ICT-Veiligheidsbrochure
Inhoud
Bedoeling van dit document.................................................................................................................1 ICT-veiligheidsbeleid: algemene informatie voor het VUB personeel................................................2 Praktische Richtlijnen...........................................................................................................................4 ICT-veiligheids- en privacy richtlijnen voor het ATP...........................................................................5 ICT veiligheidsbeleid: informatie voor het ICT personeel...................................................................6 ICT veiligheidsbeleid: informatie voor het academisch personeel......................................................8
Bedoeling van dit document Het ICT veiligheidsplan is een omvangrijk beleidsinstrument. In de dagelijkse realiteit van de diverse medewerkers van de instelling is er nood aan pertinente informatie, aanbevelingen van “goede praktijk” en concrete richtlijnen, vandaar deze brochure. Elkeen wordt verzocht de hoofdstukken “ICT-veiligheidsbeleid: algemene informatie voor het VUB personeel” en “Praktische richtlijnen” te lezen en daarnaast minstens het hoofdstuk gerelateerd aan de eigen functie: ATP, ICT personeel of academisch personeel.
ICT-Veiligheidsbrochure
3 november 2014
1
ICT-veiligheidsbeleid: algemene informatie voor het VUB personeel Naast de expliciete regelgeving, vervat in de privacy wetgeving, is het respecteren van de persoonlijke levenssfeer een belangrijk principe, waar de VUB volledig achterstaat. De Raad van Bestuur keurde in maart 2013 het ICT veiligheidsplan goed, plan dat naast de algemene en specifieke maatregelen die via computer- en netwerk-teams genomen en opgevolgd worden, tevens een actief informatiebeleid initieert. Voor incidenten werd een intern communicatie- en actiekanaal opgezet. Gebruikers kunnen een technisch veiligheidsprobleem aanmelden met een elektronisch postbericht naar
[email protected], incidenten van “persoonlijke” aard kunnen rechtstreeks gemeld worden aan de veiligheidsconsulent via
[email protected] . Door zijn vele publieke koppelingen: met studenten, vorsers, andere instellingen, met zijn diverse categorieën personeel en uiteenlopende taken is een universiteit erg kwetsbaar.1 Discretieplicht geldt als regel voor alle personeelsleden. Tevens wordt het “intern spreekrecht vermeld”, dat personeelsleden toelaat, met het oog op het verbeteren van de organisatie, de werking van de dienst en de persoonlijke ambtsuitoefening de nodige informatie te delen met zijn collega’s, met ondergeschikten en hiërarchische meerderen. Naast de maatregelen die genomen worden door de ICT beheerders: eenduidige en persoonlijke identificatie, authenticatie en bescherming van de gebruikers van netwerk en servers, zijn er een aantal basisregels waar we hier graag uw aandacht op willen vestigen. De informatica-infrastructuur wordt beveiligd via identificatie, authenticatie van de individuele gebruikers en door toegang te bieden, zoals nodig voor de te vervullen rollen tot de vereiste toepassingen en modaliteiten, waaronder de toegang tot zowel persoonlijke als bedrijfsgerichte documenten Het is dus aangewezen dat u NOOIT login (VUB netid)/paswoord doorgeeft aan een andere persoon of ingeeft bij een elektronische opvraging, waar die ook vandaan komt. Paswoorden dienen ook veilig te zijn en geregeld veranderd te worden. Zodra men u een vraag stelt, waarbij naar persoonsgebonden informatie van uzelf of van een andere persoon wordt gepolst, dient uw aandacht te verscherpen en voor zover u de vraagsteller niet ondubbelzinnig kunt identificeren, weigert u te antwoorden (elektronisch, verbaal of per telefoon) en signaleert u dit via uw hiërarchische overste. Indien, voor het uitoefenen van uw normale werkzaamheden bredere toegangsrechten nodig zijn, dan dient dit via uw identiteit te gebeuren, nooit via het aannemen van een “valse” identiteit. Directe chefs/leidinggevenden mogen hun ondergeschikten niet vragen het wachtwoord van hun persoonlijk VUB account mee te delen. Voor onderzoek dat persoonsgegevens omvat, voor het opzetten van gegevensuitwisselingskanalen (bij voorbeeld voor 1
