Beveiliging en Privacy

Uit PETRA Wiki
Ga naar: navigatie, zoeken

Hoofdpagina


Inhoud



Door de toenemende digitalisering is het zorgvuldig omgaan met de gegevens van burgers, bedrijven en partners ook voor provincies van groot belang. Daarom is er nu de Interprovinciale Baseline Informatiebeveiliging.

De baseline is bedoeld om alle provincies op een vergelijkbare manier te laten werken met Informatiebeveiliging. Het geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden.

De Interprovinciale Baseline Informatiebeveiliging is tot stand gekomen door een intensieve samenwerking van elf provincies, in opdracht van het IPO.

Informatiebeveiliging, waarom nu?

Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen van de provincie. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Dat is, in twee zinnen, de bestaansreden van informatiebeveiliging. Het opnemen van informatiebeveiliging als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze, maar een noodzaak.

Deze noodzaak komt onder meer voort uit de toenemende digitalisering van de provinciale dienstverlening, waardoor de afhankelijkheid van de geautomatiseerde informatieverwerking steeds verder groeit. Maar het is niet alleen de automatisering. De samenwerking met andere overheden (in ketensamenwerking) en contacten met burgers en bedrijven wordt steeds vaker digitaal van aard. Dit legt (deels nieuwe) eisen op aan de kwaliteit van de informatievoorziening van de provincie. Al was het maar dat van digitale dienstverlening vaak verwacht wordt dat deze 24 uur per dag en 7 dagen per week beschikbaar is. Daarnaast spelen wet- en regelgeving is een belangrijke rol. De WBP (Wet Bescherming Persoonsgegevens) en de Archiefwet zijn voorbeelden van wetten die eisen stellen aan de verwerking en opslag van informatie. Tot slot is er de maatschappelijke verantwoordelijkheid die een overheidsinstantie tegenover de inwoners en bedrijven heeft. Van de provincie mag verwacht worden dat zij zorgvuldig omgaat met de gegevens die zij beheert, en dat de gegevens die zij levert juist, accuraat en tijdig zijn.

Kortom, structurele aandacht voor de betrouwbaarheid van de informatievoorziening, het domein van informatiebeveiliging, helpt de provincie bij een goede invulling van haar maatschappelijke taken. Een goede borging van informatiebeveiliging zorgt voor een betere betrouwbaarheid van de informatievoorziening en een grotere continuïteit van de provinciale bedrijfsvoering.

De definitie van Informatiebeveiliging

Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.

* Integriteit is de eigenschap dat de nauwkeurigheid en volledigheid van bedrijfsmiddelen wordt beveiligd.

* Vertrouwelijkheid is de eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen. 

* Beschikbaarheid is het kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit. 

Bron: NEN-ISO/IEC-27001 en 27002

De scope van informatiebeveiliging

Informatiebeveiliging gaat over de betrouwbaarheid van de informatievoorziening van een organisatie, en heeft tot doel risico’s tot een acceptabel niveau terug te brengen. Voor een juiste borging van dit kwaliteitsaspect is een evenwichtig stelsel van maatregelen nodig. Deze maatregelen zijn divers van aard, en verspreid over alle onderdelen en hiërarchische niveaus van een organisatie. Dit wordt geïllustreerd in het architectuurmodel van NORA (zie figuur 3).

Informatiebeveiliging reikt dan ook verder dan alleen de geautomatiseerde informatiesystemen en de ICT-infrastructuur. Zaken zoals toegangsbeveiliging, personeel, beleid en bureauveiligheid horen ook tot haar werkgebied. Informatiebeveiliging kan daarom niet alleen het domein van de afdeling I&A zijn. Informatiebeveiliging omvat alle informatie die een organisatie nodig heeft om haar processen naar behoren uit te kunnen voeren. Naast procedurele en technische maatregelen is met name het gedrag van mensen van belang voor een effectieve informatiebeveiliging. Ook dat is een reden waarom informatiebeveiliging niet de verantwoordelijkheid van één directie of afdeling kan zijn.

Vaak worden maatregelen alleen getroffen op technisch gebied. Informatiebeveiliging bestaat echter uit de aandachtsgebieden: mens en organisatie, basisinfrastructuur en ICT.

