Incidentmanagement
Incidentmanagement is het centrale proces voor het melden van incidenten in de ict-omgeving en van (cyber)beveiligingsincidenten. Incidenten in de ict-omgeving zijn nooit helemaal uit te sluiten. Daarom is het belangrijk dat je bent voorbereid als het toch mis gaat. Met een goede voorbereiding kun je de schade bij een incident beperken.
Het doel van incidentmanagement is om verstoringen bij het verwerken van informatie snel en effectief te herkennen, vast te leggen en af te handelen. Incidenten zijn onverwachte gebeurtenissen of problemen die de normale werking van de ict-omgeving verstoren. Ook als er iets mis gaat met het veilig verwerken van informatie, wordt dat als een incident behandeld. Incidenten moet je oplossen zodat het onderwijs en ondersteunende werkprocessen door kunnen gaan.
Er zijn verschillende soorten incidenten, bijvoorbeeld:
- Beveiligingsincident: door een incident wordt de beschikbaarheid, vertrouwelijkheid of integriteit van informatie verstoord. Denk aan (stroom)storingen, het ontbreken (of fout lopen) van een back-up, het verlies van elektronische gegevensdragers of het achterlaten van een document bij een printer.
- Cyberbeveiligingsincident: door ongeautoriseerde acties, vaak met kwaadwillige intenties, wordt inbreuk gedaan op de beveiliging van informatie, systemen, netwerken of diensten. Denk aan phishing, virussen of DDoS-aanvallen.
- DatalekBij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident. More: iemand heeft toegang tot persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More zonder dat dit mag of zonder dat dit de bedoeling is. De oorzaak is een inbreuk op de beveiliging van deze gegevens.
Wat zegt het Normenkader IBP FO?
Het Normenkader Informatiebeveiliging en Privacy voor het Funderend Onderwijs (IBP FO) beschrijft in domein 6 de normen voor incidentmanagement.
De normen IM.01, IM.02 en IM.03 geven aan wat je moet doen om het proces van incidentmanagement in te richten.
Toetsingskader bij norm IM.01
- Het incidentmanagementbeleid is formeel gedocumenteerd en gecommuniceerd.
- Rollen en verantwoordelijkheden van de organisatie en de leveranciersAanbieders van ict- of leermiddelen. More zijn duidelijk gedefinieerd.
- Aspecten rondom juridisch en forensisch onderzoek zijn vastgesteld en toegewezen.
- Het registreren van, de communicatie over, de toewijzing van en de analyse van incidenten zijn formeel belegd in de organisatie.
- Incidenten worden gecategoriseerd en geprioriteerd op basis van impact.
- (Cyber)beveiligingsincidenten worden voorkomen of gedetecteerd en er is een proces om deze tijdig en effectief aan te pakken.
- Informatie wordt op een proactieve en formele manier gedeeld door personeel.
- Er wordt gemonitord of incidenten tijdig worden opgelost.
- Er wordt beperkt gerapporteerd aan het management over incident- en oplossings- analyses.
Toetsingskader bij norm IM.02
- Het formeel vastgelegde beleid voor incidentmanagement bevat een escalatieprocedure.
- Er zijn escalatiecriteria bepaald.
- De escalatieprocedure is gebaseerd op serviceniveaus voor incidenten die niet meteen opgelost kunnen worden.
- Categoriseren en prioriteren vindt plaats op basis van impactanalyse, de bepaalde criteria en serviceniveaus.
- De responsteams krijgen de benodigde training.
- De verantwoordelijkheid voor het oplossen van een incident is toegewezen.
Toetsingskader bij norm IM.03
- Naast de gebruikelijke incident managementprocedures zijn er ook plannen om preventie, risicobeperking, voorbereiding, tijdige reactie en herstel van (cyber)beveiligingsincidenten aan te pakken.
- Er zijn rollen en verantwoordelijkheden vastgelegd en toegewezen.
- De organisatie kan snel reageren op een verstoring, op gepaste schaal/escalatieniveau afhankelijk van mogelijke impact.
