De BIG en de Omgevingswet
Hoofdstuk: Bijlage C: Basisnormen
- Managementsamenvatting
- Inleiding
- Architectuur
- Bestuurlijke aspecten
- Bevoegde gezagen
- Relevante normen: Organisatie
- Relevante normen: IB Processen
- Relevante normen: Techniek
- Bijlage A: Begrippen
- Bijlage B: Architectuurplaat
- Bijlage C: Basisnormen
Deze pagina is een onderdeel van De BIG en de Omgevingswet compleet: Hele document bekijken - Exporteren - Definitie
Vanuit de BIG zijn er een aantal normen waar aan voldaan moet worden om de inrichting van informatiebeveiliging binnen Nederlandse gemeenten ook op bestuurlijk vlak te borgen. Dit is essentieel voor een gemeente om informatiebeveiliging op een volwassen niveau te krijgen en te houden.
Deze bijlage bevat een overzicht van normen waaraan voldaan moet worden vanuit het blikveld van de Omgevingswet. De meeste gemeenten voldoen al aan deze normen, echter is gebleken dat dit nog niet door alle gemeenten ingericht is. Dit is de basis die een gemeente op orde moet hebben voor de inrichting van informatiebeveiliging.
Om er zeker van te zijn dat deze normen niet over het hoofd gezien worden in het licht van de Omgevingswet zijn deze normen expliciet in deze bijlage opgenomen.
Organisatie
De onderstaande basisnormen zijn relevant voor de implementatie van de Omgevingswet. Omdat de meeste organisaties deze al hebben ingericht werken we deze voor de Omgevingswet niet verder uit.
06.1.3 Verantwoordelijkheden
Alle verantwoordelijkheden voor informatiebeveiliging moeten duidelijk zijn gedefinieerd.
- (A) Elke lijnmanager is verantwoordelijk voor de integrale beveiliging van zijn of haar organisatieonderdeel.
07.2.1 Richtlijnen voor classificatie van informatie
Er moeten geschikte, samenhangende procedures worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd.
- (A) De organisatie heeft rubriceringrichtlijnen opgesteld.
- In overeenstemming met hetgeen in het WBP is vastgesteld, dient er een helder onderscheid te zijn in de herleidbare (klasse II/III) en de niet herleidbare (klasse 0 en I) gegevens.
09.1.4 Bescherming tegen bedreigingen van buitenaf
Er moet fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten worden ontworpen en toegepast.
- Bij maatregelen is rekening gehouden met specifieke bedreigingen van aangrenzende panden of terreinen.
- Reserve apparatuur en backups zijn op een zodanige afstand ondergebracht dat één en dezelfde calamiteit er niet voor kan zorgen dat zowel de hoofdlocatie als de backup/reserve locatie niet meer toegankelijk zijn.
- (A) Beveiligde ruimten waarin zich bedrijfskritische apparatuur bevindt zijn voldoende beveiligd tegen wateroverlast.
- (A) Bij het betrekken van nieuwe gebouwen wordt een locatie gekozen waarbij rekening wordt gehouden met de kans op en de gevolgen van natuurrampen en door mensen veroorzaakte rampen.
- Gevaarlijke of brandbare materialen zijn op een zodanige afstand van een beveiligde ruimte opgeslagen dat een calamiteit met deze materialen geen invloed heeft op de beveiligde ruimte.
- (A) Er is door de brandweer goedgekeurde en voor de situatie geschikte brandblusapparatuur geplaatst en aangesloten. Dit wordt jaarlijks gecontroleerd.
10.2.1 Dienstverlening
Als gebruik van ‘mobile code’ is toegelaten, moet de configuratie bewerkstelligen dat de geautoriseerde ‘mobile code’ functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, en moet worden voorkomen dat onbevoegde ‘mobile code’ wordt uitgevoerd.
- De uitbestedende partij blijft verantwoordelijk voor de betrouwbaarheid van uitbestede diensten.
- Uitbesteding is goedgekeurd door de voor het informatiesysteem verantwoordelijke lijnmanager.
