Gebruikerspolicy voor mobiele toestellen Information Security Guidelines Versie: 1.00
11 december 2013
ISMS (Information Security Management System)
Gebruikerspolicy voor mobiele toestellen
Version control – please always check if you are using the latest version. Doc. Ref. :isms.0046. gebruikerspolicy voor mobiele toestellen nl v 1 0.docx Release
Status
Date
Written by
NL_0.2
Draft
26/11/2012
Alain Houbaille
NL_1.0
Final
12/03/2013
Alain Houbaille
Edited by
Approved by
Opmerking: Dit document houdt rekening met de opmerkingen die geformuleerd werden door een werkgroep waaraan de volgende personen hebben deelgenomen: de heren Bochart (KSZ), Costrop (Smals), Lévêque (RJV), Houbaille (KSZ), Petit (FBZ), Perot (RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (RSZPPO), Van der Goten (RIZIV).
Gebruikerspolicy voor mobiele toestellen Information Security Guidelines Versie: 1.00
11 december 2013
INHOUDSOPGAVE 1.
INLEIDING ........................................................................................................................................................... 3
2.
SCOPE ................................................................................................................................................................. 3
3.
DOELGROEP ........................................................................................................................................................ 3
4.
RICHTLIJNEN ....................................................................................................................................................... 3 4.1. 4.2. 4.3.
ALGEMEEN ............................................................................................................................................................. 4 ORGANISATIE .......................................................................................................................................................... 5 VEILIGHEIDSPOLICY................................................................................................................................................... 5
5.
SANCTIES ............................................................................................................................................................ 7
6.
EIGENAAR VAN HET DOCUMENT ........................................................................................................................ 7
7.
REFERENTIES ....................................................................................................................................................... 7
8.
BIJLAGE A: LINK MET DE NORM ISO 27002 .......................................................................................................... 7
P2
Gebruikerspolicy voor mobiele toestellen Information Security Guidelines Versie: 1.00
11 december 2013
1. Inleiding Het gebruik van nieuwe mobiele toestellen zoals smartphones, tablets, enz. voor beroepsdoeleinden is onderworpen aan een reeks veiligheidsmaatregelen. Volgens de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid dient elke instelling immers de gepaste veiligheidsmaatregelen te treffen om zich te beschermen tegen de risico's die verbonden zijn met het gebruik van dit type toestellen. Dit document is gebaseerd op de veiligheidspolicy van Fedict inzake gebruik van mobiele toestellen, waarbij de volgende veiligheidsrisico's werden geïdentificeerd: • • • • •
Verlies van gevoelige informatie ten gevolge van diefstal, verlies van het mobiele toestel of de buiten gebruikstelling. Niet-intentionele verspreiding van gevoelige informatie Aanvallen door kwaadwillige codes zoals malware, spyware, … Aanvallen verbonden aan het gebruik van internet of e-mail, zoals phishing Aanvallen afkomstig van frauduleuze netwerken
Deze policy is van toepassing voor alle instellingen van sociale zekerheid.
2. Scope Deze policy omvat de richtlijnen voor het gebruik van deze mobiele toestellen voor alle instellingen van sociale zekerheid.
3. Doelgroep Ze is van toepassing op alle instellingen waarvan de medewerkers dergelijke mobiele toestellen gebruiken voor beroepsdoeleinden. Ze geldt zowel voor de mobiele toestellen die door de instelling ter beschikking worden gesteld als voor private mobiele toestellen.
4. Richtlijnen Hieronder volgen de richtlijnen die in acht moeten worden genomen om de informatieveiligheid te waarborgen, zowel op het vlak van de gegevens die aanwezig zijn op het mobiele toestel als op het vlak van het gebruik ervan zowel in een professionele als in een privé omgeving.. Deze policy is gekoppeld aan een policy inzake centraal beheer van mobiele toestellen. Deze policy dient effectief door de instelling te worden geformaliseerd. Er dient tevens een overeenkomst afgesloten te worden tussen de gebruiker en de instelling met betrekking tot het professioneel gebruik van het mobiele toestel. De term "mobiel toestel" slaat ook op tablets, netbooks, smartphones en elke andere computer of 1 telecommunicatietoestel dat buiten de instelling kan worden gebruikt.
1
Onder mobiele toestellen dienen in de eerste plaats smartphones en tablets te worden begrepen die gebruik maken van een mobiel besturingssysteem zoals Google OS (Android), iOS, Windows Mobile, Palm OS, Blackberry OS, ...
P3
Gebruikerspolicy voor mobiele toestellen Information Security Guidelines Versie: 1.00
11 december 2013
4.1. Algemeen 1.
Het beleid van de instelling op het vlak van informatieveiligheid blijft onverkort van toepassing in deze context.
2.
Deze policy geldt voor alle gebruikers die via dit soort toestellen toegang hebben tot de resources van de instelling.
3.
Het vereiste veiligheidsniveau voor dit type toestellen zal afhangen van de aard en de gevoeligheid van de gegevens waartoe potentieel toegang kan worden verkregen.
4.