Wie doet wat?
Bij het inrichten van incidentmanagement zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More stelt het incidentmanagementbeleid vast.
- De IBP-verantwoordelijke en it-incidentmanager zorgen ervoor dat het schoolbestuur en andere betrokkenen hun verantwoordelijkheden kennen en daarnaar kunnen handelen. Ook coördineren ze de uitvoering van de werkzaamheden.
- De it-servicedesk of het meldpunt voor incidenten zorgt voor de vastlegging en bewaking van de incidenten.
- De ict-beheerder of degene die het incident behandelt, en de eventueel betrokken leveranciers, zorgen voor de inhoudelijke expertise en de oplossing van incidenten.
Meer weten over de rol- en taakverdeling? Ga naar rollen en verantwoordelijkheden.
Hoe richt je incidentmanagement in?
Het incidentmanagementproces bestaat uit de volgende onderdelen:
- Registratie en classificatie: Heeft het incident daadwerkelijk plaatsgevonden? Wat is er precies gebeurd? Meld en registreer het incident.
- Prioritering en toewijzing: Betrek vooraf aangewezen personen om het incident in te dammen en de schade te beperken.
- Diagnose, onderzoek en oplossing: Neem maatregelen om de oorzaak van het incident te blokkeren of te verwijderen. Pas als de oorzaak van het incident is weggenomen kun je beginnen met het herstellen van systemen. Dit is ook de fase waarin onderzocht wordt of aan de voorwaarden is voldaan om het bedrijfscontinuïteitsmanagementplan te activeren. Lees hierover meer op de pagina Bedrijfscontinuïteitsmanagement. Zijn er diensten uitbesteed? Zorg dan voor goede afspraken met de leverancier.
- Communicatie: Denk na over communicatie met alle betrokkenen, intern en extern.
- Afsluiting, evaluatie en analyse: Leer van het incident. Welke vervolgstappen en maatregelen kun je nemen om het incident in de toekomst te voorkomen? Hoe kan het incidentmanagementproces worden verbeterd?
Bij een (cyber)beveiligingsincident doorloop je deze noodzakelijke extra stappen.
- Registratie en classificatie: Heeft het (cyber)beveiligingsincident daadwerkelijk plaatsgevonden en wat is er precies gebeurd? Registreer het incident als (cyber)beveiligingsincident.
- Indammen van de schade: De schade als gevolg van het (cyber)beveiligingsincident wordt vastgesteld en bewijsmateriaal wordt veiliggesteld. Om de schade te beperken kan het nodig zijn om systemen preventief uit te schakelen of andere maatregelen te nemen. In deze fase kan ook forensisch onderzoek worden gestart.
- Communicatie: Betrek de IBP-verantwoordelijke en de Functionaris Gegevensbescherming (FG) hierbij. Als er een datalek is, kan worden bepaald of dat gemeld moet worden bij de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. More (AP). Dit moet binnen 72 uur gebeuren. Overweeg ook of in verband met de gelekte data betrokkenen moeten worden geïnformeerd.
Aan de slag
Stel beleid vast
Leg beleidsuitgangspunten vast in een incidentmanagementbeleid. Dit kan onderdeel zijn van het IBP-beleidsplan (paragraaf 5.6) of als zelfstandig beleid worden vastgesteld. Hoe uitgebreid dit beleid is hangt af van grootte en complexiteit van je onderwijsinstelling. Maak daarvoor gebruik van de template Incidentmanagementbeleid. Deze kun je afstemmen op je eigen onderwijsinstelling. Leg realistische afspraken vast die in de praktijk ook daadwerkelijk kunnen worden nageleefd.
Toets het proces
Toets het bestaande incidentmanagementproces of gebruik de template Incidentmanagementproces om het proces te beschrijven.
Doe melding bij een incident
Zorg ervoor dat altijd melding wordt gedaan bij een incident. Belangrijk is dat voor alle betrokkenen (bijvoorbeeld: gebruikers, docenten, leerlingen, leveranciers) duidelijk is waar zij incidenten kunnen melden en dat er een open cultuur is om te melden. Tegelijkertijd moet duidelijk zijn wie verantwoordelijkheid is voor het afhandelen van de incidentmeldingen.
