Een voorstel van informatieveiligheidsbeleid bij de uitbouw van E-government door de federale overheidsdiensten Frank ROBBEN1 Administrateur-generaal Kruispuntbank Sociale Zekerheid Strategisch adviseur FEDICT Lid Commissie Bescherming Persoonlijke Levenssfeer
1. Inleiding E-Government is een grondige herdenking van de relaties en processen tussen de openbare diensten (in de ruime zin van het woord, met inbegrip van privaatrechtelijke instanties met een opdracht van algemeen belang, zoals ziekenfondsen of zelfstandigenkassen), de burgers en de ondernemingen, door gebruik te maken van opportuniteiten geboden door moderne technologieën, internet en nieuwe media. Het doel van E-government is een effectieve, efficiënte en snelle dienstverlening aan burgers en ondernemingen, die hen op een geïntegreerde wijze wordt aangeboden volgens hun leefwereld, en met een minimum aan administratieve formaliteiten. De inzet van de moderne technologiën biedt enorme opportuniteiten, maar houdt ook risico’s in, die degelijk moeten worden geanalyseerd en beheerd. Het succes van Egovernment is in belangrijke mate afhankelijk van het vertrouwen dat de betrokkenen terecht kunnen hebben in de beveiliging van de gebruikte informatiesystemen en in de nodige maatregelen ter bescherming van de persoonlijke levenssfeer. Er is nood aan een geïntegreerd informatieveiligheidsbeleid over alle (federale) overheidsdiensten heen. In deze bijdrage wordt een voorstel geformuleerd van een dergelijk beleid en van de wijze waarop het kan worden vorm gegeven. Achtereenvolgens worden een aantal mogelijke basisbeginselen van dergelijk beleid toegelicht, en een methodologie, een organisatiestructuur en een actieplan voorgesteld om dit beleid te concretiseren. De maatregelen inzake de bescherming van de persoonlijke levenssfeer worden behandeld als een geïntegreerd onderdeel van het informatieveiligheidsbeleid. De voorstellen in deze bijdrage hebben betrekking op de federale overheid. Mutatis mutandis zijn zij evenwel transponeerbaar naar andere overheidsniveau’s. Gezien Egovernment idealiter wordt uitgebouwd in nauwe samenwerking tussen alle overheidsniveau’s, is een gecoördineerde aanpak van de informatieveiligheid over deze niveau’s overigens hoogst wenselijk.
2. Basisbeginselen De informatieveiligheid bestaat uit de preventie van schade die kan worden toegebracht aan de goede werking van de federale overheid en de dienstverlening aan haar gebruikers, door de aantasting van haar middelen en procedures van (elektronische) informatieverwerking. Het uiteindelijk te beschermen voorwerp, en met name de goede werking van de federale overheid en de persoonlijke levenssfeer van alle betrokkenen, is van uitzonderlijk belang. Gepaste maatregelen zijn dan ook nodig voor het waarborgen van de integriteit, de beschikbaarheid, de vertrouwelijkheid, de niet-weerlegbaarheid, de 1
Voor meer informatie, zie http://www.law.kuleuven.ac.be/icri/frobben/index.htm
authenticiteit en de auditeerbaarheid van de informatie en de informatieverwerkende systemen. De informatisering van de federale overheidsdiensten en de toenemende samenwerking inzake informatiebeheer biedt uitzicht op enorme verbeteringen op het vlak van effectiviteit en efficiëntie. Maar tegelijkertijd worden nieuwe risico’s gelopen. De afzonderlijke federale overheidsdiensten zijn immers niet langer op zichzelf staande informatieverwerkende eenheden, maar onderdelen van een samenhangende groep. Door de groeiende samenwerkingsverbanden wordt de kans op en omvang van gereflecteerde schade op andere systemen dan waar de basisschade zich voordoet veel groter. De visie inzake informatieveiligheid en bescherming van de persoonlijke levensfeer dient dan ook gemeenschappelijk te worden vastgelegd. De uitvoering ervan in elke federale overheidsdienst behoort tot de basisverantwoordelijkheid van elke eindverantwoordelijke van deze dienst. Het voorkomen van schade die kan worden toegebracht aan de goede werking van de informatiesystemen van de federale overheid enerzijds en aan de persoonlijke levenssfeer van de betrokkenen anderzijds moet op de eerste plaats komen. Preventie is namelijk de beste manier van beveiligen. Het is de actie die vermijdt dat de schade optreedt, door het tijdig opmerken en wegnemen van de bedreigingen. Primaire