Categorie:BIG Maatregelen

I

• 5.1.1.1 Er is beleid voor informatiebeveiliging door het College vastgesteld, gepubliceerd en beoordeeld
• 5.1.2.1 Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar beoordeeld
• 6.1.1.1 Het College waarborgt dat de informatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de kaders zoals gesteld in dit document en zijn geïntegreerd in de relevante processen.
• 6.1.2.1 De rollen van CISO (Chief Information Security Officer)
• 6.1.3.1 Elke lijnmanager is verantwoordelijk voor de integrale beveiliging van zijn of haar organisatieonderdeel.
• 6.1.4.1 Er is een goedkeuringsproces voor nieuwe IT voorzieningen en wijzigingen in IT voorzieningen. (in ITIL termen : wijzigingsbeheer)
• 6.1.5.1 De algemene geheimhoudingsplicht voor ambtenaren is geregeld in de Ambtenarenwet art. 125a, lid 3.
• 6.1.6.1 Het lijnmanagement stelt vast in welke gevallen en door wie er contacten met autoriteiten (brandweer, toezichthouders, enz.) wordt onderhouden.
• 6.1.7.1 IB-specifieke informatie van relevante expertisegroepen, leveranciers van hardware, software en diensten wordt gebruikt om de informatiebeveiliging te verbeteren.
• 6.1.7.2 De CISO onderhoudt contact met de IBD en neemt zitting in het IBD-overleg.
• 6.1.8.1 Het informatiebeveiligingsbeleid wordt minimaal één keer in de drie jaar geëvalueerd
• 6.1.8.2 Periodieke beveiligingsaudits worden uitgevoerd in opdracht van het lijnmanagement.
• 6.1.8.3 Over het functioneren van de informatiebeveiliging wordt, conform de P&C cyclus, jaarlijks gerapporteerd aan het lijnmanagement.
• 6.2.1.1 Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) meegewogen bij het besluit een externe partij wel of niet in te schakelen.
• 6.2.1.2 Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben
• 6.2.1.3 Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke waarde en gevoeligheid de informatie heeft
• 6.2.1.4 Voorafgaand aan het afsluiten van een contract voor uitbesteding en externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt.
• 6.2.1.5 Indien externe partijen systemen beheren waarin persoonsgegevens verwerkt worden, wordt een bewerkerovereenkomst (conform WBP artikel 14) afgesloten.
• 6.2.1.6 Er is in contracten met externe partijen vastgelegd welke beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd.
• 6.2.1.7 Over het naleven van de afspraken van de externe partij wordt jaarlijks gerapporteerd.
• 6.2.2.1 Alle noodzakelijke beveiligingseisen worden op basis van een risicoafweging vastgesteld en geïmplementeerd voordat aan gebruikers toegang tot informatie op bedrijfsmiddelen wordt verleend.
• 6.2.3.1 De maatregelen behorend bij 6.2.1 zijn voorafgaand aan het afsluiten van het contract gedefinieerd en geïmplementeerd.
• 6.2.3.2 Uitbesteding (ontwikkelen en aanpassen) van software is geregeld volgens formele contracten waarin o.a. intellectueel eigendom, kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, escrow en reviews geregeld worden.
• 6.2.3.3 In contracten met externe partijen is vastgelegd hoe men om dient te gaan met wijzigingen en hoe ervoor gezorgd wordt dat de beveiliging niet wordt aangetast door de wijzigingen.
• 6.2.3.4 In contracten met externe partijen is vastgelegd hoe wordt omgegaan met geheimhouding en de geheimhoudingsverklaring.
• 6.2.3.5 Er is een plan voor beëindiging van de ingehuurde diensten waarin aandacht wordt besteed aan beschikbaarheid, vertrouwelijkheid en integriteit.
• 6.2.3.6 In contracten met externe partijen is vastgelegd hoe escalaties en aansprakelijkheid geregeld zijn.
• 6.2.3.7 Als er gebruikt gemaakt wordt van onderaannemers dan gelden daar dezelfde beveiligingseisen voor als voor de contractant.
• 6.2.3.8 De producten, diensten en daarbij geldende randvoorwaarden, rapporten en registraties die door een derde partij worden geleverd, worden beoordeeld op het nakomen van de afspraken in de overeenkomst.