Mens en Organisatie

Hierbij gaat het om werkwijzen (manieren, routines, gewoonten, gedrag). Maatregelen bestaan uit procedures (AO) en het creëren van bewustzijn voor informatiebeveiliging.

Basisinfrastructuur

De basisinfrastructuur betreft onder meer:

  • Elektriciteitsvoorziening;
  • Telecommunicatievoorzieningen;
  • Gebouwen en toegang.

Een voorbeeld van een beveiligingsmaatregel is de noodstroomvoorziening.

ICT

Bij ICT gaat het om:

  • Applicaties en gegevensverzamelingen;
  • ICT infrastructuur (computers, netwerkapparatuur en randapparatuur);
  • ICT programmatuur van de ICT infrastructuur (diverse besturingsprogramma’s).

Beveiligingsmaatregelen in dit vlak zijn bijvoorbeeld het opstellen van reserveapparatuur (redundantie) en het installeren van antivirusprogramma’s.

Integratie is belangrijk

Het is van belang dat de focus op het geheel van de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en ICT gericht wordt. Het nemen van technische maatregelen alleen, is onvoldoende. Veelal wordt gesteld dat het bewustzijn van de gebruiker de belangrijkste basis is voor een goede informatiebeveiliging. Inderdaad: onbewuste gebruikers, nemen onbewust veel risico’s. Er zijn ook gebruikers die bewust risico lopen zoals de medewerker die nog even een rapport op tijd af wil krijgen en vertrouwelijke informatie op een USB-stick zet om er thuis verder aan te werken. Dit is met beveiliging op het gebied van ICT en toegangsbeveiliging slechts ten dele weg te nemen. De diverse maatregelen (uit de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en ICT) moeten daarom in samenhang worden genomen. Alleen op deze wijze kan er sprake zijn van een goed informatiebeveiligingsbeleid[1].

Standaard werkwijze en richtlijn voor maatregelen

Bij het treffen van maatregelen moet altijd een afweging gemaakt worden tussen enerzijds de werkbaarheid en anderzijds de (noodzakelijke) beveiliging van de informatie in het proces. De te nemen maatregelen moeten in verhouding staan tot de grootte van het risico. Het proces mag bijvoorbeeld niet gefrustreerd worden door maatregelen die slechts een marginale verlaging van een risico betekenen. Dus maatregelen moeten gericht zijn op het garanderen van continuïteit en betrouwbaarheid van de informatievoorziening op een niveau dat past bij de behoefte vanuit de primaire provinciale organisatie. Daarom worden maatregelen geselecteerd op basis een risicoanalyse/risicoafweging die in de primaire organisatie wordt gemaakt. De Coördinator Informatiebeveiliging heeft hierbij een adviserende en faciliterende rol. De organisatie maakt daarbij gebruik van de Interprovinciale Business Impact Analyse en de Interprovinciale Baseline Informatiebeveiliging als richtlijn voor de te nemen maatregelen.

Deze Interprovinciale Baseline Informatiebeveiliging geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden.

Daarmee zorgt de Interprovinciale Baseline Informatiebeveiliging ervoor dat:

  • Alle provincies op een vergelijkbare manier werken met Informatiebeveiliging;
  • Het duidelijk is voor ketenpartners welke eisen provincies stellen aan informatiebeveiliging;
  • Provincies een sterkere positie kunnen innemen bij leveranciers van ICT-systemen en ICT-diensten door deze eisen aan informatiebeveiliging mee te nemen.

Informatiebeveiliging is dus een begrip dat alle 3 de lagen van het Architectuurraamwerk voor bedrijfsinrichting raakt. In de volgende paragrafen worden de beveiligings- en privacy aspecten en principes van de 3 lagen achtereenvolgens besproken.

Voetnoten

  1. De standaard “NEN-ISO/IEC-27001/27002” heeft de integratie van de drie aandachtsgebieden ook als basis.

HierarchyPrevious.gif Beheer | Beveiligingsprincipes Bedrijfsarchitectuur HierarchyNext.gif