Leveranciersbijeenkomst ibd

100 %
0 %
Information about Leveranciersbijeenkomst ibd

Published on March 7, 2014

Author: KING_Gemeenten

Source: slideshare.net

Informatiebeveiligingsdienst Leveranciersdag, 7-3-2014 Anita van Nieuwenborg Teamleider IBD

Agenda 1. 2. Het stappenplan ‘Aansluiten bij de IBD’ 3. De IBD en leveranciers 4. 2 Dienstverlening van de IBD Vragen?

De IBD  Gezamenlijk initiatief VNG en KING  Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning als het gaat om informatiebeveiliging  I.s.m. het Nationaal Cyber Security Centrum (NCSC)  Voor alle gemeenten  Sinds 1 januari 2013 actief • Tot medio 2013: start inrichting en voorbereiding op uitrol  Vanaf medio 2013  3 Dienstverlening gefaseerd inrichten en uitbouwen

Doelen van de IBD 4

Dienstverlening m.b.t. Doel 3: Projecten  Ondersteuning t.b.v. het ICT-Beveiligingsassessment DigiD 5

Of..  De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)   Strategische Baseline Informatiebeveiliging Gemeenten Tactische Baseline Informatiebeveiliging Gemeenten Operationele producten BIG • • • • • • • • • • • • 6 Patch management Handreiking dataclassificatie Handleiding screening personeel Anti-malware beleid Mobile Device Management Mobiele gegevensdragers Back-up en Recovery Gemeente Implementatie BIG Voorbeeld Informatiebeveiligingsbeleid Gemeenten GAP-analyse Geheimhoudingsverklaringen BIG ….

Of..  Verlagen van de Auditlast  NORA Katern IB  Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID)  Centrum Informatiebeveiliging en Privacybescherming (CIP)  Eenduidige Normatiek en Single Information Audit (ENSIA) 34 79 5 52 62 11 34 23 67 62 BIG 302 maatregelen 7

Alle gemeenten zijn aangesloten, echter… 8

Het stappenplan ‘Aansluiten bij de IBD’ Stap 1: Het aanstellen van een Algemene Contactpersoon Informatiebeveili ging (ACIB) 9 Stap 2: Het aanstellen van een Vertrouwd Contactpersoon Informatiebeveili ging (VCIB) Stap 3: Het doorgeven van IP-adressen en URL’s Stap 4: Het doorgeven van in gebruik zijnde hard- en software (gemeentelijke ICT-foto)

Aansluiting bij de IBD De IBD heeft een dienstenportfolio ontwikkeld :  Een deel afneembaar zonder gemeentelijke aansluiting  Een deel afneembaar alleen met gemeentelijke aansluiting • Om gemeente concrete ondersteuning in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging te bieden is een ‘officiële’ aansluiting bij de IBD nodig. • Het ‘officieel’ aansluiten van elke gemeente bij de IBD, gaat gefaseerd en door opschaling. • De IBD heeft concrete gemeentelijke informatie nodig om gericht te kunnen handelen. Wat houdt deze dienstverlening in? 10

Incidentpreventie • Waarom deze dienstverlening?  Het doel is het voorkomen van incidenten.  Dit door gemeenten zo snel als mogelijk te informeren over algemene en gemeenten specifieke dreigingen  En kennis te verspreiden over recente en belangrijke onderwerpen • Wat houdt deze dienstverlening in?  De IBD ontvangt regelmatig informatie over mogelijke virusuitbraken of (malware-) besmettingen.  De IBD beschikt over informatie over incidenten en ‘bijna-ongelukken’ (bij gemeenten). Deze gebruikt de IBD om gemeenten preventief te informeren.  Gemeenten krijgen zo meer inzicht in incidenten die bij collega-gemeenten hebben plaatsgevonden. Zo kunnen ze gelijksoortige incidenten voorkomen en het beveiligingsbewustzijn vergroten.  De IBD zal daarnaast d.m.v. factsheets en whitepapers kennis over belangrijke onderwerpen beschikbaar stellen 11

