Gebruikerspolicy voor mobiele toestellen

Transcriptie

1 ISMS (Information Security Management System) Gebruikerspolicy voor mobiele toestellen Version control please always check if you are using the latest version. Doc. Ref. :isms gebruikerspolicy voor mobiele toestellen nl v 1 0.docx Release Status Date Written by Edited by Approved by NL_0.2 Draft 26/11/2012 Alain Houbaille NL_1.0 Final 12/03/2013 Alain Houbaille Opmerking: Dit document houdt rekening met de opmerkingen die geformuleerd werden door een werkgroep waaraan de volgende personen hebben deelgenomen: de heren Bochart (KSZ), Costrop (Smals), Lévêque (RJV), Houbaille (KSZ), Petit (FBZ), Perot (RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van Cutsem (RSZPPO), Van der Goten (RIZIV).

2 INHOUDSOPGAVE 1. INLEIDING SCOPE DOELGROEP RICHTLIJNEN ALGEMEEN ORGANISATIE VEILIGHEIDSPOLICY SANCTIES EIGENAAR VAN HET DOCUMENT REFERENTIES BIJLAGE A: LINK MET DE NORM ISO P 2

3 1. Inleiding Het gebruik van nieuwe mobiele toestellen zoals smartphones, tablets, enz. voor beroepsdoeleinden is onderworpen aan een reeks veiligheidsmaatregelen. Volgens de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid dient elke instelling immers de gepaste veiligheidsmaatregelen te treffen om zich te beschermen tegen de risico's die verbonden zijn met het gebruik van dit type toestellen. Dit document is gebaseerd op de veiligheidspolicy van Fedict inzake gebruik van mobiele toestellen, waarbij de volgende veiligheidsrisico's werden geïdentificeerd: Verlies van gevoelige informatie ten gevolge van diefstal, verlies van het mobiele toestel of de buiten gebruikstelling. Niet-intentionele verspreiding van gevoelige informatie Aanvallen door kwaadwillige codes zoals malware, spyware, Aanvallen verbonden aan het gebruik van internet of , zoals phishing Aanvallen afkomstig van frauduleuze netwerken Deze policy is van toepassing voor alle instellingen van sociale zekerheid. 2. Scope Deze policy omvat de richtlijnen voor het gebruik van deze mobiele toestellen voor alle instellingen van sociale zekerheid. 3. Doelgroep Ze is van toepassing op alle instellingen waarvan de medewerkers dergelijke mobiele toestellen gebruiken voor beroepsdoeleinden. Ze geldt zowel voor de mobiele toestellen die door de instelling ter beschikking worden gesteld als voor private mobiele toestellen. 4. Richtlijnen Hieronder volgen de richtlijnen die in acht moeten worden genomen om de informatieveiligheid te waarborgen, zowel op het vlak van de gegevens die aanwezig zijn op het mobiele toestel als op het vlak van het gebruik ervan zowel in een professionele als in een privé omgeving.. Deze policy is gekoppeld aan een policy inzake centraal van mobiele toestellen. Deze policy dient effectief door de instelling te worden geformaliseerd. Er dient tevens een overeenkomst afgesloten te worden tussen de gebruiker en de instelling met betrekking tot het professioneel gebruik van het mobiele toestel. De term "mobiel toestel" slaat ook op tablets, netbooks, smartphones en elke andere computer of telecommunicatietoestel dat buiten de instelling kan worden gebruikt. 1 1 Onder mobiele toestellen dienen in de eerste plaats smartphones en tablets te worden begrepen die gebruik maken van een mobiel besturingssysteem zoals Google OS (Android), ios, Windows Mobile, Palm OS, Blackberry OS,... P 3