• 7.1.1.1 Er is een actuele registratie van bedrijfsmiddelen die voor de organisatie een belang vertegenwoordigen zoals informatie(verzamelingen), software, hardware, diensten, mensen en hun kennis/vaardigheden.
• 7.1.2.1 Voor elk bedrijfsproces, applicatie, gegevensverzameling en ICT-faciliteit is een verantwoordelijke lijnmanager benoemd.
• 7.1.3.1 Er zijn regels voor acceptabel gebruik van bedrijfsmiddelen (met name internet, e-mail en mobiele apparatuur).
• 7.1.3.2 Gebruikers hebben kennis van de regels.
• 7.1.3.3 Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen.
• 7.1.3.4 Informatiedragers worden dusdanig gebruikt dat vertrouwelijke informatie niet beschikbaar kan komen voor onbevoegde personen.
• 7.2.1.1 De organisatie heeft rubriceringrichtlijnen opgesteld.
• 7.2.1.2 In overeenstemming met hetgeen in het WBP is vastgesteld, dient er een helder onderscheid te zijn in de herleidbare (klasse II/III) en de niet herleidbare (klasse 0 en I) gegevens.
• 7.2.2.1 De lijnmanager heeft maatregelen getroffen om te voorkomen dat niet-geautoriseerden kennis kunnen nemen van gerubriceerde informatie.
• 7.2.2.2 De opsteller van de informatie doet een voorstel tot rubricering en brengt deze aan op de informatie. De vaststeller van de inhoud van de informatie stelt tevens de rubricering vast.
• 8.1.1.1 De taken en verantwoordelijkheden van een medewerker zijn opgenomen in de functiebeschrijving en worden onderhouden. I
• 8.1.1.2 Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage.
• 8.1.1.3 Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. informatiebeveiliging dan is hem dat voor indiensttreding (of bij functiewijziging)
• 8.1.1.4 De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse verantwoordelijkheden ten aanzien van beveiliging.
• 8.1.2.1 Voor alle medewerkers (ambtenaren en externe medewerkers) is minimaal een recente Verklaring Omtrent het Gedrag (VOG) vereist.
• 8.1.2.2 Bij de aanstelling worden de gegevens die de medewerker heeft verstrekt over zijn arbeidsverleden en scholing geverifieerd.
• 8.1.2.3 Het is noodzakelijk om de de VOG of screening periodiek te herhalen volgens de voorschriften.
• 8.1.3.1 Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract
• 8.2.1.1 Het lijnmanagement heeft een strategie ontwikkeld en geïmplementeerd om blijvend over specialistische kennis en vaardigheden van gemeenteambtenaren en ingehuurd personeel (onder andere die kritische bedrijfsactiviteiten op het gebied van IB uitoefenen) te kunnen beschikken.
• 8.2.1.2 Het informatiesysteem moet functies bevatten waarmee vastgesteld kan worden of gegevens correct verwerkt zijn. Hiermee wordt een geautomatiseerde controle bedoeld waarmee (duidelijke) transactie- en verwerkingsfouten kunnen worden gedetecteerd.
• 8.2.2.1 Alle medewerkers van de organisatie worden regelmatig attent gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de organisatie, voor zover relevant voor hun functie.
• 8.2.2.2 Bespreek het onderwerp informatiebeveiliging in functionerings- en beoordelingsgesprekken van medewerkers die risicovolle functies bekleden
• 8.2.3.1 Er is een disciplinair proces vastgelegd voor medewerkers die inbreuk maken op het beveiligingsbeleid (zie ook: CAR/UWO art 16, disciplinaire straffen).
• 8.3.1.1 Voor ambtenaren is in de ambtseed of belofte vastgelegd welke verplichtingen ook na beëindiging van het dienstverband of bij functiewijziging nog van kracht blijven en voor hoe lang.
• 8.3.1.2 Het lijnmanagement heeft een procedure vastgesteld voor beëindiging van dienstverband, contract of overeenkomst
• 8.3.1.3 Het lijnmanagement heeft een procedure vastgesteld voor verandering van functie binnen de organisatie
• 8.3.2.1 Het lijnmanagement heeft een procedure vastgesteld voor verandering van functie binnen de organisatie
• 8.3.3.1 Het lijnmanagement heeft een procedure vastgesteld voor verandering van functie binnen de organisatie
• 9.1.1.1 De gemeente en haar omgeving worden ingedeeld in verschillende zones.
