Minimale normen informatieveiligheid en privacy Incidentenbeheer

Transcriptie

1 Minimale nrmen infrmatieveiligheid & privacy : Minimale nrmen infrmatieveiligheid en privacy Incidentenbeheer (MNM INCID)

2 Minimale nrmen infrmatieveiligheid & privacy: INHOUDSOPGAVE 1. INLEIDING BEHEER VAN INCIDENTEN... 3 BIJLAGE A: DOCUMENTBEHEER... 4 BIJLAGE B: REFERENTIES... 4 BIJLAGE C: RICHTLIJNEN ROND INCIDENTENBEHEER... 5 VERANTWOORDELIJKHEID EN PROCEDURES OPSTELLEN... 5 ZWAKHEDEN RAPPORTEREN... 5 GEBEURTENISSEN IDENTIFICEREN EN RAPPORTEREN... 6 BEOORDELING VAN / BESLISSEN OVER GEBEURTENISSEN... 6 VERZAMELEN EN VEILIG STELLEN VAN BEWIJSMATERIAAL... 7 REAGEREN OP EN HERSTELLEN VAN INCIDENTEN... 7 LEREN UIT INCIDENTEN VIA RAPPORT EN EVALUATIE... 8 MELDINGEN BIJ PRIVACY INCIDENTEN... 8 BIJLAGE D: LINK MET DE ISO-NORM 27002: p. 2

3 Minimale nrmen infrmatieveiligheid & privacy: 1. Inleiding Dit dcument maakt integraal deel uit van de minimale nrmen infrmatieveiligheid en privacy binnen de sciale zekerheid. Dit dcument is bestemd vr de verantwrdelijken, vr de verwerkers van infrmatie, vr de infrmatieveiligheidscnsulent (CISO) en vr de functinaris vr de gegevensbescherming (DPO) van de penbare instelling van de sciale zekerheid (OISZ). Incidentenbeheer hrt samen met het infrmatieveiligheidsbeleid, risicbeheer en cntinuïteitsbeheer tt de belangrijkste aandachtsgebieden van de minimale nrmen. Incidentenbeheer is belangrijk mdat abslute infrmatieveiligheid en abslute privacy niet bestaan en mdat incidenten niet te vrkmen zijn. Het is niet de vraag óf er iets gaat gebeuren maar wanneer. De belangrijkste te verwachte incidenten kunnen van te vren bedacht wrden en de bijpassende reactie en escalatie prcedure kan dus k van te vren uitgewerkt en geefend wrden. Het van de rganisatie geeft richting aan de wijze waarp de rganisatie wenst m te gaan met alle incidenten en bijna incidenten p het gebied van infrmatieveiligheid en privacy. De rganisatie nderschrijft het belang van een adequate behandeling van incidenten en de reactie daarp m daarmee de gevlgen p de werking van de rganisatie te minimaliseren. Incidenten dienen gestructureerd te wrden behandeld en er meten prcedures wrden vastgesteld m de reactie p incidenten deltreffend en rdelijk te laten plaatsvinden. De rganisatie wil leren van incidenten, en daarm meten incidenten geëvalueerd wrden. Incidentenbeheer p het gebied van infrmatieveiligheid en privacy mvatten de mnitring en detectie van veiligheidsincidenten p infrmatie en infrmatiesysteem ( security incidents ) en van privacy-incidenten ( data breaches ), maar k het waarnemen van verdachte activiteiten dr de medewerkers van de rganisatie en de uitvering van de juiste antwrden p deze gebeurtenissen. Incidentenbeheer is het prces van het beheer en de bescherming van infrmatiesystemen en de daarin pgeslagen infrmatie. Organisaties meten zich bewustzijn van hun verantwrdelijkheden als het gaat m de bescherming van deze infrmatie ten beheve van de burgers en andere rganisaties. Deze verantwrdelijkheid strekt zich uit tt het hebben van een draaibek vr wat te den, als er iets misgaat. Incidentenbeheer is een set van activiteiten die een prces definieert en implementeert, die een rganisatie kan gebruiken m zijn eigen welzijn en de veiligheid van het publiek te bevrderen. 2. Beheer van incidenten Elke rganisatie nderschrijft de vlgende minimale nrmen van infrmatieveiligheid en privacy vr alle infrmatie en infrmatiesystemen nder de verantwrdelijkheid van de rganisatie: 1. Er zijn prcedures vr het vastleggen en beheren van incidenten ver infrmatieveiligheid f privacy en de bijhrende verantwrdelijkheden. Deze prcedures meten bekend zijn bij alle medewerkers. 2. Elke medewerker (zwel vast f tijdelijk, intern f extern) is verplicht melding te maken van ngeautriseerde tegang, gebruik, verandering, penbaring, verlies f vernietiging van infrmatie en infrmatiesystemen. 3. Gebeurtenissen en zwakheden ver infrmatieveiligheid f privacy die verband huden met infrmatie en infrmatiesystemen van de rganisatie wrden zdanig kenbaar gemaakt dat de rganisatie tijdig en adequaat crrigerende maatregelen kan nemen. 4. Incidenten ver infrmatieveiligheid en privacy meten z snel als mgelijk via de leidinggevende, de helpdesk, de infrmatieveiligheidscnsulent (CISO) f functinaris van gegevensbescherming (DPO) gerapprteerd wrden. 5. Incidenten ver infrmatieveiligheid f privacy vereisen het crrect verzamelen van bewijsmateriaal in vereenstemming met wettelijke en regelgevende vrschriften. 6. Elk incident ver infrmatieveiligheid f privacy met frmeel geëvalueerd wrden pdat prcedures en cntrlemaatregelen verbeterd kunnen wrden. De lessen die getrkken wrden uit een incident dienen gecmmuniceerd te wrden naar de directie van de rganisatie vr validatie en gedkeuring van verdere acties. p. 3

