Voor professionals die werken aan digitalisering van de overheid

Logo Rijksoverheid, naar de homepage

Let op de veiligheid van technologie

Technologie moet op drie niveaus veilig zijn: de fysieke veiligheid in onze openbare ruimte, de persoonlijke veiligheid van het individu en de veiligheid van sociale groepen. Goede beveiliging gaat niet alleen over bescherming tegen kwaadwillenden, maar bijvoorbeeld ook over onvolkomenheden in veiligheidsprocessen en over veiligheidsbewustzijn onder medewerkers. Daarom is het van belang dat bij innovatie veiligheidsmaatregelen worden getroffen op het niveau van de organisatie, werkprocessen, technische infrastructuur en software.

  1. Maak informatiebeveiliging onderdeel van het proces.
  2. Werk aan bewustwording van veiligheidsprincipes.

1. Maak informatiebeveiliging onderdeel van het proces

Kwetsbaarheden in technologie kunnen ernstige gevolgen hebben. Een cyberaanval op de deltawerken kan bijvoorbeeld de algemene veiligheid in gevaar brengen. Maar onveilige technologie kan ook leiden tot persoonlijke inbreuken, bijvoorbeeld via ongemerkte beïnvloeding van besluitvorming. Niet alleen de technologie moet veilig zijn, maar ook de manier van werken. Je kunt er bijvoorbeeld voor zorgen dat elke ‘module’ (een proces, gebruiker of programma) alleen toegang krijgt tot de informatie en bronnen die noodzakelijk zijn voor het legitieme doel.

Normen en handreikingen voor informatiebeveiliging

Baselines Informatiebeveiliging beschrijven wat overheidsorganisaties moeten doen om hun informatiebeveiliging op orde te houden. Op dit moment bestaan er voor de verschillende lagen van de overheid nog aparte baselines informatiebeveiliging. Vanaf 1 januari 2020 is er een overkoepelende baseline voor de overheid van kracht: de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast zijn er specifieke producten en diensten voor informatiebeveiliging beschikbaar:

Concepten om veiligheid direct mee te nemen in ontwerp

Met de uitgangspunten van het concept Security by Design zet je veiligheid al tijdens de ontwerpfase van een technologie centraal. Hiermee maak je het gebruikers makkelijk om veilig gebruik te maken van die technologie. Er zijn diverse instanties en bedrijven die Security by Designconcepten en/of -principes hebben geformuleerd.

Normen, handreikingen en concepten

Basistoets voor benodigd beveiligingsniveau BIO Toets om te bepalen of een proces, informatiesysteem en/of informatie een bepaald Basis Beveiligings Niveau (BBN) heeft binnen de Baseline Informatiebeveiliging (BIO), of meer maatregelen nodig heeft. Informatiebeveiligingsdienst
Webinar over BIO Toelichting op de Baseline Informatiebeveiliging (BIO) door Jeanne-Marie Langen van ENSIA en Kees Hintzbergen van de Informatiebeveiligingsdienst (IBD) in een video van 41 minuten. Informatiebeveiligingsdienst
Operationele kennisproducten en implementatieondersteuning BIO Overzicht van diverse handreikingen, factsheets, formats en voorbeelden, ingedeeld volgens de hoofdstukken van de Baseline Informatiebeveiliging (BIO). Informatiebeveiligingsdienst

Bio-overheid.nl Het portal voor de BIO. Hier vindt u best practices rond de BIO. Gebruik bijvoorbeeld de verwijzingsmatrix voor het zoeken van handreikingen bij onderdelen van de BIO. Download ook de BIO-Self Assessment (BIO-SA) en zie wat het volwassenheidsniveau is van de organisatie in het volgen van de BIO en wat je nog te doen hebt om verder te komen. Ministerie van BZK en CIP

Inkoopeisen Cyber Security Overheid (ICO) Met ICO-Wizard selecteer je scherpe IB&P-eisen die passen bij de aanbesteding die je doet. Een manier om als overheid goed huisvaderschap en goed opdrachtgeverschap in praktijk te brengen. De eisen zijn gebaseerd op enerzijds de BIO en anderzijds wereldwijd geaccepteerde normenkaders. Ministerie van BZK en CIP

Concepten voor ontwerp

Tools

Secure Coding Practices (Pdf, 248 Kb) Checklist met praktische tips en adviezen om op een veilige manier nieuwe software te ontwikkelen, ingedeeld op thema. Open Web Application Security Project (OWASP)
Handreiking ‘Grip op Secure Software Development Handleiding voor het werken met de methode Secure Software Development (SSD), een methode die voorafgaand aan de ontwikkeling al eisen voor informatiebeveiliging meegeeft aan de leverancier. Centrum voor Informatiebeveiliging en Privacybescherming (CIP)

2. Werk aan bewustwording van veiligheidsrisico’s

Menselijke fouten zijn nog steeds de belangrijkste bron van veiligheidsincidenten. Bewustzijn van veiligheidsrisico’s kan fouten voorkomen, maar honderd procent veiligheid bestaat niet. Daarom is het belangrijk om het risico op fouten bespreekbaar te maken en te bepalen hoe je gemaakte fouten nog kunt corrigeren. Wanneer een bestand met medische gegevens bijvoorbeeld per ongeluk naar een verkeerd mailadres wordt verstuurd, is dat moeilijk te herstellen. Zo’n vergissing is menselijk, maar kan het vertrouwen van de burger in de overheid ernstig schaden.

Instrumenten om te werken aan veiligheidsbewustzijn

Het veiligheidsbewustzijn van medewerkers is belangrijk voor zowel het ontwerp- en implementatieproces als voor het gebruik van een innovatie. Online zijn vele instrumenten te vinden die hierbij kunnen helpen. Een deel hiervan richt zich specifiek op managers en bestuurders.

Voorbeelden bij bewustwording

Voorbeelden van bewustwordingscampagnes van gemeenten Overzicht van bewustwordingscampagnes van gemeenten die zich richten op inwoners en bedrijven. Informatiebeveiligingsdienst
Voorbeelden van producten voor bewustwording Producten die vrij kunnen worden gedownload en gebruikt, waaronder voorbeelden van e-learning modules en campagnes, inclusief tips om deze effectief in te zetten. Centrum voor Informatiebeveiliging en Privacybescherming (CIP)
Wees voorbereid Bekijk de bewustwordingsinstrumenten en games van de Toolbox Cyberincident.

Vraag, idee, reactie of suggestie?

Werk je aan de digitalisering van de overheid en heb je een vraag of een idee? Reageer via het contactformulier