In deze regeling wordt verstaan onder:
- a. politiekorpsen:
-
de regionale politiekorpsen en het Korps landelijke politiediensten;
- b. de ITO:
-
de onder de minister van Binnenlandse Zaken ressorterende Organisatie Informatie-
en communicatietechnologie Openbare Orde en Veiligheid;
- c. afhankelijkheidsanalyse:
-
het vaststellen in hoeverre bedrijfsprocessen die door informatiesystemen ondersteund
worden, afhankelijk zijn van de betrouwbaarheid van deze systemen en het vaststellen
welke potentiële schades kunnen optreden als gevolg van het falen van deze informatiesystemen;
- d. betrouwbaarheid:
-
de mate waarin een politiekorps en de ITO zich kunnen verlaten op een informatiesysteem
voor zijn informatievoorziening.
- e. beschikbaarheid:
-
de mate waarin een informatiesysteem in bedrijf is op het moment dat een politiekorps
en de ITO het nodig hebben;
- f. integriteit:
-
de mate waarin een informatiesysteem zonder fouten is;
- g. exclusiviteit:
-
de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie
daarin beperkt is tot een gedefinieerde groep van gerechtigden;
- h. informatiesysteem:
-
een geheel van gegevensverzamelingen, personen, procedures, programmatuur en opslagverwerkings-
en communicatie-apparatuur;
- i. gemeenschappelijke IT-dienst:
-
een geheel van voorzieningen dat ter beschikking staat aan één of meerdere informatiesystemen
binnen een politiekorps en de ITO en waarvoor de verantwoordelijkheid eenduidig is
toe te wijzen aan één organisatorische eenheid;
- j. kwetsbaarheidsanalyse:
-
het vaststellen van de invloed van het manifest worden van bedreigingen op het functioneren
van een informatiesysteem of een gemeenschappelijke IT-dienst;
- k. informatiebeveiliging:
-
het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging
van de beschikbaarheid, integriteit en exclusiviteit van een informatiesysteem en
daarmee van de informatie daarin;
- l. informatiebeveiligingsplan:
-
de opsomming van alle beveiligingsmaatregelen of de vindplaatsen daarvan die voor
een informatiesysteem of een gemeenschappelijke IT-dienst van kracht zijn;
- m. calamiteitenparagraaf:
-
de opsomming van alle maatregelen die tot uitvoering moeten komen als zich een situatie
voordoet waarbij de beschikbaarheid, integriteit of exclusiviteit van een informatiesysteem
in beduidende mate niet aan de eisen voldoen;
- n. kwaliteit:
-
de mate waarin het geheel van eigenschappen van een informatiesysteem voldoet aan
de uit het gebruiksdoel voortvloeiende eisen;
- o. systeemexploitatie:
-
de zorg voor het functioneren van (een deel van) een informatiesysteem;
- p. systeemverwerving:
-
de zorg voor het ontwikkelen, kopen, huren en dergelijke en het uitvoeren van aanpassingen
aan (delen van) een informatiesysteem zoals procedures, programmatuur of apparatuur.
-
2 De korpsbeheerder, en voorzover het betreft het Korps landelijke politiediensten,
de Minister van Justitie, en voorzover het betreft de ITO, de Minister van Binnenlandse
Zaken, is verantwoordelijk voor informatiebeveiliging, hetgeen een onderdeel van de
kwaliteitszorg voor bedrijfsprocessen en de ondersteunende informatiesystemen vormt.
-
3 Informatische relaties tussen een politiekorps, andere politiekorpsen en de ITO gaan
vergezeld van schriftelijke afspraken over de gehanteerde normen inzake de betrouwbaarheid
van de informatiesystemen en de informatie daarin, op basis van de criteria en de
bijbehorende normklassen, bedoeld in de bijlage die bij deze regeling is gevoegd, en de wijze waarop zekerheid wordt verkregen over
de realisatie daarvan.
-
1 De korpsbeheerder, en voorzover het betreft het Korps landelijke politiediensten,
de Minister van Justitie, en voorzover het betreft de ITO, de Minister van Binnenlandse
Zaken, stelt het informatiebeveiligingsbeleid vast in een beleidsdocument en draagt
dit beleid uit. Indien het informatiebeveiligingsbeleid mede betrekking heeft op informatiesystemen
ten behoeve van de opsporing van strafbare feiten, stelt de korpsbeheerder dit beleidsdocument
vast na overleg met de hoofdofficier van justitie.
