ISMS. (Information Security Management System) Informatieveiligheid bij de integratieoefening

Informatieveiligheid bij de integratieoefening OCMW gemeente Information Security Guidlines Versie : 1.00

21 december 2011

ISMS (Information Security Management System)

Informatieveiligheid bij de oefening OCMW - gemeente

integratie-

Version control – please always check if you are using the latest version Doc. Ref. : isms.043.ocmw-cpas_gemeente-commune.nl.v.1.00.docx Release

Status

Date

Written by

Edited by

Approved by

NL_1.00

Approved

21/12/2011

Chris De Vuyst

Nicolas Noël

Werkgroep Informatieveiligheid van het Algemeen Coördinatiecomité van de KSZ

Opmerking: in dit document zijn de opmerkingen verwerkt van een werkgroep waaraan de volgende personen hebben deelgenomen: mevrouw Boens (VVSG), de heren Van de Water (Welzijnszorg Kempen), Van Bogaert (KINA p.v.), De Vuyst (KSZ), Bochart (KSZ), Costrop (Smals), Kempgens (POD MI), Noël (KSZ), Petit (FBZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (RSZPPO), Van der Goten (RIZIV).

Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document bezit. De inhoud van dit document mag vrij worden verspreid voor niet-commerciële doeleinden mits vermelding van de bron (Kruispuntbank van de Sociale Zekerheid, http://www.ksz.fgov.be). Eventuele verspreiding voor commerciële doeleinden dient het voorwerp uit te maken van de voorafgaande en schriftelijke toestemming vanwege de Kruispuntbank van de Sociale Zekerheid.


21 december 2011

INHOUDSTAFEL 1.

INLEIDING ........................................................................................................................................................... 3

2.

DRAAGWIJDTE .................................................................................................................................................... 3

3.

DEFINITIES .......................................................................................................................................................... 3 3.1. 3.2. 3.3. 3.4.

4.

AMBTENARENTOKEN ................................................................................................................................................ 3 IDENTITEIT .............................................................................................................................................................. 3 IDENTIFICATIE.......................................................................................................................................................... 3 AUTHENTICATIE ....................................................................................................................................................... 4

FUNCTIEBESCHRIJVING ....................................................................................................................................... 4 4.1. INFORMATIEVEILIGHEIDSCONSULENT............................................................................................................................ 4 4.2. VEILIGHEIDSBEHEERDER ............................................................................................................................................ 4 4.3. ANDERE FUNCTIES MET BETREKKING TOT INFORMATIEVEILIGHEID ...................................................................................... 5 4.3.1. Veiligheidsconsulent (Commissie voor de Bescherming van de Persoonlijke Levenssfeer) ......................... 5 4.3.2. Consulent inzake Informatieveiligheid en bescherming van de persoonlijke levenssfeer (Rijksregister) .... 5 4.4. VERANTWOORDELIJKE TOEGANGEN ENTITEIT (VTE) ....................................................................................................... 5 4.5. LOKALE BEHEERDER PORTAALTOEPASSINGEN SOCIALE ZEKERHEID / EHEALTH........................................................................ 6 4.6. INFORMATIEBEHEERDER ............................................................................................................................................ 7 4.7. VERANTWOORDELIJKE VOOR DE VERWERKING................................................................................................................ 7 4.8. AANGESTELDE VOOR DE GEGEVENSBESCHERMING .......................................................................................................... 7

5.

SAMENWERKING OCMW-GEMEENTE.................................................................................................................. 8 5.1. 5.2. 5.3. 5.4.

6.

GEMEENSCHAPPELIJKE DIENSTEN ......................................................................................................................11 6.1. 6.2. 6.3. 6.4. 6.5. 6.6.

7.

OCMW’S IN HET NETWERK VAN DE SOCIALE ZEKERHEID .................................................................................................. 8 INFORMATIEVEILIGHEID BIJ DE SOCIALE ZEKERHEID .......................................................................................................... 9 INFORMATIEVEILIGHEID BIJ DE GEMEENTE ..................................................................................................................... 9 SAMENWERKINGSVERBAND...................................................................................................................................... 10 GEMEENSCHAPPELIJK PERSONEEL .............................................................................................................................. 11 GEMEENSCHAPPELIJK SYSTEEM VOOR BOEKHOUDING .................................................................................................... 11 GEMEENSCHAPPELIJK SYSTEEM VOOR PERSONEELSBEHEER ............................................................................................. 11 INFORMATIEDRAGERS ............................................................................................................................................. 11 GEZAMENLIJK ADRESSENBESTAND ............................................................................................................................. 12 "UNIEKE DEUR" ..................................................................................................................................................... 12

SAMENBRENGEN VAN INFORMATIE- EN COMMUNICATIE-TECHNOLOGIE .........................................................13 7.1. BACK-UPS............................................................................................................................................................. 13 7.2. INTERNETTOEGANG EN GEBRUIK VAN E-MAILS.............................................................................................................. 13 7.3. ADMINISTRATORRECHTEN VOOR GEWONE GEBRUIKERS ................................................................................................. 14 7.4. TOEGANGSBEVEILIGING ........................................................................................................................................... 14 7.4.1. Toegang op afstand ........................................................................................................................................ 14 7.4.2. Draadloze toegang.......................................................................................................................................... 14 7.5. TOEGANGSBEHEER ................................................................................................................................................. 14 7.6. VEILIGHEIDSLOGS ................................................................................................................................................... 15 7.7. REDUNDANTIE EN HOOG NIVEAU VAN BESCHIKBAARHEID ............................................................................................... 15 7.8. SCHEIDING VAN DE ORGANISATIES ............................................................................................................................. 15 7.9. METHODES VAN VERBINDING MET HET EXTRANET VAN DE SOCIALE ZEKERHEID ................................................................... 16 7.10. VERBINDING TUSSEN VERSCHILLENDE PLAATSEN ........................................................................................................... 17 7.11. ANDERE VEILIGHEIDSMAATREGELEN........................................................................................................................... 17

P2


21 december 2011

1. Inleiding De huidige tendens is dat gemeentes en Openbare Centra voor Maatschappelijk Welzijn (OCMW’s) zowel op logistiek als inhoudelijk vlak steeds vaker gaan samenwerken. Concreet doen Openbare Centra voor Maatschappelijk Welzijn regelmatig een beroep op de ICT-diensten van hun gemeente. Bovendien werken sommige gemeentes samen op het vlak van informatie- en communicatietechnologie (ICT) op basis van samenwerkingsverbanden. Een nauwe samenwerking op het vlak van informatieveiligheid tussen de verschillende betrokken partijen, zoals de gemeente en het OCMW, is hier bijgevolg noodzakelijk.

