Permalink
PrintenPermanente link
Naar de actuele versie van de regeling
http://lokaleregelgeving.overheid.nl/CVDR409506
Naar de door u bekeken versie
http://lokaleregelgeving.overheid.nl/CVDR409506/1
Regeling vervallen per 01-01-2021
PROCEDURE INCIDENTMANAGEMENT GEMEENTE NUTH
Geldend van 01-07-2016 t/m 31-12-2020
Intitulé
PROCEDURE INCIDENTMANAGEMENT GEMEENTE NUTH1 Inleiding
Dit document geeft invulling aan de beleidsuitgangspunten voor beveiligingsincidenten zoals vastgelegd in het algemene beleid voor de informatiebeveiliging van de gemeente Nuth: “Informatiebeveiligingsbeleid gemeente Nuth”
Dit document beschrijft het belang en het proces voor incidentregistratie, –response en evaluatie (de procedure incidentmanagement).
De beleidsuitgangspunten zijn afkomstig uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en is hiermee in overeenstemming met de BIG.
De procedure incidentmanagement maakt deel uit van het Informatiebeveiligingsbeleid van de gemeente Nuth en voorziet in het vastleggen van de verschillende stappen die noodzakelijk zijn om i.g.v. een (vermeend) incident zo snel mogelijk te herstellen om hiermee de gevolgen van een (vermeend) incident te minimaliseren en de continuïteit van dienstverlening optimaal te waarborgen. Bovendien voorziet de procedure in een evaluatie die de basis biedt voor verbetering en preventie van de incidentmanagementprocedure.
Incidentmanagement is een belangrijk onderdeel van het concern breed risicomanagement dat binnen de gemeente Nuth wordt uitgevoerd cf. het Risicobeheersingsplan 2013-2018. Incidentmanagement kan op veel onderwerpen plaatsvinden, bijv. op een computer of een netwerk of opgeslagen data, maar ook het waarnemen van verdachte activiteiten door personeel.
Dit document omschrijft het incidentmanagement ten behoeve risicobeperking rondom de informatieveiligheid.
Het primaire doel is de ontwikkeling van een goed begrepen en voorspelbare reactie op schadelijke gebeurtenissen en computer inbraken in de meest brede zin van het woord.
1.1 Definities
Een incident is een gebeurtenis die de bedrijfsvoering negatief kan beïnvloeden. Voorbeelden van beveiligingsincidenten zijn o.a. oneigenlijk gebruik van websites of e-mail, onrechtmatige verstrekking van informatie, het ‘lekken’ van informatie, verdacht gedrag, of inbraak op een computersysteem of website.
Incidentmanagement is het geheel van (organisatorische) maatregelen dat ervoor moet zorgen dat incidenten en zwakheden tijdig en adequaat worden gedetecteerd, gemeld en behandeld om hiermee de kans op uitval van bedrijfsvoeringprocessen en schade ontstaan als gevolg van het incident te voorkomen dan wel te minimaliseren.
Zwakheden zijn o.a. het ontbreken van wachtwoorden in computersystemen of slecht beveiligde computersystemen of verouderde computersystemen. Ook onzorgvuldig gedrag van medewerkers, bijv. het laten rondslingeren van documenten, wachtwoorden of sleutels en het open laten staan van deuren is een zwakheid.
Incident management omvat ook het evalueren van incidenten, teneinde te werken aan maatregelen die de kwaliteit van het incidentmanagement verbeteren.
1.2 Doel
Het doel van incidentmanagement is het voorkomen dan wel beperken van schade als gevolg van beveiligingsincidenten en storingen. Het achterliggende doel is waarborging van de continuïteit en kwaliteit van de gemeentelijke processen t.b.v. dienstverlening, bestuur en de achterliggende bedrijfsvoering.
Uitgangspunt van incidentmanagement is om het proces te verbeteren en incidenten in de toekomst zoveel mogelijk te voorkomen. Het incidentmanagement is niet gericht op de persoon, is doorgaans niet bedoeld om mensen te straffen of sancties op te leggen, voor zover er geen sprake is van het opzettelijk veroorzaken van incidenten, het plegen van fraude en/of andere strafbare feiten. Deze procedure sluit tevens aan op het integriteitsbeleid van de gemeente Nuth met de bijbehorende gedragscode integriteit en de onderliggende regelingen.
Incidentmanagement draagt bij aan informatieveiligheid en kan derhalve worden gezien als één van de belangrijke maatregelen rondom informatiebeveiliging. Informatiebeveiliging is het geheel van processen die worden ingericht om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op:
- ●
beschikbaarheid/continuïteit: de zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers;
- ●
exclusiviteit/vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor diegenen die hiertoe geautoriseerd zijn;
- ●
integriteit/betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.
Kortom, de incidentmanagementprocedure …
- ●
zorgt ervoor dat informatiebeveiligingsgebeurtenissen en zwakheden, die verband houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen;
- ●
omvat formele procedures voor rapportage van gebeurtenissen en escalatie. Alle werknemers, ingehuurd personeel en externe gebruikers zijn op de hoogte van deze procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de bedrijfsmiddelen;
- ●
zorgt ervoor, dat er een verplichte meldingssystematiek in werking treedt om alle informatiebeveiligingsgebeurtenissen en zwakke plekken zo snel mogelijk te rapporteren aan de aangewezen contactpersoon;
- ●
draagt bij aan inachtneming van de privacy en bescherming van persoonsgegevens in het kader van de Europese Privacy Verordening / Algemene Verordening Gegevensbescherming die met ingang van 1 januari 2016 in werking treedt;
- ●
Zorgt ervoor dat er een verplichte meldingssystematiek in werking treedt om te voldoen aan de Wet Meldplicht Datalekken die met ingang van 1 januari 2016 in werking treedt.
