Informatie beveiligingsbeleid

Informatie beveiligingsbeleid

Datum:            1 november 2018        
Auteurs:          Directie
Versie:             1.0

Inhoudsopgave

1 Inleiding

2 Informatiebeveiliging

2.1 Definitie

2.2 Doelstellingen

3 Beleidsuitgangspunten

4 Organisatie

5 Informatiebeveiliging documenten

5.1 Informatie beveiligingsbeleid

5.2 Baseline van beheersmaatregelen

5.3 Policies

5.4 Diensten overeenkomsten (SLA’s), inhuur- en uitbestedingscontracten

6 Controle en naleving

7 Verantwoordelijkheden

8 Beleidsbeschrijvingen

8.1 Software-middelen

8.2 Hardware-middelen

8.3 Netwerkbeveiliging

8.4 Change-management

8.5 Incidentmanagement

8.6 Back-up en recovery

8.7 Disaster Recovery

8.8 Kwetsbaarheden

8.9 Rollen en toegangsrechten

8.10 Softwareontwikkeling en onderhoud

1. Inleiding

ProPropertyPartners onderdeel van de ArxGroep. De ArxGroep is een jong, dynamisch en snel groeiend bedrijf gevestigd in Amsterdam maar landelijk actief binnen de vastgoed sector. ArxGroep beheert 4 bedrijven welke actief zijn op verschillende disciplines, namelijk verhuur, beheer en aan-en afsluitservice en technische calamiteiten.

Kritische informatie beveiligings incidenten zouden een dermate hoge impact hebben op de continuïteit van de activiteiten van ArxGroep, dat ArxGroep heeft besloten om een informatie beveiligingsbeleid op te stellen en bijbehorende procedures te implementeren en verder te formaliseren. In dit document wordt het beleid met de bijbehorende uitgangspunten beschreven. Informatiebeveiliging

2. Informatiebeveiliging

2.1 Definitie

Informatiebeveiliging wordt als volgt gedefinieerd: Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen.

Informatiebeveiliging richt zich hierbij op de volgende kwaliteitsaspecten van informatievoorziening (afgekort BIV):

  • Beschikbaarheid: de informatie moet op de gewenste momenten beschikbaar zijn;
  • Integriteit: de informatie moet juist en volledig zijn en de informatiesystemen moeten juiste en volledige informatie opslaan en verwerken;
  • Vertrouwelijkheid: de informatie moet alleen toegankelijk zijn voor degene die hiervoor bevoegd is.

Hierbij gaat het ook om de controleerbaarheid van de maatregelen die genomen zijn om deze kwaliteitsaspecten te borgen.

2.2 Doelstellingen

Bij Arx Groep is er sprake van een grote afhankelijkheid van informatie en computersystemen, waarmee kwetsbaarheden en risico’s kunnen optreden. Het is van belang hiertegen adequate maatregelen te nemen. Immers, onvoldoende informatiebeveiliging kan leiden tot onacceptabele risico’s voor het bedrijfsproces van ArxGroep. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schade en imagoverlies. Informatiebeveiliging zelf is voor ArxGroep géén corebusiness, maar als er geen informatie beveiligingsmaatregelen getroffen zijn kan dit wel ten koste gaan van de corebusiness.

Het informatie beveiligingsbeleid heeft de volgende doelstellingen:

  • Het biedt een kader om (toekomstige) beheersmaatregelen in de informatiebeveiliging te  toetsen aan een vastgestelde best practice (of norm) en om de taken, bevoegdheden en   verantwoordelijkheden te beleggen;
  • Het vormt de basis voor de inrichting van het ArxGroep informatie beveiligingsmanagement, waarvoor het framework ISO27000 als inspiratie diende;
  • Beheersmaatregelen worden genomen op basis van best practices;
  • Compliance: het beleid biedt de basis om te voldoen aan wettelijke voorschriften. 

De ArxGroep heeft de ambitie om met het onderhavige beleidsdocument informatiebeveiliging structureel naar een hoger niveau te brengen. Formele certificering conform ISO27001 is door ArxGroep het uiteindelijk doel.

Het informatie beveiligingsbeleid bij ArxGroep is van toepassing op iedereen die intern dan wel extern op enige manier te maken heeft met (aspecten van) het bedrijfsproces bij ArxGroep.

Tevens vallen onder het informatie beveiligingsbeleid in beginsel alle door ArxGroep beheerde apparaten van waaraf geautoriseerde toegang tot (diensten van) het ArxGroep netwerk verkregen kan worden, te weten servers, werkstations, laptops, maar ook alle mobiele apparaten inclusief smartphones, tablets e.d. Ondanks dat ArxGroep geen verantwoordelijkheid draagt ten aanzien van de onbeheerde apparaten valt het gebruik hiervan op het ArxGroep netwerk in combinatie met ICT faciliteiten van ArxGroep ook onder dit informatie beveiligingsbeleid.

Bij het informatiembeveiligingsbeleid ligt de nadruk op die toepassingen die vallen onder de verantwoordelijkheid van ArxGroep. Dit heeft zowel betrekking op gecontroleerde informatie, die door ArxGroep zelf is gegenereerd en wordt beheerd, als ook op niet-gecontroleerde informatie, bijvoorbeeld uitspraken van medewerkers op social media.

3. Beleidsuitgangspunten

Informatie beveiligingsmanagement is als proces ingericht. De ArxGroep kiest voor een planning en controlecyclus weke bestaat uit plannen, implementeren en documenteren van beheersmaatregelen, interne audits uitvoeren van de beheersmaatregelen gebaseerd op in control statements en het structureren en evalueren van de resultaten van deze audits en deze vertalen naar nieuwe planningen.

