|
De Minister van
Binnenlandse Zaken en de Minister van Justitie;
Gelet op de artikelen 38, derde lid, artikel 46
en 48, eerste lid, van de Politiewet 1993;
Gezien het advies van de korpsbeheerders van 17
december 1996, kenmerk 0113\1235\EMd’H, en van de Raad voor het Korps
landelijke politiediensten van 25 oktober 1996;
Besluiten:
Artikel 1
In deze regeling wordt verstaan onder:
a. politiekorpsen:
de regionale politiekorpsen en het Korps landelijke
politiediensten;
b. Politie Nederland:
de publiekrechtelijke rechtspersoon Politie Nederland, genoemd in
de Voorziening tot samenwerking Politie Nederland;
c. afhankelijkheidsanalyse:
het vaststellen in hoeverre bedrijfsprocessen die door
informatiesystemen ondersteund worden, afhankelijk zijn van de
betrouwbaarheid van deze systemen en het vaststellen welke potentiële
schades kunnen optreden als gevolg van het falen van deze
informatiesystemen;
d. betrouwbaarheid:
de mate waarin een politiekorps en Politie Nederland zich kunnen
verlaten op een informatiesysteem voor zijn informatievoorziening.
e. beschikbaarheid:
de mate waarin een informatiesysteem in bedrijf is op het moment
dat een politiekorps en Politie Nederland het nodig hebben;
f. integriteit:
de mate waarin een informatiesysteem zonder fouten is;
g. exclusiviteit:
de mate waarin de toegang tot en de kennisname van een
informatiesysteem en de informatie daarin beperkt is tot een
gedefinieerde groep van gerechtigden;
h. informatiesysteem:
een geheel van gegevensverzamelingen, personen, procedures,
programmatuur en opslag- verwerkings- en communicatie-apparatuur;
i. gemeenschappelijke IT-dienst:
een geheel van voorzieningen dat ter beschikking staat aan één of
meerdere informatiesystemen binnen een politiekorps en Politie
Nederland en waarvoor de verantwoordelijkheid eenduidig is toe te
wijzen aan één organisatorische eenheid;
j. kwetsbaarheidsanalyse:
het vaststellen van de invloed van het manifest worden van
bedreigingen op het functioneren van een informatiesysteem of een
gemeenschappelijke IT-dienst;
k. informatiebeveiliging:
het treffen en onderhouden van een samenhangend pakket van
maatregelen ter waarborging van de beschikbaarheid, integriteit en
exclusiviteit van een informatiesysteem en daarmee van de informatie
daarin;
l. informatiebeveiligingsplan:
de opsomming van alle beveiligingsmaat-regelen of de vindplaatsen
daarvan die voor een informatiesysteem of een gemeenschappelijke
IT-dienst van kracht zijn;
m. calamiteitenparagraaf:
de opsomming van alle maatregelen die tot uitvoering moeten komen
als zich een situatie voordoet waarbij de beschikbaarheid, integriteit
of exclusiviteit van een informatiesysteem in beduidende mate niet aan
de eisen voldoen;
n. kwaliteit:
de mate waarin het geheel van eigenschappen van een
informatiesysteem voldoet aan de uit het gebruiksdoel voortvloeiende
eisen;
o. systeemexploitatie:
de zorg voor het functioneren van (een deel van) een
informatiesysteem;
p. systeemverwerving:
de zorg voor het ontwikkelen, kopen, huren en dergelijke en het
uitvoeren van aanpassingen aan (delen van) een informatiesysteem zoals
procedures, programmatuur of apparatuur.
Artikel 2
1.Deze regeling is van toepassing op het gehele proces van
informatievoorziening en de gehele levenscyclus van
informatiesystemen, ongeacht de toegepaste technologie en ongeacht het
karakter van de informatie.
2.De korpsbeheerder, en voorzover het betreft het Korps landelijke
politiediensten en Politie Nederland, de Minister van Binnenlandse
Zaken en Koninkrijksrelaties onderscheidenlijk het algemeen bestuur
van Politie Nederland, is verantwoordelijk voor informatiebeveiliging,
hetgeen een onderdeel van de kwaliteitszorg voor bedrijfsprocessen en
de ondersteunende informatiesystemen vormt.
3.Bij de uitwisseling van gegevens tussen politiekorpsen onderling,
politiekorpsen en Politie Nederland of politiekorpsen of Politie
Nederland en andere instanties, worden afspraken gemaakt over de
betrouwbaarheid van de informatiesystemen en van de informatie daarin
en de wijze waarop zekerheid wordt verkregen over de realisatie
daarvan.