Het gebruik van privé-toestellen voor beroepsdoeleinden kan enkel onder de volgende voorwaarden:
5.
a.
De gebruiksvoorwaarden dienen vastgelegd te worden op basis van een risico-analyse die rekening houdt met de legitieme behoeften (onder andere de gebruikte gegevens) en de gebruiksomstandigheden..
b.
De instelling heeft voldoende garanties dat de private mobiele toestellen over een gelijkaardig beveiligingsniveau beschikken als dat van de toestellen die door de instelling ter beschikking worden gesteld.
c.
De instelling waarborgt dat de toegang tot de gegevens van de instelling via dit type toestel enkel mogelijk is volgens het volgende principe: "Om het veiligheidsniveau van de gegevens van de instelling te waarborgen zal het vereiste beveiligingsniveau steeds evenredig zijn aan de aard en de gevoeligheid van de gegevens" (cf. 4.3.1.)
d.
Het private mobiele toestel van de eindgebruiker moet beheerd worden door de instelling in 2 overeenkomst met de tabel 4.3.1.A.
e.
Een gebruikersovereenkomst dient te worden voorgesteld door de instelling.
Indien deze toestellen zowel voor beroepsdoeleinden als privé-doeleinden kunnen worden gebruikt, dient de eindgebruiker de veiligheidsregels na te leven die door de instelling werden opgesteld. a.
De gebruiker dient steeds waakzaam te blijven wanneer hij deze mobiele toestellen voor privédoeleinden gebruikt, overeenkomstig deze richtlijnen en de specifieke richtlijnen inzake informatieveiligheid.
b.
Elke gebruiker is als enige verantwoordelijk voor het gebruik van het toestel. De gebruiker is zich bewust van de risico's die verbonden zijn aan dit soort toestellen - zeker in geval van verbinding met het informatiesysteem van de instelling - en zal daarom de veiligheidsregels naleven teneinde elk misbruik te voorkomen (bv. het downloaden van niet-toegelaten applicaties, zie 4.3.1), alsook verlies of diefstal te voorkomen.
c.
In geval van verlies of diefstal verwittigt de gebruiker onmiddellijk de bevoegde dienst, ook als het gaat om een privaat mobiel toestel dat voor beroepsdoeleinden wordt gebruikt.
6.
De instelling kan de conformiteit van deze toestellen inzake veiligheid controleren, teneinde de veiligheidsrisico's tot een minimum te beperken. Om het veiligheidsniveau te garanderen dient de instelling 3 controles in die zin te implementeren . De instelling is geenszins verantwoordelijk voor schade of voor de kosten als gevolg van het verlies of de diefstal van privé gegevens..
7.
De instelling verbindt zich ertoe om de gebruikers te sensibiliseren omtrent de goede praktijken inzake gebruik en hun verantwoordelijkheden.
8.
De instelling verbindt zich ertoe de privacy van de gebruiker te respecteren.
2
Indien het mobiele toestel een logische scheiding van de privé- en professionele omgeving ondersteunt, dan blijft de controle beperkt tot de professionele omgeving.
3
Steeds op basis van een wederzijds akkoord. P4
Gebruikerspolicy voor mobiele toestellen Information Security Guidelines Versie: 1.00
11 december 2013
4.2. Organisatie 1.
De bevoegde dienst van de instelling is verantwoordelijk voor de correcte implementatie van de veiligheidspolicy inzake mobiele toestellen.
2.
De ondersteuning door de instelling betreft enkel de middelen die door de instelling ter beschikking gesteld worden. Deze ondersteuning kan worden uitbesteed.
3.
Aan elke eindgebruiker die toegang wenst tot de informatie van de instelling via dit type toestel a.
zal de instelling de gebruikerspolicy, alsook een overzicht van het veiligheidsbeleid meedelen.
b.
De gebruiker zal de gebruikersovereenkomst ondertekenen en het veiligheidsbeleid in acht nemen.
4.
Door de ondertekening van deze gebruikersovereenkomst verklaart de gebruiker zich akkoord met de gebruikersrichtlijnen en wordt hij verantwoordelijk voor het gebruik.
5.
De instelling zal steeds de mogelijkheid hebben om de toegang tot de informatie van de instelling (gegevens aanwezig op de smartphone of bedrijfsresources) te blokkeren en de gegevens te wissen. Deze richtlijn moet expliciet opgenomen worden in de gebruikersovereenkomst.
4.3. Veiligheidspolicy 1.
Zoals beschreven in de algemene paragraaf 4.1, is het veiligheidsniveau dat vereist is voor de mobiele toestellen afhankelijk van de aard en de gevoeligheid van de gegevens. De tabellen hierna geven een overzicht van de veiligheidsrichtlijnen die toegepast dienen te worden in functie van drie technische modellen in verband met het beheer van deze toestellen.
