De Informatieveiligheidsconsulent

Transcriptie

1 De Informatieveiligheidsconsulent Ivan Stuer Security Officer Informatie Vlaanderen

2 Principes Informatieveiligheid Vertrouwelijkheid Beschikbaarheid Integriteit 2

3 Principes Informatieveiligheid Vertrouwelijkheid Beschikbaarheid Integriteit 3

4 Vertrouwelijkheid Privacy Bedrijfsgeheimen Financiële informatie Overeenkomsten Contracten. Enkel privacy is wettelijk geregeld voor de overheid Andere aspecten zijn bedrijfsgerelateerd 4

5 Vertrouwelijkheid Privacy Wet 8 december 1992 bescherming van de persoonlijke levenssfeer (Privacywet) EU GDPR vanaf 25 mei 2018 van toepassing Finaliteit, proportionaliteit & transparantie 5

6 Informatieveiligheidsbeleid Voorwaarde voor een goed beleid en Beperking van de risico s: Orde in de chaos 6

7 Informatieveiligheidsconsulent 7

8 Nieuw? 8

9 Grote focus en vooruitgang in sinds 2015: 9

10 Wetgeving 8 augustus Wet tot regeling van een Rijksregister van de natuurlijke personen. Art. 10. <Hersteld door W /30, art. 8, 013; Inwerkingtreding : > Iedere openbare overheid, openbare of private instelling die de toegang tot of de mededeling van informatiegegevens van het Rijksregister verkregen heeft, wijst, al dan niet onder haar personeel, een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aan die onder meer de functie vervult van aangestelde voor de gegevensbescherming bedoeld in artikel 1 7bis van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. De identiteit van de consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer wordt meegedeeld aan het sectoraal comité van het Rijksregister bedoeld in artikel 15. Deze mededeling is niet vereist indien ze door of krachtens een andere wet, decreet of ordonnantie dient te geschieden door een ander sectoraal comité. 10

11 Wetgeving Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid [Art Iedere openbare overheid, natuurlijke persoon en openbare of private instelling die overeenkomstig 4 toegang heeft tot de identificatiegegevens van de Kruispuntbankregisters of er mededeling van bekomt, wijst, al dan niet onder het personeel, een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aan die onder meer de functie vervult van aangestelde voor de gegevensbescherming bedoeld in artikel 17bis van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. [Art. 24. Iedere instelling van sociale zekerheid wijst, al dan niet onder haar personeel, een veiligheidsconsulent aan. De identiteit van deze consulent wordt aan de Kruispuntbank en aan [de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid vervangen bij artikel 47 van de wet van 1 maart 2007 (Belgisch Staatsblad van 14 maart 2007)] meegedeeld. 11

12 Wetgeving 8 Besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten, vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer Art Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, 3, van het decreet van 18 juli 2008 aangewezen is en persoonsgegevens verwerkt, wijst elk, al dan niet onder haar medewerkers, een veiligheidsconsulent aan. De veiligheidsconsulent kan zich door een of meer adjuncten laten bijstaan.. 12

13 Wetgeving VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) Afdeling 4 Functionaris voor gegevensbescherming Artikel 37 Aanwijzing van de functionaris voor gegevensbescherming De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin: a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; b) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of c) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10. Nu ook voor bedrijven 13

14 Taken van de VC/DPO 14

15 CBPL: CBPL 15

16 Taken van de VC/DPO Invulling voor Privacycommissie: Doet beleidsvoorstellen Zet doelen Stuurt personen aan die beveiligingssysteem installeren Onderzoekt beveiligingsincidenten Stelt maatregelen voor om verbetering te brengen Is contactpersoon voor alle beveiligingszaken Opgelet: de verantwoordelijkheid om een informatieveiligheidsbeleid op te stellen ligt bij het bedrijf zelf Inclusief analyse van dreigingen, kwetsbaarheden, risico s, incidenten, impact & aanvaarding restrisico s Zie richtsnoeren informatiebeveiliging van persoonsgegevens 16