In het artikel: “Beroepsgeheim en discretieplicht in het hoger onderwijs – een korte samenvatting van de belangrijkste principes”, geven auteurs Ruth Stokx en Luc Faes een duidelijk inzicht; er wordt een verschil gemaakt tussen “discretieplicht” naar de “buitenwereld” toe, waartoe alle personeelsleden gehouden zijn en “beroepsgeheim” waaraan specifieke personeelsleden zoals medisch en psychologisch personeel maar ook de ICT-systeembeheerders gehouden zijn
ICT-Veiligheidsbrochure
3 november 2014
2
DHO rapportage), zodra persoonsgegevens uitgewisseld worden met externe instanties aan de VUB, dienen machtigingen gevraagd te worden aan de “Commissie voor de Bescherming van de Persoonlijke Levenssfeer”. Doorgaans is voor biomedisch onderzoek ook het akkoord nodig van een “ethisch comité”. Bedrijven die in onderaanneming in contact komen met persoonsgegevens van de instelling, dienen sluitende overeenkomsten te tekenen. Voor verdere inlichtingen en ondersteuning: Veiligheidsconsulent VUB,
[email protected]
ICT-Veiligheidsbrochure
3 november 2014
3
Praktische Richtlijnen -
Paswoorden verander elke 90 dagen je paswoord samenstelling paswoord: minimaal 8 karakters lang en een mengeling van alfanumerieke en specifieke tekens (+, !, %) (nooit je geboortedatum, namen van partners, familie, kinderen of huisdieren) deel het aan niemand mee gebruik best delegatiemechanismen (zoals e-mail alias) om toegang tot gegevens te delen verander het onmiddellijk indien je vreest dat iemand het kent
-
Fysieke veiligheid Elektronische documenten en gegevens opgeslagen in databases zijn minder kwetsbaar en geven minder aanleiding tot verlies dan papier indien rekening gehouden wordt met onderstaande vuistregels: laat je PC niet onbeheerd achter. Log telkenmale uit of vergrendel je scherm wanneer je je werkpost verlaat sluit de deur van je kantoor wanneer je niet aanwezig bent. Vooral mobiele toestellen zijn aan diefstal onderhevig maak PC’s en andere hardware vast via een veiligheidskabel (zeker mobiele toestellen) maak elke dag back-ups of bewaar je bestanden op een file server of op geheugensticks indien er gebruik gemaakt wordt van een “cloud” toepassing voor bestandenopslag, plaats er dan enkel versleutelde bestanden op zorg voor goed beheer van je encryptiesleutels
-
Virussen en malware Virussen en malware worden vnl. verspreid via e-mail (openen bijlagen), het uitwisselen of downloaden van bestanden, het gebruik van geïnfecteerde opslagmedia (USB-stick), computergames en sommige gratis aangeboden software pakketten, of “illegale” software. Het anti-virusprogramma op je PC wordt automatisch up-to-date gehouden. Hou er evenwel rekening mee dat
nieuwe virussen niet altijd gedetecteerd worden. Incidenten van persoonlijke aard:
[email protected] (veiligheidsconsulent VUB)
Steeds je hiërarchische chef op de hoogte brengen verander nooit de instellingen van je anti-virussoftware, tenzij je de expertise hebt gebruik enkel software die door de werkgever ter beschikking wordt gesteld gebruik enkel databronnen (DVD, USB, …) waarvan de oorsprong gekend is, virussen verspreiden zich bijvoorbeeld ook via USB-geheugensticks open geen e-mails en/of bijlagen waarvan de afzender niet gekend is of onbetrouwbaar lijkt gebruik enkel “remote desktop” van buiten de instelling via een beveiligd VPN (virtual private network) antivirussoftware is via het Rekencentrum beschikbaar (http://softweb.vub.ac.be/index.php)
-
Delen van informatie / gegevens / data zorg er voor dat enkel toegang wordt gegeven aan diegenen die deze gegevens nodig hebben data die vallen onder de privacywetgeving (personeelsgegevens, persoonlijke gegevens van studenten, studieresultaten, …) worden nooit doorgegeven aan derden tenzij er toestemming werd gegeven door de hiërarchische lijn of een gemandateerde.
