Algemene Rekenkamer: informatiebeveiliging ministerie van veiligheid niet op orde

Het ministerie van veiligheid neemt op het gebied van het verzamelen van gegevens een belangrijke plaats in. Onder meer is de Dienst Justis onderdeel van het ministerie; Justis verzamelt gegevens over rechtspersonen en daarbij betrokken natuurlijke personen op grond van de Wet controle op rechtspersonen. Het is dan ook van groot belang dat die gegevens zorgvuldig worden verzameld en veilig worden bewaard.

Uit het door de Algemene Rekenkamer uitgebrachte rapport met Resultaten verantwoordings- onderzoek 2014 Ministerie van Veiligheid en Justitie (VI) blijkt dat het ministerie de informatiebeveiliging niet op orde heeft.

De Rekenkamer schrijft op pagina 57 en verder van het rapport het volgende:

4.4.6 Onvolkomenheid: Informatiebeveiliging

De organisatieonderdelen van het Ministerie van VenJ maken gebruik van zeer veel informatiesystemen. 79 daarvan zijn door de organisatieonderdelen van het ministerie als kritiek aangemerkt voor het goed vervullen van hun publieke taak.

In het Verantwoordingsonderzoek 2013 hebben we aangegeven dat de uitvoeringsorganisaties van het ministerie voor deze systemen een expliciete risicoafweging moesten maken om te beoordelen of bestaande beveiligingsmaatregelen nog aansluiten bij risico’s van beschikbaarheid, vertrouwelijkheid en integriteit (juistheid) van de informatie. De minister deed de toezegging hieraan te zullen voldoen. Desondanks stellen we vast dat de uitvoeringsorganisaties van het Ministerie van VenJ hier in 2014 onvoldoende invulling aan hebben gegeven.

Meer aandacht nodig voor informatiebeveiliging bij organisatieonderdelen VenJ Risicoanalyses kritieke systemen nog niet allemaal beschikbaar in 2014
De organisatieonderdelen van het Ministerie van VenJ maken gebruik van zeer veel informatiesystemen. 79 daarvan zijn door de organisatieonderdelen van het ministerie als kritiek aangemerkt voor het goed vervullen van hun publieke taak.

In het Verantwoordingsonderzoek 2013 hebben we aangegeven dat de uitvoeringsorganisaties van het ministerie voor deze systemen een expliciete risicoafweging moesten maken om te beoordelen of bestaande beveiligingsmaatregelen nog aansluiten bij risico’s van beschikbaarheid, vertrouwelijkheid en integriteit (juistheid) van de informatie. De minister deed de toezegging hieraan te zullen voldoen. Desondanks stellen we vast dat de uitvoeringsorganisaties van het Ministerie van VenJ hier in 2014 onvoldoende invulling aan hebben gegeven. Pas na een indringende oproep in november 2014 van de Chief Information Officer, de pSG van het departement, hebben de uitvoeringsorganisaties meer risicoanalyses uitgevoerd en hun meest recente informatie hierover aangeleverd voor het centrale overzicht van kritieke systemen van het Ministerie van VenJ.

Voor sommige kritieke systemen geldt dat de beveiligingsmaatregelen die zijn voorgeschreven in de Baseline Informatiebeveiliging Rijksdienst (BIR) onvoldoende zijn. In die gevallen schrijft de BIR voor dat het lijnmanagement naast een quick scan BIR ook een uitgebreidere risicoanalyse uitvoert en extra maatregelen definieert. Uit de risicokaart die het ministerie hanteert blijkt niet voor welke kritieke systemen dit geldt en of deze uitgebreidere risicoanalyses allemaal zijn uitgevoerd. Uit ons onderzoek bij het Openbaar Ministerie (OM) blijkt dat het OM voor een aantal systemen deze uitgebreidere risicoanalyses nog niet heeft uitgevoerd.

In control verklaring BIR geeft beperkt beeld over informatiebeveiliging
In de Interdepartementale Commissie Bedrijfsvoering Rijksdienst (ICBR) is afgesproken dat de ministeries over 2014 een in control verklaring BIR zouden afgeven. De in control verklaring wordt gegeven voor 10 kritieke systemen op basis van 5 aspecten (onderdelen patchmanagement, beveiliging externe koppelvlakken, beheer van medewerkers en toegang, PDCA-cyclus en logging & monitoring).

Het Ministerie van VenJ heeft een in control verklaring BIR afgegeven waarin zij aangeeft dat voor ten minste 10 kritieke systemen de beveiligingsmaatregelen voldoen aan de BIR-normen. Door de keuze van het ICBR dat de In Control Verklaring BIR van de departementen alleen betrekking hoeft te hebben op 10 kritieke systemen, heeft de In Control Verklaring van het Ministerie van VenJ slechts beperkte zeggingskracht. Het ministerie onderscheidt namelijk 79 kritieke systemen.

