Informatieveiligheid. Omdat het moet!? ShoptIT 8 mei 2014 Ivan Stuer

Transcriptie

1 Informatieveiligheid Omdat het moet!? ShoptIT 8 mei 2014 Ivan Stuer

2 Omgevingsanalyse Cloudaanbieder failliet, hoe red ik mijn bedrijfsdata? Nirvanix s cloud service customers were apparently notified about a shutdown at the end of the month a little over a week ago, leaving them with very little time to migrate over to a new cloud storage service provider which is not exactly an easy task.

3 Omgevingsanalyse

4 Omgevingsanalyse lokale overheid

5 ?

6 Maar ook op papier Waar eindigen al de papieren versies van (OCMW) raadsdocumenten? Staan printers in publiek toegankelijke ruimten?

7 En in de cloud

8 Waarneming Praktijk Verwarring bij gemeenten en OCMW s Geen toegang tot bepaalde bronnen Toegevoegde waarde van de Veiligheidsconsulent?

9

10 Informatieveiligheid

11 Informatieveiligheid Maak informatieveiligheid inzichtelijk voor het management en mandatarissen 3 grote domeinen voor lokale overheden: Technisch Privacy/persoonsgegevens Procedures

12 Informatieveiligheid Omdat het moet! Enkel omwille van wetgeving??

13 Informatieveiligheid: technisch Kennisdag informatieveiligheid V-ICT-OR 2012

14 Principes informatieveiligheid: CIA 14

15 Informatieveiligheid: technisch Gemeenten en OCMW hebben over het algemeen al de nodige technische maatregelen getroffen om hun infrastructuur en data te beschermen. Omdat het moet? -> geen alternatief Geen antivirus -> netwerk plat Geen backup > dataverlies Geen firewall -> hacking Geen spamfilter -> onbruikbaar

16 Informatieveiligheid: technisch Geïmplementeerd door leverancier of eigen systeembeheerder op basis van eigenbelang, vakkennis of jobfierheid Redelijk eenvoudig. Voldoende aanbod, voldoende kennis bij leveranciers, Voldoende producten antivirus, firewall, proxy, intrusion detection, backups, noodgenerator, Ontdubbeling serverpark & opslag, redundantie, wachtwoordbeleid, loggings -> procedureel opgevolgd of vastgelegd?

17 Informatieveiligheid: privacy Bescherming van persoonsgegevens Omdat het moet? - corporate governance - afgedwongen door wetgeving

18 Wettelijk kader Belangrijkste spelers: KSZ (OCMW s) CBPL Privacycommissie VTC Vlaamse toezichtscommissie

19 Verschillende rollen Informatieveiligheid Bron: Informatieveiligheid bij de integratieoefening OCMW - gemeente Information Security Guidlines Versie : december 2011 Wie Wat Wet / domein OCMW Informatieveiligheidsconsulent KSZ 15/1/93 Gem/OCMW Veiligheidsbeheerder Beheer ambtenarentoken Gemeente Veiligheidsconsulent CBPL Aanbeveling CBPL Gemeente OCMW OCMW Gem/OCMW Gem/OCMW Gem/OCMW Consulent informatieveiligeheid en bescherming privacy Verantwoordelijke Toegangen Entiteit (VTE) Lokale beheerder portaaltoepassingen sociale zekerheid / ehealth Informatiebeheerder Verantwoordelijke voor de verwerking Aangestelde voor de gegevensbescherming RR 8/8/83 Toegang toepassingen sociale zekerheid Verwerking persoonsgegevens 8/12/92 Verwerking persoonsgegevens 8/12/92

20 KSZ Minimale Veiligheidsnormen Veiligheidsconsulent Veiligheidsplan

21

22

23 Informatieveiligheid Volgen van reglementen en procedures Waarom? Garanties bieden aan burgers voor veilige verwerking van persoonsgegevens door de Vlaamse instanties 2 ledig - evenwicht: efficiënte en effectieve dienstverlening garanderen; bescherming persoonlijke levenssfeer. Vlaamse Toezichtcommissie 23

24 Informatieveiligheid De privacywet: wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP) Vlaamse Toezichtcommissie 24

25 Informatieveiligheid Definitie van persoonsgegeven: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon = zeer ruim = niet beperkt tot privacy/persoonlijke levenssfeer Vlaamse Toezichtcommissie 25

26 Informatieveiligheid Definitie van verantwoordelijke voor de verwerking Niet de IT-dienst Niet de personeelsleden WEL het management het hoofd van de entiteit = verantwoordelijk voor de naleving van de privacywet Vlaamse Toezichtcommissie 26

27 Informatieveiligheid HOE De principes van de privacywet naleven: Finaliteit Proportionaliteit Transparantie Veiligheid Vlaamse Toezichtcommissie 27

28 Informatieveiligheid Het e-govdecreet: Decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer Vlaamse Toezichtcommissie 28

