Dit document wordt u gratis aangeboden door
De Kruispuntbank van de Sociale Zekerheid Sint-Pieterssteenweg 375 B-1040 BRUSSEL
Iedereen kan dit document vrij verspreiden met vermelding van de bron en URL
Werkgroep "Informatieveiligheid"
RICHTLIJNEN INZAKE VEILIGHEID OP HET NIVEAU VAN DE INSTELLINGEN DIE DEEL UITMAKEN VAN HET NETWERK DAT WORDT BEHEERD DOOR DE KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID (KRUISPUNTBANK) (V3/P2/94/143.NL)
-2-
DOELSTELLING EN WERKMETHODE
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
-4-
Het Koninklijk Besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid richt, in hoofdstuk IV, binnen het Algemeen Coördinatiecomité van de Kruispuntbank een werkgroep inzake informatieveiligheid op. Deze groep, die is samengesteld uit de veiligheidsconsulenten van de instellingen van sociale zekerheid, is belast met de coördinatie en de communicatie tussen de informatieveiligheidsdiensten, en meer bepaald met: -
de voorbereiding van de minimumnormen m.b.t. fysieke en logische informatieveiligheid;
-
de voorbereiding van een controlelijst voor de evaluatie van de naleving van de minimumnormen inzake fysieke en logische informatieveiligheid;
-
adviesverstrekking informatieveiligheid.
aan
het
Toezichtscomité
inzake
De werkgroep inzake informatieveiligheid heeft, in het kader van deze opdrachten, de verder in de tekst opgesomde richtlijnen uitgewerkt. Deze richtlijnen moeten de veiligheidsconsulenten in staat stellen om het kader waarbinnen zij hun opdrachten moeten uitvoeren, in te schatten, aangezien de richtlijnen betrekking hebben op de verschillende gebieden van de informatieveiligheid. Zij zullen ook een doeltreffende samenwerking tussen de veiligheidsconsulenten op het gebied van de beveiliging van het netwerk van de Kruispuntbank mogelijk maken. De richtlijnen beschrijven de te bereiken doelstellingen en niet de middelen om die te bereiken, aangezien laatste in elke instelling verschillend kunnen zijn. De werkgroep "Informatieveiligheid" wenste immers dat deze zouden kunnen worden toegepast in elke instelling die deelneemt aan het netwerk van de Kruispuntbank, al naargelang haar specifiek karakter. Bovendien kunnen ze in de toekomst worden aangepast, rekening houdend met de door de veiligheidsconsulenten, die de richtlijnen zullen toepassen, opgedane ervaring (notie van "feed-back"). De veiligheidsconsulent kreeg een belangrijke rol toebedeeld wat de praktische uitvoering van de richtlijnen betreft (keuze van de technieken, prioriteiten, enz.); om deze taak tot een goed einde te brengen kan hij de veiligheidshandleiding raadplegen die door de gespecialiseerde informatieveiligheidsdienst van de MvM wordt opgesteld. Hij mag echter in geen geval beslissingen nemen of uitvoeren, behalve in dringende gevallen en voorzover de persoon die is belast is met het dagelijks bestuur of zijn adjunct niet bereikbaar is. Wat de uitvoering van de beslissingen betreft, zijn alle personeelsleden die onder de leiding staan van de kaderleden en de hogere beheersinstantie ervoor verantwoordelijk. Men dient immers eraan te herinneren dat de verantwoordelijkheid van de veiligheidsconsulent zich beperkt tot het formuleren van adviezen te gelegener tijd en tot de ondersteuning van de opleiding, de motivering en de nodige controles. Hij moet rechtstreeks verslag uitbrengen aan de persoon die is belast met het dagelijks bestuur. Laatste moet hem bovendien schriftelijk de redenen van de niet-naleving van de belangrijke schriftelijke adviezen inzake veiligheid meedelen. 1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
-5-
