De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

M INIMALE N ORMEN V ERSIE 2009 ISMS (Information Security Management System) OCMW: ……………..

Verwante presentaties


Presentatie over: "M INIMALE N ORMEN V ERSIE 2009 ISMS (Information Security Management System) OCMW: …………….."— Transcript van de presentatie:

1 M INIMALE N ORMEN V ERSIE 2009 ISMS (Information Security Management System) OCMW: ……………..

2 1. V OOR B ESCHOUWING Het document “Richtlijnen inzake veiligheid op het niveau van de instellingen die deel uitmaken van het netwerk dat wordt beheerd door de Kruispuntbank van de Sociale Zekerheid” legt de door iedere instelling na te streven veiligheidsdoeleinden vast. De in dit document beschreven minimale veiligheidsnormen daarentegen zijn door de socialezekerheidsinstellingen verplicht na te leven indien zij een toegang willen bekomen en behouden tot het netwerk van de Kruispuntbank. De normen hebben dus een bindende waarde. De controle op de naleving ervan geschiedt door het invullen van een vragenlijst die via de Kruispuntbank ter evaluatie aan het sectoraal comité van de sociale zekerheid en van de gezondheid wordt overgemaakt. Het behoort tot de verantwoordelijkheid van de instelling de vragenlijst correct in te vullen en over de naleving van de normen te waken. Het sectoraal comité van de sociale zekerheid en van de gezondheid kan desgevallend controles ter plaatse (laten) uitvoeren teneinde op het terrein te peilen naar de naleving van de minimale veiligheidsnormen door de socialezekerheidsinstellingen. Sommige instellingen zijn gehuisvest in verschillende gebouwen of beschikken over (kleine) regionale bureaus. Ook daar moeten de minimale veiligheidsnormen nageleefd worden, in het bijzonder op het vlak van de fysieke beveiliging (toegangsbeveiliging, brandveiligheid,...).

3 2. T OEPASSINGSGEBIED EN INTERPRETATIE 2.1 Toepassingsgebied van de normen De hierna toegelichte minimale veiligheidsnormen gelden voor de instellingen van sociale zekerheid, zoals vermeld in artikel 2, eerste lid, 2° van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid 1. De implementatie en de verificatie van de minimale veiligheidsnormen bij derden die voor rekening van een socialezekerheidsinstelling sociale gegevens van persoonlijke aard verwerken 2 behoren in eerste instantie tot de verantwoordelijkheid van de instelling die aan de derde werkzaamheden toevertrouwt. Op basis van de vragenlijsten die door de instellingen ingevuld teruggestuurd worden, kan het sectoraal comité van de sociale zekerheid en van de gezondheid in deze instellingen controles laten uitvoeren door een externe instantie met betrekking tot de naleving van specifieke aspecten van de minimale veiligheidsnormen. Verder zijn de normen in beginsel enkel van kracht op de verwerking van sociale gegevens van persoonlijke aard. De minimale normen moeten echter ook worden toegepast in het kader van beraadslaging nr. 21/2004 van 12 juli 2004, waarbij een aantal instellingen van sociale zekerheid door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer werden gemachtigd om onder bepaalde voorwaarden toegang te hebben tot het Rijksregister en om het identificatienummer van het Rijksregister te gebruiken voor het verrichten van hun taken inzake personeelsbeheer. Tot slot dient er te worden opgemerkt dat deze minimumnormen voor herziening vatbaar zijn. Ze zullen aldus worden aangepast in functie van de evolutie die zich op wettelijk, technisch of ander vlak voordoet. Om deze doelstelling te realiseren, zal de werkgroep “Informatieveiligheid” van het Algemeen Coördinatiecomité regelmatig de minimale veiligheidsnormen evalueren en eventueel bijwerken. Indien sommige minimumnormen aangepast moeten worden of minimumnormen toegevoegd moeten worden, zal de werkgroep “Informatieveiligheid” een voorstel voorleggen. De instellingen die tot het netwerk van de Kruispuntbank wensen toe te treden, moeten over een geactualiseerd meerjarenplan beschikken waarin de maatregelen worden vermeld om aan de normen te voldoen. Het sectoraal comité van de sociale zekerheid en van de gezondheid kan hiervan een kopie opvragen. 2.2 Interpretatie van de normen De sociale instellingen dragen de verantwoordelijkheid om, in functie van hun specifieke situatie en al naargelang de belangrijkheid van de te beveiligen werkingsmiddelen, de meest aangewezen beveiligingsmaatregelen te implementeren.

4 3. B EOOGDE DOELSTELLING 4. M INIMALE NORMEN – STRUCTUUR ISO 27002:2007 In de volgende paragrafen worden de minimumnormen gedefinieerd volgens de structuur en de nummering van de ISO norm. De minimale veiligheidsnormen beogen: de naleving van de toepasselijke wettelijke en reglementaire verplichtingen, voorzien in de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid en haar uitvoeringsbesluiten (onder meer het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid) – de gecoördineerde teksten van deze uitvoeringsbesluiten zijn beschikbaar op de website van de Kruispuntbank van de Sociale Zekerheid. de machtiging van de socialezekerheidsinstelling of meewerkende instelling tot deelname aan het netwerk van de Kruispuntbank.

