv beheersmaatregel 9.4.2.

7.4.3. Systeem voor wachtwoordbeheer

Vanuit de CISO dient een voorschrift met betrekking tot het wachtwoordbeheer te worden opgesteld en jaarlijks te worden geëvalueerd. Het voorschrift is verplicht voor alle technische componenten waar middels wachtwoorden toegang gegeven wordt aan informatie. Het voorschrift dient ten minste het volgende te bevatten:

• •

  Alle onderstaande eisen dienen minimaal te voldoen aan de richtlijnen zoals aangegeven in de nieuwste of nieuwst aangekondigde BIO versie;

• •

  Eisen aan de minimale lengte van het wachtwoord;

  • o

    Waarbij onderscheid gemaakt mag worden tussen het wel en niet hanteren van multi-factor authenticatie.

• •

  Eisen aan het maximaal aantal foutieve inlogpogingen;

• •

  Eisen aan de tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen;

• •

  Eisen aan de periode waarna een wachtwoord opnieuw ingesteld moet worden;

  • o

    Waarbij onderscheid gemaakt mag worden tussen het wel en niet hanteren van multi-factor authenticatie.

• •

  Eisen aan de geldigheidsduur van initiële wachtwoorden en wachtwoorden die gereset zijn;

• •

  Eisen aan de geldigheidsduur van wachtwoorden die voldoen aan het beleid;

• •

  Eisen aan de geldigheidsduur van wachtwoorden gebruikt in systemen die technisch niet kunnen voldoen aan dit beleid.

Indien gebruik wordt gemaakt van een wachtwoordkluis dient deze aan de volgende voorwaarden te voldoen:

• •

  De wachtwoordenkluis dient voor ieder systeem/ applicatie een ander wachtwoord te hanteren;

• •

  De wachtwoordenkluis mag de gegevens niet opslaan buiten het grondgebied van de Europese Unie;

• •

  De wachtwoorden in de wachtwoordenkluis dienen versleuteld opgeslagen te worden conform een versleutelingsmethode benoemt in het hoofdstuk 8 (Cryptografie) van dit beleid.

Referentie: BIO versie 1.04zv beheersmaatregel 9.4.3.

7.4.4. Speciale systeemhulpmiddelen gebruiken

Met systeemhulpmiddelen worden software- en hardwarecomponenten, zoals firewalls, encryptiesoftware, antivirussoftware en toegangscontrole, bedoeld die gebruikt worden om de IT-infrastructuur en IT-processen te ondersteunen en te beheren. Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, moet worden beperkt en nauwkeurig worden gecontroleerd. Alle onnodige systeemhulpmiddelen moeten worden verwijderd of onbruikbaar worden gemaakt.

Alleen bevoegd personeel heeft toegang tot de systeemhulpmiddelen. Bevoegdheid wordt voorgeschreven vanuit het functieprofiel en dient te worden bekrachtigd door het SMT.

Het gebruik van systeemhulpmiddelen wordt gelogd. De logging is minimaal twee jaar beschikbaar voor onderzoek.

Referentie: BIO versie 1.04zv beheersmaatregel 9.4.4.

7.4.5. Toegangsbeveiliging op programmabroncode

Toegang tot de programmabroncode behoort te worden beperkt zodat introductie van onbevoegde functionaliteit en onbedoelde wijzigingen te voorkomen, alsmede om de vertrouwelijkheid van waardevolle intellectuele eigendom te handhaven. Dit wordt bereikt door de code gecontroleerd centraal op te slaan, waarbij het volgende in acht wordt genomen:

• •

  Broncodebibliotheken worden niet in operationele systemen opgeslagen;

• •

  De programmabroncode en de broncodebibliotheek worden beheerd in overeenstemming met de vastgestelde procedures;

• •

  Ondersteunend personeel heeft geen onbeperkte toegang tot broncodebibliotheken;

• •

  Het updaten van broncodebibliotheken en samenhangende items en het verstrekken van broncodes aan programmeurs vindt alleen plaats na ontvangst van een passende autorisatie;

• •

  Programma-uitdraaien worden in een beveiligde omgeving bewaard;

• •

  Van elke toegang tot broncodebibliotheken wordt een auditlogbestand bijgehouden;

• •

  Onderhouden en kopiëren van broncodebibliotheken worden aan strike procedures voor wijzigingsbeheer te worden onderworpen.

Referentie: BIO versie 1.04zv beheersmaatregel 9.4.5.

8.1.1. Communicatie van informatie

Alleen voor digitale communicatie van informatie gelden de cryptografische maatregelen.

Netwerkcommunicatie

Alle informatie die via netwerken gecommuniceerd wordt dient, waar technisch mogelijk, met TLS te worden beveiligd. Voor ieder systeem dient het stappenplan uit de nieuwste versie van het ‘ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)⁴ de NCSC te worden doorlopen. De gehanteerde instellingen dienen in een centraal register per systeem vastgelegd te worden waarbij de instellingen geclassificeerd worden aan de hand van de in het ‘ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)’. Instellingen met classificatie ‘onvoldoende’ zijn niet toegestaan.

De systeemeigenaar is verantwoordelijk voor de instelling van de systemen en de vastlegging in het centrale instellingen register. De CISO of ISO voert een jaarlijkse controle uit op het register. Indien de CISO wijzigingen in de instellingen noodzakelijk acht dient de systeemeigenaar dit door te voeren.

Uitzonderingen waarbij geen gebruik gemaakt kan worden van TLS of van adequate instellingen dient er een uitzondering aangevraagd te worden bij de CISO. De CISO registreert eventuele uitzonderingen inclusief reden en eventuele additionele maatregelen in het centrale register.

Andere vormen van digitale communicatie

Voor andere vormen van digitale communicatie geldt dat voor de classificatieniveaus ‘Midden’ en ‘Hoog’ gebruik gemaakt dient te worden van cryptografische beheersmaatregelen.

Verwijderbare media

Verwijderbare media (bijvoorbeeld usb-sticks of Dvd’s) dienen volledig versleuteld te zijn met een versleutelingstechniek die op de lijst van door de gemeentelijke CISO goedgekeurde versleutelingstechnieken staat.

Chatapplicaties

Er wordt geen gebruik gemaakt van niet goedgekeurde chatapplicaties.

Digitaal telefoneren

Voor digitaal telefoneren dient, waar technisch mogelijk, gebruik gemaakt te worden van ‘end-to-end’ encryptie. Deze encryptie dient in de betrokken programma’s aangezet te worden.

Elektronische berichtenuitwisseling

Het bericht mag bij digitale berichtenuitwisseling (bijvoorbeeld e-mail) geen informatie met classificatie ‘Midden’ of ‘Hoog’ bevatten. Een eventuele bijlage mag deze informatie wel bevatten indien de bijlage middels encryptiemaatregelen wordt verstuurd. De encryptiemaatregelen en hulpapplicaties die hiervoor van toepassing zijn worden bijgehouden door de CISO op de lijst met goedgekeurde versleutelingstechnieken.

Referentie: BIO versie 1.04zv beheersmaatregel 10.1.1.

8.1.2. Opslag van informatie

Digitale informatie die wordt opgeslagen dient beveiligd te worden. Qua cryptografische maatregelen wordt onderscheid gemaakt tussen apparaten die door de gemeente worden gehanteerd en systemen die worden afgenomen.

Apparaten

Van alle apparaten die de gemeente hanteert, en waar informatie op kan worden opgeslagen, dient het opslagmedium volledig versleuteld te zijn. Hieronder vallen bijvoorbeeld laptops, mobiele telefoons, servers, IoT apparaten en vaste computers. Deze encryptiemaatregel dient automatisch afgedwongen te worden op alle apparaten waar de gemeente eigenaar van is of die voor gemeentelijke werkzaamheden worden gebruikt. De proceseigenaar belast met het uitgeven van apparaten is verantwoordelijk voor het voldoen aan bovenstaande.

Systemen

Informatie die buiten apparaten wordt opgeslagen waar de gemeente eigenaar van is en die geclassificeerd zijn als ‘Midden’ of ‘Hoog’, dient versleuteld te worden opgeslagen. De encryptiemaatregelen die hiervoor van toepassing zijn worden bijgehouden door de CISO op de lijst met goedgekeurde versleutelingstechnieken.

Referentie: BIO versie 1.04zv beheersmaatregel 10.1.1.

8.2.1. Reservecertificaten

Voor alle benodigde certificaten dient een risicoanalyse aanwezig te zijn. De risicoanalyse dient minimaal de volgende zaken te bevatten:

• •

  Is de aanwezigheid van het certificaat cruciaal voor de kritische bedrijfsprocessen.