4 4.1. Algemeen 1. Het beleid van de instelling op het vlak van informatieveiligheid blijft onverkort van toepassing in deze context. 2. Deze policy geldt voor alle gebruikers die via dit soort toestellen toegang hebben tot de resources van de instelling. 3. Het vereiste veiligheidsniveau voor dit type toestellen zal afhangen van de aard en de gevoeligheid van de gegevens waartoe potentieel toegang kan worden verkregen. 4. Het gebruik van privé-toestellen voor beroepsdoeleinden kan enkel onder de volgende voorwaarden: a. De gebruiksvoorwaarden dienen vastgelegd te worden op basis van een risico-analyse die rekening houdt met de legitieme behoeften (onder andere de gebruikte gegevens) en de gebruiksomstandigheden.. b. De instelling heeft voldoende garanties dat de private mobiele toestellen over een gelijkaardig beveiligingsniveau beschikken als dat van de toestellen die door de instelling ter beschikking worden gesteld. c. De instelling waarborgt dat de toegang tot de gegevens van de instelling via dit type toestel enkel mogelijk is volgens het volgende principe: "Om het veiligheidsniveau van de gegevens van de instelling te waarborgen zal het vereiste beveiligingsniveau steeds evenredig zijn aan de aard en de gevoeligheid van de gegevens" (cf ) d. Het private mobiele toestel van de eindgebruiker moet d worden door de instelling in overeenkomst met de tabel A. 2 e. Een gebruikersovereenkomst dient te worden voorgesteld door de instelling. 5. Indien deze toestellen zowel voor beroepsdoeleinden als privé-doeleinden kunnen worden gebruikt, dient de eindgebruiker de veiligheidsregels na te leven die door de instelling werden opgesteld. a. De gebruiker dient steeds waakzaam te blijven wanneer hij deze mobiele toestellen voor privédoeleinden gebruikt, overeenkomstig deze richtlijnen en de specifieke richtlijnen inzake informatieveiligheid. b. Elke gebruiker is als enige verantwoordelijk voor het gebruik van het toestel. De gebruiker is zich bewust van de risico's die verbonden zijn aan dit soort toestellen - zeker in geval van verbinding met het informatiesysteem van de instelling - en zal daarom de veiligheidsregels naleven teneinde elk misbruik te voorkomen (bv. het downloaden van niet-toegelaten applicaties, zie 4.3.1), alsook verlies of diefstal te voorkomen. c. In geval van verlies of diefstal verwittigt de gebruiker onmiddellijk de bevoegde dienst, ook als het gaat om een privaat mobiel toestel dat voor beroepsdoeleinden wordt gebruikt. 6. De instelling kan de conformiteit van deze toestellen inzake veiligheid controleren, teneinde de veiligheidsrisico's tot een minimum te beperken. Om het veiligheidsniveau te garanderen dient de instelling controles in die zin te implementeren 3. De instelling is geenszins verantwoordelijk voor schade of voor de kosten als gevolg van het verlies of de diefstal van privé gegevens.. 7. De instelling verbindt zich ertoe om de gebruikers te sensibiliseren omtrent de goede praktijken inzake gebruik en hun verantwoordelijkheden. 8. De instelling verbindt zich ertoe de privacy van de gebruiker te respecteren. 2 Indien het mobiele toestel een logische scheiding van de privé- en professionele omgeving ondersteunt, dan blijft de controle beperkt tot de professionele omgeving. 3 Steeds op basis van een wederzijds akkoord. P 4

5 4.2. Organisatie 1. De bevoegde dienst van de instelling is verantwoordelijk voor de correcte implementatie van de veiligheidspolicy inzake mobiele toestellen. 2. De ondersteuning door de instelling betreft enkel de middelen die door de instelling ter beschikking gesteld worden. Deze ondersteuning kan worden uitbesteed. 3. Aan elke eindgebruiker die toegang wenst tot de informatie van de instelling via dit type toestel a. zal de instelling de gebruikerspolicy, alsook een overzicht van het veiligheidsbeleid meedelen. b. De gebruiker zal de gebruikersovereenkomst ondertekenen en het veiligheidsbeleid in acht nemen. 4. Door de ondertekening van deze gebruikersovereenkomst verklaart de gebruiker zich akkoord met de gebruikersrichtlijnen en wordt hij verantwoordelijk voor het gebruik. 5. De instelling zal steeds de mogelijkheid hebben om de toegang tot de informatie van de instelling (gegevens aanwezig op de smartphone of bedrijfsresources) te blokkeren en de gegevens te wissen. Deze richtlijn moet expliciet opgenomen worden in de gebruikersovereenkomst Veiligheidspolicy 1. Zoals beschreven in de algemene paragraaf 4.1, is het veiligheidsniveau dat vereist is voor de mobiele toestellen afhankelijk van de aard en de gevoeligheid van de gegevens. De tabellen hierna geven een overzicht van de veiligheidsrichtlijnen die toegepast dienen te worden in functie van drie technische modellen in verband met het van deze toestellen. A. Technische smodellen in functie van de classificatie van de gegevens Data classification Voorbeeld Mobiel toestel zonder Mobiel toestel met Publieke gegevens Site KSZ J J J Interne bedrijfsgegevens Vertrouwelijke bedrijfsgegevens Persoonsgegevens Sociale persoonsgegevens Medische gegevens Interne strategie, agenda, contacten, mail Boekhoudplan, DRP Persoonlijk dossier HR Te bepalen 6 J J N Te bepalen J N Te bepalen J gegevens RR N N J Medische gegevens N N J Mobiel toestel met gescheiden omgevingen (Isolatie 4 / VDI 5 ) 4 Isolatie: oplossing die het mogelijk maakt om strikt gescheiden omgevingen te creëren (professioneel en privé) op een mobiel toestel waarbij uitsluitend het professionele gedeelte onder controle staat van de werkgever 5 Virtual Device Interface: thin client geïnstalleerd op een mobile device die toelaat om via een beveiligde sessie op afstand te werken in een professionele omgeving. 6 De notie "te bepalen" betekent dat de instelling de gegevensset vaststelt die toegankelijk is op basis van de drie modellen P 5

