Version control please always check if you re using the latest version Doc. Ref. : isms.033.vpn.third

Transcriptie

1 ISMS (Information Security Management System) Beleid voor de toegang op afstand tot het interne netwerk van een instelling door een dienstverlener van deze instelling op basis van een VPN-oplossing. Technische policy voor de klantinstellingen Version control please always check if you re using the latest version Doc. Ref. : isms.033.vpn.third Release Status Date Written by Approved by NL_1.0 Voorstel voor de instellingen van sociale zekerheid 10/12/2008 Patrick Bochart Werkgroep Informatieveiligheid Opmerking: In dit document zijn de opmerkingen verwerkt van een werkgroep waaraan de volgende personen hebben deelgenomen: mevrouw Minnaert (RSVZ) en de heren Bochart (KSZ), Costrop (Smals), De Ronne (RJV), De Vuyst (KSZ), Petit (FBZ), Quewet (FOD Volksgezondheid), Symons (RVA), Vandergoten (RIZIV) en Vertongen (RSZ). Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document bezit. De inhoud van dit document mag vrij worden verspreid voor niet-commerciële doeleinden mits vermelding van de bron (Kruispuntbank van de Sociale Zekerheid, Eventuele verspreiding voor commerciële doeleinden dient het voorwerp uit te maken van de voorafgaande en schriftelijke toestemming vanwege de Kruispuntbank van de Sociale Zekerheid. P 1

2 Inhoudsopgave ISMS...1 (INFORMATION SECURITY MANAGEMENT SYSTEM) INLEIDING EN SCOPE BELEID VOOR DE DEELNEMENDE INSTELLINGEN TECHNISCH ASPECT INITIATIEF VAN DE INSTELLING BEPERKING VAN DE DUUR VAN DE VERBINDING SITUERING IN HET NETWERK BESCHRIJVING VAN DE TOEGANGEN BESCHRIJVING VAN DE GEBRUIKTE APPARATUUR EN DE HIERMEE VERBONDEN VEILIGHEIDSPOLICY.4 4 ORGANISATORISCH ASPECT MATURITEIT OP HET VLAK VAN VEILIGHEID N.D.A MINIMALE NORMEN IMPLEMENTATIEPROCES...6 P 2

3 1 Inleiding en scope Dit document kadert in de implementatie van ISMS (Information Security Management System) in de sociale zekerheid. Het maakt deel uit van de controlemaatregelen inzake "Ontwikkeling en onderhoud van systemen". Dit document beperkt zich tot een beschrijving van de gebruiksvoorwaarden van het toegangssysteem op basis waarvan een firma die extern is aan het extranet van de sociale zekerheid toegang kan krijgen tot een of meerdere systemen binnen een instelling, via een beveiligd kanaal dat gekend is als VPN. Deze policy is een aanvulling op de Policy voor de toegang op afstand tot het interne netwerk van een instelling door gebruik te maken van de VPN-oplossing Smals en vervangt die in geen enkel geval. Dit document bevat geen beschrijving van het interne beleid van een instelling waarbij bepaald wordt voor welke doeleinden deze toegang op afstand tot de systemen van de instelling kan worden gebruikt (machtiging). Voor de naleving van dit interne beleid van de instelling moeten interne systemen worden uitgewerkt (bijvoorbeeld een firewall) zodanig dat de externe instantie slechts over de toegangsrechten beschikt die het nodig heeft. Andere systemen (zoals virusscanners) blijven ook noodzakelijk binnen de instelling. 2 Beleid voor de deelnemende instellingen Deze veiligheidspolicy heeft betrekking op twee belangrijke aspecten van de realisatie van een VPNverbinding tussen een instelling en een derde, hierna leverancier genoemd, ongeacht of het nu gaat om een dienstverlener of een consultant. In de volgende hoofdstukken worden deze twee aspecten beschreven en worden de maatregelen besproken die zowel op het niveau van de instelling als op het niveau van de leverancier dienen te worden getroffen op technisch en organisatorisch vlak. Deze veiligheidsmaatregelen zijn noodzakelijk voor een beveiligde communicatie tussen de instelling en haar leverancier (een persoon of een firma die extern is aan de sector van de sociale zekerheid), partijen waarvoor de Policy inzake toegang op afstand tot het interne netwerk van die instelling door gebruik te maken van de VPN-oplossing van Smals niet kan worden toegepast. In het laatste hoofdstuk wordt het implementatieproces beschreven, samen met de nodige machtigingen die verkregen moeten worden naargelang de gekozen oplossing. De hierna vermelde veiligheidsaspecten zouden moeten worden opgenomen in een algemener document van het type SLA 1 waarin de rollen en verantwoordelijkheden van elke partij worden vermeld. Iedere afwijking van deze veiligheidspolicy zal moeten worden onderzocht en goedgekeurd door de veiligheidsconsulent van de instelling. 1 De leverancier en de instelling ondertekenen een onderhandeld akkoord of Service Level Agreement (kortweg SLA), een overeenkomst die de leverancier aan de klant bindt en waarin schriftelijk de verwachtingen van beide partijen worden vermeld op het vlak van diensten, prioriteiten, verantwoordelijkheden, waarborgen, veiligheid. Het vermeldt de verschillende niveaus van veiligheid, beschikbaarheid, service, performantie, werking en alle andere aspecten van de betrokken dienst, zoals de facturering of zelfs de maatregelen (geldboetes en andere) in geval van contractbreuk. P 3

