IBD, nu en in de toekomst Regiobijeenkomsten Q4 2014 Anita van Nieuwenborg Teamleider IBD
Agenda Officieel aangesloten gemeenten BIG-producten ICT-Beveiligingsassessment DigiD 2015 IBD en Decentralisaties NRN Verlagen auditlast (ENSIA) Leveranciersmanagement Product & dienst waarderingsonderzoek De IBD is nu 1,5 jaar goed op weg. Gemeenten weten ons goed te vinden voor zowel ondersteuning op incidenten als andere dienstverlening van de IBD, bijv. de producten van de BIG. Een goed moment om met jullie te delen wat de stand van zaken is op een aantal onderwerpen waar de IBD zich mee bezig houdt.
Aansluiten gemeenten Ruim twee derde van alle gemeenten is ‘officieel’ aangesloten bij de IBD Middels regiobijeenkomsten en VCIB-bijeenkomsten Continue inzet op communicatie richting bestuurders en ambtelijk vertegenwoordigers i.h.k.v. ‘officieel’ aansluiten. Roep ook resterende collega-gemeenten op om aan te sluiten: de ketting is zo sterk als de zwakste schakel Het aansluiten van gemeenten gaat gestaag. Twee derde van de gemeenten is inmiddels officieel aangesloten. We hopen nog een paar goede slagen te maken middels deze serie van zes regiobijeenkomsten in Q4. Daarnaast zijn er regelmatig kleinschaliger VCIB-bijeenkomsten verspreid georganiseerd over het land. Verder blijven we samen met VNG natuurlijk continu inzetten op communicatie met gemeentelijk bestuurders over aansluiten en het belang er van. Voordeel is dat bestuurders in principe al op de hoogte zouden moeten zijn door ondertekening van de VNG-resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’. Daarnaast hebben we ook jullie hulp nodig als het gaat om collega gemeenten op te roepen om aan te sluiten.
via info@ibdgemeenten.nl BIG-producten Inmiddels 34 operationele BIG-producten opgeleverd Te vinden op de IBD-community (bewerkbaar) En op de IBD-website (PDF) In de maak zijn o.a.: Samenhang tussen Beveiligingsbeheerprocessen Beleidsdocument ISMS SCADA Mist u nog iets? Laat het ons weten! via info@ibdgemeenten.nl Mbt de BIG producten zijn er al 34 opgeleverd. Deze zijn allemaal te downloaden in pdf via de website of in word via de community. Tevens zijn er nog een aantal in de maak. Wij blijven ook graag op de hoogte van ontwikkelingen binnen gemeentelijke bedrijfsvoering of informatiebeveiligingsbeleid die vragen om een aanpassing of nieuwe producten BIG. Mist u iets, laat het ons weten via info@ibdgemeenten.nl
ICT-Beveiligingsassessment DigiD 2015 Nieuwe richtlijnen Logius Inleveren na 1-1-2015 en voor 1-5-2015 Normenkader blijft (vooralsnog) ongewijzigd Nieuwe aansluiting? Doe binnen 2 maanden het assessment TPM? Maximaal 12 maanden geldig en eenmalig te gebruiken Er is lang onduidelijkheid geweest over de voorwaarden voor het assessment 2014. Logius heeft begin juli eindelijk helderheid geboden over een aantal punten. Een aantal richtlijnen zijn bekend gemaakt via de kamerbrief DigiD van 9 juli. Daarin staat onder meer dat rapporten over het jaar 2014 pas na 1 januari 2015 mogen worden ingediend maar voor 1 mei 2015 ingeleverd moeten zijn. Verder staat er in dat het beveiligingsnormenkader ongewijzigd blijft. Hier is wel een voorbehoud op gemaakt in geval van dringende maatregelen vanuit de minister. Voor nieuwe DigiD aansluitingen geldt dat binnen twee maanden een assessment moet worden ingediend. In de FAQs op de website van Logius is later nog geplaatst dat een TPM maximaal één jaar geldig is en maar éénmalig mag worden gebruikt voor een assessment DigiD. Deze nieuwe en andere FAQs zijn te vinden op de Logius website en natuurlijk die van de IBD. Voor de lessons learned van 2013, het ondersteuningsaanbod van de IBD en voorbeelddocumenten van andere gemeenten, verwijs ik je graag naar onze community. Als het gaat om vragen over ervaring met het traject of auditors e.d. is het verstandig om dit te bespreken met collega-gemeenten. Help elkaar dus ook met tips en trucs op de community bijv. in het kader van het aantrekken van een auditor.
