Richtlijnen met betrekking tot de informatieveiligheidsaspecten binnen het continuïteitsplan Information Security Guidelines Versie: 1.00
22 september 2014
ISMS (Information Security Management System)
Richtlijnen met betrekking tot informatieveiligheidsaspecten binnen continuïteitsplan
de het
Version control – please always check if you are using the latest version. : Doc. Ref. :isms.052.security aspects of the bcm policy.nl.v1.0 Release
Status
Date
Written by
NL_1.0
Final
20/09/2014
Alain Houbaille
Edited by
Approved by
Opmerking: In dit document werd er rekening gehouden met de opmerkingen van een werkgroep waaraan de volgende personen hebben deelgenomen: de heren Houbaille (KSZ), Bochart (KSZ), Costrop (Smals), Petit (FBZ), Perot (RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van der Goten (RIZIV) en mevrouw Glorieux (FAMIFED).
Richtlijnen met betrekking tot informatieveiligheidsaspecten binnen continuïteitsplan Information Security Guidelines Versie: 1.00
de het
22 september 2014
INHOUDSOPGAVE 1.
INLEIDING ........................................................................................................................................................... 3
2.
REIKWIJDTE ......................................................................................................................................................... 3
3.
DOELGROEP ........................................................................................................................................................ 3
4.
POLICY INZAKE HET BEDRIJFSCONTINUÏTEITSBEHEER ......................................................................................... 3 4.1. 4.2.
5.
DOELSTELLINGEN ..................................................................................................................................................... 3 DEFINITIES .............................................................................................................................................................. 3
INFORMATIEVEILIGHEID IN HET ICT-CONTINUÏTEITSBEHEER ............................................................................... 4 5.1. HET PROCES INZAKE CONTINUÏTEITSBEHEER ................................................................................................................... 4 5.2. RICHTLIJNEN I.V.M. HET ASPECT INFORMATIEVEILIGHEID IN HET BCP .................................................................................. 4 5.2.1. Strategie inzake de continuïteit van de informatieveiligheid...................................................................... 4 5.2.2. Ontwikkeling van de continuïteit van de informatieveiligheid.................................................................... 5 5.2.3. Controle, herziening en evaluatie van de continuïteit van de informatieveiligheid .................................... 5 5.3. REDUNDANTIES ....................................................................................................................................................... 5
6.
DOCUMENTEIGENAAR ........................................................................................................................................ 6
7.
REFERENTIES ....................................................................................................................................................... 6
8.
BIJLAGE A: VERBAND MET DE ISO-NORM 27002 ................................................................................................. 6
p. 2
Richtlijnen met betrekking tot informatieveiligheidsaspecten binnen continuïteitsplan Information Security Guidelines Versie: 1.00
de het
22 september 2014
1. Inleiding Dit document maakt deel uit van het veiligheidsbeleid binnen de sociale zekerheid en hangt samen met verschillende andere policies en procedures. Dit document sluit aan bij de minimale veiligheidsnorm paragraaf 17 in verband met continuïteitsbeheer. In dit document worden de belangrijke aspecten van informatieveiligheid beschreven waarmee hoofdzakelijk op het vlak van digitale informatieverwerking rekening moet worden gehouden bij het beheer van de bedrijfscontinuïteit.
2. Reikwijdte De huidige policy omvat de richtlijnen betreffende het beheer van de veiligheidsaspecten van een bedrijfscontinuïteitsplan.
3. Doelgroep Deze policy is in de eerste plaats bedoeld voor de verantwoordelijken voor het continuïteitsplan van de sociale zekerheidsinstelling en voor de informatieveiligheidsconsulent.
4. Policy inzake het bedrijfscontinuïteitsbeheer 4.1. Doelstellingen De policy inzake het beheer van het bedrijfscontinuïteitsplan heeft als voornaamste doelstellingen: • •
waarborgen dat alle componenten die noodzakelijk zijn voor het beheer van een continuïteitsplan ingevoerd zijn in de instellingen van de sociale zekerheid, zodat ze gepast kunnen reageren in geval van een ramp, een coherente en gemeenschappelijke aanpak hanteren voor de verwezenlijking van een ICTcontinuïteitsplan.