4 3 Technisch aspect In dit hoofdstuk worden de technische veiligheidsmaatregelen beschreven die getroffen moeten worden om te kunnen beschikken over een beveiligd communicatiekanaal tussen de instelling en de betrokken leverancier. 3.1 Initiatief van de instelling Het initiatief om het beveiligde communicatiekanaal te openen moet prioritair door de instelling worden genomen. Op die manier heeft de instelling een betere controle over de toegangen, maar ook over de acties die door de leverancier worden genomen en is ze beter in staat om de eventuele gevolgen van deze toegangen te beheren. In het kader van het gebruik van de VPN Smals, kan Smals een (vast) IP-adres of een adressequentie aan een leverancier toekennen. De toekenning van zo n vast(e) adres(sen) geeft de instelling de mogelijkheid om de toegang te beperken en om op vraag het kanaal open te stellen. 3.2 Beperking van de duur van de verbinding Door de openingstijd van het beveiligde communicatiekanaal te beperken kan men vermijden dat de leverancier toegang krijgt buiten de periodes van monitoring van de instelling. De periode waarbinnen de verbinding openstaat moet in samenspraak tussen de partijen worden afgesproken. 3.3 Situering in het netwerk Om de rest van het netwerk van de instelling (of het «Extranet») te beschermen, en dus ook de andere systemen en de productiegegevens die over dit netwerk circuleren, moet het systeem waartoe de leverancier toegang krijgt in de mate van het mogelijke worden geconnecteerd binnen een specifieke zone 2 die afgescheiden wordt door een systeem dat elke binnenkomende of buitengaande stroom in deze zone zal filteren en traceren. 3.4 Beschrijving van de toegangen De leverancier moet een duidelijke beschrijving geven van de toegangen die hij nodig heeft voor zijn werk. De toegekende toegangen mogen nooit de behoeften overschrijden. Het gebruik van een administrator of super-user account moet zoveel mogelijk worden vermeden (tenzij een lokale, specifieke administrator account). 3.5 Beschrijving van de gebruikte apparatuur en de hiermee verbonden veiligheidspolicy In zijn aanvraag moet de leverancier een duidelijke beschrijving geven van de apparatuur die toegang zal krijgen via deze verbinding. Hij zal het volledige pad beschrijven tussen zijn eindapparatuur en deze in de instelling. Bovendien zal hij een beschrijving geven van het veiligheidsbeleid dat op deze apparatuur van toepassing is (update, bescherming tegen malware, ). 2 Deze zone kan zowel een logische zone zijn als een zone die fysiek gescheiden is van het netwerk. Bovendien kunnen verschillende systemen in diezelfde zone geconnecteerd zijn. De bedoeling van deze «afscheiding» is om het onderhoud (door de leverancier) af te zonderen van de productie. P 4

