Privacy & beveiliging Suwinet-guidance 2022 voor de toepassing van de BIO

Met ingang van 2020 zijn alle overheidsorganisaties gebonden aan de Baseline Informatiebeveiliging Overheid (BIO). Deze Suwinet-guidance geeft voor ieder van die normen een nadere toelichting, die gebruikt kan worden bij de implementatie van de norm en eventueel ook bij de controle daarvan door de auditor.

Guidance voor de toepassing van de BIO bij het gebruik van Suwinet

Suwinet-guidance 2022 voor de toepassing van de BIO (als webtekst:)

1. Inleiding

2. Opbouw guidance

3. Suwinet-guidance per BIO-norm

4. Bijlage Overheidsmaatregelen bij controls (alleen voor gemeenten)

1.  Inleiding

Met ingang van 2020 zijn alle overheidsorganisaties gebonden aan de Baseline Informatiebeveiliging Overheid (BIO). Het Ketenoverleg, dat verantwoordelijk is voor het beheer van Suwinet, heeft in de Verantwoordingsrichtlijn Informatiebeveiliging GeVS aangegeven over welke BIO-normen (controls) het verantwoording vraagt aan de op Suwinet aangesloten partijen.

Deze Suwinet-guidance geeft voor ieder van die normen een nadere toelichting, die gebruikt kan worden bij de implementatie van de norm en eventueel ook bij de controle daarvan door de auditor. Daarbij is ernaar gestreefd de aangesloten partijen zoveel mogelijk ruimte te laten voor hun eigen risico-sturing en -invulling.

Het gaat hierbij telkens om de toepassing van de BIO-normen bij processen en systemen, inclusief koppelvlakken, die Suwinet-gegevens verwerken of uitwisselen. De nadere toelichting is gericht op de aantoonbaarheid van de naleving van de maatregelen met betrekking tot Suwinet-gerelateerde gegevens.

Deze guidance[1] is opgesteld op verzoek van het Ministerie van Sociale Zaken en Werkgelegenheid en bestemd voor alle afnemers van Suwinet-services.

Speciaal voor gemeenten heeft de VNG, in overleg met het ministerie van SZW, een SUWI-guidance op maatregelniveau gemaakt die is afgestemd op de ENSIA-verantwoordingssystematiek.

Ook heeft de NOREA een nieuwe Handreiking Suwinet opgesteld, die is afgestemd op de ENSIA-verantwoordingssystematiek. Zowel de VNG SUWI-guidance als de NOREA- handreiking zijn te beschouwen als een verdere uitwerking van deze Suwinet-guidance.

Het verschil tussen deze Suwinet-guidance en de NOREA- Suwi-guidance en de ENSIA Suwi-guidance is dat de eerste twee uitgewerkt zijn op control-niveau en de ENSIA Suwi-guidance op maatregelniveau.

Tussen het Ministerie van SZW en gemeenten is afgesproken welke overheidsmaatregelen specifiek van toepassing zijn voor gemeenten. In deze Suwi-guidance is daarvan expliciet een extra duiding gemaakt bij de controls ten behoeve van de ENSIA-zelfevaluatie en de NOREA-Suwi-audit. Deze zijn opgenomen in de bijlage ‘Overheidsmaatregelen bij control’ van deze Suwinet-guidance.

Met ingang van 01-01-2021 is het mogelijk om Suwinet-Inkijk te gebruiken voor de uitvoering van de Wet gemeentelijke schuldhulpverlening door gemeenten. Inmiddels is ook WGS-Inlezen beschikbaar. Over het gebruik van Suwinet-Inkijk en/of WGS-Inlezen dient verantwoording te worden afgelegd als gemeenten de beschikking hebben over deze services. De Verantwoordingsrichtlijn 2022 is hierop ook aangepast.

 

[1] Het format van deze Suwinet-guidance is afgeleid van de VNG Suwinet-guidance en ingevuld met Suwinet-specifieke aandachtspunten. Hierbij is gebruikt gemaakt van de NEN-ISO27002-2017 toelichting.

2.  Opbouw guidance

Items

Uitleg

Hoofdstuk

Hoofdstuknummer en titel uit de BIO

Paragraaf

Paragraafnummer en titel uit de BIO

Control

Controlnummer en titel uit de BIO

Toelichting Control

Controltekst uit de BIO

Control/ Norm geldt voor

Norm geldig voor Suwinet-inkijk en/of Suwinet-inlezen en/of DKD-inlezen

Norm van toepassing op

Waar zijn maatregelen geïmplementeerd om aan te tonen dat wordt voldaan aan de norm?

