LOGO INSTELLING
Teleworking Beleid Versie 1.0
25/06/2008
ISMS (Information Security Management System)
Beleid voor toegang op afstand tot het interne netwerk van een instelling via de Smals VPNoplossing Technisch beleid voor klantinstellingen en eindgebruikers
Version control – please always check if you’re using the latest version Doc. Ref. : isms.032.vpn.end Release
Status
Date
Written by
Approved by
NL_1.0
Voorstel voor Instellingen Sociale Zekerheid
25/06/2008
J.Costrop
Werkgroep Informatieveiligheid
Opmerking : in dit document zijn de opmerkingen verwerkt van een werkgroep met deelname van mevrouw Minnaert (RSVZ) en de heren Bochart (KSZ), Bouamort (CIMIRE SIGEDIS), Costrop (Smals), De Ronne (RJV), De Vuyst (KSZ), Petit (FBZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (ONSSPPO), Van den Heuvel (KSZ), Vandergoten (RIZIV) en Vertongen (RSZ)
Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document bezit. De inhoud van dit document mag vrij worden verspreid voor niet-commerciële doeleinden mits vermelding van de bron (Kruispuntbank van de Sociale Zekerheid, http://www.ksz.fgov.be). Eventuele verspreiding voor commerciële doeleinden dient het voorwerp uit te maken van de voorafgaande en schriftelijke toestemming vanwege de Kruispuntbank van de Sociale Zekerheid.
P1
LOGO INSTELLING
Teleworking Beleid Versie 1.0
25/06/2008
Inhoudsopgave
1
INLEIDING EN SCOPE........................................................................................................... 3
2
BELEID VOOR DEELNEMENDE INSTELLINGEN ............................................................ 4 2.1 2.2
3
BELEID OP SYSTEEMNIVEAU.................................................................................................. 4 BELEID VOOR EINDGEBRUIKERS ............................................................................................ 4
GEMEENSCHAPPELIJK GEBRUIK VAN ÉÉN PC DOOR MEERDERE GEBRUIKERS 6
P2
LOGO INSTELLING
Teleworking Beleid Versie 1.0
25/06/2008
1 Inleiding en scope •
Dit document kadert in de opbouw van het ISMS (Information Security Management System) van de sociale zekerheid. Het kan ingedeeld worden onder de controlemaatregelen “Ontwikkeling en onderhoud van systemen”.
•
Dit document beperkt zich tot de voorwaarden voor het gebruik van het telewerksysteem 1 zoals ontwikkeld door Smals . Dit systeem laat toe, op een beveiligde manier, via directe toegang of het internet, toegang te krijgen tot de ingang van het netwerksysteem van een VPN-klantorganisatie2.
•
Dit document beschrijft niet het interne beleid bij een Instelling dat regelt tot welke doeleinden deze telewerk toegang tot de systemen van de Instelling kunnen gebruikt worden (authorisatie). Voor het afdwingen van dit interne beleid van de Instelling moeten interne systemen opgesteld worden (bijv. firewall op het niveau van de Instelling). Deze interne systemen moeten ervoor zorgen dat het personeelslid, wanneer hij werkt via het telewerksysteem, zeker niet meer toegangsrechten heeft dan wanneer hij binnen het Instelling toegang tot de systemen van de Instelling verkrijgt. Ook andere systemen (zoals virusscanners) blijven noodzakelijk binnen de Instelling.
1
Indien een instelling een ander VPN-systeem wenst te gebruiken, dan moet dit systeem ten minste aan de veiligheidsvereisten voldoen zoals beschreven in dit document. 2
Met VPN-klantorganisatie wordt hier bedoeld een organisatie (bijvoorbeeld instelling van de sociale zekerheid), die de VPN-dienst afneemt van Smals. In het vervolg van dit document wordt de VPN-klantorganisatie “instelling” genoemd.
P3
LOGO INSTELLING
Teleworking Beleid Versie 1.0
25/06/2008
2 Beleid voor deelnemende instellingen 2.1 Beleid op systeemniveau •
Een firewall, specifiek voor de Instelling, dient geïnstalleerd te worden voor het beheer van de fluxen op het niveau tussen het VPN-systeem en het intern netwerk van de Instelling. Deze firewall moet gebruikt worden voor de authorisatie van fluxen, voor identificatie van gebruikers en voor logging doeleinden. De verantwoordelijkheid voor deze firewall berust bij de Instelling, deze kan eventueel gedelegeerd worden naar een dienstenleverancier.