• 9.1.1.2 Voor voorzieningen (binnen of buiten het gebouw) zijn duidelijke beveiligingsgrenzen bepaald.
• 9.1.1.3 Gebouwen bieden voldoende weerstand (bepaald op basis van een risicoafweging) bij gewelddadige aanvallen zoals inbraak en IT gericht vandalisme.
• 9.1.1.4 Er zijn op verschillende plekken zogenaamde overval alarmknoppen geplaatst, dit is met name van belang voor de wachtruimten en de spreekkamers en die ruimtes waar bezoekers in contact komen met gemeente ambtenaren.
• 9.1.1.5 Er is 24 uur, 7 dagen per week bewaking; een inbraakalarm gekoppeld aan alarmcentrale is het minimum.
• 9.1.1.6 Van ingehuurde bewakingsdiensten is vooraf geverifieerd dat zij voldoen aan de wettelijke eisen gesteld in de Wet Particuliere Beveiligingsorganisaties en Recherchebureaus.
• 9.1.1.7 In gebouwen met serverruimtes houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt een registratie bijhouden.
• 9.1.1.8 Voor toegang tot speciale ruimten is een doelbinding vereist, dat wil zeggen dat personen op grond van hun werkzaamheden toegang kan worden verleend. (bijvoorbeeld Beheer, BHV etc)
• 9.1.2.1 Toegang tot gebouwen of beveiligingszones is alleen mogelijk na autorisatie daartoe.
• 9.1.2.2 De beveiligingszones en toegangsbeveiliging daarvan zijn ingericht conform het gemeentelijk toegangsbeleid.
• 9.1.2.3 In gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt een registratie bijhouden.
• 9.1.2.4 De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd op de zonering.
• 9.1.2.5 De uitgifte van toegangsmiddelen wordt geregistreerd.
• 9.1.2.6 Niet uitgegeven toegangsmiddelen worden opgeborgen in een beveiligd opbergmiddel.
• 9.1.2.7 Apparatuur en bekabeling in kabelverdeelruimtes en patchruimtes voldoen aan dezelfde eisen t.a.v. toegangbeveiliging zoals die worden gesteld aan computerruimtes.
• 9.1.2.8 Er vindt minimaal één keer per half jaar een periodieke controle/evaluatie plaats op de autorisaties voor fysieke toegang.
• 9.1.3.1 Papieren documenten en mobiele gegevensdragers die vertrouwelijke informatie bevatten worden beveiligd opgeslagen.
• 9.1.3.2 Er is actief beheer van sloten en kluizen met procedures voor wijziging van combinaties door middel van een sleutelplan, ten behoeve van opslag van gerubriceerde informatie.
• 9.1.3.3 Serverruimtes, datacenters en daar aan gekoppelde bekabelingsystemen zijn ingericht in lijn met geldende best practices.
• 9.1.4.1 Bij maatregelen is rekening gehouden met specifieke bedreigingen van aangrenzende panden of terreinen.
• 9.1.4.2 Reserve apparatuur en backups zijn op een zodanige afstand ondergebracht dat één en dezelfde calamiteit er niet voor kan zorgen dat zowel de hoofdlocatie als de backup/reserve locatie niet meer toegankelijk zijn.
• 9.1.4.3 Beveiligde ruimten waarin zich bedrijfskritische apparatuur bevindt zijn voldoende beveiligd tegen wateroverlast.
• 9.1.4.4 Bij het betrekken van nieuwe gebouwen wordt een locatie gekozen waarbij rekening wordt gehouden met de kans op en de gevolgen van natuurrampen en door mensen veroorzaakte rampen.
• 9.1.4.5 Gevaarlijke of brandbare materialen zijn op een zodanige afstand van een beveiligde ruimte opgeslagen dat een calamiteit met deze materialen geen invloed heeft op de beveiligde ruimte.
• 9.1.4.6 Er is door de brandweer goedgekeurde en voor de situatie geschikte brandblusapparatuur geplaatst en aangesloten. Dit wordt jaarlijks gecontroleerd.
