Informatieveiligheid Omdat het moet!?
ShoptIT 8 mei 2014 Ivan Stuer
Omgevingsanalyse
Cloudaanbieder failliet, hoe red ik mijn bedrijfsdata? Nirvanix’s cloud service customers were apparently notified about a shutdown at the end of the month a little over a week ago, leaving them with very little time to migrate over to a new cloud storage service provider — which is not exactly an easy task.
Omgevingsanalyse
Omgevingsanalyse lokale overheid
?
Maar ook op papier
Waar eindigen al de papieren versies van (OCMW) raadsdocumenten?
Staan printers in publiek toegankelijke ruimten?
En in de cloud
Waarneming Praktijk
Verwarring bij gemeenten en OCMW’s
Geen toegang tot bepaalde bronnen
Toegevoegde waarde van de Veiligheidsconsulent?
Informatieveiligheid
Informatieveiligheid Maak informatieveiligheid inzichtelijk voor het management en mandatarissen 3 grote domeinen voor lokale overheden: • Technisch • Privacy/persoonsgegevens • Procedures
Informatieveiligheid Omdat het moet! Enkel omwille van wetgeving??
Informatieveiligheid: technisch Kennisdag informatieveiligheid V-ICT-OR 2012
Principes informatieveiligheid:
CIA
14
Informatieveiligheid: technisch Gemeenten en OCMW hebben over het algemeen al de nodige technische maatregelen getroffen om hun infrastructuur en data te beschermen. Omdat het moet? -> geen alternatief Geen antivirus -> netwerk plat Geen backup –> dataverlies Geen firewall -> hacking Geen spamfilter -> email onbruikbaar
Informatieveiligheid: technisch Geïmplementeerd door leverancier of eigen systeembeheerder op basis van eigenbelang, vakkennis of jobfierheid Redelijk ‘eenvoudig’. Voldoende aanbod, voldoende kennis bij leveranciers, Voldoende producten antivirus, firewall, proxy, intrusion detection, backups, noodgenerator, Ontdubbeling serverpark & opslag, redundantie, wachtwoordbeleid, loggings…
-> procedureel opgevolgd of vastgelegd?
Informatieveiligheid: privacy Bescherming van persoonsgegevens Omdat het moet? - corporate governance - afgedwongen door wetgeving
Wettelijk kader Belangrijkste spelers: KSZ (OCMW’s) CBPL Privacycommissie VTC Vlaamse toezichtscommissie
Verschillende rollen Informatieveiligheid Bron: Informatieveiligheid bij de integratieoefening OCMW - gemeente Information Security Guidlines Versie : 1.00 21 december 2011
Wie
Wat
Wet / domein
OCMW
Informatieveiligheidsconsulent
KSZ 15/1/93
Gem/OCMW
Veiligheidsbeheerder
Beheer ambtenarentoken
Gemeente
Veiligheidsconsulent CBPL
Aanbeveling CBPL
Gemeente
Consulent informatieveiligeheid en bescherming privacy
RR 8/8/83
OCMW
Verantwoordelijke Toegangen Entiteit (VTE)
Toegang toepassingen sociale zekerheid
OCMW
Lokale beheerder portaaltoepassingen sociale zekerheid / eHealth
Gem/OCMW
Informatiebeheerder
Gem/OCMW
Verantwoordelijke voor de verwerking
Verwerking persoonsgegevens 8/12/92
Gem/OCMW
Aangestelde voor de gegevensbescherming
Verwerking persoonsgegevens 8/12/92
KSZ
Minimale Veiligheidsnormen
Veiligheidsconsulent
Veiligheidsplan
Informatieveiligheid Volgen van reglementen en procedures
Waarom?
Garanties bieden aan burgers voor veilige verwerking van persoonsgegevens door de Vlaamse instanties 2 ledig - evenwicht: efficiënte en effectieve dienstverlening garanderen; bescherming persoonlijke levenssfeer.
Vlaamse Toezichtcommissie
23
Informatieveiligheid
De
privacywet:
wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP) http://vtc.corve.be/wetgeving.php
Vlaamse Toezichtcommissie
24
Informatieveiligheid
Definitie van persoonsgegeven: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon … = zeer ruim = niet beperkt tot privacy/persoonlijke levenssfeer
Vlaamse Toezichtcommissie
25
Informatieveiligheid
Definitie van verantwoordelijke voor de verwerking Niet de IT-dienst Niet de personeelsleden WEL het management – het hoofd van de entiteit = verantwoordelijk voor de Vlaamse naleving van de privacywet Toezichtcommissie 26
Informatieveiligheid HOE
De principes van de privacywet naleven:
Finaliteit
Proportionaliteit
Transparantie
Veiligheid
Vlaamse Toezichtcommissie
27
Informatieveiligheid
Het
e-govdecreet:
Decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer http://vtc.corve.be/docs/egov_decreet.pdf
Vlaamse Toezichtcommissie
28
Informatieveiligheid
Artikel 6: verplichtingen Vlaamse Bestuursinstanties
§ 1. De instanties zijn in ieder geval verplicht : 1° persoonsgegevens te verwerken overeenkomstig de privacywet;
2° bij iedere nieuwe toepassing van het elektronische bestuurlijke gegevensverkeer vooraf adequate technische en organisatorische maatregelen in te bouwen voor de naleving van de privacywet; 3° op elk moment te waken over de kwaliteit en de veiligheid van gegevens en alle maatregelen te treffen om een perfecte bewaring van persoonsgegevens te garanderen; 4° de toezichtcommissie te ondersteunen bij de vervulling van haar opdrachten; 5° de toezichtcommissie informatie te verstrekken en inzage in alle dossiers en informatieverwerkende systemen te verschaffen telkens als ze daarom vraagt. Vlaamse Toezichtcommissie
29
Informatieveiligheid
Artikel 8: machtigingsverplichting
De elektronische mededeling van persoonsgegevens door een instantie vereist een machtiging van de Toezichtcommissie[...]