Scope

Reikwijdte van de control

Nadere toelichting

Context ter toelichting en aandachtspunten

3. Suwinet-guidance per BIO-norm

Hoofdstuk

5

 

Informatiebeveiligingsbeleid

Paragraaf

5.1

 

Aansturing door de directie van de informatiebeveiliging

Control

5.1.1

 

Beleidsregels voor informatiebeveiliging

Toelichting control

 

Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.

Norm/Control geldt voor

Norm van toepassing op

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-

Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

n.v.t.

 

Scope

 

Beleid

Nadere toelichting

 

Organisaties behoren op het hoogste niveau een informatiebeveiligingsbeleid te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar doelstellingen inzake informatiebeveiliging te bereiken.

 

Beleidsregels voor informatiebeveiliging kunnen worden uitgevaardigd als een enkelvoudig document inzake ‘informatiebeveiligingsbeleid’ of als een reeks individuele maar gerelateerde documenten. termen voor deze beleidsdocumenten, zijn bijvoorbeeld ‘beleid’, ‘normen’, uitgangspunten, richtlijnen’ of ‘regels’.

Gemeenten verantwoorden zich alleen over overheidsmaatregel 5.1.1.1.

Gemeenten vullen dit ook in ingeval van gebruik van een serviceorganisatie.

 

Hoofdstuk

5

 

Informatiebeveiligingsbeleid

Paragraaf

5.1

 

Aansturing door de directie van de informatiebeveiliging

Control

5.1.2

 

Beoordeling van het informatiebeveiligingsbeleid

Toelichting control

 

Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.

Norm/Control geldt voor:

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

n.v.t.

 

 

Scope

 

Beleid

Nadere toelichting

 

De focus ligt op de frequentie van bijstelling.

De organisatie dient het (strategisch) beleid regelmatig te beoordelen en zo nodig bij te stellen.

Veranderingen in de omgeving van de organisatie, de bedrijfsomstandigheden, juridische voorwaarden, technische omgeving of andere externe ontwikkelingen kunnen leiden tot wijzgingen in beleid. Het beleid dient daarom periodiek te worden bijgewerkt en aan te sluiten bij een (bestaande) bestuurs- en P&C-cyclus en op basis daarvan beoordeeld en zo nodig bijgesteld te zijn, en wel minimaal éénkeer per drie à vier jaar, of bij belangrijke verantwoordelijkheidsverdelingen.

Voor nieuw en herzien beleid behoort de goedkeuring van de directie te worden verkregen. NB: indien een afnemer in een structuur werkt van strageisch en tactisch beleid, dan kan het strategisch beleid ouder zijn, als dit generiek van opzet is.

Gemeenten verantwoorden zich alleen over overheidsmaatregel 5.1.2.1. Gemeenten vullen dit ook in ingeval van gebruik van een serviceorganisatie.

 

 


Hoofdstuk

 

6

 

Organiseren van informatiebeveiliging

Paragraaf

6.1

 

Interne organisatie

Control

6.1.1

 

Rollen en verantwoordelijkheden bij informatiebeveiliging

Toelichting control

 

Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.

Norm/Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

n.v.t.

 

Scope

 

Beleid, implementatie

Nadere toelichting

 

Het toewijzen van de verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met de beleidsregels voor informatiebeveiliging (zie 5.1.1).

De leiding/het management van de organisatie heeft vastgelegd en vastgesteld wat de verantwoordelijkheden en rollen zijn op het gebied van informatiebeveiliging binnen haar organisatie en in het bijzonder de verantwoordelijkheden voor het accepteren van restrisico’s.

beveiligingstaken aan anderen delegeren. Niettemin blijven zij verantwoordelijk en behoren zij vast te stellen dat gedelegeerde taken correct zijn verricht.

De verantworodelijkheden en rollen worden ook ingevuld in de organisatie. Indien een Chief Information SEcurity Officer (CISO) is aangesteld, dienen de rol en de verantwoordelijkheden van de CISO vastegelegd en vastgesteld te zijn in een CISO-functieprofiel.