Decentralisaties VISD i.s.m. IBD: ‘Handreiking Informatieveiligheid Sociaal Domein’ (VISD.nl of IBDgemeenten.nl) Pilots Privacy Impact Assessment bij gemeenten Stappenplan Informatiebeveiliging Gemeentelijk Gegevens Knooppunt Gemeenten moeten rekening houden met beveiligings- en privacyaspecten en wet- en regelgeving ihkv de decentralisaties en de organisatie van deze taken. Vanuit het traject VISD is ism de IBD de Handreiking Informatieveiligheid Sociaal Domein gepubliceerd om hier handvatten voor te geven. Naast de producten van de BIG, is de handreiking specifiek bedoeld om richtlijnen mee te geven aan gemeenten om informatiebeveiliging direct mee te nemen in de decentralisaties om veilige gegevensverwerking en uitwisseling in een vroeg stadium te waarborgen. Deze is te downloaden op de websites van VISD en IBD. Samen met het ministerie van BZK wordt bij een viertal een pilot Privacy Impact Assessment uitgevoerd gericht op het sociaal domein binnen de decentralisaties. De aandachtspunten uit deze proef-PIA’s worden gebruikt om voorbeeldmodellen te maken. Gemeenten kunnen met die voorbeelden de privacy borgen bij het uitvoeren van hun taken in het sociaal domein. Daarnaast wordt het rapport van de proef-PIA gebruikt voor een rapportage naar de Tweede Kamer. Tevens werken VISD en IBD nu aan een stappenplan. Hiermee kunnen gemeenten de informatiebeveiliging per domein oppakken met een detailplanning. Tot slot werkt de IBD mee aan een informatieveilige techniek en organisatie achter het Gemeentelijk Gegevens Knooppunt. Het knooppunt ontsluit gegevens uit diverse landelijke ketens en instellingen, gebaseerd op standaarden. Een gemeentelijk gegevensknooppunt is nodig om de gegevensstromen te faciliteren tussen gemeenten en ketenpartners. Dit voorkomt hoge administratieve lasten en beperkt risico’s in de gegevensuitwisseling. De impact van de implementatie van de decentralisaties wordt hiermee lager voor gemeenten en zorgaanbieders.
Nationaal Respons Netwerk (NRN) Initiatief van het NCSC NCSC en ICT-responsorganisaties bundelen ervaringen Kracht zit in het netwerk Partners: o.a. IBD, Belastingdienst, SURFnet en Defensie CERT Samenwerking (bijv. in geval grote incidenten) Het NRN is een initiatief van het NCSC. Samen met haar partnerorganisaties op gebied van incident respons bundelen zij ervaringen en kennis om adequaat te kunnen reageren op incidenten. De kracht zit hem in het netwerk van samenwerkingspartners. Door gezamenlijke werkafspraken, informatie te delen en te investeren in opleidingen, oefeningen, stages en productontwikkeling, kan sneller en effectiever worden gereageerd door gedeelde kennis. Naast de IBD zijn oa de Belastingdienst, SURFnet en DefCERT partners in het NRN.
Verlagen auditlast (ENSIA) VNG, IBD, Auditdienst Rijk en Taskforce BID verkennen mogelijkheden om auditlast te verlagen in ENSIA Horizontale en verticale verantwoording Vervlechten met toezichtsregime informatieveiligheid Pilot bij 9 gemeenten BIG 302 maatregelen BAG PUN DigiD BRP SUWI 23 62 67 34 11 52 79 5 3D ENSIA staat voor Eenduidige Normatiek Single Information Audit. Binnen dit traject dat de TF BID uitvoert in opdracht van BZK, verkennen IBD, TF en ADR de mogelijkheden om de auditlast voor gemeenten te verlagen. Rol van de IBD is het matchen van maatregelen, afstemmen met wetgevers/inspecties, het geven van inhoudelijke kennis over de BIG en gemeenten en als belangenbehartiger voor gemeenten samen met VNG. Om te toetsen of ENSIA-systematiek in de praktijk effectief is, is een pilot gestart bij 9 gemeenten. Op basis van de resultaten en leerpunten wordt het ENSIA Plan van aanpak gemaakt. In september wordt een overdracht- en implementatieplan voorgelegd aan het ministerie van BZK.
Leveranciersmanagement Aanvulling op het ‘KING-Convenant’ Addendum ‘IBD’ Kwetsbaarheidswaarschuwingen Detectiedienstverlening Incidenten BIG Leveranciersdag 7 November BIG: Leverancier spant zich in om haar producten en diensten zodanig te leveren dat gemeenten niet belemmerd worden bij het toepassen van de BIG. Leverancier baseert zich minimaal op de BIG bij het leveren van adviesdiensten aan gemeenten op het gebied van informatiebeveiliging.