4 Minimale nrmen infrmatieveiligheid & privacy: Bijlage A: Dcumentbeheer Versiebeheer Datum Auteur Versie Beschrijving van de verandering Datum gedkeuring Datum in werking treden 2007 V2007 Eerste versie 10/10/ /10/ V2017 Integratie EU GDPR 07/03/ /03/2017 Futen en weglatingen Wanneer bij het lezen van dit dcument futen f prblemen wrden vastgesteld, dan wrdt u als lezer verzcht m een krte beschrijving van de fut f het prbleem en de lcatie in het dcument samen uw cntactinfrmatie dr te geven aan de infrmatieveiligheidscnsulent (CISO) / functinaris van gegevensbescherming (DPO) van de rganisatie. Definities Om cnsistentie te garanderen in gebruikte terminlgie en begrippen drheen alle beleidsdcumenten, wrden alle definities met betrekking tt infrmatieveiligheid en privacy gecentraliseerd in één dcument genaamd Minimale Nrmen Definities infrmatieveiligheid en privacy. Bijlage B: Referenties Hiernder staan dcumenten vermeld die hebben gediend als inspiratie vr dit dcument: ISO, ISO/IEC 27001:2013 Infrmatin Security Management System Requirements, september 2013, 23 blz. ISO, ISO/IEC 27002:2013 Cde f Practice fr Infrmatin Security Management, september 2013, 80 blz. ISO, ISO/IEC 27035:2016 part 1 Infrmatin security incident management -- Part 1: Principles f incident management, nvember 2016, 21 blz. ISO, ISO/IEC 27035:2016 part 2 Infrmatin security incident management -- Part 2: Guidelines t plan and prepare fr incident respnse, nvember 2016, 57 blz. ISACA, COBIT 5 fr Infrmatin Security, Mei 2012, 220 blz. CCB, Gids vr incidentbeheer, februari 2016, 38 blz. Hiernder staan referenties naar websites die hebben gediend als inspiratie vr dit dcument: p. 4