preventie gaat voor secundiare en tertiaire preventie, die respectievelijk de reeds aangerichte schade herstellen en verhinderen dat de opgelopen schade nog verergert. Toch zijn de drie vormen van preventie nodig, omdat niet alle schade kan vermeden worden, ook niet bij het beste informatieveiligheidsbeleid. Bij het vastleggen van een veiligheidsbeleid is het nodig deze indeling in het oog te houden, daar ze aan het licht brengt dat sommige eenvoudige en weinig kostelijke maatregelen een groter gewicht hebben dan dure maar minder efficiënte acties. Dit brengt ons tot een volgend veiligheidsbeginsel, namelijk dat van de risico-afweging. Elke vooruitgang en vernieuwing is het resultaat van het opzoeken van goede risico's en het vermijden van slechte. Het wikken van de goede en de slechte risico's vergt een beredeneerde benadering: de kansen op het verwerven van winst moeten de kansen op het lijden van schade in aanzienlijke mate overtreffen. Door het opdrijven van de beveiliging kan voor een positieve balans worden gezorgd, maar ook de beveiliging brengt kosten mee die winst ernstig kunnen aantasten. De kansen op schade moeten weliswaar steeds zo klein mogelijk gehouden worden, maar tegen een redelijke prijs. De inspanningen inzake informatieveiligheid moeten dan ook gericht zijn op het bereiken van een redelijk evenwicht tussen het behalen van de winst- en het vermijden van de verlieskansen, die uit vernieuwende actie voortvloeien. Absolute veiligheid mag niet voorgesteld worden als een na te streven ideaal. Anders dreigt elke vernieuwing in de kiem te worden gesmoord. De beveiliging van een informatiesysteem is geen technisch produkt, dat door deskundigen in het systeem kan worden ingebouwd, maar volgt uit de zorgzame uitvoering van de dagelijkse opdracht van iedere persoon die bij de werking ervan betrokken is. Wie zich een veilige toekomst wil verzekeren, moet in de eerste plaats zelf voor zijn beveiliging zorgen. Daarom is het wenselijk veiligheid op te nemen als waarde in het waardenkader van elke medewerker van de federale overheid, als een goed dat permanent moet worden nagestreefd.
2
Een deskundige kan enkel raad geven, hulpmiddelen aanwijzen, toezicht houden, motiveren, aandacht trekken, oog en oor zijn voor de gevaren waaraan de bedienaars van het te beschermen systeem zijn blootgesteld. De beveiliging zelf moet hij overlaten aan hen die het systeem bedienen. Zij en niemand anders dragen dan ook de eerste verantwoordelijkheid voor de bescherming van het systeem. De sociale organisatie van de beveiliging is daarom een conditio sine qua non van gelijk welk veiligheidssysteem. Zelfs de beste technologische hulpmiddelen kunnen nooit de sociale controle vervangen. Zij kunnen het veiligheidsniveau ongetwijfeld verbeteren, maar in laatste instantie berust veiligheid op een efficiënte organisatie. Een informatiesysteem is zo veilig als zijn zwakste schakel. Een homogeen geheel van maatregelen is nodig, zoniet zijn de inspanningen zinloos. Daarom zijn maatregelen nodig op organisatorisch, juridisch, technisch en fysisch vlak. De veiligheidsproblematiek dient bovendien op een gestructureerde wijze aangepakt te worden en omvat in hoofdzaak de volgende fasen: de inventarisatie van de bestaande beveiligingssituatie, het vastleggen van prioriteiten in een veiligheidsbeleid, het concreet vertalen van het veiligheidsbeleid naar maatregelen vastgelegd in een veiligheidsplan, het implementeren van de geplande maatregelen, en het voortdurend toetsen of de bestaande maatregelen nog wel nodig zijn en worden nageleefd. Het voorstellen van een omnivalente modeloplossing inzake informatieveiligheid is onmogelijk. Een onderscheid dient te worden gemaakt tussen de algemene doelstellingen, die globaal kunnen worden vastgelegd, en de manier waarop deze doelstellingen worden gerealiseerd. Bij de keuze van de manier waarop de doelstellingen worden gerealiseerd dient voldoende ruimte te worden gelaten om optimaal in te spelen op de concrete behoeften en risico's van elke omgeving. Responsabilisering van de betrokkenen via het opleggen van gecontroleerde zelfregulering werkt in dit kader efficiënter dan overnormering van bovenuit. Veiligheid kan efficiëntie en gebruiksvriendelijkheid belemmeren en kost geld. Bovendien vernietigt de