4.2. Definities • • •
RTO (Recovery Time Objective): hoogste toelaatbare duur van de onderbreking RPO (Recovery Point Objective): maximaal toelaatbaar gegevensverlies BCP: bedrijfscontinuïteitsplan
p. 3
Richtlijnen met betrekking tot informatieveiligheidsaspecten binnen continuïteitsplan Information Security Guidelines Versie: 1.00
de het
22 september 2014
5. Informatieveiligheid in het ICT-continuïteitsbeheer 5.1. Het proces inzake continuïteitsbeheer In het proces van bedrijfscontinuïteitsbeheer (business continuity management of BCM) worden de bedreigingen voor een organisatie en haar entiteiten geïdentificeerd zodat de organisatie haar missie kan blijven vervullen in geval van een ernstige gebeurtenis of een ramp. Bedrijfscontinuïteitsbeheer resulteert in het opstellen, het actualiseren en, in geval van schade, het activeren van het bedrijfscontinuïteitsplan totdat de normale toestand hersteld is. De organisatie kan zich baseren op de ISO-norm 22301 die de volgende activiteiten omvat: o o
o
o
o
o
Het BCM-programma: deze fase legt de organisatiestructuur en de doelstellingen van het project vast. Het begrip van de organisatie: Door middel van een business impact- en risicoanalyse worden in deze fase de gevolgen van een procesonderbreking voor de organisatie geëvalueerd en kunnen de beschikbaarheidscriteria voor elk proces in de organisatie bepaald worden. -> Veiligheidsdoelstelling: in deze analyse wordt rekening gehouden met de informatieveiligheid Strategie van het bedrijfscontinuïteitsplan (Business Continuity Plan of BCP): Uitwerken van de continuïteitsstrategie volgens de te bereiken doelstellingen -> Veiligheidsdoelstelling: Definitie van de minimale veiligheidsnormen Implementatie van het BCP: Opstellen van het continuïteitsplan -> Veiligheidsdoelstelling: ervoor zorgen dat er rekening wordt gehouden met de veiligheidsvereisten Testen van het BCP: Door de plannen te testen kan geverifieerd worden dat de kritieke bedrijfsactiviteiten hersteld kunnen worden binnen de vooropgestelde termijn -> Veiligheidsdoelstelling: Nagaan of de veiligheidsvereisten operationeel zijn Onderhoud en herziening van het BCP en opleiding van medewerkers in het kader van het BCP: -> Veiligheidsdoelstelling : De BCP-documenten bijwerken
Het bedrijfscontinuïteitsplan impliceert het bestaan van een uniek document, bestaande uit vier stappen: 1 noodinterventies, crisis-, herstel - en hervattingsbeheer.
5.2. Richtlijnen inzake het aspect informatieveiligheid in het BCP 5.2.1. •
• •
Strategie inzake de continuïteit van de informatieveiligheid
De directie moet een kader bieden voor het vaststellen van de doelstellingen inzake de bedrijfscontinuïteit; met inbegrip van de verbintenis om aan alle toepasselijke voorwaarden te voldoen, om inherente verantwoordelijkheden toe te kennen en om tevens te werken aan de permanente verbetering van het bedrijfscontinuïteitsplan. Bedrijfscontinuïteit: is een interactief proces dat actief beheerd moet worden. Om te beginnen kan het continuïteitsplan beheerd worden door middel van een aanpak voor projectbeheer. Dit plan moet minstens één keer per jaar worden geactualiseerd. Voor alle activa die als kritiek worden omschreven door de organisatie, moeten de beschikbaarheidscriteria betreffende de hervatting van de activiteiten omschreven en gedocumenteerd worden. De minimale beschikbaarheidscriteria zijn de volgende: RTO–RPO.
1
Herstelbeheer verwijst naar de herstelstrategieën voor informatiesystemen die de bedrijfscontinuïteit waarborgen bij een verminderde beschikbaarheid.
p. 4
Richtlijnen met betrekking tot informatieveiligheidsaspecten binnen continuïteitsplan Information Security Guidelines Versie: 1.00 • •
•
• •
• •
•
• •
• •
Ontwikkeling van de continuïteit van de informatieveiligheid
De organisatie verbindt zich ertoe om een permanent en formeel proces te implementeren voor het beheer van de continuïteit van de informatieveiligheid, alsook de geschikte structuur om zich voor te bereiden op een ongewenst voorval, het te beperken en erop te reageren. In dit kader is er een incidentenbeheer operationeel in de organisatie (waar er rekening wordt gehouden met veiligheidsincidenten). Op basis van een bestaand continuïteitsplan of een business impactanalyse moet de organisatie het toelaatbare veiligheidsniveau bij verminderde dienstverlening bepalen als ze haar activiteiten hervat na een ramp. Het vereiste minimale veiligheidsniveau bij verminderde dienstverlening wordt gedocumenteerd in de continuïteitsplannen. Er moet voor gezorgd worden dat de veiligheidsvereisten operationeel zijn in de back-up- en herstelvoorzieningen.
