Veiligheidsbeleid Draagbare PC

Transcriptie

1 ISMS (Information Security Management System) 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.025.laptop Release Status Date Written by Approved by 1.0 Draft 14/01/04 V1 (BCSS) 2.0 Approved 29/03/04 V1 (BCSS) Werkgroep Informatie Veiligheid. NL_2.20 Approved 30/09/2009 Patrick Bochart Werkgroep Informatie Veiligheid. Opmerking: in dit document zijn opmerkingen verwerkt van een werkgroep met elname van heren Bochart (BCSS), Costrop (Smals), De Vuyst (KSZ), Petit (FMP), Quewet (SPF Santé publique), Symons (ONEm), Vanrgoten (INAMI) et Vertongen (ONSS). P 1

2 Inhoudstafel ISMS...1 (INFORMATION SECURITY MANAGEMENT SYSTEM) INLEIDING DRAAGWIJDTE REGELS EN VERPLICHTINGEN VAN DE EINDGEBRUIKER VAN DE INSTELLING REGLEMENTERING HANDHAVING, OPVOLGING EN HERZIENING...6 P 2

3 1 Inleiding De draagbare PC die u toevertrouwd wordt is een werkinstrument waaraan meerre specifieke risico s verbonn zijn, zoals diefstal, verlies, beschadiging enz. Het gebruik ervan op bepaal plaatsen of in sommige situaties kan lein tot een nog hoger risico. Bovendien kan het gebruik ervan een impact hebben op continuïteit van informatiesystemen, naleving van wetgeving betreffen persoonlijke levenssfeer Deze POLICY kart in het veiligheidsbeleid van het netwerk van sociale zekerheid zoals uiteengezet in het document Information Security Management System dat goedgekeurd werd door het Algemeen Coördinatiecomité van Kruispuntbank van Sociale Zekerheid. De bedoeling ervan is regels en verplichtingen vast te leggen voor: eindgebruikers, sociale en. 2 Draagwijdte Dit beleid geldt voor alle draagbare PC s die door een van sociale zekerheid beheerd worn. 3 Regels en verplichtingen 3.1 Van eindgebruiker De draagbare PC en zijn randapparatuur, die aan gebruiker ter beschikking wordt gesteld in het kar van zijn beroepsactiviteiten, is en blijft eigendom van betrokken. Het gebruik van draagbare PC moet beperkt worn tot zakelijke doeleinn in het kar van functie die door gebruiker wordt uitgeoefend. De draagbare PC mag niet voor privékdoeleinn worn gebruikt. Ingeval gebruiker niet langer een draagbare PC nodig heeft (ontslag bij, veranring van functie, afwezigheid voor een lange perio, ), bezorgt hij al het materiaal dat ter zijn beschikking werd gesteld terug (draagbare PC en zijn randapparatuur). Behouns expliciete toestemming van bevoeg dienst en mits bijkomen voorwaarn uit het betreffen veiligheidsbeleid nageleefd worn, mag enkel bevoeg gebruiker ter beschikking gestel draagbare PC en randapparatuur gebruiken, zelfs indien geen gebruik wordt gemaakt van een netwerkverbinding. Het is gebruiker verbon om anre randapparatuur dan ze die samen met draagbare PC geleverd werd aan te sluiten zonr uitdrukkelijke toestemming van bevoeg dienst. Aangezien rechten voor toegang tot gegevens en beroepstoepassingen op het profiel van gebruiker gebaseerd zijn, vermeerrt het gebruik van een draagbare PC geenszins ze toegangsrechten. Dit geldt zowel voor toegang tot toepassingen als voor het gebruik van en internet of iere anre functionaliteit. Om veiligheid van het hem toevertrouw materiaal te waarborgen, hanlt gebruiker als een goe huisvar om het materiaal en gegevens te beschermen. Het is verantwoorlijkheid van elke gebruiker om gepaste maatregelen te treffen en om blijk te geven van nodige voorzichtigheid, tenein zoveel mogelijk te vermijn dat P 3

