ISMS (Information Security Management System)

Transcriptie

1 ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde partners. Version control : Doc. Ref. : Release Status Date Written by Edited by Approved by NL_1.00 Final 14/12/2013 Frank Souffriau Staff Extranet

2 INHOUDSOPGAVE 1. INLEIDING SCOPE DOELGROEP GEBRUIKSVOORWAARDEN RICHTLIJNEN ALGEMEEN ORGANISATIE VEILIGHEIDSPOLICY SANCTIES EIGENAAR VAN HET DOCUMENT REFERENTIES BIJLAGES LINK MET DE NORM ISO OVERZICHTSTABEL MET MOGELIJKE OPLOSSINGEN VOOR DE UITWISSELING VAN DOCUMENTEN TUSSEN INSTELLINGEN VAN DE SOCIALE ZEKERHEID EN GEAUTORISEERDE PARTNERS... 6 P 2

3 1. Inleiding Het uitwisselen van documenten voor beroepsdoeleinden is onderworpen aan een reeks veiligheidsmaatregelen. Volgens de minimale veiligheidsnormen van de Kruispuntbank van de Sociale Zekerheid dient elke instelling immers de gepaste veiligheidsmaatregelen te treffen om zich te beschermen tegen de risico's die verbonden zijn aan het uitwisselen van professionele documenten, waarbij onder uitwisselen wordt verstaan: Het versturen van documenten aan instellingen van sociale zekerheid en aan geautoriseerde partners Het ontvangen van documenten afkomstig van instellingen van sociale zekerheid en geautoriseerde partners Het raadplegen van de lijst van documenten die uitgewisseld zijn 2. Scope Deze policy omvat de gebruiksvoorwaarden en richtlijnen voor het gebruik van een beveiligde elektronisch doorgeefluik voor het uitwisselen van professionele (elektronische) documenten tussen de verschillende doelgroepen. Deze policy is van toepassing op alle instellingen van sociale zekerheid. Het gebruik van een elektronisch doorgeefluik (waarbij wordt verwezen naar één van de toepassingen vermeld in bijlage 9.2) wordt eerder uitzonderlijk toegestaan en dient niet ter vervanging van de klassieke uitwisselingsstromen via de KSZ. 3. Doelgroep (DG) Deze policy is van toepassing op alle OISZ en hun geautoriseerde partners, zijnde entiteiten die enerzijds identificeerbaar zijn aan de hand van een KBO-nummer en anderzijds deel uitmaken van een hoedanigheid professionals (cfr UAM KSZ). - (DG-1) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk is toegestaan mits er aan de gebruiksvoorwaarden (zie pt. 4) is voldaan. - (DG-2) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk en hun eigen secundaire netwerk zullen case per case worden bekeken (met een mogelijke beperking in tijd). - (DG-3) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk en instellingen (zoals de FOD en gemeenschappen) die niet deel uitmaken van het netwerk van de sociale zekerheid, maar wel verbonden zijn met het extranet (van de sociale zekerheid), is toegestaan mits er aan de gebruiksvoorwaarden (zie pt 4) is voldaan - (DG-4) De onderlinge uitwisseling van documenten tussen actoren van het secundaire netwerk zullen eveneens case per case worden bekeken (met een mogelijke beperking in tijd). - (DG-5) De onderlinge uitwisseling van documenten tussen actoren uit het primaire netwerk en een privéonderneming is toegestaan mits er aan de gebruiksvoorwaarden (zie pt. 4) is voldaan. - (DG-6) De onderlinge uitwisseling van documenten tussen actoren uit het secundaire netwerk en een privé-onderneming zullen "case per case" bekeken worden. - (DG-7) De onderlinge uitwisseling van documenten tussen 2 privé-ondernemingen is niet toegestaan. - (DG-8) De onderlinge uitwisseling van documenten binnen 2 verschillende diensten binnen één en dezelfde entiteit wordt niet ondersteund. M.a.w. het is de verantwoordelijkheid van de entiteit om de uitwisseling van documenten tussen de diensten onderling te organiseren. P 3