5 5. B ELEID VOOR INFORMATIEVEILIGHEID OnderwerpMinimumnormStatusInfo 5.1Information Security Policy 3.Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: over een formeel, geactualiseerd en door de Directie goedgekeurd beleid voor informatieveiligheid beschikken. 3 Deze Information Security Policy (ISP) kadert in een beheerssysteem voor informatieveiligheid: de werkgroep “Informatieveiligheid” heeft het initiatief genomen voor de ontwikkeling van een ISMS ( Information Security Management System) gebaseerd op de ISO norm, teneinde tegemoet te komen aan een behoefte van de instellingen van het netwerk om over een gestructureerd en gemeenschappelijk veiligheidsbeleid te beschikken. Het ISMS is een geïntegreerd systeem dat moet toelaten een optimale beveiliging van de informatie te bereiken. De concrete maatregelen om een optimale informatieveiligheid te bereiken zijn “beleidsmaatregelen” of “controles”. ISMS wordt beschouwd als de gemeenschappelijke methodologie die door de instellingen van het netwerk toegepast moet worden om tot een optimale informatieveiligheid te komen. Het is de verantwoordelijkheid van de instellingen van sociale zekerheid om het ISMS aan te passen aan hun specifieke situatie en aan de omvang van de te beveiligen werkingsmiddelen. Voor wat de implementatie ervan betreft, dient de informatieveiligheidsconsulent van iedere instelling een beslissing van zijn hiërarchie te verkrijgen. Het gemeenschappelijk ISMS werd als volgt goedgekeurd door het Algemeen Coördinatiecomité: “Het betreft een basisdocument voor intern gebruik door de instellingen. Het ISMS, dat gebaseerd is op de ISO norm, bevat de na te leven krachtlijnen. Tussen de veiligheidsconsulent en het leidend personeel dient een permanent overleg georganiseerd te worden.”

6 6. O RGANISATIE VAN DE INFORMATIEVEILIGHEID OnderwerpMinimumnormStatusInfo 6.1Organisatie veiligheid Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: In haar schoot een informatieveiligheidsdienst inrichten die wordt geleid door een veiligheidsconsulent, of die taak toevertrouwen aan een erkende gespecialiseerde informatieveiligheidsdienst. De informatieveiligheidsdienst heeft een adviserende, stimulerende, documenterende en controlerende opdracht (in de zin van het KB van 1993). Met het oog op de veiligheid van de sociale gegevens die door zijn instelling worden verwerkt en met het oog op de bescherming van de persoonlijke levenssfeer van de personen op wie deze sociale gegevens betrekking hebben, staat de veiligheidsconsulent in voor: 1° het verstrekken van deskundige adviezen aan de persoon belast met het dagelijks bestuur; 2° het uitvoeren van opdrachten die hem door de persoon belast met het dagelijks bestuur worden toevertrouwd. Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: De identiteit van haar veiligheidsconsulent en zijn eventuele adjuncten meedelen aan het sectoraal comité van de sociale zekerheid en van de gezondheid. Voor de instellingen van het secundaire netwerk moet de identiteit meegedeeld worden aan de beheersinstelling. Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: In het bezit zijn van een veiligheidsplan dat door de verantwoordelijke instantie van de betrokken instelling werd goedgekeurd. 4 De partijen waar in deze norm naar wordt verwezen zijn voornamelijk de leden van de informaticadienst (ontwikkeling en productie), de preventie- adviseur, de veiligheidsconsulent en de diensten die de gegevens beheren.

7 6. O RGANISATIE VAN DE INFORMATIEVEILIGHEID OnderwerpMinimumnormStatusInfo 6.1Organisatie veiligheid Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: Over de nodige werkingskredieten beschikken die door de verantwoordelijke instantie van de betrokken instelling werden goedgekeurd, teneinde te kunnen voorzien in de uitvoering van haar veiligheidsplan en de uitvoering door de veiligheidsdienst van de haar opgedragen taken. Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: Aan de Kruispuntbank het aantal uren meedelen dat ze officieel aan de veiligheidsconsulent en aan zijn eventuele adjuncten heeft toegekend voor de uitvoering van hun taken. Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: De communicatie van informatie aan de veiligheidsconsulent zodanig organiseren dat hij over de gegevens beschikt voor de uitvoering van de hem toegewezen veiligheidsopdracht en om overleg te organiseren tussen de verschillende betrokken partijen 4 teneinde op deze manier de veiligheidsconsulent nauwer te betrekken bij de werkzaamheden van de instelling. 4 De partijen waar in deze norm naar wordt verwezen zijn voornamelijk de leden van de informaticadienst (ontwikkeling en productie), de preventie- adviseur, de veiligheidsconsulent en de diensten die de gegevens beheren.

8 6. O RGANISATIE VAN DE INFORMATIEVEILIGHEID OnderwerpMinimumnormStatusInfo 6.2Beslissingsplatform 5 Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: beschikken over een beslissingsplatform voor de validatie en de goedkeuring van de veiligheidsmaatregelen. 6.3Secundair netwerk Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: Elke beheersinstelling van een secundair netwerk is ertoe gehouden om minstens één keer per semester relevante informatie uit te wisselen met haar secundair netwerk, bijvoorbeeld door een vergadering van de subwerkgroep "Informatieveiligheid" te organiseren voor de instellingen die deel uitmaken van haar netwerk. NVT 6.4Veilig gebruik van de beroepskaart voor geneeskundige verzorging Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: De betrokken veiligheidsconsulenten waken, binnen de eigen instelling, over het veilige gebruik van de beroepskaart voor geneeskundige verzorging zoals vastgelegd in de artikelen 42 tot en met 50 van het koninklijk besluit van 22 februari NVT 5 Het beslissingsplatform zorgt voor de sturing van het veiligheidsbeleid: herziening van het beleid, bijstelling van de beveiligingsmaatregelen, opstelling van beveiligingsplannen, de vaststelling van verantwoordelijkheden en het toezicht op veranderende bedreigingen en incidenten. 6 Koninklijk besluit van 22 februari 1998 houdende uitvoeringsmaatregelen inzake de sociale identiteitskaart (gepubliceerd in het Belgisch Staatsblad van 13 maart 1998); gewijzigd bij het koninklijk besluit van 8 december 1998 (Belgisch Staatsblad van 24 december 1998), bij het koninklijk besluit van 26 april 1999 (Belgisch Staatsblad van 19 juni 1999), bij het koninklijk besluit van 11 december 2000 (Belgisch Staatsblad van 21 december 2001) en bij het koninklijk besluit van 26 mei 2002 (Belgisch Staatsblad van 3 juli 2002).