beste preventie, met name de primaire, de bewijzen van haar efficiëntie. Zij laat immers de schade niet ontstaan. Dit veroorzaakt mettertijd een valse indruk van nutteloosheid, gevolgd door verslapping van de aandacht en van de inspanning. Daarom is een volgehouden motivatie en sensibilisatie en de permanente investering in informatieveiligheid onontbeerlijk. Tegen het bijna wetmatig verval van de preventieve inspanning moet permanent en zeer bewust worden ingegaan. Dit vergt een voortdurende opvijzeling van de veiligheidsmoraal, zowel bij het kaderpersoneel als bij hun ondergeschikten. Misschien is dit wel een van de moeilijkste taken. Het informatieveiligheidsbeleid moet tenslotte conform zijn aan de geldende regelgeving, o.a. inzake de bescherming van de persoonlijke levenssfeer of de elektronische handtekening. De vormgeving van de informatieveiligheid kan best geschieden op basis van internationaal aanvaarde ISO-normen; in casu zijn vooral de ISO-norm 17799 (Code of practice inzake informatieveiligheid) en ISO-norm 15408 (Evaluatiecriteria voor ICT-veiligheid) van groot belang. In de onderstaande voorstellen wordt bovendien in ruime mate rekening gehouden met de ervaring inzake organisatie van de informatieveiligheid die de voorbije 15 jaar is opgedaan in de sector van de sociale zekerheid o.l.v. de Kruispuntbank van de Sociale Zekerheid.
3
3. De verdere uitbouw overeenkomstig de ISO-norm 17799 De verdere structuur van deze bijdrage is opgebouwd overeenkomstig de hoofddomeinen van beveiliging voorzien in de ISO-norm 17799, aangevuld met bijzondere maatregelen inzake de verwerking van persoonsgegevens en de externe communicatie inzake het informatieveiligheidsbeleid. De maatregelen inzake beleid, organisatie, beveiligingseisen t.a.v. personeel en classificatie (de 4 eerste hoofddomeinen van beveiliging krachtens de ISO-norm 17799) vormen de bouwstenen om de informatieveiligheid van de grond te krijgen. Ze zijn dan ook prioritair. De prioriteiten voor de andere domeinen zouden kunnen worden vastgelegd in de Permanente Stuurgroep Informatieveiligheid, waarvan de oprichting wordt voorgesteld. De ISO-norm 17799 noemt 3 bronnen voor het opstellen van prioriteiten: • de inschatting van de grootste risico’s; • de externe conformiteitsanalyse, met name de conformiteit met datgene wat wordt voorgeschreven door de wet of de contracten en wat goed gebruik is in de sector; • de interne conformiteitsanalyse, met name de gevolgen voor de informatiesystemen en hun veiligheid die voortvloeien uit de evoluerende bedrijfsdoelstellingen (vb. het federaal overheidsportaal moet 24/7 beschikbaar zijn aan goede performantie). Om prioriteiten te stellen, wordt aangeraden een baseline-toets door te voeren. Dit houdt in dat per informatiesysteem wordt nagegaan of een aantal baselinemaatregelen voldoende worden geacht als beveiligingsmaatregelen in functie van de drie vermelde bronnen. Enkel indien deze baseline-maatregelen niet voldoende lijken, wordt voorgesteld een gedetailleerde risico-analyse uit te voeren. In volgend schema wordt deze methode schematisch weergegeven:
baseline toets
baseline voldoende ?
nee
voer volledige risico-analyse uit
ja
voer baselinebeveiligingsmaatregelen uit
voer aanvullende geselecteerde beveiligingsmaatregelen uit
Bij het uitvoeren van de risico-analyse voor de informatiesystemen waarvoor de baseline-maatregelen niet volstaan, moeten de twee risico-aspecten, de mogelijke schade door een incident en de waarschijnlijkheid van een incident, worden afgezet
4
tegen de kost van de maatregelen om het risico te vermijden. De waarschijnlijkheid van een incident vloeit voort uit de mogelijke bedreigingen. bedreigingen
menselijke bedreigingen
fysische bedreigingen
opzettelijk
niet-opzettelijk
stroomonderbreking, brand, overstroming, vocht, aardbeving, temperatuurschommelingen, ...
intern (eigen werknemers, werknemers onderaannemers, ...)
extern (hackers, spionnen, concurrenten, ...)
intern (eigen werknemers, werknemers onderaannemers, ...)
extern (klanten, partners, leveranciers, ...)
ongeautoriseerde toegang, sabotage, staking, diefstal, ...
ongeautoriseerde toegang, sabotage, inbraak, bezetting, ...
nalatigheid, fout, onvoldoende awareness of kennis van regels, ...
fout, onveiligheid van hun informatiesystemen, ...
