De BIG en de Omgevingswet

Hoofdstuk: Relevante normen: IB Processen

De BIG en de Omgevingswet
  1. Managementsamenvatting
  2. Inleiding
  3. Architectuur
  4. Bestuurlijke aspecten
  5. Bevoegde gezagen
  6. Relevante normen: Organisatie
  7. Relevante normen: IB Processen
  8. Relevante normen: Techniek
  9. Bijlage A: Begrippen
  10. Bijlage B: Architectuurplaat
  11. Bijlage C: Basisnormen
Deze pagina is een onderdeel van De BIG en de Omgevingswet compleet: Hele document bekijken - Exporteren - Definitie

Informatiebeveiliging is niet statisch. Het is een dynamisch geheel van processen en maatregelen in een continu veranderende omgeving. Om deze veranderingen, hoe groot of klein dan ook, gecontroleerd veilig te faciliteren zijn er een aantal processen nodig. Dit hoofdstuk beschrijft welke processen, relevant voor de Omgevingswet, zeker ingericht moeten zijn/worden.

Nota bene: In dit hoofdstuk bedoelen we de processen die noodzakelijk zijn om het informatiebeveiligingsaspect correct te adresseren. Dit zijn niet de processen die beschreven zijn in de architectuur tbv van de uitvoering van de Omgevingswet.

Relevante normen vanuit de BIG

De normen vanuit de BIG, gericht op de relevante processen hebben op zich een vrij algemeen karakter. Echter zijn een aantal van deze normen van wezenlijk belang specifiek voor de Omgevingswet. Men dient er wel rekening mee te houden dat deze processen wellicht al voor andere informatiesystemen zijn ingericht. Probeer hier zoveel mogelijk bij aan te sluiten en maak gebruik van de reeds bestaande workflows. Dit bespaard veel onnodige inspanning en het resultaat is een integraal geheel.

Naast de normen in dit hoofdstuk zijn er nog additionele normen vanuit de BIG waaraan voldaan moet worden. Echter zijn deze normen van een dusdanig basisniveau dat deze verder geen uitleg behoeven. Voor de volledigheid zijn deze normen opgenomen in Bijlage C.

BIG Norm 12.4.1

Beheersing van operationele programmatuur

Er moeten procedures zijn vastgesteld om de installatie van programmatuur op productiesystemen te beheersen.

  1. Alleen geautoriseerd personeel kan functies en software installeren of activeren.
  2. Programmatuur behoort pas te worden geïnstalleerd op een productieomgeving na een succesvolle test en acceptatie.
  3. Geïnstalleerde programmatuur, configuraties en documentatie worden bijgehouden in een configuratiedatabase.
  4. Er worden alleen door de leverancier onderhouden (versies van) software gebruikt.
  5. Van updates wordt een log bijgehouden.
  6. Er is een rollbackstrategie.


Relevantie:
Beschikbaarheid en betrouwbaarheid van de systemen is van groot belang in een samengesteld systeem als het Digitaal Stelsel voor de Omgevingswet. Het (versie)beheer van de operationele software is daarbij onmisbaar.

Impact:
Er dienen processen ingericht te worden om (versie)beheer van de operationele software en applicaties uit te kunnen voeren. Dit heeft tevens op technisch gebied tot gevolg dat er naast de productieomgeving ook test en acceptatie omgevingen beschikbaar moeten zijn.

Oplossingsrichting:
Om goed (versie)beheer te kunnen uitvoeren is een accurate administratie belangrijk. Op basis van deze administratie zijn aanpassingen en updates (changes) te volgen en te plannen. Dit is een combinatie van Configuration Management en Change Management. Indien deze processen al bestaan binnen de organisatie, gebruik deze dan om het (versie)beheer van de software en applicaties voor de Omgevingswet in te richten. Indien dit nog niet beschikbaar is, richt deze processen dan in voor de Omgevingswet.

Het verdient de aanbeveling om Configuration Management en Change Managent organisatie breed in te richten en niet enkel voor één onderdeel.

Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-norm (maatregel) 12.1.4.2 en de volgende maatregelen zijn komen te vervallen 12.4.1.[1,3,4,5 en 6].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 12.6.1

Beheersing van technische kwetsbaarheden

Er moet tijdig informatie worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden moet worden geëvalueerd en er moeten geschikte maatregelen worden genomen voor behandeling van daarmee samenhangende risico's.

  1. Er is een proces ingericht voor het beheer van technische kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.
  2. Van softwarematige voorzieningen van de technische infrastructuur kan (bij voorkeur geautomatiseerd) gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd. Het doorvoeren van een update vindt niet geautomatiseerd plaats, tenzij hier speciale afspraken over zijn met de leverancier.
  3. Indien een patch beschikbaar is, dienen de risico's verbonden met de installatie van de patch te worden geëvalueerd (de risico's verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch).
  4. (A) Updates/patches voor kwetsbaarheden waarvan de kans op misbruik hoog is en waarvan de schade hoog is worden zo spoedig mogelijk doorgevoerd, echter minimaal binnen één week. Minder kritische beveiligings-updates/patches moeten worden ingepland bij de eerst volgende onderhoudsronde.
  5. Indien nog geen patch beschikbaar is dient gehandeld te worden volgens het advies van de IBD of een andere CERT zoals bijvoorbeeld het NCSC.


