1 NORA Informatiebeveiliging en Privacy Samenwerken in ketens door Bart Bokhorst, adviseur informatiebeveiliging Belastingdienst/CPP trekker Expertgroep IB vanuit ICTU Jaap van der Veen, regie-architect Informatiebeveiliging Belastingdienst/CPP
2 Inhoud deel I Wat is de NORA? Hoe is NORA IB & P ontstaan? Waar gaat NORA IB & P over? Waarom voor PvIB-ers interessant? Deel II ICT-modellen voor IB- functies
3 Nederlandse Overheid Referentie Architectuur ICTU-programma Kenniscentrum verbeteren overheidsdienstverlening en administratieve lastenverlichting doorontwikkeling elektronische overheid Bureau Forum Standaardisatie (GBO) ontwikkelen raamwerk voor interoperabiliteit Samen verder: NORA, versie 3
4 Wat is NORA versie 3 ? Een samenhangend geheel van modellen, principes, afspraken en toelichtingen Gericht op de samenwerking in ketens 1600 instellingen in federatief verband Voor bestuurder, beleidsmaker, architect Bestuurlijke borging : Ministeries, College Standaardisatie, Regiegroep Dienstverlening etc.
5 Wat is NORA niet? Een enterprise architectuur Een planningsinstrument voor projecten Een nationaal informatieplan Een handboek “Architectuur”
6 Enkele NORA-afspraken Één loket, meerdere kanalen Stelsel van basisregistraties Één (virtueel) overheidsnetwerk Uniformeren van diensten Één identiteitsmiddel voor hele overheid Elektronische communicatie primair
7 NORA community Charter spelregels goedkeuring, lay-out, versie-mgt. Hoofdredactie afstemmen tussen katernen Expertgroepen verantwoordelijk voor inhoud katernen, dossiers Adviesorganen ter ondersteuning besluitvorming
8 NORA elementen Informatie- Beveiliging & Privacy Normen ICT- voorzieningen
9 Totstandkoming NORA IB&P Voorwerk PvIB/NOREA vanaf 2005 Oproep SIG NORA medio 2007 Sponsor Belastingdienst Eind 2007 concept katern gereed Remmende voorsprong op weg naar V.3 Wel katalysatorfunctie voor nieuwe benadering
10 Wet- en regelgeving, standaards Governance E-overheid O m g e v i n g s f a c t o r e n Gem. Voorz., ketens en -partnes Eisen en wensen van: burgers, bedrijfsleven en bestuurders Verantwoording en audit: Standaardnormen en Beheerverslag Ketenoriëntatie: Typen, normen, ICT-modellen Hoog Basisniveau extra’s als ketenverantw. Thema's voor Informatiebeveiliging & Privacy Referentiekader NORA IB&P IB-functies ICT-modellen, standaardisatie, afspraken
11 Algemene afspraken Hoog basisniveau WBP-klasse II Verhoogd Risico Code voor informatiebeveiliging (CvI) CvI aanvullen (op termijn vervangen?) Studierapport Norea/PvIB: “Normen voor de beheersing van uitbestede ICT-beheerprocessen” Normen voor ICT-voorzieningen: voorzet gereed doorontwikkelen relevante onderdelen
12 Achterliggende keuzen Modelleren kwaliteit; geen oplossingen Geen eigen stippen op verre horizon Andere katernen als kader Groeimodel: geen perfectie Praktische, haalbare keuzen: legacy!
13 Wat hebben we eraan? Een openbare en relevante casus voor een Security Architectuur Veel algemeen bruikbare elementen Ketenoriëntatie niet alleen bij overheid Gezamenlijk opbouwen van expertise Uitstraling ook buiten vakgebied Aanmelden!
14 Deel II ICT-modellen voor IB functies Jaap van der Veen
15 Inhoud deel II Vertrekpunt NORA 2.0 IB-aspect, functie, mechanisme, object Basisketen Projectie functies op basisketen Toepassing normen ( 3 voorbeelden ) Beveiligingsniveau Uitwerking standaarden ( voorbeeld KPS )
16 OTP overheidsportal Landelijk Contactcentrum Overheid burger bedrijf Personen Kaart Gebouwen Bedrijven Inkomen L.U.D. Auto’s Adressen Percelen etc. Gemeenten Kadaster KvK Belastingdienst UWV CWI Ministerie overig: 1600 servicebus(sen) NORA 2.0
17 IB aspect, functie, mechanisme, object Waarom Wat Hoe
18 NORA ketens
19 Beveiligingsniveau
20 Projectie van functies op keten Integriteit & Vertrouwelijkheid
21 Projectie van functies op keten Controleerbaarheid
22 Voorbeeld normen: Scheiding Definitie 5: Scheiding is ontkoppeling, zodat beïnvloeding van buitenaf onmogelijk is Doelstelling 5.1: Communicatie van gegevens buiten invloedsfeer van logische en fysieke toegangsbescherming dient door encryptie te worden beschermd Implementatierichtljn: : Transport over internet van gegevens met het basisniveau beveiliging (denk aan VPN technologie zoals SSL-VPN en Ipsec) (Code c, ) Hé waarom kan ik er niet bij?
23 Voorbeeld normen: Grensbescherming Definitie 6: Grensbeschermig is gecontroleerd uitwisselen van gegevens tussen zones Doelstelling 6.3: Gegevensuitwisseling met publiek netwerk dient automatisch inhoudelijk te worden gecontroleerd en ongewenste gegevens worden geblokkeerd Implementatierichtlijn: 6.3-5: Al het gegevensverkeer door de e-service zone wordt real-time inhoudelijk geïnspecteerd op inbraakpogingen m.b.v Intrusion Det. & Prevent.
24 Voorbeeld normen: IAA Definitie 7: IAA is toegang verlenen tot gegevens op basis van aangetoonde identiteit Doelstelling 7.2: Alvorens syst. toegang verleent wordt authenticatie gebr. vastgesteld Implementatierichtlijn: 7.2-3: Bij exern gebruik van ICT voorz. vindt extra authenticatie plaats op basis van One Time Passwords, indien vanuit een onvertrouwde omgeving wordt gewerkt (Code f, )
25 Uitwerken van afspraken (standaarden) voor koppelvlakken
26 Voorbeeld K oppelnet P ublieke S ector