GGI-Veilig

De minimumeisen met betrekking tot Perceel 1: SIEM/SOC dienstverlening waar de dienstverlening minimaal aan moet voldoen staan beschreven in het document Conformiteitenlijst minimumeisen Perceel 1. De Conformiteitenlijst kan hier gedownload worden. De wijze waarop de dienstverlening is beschreven in paragraaf 3.8 van het beschrijvend document GGI Het beschrijvend document kan hier gedownload worden.

Vanaf de datum van publicatie van de aan te leveren onboardingsdocumenten voor SIEM/SOC is de doorlooptijd als volgt vastgelegd:

• Voorbereiden SIEM/SOC: gemiddeld 3 maanden
• Aanvraagformulier/onboardingsformulieren invullen: gemiddeld 2 weken
• Implementatie: gemiddeld 4 maanden na ondertekenen NOK

Er zijn verschillende voorbeeldaanvragen en informatie over het aanvraag proces voor SIEM/SOC die gebruikt kunnen worden ter ondersteuning van het invullen van de benodigde documenten. De volgende documenten zijn o.a. beschikbaar:

• Voorbeelden van een offerte aanvraag en onboarding formulier
• Handleiding gebruik contractenmodule voor de verwerving van de SIEM/SOC dienst
• Voorbeeld standaard Verwerkingsovereenkomst Deelnemer-KPN en Deelnemer-IBD
• Voorbeeld standaard Verwerkingsovereenkomst Deelnemer-KPN en Deelnemer-IBD
• Voorbeeld Standaard DAP, DFA, SLA bij de niveau Start SIEM-SOC dienstverlening

Aangezien sommige documenten levende documenten zijn, kan het voorkomen dat niet altijd de meest actuele versie op het forum staat, Als er een wezenlijke inhoudelijke verandering in een document heeft plaatsgevonden, wordt de nieuwe versie op het forum gezet

Er zijn 2 documenten die aangeleverd dienen te worden om de SIEM/SOC dienst aan te vragen, te weten: het Offerte aanvraag formulier en het Onboarding formulier. Deze formulieren kunnen aangevraagd worden bij ggi-veilig-p1@scgemeenten.nl

De veelgestelde vragen kunnen hierop het forum gevonden worden.

Er zijn verschillende bronnen waar meer informatie verkregen kan worden:

• Website Service Centrum Gemeenten (SCG)
• Website VNG Realisatie
• Kaders aanbesteding GGI-Veilig

Voor algemene vragen kan contact opgenomen worden met een van de implementatieadviseurs:

• Marcel Conte, marcel.conte@vng.nl, 06-10587664
• Jordy Kalle, jordy.kalle@vng.nl, 06 10872673

Voor (technisch) inhoudelijke vragen kan contact opgenomen worden met ggi-veilig-p1@scgemeenten.nl

Binnen Perceel 2: product/dienstgroep aanvullende security producten en services vallen de volgende security-oplossingen:

• Cloud Access Security Broker (CASB)
• DNS, DHCP en IP address management (DDI)
• Firewall (bestaande uit:)
  • Next-Gen Firewall
  • Micro Segmentatie Firewall
  • Web Application Firewall
• Mail filtering (secure Email Gateway, SEG)
• Advanced Persistent Threat Protection (ATP)
• Endpoint protection (incl. servers)
• GGI Anti DDOS
• Intrusion Detection & Prevention (IDS/IPS)
• EMM (Enterprise Mobility Management) / MDM/MAM (Mobile Device & Application Management)
• VPN-management (Client-to-site/Site-to-site),
• Data Loss Prevention/Data Leakage Prevention (DLP),
• Vulnerability management

De minimumeisen met betrekking tot Perceel 2: aanvullende security services waar de dienstverlening minimaal aan moet voldoen staan beschreven in het document Conformiteitenlijst minimumeisen Perceel 2. De Conformiteitenlijst kan hier gedownload worden. De wijze waarop de dienstverlening is beschreven in paragraaf 3.8 van het beschrijvend document GGI Het beschrijvend document kan hier gedownload worden.

Voor de aanschaf van een of meerdere security producten en/of services dient de Deelnemer een minicompetite te starten. Er zijn 2 documenten die aangeleverd dienen te worden om de aanvullende security services aan te vragen, te weten: het Aanvraagformulier en het inpasbaarheidsdocument. Deze formulieren kunnen aangevraagd worden bij ggi-veilig-p2@scgemeenten.nl. De volgende acties zijn vastgelegd binnen de minicompetitie:

Voor een gedetailleerde planning en actiemomenten van de minicompetitie zie de planningstool op het forum.

