Eigenschap:Toelichting

Concrete norm: *De data die in de datacenters verwerkt of opgeslagen worden, moeten binnen de Nederlandse beschikkingsmacht vallen. *In het belang van de continuïteit van de datacentervoorziening Rijk is in de datacenters (a)synchrone duplicatie en back-up van bedrijfskritische data mogelijk, rekening houdend met bestaande software latency. *De datacenters van de datacentervoorziening Rijk bieden de dienstverlening housing. *De datacenters van de datacentervoorziening Rijk voldoen aan de duurzaamheidsnorm EUE <1,5 (greengrid Methode) en techniekstandaarden minimaal tier level 3 (Tui en Tia 942). *De datacenters van de datacentervoorziening Rijk bieden de koppelvlakken naar andere overheidsorganisaties, burgers en bedrijven. *De datacenters van de datacentervoorziening Rijk bieden housing op informatiebeveiligingsniveau tot en met staatsgeheim confidentieel. *De datacenters van de datacentervoorziening Rijk zijn opwaarts en neerwaarts effectief schaalbaar in housingcapaciteit. Het vertrouwelijke document <strong>leidraad Datacenters Staatsgeheim Housing</strong>, beschrijft hoe de juiste keuze van beveiligingsmaatregelen moet worden gemaakt. In de leidraad worden de processtappen weergegeven met bijbehorende activiteiten voor de partijen die een verantwoordelijkheid hebben in de te nemen beveiligingsmaatregelen, te weten de data-eigenaar en de housing-dienstverlener. Per processtap wordt aangegeven wat het resultaat (output) moet zijn van de processtap. De leidraad geeft op inzichtelijke wijze aan hoe de partijen kunnen voldoen aan bestaande voorschriften, zoals VIR, BIR en VIR-BI. De scope van de leidraad is gericht op de inrichting van de housing-dienst en de te nemen veiligheidsmaatregelen ten behoeve van de bescherming van de vertrouwelijkheid van de informatie (exclusiviteit), de bescherming van nationale gegevens (geen NATO/EU) en de bescherming van gegevens met rubricering Staatsgeheim CONFIDENTIEEL (Stg.C) en/of Staatsgeheim GEHEIM (Stg.G). In de leidraad wordt verwezen naar de actoren, dreigingen en aanvalsscenario’s uit de daderprofielen van (en onderhouden door) AIVD, Defensie en DGOO, zoals die worden gehanteerd in de Baseline Informatiebeveiliging Rijksdienst (BIR).  

De verplichting geldt bij een investering in een systeem of dienst dat dient voor de gegevensverzameling, -vastlegging en -uitwisseling voor het beheer van waterkeringen, oppervlaktewater en afvalwaterzuivering.  +

ArchiMate en TOGAF zijn beiden belangrijke instrumenten voor de Rijksarchitect. De modelleertaal ArchiMate wordt binnen [[TOGAF]] gebruikt voor het eenduidig modelleren van componenten binnen een architectuur.  +

U vindt in het besluit bijvoorbeeld: *Regels over het opstellen en vaststellen van selectielijsten *Regels voor het vervangen van archiefbescheiden door reproducties *Regels voor het in eigendom overdragen van overheidsarchieven ('vervreemding') *Regels voor het in goede, geordende en toegankelijke staat brengen en houden van archiefbescheiden Daarnaast stelt het Archiefbesluit verplicht dat een overheidsorgaan over archiefbeheersregels beschikt, en over voldoende en goed opgeleid personeel voor het archiefbeheer. Ten slotte moet elk overheidsorgaan ook een archiefruimte hebben die aan alle eisen voldoet.  +

De Archiefregeling bestaat uit acht hoofdstukken: #Algemeen #Duurzaamheid archiefbescheiden #Geordende en toegankelijke staat archiefbescheiden #Algemene voorschriften voor de bouw en inrichting van archiefruimten #Bijzondere voorschriften voor de bouw en inrichting archiefruimten #Bijzondere voorschriften voor de bouw en inrichting archiefbewaarplaatsen #Ontheffingen #Slot- en overgangsbepalingen  +

De Archiefwet stelt algemene eisen aan het beheer van alle archiefbescheiden van de overheid. Daarmee is de Archiefwet de belangrijkste wet voor de informatievoorziening van de Nederlandse overheid. De wet stelt daarnaast extra eisen aan de bescheiden die blijvend bewaard worden. Ook regelt de wet dat deze archiefbescheiden in openbare archiefbewaarplaatsen worden bewaard en daar beschikbaar zijn voor iedere burger. De Archiefwet is een wet op hoofdlijnen. Een aantal onderdelen is verder uitgewerkt in het Archiefbesluit 1995. Dit besluit bevat op zijn beurt weer bepalingen op hoofdlijnen. Die bepalingen zijn weer verder uitgewerkt in de Archiefregeling.  +