5 4 Organisatorisch aspect In dit hoofdstuk worden de noodzakelijke organisatorische veiligheidsmaatregelen beschreven die de leverancier moet treffen om te kunnen beschikken over een beveiligd communicatiekanaal met de instelling. 4.1 Maturiteit op het vlak van veiligheid De leverancier moet aan de instelling zijn maturiteit op het vlak van veiligheid aantonen door haar de verschillende informatieveiligheidsmaatregelen voor te stellen die zijn organisatie heeft genomen, zoals bv. haar veiligheidsbeleid, 4.2 N.D.A. De leverancier moet een niet-openbaarmakings- en vertrouwelijkheidsovereenkomst («Non Disclosure Agreement») ondertekenen. Deze overeenkomst verbindt de leverancier ertoe alle informatie waartoe hij toegang krijgt geheim te houden ; zowel de informatie die hij verkrijgt vanaf het systeem waartoe hem toegang verleend wordt als de informatie die hem door de instelling ter beschikking wordt gesteld in het kader van zijn opdracht. Deze overeenkomst mag niet beperkt zijn in de tijd. In het geval dat een leverancier een contractuele relatie heeft met de instelling en in dit kader de verplichting wordt vermeld om een niet-openbaarmakings- en vertrouwelijkheidsovereenkomst na te leven, kan de veiligheidsconsulent ervan uitgaan dat de leverancier akkoord gaat met deze nietopenbaarmakings- en vertrouwelijkheidsclausule. 4.3 Minimale normen Aangezien het globale veiligheidsniveau van het netwerk van de sociale zekerheid bepaald wordt door de zwakste schakel ervan, heeft de werkgroep informatieveiligheid een reeks minimale veiligheidsnormen opgesteld, die opgelegd worden aan alle componenten (instellingen, partners, gewesten, ) van het netwerk van de sociale zekerheid. Het feit dat een externe leverancier toegang kan hebben tot een gedeelte van dit netwerk kan het globale veiligheidsniveau wijzigen. Derhalve zal de leverancier deze minimale normen moeten naleven en kan de instelling hem vragen om een gelijkaardige vragenlijst in te vullen als die wat ze zelf moet invullen met betrekking tot de naleving van die normen. P 5

6 5 Implementatieproces In dit hoofdstuk wordt de procedure voor de implementatie van deze veiligheidspolicy beschreven. De hieronder beschreven procedure verwijst naar het schema op de volgende pagina. 1. De leverancier laat weten dat hij toegang wenst tot één of meerdere systemen binnen de instelling. 2. Na analyse door de informaticadienst, onderzoekt de veiligheidsconsulent de aanvraag en vraagt hij een veiligheidsdossier op bij de leverancier. 3. Dit dossier beschrijft de veiligheidsmaatregelen van de leverancier op technisch en organisatorisch vlak teneinde een minimaal veiligheidsniveau te waarborgen zoals bepaald in de punten 3 Inleiding en scope en 4 Organisatorisch aspect. 4. Op basis van de informatie uit het veiligheidsdossier van de leverancier zal de veiligheidsconsulent, in samenwerking met de informaticadienst, het dossier evalueren en een synthese opstellen. In functie van de behoeften en de door de veiligheidsconsulent gerealiseerde risico-analyse, kiest de instelling voor het gebruik van de VPN-oplossing van Smals of een andere oplossing. Eerste geval, gebruik van de VPN-oplossing van Smals: 5. De instelling zal, in samenwerking met de leverancier en in functie van het voorgelegde veiligheidsdossier, de controles bepalen die Smals zal kunnen uitwerken om de opening van een VPN-sessie te valideren (in relatie met bijvoorbeeld het anti-virussysteem, persoonlijke firewall,, enz). Elke configuratiewijziging van het leverancierssysteem die een impact kan hebben op de uitgevoerde controles, moet aan de instelling gemeld worden. 6. De instelling brengt de extranet-staf op de hoogte van de implementatie van een VPNoplossing van Smals en voegt hier de lijst van de uit te voeren controles aan toe, alsook de synthese van het veiligheidsdossier opgesteld door de veiligheidsconsulent. De extranet-staf bezorgt Smals dan alle informatie voor het team dat belast is met de implementatie van deze VPN. Tweede geval, gebruik van een andere oplossing: 7. De instelling stelt een dossier op om een afwijking aan te vragen en voegt daar de synthese aan toe van het veiligheidsdossier en stuurt dit naar de extranet-staf. 8. De extranet-staf onderzoekt de vraag om afwijking en neemt een beslissing. 9. Als de extranet-staf akkoord gaat, zal de veiligheidsdienst van de KSZ de door de extranetstaf gevalideerde aanvraag voorleggen aan het bestuur van de KSZ. In geval van goedkeuring zal de veiligheidsdienst van de KSZ aan Smals alle informatie meedelen die nodig is voor de implementatie van deze VPN. 10. Smals zal, in samenwerking met de leverancier en de betrokken instelling, de gekozen oplossing implementeren. P 6

7 Start Leverancier 1. Aanvraag van een verbinding Aanvraag veiligheid 3. Opstellen van een veiligheidsdossier Verzending 2. Onderzoek van de aanvraag Verzending 4. Opstellen veiligheidsrapport 7. Opstellen dossier vraag om afwijking No Gebruik VPN SmalS Yes 5. Opstellen lijst van alle controles uit te voeren bij realisatie verbinding Staf Extranet 8. Analyse van het dossier afwijkingsaanvraag & het veiligheidsrapport 6. Ontvangst ter info van het veiligheidsrapport en de lijst van controles No Validatie Yes Staf Bestuur KSZ 9. Voorstelling dossier afwijking Validatie Yes No Smals Stop 10. Implementatie VPN P 7