Toezicht op informatiebeveiliging uitvoeringsorganisaties VenJ
schoot in 2014 tekort
Op grond van artikel 4 lid 3 van het Beveiligingsvoorschrift Rijksdienst 2013 draagt de beveiligingsautoriteit de zorg voor toezicht op de integrale beveiliging. Hieronder valt ook het toezicht op de naleving van de wettelijke vereisten voor informatiebeveiliging. De beveiligingsautoriteit van VenJ heeft hiervoor een toezichtkader en toezichtplan opgesteld voor 2014. In dit toezichtplan stond dat 8 organisatieonderdelen van het Ministerie van VenJ in 2014 zouden worden bezocht in het kader van aangekondigde toezichtbezoeken. Bij zo’n toezichtbezoek is er aandacht voor onder meer het hebben van een actueel overzicht van informatiesystemen, het voldoen aan de BIR, het beveiligen van gerubriceerde informatie (zowel digitaal als op papier). In 2014 heeft alleen een toezichtbezoek plaatsgevonden bij de Raad voor de Kinderbescherming. De overige toezichtbezoeken hebben door beperkte capaciteit niet plaatsgevonden.

Aanbevelingen van de Algemene Rekenkamer
We bevelen de minister van Veiligheid en Justitie aan dat de Beveiligingsautoriteit en de CIO-raad van VenJ gezamenlijk realistische afspraken maken over de voortgang die in 2015 en 2016 geboekt dient te worden om de informatiebeveiliging bij uitvoeringsorganisaties te verbeteren. De uitvoeringsorganisaties moeten daarna aantonen dat zij verbeteringen hebben doorgevoerd.

De Beveiligingsautoriteit dient toezicht te houden op de voortgang van deze afspraken en uitvoering te geven aan het eigen toezichtkader en toezichtplan.

Reactie van de minister
De minister van VenJ onderschrijft dat de informatiebeveiliging binnen VenJ nog niet op het gewenste niveau is. Vanaf eind 2014 is het ministerie de monitoring op het aantal risico-analyses op kritieke systemen gaan intensiveren. Sinds 31-3-2015 is hierin goede voortgang zichtbaar: voor 90% van de kritieke informatiesystemen heeft het ministerie een actuele risicoanalyse opgesteld. In de loop van 2015 zal dit voor de resterende 10% plaatsvinden. De minister onderschrijft dat de ‘In Controlverklaring BIR’ van VenJ voor ten minste 10 kritieke systemen een beperkt beeld geeft. Hij schrijft daarover: ‘We hebben ons echter strikt gehouden aan het voorgeschreven rapportageformat van BZK, dat uitgaat van ten minste 10 kritieke systemen. VenJ kan de ‘In Controlverklaring BIR VenJ’ onderbouwen met méér dan 10 kritieke systemen en dit omvat ook systemen bij de uitvoeringsorganisaties. Dat VenJ de beveiliging van de kritieke systemen bewaakt met de zogenaamde Risicokaart heeft de ADR aangemerkt als best practice. Het vormt een goede basis en een goed perspectief voor het implementeren van de BIR.’
De aanbevelingen op het terrein van de Beveiligingsautoriteit neemt VenJ onverkort over. Tot slot schrijft de minister: ‘de onvolkomenheid voor informatiebeveiliging is afgegeven bij nagenoeg alle ministeries die de BIR hanteren. Het doel is om te onderstrepen dat er meer aandacht nodig is voor informatiebeveiliging. VenJ onderstreept de toenemende importantie van informatiebeveiliging en geeft hier op verschillende fronten uitvoering aan.’
Lees de volledige reactie op verantwoordingsonderzoek.rekenkamer.nl

Nawoord Algemene Rekenkamer
Wij beseffen dat het Ministerie van VenJ veel kritieke systemen heeft. We waarderen de transparantie die de minister van VenJ geeft over de stand van zaken. We benadrukken dat na het uitvoeren van risicoanalyses de uitvoeringsorganisaties vervolgens ook aantoonbaar aan de slag moeten met maatregelen om de risico’s, die uit de analyse komen, af te dekken. Een realistische planning helpt om op gecontroleerde wijze de nodige maatregelen uit te voeren. Rapportage aan de departementsleiding is daarvan een onderdeel.

Naast aandacht voor de beveiliging van kritieke systemen, is het van belang dat alle uitvoeringsorganisaties van VenJ ook voldoende aandacht geven aan informatiebeveiligingsbeleid en generieke beveiligingsmaatregelen die zijn voorgeschreven in de Baseline Informatiebeveiliging Rijksdienst.

 

Advertenties

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: http://ellentimmer.wordpress.com/ || modernisering ondernemingsrecht: https://flexbv.wordpress.com/
Dit bericht werd geplaatst in Bestrijding misbruik rechtspersonen, insolventierecht, Controle op rechtspersonen, Preventief toezicht en getagged met . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s