Gemeenten verantwoorden zich alleen over overheidsmaatregel 6.1.1.1 en 6.1.1.3. Gemeenten vullen dit ook in ingeval van gebruik van een serviceorganisatie.

 

 

 

Hoofdstuk

6

 

Organiseren van informatiebeveiliging

Paragraaf

6.1

 

Interne organisatie

Control

6.1.2

 

Scheiding van taken

Toelichting control

 

Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbedoeld of wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.

Norm/Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

x

 

Scope

 

Personeelsbeleid, proces en procedurecontrole gegevensgebruik

Nadere toelichting

 

Maatregelen zijn getroffen om onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waar te nemen of voorkomen. Hierbij is scheiding van taken/functiescheiding van belang zoals t.a.v. invoerende en controlerende taken.

Onafhankelijkje controle van het gegevensgebruik en autorisatiebeheer vindt plaats. Gebruik van gegevens uit Suwinet wordt door een andere persoon gecontroleerd dan een gebruiker van Suwinetgegevens.

Indien gebruik wordt gemaakt van tactisch kader voor beveiliging, zou de scheiding van taken hierin opgenomen moeten zijn.

De volgende taken dienen gescheiden te zijn en worden minimaal verwacht ten aanzien van:

  • Autoriseren van toewijzing van toegang tot Suwinet gerelateerde gegevens
  • Controleren van gebruik van Suwinet gerelateerde gegevens
  • Controleren van de actualiteit van de gebruikersadministratie
  • Melding van incidenten rerelateerd aan Suwinetgegevens
  • Gebruik van Suwinet gerelateerde gegevens als gebruiker

 

Wanneer het moeilijk is om taken te scheiden, behoren andere beheersmaatregelen zoals het monitoren van activiteiten, audittrajecten en supervisie door de directie te worden overwogen. Deze afweging dient o.b.v. een risico-analyse en -acceptatie te zijn vastgesteld.

 

Gemeenten verantwoorden zich alleen over overheidsmaatregel 6.1.2.1.

 

Hoofdstuk

7

 

Veilig personeel

Paragraaf

7.2

 

Tijdens het dienstverband

Control

7.2.2

 

Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

Toelichting control

 

Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.

Norm / Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

n.v.t.

 

Scope

 

Bewustwording

Nadere toelichting

 

Bewustwording is essentieel in het werken met vertrouwelijke gegevens en kwestbare processen. De organisatie dient een bewustwordingsprogramma te hebben, waarbij alle medewerkers (intern en extern) gewezen worden op hun verantwoordelijkheden ten aanzien van informatiebeveiliging. Onder andere is continu aandacht voor de regels en verplichtingen met betrekking tot informatiebeveiliging en daar waar relevant de speciale eisen voor gerubriceerde omgevingen, zoals de SUWI-omgeving.

Opleiding en training voor informatiebeveiliging behoort periodiek plaats te vinden. De basisopleiding en -training geldt ook voor personen die worden overgeplaatst naar nieuwe functies of rollen met substantieel verschillende eisen ten aanzien van informatiebeveiliging, niet alleen voor nieuwe starters, en behoort plaats te vinden voordat de rol actief wordt.

Voor nieuwe medewerkers en contractanten die gebruikmaken van de informatiesystemen- en diensten, met name SUWI-gerelateerd, geldt dat zij binnen drie maanden na indiensttreding een training i-bewustzijn en/of specifiek een SUWI-gebruikstraining met aandacht voor informatiebeveiliging succesvol hebben gevolgd.

Gemeenten verantwoorden zich alleen over overheidsmaatregel 7.2.2.1. Gemeenten vullen dit ook in ingeval van gebruik van een serviceorganisatie.

 

Hoofdstuk

9

 

Toegangsbeveiliging

Paragraaf

9.2

 

Beheer van toegangsrechten van gebruikers

Control

9.2.1

 

Registratie en afmelden van gebruikers

Toelichting control

 

Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.

Norm / Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

x

 

Scope

 

Toegangsverlening Suwinet

Nadere toelichting

 

Een gebruiker/account is uitsluitend toewijsbaar aan één uniek identificeerbaar natuurlijk persoon, zodat gebruikers kunnen worden gekoppeld aan en verantwoordelijk kunnen worden gesteld voor hun acties.

Toewijzing, wijziging of onttrekking van toegangsrechten Op Suwinetgegevens ( bijv. o.b.v. rollen) gebeurt op een controleerbare manier.