We komen nogmaals op de richtlijnen terug en merken tevens op dat zij later als basis zullen dienen voor de voorbereiding van de minimumnormen inzake informatieveiligheid. Aan de hand hiervan kan worden bepaald of een instelling al dan niet gemachtigd is om deel te nemen aan het netwerk van de Kruispuntbank. Bovendien kan het Toezichtscomité (aan wie de richtlijnen als adviezen m.b.t. de informatieveiligheid worden overgemaakt) zich hierop steunen, in het geval het zich moet uitspreken over de waarde van de veiligheidsmaatregelen van een instelling. In deze fase lijkt het aangewezen om de aandacht te vestigen op het feit dat de richtlijnen een middelen- en geen resultatenverbintenis vormen. In dit opzicht wordt van de instellingen verwacht dat ze de richtlijnen uitvoeren. Slagen ze er niet in, dan kan dit hen niet verweten worden, indien ze kunnen aantonen dat ze alle middelen in het werk hebben gesteld teneinde de realisatie ervan te verwezenlijken. Tot slot dient te worden opgemerkt dat de richtlijnen zowel van toepassing zijn op het systeem als op de omgeving (deze termen worden in de tekst met de richtlijnen gedefinieerd). De informatieveiligheidsdienst moet bepalen welke elementen van zijn werkingsmiddelen tot het systeem behoren en welke tot de omgeving, want men mag niet uit het oog verliezen dat de elementen van het systeem een groter veiligheidsniveau vereisen dan die van de omgeving.
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
-6-
COMMENTAAR BIJ DE RICHTLIJNEN
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
-7-
Woord vooraf Enkel de richtlijnen waarvan de interpretatie voor moeilijkheden zouden kunnen zorgen, worden hierna toegelicht. De nummering heeft betrekking op de desbetreffende richtlijnen. 1.
Inleiding
1.1.
Draagwijdte van de richtlijnen
In de derde paragraaf van dit punt wordt bepaald dat de richtlijnen een middelenverbintenis vormen en geen resultatenverbintenis. Deze juridische termen kunnen als volgt worden gedefinieerd en toegelicht : *
resultatenverbintenis : in dit geval is het beoogde resultaat van fundamenteel belang. De verplichting wordt enkel nageleefd wanneer het beoogde resultaat wordt bereikt. Ze wordt niet nageleefd indien het resultaat uitblijft met alle gevolgen vandien (wie schade heeft geleden kan bijvoorbeeld een schadevergoeding eisen). Waarom het resultaat (fout of nalatigheid van betrokkene, overmacht, ...) is uitgebleven, is niet van belang. Doorslaggevend is het bereiken/uitblijven van het beoogde resultaat. Voorbeeld : de verkoop van een huis is een verbintenis tussen de eigenaar en de koper waarbij de koper de prijs moet betalen en de verkoper het huis moet afstaan;
*
middelenverbintenis : in een middelenverbintenis zijn de inspanningen van betrokkene om het beoogde resultaat te bereiken van belang en niet het resultaat. Bij het uitblijven van een resultaat moet worden nagegaan of betrokkene voldoende inspanningen heeft geleverd, m.a.w. of hij de vereiste middelen heeft aangewend om het beoogde resultaat te bereiken. Is dit het geval, dan is betrokkene zijn verplichting nagekomen, zelfs indien het resultaat niet optimaal is. Heeft betrokkene niet de vereiste inspanningen geleverd, dan wordt hij verantwoordelijk gesteld voor de gevolgen van zijn handeling. Voorbeeld : de medische behandeling is een verbintenis tussen de geneesheer en de patiënt met het volgende resultaat : een betere gezondheidstoestand van de patiënt. Indien de gezondheidstoestand van de patiënt niet is verbeterd na de behandeling door de geneesheer, betekent dit niet dat de geneesheer per definitie schuld heeft. Indien men medisch gezien niets kan verwijten aan de geneesheer, wordt hij op juridisch vlak niet verantwoordelijk gesteld.
1.2.
