SECURITY LOGS. Security logs in de toepassingen van het netwerk van de Sociale Zekerheid.

Transcriptie

1 ISMS (Information Security Management System) Security logs in de toepassingen van het netwerk van de Sociale Zekerheid. Version control please always check if you re using the latest version Doc. Ref.(BCSS) : isms.026.logs Release Date Author s Reason for change /03/ /05/ /06/ /06/ /09/ /11/ /01/ /01/ /02/ /02/ /03/ /04/ /09/ /11/ years 10 years /11/2005 Application conformity /06/2006 Interne toepassing Opmerking: dit document bevat de opmerkingen van een werkgroep waaraan mevrouw Minnaert (RSVZ), de heren Bouamor (CIMIRe), Costrop (SmalS-MvM), De Ronne (RJV), Gossiaux (KSZ), Petit (FBZ), Symons (RVA), Van Cutsem (RSZPPO), Van den Heuvel (KSZ), Van Der Goten (RIZIV), Vertongen (RSZ) hebben deelgenomen. Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document bezit. De inhoud van dit document mag vrij worden verspreid voor niet-commerciële doeleinden mits vermelding van de bron (Kruispuntbank van de Sociale Zekerheid, Eventuele verspreiding voor commerciële doeleinden dient het voorwerp uit te maken van de voorafgaande en schriftelijke toestemming vanwege de Kruispuntbank van de Sociale Zekerheid. P 1

2 1. Reikwijdte Dit document kadert in het veiligheidsbeleid van het netwerk van de sociale zekerheid zoals het werd uitgestippeld in het document Information Security Management System dat door het Algemeen Coördinatiecomité van de Kruispuntbank van de Sociale Zekerheid werd goedgekeurd. De bedoeling van dit document is de regels te bepalen in het kader van de naleving van de minimale veiligheidsnorm die door de werkgroep Informatieveiligheid werd vastgelegd en die in het hoofdstuk Logische toegangsbeveiliging de volgende verplichting inhoudt: elke socialezekerheidsinstelling aangesloten op het netwerk van de Kruispuntbank moet een loggingsysteem implementeren voor de persoonsgegevens nodig voor de toepassing en uitvoering van de sociale zekerheid, artikel 16, 2, 2 en 4 van de wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens. Een security log heeft de registratie van informatie tot doel aan de hand waarvan de op een persoonsgegeven uitgevoerde bewerking kan worden gecontroleerd. 2. Toepassingsgebied Dit beleid is van toepassing op de instellingen die deel uitmaken van het netwerk van de Sociale Zekerheid in het kader van de verwerking van persoonsgegevens en op de opdrachtgever die deelneemt aan de conceptie, de ontwikkeling, de implementatie van een toepassing waarin persoonsgegevens zijn vervat. 3. Verantwoordelijkheden De verantwoordelijkheid voor het organiseren van de beveiliging van de gegevens ligt steeds bij de instelling die eigenaar is van de gegevensverwerkende toepassing. Deze verantwoordelijkheid houdt voor de eigenaar van de toepassing de noodzaak in om te zorgen voor de implementatie van een georganiseerde procedure inzake security logs. Wanneer het een toepassing met gedeelde verantwoordelijkheid betreft, is elke partnerinstelling medeverantwoordelijk voor de implementatie van die procedure. Indien opdrachten aan derden worden toevertrouwd, moet de opdrachtgever de verantwoordelijkheden en verplichtingen terzake vastleggen in een Service Level Agreement of in een contract. P 2