Gebruik van gemeenschappelijke accounts (groepsaccounts) om Suwinet gerelateerde gegevens in te zien, te wijzigen en/of te verwijderen is niet toegestaan, tenzij dit om bedrijfs- of operationele redenen noodzakelijk is, en is vastgelegd o.b.v. een risico-analyse en geaccordeerd door een daartoe bevoegde functionaris. In dergelijke gevallen dient monitoring plaats te vinden.

Controle vindt periodiek plaats op toegewezen autorisaties o.b.v. toegepaste functiescheiding (norm 6.1.1 en 6.1.2)

Gemeenten verantwoorden zich alleen over overheidsmaatregel 9.2.1.1. en 9.2.1.2. Gemeenten vullen dit alleen in op Suwinet-Inlezen en niet op Suwinet-Inkijk.

 

Hoofdstuk

9

 

Toegangsbeveiliging

Paragraaf

9.2

 

Beheer van toegangsrechten van gebruikers

Control

9.2.2

 

Gebruikers toegang verlenen

Toelichting control

 

Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.

Norm / Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

x

 

Scope

 

Toegangsverlening Suwinet, gebruikersaccounts

Nadere toelichting

 

Deze norm hangt samen met 6.1.1 (inrichting), 6.1.2 (functiescheiding), 9.2.1 (procedure).

Alleen gebruikers die op basis van hun rol recht hebben op Suwinet gerelateerde gegevens hebben een toegangsrecht op deze gegevens. De toegangsrechten zijn bepaald o.b.v. een risico-afweging. In de afweging is rekening gehouden met scheiding van taken.

Er is uitsluitend toegang verleend tot informatiesystemen met Suwinet gerelateerde gegevens na autorisatie door een bevoegde functionaris. De profielen van rollen die toegang verschaffen tot Suwinet gerelateerde gegevens worden geautoriseerd door een daartoe bevoegde functionaris/proceseigenaar.

De bevoegdheden worden bijgehouden in een centraal overzicht van toegangsrechten die aan een gebruikersidentificatie zijn toegekend om toegang te verkrijgen tot informatiesystemen en –diensten.

Gemeenten verantwoorden zich alleen over overheidsmaatregel 9.2.2.1 en 9.2.2.2.

 

 

Hoofdstuk

9

 

Toegangsbeveiliging

Paragraaf

9.2

 

Beheer van toegangsrechten van gebruikers

Control

9.2.5

 

Beoordeling van toegangsrechten van gebruikers

Toelichting control

 

Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.

Norm / Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

x

Scope

   

Nadere toelichting

 

Deze norm hangt samen met 6.1.1 (inrichting), 9.2.1 (procedure) en 12.4.1 (incident). Toegangsrechten ( dus ook voor Suwinet gerelateerde gegevens) worden minimaal halfjaarlijks beoordeeld.

Autorisatieprocedures worden minimaal jaarlijks beoordeeld op bevoegde toegang tot Suwinet-gerelateerde gegevens.

Het halfjaarlijks beoordelen van toegangsrechten ingeneriek verband op bevoegde toegang tot Suwinet gerelateerde gegevens wordt als adequaat geboeg gezien. Dit geldt ook voor beoordeling van het doorlopen van in- en uittredingsprocedures.

Beoordeling van speciale Suwinet accounts met speciale bevoegdheden (beheerderaccounts) worden minimaal elk kwartaal beoordeeld op bevoegdheid tot aanmaken, verwijderen en muteren gebruikers/rollen/instellingen die gerelateerd zijn aan inzien of gebruik van Suwinet-gegevens.  

 

Toewijzingen van speciale toegangsrechten behoren regelmatig te worden gecontroleerd om te waarborgen dat speciale toegangsrechten niet onbevoegd zijn verkregen.

 

Van wijzigingen in speciale accounts behoren voor periodieke beoordeling logbestanden te worden bijgehouden.

 

Deze controle compenseert mogelijke zwakke plekken in de uitvoering van beheersmaatregelen 9.2.1, 9.2.2 en 9.2.6.

 

Indien issues worden gevonden ten aanzien van toegang tot Suwinet-gerelateerde gegevens worden die als beveiligingsincident gerapporteerd.

Gemeenten verantwoorden zich alleen over overheidsmaatregel 9.2.5.3.