Een gedetailleerde risico-analyse is voor de federale overheidsdiensten gewenst in volgende gevallen: • voor informatie en informatiesystemen die voor de overheid een bijzonder belang hebben, te weten o informatiesystemen die gebruikt worden bij de verwerking van de als vitaal, kritisch, geheim of vertrouwelijk gelabelde informatie (zie lager, classificatie van informatie); o alle front office systemen (waaronder het federaal overheidsportaal); • in situaties waarin een beveiligingsincident de volgende gevolgen kan hebben o een ernstige aantasting van het vertrouwen in E-government of de overheid; o gevaar voor de veiligheid van de eigen medewerkers, externe personen of groepen; o ernstige vermindering van de dienstverlening aan burgers en ondernemingen; • in situaties waarin de schade van een eventueel incident groter is dan een te bepalen geldbedrag.
4. Voorstel van actieplan per domein van de ISO-norm 17799 4.1. Organisatie •
verder bouwend op de positieve ervaring met het Sectoraal Comité van de Sociale Zekerheid en de nieuwe Sectorale Comités bevoegd voor het Rijksregister en de Kruispuntbank Ondernemingen, wordt een systeem van
5
• •
• •
•
•
onafhankelijke Sectorale Comités uitgebouwd binnen de Commissie voor de Bescherming van de Persoonlijke Levenssfeer; deze Sectorale Comités worden samengesteld uit enerzijds leden van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer en anderzijds onafhankelijke experten m.b.t. de materie waarvoor het betrokken comité bevoegd is; elke mededeling van persoonsgegevens door een federale overheidsdienst moet voorafgaandelijk worden toegestaan door het bevoegde Sectoraal Comité; daarnaast kan elk Sectoraal Comité aanbevelingen en adviezen formuleren inzake veiligheid en de bescherming van de persoonlijke levenssfeer t.a.v. de overheidsdiensten waarvoor het bevoegd is, klachten van betrokkenen inzake onrechtmatige schendingen van hun persoonlijke levenssfeer tegen die overheidsdiensten behandelen en externe informatieveiligheidsaudits bij die overheidsdiensten organiseren alle machtigingen tot uitwisseling van persoonsgegevens verstrekt door de Sectorale Comités worden gepubliceerd op een (reeks van onderling gelinkte) website(s) een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer wordt aangeduid in elke federale overheidsdienst; voor kleinere federale overheidsdiensten is een gezamenlijke consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer mogelijk; de consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer heeft een duidelijk functieprofiel (o.a. de taken van de aangestelde voor de gegevensbescherming in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna genoemd Wet Verwerking Persoonsgegevens), en een adviserende, documenterende, sensibiliserende en intern auditerende taak inzake informatieveiligheid); hij heeft een gereglementeerd statuut, dat een onafhankelijke taakuitvoering waarborgt2 door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer wordt een permanente opleiding georganiseerd voor de consulenten inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer een Permanente Stuurgroep Informatieveiligheid wordt ingesteld bestaande uit de consulenten inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer van de federale overheidsdiensten en de consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer van de Kruispuntbank van de Sociale Zekerheid een gespecialiseerde informatieveiligheidsdienst wordt ingesteld, eventueel verderbouwend op de reeds bestaande dienst in de sociale sector, om de consulenten inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer te ondersteunen bij hun opdracht een Permanent Comité inzake Informatieveiligheid wordt ingesteld, dat is samengesteld uit een beperkt aantal leden gekozen door de Permanente Stuurgroep Informatieveiligheid in zijn schoot en het afdelingshoofd van de gespecialiseerde veiligheidsdienst als stuwende kracht voor de Permanente Stuurgroep Informatieveiligheid
2
Voor een voorbeeld van dergelijk statuut, zie het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid, B.S., 21 augustus 1993, raadpleegbaar op http://www.ksz.fgov.be, rubriek Wetgeving – Veiligheid van gegevens.
