Gids inzake goede praktijken voor de eindgebruiker Information Security Guidelines Versie: 1.00
31 mei 2013
Informatieveiligheid Veiligheidsgids voor de eindgebruiker
Version control – please always check if you are using the latest version. Doc. Ref. :v2013.0019.gids inzake goede praktijken voor eindgebruiker.nl.v1.00.docx Release
Status
Date
Written by
FR_1.00
First edition
30/04/2013
Alain Houbaille
Edited by
Approved by
Opmerking: In dit document werd rekening gehouden met de opmerkingen die geformuleerd werden door een werkgroep waaraan de volgende personen hebben deelgenomen: de heer P. Bochart (KSZ), de heer R. Pierlot (KSZ).
Guide de bonnes pratiques pour l'utilisateur final Information Security Guidelines Versie: 1.00
31 mei 2013
INHOUDSOPGAVE 1.
INLEIDING ........................................................................................................................................................... 3
2.
TOEPASSINGSGEBIED .......................................................................................................................................... 3
3.
GIDS INZAKE GOEDE PRAKTIJKEN ........................................................................................................................ 3 3.1. 3.2. 3.3. 3.4.
ALGEMEEN ............................................................................................................................................................. 3 CLEAN DESK & CLEAN SCREEN POLICY ........................................................................................................................... 3 SURFEN OP INTERNET................................................................................................................................................ 4 GEBRUIK VAN E-MAIL................................................................................................................................................ 5
p. 2
Guide de bonnes pratiques pour l'utilisateur final Information Security Guidelines Versie: 1.00
31 mei 2013
1. Inleiding De bedoeling van dit document is om een aantal gedragsregels vast te leggen met betrekking tot het gebruik en het beheer van de communicatiemiddelen van de instelling die ter beschikking van het personeel worden gesteld, maar ook met betrekking tot de naleving van de "clean desk" en "clean screen" policy. Ter herinnering, de medewerker speelt een wezenlijke rol in de veiligheid van de instelling in het algemeen. Hij staat in de eerste verdedigingslinie voor wat de risico's bij de verwerking van gevoelige informatie betreft. Daarom is het belangrijk dat de medewerker, die betrokken is bij het dagelijks beheer, zich terdege bewust is van zijn rechten en plichten op dat vlak en van de goede praktijken binnen de Kruispuntbank van de Sociale Zekerheid.
2. Toepassingsgebied De richtlijnen in dit document zijn van toepassing op alle contractuele medewerkers van de KSZ. Deze richtlijnen gelden tevens voor alle personen die geen contractuele relatie met de KSZ hebben als personeelslid, maar die wel gebruik maken van de internet- en e-mailfunctionaliteiten en de communicatiemiddelen die binnen de instelling beschikbaar zijn voor de realisatie van de opdracht die hen door de instelling toevertrouwd werd. Met andere woorden, deze goede praktijken zijn ook van toepassing op de leveranciers, consultants, uitzendkrachten, enz. die al dan niet tijdelijk activiteiten verrichten bij de KSZ. Eenieder die onder het toepassingsgebied van deze gids valt wordt hierna aangeduid als "medewerker".
3. Gids inzake goede praktijken 3.1. Algemeen Zoals voor alle werkinstrumenten geldt, is het gebruik van de communicatiemiddelen van de instelling in principe voorbehouden voor beroepsdoeleinden. Echter, het gebruik van het mailsysteem en het internet voor privédoeleinden wordt in beperkte mate toegestaan, op voorwaarde dat het gaat om een occasioneel gebruik en dat dit de goede werking van het netwerk, het werk en de productiviteit niet in het gedrang brengt en het geen inbreuk 1 inhoudt op de geldende wetgeving . Door de toepassing van de "clean desk" en "clean screen" policy draagt de medewerker bij aan de handhaving van de logische en fysieke toegangscontroles die binnen de Kruispuntbank van de Sociale Zekerheid geïmplementeerd zijn.