Er zijn verschillende voorbeeldaanvragen vanuit de fictieve Gemeente Juinen met betrekking tot het inpasbaarheidsdocument die gebruikt kunnen worden ter ondersteuning van het invullen van de benodigde documenten. De volgende producten en leveringsvormen zijn beschikbaar:

• DNS, DHCP en IP address management (DDI) – Managed Service
• Endpoint Protection – Virtuele Appliance Zonder Technisch Beheer
• Next Gen Firewall – Fysieke Appliace Met Technisch Beheer

De veelgestelde vragen kunnen hier op het forum gevonden worden.

De volgende leveringsvormen zijn beschikbaar binnen Perceel 2:

De volgende ondersteuningsvormen zijn beschikbaar binnen Perceel 2:

Meer informatie over de minicompetitie, aanvraagformulier, inpasbaarheid en de daarbij horende producten, leveringsvormen en ondersteuningsvormen kan gevonden worden in de instructievideos. De instructievideos zijn hier op het forum te bekijken.

Er zijn verschillende bronnen waar meer informatie verkregen kan worden:

• Website Service Centrum Gemeenten (SCG)
• Website VNG Realisatie
• Kaders aanbesteding GGI-Veilig

Voor algemene vragen kan contact opgenomen worden met een van de implementatieadviseurs:

• Marcel Conte, marcel.conte@vng.nl, 06-10587664
• Jordy Kalle, jordy.kalle@vng.nl, 06-10872673

Voor (technisch) inhoudelijke vragen kan contact opgenomen worden met ggi-veilig-p2@scgemeenten.nl

• SIEM proces: bieden van ondersteuning bij inrichting en uitvoering van het SIEM proces binnen de organisatie van de Deelnemer (bijv. business analytics voor bepalen van belangrijke use cases).
• Vulnerability: uitvoeren van vulnerability scans/assessments op (het beheer van) de ICT-infrastructuur bij Deelnemers.
• Pentesten: uitvoering van penetratietesten (dit is inclusief social engineering, fysieke locaties penetreren, phishing, USBdropping en Awareness campagnes.
• Hardening van de ICT-infrastructuur. Controleren op misconfiguraties en het ontbreken van best-practices op systemen en hardware in de ICT-infrastructuur met tot doel het verminderen en/of mitigeren van beveiligingsrisico’s. Te denken aan het controleren van de rules op de firewalls, configuratie van de AD, group policies, etc.

Cloudhardening → Cloudhardening helpt gemeenten bij het optimaal profiteren van cloudoplossingen, waarbij tegelijkertijd de informatiebeveiliging en privacybescherming goed zijn geregeld.

Voor gemeenten is cloudhardening essentieel om ervoor te zorgen dat vertrouwelijke gegevens en diensten beschermd blijven tegen bedreigingen, zoals cyberaanvallen en datalekken. Aspecten die bij cloudhardening van belang zijn:

1. Bescherming van gevoelige gegevens: Gemeenten beheren een schat aan gevoelige informatie, variërend van persoonsgegevens van burgers tot vertrouwelijke overheidsdocumenten. Door cloudhardening toe te passen, kunnen gemeenten de beveiligingsmaatregelen versterken, zoals versleuteling van gegevens, toegangscontrole en het implementeren van sterke authenticatiemechanismen. Dit minimaliseert het risico op ongeoorloofde toegang tot gevoelige gegevens.
2. Veerkracht tegen cyberaanvallen: Gemeenten zijn aantrekkelijke doelwitten voor cybercriminelen vanwege de gevolgen die een succesvolle aanval kan hebben. Door de juiste maatregelen te treffen kunnen gemeenten vroegtijdig bedreigingen identificeren en snel reageren om potentiële schade te beperken.
3. Continuïteit van dienstverlening: Een betrouwbare en ononderbroken dienstverlening is essentieel voor gemeenten. Door aanvullend gebruik te maken van monitoring en responsdiensten kunnen gemeenten real-time inzicht krijgen in de prestaties en beschikbaarheid van hun cloudomgevingen. Dit stelt hen enerzijds in staat om proactief problemen te detecteren en op te lossen voordat ze een significante impact hebben op de dienstverlening aan burgers en anderzijds adequaat te kunnen handelen ingeval een geconstateerd incident niet proactief kan worden opgelost

Het is belangrijk om op te merken dat cloudhardening geen eenmalige taak is, maar in combinatie met monitoring en response een continu proces. Naarmate de technologie evolueert en bedreigingen veranderen, moeten gemeenten voortdurend hun beveiligingsmaatregelen updaten en verbeteren om op een effectieve manier te kunnen reageren op de veranderende cyberdreigingen.