Definitie van het systeem en van de omgeving
In dit hoofdstuk wordt het onderscheid gemaakt tussen het systeem en de omgeving waarvoor verschillende veiligheidsniveaus zijn vereist. 1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
-8-
De informatieveiligheidsdienst moet bepalen welke elementen werkingsmiddelen tot het systeem behoren en welke tot de omgeving.
van
zijn
Nemen we als voorbeeld het fictief geval van een mini-computer, die door een instelling wordt gebruikt om de wedden te berekenen voor haar personeel, maar ook om opzoekingen te verrichten op x gegevens binnen het netwerk van de Kruispuntbank. Hier blijkt dat de veiligheidsconsulent zal bepalen dat het materiaal tot het systeem behoort en een hoger veiligheidsniveau vereist, aangezien de beschadiging of het verkeerd gebruik van deze mini-computer vanzelfsprekend ernstige gevolgen met zich kan meebrengen voor de werking van het netwerk van de Kruispuntbank en/of voor de instelling zelf. 2.
Acties inzake preventie
Dit deel omvat de drie grote acties inzake preventie, die hierna worden toegelicht : 1°)
De bedreigingen voorzien
De bedreiging is een voorteken van schade. Een gepast preventiebeleid begint steeds met een zo correct mogelijke kennis van de dreigende schade, zoals die er in werkelijkheid zou kunnen uitzien. De bedreigingen moeten dus worden geïdentificeerd en bestudeerd (risico-analyse). Een preventiebeleid dat niet aangepast is aan de werkelijke schade zal nooit volledig doeltreffend zijn. Het zal immers aan de werkelijke inhoud van de schade voorbijgaan. Men ziet bv. schade die er in feite geen is, terwijl andere belangrijke aspecten van de werkelijke schade uit het oog worden verloren. De schade heeft steeds drie dimensies die men niet uit het oog mag verliezen bij de evaluatie van de bedreigingen : -
de axiologische dimensie (of de dimensie die verband houdt met de waarde) Het is duidelijk dat, wanneer iets dat veel waarde heeft, beschadigd wordt, dit aanleiding kan geven tot grote verliezen. Zonder waardeverlies is er geen schade. Er bestaan echter talrijke soorten waarde die, gedeeltelijk of geheel, verloren kunnen gaan en enkel het verlies van de nuttige waarde kan in geld worden omgezet.
-
de dimensie tijd Schade neemt altijd tijd in beslag en hoe langer zij duurt, hoe omvangrijker zij wordt.
-
de dimensie ruimte Men is nooit alleen het slachtoffer van schade. Er is altijd een verplaatsing van de schade naar andere groepen of personen, volgens bepaalde principes. Deze principes hebben betrekking op de kwaliteit en de hoeveelheid van de banden die tussen de personen bestaan, evenals m.b.t. de omvang van de directe schade.
2°)
De verwezenlijking ervan voorkomen
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
-9-
Zodra de belangrijkste bedreigingen zijn geïdentificeerd, moeten de gepaste maatregelen worden getroffen om ze uit de weg te ruimen of om de verwezenlijking ervan te voorkomen. 3°)
"Feed-back"
Zowel de positieve als de negatieve resultaten van de preventieve acties moeten, in de toekomst, een verbetering van de veiligheid mogelijk maken. Het is dus belangrijk dat de veiligheidsconsulent leert van de opgedane ervaring om zich nog beter op de bedreigingen voor te bereiden en de verwezenlijking ervan te voorkomen. Tot slot zullen alle door de instellingen getroffen maatregelen onderworpen worden aan : -
toezicht (bijvoorbeeld: al wat door de alarmcentrales wordt opgespoord, zal aanleiding geven tot een gepaste opvolging door hiertoe bevoegd personeel);
-
testen. Detectie-apparatuur (bijvoorbeeld) die niet regelmatig wordt getest, kan defecten vertonen waardoor een bedreiging, die zich aan het voordoen is, niet kan worden opgespoord; deze defecten zouden zelfs aanleiding kunnen geven tot de verwezenlijking van de bedreiging;
-
aanpassingen want, primo, zowel het systeem als de omgeving maken een ontwikkeling door en, secundo, de notie van "feed-back" houdt de aanpassing of de verbetering van de maatregelen in, die werden getroffen in functie van de opgedane ervaring.
3.
De te voorkomen bedreigingen
3.2.