11.5.2 Gebruikersidentificatie en –authenticatie
Elke gebruiker moet over een unieke identificatiecode beschikken (gebruikers-ID) voor persoonlijk gebruik, en er moet een geschikte authenticatietechniek worden gekozen om de geclaimde identiteit van de gebruiker te verifiëren.
- Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruiker recht heeft op het authenticatiemiddel.
- Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden.
- (A) Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user zoals administrator of root) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn, wordt weer teruggeschakeld naar het niveau van een gewone gebruiker (een unprivileged user).
14.1.1 Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer
Er moet een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie worden ontwikkeld en bijgehouden, voor de naleving van eisen voor informatiebeveiliging die nodig zijn voor de continuïteit van de bedrijfsvoering.
- (A) Calamiteitenplannen worden gebruikt in de jaarlijkse bewustwording-, training- en testactiviteiten.
14.1.2 Bedrijfscontinuïteit en risicobeoordeling
Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, moeten worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor informatiebeveiliging.
- Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces. Aan de hand van een risicoanalyse zijn de waarschijnlijkheid en de gevolgen van de discontinuïteit in kaart gebracht in termen van tijd, schade en herstelperiode.
14.1.3 Continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging
Er moeten plannen worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen.
- In de continuïteitsplannen wordt minimaal aandacht besteed aan:
- Identificatie van essentiële procedures voor bedrijfscontinuïteit.
- Wie het plan mag activeren en wanneer, maar ook wanneer er weer gecontroleerd teruggaan wordt.
- Veilig te stellen informatie (aanvaardbaarheid van verlies van informatie).
- Prioriteiten en volgorde van herstel en reconstructie.
- Documentatie van systemen en processen.
- Kennis en kundigheid van personeel om de processen weer op te starten.
Processen
De onderstaande basisnormen zijn relevant voor de implementatie van de Omgevingswet. Omdat de meeste organisaties deze al hebben ingericht werken we deze voor de Omgevingswet niet verder uit.
12.5.1 Procedures voor wijzigingsbeheer
De implementatie van wijzigingen moet worden beheerst door middel van formele procedures voor wijzigingsbeheer.
- Er is aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL.
Techniek
De onderstaande basisnormen zijn relevant voor de implementatie van de Omgevingswet. Omdat de meeste organisaties deze al hebben ingericht werken we deze voor de Omgevingswet niet verder uit.
09.2.1 Plaatsing en bescherming van apparatuur
Apparatuur moet zo worden geplaatst en beschermd dat risico's van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang wordt verminderd.
- Apparatuur wordt opgesteld en aangesloten conform de voorschriften van de leverancier. Dit geldt minimaal voor temperatuur en luchtvochtigheid, aarding, spanningsstabiliteit en overspanningsbeveiliging.
- Standaard accounts in apparatuur worden gewijzigd en de bijbehorende standaard leveranciers wachtwoorden worden gewijzigd bij ingebruikname van apparatuur.
- Gebouwen zijn beveiligd tegen blikseminslag.
- Eten en drinken is verboden in computerruimtes.
- Een informatiesysteem voldoet altijd aan de hoogste beveiligingseisen die voor kunnen komen bij het verwerken van informatie. Indien dit niet mogelijk is wordt een gescheiden systeem gebruikt voor de informatieverwerking waaraan hogere eisen gesteld worden.
09.2.6 Veilig verwijderen of hergebruiken van apparatuur
Alle apparatuur die opslagmedia bevat, moet worden gecontroleerd om te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur zijn verwijderd of veilig zijn overschreven voordat de apparatuur wordt verwijderd.
- (A) Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd. De beheerorganisatie zorgt voor een verantwoorde afvoer zodat er geen data op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
- (A) Hergebruik van apparatuur buiten de organisatie is slechts toegestaan indien de informatie is verwijderd met een voldoende veilige methode. Een veilige methode is Secure Erase voor apparaten die dit ondersteunen. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt.
10.1.4 Scheiding van faciliteiten voor ontwikkeling, testen en productie
Faciliteiten voor ontwikkeling, testen en productie moeten zijn gescheiden om het risico van onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen.
- Er zijn minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en Productie (OTAP). De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.
