V2014.0012.File Transfer Policy .NL.v1.00

File exchange policy voor geautoriseerde partners
Versie: 1.00
6 oktober 2014
ISMS
(Information Security Management System)
File transfer policy: richtlijnen voor
uitwisseling
van
bestanden
en
documenten tussen openbare instellingen
van de sociale zekerheid (OISZ) en
geautoriseerde partners.
Version control :
Doc. Ref. : 2014.0012
Release
Status
Date
Written by
NL_1.00
Final
14/12/2013
Frank Souffriau
Edited by
Approved by
Staff Extranet
File exchange policy voor geautoriseerde partners
Information Security Guidelines
Versie: 1.00
6 oktober 2014
INHOUDSOPGAVE
1.
INLEIDING ........................................................................................................................................................... 3
2.
SCOPE ................................................................................................................................................................. 3
3.
DOELGROEP ........................................................................................................................................................ 3
4.
GEBRUIKSVOORWAARDEN ................................................................................................................................. 4
5.
RICHTLIJNEN ....................................................................................................................................................... 4
5.1.
5.2.
5.3.
ALGEMEEN ............................................................................................................................................................. 4
ORGANISATIE .......................................................................................................................................................... 5
VEILIGHEIDSPOLICY................................................................................................................................................... 5
6.
SANCTIES ............................................................................................................................................................ 5
7.
EIGENAAR VAN HET DOCUMENT ........................................................................................................................ 5
8.
REFERENTIES ....................................................................................................................................................... 5
9.
BIJLAGES ............................................................................................................................................................. 6
9.1.
9.2.
LINK MET DE NORM ISO 27002 ................................................................................................................................. 6
OVERZICHTSTABEL MET MOGELIJKE OPLOSSINGEN VOOR DE UITWISSELING VAN DOCUMENTEN TUSSEN INSTELLINGEN VAN DE
SOCIALE ZEKERHEID EN GEAUTORISEERDE PARTNERS .................................................................................................................... 6
P2
File exchange policy voor geautoriseerde partners
Information Security Guidelines
Versie: 1.00
6 oktober 2014
1. Inleiding
Het uitwisselen van documenten voor beroepsdoeleinden is onderworpen aan een reeks veiligheidsmaatregelen.
Volgens de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid dient elke instelling
immers de gepaste veiligheidsmaatregelen te treffen om zich te beschermen tegen de risico's die verbonden zijn
aan het uitwisselen van professionele documenten, waarbij onder uitwisselen wordt verstaan:
•
•
Het versturen van documenten aan instellingen van sociale zekerheid en aan geautoriseerde partners
Het ontvangen van documenten afkomstig van instellingen van sociale zekerheid en geautoriseerde
partners
Het raadplegen van de lijst van documenten die uitgewisseld zijn
•
2. Scope
Deze policy omvat de gebruiksvoorwaarden en richtlijnen voor het gebruik van een beveiligde “elektronisch
doorgeefluik” voor het uitwisselen van professionele (elektronische) documenten tussen de verschillende
doelgroepen. Deze policy is van toepassing op alle instellingen van sociale zekerheid.
Het gebruik van een elektronisch doorgeefluik (waarbij wordt verwezen naar één van de toepassingen vermeld in
bijlage 9.2) wordt eerder uitzonderlijk toegestaan en dient niet ter vervanging van de klassieke
uitwisselingsstromen via de KSZ.
3. Doelgroep (DG)
Deze policy is van toepassing op alle OISZ en hun geautoriseerde partners, zijnde entiteiten die enerzijds
identificeerbaar zijn aan de hand van een KBO-nummer en anderzijds deel uitmaken van een hoedanigheid
professionals (cfr UAM KSZ).
-
-
(DG-1) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk is toegestaan
mits er aan de gebruiksvoorwaarden (zie pt. 4) is voldaan.
(DG-2) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk en hun eigen
secundaire netwerk zullen “case per case” worden bekeken (met een mogelijke beperking in tijd).
(DG-3) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk en
instellingen (zoals de FOD en gemeenschappen) die niet deel uitmaken van het netwerk van de sociale
zekerheid, maar wel verbonden zijn met het extranet (van de sociale zekerheid), is toegestaan mits er
aan de gebruiksvoorwaarden (zie pt 4) is voldaan
(DG-4) De onderlinge uitwisseling van documenten tussen actoren van het secundaire netwerk zullen
eveneens “case per case” worden bekeken (met een mogelijke beperking in tijd).
(DG-5) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk en een privéonderneming is toegestaan mits er aan de gebruiksvoorwaarden (zie pt. 4) is voldaan.
