KSZ - BCSS
TOEPASSSING OP HET SOCIALEZEKERHEIDSPORTAAL
ISMS (Information Security Management System)
Validatieprocedure van de security logs en inproductiestelling van de toepassingen op het socialezekerheidsportaal. Version control – please always check if you’re using the latest version Doc. Ref.(BCSS) : G/livelink/isms.47.prod-log.fr.jmg.v2.0.doc Release
Date
Author’s
Reason of change
1.0
14/02/2005
JM Gossiaux
Draft
2.0
28/02/2005
JM Gossiaux
Remarques.
Approved by
Mesdames Schoetter, Marti, M. Costrop.
3.0
14/03/2005
JM Gossiaux
Opmerkingen van de KSZ over de rollen en verantwoordelijkheden
3.1.
21/03/2005
JM Gossiaux
Opmerkingen van de SmalS over verschillende aspecten van het document
3.2.
29/03/2005
JM Gossiaux
Opmerkingen veiligheidsdienst SmalS-MvM
3.3.
23/08/2005
JM Gossiaux
Preciseringen over het testplan
P1
van van
de de
KSZ - BCSS
TOEPASSSING OP HET SOCIALEZEKERHEIDSPORTAAL
1. Reikwijdte De inproductiestelling van een toepassing op het socialezekerheidsportaal vereist onder meer de integratie en de validatie van de basisdienst Security log, waardoor security logs kunnen worden gegeneerd, en de controle van de overeenstemming ervan met de machtigingen van het Sectoraal Comité van de Sociale Zekerheid.
2. Toepassingsgebied Dit beleid richt zich tot de opdrachtgever die vertegenwoordigd wordt door de projectleider, die aan de conceptie, de ontwikkeling of de implementatie van een toepassing op het socialezekerheidsportaal ten behoeve van de professionals van de sociale sector deelneemt, en tot de bevoegde veiligheidsdiensten van de Smals-MvM en van de Kruispuntbank van de Sociale Zekerheid die moeten waken over de toepassing van de toegangsregels tot het netwerk rond de Kruispuntbank van de Sociale Zekerheid. De toepassing ervan geldt tevens voor de instellingen van sociale zekerheid wanneer zij een door hen ontwikkelde toepassing ter beschikking wensen te stellen op het socialezekerheidsportaal.
3. Verantwoordelijkheden In deze policy worden de regels vastgelegd die door de SmalS-MvM als opdrachtgever van de toepassing moeten worden nageleefd alsook door de Kruispuntbank van de Sociale Zekerheid die instaat voor de naleving van de door het Sectoraal Comité van de Sociale Zekerheid verleende machtigingen en van de minimale veiligheidsnormen van haar netwerk. Deze verantwoordelijkheden gelden tevens voor de instellingen van sociale zekerheid wanneer zij een door hen ontwikkelde toepassing ter beschikking wensen te stellen op het socialezekerheidsportaal.
3.1.
Portaalzijde
3.1.1.
Projectleider van de toepassing
Hij vertegenwoordigt de opdrachtgever die, in het kader van de leiding van een project, het project technisch ontwerpt en de realisatie ervan organiseert en coördineert, het resultaat ervan controleert en de exploitatie voorbereidt. Zijn verantwoordelijkheden zijn de volgende: •
als enige contactpersoon optreden voor de coördinatie van de informatie die noodzakelijk is voor de verschillende actoren die bij de inproductiestelling van de stroom zijn betrokken;
•
nagaan of de behoeften en de door het Sectoraal Comité van de Sociale Zekerheid verleende machtigingen in overeenstemming zijn met de gerealiseerde ontwikkeling, indien nodig in samenwerking met de instelling eigenaar van de toepassing;
•
de opdrachtgever of de eigenaar van de toepassing informeren over de stand van zaken van de inproductiestelling van zijn toepassing;
P2
KSZ - BCSS
TOEPASSSING OP HET SOCIALEZEKERHEIDSPORTAAL
•
de opdrachtgever of de eigenaar van de toepassing op de hoogte brengen van elk probleem waardoor de inproductiestelling vertraging zou kunnen oplopen of zou kunnen worden stopgezet;
•
in het kader van de testen m.b.t. de security logs de binnen de acceptatieomgeving aan te maken gebruikers bepalen en overmaken aan de veiligheidsdienst van de KSZ;
•
de in de security logs opgeslagen informatiegegevens laten valideren door de instelling(en) eigenaar van de toepassing;
•
de eventuele budgettaire impact op de geplande uitvoering van zijn testplan vastleggen;
•
het testplan, de bijbehorende scenario’s en de wijze waarop de resultaten zullen worden meegedeeld, vastleggen en overmaken aan de aangeduide gebruikers; er dient een team samengesteld te worden dat belast zal zijn met de volledige testen;
•
