Eigenschap:BIG2GEMMA oplossingsrichting

Het inrichten van audit-logging is mogelijk, specifiek voor de informatie systemen van de Omgevingswet. Het is echter verstandiger om dit centraal in te richten voor alle aanwezige informatiesystemen. Daarmee zijn namelijk de systemen met gedeelde gemeentelijke functionaliteiten ook direct meegenomen. De ervaring is dat het centraal inrichten van een dergelijke logging faciliteit uiteindelijk ook goedkoper is. Om de verzamelde logging nog beter te kunnen gebruiken en op voorhand al afwijkend gedrag te kunnen signaleren is het mogelijk om gebruik te maken van SIEM tooling. Dit is echter complexer en kost meer inspanning. Het is met SIEM tooling mogelijk om afwijkend gedrag near-real-time te detecteren en direct actie te ondernemen. Dit kan verdere schade beperken, wat een besparing van geld en resources oplevert. Dit maakt de extra complexiteit en inspanning in de meeste gevallen ruimschoots goed. Zie hiervoor ook de IBD factsheet SIEM/SOC: https://www.ibdgemeenten.nl/wp-content/uploads/2017/04/201704-Factsheet-SIEM-SOC-v1.00.pdf  +

Het aanvaardbaar gebruik van bedrijfsmiddelen is, anders gezegd, het handelen van mensen. Dit handelen kan gevolgen hebben voor zowel de betrouwbaarheid en vertrouwelijkheid van de informatie, als het functioneren van de technische systemen (b.v. overbelasting van systemen door een te grote zoekactie op een database). De gebruikers van de informatievoorzieningen moeten op de hoogte zijn welk handelen op beide gebieden aanvaardbaar is en wat niet. Hiervoor dient men regels op te stellen, waarvan de gebruikers kennis dienen te nemen. Gebruikers dienen zich volgens deze regels te gedragen. Op technisch gebied is het mogelijk om maatregelen te implementeren om foutief handelen te voorkomen. Hier kan bij het opstellen van de regels rekening mee gehouden worden. Indien iets technisch onmogelijk gemaakt is, is het onnodig om hier verdere regels voor de gebruikers voor op te stellen.  +

Ontwikkel een matrix waarin men de gebruikers/rollen/(systeem)accounts af zet tegen de verwerkte gegevens. In deze matrix kan men dan bepalen welke bevoegdheden men moet hebben tot de betreffende informatie. Bij de meeste organisaties is een dergelijke matrix al ingericht. Het is mogelijk om hier vanuit de Omgevingswet bij aan te sluiten. In het meest optimale geval bestaan er al rollen die men kan gebruiken binnen de Omgevingswet. Deze rollen dienen dan de juiste bevoegdheden te krijgen binnen de Omgevingswet.  +

Om goed (versie)beheer te kunnen uitvoeren is een accurate administratie belangrijk. Op basis van deze administratie zijn aanpassingen en updates (changes) te volgen en te plannen. Dit is een combinatie van Configuration Management en Change Management. Indien deze processen al bestaan binnen de organisatie, gebruik deze dan om het (versie)beheer van de software en applicaties voor de Omgevingswet in te richten. Indien dit nog niet beschikbaar is, richt deze processen dan in voor de Omgevingswet. Het verdient de aanbeveling om Configuration Management en Change Managent organisatie breed in te richten en niet enkel voor één onderdeel.  +

Ook hier is, net als in norm 12.4.1 een accurate administratie belangrijk (Configuration Management). Op basis van deze administratie zijn kwetsbaarheden op te sporen. Gegevens uit de Configuration database kunnen vergeleken worden met kwetsbaarheidsmeldingen. Het IBD CERT verspreid deze kwetsbaarheidsmeldingen op frequente basis en zijn voor dit proces bruikbaar. Het mitigeren van deze kwetsbaarheden is analoog aan de updates van software. Via het Change Management proces kunnen patches geïnstalleerd worden op de betreffende systemen. Indien deze processen al bestaan binnen de organisatie, gebruik deze dan om het beheersen van kwetsbaarheden in de software in te richten. Indien dit nog niet beschikbaar is, richt deze processen dan in voor de Omgevingswet.
  +