Vlaamse Toezichtcommissie
30
Informatieveiligheid
Artikel
9: Veiligheidsconsulent
Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, § 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten.
Vlaamse Toezichtcommissie
31
Informatieveiligheid
Artikel
9: Veiligheidsconsulent
advies en aanbevelingen omtrent de uitvoering van het veiligheidsbeleid; onder rechtstreeks gezag van verantwoordelijke voor dagelijks bestuur; kennis over informatieveiligheid en informaticaomgeving van de instantie; voldoende tijdsbesteding; geen onverenigbaarheid
http://vtc.corve.be/docs/E_GOV_decreet_BVR_VEILIGHEID.pdf http://vtc.corve.be/docs/Aanvraag_advies_aanstelling_veiligheidsconsulent.doc
Vlaamse Toezichtcommissie
32
Informatieveiligheid
Sancties: niet naleven privacywet is strafbaar verwerking/gegevensstroom kan worden stopgezet tuchtsancties/ontslag Schadeclaims Vertrouwen in de overheid krijgt een deuk
Vlaamse Toezichtcommissie
33
Informatieveiligheid 34
Voorwaarden in machtigingen Veiligheidsconsulent Veiligheidsplan machtiging treedt pas in werking voor lokale besturen die voldoen aan voorwaarden
Vlaamse Toezichtcommissie
Richtsnoeren informatieveiligheid
Wat? Geïntegreerd document met alle wet- en regelgeving Geënt
op ISO27002
Beperkte Sterke Goed
subset
focus op persoonsgegevens
begin informatieveiligheid voor lokale besturen
Juridische inslag ! RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS IN STEDEN EN GEMEENTEN, IN INSTELLINGEN DIE DEEL UITMAKEN VAN HET NETWERK DAT BEHEERD WORDT DOOR DE KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID EN BIJ DE INTEGRATIE OCMW – GEMEENTE Versie: 2.0
Informatieveiligheidstool
Ontwikkeld door V-ICT-OR
Leidt u door de richtsnoeren
Zelfevaluatie van risico, impact, controle en maturiteit
Bevragingstool: Wat? 1.
Richtsnoeren verwerkt in on-line vragenlijst
2.
Met maturiteit & risico indicatie
3.
Aangevuld met ‘levend’ handboek
4.
Veiligheidsplan als output!
Informatieveiligheid
Hoe verankeren binnen de organisatie?
Hoe krijgen we het gedragen?
Informatieveiligheid: procedureel
Technische maatregelen treffen en een veiligheidsconsulent inhuren zijn GEEN voldoende garantie voor informatieveiligheid
Er is procedurele verankering nodig binnen de organisatie
Organisatiebeheersing
Risicoanalyse Behandelt
en -beheersing in alle processen
per definitie informatieveiligheid binnen de organisatie (en dus ook technische maatregelen en bescherming van persoonsgegevens)
Organisatiebeheersing en informatieveiligheid 44
ICT-beveiliging is het geheel van maatregelen (voorschriften, processen, activiteiten,…)
dat ervoor zorgt dat informatiesystemen (bedrijfs- en bestuursprocessen)
een optimale bescherming genieten (rekening houdend met het kosten-baten principe)
op het vlak van : Vertrouwelijkheid Privacy Integriteit Beschikbaarheid (BCM !) Vlaamse Toezichtcommissie
Organisatiebeheersing en informatieveiligheid
Bescherming van persoonsgegevens geldt in meeste domeinen organisatiebeheersing HR: personeelsgegevens Communicatie: klantengegevens, cookies, sociale media, … Facilitair: gebouwinfrastructuur, toegang, bewaking Cultuur: deontologie, awareness, sociale media
ICT: natuurlijk
Financiele dienst : betaalgegevens, boekhouding Archief,…..
Vlaamse Toezichtcommissie
45
Management
Informatieveiligheid en –risicobeheersing is een essentieel onderdeel van vele management modellen of methodologieën
ISO27002 (uiteraard)
ITIL
COBIT
COSO
PMI/Prince2
ISACA
ISO27001/2
ISO norm voor Informatieveiligheid
Als basis voor regels VTC en KSZ (en dus ook de richtsnoeren)
CIA & FP
Confidentialiteit
Integriteit
Availability
Finaliteit
Proportionaliteit
ISO27001/2
Principes:
Deming Circle: Plan, Do, Check, Act Security Controls Risk assessment
Nieuwe versie legt ook de link naar andere management modellen!
