Kennisdag Cybersecurity - 10 februari 2015 - Lamot
Informatieveiligheid – essentieel onderdeel van informatiebeheersing
INFORMATIEVEILIGHEID OMDAT HET MOET INFORMATIEVEILIGHEID OMDAT HET KAN …(LOONT) Frederik Leyssens – Domein ICT Security (
[email protected])
1 / 196
V-ICT-OR zet door op Informatieveiligheid! Doelstellingen 2015:
1 Bewustzijn 2 Opleiding en advies 3 Uitwisseling van kennis en ervaring 4 Referentiekader
2 / 196
Informatieveiligheid opnieuw bekeken Uitgangspunt: • Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen binnen het lokaal bestuur.
• Informatieveiligheid is uiteindelijk het proces dat deze betrouwbare informatievoorziening borgt! • In tijden van toenemende informatisering en digitalisering is het opnemen van informatiebeveiliging als kwaliteitscriterium voor een gezonde bedrijfsvoering niet langer een keuze maar bittere noodzaak. • Bovendien leidt het invoeren van een informatieveiligheidsproces bijna steeds tot een meer performantie en efficiënte bedrijfsvoering Informatieveiligheid = essentieel onderdeel van organisatiebeheersing 3 / 57
Organisatiebeheersing en informatieveiligheid Bij de uitbouw of optimalisatie van organisatiebeheersing moeten volgende principes voorop staan: • Organisatiebeheersing is verankert in de processen en loopt continue “Security & Privacy by design” (cyclus) • Organisatiebeheersing is een zaak van iedereen (bewustzijn & -wording) Niet enkel de ICT afdeling ! • Organisatiebeheersing verschaft redelijke zekerheid Beheersing van de risico’s
4 / 57
Organisatiebeheersing – Thema 10: ICT Uit de Leidraad ICO Organisatiebeheersing (ICS) Een goede ICT voldoet aan deze doelstellingen rond organisatiebeheersing: 1. De organisatie heeft eigen beleidskeuzes gemaakt voor haar ICT-beleid zodat de beleidsdoelstellingen gerealiseerd worden en de dienstverlening geoptimaliseerd wordt. 2. De ICT-diensten zijn kwaliteitsvol. 3. De organisatie gaat veilig om met het beheer van de informatie in het algemeen en ICT in het bijzonder. 4. De organisatie neemt maatregelen zodat bij onverwachte gebeurtenissen de werking van de ICT-systemen gewaarborgd is. 5. Uitgaven en rapporten rond ICT worden grondig opgevolgd. 6. De ICT wordt regelmatig beoordeeld op haar degelijkheid en de mate waarin ze voldoet aan de realisatie van de beleidsdoelstellingen 5 / 57
Organisatiebeheersing en informatieveiligheid Bescherming van persoonsgegevens geldt in de meeste domeinen van organisatiebeheersing • HRM: personeelsgegevens • ICO : klantgegevens, cookies, sociale media • CUL: deontologie, bewustzijn, sociale media • FAM: infrastructuur, toegang, bewaking • ICT: processen en systemen Besluit: Informatieveiligheid en privacy kunnen worden meegenomen bij het maken van plannen in de verschillende domeinen en zo een onderdeel vormen van organisatiebeheersing
6 / 57
Organisatiebeheersing en informatieveiligheid Uit de Leidraad Interne Controle Organisatiebeheersing (ICS) Uitgangspunt:
• •
Belanghebbendenmanagement Doelstellingen, proces en risicobeheer Bepalen de inhoud
4 Basisdoelstellingen: • • • •
Effectiviteit (doeltreffend) Kwaliteit (beantw. a/d verwachtingen) Efficiëntie (rendement) Integriteit (eerlijk en betrouwbaar) Bepalen de outcome
Werken rond 7 basisthema‟s/afdelingen •
ORG – HRM – CUL – FAM – FIM – ICO - ICT