De korpsbeheerder, en voorzover het betreft het Korps landelijke politiediensten,
de Minister van Justitie, en voorzover het betreft de ITO, de Minister van Binnenlandse
Zaken, draagt er zorg voor dat voor elk informatiesysteem en voor elke gemeenschappelijke
IT-dienst op systematische wijze met inachtneming van de bij deze regeling gevoegde
bijlage bepaald wordt welk stelsel van maatregelen uit hoofde van informatiebeveiliging getroffen
dient te worden. Deze zorgplicht houdt tenminste in dat:
-
a. voor elk informatiesysteem een afhankelijkheidsanalyse wordt uitgevoerd, uitmondend
in de aan het informatiesysteem te stellen betrouwbaarheidseisen;
-
b. voor elke gemeenschappelijke IT-dienst een afhankelijkheidsanalyse wordt uitgevoerd,
uitmondend in de aan die IT-dienst te stellen betrouwbaarheidseisen;
-
c. voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst de bedreigingen
worden geïdentificeerd en geanalyseerd;
-
d. voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst dusdanig maatregelen
worden gekozen dat door middel van een kwetsbaarheidsanalyse aangetoond kan worden
dat aan de gestelde betrouwbaarheidseisen wordt voldaan;
-
e. voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst een informatiebeveiligingsplan
wordt vastgesteld. Hierin is in elk geval opgenomen:
Met het oog op zo uniform mogelijke beveiligingsafspraken bij gegevensuitwisseling
tussen politiekorpsen onderling, tussen politiekorpsen en de ITO en met andere instanties,
bedoeld in artikel 2, derde en vierde lid, het bereiken van zo uniform mogelijke betrouwbaarheidseisen en maatregelen, bedoeld
in artikel 3, onderdeel e, en het opstellen van zo uniform mogelijke informatiebeveiligingsplannen, bedoeld
in artikel 4, onderdeel e, werken de politiekorpsen en de ITO samen.
De korpsbeheerder, en voorzover het betreft het Korps landelijke politiediensten,
de Minister van Justitie, en voorzover het betreft de ITO, de Minister van Binnenlandse
Zaken, draagt er zorg voor dat voor elk bedrijfsproces de maatregelen die uit hoofde
van de informatiebeveiliging van toepassing zijn op de ondersteunende informatiesystemen
en dat de maatregelen die van toepassing zijn op elke gemeenschappelijke IT-dienst,
worden vastgelegd, geïmplementeerd of uitgedragen en dat de werking volgens een vaststaand
schema wordt gecontroleerd. Deze zorgplicht houdt tenminste in dat:
-
a. voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst de uit het informatiebeveiligingsplan
voortvloeiende maatregelen voor de gebruikers worden vastgelegd en door dde korpsbeheerder,
en voorzover het betreft het Korps landelijke politiediensten, de Minister van Justitie,
en voorzover het betreft de ITO, de Minister van Binnenlandse Zaken, worden uitgedragen;
-
b. voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst de uit het informatiebeveiligingsplan
voortvloeiende maatregelen voor systeemexploitatie schriftelijk worden vastgelegd;
-
c. volgens een vastgesteld schema een onafhankelijk oordeel over de kwaliteit van de
getroffen informatiebeveiligingsmaatregelen en over het handhaven en naleven daarvan
wordt verlangd;
-
d. voor elk informatiesysteem en voor elke gemeenschappelijke IT-dienst de uit het informatiebeveiligingsplan
voortvloeiende maatregelen voor systeemmanagement door de korpsbeheerder, en voorzover
het betreft het Korps landelijke politiediensten, de Minister van Justitie, en voorzover
het betreft de ITO, de Minister van Binnenlandse Zaken,schriftelijk worden vastgelegd;
-
e. de uit het informatiebeveiligingsplan voortvloeiende maatregelen voor systeemverwerving
worden getoetst op hun implementatie en werking.
Deze regeling treedt in werking op 1 april 1997.
Deze regeling wordt aangehaald als Regeling informatiebeveiliging politie.
Deze regeling zal met de toelichting en de bijbehorende bijlage in de Staatscourant en het Algemeen Politieblad worden geplaatst.
Bijlage Betrouwbaarheidscriteria en -normklassen
Inleiding
Artikel 2 van de regeling bepaalt dat bij gegevensuitwisseling tussen politiekorpsen onderling
(lid 3) en met andere instanties (lid 4) schriftelijke afspraken gemaakt worden over
de betrouwbaarheid van de informatiesystemen en de informatie daarin.
Vanzelfsprekend kunnen (en dienen) dergelijke afspraken, al dan niet schriftelijk,
ook gemaakt te worden bij gegevensuitwisseling binnen een politiekorps.