de eventuele correcties aan zijn toepassing analyseren en de implementatie ervan organiseren;
•
zorgen voor de reactivatie van alle validatieprocedures van de logs bij iedere wijziging van de toepassing;
•
het evaluatieverslag m.b.t. de verschillende inzake security logs uitgevoerde testen opmaken en dit verslag aan de veiligheidsdienst van de Smals-MvM voorleggen;
•
ervoor zorgen om opnieuw een aanvraag tot inproductiestelling in te dienen bij iedere belangrijke wijziging die een invloed heeft op het doeleinde of op de door de toepassing verwerkte gegevens;
•
aan de met de logdatabase in de acceptatieomgeving belaste ploeg de noodzakelijke gegevens voor de uitvoering van de evaluatie vragen;
•
instructies geven aan de productiedienst m.b.t. de te realiseren controles inzake security logs bij het gebruik van de toepassing in productie;
•
ervoor zorgen dat de logginggegevens m.b.t. zijn toepassing geïntegreerd zijn in het globale consolidatie- en archiveringsproces van de security logs;
•
het formulier inzake machtigingsaanvraag voor de inproductiestelling van de toepassing invullen, ondertekenen en overmaken aan de veiligheidsdienst van de Smals-MvM;
•
het formulier inzake machtigingsaanvraag voor de inproductiestelling van de toepassing laten ondertekenen door de verantwoordelijke voor de productie.
3.1.2.
De veiligheidsconsulent van de Smals-MvM
Hij gaat na of de procedure m.b.t. de security logs volledig is op de volgende vlakken: ¾
inhoud (op basis van het verslag van de projectleider van de toepassing of op basis van persoonlijke onderzoekingen);
¾
integratie in de algemene database m.b.t. de logs;
¾
duurzaamheid, onder meer wat de back-ups, de integratie van de database in de BCP (business continuity plan) betreft;
¾
toegangen tot de security logs voor het personeel van zijn instelling.
P3
KSZ - BCSS
TOEPASSSING OP HET SOCIALEZEKERHEIDSPORTAAL
Wat de security logs betreft, kan hij: ¾
de uitvoering van bijkomende testen vragen,
¾
testen op eigen initiatief uitvoeren,
¾
alle gegevens die in de logdatabase van de acceptatie- en productieomgeving zijn opgeslagen verkrijgen voor de betrokken toepassing,
¾
in het kader van een audit toegangen tot de productieomgeving verkrijgen.
Hij vult het formulier voor de inproductiestelling in, ondertekent het en maakt het over aan de veiligheidsdienst van de KSZ. 3.1.3.
De ploeg belast met de logdatabase in de acceptatieomgeving
Hij informeert de projectleider over de manier waarop de basisdienst SecurityLog in de toepassing moet worden geïmplementeerd. Hij put de noodzakelijke informatie en maakt die over aan de projectleider van de toepassing om hem in staat te stellen zijn evaluatie in de acceptatieomgeving te realiseren. Hij put de noodzakelijke informatie en maakt die over aan de veiligheidsdienst van de KSZ en van de Smals-MvM om hem in staat te stellen eventuele bijkomende controles te verrichten. Hij informeert de projectleider van de toepassing over alle vastgestelde anomalieën. 3.1.4.
Testgebruikers
Ze zijn lid van de SmalS-MvM en/of van de KSZ en, indien nodig en met het akkoord van de eigenaar van de toepassing, van de sector van de sociale zekerheid. Ze voeren het volledige testplan uit dat hun is overgemaakt en brengen verslag uit bij de projectleider van de toepassing via een vooraf door hem bepaald communicatiekanaal. Ze brengen hem op de hoogte van alle tijdens de testen vastgestelde anomalieën. 3.1.5.
Toepassingsbeheer en supervisie
Binnen het toepassingsbeheer dient een team samengesteld te worden om, vóór de inproductiestelling, de testen op de loggings te realiseren in samenwerking met de projectleider van de toepassing. Dit team informeert de veiligheidsconsulent van de SmalS-MvM over elke anomalie of voorval dat een impact heeft op de databases m.b.t. de security logs of op de ondersteunende infrastructuren.
P4
KSZ - BCSS
TOEPASSSING OP HET SOCIALEZEKERHEIDSPORTAAL
3.2.
Kruispuntbankzijde
3.2.1.
Administrateur-generaal van de KSZ of zijn adjunct
Hij mag als enige de toestemming verlenen voor de inproductiestelling van een toepassing op het socialezekerheidsportaal ten behoeve van de sector van de sociale zekerheid door het toelatingsformulier dat de veiligheidsdienst van de Kruispuntbank van de Sociale Zekerheid hem heeft overgemaakt te ondertekenen. 3.2.2.
