OPLEIDINGSSESSIE – INFORMATIE IN HET KADER VAN DE MINIMALE NORMEN VEILIGHEID OPLEIDINGSSESSIE – INFORMATIE IN HET KADER VAN DE MINIMALE NORMEN Deuxième session 2010

AGENDA 1 Mogelijkheid om vandaag een audit uit te voeren bij het OCMW. Mogelijkheid om de minimale normen uit te leggen vóór de jaarlijkse vragenlijst Vragen

5. Informatieveiligheidsbeleid Minimale norm 5.1 Information Security Policy (ISMS) Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: over een formeel en permanent bijgestuurd informatieveiligheidsbeleid beschikken, goedgekeurd door de Raad voor Maatschappelijk Welzijn Vaststelling Aanbeveling Termijn

6. Organisatie van de informatieveiligheid. Minimale norm 6.1 Elke OCMW aangesloten op het netwerk van de Kruispuntbank moet: in haar schoot een informatieveiligheidsdienst inrichten die wordt geleid door een veiligheidsconsulent, of die taak toevertrouwen aan een erkende gespecialiseerde informatieveiligheidsdienst. Vaststelling Aanbeveling Termijn

6. Organisatie van de informatieveiligheid(2) de identiteit van haar veiligheidsconsulent en zijn eventuele adjuncten meedelen aan het sectoraal comité van de sociale zekerheid en van de gezondheid. Voor de instellingen van het secundaire netwerk moet de identiteit meegedeeld worden aan de beheersinstelling. in het bezit zijn van een veiligheidsplan dat door de Raad voor Maatschappelijk Welzijn werd goedgekeurd. over de nodige werkingskredieten beschikken die door de Raad voor Maatschappelijk Welzijn werden goedgekeurd, teneinde te kunnen voorzien in de uitvoering van haar veiligheidsplan en de uitvoering door de veiligheidsdienst van de haar opgedragen taken. Vaststelling Aanbeveling Termijn

6. Organisatie van de informatieveiligheid(3) aan de POD MI het aantal uren meedelen dat ze officieel aan de veiligheidsconsulent en aan zijn eventuele adjuncten heeft toegekend voor de uitvoering van hun taken. de communicatie van informatie aan de veiligheidsconsulent zodanig organiseren dat hij over de gegevens beschikt voor de uitvoering van de hem toegewezen veiligheidsopdracht en om overleg te organiseren tussen de verschillende betrokken partijen teneinde op deze manier de veiligheidsconsulent nauwer te betrekken bij de werkzaamheden van het OCMW. Vaststelling Aanbeveling Termijn

6.2 Beslissingplatform Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: beschikken over een beslissingsplatform voor de validatie en de goedkeuring van de veiligheidsmaatregelen. Vaststelling Aanbeveling Termijn

6.3 Secundair netwerk Elke beheersinstelling van een secundair netwerk is ertoe gehouden om minstens één keer per semester relevante informatie uit te wisselen met haar secundair netwerk, bijvoorbeeld door een vergadering van de subwerkgroep "Informatieveiligheid" te organiseren voor de instellingen die deel uitmaken van haar netwerk. Dit heeft geen betrekking op de OCMW’s.

6.4 Veilig gebruik van de beroepskaart voor geneeskundige verzorging De betrokken veiligheidsconsulenten waken, binnen de eigen instelling, over het veilige gebruik van de beroepskaart voor geneeskundige verzorging zoals vastgelegd in de artikelen 42 tot 50 van het koninklijk besluit van 22 februari 1998. Het gaat om een lezer voor de SIS-kaart voor ouderen (rusthuis of ziekenhuis). Vaststelling Aanbeveling Termijn

7.1 Bescherming van de bedrijfsmiddelen Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: zich ervan vergewissen dat de dragers van de persoonsgegevens en de informaticasystemen die deze gegevens verwerken in geïdentificeerde en beveiligde lokalen geplaatst worden, overeenkomstig hun indeling. Deze lokalen zijn enkel toegankelijk voor de gemachtigde personen en enkel tijdens de uren die voor hun functie gerechtvaardigd zijn. Vaststelling Aanbeveling Termijn