3 4. Organisatie De organisatie van de procedure inzake security logs moet een traceerbaarheid van de gebruikte persoonsgegevens garanderen. Ongeacht het toegangspunt tot de informatie of de lokalisatie van de geraadpleegde gegevens moeten de security logs de volledige traceerbaarheid van de gebruike toepassingen, verrichte bewerkingen en gebruikte informatie garanderen. Het systeem moet de link tussen de gebruiker en de security logs garanderen. In de toepassingen moet het verzoek in de security logs worden ingebracht en geregistreerd vóór de mededeling van de informatie aan de gebruiker De organisatie omvat tevens de uitvoering van alle taken die borg staan voor een duurzaam beheer van alle security logs gedurende minstens 10 jaar 1. Er zal bijzondere aandacht worden besteed aan de volgende aspecten: de beveiligde inzameling, de bewaring en de archivering in een bruikbaar formaat en op bruikbare dragers die elk risico op vervalsing tot een minimum beperken, de alarmprocedure wanneer belangrijke feiten zoals de onmogelijkheid om de logs te traceren, aan het licht worden gebracht, de controle naar de integriteit van de geïmplementeerde maatregelen, de exploitatieprocedures. 5. Inhoud van de security logs De kwaliteit van een security log bestaat erin een gepast antwoord te kunnen bieden op de samenvoeging van de informatiegegevens (WIE, WANNEER, WAT, HOE) om het gebruik van een machtiging te rechtvaardigen. De relevantie van de inhoud van de security logs behoort steeds tot de verantwoordelijkheid van de eigenaar van de toepassing. De volgende gegevens moeten op zijn minst worden geregistreerd: de datum en het uur van de transactie, de identificatie van de gebruiker, de identificatie van de transactie, de identificatie van het onderwerp van het verzoek, de beschrijving van de uitgevoerde bewerking (aanmaak, wijziging, raadpleging, opzoeking, lijst, ). 1 Gedurende 10 jaar of zolang als nodig is. P 3

4 6. Algemeen beleid Elke inproductiestelling van een toepassing ten behoeve van de professionnals van de sociale zekerheid vereist de activatie van een georganiseerde procedure inzake security logs. 7. Verplichtingen 7.1. Van de instellingen van sociale zekerheid In het kader van het netwerk van de Kruispuntbank van de Sociale Zekerheid De instelling die eigenaar is van een toepassing die persoonsgegevens gebruikt doordat ze gebruik maakt van het netwerk van de Kruispuntbank van de Sociale Zekerheid, moet zorgen voor de implementatie van een georganiseerde procedure inzake security logs. Onder georganiseerde procedure wordt verstaan: de conceptie van het loggingsysteem, de definitie van de relevantie van de inhoud zoals vastgelegd in punt 5 van deze policy, de controle op de naleving van de procedure en de inhoud van de logs, het beheren, het bewaren, het archiveren en het verwijderen van de security logs na het verstrijken van de bewaarduur ervan, de beslissing om de loggegevens op te nemen in het continuïtsplan van de instelling, de gecontroleerde toegang tot de loggegevens. Het is de taak van de instelling eigenaar van de toepassing om loggings op andere niveaus dan de security logs te organiseren, te nemen en te bewaren. Bijvoorbeeld op het niveau van de transactionele monitor, het besturingssysteem, het beheersysteem van de machtigingen, het beheer en de bijwerking van de gegevensbanken. Iedere netwerkinstelling moet periodieke controles verrichten om zich van de naleving van de maatregelen die op haar betrekking hebben te vergewissen. Het is de taak van iedere netwerkinstelling om: de security-logs-procedure te activeren in alle omgevingen van haar informaticasysteem die niet enkel tot de technici en operationele teams, die met de ontwikkeling, het onderhoud, de ondersteuning en de exploitatie van de toepassingen zijn belast, beperkt zijn (bijvoorbeeld: acceptatieomgeving), voor elke fout in de aanmaak-, bewaar-, archiverings- en verwijderingsmechanismen van de security logs, een procedure uit te werken waarbij de veiligheidsdienst van de instelling of bij gebrek de veiligheidsdienst van de Kruispuntbank van de Sociale Zekerheid op de hoogte wordt gebracht en waarbij oplossingen worden voorgesteld om hieraan te verhelpen. Elke gebruiker van een toepassing van het netwerk van de Sociale Zekerheid moet worden ingelicht over het feit dat er security logs worden genomen en over de doelstelling ervan. Deze informatie dient aan de gebruiker te worden overgemaakt volgens een georganiseerde procedure die binnen iedere instelling die deel uitmaakt van het netwerk van de Sociale Zekerheid wordt vastgelegd. P 4