4 draagbare PC met zijn randapparatuur beschadigd, verloren of gestolen wordt. In dit opzicht zal elk geval van duilijke verwaarlozing en/of opzettelijk slecht beheer gesanctioneerd worn. Voorbeeln: De gebruiker moet vermijn dat hij zijn draagbare PC en/of zijn randapparatuur zonr toezicht achterlaat. Het is aangeran om PC achter slot in een kast of een bureau te bewaren. Wanneer gebruiker tijlijk het lokaal verlaat waarin hij zijn draagbare PC gebruikt, moet hij ze verankeren en beveilig screensaver activeren. De gebruiker die op dienstreis is, moet erop toezien dat draagbare PC en/of zijn randapparatuur zoveel mogelijk buiten het zicht blijven (bv. in een wagen) en vermijn dat hij ze op plaatsen achterlaat waar hij ze gemakkelijk uit het oog kan verliezen of vergeten (bv. in een station of in het bagagerek van een trein). De authentificatiemidlen (paswoord, token, enz.) mogen nooit samen met draagbare PC worn bewaard. Anre bijkomen aandachtspunten in geval van een opdracht in het buitenland: Een document meenemen dat eigenaar van computer intificeert (Douane); Een back-up nemen vóór het vertrek; Het toestel uitzetten, niet in stand-by/slaapstand (verbon tijns het opstijgen/lann); Het toestel als handbagage meenemen; Scannen in luchthaven vormt geen enkel probleem voor een computer, fototoestel, USB-geheugenstick; Let op het gebruik in aanwezigheid van rn; Geen (mogelijk vertrouwelijke) - of informatie behanlen via een onbeveilig draadloze verbinding. In geval van verlies of diefstal moet gebruiker onmidllijk bevoeg dienst van zijn verwittigen en instructies opvolgen. De installatie, configuratie, het updaten en het onrhoud van software op draagbare PC mag enkel door bevoeg dienst van worn uitgevoerd. Ook installatie, aanpassing, het onrhoud en eventuele verwijring van hardwareelementen mag enkel worn uitgevoerd door het bevoeg personeel. De draagbare PC mag enkel software bevatten waarvoor over juiste licenties beschikt. De regels inzake finitie, frequentie van wijzigingen en wijze van opslag van authentificatiemidlen (vb. wachtwoord) moeten strikt worn toegepast. Vertrouwelijke gegevens zoals persoonsgegevens mogen enkel versleuteld op draagbare PC en zijn randapparatuur worn bewaard. Als randapparatuur (bv. USB-sleutel) geen versleutel opslag toelaat, is het registreren van vertrouwelijke gegevens op ze apparatuur expliciet verbon. De bewaring van gevoelige gegevens op portable PC vermen worn en moeten ze zo snel mogelijk opgeslagen worn in het netwerk. P 4

5 Back-up van draagbare PC-gegevens volgt strategie die binnen geldt voor het gebruik van vaste PC s. Enkel netwerkgegevens worn automatisch opgeslagen. Bijzonre aandacht moet besteed worn aan back-up van lokale schijf. Wanneer draagbare PC met het netwerk van of met anre netwerken is verbonn, moet verbinding steeds gebeuren via beschermingsinfrastructuur van (zie ook verr: Regels en verplichtingen van ). Van ze regel kan worn afgeweken in uitzonrlijke gevallen en enkel als verantwoorlijken van het expliciet toestaan. Hieronr enkele voorbeeln van verbon activiteiten (niet volledige lijst): bestann met een aanstootgeven, pornografische of racistische inhoud downloan, openen of versprein; spelletjes, ontspanningsprogramma s, muziek, films, foto s enz. die niet van professionele aard zijn downloan en starten; op eenr welke manier, ongeauthoriseerd, vertrouwelijke persoons- of bedrijfsgegevens versprein, bestaan veiligheidsmaatregelen niet in acht nemen, omzeilen of neutraliseren, of proberen dit te doen; zich onrechtmatig toegang verschaffen tot informaticasystemen van ; goe werking van informatiesystemen van belemmeren of verhinren vertrouwelijkheid en integriteit van gegevens schenn of hun beschikbaarheid belemmeren; De ICT-directie, verantwoorlijk voor het beheer van computers, kan verifiëren of configuratie van draagbare PCs conform is, met inbegrip van veiligheidssoftware configuratie. In geval afwijkingen worn vastgesteld, brengt ICT-directie verslag uit aan Dienst voor Informatieveiligheid en indien toepasselijk aan Interne Auditdirectie., 3.2 Van De moet afsluiting overwegen van een verzekeringskking tegen verlies, diefstal en beschadiging voor draagbare pc s en bijhoren randapparatuur. De terbeschikkingstelling aan een gebruiker en duur ervan of het ontnemen van een draagbare pc en zijn randapparatuur moeten gerechtvaardigd worn door hiërarchische overste van mewerker of door bevoeg dienst van. De draagbare PC en zijn randapparatuur moeten steeds worn overhandigd aan een natuurlijke persoon, in dit geval een gebruiker van. Bij ze overhandiging moet een overeenkomst worn opgesteld tussen en ze natuurlijke persoon..deze overeenkomst kan onr meer: verwijzen naar ze policy risico s preciseren die niet gekt worn door verzekering, onr anre in geval van verlies of diefstal; duur van terbeschikkingstelling bepalen; individuele verantwoorlijkhen van gebruiker bepalen; aandacht van gebruiker vestigen op specifieke risico s. P 5

6 De verantwoorlijke dienst voor het beheer van pc s van dient gebruiker voldoen documentatie / vorming ter beschikking te stellen. De verantwoorlijke dienst voor het beheer van pc s van moet het veiligheidsbeleid m.b.t. installatie, configuratie en het gebruik van informaticasystemen en in het bijzonr van ze die toegang op afstand behanlen, in aanmerking nemen. Iere wijziging van toegangsprocedure tot het netwerk van sociale zekerheid of van configuratie van draagbare pc s van sociale inspectiediensten moet systematisch meegeeld worn aan KSZ, die indien nodig het Sectoraal Comité van Sociale Zekerheid ervan op hoogte zal brengen. 4 Reglementering De niet-naleving van ze policy zal aanleiding geven tot een sanctie volgens geln reglementering binnen. De geln reglementering binnen zal eventueel aangepast worn tenein niet-naleving van ze policy te kunnen sanctioneren. 5 Handhaving, opvolging en herziening De handhaving, opvolging en herziening van ze POLICY behoren tot verantwoorlijkheid van werkgroep informatieveiligheid. P 6