-
Melding van incidenten Technisch veiligheidsprobleem:
[email protected]
Meldpunt voor veiligheidsincidenten:
[email protected] Incidenten van persoonlijke aard:
[email protected] (veiligheidsconsulent VUB)
Steeds je hiërarchische chef op de hoogte brengen
ICT-Veiligheidsbrochure
3 november 2014
4
ICT-veiligheids- en privacy richtlijnen voor het ATP Privacy en ICT-veiligheid zijn belangrijke aandachtspunten voor iedere medewerker, niet enkel van het ICTdepartement. De administratieve diensten komen per definitie in contact met vele “niet werknemers”zoals de studenten, maar ook met externe instellingen. Dit gebeurt via diverse kanalen: fysiek bezoek van de betrokken persoon, via valva's web-sites, per telefoon, per elektronische en/of fysieke post. Het is dan ook belangrijk dat het personeel de reflex van aandacht voor het zorgvuldig persoonsgegevens-beheer wordt aangeleerd: discretieplicht maakt deel uit van eenieders deontologische code. Veiligheidsrichtlijnen zijn er om te zorgen dat: data enkel toegankelijk zijn voor personen die gerechtigd zijn deze gegevens te zien de integriteit en authenticiteit van gegevens gewaarborgd blijven de IT-infrastructuur gevrijwaard blijft van virussen het risico op hacking zo klein mogelijk is het aantal incidenten beperkt wordt en juridische acties of gezichtsverlies voor de instelling voorkomen worden. Een incident is elke gebeurtenis die de vertrouwelijkheid, het bestaan, de juistheid of de toegankelijkheid van opgeslagen informatie aantast of in gevaar brengt. Voorbeelden (niet exhaustief): je paswoord is gecompromitteerd, poging tot hacking, virus aanwezig, bestanden zijn verdwenen, gegevens werden veranderd, verlies of diefstal van ITapparatuur. Praktische aanbevelingen: Centraal beschikbare gegevens: - maximaal gebruik maken van “centrale gegevensbanken” met persoonsgegevens (personeelslijsten, studentenlijsten, …) - correctie/aanvulmogelijkheid van de centrale databanken Eigen lijsten: - enkel indien absoluut niet te vermijden: aanleggen van eigen lijsten (tabellen, spreadsheets, …) - “eigen” gegevens uitermate goed beschermen (encryptie) - “eigen” gegevenslijsten vernietigen wanneer niet meer relevant. Interne gegevens Om hun opdracht te vervullen, komen de leden van de centrale administratie in contact met zeer gevoelige persoonsgegevens; persoonlijke dossiers, loopbaangegevens, adviezen, … . Discretie en zorg op het gebied van gegevensafhandeling (weze het op papieren of op elektronische drager) zijn hier zeker aan de orde en de gepaste richtlijnen dienen per geval in acht genomen. Uitwisseling met de buitenwereld Wanneer gegevens extern opgevraagd worden dient men uitermate voorzichtig te zijn: is de externe partij effectief authentiek (bvb. niet verifieerbaar per telefoon!) bestaat er wel zekerheid over wie de gegevens opvraagt, heeft deze persoon wel het recht dit te weten? onrechtstreekse opvragingen, zoals punten vragen van student X, gewoon om te weten of die student wel aan de VUB studeert. Wanneer gegevens de instelling verlaten (wegens rapportage aan de overheid, gegevensuitwisseling met andere instellingen) dient men er maximaal over te waken dat de uitgewisselde bestanden zo weinig mogelijk persoonsgegevens bevatten en in overeenstemming zijn met een overeenkomstige machtiging vanwege de “Commissie ter bescherming van de persoonlijke levenssfeer” ook wel “Privacycommissie” genoemd. Toegangsrechten Personeelsleden dienen toegang te hebben tot de gepaste gegevens voor het uitvoeren van hun taak, maar ook niet meer dan dat. Het gebruikers- en toegangssysteem is in overeenstemming met deze rechten; daarenboven worden de toegangen tot de databanken met persoonsgegevens gelogd.
ICT-Veiligheidsbrochure
3 november 2014
5
ICT veiligheidsbeleid: informatie voor het ICT personeel Onder ICT medewerkers verstaan we zowel interne als externe medewerkers die de ICT infrastructuur (servers, netwerk, helpdesk) beheren. Vanuit de aard van hun werk komen ICT medewerkers rechtstreeks of onrechtstreeks in contact met persoonsgegevens: dit geeft aanleiding tot een aantal specifieke richtlijnen betreffende veiligheid en privacy. Enerzijds zijn ICT medewerkers gebonden door discretieplicht of beroepsgeheim, overeenstemmend met de beroepsactiviteit waarbij een netwerk- of systeembeheerder de-facto inzage mogelijkheid heeft in bestanden met confidentiële inhoud; daarnaast is er meldingsplicht wanneer onregelmatigheden of misbruiken waargenomen worden Paswoordenbeheer - In het kader van zijn opdracht heeft de ICT medewerker de goedkeuring om een “ geheim” paswoord voor het VUB personeel aan te maken of aan te passen, zonder dat hij zelf kennis heeft van dit paswoord. ( het is sterk aan te raden dat het VUB ICT systeem zo wordt geconfigureerd dat automatisch paswoorden genereert zonder dat er tussenkomst nodig is door een ICT medewerker ), moest het paswoord toch gekend zijn door de ICT medewerker, dan dient de infrastructuur zo aangepast of ingesteld te zijn dat de VUB medewerker na een eerste gebruik van het “standaard paswoord” gedwongen word om dit zelf te veranderen naar een persoonlijk paswoord, waarvan enkel de VUB medewerker de inhoud kent. -
In het kader van zijn opdracht heeft de ICT medewerker de goedkeuring om een “ geheim” paswoord voor het VUB personeel aan te maken of aan te passen, doch uitzonderlijk kan de inhoud van het “standaard” paswoord door de ICT medewerker gekend zijn. De ICT medewerker mag de inhoud van een “geheim” paswoord enkel aanpassen naar het “ standaard paswoord” , na “ schriftelijke “ goedkeuring van de betrokken VUB medewerker.
