3. Agenda
• Context en doelstelling GGI-Veilig
• De aanbesteding en gecontracteerde producten/diensten
• Voorbereiding
• Wanneer en hoe te verwerven
• Implementatieondersteuning
• Vragen
4. Agenda
• Context en doelstelling GGI-Veilig
• De aanbesteding en gecontracteerde producten/diensten
• Voorbereiding
• Wanneer en hoe te verwerven
• Implementatieondersteuning
• Vragen
5. Context GGI-Veilig: Aanleiding en resultaat
ALV juni 2016
BALV nov. 2016
ALV juni 2018
ALV juni 2017
BALV nov. 2017
20182017
2019
Opdracht vanuit Samen Organiseren / ALV:
Realiseer een samenhangende en veilige
gemeentelijke digitale infrastructuur op landelijk
niveau, die aangesloten is op de GDI, zodat
gemeenten massaal digitaal kunnen werken, zowel
zelfstandig als in onderlinge samenwerking.
Resultaat
GGI-Netwerk en GGI-Veilig vormen samen de
bedoelde veilige gemeentelijke Digitale Infrastructuur.
6. Context GGI-Veilig: Doelstelling GGI-Veilig
Doelstelling
Het ondersteunen van de Deelnemers bij het vergroten van de digitale weerbaarheid
middels een op gemeenten toegesneden portfolio van producten en diensten voor de
operationele informatiebeveiliging.
Bepalen portfolio
De samenstelling van en de eisen aan dit portfolio zijn bepaald door vertegenwoordigers
van gemeenten en gemeenschappelijke samenwerkingsverbanden in de Expertgroep
GGI-Veilig.
Opbouw portfolio GGI-Veilig
• Perceel 1: SIEM/SOC dienstverlening
• Perceel 2: IT-producten
• Perceel 3: Expertise diensten
7. GGI-Veilig ondersteunt processen voor
Informatiebeveiliging
“leren”
“reageren”
“detecteren”
“voorzien” “voorkomen”
“voorzijn”
continue
monitoring
en
analyse
Perceel 1
SIEM/SOC
dienstverlening
Perceel 2
aanvullende security
producten/diensten
Perceel 3
expertise
diensten
Deelnemer organisatie na melding uit
SIEM/SOC
GGI-Veilig - SIEM/SOC
dienstverlening (P1)
GGI-Veilig –
IT producten (P2)
GGI-Veilig – Expertise
diensten (P3)
8. Aansluiting op Verhogen Digitale Weerbaarheid van
IBD
www.informatiebeveiligingsdienst.nl/project/digitaleweerbaarheid/
10. Agenda
• Context en doelstelling GGI-Veilig
• De aanbesteding en gecontracteerde producten/diensten
• Voorbereiding
• Wanneer en hoe te verwerven
• Implementatieondersteuning
• Vragen
11. Proces: deelnemers en verantwoordelijkheden
• Gestart Q3 2017 met inrichten Expertgroep GGI-Veilig
• Expertgroep GGI-Veilig
• Leden en volgers
• Verantwoordelijk voor:
• Bepalen scope
• Bepalen Programma van Eisen
• Bepalen Kwaliteitsvragen en beoordelingskader
• Bepalen Opzet prijsblad en beoordelingskader
• Beoordeling van de aanbiedingen
• Projectgroep
• Uitvoering
• Aanvullende expertise (IBD, penvoering, juridisch, inkoop, management)
12. Proces: de activiteiten
✓ Inventariseren van deelname gemeenten en formeel mandaat van gemeenten
✓ Marktconsultatie
✓ Bepalen inkoopstrategie
✓ Opstellen aanbestedingstukken
✓ Uitzetten aanbesteding in de markt
