FAQ

De IBD informeert u graag over de ontwikkelingen op het gebied van informatiebeveiliging in de gemeentelijke markt. Hieronder kunt u, per categorie, belangrijke documenten over dit onderwerp downloaden.
Zoek op dienst, product, aansluiting, project of locatie
Wanneer is een bewerkersovereenkomst nodig?

Er dient een bewerkersovereenkomst opgesteld te worden tussen partijen indien een verantwoordelijke partij (gemeente) persoonsgegevens laat verwerken door een bewerker. Elke keer dat een verantwoordelijke partij (gemeente) het verwerken van persoonsgegevens ‘uitbesteedt’ wordt een schriftelijke overeenkomst vereist.

Hoe veilig zijn gegevens bij de IBD?

De informatie die tussen gemeenten en de IBD wordt gedeeld wordt verwerkt met het doel om gericht kwetsbaarheidswaarschuwingen te kunnen sturen naar gemeenten. De gegevens van gemeenten worden door de IBD als sectorale CERT namens alle Nederlandse gemeenten gematcht met waarschuwingen van het Nationaal Cyber Securitycentrum (NCSC) en andere bronnen, bijvoorbeeld waarschuwingen van leveranciers of responsible disclosure meldingen.

Beveiligde opslag

Uw gegevens zijn opgeslagen in de beveiligde omgeving van de IBD. Een set aan technische, fysieke en organisatorische maatregelen voorkomt dat onbevoegden bij deze informatie kunnen komen. Hierbij voldoet de IBD aan de terzake relevante normen uit de Baseline Informatiebeveiliging Nederlandse gemeenten (BIG) alsook aan internationale regelgeving die van toepassing is op een geaccrediteerde CERT/CSIRT.

Beveiligd transport

De IBD maakt gebruik van STARTTLS (in combinatie met DKIM, SPF & DMARC), e-mailcommunicatie met de IBD is tijdens transport versleuteld mits de gemeente ook STARTTLS gebruikt. Indien gewenst kan de e-mail ook door middel van PGP worden versleuteld. Bijlagen kunnen in een zip-bestand versleuteld worden door middel van een wachtwoord dat u telefonisch doorgeeft aan de IBD-helpdesk (zie ook het Informatieblad Versleutelen informatie in de communicatie met de IBD).

Geheimhouding medewerkers en screening incidenthandlers IBD

De incidenthandlers van de IBD hebben allen een verklaring van geen bezwaar naar aanleiding van een veiligheidsonderzoek door de AIVD. Alle medewerkers van de IBD hebben een geheimhoudingsverklaring ondertekend.

Pentest

Jaarlijks wordt door middel van een penetratietest gecontroleerd of de beveiligingsmaatregelen afdoende zijn. Het rapport van deze jaarlijkse test is voor vertrouwde contactpersonen informatiebeveiliging (VCIB’s) op vertoon van geldige legitimatie in te zien op locatie van de IBD.

Alleen aanleveren tbv waarschuwingen

Het is niet noodzakelijk om een volledig overzicht van de ICT omgeving op te geven. Gemeenten geven slechts de componenten op waarover zij kwetsbaarheidswaarschuwingen wensen te ontvangen.

De inleesfunctie uit de softwarecatalogus van KING is een hulpmiddel bij het opstellen van een overzicht in het kader van stap 4. Gegevens van gemeenten worden niet gedeeld met KING VNG of andere partijen.

Hoe geef ik een wijziging voor een ACIB door?

In geval van een nieuwe Algemene Contactpersoon Informatiebeveiliging (ACIB) kunt u opnieuw het ACIB-formulier invullen en mailen aan aansluiten@ibdgemeenten.nl. Noteer op het formulier de compleet nieuwe situatie. Het formulier kunt u hier downloaden. Bij een wijziging in e-mailadres en/of telefoonnummer of een verzoek tot verwijdering van ACIB-gegevens, is een e-mail aan aansluiten@ibdgemeenten.nl voldoende.

Hoe geef ik een wijziging voor een VCIB door?

In geval van een nieuwe Vertrouwelijke Contactpersoon Informatiebeveiliging (VCIB) kunt u opnieuw het VCIB-formulier invullen (inclusief ondertekening van een bevoegd vertegenwoordiger) en mailen aan aansluiten@ibdgemeenten.nl. Noteer op het formulier de compleet nieuwe situatie. Het formulier kunt u hier downloaden. Overigens is er ook een apart VCIB-formulier voor het doorgeven van VCIB’s van een samenwerkingsverband.

