Sandbox:Beheersmaatregelen voor specifiek uitvoeringsbeleid

Dit beleid bevat specifieke conditionele aspecten die direct van toepassing zijn op de uitvoerende dienst, b.v. een applicatie. Deze aspecten kunnen worden afgeleid uit de elementen van de laag “algemeen beleid”. Dit beleid geeft beleidsuitgangspunten voor de inrichting van beveiliging overkoepelend aan de onderscheiden processen en producten. ,,

Identificatie van toepasselijke kaders[bewerken]

Beheersmaatregel[bewerken]

Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen zijn expliciet vastgesteld, actueel gehouden en in het beveiligingsnormenkader verwerkt voor zover er beveiligingsimplicaties zijn.

Beleid voor functiescheiding[bewerken]

Beheersmaatregel[bewerken]

Er is specifiek beleid vastgesteld voor een zodanige functiescheiding, dat niemand in de organisatie in staat wordt gesteld om een gehele procescyclus te beheersen.

Voorbeeld beleid functiescheiding[bewerken]

Het scheiden van functies als onvervangbare basismaatregel voor een betrouwbare informatievoorziening volgt in principe de arbeidsverdeling van de organisatie. In hoofdlijnen worden processen gescheiden uitgevoerd. In het normenkader voor het basis beveiligingsniveau zijn daartoe overal in de verschillende processen gedetailleerde uitgangspunten opgenomen. Globaal gelden de volgende functiescheidingen:

• Tussen bewarende, registrerende, beslissende, uitvoerende en controlerende taken;
• Tussen beleid en uitvoering;
• Tussen gebruikersorganisatie en facilitaire organisatie: huisvesting (i.v.m. fysieke beveiliging) en levering van ICT;
• Tussen ontwikkeling en productie in leveren ICT;
• Met betrekking tot processen en ICT tussen functioneel, technisch en operationeel beheer.

Elk dienstonderdeel heeft een eigen taak binnen de organisatie en voert deze zelfstandig uit. Functiescheiding tussen de organisatieonderdelen behoort tot de standaard arbeidsverdeling. Binnen elk onderdeel is er functiescheiding tussen het primair en ondersteunend proces. Ook hier volgen we de standaard arbeidsverdeling.

De functies beschikken, bewaren, registreren, uitvoeren en controleren moeten binnen elk proces gescheiden plaatsvinden. In termen van autorisaties betreft dit meestal de functies registreren en beschikken.

Functiescheiding wordt ondersteund door (procesgerichte) autorisatieprofielen. De profielen voor het primaire proces worden in hoofdgroepen ingedeeld en per hoofdgroep (Verkoop, Facturering, etc.) in functionele muteer- en raadpleegprofielen.

De proceseigenaar beslist conform het lokale beveiligingsbeleid uiteindelijk of een autorisatie door medewerkers van een ander proces kan worden gebruikt en stelt hieraan de noodzakelijke voorwaarden. Door dit vooraf al vast te stellen weet men bij voorbaat al welke speelruimte er is in situaties dat er vanuit een proces een verzoek om bijstand wordt gedaan.

In situaties dat een onderdeel van een proces elders uitgevoerd gaat worden spreken de (proces)eigenaren onderling af welke autorisaties over de processen heen ter beschikking worden gesteld.

Beleid voor vertrouwensfuncties[bewerken]

Beheersmaatregel[bewerken]

Er is vastgesteld welke functies in de organisatie worden aangemerkt als vertrouwensfuncties waarvoor antecedenten onderzoek plaatsvindt.

Voorbeeld van beleid voor vertrouwensfuncties[bewerken]

De Wet veiligheidsonderzoeken bepaalt dat functies die de mogelijkheid bieden de nationale veiligheid te schaden, door de verantwoordelijke minister worden aangewezen als vertrouwensfuncties.