2. Draagwijdte Dit document heeft als doel enerzijds een aantal richtlijnen m.b.t. informatieveiligheid te geven in het kader van een samenwerkingsverband OCMW-gemeente en anderzijds een aantal punten die specifiek zijn voor de Openbare Centra voor Maatschappelijk Welzijn (maar die ook algemeen gelden) onder de aandacht te brengen. Deze richtlijnen bieden een leidraad en antwoord op vragen rond zeer uiteenlopende aspecten omtrent informatieveiligheid. Dit document is voor herziening vatbaar en zal dus worden aangepast naarmate de veiligheidsrisico’s evolueren en in functie van concrete aandachtspunten die door de veiligheidsconsulenten gesignaleerd worden. Nochtans kunnen de in dit document beschreven algemene principes ook toegepast worden wanneer middelen gedeeld worden door verschillende organisaties.

3. Definities 3.1. Ambtenarentoken Een Token is een lijst met 24 persoonlijke codes die op een kaart (kredietkaartformaat) geschreven wordt. Het wordt gebruikt om de authenticatie op het portaal te versterken en de toegang tot beveiligde online diensten van de Overheid mogelijk te maken.

3.2. Identiteit Een entiteit kan op basis van één of meerdere identificatie-elementen eenduidig worden geïdentificeerd (bijvoorbeeld: RN, ondernemingsnummer/KBO-nummer, exploitatiezetel, …). Een entiteit heeft slechts een enkele identiteit.

3.3. Identificatie De identificatie is een proces waarbij de identiteit van een entiteit kan worden achterhaald, vaak op basis van een identificatie-element (of identificatiegegeven) zoals een gebruikersnaam. De identificatie mag niet worden verward met de identiteitscontrole (of authenticatie) die tot doel heeft om deze identiteit te controleren.

P3


21 december 2011

3.4. Authenticatie De authenticatie is een proces waarbij wordt nagegaan of de vermeende identiteit van een persoon overeenstemt met zijn werkelijke identiteit, om de toegang tot een bron te kunnen controleren. Dit proces vereist een bewijselement, zodat de controle kan plaatsvinden. Het kan gaan om de volgende elementen: -

kennis van de gebruiker (paswoord);

-

bezitting van de gebruiker (eID-kaart, token, …)

-

biometrische kenmerken (vingerafdruk, netvliesafdruk, …).

Bij gebruik van verschillende authenticatie-elementen tezamen, spreekt men van "sterke" authenticatie.

4. Functiebeschrijving In dit hoofdstuk worden voornamelijk de verschillende informatieveiligheidsfuncties besproken die van toepassing zijn binnen de gemeentes en OCMW’s. Indien er een wetgeving bestaat die de functie reglementeert en/of bepaalt, wordt de verwijzing naar deze reglementering opgenomen. Deze verschillende functies kunnen, naargelang de situatie binnen elke entiteit, eventueel gecumuleerd worden. Bijgevolg is voor deze eventuele cumulatie vereist dat deze persoon hiërarchisch bij verschillende verantwoordelijken of comités verslag moet uitbrengen.

4.1. Informatieveiligheidsconsulent De wet houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid (wet van 15 januari 1990) voorziet dat iedere instelling van sociale zekerheid, al dan niet onder haar personeel, een veiligheidsconsulent dient aan te wijzen. De identiteit van deze consulent wordt aan de Kruispuntbank en aan de afdeling sociale zekerheid van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid meegedeeld. De veiligheidsconsulent staat, met het oog op de veiligheid van de sociale gegevens die door zijn instelling worden verwerkt of uitgewisseld en met het oog op de bescherming van de persoonlijke levenssfeer van de personen op wie deze sociale gegevensbetrekking hebben, in voor: •

het adviseren van de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid;

•

het uitvoeren van opdrachten die hem door de persoon belast met het dagelijks bestuur worden toevertrouwd;

•

het bevorderen van de naleving van de veiligheidsvoorschriften opgelegd door de regelgeving en het bevorderen van een veiligheidsgedrag bij de personen tewerkgesteld in de instelling;

•

het toezicht op de naleving binnen de instelling van de veiligheidsvoorschriften opgelegd door de regelgeving of krachtens een wets- of reglementsbepaling. Alle vastgestelde inbreuken worden schriftelijk en uitsluitend aan de verantwoordelijke voor het dagelijks bestuur van de instelling meegedeeld, vergezeld van de nodige adviezen om dergelijke inbreuken in de toekomst te vermijden;

•

het opstellen van een ontwerp van veiligheidsplan op voor een termijn van drie jaar, met aanduiding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren;

•

het opstellen van een jaarlijks verslag voor de verantwoordelijke voor het dagelijks bestuur van de instelling.

4.2. Veiligheidsbeheerder De veiligheidsbeheerder is verantwoordelijk voor het operationele en dagelijkse beheer van het ambtenarentoken binnen hun instelling, alsook voor de relaties tussen de instellingen i.v.m. het ambtenarentoken. P4


21 december 2011

De veiligheidsbeheerder voert de volgende taken uit: •

de aanvragen i.v.m. de gebruikers invoeren;

•

de gebruiker op het federale portaal desgevallend creëren;

•

de instellingen (agentschappen) in het gebruikersbeheersysteem te definiëren in samenwerking met P&O en de KBO (om het KBO-nummer te creëren) ;

•

de veiligheidsbeheerders en veiligheidscontactpersonen in het gebruikersbeheersysteem definiëren;

•

Ieder gerapporteerd probleem i.v.m. het ambtenarentoken behandelen;

•

een (nieuw) Token aanvragen;

•

een ambtenarentoken desactiveren indien dit niet meer nuttig is (bijvoorbeeld: ontslag, pensioen, afwezigheid van lange duur…) en het opnieuw activeren indien nodig;

•

de briefwisseling met de Tokens ontvangen en veilig aan de gebruikers overhandigen;

•

de veiligheidsbeheerders en veiligheidscontactpersonen sensibiliseren verantwoordelijkheden, taken en hulpmiddelen die ze zullen gebruiken.