- Gebruikers hebben gescheiden gebruiksprofielen voor Ontwikkeling, Test en/of Acceptatie en Productiesystemen om het risico van fouten te verminderen. Het moet duidelijk zichtbaar zijn in welk systeem gewerkt wordt.
- (A) Indien er een experimenteer of laboratorium omgeving is, is deze fysiek gescheiden van de productieomgeving.
10.4.1 Maatregelen tegen virussen
Media moeten op een veilige en beveiligde manier worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures.
- (A) Bij het openen van bestanden worden deze geautomatiseerd gecontroleerd op virussen, trojans en andere malware. De update voor de detectiedefinities vindt frequent, minimaal één keer per dag, automatisch plaats.
- (A) Inkomende en uitgaande e-mails worden gecontroleerd op virussen, trojans en andere malware. De update voor de detectiedefinities vindt frequent, minimaal één keer per dag, (automatisch) plaats.
- In verschillende schakels van een keten binnen de infrastructuur van een organisatie wordt bij voorkeur antivirusprogrammatuur van verschillende leveranciers toegepast.
- (A) Er zijn maatregelen om verspreiding van virussen tegen te gaan en daarmee schade te beperken (bijv. quarantaine en compartimentering).
- Er zijn continuïteitsplannen voor herstel na aanvallen met virussen waarin minimaal maatregelen voor back-ups en herstel van gegevens en programmatuur zijn beschreven.
- Op mobile devices wordt antivirus software toegepast, waarbij bij BYOD de eindgebruiker verplicht is deze zelf toe te passen.
10.9.3 Openbaar beschikbare informatie
De klokken van alle relevante informatiesystemen binnen een organisatie of beveiligingsdomein moeten worden gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron.
- Er zijn procedures die waarborgen dat gepubliceerde informatie is aangeleverd door daartoe geautoriseerde medewerkers.
11.2.3 Beheer van gebruikerswachtwoorden
De toewijzing van wachtwoorden moet worden beheerst aan de hand van een formeel proces.
- Wachtwoorden worden nooit in originele vorm (plaintext) opgeslagen of verstuurd, maar in plaats daarvan wordt bijvoorbeeld de hashwaarde van het wachtwoord gecombineerd met een salt opgeslagen.
- Ten aanzien van wachtwoorden geldt:
- Wachtwoorden worden op een veilige manier uitgegeven (controle identiteit van de gebruiker).
- Tijdelijke wachtwoorden of wachtwoorden die standaard in software of hardware worden meegegeven worden bij eerste gebruik vervangen door een persoonlijk wachtwoord.
- Gebruikers bevestigen de ontvangst van een wachtwoord.
- Wachtwoorden zijn alleen bij de gebruiker bekend.
- Wachtwoorden bestaan uit minimaal 8 karakters, waarvan tenminste 1 hoofdletter, 1 cijfer en 1 vreemd teken.
- Wachtwoorden zijn maximaal 60 dagen geldig en mogen niet binnen 6 keer herhaald worden.
11.5.1 Beveiligde inlogprocedures
Toegang tot besturingssystemen moet worden beheerst met een beveiligde inlogprocedure.
- (A) Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie.
- Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Er wordt geen informatie getoond die herleidbaar is tot de authenticatiegegevens.
- Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden.
- Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit en/of misbruik van het systeem.
- (A) Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord gegeven is, wordt het account minimaal 10 minuten geblokkeerd. Indien er geen lockout periode ingesteld kan worden, dan wordt het account geblokkeerd totdat de gebruiker verzoekt deze lockout op te heffen of het wachtwoord te resetten.
11.6.1 Beperken van toegang tot informatie
Toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel moet worden beperkt overeenkomstig het vastgestelde toegangsbeleid.
- In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden.
- (A) Managementsoftware heeft de mogelijkheid gebruikerssessies af te sluiten.
- (A) Bij extern gebruik vanuit een onvertrouwde omgeving vindt sterke authenticatie (two-factor) van gebruikers plaats.
- (A) Een beheerder gebruikt two-factor authenticatie voor het beheer van kritische apparaten. B.v. een sleutel tot beveiligde ruimte en een password of een token en een password.