Ga naar inhoud

Beveiliging informatie en informatiesystemen

OntwerpImplementatieMonitoring en beheerDataverkenning en datapreparatieVerificatie en validatieUitfaserenTechnische robuustheid en veiligheid

Vereiste

Informatie en informatiesystemen moeten op de juiste manier worden beveiligd.

Toelichting

Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid (BIO) dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.

Bronnen

Bron
Baseline Informatiebeveiliging Overheid
Besluit voorschrift informatiebeveiliging rijksdienst 2007

Wanneer van toepassing?

niet-impactvol impactvol
niet-impactvol impactvol hoog-risico-ai
niet-impactvol impactvol hoog-risico-ai

Risico

Er kunnen risico's ontstaan zoals ongeautoriseerde toegang, vernietiging, verlies, wijziging of niet-toegestane verwerking van gegevens als de informatie en informatiesystemen onvoldoende zijn beveiligd.

Maatregelen

MaatregelUitleg
Maak back-ups van algoritmesBack-up kopieën van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.
Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.
Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.
Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.
Zorg ervoor dat logbestanden worden gecreëerd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).
Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.
Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.
Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.
Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.
Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.
Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.
Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.
Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.
Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.
Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.
Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.
Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.
MaatregelUitleg
Maak back-ups van algoritmesBack-up kopieën van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.
Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.
Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.
Zorg ervoor dat logbestanden worden gecreëerd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).
Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.
Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.
Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.
Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.
Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.
Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.
Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.
MaatregelUitleg
Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.
Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.
Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.
Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.
Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.
Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.
Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.