6
•
•
•
elke concrete externe elektronische uitwisseling van persoonsgegevens door een federale overheidsdienst wordt in principe (uitzonderingen kunnen worden voorzien) door een derde partij, onafhankelijk van betrokkenen bij uitwisseling o preventief getoetst op confirmiteit met de machtigingen verstrekt door het bevoegde Sectoraal Comité; o gelogd; minimale veiligheidsnormen worden uitgewerkt binnen de Permanente Stuurgroep Informatieveiligheid en goedgekeurd door de Ministerraad, met een planning van implementatie; elke voorzitter van een federale overheidsdienst moet jaarlijks in een schriftelijke, ondertekende verklaring aangeven in welke mate zijn dienst aan de minimale veiligheidsmaatregelen voldoet, en deze verklaring overmaken aan de Commissie voor de Bescherming van de Persoonlijke Levenssfeer een verplichting tot het systematisch vastleggen van de verplichting tot naleving van veiligheidsmaatregelen in overeenkomsten met verwerkers van persoonsgegevens wordt ingesteld
4.2. Informatieveiligheidsbeleid •
via een systeem van stapsgewijze verfijning, worden policies, richtlijnen, architectuur, standaarden, procedures en technieken ter concretisering van het informatieveiligheidsbeleid vastgelegd, overeenkomstig de prioriteiten vastgesteld door de Permanente Stuurgroep Informatieveiligheid; de policies zouden telkens de volgende structuur kunnen hebben o materieel toepassingsgebied: waarover handelt de policy; o personeel toepassingsgebied: op wie is de policy van toepassing; o definities van de begrippen gehanteerd in de policy; o algemene principes: vaststelling van regels en verantwoordelijkheden; o vereisten en verwijzingen naar andere policies; o sancties, o.a. voortvloeiend uit reglementering, bij niet-naleving van de policy; o verwijzing naar richtlijnen, architectuur, procedures, standaarden en technieken om de policy na te leven; o datum van validatie van de policy door de betrokken instanties; o aanduiding van de verantwoordelijke voor het onderhoud van de policy;
4.3. Classificatie van de informatie •
•
het doel van de classificatie is het bepalen van het vereiste beschermingsniveau van elk stukje informatie, rekening houdend met twee dimensies o de belangrijkheid voor de continuïteit van de werking van en de dienstverlening door de overheid (indeling in bijvoorbeeld vitaal, kritisch, nodig, nuttig); o de gevoeligheid in het licht van de bescherming van de persoonlijke levenssfeer (indeling in bijvoorbeeld publiek, intern, vertrouwelijk, geheim); het toepassingsgebied van de classificatie-oefening betreft de informatie (vnl. persoonsgegevens) gebruikt voor de dienstverlening aan burgers, ondernemingen en ambtenaren, ongeacht de drager waarop ze worden bewaard 7
• •
de classificatie-methode wordt uitgewerkt in samenwerking met de werkgroep Infosec van het Ministerieel Comité voor Inlichtingen en Veiligheid de informatie wordt gelabeld in functie van de classificatiecriteria
4.4. Beveiligingseisen t.a.v. het personeel • • • • •
•
•
•
•
de beveiligingstaken en –verantwoordelijkheden worden opgenomen in alle functie-omschrijvingen waarvoor dit relevant is; als gevoelig beschreven functies worden als dusdanig aangeduid in de functie-omschrijving sollicitanten voor gevoelige functies worden gescreend een geheimhoudingsverklaring wordt getekend door alle personeelsleden, en verschijnt regelmatig op het scherm bij het opstarten van de persoonlijke computers er wordt gezorgd voor awareness, opleiding en training van alle medewerkers inzake informatiebeveiliging en bescherming van de persoonlijke levenssfeer onder coördinatie van de Permanente Stuurgroep Informatieveiligheid, worden in elke federale overheidsdienst procedures vastgelegd voor de rapportering van informatieveiligheidsincidenten en ernstige informatieveiligheidsrisico’s aan de consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer onder coördinatie van de Permanente Stuurgroep Informatieveiligheid, wordt in elke federale overheidsdienst een werkwijze vastgelegd om de gemelde incidenten en risico’s door de consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer te laten analyseren en passende maatregelen voor te stellen in een studie wordt nagegaan of de (disciplinaire) sancties bij niet-naleving van of inbreuk op de maatregelen inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer voldoende aanwezig zijn, en, zo niet, worden bijkomende sancties voorzien er wordt voor gezorgd dat de (disciplinaire) sancties bij niet-naleving van of inbreuk op maatregelen inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer voldoende bekend zijn, o.a. door ze op te nemen in de geheimhoudingsverklaring en door grote ruchtbaarheid te geven in de gevallen waarin sancties worden toegepast er wordt gezorgd voor gepaste maatregelen bij de beëindiging van een arbeidsrelatie met een personeelslid