5.2.3. • •
22 september 2014
Het is ook noodzakelijk om bij de start van elk nieuw toepassingsproject of elk project betreffende een business service reeds de informatieveiligheidsvereisten te vermelden in de voorafgaande analyse, in het bijzonder de beschikbaarheidscriteria. De waardering en de behandeling van de veiligheidsrisico's van de informatiesystemen dragen bij tot de uitwerking van deze plannen, onder meer door het kritieke karakter van de activiteiten en de informatiesystemen, de residuele risico's en de te integreren veiligheidsmaatregelen te omschrijven. De veiligheidsconsulent die integraal deel uitmaakt van het risicobeheerproces, moet samenwerken met de in het continuïteitsplan aangestelde verantwoordelijke voor de uitwerking van continuïteitsplannen. Bij haar impactanalyse moet de organisatie tevens elke kritieke activiteit identificeren en overwegen waarin zij afhankelijk is van leveranciers en andere derden en ervoor zorgen dat het aspect informatieveiligheid opgenomen is in hun respectievelijke BCP’s.
5.2.2. •
de het
Controle, herziening en evaluatie van de continuïteit van de informatieveiligheid
Er wordt een jaarlijks testplan bepaald en goedgekeurd door de directie. De veiligheidsconsulent gaat na of er bij de voorgestelde tests rekening wordt gehouden met de continuïteit van de informatieveiligheid. De organisatie voert regelmatig evaluaties uit van haar procedures en capaciteiten inzake bedrijfscontinuïteit en zorgt ervoor dat het vastgestelde veiligheidsniveau nageleefd wordt bij verminderde dienstverlening. Aangezien de plannen regelmatig herzien worden, moet dit in het begin van het jaar gepland worden, zodat de plannen tegen een vastgelegde datum geconsolideerd zijn. De organisatie moet erover waken dat de continuïteitsplannen gepubliceerd en verdeeld worden onder de betrokkenen, zodat deze plannen beschikbaar zijn in geval van een incident waarbij hun uitvoering vereist is. Bij elke herziening van de continuïteitsplannen voorziet de organisatie een sensibiliseringssessie m.b.t de aanpassingen voor de betrokken actoren. De informatieveiligheidsconsulent ziet regelmatig de continuïteitsplannen die hem aanbelangen, na. Hij analyseert de testresultaten om lacunes en incoherenties op te sporen. Indien nodig, stelt hij relevante verbeteringen voor.
5.3. Redundanties Op basis van een impact- of risicoanalyse heeft de organisatie de businessvereisten geïdentificeerd inzake de beschikbaarheid van informatiesystemen:
p. 5
Richtlijnen met betrekking tot informatieveiligheidsaspecten binnen continuïteitsplan Information Security Guidelines Versie: 1.00 • •
•
de het
22 september 2014
Indien de beschikbaarheid van de informatiesystemen niet kan gegarandeerd worden met de bestaande infrastructuur, moet redundantie van de componenten of de architectuur overwogen worden. Wanneer het van toepassing is, moet de redundantie van de informatiesystemen regelmatig getest worden om ervoor te zorgen dat de omschakeling van de ene component naar de andere naar behoren functioneert. De implementatie van de redundantie kan nieuwe risico's met zich meebrengen op het vlak van de integriteit en de vertrouwelijkheid van de informatiesystemen; hiermee moet rekening worden gehouden tijdens het ontwerp van deze redundantie.
6. Documenteigenaar Het handhaven, het opvolgen en het herzien van de huidige policy behoort tot de verantwoordelijkheid van de dienst Informatieveiligheid van de KSZ.
7. Referenties De gebruikte referenties zijn: - de minimale veiligheidsnormen 2011 van de KSZ - de ISO-norm 27002:2013
8. Bijlage A: Verband met de ISO-norm 27002
Hierna wijzen we op de voornaamste clausules van de ISO-norm 27002 die standaard verband houden met het onderwerp van de huidige policy. ISO-norm 27002:2013 Veiligheidspolicy
Ja
Organisatie van de informatieveiligheid.
Ja
Veilig personeel Beheer van bedrijfsmiddelen Toegangsbeveiliging Cryptografie Fysieke beveiliging en beveiliging van de omgeving Beveiliging bedrijfsvoering Communicatiebeveiliging Acquisitie, onderhoud en ontwikkeling van informatiesystemen Leveranciersrelaties Beheer van veiligheidsincidenten
Ja
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
Ja
Naleving p. 6
Richtlijnen met betrekking tot informatieveiligheidsaspecten binnen continuïteitsplan Information Security Guidelines Versie: 1.00
p. 7
de het
22 september 2014