Uitgangspunten hierbij zijn:

  • ArxGroep voldoet aan alle, van toepassing zijnde, wet- en regelgeving;
  • Beveiliging van informatie is een onderdeel van de integrale managementverantwoordelijkheid. De verantwoordelijkheden voor informatiebeveiliging zijn toegewezen en vastgelegd binnen de organisatie;
  • ArxGroep is pleitbezorger van goede informatiebeveiliging en privacy en de bijbehorende bewustwording;
  • De beveiliging dient de volgende aspecten te waarborgen:
    • Beschikbaarheid;
    • Integriteit;
    • Vertrouwelijkheid.
  • ArxGroep heeft maatregelen getroffen waardoor is gewaarborgd dat alleen geautoriseerde medewerkers gebruik kunnen maken van de informatie- en communicatievoorzieningen;
  • ArxGroep heeft maatregelen getroffen voor de beveiliging van middelen (en hoe hier mee om te gaan), waaronder vertrouwelijke informatie en de apparatuur waarop deze informatie is opgeslagen;
  • Er wordt het principe van “least privileges” gehanteerd, wat wil zeggen dat er naar wordt gestreefd om steeds niet meer dan die rechten te verlenen die nodig zijn voor adequate functie- en bedrijfsuitoefening;
  • Regelmatige herziening van beleid en audits: technologische en organisatorische ontwikkelingen binnen en buiten ArxGroep maken het noodzakelijk om periodiek te bezien of nog op de juiste wijze de beveiliging te waarborgen is. Interne en externe audits maken het mogelijk het beleid en de genomen maatregelen te controleren op aantoonbaarheid;
  • Eigendom van informatie: ArxGroep is in beginsel eigenaar van de informatie die onder haar verantwoordelijkheid wordt geproduceerd. Daarnaast beheert ArxGroep informatie, waarvan het intellectueel eigendom toebehoort aan derden. Medewerkers en derden dienen goed geïnformeerd te zijn over de regelgeving voor het (her)gebruik van deze informatie;
  • Wanneer ArxGroep samenwerkingsverbanden aangaat met externe partijen, hetzij inhoudelijk, hetzij voor de ontwikkeling of het beheer van de informatievoorziening, wordt nadrukkelijk aandacht besteed aan informatiebeveiliging door gebruik te maken van verwerkersovereenkomsten;
  • Bij elke wijziging, zoals bijvoorbeeld een wijzing in de infrastructuur, een IT project of de aanschaf van nieuwe systemen wordt reeds in het vroegst mogelijke stadium rekening gehouden met informatiebeveiliging;
  • ArxGroep verwacht van medewerkers en derden dat ze zich qua techniek en ook qua houding ‘fatsoenlijk’ gedragen (eigen verantwoordelijkheid). Niet acceptabel is dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies. Het is om deze reden dat er gedragscodes zijn geformuleerd en geïmplementeerd.

4. Organisatie

Het is van groot belang dat de verantwoordelijkheden, taken en bevoegdheden met betrekking tot informatiebeveiliging op een eenduidige wijze zijn toegewezen. ArxGroep is een platte organisatie waarvan de dagelijkse leiding bij de Directie ligt. Alle medewerkers leggen rechtstreeks verantwoording af bij de Directie. Er is daarom ook geen functie van ‘security officer’ belegd, waardoor de taken en bevoegdheden direct onder de verantwoordelijkheid van de Directie vallen. Dit zorgt voor duidelijkheid binnen de organisatie. Wat de verantwoordelijkheden en taken precies behelzen staat beschreven in de informatiebeveiliging documenten.

5. Informatiebeveiliging documenten

In het kader van informatiebeveiliging hanteert ArxGroep de volgende documenten.

5.1 Informatie beveiligingsbeleid

Het Informatie beveiligingsbeleid ligt ten grondslag aan de aanpak van informatiebeveiliging binnen ArxGroep. In het Informatie beveiligingsbeleid worden de randvoorwaarden en uitgangspunten vastgelegd en wordt richting gegeven aan de vertaling van het beleid in concrete maatregelen. Om er voor te zorgen dat het beleid gedragen wordt binnen de organisatie en die er ook naar handelt wordt het uitgedragen door de Directie.

5.2 Baseline van beheersmaatregelen

De minimaal aanwezige beheersmaatregelen worden voorgeschreven in de volgende set van beleidsbeschrijvingen:

  • Software-middelen;
  • Hardware-middelen;
  • Netwerkbeveiliging;
  • Changemanagement;
  • Incidentmanagement;
  • Back-up en recovery;
  • Disaster Recovery;
  • Kwetsbaarheden;
  • Rollen en toegangsrechten;
  • Software ontwikkeling.

5.3 Policies

Gedragscodes en richtlijnen voor medewerkers op het gebied van informatiebeveiliging staan beschreven in het Personeelshandboek en betreffen met name:

  • Geheimhoudingsverklaring per medewerker;
  • Regels met betrekking tot de fysieke toegang tot het bedrijfspand;
  • Richtlijnen op het gebied van authenticatie en autorisatie;
  • Gedragsregels, waaronder clean-desk en clean-screen;
  • Bruikleenovereenkomsten inclusief gebruiksregels en meldplicht bij verlies/diefstal;
  • Richtlijnen gebruik Internet, e-mail en social media;
  • Protocol Datalekken inclusief Instructie Meldplicht Datalekken.

5.4 Dienstenovereenkomsten (SLA’s), inhuur- en uitbestedingscontracten

Bij de inhuur van personeel, maar ook bij de inkoop van middelen (hardware, software en applicaties/cloud platforms), wordt expliciet aandacht aan informatiebeveiliging besteed onder andere door dit beleid ook toe te passen op externen en door informatiebeveiliging standaard onderdeel van de inkoopvoorwaarden te maken. Afspraken worden in een contract met de leverancier vastgelegd. In deze contracten zit standaard een informatie beveiligingsparagraaf, waarin de verantwoordelijkheden van de leverancier zijn opgenomen.

6. Controle en naleving

Interne controles vinden doorlopend plaat en richten zich op de in het informatiesysteem vastgelegde gegevens, op de inventarisatie van de risico’s, op de genomen beveiligingsmaatregelen en op de samenhang hiertussen.

Er wordt tevens jaarlijks een externe controle uitgevoerd door een onafhankelijke partij. De bevindingen van de interne en externe controles, evenals mogelijke externe eisen t.a.v. beveiliging zoals nieuwe wetgeving, zijn input voor de nieuwe plannen van ArxGroep. Deze kunnen ook tot wijziging van dit Informatie beveiligingsbeleid leiden.

De naleving bestaat uit concreet toezicht op de dagelijkse praktijk middels het bijhouden van in control statements. Met een in control statement kan ArxGroep aantonen dat zij ‘in control’ is over een specifieke beheersmaatregel. Dit leidt tot verlaging van de operationele kosten, betere prestaties en bevordert de transparantie naar bijvoorbeeld auditors.