De SSA v.2 voorziet in een betrouwbare en schaalbare ICT-infrastructuur. Er wordt gebruik gemaakt van modulaire en gestandaardiseerde bouwstenen. De bouwstenen zijn geschikt voor een deelbaar gebruik. Dit maakt een gemeenschappelijk gebruik door verschillende afnemers mogelijk. Ook kunnen de bouwstenen worden toegepast als gedeelde componenten in Rijksbrede diensten. In dat geval is sprake van een generieke toepassing van de bouwstenen. Om de beschikbaarheid en kwaliteit van de diensten te borgen beschrijft de SSA v.2 richtlijnen voor de inrichting van de infrastructuur en de bouwstenen ten aanzien van risico- en impactbeheersing.  +

De patronen in dit document zijn goede voorbeelden voor het realiseren van beveiligingsfuncties in ICT omgevingen. Het gaat om voorbeelden, “best practices”. Het is niet verplicht om deze patronen te volgen maar ze leiden wel tot een goede manier van invullen van de BIR TNK. Daarnaast bevat de BIR TNK veel normen die niet geraakt worden door deze patronen. Het blijft dus nodig om een toets te doen op de normen uit de BIR TNK.  +

De BIR is geheel gestructureerd volgens [[NEN-ISO/IEC 27001|NEN/ISO 27001]], bijlage A en [[NEN-ISO/IEC 27002|NEN/ISO 27002]], welke standaarden door College Standaardisatie zijn opgenomen op de lijst met verplichte standaarden voor de publieke sector, volgens het Pas Toe of Leg Uit principe. NEN/ISO 27001 en 27002 beschrijven implementatierichtlijnen en eisen voor de procesinrichting. De BIR beschrijft de invulling daarvan voor de rijksoverheid, waarbij specifieke rijksnormen worden gemerkt met een [R]. BIR is beperkt tot basisniveau en beschrijft niet alle details voor toepassing. De specificaties van de NEN/ISO normen blijven derhalve nodig als gedetailleerde aanvulling op BIR. Gebruik van de NEN/ISO normen in de BIR geschiedt met toestemming van het NNI. Met de vaststelling van BIR is een aantal kaders vervallen, waaronder het normenkader Rijksweb, mobiele datadragers en DWR. December 2013 is de op het TNK afgestemde operationele handreiking Informatiebeveiliging beschikbaar gekomen, een operationalisering van maatregelen in de BIR. Deze wordt in samenhang met de BIR onderhouden. Naast BIR2012 zijn er [[Voorschrift Informatiebeveiliging Rijksdienst (VIR)|VIR (2007)]] en [[Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI)|VIR-BI (2013)]] (VIR Bijzonder Informatie) en het document [[Media:BIR_TNK_1_0_definitief.pdf|Tactisch Normenkader BIR]].  +

De nota omvat zowel de explainprocedure voor de departementen (specifieke voorzieningen) als de explainprocedure voor Shared Service Organisaties (generieke of gemeenschappelijke voorzieningen).  +

===Concrete normen=== *Voor 1-1-2019 moeten Ministeries inzichtelijk hebben gemaakt wanneer ze voor welke informatiesystemen overstappen naar het kader BIR2017. *Voor de informatiesystemen die de transitie naar BIR2017 nog niet hebben ondergaan, blijft het tactische normenkader BIR:2012 (comply or explain) van toepassing. *Het toetsen vindt plaats aan de hand van de In Control Verklaring (ICV). *De procedure voor afgifte van een ICV op de BIR door SSO’s is op 18 december 2014 vastgesteld in ICCIO.  +

Voor het uitwisselen van gegevens gebaseerd op een geografische ondergrond zijn alle overheidsorganisaties verplicht gebruik te maken van gegevens uit de BRT, als deze gegevens beschikbaar zijn.  +

Gebruik de standaard voor elektronische verwijzing naar wetten en regelingen met het doel om deze met anderen te delen.  +

De baseline is gebaseerd op de geldende wet- en regelgeving en internationale standaarden, waaronder 11 regelingen die eisen stellen aan de kwaliteit van de informatiehuishouding, zoals de Archiefwet 1995, de Wet openbaarheid van bestuur, de Wet bescherming persoonsgegevens, de Comptabiliteitswet en het Voorschrift informatiebeveiliging Rijk en DUTO. De kwaliteit van de digitale en papieren informatiehuishouding vereist dat deze structureel onderdeel is van de reguliere bedrijfsvoering van het rijk en daarom dient deze opgenomen te worden in de reguliere “planning- en controlcyclus” van de ministeries. De baseline is het instrument daarvoor. Concrete norm: De Baseline Informatiehuishouding Rijksoverheid dient gehanteerd te worden bij de inrichting van de (digitale) informatiehuishouding.  +