9 7. B EHEER VAN BEDRIJFSMIDDELEN OnderwerpMinimumnormStatusInfo 7.1Bescherming van de bedrijfsmiddelen Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet:: zich ervan vergewissen dat de dragers van de persoonsgegevens en de informaticasystemen die deze gegevens verwerken in geïdentificeerde en beveiligde lokalen geplaatst worden, overeenkomstig hun indeling. Deze lokalen zijn enkel toegankelijk voor de gemachtigde personen en enkel tijdens de uren die voor hun functie gerechtvaardigd zijn. 7.2Inventaris Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: over een permanent bijgewerkte inventaris beschikken van het informaticamateriaal en de software.

10 8. M EDEWERKERS - GERELATEERDE VEILIGHEID OnderwerpMinimumnormStatusInfo 8.1Internet en Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: een gedragscode opstellen en toepassen voor internet- en gebruik. 8.2Omgang met persoonsgegevens Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: de interne en externe medewerkers die betrokken zijn bij de verwerking van persoonsgegevens op de hoogte stellen van de vertrouwelijkheids- en veiligheidsplichten t.a.v. deze gegevens.

11 9. F YSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING OnderwerpMinimumnormStatusInfo 9.1Fysieke toegangsbeveiliging Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: de toegang tot de gebouwen en lokalen beperken tot de geautoriseerde personen en een controle erop verrichten zowel tijdens als buiten de werkuren. 9.2Brand, inbraak, water Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: maatregelen treffen m.b.t. de preventie, de bescherming, de detectie, het blussen en de interventie in geval van brand, inbraak of waterschade. 9.3Stroomvoorziening Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: over een alternatieve stroomvoorziening beschikken om de verwachte dienstverlening te waarborgen.

12 10. O PERATIONEEL BEHEER OnderwerpMinimumnormStatusInfo 10.1Toegang tot informaticasystemen door informatiebeheerders 7 Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: de toegang van informatiebeheerders tot informaticasystemen beperken door identificatie, authentificatie, en autorisatie. 10.2Detectie veiligheidsinbreuken Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: een systeem en formele, geactualiseerde procedures installeren die toelaten om veiligheidsinbreuken te detecteren, op te volgen en te herstellen in verhouding tot het technisch/operationeel risico. Windows Audit via Groups Policy 10.3Externe TCP/IP verbinding – primair netwerk De socialezekerheidsinstellingen van het primaire net moeten: voor hun aan de sociale zekerheid externe TCP/IP-verbindingen gebruik maken van het Extranet van de sociale zekerheid 8. Voor iedere afwijking op deze maatregel moet een gemotiveerde aanvraag via de veiligheidsdienst van de KSZ worden ingediend. 10.4Externe TCP/IP verbinding – secundair netwerk De socialezekerheidsinstellingen van het secundaire netwerk kunnen voor hun aan de sociale zekerheid externe TCP/IP-verbindingen gebruik maken van het Extranet van de sociale zekerheid 9. Voor de rechtstreekse verbindingen met hun aan de sociale zekerheid externe TCP/IP-netwerken moeten: de betrokken secundaire netwerkinstellingen veiligheidsmaatregelen implementeren die in overeenstemming zijn en blijven met de maatregelen getroffen op het niveau van het Extranet van de sociale zekerheid; de desbetreffende beheersinstellingen veiligheidsvoorzieningen treffen die in Overeenstemming zijn en blijven met de getroffen voorzieningen op het niveau van het Extranet van de sociale zekerheid. 7 De informatiebeheerder is eenieder die in het kader van zijn verantwoordelijkheden met betrekking tot een ICT-systeem over toegangsrechten beschikt die ruimer zijn dan het louter functionele gebruik van de gegevens. Het gaat onder meer om ontwikkelaars, systeembeheerders, gegevensbeheerders, software-ontwikkelaars en –beheerders, netwerkbeheerders, consultants en onderaannemers. 8 Deze maatregel vervalt indien de betrokken instelling voor haar aan de sociale zekerheid externe TCP/IP-verbindingen gebruik maakt van een computerconfiguratie die niet gebruikt wordt voor de verwerking van sociale gegevens van persoonlijke aard of die in generlei mate verbonden is met het (de) informatiesyste(e)m(en) aangewend voor de verwerking van sociale gegevens van persoonlijke aard. 9 Deze maatregel vervalt indien de betrokken instelling voor haar aan de sociale zekerheid externe TCP/IP-verbindingen gebruik maakt van een computerconfiguratie die niet gebruikt wordt voor de verwerking van sociale persoonsgegevens of die in generlei mate verbonden is met het (de) informatiesyste(e)m(en) aangewend voor de verwerking van sociale persoonsgegevens.