5 Minimale nrmen infrmatieveiligheid & privacy: Bijlage C: rnd Verantwrdelijkheid en prcedures pstellen Delstelling: Verantwrdelijkheden en prcedures pr-actief pstellen m p een snelle, effectieve en gerdende manier een antwrd te bieden aan incidenten van infrmatieveiligheid en privacy. Er meten verantwrdelijkheden vastgesteld en prcedures pgesteld wrden, die binnen de rganisatie duidelijk gecmmuniceerd meten wrden. De vlgende nderwerpen meten behandeld wrden: a) He mgaan met incident (identificeren, indijken, elimineren en herstellen en pst-incident activiteiten) b) Mnitren, detecteren, analyseren en rapprteren van gebeurtenissen en incidenten c) Lggen van incidenten d) He mgaan met frensisch bewijsmateriaal e) Evalueren van en beslissen ver gebeurtenissen en welke beslissingen nemen f) He kwetsbaarheden p vlak van infrmatieveiligheid en/f privacy evalueren g) Escaleren van incidenten h) He vanaf incidenten een nrmale situatie herstellen i) Wat, he en wie cmmuniceren naar medewerkers van de rganisatie en andere belanghebbenden. Rapprtering van incidenten met p een gestandaardiseerde manier verlpen, m te verzekeren dat het efficiënt en effectief gebeurt. Vr niet geautmatiseerde meldingen van gebeurtenissen meten vlgende vragen beantwrd wrden: j) Wat was de gebeurtenis k) Wie heeft de feiten vastgesteld l) Wanneer heeft de gebeurtenis plaatsgevnden m) Wanneer werden de feiten vastgesteld n) He werd de gebeurtenis verrzaakt ) He werden de feiten vastgesteld p) Wat heeft de gebeurtenis beïnvled q) De (ptentiele) impact van de gebeurtenis p de activiteiten van de rganisatie. Vr geautmatiseerde meldingen, zie de minimale nrmen Lgging. Zwakheden rapprteren Delstelling: werknemers en derde partijen die infrmatiesystemen en -diensten van de rganisatie gebruiken meten elke gebserveerde f vernderstelde zwakheid in infrmatiesystemen f diensten direct rapprteren. Wanneer interne f externe medewerkers van de rganisatie zwakheden vermeden f detecteren meten zij die z snel mgelijk melden. Het meldingsprces met eenvudig, tegankelijk en beschikbaar zijn vr iedereen. p. 5