De menselijke bedreigingen
3.2.3. De toegangen tot de gebouwen en de lokalen De instellingen voeren deze richtlijn slechts uit nadat ze een inventaris hebben opgemaakt van hun toegangen (zowel tot de gebouwen als tot de lokalen) en van hun verschillende categorieën van personeelsleden (bijvoorbeeld : personeel, bezoekers, technici) waarin vermeld wordt tot welke lokalen, onder welke voorwaarden, op welk ogenblik en onder welk toezicht elk categorie toegang heeft. 3.3.
De logische bedreigingen
3.2.3. De gegevens 3.3.2.1.
De beveiliging van de gegevens
Hier worden alle gegevens bedoeld, ongeacht de aard van hun drager (bijvoorbeeld : magneetband, papier). a)
beschikbaarheid
Men moet er zich van vergewissen dat de gegevens beschikbaar zijn volgens de overeengekomen procedures en binnen de vastgelegde termijnen. b)
integriteit
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
- 10 -
Men moet er zich van vergewissen dat de gegevens ongewijzigd zijn gebleven (bijvoorbeeld : dat ze niet vervangen, vernietigd, vermenigvuldigd, gewijzigd werden of verloren gegaan zijn). De voornaamste bedreigingen op dat niveau zijn bijvoorbeeld : -
fouten in de programma's: diefstal; stroomonderbreking virussen, wormen, Troyan Horse of andere infecties.
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
- 11 -
c)
vertrouwelijkheid
Sommige gegevens worden als vertrouwelijk beschouwd; dit is het geval voor de medische persoonsgegevens. Men moet ervoor zorgen dat een niet-geautoriseerde persoon, die erin slaagt om er toegang toe te krijgen, ze niet kan lezen. 3.3.2.2.
De kwaliteit van de gegevens
De kwaliteit van een gegeven is niet identiek met de integriteit ervan. Integriteit staat voor een steeds goede toestand. Een informatie behoudt haar integriteit zolang ze niet valselijk wordt veranderd. Een onnauwkeurige en niet-actuele informatie is niet van goede kwaliteit. Het is belangrijk om voor de goede kwaliteit van de gegevens te zorgen (relevantie). Dit omdat een onjuist gegeven, m.b.t. het loon van een sociaal verzekerde (te laag ingeschat loon), dat wordt overgemaakt aan een instelling, die aan die persoon een achterblijvende uitkering moet uitbetalen, het bedrag van de uit te betalen uitkering volledig zou vervalsen. 3.3.2.3.
De gegevensuitwisseling binnen het netwerk van de Kruispuntbank
In dit hoofdstuk gaat het over de volgorde van de gegevens, nl. de volgorde waarin ze worden verstuurd. 3.3.3. De toepassingen 3.3.3.1. a)
De beveiliging van de toepassingen beschikbaarheid
Men moet zich ervan vergewissen dat de toepassingen toegankelijk zijn volgens de overeengekomen procedures en tijdens de afgesproken uren. b)
integriteit
Zoals voor de gegevens dient men ervoor te zorgen dat de toepassingen al dan niet vrijwillig worden veranderd (bijvoorbeeld: gewijzigd, vernietigd, vervangen). c)
vertrouwelijkheid
Men dient te verhinderen dat een niet-geautoriseerde persoon een toepassing kan lezen. 3.3.3.2.
De kwaliteit van de toepassingen
Hier definiëren we niet meer de notie van kwaliteit maar leggen we de nadruk op het feit dat het belangrijk is om toepassingen met documentatie te voorzien en die, voor alle veiligheid, bij te werken. Zo kan de programmeur die de toepassing niet heeft geschreven, maar die die toepassing moet wijzigen, de bestanddelen ervan beter begrijpen. 3.3.3.3.
De gegevensuitwisseling binnen het netwerk van de Kruispuntbank
De toepassingen moeten door hun gesprekspartner(s) worden erkend, m.a.w. de toepassen moeten, nadat ze zijn erkend, bewijzen dat ze het werkelijk zijn. Dit alles om te vermijden dat een niet-geautoriseerde toepassing (bijvoorbeeld : een kopie) een dialoog houdt met een geautoriseerde toepassing.