en

opleiden

inzake

hun

4.3. Andere functies met betrekking tot informatieveiligheid 4.3.1.

Veiligheidsconsulent (Commissie voor de Bescherming van de Persoonlijke Levenssfeer)

De Commissie voor de Bescherming van de Persoonlijke Levenssfeer beveelt in haar document "Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens" de aanstelling aan van een veiligheidsconsulent binnen iedere instelling. Deze is verantwoordelijk is voor de uitvoering van het veiligheidsbeleid. Hij rapporteert rechtstreeks aan de directie van de instelling. Hij moet over voldoende middelen (tijd, personeel, uitrusting en budget) kunnen beschikken en vrijuit toegang hebben tot de informatie die noodzakelijk is voor zijn functie en voor zover hij binnen het kader van het veiligheidsbeleid blijft. Hij zal er op toezien dat de verschillende verantwoordelijkheden inzake veiligheid (preventie, toezicht, opsporing en verwerking) duidelijk in kaart zijn gebracht en dat de personen belast met de veiligheid in alle onafhankelijkheid kunnen handelen en ervan gevrijwaard blijven dat ze voor persoonlijke - of tegenstrijdige belangen onder druk worden gezet. Hij zal moeten beschikken over de noodzakelijke competenties en opleidingen en zal geen functie(s) kunnen uitoefenen of verantwoordelijkheden hebben die onverenigbaar zijn met deze van veiligheidsconsulent. 4.3.2.

Consulent inzake Informatieveiligheid en bescherming van de persoonlijke levenssfeer (Rijksregister)

De wet van de 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen voorziet de aanstelling van een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer in iedere openbare overheid, openbare of private instelling die de toegang tot of de mededeling van informatiegegevens van het Rijksregister verkregen heeft. De identiteit van deze consulent moet naar het Sectoraal Comité van het Rijksregister gecommuniceerd worden. In sommige gevallen is de benaming "veiligheidconsulent voor het Rijksregister" ook in gebruik.

4.4. Verantwoordelijke Toegangen Entiteit (VTE) De Verantwoordelijke Toegangen Entiteit is verantwoordelijk voor de toegang tot de beveiligde toepassingen, aangeboden door publieke instellingen, voor de hele onderneming of organisatie voor wie hij is aangesteld.

P5


21 december 2011

Vanuit het standpunt van de sociale zekerheid speelt de Verantwoordelijke Toegangen Entiteit de rol van “root contact” van de onderneming/organisatie. Hij is in staat om één of meer hoedanigheden te beheren. De Verantwoordelijke Toegangen Entiteit (en de Co-Verantwoordelijke Toegangen Entiteit) beheert de hoedanigheden en de gebruikers binnen zijn onderneming/organisatie. Daarvoor kan hij: •

een hoedanigheid “activeren” voor zijn onderneming/organisatie, d.w.z. een activiteits-domein activeren waarin zijn onderneming/organisatie aanwezig is (bijvoorbeeld, werkgever, mandataris…);

•

een lokale beheerder aanduiden of veranderen per hoedanigheid die zijn onderneming/organisatie bezit;

•

co-Verantwoordelijken Toegangen Entiteit aanstellen, blokkeren, deblokkeren of verwijderen (Deze functionaliteit is niet toegankelijk voor Co-Verantwoordelijken);

•

gebruikers opzoeken in de verschillende activiteitsdomeinen van de onderneming/organisatie;

•

de informatie raadplegen die specifiek is voor de onderneming/organisatie.

Naast de bovenvermelde functionaliteiten heeft de VTE dezelfde rechten als de Lokale Beheerder of Lokale CoBeheerder. De VTE heeft ook dezelfde rechten als de Subafdelingsbeheerder. Als gebruiker van de toepassing Toegangsbeheer voor ondernemingen en organisaties, heeft de VTE ook de mogelijkheid om zijn persoonlijke gegevens te wijzigen (wachtwoord, e-mail, taalkeuze…).

4.5. Lokale beheerder portaaltoepassingen sociale zekerheid / eHealth De Lokale Beheerder wordt aangesteld door de Verantwoordelijke Toegangen Entiteit (of Co- Verantwoordelijke Toegangen Entiteit) om een hoedanigheid van een onderneming/organisatie te beheren (i.e. activiteitsdomein). De lokale beheerder voert de volgende taken uit: •

één of meer Lokale Co-Beheerders aanstellen om hem bij te staan;

•

de Lokale Co-Beheerders binnen zijn hoedanigheid blokkeren, deblokkeren of verwijderen (deze functionaliteit is niet toegankelijk voor Co-Verantwoordelijken);

•

de subafdelingen beheren voor zover deze hoedanigheid hem dit toelaat:

•

o

een subafdeling toevoegen/verwijderen, vrij of onder voorwaarden in functie van de mogelijkheden die hem aangeboden worden en er bepaalde toepassingen aan koppelen;

o

een subafdeling blokkeren/deblokkeren;

o

de (Co-)Subafdelingsbeheerder beheren.

gebruikers beheren binnen de hoedanigheid die hij beheert: o

een nieuwe gebruiker registreren;

o

autorisaties toewijzen aan de gebruikers die hij beheert;

o

bepaalde attributen van gebruikers wijzigen (taalkeuze, e-mail en toegang tot toepassingen);

o

gebruikers blokkeren, deblokkeren en verwijderen.

•

gebruikers opzoeken en selecteren binnen het activiteitsdomein dat hij beheert;

•

een technische gebruiker aanstellen die de contactpersoon zal zijn voor alles wat te maken heeft met de uitwisseling van gegevens via batch (gestructureerd berichten);

•

bepaalde informatie wijzigen die specifiek is voor de hoedanigheid. (en een e-mailadres definiëren voor deze hoedanigheid).

P6


21 december 2011

4.6. Informatiebeheerder De informatiebeheerder is eenieder die in het kader van zijn verantwoordelijkheden met betrekking tot een ICTsysteem over toegangsrechten beschikt die ruimer zijn dan het louter functioneel gebruik van de gegevens. Het gaat onder meer om ontwikkelaars, systeembeheerders, gegevensbeheerders, software-ontwikkelaars en –beheerders, netwerkbeheerders, consultants en onderaannemers.

