Skip to end of metadata
Go to start of metadata

Het afsprakenstelsel heeft een proces om incidenten binnen het Netwerk op te lossen.

Doelstelling

Het Proces Incidentmanagement heeft als doel om verschillende typen incidenten op gestructureerde wijze af te handelen binnen het stelsel. Daarbij dient de dienstverlening zo min mogelijk te worden verstoord. 

Classificatie van incidenten

Incident

Een gebeurtenis die niet tot de standaardoperatie van een elektronische toegangsdienst behoort en die mogelijk impact c.q. risico oplevert ten aanzien van de kwaliteit, beschikbaarheid, integriteit en/of vertrouwelijkheid van (informatie binnen) het afsprakenstelsel. Incidenten kunnen bijvoorbeeld gaan om

  • Verstoringen: dit zijn gebeurtenissen die er toe leiden dat (onderdelen van) de dienstverlening van eHerkenning/Idensys beperkt of niet beschikbaar zijn;
  • Informatiebeveiligingsincidenten: waaronder verlies van USB stick, laptop, losse harde schijf en ook signaleringen van hackpogingen, pogingen tot binnendringen in het systeem of malware;
  • Fraude of vermoeden van fraude door bijvoorbeeld een medewerker of hacker.

Calamiteit

 Een incident waarvoor aan één van de volgende voorwaarden is voldaan:
  • Verwachte verstoringsduur overstijgt de afgesproken Responsetijden binnen het Beschikbaarheidsvenster;
  • Betrokkenheid van tenminste twee deelnemers;
  • Directe en ernstige hinder;
  • Impact op vertrouwelijkheid en integriteit;
  • Meldplichtig datalek als bedoeld in de Meldplicht datalekken.
Crisis

Een incident waarvoor aan één van de volgende voorwaarden is voldaan:

  • De calamiteit heeft een grote impact op de uitstraling/imago van eHerkenning/Idensys en het vertrouwen van bedrijven en overheidsdienstverleners in het stelsel;
  • De verwachte verstoring i.e. onbeschikbaarheid van het stelsel duur langer dan 48 uur;
  • Bij de calamiteit spelen politieke beslissingen/implicaties;
  • De calamiteit betreft een fundamentele juridische of technische kwetsbaarheid (dus betrekking hebbend op opzet of structuur van Elektronische Toegangsdiensten).

 

Uitgangspunten

  • Bij de oplossing van operationele of technische issues zijn alleen die personen/partijen betrokken die een directe operationele bijdrage kunnen leveren aan het oplossen van het probleem;
  • Bij het noemen van een rol of functies in verband met het uitvoeren van een taak geldt dat bij afwezigheid van die functionaris standaard de plaatsvervanger van die rol of functie de taak overneemt;
  • Als er besluiten met een grotere reikwijdte moeten worden genomen kunnen mogelijk andere partijen in de governance een rol gaan spelen.

Verantwoordelijkheden

De behandeling van incidenten is primair een operationele verantwoordelijkheid in de lijn Stelselpartij (Deelnemer, BO, BSNk of eIDAS berichtenservice) en de Beheerorganisatie.

  • De Stelselpartij is verplicht om alle incidenten in het netwerk bij de Beheerorganisatie te melden en op aangeven van de incidentmanager, acties uit te zetten om het incident op te lossen.

  • De Beheerorganisatie coördineert de afhandeling van het incident. De volgende rollen zijn daarbij van belang: 

    • De incidentmanager is het eerste aanspreekpunt voor incidenten en coördineert en volgt de acties die genomen worden om incidenten op te lossen. De incidentmanager is verantwoordelijk dat het Proces Incidentmanagement wordt uitgevoerd conform de procesbeschrijving.
    • De calamiteitenmanager van Logius staat de incidentmanager bij (tijdens kantooruren) of vervangt deze (buiten kantooruren)
    • De security officer van de beheerorganisatie beslist of incidenten buiten Mantis om (ivm vertrouwelijkheid) behandeld moeten worden.

Vertrouwelijke incidenten

Een Deelnemer kan de Beheerorganisatie verzoeken een incident als vertrouwelijk te behandeelen. Indien het verzoek wordt gehonoreerd, wordt het niet opgenomen in Mantis. Reikt de impact van het incident niet verder dan de meldende Deelnemer dan controleert en volgt de Beheerorganisatie de voortgang van de oplossing. Een incident met een stelselbrede impact wordt altijd geregistreerd in Mantis en wordt, door de incidentmanager van de Beheerorganisatie, direct gemeld aan de Toezichthouder via het secretariaat van de Commissie van Deskundigen. 

Overzicht processtappen incident

Toelichting processtappen

1. Intake incident

Input

Een incident

Activiteit

Een Stelselpartij meldt het incident conform het Proces meldingenbeheer. Hierdoor kunnen alle Deelnemers en de Beheerorganisatie kennisnemen van het incident. 

