Beveiliging van digitale informatie: enkele uitdagingen voor de overheid Frank Robben Algemeen bestuurder Kruispuntbank Sociale Zekerheid Gedelegeerd bestuur Smals vzw Sint-Pieterssteenweg 375 B-1040 Brussel Website KSZ: Persoonlijke website: Kruispuntbank Sociale Zekerheid

2 Brussel, 10 december 2007 Viervoudige rol van de overheid n instelling van de gepaste organen n uitwerken van regelgeving inzake de digitale beveiliging van informatie n aanbieden van componenten en diensten ter ondersteuning van de beveiliging van digitale informatie n degelijke beveiliging van de digitale informatie verwerkt binnen de overheid

3 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Instelling van gepaste organen n overheidsorganen zijn nodig voor -de bepaling van een overkoepelende strategie inzake de beveiliging van digitale informatie -de gecoördineerde uitwerking van relevante regelgeving -het voeren van een preventiebeleid -het gecoördineerd beheer van bepaalde ernstige incidenten inzake veiligheid van digitale informatie -adviesverstrekking -de behandeling van klachten -de machtiging van uitwisseling van persoonsgegevens tussen de overheidsdiensten -de vaststelling en vervolging van strafbare inbreuken op de regelgeving

4 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Instelling van gepaste organen n er bestaan reeds talrijke overheidsorganen met taken inzake beveiliging van digitale informatie zoals -de Nationale Veiligheidsoverheid (NVO) -het Coördinatie-orgaan voor de Analyse van de Dreiging (OCAD) -het Overlegplatform voor Informatieveiligheid -Belnet -het Belgisch Instituut voor Postdiensten en Telecommunicatie (BIPT) -het Crisiscentrum van de FOD Binnenlandse Zaken -de Federal Computer Crime Unit (FCCU) van de federale politie -de FOD Economie -de FOD Informatie- en Communicatietechnologie -de Kruispuntbank van de Sociale Zekerheid (KSZ) en de erkende gespecialiseerde informatieveiligheidsdienst bij Smals vzw -de Commissie voor de Bescherming van de Persoonlijke Levenssfeer

5 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Instelling van gepaste organen n er is nood aan -een duidelijke afbakening van de taken tussen de onderscheiden organen -een afdoende betrokkenheid van de relevante actoren bij de werking van de organen -een degelijke onderlinge coördinatie tussen de onderscheiden organen -voldoende middelen voor de onderscheiden organen, gebaseerd op een zero-based budgeting benadering -een werking van alle organen op basis van risico-analyse, zodat een goed evenwicht ontstaat tussen beveiliging en efficiëntie

6 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Regelgeving inzake beveiliging van digitale informatie n afstemming op inter- of supranationale regelgeving n onderling coherent, vertrekkend van globale visie op beveiliging van digitale informatie n technologieneutraal, met vooral doelstellingen en basisprincipes n aanvulbaar op bepaalde vlakken met gecontroleerde zelfregulering n themata -bescherming persoonlijke levenssfeer -classificatie van informatie -evaluatie, certificatie en homologatie van informatiesystemen -geheim van communicaties -computercriminaliteit -elektronische handtekening -deontologische regels voor beroepen inzake informatieveiligheid -…

7 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Aanbod van ondersteunende componenten en diensten n bijvoorbeeld -organisatie van evaluatie, certificatie en homologatie van informatiesystemen -Computer Security Information Response Team (CSIRT) -basiscomponenten en -diensten voor degelijke, gedistribueerde organisatie van gebruikers- en toegangsbeheer registratie van de identiteit identificatie authenticatie van de identiteit registratie van bepaalde kenmerken en mandaten verificatie van bepaalde hoedanigheden en mandaten