De Baseline Informatiehuishouding Rijksoverheid (versie 1.0) is op 24 juni 2009 vastgesteld in de Stuurgroep Informatie op Orde. Het betreft de kerndocumenten bestaande uit een Managementstatement, de 7 normen en de Basics, het toelichtende document.  +

Het BARA voorziet in regels die aangeven wat er met de archiefbescheiden van rijksorganen dient te geschieden wanneer binnen de rijksdienst reorganisaties of opheffingen plaats hebben of rijkstaken worden overgedragen aan privaatrechtelijke instellingen. Het besluit strekt er toe om enerzijds het archivistische leerstuk, dat een archief een bijeen te houden geheel is, en anderzijds de dagelijkse praktijk, die vereist, dat men, ook na gewijzigde omstandigheden in de organisatie, om redenen van continuïteit over de relevante stukken moet kunnen beschikken, met elkaar te verzoenen. Het laten prevaleren van de archivistiek kan immers onwerkbare situaties tot gevolg hebben. Het laten prevaleren van het praktisch nut kan daarentegen leiden tot ongewenste situaties bij het beheer van de betrokken archieven.  +

Concrete normen: *Waar mogelijk wordt informatie over individuele objecten verkregen uit een basisregistratie; *Wanneer informatie over individuele objecten wordt verkregen uit een informatiesysteem geschiedt dit zoveel mogelijk in rechtstreeks contact tussen de verkrijger en de verstrekker, volgens eenvoudige en doorzichtige procedures; *Het waarnemen, vastleggen, verzamelen, verwerken, verstrekken en gebruiken van informatie over individuele objecten geschiedt op locaal niveau of anderszins op een zo laag mogelijk niveau; *Het leggen van verbanden tussen informatie over individuele objecten in verschillende informatiesystemen vindt plaats voor het vervullen van specifieke, formeel toegewezen taken en op grond van duidelijke, schriftelijk vastgelegde regels; *Het meervoudig vastleggen, verzamelen, verwerken en verstrekken van informatie over individuele objecten wordt zo veel mogelijk vermeden; *Gebruik en exploitatie van een informatiesysteem (informatiebeheer) wordt gedecentraliseerd in overeenstemming met de decentralisatie van de uitvoering van taken waarvoor informatie nodig is; *Informatiebeheer wordt, voor zover doelmatig, gedeconcentreerd in overeenstemming met de deconcentratie van de uitvoering van taken; *Bij decentraal of gedeconcentreerd informatiebeheer berust de verantwoordelijkheid voorontwikkeling en onderhoud van een informatiesysteem (systeembeheer) op adequaat centraal niveau; *Bij een voorstel van wet of van een andere regeling, voor de uitvoering waarvan de beschikbaarheid van informatie van essentiële betekenis is, dient in de bijbehorende toelichting steeds in een afzonderlijk onderdeel aan de informatievoorziening aandacht te worden besteed; *De minister van Binnenlandse Zaken heeft de verantwoordelijkheid voor de coördinatie op het gebied van de informatievoorziening in de openbare sector als geheel; *De vakministers dragen zorg voor het tot stand komen van meerjaren informatieplannen ten behoeve van een systematische planning van de voorgenomen activiteiten op het gebied van de informatievoorziening binnen het eigen ministerie; *Een meerjaren informatieplan, dat relevant is vanuit het oogpunt van de algemene coördinatie op het terrein van de overheidsinformatievoorziening, wordt aan de minister van Binnenlandse Zaken toegezonden. De minister van Binnenlandse Zaken zal zo nodig zijn commentaar op het plan aan de betrokken minister doen toekomen.  

Het Voorschrift Informatiebeveiliging Rijksdienst - bijzondere informatie (VIR-BI) geeft regels voor de beveiliging van gerubriceerde informatie bij de rijksdienst. De rijksdienst kent 4 niveaus gerubriceerde informatie: Departementaal Vertrouwelijke informatie (DepV) en 3 varianten staatsgeheime informatie (STG Zeer Geheim, Geheim en Confidentieel). Deze regels strekken er toe het aantal personen dat met gerubriceerde informatie in aanraking komt zo beperkt mogelijk te houden (het “need to know” principe). Ook moeten voldoende maatregelen worden genomen, bijvoorbeeld versleuteling van de informatie, om te voorkomen dat externe partijen toegang tot staatsgeheime informatie kunnen krijgen. Alleen gescreende medewerkers krijgen toegang tot Staatsgeheimen. Daarnaast is het van belang dat zo spoedig mogelijk actie wordt ondernomen bij kennisname door niet gerechtigden (compromittering). De beveiligingsambtenaar (BVA) speelt hierbij een centrale rol. Voor het rubriceren van bijzondere informatie is een Handleiding Rubricering opgesteld.  +