Aan de hand van de risicoanalyse dient de afweging gemaakt te worden om contractuele afspraken op te nemen over reserve certificaten van een alternatieve leverancier.

Referentie: BIO versie 1.04zv beheersmaatregel 10.1.2.2.

8.2.2. PKI-overheidscertificaten

Het gebruik van PKI-overheidscertificaten is niet langer toegestaan daar deze in december 2022 landelijk zijn ingetrokken. Voor informatie met classificatieniveaus ‘Midden’ en ‘Hoog’ zijn zogenaamde ‘self-signed’ certificaten eveneens niet toegestaan.

Referentie: BIO versie 1.04zv beheersmaatregel 10.1.2.1.

9.1.1. Fysieke beveiligingszone

De fysieke ruimten binnen de gemeente moeten zijn ingedeeld conform ‘Handreiking toegangsbeleid v2.01’ waarbij onderstaande zonering is voorgeschreven:

Tabel 6:Beschrijving fysieke beveiligingszone

Uitwerking van de exacte inrichting van de locaties van gemeente Medemblik zijn vastgelegd in een door het college vastgesteld ‘Plan fysieke toegangsbeveiliging’. Dit plan dient te voldoen aan de eisen zoals beschreven in dit hoofdstuk. Het plan heeft een maximale geldigheidsduur van 3 jaar.

Beoordeling en advisering ten aanzien van fysieke beveiligingszones is belegd bij de CISO.

Referentie: BIO versie 1.04zv beheersmaatregel 11.1.1 en 11.1.1.1.

9.1.2. Fysieke toegangsbeveiliging

De verschillende zones worden beschermd door passende toegangsbeveiliging die ervoor zorgen dat alleen bevoegd personeel toegang krijgt. De volgende eisen gelden minimaal met betrekking tot het fysieke toegangsbeleid:

Alle zones:

• •

  Concrete beveiligingsrisico’s worden conform afspraken, gecommuniceerd aan relevante collega’s binnen het (informatie)beveiligingsdomein van de gemeente;

• •

  Fysieke toegangsmiddelen vallen onder verantwoordelijkheid van HR, Facilitaire Zaken en gebouwenbeheer.

Vanaf zone 1 (Publiekszone):

• •

  Iedereen die werkzaamheden voor de gemeente verricht (zoals; medewerkers, contractanten en externen) dragen zichtbare gemeentelijke identificatie;

• •

  Aankomst- en vertrektijden van alle aanwezigen worden geregistreerd inclusief datum.

Zone 2 (Regelmatig toegankelijke publiekszone):

• •

  Op vertoon van een afspraakbevestiging krijgt publiek toegang tot de balie van Burgerzaken van gemeente Medemblik;

• •

  Raadzalen en fractiekamers worden beschikbaar gesteld voor het publiek wanneer er een vergadering is die publiek bijgewoond dient te worden;

  • o

    In alle gevallen zijn de raadzalen en fractiekamers alleen toegankelijk voor geautoriseerde personen met geldige toegangspassen.

Zone 3 (Standaard werkgebied):

• •

  Zone 3 is alleen toegankelijk voor geautoriseerde medewerkers met geldige toegangspassen.

• •

  Alle toegangsacties van personeel worden gelogd;

• •

  De gemeentewerven vallen onder zone 3;

• •

  Het werkgebied Publiekszaken is alleen toegankelijk voor medewerkers van team Publiekszaken en de BHV;

• •

  Fysieke informatie die geclassificeerd is als ‘Midden’ dienen te worden opgeborgen in brandkasten die zijn verankerd aan het pand. Op basis van de classificatie en de verantwoordelijkheden omtrent de informatie heeft alleen bevoegd personeel toegang tot de beveiligde brandkasten;

• •

  Bij toegang tot zone 3 of hoger wordt gebruik gemaakt van beperking in de toegang die waarborgt dat enkel de geautoriseerde personen toegang krijgen en dat ongeautoriseerde niet kunnen meelopen met de geautoriseerde persoon.

Zone 4 (Bijzonder werkgebied):

• •

  Fysieke informatie die geclassificeerd is met ‘Hoog’ dienen te worden opgeborgen in een brandwerende kluis die verankerd is aan het pand. De kluis dient voor een zeer beperkt aantal medewerkers toegankelijk te zijn. Hiervoor dient een toegangsprocedure zone 4 te zijn;

• •

  Toegang behoort te worden goedgekeurd en periodiek te worden gemonitord;

• •

  Alle toegangsacties worden gelogd in een logboek dat dagelijks geëvalueerd moet worden door de teamleider Facilitair. Omissies dienen per direct te worden gecommuniceerd met de teamleiders werkzaam in zone 4 en de CISO;

• •

  Iedereen die enkel voor kortdurende werkzaamheden aanwezig dienen te zijn in zone 4 (bijv. onderhoudsmonteurs) mogen alleen werken onder permanente aanwezigheid van één van de geautoriseerde medewerkers en mogen niet zelfstandig de zone betreden of verlaten. Dit dient te worden vastgelegd in de toegangsprocedure voor zone 4.

Referentie:
BIO versie 1.04zv beheersmaatregel 11.1.2 en 11.1.2.1.

9.1.3. Kantoren, ruimten en faciliteiten beveiligen

Fysieke beveiliging

Voor kantoren, ruimten en faciliteiten zijn maatregelen ontworpen en vastgelegd in het fysieke beveiligingsplan van de gemeente. De beveiliging van faciliteiten dient in het fysieke beveiligingsplan minimaal de volgende elementen te bevatten:

Faciliteiten

• •

  Faciliteiten die toegang geven tot gemeentelijke informatie met classificatie niveau ‘Laag’ of hoger, of deze informatie bevatten, dienen minimaal te zijn gelegen in zone 3;

• •

  Faciliteiten die gemeentelijke informatie bevatten met classificatie niveau ‘Hoog’ dienen te zijn gelegen in zone 4;

• •

  Locaties van faciliteiten die informatie bevatten of verwerken dienen enkel kenbaar gemaakt te worden aan medewerkers geautoriseerd voor die specifieke informatie;

• •

  Adresboeken, interne telefoonboeken en niet publiekelijke e-mailadressen zijn niet vrij toegankelijk voor onbevoegden;

• •

  Niet uitgegeven toegangsmiddelen die toegang geven tot zone 3 worden zodanig veilig opgeborgen dat deze enkel toegankelijk zijn voor medewerkers van Facilitaire Zaken die de toegangsmiddelen uitgeven en de teamleider van Facilitaire Zaken is verantwoordelijk voor het toezicht hierop;

• •

  Niet uitgegeven toegangsmiddelen die toegang geven tot zone 4 worden zodanig veilig opgeborgen dat deze enkel toegankelijk zijn voor de strategisch manager verantwoordelijk voor de teams in zone 4;

• •

  Niet uitgegeven toegangsmiddelen die toegang geven tot de bij zone 3 genoemde brandkasten dienen enkel toegankelijk te zijn voor de teamleider verantwoordelijk voor de in de brandkast opgeslagen informatie;

• •

  Niet uitgegeven toegangsmiddelen die toegang geven tot de bij zone 4 genoemde kluizen dienen enkel toegankelijk te zijn voor de teamleider verantwoordelijk voor de in de die specifieke kluis opgeslagen informatie;

• •

  De toegangsmiddelen zijn ingericht op basis van een sleutelplan en vallen onder de procedure ‘Sleutelbeheer’ waarvoor de teamleider Facilitaire Zaken verantwoordelijk is.

Ruimten

• •

  Werkplekken die zichtbaar zijn vanuit de publieke ruimte dienen te worden voorzien van maatregelen die de zichtbaarheid dusdanig belemmeren dat de werkplek niet meer zichtbaar is;

• •

  Ruimten waarin gewerkt wordt met informatie met classificatieniveau ‘Laag’ of hoger dienen zodanig ingericht te zijn dat wordt voorkomen dat vanuit publiek beschikbare ruimten informatieoverdracht of activiteiten hoorbaar of zichtbaar zijn.

Referentie
: BIO versie 1.04zv beheersmaatregel 11.1.3 en 11.1.3.1.

9.1.4. Sleutelplan

Toegangsmiddelen worden in dit hoofdstuk aangeduid als sleutels en betreffen bedrijfsmiddelen die dienen te voldoen aan het bedrijfsmiddelen beleid in hoofdstuk 5.