•
Met Smals dienen afspraken gemaakt te worden in verband met de gebruikte IP address range. Er is inderdaad een consistent beleid nodig om een éénduidige relatie te maken tussen Instelling en IP adres.
•
Smals beheert de lokale PKI-infrastructuur (authenticatie van de VPN client, ) en heeft de verantwoordelijkheid voor het beheer van de specifieke certificaten benodigd voor dit systeem. Deze lokale PKI-infrastructuur wordt gebruikt voor de authenticatie van de VPN client3, waarna het VPN-systeem de nodige controles uitvoert ( verplicht voor antivirus, aanbevolen voor andere veiligheidscomponenten zoals personal firewall) in functie van de groep waartoe deze VPN client behoort en de groep policy.
•
Smals beheert het systeem nodig voor de authentificatie van de gebruiker en heeft de verantwoordelijkheid voor het beheer van de fysieke middelen voor strenge authentificatie (2-factor authentificatie)4.
2.2 Beleid voor eindgebruikers •
Toegang is alleen toegelaten via apparatuur onder controle van de instelling en waarvan de installatie en configuratie uitgevoerd wordt door de daartoe door de instelling aangeduide diensten. Indien externe leveranciers toegang wensen tot hun apparatuur, moeten hiervoor afdoende veiligheidsmaatregelen geïmplementeerd worden.
•
De compatibiliteit van de gebruikersapparatuur met het VPN-systeem moet nagegaan worden. .
•
De authenticatie wordt uitgevoerd op 3 niveaus: •
5
Verplicht gebruik van een BIOS-paswoord , verschillend van het paswoord dat eventueel intern in de Instelling gebruikt wordt op specifiek interne gebruikersapparatuur. (te bespreken met Pol)
3
Met VPN client wordt bedoeld de software component die op de eindgebruikersapparatuur wordt geïnstalleerd om de VPN-toegang mogelijk te maken 4
Momenteel wordt het RSA SecurID systeem gebruikt, dat gebaseerd is op kennis (een wachtwoord) en het bezit van een authenticator (SecurID), maar ook het gebruik van een systeem gebaseerd op de EID dat gebaseerd is op kennis (een wachtwoord) en het bezit van de EID kaart is toegelaten. 5
Verondersteld wordt dat de gebruiker geen administratorrechten krijgt voor de eindapparatuur.
P4
LOGO INSTELLING
•
Teleworking Beleid Versie 1.0
•
Verplicht gebruik van VPN client authentificatie met een certificaat beheerd door Smals, gegenereerd met de hogergenoemde PKI-infrastructuur
•
Verplicht gebruik van een RSA SecurID beheerd door Smals of EID.
25/06/2008
Er wordt aanbevolen de gegevens op de harde schijf van de eindapparatuur te beschermen door gepaste encryptering. Het gebruik van een met het VPN-systeem compatibele antivirus software is verplicht. Het gebruik van een met het VPN-systeem compatibele personal firewall is aanbevolen. Vooraleer eindapparatuur toegang krijgt, zal het VPN-systeem minimum nagaan of de goede versies antivirus software en virusdefinitie bestanden geïnstalleerd zijn.
•
De instelling draagt er zorg voor dat het certificaat op gepaste wijze beschermd wordt.
•
De instelling draagt er zorg voor dat de eindgebruikers een gepaste opleiding krijgen voor het gebruik van het systeem, waarbij de veiligheidsrisico’s verklaard worden.
P5
LOGO INSTELLING
Teleworking Beleid Versie 1.0
25/06/2008
3 Gemeenschappelijk gebruik van één PC door meerdere gebruikers Bij het gebruik van één enkele PC door meerdere gebruikers, in het kader van een VPN- of gelijkaardig systeem, moeten de volgende regels in acht genomen : •
Een persoon wordt aangeduid die verantwoordelijk is voor de PC en voor de organisatie van het gebruik van deze PC door meerdere gebruikers. Deze gebruikers moeten tot dezelfde VPN groep behoren.
•
Eén enkel certificaat wordt toegewezen aan de verantwoordelijke voor de PC (dit certificaat is voorbehouden voor de authentificatie van de VPN client die op de PC geïnstalleerd wordt).
•
Een individueel token (RSA SecurID) wordt toegewezen aan elke gebruiker van de PC.
•
Elke gebruiker moet beschikken over een individuele Windows Userid.
•
Het toekennen van authorisaties voor de verschillende gebruikers in verband met het verkrijgen van toegang tot de gegevens van de VPN-klant, valt onder de verantwoordelijkheid van de bevoegde diensten van de Instelling.
P6
