Richtlijnen met betrekking tot de informatieveiligheidsaspecten binnen het continuïteitsplan

Transcriptie

1 Richtlijnen met betrekking tt de ISMS (Infrmatin Security Management System) Richtlijnen met betrekking tt de Versin cntrl please always check if yu are using the latest versin. : Dc. Ref. :isms.052.security aspects f the bcm plicy.nl.v1.0 Release Status Date Written by Edited by Apprved by NL_1.0 Final 20/09/2014 Alain Hubaille Opmerking: In dit dcument werd er rekening gehuden met de pmerkingen van een werkgrep waaraan de vlgende persnen hebben deelgenmen: de heren Hubaille (KSZ), Bchart (KSZ), Cstrp (Smals), Petit (FBZ), Pert (RSZ), Quewet (FOD Vlksgezndheid), Symns (RVA), Van der Gten (RIZIV) en mevruw Glrieux (FAMIFED).

2 INHOUDSOPGAVE Richtlijnen met betrekking tt de 1. INLEIDING REIKWIJDTE DOELGROEP POLICY INZAKE HET BEDRIJFSCONTINUÏTEITSBEHEER DOELSTELLINGEN DEFINITIES INFORMATIEVEILIGHEID IN HET ICT-CONTINUÏTEITSBEHEER HET PROCES INZAKE CONTINUÏTEITSBEHEER RICHTLIJNEN I.V.M. HET ASPECT INFORMATIEVEILIGHEID IN HET BCP Strategie inzake de cntinuïteit van de infrmatieveiligheid Ontwikkeling van de cntinuïteit van de infrmatieveiligheid Cntrle, herziening en evaluatie van de cntinuïteit van de infrmatieveiligheid REDUNDANTIES DOCUMENTEIGENAAR REFERENTIES BIJLAGE A: VERBAND MET DE ISO-NORM p. 2

3 Richtlijnen met betrekking tt de 1. Inleiding Dit dcument maakt deel uit van het veiligheidsbeleid binnen de sciale zekerheid en hangt samen met verschillende andere plicies en prcedures. Dit dcument sluit aan bij de minimale veiligheidsnrm paragraaf 17 in verband met cntinuïteitsbeheer. In dit dcument wrden de belangrijke aspecten van infrmatieveiligheid beschreven waarmee hfdzakelijk p het vlak van digitale infrmatieverwerking rekening met wrden gehuden bij het beheer van de bedrijfscntinuïteit. 2. Reikwijdte De huidige plicy mvat de richtlijnen betreffende het beheer van de veiligheidsaspecten van een bedrijfs. 3. Delgrep Deze plicy is in de eerste plaats bedeld vr de verantwrdelijken vr het van de sciale zekerheidsinstelling en vr de infrmatieveiligheidscnsulent. 4. Plicy inzake het bedrijfscntinuïteitsbeheer 4.1. Delstellingen De plicy inzake het beheer van het bedrijfs heeft als vrnaamste delstellingen: waarbrgen dat alle cmpnenten die ndzakelijk zijn vr het beheer van een ingeverd zijn in de instellingen van de sciale zekerheid, zdat ze gepast kunnen reageren in geval van een ramp, een cherente en gemeenschappelijke aanpak hanteren vr de verwezenlijking van een ICT Definities RTO (Recvery Time Objective): hgste telaatbare duur van de nderbreking RPO (Recvery Pint Objective): maximaal telaatbaar gegevensverlies BCP: bedrijfs p. 3