Volgens de management controle cyclus: •
Plan – Do – Check – Act - Cyclus (Verandermanagement)
Model voor organisatiebeheer is ook toepasselijk voor informatieveiligheid 7 / 57
Organisatiebeheersing – Leidraad 10.3
8 / 57
Organisatiebeheersing – Bevraging (voorbeeld)
9 / 57
Werken met de Leidraad: Aanpak Methodiek • Werk per doelstelling: - beleid, diensten, veiligheid, continuïteit, uitgaven evaluatie
• Identificeer het risico: - (312) Ex-collega‟s hebben nog toegang tot informatie. • Bepaal mogelijke oorzaken: – Geen procedure voor het wegnemen van rechten bij uitdienstneming
– De organisatie beantwoordt nog niet aan de richtsnoeren
• • • •
Vat samen in probleemgebieden: - Ontbrekende policies Bepaal impact op de organisatie en winst na remediëring > ranking Zoek naar „handreiking‟ & best practices: - voorbeeld policies Definieer de beheersmaatregel: - Er is een degelijk uitgebouwd rechtenbeheer
• Plan en wijs toe op basis van ranking 10 / 57
Informatieveiligheid - raamwerk Raamwerk voor Informatieveiligheid Algemene bedrijfsvoering & beleid 3 niveaus Strategisch
Tactisch
Operationeel
Beleid
Plan Bewustzijn Adoptie
Definitie van het informatieveiligheidsbeleid
Uitwerking van organisatorische en technische richtlijnen Beschrijving van procedures en werkinstructies
11 / 57
Informatieveiligheid - raamwerk Raamwerk voor Informatieveiligheid: Fase I Goedkeuring Bestuur
Strategische leidraad
Initiële Beleidsnota
Tactische leidraad
Richtsnoeren KSZ - VTC Operationele leidraad
Minimum Norm
Veiligheidsconsulent v-ict-or iso-tool Veiligheidsteam/cel Situatie: As-is
As-is Acties Maatregelen
Initieel Veiligheidsplan
Initieel Set Gedragsregels
Situatie: To-be
12 / 57
Informatieveiligheid – strategische leidraad Strategische leidraad: (vervolg) •
Doelgroep: – College van burgemeester en schepenen – Secretaris gemeente/OCMW
•
Basisprincipes: – College en de secretaris hebben de eindverantwoordelijkheid voor informatieveiligheid binnen het bestuur. – Standaard is informatie steeds „vertrouwelijk‟ binnen het departement (classificatie norm) – Departementen onderling beschouw elkaar als vertrouwde partners (het „Schengen‟- principe). – Wanneer een hoger niveau van informatieveiligheid is vereist, gaat daar steeds een risicoanalyse aan vooraf
14 / 57
Informatieveiligheid – strategische leidraad Strategische leidraad: (vervolg) •
Deliverables: – De beleidsnota informatieveiligheid (Information Security Policy). – De beleidsnota omvat o.m. o de strategische uitgangspunten en randvoorwaarden die het lokaal bestuur hanteert o het algemeen doel van het beleid o de inrichting van de informatieveiligheidsfunctie(s) o het toewijzen van verantwoordelijkheden betreffende informatiesystemen aan de respectievelijke lijnmanagers o de gestelde betrouwbaarheidseisen en normen o de frequentie waarmee het beleid word geëvalueerd en bijgestuurd o de maatregelen getroffen ter bevordering van het algemeen bewustzijn binnen de organisatie
15 / 57
Informatieveiligheid – tactische leidraad Tactische leidraad: (vervolg) •
Doelgroep: – Informatieveiligheidsconsulent – Informatieveiligheidscel bestaande uit de informatieveiligheidsconsulent, hoofd personeel, hoofd ICT, de preventieadviseur, de verantwoordelijke interne controle en de secretaris.