4.5. Fysieke beveiliging van de omgeving •
• • •
er zijn ruimten beschikbaar die goed beveiligd zijn tegen onrechtmatige beïnvloeding van buitenuit, onrechtmatige toegang, inbraak, water, brand, ... en de ICT-middelen die kritische bedrijfsprocessen ondersteunen zijn ondergebracht in deze ruimten de stroomvoorziening voor ICT-middelen die kritische bedrijfsprocessen ondersteunen is gewaarborgd kabels en golven zijn beveiligd, in het bijzonder tegen aftappen een procedure voor de import en de export van bedrijfsmiddelen, o.a. bij onderhoud en reparaties, is schriftelijk vastgelegd en wordt toegepast 8
•
regels voor de omgang met persoonsgebonden bedrijfsmiddelen (vb. laptop’s, handhelds, mobiele telefoons, inbeltokens, ...) die toegang geven tot beschermenswaardige informatie zijn schriftelijk vastgelegd en worden toegepast
4.6. Beheer van de communicatie- en bedieningsprocessen • • • • •
• •
•
3
de verdeling van de verantwoordelijkheden voor het beheer en het onderhoud van alle ICT-middelen en alle delen van de ICT-infrastructuur is schriftelijk vastgelegd en geschiedt dienovereenkomstig alle bedieningsprocedures en procedures voor incidentafhandeling zijn, rekening houdend met de nodige functiescheiding, o.a. tussen ontwikkeling en productie, schriftelijk vastgelegd en geschieden dienovereenkomstig de huisregels voor de dagelijkse gang van zaken (vb. backup’s, verbod op gebruik computerspelletjes, deontologie inzake gebruik van internet, afsluiten van apparatuur, ...) zijn schriftelijk vastgelegd en worden toegepast elke stap in de levenscyclus van elke toepassing, met inbegrip van de acceptatiescenario’s, is schriftelijk gedocumenteerd de 6 domeinen van de ITIL-methodologie inzake service support en de 2 eerste domeinen van de ITIL-methodologie inzake service delivery3 zijn geïmplementeerd o service support configuration management; incident management; problem management; change management; service/help desk; release management; o service delivery service level management; capacity management; er zijn preventieve maatregelen voor beveiliging van alle informatiesystemen tegen virussen en kwaadaardige software procedures voor de omgang met informatiedragers (tapes, diskettes, casettes, ...) zijn schriftelijk vastgelegd en worden nageleefd, met o.a. regels inzake o de opslag en toegang ertoe; o het transport; o de vernietiging; netwerken worden beheerd volgens schriftelijk vastgelegde procedures, vooral wanneer ze gekoppeld worden met externe netwerken; daarbij wordt o.a. aandacht besteed aan o scheiding van interne en externe netwerken; o periferiebeveiliging van interne netwerken (firewalls, ...); o authenticatie van componenten t.o.v. mekaar; o intrusion detection; o toepassing van encryptietechnieken waar nodig;
Zie http://www.itil-itsm-world.com
9
•
interchange agreements worden schriftelijk vastgelegd voor het gebruik van netwerkdiensten, in het bijzonder netwerkdiensten gebruikt voor externe samenwerking, met o.a. o service level agreements inzake beschikbaarheid en performantie; o een duidelijke verdeling van de verantwoordelijkheden inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer (o.a. inzake het veilig gebruik van identificatie- en authentificatiemiddelen, de niet-weerlegbaarheid, de beschikbaarheid);
4.7. Verwerking van persoonsgegevens • •
• • • • •
•
voor elke verwerking van persoonsgegevens wordt een verantwoordelijke voor de verwerking vastgesteld de persoonsgegevens in het algemeen worden verwerkt overeenkomstig de beginselen vervat in de Wet Verwerking Persoonsgegevens o doelgebondenheid: persoonsgegevens worden slechts verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden; de doeleinden van de verdere verwerking zijn verenigbaar met de doeleinden van de initiële verwerking; o evenredigheid: de verwerkte persoonsgegevens zijn toereikend, ter zake dienend en niet overmatig in functie van de doeleinden van de verwerking; o nauwkeurigheid: de verwerkte persoonsgegevens worden, indien nodig, bijgewerkt, verbeterd of gewist; o redelijke bewaarduur: de persoonsgegevens worden niet langer bewaard dan nodig voor de verwezenlijking