Leg incidenten vast
Gebruik een standaard wijze om incidenten en (cyber)beveiligingsincidenten vast te leggen en rapporteren. Dit kan de servicedesk-applicatie zijn of een register in Excel, zoals de template Register (beveiligings)incidenten en datalekken.
Een (cyber)beveiligingsincident? Gebruik het stappenplan en logboek
Bij (cyber)beveiligingsincidenten is het van belang dat er snel geschakeld wordt en dat, na het ontdekken van het incident, alle noodzakelijke stappen gevolgd worden. Snelle actie helpt om informatie beschikbaar te houden. De template (Cyber)beveiligingsincident stappenplan en logboek bevat acties om (cyber)beveiligingsincidenten waar persoonsgegevens bij betrokken zijn, aan te pakken en de uitgevoerde acties vast te leggen. Je kunt met de template ook andere veiligheidsincidenten aanpakken, bijvoorbeeld: het beschadigen van openbare websites, ongeoorloofde toegang tot vertrouwelijke maar niet wettelijk beschermde gegevens, of het verlies van vertrouwelijke papieren dossiers.
Een datalek? Meld dit bij de AP!
Zijn er persoonsgegevens betrokken bij het incident en is er mogelijke schade voor betrokkenen? Dan moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Lees meer over beveiligingsincidenten en datalekken melden.
Rapporteer en evalueer
Leer van het incident in gesprek met de betrokkenen. Welke vervolgstappen en maatregelen moet je nemen om het incident in de toekomst te voorkomen? Hoe kan het incidentmanagementproces worden verbeterd? Controleer minimaal jaarlijks of het incidentmanagementproces actueel is en de verantwoordelijkheden juist zijn belegd.
Hou rekening met
Oefen met incidentmanagement
Om te weten of het incidentmanagementproces echt goed georganiseerd is, gaat er niets boven oefenen.
Oefen met een cybersecuritycrisis
Grote cybersecurityincidenten met een hoge impact vragen om een specifieke crisisaanpak en voorbereiding. Lees hierover meer in het artikel Cybersecuritycrisis: hoe bereid je je voor?
Zorg voor een actueel bedrijfscontinuïteitsbeleid
Controleer of het bedrijfscontinuïteitsmanagement (BCM) voor de organisatie actueel is. Dit is belangrijk voor het beschermen van de continuïteit van het onderwijs en het voorkomen van informatieverlies. Lees hierover meer op de pagina Bedrijfscontinuïteitsmanagement.
Bewaar rapportages 3 jaar
Bewaar geregistreerde en gerapporteerde informatie over incidenten voor minimaal 3 jaar. Zo is het mogelijk om bepaalde patronen in incidenten te ontdekken en relaties te leggen met onderkende risico’s. Dit kan leiden tot aanvullende maatregelen of melding hiervan aan relevante betrokkenen.
Tips en adviezen
- Incidenten buiten kantooruren
Incidenten kunnen ook buiten kantooruren gebeuren. Denk vooraf goed na over eventuele bereikbaarheidsdienst. Zorg ervoor dat incidenten ook buiten kantooruren kunnen worden gemeld en opgepakt. - Communicatiekanalen tijdens incidenten
Richt binnen je organisatie een chatgroep op met personen die meteen op de hoogte moeten worden gesteld in het geval van een incident. Zo is er direct afstemming voor een risicoschatting en het bepalen van vervolgacties. - Relevante en actuele dreigingen
Leer van actuele cyberdreigingen en beveiligingsincidenten die al hebben plaatsgevonden. Lees hierover meer in het Dreigingsbeeld Funderend Onderwijs.
Tools en voorbeelddocumenten
Heb je een vraag of opmerking over deze pagina? Stuur een mail naar ibp@kennisnet.nl of stel je vraag in het Netwerk IBP.
Deze pagina maakt onderdeel uit van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.
Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.