7.2 Inventaris Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: over een permanent bijgewerkte inventaris beschikken van het informaticamateriaal en software. Vaststelling Aanbeveling Termijn

8.1 Internet en email (1) Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: een gedragscode opstellen en toepassen voor internet- en e-mailgebruik. Vaststelling Aanbeveling Termijn

8.1 Internet en email (2) Enkele praktische raadgevingen Algemene raadgevingen: - zich rechtstreeks baseren op de ISMS-codes van de KSZ (codes bezorgd tijdens de audit) ; Deze codes integreren in het personeelsreglement of een document laten ondertekenen bij de overhandiging van deze codes voor ontvangst en akkoord.

8.1 Internet en email (3) Raadgevingen voor de mail. Voorzien in procedures bij langdurige afwezigheid, zoals: toegang voor een of twee personen bevoegd om professionele mails op te zoeken, professionele mails te versturen naar een andere inbox, eventuele afsluiting van de mailbox indien de afwezigheid onbepaald is of te lang, rekening houdend met de prijs Publilink. De beste oplossing is toch het aanmaken van generieke mailadressen waar de mails naartoe kunnen worden gestuurd. Voorbeeld: socialedienst@ocmwxxx.be, secretaris@ocmwzzz.be, enz.

8.1 Internet en email (4) Bij ontslag van de werknemer, de professionele mails overlopen met de werknemer vóór hij vertrekt en voordat de backupperiode afloopt. Voorbeeld: de backupperiode dekt twee weken, behandeling met de werknemer 2 weken + 1 dag voor zijn vertrek, ofwel 14 dagen + 1 = 15 werkdagen vóór zijn vertrek.

8.1 Internet en email (4) De mailbox van de werknemer niet afsluiten na zijn vertrek om informatieverlies te vermijden. De mailbox gedurende een of twee maanden bewaren, alle binnenkomende mails doorsturen naar een andere mailbox en een automatische boodschap sturen naar de verzender: "Mevr. X, dhr. Mr Y werkt niet meer bij het OCMW van Zzzz. Gelieve voortaan uw mails te sturen naar ocmwzzz@publilink. be of naar mevr. A. Kz die u zo snel mogelijk zal antwoorden."

8.1 Internet en email (5) Niet vergeten om vervolgens contact op te nemen met Publilink, Iris of de verantwoordelijke operator die uw mailboxen beheert om niet onnodig te betalen voor de afgesloten mailbox.

8.1 Internet en email (6) Het is verplicht om het personeel in te lichten dat er willekeurige controles kunnen worden uitgevoerd op de professionele mails in het kader van de ISMS van de KSZ. De raadgevingen van CAO 81 in aanmerking nemen.

8.1 Internet en email (7) Raadgevingen voor internet. Het maximale aantal uren verduidelijken dat de werknemer het internet mag gebruiken voor eigen gebruik tijdens zijn pauze. De werknemers inlichten dat het OCMW controles kan uitvoeren op het internetgebruik. Zie regels van de ISMS van de KSZ betreffende de controles, evenals CAO 81. De controles kunnen willekeurig en niet beperkend worden uitgevoerd.

8.1 Internet en email (8) Voorbeeld: het is toegelaten om controles uit te voeren op maandag, woensdagmorgen en vrijdagnamiddag. Het is verboden om te controleren van maandagmorgen tot vrijdagavond. Opgelet: om minstens over de goede tools te beschikken, betekent 4 uur surfen op Yahoo niet dat de persoon de site gedurende 4 uur geraadpleegd heeft. Men moet over specifieke informaticatools beschikken om deze vaststelling te kunnen doen.

8.1 Internet en email (9) Indien er effectief teveel werd gesurft, de procedure volgen die werd goedgekeurd door het OCMW: vraag om rechtvaardiging en uitleg in aanwezigheid van de betrokken persoon en van de meerdere, eventueel vraag om rechtvaardiging voor de Secretaris en in aanwezigheid van de vakbond, bij recidivisme, voortzetting van de procedure volgens de vastgelegde modaliteiten.