13 10. O PERATIONEEL BEHEER OnderwerpMinimumnormStatusInfo 10.5Bescherming tegen malware 10. Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: over geactualiseerde systemen beschikken ter bescherming (voorkoming, detectie en herstel) tegen malware. 10.6Nagaan van veiligheidsvereisten voor in productiename Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: nazien dat, vooraleer nieuwe of belangrijke evoluties van bestaande systemen in productie genomen worden, de projectverantwoordelijke nagaat of aan de veiligheidsvereisten voldaan werd die aan het begin van de ontwikkelingsfase vastgesteld werden (zie deel “Ontwikkeling”). 10.7Veiligheid op netwerkniveau Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: nazien dat de netwerken gepast beheerd en gecontroleerd worden zodanig dat ze beveiligd zijn tegen bedreigingen en de beveiliging afdoende garanderen van de systemen en toepassingen die het netwerk gebruiken. 10.8Beheer van extranetfluxen Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: de lijst van de openstaande stromen op het extranet van de sociale zekerheid up-to-date houden. 10.9Back-up policy en procedures Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: een systeem van regelmatig te controleren veiligheidskopieën (back-up) invoeren om, in geval van beperkte of totale ramp, onherstelbaar verlies van gegevens te voorkomen (gegevens nodig voor de toepassing en de uitvoering van de sociale zekerheid alsook de gegevens m.b.t. de toepassingen en het besturingssysteem). 10 Malware : vb. virus, worm, Trojaans paard, spam, spyware

14 10. O PERATIONEEL BEHEER OnderwerpMinimumnormStatusInfo 10.10Loggingtoegang Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: een loggingsysteem implementeren voor de persoonsgegevens nodig voor de toepassing en uitvoering van de sociale zekerheid. OKLogging standaard in windows Logging standaard in Softwarepakket van leverancier 10.11Zone “USERID” Wanneer de instelling in de zone “USERID” van het prefixgedeelte van een bericht aan de Kruispuntbank, het programmanummer overneemt dat aan de basis ligt van het bericht dat ze naar de Kruispuntbank stuurt alhoewel een natuurlijk persoon aan de oorsprong van het bericht ligt, kan de Kruispuntbank, a posteriori, het programmanummer terugvinden. De Kruispuntbank kent echter de identiteit niet van de natuurlijke persoon die het bericht verstuurde. In dat geval moet de instelling van sociale zekerheid dus zelf de relatie leggen tussen het programmanummer dat ze overneemt in het prefixgedeelte van het bericht dat zij naar de Kruispuntbank stuurt en de identiteit van de natuurlijke persoon die het bericht verstuurt Vermijden single point of control Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet over procedures beschikken: voor het in productie stellen van nieuwe toepassingen en het aanpassen van bestaande toepassingen teneinde te voorkomen dat een enkele persoon alleen de controle zou verwerven over dit proces.

15 11. T OEGANGSBEVEILIGING OnderwerpMinimumnormStatusInfo 11.1Beveiliging gegevens Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: de toegang tot de gegevens 11 nodig voor de toepassing en de uitvoering van de sociale zekerheid beveiligen door middel van een identificatie-, authentificatie- en autorisatiesysteem. 11.2Toelatingen sectoraal comité Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: zich vergewissen van het bestaan van de noodzakelijke machtigingen van het sectoraal comité voor de toegang tot sociale gegevens van persoonlijke aard beheerd door een andere instelling. 11.3Toegang op afstand Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: de gepaste maatregelen treffen, in functie van het toegangsmedium 12, voor de beveiliging van de online-toegang van buiten de instelling tot de persoonsgegevens van de instelling. 11.4Bescherming van gegevens op mobiele media 13 Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: de gepaste maatregelen nemen indien persoonsgegevens worden opgeslagen op mobiele media die de beveiligingsperimeter van de instelling kunnen verlaten. 11 In deze norm wordt onder de term “gegeven” niet enkel de sociale persoonsgegevens verstaan maar alle logische elementen van een informatiesysteem die voor de verwerking ervan instaan. Voorbeelden zijn: programma’s, toepassingen, bestanden, systeemutility’s en andere elementen van het besturingssysteem. 12 Toegangsmedium : vb. internet, gehuurde verbinding, privaat netwerk, draadloos. 13 Mobiele media: verwijderbaar flashgeheugen, draagbare harddisk, laptop, PDA, …

16 12. O NTWIKKELING EN ONDERHOUD VAN SYSTEMEN OnderwerpMinimumnormStatusInfo 12.1Informatieveiligheid in het kader van projecten Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: over procedures beschikken voor de ontwikkeling van nieuwe systemen of belangrijke evoluties van bestaande systemen zodat door de projectverantwoordelijke rekening wordt gehouden met de veiligheidsvereisten die in dit document beschreven worden. OKVia softwareleverancier 12.2Documentatie Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: over procedures beschikken voor de uitwerking van documentatie bij de ontwikkeling van nieuwe en het onderhoud van bestaande toepassingen en systemen. OKVia softwareleverancier 12.3Gestructureerde ontwikkelingsaanpak Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: een gestructureerde aanpak gebruiken om de veilige ontwikkeling van systemen na te streven. OKVia softwareleverancier

17 13. B EHEER VAN INCIDENTEN IN VERBAND MET INFORMATIEVEILIGHEID OnderwerpMinimumnormStatusInfo 13.1 Belangrijke incidenten 14 Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: ervoor zorgen dat de dienst Informatieveiligheid door de verantwoordelijke dienst op de hoogte gesteld wordt van belangrijke incidenten die de informatieveiligheid in het gedrang kunnen brengen alsook van de maatregelen die genomen worden om aan deze incidenten het hoofd te bieden. 14 Voorbeelden van belangrijke incidenten: brand, waterschade, malware-aanvallen, intrusiepogingen (fysiek of logisch), diefstal of verlies van draagbare computers, loggingonderbreking, …

18 14. C ONTINUITEITSBEHEER OnderwerpMinimumnormStatusInfo 14.1 Risico-AnalyseElke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: A - een continuïteitsplan uitwerken, testen en onderhouden. Dit continuïteitsplan moet gebaseerd zijn op een risico-analyse om de opdracht van de instelling in het kader van de sociale zekerheid te kunnen waarborgen. B - een informatica uitwijkcentrum voorzien in geval van beperkte of totale ramp.