Artikel 3
1.De korpsbeheerder, en voorzover het betreft het Korps landelijke
politiediensten en Politie Nederland, de Minister van Binnenlandse
Zaken en Koninkrijksrelaties onderscheidenlijk het algemeen bestuur
van Politie Nederland, stelt het informatiebeveiligingsbeleid vast in
een beleidsdocument en draagt dit beleid uit. Indien het
informatiebeveiligingsbeleid mede betrekking heeft op
informatiesystemen ten behoeve van de opsporing van strafbare feiten,
stelt de korpsbeheerder dit beleidsdocument vast na overleg met de
hoofdofficier van justitie.
2.Het document omvat tenminste:
a. de strategische uitgangspunten en randvoorwaarden die het
politiekorps en Politie Nederland hanteert ten aanzien van
informatiebeveiliging, met name de inbedding in en afstemming op
het algemene beveiligingsbeleid en het
informatievoorzieningsbeleid;
b. de organisatie van de beveiligingsfunctie, waaronder het
toedelen van verantwoordelijkheden, taken en bevoegdheden;
c. de eenduidige en volledige indeling van
informatievoorzieningsfaciliteiten in informatiesystemen en
gemeenschappelijke IT-diensten en toewijzing van de
verantwoordelijkheden daarvoor aan leidinggevenden;
d. de wijze waarop het beleid wordt vertaald naar concrete
maatregelen en de wijze waarop deze gefinancierd worden;
e. de gemeenschappelijke betrouwbaarheidseisen en maatregelen,
vastgesteld met inachtneming van de bij deze regeling gevoegde
bijlage, die voor het politiekorps en Politie Nederland van
toepassing zijn;
f. de wijze waarop geconstateerde dan wel vermoede inbreuken op
de informatiebeveiliging door politieambtenaren gemeld worden, de
politieambtenaar bij wie deze inbreuken worden gemeld en de wijze
waarop deze worden afgehandeld;
g. de wijze waarop en de frequentie waarmee volgens een
vastgesteld schema het informatiebeveiligingsbeleid geëvalueerd
wordt en de toereikendheid van het informatiebeveiligingsbeleid
alsmede de implementatie en de uitvoering daarvan wordt beoordeeld
door een onafhankelijke deskundige;
h. de wijze waarop het beveiligingsbewustzijn wordt bevorderd
en
i. de te nemen maatregelen met betrekking tot de
interceptiefaciliteiten binnen het korps, met inachtneming van de
Normstelling inrichting interceptiefaciliteiten, bedoeld in
bijlage II.
Artikel 4
De korpsbeheerder, en voorzover het betreft het Korps landelijke
politiediensten en Politie Nederland, de Minister van Binnenlandse Zaken
en Koninkrijksrelaties onderscheidenlijk het algemeen bestuur van
Politie Nederland, draagt er zorg voor dat voor elk informatiesysteem en
voor elke gemeenschappelijke IT-dienst op systematische wijze met
inachtneming van de betrouwbaarheidscriteria en -normklassen, bedoeld in
bijlage I, bepaald wordt welk stelsel van maatregelen uit hoofde van
informatiebeveiliging getroffen dient te worden. Deze zorgplicht houdt
tenminste in dat:
a. voor elk informatiesysteem een afhankelijkheidsanalyse wordt
uitgevoerd, uitmondend in de aan het informatiesysteem te stellen
betrouwbaarheidseisen;
b. voor elke gemeenschappelijke IT-dienst een
afhankelijkheidsanalyse wordt uitgevoerd, uitmondend in de aan die
IT-dienst te stellen betrouwbaarheidseisen;
c. voor elk informatiesysteem en voor elke gemeenschappelijke
IT-dienst de bedreigingen worden geïdentificeerd en geanalyseerd;
d. voor elk informatiesysteem en voor elke gemeenschappelijke
IT-dienst dusdanig maatregelen worden gekozen dat door middel van
een kwetsbaarheidsanalyse aangetoond kan worden dat aan de gestelde
betrouwbaarheidseisen wordt voldaan;
e. voor elk informatiesysteem en voor elke gemeenschappelijke
IT-dienst een informatiebeveiligingsplan wordt vastgesteld. Hierin
is in elk geval opgenomen:
1. een actieplan ter implementatie van alle
beveiligingsmaatregelen;
2. een calamiteitenparagraaf waarvan de effectiviteit
periodiek wordt getoetst.