7. Verantwoordelijkheden

De Directie van ArxGroep is verantwoordelijk voor de informatiebeveiliging en de controle en naleving ervan en stelt het beleid en de basismaatregelen op het gebied van informatiebeveiliging vast en stelt deze indien nodig bij.

8. Beleidsbeschrijvingen

8.1 Software-middelen

Ingangsdatum: 25 mei 2018
Versie: 1.0

Doel
Het doel van dit beleid is zorgdragen dat alleen geautoriseerde software geïnstalleerd en uitgevoerd kan worden.

Scope
Dit beleid beschrijft alle technische en procedurele beheersmaatregelen welke gezamenlijk zorgen voor het inventariseren, opsporen en controleren van alle software op het netwerk zodat alleen toegestane software geïnstalleerd is en kan worden opgestart, en dat niet-toegestane, niet beheerde software wordt opgespoord, niet geïnstalleerd kan worden en niet kan worden opgestart.

Als software-middelen onderscheiden we:

  • Besturingssystemen;
  • Applicaties en bijbehorende databases, gegevensbestanden, documentatie en procedurebeschrijvingen;
  • Software as a Service (SaaS).

De beheersmaatregelen zijn door ArxGroep óf door een derde in het geval van een Saas oplossing geïmplementeerd.

Beleid
Het software-middelen beveiligingsbeleid van ArxGroep schrijft de volgende geïmplementeerde beheersmaatregelen voor:

  • Servers en werkplekken worden ingericht aan de hand van een voorgeschreven basisinrichting;
  • Voor elk software-middel is bepaald en gedocumenteerd wat de (minimale) beveiligingseisen zijn die gesteld worden aan de (geïnstalleerde) versie ervan;
  • Na aanschaf en implementatie van een software-middel wordt dit geregistreerd in de Configuration Management Database (CMDB), waarbij een set van kenmerken van het software-middel wordt vastgelegd inclusief koppeling met het hardware-middel waarop de software geïnstalleerd staat;
  • Uitgefaseerde software-middelen worden onmiddellijk uit de CMDB verwijderd;
  • Niet geautoriseerde (en dus niet geregistreerde) software-middelen kunnen niet gebruikt worden in het Arx Groep netwerk;
  • Software-middelen kunnen alleen door geautoriseerde medewerkers worden geïnstalleerd;
  • Er wordt regelmatig gecontroleerd of er niet-geautoriseerde software-middelen in gebruik zijn (geweest). 

Software as a Service wordt afgenomen van een Cloud serviceprovider conform de onderstaande beveiligingseisen:

  • Door ArxGroep afgenomen SaaS toepassingen moeten geïsoleerd zijn van die van andere afnemers van de SaaS toepassing;
  • Door ArxGroep afgenomen SaaS toepassingen moeten gehost worden binnen de EU of van een leverancier buiten de EU die valt onder het Privacy Shield;
  • Een Cloud serviceprovider zal geen klantdata opzoeken, analyseren of opslaan als dit  niet nodig is voor technische doeleinden of om fraude of aanvallen op het netwerk van de Cloud serviceprovider te bestrijden. Klantdata wordt op verzoek van ArxGroep vernietigd. Beleid omtrent het scheiden van klantdata zal worden gecommuniceerd en aan audits onderworpen;
  • Een Cloud serviceprovider moet de gelegenheid geven voor een beveiligingsonderzoek door ArxGroep en informatie verschaffen over het beleid ten aanzien van beveiligingsonderzoeken;
  • Een Cloud serviceprovider heeft een procedure beschikbaar om ArxGroep te informeren in het geval van een privacy incident, een beveiligingsincident of een technisch falen dat effect kan hebben op de diensten van ArxGroep. De logging procedure zal worden gecommuniceerd en relevante logs zullen op verzoek aan ArxGroep beschikbaar worden gesteld.

Consequenties van non-compliance
Wanneer de in dit beleid voorgeschreven beheersmaatregelen niet of niet afdoende zijn geïmplementeerd loopt Arx Groep het risico dat er ongeautoriseerde software wordt gebruikt en/of dat aanwezige software niet voldoet aan de hieraan gestelde beveiligingseisen. Dit verhoogt het risico op ongeautoriseerde toegang, vernietiging of aantasting van gegevens of het niet beschikbaar zijn van de ICT omgeving. Bovendien wordt er risico gelopen op compliance boetes bij het gebruik van niet-gelicentieerde software.

Eigenaarschap en handhaving
De Directie is verantwoordelijk voor het beleid op het gebied van inventarisatie en het beheer van software-middelen. Er vindt een steekproefsgewijze controle plaats op de naleving van dit beleid door de Directie van Arx Groep. Ook de in de SLAs gemaakte relevante afspraken met leveranciers op het gebied van inventarisatie en het beheer van software-middelen worden hierbij door Arx Groep getoetst.

8.2 Hardware-middelen

Ingangsdatum: 25 mei 2018
Versie: 1.0

Doel
Het doel van dit beleid is het bepalen, handhaven en waarborgen van het juiste ICT beveiligingsniveau door zorg te dragen dat alleen geautoriseerde ICT hardware-middelen gebruikt kunnen worden in het bedrijfsnetwerk van ArxGroep en niet-geautoriseerde hardware-middelen worden opgespoord en geweerd.Het doel van dit beleid is zorgdragen dat alleen geautoriseerde software geïnstalleerd en uitgevoerd kan worden.

Scope
Dit beleid schrijft alle technische en procedurele beheersmaatregelen voor welke gezamenlijk zorgen voor een up-to-date centrale inventarisatie van alle hardware in het netwerk en alle bijbehorende informatie, inclusief eigenaarschap en verantwoordelijkheden.

Als hardware-middelen onderscheiden we de volgende categorieën:

  • Werkplekken;
  • Servers;
  • Printers;
  • Opslag;
  • Netwerkcomponenten (switches, routers).