• 9.1.5.1 Medewerkers die zelf niet geautoriseerd zijn mogen alleen onder begeleiding van bevoegd personeel
• 9.1.5.2 Beveiligde ruimten (zoals een serverruimte of kluis) waarin zich geen personen bevinden zijn afgesloten en worden regelmatig gecontroleerd.
• 9.1.5.3 Zonder expliciete toestemming mogen binnen beveiligde ruimten geen opnames (foto, video of geluid) worden gemaakt.
• 9.1.6.1 Er bestaat een procedure voor het omgaan met verdachte pakketten en brieven in postkamers en laad- en losruimten.
• 9.2.1.1 Apparatuur wordt opgesteld en aangesloten conform de voorschriften van de leverancier. Dit geldt minimaal voor temperatuur en luchtvochtigheid, aarding, spanningsstabiliteit en overspanningsbeveiliging.
• 9.2.1.2 Standaard accounts in apparatuur worden gewijzigd en de bijbehorende standaard leveranciers wachtwoorden worden gewijzigd bij ingebruikname van apparatuur.
• 9.2.1.3 Gebouwen zijn beveiligd tegen blikseminslag.
• 9.2.1.4 Eten en drinken is verboden in computerruimtes.
• 9.2.1.5 Een informatiesysteem voldoet altijd aan de hoogste beveiligingseisen die voor kunnen komen bij het verwerken van informatie.
• 9.2.2.1 Apparatuur behoort te worden beschermd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen.
• 9.2.3.1 Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd conform de norm NEN 1010.
• 9.2.4.1 Reparatie en onderhoud van apparatuur (hardware) vindt op locatie plaats door bevoegd personeel, tenzij er geen data op het apparaat aanwezig of toegankelijk is.
• 9.2.5.1 Alle apparatuur buiten de terreinen wordt beveiligd met fysieke beveiligingsmaatregelen zoals bijvoorbeeld sloten en camera toezicht die zijn vastgesteld op basis van een risicoafweging.
• 9.2.6.1 Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd.
• 9.2.6.2 Hergebruik van apparatuur buiten de organisatie is slechts toegestaan indien de informatie is verwijderd met een voldoende veilige methode.
• 9.2.7.1 Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen.
• 10.1.1.1 Bedieningsprocedures bevatten informatie over opstarten, afsluiten, backup- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging.
• 10.1.1.2 Er zijn procedures voor de behandeling van digitale media die ingaan op ontvangst, opslag, rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging.
• 10.1.2.1 In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan
• 10.1.2.2 Instellingen van informatiebeveiligingsfuncties (b.v. security software) op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, worden automatisch op wijzigingen gecontroleerd.
• 10.1.3.1 Niemand in een organisatie of proces mag op uitvoerend niveau rechten hebben om een gehele cyclus van handelingen in een kritisch informatiesysteem te beheersen.
• 10.1.3.2 Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker.
• 10.1.3.3 Vóór de verwerking van gegevens die de integriteit van kritieke informatie of kritieke informatie systemen kunnen aantasten worden deze gegevens door een tweede persoon geïnspecteerd en geaccepteerd.
• 10.1.3.4 Verantwoordelijkheden voor beheer, wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol.
• 10.1.4.1 Er zijn minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en Productie (OTAP). De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.
• 10.1.4.2 Gebruikers hebben gescheiden gebruiksprofielen voor Ontwikkeling, Test en/of Acceptatie en Productiesystemen om het risico van fouten te verminderen. Het moet duidelijk zichtbaar zijn in welk systeem gewerkt wordt.
• 10.1.4.3 Indien er een experimenteer of laboratorium omgeving is, is deze fysiek gescheiden van de productieomgeving.
• 10.10.1.1 Van logbestanden worden rapportages gemaakt die periodiek worden beoordeeld. Deze periode dient te worden gerelateerd aan de mogelijkheid van misbruik en de schade die kan optreden.
• 10.10.1.2 Een logregel bevat minimaal
• 10.10.1.3 In een logregel worden in geen geval gevoelige gegevens opgenomen. Dit betreft onder meer gegevens waarmee de beveiliging doorbroken kan worden (zoals wachtwoorden, inbelnummers, enz.).
