Factsheet informatiebeveiliging

Uit NORA Online
Ga naar: navigatie, zoeken


NB: Deze pagina maakt deel uit van de Historie van de NORANederlandse Overheid Referentie Architectuur en kan verouderde informatie bevatten!
Let op: deze informatie is vervangen door de pagina Beveiliging

Wat is informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.?

De bestuurs- en bedrijfsprocessen van de overheid zijn vrijwel onmogelijk te realiseren zonder het toepassen van geautomatiseerde gegevensverwerking. Informatiebeveiliging garandeert deze gegevensverwerking betrouwbaar is (in termen van beschikbaarheid, integriteit en vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen) door een proces in te richten dat bstaat uit het maken, onderhouden en controleren van een samenhangend stelsel van maatregelen.

Voor de overheid gelden daarbij de volgende standaarden voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.:

  • ISO-NEN 27001 (MSIB, Managementsystemen voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.) en
  • ISO-NEN 257002 (onderdeel van de Code voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.).

Deze standaarden zijn op de meeste terreinen concreet genoeg. Voor geautomatiseerde beveiligingsfuncties hebben zij echter een beperkte betekenis. Daarom biedt NORANederlandse Overheid Referentie Architectuur, naast principes, een paar best practices die kunnen helpen bij de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. van geautomatiseerde gegevensverwerking:

Het belang van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Voor de overheid is informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. een belangrijke randvoorwaarde in het streven naar een betere en, vooral, betrouwbare dienstverlening. Uitval van computersystemen, het in verkeerde handen komen van gegevensbestanden of misbruik van vertrouwelijke gegevens, kunnen ernstige gevolgen hebben voor overheidsorganisaties, bedrijven en burgers. Denk hierbij aan bijvoorbeeld imagoschade en zelfs politieke consequenties.

Informatiebeveiliging in relatie tot interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving

Binnen veel grote overheidsorganisaties heeft informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. een bepaalde volwassenheid bereikt. Organisaties zijn zich bewust van de risico's, er is beleid en verantwoordelijkheden zijn belegd.

Er is echter méér nodig. Het streven naar intensiever samenwerken en het uitwisselen van informatie betekent dat overheidsorganisaties hun informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. niet (langer) 'op eigen houtje' kunnen inrichten. Zij moeten rekening houden met de eisen die samenwerking aan informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. stelt.

Een goede samenwerking is alleen mogelijk als organisaties hun informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. op elkaar afstemmen en elkaar daarin ook vertrouwen. Samenwerking maakt organisaties immers afhankelijk van elkaars dienstverlening. Zijn onze vertrouwelijke gegevens bij de ander wel in veilige handen? Beschikt hun systeem wel over voldoende capaciteit? Is het ook op het gewenste tijdstip beschikbaar? Organisaties maken daarom afspraken met elkaar over informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..

Afstemming bereiken over informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. is vaak makkelijker gezegd dan gedaan. Beveiligingsmaatregelen van organisaties wijken vaak zo van elkaar af dat er barri�res voor informatie-uitwisseling ontstaan. Door gebrek aan standaardisatie is het elkaar bieden van inzicht een moeizaam proces zeker als organisaties dit soort afstemmingsprocessen voor meerdere diensten moeten doorlopen en hierover in meerdere ketens afspraken moeten maken.

NORANederlandse Overheid Referentie Architectuur biedt daarom een aantal principes en best practices die hierbij richting geven en hulp bieden. Organisaties kunnen een vertaalslag maken naar een baseline voor de eigen organisatie. Deze baseline is het binnen de organisatie geldende normenstelsel, waaruit per informatiesysteemEen samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. passende maatregelen zijn af te leiden. De baseline vormt de grondslag voor een effectieve verantwoording over de beveiliging aan andere overheidsorganisaties en maakt een eenduidige, onafhankelijke toetsing mogelijk. Hierdoor ontstaat een grotere transparantieInzicht in de werkwijze die de overheid hanteert., die bijdraagt aan het beoogde onderlinge vertrouwen.

Implementatie

NORANederlandse Overheid Referentie Architectuur 3.0 en de best practices geven invulling aan het 'basisniveau voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.' dat overeenkomt met risicoklasse II, verhoogd risico, van de Wet Bescherming Persoonsgegevens (WBP). Overheidsorganisaties zullen in alle gevallen op de koppelvlakken met de e-overheidsbouwstenen voor netwerkvoorzieningen (Digikoppeling, Koppelnet Publieke Sector) aan het basisbeveiligingsniveau moeten voldoen.

Voor informatie-uitwisseling op een hoger beveiligingsniveau kunnen organisaties doorgaans gebruik maken van de generieke voorzieningen op het basisbeveiligingsniveau. Aanvullende maatregelen moeten dan worden genomen op het niveau van de processen, de bijbehorende ICT-toepassingen, en in personele en fysieke beveiliging. Organisaties die gegevens uit hogere risicoklassen willen uitwisselen, zullen bijvoorbeeld onderling aanvullende afspraken maken over het gebruik van gescheiden logische verbindingen. Dit niveau komt in de aansluitvoorwaarden tot uitdrukking (zie figuur).

figuur netwerk van partners en bouwstenen waar tussen twee partijen aanvullende IB-afspraken gemaakt zijn

Op basis van de ontwikkelde baseline kan een organisatie voor ieder informatiesysteemEen samenhangend geheel van gegevensverzamelingen en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie. maatregelen treffen. Per systeem is vast te stellen of er ten opzichte van de uitgangspunten van de baseline sprake is van afwijkende situaties, waardoor een aanvullende risicoanalyse nodig is. Afwijkende situaties kunnen bijvoorbeeld betrekking hebben op hogere beschikbaarheidseisen, toepassing van nieuwe technologie, specifieke eisen van derden.. De organisatie kan voor iedere bedreiging bepalen wat de kans van een daadwerkelijk optreden is, en wat in zo'n geval de schade is. Daarna kunnen de kosten van te treffen maatregelen worden afgewogen tegen de opbrengsten van de hiermee te vermijden schade. Op basis van deze analyse zijn extra maatregelen, buiten de baseline om, te treffen.

In de praktijk kunnen risico's vanwege technische redenen of kosten vaak niet geheel worden afgedekt. In dat geval moet het management de overgebleven risico's expliciet accepteren.