1.3 Risico’s
Als incidenten niet geregistreerd worden, is het onduidelijk waar en wanneer zich incidenten voordoen of hebben voorgedaan. Ook is dan onduidelijk wat de impact (risico’s) van incidenten zijn. Op deze wijze is adequate afhandeling van incidenten en evaluatie ter lering en preventie in de toekomst onmogelijk. Dit impliceert risico’s ten aanzien van de continuïteit van de bedrijfsprocessen (dienstverlening en bestuur) van de gemeente én de verbonden partijen (in de keten). Andere risico’s zijn ongewenste verspreiding van gevoelige informatie met als gevolg mogelijke fraude, negatieve publiciteit en erger nog, het afbrokkelen van het vertrouwen in de overheid.
1.4 Het belang van incidentmanagement
Incidentmanagement behoort evenals het algemene informatiebeveiligingsbeleid en het risicobeheersingsplan tot de belangrijkste aandachtsgebieden van de Baseline Informatiebeveiliging Nederlandse gemeenten (BIG).
Incidentmanagement is van belang voor de (gemeentelijke) organisatie omdat 100% beveiligen niet bestaat en omdat incidenten niet te voorkomen zijn. Het is niet de vraag óf er iets gaat gebeuren maar wanneer.
De belangrijkste te verwachten incidenten kunnen van te voren bedacht worden en de bijpassende reactie en escalatieprocedure kan dus ook van te voren uitgewerkt en geoefend worden.
Incidenten staan vaak niet op zichzelf en kunnen een uitwerking hebben op andere ketenpartners en/of klanten. Sommige incidenten doen zich bij meerdere organisaties (gemeenten) voor.
Een incident moet zowel intern worden opgelost alsook extern worden geëscaleerd zodat anderen gewaarschuwd kunnen worden en hiermee de impact van het incident zo klein mogelijk kan worden gehouden. Extern escaleren gebeurt naar de IBD, zij hebben het overzicht, de contacten en de middelen om andere (keten-)partners en gemeenten snel te kunnen waarschuwen en ook hebben zij een directe ingang bij het Nationaal Cyber Security Center (NCSC). Het melden van (vermeende) datalekken gebeurt naar het College Bescherming Persoonsgegevens.
1.5 Raakvlakken
Incidentmanagement heeft raakvlakken met andere risicobeheersings- en incidentprocessen die de gemeente Nuth al kent, zoals bijv. de risico inventarisatie en evaluatie in het kader van de Arbowet (RI&E).
Incidentmanagement maakt onderdeel uit van het informatiebeveiligingsbeleid van de gemeente Nuth, welk als zodanig weer onderdeel uitmaakt van het overkoepelend risicobeheersingsplan van de gemeente Nuth.
Incidentmanagement dient voor alle gemeentelijke processen te zijn geborgd.
Voor wat betreft informatiebeveiliging raakt het incidentmanagement alle aspecten, zoals wetgeving, ICT, huisvesting, HRM/personeel, klanten, leveranciers, processen, producten, diensten, middelen en data.
Incidentmanagement dient uitgewerkt te zijn in alle onderdelen waarop dit van toepassing is, zoals arbeidscontracten, leverancierscontracten, contracten met andere externe partijen en samenwerkingsverbanden, procedures, processen en protocollen rondom personeel en ICT, zoals het geheimhoudingsprotocol, het ICT beheer, backup- en recovery, bedrijfscontinuïteit.
Deze procedure sluit tevens aan op het integriteitsbeleid van de gemeente Nuth met de bijbehorende gedragscode integriteit en de onderliggende regelingen.
Het spreekt voor zich dat incidentmanagement –als onderdeel van het beveiligingsbeleid en risicomanagement- volledig dient aan te haken bij de actuele wet- en regelgeving rondom informatieveiligheid, privacy (waaronder ook de Wet Meldplicht Datalekken), gegevensbescherming; alsook bij de geldende normen hiervoor (o.a. de BIG).
Deze procedure is van toepassing op alle onderdelen waarvoor informatiebeveiliging geldt, dus ook op Suwi en Suwinet, de basisregistraties, DIGID, etc.
2 Procedure incidentregistratie en afhandeling
Een tijdige en zorgvuldige registratie van incidenten en zwakheden is de eerste essentiële stap voor de verdere afhandeling van incidenten of zwakheden en vormt hiermee de basis van het incidentmanagement.
Dit alles ter voorkoming van gebeurtenissen die de betrouwbaarheid van de informatiehuishouding nadelig kunnen beïnvloeden en de continuïteit van de gemeentelijke processen kunnen beschadigen.
Daarom is er een procedure voor het melden en opvolgen (afhandelen) van beveiligingsincidenten opgesteld. Een rapportage na evaluatie vormt het sluitstuk van de incidentmanagementprocedure voor dat betreffend incident, met dien verstande dat de verbetermaatregelen die uit de evaluatie van het incident voortkomen, worden uitgevoerd.
Alle medewerkers inclusief het ingehuurd personeel en externe gebruikers dienen op de hoogte te zijn en te blijven van de procedures rondom incidentmanagement, met name het rapporteren van incidenten (of gebeurtenissen die mogelijk als incident aangemerkt kunnen worden) en eventuele zwakheden. Zij dienen zich continu bewust te zijn van hun handelen en de mogelijke risico’s in hun werk. Het betreft zowel de gemeente Nuth alsook in voorkomende gevallen organisaties die aan de gemeente Nuth zijn verbonden, zoals Kompas.