Beleid
Het hardware-middelen beveiligingsbeleid van ArxGroep schrijft de volgende geïmplementeerde beheersmaatregelen voor:

  • Configuratiemanagement: voor elk categorie hardware is bepaald en gedocumenteerd wat de (minimale) beveiligingseisen zijn die gesteld worden aan het aan te schaffen hardware-middel. Als een hardware-middel niet aan deze eisen voldoet dient dit niet te worden aangeschaft;
  • Na aanschaf van een hardware-middel wordt dit geregistreerd in de Configuration Management Database (CMDB), waarbij een set van kenmerken van het hardware-middel wordt vastgelegd;
  • Uitgefaseerde hardware-middelen worden onmiddellijk uit de CMDB verwijderd;
    • Niet geautoriseerde (en dus niet geregistreerde) hardware-middelen kunnen niet in gebruik genomen worden in het netwerk;
  • “Bring Your Own Device” wordt niet toegestaan;
  • Er wordt regelmatig gecontroleerd of er niet-geautoriseerde hardware-middelen in gebruik zijn (geweest);    
  • Voordat hardware-middelen worden afgevoerd dienen de opgeslagen gegevens te worden verwijderd;
  • Laptops en andere mobiele apparatuur dienen versleuteld te zijn;
  • Het gebruik van mobiele opslagapparaten (usb-storage/sticks) is niet toegestaan;
  • Er kan alleen gebruik worden gemaakt van zakelijke mail op mobiele telefoons en tablets indien deze aan de gestelde veiligheidseisen voldoen (minimaal beveiligd met 4 cijferige pincode voor het ontgrendelen van het scherm). Tevens dienen mobiele telefoons en tablets op afstand te wissen te zijn bij verlies;
  • Bij verlies of diefstal van een laptop (of smartphone met zakelijke persoonsgegevens) dient dit onmiddellijk gemeld te worden conform het Protocol Datalekken. Bovendien dient er bij diefstal aangifte te worden gedaan. Apparatuur die op afstand wordt beheerd zal dan een wisopdracht worden gestuurd.

Consequenties van non-compliance
Wanneer de in dit beleid voorgeschreven beheersmaatregelen niet of niet afdoende zijn geïmplementeerd loopt ArxGroep het risico dat er ongeautoriseerde hardware aanwezig is in het netwerk en/of dat aanwezige hardware niet voldoet aan de hieraan gestelde beveiligingseisen. Dit verhoogt het risico op ongeautoriseerde toegang, vernietiging of aantasting van gegevens of het niet beschikbaar zijn van de ICT omgeving.

Eigenaarschap en handhaving
De Directie is verantwoordelijk voor de registratie en het gebruik van alle apparatuur in het kantoorpand en alle apparatuur die het kantoorpand regelmatig verlaat, waaronder o.a. laptops, tablets en smartphones. Er vindt een steekproefsgewijze controle plaats op de naleving van dit beleid door de Directie van ArxGroep. Ook de in SLAs gemaakte relevante afspraken met leveranciers op het gebied van inventarisatie en het beheer van hardware-middelen worden hierbij getoetst.

8.3 Netwerkbeveiliging

Ingangsdatum: 25 mei 2018
Versie: 1.0

Doel
Dit beleidsdocument beschrijft op welke wijze ArxGroep zich inspant om een adequaat niveau van netwerkbeveiliging te garanderen tegen misbruik en ongeautoriseerd gebruik van de ICT infrastructuur en de hierop aanwezige gegevens.

Scope
Netwerkbeveiliging betreft het totaal aan beheersmaatregelen waarmee de risico’s op ongeautoriseerde toegang, vernietiging of aantasting van gegevens of het niet beschikbaar zijn van de ICT omgeving worden verkleind tot een acceptabel niveau.

De netwerkinfrastructuur van ArxGroep is onder te verdelen in de volgende componenten:

  • Kantoornetwerk: werkplekken en printers;
  • Verbinding tussen het kantoornetwerk en het Internet middels een door Arx Groep bij @Inet afgenomen eurofiber verbinding en een door door Arx zelf beheerde VPN security router.

Dit netwerkbeveiligingsbeleid is van toepassing op al deze componenten.

Beleid
Het netwerkbeveiligingsbeleid van ArxGroep schrijft de volgende geïmplementeerde beheersmaatregelen voor:

  • Logische toegangscontrole op werkplekken door middel van een domeinaccount en wachtwoord combinatie;
  • Netwerkpartitionering en isolatie om het ArxGroep productienetwerk gescheiden te houden van het ArxGroep gastennetwerk;
  • Thread prevention middels firewall(s);
  • Eindpunt beveiliging (antivirus, anti-malware, web-content control);
  • Het initiëren van verbindingen door derden, rechtstreeks naar systemen binnen het ArxGroep netwerk, is niet toegestaan (bijv. remote desktop of bestandsuitwisseling).

Consequenties van non-compliance
Wanneer de in dit beleid voorgeschreven beheersmaatregelen ter beveiliging van het netwerk niet of niet afdoende zijn geïmplementeerd, loopt ArxGroep een onacceptabel hoog niveau van risico op ongeautoriseerde toegang, vernietiging of aantasting van gegevens of het niet beschikbaar zijn van de ICT omgeving.

Eigenaarschap en handhaving
De Directie is verantwoordelijk voor het beleid op het gebied van netwerkbeveiliging. Er vindt een steekproefsgewijze controle plaats op de naleving van dit beleid door de Directie van ArxGroep. Ook de in SLAs gemaakte relevante afspraken met leveranciers op het gebied van netwerkbeveiliging worden hierbij door ArxGroep getoetst.

8.4 Changemanagement

Ingangsdatum: 25 mei 2018
Versie: 1.0

Doel
Dit beleid beschrijft hoe ArxGroep gecontroleerd wijzigingen doorvoert of opdracht geeft voor het doorvoeren van wijzigingen in de IT-infrastructuur, met zo min mogelijk onderbrekingen en risico’s.

Scope
Dit beleid is van toepassing op alle wijzigingen die aan de IT-infrastructuur van ArxGroep worden doorgevoerd. Elke wijziging dient gecontroleerd, beoordeeld en goedgekeurd te worden voordat deze wordt geïmplementeerd. Bovendien dient na implementatie er een review plaats te vinden.