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
- 12 -
4.
De hervatting van de werkzaamheden na totale op beperkte ramp
4.4.
De informatie m.b.t. de ongevallen en voorvallen
De begrippen ongeval en voorval hebben niet dezelfde betekenis. Een ongeval wordt gedefinieerd als een gebeurtenis die schade heeft veroorzaakt. Een voorval daarentegen is een gebeurtenis die aanleiding had kunnen geven tot schade. Er dient echter te worden opgemerkt dat vaak herhaalde voorvallen vroeg of laat schade veroorzaken. Bij een ongeval of bij vaak herhaalde voorvallen hebben de instellingen er belang bij om informatieprocedures op te stellen, zodat ze hun partners hierover kunnen inlichten en als dusdanig kunnen trachten de stoornissen te voorkomen.
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
- 13 -
RICHTLIJNEN
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
- 14 -
1.
Inleiding
1.1
Draagwijdte van de richtlijnen
Richtlijnen opstellen inzake veiligheid in de vorm van voorschriften of te nemen maatregelen is een gewaagde opdracht, aangezien de instellingen die ze moeten toepassen op allerlei gebieden verschillend zijn (o.a. : opdrachten, informaticamateriaal, omgeving, rol binnen het netwerk van de Kruispuntbank). Daarom werd er overeengekomen dat de richtlijnen zouden worden opgesteld in de zin van te bereiken doelstellingen. Die richtlijnen vormen bovendien een middelenverbintenis en geen resultaatsverbintenis, aangezien ze een passend beveiligingsniveau moeten verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's. De instellingen winnen het advies van hun veiligheidsdienst in bij de uitvoering van deze richtlijnen.
1.2.
Definitie van het "systeem" en van de "omgeving"
De instellingen bepalen welke elementen van hun werkingsmiddelen (o.a. : lokalen, materiaal, software, elektriciteitsvoorziening, personeel), ingeval die beschadigd worden, ernstige gevolgen met zich zullen meebrengen voor de werking van de instelling zelf en/of van het netwerk van de Kruispuntbank. Dit samenhangend geheel van elementen vormt het "systeem". Het "systeem" ligt verankerd in een "omgeving" die uit vergelijkbare middelen bestaat. De hierna vermelde veiligheidsmaatregelen zijn in principe van toepassing zowel op het "systeem" als op de "omgeving". Aangezien de beschadiging van het "systeem" echter ernstige gevolgen met zich kan meebrengen voor de werking van de instelling zelf en/of voor het hele netwerk van de Kruispuntbank, en dus aan de basis kan liggen van ernstige zichtbare schade in de instelling zelf en/of in andere instellingen van sociale zekerheid, is een hoger veiligheidsniveau vereist voor het "systeem" dan voor de "omgeving". 2. Acties inzake preventie De instellingen dragen er zorg voor dat 1°) de bedreigingen worden voorzien, 2°) de toestand tijdig wordt bijgestuurd om de realisatie van de bedreiging tegen te gaan en 3°) uit de opgedane ervaring wordt geleerd om zo nodig de twee vorige acties te verbeteren (feed-back). Alle maatregelen die door de instellingen zullen genomen worden, zullen het voorwerp uitmaken van toezicht en aangepaste tests, evenals van geschikte aanpassingen.
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
- 15 -
3.
De te voorkomen bedreigingen
3.1.
De fysische bedreigingen
3.1.1.
Schade veroorzaakt door fysische bedreigingen (bv. : water, rook, brand, vochtigheid, temperatuur-schommelingen) De instellingen zorgen ervoor dat ze beschikken over een aangepaste bescherming tegen fysische bedreigingen.
3.1.2.
Elektriciteitsvoorziening De instellingen zorgen ervoor dat ze beschikken over een passende elektriciteitsvoorziening.
3.2.
De menselijke bedreigingen
3.2.1.