6 Minimale nrmen infrmatieveiligheid & privacy: Gebruikers meten weten dat ze nder geen beding mgen prberen m zwakheden in infrmatieveiligheid f privacy uit te buiten. Gebeurtenissen identificeren en rapprteren Delstelling: gebeurtenissen z snel mgelijk via de geëigende kanalen identificeren en rapprteren. Heeft een incident zich daadwerkelijk plaatsgevnden, is er wel een inbreuk p de infrmatieveiligheid f privacy? Deze activiteit mvat nrmaliter de systeembeheerder en eindgebruiker, maar kan k het gevlg zijn van pr-actieve detectie van incidenten dr de ICT-veiligheid f het systeembeheer f drdat bij de cntrle van de lgging iets naar bven kmt. Indien wrdt vastgesteld dat het inderdaad een incident is, dan meten de relevante partijen gewaarschuwd wrden. Alle medewerkers van de rganisatie meten p de hgte wrden gebracht van hun verantwrdelijkheid m vermedelijke gebeurtenissen rnd infrmatieveiligheid f privacy z snel mgelijk te melden bij een centraal meldpunt. Daarnaast meten zij p de hgte zijn van de prcedure vr het melden van dergelijke gebeurtenissen. Vr de vlgende situaties (niet exhaustieve lijst) met verwgen wrden f een melding gemaakt met wrden: Ineffectieve veiligheidscntrle Inbreuk p integriteit, betruwbaarheid f beschikbaarheid van infrmatie Menselijke futen met betrekking tt infrmatie veiligheid Niet-naleving van prcedures f richtlijnen met betrekking tt infrmatieveiligheid Inbreuk p fysieke beveiliging Inbreuk p de privacy Niet gecntrleerde veranderingen aan systemen Verkeerde werking van sftware f hardware Inbreuken p het tegangsbeleid. Er met feedback gegeven wrden ver de ndernmen acties aan de bevegde instantie(s). In functie van de gevlgen van ndernmen acties kan de persn die de gebeurtenis gemeld heeft dr de bevegde instantie(s) eveneens p de hgte gebracht wrden. Berdeling van / beslissen ver gebeurtenissen Delstelling: Gebeurtenissen berdelen en beslissen f deze als incident dienen gekwalificeerd te wrden De manager van de afdeling waar een incident ptreedt, wijst een incident reactie-leider aan en deze stelt een bij het incident passend incident-team samen. De manager infrmeert en vraagt z ndig hulp aan de infrmatieveiligheidscnsulent (CISO) f functinaris van gegevensbescherming (DPO). Bij een datalek met persnsgegevens wrdt altijd de functinaris van gegevensbescherming (DPO) geïnfrmeerd en k de infrmatieveiligheidscnsulent (CISO). Bij grte incidenten zal de infrmatieveiligheidscnsulent (CISO) in de meeste gevallen de teamleider wrden. Dit team is belast met het beperken van verdere schade als gevlg van het incident. Een grndige berdeling van de aard en mvang van het incident wrdt uitgeverd tesamen met de schade is en bewijsmateriaal wrdt veilig gesteld. Bij een datalek dient de infrmatie dr te strmen naar de privacy cmmissie binnen de 72 uur na vaststelling. p. 6

7 Minimale nrmen infrmatieveiligheid & privacy: Er meten criteria pgesteld wrden vr een unifrme classificatieschaal van incidenten rnd infrmatieveiligheid en privacy. Het meldpunt vr gebeurtenissen met een unifrme classificatieschaal gebruiken m te berdelen f de gebeurtenis als gebeurtenis f als incident beschuwd met wrden. De berdeling en beslissing vr gebeurtenissen mag dr het meldpunt drgegeven wrden aan de infrmatieveiligheidscnsulent (CISO) f de functinaris van gegevensbescherming (DPO) die de berdeling en beslissing met bevestigen f pnieuw berdelen. De resultaten van berdelingen en beslissingen meten in vldende detail geregistreerd wrden zdat deze bij tekmstige gebeurtenissen/incidenten als referentie f ter verificatie kunnen dienen. Verzamelen en veilig stellen van bewijsmateriaal Delstelling: prcedures definiëren m infrmatie van incidenten (die als bewijsmateriaal kan dienen in het kader van een frensisch nderzek) te identificeren, te verzamelen en intact te huden. Er meten prcedures pgesteld die beschrijven he mgegaan met wrden met bewijsmateriaal met het g p disciplinaire en/f legale acties. Deze prcedures meten beschrijven he het identificeren, verzamelen en bewaren van bewijsmateriaal met gebeuren, rekening hudende met de verschillende mediatypes. De prcedures vr het mgaan met bewijsmateriaal meten rekening huden met: Keten van bewijsmateriaal Beveiliging van het bewijsmateriaal Beveiliging van de medewerkers van de rganisatie, bezekers f burgers Rllen en verantwrdelijkheden van de betrkken medewerkers, bezekers f burgers Cmpetentie van medewerkers van de rganisatie Dcumentatie en registratie Rapprtering Certificatie f andere methden meten aangewend wrden m gekwalificeerd persneel f geschiktheid van tls te verzekeren, zdat de waarde van het bewijsmateriaal versterkt wrdt. Indien het verzamelen van frensisch bewijsmateriaal rganisatrische en/f juridische grenzen verschrijdt, dan met nagegaan wrden f de rganisatie gemachtigd is m de ndige infrmatie als frensisch bewijsmateriaal te mgen verzamelen. Reageren p en herstellen van incidenten Delstelling: antwrden p en herstellen van incidenten in vereenstemming met de relevante prcedures. Maatregelen meten genmen wrden m de rzaak van het incident te blkkeren f te verwijderen, de impact te verminderen dr verdere bltstelling van de gevelige gegevens te vrkmen, de prcessen herstarten als deze gestpt waren als gevlg van het incident en ervr zrgen dat risic s die verband huden met dit incident wrden verminderd. Incidenten meten behandeld via één centraal cntactpunt. Bewijsmateriaal met z snel mgelijk aansluitend aan het incident verzameld wrden. p. 7