✓ Beantwoorden vragen markt
✓ Beoordeling offertes
✓ Gunning op 4 juli 2019 → tien raamovereenkomsten
✓ Ingangsdatum raamovereenkomsten: 15 juli 2019
13. Gecontracteerde GGI-Veilig producten/diensten
GGI-Veilig - SIEM/SOC dienstverlening
& Coördinatie (P1)
GGI-Veilig - IT Producten (P2)
GGI-Veilig - Expertise Diensten (P3)
Siem-proces, Compliancy*), Vulnerability, Pentesten, Forensics, Hardening
DDI-management
(DNS, DHCP en IP address management)
Firewall
(NGFW, MSFW, WAF)
CASB services
(Cloud Access Security Broker)
Mailfiltering
End-point protection
(incl. servers) / anti-virus, antimalware)
ATP
Advanced Persistent Threat protection
GGI-Anti-DDOS
EMM (Enterprise Mobility Management) /
MDM/MAM (Mobile Device & Application
Management)
IDS/IPS
Intrusion Detection & Prevention
VPN Management (C-S en S-S)
DLP (Data Loss Prevention/Data Leakage
Prevention; incl. endpoint en netwerk)
Vulnerability management oplossing
• Gericht op real-time detectie:
7*24 Monitoring & Response ICT-Infra
• 1 leverancier: meeste profijt voor alle
deelnemers gelijk
• Managed service en MSSP rol
• Gericht op preventie; te koppelen op SIEM
voor Monitoring & Response
• 12 producten gekozen door Expertgroep
• 3 leveranciers: meeste kans op goede
inpasbaarheid in ICT-infra Deelnemers
• 6 leveringsvormen: van alles zelf t/m
“managed”
• Gericht op ondersteuning met ICT
gerelateerde security expertise
• 6 adviesgebieden
• 6 leveranciers: grootst mogelijke landelijke
dekking en leverbetrouwbaarheid
• Enkelvoudige opdrachten, abonnementsvorm
15. GGI-Veilig - Expertise diensten (P3)
De diensten die niet binnen het expertise gebied compliancy kunnen worden afgenomen:
• ENSIA Assurancediensten: Assurance dienst voor ENSIA (www.ensia.nl). In deze dienst toetst de IT-
auditor de collegeverklaring en verklaart in het Assurancerapport dat de Collegeverklaring een getrouw
beeld geeft.
• Overige Assurancediensten van IT-Auditors voor zover het toepassen van de ISAE 3000
(Revised)/Richtlijn 3000 (Herzien) voor Deelnemers volgens wet- en regelgeving verplicht is;
• Certificeringsdiensten door een daartoe geaccrediteerde organisatie die als doel hebben het
uitvoeren van een proces om te komen tot het verkrijgen van een formele certificering op de normen:
a. NEN-EN-ISO/IEC 27001: Managementsystemen voor informatiebeveiliging -Eisen;
b. NEN-ISO/IEC 27018: Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII
processors;
c. ISO 9001 Kwaliteitsmanagement;
d. AVG-certificering door een daartoe geaccrediteerde organisatie op grond van artikel 42 AVG, zoals vastgesteld door de Autoriteit
Persoonsgegevens.
16. Agenda
• Context en doelstelling GGI-Veilig
• De aanbesteding en gecontracteerde producten/diensten
• Voorbereiding
• Wanneer en hoe te verwerven
• Implementatieondersteuning
• Vragen
17. Voorbereiden Monitoring & Response
en SIEM/SOC dienstverlening (P1)