8 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Gebruikers- en toegangsbeheer n registratie van de identiteit -natuurlijke personen: gemeenten -ondernemingen: ondernemingsloketten n identificatie: uniek identificatienummer voor elke entiteit -natuurlijke personen: rijksregister- of (subsidiair) KSZ-nummer (samen identificatienummer sociale zekerheid (INSZ) genoemd) -ondernemingen: ondernemings- en vestigingsnummer n authenticatie van de identiteit van een natuurlijk persoon: in functie van het vereiste beveiligingsniveau -elektronische identiteitskaart -gebruikersnummer, paswoord en burgertoken -gebruikersnummer en paswoord

9 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Gebruikers- en toegangsbeheer n registratie van bepaalde hoedanigheden en mandaten door daartoe goed uitgeruste overheidsdiensten, bijvoorbeeld -hoedanigheid van gezondheidszorgverstrekker door de FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu en het RIZIV in onderlinge samenwerking -mandaat om een onderneming te vertegenwoordigen door de RSZ en de ondernemingsloketten in onderlinge samenwerking n verificatie van hoedanigheden en mandaten: toegang tot gevalideerde authentieke bronnen n autorisatie tot gebruik van een toepassing: beheer door aanbieder van de toepassing n uitgebouwd via een generiek policy enforcement model

10 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Policy Enforcement Model Gebruiker Policy Toepassing (PEP) Toepassing Policy Beslissing(PDP) Actie op toepassing Beslissings aanvraag Beslissings antwoord Actie op toepassing TOEGESTAAN Policy Informatie (PIP) Informatie Vraag/ Antwoord Policy Administratie (PAP) Ophalen Policies Authentieke bron Policy Informatie (PIP) Informatie Vraag/ Antwoord Policy repository Actie op toepassing GEWEIGERD Beheerder Autorisatie beheer Authentieke bron

11 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 APPLICATIONS AuthorisationAuthen- tication PEP Role Mapper USER PAP ‘’Kephas’’ Role Mapper DB PDP Role Provider PIP Attribute Provider Role Provider DB UMAF PIP Attribute Provider DB XYZ WebApp XYZ APPLICATIONS AuthorisationAuthen- tication PEP Role Mapper USER WebApp XYZ PIP Attribute Provider PAP ‘’Kephas’’ Role Mapper DB PDP Role Provider Role Provider DB Beheer GAB PIP Attribute Provider DB XYZ PIP Attribute Provider DB Gerechts- deurwaar- ders PIP Attribute Provider DB Mandaten Be-Health APPLICATIONS AuthorisationAuthen- tication PEP Role Mapper USER PAP ‘’Kephas’’ Role Mapper DB PDP Role Provider PIP Attribute Provider Role Provider DB RIZIV PIP Attribute Provider DB XYZ WebApp XYZ Beheer GAB PIP Attribute Provider DB Mandaten Sociale sector (KSZ) Niet-sociale FOD’s (Fedict) Beheer GAB DB XYZ Implementatie over sectoren heen

12 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Beveiliging van (digitale) overheidsinformatie n via stapsgewijze verfijning wordt geleidelijk aan een overheids- instelling-overkoepelend informatieveiligheidsbeleid uitgewerkt op basis van risico-analyse en internationale standaarden, zoals de ISO- normenreeks n de veiligheid, de integriteit, de vertrouwelijkheid en de beschikbaarheid van de verwerkte informatie wordt gewaarborgd door een geïntegreerd geheel van maatregelen die het informatie- veiligheidsbeleid uitvoering geven -structurele -institutionele -organisatorische -ICT-technische -fysieke -personeelsgebonden

13 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Beveiliging van (digitale) overheidsinformatie n persoonsgegevens worden enkel gebruikt voor doeleinden die verenigbaar zijn met de doeleinden waarvoor ze zijn ingezameld n persoonsgegevens zijn slechts toegankelijk voor daartoe gemachtigde gebruikers in functie van de bedrijfsbehoeften, de regelgeving of de toepassing van het beleid n persoonsgegevens worden niet centraal opgeslagen, maar volgens een afgesproken taakverdeling gedistribueerd bewaard in authentieke bronnen n de machtiging voor de toegang tot persoonsgegevens wordt, buiten de gevallen waarin ze wettelijk is toegestaan, verleend door een door het Parlement benoemd sectoraal comité van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer, nadat is vastgesteld dat aan de hoger vermelde voorwaarden is voldaan n de toegangsmachtigingen zijn publiek