Artikel 5
Met het oog op zo uniform mogelijke beveiligingsafspraken bij
gegevensuitwisselingtussen politiekorpsen onderling, tussen
politiekorpsen en Politie Nederland en met andere instanties, bedoeld in
artikel 2, derde en vierde lid, het bereiken van zo uniform mogelijke
betrouwbaarheidseisen en maatregelen, bedoeld in artikel 3, onderdeel e,
en het opstellen van zo uniform mogelijke informatiebeveiligingsplannen,
bedoeld in artikel 4, onderdeel e, werken de politiekorpsen en Politie
Nederland samen.
Artikel 6
De korpsbeheerder, en voorzover het betreft het Korps landelijke
politiediensten en Politie Nederland, de Minister van Binnenlandse Zaken
en Koninkrijksrelaties onderscheidenlijk het algemeen bestuur van
Politie Nederland, draagt er zorg voor dat voor elk bedrijfsproces de
maatregelen die uit hoofde van de informatiebeveiliging van toepassing
zijn op de ondersteunende informatiesystemen en dat de maatregelen die
van toepassing zijn op elke gemeenschappelijke IT-dienst, worden
vastgelegd, geïmplementeerd of uitgedragen en dat de werking volgens
een vaststaand schema wordt gecontroleerd. Deze zorgplicht houdt
tenminste in dat:
a. voor elk informatiesysteem en voor elke gemeenschappelijke
IT-dienst de uit het informatiebeveiligingsplan voortvloeiende
maatregelen voor de gebruikers worden vastgelegd en door dde
korpsbeheerder, en voorzover het betreft het Korps landelijke
politiediensten en Politie Nederland, de Minister van Binnenlandse
Zaken en Koninkrijksrelaties onderscheidenlijk het algemeen bestuur
van Politie Nederland, worden uitgedragen;
b. voor elk informatiesysteem en voor elke gemeenschappelijke
IT-dienst de uit het informatiebeveiligingsplan voortvloeiende
maatregelen voor systeemexploitatie schriftelijk worden vastgelegd;
c. volgens een vastgesteld schema een onafhankelijk oordeel over
de kwaliteit van de getroffen informatiebeveiligingsmaatregelen en
over het handhaven en naleven daarvan wordt verlangd;
d. voor elk informatiesysteem en voor elke gemeenschappelijke
IT-dienst de uit het informatiebeveiligingsplan voortvloeiende
maatregelen voor systeemmanagement door de korpsbeheerder, en
voorzover het betreft het Korps landelijke politiediensten en
Politie Nederland, de Minister van Binnenlandse Zaken en
Koninkrijksrelaties onderscheidenlijk het algemeen bestuur van
Politie Nederland, schriftelijk worden vastgelegd;
e. de uit het informatiebeveiligingsplan voortvloeiende
maatregelen voor systeemverwerving worden getoetst op hun
implementatie en werking.
Artikel 6a
De korpsbeheerder en, voorzover het betreft het Korps landelijke
politiediensten, de Minister van Binnenlandse Zaken en
Koninkrijksrelaties, draagt er zorg voor dat de inrichting van
interceptiefaciliteiten voldoet aan de voorschriften opgenomen in de
Normstelling inrichting interceptiefaciliteiten, bedoeld in bijlage II,
en dat met betrekking tot die faciliteiten de werkwijze wordt gevolgd
beschreven in genoemde normstelling.
Artikel 7
Deze regeling treedt in werking op 1 april 1997.
Artikel 8
Deze regeling wordt aangehaald als Regeling informatiebeveiliging
politie.
Deze
regeling zal met de toelichting en de bijbehorende bijlage in de Staatscourant
en het Algemeen Politieblad worden geplaatst.
’s-Gravenhage, 17 maart 1997.
De Minister van Binnenlandse Zaken,
H.F. Dijkstal.
De Minister van Justitie,
W. Sorgdrager.
Bijlage I. Betrouwbaarheidscriteria en
-normklassen
Inleiding
Artikel 2 van de regeling bepaalt dat bij
gegevensuitwisseling tussen politiekorpsen onderling (lid 3) en met
andere instanties (lid 4) schriftelijke afspraken gemaakt worden over de
betrouwbaarheid van de informatiesystemen en de informatie daarin.
Vanzelfsprekend kunnen (en dienen)
dergelijke afspraken, al dan niet schriftelijk, ook gemaakt te worden
bij gegevensuitwisseling binnen een politiekorps.