 

Hoofdstuk

9

 

Toegangsbeveiliging

Paragraaf

9.2

 

Beheer van toegangsrechten van gebruikers

Control

9.2.6

 

Toegangsrechten intrekken of aanpassen

Toelichting control

 

De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast.

Norm / Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

x

 

Scope

 

Toegangsverlening Suwinet

Nadere toelichting

 

 

Deze norm hangt samen met 6.1.1 (inrichting) en 9.2.1 (procedure).

Het lijnmanagement heeft een procedure vastgesteld en geïmplementeerd voor verandering en/of beëindiging van functie binnen de organisatie, waarin minimaal aandacht besteed wordt aan het intrekken van toegangsrechten en innemen van bedrijfsmiddelen die niet meer nodig zijn na het beëindigen van de oude functie. Vastgesteld zal moeten worden dat deze procedure wordt gevolgd.

De toegangsrechten tot Suwinet gerelateerde gegevens en systemen dienen adequaat (tijdig, juist en volledig) te zijn verwijderd na vertrek of functiewijziging van de medewerker / externe gebruikers / contractanten.

Gemeenten verantwoorden zich alleen over overheidsmaatregel 9.2.6.1

 

Hoofdstuk

10

 

Cryptografie

Paragraaf

10.1

 

Cryptografische beheersmaatregelen

Control

10.1.1

 

Gedocumenteerde bedieningsprocedures

Toelichting control

 

Zorgen voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid, authenticiteit en/of integriteit van informatie te beschermen.

Norm / Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

n.v.t.

x

x

x

x

n.v.t.

 

Scope

 

Cryptografie Suwinet inlezen en DKD inlezen

Nadere toelichting

 

Cryptografie is een essentiële maatregel om de vertrouwelijkheid te waarborgen van Suwinet gegevens.


De organisatie heeft cryptografiebeleid opgesteld en vastgesteld, waarin de inzet van cryptografie is voorgeschreven en als zodanig toepast op Suwinet-gerelateerde gegevens.

De organisatie heeft aantoonbaar gemaakt dat cryptografie wordt toegepast op transport en opslag van Suwinet-gerelateerde gegevens indien dat vanuit haar beleid en classificatie is vereist.

Het vereiste beschermingsniveau behoort te worden geïdentificeerd op basis van een risicobeoordeling.

Besluitvorming over het punt of een cryptografische oplossing passend is, behoort te worden beschouwd als deel van het totale proces van risicobeoordeling en het kiezen van beheersmaatregelen.

Deze beoordeling kan vervolgens worden gebruikt om vast te stellen of een cryptografische beheersmaatregel passend is, welk type beheersmaatregel behoort te worden toegepast en voor welk doel en voor welke bedrijfsprocessen.

De organisatie past bij de cryptografie best practices toe en voldoet aan de relevante standaarden van het Forum Standaardisatie.

Gemeenten verantwoorden zich alleen over overheidsmaatregel 10.1.1.1
Gemeenten vullen dit ook in ingeval van gebruik van een serviceorganisatie.

 

Hoofdstuk

12

 

Beveiliging bedrijfsvoering

Paragraaf

12.1

 

Bedieningsprocedures en verantwoordelijkheden

Control

12.1.1

 

Gedocumenteerde bedieningsprocedures

Toelichting control

 

Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.

Norm / Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

x

 

Scope

 

Beheerprocedures

Nadere toelichting

 

 

De focus ligt op beheeractiviteiten en -procedures (o.a. de verschillende ITIL-processen).

 

Bedieningsprocedures en de gedocumenteerde procedures voor systeemactiviteiten behoren te worden behandeld als formele documenten en wijzigingen behoren door de directie te worden

goedgekeurd.

 

Voor beheeractiviteiten die samenhangen met informatieverwerkende en communicatiefaciliteiten, zoals de procedures van ITIL-processen die betrekking hebben op verwerking en behandeling van Suwinet gerelateerde informatie en het monitoren van deze activiteiten, behoren gedocumenteerd te zijn.

 

Functionele en technische beheerhandboeken zijn beschikbaar en actueel m.b.t. de Suwinet-gerelateerde applicaties. Dit kunnen bijvoorbeeld zijn: Installatie en configuratie van systemen, Back-up, Restore, Monitoring, Afhandeling van fouten met betrekking tot Suwinet, ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van onverwachte bedienings- of technische moeilijkheden; procedures voor het opnieuw opstarten en herstellen van het systeem in geval van systeemstoringen.