4 4. Gebruiksvoorwaarden Alle aanvragen met betrekking tot het gebruik van de toepassing FILEEXCHANGE (ref. overzichtstabel 9.2, p 6) dienen te worden goedgekeurd door de KSZ. Hiervoor dient het formulier Aanvraag van een machtiging voor een documentenuitwisselingsstroom te worden ingevuld en ondertekend. Dit document kan bekomen worden door een te sturen naar [email protected]. De grootte (Mb) van de uit te wisselen bestanden wordt beperkt in overeenstemming met de gebruikte oplossing en zoals aangegeven in tabel 9.2. Er dient gebruik te worden gemaakt van het identificatie- en authenticatiemechanisme eigen aan de gebruikte oplossing zoals aangegeven in tabel 9.2. Indien er gebruik wordt gemaakt van het UAM-systeem onder het beheer van de KSZ, dient men gebruik te maken van de hoedanigheden die deel uitmaken van de categorie professionals. De uitgewisselde documenten worden 3 maanden na de datum van uitwisseling verwijderd. 5. Richtlijnen Hieronder volgen de richtlijnen die in acht moeten worden genomen om de informatieveiligheid te waarborgen bij de uitwisseling van professionele documenten tussen instellingen en geautoriseerde partners. Deze policy is gekoppeld aan de minimale normen en dient effectief door de instelling te worden geformaliseerd. Er dient tevens een bewustzijn te worden gecreëerd bij de eindegebruiker omtrent de risico s verbonden aan het uitwisselen van (gevoelige) professionele documenten. Het is de verantwoordelijkheid van de instellingen van sociale zekerheid om het veiligheidsbeleid aan te passen aan hun specifieke situatie en aan de omvang van de te beveiligen werkingsmiddelen Algemeen 1. Het beleid van de instelling op het vlak van informatieveiligheid blijft onverkort van toepassing in deze context. 2. Deze policy geldt voor alle gebruikers die betrokken zijn bij het uitwisselen van professionele documenten. 3. Het gebruik van de file transfer -oplossing moet beperkt worden tot professionele doeleinden in het kader van de functie die door de gebruiker wordt uitgeoefend. Deze oplossing mag niet voor privédoeleinden worden gebruikt. 4. Het vereiste veiligheidsniveau voor het uitwisselen van documenten zal afhangen van de aard en de gevoeligheid van de gegevens/informatie waartoe potentieel toegang kan worden verkregen. 5. Het veiligheidsniveau van de verwerking en de opslag van de documenten dient steeds evenredig zijn aan de aard en de gevoeligheid van de gegevens. 6. De instelling heeft voldoende garanties dat de geautoriseerde partners over een gelijkaardig beveiligingsniveau beschikken als de instelling. 7. De instelling verbindt zich ertoe om de gebruikers te sensibiliseren omtrent de goede praktijken inzake gebruik en hun verantwoordelijkheden bij het uitwisselen van professionele documenten. 8. De instelling verbindt zich ertoe de privacy van de gebruiker te respecteren. 9. Elke bij de verzending betrokken partij, zowel de bestemmeling/ontvanger als de tussenpersoon of de verzender, moet zo snel mogelijk de gepaste maatregelen nemen bij de verwerking van de opvolgingsberichten. 10. Elke anomalie of lacune in de elektronische verzending van de documenten moet zo spoedig mogelijk worden gemeld aan de betrokken partijen, of ze nu ontvanger, tussenpersoon of verzender zijn. P 4