•
Basisprincipes: – Informatieveiligheid is en blijft de verantwoordelijkheid van het lijnmanagement – Men maakt standaard gebruik van de controlepunten en maatregelen die gedefinieerd zijn binnen de ISO 27002 norm – De juridische grondslag voor informatieveiligheid ligt bij de wet- en regelgeving zoals de wet ter bescherming van de persoonlijke levenssfeer (privacy wet) en de wet betreffende de veiligheid van sociale gegevens (kruispuntbankwet)
17 / 57
Informatieveiligheid – tactische leidraad Tactische leidraad: (vervolg) •
Basisprincipes (vervolg): – De nadruk ligt op begeleiding en faciliteren eerder dan op inperken van de mogelijkheden – Het voornaamste uitgangspunten voor de tactische leidraad zijn enerzijds het risicomanagement en anderzijds het bewustzijn en verantwoord gedrag van de medewerkers. – Verder ligt de focus op de beveiliging van gegevens eerder dan op puur netwerk-beveiliging
18 / 57
Informatieveiligheid – tactische leidraad Tactische leidraad: (vervolg) • Deliverables: – Het informatieveiligheidsplan (Information Security Plan) – verwijzing naar het beleidskader voor informatieveiligheid (zie de beleidsnota - onderwerp van de strategische leidraad) – overzicht van de informatieveiligheidsorganisatie met opsomming van de basisverantwoordelijkheden van de diverse betrokkenen – samenvatting van de basisregels informatiebeveiliging voor elk van de hoofddomeinen van de ISO 27002 norm – het activiteitenplan met opsomming van acties en maatregelen genomen of te nemen over een periode van 3 jaar. – Een gedetailleerde risicoanalyse (voortschrijdend) – Opsomming van bedreigingen en genomen of te nemen maatregelen met opgave van ingeschatte schade, impact, kans op voorkomen en kost voor oplossing of remediëring voor elke van de hoofddomeinen van de ISO 27002 norm 19 / 57
Informatieveiligheid – tactische leidraad Tactische leidraad: (vervolg) • Deliverables: – Periodiek rapport incidentenbeheer. Opsomming van incidenten en genomen of te nemen maatregelen per incidenten categorie – Overzicht van het incident response beleid en de overeenkomstige beheersprocedure – Meldingsprocedure met escalatiematrix
20 / 57
Informatieveiligheid – operationele leidraad Operationele leidraad ter ondersteuning • Scope: Omvat aanvullende beleidsinstrumenten zoals procedures, handreikingen, adviezen, sjablonen en voorbeelden. Deze elementen geven een meer gedetailleerd antwoord op de vraag „hoe‟ bepaalde facetten van het informatieveiligheidsbeleid kunnen worden geïmplementeerd en specifieke maatregelen kunnen worden doorgevoerd.
21 / 57
Informatieveiligheid – operationele leidraad Operationele elementen ter ondersteuning (vervolg) •
Doelgroep: – Verantwoordelijken voor de implementatie van het veiligheidsbeleid binnen het bestuur alsook de afdeling
•
Basisprincipes: – De documenten zijn ter beschikking gesteld door diverse lokale besturen en tot stand gekomen uit de dagelijkse praktijk. – Een review board zorgt voor bewaking van kwaliteit en stroomlijning van inhoud en vorm.
•
Deliverables: – Voorbeelden van (detail) policies, procedures en beleidsdocumenten – Checklists & templates – Presentaties voor bewustwording – Sjablonen voor rapportage, – e.d. 22 / 57
Informatieveiligheid – tactische leidraad Operationele leidraad: (vervolg) • Deliverables: – Policies • • • • • • • • • • • • • • • • •
Information Security Policy (Beleidsplan) Inventaris Internet & Email Verwerking van gegevens Bewustzijn Samenwerken met derden Scheiding van omgevingen Fysieke toegang Schade door brand, water, enz. Toegang tot informatiesystemen Toegang op afstand Beveiliging mobiele media Detectie van inbreuken Bescherming tegen malware Back-up Logging Calamiteitenbeheer
23 / 57
Informatieveiligheid – De richtsnoeren Richtsnoeren informatieveiligheid van persoonsgegevens binnen lokale besturen
•
Zijn zowel van toepassing voor persoonsgegevens binnen een sociale context (OCMW) als een niet-sociale context (gemeente)
•
Toepassingsgebied: - steden en gemeenten - instellingen behorend tot het netwerk van de sociale zekerheid (OCWM) - integratie van OCMW en Gemeente
•
Doelstelling: De Richtsnoeren vormen een leidraad voor het implementeren van de ISMS-beheerscyclus (Information Security Management System) die de kwaliteit van het informatieveiligheidsproces op langere termijn zal borgen en verbeteren.