Naast de bedieningsprocedures zijn de belangrijkste beheerprocessen in relatie tot Suwinet:

  • Change management;
  • Asset en configuration management
  • Incident management
  • Release en deploy management
  • Availability management
  • IT service Continuity management


Let op: het gaat om het beschikbaar hebben van deze procedures en het aantoonbaar hebben van implementatie op basis van deze procedures.
Gebruikersprocedures zijn bij deze control buiten scope: het gaat alleen om beheer. Alleen beheer procedures bij de IT-afdeling en eventueel bij functioneel beheer zijn in scope.


Gemeenten vullen dit alleen in op Suwinet inlezen en niet op Suwinet -inkijk

 

Hoofdstuk

12

 

Beveiliging bedrijfsvoering

Paragraaf

12.4

 

Verslaglegging en monitoren

Control

12.4.1

 

Gebeurtenissen registreren

Toelichting control

 

Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en

informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.

Norm / Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

x

 

Scope

 

Logging

Nadere toelichting

 

Onderstaande toelichting ten aanzien van loggingvereisten is niet van toepassing bij gebruik van Suwinet Inkijk.

De toelichting ten aanzien van security incidenten is wel van toepassing op Suwinet Inkijk.
Logging is essentieel voor het vastleggen van gebruikers en systeembeheer handelingen, maar ook voor het vastleggen uitzonderingen, gebeurtenissen en alles wat maar relevant kan zijn voor een gecontroleerde werking van het systeem en dat achteraf kunnen aantonen.

Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen die
geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen.


De logging bevat minimaal relevante gegevens om een gebeurtenis dat samenhangt met het inzien, wijzigen of verwijderen van Suwinet gerelateerde informatie te herleiden is tot een gebruiker (natuurlijk persoon).

Tevens bevat de logging informatie over wat aan activiteiten aan systemen en data met vermelding van datum en tijdstippen heeft plaatsgevonden, onder andere in- en uitlogtijden, registratie van geslaagde en geweigerde pogingen om toegang te verkrijgen tot het systeem, systeemconfiguratieveranderingen, gebruik van speciale bevoegdheden, alarmen die worden afgegeven door het toegangsbeveiligingssysteem, verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.

Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevatten. Ter bescherming van de privacy behoren passende maatregelen te worden genomen (zie ook 18.1.4).

De logging wordt gemonitord door een Security Incident & Event Management Systeem (SIEM) en/of Security Operations Center (SOC) of een vergelijkbaar tool/proces middels detectie-voorzieningen, om beveiligingsincidenten tijdig te signaleren en daarop actie te ondernemen via het incidentproces.

Security incidenten waarbij Suwinet gerelateerde gegevens zijn betrokken, worden gekenmerkt als SUWI-incident in de incidentregistratie, zoals met de SLA-afspraken is afgestemd (par. 2.4 ketenSLA). Deze worden tevens gemeld aan de Suwidesk van BKWI.

Minimaal eens per jaar is het incident beheerproces beoordeeld op juiste, tijdige en volledige verwerking van Suwinet gerelateerde security-incidenten.
Gemeenten verantwoorden zich alleen over overheidsmaatregel 12.4.1.1
Gemeenten vullen dit alleen in op Suwinet inlezen en niet op Suwinet-Inkijk

 

Hoofdstuk

12

 

Beveiliging bedrijfsvoering

Paragraaf

12.4

 

Verslaglegging en monitoren

Control

12.4.2

 

Beschermen van informatie in logbestanden

Toelichting control

 

Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang.

Norm / Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

n.v.t.

x

x

x

x

x

 

Scope

 

Logging

Nadere toelichting

 

Logging is essentieel voor het vastleggen van gebruikers en systeembeheer handelingen, maar ook voor het vastleggen uitzonderingen, gebeurtenissen en alles wat maar relevant kan zijn voor een gecontroleerde werking van het systeem en dat achteraf kunnen aantonen.
De loggegevens dienen adequaat te zijn beveiligd tegen manipulatie.


Beheersmaatregelen behoren gericht te zijn op het beschermen van informatie in logbestanden tegen onbevoegde veranderingen en tegen operationele problemen met de logvoorziening, met inbegrip van:


a) veranderingen aan de soorten berichten die worden vastgelegd;
b) bewerken of verwijderen van logbestanden;
c) overschrijden van de opslagcapaciteit van de media met de logbestanden, waardoor gebeurtenissen niet meer kunnen worden vastgelegd of eerder vastgelegde gebeurtenissen worden overschreven.