De IBD plant daarna een intakegesprek in met de nieuwe VCIB. Bij een wijziging in e-mailadres en/of telefoonnummer of een verzoek tot verwijdering van VCIB-gegevens, is een e-mail aan aansluiten@ibdgemeenten.nl voldoende.

Welke functionaris kan ik voor mijn gemeente het beste invullen op het VCIB- aansluitformulier?

Dit is een vraag die de IBD helaas niet voor u kan beantwoorden. Het antwoord is namelijk afhankelijk van de grootte van uw organisatie en hoe u als gemeente uw organisatie en werkprocessen heeft ingericht. Om optimaal van de dienstverlening van de IBD gebruik te maken, is het echter wel belangrijk dat u de juiste functionarissen invult op onze aansluitformulieren.

De VCIB ontvangt na het doorlopen van de vier stappen van het aansluitproces,  van de IBD incidentmeldingen of waarschuwingen waarvan de inhoud een vertrouwelijk karakter heeft, meldingen dat één van uw gemeentelijke IP-adressen mogelijk malware verspreid en meldingen van grootschalige incidenten waarbij uw gemeente mogelijk  betrokken is. De meldingen kunnen ook een algemene waarschuwing bevatten of een vraag om te onderzoeken of er vanuit uw gemeentelijke ICT-omgeving contact is geweest met bepaalde verdachte IP-adressen.

Voor de VCIB is het belangrijk dat hij/zij voldoende technisch inzicht heeft om de impact van bepaalde meldingen op de gemeentelijke bedrijfsvoering en reputatie te kunnen begrijpen. Verder is het wenselijk dat de VCIB voldoende positie binnen de organisatie heeft om de nodige maatregelen te kunnen (laten) nemen. De VCIB moet door de organisatie vertrouwd worden in het omgaan met gevoelige informatie en kunnen inschatten met wie hij/zij vertrouwelijke informatie kan delen binnen uw gemeente. De VCIB moet 24/7 bereikbaar zijn.

Typische gemeentelijke functies/rollen waarin deze vaardigheden aanwezig zouden moeten zijn:

  • Security Officer (CISO)
  • Leidinggevende ICT-afdeling
  • Senior Netwerkbeheerder
  • Incidentmanager
  • Hoofd Dienstverlening

De VCIB is werkzaam bij de gemeente of voor een Shared Service Centrum waar de gemeente deelnemer van is.

Voor de VCIB van uw gemeente is het van belang dat het één (of meerdere) bij de IBD bekende (te duiden) personen zijn. Het doorgeven van een algemeen e-mailadres en telefoonnummer is hier dus niet toegestaan.

Welke communicatie kan mijn gemeente van de IBD verwachten bij het doorgeven van kwetsbaarheidswaarschuwingen?

De IBD ontvangt beveiligingsadviezen van het NCSC en gebruikt deze voor het maken van zogenaamde Kwetsbaarheidswaarschuwingen. Doel hiervan is het voorkomen van incidenten. De IBD doet dit door gemeenten zo snel als mogelijk te informeren over bekende aankomende of acute ICT-gerelateerde beveiligingsrisico’s, zoals kwetsbaarheden in soft- en/of hardware. De gemeente geeft op het kwetsbaarheidswaarschuwingenformulier aan, aan wie deze meldingen gestuurd moeten worden. De IBD stuurt daarnaast één keer per week alle verstuurde kwetsbaarheidsbaarheidswaarschuwingen in een overzicht door aan degene die op het kwetsbaarheidswaarschuwingenformulier van een gemeente vermeld staat om deze wekelijkse overzichten te ontvangen. Daarmee heeft u het overzicht en kunt u controleren welke meldingen binnen zijn gekomen bij uw gemeente.

Worden de gegevens van de ICT-foto gecombineerd met de software catalogus?

In de software catalogus is alleen informatie opgenomen betreffende gemeentelijke software. De ICT-foto gaat een stuk verder. Hierin is bijvoorbeeld ook opgenomen welke firewall een gemeente gebruikt. Vanwege de vertrouwelijkheid van de informatie wordt hierbij geen koppeling gemaakt met de softwarecatalogus. Wel is het mogelijk om een export uit de softwarecatalogus te maken van de daar door de gemeente / het samenwerkingsverband ingevulde gemeentelijke software. De geëxporteerde gegevens kunt u toevoegen aan de ICT-foto van de IBD. In het informatieblad ‘Hoe vul ik de lege foto’ vindt u hierover een uitleg.