19 15. N ALEVING OnderwerpMinimumnormStatusInfo 15.1Externe audit 15 Elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet: tenminste één keer om de vier jaar een externe audit organiseren met betrekking tot de situatie van de logische en fysieke veiligheid. 15 Het betreft een audit waarbij het initiatief en de hieraan verbonden financiële inspanningen uitgaan van de instelling zelf. De audit hoeft niet allesomvattend te zijn.

20 16. H ANDHAVING, OPVOLGING EN HERZIENING Minimumnorm 16.1 De wijziging van de minimale normen geeft aanleiding tot de voorlegging van het voorstel tot wijziging van de minimale veiligheidsnormen aan het Beheerscomité van de Kruispuntbank (goedgekeurd tijdens de vergadering van 27 november 2007); de voorlegging van de gewijzigde vragenlijst aan het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid afdeling Sociale Zekerheid (goedgekeurd tijdens de vergadering van 4 september 2007); het opsturen van de gewijzigde en goedgekeurde minimale veiligheidsnormen naar de verantwoordelijken voor het dagelijks bestuur van de instellingen van sociale zekerheid die hun beheerscomité ervan op de hoogte brengen; de nieuw-toegevoegde minimale normen treden in werking één jaar na de goedkeuring door het Beheerscomité van de Kruispuntbank, in casu 1 januari 2009, het gaat over volgende minimale normen: o 6.2, 7.1, 8.1, 8.2, 10.1, 10.6, 10.7, 10.8, 11.2, 11.3, 11.4, 12.1, 12.3, 13.1 Jaarlijks zal een vragenlijst opgestuurd worden naar de sociale instellingen teneinde de naleving van de minimale veiligheidsnormen te evalueren. De onderwerpen van specifieke veiligheidsmaatregelen die goedgekeurd werden op het niveau van het Algemeen Coördinatiecomité en die nog niet opgenomen werden in een herziene versie van de minimale normen, zullen proactief opgenomen worden in de jaarlijkse vragenlijst.

21 17. S ANCTIE Minimumnorm 17.1 Indien het sectoraal comité van de sociale zekerheid en van de gezondheid vaststelt dat een socialezekerheidsinstelling tekortschiet wat de naleving van deze normen betreft, kan het comité de Kruispuntbank verzoeken om geen gevolg meer te verlenen aan de door die instelling verstuurde voorleggingen. Het spreekt echter vanzelf dat, alvorens die maatregel kan worden genomen, het sectoraal comité van de sociale zekerheid en van de gezondheid de persoon ondervraagt die belast is met het dagelijks bestuur van de betrokken instelling.

22 6.1.6 C OMMUNICATIEPROCEDURE V EILIGHEIDSCONSULENT -OCMW Doel: Deze communicatieprocedure is bedoeld voor beide partijen en is een 2 richtingsverkeer, opdat de veiligheidsconsulent over de nodige gegevens zou beschikken voor de uitvoering van de hem toegewezen veiligheidsopdracht. Overeenkomsten. 1.Informatie, inlichtingen, uitnodigingen, afspraken en dagelijkse werkzaamheden worden verzonden via 2.Frequentie bezoeken: Dit wordt overeengekomen met het OCMW ( zie kader bovenaan). Prioriteiten worden apart beschouwd en zullen niet meegerekend worden als bezoeken Bij een bezoek zal een verslag worden opgesteld door de veiligheidsconsulent. 3.Verschillende vergaderingen zullen worden georganiseerd. Door de veiligheidsconsulent en de systeembeheerders van de verschillende OCMW’s 4X / J. Maandelijkse vergaderingen enkel met de verschillende veiligheidsconsulenten Met de POD MI 4. In het OCMW is een veiligheidsmap(1) aanwezig die na de afspraak geraadpleegd en aangevuld kan worden door de veiligheidsconsulent. Deze map wordt achter slot bewaard(2) en omvat alle documenten(3) i.v.m. veiligheid (vnl. de KSZ ) of minimaal de referenties waar deze gevonden kunnen worden. Er hoeft geen dubbel bijgehouden te worden door de veiligheidsconsulent 5. De ethische gedragscode van de veiligheidsconsulent zal als bijlage worden toegevoegd. ( 1) ook wel KSZ-veiligheidsmap of kortweg KSZ-map genoemd. (2) genaamd “de plaats van bewaring”. (3) elementen van het veiligheidsplan, procedures, rapporten, inventaris (laatste kopij max. 6 maand oud),documentatie enz. i.v.m. de veiligheidsnormen van de KSZ; deze lijst is niet exhaustief maar omvat minimaal alle elementen zoals opgegeven in de minimale veiligheidsnormen – Ref: V1/V1/ normen19.infoveiligheid Akkoord verklaring De plaats van bewaring …KSZ map of veiligheidsmap………………….… Contact persoon (sleutelbewaarder) …Systeembeheerder…………………………….… Opgemaakt te …….....……OP……..……… Voor akkoord, De Secretaris De Systeembeheerder De Veiligheidsconsulent

23 6.1.6 C OMMUNICATIEPROCEDURE V EILIGHEIDSCONSULENT – OCMW - P REVENTIEADVISEUR Doel: Procedure met als doel overleg te organiseren tussen de verschillende betrokken partijen, teneinde op deze manier de veiligheidsconsulent nauwer te betrekken bij de werkzaamheden van de instelling. Overeenkomsten. 1.Telkens de noodzaak zich voordoet zal het OCMW de verschillende betrokken partijen op de hoogte brengen, zodat er, indien nodig geacht door één van beide partijen, zo spoedig mogelijk een overleg kan worden georganiseerd tussen enerzijds de veiligheidsconsulent en anderzijds de preventieadviseur en / of de systeembeheerder.* 2.Het OCMW zorgt steeds voor de uitwisseling van relevante documenten, aanbevelingen en/of opmerkingen omtrent alle veiligheidsaspecten tussen enerzijds de veiligheidsconsulent en anderzijds de preventieadviseur en/of systeembeheerder.* 3.Jaarlijks doet de preventieadviseur samen met de arbeidsgeneesheer zijn rondgang in de gebouwen van het OCMW. Een meerwaarde kan zijn, de veiligheidsconsulent hierbij mee uitt te nodigen. (*) Naar gelang de aard en relevantie van het veiligheidsaspect. Bij besprekingen, maatregelen, of incidenten die de fysieke veiligheid aanbelangen zal respectievelijk aandacht worden besteed aan het overleg tussen veiligheidsconsulent en preventieadviseur. Bij aspecten omtrent de logische beveiliging zal dit overleg voornamelijk gebeuren tussen veiligheidsconsulent en de systeembeheerder van het OCMW.