ISO27001
Domeinen Security policy Controleobjectieven Organization of information security En risicobeheersing Asset management Human resources security Physical and environmental security Communications and operations management Access control Information systems acquisition, development and maintenance Information security incident management Business continuity management Regulatory compliance
50
COSO
COSO • COSO identificeert de relaties tussen de ondernemingsrisico’s en het interne beheersingsysteem. • COSO hanteert hierbij de gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën: • bereiken van de strategische doelstellingen (Strategic) • effectiviteit en efficiëntie van bedrijfsprocessen (Operations) • betrouwbaarheid van de (financiële) informatieverzorging (Reporting) • naleving van relevante wet- en regelgeving (Compliance) Overgenomen door overheid voor Interne Controle (Art 99 GD)
Gemeentedecreet
COSO 1.
Controleomgeving is de basis integriteit, de ethische waarden en deskundigheid van het personeel, de managementstijl en zijn filosofie, de organisatiecultuur, het beleid rond delegatie van bevoegdheden en verantwoordelijkheden, het HRM-beleid, ….
2.
Risico analyse op omgeving
3.
Beheer en controle activiteiten
4.
Informatieveiligheid
5.
Monitoring (interne & externe audit)
COBIT
55
Vlaamse Toezichtcommissie
ITIL V2 – operationeel
Incident mgmt
Problem mgmt
Change mgmt
Release mgmt
Capacity mgmt
Availability mgmt
Service continuity mgmt
Wekelijkse operationele opvolging
Vooral bij uitvoering veranderingen
Afspraken en controle
Security mgmt
Service level mgmt
Financial mgmt
Kwaliteit: EFQM/CAF/INK/A3
Project Management: PMI / PMBOK • 10 knowledge area’s • • • • • • • • • •
Integraal beheer (integration mgmt) Beheer van het doel van het project (scope mgmt) Tijdsbeheer (Time mgmt) Kostbeheer (Cost mgmt) Kwaliteitsbeheer (Quality mgmt) Beheer van de risico’s (Risk mgmt) Personeelsbeheer (HR mgmt) Communicatiebeheer (Comm mgmt) Aankoopbeheer (Procurement mgmt) Stakeholdermanagement (Nieuw in release 5)
Prince2
Thema’s
Business Case
Organization
Plans
Progress
Risk
Quality
Change (beter opgevolgd dan in PMI)
Configuration
En alle mogelijke combinaties
ISO & ITIL
ITIL & Prince2
TQM & ISO & ITIL &….
En de juridische inslag ! RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS IN STEDEN EN GEMEENTEN, IN INSTELLINGEN DIE DEEL UITMAKEN VAN HET NETWERK DAT BEHEERD WORDT DOOR DE KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID EN BIJ DE INTEGRATIE OCMW – GEMEENTE Versie: 2.0
Hoe breien we dit aan elkaar?
Stel een informatieveiligheidsmanagement systeem (ISMS) op, geënt op de ISO27002 controlepunten en management modellen & technieken eigen aan uw organisatie/managementstructuur
Verwerk zeker de richtsnoeren in het systeem (kan adhv de V-ICT-OR tool)
Veranker het ISMS in uw organisatiewerking
ISMS stappen 1.
Inventariseer alle gebruikte modellen en verplichtingen in uw organisatie
2.
Stel een informatieveiligheidsteam op met alle relevante deelnemers (IVT)
3.
Bepaal samen met het IVT de scope van het ISMS
4.
Maak een eerste policy waarin deze scope wordt afgelijnd
5.
Breng deze voor goedkeuring op het hoogste beslissingsorgaan
6.
Bepaal de risico evaluatie methodologie (zelfde taal)
ISMS stappen 7.
Leg de criteria vast rond aanvaardbare risico’s
8.
Maak een inventaris van alle processen en middelen die relevant zijn voor de scope
9.
Doe een eerste risicoanalyse met het IVT (apart en samen)
10.
Bepaal voor elk risico de strategie (accepteren, vermijden, transfereren)
11.
Bepaal de relevante controlepunten (incl richtsnoeren)
12.
Koppel terug naar het management
ISMS beheer 1.
Beslis met het IVT hoe de controlepunten worden opgevolgd (€, VTE, processen, training)
2.
Stel logging en rapportering op
3.
Evalueer geregeld de scope en risico’s
4.
Toets aan de management modellen (integratie & verankering!)
5.
Organiseer regelmatig ISMS audits (peer review)
6.
Leg alle findings, policies en risico’s op regelmatige basis terug voor aan het management
Organisaties
ISACA
ENISA
CSA (cloud!)
KSZ
VTC
ISO (27000,31000,…)
V-ICT-OR
Opleidingen worden georganiseerd in samenwerking met Escala
Vragen?
[email protected]
Bedankt voor uw aandacht