2.1. Beschrijving van het proces
In onderstaand overzicht zijn de stappen van de incidentregistratie en afhandeling opgenomen.
|
Nr. |
Naam |
Rol |
Beschrijving |
|
1 |
Melden incident of zwakheid |
Medewerker (signaalfunctie) |
Beveiligingsincident of zwakheid , onverwijld (dus direct) melden via de juiste kanalen nadat het incident is ontdekt. Elke medewerker vervult de rol van signaalfunctie. |
|
1.1 |
Wijze van melden |
Medewerker |
-Per telefoon |
|
- Per e-mail |
|||
|
- Via het “Registratieformulier Incidenten” |
|||
|
- Via intranet (informatie aan personeel, door Informatiebeveiligingsfunctionaris (IBF) |
|||
|
- Indien een medewerker persoonlijk een melding maakt, dient deze alsnog door de IBF te worden vastgelegd via het “Registratieformulier Incidenten” |
|||
|
Indien noodzakelijk: anoniem melden. Indien persoonlijk gemeld: toezien op registratie via het “Registratieformulier Incidenten” |
|||
|
1.2 |
Melden aan wie? |
Medewerker |
Afhankelijk van de aard van de aard en omvang van het incident, wordt dit gemeld aan ofwel: |
|
● Indien dit incident betrekking heeft op ICT (storing of zwakke plek), dan dient de medewerker dit te allen tijde melden bij de ICT helpdesk. ICT informeert de IBF indien het een incident dat betrekking heeft op informatiebeveiliging. Indien het uitsluitend een ICT storing betreft zonder dat er raakvlakken zijn met informatiebeveiliging, hoeft de IBF niet te worden geïnformeerd. |
|||
|
● Indien dit incident niet direct betrekking heeft op ICT maar indien dit een incident van andere orde betreft, bijv. fraude, diefstal of verdacht gedrag, dan primair melden bij het afdelingshoofd. Het afdelingshoofd zorgt dat alle betrokkenen worden geïnformeerd dan wel deel uit maken van de incidentafhandeling. |
|||
|
Gremia waaraan melding kan worden gedaan, afhankelijk van de aard en omvang van een incident: |
|||
|
1. Afdelingshoofd (verplicht) |
|||
|
2. Secretaris/Algemeen Directeur |
|||
|
3. HR functionaris (wordt in voorkomende gevallen tevens ingeschakeld door het afdelingshoofd) |
|||
|
4. Informatiebeveiligingsfunctionaris (IBF) van de gemeente Nuth, dit is de Adviseur Bedrijfsvoering Informatievoorziening, vervult tevens de rol van ACIB (Algemeen Contactpersoon voor de Informatie Beveiligingsdienst) |
|||
|
5. Functionaris Gegevensbescherming (aan te wijzen) |
|||
|
6. Programmamanager Bestuur en Veiligheid, vervult de rol van de VCIB (Vertrouwelijk Contactpersoon voor de Informatie Beveiligingsdienst) |
|||
|
7. Concerncontroller, vervult de rol van Financial Controller, verantwoordelijk voor de P&C cyclus |
|||
|
8. De ICT helpdesk voor (vermeende) ICT-gerelateerde incidenten of zwakheden |
|||
|
9. De ICT helpdesk geeft een melding die betrekking heeft op een zwakke plek of incident m.b.t. de informatiebeveiliging door aan de IBF |
|||
|
10. In voorkomende gevallen informeert de IBF ook de SO (Security Officer) van Kompas |
|||
|
11. In geval van een (vermeend) datalek dient de IBF ervoor te zorgen dat melding wordt gemaakt bij het College Bescherming Persoonsgegevens (CBP) door de VCIB |
|||
|
12. In voorkomende gevallen informeert de ACIB of de VCIB de Informeren Informatiebeveiligingsdienst (IBD). |
|||
|
1.3 |
Type incident of zwakheid |
Voorbeelden |
-Systeemstoring waarbij het vermoeden bestaat dat er mogelijk gegevens/informatie is kwijtgeraakt, vervreemd of uitgelekt; of het vermoeden van een virus in of aanval op het ICT netwerk, een computer (server), PC, laptop, smartphone, tablet of computerprogramma |
|
- Tablet of smartphone, laptop kwijtgeraakt/vervreemd |
|||
|
- Het niet beschikbaar zijn van diensten (tevens aan ICT indien ICT gerelateerd) |
|||
|
- Fouten als gevolg van incomplete of onnauwkeurige bedrijfsgegevens |
|||
|
- Inbreuk op de vertrouwelijkheid van gegevens |
|||
|
- Gegevens onvoldoende beschermd |
|||
|
- Oneigenlijk gebruik van gegevens |
|||
|
- Een onnauwkeurigheid of het ontbreken van een beveiligingsmechanisme in de ICT (apparatuur, software of netwerk inclusief telefonie) of een (vermeende) zwakke plek in de beveiliging van apparatuur, software, gegevens, documenten of anderszins. |
|||
|
- Een nalatigheid, bijv. het rondzwerven van bepaalde gegevens (bijv. bij een kopieermachine), pasjes of sleutels of een gevonden sleutel of pasje, andere media waaronder een USB stick of externe harde schijf, laptop, smartphone, tablet |
|||
|
- Verdacht gedrag |
|||
|
- Fraude |
|||
|
- Geweld of pesten |
|||
|
- Overtreding (wettelijke) voorschriften |
|||
|
- Andere gebeurtenissen die de medewerker herkent als een (vermeend) beveiligingsincident of een zwakheid, bijv. |
|
Nr. |
Naam |
Rol |
Beschrijving |
|
2 |
Identificeren en Registreren incident |
Informatie-beveiligingsfunctionaris (IBF) |
Zorgen voor identificatie, registratie en informatie van het incident op een centrale plaats en op een eenduidige wijze. Zie de navolgende stappen 2.1 t/m 2.3. |
|
Of door Management aangewezen incidentcoördinator |
|||
|
2.1 |
Identificeren: |
||
|
Controleer/verifieer dat het incident daadwerkelijk heeft plaatsgevonden of dat er inderdaad sprake is van de zwakheid waarvan melding wordt gedaan. Hiertoe schakelt de IBF of aangewezen incidentcoördinator doorgaans andere medewerkers in bijv. de ICT-medewerker. |
|||
|
2.2 |
Registreren: |
||
|
Indien het incident daadwerkelijk heeft plaatsgevonden of er inderdaad sprake is van de gemelde zwakheid, registreer dit dan. Hiertoe vult de IBF of de aangewezen incidentcoördinator het “Registratieformulier Incidenten” in. |
|||
|
2.3 |
Controleren/Informeren |
||
|
In voorkomende gevallen wordt voor de externe coördinatie (pers) expliciet een Communicatiedeskundige of Bestuurder aangewezen |
Controleren in hoeverre de volgende personen zijn geïnformeerd en zo nodig, alsnog informeren: |
||
|
1. Zie de genoemde personen bij punt 1.2 |
|||
|
2. In voorkomende gevallen: externe vertrouwenspersoon van de gemeente Nuth |
|||
|
3. Adviseur Bedrijfsvoering Communicatie voor evt. voorbereiding op woordvoering / externe communicatie |
|||
|
4. In voorkomende gevallen informeert de VCIB Het College Bescherming Persoonsgegevens (CBP): dit is een meldplicht in het kader van de WMD (Wet Meldplicht Datalekken) |