-
Een ICT medewerker kan via een hiërarchische meerdere nooit de opdracht krijgen om een paswoord, van een VUB medewerker zonder diens schriftelijke toestemming, te wijzigen of naar het standaard paswoord aan te passen, zodat de mogelijkheid ontstaat dat de persoonlijke gegevens en data van de VUB medewerker consulteerbaar worden, door andere personen dan de VUB medewerker.
back-ups - Op periodieke tijdstippen worden er veiligheid kopieën ( back-ups) gemaakt van de e-mails, de data en sommige persoonlijke gegevens van de individuele VUB werknemer, deze kopieën worden voor langere tijd bewaard op schijven en data tapes. Op deze manier worden digitale gegevens bewaard voor verschillende maanden en of zelf jaren, en kan men bij wijze van spreken teruggaan in de tijd, en op een bepaald tijdstip eerder gemaakte gegevens terugplaatsen in het systeem. ( bvb : een backup gemaakt op 01-01-2012 bevat de gegevens die op die dag ter beschikking waren, op 01-06-2012 worden deze gegevens uit het systeem verwijderd zodat ze niet meer consulteerbaar zijn, op 01-01-2013 beslist men de gegevens vervat in de backup van 01-01-2012 terug te plaatsen in het systeem, waardoor deze gegevens vanaf 01-01-2013 opnieuw consulteerbaar zijn) Wanneer uit beroepsredenen blijkt dat er mail, data of persoonlijke gegevens van een VUB werknemer dient terug geplaatst te worden in het systeem, en op deze manier de inhoud opnieuw consulteerbaar wordt door andere VUB werknemers, kan dit enkel mits een schriftelijke toestemming van de VUB werknemer waartoe deze mail, data of persoonlijke gegevens oorspronkelijk toebehoorde. -
Indien de oorspronkelijke eigenaar van de in een back-up opgeslagen gegevens niet meer in staat is om zijn schriftelijke toestemming te geven voor het terug ter beschikking stellen van deze gegevens ( vb 1: na overlijden van de VUB werknemer, vb2: de VUB werknemer heeft zijn arbeidscontract met de VUB verbroken en is beroepsmatig niet langer verbonden met de VUB ), kunnen deze gegevens enkel teruggeplaatst worden mits toestemming van de ICT directeur die beslist of de vraag tot het terugplaatsen van de gegevens relevant is voor de werking, en of in het algemeen belang van de VUB, De ICT directeur brengt de hoofdverantwoordelijken van de werknemers delegaties actief en erkend op de VUB van zijn beslissing op de hoogte via een schrijven, evenals de reden en motivatie van deze beslissing. De VUB veiligheidsconsulent wordt hiervan op de hoogte gesteld.
-
Persoonlijke gegevens en mails, van een VUB medewerker, die beschikbaar komen na het terugplaatsen van een backup mogen nooit geconsulteerd en of gebruikt worden met de bedoeling kennis te verwerven van
ICT-Veiligheidsbrochure
3 november 2014
6
gegevens uit de privésfeer van de VUB werknemer, tenzij in de context van een gerechtelijk onderzoek. -
Indien de ICT medewerker in het kader van zijn opdracht, persoonlijke informatie of data van een VUB medewerker kan raadplegen, kan dit enkel met de goedkeuring en medeweten van de betrokken VUB medewerker.
-
De ICT medewerker mag in geen enkel geval, hetzij op vrijwillige basis, hetzij via een opdracht door zijn hiërarchische meerdere, deze informatie of zelfs een deel hiervan vrijgeven aan andere dan de betrokken VUB medewerker.
Externe communicatie -
Gegevensstromen van en naar de buitenwereld dienen met bijzonder aandacht behandeld te worden. Wanneer persoonsgegevens worden uitgewisseld dient dit steeds onder geëncrypteerde vorm te gebeuren. Indien de bestemmeling of de oorsprong buiten de instelling ligt, dan is een machtiging van de Privacy commissie nodig en dan bepaalt deze machtiging de grenzen die in acht dienen genomen te worden.