Het is noodzakelijk dat systeemverslagen worden beschermd, want indien gegevens ervan kunnen worden gewijzigd of verwijderd, kan hun bestaan een vals gevoel van veiligheid creëren. Real time kopiëren van bestanden naar een systeem buiten het beheer van een systeembeheerder of –operator kan worden toegepast om bestanden te beveiligen.
Minimaal halfjaarlijks dient te worden vastgesteld dat logbestanden beveiligd zijn tegen manipulatie. Daartoe dient inzicht te zijn in logbestanden die gegevensverwerking en/of -uitwisseling van Suwinet gerelateerde gegevens loggen.


Ten behoeve van loganalyse is op basis van een expliciete risicoafweging de bewaarperiode van de logging bepaald. Binnen deze periode is de beschikbaarheid van de loginformatie gewaarborgd.


Bij constatering dat loggegevens oneigenlijk zijn gewijzigd of verwijderd is dit als beveiligingsincident via de procedure voor informatiebeveiligingsincidenten gemeld (zie norm 12.4.1).


Gemeenten verantwoorden zich alleen over overheidsmaatregel 12.4.2.2

 

Hoofdstuk

18

 

Naleving

Paragraaf

18.1

 

Voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen betreffende informatiebeveiliging en beveiligingseisen.

Control

18.1.4

 

Privacy en bescherming van persoonsgegevens

Toelichting control

 

Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met de relevante wet- en regelgeving.

Norm / Control geldt voor:

 

Norm van toepassing op:

Suwinet Inkijk

Suwinet

Inlezen

DKD

Inlezen

WGS-Inlezen

Eigen organisatie

Dienstenleverancier

x

x

x

x

x

n.v.t.

 

Scope

 

Privacycontrole, inlezen en inkijk

Nadere toelichting

 

Het is essentieel dat rechtmatig gebruik van Suwinet gerelateerde gegevens is geborgd.


De organisatie heeft toezicht op privacy in haar organisatie ingericht. Vaak wordt dit bereikt door een persoon te benoemen die hiervoor verantwoordelijk is, zoals een privacyfunctionaris, die richtlijnen behoort te geven aan managers, gebruikers en aanbieders van diensten over hun individuele verantwoordelijkheden en de specifieke procedures die behoren te worden gevolgd.


Ten behoeve van processen/systemen/projecten waar Suwinet gerelateerde gegevens worden verwerkt /uitgewisseld, worden Privacy Impact analyses (PIA) en/of Gegevensbeschermings Effect Beoordelingen (GEB) uitgevoerd en onderhouden.
Een actueel privacybeleid is beschikbaar en vastgesteld door een daartoe bevoegde functionaris.
Deze nalevingsnorm vraagt aantoonbaarheid van de werking van de normen betreffende autorisatiebeheer en logging.


Autorisatiebeheer dient op orde te zijn (norm 9.2.1, 9.2.2, 9.2.5 en 9.2.6) en o.b.v. logging dient signalering te kunnen plaatsvinden (norm 12.4.4 en 12.4.2) om het gebruik van persoonsgegevens te monitoren, te loggen en regelmatig te beoordelen. Het betreffen systemen waarbinnen Suwinet gegevens verwerkt worden.


De periodieke controles binnen een jaar, op beoordeling van autorisatiebeheer, gebruik Suwinet gerelateerde persoonsgegevens, logging en incidentbeheer, zijn aantoonbaar uitgevoerd.
Gemeenten verantwoorden zich alleen over overheidsmaatregel 18.1.4.2

4. Bijlage Overheidsmaatregelen bij controls (alleen voor gemeenten)

Control

5.1.1

Overheidsmaatregel

5.1.1.1

Er is een informatiebeveiligingsbeleid opgesteld door de organisatie. Dit beleid is vastgesteld door de leiding van de organisatie en bevat ten minste de volgende punten:

a. De strategische uitgangspunten en randvoorwaarden die de organisatie hanteert voor informatiebeveiliging en in het bijzonder de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid.

b. De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden.

c. De toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan lijnmanagers. d. De gemeenschappelijke betrouwbaarheidseisen en normen die op de organisatie van toepassing zijn. e. De frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd.

 f. De bevordering van het beveiligingsbewustzijn.