• 10.10.1.4 Logberichten worden overzichtelijk samengevat. Daartoe zijn systemen die logberichten genereren bij voorkeur aangesloten op een Security Information and Event Management systeem (SIEM )
• 10.10.1.5 Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie.
• 10.10.2.1 De volgende gebeurtenissen worden in ieder geval opgenomen in de logging
• 10.10.3.1 Het (automatisch) overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log.
• 10.10.3.2 Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers. Hierbij is de toegang beperkt tot leesrechten.
• 10.10.3.3 Logbestanden worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden.
• 10.10.3.4 De instellingen van logmechanismen worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden.
• 10.10.3.5 De beschikbaarheid van loginformatie is gewaarborgd binnen de termijn waarin loganalyse noodzakelijk wordt geacht, met een minimum van drie maanden, conform de wensen van de systeemeigenaar.
• 10.10.3.6 Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie.
• 10.10.4.1 Zie 10.10.1
• 10.10.5.1 Zie 10.10.1
• 10.10.6.1 Systeemklokken worden zodanig gesynchroniseerd dat altijd een betrouwbare analyse van logbestanden mogelijk is.
• 10.2.1.1 De uitbestedende partij blijft verantwoordelijk voor de betrouwbaarheid van uitbestede diensten.
• 10.2.1.2 Uitbesteding is goedgekeurd door de voor het informatiesysteem verantwoordelijke lijnmanager.
• 10.2.2.1 Er worden afspraken gemaakt over de inhoud van rapportages, zoals over het melden van incidenten en autorisatiebeheer.
• 10.2.2.2 De in dienstverleningscontracten vastgelegde betrouwbaarheidseisen worden gemonitord.
• 10.2.2.3 Er zijn voor beide partijen eenduidige aanspreekpunten.
• 10.2.3.1 Zie 10.1.2
• 10.3.1.1 De ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid.
• 10.3.1.2 Er worden beperkingen opgelegd aan gebruikers en systemen ten aanzien van het gebruik van gemeenschappelijke middelen
• 10.3.1.3 In koppelpunten met externe of onvertrouwde zones worden maatregelen getroffen om DDOS (Denial of Service attacks) aanvallen te signaleren en hierop te reageren.
• 10.3.2.1 Van acceptatietesten wordt een log bijgehouden.
• 10.3.2.2 Er zijn acceptatiecriteria vastgesteld voor het testen van de beveiliging. Dit betreft minimaal OWASP of gelijkwaardig.
• 10.4.1.1 Bij het openen van bestanden worden deze geautomatiseerd gecontroleerd op virussen, trojans en andere malware. De update voor de detectiedefinities vindt frequent, minimaal één keer per dag, automatisch plaats.
• 10.4.1.2 Inkomende en uitgaande e-mails worden gecontroleerd op virussen, trojans en andere malware. De update voor de detectiedefinities vindt frequent, minimaal één keer per dag, (automatisch) plaats.
• 10.4.1.3 In verschillende schakels van een keten binnen de infrastructuur van een organisatie wordt bij voorkeur antivirusprogrammatuur van verschillende leveranciers toegepast.
• 10.4.1.4 Er zijn maatregelen om verspreiding van virussen tegen te gaan en daarmee schade te beperken (bijv. quarantaine en compartimentering).
• 10.4.1.5 Er zijn continuïteitsplannen voor herstel na aanvallen met virussen waarin minimaal maatregelen voor back-ups en herstel van gegevens en programmatuur zijn beschreven.
• 10.4.1.6 Op mobile devices wordt antivirus software toegepast, waarbij bij BYOD de eindgebruiker verplicht is deze zelf toe te passen.
• 10.4.2.1 Mobile code wordt uitgevoerd in een logisch geïsoleerde omgeving (sandbox) om de kans op aantasting van de integriteit van het systeem te verkleinen.
• 10.4.2.2 Een gebruiker moet geen extra rechten kunnen toekennen aan programma’s (bijv. internet browsers) die mobiele code uitvoeren.
• 10.5.1.1 Er zijn (geteste) procedures voor back-up en recovery van informatie voor herinrichting en foutherstel van verwerkingen.