5 Wanneer het een toepassing betreft die via het socialezekerheidsportaal toegankelijk is, moet de geïmplementeerde procedure en de doelstelling ervan worden beschreven in het gebruikersreglement. Buiten het netwerk van de Kruispuntbank van de Sociale Zekerheid Wanneer het een interne toepassing betreft die gegevens van de eigen instelling beheert, dient de instelling het nodige te doen met het oog op de naleving van de wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens, inzonderheid artikel 16, 2.2, 3 en 4 ervan Van de gebruikers, professionals van de sociale zekerheid De gebruiker is verplicht de instructies en de procedures na te leven die in zijn instelling van toepassing zijn Van de opdrachtgever In het kader van de leiding van een project is de opdrachtnemer diegene die het project technisch ontwerpt en realiseert, de realisatie ervan coördineert, het resultaat controleert en de exploitatie voorbereidt. De opdrachtgever moet het akkoord van de eigenaar van de toepassing vragen m.b.t. de relevante gegevens die in de logbestanden moeten worden bewaard. Wanneer het een toepassing met gedeelde verantwoordelijkheid betreft, moet de opdrachtgever het akkoord vragen van iedere partner-instelling die medeverantwoordelijk is. Met het akkoord van de eigenaar van de toepassing moet de opdrachtgever de bewaring van de relevante gegevens in de security logs organiseren. De documentatie van elke betrokken toepassing moet verplicht een lijst omvatten van de informatie die in de logbestanden wordt bewaard. De implementatie van een procedure inzake security logs ontslaat de opdrachtgever niet van andere eventuele verantwoordelijkheden die hem door de eigenaar van de toepassing inzake bijkomende traceerbaarheid zijn toevertrouwd, bijvoorbeeld met betrekking tot de transactionele monitor, het besturingssysteem, het beheersysteem van de toegangsmachtigingen, het beheer van de incidenten, het beheren en bijwerken van de gegevensbanken Van de technici of operationele teams belast met de ontwikkeling, het onderhoud, de ondersteuning en de exploitatie van de toepassingen In het kader van hun opdrachten moeten deze medewerkers toegang kunnen hebben tot persoonsgegevens. Rekening houdend met de specifieke opdrachten die aan deze belangrijke actoren van onze instellingen werden toevertrouwd, werd een gedragscode voor de informatiebeheerders binnen het netwerk van de sociale zekerheid gepubliceerd waarin de veiligheidsvereisten uiteengezet worden. P 5

6 7.5. Van de toepassingen van het socialezekerheidsportaal Enkel de basisdienst SecurityLog wordt als basisdienst beschouwd voor het genereren van security logs voor de systemen die geheel of gedeeltelijk op het socialezekerheidsportaal zijn gehost. Het gebruik van deze basisdienst is verplicht. Elke machtigingsaanvraag tot gebruik van een alternatieve procedure ten opzichte van de basisdienst SecurityLog moet grondig worden gemotiveerd en gerechtvaardigd bij de leidende ambtenaar van de Kruispuntbank van de Sociale Zekerheid. 8. Toegang tot de security logs De raadpleging van security logs wordt strikt beperkt. De toegang tot deze consultatie vereist een sterke authentificatie. Behalve de in punt 7.4. van dit reglement betrokken actoren en behoudens andersluidend advies van de persoon belast met het dagelijkse bestuur van de instelling heeft enkel de veiligheidsconsulent van de instelling of zijn adjunct toegang tot de security logs. Deze onderzoeken worden uitgevoerd op het uitdrukkelijke verzoek van: het Sectoraal Comité van de Sociale Zekerheid, de persoon belast met het dagelijkse bestuur van de instelling van sociale zekerheid, de verantwoordelijke van de inspectiediensten in het kader van de controle op de opdrachten van de inspecteurs en sociale controleurs, de veiligheidsconsulent in het kader van welbepaalde controles. De raadpleging van de security logs maakt het voorwerp uit van een georganiseerde procedure, namelijk: de terbeschikkingstelling van standaardverzoeken, een beveiligde toegang tot deze verzoeken voor de gemachtigde personen. Iedere instelling moet een historiek van de verzoeken die in de security-log-bestanden worden uitgevoerd in een vrij formaat bijhouden. 9. Handhaving, opvolging en herziening De handhaving, de opvolging en de herziening van deze POLICY behoren tot de verantwoordelijkheid van de werkgroep Informatieveiligheid. P 6