Binnen de organisatie zijn vertrouwensfuncties aan te wijzen. Daarvoor wordt de Leidraad aanwijzen vertrouwensfuncties^[1] gebruikt. Een functie wordt aangewezen als vertrouwensfunctie indien sprake is van tenminste één van de volgende drie criteria:

• Functies waarin het structureel noodzakelijk is te werken met staatsgeheimen;
• Functies waarin door integriteitsaantastingen de nationale veiligheid in het geding kan zijn;
• Functies die van vitaal belang zijn voor de instandhouding van het maatschappelijk leven.

Toegangsbeleid[bewerken]

Beheersmaatregel[bewerken]

Er is toegangsbeleid vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang.

Voorbeeld van toegangsbeleid[bewerken]

Toegangsbeleid is essentieel voor de veiligheid van medewerkers en bezoekers en voor de beveiliging van gegevens en goederen. Het begrip toegang omvat niet alleen de toegang van medewerkers tot kantoren en systemen maar ook de manieren van toegang van burgers, ondernemers, intermediairs en ketenpartners tot informatie en processen van onze organisatie.

Maatregelen op dit vlak zijn zowel fysiek als logisch van aard en worden als één geheel beschouwd en benaderd. Het principe hierbij is vertrouwen voorop, niet alleen in de eigen medewerker maar ook in burgers en bedrijven, samenwerkingsverbanden en ketenpartners. Tenslotte sluiten we met toegangsbeleid zoveel mogelijk aan bij ontwikkelingen zoals de Rijkspas, rijkswerkplek, DigiD, eID en het rijksoverheidsbreed identity management

Beleid op fysieke toegang[bewerken]

Het fysieke toegangsbeleid is er op gericht om gebouwen en informatie te beschermen door ongeautoriseerde toegang te voorkomen. Het voorziet mogelijkheden voor het leveren van beveiligde ruimten, gecontroleerde omgevingen en beveiliging van bedrijfsmiddelen. Het draagt bij aan de veiligheid van groepen mensen en heeft verwantschap met de veiligheid van het individu. Eén en ander wordt beschouwd vanuit de samenhang tussen risicoprofielen, zonering, werkbaarheid en gedrag.

Medewerkers hebben in principe toegang tot alle gebouwen van de het concern. Gebouwen zijn ingericht volgens de condernbrede normen voor zonering. Er zijn specifieke zones waar alleen geautoriseerd personeel toegang heeft. Zonering vervangt compartimentering op basis van organisatie(onderdelen), die niet meer wordt toegepast. Het management kan bewust van dit principe afwijken als daar gegronde redenen voor zijn.

Eigen medewerkers worden niet als bezoeker aangemerkt. Alleen aan niet-eigen medewerkers worden bezoekerspassen verstrekt. Aanmeldingen voor het "bezoek" van eigen medewerkers kunnen achterwege blijven, zij zijn ook onaangekondigd welkom in een gebouw.

Het zichtbaar dragen van de Organisatie-toegangspas (b.v. Rijkspas) draagt bij aan de personele veiligheid. Hiermee toont de drager/ster zichtbaar aan dat hij of zij in de basis is gelegitimeerd om zich in het gebouw te bevinden. Daarnaast wordt met een gepersonaliseerde pas de sociale controle versterkt ten opzichte het dragen van een anonieme bezoekerspas.

Beleid op logische toegang[bewerken]

Hierbij wordt op basis van need-to-do en need-to-know gewerkt. Eén en ander is vastgelegd in organisatiebrede en formeel vastgestelde autorisatieprofielen, aan de hand waarvan autorisaties worden toegekend. Hierbij passen we zoveel mogelijk organisatiebrede profielen toe (eenvoud van beheer).

Beleid voor informatie-uitwisseling[bewerken]

Beheersmaatregel[bewerken]

Er is formeel beleid om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen.

Voorbeeld van informatie-uitwisselingsbeleid[bewerken]

Informatieuitwisseling omvat zowel in- en uitgaande informatie van een bedrijf, langs alle kanalen zoals post, telefoon of elektronisch, formeel of informeel.

