4.4 Informatieveiligheid omdat het moet! - V-ict-or

Informatieveiligheid
Omdat het moet!?
ShoptIT 8 mei 2014
Ivan Stuer
Omgevingsanalyse
Cloudaanbieder failliet, hoe red ik mijn bedrijfsdata?
Nirvanix’s cloud service customers were apparently notified about a
shutdown at the end of the month a little over a week ago, leaving
them
with very little time to migrate over to a new cloud storage service
provider — which is not exactly an easy task.
Omgevingsanalyse
Omgevingsanalyse lokale overheid
?
Maar ook op papier

Waar eindigen al de papieren versies van (OCMW) raadsdocumenten?

Staan printers in publiek toegankelijke ruimten?
En in de cloud
Waarneming Praktijk

Verwarring bij gemeenten en OCMW’s

Geen toegang tot bepaalde bronnen

Toegevoegde waarde van de Veiligheidsconsulent?
Informatieveiligheid
Informatieveiligheid
Maak informatieveiligheid inzichtelijk voor het management en
mandatarissen
3 grote domeinen voor lokale overheden:
• Technisch
• Privacy/persoonsgegevens
• Procedures
Informatieveiligheid
Omdat het moet!
Enkel omwille van wetgeving??
Informatieveiligheid: technisch
Kennisdag informatieveiligheid
V-ICT-OR 2012

Principes informatieveiligheid:
CIA
14
Informatieveiligheid: technisch
Gemeenten en OCMW hebben over het algemeen al de nodige technische
maatregelen getroffen om hun infrastructuur en data te beschermen.
Omdat het moet? -> geen alternatief
Geen antivirus -> netwerk plat
Geen backup –> dataverlies
Geen firewall -> hacking
Geen spamfilter -> email onbruikbaar
Informatieveiligheid: technisch
Geïmplementeerd door leverancier of eigen systeembeheerder op basis van
eigenbelang, vakkennis of jobfierheid
Redelijk ‘eenvoudig’. Voldoende aanbod, voldoende kennis bij leveranciers,
Voldoende producten
antivirus, firewall, proxy, intrusion detection, backups, noodgenerator,
Ontdubbeling serverpark & opslag, redundantie, wachtwoordbeleid, loggings…
-> procedureel opgevolgd of vastgelegd?
Informatieveiligheid: privacy
Bescherming van persoonsgegevens
Omdat het moet?
- corporate governance
- afgedwongen door wetgeving
Wettelijk kader
Belangrijkste spelers:
KSZ (OCMW’s)
CBPL Privacycommissie
VTC Vlaamse toezichtscommissie
Verschillende rollen Informatieveiligheid
Bron: Informatieveiligheid bij de integratieoefening OCMW - gemeente Information Security Guidlines Versie : 1.00 21 december 2011
Wie
Wat
Wet / domein
OCMW
Informatieveiligheidsconsulent
KSZ 15/1/93
Gem/OCMW
Veiligheidsbeheerder
Beheer ambtenarentoken
Gemeente
Veiligheidsconsulent CBPL
Aanbeveling CBPL
Gemeente
Consulent informatieveiligeheid
en bescherming privacy
RR 8/8/83
OCMW
Verantwoordelijke Toegangen
Entiteit (VTE)
Toegang toepassingen sociale
zekerheid
OCMW
Lokale beheerder
portaaltoepassingen sociale
zekerheid / eHealth
Gem/OCMW
Informatiebeheerder
Gem/OCMW
Verantwoordelijke voor de
verwerking
Verwerking persoonsgegevens
8/12/92
Gem/OCMW
Aangestelde voor de
gegevensbescherming
Verwerking persoonsgegevens
8/12/92
KSZ

Minimale Veiligheidsnormen

Veiligheidsconsulent

Veiligheidsplan
Informatieveiligheid
Volgen van reglementen en procedures
 Waarom?