Voorbereiding Verwerving Implementatie
Beheer &
gebruik
1. Benader het als een project.
2. Neem kennis van “Monitoring & Response” processen.
3. Bepaal doel en veranderopgave.
4. Bepaal de projectscope, stakeholders en projectorganisatie.
5. Regel de connectiviteit van eigen netwerk naar centrale SIEM/SOC omgeving.
6. Bepaal de risico’s bij de projectscope en richt risicomanagement in.
7. Stel een projectplan en communicatieplan op en informeer de juiste personen binnen de
organisatie
18. Kennis nemen van Monitoring en Response en
SIEM/SOC dienstverlening (P1)
SIEM/SOC dienstverlening wordt ingezet bij de opzet, de implementatie en het
toepassen van het Proces Monitoring & Response bij het op orde brengen en op orde
houden van de digitale weerbaarheid van de eigen organisatie
terugkoppeling
en evaluatieEventcollectie
decentraal
SIEM/SOC
proces
Afhandeling
alerts bij
deelnemers
Deelnemer
ICT-Infrastructuur KPN - SOC Alert melding
Terugkoppeling
en evaluatie
KPN - SOC
VNGR- IBD
Procesflow Monitoring en Response
19. terugkoppeling
en evaluatieEventcollectie
decentraal
SIEM/SOC
proces
Afhandeling
alerts bij
deelnemers
Deelnemer
ICT-Infrastructuur KPN - SOC Alert melding
Terugkoppeling
en evaluatie
KPN - SOC
VNGR- IBD
Processen: Eventcollectie en SIEM/SOC
Alertmelding =
Geconstateerde dreiging +
Oorzaak device +
Advies mitigatie
ordening / 3 mnd opslag /
Health monitoring
Centrale SIEM omgeving
SIEM Systeem
Analyse en
Mitigatie
advies
SOC team
Service portal /
deelnemer dashboard
- SLA info
- Incident rapport
- Periodieke
rapportages
alerts
Service Desk
KPN
Logbron 1
Logbron 2
Decentrale
logcollector
(KPN)
ICT Infrastructuur van deelnemer
100% /
3 MND /
RAW
Local storage
20. Proces Afhandeling alerts
terugkoppeling
en evaluatieEventcollectie
decentraal
SIEM/SOC
proces
Afhandeling
alerts bij
deelnemers
Deelnemer
ICT-Infrastructuur KPN - SOC Alert melding
Terugkoppeling
en evaluatie
KPN - SOC
VNGR- IBD
analyse
mitigatie
rapportage
analyse
mitigatie
rapportage
analyse
mitigatie
rapportage
Impactanalyse
van alert
Analyse
Mitigatie
Rapportage
OS
netwerk
sec. tooling
applicaties
Escalatie
Escalatieproces
Besluit-
vorming
Comm.&
&afhand.
rapport
Snelle mitigatie
Problem-
management
t.b.v. “structurele”
oplossing /
terugkijken
Stop en
rapportage
Alert melding
False
positive
True
positive
evalueren,
leren en
verbeteren
True
Positive
(zwaar)
22. Voorbereiden:
Projectscope Monitoring & Response
• Advies 1: Maak gebruik van Handreiking
• Advies 2: Begin met ambitieniveau START
• Doel is inzicht krijgen in de activiteiten in de eigen ICT infrastructuur.
• Monitoring en analyse (en response) van inkomend en uitgaand
netwerkverkeer op gedrag en acties en signaleren (en voorkomen) van
ongewenste activiteiten.
• Inrichting : 1 logcollector, 6 logbronnen (basic security devices).
• Firewall(s), proxyserver, dns, domaincontroller, mailserver, netwerksensor (KPN).
• NB: in de loop van Q1 2020 wordt tevens een virtuele logcollector aangeboden
• Set met 10 technische use cases.
• Gericht op awareness, leren omgaan met SIEM/SOC.
Hand-
reiking
Hand-
reiking
Handreiking
23. Niveau START begin set use cases
Nr. Naam Beschrijving event en detectie
1 Internal System doing Network Sweep on a Port Detecteert het gedrag van een netwerk Sweep op een netwerk port
2 Brute Force IDS Detected Attempts Detecteert wanneer er door de IDS een brute force wordt
geconstateerd.
3 Possible Successfull Brute-force Hier wordt gecontroleerd of er na een aantal foutieve inlogpogingen
een succesvolle inlogpoging is gedaan.
4 Detection of malicious Domains, IP adres or URL Detectie bij het benaderen van een domein, IP of URL dat bekend
staat als malicieus
5 Network Anonymous Logon Detecteert wanneer iemand probeert in te loggen met de
Anonymous account
6 Network Successful login with Built-in Accounts Detectie wanneer er met het account “GUEST of SYSTEM” Succesvol
is ingelogd.