14 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Beveiliging van (digitale) overheidsinformatie n elke concrete elektronische uitwisseling van persoonsgegevens wordt preventief getoetst op conformiteit met de geldende toegangsmachtigingen door een onafhankelijke “trusted third party”, zijnde een andere instantie dan degene die de informatie ter beschikking stelt of de informatie nodig heeft, die daartoe de wettelijke opdracht heeft gekregen (bvb. de KSZ) n elke elektronische uitwisseling van persoonsgegevens wordt door de “trusted third party” gelogd om eventueel oneigenlijk gebruik ex post te kunnen traceren n telkens de informatie wordt gebruikt voor een beslissing wordt aan de betrokkene de gebruikte informatie meegedeeld bij de mededeling van de beslissing n elke persoon heeft recht op toegang en, in geval de gegevens onjuist zijn, op verbetering van zijn eigen persoonsgegevens

15 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Beveiliging van (digitale) overheidsinformatie n bij elke overheidsinstelling die informatie (elektronisch) verwerkt wordt een interne informatieveiligheidsdienst ingericht met een adviserende, stimulerende, documenterende en intern controlerende functie n de interne informatieveiligheidsdienst werkt een ontwerp van informatieveiligheidsplan en –budget uit, dat door het bevoegde beslissingsorgaan van de overheidsinstelling wordt goedgekeurd, en stelt ten behoeve van dat beslissingsorgaan een jaarlijks informatieveiligheidsrapport op n de verantwoordelijken voor de interne informatieveiligheidsdiensten werken samen in een werkgroep Informatieveiligheid met het oog op de nodige coördinatie op het vlak van -het vastleggen van het informatieveiligheidsbeleid -het uitvoeren van het informatieveiligheidsbeleid -het voorstellen van minimale normen inzake informatieveiligheid

16 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Beveiliging van (digitale) overheidsinformatie n de minimale normen inzake informatieveiligheid worden goedgekeurd door (het bevoegde sectorale comité van) de Commissie voor de Bescherming van de Persoonlijke Levenssfeer n alle overheidsinstellingen worden jaarlijks bevraagd over de naleving van de minimale normen; bij niet-naleving worden gerichte verbeteringsmaatregelen afgesproken of opgelegd n de interne informatieveiligheidsdiensten worden bij hun werking ondersteund door een gespecialiseerde informatieveiligheidsdienst, die voldoet aan bepaalde erkenningsvoorwaarden inzake deskundigheid, onafhankelijkheid en werking aan kostprijs; de erkenning wordt verstrekt door de Regering op advies van (het bevoegde sectorale comité van) de Commissie voor de Bescherming van de Persoonlijke Levenssfeer

17 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Beveiliging van (digitale) overheidsinformatie n de minimale veiligheidsnormen hebben betrekking op -risico-analyse en –beheer -informatieveiligheidspolicies -beheer en organisatie van de informatieveiligheid -inventarisering en classificatie van informatie -human resources veiligheid -fysieke beveiliging en beveiliging van de omgeving -beheer van dienstverlenende en communicatieprocessen -verwerking van persoonsgegevens -gebruikers- en toegangscontrole -verwerving, ontwikkeling en onderhoud van informatiesystemen -beheer van informatieveiligheidsincidenten -beschikbaarheids- en continuïteitsbeheer -compliance: interne en externe controle -communicatie van het beleid en de maatregelen inzake informatieveiligheid naar de stakeholders

18 Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007 Meer informatie n website Commissie voor de Bescherming van de Persoonlijke Levenssfeer - n website Kruispuntbank van de Sociale Zekerheid - n website Federale Overheidsdienst Informatie- en Communicatie- technologie (Fedict) - n website Smals vzw (erkende gespecialiseerde informatieveiligheids- dienst) - n persoonlijke website van Frank Robben -

u ! Vragen ? Kruispuntbank Sociale ZekerheidBrussel, 10 december 2007