24 / 57
Informatieveiligheid - richtsnoeren Richtsnoeren informatieveiligheid van persoonsgegevens binnen lokale besturen (vervolg)
•
De richtsnoeren zijn afgeleid van de minimale informatieveiligheidsnorm van de Kruispuntbank voor de Sociale Zekerheid (KSZ) gebaseerd op de wet van 8 december 1992 (de Privacywet) ter bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens
•
Gebaseerd op de internationale ISO 27002 norm voor informatieveiligheid met 12 controlepunten
•
De richtsnoeren voorzien op basis van het e-Govdecreet in de aanstelling van een informatieveiligheidsconsulent die optreedt als initiatiefnemer en drijvende kracht achter het veiligheidsbeleid en een informatieveiligheidscel die hem de nodige ondersteuning biedt.
•
Controle op de naleving van de richtsnoeren berust bij de Privacycommissie, de Vlaamse Toezichtcommissie en/of elk ter zake bevoegd Sectoraal Comité.
25 / 57
Informatieveiligheidsconsulent - aanstelling •
Voorgesteld door: de directie, het dagelijks bestuur
•
Rapporteert aan: het dagelijks bestuur
•
Effectief aangesteld: na gunstig advies van de Vlaamse Toezichtcommissie Criteria: voldoende vorming, voldoende tijd, geen onverenigbaarheden met andere uitgeoefende functie(s) zoals ICT, HRM, hoofd van betrokken dienst..
•
Deontologische code: - objectief, onpartijdig, onafhankelijk - professionele ingesteldheid - grote loyaliteit t.o.v. werkgever - interdisciplinair en vertrouwelijk karakter van de functie
26 / 57
Informatieveiligheidsconsulent - functie •
Basisopdracht: adviseren, stimuleren, documenteren, controleren
•
Adviseert en informeert het dagelijks bestuur op verzoek of op eigen initiatief
•
Advies wordt steeds schriftelijk gemotiveerd tenzij bij beperkte risico‟s
•
Ziet erop toe dat alle verantwoordelijkheden: preventie, toezicht, opsporing en verwerking goed in kaart zijn gebracht en alle medewerkers onafhankelijk en vrij van tegenstrijdige belangen kunnen handelen
•
Dient te beschikken over voldoende middelen (tijd, resources, uitrusting en budget) en vrijuit toegang hebben tot alle informatie noodzakelijk voor de uitoefening van zijn functie
•
Maakt een ontwerp van veiligheidsplan voor een termijn van 3 jaar met opgave van de middelen die nodig zijn om het plan uit te voeren
•
Stelt ook jaarlijks een verslag op van de resultaten en stand van zaken
27 / 57
Informatieveiligheidsteam/-cel
Dagelijks Bestuur Informatie Veiligheidsconsulent
HRM Verantwoordelijke
Intern Veiligheids Team/Cel ICT
…
Verantwoordelijke
Preventieadviseur
28 / 57
Informatieveiligheidsteam of -cel - functie • De informatieveiligheidsconsulent werkt nauw samen met de diensten waarin zijn optreden vereist is of kan zijn, met de informaticadienst, de verantwoordelijke HRM/Personeel en de preventieadviseur, hoofd dagelijks bestuur • Informatieveiligheidsconsulenten hebben nood aan ter zake deskundigen die de consulent kunnen adviseren omtrent de invulling ven diverse processen binnen de organisatie. Derhalve is het van bijzonder nut om deze mensen te verenigen in een informatieveiligheidsteam of –cel • De cel die na de opstartfase minstens eenmaal per kwartaal samenkomt is typisch samengesteld uit: de consulent, de verantwoordelijke ICT en HRM, de preventieadviseur en het hoofd van het dagelijks bestuur • Een informatieveiligheidscel is niet alleen het eerste aanspreekpunt voor de veiligheidsconsulent voor de werking binnen de organisatie, maar treedt binnen de organisatie ook op als aanspreekpunt betreffende informatieveiligheid en systeembeveiliging
29 / 57
ISO 27002 norm voor informatieveiligheid • ISO Norm voor Informatieveiligheid • Gebruikt als basis voor de regelgeving opgesteld door KSZ en VTC • Bevat de kernaspecten van informatieveiligheid: vertrouwelijkheid, integriteit, beschikbaarheid, finaliteit, proportionaliteit en transparantie • Uitgangspunten: - “Deming”- kwaliteitscirkel: PLAN – DO- CHECK – ACT - Gedetailleerde risicoanalyse - 12 Security domeinen (Controls)
30 / 57
ISO 27002 - norm voor informatieveiligheid • Domeinen (controls) -
Risicobeoordeling (richtsnoeren/afdelingen) Beveiligingsbeleid (security policy) Organisatie van informatieveiligheid Infoclassificatie & beheer van bedrijfsmiddelen Beveiliging gekoppeld aan het personeel Fysieke beveiliging & beveiliging omgeving Beheer van communicatie & bedieningsprocessen Toegangsbeveiliging Verwerving, ontwikkeling, onderhoud infosystemen Incident management Continuïteitsbeheer (BCM) Naleving (compliance)
31 / 57
Informatieveiligheid - raamwerk
Informatiestromen Audit (4 j.)