24 7.2 I NVENTARIS HARDWARE & SOFTWARE ToestelAantalOmschrijving Server Computer Monitor Printer Flatbedscanner Router Telefooncentrale Kopieerapparaat SoftwareLicentieOmschrijving LINUX OS / WINDOWS OS Windows XP Windows Vista Office 2003 Office 2007 Winsoc + NOB

25 7.2 I NVENTARIS PERSONEEL NaamFunctieIndienstUitdienstBezit Code Alarm InlognaamWachtwoord (netwerk) Wachtwoord (Toepassing)   

26 9.1 O NTVANGST & TERUG SLEUTEL Deel I : Ontvangst sleutel(s) / badge Secretaris, Ik …………………………..…….. verklaar hierbij de sleutel(s) / badge te hebben overhandigd. Gebruiker, Ik ……………………………...….. verklaar hierbij de sleutel(s) / badge te hebben ontvangen. * Beide partijen hebben een kopij ontvangen. Handtekening Secretaris Handtekening Gebruiker Datum : ……/……/……..… Deel II : Teruggave sleutel(s) / badge Secretaris, Ik ……………………………….. verklaar hierbij de sleutel(s) / badge te hebben ontvangen. Gebruiker, Ik …………………………..…….. verklaar hierbij de sleutel(s) / badge te hebben overhandigd. * Beide partijen hebben een kopij ontvangen. Handtekening Secretaris Handtekening Gebruiker Datum : ……/……/……..… Deel III : Lijst sleutel(s) / badge Opmerking. Bij verlies van de sleutel / badge, dit direct melden aan secretaris / personeelsdienst. Bij het uit dienst treden bezorg ik de sleutel / badge terug aan de secretaris / personeelsdienst. SleutelOmschrijvingOntvangstTeruggaveOpmerking

27 9.1 S LUITINGSPROCEDURE Deel I : Opening van het OCMW door het personeel (Dit is een voorbeeld) 1. De opening van het OCMW gebeurt bij voorkeur steeds door een minimum van personeelsleden. 2.Controleer bij aankomst steeds de buitenomgeving (braaksporen op ramen en/ of deuren, aanwezigheid verdachte personen en/of voertuigen). 3.Open de buitendeur en sluit ze achter u vermits het OCMW nog niet toegankelijk is voor de burger. 4.Controleer vlug de binnenzijde van het kantoor (vooral ramen en deuren die niet van buiten af kunnen gecontroleerd worden ). 5.Hou belangrijke telefoonnummers steeds bij de hand (politiekantoor, veiligheidsverantwoordelijke). 6.Voorzie een extern trefpunt(dat wil zeggen een verzamelplaats) van waaruit je kunt telefoneren in geval van noodzaak. 7.Ga naar het trefpunt : zorg dat al je collega’s daar samenkomen. 8.Enkel personeelsleden ontvangen een toegangscode voor het alarm. Deel II : Sluiting van het OCMW 1.Bezoek na het vertrek van de laatste client alle voor het publiek toegankelijke lokalen en controleer Of niemand is achter gebleven. Of er geen voorwerpen werden achter gelaten. Of alle ramen en deuren slotvast zijn. 2.Berg alle documenten op in afgesloten kasten en verwijder de sleutels van de kasten. 3.Verdeel de sleutels van het lokaal over verschillende personen of berg ze op in een door de verantwoordelijken gekende plaatst. 4.Respecteer het ‘CLEAN DESK’ principe (garandeert een vlottere binnencontrole ‘s anderendaags). 5.Elke werknemer die het OCMW verlaat dient ervoor te zorgen dat de deur slotvast is. 6.De laatste vergrendelt het inbraaksysteem en controleert de aanduiding op het klavier, deze moet op veilig staan. 7.Alle voor het publiek niet toegankelijke lokalen worden tijdens de openingsuren het best slotvast gehouden. Hierdoor is de controle bij de sluiting een stuk eenvoudiger. Deel III : Opening van het OCMW voor het cliënteel. 1.Open op het voorziene uur de toegangsdeur(en) 2.Draag er zorg voor dat alle documenten die niet nodig zijn veilig opgeborgen zijn in afsluitbare kasten. 3.Waak erover dat alle officiële stempels buiten handbereik van de cliënten verblijven 4.Verlaat uw werkplek nooit als gevoelige documenten of voorwerpen binnenhandbereik van de cliënten liggen. CLEAN DESK PRINCIPE 5.Enkel gemachtigd personeel van het OCMW wordt toegelaten tot de (beveiligde) personeelszone. 6.Bij twijfel: Ga te rade bij een collega. of ga over tot identificatie aan het loket. 7.Ga het cliënteel afhalen aan de balie en vergezel hem weer naar de uitgang