Enerzijds geldt voor de organisatie dat het gehouden is aan de relevante wet- en regelgeving over de bescherming van vertrouwelijke gegevens en (elektronische) informatieuitwisseling. Anderzijds gelden er voorschriften voor de medewerkers, gericht op plichten als geheimhouding en gewenst gedrag. Met name in de contacten met klant, leveranciers en partnerbedrijven wordt hier aandacht aan besteed binnen de dienstverleningsstrategie. (Als voorbeeld) hanteren we de volgende uitgangspunten:

• Uitwisseling van informatie met een wettelijke grond, met ketenpartners, gebeurt op basis van de bestaande wet- en regelgeving. We voldoen hieraan en stellen geen aanvullende eisen. Massale gegevensuitwisseling met derden wordt namens de organisatie uitsluitend door de afdeling Centrale Administratie uitgevoerd;
• Andere uitwisseling van formele of vertrouwelijke informatie gebeurt onder het treffen van adequate generieke maatregelen ten aanzien van vertrouwelijkheid of rechtsgeldigheid, om bijvoorbeeld de privacy, authenticiteit of onweerlegbaarheid te borgen;
• Voor alle andere uitwisseling van informatie gelden voorwaarden en gedragsregels.

We presenteren veel gegevens aan klant, leveranciers en partnerbedrijven. Maar alleen de benodigde gegevens en alleen aan personen en organisaties waarvan we een bepaalde zekerheid hebben omtrent de identiteit en bevoegdheid. Ook letten we op welke gegevens fraudegevoelig kunnen zijn omdat we de drempel voor mis- en oneigenlijk gebruik van elektronisch berichtenverkeer niet willen verlagen. We sluiten aan op open standaarden en internationale normen, voor zover van toepassing.

We vertrouwen onze medewerkers bij het muteren en vastleggen van gegevens. Onze gegevens zijn altijd vertrouwelijk. Het is in ons eigen belang dat we de aan ons toevertrouwde gegevens beschermen tegen ongeautoriseerde inzage of mutatie en dat de in- en uitgaande gegevens betrouwbaar zijn. We kiezen hierbij voor algemene authenticatiemiddelen met een beperkt aantal niveaus. Afhankelijk van de doelgroep maken we ruimte voor extra maatregelen.

Beleid voor draagbare computers en communicatievoorzieningen[bewerken]

Beheersmaatregel[bewerken]

Er is formeel beleid vastgesteld en er zijn geschikte beveiligingsmaatregelen getroffen ter bescherming tegen risico's van het gebruik van draagbare computers en communicatiefaciliteiten.

Beleid voor telewerken/thuiswerken[bewerken]

Beheersmaatregel[bewerken]

Er is formeel beleid en procedures voor telewerken/thuiswerken ontwikkeld en geïmplementeerd.

Beleid voor het gebruik van cryptografische beheersmaatregelen[bewerken]

Beheersmaatregel[bewerken]

Er is formeel beleid ontwikkeld en geïmplementeerd voor het gebruik van cryptografische beheersmaatregelen voor de bescherming van informatie.

Beleid ten aanzien van het gebruik van netwerkdiensten[bewerken]

Beheersmaatregel[bewerken]

Er is beleid inzake de toegang tot netwerkdiensten.

Koppelingsbeleid van kantoorinformatiesystemen[bewerken]

Beheersmaatregel[bewerken]

Er is beleid ontwikkeld en geïmplementeerd om informatie te beschermen die een rol speelt bij de onderlinge koppeling van kantoorinformatiesystemen.

‘Clear desk’- en ‘clear screen’-beleid[bewerken]

Beheersmaatregel[bewerken]

Er is een ‘clear desk’-beleid voor papier en verwijderbare opslagmedia en een ‘clear screen’-beleid voor IT-voorzieningen.

Beleid voor Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)[bewerken]

Beheersmaatregel[bewerken]

Er is beleid om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten.

Beleid voor geheimhouding[bewerken]

Beheersmaatregel[bewerken]

De eisen voor de vertrouwelijkheid of geheimhouding van informatie zijn vastgesteld.

Toelichting[bewerken]

De eisen te stellen aan vertrouwelijkheid of geheimhouding is bedoeld om vertrouwelijke informatie te beschermen binnen juridisch afdwingbare voorwaarden.