7 Event Log Cleared Detecteert wanneer de logs worden verwijderd op een Windows
Systeem
8 Priviliged group access granted Wanneer account hoge privileges krijgt
9 Priviliged account authentication failure Foutieve inlogpogingen hoog privileged account
10 External Brute Force Success From Single Origin Host Externe succesvolle brute force attack vanaf een host
24. Voorbereiden: keuze connectiviteit tussen de
gemeente en SIEM/SOC omgeving (KPN)
▪Optie 1: via GGI-Netwerk
▪Optie 2: via “eigen” VPN
GGI Netwerk
koppelvlak deelnemers
Koppelvlak
SaaS
KPNKPN
Centrale SIEM/SOC
voorziening
SED SED
SED
deelnemer deelnemer
deelnemer
Optie 1
Optie 2
25. Voorbereiden: Middelen (indicatief *)
Kostensoort Eenmalig* Terugkerend* (/maand)
Inkoop SIEM/SOC
dienstverlening van KPN
Niveau START
Enkelvoudig: € 10.500
Redundant : € 21.000
Niveau START
In beide gevallen
€ 1.250 p/m ofwel € 15.000 p/j
Inkoop Connectiviteit/
Datacommunicatie
INTERN € p.m.
GGI-Netwerk: € 0,=
Indien bestaand/ gedeeld
Alt. IP-VPN: € p.m.
Gebruik bestaande Internet access
INTERN € p.m.
GGI-Netwerk: € 0,=
Indien gebruik bestaand/gedeeld
Alt. IP-VPN: € 100 p/m
Gebruik bestaande Internet access
Inzet eigen mensen Voorbereiding = 300 uur
Verwerving = 80 uur
Implementatie = 100 uur
Beheer & Gebruik
ca. 1 fte nieuw
Inzet externe(n) Wellicht ter ondersteuning
1 x 160 uur SIEM en
1 x 160 uur Hardening
n.v.t.
* inzet en kosten zijn afhankelijk van situatie
26. Voorbereiden GGI-Veilig - IT producten (P2)
1. Maak voor de eigen ICT-infrastructuur een meerjarenplan van in te zetten preventieve
informatiebeveiligingsmiddelen.
2. Houd rekening met lopende contracten en lifecycleplanning.
3. Bepaal op basis van het eigen IV/ICT beleidsplan welke leveringsvorm het best past.
4. Hou rekening met koppeling(en) aan SIEM/SOC.
5. Bepaal logische cluster(s) van producten om in één keer en gebundeld te verwerven.
27. Voorbereiden GGI-Veilig - Expertise diensten(P3)
1. Bepaal voor welke informatiebeveiligingsprojecten en werkzaamheden expertise nodig is en
welk deel je extern uit GGI-Veilig wilt betrekken.
• Welk expertisegebied en welk niveau (junior/medior/senior).
• Op uurbasis of als resultaatverplichting.
• Incidentele werkzaamheden of terugkerende werkzaamheden.
2. Plan de verwerving.
28.
29. Agenda
• Context en doelstelling GGI-Veilig
• De aanbesteding en gecontracteerde producten/diensten
• Voorbereiding
• Wanneer en hoe te verwerven
• Implementatieondersteuning
• Vragen
30. Verwerving GGI-Veilig: wanneer en hoe
GGI-Veilig - SIEM/SOC dienstverlening (P1)
• De landelijke initiële inrichting kent drie fasen:
• Initiatie fase: (KPN) medio juli 2019 – medio september 2019
• Opstart fase: (Koplopers) medio september 2019 – medio december 2019
• Leveringsfase: (alle deelnemers) vanaf 1 januari 2020
• SIEM/SOC diensten kunnen vanaf 1 januari 2020 via het Servicecentrum Gemeenten (SCG) besteld
worden.
• Voorbereiding kan nu al beginnen.
GGI-Veilig - IT producten (P2) en GGI-Veilig - Expertisediensten (P3)
• Kunnen vanaf heden in overleg met VNG - Servicecentrum Gemeenten (SCG) verworven worden.