|||
|
5. In voorkomende gevallen informeert de ACIB of de VCIB de Informeren Informatiebeveiligingsdienst (IBD). |
|||
|
6. En niet te vergeten: Verbonden partijen (Wijzelf, Kompas) in voorkomende gevallen. |
|||
|
3 |
Analyseren |
IBF Of door Management aangewezen incidentcoördinator |
Zorgen voor een analyse van het incident of zwakheid. Vaststellen oorzaak van het incident of zwakheid. Vaststellen van de omvang, de betrokkenen en de risico’s (schade, gevolgschade of toename/verloop van de schade) van het incident of de zwakheid. Zie hiervoor de bijlage 4.5 ‘Leidraad prioritering incidenten’. Hiertoe schakelt de IBF of aangewezen incidentcoördinator de benodigde medewerkers in. Indien nodig extern de benodigde expertise betrekken. Indien het een calamiteit/incident betreft van grotere omvang, met een grotere impact c.q. risico’s (waar de informatieveiligheid onderdeel van uitmaakt), verloopt de communicatie vanuit/met het crisisteam c.q. de Veiligheidsregio. |
|
Nr. |
Naam |
Rol |
Beschrijving |
|
3.1 |
Bewijs nodig? |
IBF |
Zorgen voor verzamelen en veilig opslaan van bewijsmateriaal: |
|
● t.b.v. interne probleemanalyse |
|||
|
Of door Management aangewezen incidentcoördinator |
● i.g.v. mogelijke contractbreuk of overtreding van wettelijke voorschriften, fraude of een ander strafbaar feit, bijv. overtreding van geldende privacywetgeving of computer inbraak |
||
|
● t.b.v. het verhalen van schade. |
|||
|
3.2 |
Uitstel maatregel mogelijk? |
IBF of door Management aangewezen incidentcoördinator |
Vaststellen of maatregelen kunnen wachten totdat alle bewijzen verzameld zijn, ja of nee. |
|
4 |
Verzamelen bewijsmateriaal |
IBF of door Management aangewezen incidentcoördinator |
Bewijsmateriaal zorgvuldig verzamelen en zodanig vastleggen dat de bewijzen bruikbaar zijn voor de gestelde doelen |
|
5 |
Voorbereiden maatregelen |
IBF of door Management aangewezen incidentcoördinator |
De voorbereidingen bestaan uit: |
|
1. Vaststellen benodigde personen voor uitvoeren maatregelen voor afhandeling van het incident/oplossen van de zwakheid; |
|||
|
2. In samenspraak met of in opdracht van de Secretaris / Algemeen Directeur een incidentresponseteam samen stellen, indien dit noodzakelijk dan wel effectief is; |
|||
|
3. Afwegen/besluiten opschalen ja/nee (Veiligheidsregio; bepaling GRIP niveau); |
|||
|
4. Afwegen/besluiten al dan niet inschakelen externe expertise; |
|||
|
5. Afspraken maken over periodieke evaluatie en communicatie; |
|||
|
6. I.g.v. een incidentresponseteam coördineert de IBF of de aangewezen incidentcoördinator de taken van het team en rapporteert deze ook over de voortgang. |
|||
|
6 |
Maatregelen treffen |
IBF of door Management aangewezen incidentcoördinator |
Plannen en implementeren van maatregelen die nodig zijn om beveiligingsincidenten en systeemstoringen te corrigeren c.q. te herstellen en om herhaling te voorkomen. Hierbij in acht nemen: |
|
1. Uitsluitend duidelijk geïdentificeerde en geautoriseerde personen mogen toegang krijgen tot operationele systemen en gegevens; |
|||
|
2. Alle uitgevoerde herstelwerkzaamheden moeten tot in detail zijn gedocumenteerd: zie logboek; |
|||
|
3. Alle herstelwerkzaamheden worden aan het management gerapporteerd en op een ordelijke wijze beoordeeld; |
|||
|
4. De integriteit (BIV) van de systemen en de beveiligingsmaatregelen worden zo snel mogelijk bevestigd. |
|||
|
De maatregelen worden uitgevoerd onder regie van de IBF of door Management aangewezen incidentcoördinator. Deze zorgt voor / bewaakt een adequate registratie van de maatregelen in het logboek en rapporteert over de voortgang. |
|||
|
7 |
Communiceren met betrokkenen |
IBF of door Management aangewezen incidentcoördinator |
Zorgen voor de communicatie met: |
|
● alle personen die getroffen worden door het incident |
|||
|
● verbonden partijen (w.o. ISD Kompas, PIT,…) en instanties (w.o. College Bescherming Persoonsgegevens) |
|||
|
● dan wel alle personen waarvoor kennis over het incident van belang is; |
|||
|
Zorgen voor rapportering van de ondernomen acties aan de desbetreffende autoriteit, raadpleegt hiertoe het logboek. |
|
Nr. |
Naam |
Rol |
Beschrijving |
|
8 |
Evalueren en verbeteren |
IBF of door Management aangewezen incidentcoördinator |
Zorgen voor een zorgvuldige evaluatie van het incident of de zwakheid en zorg dragen voor het opstellen van de evaluatierapportage. Raadpleegt hiertoe het logboek en evalueert met alle bij de incidentafhandeling betrokken personen. Ook leerpunten en verbetermaatregelen worden in de evaluatie meegenomen en in de evaluatierapportage opgenomen. Brengt de evaluatierapportage ter kennis aan de direct bij de incidentafhandeling betrokken personen en de verantwoordelijke personen. In voorkomende gevallen: aan extern betrokkenen (Algemeen Directeur Kompas) In voorkomende gevallen: aan HR, aan de externe vertrouwenspersoon van de gemeente Nuth Geleerde lessen worden meegenomen in procedures, draaiboek, checklists. (Mogelijke) verbeter- en preventiemaatregelen worden via het management uitgezet en bewaakt in het kader van continue kwaliteitsverbetering (PDCA cyclus). In voorkomende gevallen ondersteunt/adviseert de IBF hierbij. Ook de Manager Bestuur en Veiligheid en de Concerncontroller worden bij de evaluatie betrokken. |
|
9 |
Rapportage |
IBF of door Management aangewezen incidentcoördinator |
(Laten) opnemen in periodieke rapportage Informatiebeveiliging van gemeente Nuth en verbonden partijen, alsook opnemen in de rapportage in het kader van de P&C cyclus. Ook de Manager Bestuur en Veiligheid en de Concerncontroller worden bij de rapportage betrokken. |
2.2 Stroomschema incidentregistratie en afhandeling
2.3 Taken en verantwoordelijkheden
Borging
Eén van de maatregelen die ervoor te zorgen dat deze procedure structureel wordt geborgd en uitgevoerd is het beleggen van taken en verantwoordelijkheden. Goedkeuring van deze procedure impliceert automatisch dat de taken en verantwoordelijkheden zoals in deze procedure beschreven worden belegd en ter hand worden genomen. Na goedkeuring van deze procedure is dan ook een zorgvuldige voorlichting en kennisoverdracht aan de organisatie noodzakelijk.