(DG-6) De onderlinge uitwisseling van documenten tussen actoren uit het secundaire netwerk en een
privé-onderneming zullen "case per case" bekeken worden.
(DG-7) De onderlinge uitwisseling van documenten tussen 2 privé-ondernemingen is niet toegestaan.
(DG-8) De onderlinge uitwisseling van documenten binnen 2 verschillende diensten binnen één en
dezelfde entiteit wordt niet ondersteund. M.a.w. het is de verantwoordelijkheid van de entiteit om de
uitwisseling van documenten tussen de diensten onderling te organiseren.
P3
File exchange policy voor geautoriseerde partners
Information Security Guidelines
Versie: 1.00
6 oktober 2014
4. Gebruiksvoorwaarden
•
•
•
•
•
Alle aanvragen met betrekking tot het gebruik van de toepassing ‘FILEEXCHANGE”” (ref. overzichtstabel 9.2,
p 6) dienen te worden goedgekeurd door de KSZ. Hiervoor dient het formulier “Aanvraag van een machtiging
voor een documentenuitwisselingsstroom” te worden ingevuld en ondertekend. Dit document kan bekomen
worden door een e-mail te sturen naar [email protected].
De grootte (Mb) van de uit te wisselen bestanden wordt beperkt in overeenstemming met de gebruikte
oplossing en zoals aangegeven in tabel 9.2.
Er dient gebruik te worden gemaakt van het identificatie- en authenticatiemechanisme eigen aan de
gebruikte oplossing zoals aangegeven in tabel 9.2.
Indien er gebruik wordt gemaakt van het UAM-systeem onder het beheer van de KSZ, dient men gebruik te
maken van de hoedanigheden die deel uitmaken van de categorie “professionals”.
De uitgewisselde documenten worden 3 maanden na de datum van uitwisseling verwijderd.
5. Richtlijnen
Hieronder volgen de richtlijnen die in acht moeten worden genomen om de informatieveiligheid te waarborgen bij
de uitwisseling van professionele documenten tussen instellingen en geautoriseerde partners.
Deze policy is gekoppeld aan de minimale normen en dient effectief door de instelling te worden geformaliseerd.
Er dient tevens een bewustzijn te worden gecreëerd bij de eindegebruiker omtrent de risico’s verbonden aan het
uitwisselen van (gevoelige) professionele documenten.
Het is de verantwoordelijkheid van de instellingen van sociale zekerheid om het veiligheidsbeleid aan te passen
aan hun specifieke situatie en aan de omvang van de te beveiligen werkingsmiddelen.
5.1. Algemeen
1.
Het beleid van de instelling op het vlak van informatieveiligheid blijft onverkort van toepassing in deze
context.
2.
Deze policy geldt voor alle gebruikers die betrokken zijn bij het uitwisselen van professionele documenten.
3.
Het gebruik van de “file transfer”-oplossing moet beperkt worden tot professionele doeleinden in het kader
van de functie die door de gebruiker wordt uitgeoefend. Deze oplossing mag niet voor privédoeleinden
worden gebruikt.
4.
Het vereiste veiligheidsniveau voor het uitwisselen van documenten zal afhangen van de aard en de
gevoeligheid van de gegevens/informatie waartoe potentieel toegang kan worden verkregen.
5.
Het veiligheidsniveau van de verwerking en de opslag van de documenten dient steeds evenredig zijn aan de
aard en de gevoeligheid van de gegevens.
6.
De instelling heeft voldoende garanties dat de geautoriseerde partners over een gelijkaardig
beveiligingsniveau beschikken als de instelling.
7.
De instelling verbindt zich ertoe om de gebruikers te sensibiliseren omtrent de goede praktijken inzake
gebruik en hun verantwoordelijkheden bij het uitwisselen van professionele documenten.
8.
De instelling verbindt zich ertoe de privacy van de gebruiker te respecteren.
9.
Elke bij de verzending betrokken partij, zowel de bestemmeling/ontvanger als de tussenpersoon of de
verzender, moet zo snel mogelijk de gepaste maatregelen nemen bij de verwerking van de
opvolgingsberichten.
10. Elke anomalie of lacune in de elektronische verzending van de documenten moet zo spoedig mogelijk worden
gemeld aan de betrokken partijen, of ze nu ontvanger, tussenpersoon of verzender zijn.
P4
File exchange policy voor geautoriseerde partners
Information Security Guidelines
Versie: 1.00
6 oktober 2014
11. De uitwisseling van de professionele documenten, nodig voor de toepassing en de uitvoering binnen de
context van de sociale zekerheid, dient beveiligd te worden door middel van een identificatie-, authenticatieen autorisatiesysteem.