Deze betrouwbaarheidsafspraken kunnen op drie niveaus worden gemaakt:
- -
op het niveau van gevoeligheid, waarbij de afspraken betrekking hebben op de consequenties
voor bedrijfsprocessen die van de informatie c.q. het informatiesysteem gebruik maken
en voor de belangen van personen en instanties waarover gegevens worden uitgewisseld
als er verstoring optreedt van de betrouwbaarheid van de informatie en de informatiesystemen;
- -
op het niveau van eisen, waarbij de afspraken betrekking hebben op de mate van betrouwbaarheid
van de informatie en de informatiesystemen;
- -
op het niveau van maatregelen, waarbij de afspraken betrekking hebben op de realisatie
van de betrouwbaarheid van de informatie en de informatiesystemen.
Duidelijk zal zijn dat afspraken op het niveau van gevoeligheid voor de partijen in
uitwisseling weinig houvast biedt bij het invullen van de beveiliging (zekerstellen
van de betrouwbaarheid) van de informatie en de informatiesystemen, terwijl afspraken
op het niveau van maatregelen veel omvattend en complex zullen zijn en de geldigheidsduur
van de afspraken ook beperkt zal zijn als gevolg van technologische en organisatorische
ontwikkelingen. Afspraken over betrouwbaarheid van informatie en informatiesystemen
moeten daarom gemaakt worden op het niveau van eisen. Bovendien is het zaak de eisen
kwantitatief te formuleren, ten einde de afspraken meetbaar te maken.
In deze bijlage worden de criteria en -normklassen omschreven die door politiekorpsen
dienen te worden gehanteerd bij het formuleren van eisen inzake de betrouwbaarheid
van informatie en informatiesystemen.
Betrouwbaarheidscriteria
Beschikbaarheid wordt omschreven als: de mate waarin een informatiesysteem in bedrijf
is op het moment dat een politiekorps het nodig heeft. Voor het formuleren van beschikbaarheidseisen
zijn er de volgende criteria.
- -
Beschikbaarheidsperiode: de tijd dat de informatie en het informatiesysteem nodig
is. De beschikbaarheidsperiode wordt uitgedrukt in tijdseenheden, bijvoorbeeld kantoortijd,
7x24 uur, etc.
- -
Bedrijfszekerheid: de mate waarin de gegevensverwerking vrij blijft van storingen
of, anders gezegd, de gemiddelde tijd tussen het optreden van beschikbaarheidsstoringen.
De bedrijfszekerheid wordt uitgedrukt in uren, bijvoorbeeld: 1 beschikbaarheidsstoring
per 200 uur is acceptabel.
- -
Herstelbaarheid: de snelheid waarmee de gegevensverwerking hersteld kan worden na
een storing. Daarbij kan onderscheid gemaakt worden in:
-
de gemiddelde duur van een beschikbaarheidsstoring en
-
de maximaal toegestane duur van een beschikbaarheidsstoring, beide uitgedrukt in uren.
Beschikbaarheid wordt hier gespecificeerd in tijdafhankelijke criteria (het moment
dat een politiekorps het informatiesysteem nodig heeft), niet in locatieafhankelijke
criteria (de plaats waar het informatiesysteem nodig is). Indien ook locatieafhankelijke
beschikbaarheidseisen moeten worden gesteld, dan kunnen de hierboven genoemde criteria
nader worden gespecificeerd per werkplek, afdeling of gebouw of organisatie.
Integriteit wordt omschreven als: de mate waarin een informatiesysteem zonder fouten
is. ’Zonder fouten’ wil zeggen dat de informatieverwerking plaatsvindt volgens vooraf
vastgestelde specificaties. De randvoorwaarde voor het maken van afspraken over de
integriteit van informatiesystemen en de informatie daarin is dus de aanwezigheid
van specificaties van de verwerking, zowel de geautomatiseerde als de handmatige.
Voor het formuleren van integriteitseisen zijn er de volgende criteria.
- -
Juistheid: het percentage van de gegevensverzameling dat door het informatiesysteem
juist, conform specificaties, wordt verwerkt. Bijvoorbeeld: 95% van de gegevens wordt
juist verwerkt.
- -
Volledigheid: het percentage van de gegevensverzameling dat door het informatiesysteem
volledig (zonder manco’s) en enkelvoudig (zonder doublures) wordt verwerkt.
- -
Tijdigheid: het percentage van de gegevensverzameling dat door het informatiesysteem
binnen de gespecificeerde termijn wordt verwerkt.
- -
Hersteltijd: het aantal uren na constatering van niet-integer verwerkte gegevens waarbinnen
herstel dient plaatsgevonden te hebben.