4.7. Verantwoordelijke voor de verwerking In de wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (wet van 8 december 1992) wordt bepaald dat een verantwoordelijke voor de verwerking moet worden aangesteld binnen de entiteiten die persoonsgegevens verwerken. Onder “verantwoordelijke voor de verwerking” wordt de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Indien het doel en de middelen voor de verwerking door of krachtens een wet, een decreet of een ordonnantie zijn bepaald, is de verantwoordelijke voor de verwerking de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur die door of krachtens de wet, het decreet of de ordonnantie als de voor de verwerking verantwoordelijke wordt aangewezen.

4.8. Aangestelde voor de gegevensbescherming De wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (wet van 8 december 1992), voorziet de mogelijkheid dat een toekomstig Koninklijk Besluit het statuut van een aangestelde voor de gegevensbescherming vastlegt. De belangrijkste opdracht van deze aangestelde voor de gegevensbescherming is op onafhankelijke wijze zorgen voor de toepassing van de voorvermelde wet en haar uitvoeringsmaatregelen.

P7


21 december 2011

5. Samenwerking OCMW-gemeente 5.1. OCMW’s in het netwerk van de sociale zekerheid De Openbare Centra voor Maatschappelijk Welzijn behoren tot het netwerk van de sociale zekerheid, enerzijds in hun hoedanigheid van instellingen van sociale zekerheid zoals bedoeld in artikel 2, eerste lid, 2°, f) van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid (voor zover zij instaan voor de toepassing van het recht op maatschappelijke integratie), anderzijds in hun hoedanigheid van personen waartoe het netwerk van de sociale zekerheid werd uitgebreid ingevolge het koninklijk besluit van 4 maart 2005 tot uitbreiding van het netwerk van de sociale zekerheid tot de Openbare Centra voor Maatschappelijk Welzijn, voor wat betreft hun opdrachten inzake het recht op maatschappelijke dienstverlening, met toepassing van artikel 18 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid (voor zover zij instaan voor de toepassing van het recht op maatschappelijke dienstverlening). Een gevolg hiervan is 1 dat de KSZ optreedt als enige dienstenintegrator bij mededelingen door en aan OCMW’s. Artikel 14 van de KSZ-wet (dat ook van toepassing is op de OCMW’s ingevolge het voornoemde KB van 4 maart 2005) bepaalt namelijk dat de mededeling van sociale gegevens van persoonlijke aard door of aan instellingen van sociale zekerheid (zoals de 2 OCMW’s) gebeurt met tussenkomst van de KSZ. Dat wil dus zeggen dat de mededelingen van sociale gegevens van of naar de OCMW’s via de KSZ zullen verlopen. Vermits de Openbare Centra voor Maatschappelijk Welzijn tot het netwerk van de sociale zekerheid behoren, kunnen zij, mits machtiging van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid, binnen een beveiligd kader een beroep doen op persoonsgegevens beschikbaar binnen dat netwerk. Zij dienen daarbij vanzelfsprekend rekening te houden met de beginselen van doelmatigheid en evenredigheid vervat in artikel 4 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en met de beperkingen dienaangaande opgelegd door het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid. Zij zullen hun verwerkingen van persoonsgegevens derhalve steeds dienen af te stemmen op de inhoud en de draagwijdte van de machtigingen die het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid verleend heeft. De machtigingen die verleend worden door een bevoegd sectoraal comité met betrekking tot de mededeling van persoonsgegevens uit het netwerk van de sociale zekerheid, ook ten behoeve van de Openbare Centra voor Maatschappelijk Welzijn, hebben steeds betrekking op één of meerdere welbepaalde doeleinden. Dat betekent dat de bestemmeling van de persoonsgegevens deze persoonsgegevens enkel mag aanwenden voor deze uitdrukkelijk in de betrokken beraadslaging vermelde doeleinden, met uitsluiting van elk ander doeleinde (behoudens een nieuwe tussenkomst van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid). Het feit dat de Openbare Centra voor Maatschappelijk Welzijn tot het netwerk van de sociale zekerheid behoren doet overigens geen afbreuk aan de vereiste van een voorafgaande machtiging van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid voor het bekomen en verder mededelen van persoonsgegevens uit het netwerk van de sociale zekerheid.

1

Een instantie die bij of krachtens de wet, het decreet of de ordonnantie, belast is, binnen een bepaald overheidsniveau of in een bepaalde sector, met een taak van algemeen belang, en meer bepaald met de organisatie van de elektronische gegevensuitwisseling over instanties heen en met de geïntegreerde ontsluiting van gegevens. 2

Dit zijn alle gegevens die nodig zijn voor de toepassing van de sociale zekerheid die door de OCMW’s worden verwerkt voor het uitvoeren van hun opdrachten met betrekking tot het recht op maatschappelijke dienstverlening. P8


21 december 2011

5.2. Informatieveiligheid bij de sociale zekerheid De organisatie van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid is gebaseerd op de verplichte toepassing van de minimale veiligheidsnormen door haar partners. Deze normen zijn door de socialezekerheidsinstellingen verplicht na te leven indien zij toegang willen bekomen en behouden tot het netwerk van de Kruispuntbank. De controle op de naleving ervan door het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid is gebaseerd op een vragenlijst die jaarlijks via de Kruispuntbank wordt overgemaakt. Bij nietnaleving kan overeenkomstig artikel 46, eerste lid, 1° van de Kruispuntbankwet aan de betrokken instellingen, na ingebrekestelling, de toegang tot het netwerk worden ontzegd. De minimale veiligheidsnormen gelden aldus voor de instellingen van sociale zekerheid, zoals vermeld in artikel 2, eerste lid, 2° van de Kruispuntbankwet en voor de instanties die toegetreden zijn tot het netwerk van de KSZ overeenkomstig artikel 18 van voorvermelde wet. Andere instanties kunnen tevens via een machtiging van het Sectoraal Comité van de Sociale Zekerheid onderworpen zijn aan de naleving van de minimale veiligheidsnormen. Deze normen zijn ook van toepassing op de OCMW’s. De implementatie en de verificatie van de minimale veiligheidsnormen bij derden die voor rekening van een socialezekerheidsinstelling sociale gegevens van persoonlijke aard verwerken, behoren tot de verantwoordelijkheid van de instelling die aan de derde werkzaamheden toevertrouwt. De minimale normen zijn voor herziening vatbaar en worden aangepast in functie van de evolutie die zich op wettelijk, technisch of ander vlak voordoet. De minimale veiligheidsnormen die momenteel in voege zijn, zijn beschikbaar op de website van de Kruispuntbank van de sociale zekerheid. Het is de taak van de werkgroep Informatieveiligheid, opgericht in de schoot van het Algemeen Coördinatiecomité van de Kruispuntbank, om voorstellen tot wijziging van de minimale veiligheidsnormen voor te leggen. De gemeenschappelijke aanpak van informatieveiligheid in de sector van de sociale zekerheid werd bepaald door het Algemeen Coördinatiecomité van de KSZ aan de hand van algemene richtlijnen. De methodologie die gehanteerd wordt om een maximale informatieveiligheid na te streven, is een Information Security Management System (ISMS). Deze is algemeen gebaseerd op de ISO 2700X-reeks internationale normen (zie o.a. http://www.27000.org/). Hierbij dient men rekening te houden met de specifieke situatie en met de belangrijkheid van de te beveiligen werkingsmiddelen. Een dergelijk passend beveiligingsniveau vergt dus een afweging tussen enerzijds de aard van de gegevens en potentiële risico’s en anderzijds de stand van de techniek en kosten van de maatregelen. De werkgroep Informatieveiligheid, opgericht in de schoot van het Algemeen Coördinatiecomité van de KSZ, heeft een aantal documenten opgesteld die als leidraad kunnen worden gebruikt voor het opstellen en implementeren van een informatieveiligheidsbeleid. De openbare security policies zijn te vinden op de KSZ-website. Deze veiligheidspolicies werden in overeenstemming met de voorvermelde ISO-norm georganiseerd. Op de website van de VVSG vindt men tevens uitgebreide documentatie m.b.t. informatieveiligheid.