29 Informatieveiligheid Artikel 6: verplichtingen Vlaamse Bestuursinstanties 1. De instanties zijn in ieder geval verplicht : 1 persoonsgegevens te verwerken overeenkomstig de privacywet; 2 bij iedere nieuwe toepassing van het elektronische bestuurlijke gegevensverkeer vooraf adequate technische en organisatorische maatregelen in te bouwen voor de naleving van de privacywet; 3 op elk moment te waken over de kwaliteit en de veiligheid van gegevens en alle maatregelen te treffen om een perfecte bewaring van persoonsgegevens te garanderen; 4 de toezichtcommissie te ondersteunen bij de vervulling van haar opdrachten; 5 de toezichtcommissie informatie te verstrekken en inzage in alle dossiers en informatieverwerkende systemen te verschaffen telkens als ze daarom vraagt. Vlaamse Toezichtcommissie 29

30 Informatieveiligheid Artikel 8: machtigingsverplichting De elektronische mededeling van persoonsgegevens door een instantie vereist een machtiging van de Toezichtcommissie[...] Vlaamse Toezichtcommissie 30

31 Informatieveiligheid Artikel 9: Veiligheidsconsulent Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. Vlaamse Toezichtcommissie 31

32 Informatieveiligheid Artikel 9: Veiligheidsconsulent advies en aanbevelingen omtrent de uitvoering van het veiligheidsbeleid; onder rechtstreeks gezag van verantwoordelijke voor dagelijks bestuur; kennis over informatieveiligheid en informaticaomgeving van de instantie; voldoende tijdsbesteding; geen onverenigbaarheid Vlaamse Toezichtcommissie 32

33 Informatieveiligheid Sancties: niet naleven privacywet is strafbaar verwerking/gegevensstroom kan worden stopgezet tuchtsancties/ontslag Schadeclaims Vertrouwen in de overheid krijgt een deuk Vlaamse Toezichtcommissie 33

34 Informatieveiligheid 34 Voorwaarden in machtigingen Veiligheidsconsulent Veiligheidsplan machtiging treedt pas in werking voor lokale besturen die voldoen aan voorwaarden Vlaamse Toezichtcommissie

35 Richtsnoeren informatieveiligheid

36 Wat? Geïntegreerd document met alle wet- en regelgeving Geënt op ISO27002 Beperkte subset Sterke focus op persoonsgegevens Goed begin informatieveiligheid voor lokale besturen

37 Juridische inslag! RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS IN STEDEN EN GEMEENTEN, IN INSTELLINGEN DIE DEEL UITMAKEN VAN HET NETWERK DAT BEHEERD WORDT DOOR DE KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID EN BIJ DE INTEGRATIE OCMW GEMEENTE Versie: 2.0

38 Informatieveiligheidstool Ontwikkeld door V-ICT-OR Leidt u door de richtsnoeren Zelfevaluatie van risico, impact, controle en maturiteit

39 Bevragingstool: Wat? 1. Richtsnoeren verwerkt in on-line vragenlijst 2. Met maturiteit & risico indicatie 3. Aangevuld met levend handboek 4. Veiligheidsplan als output!

40

41

42 Informatieveiligheid Hoe verankeren binnen de organisatie? Hoe krijgen we het gedragen?

43 Informatieveiligheid: procedureel Technische maatregelen treffen en een veiligheidsconsulent inhuren zijn GEEN voldoende garantie voor informatieveiligheid Er is procedurele verankering nodig binnen de organisatie Organisatiebeheersing Risicoanalyse en -beheersing in alle processen Behandelt per definitie informatieveiligheid binnen de organisatie (en dus ook technische maatregelen en bescherming van persoonsgegevens)

44 Organisatiebeheersing en informatieveiligheid 44 ICT-beveiliging is het geheel van maatregelen (voorschriften, processen, activiteiten, ) dat ervoor zorgt dat informatiesystemen (bedrijfs- en bestuursprocessen) een optimale bescherming genieten (rekening houdend met het kosten-baten principe) op het vlak van : Vertrouwelijkheid Privacy Integriteit Beschikbaarheid (BCM!) Vlaamse Toezichtcommissie

45 Bescherming van persoonsgegevens geldt in meeste domeinen organisatiebeheersing HR: personeelsgegevens Communicatie: klantengegevens, cookies, sociale media, Facilitair: gebouwinfrastructuur, toegang, bewaking Cultuur: deontologie, awareness, sociale media ICT: natuurlijk Organisatiebeheersing en informatieveiligheid Financiele dienst : betaalgegevens, boekhouding Archief,.. Vlaamse Toezichtcommissie 45

46 Management Informatieveiligheid en risicobeheersing is een essentieel onderdeel van vele management modellen of methodologieën ISO27002 (uiteraard) ITIL COBIT COSO PMI/Prince2 ISACA

47 ISO27001/2 ISO norm voor Informatieveiligheid Als basis voor regels VTC en KSZ (en dus ook de richtsnoeren) CIA & FP Confidentialiteit Integriteit Availability Finaliteit Proportionaliteit

48 ISO27001/2 Principes: Deming Circle: Plan, Do, Check, Act Security Controls Risk assessment Nieuwe versie legt ook de link naar andere management modellen!