17 KSZ: 17

18 Taken van de VC/DPO Invulling voor Kruispuntbank Sociale Zekerheid: Heeft adviserende, stimulerende, documenterende & controlerende opdracht inzake informatieveiligheid Heeft geen beslissingsbevoegdheid -> ligt bij verantwoordelijke voor de verwerking Adviseert die verantwoordelijke omtrent alle aspecten van informatieveiligheid Schriftelijke & gemotiveerde adviezen + idem voor antwoorden Stelt een veiligheidsplan op voor 3j Zie minimale veiligheidsnormen KSZ 18

19 VTC: 19

20 Taken van de VC/DPO Invulling voor Vlaamse toezichtcommissie Verwijst naar KSZ aanpak + opdracht om de verschillende verantwoordelijkheden in kaart te brengen 20

21 GDPR/AVG: 21

22 Taken van de VC/DPO Functionaris voor gegevensbescherming (DPO): Informeren en adviseren over verplichtingen van GDPR & andere gegevensbeschermingsbepalingen Aan verantwoordelijke voor de verwerking, maar ook aan verwerker en werknemers van die verwerker Toezien op naleving Advies ivm gegevensbeschermingeffectbeoordeling (DPIA) Samenwerken met toezichthouder (DPA) Zie ook advies EU WP29: Document van 25p dat zeer gedetailleerd de taken en rol van de DPO omschrijft 22

23 GDPR Principes 23

24 DPO versus veiligheidsconsulent Advies CBPL Met betrekking van de "Veiligheidsconsulenten in het bijzonder, is er geen enkel automatisme noch systematische overgang van deze functie naar deze van functionaris voor gegevensbescherming; enkel een onderzoek in concreto door de betrokken verwerkingsverantwoordelijken en verwerkers kan hen hierin begeleiden; De CBPL beveelt de betrokken verwerkingsverantwoordelijken en verwerkers aan hun keuze alsook de functie van functionaris voor gegevensbescherming te documenteren 24

25 DPO versus veiligheidsconsulent Advies CBPL Als best practice beveelt de CBPL eveneens aan dat de verwerkingsverantwoordelijken en verwerkers eveneens de betrekkingen identificeren die onverenigbaar zijn met de functie van functionaris en interne regels opstellen om belangenconflicten te voorkomen. De adviserende rol en de controle (surveillance/monitoring) op de uitvoering van de AVG door Aanbeveling 04/ /21 de functionaris voor gegevensbescherming moet leiden tot de identificatie van deze belangenconflicten Ten slotte herinnert de CBPL eraan dat de AVG voorziet in de mogelijkheid om een externe functionaris aan te wijzen in het raam van een dienstverleningscontract. 25

26 Impact NU Werken met machtigingen Veiligheidsconsulent, veiligheidsplan = voorwaarde voor machtiging Oproep: sluit nog aan op algemene machtigingen Vanaf 25 mei 2018 Eventueel behoud van bepaalde machtigingen (niet door de CBPL) Maar: focus op eigen verantwoordelijkheid én gedeelde verantwoordelijkheid met verwerker (Art 28 10) 26

27 M.b.t de verwerker/leverancier NU Privacywet: 27

28 M.b.t de verwerker/leverancier Vanaf 25 mei 2018 GDPR/AVG: Gedeelde verantwoordelijkheid, contractueel vast te leggen Controller & processor hebben beiden DPO nodig. Verwerker heeft er alle belang bij dat de verwerkingsverantwoordelijke zijn werk goed doet en de verantwoordelijkheid niet probeert door te schuiven Verwerkingsverantwoordelijke moet een verwerker kiezen die de nodige waarborgen garandeert.!! Art 28 10: indien de verwerker anders handelt dan overeengekomen, wordt hij aanzien als verantwoordelijke en dus ook aanspreekbaar voor de eventuele boete 28

29 Hoe? Gebruik de security frameworks ISO27002 NIST COBIT. Minimaal de richtsnoeren informatieveiligheid /minimale normen KSZ 29

30 Hoe? Bescherming Persoonsgegevens IT Security & Business continuity Noodzakelijke totaalbescherming Wettelijke verplichting Bij toepassing Minimale normen 30

31 intussen in 2017: Advies ExCIA & NSA directeur 31

32 Setting the Scene : State of (in)security Chatham House report (5 oct 2015): The researchers found that many nuclear power plant systems were not "air gapped" from the Internet and that they had virtual private network access that operators were "sometimes unaware of. "It would be extremely difficult to cause a meltdown (...) but it would be possible for a state actor to do... (FT.com) 15/09/