De taken en verantwoordelijkheden m.b.t. informatiebeveiliging zijn in hoofdstuk 2 van het Informatie-beveiligingsbeleid van de gemeente Nuth beschreven.
Taken
- ●
De Gemeenteraad stelt het formeel beleidskader rondom informatiebeveiliging, het informatiebeveiligingsbeleid vast.
- ●
Het College van B&W stelt formeel het informatiebeveiligingsplan (met uitvoeringsmaatregelen) vast.
- ●
De uitvoering van het beleid moet gecontroleerd worden, zowel het College als de Raad (controle functie) kunnen hiervoor opdracht geven om dit te (laten) controleren.
- ●
Het managementteam adviseert B&W en Raad formeel over vast te stellen beleidskaders en uitvoeringsplannen.
- ●
De Secretaris / Algemeen Directeur geeft namens het managementteam op dagelijkse basis invulling aan de sturende rol door besluitvorming voor te bereiden en toe te zien op de uitvoering ervan. De informatiebeveiligingstaken die hieruit voortvloeien zijn belegd bij de Informatiebeveiligingsfunctionaris (IBF).
- ●
De IBF zorgt ervoor dat het beleid actueel blijft en derhalve blijft aansluiten op de relevante ontwikkelingen, wet- en regelgeving. Hiertoe vertaalt de IBF de relevante ontwikkelingen, wet- en regelgeving in (actualisering) van het beleid en zo nodig past de IBF het uitvoeringsplan (het informatiebeveiligingsplan en/of bijbehorende uitvoeringsmaatregelen en onderliggende procedures aan). Indien dit consequenties heeft voor de inzet van mensen en middelen of mogelijke risico’s impliceert, zorgt de IBF ervoor dat de concerncontroller, management en bestuur –middels een kennisgeving of een besluitvormingsvoorstel- tijdig adequaat worden geïnformeerd en tot de eventueel benodigde besluitvorming worden aangezet.
- ●
De IBF bevordert en adviseert gevraagd en ongevraagd over IBV en rapporteert periodiek over de stand van zaken en het functioneren van informatiebeveiliging.
- ●
De IBF werkt nauw samen met diverse functionarissen w.o. de Concerncontroller, de Programmamanager Bestuur en Veiligheid alsook met de ICT-dienst.
- ●
De Adviseurs Bedrijfsvoering (HRM, Informatievoorziening, Communicatie) zorgen voor het beleidskader en de advisering m.b.t. de interne bedrijfsvoering inclusief informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders; tevens zorgen zij voor de uitwerking van het beleid in concrete plannen met maatregelen voor implementatie en borging. Voor ontwikkeling en onderhoud van beleid en plannen m.b.t. informatiebeveiliging ondersteunen deze adviseurs de IBF.
- ●
De Programmamanager Bestuur en Veiligheid zorgt voor ontwikkeling en onderhoud van het programma Bestuur en Veiligheid, inclusief het hieraan verbonden beleid. Tevens zorgt deze voor het uitwerken van dit beleid naar concrete uitvoeringsplannen voor Bestuur en Veiligheid. Hij initieert en bewaakt de uitvoering van de plannen rondom veiligheid en risicobeheersing. Hij adviseert over verbeteringen t.a.v. beveiliging en risicomanagement organisatiebreed. Verder zorgt hij voor de periodieke rapportages m.b.t. dit programma.
- ●
De Concerncontroller vervult momenteel de rol van Financial Controller. Hij coördineert het proces van de planning- en control cyclus van de gemeentelijke organisatie. Hij bewaakt en toetst de voortgang en de inhoudelijke kwaliteit (betrouwbaarheid, integriteit, vertrouwelijkheid) van alle gemeentelijke processen. Hij toetst deze tevens aan het beleid en de plannen. Hij adviseert over verbeteringen organisatiebreed. Hij draagt zorg voor de periodieke P&C rapportages.
- ●
De afdelingen binnen de gemeente (in vragende rol) dragen zorg voor de integrale beveiliging van hun organisatieonderdelen.
- ●
De proceseigenaar zorgt voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; tevens rapporteert deze over compliance aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapportages.
- ●
De medewerkers van de ICT dienst, Facilitaire Zaken (Huismeester) en Gebouwenbeheer dragen zorg voor de uitvoering van beveiligingsmaatregelen, die voortvloeien uit betrouwbaarheidseisen (classificaties), de beheeraspecten, logging en rapportage en het verstrekken van (technisch) beveiligingsadvies.