Scope expertisedienst cloudhardening
Er zijn drie typen clouddiensten te onderscheiden, te weten Infrastructuur as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS). Voor de clouddiensten IaaS/PaaS (zoals MS/Azure, Amazon/AWS, etc.) geldt dat gemeenten verantwoordelijk zijn voor het nemen van de juiste maatregelen voor informatiebeveiliging en privacybescherming en niet de leveranciers.
Voor de clouddienst SaaS (zoals zaaksystemen, financieel beheersystemen, etc.) geldt dat de leverancier hiervoor verantwoordelijk is en niet de afnemers (lees hier gemeenten). Leveranciers dienen dit aan gemeenten in het kader van ENSIA bijvoorbeeld via een TPM aan te tonen. De scope van de GGI-Veilig expertisedienst cloudhardening is de cloudomgevingen IaaS, PaaS en MS365.

• Compliancy: uitvoeren van compliancy scans/assessments/audits op de aandachtsgebieden BIG, BIR, BIO, AVG, ENSIA, ISO900x en ISO270x;
• Forensics bij security incidenten: levering van ondersteuning bij forensisch onderzoek n.a.v. security incidenten.

• U kunt zowel een rol (persoon) als een tijdelijke opdracht uitvragen. Hiervoor zijn twee verschillende formulieren beschikbaar.
• De contractvorm is op basis van vaste prijs, nacalculatie of in abonnementsvorm.
• Met een abonnement hoeft u slechts eenmalig het minicompetitieproces te doorlopen voor verwerving van de desbetreffende expertise. Daarna kunt u op afroep diensten afnemen bij de gegunde leverancier. Met name voor Forensische ondersteuning bij beveiligingsincidenten is dat erg handig. Voor de verwerving van Forensics is een verhelderende notitie opgesteld. Hierin wordt onder andere ingegaan op het belang om er een abonnement voor af te sluiten.

Globaal zit de procedure voor het uitvragen van een dienst als volgt in elkaar:

• Een deelnemer (gemeente of samenwerkingsverband) stelt een offerteaanvraag op.
• Service Centrum Gemeenten (SCG) start een minicompetitie met de 6 leveranciers die in GGI Veilig perceel 3 deelnemen.
• De leveranciers kunnen nog vragen stellen n.a.v. de offerte aanvraag. Deze vragen worden door SCG en deelnemer beantwoord in een Nota van Inlichtingen die naar alle leveranciers (niet alleen de vragenstellers) wordt toegezonden.
• De leveranciers sturen daarna hun offerte in (verplicht, dus het zijn er altijd 6, behalve in geval van overmacht).
• De deelnemer beoordeelt het kwalitatieve deel (het plan van aanpak) en stuurt de score terug naar het SCG.
• In het inkoop systeem van SCG (CTM) wordt de score gekoppeld aan de door de leverancier opgegeven prijs (30% prijs / 70% kwaliteit) en wordt op die manier de winnende offerte bepaald.
• De deelnemer en leverancier sluiten daarna een Nadere Overeenkomst. Dat gaat geautomatiseerd via CTM.
• Minicompetities voor perceel 3 starten altijd op donderdag en kennen een doorlooptijd van 6 weken.

De aanvraagformulieren en verschillende voorbeeldaanvragen kunt u vinden op onze besloten GGI-Veilig community

Er zijn verschillende bronnen waar meer informatie verkregen kan worden:

• Website Service Centrum Gemeenten (SCG)
• Website VNG Realisatie
• Kaders aanbesteding GGI-Veilig

Voor algemene vragen kan contact opgenomen worden met een van de implementatieadviseurs:

• Marcel Conte, marcel.conte@vng.nl, 06-10587664
• Jordy Kalle, jordy.kalle@vng.nl, 06-10872673

Voor (technisch) inhoudelijke vragen kan contact opgenomen worden met ggi-veilig-p3@scgemeenten.nl