Beleid
Het changemanagement beleid van ArxGroep schrijft de volgende stappen voor in het wijzigingsproces:

  • Formeel wijzigingsverzoek;
  • Beoordelen wijzigingsverzoek. Er worden drie typen wijzigingen onderkend:
    • Standaard wijziging:  het implementatie proces is van te voren al duidelijk;
    • Normale wijziging: er moet worden bepaald hoe hoog het risico is wat wordt gelopen bij het doorvoeren van de wijziging;
    • Nood wijziging: een wijziging die zo snel mogelijk moet worden doorgevoerd, bijv. een patch tegen een veiligheidslek.
  • Goedkeuren wijzigingsverzoek;
  • Plan van aanpak / change document maken in het geval van een normale wijziging.
     Dit document bevat minimaal:
    • Een beschrijving van de wijziging;
    • De aanpak in hoofdlijnen (scenario);
    • De verwachte doorlooptijd en eventuele uitloop;
    • De risico’s;
    • De technisch verantwoordelijke;
    • Fall back scenario.
  • Reviewen plan door de Directie;
  • Implementatie plannen;
  • Implementeren en testen;
  • Resultaten beoordelen en rapporteren.

Consequenties van non-compliance
Wanneer de in dit beleid voorgeschreven beheersmaatregelen niet of niet afdoende zijn geïmplementeerd loopt ArxGroep het risico dat wijzigingen leiden tot mogelijk negatieve gevolgen voor de IT-infrastructuur die de wijzigingen met zich mee brengen zoals onderbrekingen en beveiligingsincidenten.

Eigenaarschap en handhaving
De Directie is verantwoordelijk voor het beleid op het gebied van het doorvoeren van wijzigingen. Er vindt een controle plaats op de naleving van dit beleid door de Directie van ArxGroep. Ook de in SLAs gemaakte relevante afspraken met leveranciers op het gebied van het doorvoeren van wijzigingen worden hierbij door ArxGroep getoetst.

8.5 Incidentmanagement

Ingangsdatum: 25 mei 2018
Versie: 1.0

Doel
Incidentmanagement en response beleid op het gebied van informatiebeveiliging omvatten de monitoring en detectie van beveiligingsincidenten (security events) op een computer of het netwerk, maar ook het waarnemen van verdachte activiteiten door het personeel, en de juiste reacties op deze gebeurtenissen. Het primaire doel van dit incidentmanagement beleid is de ontwikkeling van een goed begrepen en voorspelbare reactie op schadelijke gebeurtenissen en computerinbraken in de meest brede zin van het woord.

Scope
Een informatiebeveiligingsincident is een (serie van) ongewenste gebeurtenis(sen) die een nadelig gevolg kan hebben voor de bedrijfsvoering en een bedreiging vormt voor de informatiebeveiliging.
Incidentmanagement is het geheel van organisatorische maatregelen dat ervoor moet zorgen dat een incident adequaat gedetecteerd, gemeld en behandeld wordt om daarmee de kans op uitval van bedrijfsprocessen of schade ontstaan als gevolg van het incident te minimaliseren, dan wel te voorkomen.
Incidentmanagement is zo belangrijk omdat 100% beveiligen niet bestaat en los daarvan: incidenten zijn niet te voorkomen. Het is niet de vraag óf er iets gaat gebeuren maar wanneer. De belangrijkste te verwachte incidenten kunnen van te voren bedacht worden en de bijpassende reactie en escalatie procedure kan dus ook van te voren uitgewerkt en geoefend worden.

Beleid
Voor wat betreft informatiebeveiliging heeft Incidentmanagement raakvlakken met:

  • Het ArxGroep informatie beveiligingsbeleid;
  • Leveranciers (SLA, contracten);
  • ICT-beheer;
  • Logging (zie onder);
  • Beheer van technische kwetsbaarheden (zie Beleid Kwetsbaarheden);
  • Wetgeving (zoals de AVG; zie Protocol Datalekken);
  • Back-ups (zie Beleid Back-up en Herstel);
  • Bedrijfscontinuïteit (zie Beleid Disaster Recovery).

Incident melding
Alle afwijkingen, incidenten en/of mogelijke zwakke plekken (vermoeden dat mogelijk inbreuk op informatiebeveiliging aan de orde is) in de informatiebeveiliging, moeten gemeld worden bij de Directie. Meldingen kunnen mondeling gedaan worden maar het heeft de voorkeur om dit per mail te doen zodat er direct een eerste registratie heeft plaatsgevonden. In deze e-mail dient beschreven te worden wat de afwijking, het incident of de mogelijke zwakheid is zodat de Directie actie kan ondernemen.

Incident response
De Directie stelt na melding van een incident een onderzoek in om het probleem en de mogelijke oorzaak te achterhalen zodat er corrigerende en preventieve maatregelen kunnen worden genomen. Dit moet ertoe leiden dat een afwijking of incident zich niet meer kan voordoen. Incident response omvat de volgende activiteiten:

  • het verzamelen van informatie over potentiële beveiligingsincidenten en beveiligingslekken;
  • het analyseren en beoordelen van de aard, omvang en oorzaak van het beveiligingsincident;
  • het organiseren van de evaluatie van de afhandeling van beveiligings-incidenten;
  • het informeren en instrueren van de direct betrokkenen over de uit te voeren preventieve en herstelacties;
  • het centraal informeren van gebruikers over (potentiële) beveiligings-incidenten;
  • het coördineren van de uitvoering van preventieve en herstelacties.

Aangezien alle incidenten direct bij de Directie worden gemeld is er verder geen escalatieprocedure.

Logging
Er dienen audit logs verzameld, beheerd en geanalyseerd te worden van gebeurtenissen op systemen, netwerkapparatuur en in programma’s waarmee afwijkingen en aanvallen ontdekt en begrepen kunnen worden en waarmee herstel ervan mogelijk wordt. Logs moeten bewaard worden volgens vaste regels en kennen per type logging een bewaartermijn waarvan afgeweken kan worden (verlenging) als er een vermoeden is van een incident. Logs kunnen ook dienen als bewijsmateriaal voor de wet. Logs moeten zodanig bewaard worden dat deze niet zomaar kunnen worden ingezien of worden gewijzigd.

Consequenties van non-compliance
Wanneer de in dit beleid voorgeschreven beheersmaatregelen niet of niet afdoende zijn geïmplementeerd loopt Arx Groep het risico dat een incident niet of niet adequaat gedetecteerd, gemeld en behandeld wordt, waardoor het risico op uitval van bedrijfsvoering processen of het risico op schade ontstaan als gevolg van het incident onacceptabel groot is.