Garanties bieden aan burgers voor veilige verwerking van
persoonsgegevens door de Vlaamse instanties
2 ledig - evenwicht:
 efficiënte en effectieve dienstverlening garanderen;
 bescherming persoonlijke levenssfeer.
Vlaamse Toezichtcommissie
23
Informatieveiligheid
 De
privacywet:
wet van 8 december 1992 tot bescherming van de persoonlijke
levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP)
http://vtc.corve.be/wetgeving.php
Vlaamse Toezichtcommissie
24
Informatieveiligheid

Definitie van persoonsgegeven:
iedere informatie betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon …
= zeer ruim
= niet beperkt tot privacy/persoonlijke levenssfeer
Vlaamse Toezichtcommissie
25
Informatieveiligheid

Definitie van verantwoordelijke voor de
verwerking
Niet de IT-dienst
Niet de personeelsleden
WEL het management – het hoofd van de entiteit
= verantwoordelijk voor de Vlaamse
naleving
van de privacywet
Toezichtcommissie
26
Informatieveiligheid
HOE

De principes van de privacywet naleven:
Finaliteit
Proportionaliteit
Transparantie
Veiligheid
Vlaamse Toezichtcommissie
27
Informatieveiligheid
 Het
e-govdecreet:
Decreet van 18 juli 2008 betreffende het elektronische
bestuurlijke gegevensverkeer
http://vtc.corve.be/docs/egov_decreet.pdf
Vlaamse Toezichtcommissie
28
Informatieveiligheid

Artikel 6: verplichtingen Vlaamse Bestuursinstanties
§ 1. De instanties zijn in ieder geval verplicht :
1° persoonsgegevens te verwerken overeenkomstig de privacywet;
2° bij iedere nieuwe toepassing van het elektronische bestuurlijke gegevensverkeer vooraf adequate technische
en organisatorische maatregelen in te bouwen voor de naleving van de privacywet;
3° op elk moment te waken over de kwaliteit en de veiligheid van gegevens en alle maatregelen te treffen om
een perfecte bewaring van persoonsgegevens te garanderen;
4° de toezichtcommissie te ondersteunen bij de vervulling van haar opdrachten;
5° de toezichtcommissie informatie te verstrekken en inzage in alle dossiers en informatieverwerkende
systemen te verschaffen telkens als ze daarom vraagt.
Vlaamse Toezichtcommissie
29
Informatieveiligheid

Artikel 8: machtigingsverplichting
De elektronische mededeling van persoonsgegevens door een instantie vereist een
machtiging van de Toezichtcommissie[...]
Vlaamse Toezichtcommissie
30
Informatieveiligheid
 Artikel
9: Veiligheidsconsulent
Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens
bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en
iedere entiteit die overeenkomstig artikel 4, § 3, aangewezen is en persoonsgegevens
verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de
opdrachten en de manier van aanwijzing van die veiligheidsconsulenten.
Vlaamse Toezichtcommissie
31
Informatieveiligheid
 Artikel





9: Veiligheidsconsulent
advies en aanbevelingen omtrent de uitvoering van het veiligheidsbeleid;
onder rechtstreeks gezag van verantwoordelijke voor dagelijks bestuur;
kennis over informatieveiligheid en informaticaomgeving van de instantie;
voldoende tijdsbesteding;
geen onverenigbaarheid
http://vtc.corve.be/docs/E_GOV_decreet_BVR_VEILIGHEID.pdf
http://vtc.corve.be/docs/Aanvraag_advies_aanstelling_veiligheidsconsulent.doc
Vlaamse Toezichtcommissie
32
Informatieveiligheid
Sancties:
 niet naleven privacywet is strafbaar
 verwerking/gegevensstroom kan worden stopgezet
 tuchtsancties/ontslag
 Schadeclaims
 Vertrouwen in de overheid krijgt een deuk

Vlaamse Toezichtcommissie
33
Informatieveiligheid
34
Voorwaarden in machtigingen
 Veiligheidsconsulent
 Veiligheidsplan
machtiging treedt pas in werking voor lokale besturen die
voldoen aan voorwaarden
Vlaamse Toezichtcommissie
Richtsnoeren informatieveiligheid
Wat?
Geïntegreerd document met alle wet- en regelgeving
 Geënt
op ISO27002
 Beperkte
 Sterke
 Goed
subset
focus op persoonsgegevens
begin informatieveiligheid voor lokale besturen
Juridische inslag !
RICHTSNOEREN MET BETREKKING TOT DE
INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS
IN STEDEN EN GEMEENTEN, IN INSTELLINGEN DIE DEEL
UITMAKEN VAN HET NETWERK DAT BEHEERD WORDT
DOOR DE KRUISPUNTBANK VAN DE SOCIALE
ZEKERHEID EN BIJ DE INTEGRATIE OCMW – GEMEENTE
Versie: 2.0
Informatieveiligheidstool