Deze betrouwbaarheidsafspraken kunnen op
drie niveaus worden gemaakt:
-
op het niveau van gevoeligheid,
waarbij de afspraken betrekking hebben op de consequenties voor
bedrijfsprocessen die van de informatie c.q. het informatiesysteem
gebruik maken en voor de belangen van personen en instanties
waarover gegevens worden uitgewisseld als er verstoring optreedt van
de betrouwbaarheid van de informatie en de informatiesystemen;
-
op het niveau van eisen, waarbij de
afspraken betrekking hebben op de mate van betrouwbaarheid van de
informatie en de informatiesystemen;
-
op het niveau van maatregelen,
waarbij de afspraken betrekking hebben op de realisatie van de
betrouwbaarheid van de informatie en de informatiesystemen.
Duidelijk zal zijn dat afspraken op het
niveau van gevoeligheid voor de partijen in uitwisseling weinig houvast
biedt bij het invullen van de beveiliging (zekerstellen van de
betrouwbaarheid) van de informatie en de informatiesystemen, terwijl
afspraken op het niveau van maatregelen veel omvattend en complex zullen
zijn en de geldigheidsduur van de afspraken ook beperkt zal zijn als
gevolg van technologische en organisatorische ontwikkelingen. Afspraken
over betrouwbaarheid van informatie en informatiesystemen moeten daarom
gemaakt worden op het niveau van eisen. Bovendien is het zaak de eisen
kwantitatief te formuleren, ten einde de afspraken meetbaar te maken.
In deze bijlage worden de criteria en
-normklassen omschreven die door politiekorpsen dienen te worden
gehanteerd bij het formuleren van eisen inzake de betrouwbaarheid van
informatie en informatiesystemen.
Betrouwbaarheidscriteria
Beschikbaarheid wordt omschreven als: de
mate waarin een informatiesysteem in bedrijf is op het moment dat een
politiekorps het nodig heeft. Voor het formuleren van
beschikbaarheidseisen zijn er de volgende criteria.
-
Beschikbaarheidsperiode: de tijd dat
de informatie en het informatiesysteem nodig is. De
beschikbaarheidsperiode wordt uitgedrukt in tijdseenheden,
bijvoorbeeld kantoortijd, 7x24 uur, etc.
-
Bedrijfszekerheid: de mate waarin de
gegevensverwerking vrij blijft van storingen of, anders gezegd, de
gemiddelde tijd tussen het optreden van beschikbaarheidsstoringen.
De bedrijfszekerheid wordt uitgedrukt in uren, bijvoorbeeld: 1
beschikbaarheidsstoring per 200 uur is acceptabel.
-
Herstelbaarheid: de snelheid waarmee
de gegevensverwerking hersteld kan worden na een storing. Daarbij
kan onderscheid gemaakt worden in:
de gemiddelde duur van een
beschikbaarheidsstoring en
de maximaal toegestane duur van
een beschikbaarheidsstoring, beide uitgedrukt in uren.
Beschikbaarheid wordt hier gespecificeerd
in tijdafhankelijke criteria (het moment dat een politiekorps het
informatiesysteem nodig heeft), niet in locatieafhankelijke criteria (de
plaats waar het informatiesysteem nodig is). Indien ook
locatieafhankelijke beschikbaarheidseisen moeten worden gesteld, dan
kunnen de hierboven genoemde criteria nader worden gespecificeerd per
werkplek, afdeling of gebouw of organisatie.
Integriteit wordt omschreven als: de mate
waarin een informatiesysteem zonder fouten is. ’Zonder fouten’ wil
zeggen dat de informatieverwerking plaatsvindt volgens vooraf
vastgestelde specificaties. De randvoorwaarde voor het maken van
afspraken over de integriteit van informatiesystemen en de informatie
daarin is dus de aanwezigheid van specificaties van de verwerking, zowel
de geautomatiseerde als de handmatige. Voor het formuleren van
integriteitseisen zijn er de volgende criteria.
-
Juistheid: het percentage van de
gegevensverzameling dat door het informatiesysteem juist, conform
specificaties, wordt verwerkt. Bijvoorbeeld: 95% van de gegevens
wordt juist verwerkt.
-
Volledigheid: het percentage van de
gegevensverzameling dat door het informatiesysteem volledig (zonder
manco’s) en enkelvoudig (zonder doublures) wordt verwerkt.
-
Tijdigheid: het percentage van de
gegevensverzameling dat door het informatiesysteem binnen de
gespecificeerde termijn wordt verwerkt.
-
Hersteltijd: het aantal uren na
constatering van niet-integer verwerkte gegevens waarbinnen herstel
dient plaatsgevonden te hebben.
In die gevallen waarin de vereiste
juistheid, volledigheid en/of tijdigheid nagenoeg 100% moet zijn, is het
soms praktischer de eisen te formuleren in faalkansen, bijvoorbeeld: 1
onjuist verwerkte transaktie per 1000 transakties is acceptabel.