8 Minimale nrmen infrmatieveiligheid & privacy: Indien ndig met een frensische analyse uitgeverd wrden. Indien ndig met er geëscaleerd wrden. Ondernmen acties meten geregistreerd wrden. Medewerkers van de rganisatie en derde partijen meten, p een need-t-knw basis, p de hgte gebracht wrden van een incident. Een pst-incident analyse met gemaakt wrden m de rzaak van het incident te achterhalen. De zwakheden die het incident hebben verrzaakt f hebben bijgedragen tt het incident meten geanalyseerd en verhlpen wrden. Een incident dat succesvl afgehandeld is, met frmeel afgernd en gerapprteerd wrden. Elke reactie p incidenten met leiden tt het herstel van een nrmale werking, en tt het initiëren van de ndzakelijke herstelprcedures. Er met één centraal systeem (tl) gebruik wrden waarin alle infrmatie mtrent gebeurtenissen en incidenten pgeslagen wrdt. Naast het tijdstip en datum van het infrmatie veiligheidsincident wrdt k gedcumenteerd: Wat was waargenmen en welke acties zijn ndernmen (k gebruik van autmatische tls) en waarm De lcatie van het bewijsmateriaal Indien van tepassing, he en waar werd het bewijsmateriaal bewaard Indien van tepassing, he is het bewijsmateriaal geverifieerd geweest Een verzicht van het bewijsmateriaal. Leren uit incidenten via rapprt en evaluatie Delstelling: Kennis uit het analyseren en plssen van incidenten gebruiken m de waarschijnlijkheid f de impact van tekmstige incidenten te verminderen Identificeer de lessen uit het incident en bespreek deze met het team, rapprteer ver het incident, de genmen maatregelen en het verslag, rapprteer indien ndig intern en extern, pas het gevlgde draaibek aan. Er meten prcessen en tls beschikbaar zijn m het type, het vlume aan en de kst van incidenten te kwantificeren en mnitren. De verzamelde infrmatie ver incidenten met gebruikt wrden m terugkerende incidenten met hge impact te identificeren. De evaluatie van incidenten met gebruikt wrden m na te gaan f de huidige cntrles adequaat zijn. Indien ndig, dan meten de cntrles aangepast wrden. Meldingen bij privacy incidenten Delstelling: incidenten rnd persnsgegevens dienen binnen de 72 uur gemeld te wrden aan de privacy cmmissie Indien een incident in verband met persnsgegevens heeft plaatsgevnden, meldt de verwerkingsverantwrdelijke deze znder nredelijke vertraging en, indien mgelijk, uiterlijk 72 uur nadat hij er kennis van heeft genmen aan de privacy cmmissie, tenzij het niet waarschijnlijk is dat de incident in verband p. 8