5.3. Informatieveiligheid bij de gemeente Vermits de gemeentes verbonden zijn met het Rijksregister, gelden de veiligheidsvereisten van de privacy wet. De gemeentes behoren ook tot andere bevoegdheidsdomeinen waardoor mogelijk bijkomende wettelijke bepalingen van toepassing zijn. De referentiemaatregelen van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer zijn hier van toepassing. Deze normen/richtlijnen"Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens" zijn beschikbaar op de website van de privacy commissie. 3

Ook gemeentebesturen moeten een veiligheidsconsulent aanstellen en beschikken over een veiligheidsbeleid. De mededeling van persoonsgegevens door gemeentes vergt tevens de voorafgaande machtiging van de bevoegde afdeling van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. 3

De term veiligheidsconsulent verwijst hier naar de definitie zoals vastgelegd werd door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer en niet naar de term zoals opgenomen is in de Kruispuntbankwet. P9


21 december 2011

5.4. Samenwerkingsverband Om de integriteit van de persoonlijke levenssfeer van de betrokken burgers te vrijwaren, heeft de Kruispuntbank van de Sociale Zekerheid duidelijke informatieveiligheidsmaatregelen opgelegd aan de actoren van haar netwerk, waaronder de Openbare Centra voor Maatschappelijk Welzijn. Met respect voor het beleid in verband met informatieveiligheid van de sociale zekerheid en persoonlijke levensfeer mag het Openbaar Centrum voor Maatschappelijk Welzijn samenwerkingsprotocollen ontwikkelen met de gemeentelijke administratie. Elke vorm van samenwerking op gemeentelijk vlak tussen het gemeentebestuur en het Openbaar Centrum voor Maatschappelijk Welzijn dient ten volle ondersteund te worden. Dit kan leiden tot een betere en geïntegreerde dienstverlening aan de burger en tot een grotere efficiëntie en effectiviteit voor de betrokken partijen.De voorwaarde hiervoor is dat deze samenwerking geen afbreuk doet aan de principes vervat in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens of de andere relevante bepalingen omtrent de bescherming van (persoons)gegevens. In het licht van de hogervermelde wet moet er voorts op worden gewezen dat binnen een gemeente het gemeentebestuur en het Openbaar Centrum voor Maatschappelijk Welzijn beiden verantwoordelijken zijn voor de verwerking van persoonsgegevens. Zij dragen elk hun eigen verantwoordelijkheid, en moeten elk hun eigen informatieveiligheidsbeleid ontwikkelen met de bijhorende controles. Het feit dat beide organisaties samenwerken, bijvoorbeeld door een beroep te doen op dezelfde personeelsleden en dezelfde infrastructuur, is toegestaan voor zover elke organisatie haar verplichtingen eigen aan haar activiteiten respecteert. Voor wat betreft het Openbaar Centrum voor Maatschappelijk Welzijn, wordt de naleving van de minimale veiligheidsnormen opgelegd zoals dit ook het geval is voor alle instellingen die verbonden zijn met het netwerk van de Kruispuntbank van de Sociale Zekerheid. Bij het gebruik van een gemeenschappelijke informatica-infrastructuur door beide organisaties dient erover gewaakt te worden dat de nodige technische en organisatorische maatregelen voorzien worden opdat enkel gemachtigde personen toegang zouden hebben tot de persoonsgegevens nodig voor de uitoefening van hun opdrachten. Bij toegang tot gegevens moet er een formele identificatie plaats vinden. Er moet onderscheid kunnen gemaakt worden tussen toegang in naam van de gemeente en toegang in naam van het Openbaar Centrum voor Maatschappelijk Welzijn. Voor elke gebruiker betekent dit dat onderscheiden toegangsrechten tot persoonsgegevens moeten gegeven worden in functie van de rol bij de organisatie waarvoor hij werkt. Een machtiging van het Sectoraal Comité is verplicht voor de uitwisseling van persoonsgegevens tussen de gemeente en het Openbaar Centrum voor Maatschappelijk Welzijn.

P 10


21 december 2011

6. Gemeenschappelijke diensten Juridisch heeft men te maken met twee verschillende organisaties met een eigen specifieke regelgeving. Dossiers die persoonsgegevens bevatten kunnen en mogen dus niet gedeeld worden tenzij er een specifieke machtiging van het bevoegde Sectoraal Comité is. Gebruik van een gemeenschappelijk softwarepakket is toegelaten. Bij de toegang tot de software en tot de gegevens opgeslagen door dat softwarepakket moet echter kunnen worden onderscheiden of die toegang geschiedt in naam van de gemeente of van het OCMW (via een fijnkorrelig systeem van gebruikers- en toegangsbeheer). Er dient gezorgd te worden voor een logische scheiding van de gegevens(opslag).