van de doeleinden van de verwerking; de gevoelige persoonsgegevens, gezondheidsgegevens en gerechtelijke persoonsgegevens worden verwerkt overeenkomsyig de bijzondere regelen terzake vastgelegd in de Wet Verwerking Persoonsgegevens de verantwoordelijke voor de verwerking informeert de betrokkene bij de inzameling van persoonsgegevens of bij de registratie/mededeling van persoonsgegevens de verantwoordelijke voor de verwerking doet een voorafgaandelijke aangifte van de verwerking bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer, tenzij de verwerking is vrijgesteld van dergelijke aangifte de verantwoordelijke voor de verwerking verstrekt aan zijn medewerkers informatie m.b.t. de gegevensbeschermende bepalingen de verantwoordelijke voor de verwerking controleert regelmatig de informatiesystemen die persoonsgegevens verwerken op conformiteit met de aangifte aan de Commissie voor de Bescherming van de Persoonlijke Levenssfeer procedures worden schriftelijk vastgelegd en toegepast, die de betrokkene toelaten om zijn rechten op kennisname, mededeling, verbetering, verzet, verwijdering of niet-aanwending van persoonsgegevens uit te oefenen
10
4.8. Toegangsbeveiliging •
• • •
• •
• •
een beleid inzake toegangsbeheer wordt schriftelijk vastgelegd en toegepast; het is o.a. gestoeld op o de bepaling van rollen; o de bepaling van autorisaties met tijdsvensters gekoppeld aan de rollen; o de bepaling welke personen, fysieke ressources en toepassingen welke rollen uitoefenen en dus welke autorisaties bezitten; identificatie- en authenticatiemiddelen (user-id/paswoord, token, digitaal certificaat, elektronische handtekening, ...) worden vastgelegd voor mensen, fysieke ressources en toepassingen gebouwen worden gesegmenteerd, beveiligingsringen worden aangebracht en toegangscontrolemaatregelen tot plaatsen worden geïmplementeerd toegangscontrolemaatregelen tot fysieke ressources (computers, kasten, netwerken, ...) door gebruikers (mensen of andere fysieke ressources) worden schriftelijk vastgelegd en geïmplementeerd, met bijzondere aandacht voor persoonsgebonden bedrijfsmiddelen (vb. laptop’s, handhelds, mobiele telefoons, inbeltokens, ...) toegangscontrolemaatregelen tot (onderdelen van) toepassingscode worden schriftelijk vastgelegd en geïmplementeerd toegangscontrolemaatregelen tot toepassing(sonderdelen) en diensten(onderdelen) door interne en externe gebruikers (mensen of andere toepassingen of diensten) (vb. call back) worden schriftelijk vastgelegd en geïmplementeerd ICT-middelen worden automatisch geblokkeerd na een periode van inactiviteit alle toegangen en uitgevoerde handelingen worden gelogd
4.9. Ontwikkeling en onderhoud van systemen •
• •
•
•
er worden schriftelijk veiligheidsrichtlijnen vastgelegd die moeten worden nageleefd bij de ontwikkeling van nieuwe toepassingen, en deze richtlijnen worden toegepast; daarbij wordt de nodige aandacht besteed aan o de scheiding van functies; o audit trails tijdens de ontwikkeling; o het uitwerken van een degelijke documentatie van de toepassingen; o het regelmatig nemen van tussentijdse backup’s; de ontwikkelingsomgeving wordt beveiligd regels voor het inbouwen van beveiliging in toepassingen en diensten, vooral extern toegankelijke toepassingen en diensten (validatie van ingevoerde gegevens, controle van totalen, verificatie van authenticiteit van naar objecten opgezonden berichten, ...) worden schriftelijk vastgelegd en toegepast procedures worden schriftelijk vastgelegd en toegepast inzake uit te voeren technische en functionele testen vooraleer een toepassing in productie kan worden gesteld; de procedures bevatten duidelijke go/no-go-punten; de testen worden verricht op basis van zo exhaustief mogelijke testscenario’s en op een omgeving die gescheiden is van de productie-omgeving een methode wordt schriftelijk vastgelegd en toegepast voor de analyse van de impact van wijzigingen in besturingssystemen en gebruikte standaardsoftware
11
•
op de beschikbaarheid en de veiligheid van de toepassingen; de toepassing van deze methode waarborgt de blijvende toegankelijkheid tot de informatie en de blijvende bruikbaarheid van de toepassingen in de gewijzigde omgeving op basis van grondige testen vóór de inproductiestelling van de wijzigingen een procedure wordt schriftelijk vastgelegd en toegepast voor de vernietiging van informatie, indien de verdere verwerking ervan niet meer is toegestaan omwille van de toepassing van het evenredigheidsbeginsel of van de bezetting van het grondgebied