Product & dienst waarderingsonderzoek IBD IBD bestaat nu 1,5 jaar Hoe beoordeelt u onze dienstverlening? Feedback gemeenten nodig om aanbod te verbeteren of te verscherpen van GS’sen als IBD-contactpersonen Bekendheid en imago Gebruik en waardering diensten/producten Kwaliteit helpdesk Waardering ondersteuning incidenten Kwaliteit en gebruik BIG producten En natuurlijk: Wat mist er nog? We hebben onder meer gevraagd naar een oordeel over algemene aspecten van de IBD zoals ons imago, de mate van bekendheid, afname van producten en waardering daarvan. Welke communicatiekanalen worden het meest geraadpleegd? Hoe zijn jullie ervaringen met de Helpdesk? Hoe waarderen aangesloten gemeenten de kwaliteit van de ondersteuning op incidenten? Waar zit nog ruimte voor verbetering mbt de BIG? En tot slot natuurlijk, wat wordt nog gemist aan onze dienstverlening?
Doorkijk 2015 Ondersteuning incidenten. Ondersteuning BIG Bewustwording Auditlast Leveranciersmanagement Op dit moment zijn wij druk bezig met het halen van input uit het veld. Daar worden overleggen met verschillende stakeholders voor benut zoals het NCSC, onze opdrachtgever VNG, Taskforce BID en andere KING trajecten. Maar ook hopen we veel input te krijgen vanuit onze primaire doelgroep de gemeenten middels deze regiobijeenkomsten en het product waarderingsonderzoek. Doelstelling voor volgend jaar is in elk geval om datgene wat we nu doen te optimaliseren en nog beter te doen. Bijv. als het gaat om de ondersteuning van incidenten kan de IBD op basis van de leerpunten van dit jaar en behoeften van gemeenten nog doorontwikkelen. De Taskforce BID draagt een deel van haar taken over aan de IBD. VNG, IBD en Taskforce BID zijn hierover in overleg. Een veel gehoord verzoek van gemeenten is ondersteuning bij de implementatie BIG. Om hier alvast op voor te sorteren is dit het centrale thema voor de regiobijeenkomsten dit najaar. Middels praktische werksessies willen we gemeenten handvatten geven om met de BIG aan de slag te gaan. Voor volgend jaar wordt gekeken wat nog meer aan ondersteuning hierin haalbaar is en welke vormen van ondersteuning allemaal mogelijk zijn. Denk aan webinars, intervisiebijeenkomsten, de community enz. Mbt leveranciersmanagement zijn we in gesprek geweest met een aantal belangrijke leveranciers en de Expertgroep van gemeenten om nader te bezien wat de wensen mbt afspraken over ondersteuning aan gemeenten. Wij hopen hier volgend jaar uitvoering aan te kunnen geven. Tot slot blijven we komend jaar inzetten op een goede samenwerking met onze ketenpartners, zoals het NCSC. Er is heel veel gaande op gebied van Informatiebeveiliging. Dubbelingen moeten worden voorkomen om gemeenten niet te overspoelen. Momenteel zijn we daarom ook samen met het NCSC en andere ICT respons partijen bezig om te verkennen hoe we nog beter kennis en ervaring kunnen delen via het NRN. En ook hiervoor geldt dat de keten zo sterk is als de zwakste schakel.
Uitleg programma
Parallelle sessies deel 1 1A BIG-sessie voor kleine gemeenten (CK 2&3) Door Jule Hintzbergen adviseur informatiebeveiliging 1B BIG-sessie voor grote gemeenten (deze ruimte) Door John van Huijgevoort Lunch (Restaurant) Straks gaan we ons verspreiden over 2 ruimtes waarin 2 verschillende sessies worden gegeven omtrent de implementatie BIG. Sessie 1A wordt gegeven door Jule Hintzbergen, adviseur informatiebeveiliging bij de IBD en vindt plaats in deze ruimte. John van Huijgevoort begeleidt sessie 1B voor grote gemeenten en vindt plaats in de Koffiekamer. Daarna is het tijd voor lunch.
Parallelle sessies deel 2 2A VCIB-meldingen (CK 2&3) Door John van Huijgevoort, adviseur informatiebeveiliging 2B Suwinet (deze ruimte) Door Jasja van Ark, senior medewerker Sociaal Domein VNG Plenaire Afsluiting (deze ruimte) Vragenuurtje IBD (deze ruimte) Na de lunch gaan we direct door met parallelle sessies deel 2. Sessie 2A wordt gegeven door John van Huijgevoort en vindt plaats in deze ruimte. Sessie 2B wordt begeleid door Jasja van Ark en vindt plaats in de Koffiekamer. Rond 15:00 willen we plenair afsluiten. Na de plenaire afsluiting is er nog gelegenheid voor een 1 op 1 gesprek met een IBD adviseur. Heeft u zich hier niet voor opgegeven, maar zou u dit nog wel willen, spreek dan even iemand aan van de IBD om te kijken of er nog een plekje is. Tussendoor kunnen gespreksleiders naar eigen inzicht pauzes inlassen voor koffie/thee en er is nu ook nog gelegenheid om nog even een kopje koffie of thee te pakken.
Vragen? Zijn er nog vragen? Ik wens u een leerzame dag toe!