Incidentpreventie: Kwetsbaarheidswaarschuwingen • • Wat houdt deze dienstverlening in?  De IBD ontvangt via het NCSC informatie vanuit een groot aantal (inter)nationale bronnen die de digitale wereld voortdurend in de gaten houdt.  De IBD destilleert de informatie die van belang is voor gemeenten.  De NCSC stelt een beveiligingsadvies op, en de IBD gebruikt deze voor het maken van zogenaamde Kwetsbaarheidswaarschuwingen.  De IBD stuurt relevante Kwetsbaarheidswaarschuwingen door aan de gemeenten die gebruik maakt van deze dienstverlening. • 12 Waarom deze dienstverlening?  Het doel is het voorkomen van incidenten. Dit door gemeenten zo snel als mogelijk te informeren over bij de IBD bekende aankomende of acute ICTgerelateerde beveiligingsrisico’s, zoals kwetsbaarheden in soft- en/of hardware. Hoe ziet een Kwetsbaarheidswaarschuwing eruit?  De Kwetsbaarheidswaarschuwing bestaat uit een beschrijving van het probleem, informatie over oplossingen of workarounds en een risicoanalyse.

Incidentdetectie • • Wat houdt deze dienstverlening in?  De IBD ontvangt informatie over besmettingen afkomstig van open en gesloten databronnen. Deze informatie kan bestaan uit IP-adressen of URL’s van systemen.  De IBD stelt vast of gemeenten betrokken zijn bij een besmetting.  Als dit het geval is, worden deze gemeenten door de IBD op de hoogte gesteld. • 13 Waarom deze dienstverlening?  Het doel is het tegengaan van verdere verspreiding van mogelijke virussen, wormen, botnetten en aanvallen van buitenaf. De IBD waarschuwt die gemeenten waarvan bekend is dat ze geïnfecteerde systemen hebben. Gebruik maken van deze dienstverlening  De IP-adressen en URL’s die bij de gemeente in gebruik zijn. Deze worden versleuteld per email verstuurd naar de IBD.

Incidentcoördinatie • • Wat houdt deze dienstverlening in?  Wanneer een incident zich bij één of meer gemeenten voordoet, adviseert de IBD de betreffende gemeenten over de technische en organisatorische afhandeling van incidenten  De IBD assisteert met concreet advies en telefonische ondersteuning door ervaren incidentmanagers.  Bij ernstige of complexe incidenten kan de IBD de hulp inroepen van het NCSC en/of gemeenten adviseren een marktpartij in te schakelen • 14 Waarom deze dienstverlening?  Het doel is, in het geval van incidenten, het beperken van de technische-, financiële- en imagoschade voor gemeenten en het voorkomen van verspreiding van deze incidenten. Welke incidenten?  Grootschalige verstoringen van bedrijfsnetwerken  Aanvallen door hackers  DDoS-aanvallen  Virusbesmettingen  WOB-verzoeken

Samenwerking met leveranviers 15

Gemeenten en leveranciers bepalen samen het niveau van informatiebeveiliging  Gemeenten besluiten collectief om de BIG te implementeren. Veel maatregelen in de BIG stellen eisen aan de producten en diensten van leveranciers.  Gemeenten verwachten van hun leveranciers dat hun producten en diensten de gemeente in staat stelt te gaan voldoen aan de eisen van BIG. Hierover worden tussen de gemeenten en leveranciers afspraken gemaakt.  Leveranciers kunnen ook profiteren van ondersteuning van de CERT functie die de IBD uitoefent voor gemeenten.  Leveranciersmanagement van de IBD is erop gericht deze afspraken tussen gemeenten en leveranciers te ondersteunen. Het speelveld dat hiermee gedefinieerd wordt is breed en vraagt om keuzes om op korte termijn effectief te kunnen zijn. 16