Jaarverslag
Inventar. Dataclass. Proces mgmt.
Verbetervoorstel
Risico Analyse
PLAN
DO
ACT
CHECK
Project mgmt.
Terugkopp.dag.bestuur
ISO 27002
Kwetsbaarh.
Dreigingen
Eisen & Wens.
Veiligheidsbeleid
Wet & Regelg.
Algemeen beleid
Cultuur
Fase II: implementatie en inrichting ISMS
ICTplan Veiligheidsplan
Verander mgmt. Implementatie Kwalit. mgmt.
Controle naleving Incidentmgmt
Invoeren det.policies 32 / 57
Stappenplan invoering ISMS 1. Voer eerste evaluatie uit op basis van de richtsnoeren, definieer een initiële lijst van acties en maatregelen en prioritiseer 2. Installeer en bekrachtig de informatieveiligheidsconsulent en –cel 3. Inventariseer de middelen en verplichtingen van de organisatie 4. Bepaal de grenzen van het ISMS en start met de registratie van incidenten en zwakheden 5. Maak op basis van de algemene doelstellingen van de organisatie een eerste beleidsnota (policy) op samen met een plan waarvan de scope wordt afgelijnd 6. Leg de beleidsnota en uitvoeringsplan voor aan het hoogste beslissingsorgaan ter goedkeuring 7. Bepaal de risicoanalyse methodologie en leg criteria vast rond aanvaardbare risico‟s 8. Inventariseer alle processen en middelen (systemen) die relevant zijn voor de scope 9. Voer een gedetailleerde risicoanalyse uit voor elk van de relevante processen en middelen. Bepaal voor elke risico de strategie en maatregelen (accepteren, vermijden, transfereren) en bepaal relevante controlepunten 10. Voeg de resultaten toe aan het informatieveiligheidsplan 11. Controleer de naleving, beoordeel de effectiviteit en breng verbeteringen aan 12. Koppel op regelmatige tijdstippen terug naar het management 33 / 57
Kritische succesfactoren bij de implementatie van informatieveiligheid • • • •
•
• •
Bij het inrichten van informatieveiligheid staan de belangen van de organisatie steeds voorop Management is hierbij het toonbeeld en neemt steeds een voortrekkersrol Er is duidelijk inzicht in de informatiebronnen en de computersystemen alsook de rol die zij binnen de organisatie vervullen Voorts is er ook inschatting van de risico‟s, kwetsbaarheden en bedreigingen die van toepassing zijn op deze bronnen en systemen De implementatie van een informatieveiligheidsplan vereist een duidelijk raamwerk, richtlijnen en hulpmiddelen gericht op verschillende gebruikersgroepen en -systemen Het informatieveiligheidsbeleid is een „verbeteringsproces‟ dat voortdurend dient geëvalueerd en bijgesteld En - last but not least: goede marketing en communicatie zijn essentieel voor het verankeren van het algemeen bewustzijn rond het belang en de noodzaak van deze materie (awareness)
34 / 57
Afsluiter: Werken aan bewustzijn … Voorbeeld van enkele spraakmakende campagneslogans: • Veiligheid zit tussen de oren! • Beveiligen is mensenwerk! • SEC_RITY is not complete without U!
35 / 57