Exitprocedure Wanneer een werknemer de VUB verlaat, in het bijzonder wanneer het een ICT -medewerker is, dient er overdracht te gebeuren van de gegevens. Dit wordt best vooraf (van bij de aanwerving) via een exitprocedure voorzien. De overdracht kan ook per brief geregeld worden, wanneer het betrokken personeelslid niet meer fysiek op de instelling aanwezig kan zijn.
ICT-Veiligheidsbrochure
3 november 2014
7
ICT veiligheidsbeleid: informatie voor het academisch personeel Omdat informatie een kostbaar goed is in een organisatie, zijn de privacy en veiligheid van de gegevens van de Vrije Universiteit Brussel van cruciaal belang. De academische personeelsleden spelen een belangrijke rol in het beveiligen van informatie en dienen dus verantwoord om te gaan met gegevens betreffende collega's, studenten en externen aan de instelling. Het is zeer belangrijk te beseffen dat alle gegevens die te maken hebben met anderen“persoonsgegevens” zijn en dat deze gegevens met zorg en discretie behandeld moeten worden. We denken bijvoorbeeld aan studentenlijsten, examenresultaten, maar tevens aan onontbeerlijke onderzoeks-gebonden persoonsgegevens. Wanneer voor een onderzoek persoonsgegevens dienen verwerkt te worden, dan is hiervoor een machtiging vanwege de “Privacy Commissie” nodig. De “veiligheidsconsulent” kan u hierbij assisteren. Met het oog op de vrije uitwisseling van ideeën in een open academische sfeer respecteert de VUB langs haar kant de privacy van haar personeelsleden en studenten in elke vorm van elektronische communicatie. Elektronisch verkeer wordt niet gemonitord tenzij een acuut veiligheidsprobleem vermoed wordt (gehackt account, e-commerce, …) en dit na het volgen van de geijkte procedures, of tenzij een juridische enquête bevolen wordt door een onderzoeksrechter. Alle gebruikers van computers die eigendom zijn van de universiteit of die door haar beheerd worden moeten zorgvuldig met de hardware omspringen, de rechten van de andere gebruikers respecteren en zich schikken naar de licentievoorwaarden van de geïnstalleerde software. Voor computers die niet door de centrale informaticadiensten beheerd worden dient in het bijzonder aandacht geschonken te worden aan volgende punten: - Gebruik veilige wachtwoorden, vooral voor accounts met administrator rechten -
Stel uw computer veilig in (gebruik virusscanner, firewall…)
-
Update de software regelmatig, vooral uw “operating system”.
-
Gebruik geen P2P filesharing programma’s (BitTorrent, Vuze,…)
-
Externe bestandenopslag: (Google drive, etc …) daarop enkel geëncrypteerde gegevens plaatsen
-
Blijf ten allen tijde meester van uw gegevens: enquêtes alleen op bekende servers binnen de instelling en encrypteer steeds persoonsgegevens
-
Maak van uw persoonlijke computer geen bestanden- of webserver
-
Wees alert voor malware (bvb. bij downloaden programma’s)
-
Maak regelmatig back-ups
-
Werk altijd met legale software
Indien een veiligheidsincident of poging tot inbraak (hacking) wordt vastgesteld dienen de bevoegde centrale diensten daarvan onmiddellijk op de hoogte gebracht. (
[email protected]). Voor elke werkwijze die gehanteerd wordt waarbij er een mogelijk ICT veiligheidsrisico optreedt (bijvoorbeeld in het kader van een experiment), dient er vooraf goedkeuring gevraagd te worden aan de ICT veiligheidsraad, onderdeel van de ICT raad. In de regel wordt aan derden geen toegang gegeven aan informatie. Uitzonderingen kunnen enkel toegestaan worden door de eigenaar van de gegevens, deze oordeelt over de opportuniteit van het vrijgeven op basis van de noodzaak, de geldende wetgeving, eventuele contractuele verplichtingen en de gevoeligheid van de informatie. Persoonsgegevens vereisen steeds een machtiging vooraleer uitwisseling toegestaan is. Neem ook steeds de nodige preventieve maatregelen om ongeoorloofd gebruik te voorkomen. Zo is het bijvoorbeeld aangeraden om zo weinig mogelijk vertrouwelijke gegevens op mobiele toestellen en dragers te bewaren en indien dit toch nodig zou zijn, deze te encrypteren.
ICT-Veiligheidsbrochure
3 november 2014
8