• 10.5.1.2 Back-upstrategieën zijn vastgesteld op basis van het soort gegevens (bestanden, databases, enz.), de maximaal toegestane periode waarover gegevens verloren mogen raken, en de maximaal toelaatbare back-up- en hersteltijd.
• 10.5.1.3 Van back-upactiviteiten en de verblijfplaats van de media wordt een registratie bijgehouden, met een kopie op een andere locatie.
• 10.5.1.4 Back-ups worden bewaard op een locatie die zodanig is gekozen dat een incident op de oorspronkelijke locatie niet leidt tot schade aan de back-up.
• 10.5.1.5 De fysieke en logische toegang tot de back-ups, zowel van systeemschijven als van data, is zodanig geregeld dat alleen geautoriseerde personen zich toegang kunnen verschaffen tot deze back-ups.
• 10.6.1.1 Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau komt.
• 10.6.1.2 Gegevensuitwisseling tussen vertrouwde en onvertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware.
• 10.6.1.3 Bij transport van vertrouwelijke informatie over onvertrouwde netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast. Zie hiertoe 12.3.1.3.
• 10.6.1.4 Er zijn procedures voor beheer van apparatuur op afstand.
• 10.6.2.1 Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten
• 10.7.1.1 Er zijn procedures opgesteld en geïmplementeerd voor opslag van vertrouwelijke informatie voor verwijderbare media.
• 10.7.1.2 Verwijderbare media met vertrouwelijke informatie mogen niet onbeheerd worden achtergelaten op plaatsen die toegankelijk zijn zonder toegangscontrole.
• 10.7.1.3 In het geval dat media een kortere verwachte levensduur hebben dan de gegevens die ze bevatten, worden de gegevens gekopieerd wanneer 75% van de levensduur van het medium is verstreken.
• 10.7.1.4 Gegevensdragers worden behandeld volgens de voorschriften van de fabrikant.
• 10.7.2.1 Er zijn procedures vastgesteld en in werking voor verwijderen van vertrouwelijke data en de vernietiging van verwijderbare media.
• 10.7.3.1 Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik.
• 10.7.4.1 Systeemdocumentatie die vertrouwelijke informatie bevat is niet vrij toegankelijk.
• 10.7.4.2 Wanneer de eigenaar er expliciet voor kiest om gerubriceerde systeemdocumentatie buiten de gemeente te brengen, doet hij dat niet zonder risicoafweging.
• 10.8.1.1 Het meenemen van Departementaal Vertrouwelijke of vergelijkbaar geclassificeerde informatie, of hogere, buiten de gemeente vindt uitsluitend plaats indien dit voor de uitoefening van de functie noodzakelijk is.
• 10.8.1.2 Medewerkers zijn geïnstrueerd om zodanig om te gaan met (telefoon)gesprekken, e-mail, faxen ingesproken berichten op antwoordapparaten en het gebruik van de diverse digitale berichtendiensten dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt.
• 10.8.1.3 Medewerkers zijn geïnstrueerd om zodanig om te gaan met mobiele apparatuur en verwijderbare media dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt.
• 10.8.1.4 Medewerkers zijn geïnstrueerd om geen vertrouwelijke documenten bij de printer te laten liggen.
• 10.8.1.5 Er zijn maatregelen getroffen om het automatisch doorsturen van interne e-mail berichten naar externe e-mail adressen te voorkomen.
• 10.8.2.1 Er zijn afspraken gemaakt over de beveiliging van de uitwisseling van gegevens en software tussen organisaties
• 10.8.2.2 Verantwoordelijkheid en aansprakelijkheid in het geval van informatiebeveiligingsincidenten zijn beschreven, alsmede procedures over melding van incidenten.
• 10.8.2.3 Het eigenaarschap van gegevens en programmatuur en de verantwoordelijkheid voor de gegevensbescherming, auteursrechten, licenties van programmatuur zijn vastgelegd.
• 10.8.2.4 Indien mogelijk wordt binnenkomende programmatuur (zowel op fysieke media als gedownload) gecontroleerd op ongeautoriseerde wijzigingen aan de hand van een door de leverancier via een gescheiden kanaal geleverde checksum of certificaat.