Verantwoordelijkheden
- ●
De Gemeenteraad is eindverantwoordelijk voor het vaststellen van de algehele beleidskaders, het toekennen (voteren, accorderen) van de hiertoe benodigde de mensen en middelen (via de meerjarenprogrammabegroting) en de periodieke toetsing op basis van evaluatie en rapportages. De Gemeenteraad vervult een kader stellende rol.
- ●
Het College van Burgemeester en Wethouders is integraal verantwoordelijk voor de het informatiebeveiligingsbeleid en het uitvoeringsplan (informatiebeveiligingsplan met de concrete maatregelen voor implementatie, borging, evaluatie en verbetering.). Het College fungeert als bestuurlijk opdrachtgever voor de uitvoering van het informatiebeveiliging door de ambtelijke organisatie en heeft hiermee een beslissende rol ten aanzien van informatieveiligheid binnen de werkprocessen van de gemeente 1 . De verantwoordelijke Portefeuillehouder vertegenwoordigt het College.
- ●
De Directie / het Managementteam (in sturende rol) is verantwoordelijk voor de uitvoering en de sturing. Het Managementteam stuurt op concern risico’s, controleert getroffen maatregelen, evalueert periodiek beleidskader en stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn);
- ●
De afdelingen binnen de gemeente (in vragende rol) zijn verantwoordelijk voor de integrale beveiliging van hun organisatieonderdelen.
- ●
De proceseigenaar is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; tevens is deze verantwoordelijk voor het rapporteren over compliance aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapportages.
- ●
De Informatiebeveiligingsfunctionaris is verantwoordelijk voor coördinatie en rapportage over compliance aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapportages
- ●
De Adviseurs Bedrijfsvoering (HRM, Informatievoorziening, Communicatie) zijn verantwoordelijk voor ontwikkeling en onderhoud van het beleidskader en de advisering m.b.t. de interne bedrijfsvoering inclusief informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders; tevens zijn zij verantwoordelijk voor de uitwerking van het beleid in concrete plannen met maatregelen voor implementatie en borging. Voor ontwikkeling en onderhoud van beleid en plannen m.b.t. informatiebeveiliging zijn zij verantwoordelijk voor de ondersteuning van de IBF.
- ●
De Programmamanager Bestuur en Veiligheid is verantwoordelijk voor het programma Bestuur en Veiligheid, inclusief het hieraan verbonden beleid, de uitvoeringsplannen en voor de periodieke rapportage over dit programma. Daarnaast is hij verantwoordelijk voor de uitvoering van de plannen rondom veiligheid en risicobeheersing en de periodieke rapportering hierover.
- ●
De Concerncontroller vervult momenteel de rol van Financial Controller. Hij is verantwoordelijk voor de planning- en control cyclus van de gemeentelijke organisatie. Hij is verantwoordelijk voor de interne toetsing van beleid, uitvoeringsplannen en uitvoering, voor de voortgang en de inhoudelijke kwaliteit (betrouwbaarheid, integriteit, vertrouwelijkheid) van alle gemeentelijke processen en de periodieke rapportering aan management en bestuur.
- ●
De medewerkers van de ICT dienst, Facilitaire Zaken (Huismeester) en Gebouwenbeheer zijn in hun uitvoerende rol verantwoordelijk voor de uitvoering van beveiligingsmaatregelen, die voortvloeien uit betrouwbaarheidseisen (classificaties), de beheeraspecten, logging en rapportage en het verstrekken van (technisch) beveiligingsadvies.
3 Aandachtspunten
De volgende aandachtspunten zijn van belang:
- 1.
Ook nieuwe medewerkers inclusief het nieuw ingehuurd personeel en nieuwe externe gebruikers dienen op de hoogte te worden gebracht van de procedures rondom incidentmanagement, met name het rapporteren van incidenten (of gebeurtenissen die mogelijk als incident aangemerkt kunnen worden) en eventuele zwakheden. Dit dient te worden meegenomen in de procedure en checklist “nieuwe medewerker”.
- 2.
Medewerkers (of ingehuurde krachten) die de organisatie verlaten, dienen eventuele sleutels, pasjes en ICT middelen die zij in bruikleen van de gemeente hebben ontvangen, in te leveren. Toegang tot gebouw en systemen dient tijdig geblokkeerd te worden. Dit dient meengenomen te worden in de procedure en checklist “medewerker uit dienst”.
- 3.
In de incidentprocedure dient behalve met medewerkers van de gemeente Nuth zelf ook rekening te worden gehouden met de betrokken organisaties (netwerk- of ketenpartijen), waaronder ook Wijzelf en Kompas.
- 4.
Periodieke evaluatie van het incidentmanagement is van belang om procedures en gegevens actueel te houden, de kwaliteit op orde te houden en medewerkers bewust te houden van hun handelen en de mogelijke risico’s in hun werk. Deze is in stap 8 van het proces beschreven (zie hoofdstuk 2). Het is van belang om het proces in zijn geheel te volgen en af te ronden.
- 5.
Voor elk incident dient het incidentmanagementproces een eigenaar te hebben en dient er binnen dit proces een vast aanspreekpunt zijn die eventueel ook zorgdraagt voor de interne en externe communicatie. Het melden van incidenten is een taak van iedereen. Het is een signaalfunctie die het bewustzijn van gedrag en omgeving ontwikkelt. Het beoordelen van logbestanden en van gemelde incidenten en zwakheden behoort de taak te zijn van een hiertoe speciaal aangewezen functionaris, afhankelijk van de vraag waarover de logging of de incidentmelding gaat. In ieder geval moet altijd de lijnmanager geïnformeerd worden. Onrechtmatigheden of gebeurtenissen van een bepaalde categorie moeten altijd gemeld worden aan de Secretaris/Algemeen Directeur.
- 6.