Voor zone 3, zone 4, de zone 3 brandkasten én de zone 4 kluizen dienen in totaal 4 sleutelplannen opgesteld te worden. De verantwoordelijkheid is als volgt belegt:

• •

  Teamleider Inkoop, JZ en FaZa is verantwoordelijk voor ‘sleutelplan zone 3’ en ‘sleutelplan brandkasten zone 3’;

• •

  De teamleider van het betreffende team in zone 4 is verantwoordelijk voor ‘sleutelplan zone 4’;

• •

  De teamleider verantwoordelijk voor de informatie in de zone 4 kluis is verantwoordelijk voor ‘sleutelplan kluizen zone 4’.

Alle sleutelplannen dienen minimaal te voldoen aan de volgende eisen:

• •

  De verantwoordelijke is verantwoordelijk voor het opstellen en het bijwerken van het sleutelplan;

• •

  Het sleutelplan wordt drie jaarlijks geëvalueerd door de verantwoordelijke. De evaluatie en diens resultaten worden vastgelegd en de betrokkenen worden hierover geïnformeerd;

• •

  Het sleutelplan is goedgekeurd door het SMT met advies van de CISO;

• •

  In het sleutelplan is mimimaal opgenomen:

  • o

    Wie verantwoordelijk is voor de uitgifte en inname van fysieke sleutels;

  • o

    Wie de centrale registratie van sleutels in omloop bijhoudt;

  • o

    Wanneer en aan wie fysieke sleutels mogen worden uitgereikt;

  • o

    Wie de periodieke controle op de centrale registratie en de voorraad sleutels uitvoert om de volledigheid van de sleutels vast te stellen.

Referentie: BIO versie 1.04zv beheersmaatregel 11.1.3 en 11.1.3.1.

9.1.5. Beschermen tegen bedreigingen van buitenaf

De gemeente moet een centrale inventarisatie bijhouden waarin per dienstverleningsproces is beschreven welke (papieren) archieven en apparatuur kritisch zijn. De inventarisatie dient jaarlijks geëvalueerd te worden, het strategisch managementteam (SMT) is hiervoor verantwoordelijk. In het plan fysieke toegangsbeveiliging dienen de volgende zaken minimaal te zijn vastgelegd:

• •

  Welke dienstverleningsprocessen absoluut niet verstoord mogen worden;

  • o

    Welke apparatuur en papieren archieven hierin kritisch zijn.

• •

  Per bovengenoemde apparatuur en papierarchief welke maatregelen worden genomen ter voorkoming van verstoringen in het geval van natuurrampen, ongewenste menselijke handelingen en andere bedreigingen van buitenaf aan de hand van een risicoanalyse.;

• •

  Periodieke herbeoordeling van de risicoanalyse en bovengenoemde maatregelen.

Verder dient informatie geclassificeerd als ‘Midden’ of ‘Hoog’ redundant opgeslagen te worden in geografisch en logisch gescheiden locaties.

Referentie: BIO versie 1.04zv beheersmaatregel 11.1.4, 11.1.4.1 en 11.1.4.2.

9.1.6. Werken in beveiligde gebieden

Zone 4 gebieden worden beschouwd als beveiligde gebieden, alsmede andere gebieden die de gemeente aanwijst als beveiligd. Voor het werken in beveiligde gebieden dienen procedures te zijn ontwikkeld die actief worden toegepast. De procedures dienen minimaal aan de volgende eisen te voldoen:

• •

  Personeel behoort alleen dankzij ‘need-to-know’ bekend te zijn met het bestaan van of de activiteiten binnen een beveiligd gebied;

  • o

    De procedure dient concrete toetsbare eisen te stellen aan het begrip ‘need-to-know’.

• •

  Zonder toezicht wordt niet gewerkt in beveiligde gebieden, zowel om veiligheidsredenen als om geen gelegenheid te bieden voor kwaadaardige activiteiten;

• •

  Leegstaande beveiligde ruimten behoren fysiek te zijn afgesloten en periodiek geïnspecteerd te worden;

• •

  Beeld- en geluidsopnameapparatuur, zoals in mobiele apparatuur, wordt niet toegelaten in de beveiligde ruimten, tenzij goedgekeurd;

• •

  Bezoekers van kritieke faciliteiten:

  • o

    Worden slechts toegang geboden voor vastgestelde doeleinden;

  • o

    Worden continu aan toezicht onderworpen;

  • o

    Worden gemonitord bij aankomst en vertrek;

  • o

    Krijgen instructie over de beveiliging van de omgeving en van de noodprocedures en worden bewust gemaakt van de beveiligingsregels;

  • o

    Wordt verteld dat het gebruik van beeld- en geluidopnamemateriaal/apparatuur niet is toegestaan;

  • o

    Dragen verplicht een badge.

De verantwoordelijkheid van het bijhouden van de procedures ligt bij de strategisch manager wiens afdeling of teamleider onder de beveiligde gebieden vallen.

Referentie: BIO versie 1.04zv beheersmaatregel 11.1.5.

9.1.7. Laad- en loslocaties

De inrichting en maatregelen van laad- en loslocaties dienen te worden vastgelegd in het plan fysieke toegangsbeveiliging waarbij de onderstaande aandachtpunten terug moeten komen:

• •

  Verdachte brieven en pakketten in postkamers en laad- en loslocaties dienen conform een vooraf opgestelde procedure afgehandeld te worden;

• •

  Laad- en loslocaties zijn beperkt tot geïdentificeerd en bevoegd personeel;

• •

  Laad- en loslocaties zijn zo ontworpen dat goederen geladen en gelost kunnen worden, zonder dat de leverancier toegang heeft tot andere delen van het gebouw;

• •

  Buitendeuren van laad- en loslocaties zijn beveiligd als de binnendeuren open zijn;

• •

  Materialen worden bij binnenkomst alleen aangenomen indien hier een inkooporder voor is die overeenkomt met de bestelbon;

• •

  Materialen worden bij binnenkomst gecontroleerd en onderzocht op explosieven, chemicaliën of andere gevaarlijke materialen voordat ze vanaf ene laad- en loslocatie worden overbracht;

• •

  Materialen worden bij binnenkomst geregistreerd en de desbetreffende verantwoordelijke voor het materiaal wordt op de hoogte gebracht;

• •

  Inkomende en uitgaande zendingen zijn fysiek gescheiden;

• •

  Inkomende materialen worden gecontroleerd op mogelijk aanwijzingen voor vervalsing tijdens het transport. Bij ontdekte vervalsing wordt dit direct aan beveiligingspersoneel gemeld.

Referentie:
BIO versie 1.04zv beheersmaatregel 11.1.6.

9.2.1. Plaatsing en bescherming apparatuur

Alle apparatuur die geplaatst is dient beschermt te zijn tegen toegang tot onbevoegden of bedreigingen van buitenaf. De proceseigenaar is verantwoordelijk voor de adequate bescherming van deze apparatuur, dit geldt zowel voor apparatuur die geplaatst is binnen de huisvesting van de gemeente als apparatuur dat buiten op locatie is. Per apparaat categorie dient vastgelegd te zijn welke maatregelen zijn genomen tegen:

• •

  Diefstal;

• •

  Weglekken van informatie;

• •

  Blikseminslag indien apparatuur op een buitenlocatie wordt geplaatst;

• •

  Overspanningen waardoor apparatuur beschadigd kan raken.

Referentie: BIO versie 1.04zv beheersmaatregel 11.2.1.

9.2.2. Nutsvoorzieningen

Onder nutsvoorzieningen vallen alle voorzieningen zoals beschreven door de Nederlandse Overheid Referentie Architectuur (NORA)⁵.

De Specialist Gebouwen is belast met de verantwoordelijkheid over nutsvoorzieningen en draagt zorg voor een opgesteld, beheerd en geaccordeerd nutsvoorzieningen plan, waarin onderstaande minimaal is beschreven en geïmplementeerd:

• •

  Nutsvoorzieningen zijn conform technische beschrijving van de fabrikant en de lokale wettelijke eisen geïnstalleerd;

• •

  Nutsvoorzieningen zijn centraal geregistreerd;

• •

  Nutsvoorzieningen worden regelmatig onderzocht naar de toereikendheid van de capaciteit, interactie met andere nutsvoorzieningen en de toereikendheid met het oog op de groei en toekomst van de gemeente;

• •

  Nutsvoorzieningen worden periodiek geïnspecteerd en getest, om na te gaan dat deze nutsvoorzieningen correct functioneren;

• •

  Alarmsystemen zijn geïmplementeerd om disfunctioneren van nutsvoorzieningen op te sporen;

• •

  Nutsvoorzieningen hebben meervoudige voedingen met verschillende fysieke route om het risico op uitval tegen te gaan;

• •

  Noodverlichting en (nood) communicatiemiddelen zijn aanwezig;

• •

  Nabij nooduitgangen en ruimten waar apparatuur aanwezig is, zijn noodschakelaars en knoppen waarmee stroom, water, gas of andere voorzieningen kunnen worden uitgeschakeld;

• •

  Netwerkverbindingen zijn redundant en hebben meerdere fysieke routes van meerdere aanbieders.