8.1 Internet en email (10) Hoe de controle uitoefenen? Na opstelling van een volledige procedure, zoals vermeld in de ISMS en deze procedure te hebben laten goedkeuren door de Raad voor Maatschappelijk Welzijn, door de werknemers en, indien nodig door de vakbonden: Alle geraadpleegde sites over een willekeurige periode oplijsten –een dinsdagnamiddag bijvoorbeeld;

8.1 Internet en email (11) Het aantal raadplegingen weergeven, de namen van de bezochte sites en de totale tijd dat door het volledige personeel werd besteed aan de site; Opzoeken per sleutelwoord: sex, sexe, hot, violent, geweld, drugs, enz. volgens het verbod opgesomd in de gedragscode,

8.1 Internet en email (12) Opzoekingen doen per tijd en hoeveelheid, voorbeelden: yahoo: 120 raadplegingen 42,08 uur hotmail: 33 raadplegingen 11,03 uur Facebook: 8 raadplegingen 22 uur Patchwork.com 1 raadpleging 4 uur.

8.1 Internet en email (13) Dit toont aan dat men zich vragen kan stellen bij de raadplegingen van Facebook en van Patchwork.com. Een vraag om individualisering kan gevraagd worden voor Patchwork.com en eventueel ook voor Facebook. Indien de Raad voor Maatschappelijk Welzijn akkoord gaat, kan u de toegang tot FaceBook, LinkedLink, Badoo, Plaxo, Twitter, enz. verbieden.

8.2 Gebruik van persoonsgegevens Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: de interne en externe medewerkers die betrokken zijn bij de verwerking van persoonsgegevens op de hoogte stellen van de vertrouwelijkheids- en veiligheidsplichten t.a.v. deze gegevens. Voorbeelden: studenten, stagiairs, leveranciers, herstellers, enz.

9.1 Fysieke toegangsbeveiliging Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: de toegang tot de gebouwen en lokalen beperken tot de geautoriseerde personen en een controle erop verrichten zowel tijdens als buiten de werkuren.

9.2 Brand, inbraak, waterschade Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: maatregelen treffen m.b.t. de preventie, de bescherming, de detectie, het blussen en de interventie in geval van brand, inbraak of waterschade.

9.3 Stroomvoorziening Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: Over een alternatieve stroomvoorziening beschikken om de verwachte dienstverlening te waarborgen.

10.1 Toegang tot informaticasystemen door informatiebeheerders Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: de toegang van informatiebeheerders tot informaticasystemen beperken door identificatie, authentificatie, en autorisatie.

10.2 Detectie veiligheidsinbreuken (1) Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet : een systeem en formele, geactualiseerde procedures installeren die toelaten om veiligheidsinbreuken te detecteren, op te volgen en te herstellen in verhouding tot het technisch/operationeel risico.

10.2 Detectie veiligheidsinbreuken (2)

10.4 Externe TCP/IP-verbinding – secundair netwerk Voor de rechtstreekse verbindingen met hun aan de sociale zekerheid externe TCP/IP-netwerken: moeten de OCMW’s de betrokken secundaire netwerkinstellingen veiligheidsmaatregelen implementeren die in overeenstemming zijn en blijven met de maatregelen getroffen op het niveau van het Extranet van de sociale zekerheid; moeten de OCMW’s de desbetreffende beheersinstellingen veiligheidsvoorzieningen treffen die in overeenstemming zijn en blijven met de getroffen voorzieningen op het niveau van het Extranet van de sociale zekerheid.

10.4 Externe TCP/IP-verbinding – secundair netwerk Concreet wil dit zeggen: Geen andere toegang tot internet dan Publilink, Iris of een andere door de KSZ erkende operator; Dat, wanneer er een andere toegang is, de veiligheidsmaatregelen identiek moeten zijn aan deze van het extranet: IDS, antivirus, antimalware, firewall, gescheiden netwerk, enz.

10.5 Bescherming tegen malware Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet : over geactualiseerde systemen beschikken ter bescherming (voorkoming, detectie en herstel) tegen malware.