32. Offerteaanvraag en bestelproces voor SIEM/SOC
dienstverlening (P1) vanaf 01-01-2020
Opstellen
offerte
aanvraag
Opstellen &
aanbieden
offerte
Beoordelen
offerte
Gunnen
opdracht
Informeren
Leverancier
Intrekken
Offerte
aanvraag
Aanpassen
Offerte?
Admin.
afhandelen
NOK, SLA en
implem.plan
akkoord
niet
akkoord
ja
nee
Voorbereiding
Organisatie gereed
Intake documenten
gereed
Project ingericht
Optioneel:
vooroverleg KPN
33. Spelregels GGI-Veilig – SIEM/SOC diensten (P1)
• Aanvraagformulier voor niveau START
• Omschrijving organisatie
• + Intakeformulier van KPN
• Wijzigingsformulier voor doorgroei
• Hoeveel bronnen erbij / eraf
• Korte omschrijving doel
• KPN zal verdere informatie vragen voor goede offerte
34. Minicompetitie proces GGI-Veilig IT-producten (P2)
Invullen
aanvraag-
formulier
Indienen
offerte-
aanvraag
Nota van
Inlichtingen
Ontvangen en
beoordelen
Offerte
Gunnings-
besluit
Nieuwe
offerte
aanvrage
n?
Vaststellen
vervolg
Geldige
offerte(s
)?
Opvolgen
vervolg
Start
Einde
Ja
Ja Nee
Nee
Opstellen en
aanbieden
Offerte
Administratief
afhandelen
opdracht
D = Deelnemer
L = Leverancier
O = Opdrachtgever
D LDOO L
DO O O
DO
DO
35. Spelregels minicompetitie GGI-Veilig IT producten
(P2)
• Informatie inwinnen voor de minicompetitie bij leveranciers is met alle
leveranciers tegelijkertijd.
• Beschrijving Inpasbaarheid:
• De context waarbinnen te leveren oplossing inpasbaar moet zijn, mag zowel
functioneel als technisch beschreven worden in het “Inpasbaarheid”-veld
• Eisen aan te leveren oplossing moeten functioneel van aard zijn beschreven.
• Alle eisen/wensen dienen al eis opgenomen te worden.
• Meerdere leveringsvormen uitvragen mag
• Afweging van alternatieven vooraf, bijv. via “mini-marktconsultatie”
• Opleidingen worden meegenomen in beoordeling – afname is optioneel.
• Gunning is op laagste prijs.
36. Voorbeeld 1: GGI-Veilig IT producten (P2)
4 uur *
2 uur
Binnen 1 uur
8x5 *
12x5
24x7
99,8% *
99,9%
99,99%
Licentie
Fysieke Appliance zonder technisch beheer *
Fysieke Appliance met technisch beheer
Virtuele Appliance zonder technisch beheer
Virtuele Appliance met technisch beheer
Managed Service
RTO en RPO geldt alleen voor Virtuele
Appliance en Managed Service
37. Voorbeeld 2:
GGI-Veilig IT producten (P2)
Geen implementatieondersteuning
Technisch geïnstalleerd
Bedrijfsklaar geleverd
Bij de variabele "levertijd" gaat het bij de
leveringsvormen “Licentie”,
“Fysieke Appliance” of “Virtual Appliance” om
de datum waarop het product aan Deelnemer
geleverd moet zijn of, indien ook
implementatie ondersteuning wordt
gevraagd, wanneer het product
geïmplementeerd en operationeel gereed
dient te zijn. Bij de leveringsvorm “Managed
Service” gaat het om de datum dat de
dienstverlening operationeel dient te zijn
38. Minicompetitie proces
GGI-Veilig Expertise diensten (P3)
Invullen
aanvraag-
formulier
Indienen
offerte-
aanvraag
Ontvangen en
beoordelen
Offertes
Gunnings-
besluit
Uitsluiten en
administratief
afhandelen
Geldige
offerte(s
)?