Relevantie:
Beschikbaarheid en betrouwbaarheid van de systemen is van groot belang in een samengesteld systeem als het Digitaal Stelsel voor de Omgevingswet. Het beheer van kwetsbaarheden in de gebruikte software is daarbij onmisbaar.

Impact:
Er dienen processen ingericht te worden om kwetsbaarheden in de software adequaat te mitigeren.

Oplossingsrichting:
Ook hier is, net als in norm 12.4.1 een accurate administratie belangrijk (Configuration Management). Op basis van deze administratie zijn kwetsbaarheden op te sporen. Gegevens uit de Configuration database kunnen vergeleken worden met kwetsbaarheidsmeldingen. Het IBD CERT verspreid deze kwetsbaarheidsmeldingen op frequente basis en zijn voor dit proces bruikbaar.

Het mitigeren van deze kwetsbaarheden is analoog aan de updates van software. Via het Change Management proces kunnen patches geïnstalleerd worden op de betreffende systemen. Indien deze processen al bestaan binnen de organisatie, gebruik deze dan om het beheersen van kwetsbaarheden in de software in te richten. Indien dit nog niet beschikbaar is, richt deze processen dan in voor de Omgevingswet.


Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-normen (maatregel) 12.6.1.1 en de volgende maatregelen zijn komen te vervallen 12.6.1.[1,2,3 en 5].
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 10.8.1

Beleid en procedures voor informatie-uitwisseling

Informatie die een rol speelt bij online transacties moet worden beschermd om onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen.

  1. (A) Het meenemen van Departementaal Vertrouwelijke of vergelijkbaar geclassificeerde informatie, of hogere, buiten de gemeente vindt uitsluitend plaats indien dit voor de uitoefening van de functie noodzakelijk is.
  2. Medewerkers zijn geïnstrueerd om zodanig om te gaan met (telefoon)gesprekken, e-mail, faxen ingesproken berichten op antwoordapparaten en het gebruik van de diverse digitale berichtendiensten dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt.
  3. Medewerkers zijn geïnstrueerd om zodanig om te gaan met mobiele apparatuur en verwijderbare media dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt. Hierbij wordt ten minste aandacht besteed aan het risico van adreslijsten en opgeslagen boodschappen in mobiele telefoons.
  4. Medewerkers zijn geïnstrueerd om geen vertrouwelijke documenten bij de printer te laten liggen.
  5. Er zijn maatregelen getroffen om het automatisch doorsturen van interne e-mail berichten naar externe e-mail adressen te voorkomen.


Relevantie:
Het is voor de Omgevingswet van belang dat de vertrouwelijke informatie enkel door geautoriseerde personen wordt ingezien en verwerkt.

Impact:
Alle medewerkers dienen bewust gemaakt te worden van de waarde van de informatie waar zij mee om gaan. Dit vergt veranderingen in de mindset en het gedrag van de medewerkers en dat kost veel tijd en energie. De opbrengst is echter zeer groot.

Oplossingsrichting:
Creëer bewustzijn bij alle medewerkers die de taken gerelateerd aan de omgevingswet uit voeren. Maak de medewerkers bewust van de waarde en vertrouwelijkheid van de informatie waar men mee werkt. Men kan dit doen door het geven van trainingen en bewustwordingscampagnes.

De kracht van herhaling. Ervaringen uit het verleden hebben uitgewezen dat het bewustzijn van medewerkers afneemt naarmate de tijd verstrijkt. Het is daarom belangrijk om op reguliere basis aandacht te besteden aan de bewustwording van de medewerkers in relatie tot informatiebeveiliging.

Het kan voorkomen dat er al bewustwordingsprogramma’s actief zijn binnen de organisatie. Het is verstandig om daarbij aan te haken voor een zo groot mogelijk bereik binnen de organisatie.

Impact BIO:
Deze norm is in de BIO vervangen door de BIO-norm 13.2.1, maar deze BIO-norm bevat geen maatregelen.
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 11.2.4

Beoordeling van toegangsrechten van gebruikers

De directie moet de toegangsrechten van gebruikers regelmatig beoordelen in een formeel proces.

  1. Toegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, geëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald op basis van het risiconiveau.


Relevantie:
Dit is een controlemaatregel op de hierboven beschreven norm 11.2.1. Het is van belang dat de toegangsrechten actueel blijven om ongeautoriseerde toegang of verwerking van gegevens te voorkomen.

Impact:
Er dient een proces ingericht te worden waarin het management alle gebruikers en hun toegangsrechten evalueren en afwijkingen worden gecorrigeerd.