Gemeenten vullen dit ook in ingeval van gebruik van een serviceorganisatie.

 

Control

5.1.2

Overheidsmaatregel

5.1.2.1

Het informatiebeveiligingsbeleid wordt periodiek en in aansluiting bij de (bestaande) bestuurs- en P&C-cycli en externe ontwikkelingen beoordeeld en zo nodig bijgesteld.

Gemeenten vullen dit ook in ingeval van gebruik van een serviceorganisatie.

 

Control

6.1.1

Overheidsmaatregel

6.1.1.1 en 6.1.1.3

De leiding van de organisatie heeft vastgelegd wat de verantwoordelijkheden en rollen zijn op het gebied van informatiebeveiliging binnen haar organisatie.

De rol en verantwoordelijkheden van de Chief Information Security Officer (CISO) zijn in een CISO-functieprofiel vastgelegd.

Gemeenten vullen dit ook in ingeval van gebruik van een serviceorganisatie.

 

Control

6.1.2

Overheidsmaatregel

6.1.2.1

Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen.

 

Control

7.2.2

Overheidsmaatregel

7.2.2.1

Alle medewerkers hebben de verantwoordelijkheid bedrijfsinformatie te beschermen. Iedereen kent de regels en verplichtingen met betrekking tot informatiebeveiliging en daar waar relevant de speciale eisen voor gerubriceerde omgevingen.

Gemeenten vullen dit ook in ingeval van gebruik van een serviceorganisatie.

 

Control

9.2.1

Overheidsmaatregel

9.2.1.1 en 9.2.1.2

Er is een sluitende formele registratie- en afmeldprocedure voor het beheren van gebruikersidentificaties.

Het gebruiken van groepsaccounts is niet toegestaan, tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.

Gemeenten vullen dit alleen in op Suwinet inlezen en niet op Suwinet -inkijk.

 

Control

9.2.2

Overheidsmaatregel

9.2.2.1 en 9.2.2.2

Er is uitsluitend toegang verleend tot informatiesystemen na autorisatie door een bevoegde functionaris.

Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.

 

Control

9.2.5

Overheidsmaatregel

9.2.5.3

Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.

 

Control

9.2.6

Overheidsmaatregel

9.2.6

De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast.

 

Control

10.1.1

Overheidsmaatregel

10.1.1.1

In het cryptografiebeleid zijn minimaal de volgende onderwerpen

uitgewerkt: (a) Wanneer cryptografie ingezet wordt.

(b) Wie verantwoordelijk is voor de implementatie.

(c) Wie verantwoordelijk is voor het sleutelbeheer.

(d) Welke normen als basis dienen voor cryptografie en de wijze

waarop de normen van het Forum worden toegepast.

(e) De wijze waarop het beschermingsniveau vastgesteld wordt.

(f) Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.

Gemeenten vullen dit ook in ingeval van gebruik van een serviceorganisatie.

Als een gemeente geen gebruik maakt van een serviceorganisatie voor haar IT-dienstverlening dan is de norm “niet van toepassing” voor de serviceorganisatie

 

Control

12.1.1

Overheidsmaatregel

12.1.1

Gedocumenteerde bedieningsprocedures: Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.

Gemeenten vullen dit alleen in op Suwinet inlezen en niet op Suwinet -inkijk.

 

Control

12.4.1

Overheidsmaatregel

12.4.1.1

Een logregel bevat minimaal: (a) de gebeurtenis; (b) de benodigde informatie die nodig is om het incident met hoge mate van zekerheid te herleiden tot een natuurlijk persoon; (c) het gebruikte apparaat; (d) het resultaat van de handeling; (e) een datum en tijdstip van de gebeurtenis.

Gemeenten vullen dit alleen in op Suwinet inlezen en niet op Suwinet -inkijk.

 

Control

12.4.2

Overheidsmaatregel

12.4.2.2

Ten behoeve van de loganalyse is op basis van een expliciete risicoafweging de bewaarperiode van de logging bepaald. Binnen deze periode is de beschikbaarheid van de loginformatie gewaarborgd.

 

Control

18.1.4

Overheidsmaatregel

18.1.4.2

Organisaties controleren regelmatig de naleving van de privacyregels en informatieverwerking en -procedures binnen hun verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.