9 Minimale nrmen infrmatieveiligheid & privacy: met persnsgegevens een risic inhudt vr de rechten en vrijheden van persnen. Indien de melding aan de tezichthudende autriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een mtivering vr de vertraging. De verwerker infrmeert de verwerkingsverantwrdelijke znder nredelijke vertraging zdra hij kennis heeft genmen van een inbreuk in verband met persnsgegevens: a) de aard van het incident in verband met persnsgegevens, waar mgelijk nder vermelding van de categrieën van betrkkenen en persnsgegevensregisters in kwestie en, bij benadering, het aantal betrkkenen en persnsgegevensregisters in kwestie; b) de naam en de cntactgegevens van de functinaris vr gegevensbescherming (DPO) f een ander cntactpunt waar meer infrmatie kan wrden verkregen; c) de waarschijnlijke gevlgen van het incident in verband met persnsgegevens; d) de maatregelen die de verwerkingsverantwrdelijke heeft vrgesteld f genmen m het incident in verband met persnsgegevens aan te pakken, waarnder, in vrkmend geval, de maatregelen ter beperking van de eventuele nadelige gevlgen daarvan. Indien en vr zver het niet mgelijk is m alle infrmatie gelijktijdig te verstrekken, kan de infrmatie znder nredelijke vertraging in stappen wrden verstrekt. De verwerkingsverantwrdelijke dcumenteert alle incidenten in verband met persnsgegevens, met inbegrip van de feiten mtrent het incident in verband met persnsgegevens, de gevlgen daarvan en de genmen crrigerende maatregelen. Die dcumentatie stelt de privacy cmmissie in staat de naleving te cntrleren. Wanneer de inbreuk in verband met persnsgegevens waarschijnlijk een hg risic inhudt vr de rechten en vrijheden van persnen, deelt de verwerkingsverantwrdelijke betrkkene het incident in verband met persnsgegevens nverwijld mee via een mschrijving, in duidelijke en eenvudige taal: a) De aard van het incident b) De instanties waar meer infrmatie ver het incident kan wrden verkregen c) De aanbevlen maatregelen m de negatieve gevlgen van het incident te beperken De mededeling aan de betrkkene is niet vereist wanneer een van de vlgende vrwaarden is vervuld: a) de verwerkingsverantwrdelijke heeft passende technische en rganisatrische beschermingsmaatregelen genmen en deze maatregelen zijn tegepast p de persnsgegevens waarp het incident in verband met persnsgegevens betrekking heeft, met name die welke de persnsgegevens nbegrijpelijk maken vr nbevegden, zals versleuteling; b) de verwerkingsverantwrdelijke heeft achteraf maatregelen genmen m ervr te zrgen dat het hge risic vr de rechten en vrijheden van betrkkenen zich waarschijnlijk niet meer zal vrden; c) de mededeling zu nevenredige inspanningen vergen. In dat geval kmt er in de plaats daarvan een penbare mededeling f een srtgelijke maatregel waarbij betrkkenen even deltreffend wrden geïnfrmeerd. De privacy cmmissie kan, na beraad ver de kans dat het incident in verband met persnsgegevens een hg risic met zich meebrengt, de verwerkingsverantwrdelijke verplichten tt cmmunicatie. p. 9

10 Minimale nrmen infrmatieveiligheid & privacy: Bijlage D: Link met de ISO-nrm 27002:2013 Hier wijzen we p de vrnaamste clausule(s) van de ISO-nrm 27002:2013 die verband huden met het nderwerp van het huidige dcument. Veiligheidsbeleid Organisatie van de infrmatieveiligheid. Veilig persneel Beheer van bedrijfsmiddelen Tegangsbeveiliging Cryptgrafie ISO-nrm 27002:2013 Fysieke beveiliging en beveiliging van de mgeving Beveiliging prcessen Cmmunicatieveiligheid Aankpen, nderhuden en ntwikkelen van infrmatiesystemen Leveranciersrelaties Beheer van veiligheidsincidenten Infrmatieveiligheidsaspecten van cntinuïteitsbeheer Naleving Ja ***** EINDE VAN DIT DOCUMENT ***** p. 10