Exclusiviteit wordt omschreven als: de
mate waarin de toegang tot en kennisname van een informatiesysteem en de
informatie daarin beperkt is tot een gedefinieerde groep van
gerechtigden. Voor het formuleren van eisen inzake exclusiviteit kunnen
de volgende criteria van dienst zijn.
-
Autorisatie: de aanduiding van de
groep van personen die voor toegang tot en kennisname van een
informatiesysteem en de informatie daarin gerechtigd is. Hoewel
autorisatie feitelijk een specificatie is van exclusiviteit en niet
van zekerstelling van exclusiviteit, wordt ervan uitgegaan dat
naarmate de groep van geautoriseerde personen nauwkeuriger
omschreven wordt de noodzakelijke zekerstelling van de exclusiviteit
hoger wordt.
-
Geoorloofdheid: de mate van zekerheid
dat toegang tot en kennisname van een informatiesysteem en van de
informatie daarin uitsluitend voor personen die daartoe gerechtigd
zijn mogelijk is. Geoorloofdheid wordt uitgedrukt in het percentage
van de feitelijke gebruik van het informatiesysteem. Bijvoorbeeld:
99% van het feitelijk gebruik van het systeem is geoorloofd gebruik.
In die gevallen waarin de vereiste geoorloofdheid nagenoeg 100% moet
zijn is het vaak praktischer de eis te formuleren in faalkansen,
bijvoorbeeld: 1 ongeoorloofde toegang per 1000 toegangen is
acceptabel.
-
Braakbestendigheid: de tijd dat het
kost om ongeoorloofd toegang tot een informatiesysteem te
verkrijgen, uitgedrukt in uren.
Normklassen
Als voor elk informatiesysteem specifieke
betrouwbaarheidsnormen worden geformuleerd, dan ontstaat een complex
normenstelsel. Wat te doen als het ene systeem een
bedrijfszekerheidsnorm stelt van 1 storing per 200 uur, het volgende
systeem een norm stelt van 1 storing per 240 uur en het derde weer een
norm stelt van 1 storing per 300 uur? Voor het maken van afspraken zal
het op den duur handiger blijken om normklassen te hanteren. In deze
regeling worden vier normklassen onderscheiden: ’laag’, ’gemiddeld’,
’hoog’ en ’zeer hoog’.
Het is de bedoeling dat de normklassen
worden ingevuld door overleg tussen de politiekorpsen. Hieronder volgt
een voorbeeld van een mogelijke invulling van normklassen voor de
onderscheiden betrouwbaarheidscriteria.
|
Normklasse à Criterium |
Laag |
Gemiddeld |
Hoog |
Zeer hoog |
|
Beschikbaarheid |
|
|
|
|
|
Beschikbaarheids- periode |
Kantoortijd |
Kantoortijd |
7x24 uur |
7x24 uur |
|
Bedrijfszekerheid |
200 uur |
400 uur |
1500 uur |
6000 uur |
|
Herstelbaarheid |
8 uur |
4 uur |
2 uur |
1 uur |
| |
|
|
|
|
|
Integriteit |
|
|
|
|
|
Juistheid |
< 90% |
90-95% |
95-99,9% |
>99,9% |
|
Volledigheid |
< 90% |
90-95% |
95-99,9% |
>99,9% |
|
Tijdigheid |
< 90% |
90-95% |
95-99,9% |
>99,9% |
|
Hersteltijd |
> 24 uur |
24-8 uur |
8-1 uur |
< 1 uur |
| |
|
|
|
|
|
Exclusiviteit |
|
|
|
|
|
Autorisatie |
Iedereen in het korps |
specifieke afdelingen |
specifieke functies |
specifieke personen |
|
Geoorloofdheid |
90% |
99% |
99,99% |
99,99% |
|
Braakbestendigheid |
< 2 uur |
2-4 uur |
4-12 uur |
> 12 uur |
Tot slot
De in deze bijlage beschreven verzameling
van betrouwbaarheidscriteria is niet volledig en vaststaand. Zoals elke
taal is ook de ’informatiebeveiligingstaal’ in ontwikkeling. Op
basis van ervaringen met het toepassen van de betrouwbaarheidscriteria
en van de normklassen zullen aanpassingen en uitbreidingen van de
verzameling van criteria en invullingen van de normklassen kunnen worden
verwacht.
Bijlage II. Normstelling inrichting
interceptiefaciliteiten
[Ligt ter inzage bij het ministerie van
Binnenlandse Zaken en Koninkrijksrelaties]
|