Ontwikkeld door V-ICT-OR

Leidt u door de richtsnoeren

Zelfevaluatie van risico, impact, controle en maturiteit
Bevragingstool: Wat?
1.
Richtsnoeren verwerkt in on-line vragenlijst
2.
Met maturiteit & risico indicatie
3.
Aangevuld met ‘levend’ handboek
4.
Veiligheidsplan als output!
Informatieveiligheid

Hoe verankeren binnen de organisatie?

Hoe krijgen we het gedragen?
Informatieveiligheid: procedureel

Technische maatregelen treffen en een veiligheidsconsulent inhuren zijn
GEEN voldoende garantie voor informatieveiligheid

Er is procedurele verankering nodig binnen de organisatie
 Organisatiebeheersing
 Risicoanalyse
 Behandelt
en -beheersing in alle processen
per definitie informatieveiligheid binnen de organisatie (en dus
ook technische maatregelen en bescherming van persoonsgegevens)
Organisatiebeheersing
en informatieveiligheid
44
ICT-beveiliging is het geheel van maatregelen
(voorschriften, processen, activiteiten,…)
dat ervoor zorgt dat informatiesystemen
(bedrijfs- en bestuursprocessen)
een optimale bescherming genieten
(rekening houdend met het kosten-baten principe)
op het vlak van :
Vertrouwelijkheid
Privacy
Integriteit
Beschikbaarheid (BCM !)
Vlaamse Toezichtcommissie
Organisatiebeheersing
en informatieveiligheid
Bescherming van persoonsgegevens geldt in
meeste domeinen organisatiebeheersing
 HR: personeelsgegevens
 Communicatie: klantengegevens, cookies, sociale media, …
 Facilitair: gebouwinfrastructuur, toegang, bewaking
 Cultuur: deontologie, awareness, sociale media
 ICT: natuurlijk
Financiele dienst : betaalgegevens, boekhouding
 Archief,…..

Vlaamse Toezichtcommissie
45
Management

Informatieveiligheid en –risicobeheersing is een essentieel onderdeel van
vele management modellen of methodologieën

ISO27002 (uiteraard)

ITIL

COBIT

COSO

PMI/Prince2

ISACA
ISO27001/2

ISO norm voor Informatieveiligheid

Als basis voor regels VTC en KSZ (en dus ook de richtsnoeren)

CIA & FP

Confidentialiteit

Integriteit

Availability

Finaliteit

Proportionaliteit
ISO27001/2

Principes:




Deming Circle: Plan, Do, Check, Act
Security Controls
Risk assessment
Nieuwe versie legt ook de link naar andere management modellen!
ISO27001

Domeinen
 Security policy
Controleobjectieven
 Organization of information security
En risicobeheersing
 Asset management
 Human resources security
 Physical and environmental security
 Communications and operations management
 Access control
 Information systems acquisition, development and maintenance
 Information security incident management
 Business continuity management
 Regulatory compliance
50
COSO
COSO
• COSO identificeert de relaties tussen de ondernemingsrisico’s en het interne
beheersingsysteem.
• COSO hanteert hierbij de gedachten dat interne beheersing een proces is dat gericht
is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van
doelstellingen in de categorieën:
• bereiken van de strategische doelstellingen (Strategic)
• effectiviteit en efficiëntie van bedrijfsprocessen (Operations)
• betrouwbaarheid van de (financiële) informatieverzorging (Reporting)
• naleving van relevante wet- en regelgeving (Compliance)
Overgenomen door overheid voor Interne Controle (Art 99 GD)
Gemeentedecreet
COSO
1.
Controleomgeving is de basis
integriteit, de ethische waarden en deskundigheid van het personeel, de
managementstijl en zijn filosofie, de organisatiecultuur, het beleid rond delegatie
van bevoegdheden en verantwoordelijkheden, het HRM-beleid, ….
2.
Risico analyse op omgeving
3.
Beheer en controle activiteiten
4.
Informatieveiligheid
5.
Monitoring (interne & externe audit)
COBIT
55
Vlaamse Toezichtcommissie
ITIL V2 – operationeel