Belangrijke incidenten moeten ook worden gemeld aan de IBD. Ook in het kader van de Wet Meldplicht Datalekken die met ingang van 1-1-2016 van kracht is. Hiertoe heeft de gemeente Nuth speciale contactpersonen aangewezen. Zie hiervoor de bijlage “Aansluitformulieren IBD”.
- 7.
Ook moet bij een escalatie of noodprocedure altijd rekening worden gehouden met woordvoering. Externe communicatie gebeurt door de Adviseur Bedrijfsvoering Communicatie. Alle medewerkers die betrokken zijn bij het incidentproces moeten op de hoogte zijn van de procedures en de communicatie inclusief de (telefonische) bereikbaarheid van de belangrijke contactpersonen en teamleden. De samenstelling van het team kan variëren afhankelijk van het soort incident.
- 8.
Meldingen afkomstig van de IBD worden voor zover van belang en voor zover dit in het kader van de vertrouwelijkheid is toegestaan, ook gecommuniceerd met organisaties die bij de gemeente Nuth zijn betrokken, zoals Kompas en Wijzelf.
- 9.
Bij onderzoeken naar mogelijke incidenten wordt veelvuldig gebruik gemaakt van controles van logging uit systemen, apparatuur en programma’s of achteraf om een uitvoerige analyse te maken of een gebeurtenis te reconstrueren. Daarom moeten logbestanden zorgvuldig bewaard worden volgens vaste regels. Indien logbestanden op de juiste wijze worden bewaard, kunnen ze ook dienen als bewijsmateriaal voor de wet. In het kader van privacy, de Wet Bescherming Persoonsgegevens (WBP) en de Algemene Verordening Gegevensbescherming (AVG) geldt, dat logbestanden zodanig bewaard dienen te worden dat die niet zomaar kunnen worden ingezien dan wel gewijzigd, omdat deze persoon gerelateerde of privacygevoelige gegevens kunnen bevatten. Zorgvuldig informeren gaat hieraan vooraf.
- 10.
Voor incidenten met een hoge impact is het wenselijk om deze regelmatig voor te bereiden dan wel te oefenen. Dit omvat ook de zorg voor het zowel online alsook offline beschikbaar houden van actuele procedures, formulieren en belangrijke gegevens van contactpersonen. Evenals de zorg voor een alternatief voor de communicatie wanneer vitale ICT infrastructuur uitvalt of netwerken overbelast raken.
- 11.
Het eerste uur na de ontdekking van een incident is het “gouden uur”. Het is essentieel om geen informatie verloren te laten gaan die nodig is voor het onderzoek. I.g.v. bijv. een computer inbraak, kan het nodig zijn om een digitaal forensisch expert in te huren. Deze kan uitsluitend onderzoek doen als er zorgvuldig met bewijsmateriaal wordt omgegaan. De handelingen ‘van het eerste uur’ zijn essentieel voor het welslagen van de afhandeling van c.q. de bewijsvoering over het incident.
- 12.
Het is ook van belang om in voorkomende gevallen direct juridische expertise in te schakelen en de juridische impact vast te stellen.
- 13.
Laat alle betrokkenen alle handelingen noteren, voorzien van naam, datum en tijd. Gebruik het standaard logboek (bijlage 4.3) en hou dit consequent bij.
- 14.
Zorg in voorkomende gevallen ervoor dat apparatuur tijdig wordt geïsoleerd vanuit elke netwerkverbinding om schade zoveel mogelijk te beperken. Laat dit door een expert (digitaal forensisch expert) uitvoeren. Die kan ervoor zorgen dat er geen sporen verloren gaan.
- 15.
Schroom niet om de Helpdesk van de IBD te bellen: 070-3738011.
Ondertekening
Bijlage 1
4 Bijlagen
4.1 Begrippenlijst
Escalatie
Een beroep gedaan op de organisatie om bepaalde maatregelen of beslissingen te nemen, om een situatie die van stap tot stap ernstiger kan worden op te lossen of te verbeteren. Bijv. wanneer er sprake is van een incident of een conflictsituatie, die zonder deze maatregelen of beslissingen niet opgelost of verbeterd kan worden, of waarbij de risico’s op schade zonder deze maatregelen of beslissingen (snel) kunnen toenemen.
Incident
Een gebeurtenis die de bedrijfsvoering negatief kan beïnvloeden.
Incidentmanagement
Het proces voor incidentregistratie, –response en evaluatie van een incident
Lekken van informatie
Het op ongeoorloofde wijze verspreiden van informatie, bijv. vertrouwelijke
gegevens bij een printer laten liggen
Zwakheden
Een tekortkoming die kan leiden tot een (informatiebeveiligings-)incident
Bijlage 2
4.2 Registratieformulier incident
Bijlage 3
4.3 Logboek incident
Bijlage 4
4.4 Aansluitformulieren IBD
Deze separate formulieren zijn apart opgenomen in de bijlagen.
Bijlage 5
4.5 Leidraad prioritering incidenten
Deze leidraad beschrijft de regels voor het toekennen van prioriteiten aan incidenten. De prioriteiten worden toegekend op basis van twee criteria: urgentie en impact.
Het toekennen van de juiste prioriteit aan een incident is essentieel voor het activeren van passende maatregelen.
Urgentie is de maatstaf voor hoe snel de oplossing van het incident vereist is.
Impact is de maatstaf voor de omvang van het incident en van mogelijke schade als gevolg van het incident (gevolgschade) voordat het kan worden opgelost.