6.1. Gemeenschappelijk personeel Wanneer sommige personeelsleden voor verschillende entiteiten werken, moeten zij een onderscheid kunnen maken tussen de functies waarmee zij in iedere van de betrokken entiteiten zijn belast. Wanneer een personeelslid dat voor verschillende entiteiten werkt, divergenties vaststelt tussen zijn verantwoordelijkheden met als gevolg dus risico’s met betrekking tot de naleving van de veiligheidsvoorschriften in het kader van de verwerking van persoonsgegevens, moet hij het advies en de autorisatie vragen aan het Sectoraal Comité dat bevoegd is voor de betrokken gegevens.

6.2. Gemeenschappelijk systeem voor boekhouding Het gebruik van één boekhoudpakket is toegelaten op voorwaarde dat aparte rekeningen en boekingen gehanteerd worden voor de twee entiteiten. Dit zal trouwens noodzakelijk zijn in het kader van externe audits en boekhoudkundige documenten. Gelet op het feit dat er in de boekhouding ook (sociale) persoonsgegevens aanwezig kunnen zijn, zijn de minimale veiligheidsnormen van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid van toepassing. In geval van externe audit van de boekhouding, is het noodzakelijk dat de gegevens die niet behoren tot de geauditeerde organisatie geanonimiseerd zijn indien deze overgemaakt moeten worden aan de auditeur. De verschillende bestaande boekhoudpakketten voorzien in deze mogelijkheid.

6.3. Gemeenschappelijk systeem voor personeelsbeheer Met betrekking tot informatieveiligheid moeten, voor het goed functioneren van de organisaties, een aantal rollen en functies gedefinieerd worden. Hierbij moet rekening gehouden worden met de regels, verplichtingen en beperkingen die hierop van toepassing zijn (zie hoofdstuk 3. Definities). Pakketten voor tijdsregistratie, vakantieregeling, loopbaanregistratie, lonen e.d. kunnen worden gedeeld, opnieuw op voorwaarde dat toegang en opslag van de gegevens gescheiden kunnen worden gehouden.

6.4. Informatiedragers Het hoogste veiligheidsniveau opgelegd aan de twee organisaties is van toepassing voor elke gedeelde informatiedrager, en dit zowel voor actieve informatiedragers als deze gebruikt voor back-up en archivering. De toegang tot deze informatiedragers moet in functie van de noden verleend worden door de bevoegde dienst. De toegangen tot deze dragers moet kunnen nagegaan worden. P 11


21 december 2011

6.5. Gezamenlijk adressenbestand De algemene regel stelt dat er voor elke uitwisseling van sociale persoonsgegevens een machtiging vereist is van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid en dat die gegevensuitwisseling via de Kruispuntbank van de Sociale Zekerheid moet plaatsvinden. Dit houdt in dat het gezamenlijk adressenbestand geen enkel sociaal persoonsgegeven mag bevatten zonder machtiging van het Sectoraal Comité. Bovendien, is de verwerking van dergelijke bestanden onderworpen aan de "Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens".

6.6. "Unieke deur" De term "unieke deur" definieert het concept waarbij loketten van verschillende gemeentelijke diensten op één plaats voor de burgers toegankelijk zijn, zoals (niet beperkende lijst) : -

dienst bevolking; dienst burgerlijke stand; Openbare Centra voor Maatschappelijk Welzijn; plaatselijk werkgelegenheidsagentschap (PWA); sociaal wonen; dienst lokale politie; …

Dit initiatief wordt natuurlijk enkel goedgekeurd op voorwaarde dat de maatregelen vastgelegd in dit document worden nageleefd door alle organisaties die over een loket zullen beschikken.

P 12


7. Samenbrengen technologie

van

informatie-

en

21 december 2011

communicatie-

Een samenwerking tussen de gemeente en het Openbaar Centrum voor Maatschappelijk Welzijn inzake hardware en ICT-technologie is toegestaan. Deze samenwerking moet de naleving van alle normen en regels garanderen waaraan elke organisatie gehouden is. Voordat hardware, telecommunicatielijnen, ..., alsook elk gemeenschappelijk beheer samengebracht kunnen worden, moet er een samenwerkingsakkoord gesloten worden tussen de verschillende partnerorganisaties. In dat akkoord moeten de bevoegdheden van elke organisatie vermeld worden, alsook de verantwoordelijkheden. Ingeval een deel van dit beheer toevertrouwd wordt aan een derde (een onderaannemer), is het noodzakelijk dat deze derde een contract afgesloten heeft met de organisatie. In dit contract moeten alle verplichtingen van de onderaannemer vermeld worden inzake vertrouwelijkheid, maar ook diens verplichtingen inzake de bescherming van persoonsgegevens, zoals bepaald in de wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (privacy wet van 8 december 1992 – artikel 16). De Kruispuntbank van de Sociale Zekerheid stelt op haar website een aantal documenten ter beschikking, waaronder de minimale veiligheidsnormen, een NDA-model (Non-Disclosure Agreement), de "Deontologische Code voor gegevensbeheerders", ... .

7.1. Back-ups In het kader van een rampenplan (DRP) dat de organisatie moet toelaten snel opnieuw te functioneren na een incident (brand, hardware- en softwareproblemen die een impact hebben op de server(s) van de organisatie, …), is het noodzakelijk over een operationeel back-upbeleid te beschikken. Indien de back-ups de beveiligde omgeving van de organisatie of de sociale zekerheid verlaten, valt het onder de verantwoordelijkheid van de organisatie in kwestie om ervoor te zorgen dat de dragers beveiligd zijn, zodat een nietgemachtigd persoon ze niet kan gebruiken. Bijvoorbeeld zouden hiervoor encryptiemaatregelen kunnen toegepast worden om het vereiste veiligheidsniveau te bereiken. De invoering van encryptiemaatregelen is des te noodzakelijker indien de dragers de back-ups van meerdere organisaties bevatten. In dit geval moeten de encryptiemaatregelen doorgevoerd worden zodat elke organisatie enkel gemachtigd is om haar eigen gegevens te lezen. De toegang tot deze back-updragers moet verleend worden aan de bevoegde personen, volgens de noodzaak. Elke toegang moet getraceerd kunnen worden. Bovendien moeten er regelmatig hersteltesten van de back-upbestanden plaatsvinden, om een snelle en doeltreffende heropstart van de door een incident getroffen infrastructuur te garanderen.