Niveau van ondersteuning per regiemodel De impact die leveranciersmanagement van de IBD kan hebben neemt toe naarmate de gemeente zelf minder regie voert over de ICT dienst. Regiemodel Gebruiker: In dit model is de impact van leveranciersmanagement het grootst. In aanvulling op het regiemodel Inkoper heeft de leverancier ook de verantwoordelijkheid voor de implementatie en het beheer. Actieve samenwerking met leveranciers mbt incidentdetectie en coördinatie is een optie. Regiemodel Inkoper: De impact van leveranciersmanagement is beperkt tot de onderkende kwetsbaarheden en functionaliteit in de aangekochte oplossingen en de onderliggende technische componenten die de leverancier hiervoor gebruikt. Regiemodel Ontwikkelaar: Gemeenten voeren zelf de regie over alle relevante keuzes bij de totstandkoming, implementatie en het beheer van de ICT oplossing. De rol van leveranciersmanagement is beperkt tot de onderliggende componenten die gebruikt worden bij de realisatie, zie regiemodel Inkoper. 17

Convenant (Afspraken tussen IBD en leveranciers) Voorbeeld onderwerpen waar we afspraken over zouden kunnen maken; 1. IBD monitort risico’s op onderliggende ICT componenten (foto leverancier). 2. IBD monitort ook de IP-adressen van de productie-omgevingen van leveranciers 3. Incidenten vanuit IBD worden direct voor alle gemeenten met dezelfde risico’s opgepakt. 4. Leverancier zal binnen een bepaalde termijn (afh risico) een werkbare oplossing realiseren en terugkoppelen aan de gebruikers en de IBD. 5. Leverancier is bereid mee te denken over de ontwikkeling van nieuwe normenkaders (bv Secure Software/Hosting etc) 6. Oplossingen van leveranciers voldoen aan de normen en eisen waar de gemeenten aan moeten voldoen (zowel functioneel als non-functioneel) 18

Samen staan we sterk 19

4. Vragen? 20

Add a comment

Related presentations

Related pages

Leveranciersbijeenkomst KING - Informatiebeveiligingsdienst

De leveranciersbijeenkomst van KING is voor productmanagers, experts, marketeers, e-adviseurs en gebruikersverenigingen. De bijeenkomsten duren van 09.30 ...
Read more

Leveranciersbijeenkomst KING - Informatiebeveiligingsdienst

De leveranciersbijeenkomst van KING is voor productmanagers, experts, marketeers, e-adviseurs en gebruikersverenigingen. De bijeenkomsten duren van 09.30 ...
Read more

Leveranciersbijeenkomst ibd - Documents

Leveranciersbijeenkomst outline marktscan leveranciersbijeenkomst 1. Marktconsultatie & Marktscan vISD Realisatieprogramma Vrijdag 13 juni 2014 Wijnand ...
Read more

KINGgemeenten.nl | De kracht van informatie

In samenwerking met KING/VNG schreven Pieter Hilhorst en Jos van der Lans elke twee weken over de decentralisaties op werkvloer en samenleving.
Read more

Leveranciersbijeenkomst big - Documents

Leveranciersbijeenkomst ibd Big Data, Big Deal 1. BIGDATABig Deal 2. big data. waarom? 3. Google trends: Big data 4. Greenberry Gastcollege 5. 90 %van ...
Read more

Nut en noodzaak van de Bewerkersovereenkomst ...

Volg de werksessie van de Informatiebeveiligingsdienst voor gemeenten (IBD) ... 17 jun 2016: leveranciersbijeenkomst; 17 jun 2016: Leveranciersbijeenkomst;
Read more

Leveranciersbijeenkomst visd projectgegevensuitwisseling

Information about Leveranciersbijeenkomst visd projectgegevensuitwisseling. Published on October 7, 2014. ... Leveranciersbijeenkomst ibd. Tweet. 07. 03. 2014
Read more

HTA Software ondertekent IBD addendum op KING bijeenkomst ...

Op vrijdag 7 november 2014 was HTA Software één van de deelnemers van de leveranciersbijeenkomst KING Kwaliteits Instituut Nederlandse Gemeenten.
Read more