28 9.3 UPS PROCEDURE Doel UPS Heeft als doel na te gaan of de UPS test geslaagd is of niet. Door de UPS zonder stroom te plaatsen zal men kunnen nagaan of de batterij nog functioneert aan de hand van de aangesloten apparatuur die operationeel blijft kan men ook zien hoelang de batterij stroom levert. Men kan hier de status van de batterij uit afleiden. Type UPS 1.Merk UPS: 2.Type UPS: 3.Sterkte UPS: 4.Aankoop UPS: 5.In garantie: 6.Batterij reeds vervangen: 7.UPS Software geïnstalleerd : 8.Aangesloten toestellen: 1.Server: 2.Monitor: 3.Andere: Rapport UPS 1.Vorige periode:: 2.Huidige periode : 3.Aard UPS: 4.Opmerkingen:

29 10.5 M ALWAREPROCEDURE Instelling Alle PC’s zijn voorzien van het anti-virus programma Norton. En daarnaast gebruikt men terminals systeemsoftware licentie :Virus scan en Spyware scan (te samen in één suite).. De virusscan suite wordt elke dag automatisch mee opgestart en scant automatisch binnenkomende bestanden of bestanden die moeten verwerkt worden De scansoftware word automatisch van een update voorzien. Verantwoordelijke 1.Verantwoordelijk : Lutgarde Jakemyn 2.Vervanger bij afwezigheid : 3.Is er een controle op de computer : NEE 4.Is er een anti-virus handleiding: JA, digitaal in het software pakket 5.Is er een anti-virus uitbreek procedure: JA, ontvangen van de veiligheidsconsulent Software GeinstalleerdUpdatesVerwerkingLeverancierOpmerkingen Virus scanJA AutomatischNorton Spyware scanJA AutomatischNorton DefenderNEE MicrosoftGratis meegeleverd met VISTA / apart installeren in XP

30 10.5 P REVENTIE PROCEDURE Bepaal uw beveiligingsbehoeften Virussen komen onverwacht. Zorg ervoor dat scanners zijn geconfigureerd om alle gegevensbronnen te scannen. Wanneer u bijvoorbeeld een diskette in het station laat zitten terwijl u de computer opstart, kan een virus in het geheugen worden geladen Voordat de scanner bij toegang wordt gestart, als de scanner niet is geconfigureerd om diskettte scannen. Voer regelmatig updates uit Zorg ervoor dat u werkt met de meest recente versie van het Het dat-bestand Het scanprogramma Het product. Met de functie AutoUpdate kunt u elk van deze onderdelen selectief bijwerken. Voorkom inbraken, zodat u omgeving niet wordt geïnfecteerd Met de volgende functies kunt u inbraken voorkomen: 1.Toegangsbeveiliging. 2.Bufferoverloopbeveiliging. 3.Beleid voor ongewenste programma's. 4.Scriptscanner. Detecteer inbraken, en stop deze voordat ze schade aanrichten Met de volgende functies kunt u inbraken detecteren: Scannen bij toegang. Scannen op aanvraag. scannen.

31 10.5 W AT TE DOEN BIJ INFECTIE Systeemherstel utischakelen Wanneer uw computer is geïnfecteerd, wordt er mogelijk een back-upbestand van het virus opgeslagen in de map voor systeemherstel. Daarom schakelt u deze optie eerst uit. Dat gaat als volgt:Selecteer 'Deze computer' (klik met de rechtermuisknop erop), 'Eigenschappen‘, tabblad 'Systeemherstel‘ Selecteer 'Systeemherstel uitschakelen. Klik op 'Toepassen‘, Klik op ‘OK’ en start 'daarna de pc opnieuw op. Start u pc in de veilige modus dat maakt het makkelijker virussen en andere infecties te verwijderen. Dit gaat als volgt: Zet u pc aan, u ziet informatie voorbij komen, maar voordat Windows begint moet u op de toets F8 drukken. Begin maar enkele seconden nadat u u pc aangezet heeft, elke seconde 1 keer op F8 te drukken, dan komt u wel in het scherm dat de mogelijkheid geeft u pc in veilige modus te starten. Verschillende scans uitvoeren 1) Volledige virusscan Let er op dat uw antivirus programma up-to-date is. Als u uw antivirus programma niet kunt updaten vanuit het programma zelf, omdat u geen internetverbinding heeft, zult u de updates op een andere computer moeten downloaden en handmatig op u pc installeren. Het kan zijn dat uw antivirus programma nog uitgeschakeld is door een van de besmettingen. Deïnstalleert het en installeer het opnieuw. Werkt dat nog niet, ga dan door met stap 3 en probeer het daarna nogmaals. Laat Windows normaal opstarten, voer met uw standaard antivirus programma een volledige scan uit en laat elke ongerechtigheid verwijderen. 2) Spywarescan Ook deze stap moet uitgevoerd worden. Er zijn drie redelijke gratis spyware removers: Windows defender, SpybotSpy adaware: ook Nederlandstalig. (kies wel de personal edition,) Het is verstandig minimaal twee van deze programma's u pc te laten scannen. Geen van de programma's zal alle spyware kunnen herkennen en verwijderen. 3) Trojanscan Installeer specifieke Trojaanscanners en laat volledige scans uitvoeren. Antivirus programma's gebruiken signaturen (specifieke stukjes programmacode) van virussen en andere malware voor detectie en vinden daarmee ook veel, maar niet alle Trojaanse. Trojaanscanners hebben toegevoegde waarde omdat ze ook andere technieken gebruiken. Enkele goede Trojaanscanners zijn: Ewido Security Suite, A-squared, Trojan Remover, Deze laatste heeft enkele goede utilities om bijv. verminkte internetinstellingen te herstellen. 4) Rootkitscan Rootkits worden gebruikt om virussen, backdoors en andere malware onzichtbaar hun werk te laten doen. Ze maken daarvoor vaak ingrijpende wijzigingen in diverse systeeminstellingen. Voor detectie van rootkits gebruikt u de twee volgende utilities: rootkitrevealer van sysinternals.com, blacklight van F-secure: 5) Detectie met een firewall Ook een firewall kan behulpzaam zijn om te detecteren of er nog ongewenste programma's op uw pc aanwezig zijn die poorten openzetten. Als u een firewall installeert, zal alles wat naar binnen of naar buiten wil eerst om toestemming moeten vragen.

