Berg de FIS goed op!

Maatregelen (Technisch, Organisatorisch en Procedureel) voor de interne opslag van FIS gegevens, met als doel de integriteit en exclusiviteit van de gegevens te waarborgen.

Technische maatregelen

• eigen netwerksegment voor het FIS;
• afgescheiden middels bridging firewall van productienetwerk;
• encrypted opslag in encrypted containers. Hiermee is beheer door de ICT afdeling mogelijk, maar zij hebben geen mogelijkheden tot inzage in de data;
• alleen toegestaan verkeer vanuit de servers. Werkstations worden niet direct geregistreerd, maar via hun handelingen op de servers;
• data-staging: over een gecontroleerde verbinding wordt de data via versleuteld tussenbestand weggeschreven naar het FIS. Hiermee worden (D)DOS aanvallen op de loggingserver gedetecteerd en deels ondervangen, waarna beheerders maatregelen kunnen treffen;
• encrypt dataverkeer vanaf de servers via aparte netwerkkaart en bekabeling. Zo kunnen productie en FIS-logging elkaar niet verstoren;
• sensoren met alarmering indien FIS op niet reguliere wijze wordt benaderd, bijvoorbeeld door toepassing van Darknets;
• redundante netwerkverbinding. Om de beschikbaarheid van het FIS te garanderen moeten aanvullende maatregelen worden getroffen, zoals het aanleggen van een extra netwerkverbinding met voldoende capaciteit.

Organisatorische maatregelen

• functiescheiding bij technisch beheer;
• CISO is gegevenseigenaar;
• PO&I is applicatiebeheerder;
• een groep verantwoordelijke functionarissen heeft de sleutel om FIS te openen (zie ook procedureel).

Procedurele maatregelen

• FIS mag alleen worden geopend onder van te voren gedefinieerde omstandigheden, zoals een verzoek of bevel van de politie om inzage te geven in (delen van) het informatiesysteem, of bij zwaarwegende bedenkingen van fraude, e.d.;
• hiervoor moet een van te voren geselecteerde en aangewezen groep functionarissen (bestaande uit functionarissen als CSO/CISO, HR, Legal) bij elkaar komen en gezamenlijk de beslissing nemen;
• omdat hiermee de Wbp gemoeid is (registratie van persoonsvertrouwelijke gegevens en nu ook verwerking hiervan) moeten desbetreffende functionarissen worden geïnformeerd of betrokken;
• het technisch beheer van FIS ligt bij de ICT-afdeling;
• het functioneel beheer wordt uitgevoerd door bijvoorbeeld de CISO, PO&I of de CSO;
• de organisatie heeft vastgesteld hoe lang de FIS gegevens moeten worden bewaard.

Maatregelen (Technisch, Organisatorisch en Procedureel) voor de externe opslag van DFIS gegevens.

Dezelfde maatregelen als bij interne opslag, aangevuld met:

Technische maatregelen

• datatransport via een VPN verbinding over een huurlijn;
• data wordt versleuteld verzonden binnen het VPN;
• alleen communicatie tussen de IP-adressen van de FIS staging server en de FIS logging server lis toegestaan;
• alleen communicatie van de FIS staging server naar de FIS logging server is toegestaan, andersom niet;
• bij de TTP is een encrypted container aangemaakt, waarbinnen de data nogmaals versleuteld wordt opgeslagen. Hiermee wordt beheer bij de TTP mogelijk gemaakt, terwijl geen inzage in de gegevens mogelijk is;
• toegang tot de FIS data kan alleen na sterke authenticatie.

Deze lijsten zijn niet volledig, aanvulling graag via de comments.