Beleid voor disciplinaire maatregelen[bewerken]

Beheersmaatregel[bewerken]

Er is een formeel disciplinair proces vastgesteld voor werknemers die inbreuk op de beveiliging hebben gepleegd.

Beleid voor algemeen beveiligingsgedrag personeel[bewerken]

Beheersmaatregel[bewerken]

Er is beleid om te bevorderen dat werknemers, ingehuurd personeel en – waar van toepassing – externe gebruikers van interne systemen algemene beveiligingsaspecten toepassen in hun gedrag en handelingen.

Toelichting[bewerken]

Bij de uitwerking van dit beleid wordt duidelijk gemaakt welke onderdelen als centrale verantwoordelijkheden voor de hele organisatie worden gezien en welke verantwoordelijkheden gelden voor het lagere management.

Beleid voor aanvaardbaar gebruik van bedrijfsmiddelen[bewerken]

Beheersmaatregel[bewerken]

Er is beleid vastgesteld en aan het personeel uitgedragen voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met IT-voorzieningen.

Beleid voor bedrijfscontinuïteit[bewerken]

Beheersmaatregel[bewerken]

Er is tactisch beleid voor bedrijfscontinuïteit vastgesteld, gedocumenteerd en beoordeeld op basis van inzicht in risico’s, kritische bedrijfsprocessen en toewijzing van prioriteiten.

Voorbeeld van beleid voor bedrijfscontinuiteit[bewerken]

Business Continuity Management (BCM) heeft tot doel de continuïteit van de bedrijfsactiviteiten te waarborgen. Het biedt een stelsel van maatregelen om de kritische bedrijfsprocessen onder crisisomstandigheden voort te zetten.

De organisatie hanteert hierin de volgende definities:

• Een calamiteit is een onverwachte gebeurtenis met dusdanig negatieve gevolgen dat de reguliere probleemoplossende activiteiten onvoldoende zijn voor herstel van de normale situatie.
• Een crisis is een toestand na een onverwachte gebeurtenis met dusdanig negatieve gevolgen dat de reguliere probleemoplossende activiteiten onvoldoende zijn voor herstel van de normale situatie en waarbij de continuïteit van de bedrijfsvoering in gevaar is.

De organisatie heeft kritische bedrijfsfuncties benoemd op basis van de aan hem opgedragen wettelijke uitvoeringstaken, maar ook bijvoorbeeld op basis van impact en risico’s op imagoschade, maatschappelijke onrust of politieke invloed uit binnen- of buitenland. De keuze voor kritische functies die de organisatie aan de hand van deze criteria heeft gemaakt is de volgende:

• Alle uitbetalingsprocessen naar klanten en/of partnerbedrijven;
• Communicatiemiddelen naar klanten, leveranciers, partnerbedrijven en eigen personeel;
• Bedrijfsproces x
• Bedrijfsproces y
• Bedrijfsproces z

Voor elke bedrijfsactiviteit van de organisatie is vastgesteld wat de Maximaal Toelaatbare Uitvalsduur (MTU) is. Op basis hiervan moet bepaald zijn welke activiteiten als kritisch aangemerkt worden.

Onder BCM vallen:

• Bedrijfshulpverlening (BHV)- en ontruiming;
• Crisismanagement en –plan;
• Continuïteit en continuïteitsplan;
• Borging van BCM aspecten in de voortbrengingsprocessen.

Het BHV-plan, crisismanagementplan en continuïteitsplan vormen tezamen het calamiteitenplan. Elk organisatieonderdeel van het concern beschikt over een actueel en getest calamiteitenplan. De calamiteitenplannen worden op corporate en op dienstonderdeelniveau opgesteld.

Het calamiteitenplan wordt periodiek getest:

• Complete crisismanagementplan tenminste één keer per jaar;
• Beschikbaarheid leden crisisteam tenminste één keer per kwartaal;
• Continuïteitsplan tenminste één keer per jaar;
• Evaluatie van de kritische bedrijfsactiviteiten één keer per jaar;
• Crisisteam tenminste één keer per jaar

Referenties[bewerken]