4 Richtlijnen met betrekking tt de 5. Infrmatieveiligheid in het ICT-cntinuïteitsbeheer 5.1. Het prces inzake cntinuïteitsbeheer In het prces van bedrijfscntinuïteitsbeheer (business cntinuity management f BCM) wrden de bedreigingen vr een rganisatie en haar entiteiten geïdentificeerd zdat de rganisatie haar missie kan blijven vervullen in geval van een ernstige gebeurtenis f een ramp. Bedrijfscntinuïteitsbeheer resulteert in het pstellen, het actualiseren en, in geval van schade, het activeren van het bedrijfs ttdat de nrmale testand hersteld is. De rganisatie kan zich baseren p de ISO-nrm die de vlgende activiteiten mvat: Het BCM-prgramma: deze fase legt de rganisatiestructuur en de delstellingen van het prject vast. Het begrip van de rganisatie: Dr middel van een business impact- en risicanalyse wrden in deze fase de gevlgen van een prcesnderbreking vr de rganisatie geëvalueerd en kunnen de beschikbaarheidscriteria vr elk prces in de rganisatie bepaald wrden. -> Veiligheidsdelstelling: in deze analyse wrdt rekening gehuden met de infrmatieveiligheid Strategie van het bedrijfs (Business Cntinuity Plan f BCP): Uitwerken van de cntinuïteitsstrategie vlgens de te bereiken delstellingen -> Veiligheidsdelstelling: Definitie van de minimale veiligheidsnrmen Implementatie van het BCP: Opstellen van het -> Veiligheidsdelstelling: ervr zrgen dat er rekening wrdt gehuden met de veiligheidsvereisten Testen van het BCP: Dr de plannen te testen kan geverifieerd wrden dat de kritieke bedrijfsactiviteiten hersteld kunnen wrden binnen de vrpgestelde termijn -> Veiligheidsdelstelling: Nagaan f de veiligheidsvereisten peratineel zijn Onderhud en herziening van het BCP en pleiding van medewerkers in het kader van het BCP: -> Veiligheidsdelstelling : De BCP-dcumenten bijwerken Het bedrijfs impliceert het bestaan van een uniek dcument, bestaande uit vier stappen: ndinterventies, crisis-, herstel 1 - en hervattingsbeheer Richtlijnen inzake het aspect infrmatieveiligheid in het BCP Strategie inzake de cntinuïteit van de infrmatieveiligheid De directie met een kader bieden vr het vaststellen van de delstellingen inzake de bedrijfscntinuïteit; met inbegrip van de verbintenis m aan alle tepasselijke vrwaarden te vlden, m inherente verantwrdelijkheden te te kennen en m tevens te werken aan de permanente verbetering van het bedrijfs. Bedrijfscntinuïteit: is een interactief prces dat actief beheerd met wrden. Om te beginnen kan het beheerd wrden dr middel van een aanpak vr prjectbeheer. Dit plan met minstens één keer per jaar wrden geactualiseerd. Vr alle activa die als kritiek wrden mschreven dr de rganisatie, meten de beschikbaarheidscriteria betreffende de hervatting van de activiteiten mschreven en gedcumenteerd wrden. De minimale beschikbaarheidscriteria zijn de vlgende: RTO RPO. 1 Herstelbeheer verwijst naar de herstelstrategieën vr infrmatiesystemen die de bedrijfscntinuïteit waarbrgen bij een verminderde beschikbaarheid. p. 4