A. Technische beheersmodellen in functie van de classificatie van de gegevens Data classification
Voorbeeld
Mobiel toestel zonder gecentraliseerd beheer
Mobiel toestel met gecentraliseerd beheer
Mobiel toestel met gescheiden omgevingen 4 5 (Isolatie / VDI )
Publieke gegevens
Site KSZ
J
J
J
Interne bedrijfsgegevens
Interne strategie, agenda, contacten, mail
Te bepalen
J
J
Vertrouwelijke bedrijfsgegevens
Boekhoudplan, DRP
N
Te bepalen
J
Persoonsgegevens
Persoonlijk dossier HR
N
Te bepalen
J
Sociale persoonsgegevens
gegevens RR
N
N
J
Medische gegevens
Medische gegevens
N
N
J
6
4
Isolatie: oplossing die het mogelijk maakt om strikt gescheiden omgevingen te creëren (professioneel en privé) op een mobiel toestel waarbij uitsluitend het professionele gedeelte onder controle staat van de werkgever 5 Virtual Device Interface: thin client geïnstalleerd op een mobile device die toelaat om via een beveiligde sessie op afstand te werken in een professionele omgeving. 6
De notie "te bepalen" betekent dat de instelling de gegevensset vaststelt die toegankelijk is op basis van de drie beheermodellen P5
Gebruikerspolicy voor mobiele toestellen Information Security Guidelines Versie: 1.00
B. Veiligheidsmaatregelen in functie van het beheersmodel
11 december 2013
7
Opgelegde implementatie van veiligheidsmaatregelen
Mobiel toestel zonder gecentraliseerd beheer
Mobiel toestel met gecentraliseerd beheer
Mobiel toestel gescheiden omgevingen (Isolatie / VDI)
Sensibilisering en responsabilisering (cf. 4.2.3)
J
J
J
Systeem voor gebruikersauthenticatie op het toestel
Aanbevolen
J
J
Vergrendeling van het toestel bij inactiviteit
Aanbevolen
J
J omgeving
Paswoordbeleid
Aanbevolen
J
J
Automatische blokkering na X verkeerde toegangscodes
N
Y
Y
Beveiligde communicatie voor toegang tot bedrijfsinformatie
J
J
J
Sterke authenticatie voor toegang tot bedrijfsinformatie
Aanbevolen
J
J
Controle van de aanwezigheid van een actieve antimalware software
Aanbevolen
J
J
Controle van de laatste update van de antimalware
N
J
J
Controle van het toegestaan niveau van 8 OS
N
J
J
Enkel de installatie van applicaties afkomstig van een betrouwbare bron toestaan
Aanbevolen
Aanbevolen
Aanbevolen / J in de omgeving van de instelling
Beperking van de connectiviteit bij de 9 toegang tot bedrijfsinformatie
Aanbevolen
J
J
Vercijfering van de gegevens op het toestel
Aanbevolen
Aanbevolen
Enkel bij isolatie is de vercijfering noodzakelijk
Blokkering op afstand
N
J
J
Verwijdering van de gegevens op afstand
N
J
J, binnen de omgeving van het mobiele toestel die voorbehouden is voor de instelling
Het IMEI-nummer van het toestel noteren
Aanbevolen
Aanbevolen
Aanbevolen
7
Niet beperkende lijst
8
Met inbegrip van jailbreaking, routing
9
Internetverbinding niet toegestaan P6
Gebruikerspolicy voor mobiele toestellen Information Security Guidelines Versie: 1.00
2. 3. 4. 5.
11 december 2013
De gebruiker zal de veiligheidsinstellingen niet wijzigen ook al is dit technisch mogelijk. De gebruiker zal het mobiel toestel niet “rooten” of “jailbreaken”. De gebruiker wordt verwittigd als het mobiele toestel niet conform is aan de veiligheidspolicy. Als het mobiele toestel niet conform is, wordt de toegang tot de bedrijfsresources geweigerd. In geval van verlies of diefstal wordt het toestel vergrendeld en, indien mogelijk en nodig, worden de gegevens gewist. Dit kan leiden tot het verlies van persoonlijke gegevens die op de smartphone zijn opgeslagen.
5. Sancties De niet-naleving van deze policy zal aanleiding geven tot een sanctie volgens de geldende reglementering binnen de instelling.
6. Eigenaar van het document De handhaving, opvolging en herziening van deze policy behoren tot de verantwoordelijkheid van de dienst Informatieveiligheid van de KSZ.
7. Referenties De gebruikte referenties zijn: - de minimale veiligheidsnormen 2011 van de KSZ - de ISO-norm 27002: 2005
8. Bijlage A: Link met de norm ISO 27002
Hieronder vermelden we de belangrijkste bepalingen van de norm ISO 27002 die verband houden met deze policy ISO-norm 27002 Veiligheidspolicy
Ja
Organisatie van de informatieveiligheid Beheer van de bedrijfsresources
Ja
Veiligheidsvereisten ten aanzien van het personeel
Ja
Fysieke veiligheid Operationele veiligheid Logische toegangsbeveiliging
Ja
Onderhoud en ontwikkeling van informatiesystemen Beheersing van veiligheidsincidenten Beveiliging van de informatie in het kader van de continuïteit van het bedrijf Naleving / audit
P7