10.7 Veiligheid op netwerkniveau Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet : nazien dat de netwerken gepast beheerd en gecontroleerd worden zodanig dat ze beveiligd zijn tegen bedreigingen en de beveiliging afdoende garanderen van de systemen en toepassingen die het netwerk gebruiken.

10.7 Veiligheid op netwerkniveau (2) Concreet wil dit zeggen dat er: Een firewall moet zijn; Een toegang tot het beperkte netwerk voor de gebruikers van het OCMW; een IDS, een antimalware; Een beperking van de hoeveelheid administrators (geen twee of drie meer); Geen open klantrekeningen; enz.

10.6 Back-up-policy en procedures (1) Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet : een systeem van regelmatig te controleren veiligheidskopieën (back-up) invoeren om, in geval van beperkte of totale ramp, onherstelbaar verlies van gegevens te voorkomen (gegevens nodig voor de toepassing en de uitvoering van de sociale zekerheid alsook de gegevens m.b.t. de toepassingen en het besturingssysteem).

10.9 Back-up-policy en procedures (2) Back-uptechnieken: Op een draagbare, gescheiden harde schijf en in een ander gebouw; Op PC in een ander gebouw; Bij een leverancier van back-updiensten; Bij het OCMW zelf INDIEN de server elders staat (bijvoorbeeld bij de gemeente). Magneetbanden vermijden (zijn duurder en minder betrouwbaar).

10.6 Back-up-policy en procedures (3)

10.6 Back-up-policy en procedures (4)

10.10 Logging toegang Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet: een loggingsysteem implementeren voor de persoonsgegevens nodig voor de toepassing en uitvoering van de sociale zekerheid. Indien u een beroep doet op Stésud, Adinfo of Prima-web zijn de loggings in orde.

11.1 Beveiliging gegevens Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet  : de toegang tot de gegevens nodig voor de toepassing en de uitvoering van de sociale zekerheid beveiligen door middel van een identificatie-, authentificatie- en autorisatiesysteem. Dit wil zeggen dat de gebruikers van de toepassingen die toegang hebben tot de KSZ een wachtwoord en een eigen gebruikersnaam moeten hebben.

11.3 Toegang op afstand Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet : de gepaste maatregelen treffen, in functie van het toegangsmedium, voor de beveiliging van de online-toegang van buiten de instelling tot de persoonsgegevens van de instelling. = geen toegang op afstand toegelaten buiten Publilink of een VPN.

11.4 Bescherming van gegevens op mobiele media Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet : de gepaste maatregelen nemen indien persoonsgegevens worden opgeslagen op mobiele media die de beveiligingsperimeter van de instelling kunnen verlaten. Voorbeelden: USB-sleutel, draagbare harde schijf, draagbare PC, magnetische banden, …

13.1 Belangrijke incidenten Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet : ervoor zorgen dat de dienst Informatieveiligheid door de verantwoordelijke dienst op de hoogte gesteld wordt van belangrijke incidenten die de informatieveiligheid in het gedrang kunnen brengen alsook van de maatregelen die genomen worden om aan deze incidenten het hoofd te bieden.

13.1 Belangrijke incidenten Incident gebeurd bij het OCMW van Pompei

14.1 Risico-analyse en rampenplan Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet : een continuïteitsplan uitwerken, testen en onderhouden, gebaseerd op een risico-analyse om de opdracht van de instelling in het kader van de sociale zekerheid te kunnen waarborgen. een informatica-uitwijkcentrum voorzien in geval van beperkte of totale ramp.

15.1 Externe audit Elk OCMW aangesloten op het netwerk van de Kruispuntbank moet : tenminste één keer om de vier jaar een externe audit organiseren met betrekking tot de situatie van de logische en fysieke veiligheid.

15.1 Externe audit

Vragen? Ik heb niet alles begrepen… Ik heb er niets van begrepen! Ik zou het willen begrijpen, Ik wil niet dom overkomen, maar zou je nog eens willen uitleggen … Ik heb alles begrepen, maar zou u het niet opnieuw kunnen uitleggen. Kan u mij speciale cursussen geven?

EINDE Oef!!!