Referentie: BIO versie 1.04zv beheersmaatregel 11.2.2.

9.2.3. Beveiliging van communicatiekabels

Voedings- en telecommunicatiekabels dienen te worden beschermd tegen interceptie, verstoring of schade, waarbij:

• •

  Communicatiekabels dienen bij voorkeur ondergronds aangelegd te worden;

• •

  Voedings- en telecommunicatiekabels te allen tijde beveiligd zijn en niet toegankelijk voor onbevoegden;

• •

  Wordt voldaan aan:

  • o

    
    
    TIA-942: Telecommunication Infrastructure Standard for Data Centers
    

  • o

    
    
    NEN-EN 50600: Europese normenreeks voor datacenters
    

  • o

    
    
    NPR 5313: Richtlijn voor datacenters (2014)
    

• •

  Bovenstaande eisen gelden voor alle communicatiekabels die de gemeente gebruikt, zowel binnen als buiten het eigen terrein.

Referentie: BIO versie 1.04zv beheersmaatregel 11.2.3.

9.2.4. Onderhoud apparatuur

Apparatuur wordt correct onderhouden om de beschikbaarheid en integriteit ervan te waarborgen.

Fysieke apparatuur

Bij het onderhouden van fysieke apparatuur wordt het volgende in acht genomen:

• •

  Apparatuur wordt onderhouden volgens de door de leverancier aanbevolen intervallen voor servicebeurten en voorschriften;

• •

  Reparaties en onderhoudsbeurten aan apparatuur worden alleen uitgevoerd door bevoegd onderhoudspersoneel;

• •

  Reparaties van en onderhoud aan apparatuur (hardware) worden op locatie en door bevoegd personeel uitgevoerd, tenzij er geen data (meer) op het apparaat aanwezig is (zie paragraaf 9.2.7);

• •

  Van alle vermeende en daadwerkelijke fouten en van al het preventieve en correctieve onderhoud worden op een centrale plek registraties bijgehouden;

• •

  Voldaan wordt aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd;

• •

  Voordat apparatuur na onderhoud weer in bedrijf wordt gesteld, wordt een inspectie uitgevoerd om te waarborgen dat niet met de apparatuur geknoeid is en dat deze voldoende functioneert.

Onderhoud van software op apparatuur

Wanneer de apparatuur software bevat wordt het volgende in acht genomen:

• •

  Voor software is een updatebeleid van kracht waarin wordt aangegeven:

  • o

    Hoe ver software mag achterlopen op de meest recente versie.

  • o

    Hoe software bijgewerkt dient te worden.

  • o

    Hoe men controleert dat deze tijdig bijgewerkt is.

  • o

    Hoe de verantwoordelijkheden ten aanzien van updates zijn belegt.

Onderhoud van servers

In het kader van het onderhoud van servers zijn de volgende aanvullende eisen van kracht:

• •

  Voor onderhoud vanuit interne of externe locaties worden passende maatregelen getroffen;

• •

  Voordat servers na onderhoud weer in bedrijf worden gesteld, vindt een inspectie plaats om te waarborgen dat niet is geknoeid met de server en dat deze nog steeds of weer goed functioneert.

Referentie: BIO versie 1.04zv beheersmaatregel 11.2.4.

9.2.5. Verwijdering van bedrijfsmiddelen

Bedrijfsmiddelen (in het bijzonder apparatuur, informatie en software) worden niet meegenomen zonder voorafgaande goedkeuring via de in hoofdstuk 6 beschreven procedure.

Referentie: BIO versie 1.04zv beheersmaatregel 11.2.5.

9.2.6. Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

Bedrijfsmiddelen die zich buiten het primaire werkterrein van de gemeente bevinden dienen te voldoen aan alle eisen in dit beleid. Voor iedere categorie van apparatuur, waarop gemeentelijke informatie is opgeslagen of wordt verwerkt, moet een plan zijn vastgelegd ter bescherming van de informatie buiten het primaire werkterrein.

Het brengen van apparatuur buiten het primaire werkterrein dient te worden goedgekeurd door de eigenaar van de apparatuur. Te allen tijde geldt dat:

• •

  Apparatuur en media die buiten het terrein worden gebracht niet onbeheerd achtergelaten worden in de openbare ruimte;

• •

  Voorschriften van de fabrikant voor het beschermen van de apparatuur worden te allen tijde in acht genomen;

• •

  Van apparatuur die buiten het primaire werkterrein tussen verschillende personen of externe partijen wordt uitgewisseld dient ten alle tijden, door de verantwoordelijke, bijgehouden te worden wie op dat moment de apparatuur voor handen heeft (zie paragraaf 6.2.3);

• •

  Voor digitale communicatie gelden de regels ten aanzien van telewerken;

• •

  Niet digitale informatie met classificatieniveau Midden of hoger mag niet meegenomen worden van de primaire werklocatie.

• •

  Bij thuiswerken dient men zich te houden aan het reglement ‘Thuiswerken gemeente Medemblik’ dat jaarlijks door het strategisch managementteam met advies van de CISO wordt geëvalueerd. Het reglement dient minimaal de adviezen⁶ van de NCSC te bevatten.

Referentie: BIO versie 1.04zv beheersmaatregel 11.2.6.

9.2.7. Veilig verwijderen of hergebruiken van apparatuur en opslagmedia

Definitie

In deze paragraaf worden de termen verwijdering en vernietiging gebruikt. Deze termen hebben verschillende betekenissen:

• •

  Verwijdering

  • o

    Onder verwijdering wordt verstaan dat de apparatuur niet langer gebruikt wordt voor werkzaamheden voor de gemeente en bijvoorbeeld verkocht of gedoneerd kan worden. Bij verwijdering van apparatuur wordt de apparatuur niet fysiek onklaar gemaakt.

• •

  Vernietiging

  • o

    Vernietiging betreft het onklaar maken van de apparatuur. Dit betreft fysieke vernietiging van de apparatuur.

Tevens wordt de term opslagmedia gebruikt. Opslagmedia zijn alle soorten gegevensdragers zoals bijvoorbeeld harde schijven, papieren documenten, notities, telefoons et cetera.

9.2.7.1.
Licenties

Alvorens er wordt overgegaan tot verwijdering of vernietiging van apparatuur dient de apparatuur te worden ontdaan van eventuele daaraan toegekende licenties. Deze licenties dienen binnen de gemeente te worden hergebruikt.

9.2.7.2.
Opslagmedia

Opslagmedia, zowel digitaal als fysiek, dat informatie (heeft) bevat met classificatieniveau Midden of hoger dient door een gecertificeerd bedrijf vernietigd te worden conform het reglement ‘Vernietiging opslagmedia’, conform de wettelijke bewaartermijnen.

Digitale opslagmedia

Digitale opslagmedia (bijv. harde schijven of telefoons) met classificatieniveau Laag of lager mag worden hergebruikt mits deze worden geformatteerd middels de ‘zero-fill’ methodiek en er wordt voldaan aan het reglement ‘Verwijdering opslagmedia’ en de wettelijke bewaartermijnen in acht worden genomen

Fysieke opslagmedia

Fysieke opslagmedia (bijv. papier) met classificatieniveau Laag of lager dient te worden vernietigd door versnippering of dient te worden gedeponeerd in een door de gemeente aangewezen container ter vernietiging.

Reglementen

De reglementen ‘Vernietiging opslagmedia’ en ‘Verwijdering opslagmedia’ dienen drie jaarlijks door het SMT, met advies van de CISO, te worden geëvalueerd. Het reglement ‘Vernietiging opslagmedia’ moet voldoen aan de ISO / IEC 21964.

9.2.7.3.
Verwijderen apparatuur

Voor het verwijderen van apparatuur is het reglement ‘Verwijderen apparatuur’ vastgesteld door het SMT. Tevens dient dit reglement jaarlijks door het SMT, met advies van de CISO, te worden geëvalueerd.

Het reglement dient te voldoen aan alle eisen in deze paragraaf.

Te verwijderen apparatuur en opslagmedia

Apparatuur met een afneembaar opslagmedium mag enkel hergebruikt worden buiten de gemeente (d.m.v. bijv. verkoop of donatie) mits het opslagmedium niet meer aanwezig is in de apparatuur.