Onderbouwen
afwijzing
Start
Einde
Ja
Nee
Opstellen en
aanbieden
Offerte
Administratief
afhandelen
opdracht
D = Deelnemer
L = Leverancier
O = Opdrachtgever
Intakegesprek
/kwalitatieve
beoordeling
Geschikt
e offerte?
Ja
Nee
D O L
O
O
D O O
D
Nota van
Inlichtingen
LDO
39. Spelregels GGI-Veilig – Expertise diensten (P3)
• Beoordelingscriteria op Prijs en Kwaliteit (30% / 70%)
• Eisen zijn een Knock-Out criteria
• Kwaliteit heeft weging
• Maximaal 5 kwaliteitsvragen
• Gesprekken zijn toegestaan
• Leverancier is verplicht een aanbieding te doen
• Tenzij beroepsregels dit voorkomen
• Afwijzing moet worden onderbouwd
40. Looptijd overeenkomsten
• Looptijd Raamovereenkomsten: 5 jaar (vanaf 15 juli 2019)
• Looptijd Nadere Overeenkomst P1 en P2: 4 jaar, met optie tot 4x
verlengen met 1 jaar
• Looptijd Nadere Overeenkomst P3: te bepalen in de NOK
41. Agenda
• Context en doelstelling GGI-Veilig
• De aanbesteding en gecontracteerde producten/diensten
• Voorbereiding
• Wanneer en hoe te verwerven
• Implementatieondersteuning
• Vragen
42. Implementatie ondersteuning door VNG
Implementatie adviseurs VNG R
Helpen bij voorbereiding, implementatie en gebruik
GGI-Veilig producten en diensten
Toolkit
Handreikingen, checklists, IBD-modulen, DPIA
stappenplannen, sjablonen NOK, SLA, …
Servicecentrum gemeenten
Begeleiding en hulpmiddelen bij bestelproces perceel
1 en bij minicompetities perceel 2/3, opstellen van
offerteaanvragen, nota v. inlichtingen, beoordeling
offertes, administratieve afhandeling contracten
Leerkringen Verhogen Digitale
Weerbaarheid
Kennissessies in de regio met experts en koplopers
Initiële “standaard” inrichting en
test/acceptatie SIEM/SOC
Initiële inrichting en test en acceptatie van landelijke
(basis) SOC dienstverlening en SIEM-platform
43. Agenda
• Context en doelstelling GGI-Veilig
• De aanbesteding en gecontracteerde producten/diensten
• Wat, wanneer en hoe te verwerven
• Hoe voorbereiden en hoe gebruik maken van de producten en diensten
• Implementatieondersteuning
• Vragen
44. Meer informatie en communicatie
Informatie en vragen over verwerving en contracten:
www.scgemeenten.nl/project/ggi-veilig
Algemeen verwerving en contractbeheer:
GGI-Veilig@scgemeenten.nl
Mailadressen voor aanvragen van producten/diensten:
SIEM/SOC: GGI-veilig-p1@scgemeenten.nl
IT-producten: GGI-veilig-p2@scgemeenten.nl
Expertise: GGI-veilig-p3@scgemeenten.nl
Forum voor GGI-Veilig:
https://forum.vng.nl/do/login
Meld je vervolgens aan voor het forum GGI-Veilig
Algemeen, aanpak, voorbereiding, implementatie en gebruik:
www.vngrealisatie.nl/producten/ggi-veilig
www.informatiebeveiligingsdienst.nl/actueel/monitoring
Programma/projectmanagement:
Peter.Klaver@vng.nl
Jeroen.Schuuring@vng.nl
Jan.vanZessen@vng.nl
Implementatie adviseurs GGI-Veilig
Ruud.Verbaan@vng.nl
Arie.Linsen@vng.nl
Daniel.vandenBrink@vng.nl
Accountmanagers:
Maarten.Vrolijk@vng.nl
Peter.terTelgte@vng.nl
Edwin.Boender@vng.nl
Ton.deWit@vng.nl