49 ISO27001 Domeinen Security policy Controleobjectieven Organization of information security En risicobeheersing Asset management Human resources security Physical and environmental security Communications and operations management Access control Information systems acquisition, development and maintenance Information security incident management Business continuity management Regulatory compliance

50 COSO 50

51 COSO COSO identificeert de relaties tussen de ondernemingsrisico s en het interne beheersingsysteem. COSO hanteert hierbij de gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën: bereiken van de strategische doelstellingen (Strategic) effectiviteit en efficiëntie van bedrijfsprocessen (Operations) betrouwbaarheid van de (financiële) informatieverzorging (Reporting) naleving van relevante wet- en regelgeving (Compliance) Overgenomen door overheid voor Interne Controle (Art 99 GD)

52 Gemeentedecreet

53 COSO 1. Controleomgeving is de basis integriteit, de ethische waarden en deskundigheid van het personeel, de managementstijl en zijn filosofie, de organisatiecultuur, het beleid rond delegatie van bevoegdheden en verantwoordelijkheden, het HRM-beleid,. 2. Risico analyse op omgeving 3. Beheer en controle activiteiten 4. Informatieveiligheid 5. Monitoring (interne & externe audit)

54 COBIT

55 Vlaamse Toezichtcommissie 55

56 ITIL V2 operationeel Incident mgmt Problem mgmt Wekelijkse operationele opvolging Change mgmt Release mgmt Capacity mgmt Vooral bij uitvoering veranderingen Availability mgmt Service continuity mgmt Security mgmt Afspraken en controle Service level mgmt Financial mgmt

57 Kwaliteit: EFQM/CAF/INK/A3

58 Project Management: PMI / PMBOK 10 knowledge area s Integraal beheer (integration mgmt) Beheer van het doel van het project (scope mgmt) Tijdsbeheer (Time mgmt) Kostbeheer (Cost mgmt) Kwaliteitsbeheer (Quality mgmt) Beheer van de risico s (Risk mgmt) Personeelsbeheer (HR mgmt) Communicatiebeheer (Comm mgmt) Aankoopbeheer (Procurement mgmt) Stakeholdermanagement (Nieuw in release 5)

59 Prince2 Thema s Business Case Organization Plans Progress Risk Quality Change (beter opgevolgd dan in PMI) Configuration

60 En alle mogelijke combinaties ISO & ITIL ITIL & Prince2 TQM & ISO & ITIL &.

61 En de juridische inslag! RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS IN STEDEN EN GEMEENTEN, IN INSTELLINGEN DIE DEEL UITMAKEN VAN HET NETWERK DAT BEHEERD WORDT DOOR DE KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID EN BIJ DE INTEGRATIE OCMW GEMEENTE Versie: 2.0

62 Hoe breien we dit aan elkaar? Stel een informatieveiligheidsmanagement systeem (ISMS) op, geënt op de ISO27002 controlepunten en management modellen & technieken eigen aan uw organisatie/managementstructuur Verwerk zeker de richtsnoeren in het systeem (kan adhv de V-ICT-OR tool) Veranker het ISMS in uw organisatiewerking

63 ISMS stappen 1. Inventariseer alle gebruikte modellen en verplichtingen in uw organisatie 2. Stel een informatieveiligheidsteam op met alle relevante deelnemers (IVT) 3. Bepaal samen met het IVT de scope van het ISMS 4. Maak een eerste policy waarin deze scope wordt afgelijnd 5. Breng deze voor goedkeuring op het hoogste beslissingsorgaan 6. Bepaal de risico evaluatie methodologie (zelfde taal)

64 ISMS stappen 7. Leg de criteria vast rond aanvaardbare risico s 8. Maak een inventaris van alle processen en middelen die relevant zijn voor de scope 9. Doe een eerste risicoanalyse met het IVT (apart en samen) 10. Bepaal voor elk risico de strategie (accepteren, vermijden, transfereren) 11. Bepaal de relevante controlepunten (incl richtsnoeren) 12. Koppel terug naar het management

65 ISMS beheer 1. Beslis met het IVT hoe de controlepunten worden opgevolgd (, VTE, processen, training) 2. Stel logging en rapportering op 3. Evalueer geregeld de scope en risico s 4. Toets aan de management modellen (integratie & verankering!) 5. Organiseer regelmatig ISMS audits (peer review) 6. Leg alle findings, policies en risico s op regelmatige basis terug voor aan het management

66 Organisaties ISACA ENISA CSA (cloud!) KSZ VTC ISO (27000,31000, )

67 V-ICT-OR Opleidingen worden georganiseerd in samenwerking met Escala

68 Vragen?

69 Bedankt voor uw aandacht