7.2. Internettoegang en gebruik van e-mails Medewerkers in dienst van meerdere organisaties moeten beschikken over een e-mailadres binnen elke organisatie. De werkgroep "Informatieveiligheid" heeft een veiligheidsbeleid met betrekking tot het gebruik van internet en het gebruik van e-mail opgesteld. Documenten zijn beschikbaar op de website van de Kruispuntbank van de Sociale Zekerheid.

P 13


21 december 2011

7.3. Administratorrechten voor gewone gebruikers Om een optimale beveiliging van het netwerk te garanderen, kan een gewone gebruiker niet beschikken over administratorrechten op zijn werkstation. Deze beperking van rechten heeft tot doel te vermijden dat het werkstation en het netwerk besmet worden door malware of dat het werkstation van de gebruiker slecht wordt geconfigureerd. Deze beperking heeft tot gevolg dat de gebruiker niet over alle functies op zijn werkstation zal beschikken. De gebruiker zal bijvoorbeeld niet gemachtigd zijn om nieuwe toepassingen te installeren of om de netwerk- of systeemparameters te wijzigen. Deze maatregel geldt zowel voor vaste werkstations ("desktops") als voor mobiele werkstations ("laptops"). In geval van nieuwe technologieën (smartphones, tablet, …) dient een risicoanalyse uitgevoerd te worden teneinde de gepaste veiligheidsmaatregelen te kunnen toepassen. De werkgroep “Informatieveiligheid” heeft een veiligheidspolicy met betrekking tot de beveiliging van de werkstations opgesteld. Deze policy is beschikbaar op de website van de Kruispuntbank van de Sociale Zekerheid.

7.4. Toegangsbeveiliging In zoveel mogelijk situaties en voor zover systemen en toepassingen het ondersteunen, zal er gebruik gemaakt worden van een sterke authenticatie. De toegang tot de informatiesystemen moet granulair kunnen verleend worden. Het moet dus mogelijk zijn aan een gebruiker enkel de rechten te verlenen die nodig zijn voor de uitvoering van zijn opdracht. Elke toegang tot een informatiesysteem dat persoonsgegevens bevat, moet getraceerd kunnen worden zodat er op de vragen "Wie, wanneer, wat en hoe?" geantwoord kan worden. De werkgroep "Informatieveiligheid" heeft een veiligheidsbeleid opgesteld. Documenten zijn beschikbaar op de website van de Kruispuntbank van de Sociale Zekerheid. 7.4.1. Toegang op afstand De enige toegestane oplossing om een gebruiker via internet toegang te verlenen tot het interne netwerk van de organisatie is een beveiligde en gecontroleerde connectie te gebruiken waarvan het concept goedgekeurd is door de sociale zekerheid. Deze verbinding moet aan de volgende voorwaarden voldoen: -

sterke authenticatie van zowel de gebruiker als de computer; een controle van het veiligheidsniveau van het werkstation alvorens de verbinding mogelijk te maken; de verbindingen moeten gelogd worden; het mag niet mogelijk zijn om gelijktijdig verbindingen op te zetten met verschillende netwerken.

Meer gedetailleerde informatie kan verkregen worden in het veiligheidsbeleid met betrekking tot het gebruik van een VPN-verbinding. Dit veiligheidsbeleid is beschikbaar op de website van de Kruispuntbank van de Sociale Zekerheid. 7.4.2. Draadloze toegang In het geval van een draadloze toegang tot het interne netwerk van de organisatie, is het noodzakelijk dat de draadloze infrastructuur beveiligd wordt zodat een niet-gemachtigd persoon geen verbinding kan maken. Voor meer informatie heeft de Kruispuntbank een document opgesteld voor de beveiliging van draadloze netwerken. Dit document is beschikbaar op de website van de Kruispuntbank van de Sociale Zekerheid.

7.5. Toegangsbeheer Elke toekenning van gebruikersrechten wordt geregeld door een specifieke procedure. Deze moet de volledige levenscyclus omvatten (indiensttreding, wijzigingen, opschorting, uitdiensttreding, …). P 14


21 december 2011

Onder medewerkers verstaat men de personen met een contractuele (direct of indirect) of statutaire relatie met de organisatie. Bij wijze van voorbeeld dient de procedure o.a. het volgende te bevatten: -

Het ondertekenen van een vertrouwelijkheidsclausule. Hiervoor heeft de Kruispuntbank van de Sociale Zekerheid een algemene vertrouwelijkheidsclausule opgesteld. Deze is beschikbaar op haar website. Het toekennen, het aanpassen of het intrekken van toegangsrechten die nodig zijn voor de uitvoering van de opdrachten die toevertrouwd werden aan de medewerker (lokalen, netwerken, toepassingen, …).

Het is steeds belangrijk ervoor te zorgen dat iedere medewerker enkel over de toegangsrechten beschikt die nodig zijn om zijn opdracht uit te voeren. Hij mag niet over aanvullende rechten beschikken die niet gerechtvaardigd worden door zijn functie. Deze toegangsrechten dienen individueel verleend en niet gedeeld te worden. Bijzondere aandacht moet geschonken worden aan het verlenen van de rechten. Bepaalde rechten (Rijksregister, …) zijn beperkt tot een functie en kunnen enkel verleend worden aan de officieel bevoegde personen en niet aan een tijdelijke werkkracht of student.

7.6. Veiligheidslogs Zoals beschreven in de minimale normen en ongeacht de gebruikte systemen, is het verplicht de uitgevoerde acties van de gebruikers (fysieke of systeem) m.b.t. persoonsgegevens te registreren en te bewaren. Deze logging moet toelaten te antwoorden op volgende vragen: wie/wat/waneer/hoe. De integriteit en vertrouwelijkheid van deze loggings moeten gegarandeerd worden, en ze moeten geraadpleegd kunnen worden door de bevoegde autoriteiten. Meer informatie met betrekking tot de veiligheidslogs is beschikbaar in het veiligheidsbeleid "Veiligheidslogs" binnen de toepassingen van de Sociale Zekerheid" dat beschikbaar is op de website van de Kruispuntbank.

7.7. Redundantie en hoog niveau van beschikbaarheid Het is noodzakelijk een optimale en adequate beschikbaarheid van het geheel van informatiesystemen (interne netwerken, servers, externe netwerkverbindingen, …) te verzekeren. Dit met het oog op het aanbieden van het verwachte niveau van dienstverlening.