Schade veroorzaakt door menselijke handelingen, met of zonder opzet (bv. sabotage, diefstal, inbraak, staking, fout). De instellingen zorgen ervoor dat ze over een bescherming beschikken tegen dit soort bedreigingen.
1999 KSZ - BCSS
doeltreffende
http://www.ksz-bcss.fgov.be
- 16 -
3.2.2.
Het personeel. De instellingen zorgen ervoor dat het personeel m.b.t. de veiligheid wordt gesensibiliseerd, gemotiveerd en opgeleid. Zij zorgen ook voor de opstelling van aangepaste veiligheidsprocedures ingeval van aanwerving, ontslag, overplaatsing of afwezigheid van personeel. Verder dragen de instellingen zorg dat hun personeelsleden geen taken uitoefenen die onderling onverenigbaar zijn.
3.2.3.
De toegangen tot de gebouwen en de lokalen De instellingen zorgen ervoor dat enkel geautoriseerde personen de gebouwen en de lokalen betreden.
3.3.
De logische bedreigingen
3.3.1.
De toegang tot de hulpmiddelen (bv. : gegevens en programma's) De instellingen zorgen ervoor dat enkel geautoriseerde personen toegang krijgen, tot die hulpmiddelen die ze nodig hebben voor de uitoefening van hun taken.
3.3.2.
De gegevens
3.3.2.1.
De beveiliging van de gegevens De instellingen zorgen voor het behoud van de integriteit, de beschikbaarheid en de vertrouwelijkheid van de gegevens.
3.3.2.2.
De kwaliteit van de gegevens De instellingen zorgen ervoor dat hun gegevens terzake dienend zijn.
3.3.2.3.
De gegevensuitwisseling Kruispuntbank
binnen
het
netwerk
van
de
De instellingen zorgen ervoor, dat de verzonden gegevens hun integriteit, hun volgorde en hun vertrouwelijkheid bewaren en dat bovendien de instellingen die gegevens versturen of ontvangen, de verzending of de ontvangst ervan niet kunnen ontkennen. 3.3.3.
De toepassingen.
3.3.3.1.
De beveiliging van de toepassingen De instellingen zorgen voor de beschikbaarheid, de integriteit en de vertrouwelijkheid van hun toepassingen.
3.3.3.2.
De kwaliteit van de toepassingen De instellingen zorgen ervoor dat de toepassingen juist en van goede kwaliteit zijn. Zij zorgen ervoor dat van de toepassingen een documentatie wordt opgesteld.
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be
- 17 -
3.3.3.3.
De gegevensuitwisseling Kruispuntbank
binnen
het
netwerk
van
de
De instellingen zorgen ervoor dat alleen de toepassingen die geautoriseerd zijn, en die zich kunnen authentificeren t.o.v hun gesprekspartner, gegevens mogen meedelen 4.
De hervatting van de activiteiten ingeval van totale of beperkte ramp.
4.1.
De gegevens De instellingen zijn gehouden er zorg voor te dragen dat ingeval van totale of beperkte ramp, geen nuttige gegevens verloren gaan.
4.2.
Het heropstarten na ramp De instellingen treffen maatregelen, opdat zij ingeval van totale of beperkte ramp hun activiteiten zo snel mogelijk zouden kunnen hervatten. De instellingen moeten een rampenplan voor hun "systeem" opstellen (dit begrip wordt onder punt 1.2. gedefinieerd).
4.3.
De verzekeringen De instellingen bepalen of het nodig is om een verzekering af te sluiten inzake hardware- of softwareschade, immateriële schade, informaticafraude, aansprakelijkheid tegenover derden en informatica-projecten.
4.4.
De informatie De instellingen die het slachtoffer zijn van een ongeval of van een te groot aantal voorvallen verwittigen tijdig de instellingen die vatbaar kunnen zijn voor de stoornissen, veroorzaakt door deze ongevallen of voorvallen. Dit gebeurt aan de hand van procedures die ze onderling bepalen. Bovendien nemen ze de nodige maatregelen teneinde te voorkomen dat dergelijke stoornissen optreden. Brussel, 25 april 1994
1999 KSZ - BCSS
http://www.ksz-bcss.fgov.be