32 10.9 B ACK - UP PROCEDURE Periodiciteit back-up Verantwoordelijke back-up 1.Verantwoordelijk : 2.Vervanger bij afwezigheid: 3.Plaats van bewaring: 4.Resultaat back-up : Dagelijks Printer 5.Soort back-up: 6.Cleaning tapes: 7.Is er een sub back-up : NEE JA (Zie subbackup procedure) Rapport back-up 1.Vorige periode: september Huidige periode : 3.Aard: Back-up: Restore: 4.Opmerkingen :

33 10.9 SUB-B ACK - UP PROCEDURE DEEL I Verklaring OCMW:…………………….. Ik ondergetekende…………………………………., secretaris van het OCMW…………………………….. Geef aan de onderstaande gebruikers, met name de verantwoordelijke en de vervanger, de toestemming om een externe harde schijf te gebruiken als sub back-up in het OCMW DEEL II Gebruik 1.Deze heeft als doel een dagelijkse subback-up of 2de back-up te maken. 2.Deze mag nooit de hoofdback-up vervangen. 3.De sub back-up betreft een data back-up en geen systeem back-up.(Het is eerder een synchronisatie dan een back-up). 4. De bewaarplaats van de externe harddisk zal altijd achter slot of in een kluis van het OCMW zijn.(Verlaat het OCMW nooit) 5.De externe harddisk zal nooit onbewaakt achter gelaten worden tijden de diensturen of bij gebruik van de externe harddisk. 6.De externe harddisk zal geincrypteerd gebruikt worden alsook voorzien zijn van een wachtwoord. DEEL III Verantwoordelijke 1.Verantwoordelijke : 2.Vervanger bij afwezigheid :

34 11.1 M ACHTIGINGSSOFTWARE Deel I : Verklaring Datum : ……………………… Ik ondergetekende ……………………………….., secretaris van het OCMW : …………..…………………. geef aan: de gebruiker : ……………………………... …………………………..…. Tewerk gesteld op het OCMW :………….……………………. als :………….……………………. De onderstaande toegangsmachtigingen. De Secretaris, ………………… ToepassingToegestane rechten Opmerking A = all (Lezen / Schrijven) R = readonly (enkel lezen) N = no access (niets)

35 13.1 I NCIDENTEN R EGISTER * IncidentDatumSchadeOplossing(mogelijke) *Dit wordt jaarlijks in de server ruimte geplaatst en op het einde van het jaar wordt dit toe gevoegd aan KSZ map /

36 15.2 C ONTROLE BEVEILIGING SERVERRUIMTE OmschrijvingJaNeeOpmerking Gesloten / Beperkte toegang Branddeur en / of Brandmuren Geen brandbare producten Absoluut rookverbod Brandalarm aanwezig C02 brandblusser aanwezig Inbraakalarm aanwezig UPS aanwezig Beveiligd tegen blikseminslag Klimaatregeling aanwezig Afgeschermd tegen water Waterdicht plafond Waterleidingen uitgerust met kranen Gescheiden kabels (elek & data) Controle op onderhoudswerken Schema bekabeling NaamFunctieDatumAlgemene opmerking Veiligheidsconsulent

37 15.3 C ONTROLE BEVEILIGING ARCHIEFRUIMTE OmschrijvingJaNeeOpmerking Gesloten / Beperkte toegang Branddeur en / of Brandmuren Geen brandbare producten Absoluut rookverbod Brandmelder aanwezig C02 brandblusser aanwezig Inbraakdetektor aanwezig Is er een gemachtigd persoon aangeduid Is er een lijst met de aanwezige dossiers Is er een lijst met de afwezige dossiers Is het archief vocht vrij Zijn er waterleidingen aanwezig Is er een papier versnipperaar Worden oude dossier correct verwijderd NaamFunctieDatumAlgemene opmerking Veiligheidsconsulent

38 15.4 C ONTROLE BEVEILIGING COMPUTER OmschrijvingJaNeeOpmerking Windows versie Anti virus Anti Spyware Firewall (lokaal) Firewall (extern) Anti spam Windows update (actief) Anti-virus update (actief) Antispyware update (actief) Software KSZ Software KSZ updates Schermbeveiliging Inloggen met CTRL + ALT + DEL toetsen Wachtwoord windowsAantal karakters: Wachtwoord software KSZAantal karakters Moeilijkheidsgraad wachtwoord windows Moeilijkheidsgraad wachtwoord software KSZ NaamFunctieDatumAlgemene opmerking Veiligheidsconsulent

39 15.5 C ONTROLE BEVEILIGING NETWERK OmschrijvingJaNeeOpmerking ADSL ROUTER (draad) ROUTER WIFI SERVER WINDOWS SERVER LINUX Globale firewall Wachtwoord gebruik op server Automatische updates op server WIFI Wachtwoord WIFI encryptie (WEP, WPA, WPA2…) Andere beveiliging (MACadres, IP-range..) Gedeactiveerde netwerk aansluitpunten Toegang op afstand : VPN gebruik Toegang op afstand : Remote control NaamFunctieDatumAlgemene opmerking Veiligheidsconsulent


Download ppt "M INIMALE N ORMEN V ERSIE 2009 ISMS (Information Security Management System) OCMW: …………….."

Verwante presentaties


Ads door Google