Eigenaarschap en handhaving
De directie van ArxGroep is eigenaar van het Incidentmanagement proces en binnen het proces een vast aanspreekpunt dat eventueel ook zorgdraagt voor de externe communicatie. Het melden van incidenten is een taak van iedereen. De beoordeling van gemelde incidenten en van logs, maar ook de kwaliteit en volledigheid en bruikbaarheid van auditlogs bij incidenten, gebeurt door de Directie. Al het personeel van ArxGroep moet op de hoogte zijn van de incidentprocedures. Ook de in de SLAs gemaakte relevante afspraken met leveranciers op het gebied van ondersteuning bij het incidentmanagement worden hierbij door ArxGroep getoetst.

8.6 Back-up en recovery

Ingangsdatum: 25 mei 2018
Versie: 1.0

Doel
Dit beleid beschrijft hoe ArxGroep gecontroleerd gegevens en/of programmatuur veiligstelt zodat zij deze gegevens en/of programmatuur kan herstellen bij incidenten zoals verlies of beschadiging door bijvoorbeeld fouten in software, menselijke fouten en corruptie van data of programmatuur.

Scope
Back-up en recovery is een belangrijke beschikbaarheidsmaatregel die ervoor zorgt dat corrupte, verloren of vernietigde bedrijfsinformatie hersteld kan worden. Niet alleen bedrijfsinformatie dient meegenomen te worden in een back-up, maar ook de system states (dit zijn machine instellingen en bijvoorbeeld de Active Directory). Back-up en recovery heeft een relatie met Disaster Recovery. Een goede back-up in een juist schema zorgt ervoor dat een recovery ook daadwerkelijk succesvol kan zijn.

Beleid
Het Back-up en recovery beleid van ArxGroep schrijft het volgende voor:

  • Er worden reservekopieën van alle essentiële bedrijfsgegevens en programmatuur gemaakt, zodat de continuïteit van de gegevensverwerking kan worden gegarandeerd;
  • De omvang en frequentie van de back-ups is in overeenstemming met het belang van de data voor de continuïteit van de dienstverlening en de interne bedrijfsvoering, zoals gedefinieerd door ArxGroep;
  • De back-up en herstelprocedures worden regelmatig (tenminste elk half jaar) getest om de betrouwbaarheid ervan vast te stellen;
  • Van back-up activiteiten wordt een registratie bijgehouden;
  • Back-ups worden bewaard op een locatie die zodanig is gekozen dat een incident op de oorspronkelijke locatie niet leidt tot schade aan de back-ups;
  • De fysieke en logische toegang tot de back-ups is zodanig geregeld dat alleen geautoriseerde personen zich toegang kunnen verschaffen tot deze back-ups;
  • De volgende gebeurtenissen worden in ieder geval gelogd: gebruik van technische beheerfuncties, zoals het wijzigingen van een configuratie of instelling; starten en stoppen, uitvoering van een back-up of recovery;
  • Back-ups dienen minimaal 30 dagen bewaard te worden;
  • SaaS providers moeten aantoonbaar back-up en recovery mogelijk maken welke aan de eisen van het ArxGroep Back-up en recovery beleid voldoet;
  • Geïmplementeerde back-up en recovery moet ten alle tijden voldoen aan de eisen die in de wetgeving eraan worden gesteld, zoals mogelijkheden tot herstel van gegevens binnen voorgeschreven tijdsduur, bewaartermijnen en recht op vergetelheid.

Consequenties van non-compliance
Wanneer de in dit beleid voorgeschreven back-up en recovery beheersmaatregelen niet of niet conform gestelde eisen zijn geïmplementeerd loopt ArxGroep het risico dat herstel van gegevens en/of programmatuur na het voordoen van een incident of een disaster niet of niet afdoende mogelijk is. Dit kan de bedrijfsvoering ernstig beschadigen of zelfs stilleggen. Bovendien kan wetgeving die eisen stelt aan back-up en recovery hierdoor worden overtreden.

Eigenaarschap en handhaving
De Directie van ArxGroep is verantwoordelijk voor het beleid op het gebied van back-up en recovery. Er vindt een controle plaats op de naleving van dit Back-up en recovery beleid door de Directie. Ook de in SLAs gemaakte relevante afspraken met leveranciers op het gebied van back-up en recovery worden hierbij door ArxGroep getoetst. Tevens worden de back-up en recovery diensten van Cloud serviceproviders door de Directie getoetst aan dit Back-up en recovery beleid.

8.7 Disaster Recovery

Ingangsdatum: 25 mei 2018
Versie: 1.0

Doel
Dit beleid beschrijft hoe ArxGroep handelt bij mogelijke rampen met betrekking tot ICT-producten en de data die hierin is opgeslagen. Het beleid schrijft de voorzorgsmaatregelen voor die zijn genomen om de gevolgen van een mogelijke ramp te minimaliseren en ArxGroep in staat stellen de meest kritische functies snel weer op te starten.

Scope
ArxGroep is volledig afhankelijk van de IT-systemen voor het uitvoeren van de bedrijfskritische diensten. ArxGroep onderneemt alle haalbare inspanningen uitgedrukt in tijd, geld of andere middelen om ervoor te zorgen dat bedrijfskritische functies beschikbaar zijn voor een ieder die tot deze functies toegang moet hebben.
De kans bestaat echter dat de business continuïteit wordt onderbroken in het geval van een calamiteit (lees: disaster). Om de schade van een dergelijke onderbreking te beperken is daarom een Disaster Recovery Plan aanwezig dat aansluit bij de eisen en verwachtingen van de klanten.
Business continuïteit en Disaster Recovery draait om mensen, processen en technologie en zorgen dat de serviceniveaus van dien aard zijn en blijven dat er voortgang is c.q. blijft in de bedrijfsactiviteiten.
De beheersmaatregelen zijn óf door Arx Groep, óf door leveranciers in opdracht van Arx Groep geïmplementeerd. De specifieke beheersmaatregelen die door leveranciers zijn geïmplementeerd staan beschreven in de overeenkomsten en Service Level Agreements die met hen door Arx Groep zijn afgesloten.