4.10. Continuiteitsmanagement • • • •
• •
back-upprocedures voor toepassingen en informatie worden schriftelijk vastgelegd en toegepast de code van en de schriftelijke documentatie m.b.t. de laatste versie van alle toepassingen wordt bewaard op een beveiligde plaats buiten de productielocatie de onderdelen van de informatiesystemen, zeker van degene die vitale en kritische bedrijfsprocessen ondersteunen, worden ontdubbeld (geen single points of failure) een continuïteitsplan voor het hele informatiesysteem wordt schriftelijk vastgelegd en ter beschikking gesteld van alle betrokkenen o te beginnen met de vitale en kritische componenten en processen; o met een inventaris van de benodigde middelen en competenties voor elke component en elk proces; o met een beschrijving van de acties, de verantwoordelijkheden en de procedures bij noodsituaties (ter plaatse of elders); o met een beschrijving van de vervolgacties en –procedures bij noodsituaties om de normale bedrijfsvoering te herstellen; o met een beschrijving van de scenario’s voor het testen van het continuïteitsplan met de betrokken derden; het continuïteitsplan wordt jaarlijks uitgetest met de betrokken derden en een rapport wordt opgesteld over de resultaten met het oog op permanente verbetering de informatiesystemen waarvoor dit verantwoord is, worden verzekerd tegen fysische bedreigingen zoals brand, overstroming of aardbeving en tegen diefstal
4.11. Interne en externe controle op de naleving •
•
een permanente interne controle op de naleving van de wetgeving, de policies, de richtlijnen, de architectuur, de procedures en de standaarden en op het ongewenst gebruik van ICT-voorzieningen (vb. gebruik van ICT voor nietbedrijfsdoeleinden, ...) geschiedt door de consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer een regelmatige externe controle op naleving van de wetgeving, de policies, de richtlijnen, de architectuur, de procedures en de standaarden geschiedt door een externe auditor i.o.v. de voorzitter van de federale overheidsdienst, van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer of van het bevoegde Sectoraal Comité
12
• •
•
de controlemiddelen en de te controleren informatiesystemen en loggings zijn, met ondersteuning van de ICT-afdeling, eenvoudig toegankelijk voor de interne en externe contole monitoring systemen zijn beschikbaar voor de consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer, die permanent mogelijke inbreuken op de wetgeving, de policies, de richtlijnen, de architectuur, de procedures en de standaarden en op ongewenst gebruik van de ICT-voorzieningen aan de orde stellen elke verantwoordelijke van een verwerking van persoonsgegevens ziet regelmatig toe op de naleving van de in de overeenkomsten vastgelegde veiligheidsmaatregelen door de eventuele verwerkers van persoonsgegevens
4.12. Communicatie van het beleid inzake veiligheid en de bescherming van de persoonlijke levenssfeer naar het publiek •
•
•
het geïntegreerde informatieveiligheidsbeleid gesteund op preventie, de daartoe geïmplementeerde informatieveiligheidsstructuur en het feit dat voor elke bouwsteen en elk project inzake E-government vanop de tekenplank aandacht wordt besteed aan de veiligheid en de bescherming van de persoonlijke levenssfeer wordt gecommuniceerd aan het Parlement, via de pers en op de website van de betrokken federale overheidsdienst bij de voorstelling van elke bouwsteen of project aan het publiek of de pers wordt een onderdeel opgenomen over de veiligheid en de bescherming van de persoonlijke levenssfeer, waarbij de risico’s worden overlopen, wordt aangegeven hoe wordt voorkomen dat deze risico’s zich voordoen en de impact ervan wordt beperkt, en welke baten het nemen van de overblijvende risico’s verantwoordt tezamen met de Dienst Externe Communicatie van de Kanselarij van de Eerste Minister wordt een communicatiestrategie uitgewerkt om, in geval van inbreuken op de veiligheid of de bescherming van de persoonlijke levenssfeer, informatie te kunnen verstrekken over de toedracht en om aan te geven welk maatregelen worden genomen om verdere schade te vermijden en gelijkaardige schade in de toekomst te voorkomen
5. Besluit Het is dringend nodig dat over de onderscheiden overheidsniveau’s en -diensten heen een coherent beleid wordt uitgewerkt inzake informatieveiligheid en de bescherming van de persoonlijke levenssfeer. Hopelijk kunnen de ideeën uit deze bijdrage daartoe een aanzet geven. ______________________________
13