3.2. Clean desk & clean screen policy Het is de verantwoordelijkheid van de medewerker om de clean desk & clean screen policy in acht te nemen. De gebruiker beperkt hierdoor het risico van ongewettigde toegang of beschadiging van het materiaal en de informatieverwerkingsmiddelen dankzij de toepassing van de goede praktijken. De medewerker dient in de mate van het mogelijke: • •
ervoor te zorgen dat alle gevoelige papieren of elektronische documenten zich achter slot bevinden in de daartoe bestemde kasten wanneer hij zijn bureau verlaat; zijn computer in stand-by te zetten en daarbij te beveiligen met een paswoord in geval van langere afwezigheid;
1
Geldende policy inzake gebruik van internet en e-mail bij de KSZ: Isms.041.email.policy.nl.v1.0.doc & Isms.040.internet.policy.nl.v1.0.doc p. 3
Guide de bonnes pratiques pour l'utilisateur final Information Security Guidelines Versie: 1.00 • •
31 mei 2013
vooraleer hij 's avonds vertrekt, zijn bureau op te ruimen en leeg te maken, zijn pc af te sluiten en te beveiligen en alle gevoelige informatie of dragers op een veilige plaats op te bergen. Wanneer een medewerker vermoedt dat iemand misbruik maakt van materiaal dat onbeheerd is achtergebleven, moet hij dit zo snel mogelijk melden aan de dienst Interne Audit en Informatieveiligheid.
De gebruiker is verantwoordelijk voor de informatie, ongeacht in welke vorm, voor de toegang ertoe en voor zijn authenticatiemiddelen (paswoord, badge, ...). De gebruiker dient dus te zorgen voor de adequate beveiliging ervan. Dit betekent dat: • • • • •
het verboden is zijn paswoord mee te delen aan anderen; de documenten met gevoelige informatie niet onbewaakt mogen worden achtergelaten op de printer; bij een overdracht van gevoelige gegevens, de USB-sleutel moet worden vercijferd en de gegevens die hierop werden opgeslagen onmiddellijk na de overdracht moeten worden verwijderd; elke opslagtool, zoals USB-sleutels, sd-, cd- of dvd-drives, zich in een fysiek beveiligde omgeving moet bevinden en niet onbewaakt mag worden achtergelaten; het verboden is om gebruik te maken van post-its waarop men gevoelige informatie neerschrijft.
3.3. Surfen op internet Het systeem van internetfunctionaliteiten bestaande uit alle servers, het netwerk, personal computers, etc. is en blijft de eigendom van de werkgever en is in principe uitsluitend bestemd voor professionele doeleinden. Het verkennen van internet, in beperkte mate, voor persoonlijke vorming en ontwikkeling wordt evenwel aanvaard. In dat opzicht dient de medewerker zich ervan bewust te zijn dat: •
•
• • •
•
surfen op internet niet zonder gevaar is en dat de kans op een aanval via bepaalde sites niet ondenkbaar is. De medewerker wordt verzocht: o niet te vergeten dat hij de KSZ vertegenwoordigt wanneer hij op internet surft. Heel wat bezochte websites houden immers een spoor bij van dit bezoek en in sommige gevallen kunnen zij de herkomst van de surfer identificeren en zijn elektronische identiteit vaststellen en bijgevolg die van de instelling; o geen wijzigingen aan te brengen aan de configuratie van zijn webbrowser en nooit de beveiligingssoftware (antivirus, antispam, firewall) te deactiveren. o niet-professionele sites te verlaten als hij vermoedt dat de site niet die is waar hij naar zocht. Het is ook verboden websites te raadplegen waarvan de inhoud indruist tegen de goede zeden of de waardigheid van een persoon kan schaden, alsook racistische websites, websites die discriminatie voorstaan op basis van geslacht, seksuele geaardheid, handicap, religie of politieke overtuiging. Eveneens is het verboden om internet te gebruiken voor illegale activiteiten, ongeacht de aard ervan. De directie wijst iedere verantwoordelijkheid af voor wat de inhoud betreft van de sites die door een medewerker geraadpleegd werden. Voor wat betreft het downloaden van bestanden via internet, zal de gebruiker zich beperken tot het strikt noodzakelijke in het kader van zijn beroepsactiviteiten. Alvorens een bestand of een programma te installeren dient de gebruiker zich ervan te vergewissen dat dit bestand of dit programma afkomstig is van een betrouwbare bron en dat er geen tegenstrijdigheid bestaat met het licentiebeleid van de instelling en er geen risico bestaat op het vlak van de beveiliging van de systemen. Voor beroepsmatige communicaties via het internet aanvaardt de KSZ enkel het gebruik van de mail en de websites die eigen zijn aan de instelling. Andere communicatiemiddelen via internet, zoals instant messaging, blogs, facebook, linked-in en dergelijke mogen niet worden gebruikt, evenmin als andere mailsystemen of websites. De gebruiker zal de regels voor het gebruik van deze communicatiemiddelen strikt in acht nemen. De KSZ verbindt zich van haar kant ertoe een duidelijk communicatiebeleid te voeren naar de externe partijen.