• 10.8.3.1 Om vertrouwelijke informatie te beschermen worden maatregelen genomen
• 10.8.3.2 Fysieke verzending van bijzondere informatie dient te geschieden met goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is.
• 10.8.4.1 Digitale documenten binnen de gemeente waar eindgebruikers rechten aan kunnen ontlenen maken gebruik van PKI Overheid certificaten voor tekenen en/of encryptie.
• 10.8.4.2 Er is een (spam) filter geactiveerd voor e-mail berichten.
• 10.8.5.1 Er zijn richtlijnen met betrekking tot het bepalen van de risico's die het gebruik van gemeentelijk informatie in kantoorapplicaties met zich meebrengen en richtlijnen voor de bepaling van de beveiliging van deze informatie binnen deze kantoorapplicaties.
• 10.9.1.1 Conform verplichting worden authentieke basisregistraties van de overheid gebruikt (b.v. GBA). (eenmalige vastlegging, meervoudig gebruik)
• 10.9.2.1 Een transactie wordt bevestigd (geautoriseeerd) door een (gekwalificeerde) elektronische handtekening of een andere wilsuiting (bijv. een TAN code) van de gebruiker.
• 10.9.2.2 Een transactie is versleuteld, de partijen zijn geauthenticeerd en de privacy van betrokken partijen is gewaarborgd.
• 10.9.3.1 Er zijn procedures die waarborgen dat gepubliceerde informatie is aangeleverd door daartoe geautoriseerde medewerkers.
• 11.1.1.1 Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang.
• 11.2.1.1 Gebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden.
• 11.2.1.2 Authenticatiegegevens worden bijgehouden in één bronbestand zodat consistentie is gegarandeerd.
• 11.2.1.3 Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.
• 11.2.2.1 Gebruikers hebben toegang tot speciale bevoegdheden voorzover dat voor de uitoefening van hun taak noodzakelijk is (need to know, need to use).
• 11.2.2.2 Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers.
• 11.2.2.3 Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en commando’s.
• 11.2.2.4 Er is aandacht voor het wijzigen van bevoegdheden bij verandering van functie / afdeling.
• 11.2.3.1 Wachtwoorden worden nooit in originele vorm (plaintext) opgeslagen of verstuurd, maar in plaats daarvan wordt bijvoorbeeld de hashwaarde van het wachtwoord gecombineerd met een salt opgeslagen.
• 11.2.3.2 Ten aanzien van wachtwoorden geldt
• 11.2.4.1 Toegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, geëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald op basis van het risiconiveau.
• 11.3.1.1 Aan de gebruikers is een set gedragsregels aangereikt met daarin minimaal het volgende
• 11.3.2.1 De gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook : 11.5.5)
• 11.3.3.1 Indien een patch beschikbaar is, dienen de risico's verbonden met de installatie van de patch te worden geëvalueerd (de risico's verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch).
• 11.3.3.2 Bij afdrukken van gevoelige informatie wordt, wanneer mogelijk, gebruik gemaakt van de functie “beveiligd afdrukken” (pincode verificatie).
• 11.3.3.3 Schermbeveiligingsprogrammatuur (een screensaver) maakt na een periode van inactiviteit van maximaal 15 minuten alle informatie op het beeldscherm onleesbaar en ontoegankelijk.
• 11.3.3.4 Toegangsbeveiliging lock wordt automatisch geactiveerd bij het verwijderen van een token (indien aanwezig).
• 11.4.1.1 Er is een gedocumenteerd beleid met betrekking tot het gebruik van netwerken en netwerkdiensten. Gebruikers krijgen slechts toegang tot de netwerkdiensten die voor het werk noodzakelijk zijn. Zie ook 11.2.2.3.
• 11.4.2.1 Zie ook 11.6.1.3.
• 11.4.3.1 Alleen geïdentificeerde en geauthentiseerde apparatuur kan worden aangesloten op een vertrouwde zone. Eigen, geauthentiseerde, apparatuur (Bring Your Own Device) wordt alleen aangesloten op een onvertrouwde zone.
• 11.4.4.1 Poorten, diensten en soortgelijke voorzieningen op een netwerk of computer die niet vereist zijn voor de dienst dienen te worden afgesloten.