Urgentie:
|
Categorie urgentie
|
Omschrijving urgentie |
|
Hoog (H) |
- De schade veroorzaakt door het incident neemt snel toe |
|
- Het herstelwerk is zeer arbeidsintensief |
|
|
- Een groot incident kan worden voorkomen door bij een klein incident direct te handelen. |
|
|
Medium (M)
|
- De schade veroorzaakt door het incident neemt in tijd aanzienlijk toe. |
|
- Er gaat werk verloren maar dit is relatief snel te herstellen. |
|
|
Laag (L)
|
- De schade veroorzaakt door het incident neemt in tijd maar weinig toe. |
|
- Het werk dat blijft liggen is niet arbeidsintensief. |
Impact:
|
Categorie impact
|
Omschrijving impact |
|
Hoog (H)
|
- Relatief veel personeel is geraakt door het incident en/of kan zijn/haar werk niet meer doen. |
|
- Meer afdelingen zijn geraakt en de publieksbalies moeten gesloten worden. |
|
|
- Inwoners / bedrijven van de gemeente zijn geraakt en/of lijden schade, op welke wijze dan ook, als gevolg van het incident. Persoonsgegevens zijn gecompromitteerd. |
|
|
- De financiële impact van een incident is hoger dan het normbedrag van € 10.000,- |
|
|
- Er is reputatieschade, de krant wordt gehaald. |
|
|
- Er zijn lichamelijk gewonden. |
|
|
Medium (M) |
- Enig personeel is geraakt door het incident en/of kan zijn/haar werk niet meer doen, bijv. een afdeling. |
|
- Enkele inwoners of bedrijven van de gemeente zijn geraakt en/of lijden schade, op welke wijze dan ook, als gevolg van het incident. Persoonsgegevens zijn gecompromitteerd. |
|
|
- De financiële impact van een incident is hoger dan het normbedrag van € 1.000,- maar lager dan € 10.000,- |
|
|
- Er is kans op reputatieschade. |
|
|
Laag (L)
|
- Enkele personeelsleden zijn geraakt door het incident en/of kunnen hun werk niet meer doen. |
|
- Enkele inwoners/bedrijven zijn geraakt en/of lijden schade, maar dit is zeer minimaal. Personeelsgegevens zijn gecompromitteerd. |
|
|
- De financiële impact is lager dan het normbedrag van € 1.000,- |
|
|
- Er is geen kans op reputatieschade |
Door de criteria “urgentie” en “impact” tegen elkaar af te zetten, kan een incident prioriteiten matrix worden opgesteld.
|
Impact |
||||
|
Hoog |
Midden |
Laag |
||
|
Urgentie |
Hoog |
1 |
2 |
2 |
|
Midden |
2 |
3 |
4 |
|
|
Laag |
2 |
4 |
5 |
|
In de navolgende prioriteitenmatrix zijn de prioriteiten uitgewerkt met een code (1 t/m 5) en met kleuren.
|
Code / kleur |
Omschrijving |
Reactietijd |
Oplossingstijd |
|
1 |
Kritiek |
Onmiddellijk |
1 uur |
|
2 |
Hoog |
10 minuten |
4 uur |
|
3 |
Midden |
1 uur |
8 uur |
|
4 |
Laag |
4 uur |
24 uur |
|
5 |
Zeer laag |
1 dag |
1 week |
Opmerking:
Er kunnen omstandigheden zijn die het noodzakelijk maken dat een incident wordt behandeld als een groot incident. Grote incidenten hebben een ander soort incidentmanagementteam nodig en maken gebruik van een proces dat speciaal is ingericht voor het behandelen van grote incidenten.
Deze omstandigheden kunnen zijn:
- 1.
Bepaalde bedrijfskritische diensten, toepassingen of onderdelen van de infrastructuur zijn niet beschikbaar en de geschatte tijd voor het herstel is onbekend of extreem laag. De betreffende diensten, toepassingen of onderdelen van de infrastructuur dienen nader gespecificeerd te worden.
- 2.
Bepaalde groepen van vitale bedrijfsfuncties (bedrijfskritische processen) worden beïnvloed en de geschatte tijd voor het herstellen van deze processen tot de operationele status is onbekend of extreem lang. Ook hier dienen de vitale bedrijfsfuncties nader gespecificeerd te worden.
Hoewel de ICT helpdesk medewerkers door hun ervaring vaak een goed idee hebben ontwikkeld over wat een kritisch incident is, blijft het lastig om een eenduidige definitie van een “kritisch incident” te geven. Daarom is het beter om de definitie zo ruim mogelijk te interpreteren. Een kritisch incident wordt meestal getypeerd door zijn impact, vooral de impact op gebruikers. Enkele voorbeelden:
- 1.
Een deel van de datacommunicatie van/naar de gemeente ligt plat door een storing in het netwerk.
- 2.
Een belangrijke database blijkt corrupt te zijn.
- 3.
Meerdere servers worden geïnfecteerd door een virus (worm).
- 4.
Persoonsgegevens en vertrouwelijke informatie komen ‘op straat te liggen’.
- 5.
Rampen zoals onderkend in het continuïteitsplan
- 6.
Kleinere incidenten die door een niet afdoende afhandeling zich tot kritische incidenten kunnen ontwikkelen.
Ook de volgende incidenten behoren tot de categorie kritische incidenten:
- 1.
Een groot aantal gebruikers/klanten of enkele belangrijke gebruikers/klanten kunnen mogelijk geen gebruik maken van de diensten of systemen.
- 2.
Een aantal systemen die belangrijk zijn voor de uitvoering van rampenbestrijding en crisisbeheersing vallen uit of zijn niet benaderbaar.
- 3.
De kosten (incl. gevolgschade) voor gebruikers/klanten of voor de gemeente zijn aanzienlijk of kunnen aanzienlijk worden.
- 4.
De gemeente zou waarschijnlijk reputatieschade kunnen oplopen
- 5.
De tijd/moeite die nodig zijn om het incident op te lossen zijn waarschijnlijk groot en het is zeer waarschijnlijk dat de afspraken die zijn vastgelegd in de SLA, niet kunnen worden nagekomen.
Een kritisch incident is dus altijd een incident met hoge prioriteit.
Ziet u een fout in deze regeling?
Bent u van mening dat de inhoud niet juist is? Neem dan contact op met de organisatie die de regelgeving heeft gepubliceerd. Deze organisatie is namelijk zelf verantwoordelijk voor de inhoud van de regelgeving. De naam van de organisatie ziet u bovenaan de regelgeving. De contactgegevens van de organisatie kunt u hier opzoeken: organisaties.overheid.nl.
Werkt de website of een link niet goed? Stuur dan een e-mail naar regelgeving@overheid.nl