Beleid
Het Disaster Recovery beleid van ArxGroep schrijft de volgende geïmplementeerde beheersmaatregelen voor:

  • Er is een Disaster Recovery Plan aanwezig;
  • Het Disaster Recovery Plan bestaat uit een verzameling van draaiboeken waarin de belangrijkste activiteiten staan vermeld die nodig zijn na een calamiteit met impact op de IT-omgeving zoals het defect raken van een server, het per ongeluk verwijderen van cruciale data, een stroomstoring, een aanval van een hacker, et cetera.
  • Binnen de Disaster Recovery Plan draaiboeken wordt gewerkt met verstoringsniveau ’s. Een niveau van verstoring bepaalt de mate van activiteiten of uitwijk. Hiermee ontstaat een duidelijk beeld van de te nemen stappen en het creëert duidelijkheid;
  • Het Disaster Recovery Plan wordt continue geëvalueerd en geactualiseerd om continu voorbereid te blijven op eventuele calamiteiten.

Consequenties van non-compliance
Het ontbreken van een Disaster Recovery beleid is een groot risico voor de business continuïteit van ArxGroep na een calamiteit. Wanneer de in dit beleid voorgeschreven beheersmaatregelen niet of niet afdoende zijn geïmplementeerd loopt ArxGroep het risico dat de business continuïteit ernstig wordt verstoord.

Eigenaarschap en handhaving
Dit Disaster Recovery beleid wordt regelmatig geëvalueerd en geactualiseerd om continu voorbereid te blijven op eventuele calamiteiten. De verantwoordelijkheid hiervoor is belegd bij de Directie. Ook de in SLAs gemaakte relevante afspraken met leveranciers op het gebied van Disaster Recovery worden hierbij door Arx Groep getoetst en steekproefsgewijs getest waar mogelijk.

8.8 Kwetsbaarheden

Ingangsdatum: 25 mei 2018
Versie: 1.0

Doel
Het doel van dit beleid is continue kunnen identificeren van kwetsbaarheden in de ICT infrastructuur van ArxGroep en het herstellen en het verkleinen van de mogelijkheden tot misbruik ervan.

Scope
Dit beleid beschrijft alle technische en procedurele beheersmaatregelen welke gezamenlijk ervoor zorgen dat op basis van nieuwe informatie kwetsbaarheden onderkend worden en er vervolgens acties genomen kunnen worden om deze kwetsbaarheden in de ICT infrastructuur van ArxGroep te identificeren en te herstellen, om zodoende de periode waarin aanvallers kunnen toeslaan zo kort mogelijk te houden.

De beheersmaatregelen zijn óf door ArxGroep, óf door leveranciers in opdracht van ArxGroep geïmplementeerd. De specifieke beheersmaatregelen die door leveranciers zijn geïmplementeerd staan beschreven in de overeenkomsten en Service Level Agreements die met hen door ArxGroep zijn afgesloten.

Beleid
Het kwetsbaarheden beveiligingsbeleid van ArxGroep schrijft de volgende geïmplementeerde beheersmaatregelen voor:

  • Frequent worden geautomatiseerde kwetsbaarheden scanning tools over alle systemen in het netwerk gebruikt om een geprioriteerde lijst van de meest kritieke zwakheden op te leveren samen met risico scores waarmee de effectiviteit van de risico vermijdende maatregelen worden vergeleken. Deze Security Content Automation Protocol (SCAP) gevalideerde kwetsbaarheidsscanner dient zowel te zoeken naar op code-gebaseerde zwakheden als op configuratie gebaseerde kwetsbaarheden;
  • Met regelmaat wordt informatie van leveranciers van hard- en software over ontdekte zwakheden geraadpleegd;
  • Patches en updates van firmware, besturingssystemen en applicaties worden zodra deze beschikbaar zijn uitgerold;
  • Er wordt gebruik gemaakt van een centraal antivirus en anti-malware systeem;
  • Er worden continue audit logs verzameld, beheerd en geanalyseerd van gebeurtenissen waarmee aanvallen ontdekt en begrepen kunnen worden en waarmee herstel ervan mogelijk wordt;
  • Logbestanden zijn alleen toegankelijk voor hiervoor geautoriseerde beheerders;

Ontdekte kwetsbaarheden worden conform het beleid Incidentmanagement behandeld zodat effectief schade beperkt kan worden door een (mogelijke) aanval af te slaan en de integriteit van het netwerk en de systemen te herstellen

Consequenties van non-compliance
Wanneer de in dit beleid voorgeschreven beheersmaatregelen niet of niet afdoende zijn geïmplementeerd loopt Arx Groep het risico dat kwetsbaarheden niet worden onderkend en geconstateerd. Dit verhoogt het risico op ongeautoriseerde toegang, vernietiging of aantasting van gegevens of het niet beschikbaar zijn van de ICT omgeving.

Eigenaarschap en handhaving
De Directie van ArxGroep is verantwoordelijk voor het beleid op het gebied van het beheer van kwetsbaarheden. Er vindt een steekproefsgewijze controle plaats op de naleving van dit beleid door de Directie. Hierbij worden ook de in de SLAs gemaakte relevante afspraken met leveranciers op het gebied van het beheer van kwetsbaarheden getoetst.

8.9 Rollen en toegangsrechten

Ingangsdatum: 25 mei 2018
Versie: 1.0

Doel
Het doel van dit beleid is zorgdragen dat alleen geautoriseerde gebruikers gebruik kunnen maken van de ICT infrastructuur van ArxGroep en de daarop aanwezige programmatuur en data, gebaseerd op de aan hen toegewezen specifieke rol.

Scope
Dit beleid omschrijft het geheel van processen en middelen om toegangsrechten van gebruikers van de ICT infrastructuur van ArxGroep op te sporen, te contoleren, te voorkomen en correct toe te passen, toe te wijzen en te configureren op computers, netwerken en applicaties.