6 B. Veiligheidsmaatregelen in functie van het smodel 7 Opgelegde implementatie van veiligheidsmaatregelen Sensibilisering en responsabilisering (cf ) Systeem voor gebruikersauthenticatie op het toestel Vergrendeling van het toestel bij inactiviteit Mobiel toestel zonder Mobiel toestel met J J J Aanbevolen J J Aanbevolen J J omgeving Paswoordbeleid Aanbevolen J J Automatische blokkering na X verkeerde toegangscodes Beveiligde communicatie voor toegang tot bedrijfsinformatie Sterke authenticatie voor toegang tot bedrijfsinformatie Controle van de aanwezigheid van een actieve antimalware software Controle van de laatste update van de antimalware N Y Y J J J Aanbevolen J J Aanbevolen J J N J J Controle van het toegestaan niveau van N J J OS 8 Enkel de installatie van applicaties afkomstig van een betrouwbare bron toestaan Mobiel toestel gescheiden omgevingen (Isolatie / VDI) Aanbevolen Aanbevolen Aanbevolen / J in de omgeving van de instelling Beperking van de connectiviteit bij de Aanbevolen J J toegang tot bedrijfsinformatie 9 Vercijfering van de gegevens op het toestel Aanbevolen Aanbevolen Enkel bij isolatie is de vercijfering noodzakelijk Blokkering op afstand N J J Verwijdering van de gegevens op afstand N J J, binnen de omgeving van het mobiele toestel die voorbehouden is voor de instelling Het IMEI-nummer van het toestel noteren Aanbevolen Aanbevolen Aanbevolen 7 Niet beperkende lijst 8 Met inbegrip van jailbreaking, routing 9 Internetverbinding niet toegestaan P 6

7 2. De gebruiker zal de veiligheidsinstellingen niet wijzigen ook al is dit technisch mogelijk. De gebruiker zal het mobiel toestel niet rooten of jailbreaken. 3. De gebruiker wordt verwittigd als het mobiele toestel niet conform is aan de veiligheidspolicy. 4. Als het mobiele toestel niet conform is, wordt de toegang tot de bedrijfsresources geweigerd. 5. In geval van verlies of diefstal wordt het toestel vergrendeld en, indien mogelijk en nodig, worden de gegevens gewist. Dit kan leiden tot het verlies van persoonlijke gegevens die op de smartphone zijn opgeslagen. 5. Sancties De niet-naleving van deze policy zal aanleiding geven tot een sanctie volgens de geldende reglementering binnen de instelling. 6. Eigenaar van het document De handhaving, opvolging en herziening van deze policy behoren tot de verantwoordelijkheid van de dienst Informatieveiligheid van de KSZ. 7. Referenties De gebruikte referenties zijn: - de minimale veiligheidsnormen 2011 van de KSZ - de ISO-norm 27002: Bijlage A: Link met de norm ISO Hieronder vermelden we de belangrijkste bepalingen van de norm ISO die verband houden met deze policy ISO-norm Veiligheidspolicy Organisatie van de informatieveiligheid Beheer van de bedrijfsresources Veiligheidsvereisten ten aanzien van het personeel Fysieke veiligheid Operationele veiligheid Logische toegangsbeveiliging Onderhoud en ontwikkeling van informatiesystemen Beheersing van veiligheidsincidenten Beveiliging van de informatie in het kader van de continuïteit van het bedrijf Naleving / audit P 7