5 Richtlijnen met betrekking tt de Het is k ndzakelijk m bij de start van elk nieuw tepassingsprject f elk prject betreffende een business service reeds de infrmatieveiligheidsvereisten te vermelden in de vrafgaande analyse, in het bijznder de beschikbaarheidscriteria. De waardering en de behandeling van de veiligheidsrisic's van de infrmatiesystemen dragen bij tt de uitwerking van deze plannen, nder meer dr het kritieke karakter van de activiteiten en de infrmatiesystemen, de residuele risic's en de te integreren veiligheidsmaatregelen te mschrijven. De veiligheidscnsulent die integraal deel uitmaakt van het risicbeheerprces, met samenwerken met de in het aangestelde verantwrdelijke vr de uitwerking van nen. Bij haar impactanalyse met de rganisatie tevens elke kritieke activiteit identificeren en verwegen waarin zij afhankelijk is van leveranciers en andere derden en ervr zrgen dat het aspect infrmatieveiligheid pgenmen is in hun respectievelijke BCP s Ontwikkeling van de cntinuïteit van de infrmatieveiligheid De rganisatie verbindt zich erte m een permanent en frmeel prces te implementeren vr het beheer van de cntinuïteit van de infrmatieveiligheid, alsk de geschikte structuur m zich vr te bereiden p een ngewenst vrval, het te beperken en erp te reageren. In dit kader is er een incidentenbeheer peratineel in de rganisatie (waar er rekening wrdt gehuden met veiligheidsincidenten). Op basis van een bestaand f een business impactanalyse met de rganisatie het telaatbare veiligheidsniveau bij verminderde dienstverlening bepalen als ze haar activiteiten hervat na een ramp. Het vereiste minimale veiligheidsniveau bij verminderde dienstverlening wrdt gedcumenteerd in de nen. Er met vr gezrgd wrden dat de veiligheidsvereisten peratineel zijn in de back-up- en herstelvrzieningen Cntrle, herziening en evaluatie van de cntinuïteit van de infrmatieveiligheid Er wrdt een jaarlijks testplan bepaald en gedgekeurd dr de directie. De veiligheidscnsulent gaat na f er bij de vrgestelde tests rekening wrdt gehuden met de cntinuïteit van de infrmatieveiligheid. De rganisatie vert regelmatig evaluaties uit van haar prcedures en capaciteiten inzake bedrijfscntinuïteit en zrgt ervr dat het vastgestelde veiligheidsniveau nageleefd wrdt bij verminderde dienstverlening. Aangezien de plannen regelmatig herzien wrden, met dit in het begin van het jaar gepland wrden, zdat de plannen tegen een vastgelegde datum gecnslideerd zijn. De rganisatie met erver waken dat de nen gepubliceerd en verdeeld wrden nder de betrkkenen, zdat deze plannen beschikbaar zijn in geval van een incident waarbij hun uitvering vereist is. Bij elke herziening van de nen vrziet de rganisatie een sensibiliseringssessie m.b.t de aanpassingen vr de betrkken actren. De infrmatieveiligheidscnsulent ziet regelmatig de nen die hem aanbelangen, na. Hij analyseert de testresultaten m lacunes en incherenties p te spren. Indien ndig, stelt hij relevante verbeteringen vr Redundanties Op basis van een impact- f risicanalyse heeft de rganisatie de businessvereisten geïdentificeerd inzake de beschikbaarheid van infrmatiesystemen: p. 5

6 Richtlijnen met betrekking tt de Indien de beschikbaarheid van de infrmatiesystemen niet kan gegarandeerd wrden met de bestaande infrastructuur, met redundantie van de cmpnenten f de architectuur verwgen wrden. Wanneer het van tepassing is, met de redundantie van de infrmatiesystemen regelmatig getest wrden m ervr te zrgen dat de mschakeling van de ene cmpnent naar de andere naar behren functineert. De implementatie van de redundantie kan nieuwe risic's met zich meebrengen p het vlak van de integriteit en de vertruwelijkheid van de infrmatiesystemen; hiermee met rekening wrden gehuden tijdens het ntwerp van deze redundantie. 6. Dcumenteigenaar Het handhaven, het pvlgen en het herzien van de huidige plicy behrt tt de verantwrdelijkheid van de dienst Infrmatieveiligheid van de KSZ. 7. Referenties De gebruikte referenties zijn: - de minimale veiligheidsnrmen 2011 van de KSZ - de ISO-nrm 27002: Bijlage A: Verband met de ISO-nrm Hierna wijzen we p de vrnaamste clausules van de ISO-nrm die standaard verband huden met het nderwerp van de huidige plicy. ISO-nrm 27002:2013 Veiligheidsplicy Organisatie van de infrmatieveiligheid. Veilig persneel Beheer van bedrijfsmiddelen Tegangsbeveiliging Cryptgrafie Fysieke beveiliging en beveiliging van de mgeving Beveiliging bedrijfsvering Cmmunicatiebeveiliging Acquisitie, nderhud en ntwikkeling van infrmatiesystemen Leveranciersrelaties Beheer van veiligheidsincidenten Infrmatiebeveiligingsaspecten van bedrijfscntinuïteitsbeheer Naleving p. 6

7 Richtlijnen met betrekking tt de p. 7