Apparatuur waar het opslagmedium niet uit het apparaat gehaald kan worden én waar enkel informatie met classificatieniveau Laag of lager opgeslagen is dienen te worden hersteld naar de fabrieksinstellingen waarbij alle gegevens gewist worden.

In het geval dat ‘zero-fill’ formattering toegepast kan worden mogen apparaten met een opslagmedium waar enkel informatie met classificatieniveau Midden of lager opgeslagen is geweest hergebruikt worden na formattering middels deze methode.

Verwijderbesluit

Voor alle te verwijderen apparatuur dient de verantwoordelijke voor het bedrijfsmiddel én de strategisch manager van de betreffende afdeling een verwijderbesluit te ondertekenen. In het verwijderbesluit dienen minimaal de volgende zaken te staan:

• •

  Welke apparatuur wordt verwijderd;

• •

  Waarom deze apparatuur wordt verwijderd;

• •

  Of de apparatuur ontdaan is van opslagmedia;

  • o

    Zo ja, zijn deze vernietigd conform procedure?

  • o

    Zo nee, zijn deze verantwoord geschikt gemaakt voor hergebruik?

• •

  Waar de apparatuur naar toe gaat.

Het verwijderbesluit dient centraal vastgelegd te worden en dient inzichtelijk te zijn voor alle betrokkenen.

Beschadigde apparatuur

Beschadigde apparatuur dat een opslagmedium bevat mag enkel ter reparatie worden aangeboden nadat het opslagmedium is verwijderd. Indien het opslagmedium niet verwijderd kan worden en de apparatuur het niet toelaat om het opslagmedium op een veilige manier te wissen (zie bovenstaande ‘verwijderen apparatuur’) dan dient de apparatuur vernietigd te worden. Indien het opslagmedium voor het ter reparatie aan wordt geboden veilig gewist kan worden dient dit te gebeuren.

Inleveren apparatuur

Apparatuur zijn bedrijfsmiddelen en worden ingeleverd volgens de procedure (zie paragraaf 6.1.5).

Servers

Voor servers geldt:

• •

  Bij buitengebruikstelling van servers/opslagmedia wordt te allen tijde informatie op deze servers/opslagmedia verwijderd dan wel vernietigd;

• •

  Er worden technieken gebruikt waarmee informatie die niet meer nodig is, wordt vernietigd, overschreven, zodat oorspronkelijke informatie niet meer is terug te halen (zero-fill);

• •

  Opslagmedia die niet meer nodig zijn en waar vertrouwelijke informatie dan wel auteursrechten op staan worden te allen tijde fysiek vernietigd. Van de fysieke vernietiging is altijd een bewijs en wordt centraal opgeslagen.

Referentie: BIO versie 1.04zv beheersmaatregel 11.2.7.

9.2.8. Onbeheerde gebruiksapparatuur

Gebruikers dienen ervoor te zorgen dat apparatuur te allen tijde voldoende beschermd is. Alle gebruikers dienen op de hoogte te worden gebracht van de beveiligingseisen en de procedures voor het beschermen van onbeheerde apparatuur, en van hun verantwoordelijkheden voor het implementeren van die bescherming. Gebruikers dienen geïnformeerd te worden dat zij:

• •

  Apparatuur niet onbeheerd achterlaten;

• •

  Actieve sessies na beëindiging afsluiten, tenzij de sessies kunnen worden beveiligd door een geschikte vergrendeling;

• •

  Uitloggen uit toepassingen of netwerkdiensten die niet langer nodig zijn;

• •

  Computers of mobiele apparatuur beveiligd worden tegen onbevoegd gebruik door middel van toets vergrendeling of toegang via wachtwoord, als de apparatuur niet in gebruik is.

Referentie: BIO versie 1.04zv beheersmaatregel 11.2.8.

9.2.9. ‘Clean desk’- en ‘clear-screen’-beleid

Binnen de gemeente hanteren medewerkers een ‘clean desk’-beleid voor alle fysieke media en verwijderbare opslagmedia en een ‘clear screen’-beleid voor informatie verwerkende faciliteiten.

Te allen tijde geldt dat:

• •

  Onbemande apparatuur zijn altijd vergrendeld;

  • o

    Bij het verlaten van de werkplek dient de medewerker alle apparatuur te vergrendelen.

• •

  Informatie wordt in een afgesloten ruimte bewaard wanneer deze informatie niet vereist is;

• •

  Na kantooruren dient alle informatie in afgesloten ruimte te worden opgeborgen;

• •

  Schermen worden automatisch vergrendeld na inactiviteit van een gebruiker van maximaal 5 minuten;

• •

  Sessies middels remote desktop worden na inactiviteit van een gebruiker van maximaal 5 minuten onderbroken en vergrendeld;

• •

  Het is alleen mogelijk om in te loggen op een remote desktop omgeving via een beveiligde inlogprocedure;

• •

  Bij het gebruik van een chipcardtoken voor toegang tot systemen wordt bij het verwijderen van het token de toegangsbeveiligingsslot automatisch geactiveerd;

• •

  Media dient vernietigd te worden conform de eisen in paragraaf 9.2.7.

Voor informatie met classificatie ‘Midden of ‘Hoog’ geldt additioneel:

• •

  Media dienen na het afdrukken onmiddellijk van printers te worden verwijderd.

Referentie: BIO versie 1.04zv beheersmaatregel 11.2.9.

10.1.1. Gedocumenteerde bedieningsprocedures

Bedrijfsprocessen voor servers dienen te zijn beschreven. De systeemeigenaar is samen met de proceseigenaar verantwoordelijk voor de opstelling hiervan. Wijzigingen aan bedieningsprocedures voor systeemactiviteiten worden formeel door de proceseigenaar goedgekeurd.

In de bedieningsprocedures zijn de bedieningsvoorschriften opgenomen, onder andere voor:

• •

  de installatie en configuratie van systemen;

• •

  de verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;

• •

  de back-up;

• •

  de eisen voor de planning, met inbegrip van onderlinge verbondenheid met andere systemen;

• •

  de voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen van het gebruik van systeemhulpmiddelen;

• •

  de ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten door onverwachte bedienings- of technische moeilijkheden;

• •

  het beheer van audit- en systeemlogbestandinformatie;

• •

  de procedures voor het monitoren van activiteiten.

Referentie: BIO versie 1.04zv beheersmaatregel 12.1.1.

10.1.2. Wijzigingsbeheer

Veranderingen in de gemeente, bedrijfsprocessen, informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst. In de procedure ‘Wijzigingsbeheer’ dienen ten minste de volgende onderdelen zijn opgenomen:

• •

  Identificatie en registratie van (significante) wijzigingen;

  • o

    Oorzaak, doel en gevolg betreffende de wijzigingen.

  • o

    Tijdlijn van doorvoering van de wijziging.

• •

  Planning en testen van wijzigingen;

• •

  Risicoanalyse ten aanzien van de informatiebeveiliging als gevolg van de wijzigingen;

  • o

    Risico acceptatie, te nemen maatregelen en te accepteren restrisico’s.

• •

  Goedkeuringsprocedure voor wijzigingen;

• •

  Communicatie van de wijzigingen aan betrokkenen;

• •

  Uitwijkprocedures, waaronder de procedures en verantwoordelijkheden ten aanzien van het afbreken en herstellen van niet-geslaagde wijzigingen en onvoorziene gebeurtenissen.

Referentie: BIO versie 1.04zv beheersmaatregel 12.1.2.

10.1.3. Capaciteitsbeheer

Het gebruik van middelen behoort te worden gemonitord en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereisten systeemprestaties te waarborgen. Uit monitoring moet blijken dat de beschikbaarheid en doelmatigheid van systemen voldoende zijn en niet worden gehinderd door onvoldoende capaciteit. De monitoring dient tevens preventief te zijn.

De juiste afstemming van capaciteit kan worden bereikt door de capaciteit te verhogen of door de vraag te verlagen. De vraag wordt beheerst door:

• •

  Verwijderen van oude gegevens;

• •

  Het buiten gebruik stellen van toepassingen, systemen, databases of omgevingen;

• •

  Geautomatiseerde workflow- en batchprocessen en -schema’s te optimaliseren;

• •

  Specialistische hardware toe te passen voor bepaalde bewerkingen;

• •

  Toepassingslogica of databasevragen te optimaliseren;

• •

  De bandbreedte voor diensten die veel energie of capaciteit verbruiken te weigeren of te beperken als deze niet van groot bedrijfsbelang zijn.

Referentie: BIO versie 1.04zv beheersmaatregel 12.1.3.