Creëer bewustzijn bij alle medewerkers die de taken gerelateerd aan de omgevingswet uit voeren. Maak de medewerkers bewust van de waarde en vertrouwelijkheid van de informatie waar men mee werkt. Men kan dit doen door het geven van trainingen en bewustwordingscampagnes. De kracht van herhaling. Ervaringen uit het verleden hebben uitgewezen dat het bewustzijn van medewerkers afneemt naarmate de tijd verstrijkt. Het is daarom belangrijk om op reguliere basis aandacht te besteden aan de bewustwording van de medewerkers in relatie tot informatiebeveiliging. Het kan voorkomen dat er al bewustwordingsprogramma’s actief zijn binnen de organisatie. Het is verstandig om daarbij aan te haken voor een zo groot mogelijk bereik binnen de organisatie.  +

Het gebruik van cryptografische middelen binnen de Omgevingswet vindt plaats op diverse gebieden. Denk hierbij aan koppelingen met andere partijen en de opslag van gevoelige gegevens, zoals persoonsgegevens. Het is van belang dat de juiste cryptografische middelen en standaarden gebruikt worden. Hiervoor heeft de overheid de zogenaamde “Pas toe of leg uit” (PTLU) lijst opgesteld. Deze lijst bevat open standaarden die geschikt zijn voor het gebruik binnen de Nederlandse overheid. Deze lijst bevat ook standaarden voor encryptie. Maak gebruik van deze lijst om de juiste cryptografische middelen te selecteren. Deze lijst is te vinden: https://www.forumstandaardisatie.nl/open-standaarden/lijst  +

Wederom is hier de relatie met de in-dienst en uit-dienst procedures een waardevolle connectie. In dergelijke registraties vinden ook mutaties in rollen en functies plaats. Het veranderen van functie heeft vaak een aanpassing van toegangsrechten tot gevolg. Daarmee is dit ook de beste plek in de organisatie om dit proces te implementeren.  +

Dit ligt in dezelfde lijn als de oplossingsrichting bij norm 10.10.1. Bij het ontwerpen van de logging oplossing, moet deze aan een aantal voorwaarden voldoen. Deze norm geeft daar concrete invulling aan en geeft richting aan de technische invulling van de logging oplossing.  +

Formuleer een duidelijke opdracht vanuit het College naar lijnmanagement. Op basis van reguliere overleggen kan men grip houden op de voortgang en indien nodig bijsturen op tijd, geld en andere middelen.  +

Indien er een contract gesloten wordt met een nieuwe leverancier is het van belang om de in bovenstaande norm beschreven risico’s en verplichtingen in het contract op te nemen. Op deze manier verplicht de leverancier zich voor het naleven van de voor gemeenten geldende wet- en regelgeving. Indien er een contact met een bestaande leverancier wordt uitgebreid is een controle op het huidige contract noodzakelijk. Gezien het feit dat deze leverancier al werkzaamheden verricht voor een gemeente zou deze zich al verplicht moeten hebben voor de conformatie aan de normen in de BIG. Toch blijkt dit niet altijd geborgd te zijn. Indien dit niet in het huidige contract is opgenomen, dient dit toegevoegd te worden.  +

Tijdens het inrichten van de dienstverlening zijn er eisen en wensen opgesteld voor het functioneren van de informatievoorzieningen. Zowel voor functionele eisen als voor non-functionele eisen is dit het geval. Om te borgen dat de dienstverlening op het juiste niveau is en blijft, is het zaak deze op reguliere basis te controleren. Het is aan te raden dit minimaal één keer per jaar te laten doen door een derde partij.  +

Dit ligt in dezelfde lijn als de oplossingsrichting bij norm 10.10.1. Bij het inrichten van de logging, moet er tijdens de configuraties van de systemen aangegeven worden welke gegevens precies gelogd moeten worden. Deze norm geeft daar de juiste invulling aan.  +

Beleg de rol van CISO in relatie tot de Omgevingswet en borg het kennisniveau binnen deze rol. De CISO beschouwd de informatievoorzieningen voor de Omgevingswet in relatie met de andere (reeds bestaande) informatievoorzieningen binnen de gemeente. De CISO adviseert en coördineert, rekening houdend met alle gerelateerde aspecten binnen zijn gemeente.  +