Incident mgmt

Problem mgmt

Change mgmt

Release mgmt

Capacity mgmt

Availability mgmt

Service continuity mgmt
Wekelijkse operationele opvolging
Vooral bij uitvoering veranderingen
Afspraken en controle

Security mgmt

Service level mgmt

Financial mgmt
Kwaliteit: EFQM/CAF/INK/A3
Project Management: PMI / PMBOK
• 10 knowledge area’s
•
•
•
•
•
•
•
•
•
•
Integraal beheer (integration mgmt)
Beheer van het doel van het project (scope mgmt)
Tijdsbeheer (Time mgmt)
Kostbeheer (Cost mgmt)
Kwaliteitsbeheer (Quality mgmt)
Beheer van de risico’s (Risk mgmt)
Personeelsbeheer (HR mgmt)
Communicatiebeheer (Comm mgmt)
Aankoopbeheer (Procurement mgmt)
Stakeholdermanagement (Nieuw in release 5)
Prince2

Thema’s

Business Case

Organization

Plans

Progress

Risk

Quality

Change (beter opgevolgd dan in PMI)

Configuration
En alle mogelijke combinaties

ISO & ITIL

ITIL & Prince2

TQM & ISO & ITIL &….
En de juridische inslag !
RICHTSNOEREN MET BETREKKING TOT DE
INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS
IN STEDEN EN GEMEENTEN, IN INSTELLINGEN DIE DEEL
UITMAKEN VAN HET NETWERK DAT BEHEERD WORDT
DOOR DE KRUISPUNTBANK VAN DE SOCIALE
ZEKERHEID EN BIJ DE INTEGRATIE OCMW – GEMEENTE
Versie: 2.0
Hoe breien we dit aan elkaar?

Stel een informatieveiligheidsmanagement systeem (ISMS) op, geënt op de
ISO27002 controlepunten en management modellen & technieken eigen
aan uw organisatie/managementstructuur

Verwerk zeker de richtsnoeren in het systeem (kan adhv de V-ICT-OR tool)

Veranker het ISMS in uw organisatiewerking
ISMS stappen
1.
Inventariseer alle gebruikte modellen en verplichtingen in uw organisatie
2.
Stel een informatieveiligheidsteam op met alle relevante deelnemers
(IVT)
3.
Bepaal samen met het IVT de scope van het ISMS
4.
Maak een eerste policy waarin deze scope wordt afgelijnd
5.
Breng deze voor goedkeuring op het hoogste beslissingsorgaan
6.
Bepaal de risico evaluatie methodologie (zelfde taal)
ISMS stappen
7.
Leg de criteria vast rond aanvaardbare risico’s
8.
Maak een inventaris van alle processen en middelen die relevant zijn voor
de scope
9.
Doe een eerste risicoanalyse met het IVT (apart en samen)
10.
Bepaal voor elk risico de strategie (accepteren, vermijden, transfereren)
11.
Bepaal de relevante controlepunten (incl richtsnoeren)
12.
Koppel terug naar het management
ISMS beheer
1.
Beslis met het IVT hoe de controlepunten worden opgevolgd (€, VTE,
processen, training)
2.
Stel logging en rapportering op
3.
Evalueer geregeld de scope en risico’s
4.
Toets aan de management modellen (integratie & verankering!)
5.
Organiseer regelmatig ISMS audits (peer review)
6.
Leg alle findings, policies en risico’s op regelmatige basis terug voor aan
het management
Organisaties

ISACA

ENISA

CSA (cloud!)

KSZ

VTC

ISO (27000,31000,…)
V-ICT-OR
Opleidingen worden georganiseerd in samenwerking met Escala
Vragen? [email protected]
Bedankt voor uw aandacht

Download Report