10.1.4. Scheiding van ontwikkel-, test- en productieomgevingen

Ontwikkel-, test-, acceptatie- en productieomgevingen zijn gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen. In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de proceseigenaar en schriftelijke vastlegging hiervan kan er worden afgeweken.

Wijzigingen in de productieomgeving worden altijd getest in de testomgeving én acceptatieomgeving voordat zij in productie worden gebracht. Alleen met voorafgaande goedkeuring door de proceseigenaar en schriftelijke vastlegging hiervan, kan hiervan worden afgeweken.

Referentie: BIO versie 1.04zv beheersmaatregel 12.1.4.

10.2.1. Beheersmaatregelen tegen malware

Ter bescherming tegen malware behoren beheersmaatregelen voor detectie, preventie en herstel te worden geïmplementeerd, in combinatie met een passend bewustzijn van gebruikers.

• •

  De mogelijkheid van het downloaden en uitvoeren van (typen) bestanden is beperkt op alle apparaten die worden gebruikt voor gemeentelijke werkzaamheden. De beperkingen staan beschreven in de procedure ‘Downloaden en uitvoeren bestanden’.

• •

  Gebruikers zijn voorgelicht over de risico’s ten aanzien van surfgedrag en het klikken op onbekende links;

• •

  Alle apparaten die worden ingezet voor de dienstverlening van de gemeente dienen te zijn voorzien van anti-malwaresoftware die dagelijkse updates ontvangt.

• •

  Computers en media worden als voorzorgsmaatregel routinematig gescand. De uitgevoerde scan behoort te omvatten:

  • o

    Alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, vóór gebruik op malware scannen;

  • o

    Minimaal 1x per 3 dagen het gehele apparaat.

Referentie: BIO versie 1.04zv beheersmaatregel 12.2.1.

10.4.1. Beheersmaatregelen tegen malware

Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, worden gemaakt, bewaard en regelmatig, ten minste maandelijks, te worden beoordeeld door de systeemeigenaar. Een logregel bevat minimaal:

• •

  De gebeurtenis;

• •

  Gebruikersidentiteit;

• •

  Het gebruikte apparaat;

• •

  Registraties van geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem;

• •

  Registraties van geslaagde en geweigerde gegevens en andere pogingen om toegang te krijgen;

• •

  Gebruik van speciale bevoegdheden;

• •

  Gebruik van systeemhulpprogramma’s en -toepassingen;

• •

  Het resultaat van de handeling;

• •

  Datum en tijdstip van de gebeurtenis.

Een logregel bevat geen gegevens die tot het doorbreken van de beveiliging kunnen leiden. De informatie verwerkende omgeving wordt geautomatiseerd gemonitord. Monitoring wordt ingezet op basis van een risico-inschatting, zodat aanvallen kunnen worden gedetecteerd.

Alle firewalls zijn voorzien van logging en monitoring die afwijkende gebeurtenissen kunnen waarnemen en daarop kunnen reageren.

Bij ontdekte nieuwe dreigingen (aanvallen) via de detectie-voorziening worden deze binnen geldende juridische kaders verplicht gedeeld binnen de overheid, waaronder via het sectorale CERT middels threat intelligence sharing mechanismen.

Referentie: BIO versie 1.04zv beheersmaatregel 12.4.1.

10.4.2. Beschermen van informatie in logbestanden

Er is een centraal overzicht van logbestanden die worden gegenereerd. Hierin worden ook de activiteiten van gebruikers met speciale toegangsrechten en operators in vastgelegd. In de logbestanden worden ten minste de volgende onderdelen vastgelegd:

• •

  Het tijdstip waarop een gebeurtenis (succesvol of storing) is opgetreden;

• •

  Informatie over de gebeurtenis of storing;

• •

  Welk account en welke beheerder of operator erbij betrokken was;

• •

  Welke processen erbij betrokken waren.

De logbestanden worden minimaal één jaar bewaard. Er is een interne audit procedure die minimaal halfjaarlijks toetst op het ongewijzigd bestaan van logbestanden. Oneigenlijk wijzigen of verwijderen van loggegevens of pogingen daartoe worden zo snel mogelijk gemeld als beveiligingsincident via de procedure voor informatiebeveiligingsincidenten conform paragraaf 14.1.2.

Referentie: BIO versie 1.04zv beheersmaatregel 12.4.2 en 12.4.3.

10.4.3. Kloksynchronisatie

De klokken van alle relevante informatie verwerkende systemen binnen de gemeente Medemblik worden gesynchroniseerd met één referentietijdbron: Central European Time (CET, Amsterdam). De systeemeigenaar van het kloksysteem is hiervoor verantwoordelijk.

Referentie: BIO versie 1.04zv beheersmaatregel 12.4.4.

11.1.1. Beheersmaatregelen voor netwerken

Er behoren beheersmaatregelen te worden geïmplementeerd om de veiligheid van informatie in netwerken te waarborgen en aangesloten diensten tegen onbevoegde toegang te beschermen.

Voor alle netwerken gelden ten minste de volgende eisen:

Netwerkapparatuur

• •

  Apparatuur die binnen het netwerk wordt gebruikt en in het beheer van de gemeente is mag niet afkomstig zijn van bedrijven die de op de lijst van ‘NDAA Prohibited Manufacturers’⁷ en/ of op lijst van ‘Early Detection and Exclusion System (EDES)’⁸ staan;

• •

  Apparatuur die binnen netwerken wordt gebruikt waarin informatie met classificatie ‘hoog’ wordt uitgewisseld mag niet afkomstig zijn van leveranciers die op de lijst van ‘NDAA Prohibited Manufacturers’ staan;

• •

  Apparatuur die binnen netwerken wordt gebruikt waarin informatie met classificatie ‘midden’ en ‘hoog’ wordt uitgewisseld dient gedurende de tijd dat deze in het netwerk aanwezig is door de fabrikant softwarematig ondersteund te worden en te draaien op de nieuwste softwareversie die door de fabrikant beschikbaar is gesteld. Indien dit niet het geval is dient de apparatuur vervangen te worden door apparatuur die wel aan bovenstaande voldoet;

• •

  Niet mobiele apparatuur die binnen het netwerk wordt gebruikt dient de fysieke toegang beperkt te worden conform de eisen uit het hoofdstuk 9.

  • o

    Additioneel dient de apparatuur te voldoen aan de eisen conform hoofdstuk 6 en hoofdstuk 7.

Netwerk toegang

• •

  Alle netwerken dienen beveiligd te zijn:

  • o

    middels een firewall die geautomatiseerd up-to-date gehouden wordt;

  • o

    door alle netwerkpoorten te blokkeren die niet noodzakelijk zijn;

  • o

    door een geautomatiseerde blokkade te hanteren van IP-adressen en domeinen die niet benaderd mogen worden;

  • o

    netwerken mogen niet van buiten de fysieke locatie benaderd worden tenzij dit noodzakelijk wordt geacht;

  • o

    door alleen geauthentiseerde apparaten toe te staan te verbinden.

Noodzakelijkheid deblokkeren netwerkpoorten

Systeemeigenaren dienen bij team Informatiemanagement aan te geven welke netwerkpoorten noodzakelijk zijn voor de werking van het systeem. Informatiemanagement en informatiebeveiliging dienen overeen te komen welke netwerkpoorten gedeblokkeerd dienen te worden. De technische netwerkbeheerder mag enkel op advies van de CISO een netwerkpoort deblokkeren. De gedeblokkeerde netwerkpoorten dienen per netwerk geregistreerd te worden waarbij ten minste het systeem en de reden voor deblokkeren benoemd wordt. De registratieplicht is belegd bij informatiebeveiliging.

Noodzakelijkheid deblokkeren externe netwerktoegang

Informatiemanagement en informatiebeveiliging dienen overeen te komen welke netwerken (of delen van) extern benaderd mogen worden. De technische netwerkbeheerder mag enkel op advies van de CISO een netwerk extern toegankelijk maken. De mate van externe toegankelijkheid dient per netwerk geregistreerd te worden waarbij ten minste de te benaderen systemen en de reden voor deblokkeren benoemd wordt. De registratieplicht is belegd bij informatiebeveiliging.

Netwerken monitoring

• •

  Netwerkmonitoring dient te voldoen aan het voorschrift netwerkmonitoring waarin minimaal de volgende zaken in moet worden beschreven:

  • o

    Per informatieclassificatie niveau worden de monitoringseisen beschreven en hoe hieraan moet worden voldaan. Waarin tenminste aan de volgende eisen moet worden voldaan:

    • ■

      Per classificatieniveau dient aangegeven te worden:

      • •

        welke informatie rechtmatig opgeslagen (bewaard) mag worden;

      • •

        de tijdsduur van de bewaring;

      • •

        welke informatie rechtmatig ingezien mag worden.