Beleid
Het rollen en toegangsrechten beveiligingsbeleid van ArxGroep schrijft de volgende geïmplementeerde beheersmaatregelen voor:

  • Het beleid is geïmplementeerd met behulp van een Microsoft Windows domein en een Active Directory;
  • Wie toegang heeft tot welk onderdeel van de ICT-infrastructuur wordt bepaald op basis van role based access. De rollen worden toegewezen aan een gebruikersgroep of specifieke gebruiker in de Active Directory gebaseerd op “need-to-know’ en “need-to-have”;
  • Er wordt gebruik gemaakt van gecentraliseerde Group Policies op de domein controller. Middels deze Group Policies worden de rechten toegewezen welke horen bij een gebruiker met een specifieke rol op de werkplek en op de server omgeving;
  • Het toekennen en of wegnemen van rechten en rollen gebeurt op basis van een aanvraagprocedure door een hiervoor geautoriseerd persoon van Arx Groep;
  • Bij uitdiensttreding wordt het volledige gebruikersaccount uitgezet en/of verwijderd. Ook dit gebeurt op aanvraag van een hiervoor geautoriseerd persoon van Arx Groep;
  • Voor het zetten van Group Policies wordt gebruik gemaakt van een standaard template;
  • Administratieve toegang op een werkplek is beveiligd met de Microsoft Local Administrator Password Solution (LAPS);
  • Er kan alleen op aanvraag en bij uitzondering een lokaal administratief account actief gemaakt worden om een lokale power user de rechten te geven om software lokaal te installeren;
  • Toegang tot bedrijfsapplicaties wordt op aanvraag verleend door de hiervoor aangewezen eigenaar/applicatiebeheerder.

Consequenties van non-compliance
Wanneer de in dit beleid voorgeschreven beheersmaatregelen ter beveiliging van de ICT infrastructuur met behulp van autorisatie gebaseerd op rollen, niet of niet afdoende zijn geïmplementeerd, loopt ArxGroep een onacceptabel hoog niveau van risico op ongeautoriseerde toegang, lekken, vernietiging of aantasting van gegevens of het niet beschikbaar zijn van de ICT omgeving.

Eigenaarschap en handhaving
De Directie van ArxGroep is verantwoordelijk voor het beleid op het gebied van rollen en toegangsrechten. Er vindt een steekproefsgewijze controle plaats op de naleving van dit beleid door de Directie. Hierbij worden ook de in SLAs gemaakte relevante afspraken met leveranciers op het gebied van rollen en toegangsrechten door ArxGroep getoetst.

8.10 Software ontwikkeling en onderhoud

Ingangsdatum: 25 mei 2018
Versie: 1.0

Doel
Het doel van dit beleid is zorgdragen dat het proces van ontwikkelen van software en de ontwikkelde software zelf voldoet aan de beveiligingseisen welke ArxGroep hieraan stelt.

Scope
Dit beleid beschrijft alle technische en procedurele beheersmaatregelen welke gezamenlijk zorgen voor het veilig ontwikkelen en onderhouden van eigen software. De beheersmaatregelen zijn óf door ArxGroep óf in opdracht van ArxGroep door leveranciers of door een Cloud serviceprovider in het geval van een SaaS oplossing geïmplementeerd.

Beleid
Het software ontwikkeling en onderhoud beveiligingsbeleid van ArxGroep schrijft de volgende geïmplementeerde beheersmaatregelen voor:

  • Applicaties worden ontwikkeld en getest o.b.v. landelijke richtlijnen van het Nationaal Cyber Security Centrum, NCSC, voor beveiliging, zoals richtlijnen voor beveiliging van webapplicaties. Er wordt tenminste getest op bekende kwetsbaarheden zoals vastgelegd in de OWASP top 10;
  • Web applicaties worden voor de in productie name onder meer getest op invoer van gegevens (grenswaarden, format, inconsistentie, SQL injectie, cross site scripting, et cetera);
  • De uitvoerfuncties van programma’s maken het mogelijk om de volledigheid en juistheid van de gegevens te kunnen vaststellen (bijvoorbeeld door checksums);
  • Alleen gegevens die noodzakelijk zijn voor de gebruiker worden uitgevoerd (doelbinding), rekening houdend met beveiligingseisen (classificatie);
  • Toegang tot de broncode is beperkt tot de medewerkers, die deze code onderhouden of installeren;
  • Technische kwetsbaarheden worden regulier met een minimum van 4 keer per jaar gerepareerd door ‘patchen’ van software, of ‘ad hoc’ bij acute dreiging. Welke software wordt geüpdatet wordt mede bepaald door de risico’s;
  • Nieuwe systemen, upgrades en nieuwe versies worden getest op impact en gevolgen en pas geïmplementeerd na formele acceptatie en goedkeuring door de Directie. De test en de testresultaten worden gedocumenteerd;
  • Systemen voor Ontwikkeling, Test en/of Acceptatie (OTA) zijn logisch gescheiden van Productie (P);
  • Faciliteiten voor ontwikkeling, testen, acceptatie en productie (OTAP) zijn gescheiden om onbevoegde toegang te voorkomen;
  • In de OTA worden testaccounts gebruikt. Er wordt in beginsel niet getest met productie accounts, mits voor de test absoluut noodzakelijk;

Vertrouwelijke data uit de productieomgeving mag niet worden gebruikt in de ontwikkel-, test en acceptatieomgeving tenzij de gegevens zijn geanonimiseerd. Indien het toch noodzakelijk is om data uit productie te gebruiken, is uitdrukkelijke toestemming van de eigenaar van de gegevens vereist en dienen er procedures te worden gevolgd om data te vernietigen na ontwikkelen en testen.

Consequenties van non-compliance
Wanneer de in dit beleid voorgeschreven beheersmaatregelen niet of niet afdoende zijn geïmplementeerd loopt ArxGroep het risico dat de door haar ontwikkelde software niet voldoet aan de hieraan gestelde beveiligingseisen. Dit verhoogt het risico op onveilige software door bijvoorbeeld ongeautoriseerde toegang, vernietiging of aantasting van gegevens.

Eigenaarschap en handhaving
De Directie van Arx is verantwoordelijk voor het beleid op het gebied van software ontwikkeling en onderhoud. Er vindt een steekproefsgewijze controle plaats op de naleving van dit beleid door de Directie.

One Stop Shop

Maak kosteloos gebruik van al onze oplossingen

Neem contact op
Gratis account aanmaken
Regel nutsvoorzieningen voor je klant
Verdien hoge commissies
Ontzorg jouw klanten
Betrouwbaar advies voor je klant
Gratis inspectie app