Veiligheidsdienst KSZ
Onder testgebruiker wordt verstaan een natuurlijke persoon die deel uitmaakt van een instelling, de SmalS-MvM of de Kruispuntbank en die belast is met de uitvoering van het testplan inzake security logs. Hij maakt testgebruikers aan of organiseert de aanmaak ervan op basis van de informatie die meegedeeld wordt door de projectleider die verantwoordelijk is voor de toepassing. Hij maakt de toegangen van de testgebruikers tot de betrokken toepassing aan of organiseert de aanmaak ervan. Hij verwijdert de oude testgebruikers of organiseert de verwijdering ervan. Hij verklaart de aanvraag tot inproductiestelling geldig of ongeldig (in dat laatste geval geeft hij de nodige rechtvaardiging) aan de hand van het formulier in bijlage m.b.t. de security logs op basis van het advies van de veiligheidsconsulent van de Smals-MvM of van eigen onderzoekingen. Inzake security logs mag hij: ¾
de uitvoering van bijkomende testen vragen,
¾
testen uitvoeren op eigen initiatief,
¾
alle in de logdatabase van de acceptatieomgeving opgeslagen gegevens krijgen voor de betrokken toepassing,
¾
zich toegangen in productie toekennen in het kader van een audit.
Hij gaat na of de door de toepassing verwerkte gegevens in overeenstemming zijn met de machtigingen van het Sectoraal Comité van de Sociale Zekerheid, indien nodig met de ondersteuning van de juridische dienst van de Kruispuntbank. Hij vult het formulier voor de inproductiestelling in, ondertekent het en maakt het over aan zijn administrateur-generaal of aan zijn adjunct.
P5
TOEPASSSING OP HET SOCIALEZEKERHEIDSPORTAAL
KSZ - BCSS
4. Organisatie 4.1.
Validatieomgeving van de security logs
Om de volledigheid van de log en van de inhoud ervan te controleren dient de acceptatieomgeving te worden gebruikt, dit om incoherenties te vermijden in de productielogdatabase, om te vermijden dat er in een ‘verborgen productieomgeving’ zou moeten worden gewerkt en om te vermijden dat er toegangen in productie zouden worden verleend aan testgebruikers. Op het initiatief van de veiligheidsdienst van de Kruispuntbank van de Sociale Zekerheid kunnen testen worden uitgevoerd in de productieomgeving, namelijk in het kader van een audit van de procedures. 4.2.
Testinstelling en -gebruikers
Het principe bestaat erin via de veiligheidsdienst van de Kruispuntbank van de Sociale Zekerheid toegangen te verlenen aan fictieve instellingen naar gelang de doelgroepen van de toepassing. Het aantal gebruikers dat het door de projectleider vastgelegde testplan mag uitvoeren, is beperkt. 4.3.
Testplan in acceptatieomgeving
Elke aangeduide gebruiker moet over een plan of fiche beschikken waarin de verschillende uit te voeren testen worden beschreven of verduidelijkt, zowel wat de verschillende te gebruiken functies als de te hanteren informatiegegevens betreft. Dit plan heeft hoofdzakelijk de validatie van de inhoud van de security log tot doel. 4.4.
Inhoud van het testplan in acceptatieomgeving Dit testplan dient: alle handelingen te testen die in het kader van het courante gebruik van de binnen de toepassing ontwikkelde functies worden gesteld, de scenario’s te preciseren waarmee bv. de impact op de logs kan worden nagegaan in geval van netwerkonderbreking, time-out van de toepassing, mislukte pogingen, in de mate van het mogelijke, gebaseerd te zijn op verschillende gevallen (zich niet beperken tot de eigen gegevens), verscheiden te zijn (de verschillende verrichtingen niet telkens met dezelfde gegevens testen), representatief te zijn voor de instelling(en) voor wie deze toepassing bestemd is (de testen niet beperken tot één enkele instelling indien de toepassing bestemd is voor verschillende toepassingen), vast te stellen hoe de gebruiker de uitgevoerde testen moet documenteren (schermafbeelding, notities, …)
P6
KSZ - BCSS
TOEPASSSING OP HET SOCIALEZEKERHEIDSPORTAAL
Evaluatie van de testen
4.5.
De evaluatie van de inhoud van de logs wordt uitgevoerd op basis van een extractie van alle gegevens m.b.t. de betrokken toepassing (toepassingscode) en de INSZ van de aangeduide gebruikers in de logdatabase van de acceptatieomgeving. Deze extractie wordt door de projectleider van de toepassing bepaald.