Oplossingsrichting:
Wederom is hier de relatie met de in-dienst en uit-dienst procedures een waardevolle connectie. In dergelijke registraties vinden ook mutaties in rollen en functies plaats. Het veranderen van functie heeft vaak een aanpassing van toegangsrechten tot gevolg. Daarmee is dit ook de beste plek in de organisatie om dit proces te implementeren.

Impact BIO:
Deze norm is in de BIO vervangen door de BIO-norm (maatregel) 9.2.5.1.
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 7.2.2

Labeling en verwerking van informatie

De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging moeten worden vastgesteld en gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie.

  1. (A) De lijnmanager heeft maatregelen getroffen om te voorkomen dat niet-geautoriseerden kennis kunnen nemen van gerubriceerde informatie.
  2. (A) De opsteller van de informatie doet een voorstel tot rubricering en brengt deze aan op de informatie. De vaststeller van de inhoud van de informatie stelt tevens de rubricering vast.


Relevantie:
Binnen de Omgevingswet worden verschillende soorten gegevens gebruikt, voor verschillende processen en doelen. Het is hierbij van belang dat slechts de juiste personen toegang krijgen tot deze informatie. Zeker waar het gaat om bijzondere persoonsgegevens of andere gevoelige gegevens die binnen onze maatschappij schade kunnen veroorzaken.

Impact:
De gegevens binnen de Omgevingswet dienen geclassificeerd te worden. Deze classificatie vormt de basis voor de in te richten maatregelen om de toegang tot deze informatie te reguleren.

Oplossingsrichting:
Het DSO speelt een belangrijke rol in deze classificatie. Uiteraard zijn de bevoegde gezagen zelf verantwoordelijk voor de eigen gegevens, maar in veel gevallen zullen deze gegevens via het DSO opgevraagd of op een andere wijze verwerkt worden. Dit betekent dat het DSO voorwaarden stelt voor de correcte aanlevering en verwerking van de gegevens.

Op het moment van schrijven zijn deze voorwaarden/normen nog niet helemaal uitgekristalliseerd. Op het moment dat dit wel het geval is kunnen de bevoegde gezagen hierbij aansluiten en zich conformeren naar deze voorwaarden/normen van het DSO.

Toch is het aan te raden zelf al een start te maken met de classificatie van de data. De Handreiking Dataclassificatie van de IBD is hierbij een waardevol hulpmiddel. Deze handreiking is hier te downloaden: https://www.ibdgemeenten.nl/wp-content/uploads/2016/08/20160803-Handreiking-dataclassificatie-1.6.1.pdf

Data classificatie is een continu proces en dient te landen binnen de organisatie. De classificatie die frequent geëvalueerd te worden. Een veranderende omgeving of wetgeving kan een drijfveer zijn om buiten de normale cyclus een extra evaluatie uit te voeren.

Impact BIO:
Deze norm is in de BIO vervangen door de BIO-norm 8.2.2, maar deze BIO-norm bevat geen maatregelen.
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.

BIG Norm 11.2.1

Registratie van gebruikers

Er moeten formele procedures voor het registreren en afmelden van gebruikers worden vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle informatiesystemen en -diensten.

  1. Gebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden.
  2. (A) Authenticatiegegevens worden bijgehouden in één bronbestand zodat consistentie is gegarandeerd.
  3. (A) Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.


Relevantie:
Alle gebruikers binnen de processen van de Omgevingswet dienen op persoonsniveau geïdentificeerd te zijn en krijgen daarbij passende toegangsrechten toegewezen.

Impact:
Er dient een proces ingericht te worden waarin alle gebruikers worden geregistreerd en de toegangsrechten worden beheerd.

Oplossingsrichting:
In de meeste gemeenten zijn al in-dienst en uit-dienst procedures geïmplementeerd. Dit is de basis voor het registreren van medewerkers en is daarmee een uitgelezen plek in de organisatie om het registreren, beheren en afmelden van gebruikers en hun toegangsrechten te beleggen.

Het is daarbij van belang dat deze registratie op één plek gebeurd om de consistentie van het gebruikersbestand te kunnen waarborgen.

Impact BIO:
Deze norm is in de BIO gedeeltelijk vervangen door de BIO-norm 9.2.2 en de volgende maatregel is komen te vervallen 11.2.1.2.
Op het moment dat de BIO officieel is gepubliceerd wordt deze norm in zijn geheel aan de BIO aangepast.


Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

Een systeem waarbinnen organisaties via afspraken, standaarden en/of voorzieningen samenwerken om bepaalde functionaliteit te realiseren.

Betekenisvolle gegevens.

Het geheel van voorzieningen dat nodig is om een land of organisatie, zoals een bedrijf of een instelling, goed te laten functioneren.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. (Synoniem van: Data )

Betekenisvolle gegevens.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de dienstafnemer(s)).

Systematische en meestal in een informatiesysteem opgeslagen beschrijvingen van instanties van concepten.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=BIGOw_Relevante_normen_-_IB_Processen&oldid=953675"
Deze pagina is het laatst bewerkt op 5 okt 2023 om 02:43.