33 Hackingsources National Governments Terrorists Industrial spies Organised crime units Hacktivists Hackers Sub-communities of hackers Script kiddies Worm and virus writers Security researcher and white hat have two subcategories; bug hunters exploit coders. Professional hacker-black hat who gets paid to write exploits 33

34 Hacking is geen kinderspel 34

35 Script Kiddies 35

36 36

37 NIST Framework Recovery planning Improvements Communications Identify Asset management Business environment Governance Risk Assessment Risk mgmt strategy Response planning Communications Analysis Mitigation Improvements Recover Respond Detect Protect Access Control Awareness & training Data Security Information protection processes & procedures Maintenance Protective technology Anomalies & Events Security Continuous Monitoring Detection Process 37

38 38 Is nog steeds zo in 2017

39 Holistic Approach Social resilience Energy resilience Cyber resilience Climate resilience Critical Infra resilience Resilient Governance

40 Algemeen belang We zijn allemaal inwoner van België, Vlaanderen, Provincie, gemeente In ieders belang dat verwerking van gegevens reglementair en veilig gebeurt Als leverancier heb je meer impact dan het bestuur zelf 40

41 Samen aanpakken Warme oproep om eindelijk gezamenlijk werk te maken van een professionele informatieveiligheidsaanpak (publieke sector controller-processor) : 41

42 Samen aanpakken Warme oproep om eindelijk gezamenlijk (public sector controller-processor) werk te maken van een professionele informatieveiligheidsaanpak: Samenwerking tussen de DPO s Verwerkingsovereenkomst Register van verwerking Incident response planning 42

43 Samen aanpakken Warme oproep om eindelijk gezamenlijk (public sector controller-processor) werk te maken van een professionele informatieveiligheidsaanpak: > 308 Vlaamse lokale besturen worden nu verondersteld zelf alle IT competenties in te kunnen vullen omgeving is zeer complex en divers IT cel bevat te weinig FTE functie is te laag ingeschaald, dus moeilijk te vinden 43

44 Samen aanpakken Warme oproep om eindelijk gezamenlijk (public sector controller-processor) werk te maken van een professionele informatieveiligheidsaanpak: functie stelt te hoge eisen en behoefte grondige kennis van netwerken, servers, storage, virtualisatie, PC's, printers, cloud, firewalls, antimalware, threats, risico s & kwetsbaarheden, encryptie, project management, service management, helpdeskorganisatie, mobiel, monitoring, exchange, telefonie, wireless +... wet op overheidsopdrachten Probeer diensten in te huren in een as-a-service model. Het inrichten van een professionele IT omgeving is geen kerntaak of kerncompetentie van een lokaal bestuur. Maak hierbij gebruik van de bouwstenen van de Vlaamse overheid 44

45 Samen aanpakken Warme oproep om eindelijk gezamenlijk (public sector controller-processor) werk te maken van een professionele informatieveiligheidsaanpak: ISO2700x ISMS opstellen (minimaal de richtsnoeren) ITSM-ITIL: change & release management, availability, continuity & recovery. Correcte patching, analyse van threats, risico s en vulnerabilities, incident response, Adequaat beleid, plan & acties Ontzorgen van openbare besturen 45

46 Samen aanpakken 46

47 Samen aanpakken ITIL 47

48 Samen aanpakken ISO

49 49

50 Advies Dring ook aan bij leveranciers om: Om compliant te zijn (consulent/dpo + plan) Om snel aan te sluiten bij de algemene machtigingen Om de juridische, technische en procedurele aspecten van informatieveiligheid ernstig te nemen de klant te ontzorgen, door zelf volledig compliant te zijn met regelgeving en as-a-service diensten aan te bieden Samen te werken aan de procedurele aspecten (service management, GDPR vereisten, ISMS, ) De gemeenschappelijk bouwstenen te gebruiken (Magda, authentiekebronnen, webservices, ACM/IDM, ) Dwing dit contractueel af 50

51 Raamcontracten voor inhuren van veiligheidsconsulenten Provinciaal aanbod Het Facilitair bedrijf Raamcontracten bij gemeenten 51

52 MAGDA Online taak voor de veiligheidsconsulent 52

53 53