    • ■

      De monitoring dient te allen tijde te voldoen aan de eisen conform hoofdstuk 6 en hoofdstuk 7.

    • ■

      Voor de monitoring gelden dezelfde cryptografische eisen als het hoogste classificatieniveau van de informatie die in het netwerk wordt gecommuniceerd.

  • o

    Wie verantwoordelijk is voor de implementatie van de monitoring;

  • o

    De periodieke controle van het voorschrift.

Het voorschrift netwerkmonitoring wordt opgesteld en onderhouden door de CISO / ISO.

In het geval van verstoringen

Onder verstoringen vallen alle verstoringen van de netwerkdienstverlening, waaronder: migratie, technische wijzigingen, uitval van apparaten, et cetera. In het geval van verstoringen mag er niet afgeweken worden van alle in deze paragraaf benoemde eisen.

Beschikbaarheidseisen

Netwerken dienen jaarlijks minimaal een beschikbaarheidspercentage van 99,99% te hebben. Deze eis dient bij uitbesteding van netwerkdiensten contractueel vastgelegd te worden.

Beheeractiviteiten

Beheeractiviteiten dienen afgestemd te worden met Team Informatiemanagement alvorens deze plaats mogen vinden. Beheeractiviteiten dienen plaats te vinden buiten de standaard kantooruren (van 08:00 tot 18:00) tenzij Team Informatiemanagement het noodzakelijk acht dat dit binnen kantooruren plaats vindt.

Beheeractiviteiten die potentiële gevolgen hebben voor de beschikbaarheid van een systeem dienen afgestemd te worden met de systeemeigenaar waarbij de systeemeigenaar de plicht heeft om het systeem na de activiteiten te testen en de bevindingen van de test door te geven aan Team Informatiemanagement binnen 24 uur na afronding van de beheeractiviteiten.

Referentie: BIO versie 1.04zv beheersmaatregel 13.1.1.

11.1.2. Beveiliging van netwerkdiensten

Netwerkdiensten

Netwerkdiensten zijn een verzameling van: apparatuur en software die het mogelijk maken voor andere apparaten om via kabels of draadloos met elkaar te communiceren.

Dienstverleningsovereenkomsten

Voor alle netwerkdiensten, zowel voor intern als voor uitbestede diensten, dient er een dienstverleningsovereenkomst te worden aangegaan waarin tenminste de volgende eisen zijn verwerkt:

• •

  alle eisen van paragraaf 11.1 en alle onderliggende paragrafen.

• •

  de informatieclassificatie van de informatie die in het netwerk wordt gecommuniceerd.

• •

  de wijze waarop verantwoording wordt afgelegd over de conformiteit van de eisen.

• •

  de concrete maatregelen die getroffen worden om aan bovenstaande eisen te voldoen.

• •

  alle eisen van paragraaf 13.1.2.

Referentie: BIO versie 1.04zv beheersmaatregel 13.1.2.

11.1.2.1.
Netwerkdetectievoorzieningen

Het dataverkeer binnen de netwerken die worden gebruikt moet worden geanalyseerd op kwaadaardige elementen middels (geautomatiseerde) detectievoorzieningen. De detectievoorzieningen worden ingezet op basis van een risico-inschatting door de CISO / ISO. De detectievoorzieningen worden beschreven in het ‘Voorschrift detectievoorzieningen gemeente Medemblik’. Dit voorschrift dient aan de volgende eisen voldoen:

• •

  Per netwerk dient een risicoanalyse te zijn uitgevoerd waarbij de volgende onderdelen zijn inbegrepen:

  • o

    Classificatie van informatie binnen het netwerk.

  • o

    Systemen binnen het netwerk.

  • o

    Aanvalsoppervlak van het netwerk.

  • o

    (Fysieke) locatie van het netwerk en diens gegevens.

  • o

    Relevante wet- en regelgeving.

• •

  Jaarlijkse evaluatie van het voorschrift en de daarin beschreven risicoanalyses.

• •

  Verantwoordelijkheden dienen duidelijk te zijn beschreven.

• •

  De detectievoorzieningen dienen te worden gespecificeerd inclusief de kwaadaardige elementen die zij moeten detecteren.

• •

  Procedures voor gedetecteerde kwaadaardige elementen dient te zijn beschreven.

• •

  Restrisico’s na implementatie detectievoorzieningen.

• •

  Toegangsbeheer betreffende eventuele logging en detectievoorzieningen.

• •

  Procedures voor inzage en vernietiging van eventuele persoonsgegevens.

Referentie: BIO versie 1.04zv beheersmaatregel 13.1.2.1.

11.1.2.2.
Melden ontdekte dreigingen

Indien een dreiging wordt ontdekt in de beveiliging van de gebruikte netwerken zal de CISO de sectorale CERT op de hoogte stellen binnen 48 uur na detectie. Bij afwezigheid van de CISO neemt de ISO deze taak waar. De CISO / ISO houdt tevens een registratie bij van het aantal ontdekte dreigingen en de correspondentie hierover met de sectorale CERT.

Referentie: BIO versie 1.04zv beheersmaatregel 13.1.2.2.

11.1.2.3.
Versleutelingstechnieken netwerken

Alle draadloze én bedrade verbindingen waar gebruik van wordt gemaakt dienen te zijn beveiligd conform de eisen in het hoofdstuk 7, hoofdstuk 8 en paragraaf 11.2.

Referentie: BIO versie 1.04zv beheersmaatregel 13.1.2.3.

11.1.2.4.
Beschikbaarheidsaanvallen

Voor alle netwerken waarin informatie met classificatie Midden of Hoog wordt gecommuniceerd dienen preventiemaatregelen te zijn genomen om aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden te voorkomen. Deze preventieve maatregelen worden doorgevoerd op last van de CISO. De jaarlijkse beoordeling van deze maatregelen is belegd bij de CISO. De preventieve maatregelen en de daarmee te voorkomen type aanvallen dienen te zijn vastgelegd.

Referentie: BIO versie 1.04zv beheersmaatregel 13.1.2.4.

11.1.3. Scheiding in netwerken

Informatiediensten

Onder informatiediensten vallen alle systemen en bestanden. Informatiediensten dienen te zijn gegroepeerd op basis van het informatieclassificatieniveau van de informatie waar zij toegang tot hebben. Informatiediensten dienen infrastructureel gescheiden te zijn van informatiediensten met een andere informatieclassificatie.

Gebruikers

Alle gebruikers van netwerken dienen te zijn ingedeeld in groepen op basis van het informatieclassificatieniveau waartoe zij toegang mogen krijgen. Het classificatieniveau van de groep bepaalt de toegang tot de verschillende netwerken. Gebruikers in groepen met classificatieniveau Midden of Hoog mogen alleen de informatiediensten bereiken waartoe zij specifiek of via hun rol zijn geautoriseerd.

Netwerken

Netwerken dienen te zijn ingedeeld op basis van het informatieclassificatieniveau van de informatie die in het netwerk wordt gecommuniceerd. Informatiediensten zijn geplaatst in het netwerk met hetzelfde informatieclassificatieniveau. Netwerken met verschillende informatieclassificatieniveaus mogen niet de mogelijkheid hebben om met elkaar te communiceren.

Daarnaast gelden de volgende specifieke eisen per informatieclassificatieniveau:

Informatieclassificatieniveau
Openbaar.

• •

  Netwerken waarbij geen onderscheidt wordt gemaakt met welke specifieke apparaten mogen verbinden dienen een maximale duur aan de verbinding te stellen van 1 uur.

• •

  De gebruiker van het apparaat dient akkoord te geven op de voorwaarden die ten grondslag liggen aan het gebruik van het netwerk. De voorwaarden dienen minimaal te bevatten:

  • o

    Akkoord voor monitoring en opslag:

    • ■

      van uniek apparaat kenmerk;

    • ■

      hoeveelheid bandbreedte die wordt gebruikt;

    • ■

      duur van verbinding;

    • ■

      tijd en datum van verbinding;

    • ■

      bezochte webadressen;

    • ■

      duur van opslag van minimaal 24 uur en maximaal 1 week.

  • o

    Maximale bandbreedte die per gebruiker geboden wordt.

  • o

    De gemeente is niet aansprakelijk voor alle gevolgen inzake het gebruik van de verbinding en de gebruiker zich hiervan bewust is en akkoord geeft.

  • o

    De gebruiker zich conformeert aan het volgen van de wet- en regelgeving die toepasselijk is op deze dienst.

