Ga naar inhoud

Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen

bio-01OrganisatieverantwoordelijkhedenBeleid en adviesOntwikkelaarTechnische robuustheid en veiligheid

Vereiste

Informatie en informatiesystemen moeten op de juiste manier worden beveiligd.

Toelichting

Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid (BIO) dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn.

Algoritmes en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.

Bronnen

Wanneer van toepassing?

Risico

Er kunnen risico's ontstaan zoals ongeautoriseerde toegang, vernietiging, verlies, wijziging of niet-toegestane verwerking van gegevens als de informatie en informatiesystemen onvoldoende zijn beveiligd.

Maatregelen

idMaatregelen
org-11Maak afspraken over het beheer van gebruikers
org-13Maak afspraken over het beheer van wachtwoorden
org-14Maak afspraken over het wijzigen van de code
owp-15Bespreek de vereisten die gelden voor een verantwoorde inzet van algoritmes met aanbieders.
owp-16Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst.
owp-22Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren
owp-24Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
owp-27Voer een risico-analyse met de aanbieder uit op het gebied van informatiebeveiliging bij een uitbestedingstraject
owp-28Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
owp-29Maak vereisten voor algoritmes onderdeel van de Service Level Agreement
owp-32Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.
owp-35Pas vastgestelde beleidskaders toe
owp-36Voorkom kwetsbaarheden die geïntroduceerd worden in de supply-chain van het algoritme.
dat-11Controleer de data op manipulatie en ongewenste afhankelijkheden
dat-12Controleer de input van gebruikers op misleiding
owk-01Ontwerp en ontwikkel het algoritme volgens de principes van ‘security by design’
owk-04Maak logbestanden waarin staat wie wanneer toegang had tot de data en de code
owk-09Ontwerp en train het algoritme om bestand te zijn tegen (cyber)aanvallen
owk-09Zorg dat er (gevoelige) informatie niet kan lekken op basis van de output van het algoritme.
mon-01Maak back-ups van algoritmes
mon-02Beveilig de software
mon-03Maak een noodplan voor beveiligingsincidenten
mon-08Controleer regelmatig of een algoritme voldoende weerbaar is tegen bekende aanvallen.