4.6.
Evaluatieverslag
De evaluatiesessie eindigt met het opmaken van een syntheseverslag, op initiatief van de projectleider van de toepassing, voor de veiligheidsdienst van de SmalS-MvM. Dit verslag beschrijft het uitgewerkte testplan, de verschillende uitgevoerde testen, de behaalde resultaten, de correcties die in de toepassing uitgevoerd werden in functie van de behaalde resultaten of de ondervonden problemen. In elk geval dient het meegedeelde verslag duidelijk en op afzonderlijke wijze de volgende aspecten aan te tonen:
4.7.
♦
de overeenstemming met de veiligheidspolicy inzake veiligheidsloggings door minimum de volgende elementen op te nemen in de loggings: de datum en het tijdstip van de transactie, de identificatie van de gebruiker, de identificatie van de transactie (of de toepassing), de identificatie van het onderwerp van de opdracht, de beschrijving van de uitgevoerde verrichting (aanmaak, wijziging, raadpleging, opzoeking, lijst, …)
♦
de volledigheid van de logging ten opzichte van alle verrichtingen en functionaliteiten die beschikbaar zijn in de toepassing,
♦
de volledigheid van de logging in functie van gebeurtenissen buiten de toepassing zoals een netwerkonderbreking, een time-out van de toepassing, de abnormale beëindiging van een opdracht. Verzoek tot inproductiestelling aan de KSZ
Hiervoor dient aan de hand van het formulier in bijlage een welbepaalde procedure te worden doorlopen. De projectleider van de toepassing mag enkel overgaan tot de productieomgeving indien hij in het bezit is van de gezamenlijke handtekeningen van de projectleider van de toepassing, van de veiligheidsdiensten van de Smals-MvM en van de Kruispuntbank van de Sociale Zekerheid en van het akkoord van de administrateur-generaal van de Kruispuntbank van de Sociale Zekerheid (of van zijn back-up). Het origineel van het ingevulde formulier wordt door de veiligheidsdienst van de KSZ bewaard, een kopie ervan wordt aan de projectleider van de toepassing en aan de veiligheidsconsulent van de Smals-MvM overgemaakt. 4.8.
Termijn voor de validatie van de aanvraag tot inproductiestelling
Iedere betrokken instantie moet over een termijn van minimum twee werkdagen beschikken om haar verplichtingen te vervullen met betrekking tot de validatieprocedure van de aanvraag tot inproductiestelling. Het is de taak van de projectleider van de toepassing om rekening te houden met deze termijn bij het opstellen van de planning van de inproductiestelling.
P7
KSZ - BCSS
TOEPASSSING OP HET SOCIALEZEKERHEIDSPORTAAL
5. Algemene policy Elke inproductiestelling van een nieuwe toepassing op het socialezekerheidsportaal ten behoeve van de professionals van de sociale zekerheid moet verplicht de in deze reglementering beschreven procedure doorlopen. In geval van wijziging van een toepassing moet de projectleider evalueren of de in de reglementering beschreven procedure dient te worden doorlopen. Hij moet er niettemin voor zorgen dat deze wijziging in overeenstemming is met de machtigingen van het Sectoraal Comité van de Sociale Zekerheid en met de inhoud van de security logs. Wanneer de opdrachtgever een beroep doet op een derde in het kader van de ontwikkeling van een toepassing, moet hij zorgen voor de toepassing van deze reglementering via een contract of een service level agreement (SLA).
6. Uitbreidingen Wanneer een instelling van sociale zekerheid een door haar ontwikkelde toepassing ter beschikking wenst te stellen op het socialezekerheidsportaal, dan moet ze de in deze reglementering beschreven regels in acht nemen door o.m. een projectleider voor de toepassing aan te wijzen die belast is met de coördinatie met de technische diensten van het Portaal, en de coördinatie met de veiligheidsdiensten van de SmalS-MvM en van de Kruispuntbank toe te vertrouwen aan de veiligheidsconsulent van zijn instelling.
7. Reglementering De niet-naleving van deze policy zal aanleiding geven tot een straf volgens de geldende reglementering binnen de instelling. De geldende reglementering binnen de instelling zal eventueel aangepast worden om de nietnaleving van deze policy te kunnen sanctioneren.
8. Handhaving, opvolging en herziening De handhaving, de opvolging en de herziening van deze POLICY behoren tot de verantwoordelijkheid van de veiligheidsdienst van de Kruispuntbank van de Sociale Zekerheid.
9. Bijlage Machtigingsformulier dat in het kader van de toepassing van deze reglementering moet worden gebruikt.
10. Validatie Deze policy werd goedgekeurd door de werkgroep Informatieveiligheid op / / .
P8