p. 4
Guide de bonnes pratiques pour l'utilisateur final Information Security Guidelines Versie: 1.00
31 mei 2013
3.4. Gebruik van e-mail E-mail is een communicatiemiddel waar je niet meer omheen kan in een professionele context. Niettemin is het belangrijk een aantal goede praktijken in herinnering te brengen: • De verzender van een e-mail is verantwoordelijk voor de inhoud van dit bericht. Het is de medewerkers strikt verboden om e-mails te verzenden waarvan de inhoud onwettig zou zijn en/of in strijd met het fatsoen en de zeden (bv. e-mails met een aanstootgevende, politieke, racistische, discriminerende, ... inhoud). • E-mail mag in geen geval gebruikt worden ter vervanging van de uitwisselingsmethoden die door
de Kruispuntbank van de Sociale Zekerheid opgelegd worden voor de uitwisseling van persoonsgegevens. Het gebruik van e-mail dient te gebeuren in overeenstemming met de aanbevelingen inzake bescherming van de persoonlijke levenssfeer. Dus mogen er geen •
•
persoonsgegevens via e-mail worden overgemaakt. Alvorens gevoelige bestanden via e-mail te versturen, dient de medewerker ervoor te zorgen dat deze bestanden vercijferd zijn. Het gebruik van e-mail voor persoonlijke doeleinden is toegelaten. Dit gebruik voor privé-aangelegenheden mag echter in geen geval een inbreuk op deze richtlijnen inhouden, noch op enige andere wettelijke of reglementaire bepaling. Als de medewerker zijn e-mail voor persoonlijke doeleinden gebruikt, dient hij in de mate van het mogelijke elke verwijzing naar zijn werkgever te verwijderen om aldus verwarring te vermijden met het beroepsmatige gebruik van de mail (hij dient daartoe de vermelding "Private" in te voegen in het onderwerp van het bericht). Bij langdurige afwezigheid van de medewerker (meerdere dagen) dient hij in de mate van het mogelijke een automatisch antwoord in te stellen zodat zijn correspondenten op de hoogte worden gesteld van zijn afwezigheid (de zogenaamde "out of office").
•
De medewerker verbindt zich ertoe om niet onnodig e-mails naar grote groepen gebruikers te sturen (bv. "to all"), noch om grote bestanden toe te voegen die de werking van het systeem kunnen hinderen. Dergelijke grote bestanden worden bij voorkeur op het interne systeem van documentbeheer van de KSZ geplaatst. De desbetreffende e-mails bevatten dan een link naar deze bestanden.
•
Het is verboden om de ontvangen mails systematisch door te sturen naar een elektronisch adres buiten de instelling.
•
De medewerkers mogen hun e-mails enkel verder doorsturen ("forward") naar de personen die daadwerkelijk betrokken zijn of naar de personen die effectief de informatie in deze mails nodig hebben.
De medewerker verbindt zich ertoe de slechte werking of het misbruik van de internet- en e-mailfunctionaliteiten (meer bepaald de vaststelling van virussen, pogingen tot intrusie of hacking, ...), ongeacht of dit op het niveau van de centrale computers, het netwerk, de lokale computers of de software is, onmiddellijk mee te delen aan zijn rechstreekse manager of aan de dienst Interne Audit en Informatieveiligheid.
p. 5