5 11. De uitwisseling van de professionele documenten, nodig voor de toepassing en de uitvoering binnen de context van de sociale zekerheid, dient beveiligd te worden door middel van een identificatie-, authenticatieen autorisatiesysteem. 12. De gepaste maatregelen dienen te worden genomen indien persoonsgegevens worden opgeslagen op media die de beveiligingsperimeter van de instelling kunnen verlaten Organisatie 1. De bevoegde dienst van de instelling is verantwoordelijk voor de correcte implementatie van de veiligheidspolicy inzake uitwisseling van professionele documenten. 2. De ondersteuning door de instelling betreft enkel de middelen die door de instelling ter beschikking gesteld worden. Deze ondersteuning kan worden uitbesteed. 3. De instelling zal steeds de mogelijkheid hebben om de toegang tot de documenten van de instelling (gegevens aanwezig op de bedrijfssystemen en/of resources) te blokkeren en de gegevens te wissen Veiligheidspolicy 1. Zoals beschreven in de algemene paragraaf 5.1, is het vereiste veiligheidsniveau, afhankelijk van de aard en de gevoeligheid van de documenten. Elke betrokken partij, zowel de bestemmeling/ontvanger als de tussenpersoon of de verzender, moet de gepaste maatregelen nemen bij de uitwisseling van de documenten. 2. De uitwisseling van documenten tussen de instellingen van de sociale zekerheid en hun geautoriseerde partners dient beschermd te worden door adequate beheersmaatregelen. 3. De veiligheidspolicy s binnen de sociale zekerheid dienen te worden gerespecteerd onder meer behorende tot de volgende domeinen, en overeenkomstig de reeks ISO normen: de organisatie van de veiligheid, de classificatie en het beheer van de resources, de fysieke veiligheid en de veiligheid van de omgeving, het operationeel beheer, de logische toegangsveiligheid, de ontwikkeling en het onderhoud van de systemen, het continuïteitsbeheer, de naleving van de policy's. 6. Sancties De niet-naleving van deze policy zal aanleiding geven tot een sanctie volgens de geldende reglementering binnen de instelling. 7. Eigenaar van het document De handhaving, opvolging en herziening van deze policy behoren tot de verantwoordelijkheid van de dienst Informatieveiligheid van de KSZ. 8. Referenties De gebruikte referenties zijn: - de minimale veiligheidsnormen 2011 van de KSZ - de ISO-norm 27002: 2005 P 5

6 9. Bijlages 9.1. Link met de norm ISO Hieronder vermelden we de belangrijkste bepalingen van de norm ISO die verband houden met deze policy ISO-norm 27002:2005 Veiligheidspolicy Organisatie van de informatieveiligheid Beheer van de bedrijfsresources Veiligheidsvereisten ten aanzien van het personeel Operationele veiligheid Logische toegangsbeveiliging Onderhoud en ontwikkeling van informatiesystemen Beheersing van veiligheidsincidenten Beveiliging van de informatie in het kader van de continuïteit van het bedrijf 9.2. Overzichtstabel van de aanbevolen oplossingen voor de uitwisseling van documenten tussen de OISZ en geautoriseerde partners. Naam van de toepassing Doelgroepen (DG) (zie Hoofdstuk 3 van dit document) Secure FTP ISSFTP ELARA FILEEXCHANGE DG-3,DG-4,DG-5 en DG-6 DG-1 en DG-2 DG-3 en DG-2 Protocol SFTP FTP FTP HTTPS DG-2,DG-4,DG-5 en DG-6 Identificatie Publieke / private sleutel + User ID/Password User ID/Password User ID/Password WebApp beveiligd door UserManagement Veiligheidslaag Capaciteit - Kan tot bestanden bevatten (indicatief aantal) - 80 GB - Kan tot bestanden bevatten (indicatief aantal) - 80GB - Kan tot bestanden bevatten (indicatief aantal) - 40GB SLA NEE NEE NEE NEE Doeleinde Uitwisseling van gegevens-bestanden Uitwisseling van gegevens-bestanden Uitwisseling van gegevens-bestanden - 10 MB per verzending Ad hoc uitwisseling van documenten en gegevens P 6

7 P 7