Wet- & Regelgeving is beleidsverantwoordelijk en verantwoordelijk voor de inrichting en werking van de organisatie van de beveiliging van de Rijksdienst.  +

<strong>Wat houdt de inrichting van het CIO-stelsel in?</strong> *Het kabinet acht het noodzakelijk dat binnen alle ministeries de CIO-rol op hoog ambtelijk niveau wordt belegd, zoals ook door de Rekenkamer bepleit. De CIO-rol wordt belegd bij een functionaris in de rol van CIO en het CIO-Office dat hem/haar in die rol ondersteunt. *Als in een ministerie sprake is van een CIO-stelsel, waarbinnen er één departementale CIO is en grote onderdelen en/of baten-lastendiensten over een eigen CIO beschikken, zijn deze CIO’s verantwoordelijk voor hun informatievoorziening en leggen zij verantwoording af aan de departementale CIO. *De CIO bewaakt de samenhang in de informatievoorziening en ICT-projecten door applicatie- en projectenportfoliomanagement. De CIO is verantwoordelijk voor een adequaat beheer van de departementale projectenportfolio, heeft zitting in de bestuursraad en informeert de bestuursraad of, waar dit aan de orde is, het bevoegd bestuursorgaan. Ten slotte stelt de CIO, op basis van de rijksbrede I-kaders, eisen aan projectbeheersingsmethodieken en ondersteunt audits, reviews en second opinions. *De CIO draagt zorg voor een permanent proces waarin projecten met een ICT-component worden geïdentificeerd en – met vermelding van hun risicoprofiel – centraal binnen het ministerie worden geregistreerd en periodiek gemonitord. De departementale CIO ziet toe op de zorgvuldige vaststelling en actualisatie van de risicoprofielen. Een project met een ICT-component met een projectbegroting van ten minste € 5 miljoen kan niet starten of voortgezet worden zonder een positief oordeel van de CIO (CIO oordeel). De CIO bewaakt de toepassing van de rijksbrede I-kaders. *De opdrachtgevers zijn primair verantwoordelijk voor hun projecten en verstrekken informatie aan de departementale CIO, zodat deze zijn rol in het kader van het projectportfoliomanagement en de projectbeheersing kan vervullen. Die rol is gericht op de inrichting van de organisatie en governance, kosten en risico’s, de aansluiting op en samenhang in de departementale projectenportfolio, op de toepassing van rijksbrede en departementale architectuur en standaarden en het gebruik van projectbeheersingsmethodieken en externe kwaliteitstoetsen. *De CIO-Rijk ontvangt bij de voorgenomen start een afschrift van het projectplan, het oordeel van de departementale CIO en zijn toetsing aan de rijksbreed afgesproken kaders. De CIO-Rijk ontvangt ook een afschrift van een tussentijds oordeel over de voortzetting van een project. *In het vervolg zal een project niet kunnen starten, of voortgezet worden, zonder een positief oordeel van de CIO over een project. Het oordeel van de CIO wordt gegeven vanuit de rol van de CIO en richt zich daarmee vooral op de inrichting van de organisatie en governance, de kosten en de risico’s, de aansluiting op de departementale projectenportfolio, op de toepassing van rijksbrede en departementale architectuur en standaarden en het gebruik van projectbeheersingsmethodieken en externe kwaliteitstoetsen. *Deze verantwoordelijkheid wordt mede ingevuld met het CIO-beraad, dat gevormd wordt door de departementale CIO’s met de CIO Rijk als voorzitter. In deze constellatie vervult de directeur van de directie CIO Rijk van het ministerie van BZK de rol van CIO Rijk. Het CIO-beraad coördineert de informatievoorziening en het ICT-beleid van de rijksdienst, borgt het rijksbrede beleid, en doet voorstellen voor de ontwikkeling van nieuwe kaders en standaarden. Behoudens de taken die verbonden zijn aan het voorzitterschap van het CIO-beraad, is hij in de rol van directeur opdrachtgever voor rijksbrede projecten, indien deze een ICT component hebben kleiner dan € 5 miljoen, en is hij als hoofd verantwoordelijk voor het Bureau ICT Toetsing (BIT). <strong>Concrete normen:</strong> *De CIO-rol moet op hoog ambtelijk niveau worden belegd binnen het departement (CIO heeft zitting in de bestuursraad); *Een project met een ICT-component van ten minste € 5 miljoen kan niet starten of voortgezet worden zonder een positief CIO oordeel; *Het Bureau ICT Toetsing (BIT) toetst alle nieuwe projecten met een ICT component van ten minste € 5 miljoen. De CIO-Rijk biedt het advies aan de betrokken bewindspersoon aan, die dit advies doorgeleidt naar de Tweede Kamer.