Bij (het vermoeden van) een calamiteit dient de melding ook per telefoon gedaan te worden bij de incidentmanager van de Beheerorganisatie. Buiten kantoortijd kan de standby manager bereikt worden via het Logius servicecentrum (0900 555 4555).

Meldingen waarbij de melder vindt dat die vertrouwelijk moeten worden behandeld worden telefonisch én per mail bij de security officer van de beheerorganisatie gemeld.

Bij het maken van de incidentmelding moeten de volgende gegevens worden opgenomen door de melder:

    • Een overzicht van de stappen die genomen moeten worden om het incident te reproduceren; 
    • Indien van toepassing: het laatste bericht dat verstuurd werd voordat een incident optrad;

Output

Melding van een incident bij de Beheerorganisatie.

Wie?

  • Meldende partij 
  • Beheerorganisatie

2. Beoordeling

Input

Melding van een incident bij de Beheerorganisatie

Activiteit

De Incidentmanager beoordeelt aan de hand van de classificatietabel de impact en urgentie van het incident.

Output

Beoordeeld incident.

Wie?

Beheerorganisatie 

3a. Behandelen incident

Input

Beoordeeld incident

Activiteit

  1. Er worden één of meerdere oplossende partij(-en) aangewezen die verantwoordelijk zijn voor het verhelpen van het incident onder regie van de beheerorganisatie.
  2. De Beheerorganisatie coördineert de acties en het contact met andere partijen. De incidentmanager is hierbij het eerste aanspreekpunt en is verantwoordelijk voor de communicatie. De incidentmanager heeft de beschikking over de inzet van de Beheerorganisatie. 

Output

Een oplossende partij; verantwoordelijk voor de acties om het incident op te lossen

Communicatie

Ondervindt de gebruiker hinder bij de dienstverlening? Zo ja, dan kan er gecommuniceerd worden, door het publiceren van een klein bericht over verstoring op de website www.eherkenning.nl en/of www.idensys.nl, maar in principe doen we dit niet. Vaak staat de aard van de verstoring niet in verhouding tot de aandacht die een nieuwsbericht kan genereren.

In principe communiceren de deelnemers zelf via de eigen kanalen richting de aangesloten dienstverleners en gebruikers als dat nodig wordt geacht. Zij herhalen in hun berichtgeving dan de strekking van het nieuwsbericht dat de beheerorganisatie heeft geplaatst.

Wie?

  • De incidentmanager van de Beheerorganisatie
  • De incidentmanager van de oplossende partij
3b. Behandelen calamiteit

Input

Het incident is ingeschat als calamiteit

Activiteit

De Beheerorganisatie coördineert het contact met andere betrokken partijen, bewaakt de acties en biedt indien nodig ondersteuning. Dit betekent dat de Beheerorganisatie met enige regelmaat de oplossende partij benadert voor informatie.

Als een incident langer dan 4 uur duurt dan stelt de Beheerorganisatie de deelnemers minimaal 1 keer per 4 uur op de hoogte van de status.

  1. De betrokken Stelselpartij(en) lossen in principe zelf de calamiteit op. Zij zijn zelf eerste verantwoordelijke voor het organiseren van een operationele oplossing;
  2. De calamiteitenmanager informeert:
    1. De verantwoordelijke beleidsmedewerker bij BZK
    2. De directeuren van de deelnemers
    3. Naar eigen oordeel eventueel andere personen/organisaties (bijvoorbeeld NCSC of BZK)
  3. De calamiteitenmanager organiseert binnen 24 uur een telefonische conferentie met alle betrokken partijen en zit deze voor. In deze conference call wordt in ieder geval over de interne en externe communicatie afspraken gemaakt;
  4. De Beheerorganisatie draagt zorg voor de opstelling van een actieplan om risico's en schade te mitigeren;
  5. De Beheerorganisatie1 geeft advies aan BZK om te escaleren naar crisis (3c). BZK neemt zelf dit besluit en komt daarmee "in the lead";

Output

Bijgewerkt incident

Communicatie

Ondervindt de gebruiker hinder bij de dienstverlening? Zo ja, dan moet er gecommuniceerd worden, zowel intern als extern via het volgende proces:

  1. Interne informatievoorziening. Alle interne betrokkenen (beheerorganisatie, voorzitters Tactisch Beraad of  Strategisch Beraad, BZK en deelnemers) moeten worden voorzien van dezelfde informatie.
  2. Vaststellen boodschap. De communicatie adviseurs van de beheerorganisatie doen een voorstel voor de inhoud van het nieuwsbericht. De inhoud van het bericht moet afgestemd worden met de coördinator van de beheerorganisatie en indien nodig de betrokken deelnemers. Belangrijk is om afstemming van de inhoud te krijgen:
    1. Van wie komt het bericht en met wie moet het afgestemd worden?
    2. Het bepalen van de tijdslijn van het bericht: is berichtgeving van korte/lange duur, is de calamiteit maar één dag. Of moet de berichtgeving meerdere dagen herhaald worden?
  3. Publicatie. Het nieuwsbericht over de calamiteit wordt gepubliceerd op de website www.eherkenning.nl en/of www.idensys.nl. De beheerorganisatie wijst de betrokken partijen in het netwerk vervolgens op deze publicatie via e-mail of telefoon
  4. Verspreiding. De betrokken partijen (zowel deelnemers als dienstverleners) in het netwerk kunnen dit nieuwsbericht overnemen op hun eigen websites.
  5. Informeren klanten.De deelnemers informeren hun klanten (dienstverleners en gebruikers) in principe zelf. De beheerorganisatie heeft geen contactgegevens van de klanten en kan slechts de deelnemers hierbij ondersteunen. De deelnemers herhalen in hun berichtgeving de strekking van het nieuwsbericht dat de beheerorganisatie heeft geplaatst.