In die gevallen waarin de vereiste juistheid, volledigheid en/of tijdigheid nagenoeg
100% moet zijn, is het soms praktischer de eisen te formuleren in faalkansen, bijvoorbeeld:
1 onjuist verwerkte transaktie per 1000 transakties is acceptabel.
Exclusiviteit wordt omschreven als: de mate waarin de toegang tot en kennisname van
een informatiesysteem en de informatie daarin beperkt is tot een gedefinieerde groep
van gerechtigden. Voor het formuleren van eisen inzake exclusiviteit kunnen de volgende
criteria van dienst zijn.
- -
Autorisatie: de aanduiding van de groep van personen die voor toegang tot en kennisname
van een informatiesysteem en de informatie daarin gerechtigd is. Hoewel autorisatie
feitelijk een specificatie is van exclusiviteit en niet van zekerstelling van exclusiviteit,
wordt ervan uitgegaan dat naarmate de groep van geautoriseerde personen nauwkeuriger
omschreven wordt de noodzakelijke zekerstelling van de exclusiviteit hoger wordt.
- -
Geoorloofdheid: de mate van zekerheid dat toegang tot en kennisname van een informatiesysteem
en van de informatie daarin uitsluitend voor personen die daartoe gerechtigd zijn
mogelijk is. Geoorloofdheid wordt uitgedrukt in het percentage van de feitelijke gebruik
van het informatiesysteem. Bijvoorbeeld: 99% van het feitelijk gebruik van het systeem
is geoorloofd gebruik. In die gevallen waarin de vereiste geoorloofdheid nagenoeg
100% moet zijn is het vaak praktischer de eis te formuleren in faalkansen, bijvoorbeeld:
1 ongeoorloofde toegang per 1000 toegangen is acceptabel.
- -
Braakbestendigheid: de tijd dat het kost om ongeoorloofd toegang tot een informatiesysteem
te verkrijgen, uitgedrukt in uren.
Normklassen
Als voor elk informatiesysteem specifieke betrouwbaarheidsnormen worden geformuleerd,
dan ontstaat een complex normenstelsel. Wat te doen als het ene systeem een bedrijfszekerheidsnorm
stelt van 1 storing per 200 uur, het volgende systeem een norm stelt van 1 storing
per 240 uur en het derde weer een norm stelt van 1 storing per 300 uur? Voor het maken
van afspraken zal het op den duur handiger blijken om normklassen te hanteren. In
deze regeling worden vier normklassen onderscheiden: ’laag’, ’gemiddeld’, ’hoog’ en
’zeer hoog’.
Het is de bedoeling dat de normklassen worden ingevuld door overleg tussen de politiekorpsen.
Hieronder volgt een voorbeeld van een mogelijke invulling van normklassen voor de
onderscheiden betrouwbaarheidscriteria.
Normklasse à Criterium
|
Laag
|
Gemiddeld
|
Hoog
|
Zeer hoog
|
Beschikbaarheid
|
|
|
|
|
Beschikbaarheids- periode
|
Kantoortijd
|
Kantoortijd
|
7x24 uur
|
7x24 uur
|
Bedrijfszekerheid
|
200 uur
|
400 uur
|
1500 uur
|
6000 uur
|
Herstelbaarheid
|
8 uur
|
4 uur
|
2 uur
|
1 uur
|
|
|
|
|
|
Integriteit
|
|
|
|
|
Juistheid
|
< 90%
|
90-95%
|
95-99,9%
|
>99,9%
|
Volledigheid
|
< 90%
|
90-95%
|
95-99,9%
|
>99,9%
|
Tijdigheid
|
< 90%
|
90-95%
|
95-99,9%
|
>99,9%
|
Hersteltijd
|
> 24 uur
|
24-8 uur
|
8-1 uur
|
< 1 uur
|
|
|
|
|
|
Exclusiviteit
|
|
|
|
|
Autorisatie
|
Iedereen in het korps
|
specifieke afdelingen
|
specifieke functies
|
specifieke personen
|
Geoorloofdheid
|
90%
|
99%
|
99,99%
|
99,99%
|
Braakbestendigheid
|
< 2 uur
|
2-4 uur
|
4-12 uur
|
> 12 uur
|
De in deze bijlage beschreven verzameling van betrouwbaarheidscriteria is niet volledig
en vaststaand. Zoals elke taal is ook de ’informatiebeveiligingstaal’ in ontwikkeling.
Op basis van ervaringen met het toepassen van de betrouwbaarheidscriteria en van de
normklassen zullen aanpassingen en uitbreidingen van de verzameling van criteria en
invullingen van de normklassen kunnen worden verwacht.