12. De gepaste maatregelen dienen te worden genomen indien persoonsgegevens worden opgeslagen op media
die de beveiligingsperimeter van de instelling kunnen verlaten.
5.2. Organisatie
1.
De bevoegde dienst van de instelling is verantwoordelijk voor de correcte implementatie van de
veiligheidspolicy inzake uitwisseling van professionele documenten.
2.
De ondersteuning door de instelling betreft enkel de middelen die door de instelling ter beschikking gesteld
worden. Deze ondersteuning kan worden uitbesteed.
3.
De instelling zal steeds de mogelijkheid hebben om de toegang tot de documenten van de instelling
(gegevens aanwezig op de bedrijfssystemen en/of resources) te blokkeren en de gegevens te wissen.
5.3. Veiligheidspolicy
1.
Zoals beschreven in de algemene paragraaf 5.1, is het vereiste veiligheidsniveau, afhankelijk van de aard en
de gevoeligheid van de documenten. Elke betrokken partij, zowel de bestemmeling/ontvanger als de
tussenpersoon of de verzender, moet de gepaste maatregelen nemen bij de uitwisseling van de documenten.
2.
De uitwisseling van documenten tussen de instellingen van de sociale zekerheid en hun geautoriseerde
partners dient beschermd te worden door adequate beheersmaatregelen.
De veiligheidspolicy’s binnen de sociale zekerheid dienen te worden gerespecteerd onder meer behorende
tot de volgende domeinen, en overeenkomstig de reeks ISO 27002-normen:
• de organisatie van de veiligheid,
• de classificatie en het beheer van de resources,
• de fysieke veiligheid en de veiligheid van de omgeving,
• het operationeel beheer,
• de logische toegangsveiligheid,
• de ontwikkeling en het onderhoud van de systemen,
• het continuïteitsbeheer,
• de naleving van de policy's.
3.
6. Sancties
De niet-naleving van deze policy zal aanleiding geven tot een sanctie volgens de geldende reglementering binnen de
instelling.
7. Eigenaar van het document
De handhaving, opvolging en herziening van deze policy behoren tot de verantwoordelijkheid van de dienst
Informatieveiligheid van de KSZ.
8. Referenties
De gebruikte referenties zijn:
- de minimale veiligheidsnormen 2011 van de KSZ
- de ISO-norm 27002: 2005
P5
File exchange policy voor geautoriseerde partners
Information Security Guidelines
Versie: 1.00
6 oktober 2014
9. Bijlages
9.1. Link met de norm ISO 27002
Hieronder vermelden we de belangrijkste bepalingen van de norm ISO 27002 die verband houden met deze policy
ISO-norm 27002:2005
Veiligheidspolicy
Ja
Organisatie van de informatieveiligheid
Ja
Beheer van de bedrijfsresources
Ja
Veiligheidsvereisten ten aanzien van het personeel
Ja
Operationele veiligheid
Ja
Logische toegangsbeveiliging
Ja
Onderhoud en ontwikkeling van informatiesystemen
Ja
Beheersing van veiligheidsincidenten
Ja
Beveiliging van de informatie in het kader van de continuïteit van het bedrijf
Ja
9.2. Overzichtstabel van de aanbevolen oplossingen voor de uitwisseling van
documenten tussen de OISZ en geautoriseerde partners.
Naam van de
toepassing
Doelgroepen (DG)
“Secure FTP”
“ISSFTP”
“ELARA”
“FILEEXCHANGE”
DG-3,DG-4,DG-5 en
DG-6
DG-1 en DG-2
DG-3 en DG-2
DG-2,DG-4,DG-5 en
DG-6
Protocol
SFTP
FTP
FTP
HTTPS
Identificatie
Publieke / private
sleutel +
User ID/Password
User ID/Password
User ID/Password
WebApp beveiligd
door
UserManagement
Veiligheidslaag
1.2
2.1
2.1
1
Capaciteit
- Kan tot 1.000.000
bestanden bevatten
(indicatief aantal)
- 80 GB
- Kan tot 1.000.000
bestanden bevatten
(indicatief aantal)
- Kan tot 700.000
bestanden bevatten
(indicatief aantal)
- 80GB
- 40GB
(zie Hoofdstuk 3 van dit
document)
- 10 MB per
verzending
SLA
NEE
NEE
NEE
NEE
Doeleinde
Uitwisseling van
gegevens-bestanden
Uitwisseling van
gegevens-bestanden
Uitwisseling van
gegevens-bestanden
Ad hoc uitwisseling
van documenten en
gegevens
P6
File exchange policy voor geautoriseerde partners
Information Security Guidelines
Versie: 1.00
P7
6 oktober 2014

Download Report