Wie?

  • De incidentmanager BO
  • De calamiteitenmanager
  • De oplossende partij(en)
  • De communicatieadviseur adviseert over interne en externe communicatie (boodschap, kanalen, frequentie en doelgroep) en voert dit zo nodig uit via de diverse middelen en kanalen;
  • De jurist adviseert waar nodig of gewenst;
  • BZK
  • (De voorzitter van) het Tactisch Beraad
3c. Behandelen crisis

Input

Het incident is inschat als crisis

Activiteit

Het crisisteam van het Ministerie van BZK is in the lead, de betrokken personen vanuit de beheerorganisatie staan desgevraagd bij.

De beheerorganisatie kondigt intern in het netwerk (alle Stelselpartijen, het Tactisch Beraad, het Operationeel Beraad, het Strategisch Beraad) direct een communicatiestop af.

Output

Bijgewerkt incident

Communicatie

Er geldt een communicatiestop. Stelselpartijen staan media niet zelf te woord maar verwijzen door naar de persvoorlichter/woordvoerder van BZK.

BZK kan communicatieboodschappen opstellen en betrokken partijen opdragen deze over te nemen.

Wie?

  • BZK
  • De incidentmanager BO
  • De calamiteitenmanager
  • De oplossende partij(en)
  • De communicatieadviseur, jurist en incidentmanager

4. Monitoren, informeren en ondersteunen

Input

Acties om het incident op te lossen

Activiteit

De Incidentmanager en/of calamiteitenmanager coördineert het contact met andere betrokken partijen, bewaakt de acties en biedt indien nodig ondersteuning. Dit betekent dat de Beheerorganisatie met enige regelmaat de oplossende partij benadert voor informatie.

Indien het betreffende incident niet conform de afgesproken Responsetijden is opgelost bepaalt de Beheerorganisatie1 of het incident geëscaleerd moet worden naar een calamiteit (3b). Bij een calamiteit bepaalt BZK of er opgeschaald moet worden naar crisis (3c).

De Beheerorganisatie stelt de deelnemers minimaal 1 keer per 4 uur op de hoogte van de status.

Output

  • Bijgewerkt incident
  • Op- of afschaling van het incident

Wie?

  • De incidentmanager BO
  • De calamiteitenmanager
  • De oplossende partij

5. Sluiten incident

Input

Melding opgelost incident

Activiteit

De oplossende partij geeft een signaal aan de incidentmanager van de Beheerorganisatie zodra het incident is opgelost. De incidentmanager van de Beheerorganisatie meldt dit aan de overige deelnemers via Mantis.

Indien het incident impact heeft op deelnemers in het stelsel, wordt dit door de incidentmanager als kenmerk toegevoegd aan de betreffende melding.

Output

Opgelost incident

Wie?

  • De incidentmanager van de Beheerorganisatie
  • De oplossende partij

6. Opstellen rapportage derden

InputMantismeldingen met specifiek kenmerk voor stelselincidenten
Activiteit
  1. Voorafgaand aan het Security Officers overleg maakt de incidentmanager aan de hand van meldingen met specifiek kenmerk van stelselincident een samenvatting, met daarin:
    • De aard van de incidenten;
    • De oorzaak van de incidenten;
    • Eventuele trends in aard en oorzaak van incidenten.
  2. In het Security Officers overleg wordt deze samenvatting geëvalueerd.
  3. De incidentmanager verwerkt de conclusies en aanbevelingen in de samenvatting.
  4. De Beheerorganisatie rapporteert de volledige samenvatting aan het Tactisch Beraad, de Eigenaar en de Toezichthouder.
OutputAlgemeen periodiek evaluatierapport
WieBeheerorganisatie, leden van het Security Offers overleg.

Voetnoten

  1. Deze beslissing wordt genomen door de coördinator van de Beheerorganisatie, zijn vervanger, of diens meerderen in lijn. Indien deze niet tijdig beschikbaar zijn, mag de beslissing ook worden genomen door twee andere medewerkers die betrokken zijn bij het behandelen van het incident, bijvoorbeeld de security officer en de incidentmanager. Zij dienen hierover later verantwoording af te leggen.