Informatieclassificatieniveau
Laag

• •

  Netwerken waarbij geen onderscheidt wordt gemaakt met welke specifieke apparaten mogen verbinden zijn niet toegestaan.

• •

  Gebruikers die met het netwerk willen verbinden mogen dit alleen na identificatie en autorisatie middels een door de gemeente verstrekt account én apparaat.

  • o

    Het apparaat dient in beheer te zijn van de gemeente.

• •

  Informatiediensten dienen te zijn geautoriseerd om met het netwerkverbinding te maken.

Informatieclassificatieniveau
Midden

• •

  Alle eisen van classificatieniveau Laag.

• •

  Het netwerk mag enkel beschikbaar zijn binnen de fysieke locaties van gemeente Medemblik daar waar de werkzaamheden het noodzakelijk achtten.

  • o

    Uitzondering hierop is een versleutelde beveiligde verbinding waarmee alleen vooraf geautoriseerde personen toegang mogen krijgen tot het netwerk. Deze versleutelde beveiligde verbinding mag enkel gebruikt worden vanaf andere locaties in Nederland.

• •

  Voor het verbinden met het netwerk is voor gebruikers verplicht om gebruik te maken van een door de gemeente voorgeschreven multi-factor authenticatie techniek.

Informatieclassificatieniveau
Hoog

• •

  Alle eisen van classificatieniveau Midden.

• •

  Voor het verbinden met het netwerk dient een door de gemeente beheerde hardware token gebruikt te worden ten behoeve van de multi-factor authenticatie.

  • o

    De hardware tokens gelden als bedrijfsmiddelen (zie hoofdstuk 6). Het eigenaarschap is belegd bij CISO.

Enkel geautoriseerde apparaten mogen verbindingen maken met het netwerk van de gemeente.

Referentie: BIO versie 1.04zv beheersmaatregel 13.1.3.

11.2.1. Beleid en procedures informatietransport

Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.

In de soorten transport wordt onderscheid gemaakt in digitaal- en fysiektransport, voor beiden zijn handreikingen beschikbaar. De handreikingen dienen te voldoen aan:

Handreiking Digitaal Informatietransport

• •

  De eisen van paragraaf 10.1, paragraaf 11.1 & paragraaf 11.2 inclusief alle onderliggende paragrafen.

• •

  De eisen van hoofdstuk Cryptografie (hoofdstuk 8).

Handreiking Fysiek Informatietransport

• •

  De eisen van paragraaf 9.2.7.

• •

  De eisen van paragraaf 6.2.

Tot slot dienen beide handreikingen procedures te beschrijven die informatie beveiligen tegen onderscheppen, kopiëren, wijzigen, foutieve routering en vernietiging. Hierin dient onderscheidt gemaakt te worden tussen de verschillende informatieclassificatieniveaus.

Referentie: BIO versie 1.04zv beheersmaatregel 13.2.1.

11.2.2. Beleid en procedures informatietransport

Overeenkomsten omtrent informatietransport dienen onderdeel te zijn van alle contracten waar gemeentelijke informatie wordt getransporteerd. In de overeenkomst dienen ten minste de onderstaande onderdelen aan bod te komen:

• •

  directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;

• •

  procedures voor het waarborgen van de traceerbaarheid en onweerlegbaarheid;

• •

  speciale en vereiste beheersmaatregelen voor het beschermen van gevoelige informatie, waarbij moet worden voldaan aan de eisen van hoofdstuk 7 van dit beleid;

• •

  het handhaven van een bewakingsketen voor informatie tijdens de verzending;

• •

  acceptabele niveaus van toegangsbeveiliging, waarbij moet worden voldaan aan alle eisen in dit beleid omtrent het toepasselijke informatieclassificatieniveau.

• •

  In de overeenkomst behoren alle betrokken partijen én diens rol in de overeenkomst expliciet te zijn genoemd.

• •

  Verwijzing naar de ‘in gebreke procedure’ (zie paragraaf 13.1) bij het niet nakomen van de afspraken.

Referentie: BIO versie 1.04zv beheersmaatregel 13.2.2.

11.2.3. Elektronische berichten

Voor elektronische berichten gelden te allen tijde de eisen uit dit hoofdstuk en hoofdstuk 8 i.c.m. de eisen van het Forum Standaardisatie m.b.t. ‘Veilig Internet’⁹. Zonder schriftelijke toestemming inclusief uitgebreide uitleg van de CISO mag er niet afgeweken worden van de eisen.

Verder dient er voorafgaand aan het verzenden van elektronische berichten een (automatische) controle plaats te vinden of het bericht alleen aan geautoriseerde personen verstuurd wordt. Verder mogen elektronische berichten enkel via geautoriseerde media en software (zie paragraaf 10.7) verstuurd worden.

Referentie: BIO versie 1.04zv beheersmaatregel 13.2.3.1.

11.2.3.1.
Elektronische berichten met basisregistratie

Elektronische berichten met basisregistraties dienen, naast het voldoen aan de bovenstaande eisen, altijd gebruik te maken van de meest actuele versie van de Digikoppeling.

Referentie: BIO versie 1.04zv beheersmaatregel 13.2.3.2.

11.2.3.2.
Elektronische berichten met certificaten

Elektronische berichten waarin informatie staat met classificatie Midden of hoger dient er te alle tijde gebruik gemaakt te worden van PKI-certificaten ter beveiliging. Dit geldt tevens voor intern web-verkeer.

Indien noodzakelijk kunnen hogere eisen aan certificaten voortvloeien uit een risicoanalyse, aansluitvoorwaarden of wetgeving. Elektronische berichten met classificatie Midden of hoger mogen niet verzonden worden over niet vertrouwde netwerken.

Referentie: BIO versie 1.04zv beheersmaatregel 13.2.3.3.

11.2.3.3.
Elektronische handtekening

Daar waar een elektronisch handtekening noodzakelijk is en de ontvangende partij het ondersteund dient er gebruik te worden gemaakt van de Ades Baseline Profiles ¹⁰ van het Forum Standaardisatie.

Referentie: BIO versie 1.04zv beheersmaatregel 13.2.3.4.

11.2.4.
Vertrouwelijkheids- of geheimhoudingsovereenkomst

Informatietransport is onderdeel van de geheimhoudingsovereenkomst die moet worden afgesloten met iedereen die werkzaamheden voor de gemeente verricht of een product / dienst levert waarin informatie een rol speelt.

Referentie: BIO versie 1.04zv beheersmaatregel 13.2.4.

12.1.1. Beleid voor beveiligd ontwikkelen

Voor het ontwikkelen van software en systemen zijn regels vastgesteld in het ‘Beleid Beveiligd Ontwikkelen’ van de gemeente. In dit beleid dienen ten minste de volgende onderdelen te zijn opgenomen:

• •

  Hoe de ontwikkelomgeving dient te worden beveiligd (zie paragraaf 12.1.3);

• •

  Broncode;

  • o

    Toegang en autorisaties m.b.t. de broncode (zie paragraaf 7.4.5);

  • o

    Locatie van opslag van de broncode;

  • o

    Doorvoeren van wijzigingen in de broncode (zie paragraaf 7.4.5);

• •

  Welke beveiligingseisen worden gesteld t.a.v. de ontwikkelfasen;

  • o

    Beveiligingscontrolepunten binnen de mijlpalen van het project.

• •

  Waarborging voldoende kennis van informatiebeveiliging bij de ontwikkelende personen;

  • o

    Vermogen van de ontwikkelaar(s) om kwetsbaarheden te vermijden, te vinden en te repareren (kennis van secure software development);

  • o

    Beveiligingseisen m.b.t. de software ontwikkelmethodologie (secure-by-design);

  • o

    Principes voor de ontwikkeling van beveiligde systemen (zie paragraaf 12.1.2).

  • o

    Kennis van informatiebeveiligingsrisico’s omtrent in productie nemen van het ontwikkelde systeem;

  • o

    Kennis van informatiebeveiligingsrisico’s omtrent testdata.

    • ■

      Testen met echte (productie) data is niet toegestaan.

• •

  Richtlijnen betreffende beveiliging in de levenscyclus van softwareontwikkeling;

• •

  Testen van informatiebeveiliging.

  • o

    Onafhankelijke technische broncode audit conform beveiligde coderingsrichtlijnen specifiek voor de programmeertaal die wordt gebruikt.

  • o

    Onafhankelijke penetratietest op de acceptatieomgeving alvorens het ontwikkelde in productie te nemen.

• •

  Eisen omtrent het in productie brengen van het ontwikkelde systeem.

  • o

    Gescheiden ontwikkel-, test-, acceptatie- en productieomgevingen.

  • o

    Beveiligingseisen omtrent infrastructuur;