7.8. Scheiding van de organisaties Zelfs indien verschillende organisaties samenwerken, is het noodzakelijk een fysieke of logische scheiding te bewerkstelligen tussen die organisaties. Op het netwerkniveau moet een logische scheiding bewerkstelligd worden, indien een fysieke scheiding niet mogelijk is, zodat elke gebruiker enkel toegang heeft tot zijn eigen ressources/middelen. Op het niveau van het besturingssysteem moeten de organisaties logisch gescheiden worden. Regels moeten opgesteld worden om de toegang tot middelen (toepassingen, printers, file servers, persoonsgegevens, …) te beperken tot gebruikers die deze nodig hebben voor hun functie. Het systeem van toegangsrechten moet een onderscheid kunnen maken tussen de medewerkers van de verschillende organisaties. Indien een medewerker voor meerdere organisaties werkt, moet hij beschikken over een account binnen elke organisatie om een scheiding van zijn rechten en toegang te garanderen.

P 15


21 december 2011

7.9. Methodes van verbinding met het Extranet van de sociale zekerheid De Kruispuntbank van de Sociale Zekerheid beheert een netwerk voor een veilige elektronische gegevensuitwisseling tussen de actoren in de sociale sector. De onderliggende informaticastructuur (« backbone ») van dit netwerk is het Extranet van de sociale zekerheid. Dit beveiligd netwerk verbindt de verschillende instellingen van sociale zekerheid met elkaar en biedt meerdere gemeenschappelijke diensten aan, zoals o.a. : -

de beveiligde verbinding van heterogene netwerken; het beschikbaar stellen van proxies HTTP/HTTPS/FTP, etc.; gegevensuitwisseling; het scannen van uitwisselingen via web, mail, enz. op de aanwezigheid van malware; het beheer en het onderhoud van domeinnamen; de toegangsverlening tot interne netwerken via een beveiligde verbinding (VPN).

Het biedt de instellingen tevens een beveiligde toegang tot het internet voor alle transacties die gebeuren vanaf het portaal van de sociale zekerheid of het federale portaal in het raam van e-governmentprojecten. De redundante infrastructuur (verspreid over meerdere sites) die gebaseerd is op een bescherming in lagen, wordt beschermd door firewalls op het niveau van de inkomende verbinding, meer bepaald tussen de instelling en de backbone, enerzijds, en tussen de backbone en het internet, tussen de backbone en de private netwerken, anderzijds. Hier vindt ook het centrale beheer plaats van anti-malware software. Het Extranet van de sociale zekerheid is uitgerust met een IDS/IPS (Intrusion Detection/Prevention System)-systeem. Er is ook een overkoepelend management- en monitoringsysteem voorzien om veiligheidsincidenten te kunnen detecteren en corrigeren. Audits op de infrastructuur en de componenten ervan worden periodiek uitgevoerd.. De actoren uit de sociale sector die nood hebben aan een verbinding met het Extranet in het kader van de verwerking van persoonsgegevens hebben de keuze tussen de volgende verbindingsmodi: -

Een directe verbinding (via BiLAN/Explore of via een directe huurlijn bij een telecomoperator die goedgekeurd werd door de KSZ).

-

Privé-netwerken. Deze netwerken beschikken over een directe verbinding met Extranet zoals beschreven in het vorige punt. Op dit ogenblik staan een reeks privé-partners (FedMan, Publilink, Vera, Irisnet, Infrax, Schaubroek, Cipal, …) in voor de verbinding met Extranet.

4

In dit geval is de verbinding met Extranet één van de diensten die geboden wordt door het privénetwerk waarmee ze verbonden zijn. Er moet echter een specifieke aandacht aan deze situatie geschonken worden. Hoewel de verbinding tussen de dienstleverancier en het Extranet via een directe lijn, een IPSEC-tunnel of een erkend privénetwerk verloopt, moet de actor (het OCMW) ook op een beveiligde manier verbonden zijn met de dienstleverancier om de veiligheidsrisico’s van het internetprotocol zo veel mogelijk te beperken. -

4

Het gebruik van een VPN-tunnel. Hiervoor kunnen verschillende technische oplossingen gebruikt worden: o Een standaard “VPN-IPSEC”-lijn (site-to-site) zoals bijvoorbeeld aangeboden door het Extranet. o Een andere VPN-oplossing na de expliciete toestemming van de Kruispuntbank van de Sociale Zekerheid. Voor deze oplossing moet er gebruik gemaakt worden van protocollen/technieken die gebaseerd zijn op internationale standaards/normen. De Kruispuntbank van de Sociale Zekerheid registreert en bewaart de aanvaarde oplossingen. o Elke andere oplossing moet een gelijkwaardig veiligheidsniveau opleveren en gevalideerd worden door het Sectoraal Comité.

of een IPSEC-verbinding. P 16


21 december 2011

7.10. Verbinding tussen verschillende plaatsen Indien de organisatie(s) verspreid is(zijn) over meerdere sites, dienen de nodige maatregelen getroffen te worden opdat de verbinding tussen deze gepast beveiligd zou zijn. Hiervoor bestaan er meerdere mogelijkheden: -

-

Een oplossing bestaat erin een (virtueel) directe lijn te hebben tussen de verschillende plaatsen. In sommige omstandigheden kan een draadloze verbinding geïnstalleerd worden. Toch dient er opgemerkt te worden dat deze draadloze voorzieningen enkel onderling kunnen communiceren. Bij gebruik van draadloze technologie is de desbetreffende security policy van toepassing. De werkgroep "Informatieveiligheid" heeft een document opgesteld voor de beveiliging van draadloze 5 netwerken . Een andere oplossing bestaat erin een VPN-verbinding te installeren tussen de sites via internet. De standaardoplossing die aanbevolen wordt door de Kruispuntbank is de VPN "IPSEC"-verbinding LANto-LAN.

7.11. Andere veiligheidsmaatregelen In het kader van de toepassing van de minimale veiligheidsnormen van de sociale zekerheid vormen de vorige punten geen exhaustieve lijst van te treffen veiligheidsmaatregelen. We kunnen enkel de implementatie aanraden van elke andere nuttige aanvullende maatregel om de veiligheid van het netwerk en de gegevens te garanderen.

5

Deze veiligheidspolicy over draadloze netwerken is beschikbaar op de website van de Kruispuntbank van Sociale Zekerheid. P 17

ISMS. (Information Security Management System) Informatieveiligheid bij de integratieoefening

Recommend Documents