Op dit moment is het nog niet duidelijk op welke technische manier gemeenten met het DSO gekoppeld worden. Het is mogelijk dat er een centrale voorziening komt om dit te realiseren. Daarnaast zal ook het DSO wellicht aanvullende eisen stellen om aan te mogen sluiten. Ook dit is nog niet vastgelegd. Dit zal in de toekomst duidelijk worden. De IBD-handreiking Enryptiebeleid (PKI) en de operationele BIR-patroon 2.12 Public Key Infrastructure en kunnen in de toekomst helpen om de uitwisseling van berichten veilig te faciliteren. De IBD-handreiking is hier te downloaden: https://www.ibdgemeenten.nl/wp-content/uploads/2016/08/20160802-Encryptiebeleid-PKI-gemeente-1.0.1.pdf  +

Bepaal nauwkeurig welke informatie en informatievoorzieningen onder het beheer van de externe leverancier komen te vallen. Deze afbakening is het uitgangspunt voor de bepaling van de risico’s. De waarde en privacy-gevoeligheid van deze informatie is in het geval van de omgevingswet bekend. Breng deze risico’s in kaart, zodat er naar passende maatregelen gezocht kan worden. Indien de leverancier persoonsgegevens zal verwerken is het noodzakelijk een verwerkersovereenkomst op te stellen. Een standaard verwerkersovereenkomst is te downloaden op de site van de IBD (https://www.informatiebeveiligingsdienst.nl/nieuws/standaard-voor-verwerkersovereenkomst-vanaf-nu-te-gebruiken/). Meer informatie over verwerkersovereenkomsten is ook te vinden op de site van de IBD ( https://www.informatiebeveiligingsdienst.nl/product/factsheet-verwerkersovereenkomsten/).  +

Het DSO speelt een belangrijke rol in deze classificatie. Uiteraard zijn de bevoegde gezagen zelf verantwoordelijk voor de eigen gegevens, maar in veel gevallen zullen deze gegevens via het DSO opgevraagd of op een andere wijze verwerkt worden. Dit betekent dat het DSO voorwaarden stelt voor de correcte aanlevering en verwerking van de gegevens. Op het moment van schrijven zijn deze voorwaarden/normen nog niet helemaal uitgekristalliseerd. Op het moment dat dit wel het geval is kunnen de bevoegde gezagen hierbij aansluiten en zich conformeren naar deze voorwaarden/normen van het DSO. Toch is het aan te raden zelf al een start te maken met de classificatie van de data. De Handreiking Dataclassificatie van de IBD is hierbij een waardevol hulpmiddel. Deze handreiking is hier te downloaden: https://www.ibdgemeenten.nl/wp-content/uploads/2016/08/20160803-Handreiking-dataclassificatie-1.6.1.pdf Data classificatie is een continu proces en dient te landen binnen de organisatie. De classificatie die frequent geëvalueerd te worden. Een veranderende omgeving of wetgeving kan een drijfveer zijn om buiten de normale cyclus een extra evaluatie uit te voeren.  +

Voor de koppeling met GDI-bouwstenen en het DSO dient het netwerk en de externe koppeling beheerd en geconfigureerd te worden. De operationele patronen van de BIR kunnen hierbij hulp bieden. Met name patroon 2.1 Patroon generieke netwerkconfiguratie en patroon 2.2 Patroongroep koppelvlakken geven duidelijk aan welke maatregelen getroffen dienen te worden. De hierboven genoemde patronen zijn hier te vinden: https://www.earonline.nl/images/earpub/5/5c/BIR_Operationele_Handreiking_v1_0.pdf  +

In de meeste gemeenten zijn al in-dienst en uit-dienst procedures geïmplementeerd. Dit is de basis voor het registreren van medewerkers en is daarmee een uitgelezen plek in de organisatie om het registreren, beheren en afmelden van gebruikers en hun toegangsrechten te beleggen. Het is daarbij van belang dat deze registratie op één plek gebeurd om de consistentie van het gebruikersbestand te kunnen waarborgen.  +

Het inrichten van backup en recovery is een van de eerste maatregelen die genomen moeten worden om de beschikbaarheid van informatie te kunnen borgen. Door de verschillende eisen en mogelijkheden voor het tot stand brengen van een gedegen backup schema, blijkt dit toch vaak nog een complexe opdracht te zijn. Om tot een juiste inrichting te kunnen komen heeft de IBD ter ondersteuning een handreiking gepubliceerd. De handreiking van de IBD over Backup en Recovery kan helpen bij het inrichten hiervan: https://www.ibdgemeenten.nl/wp-content/uploads/2016/07/20160721-Back-up-en-recovery-gemeente-1.0.1.pdf  +