ISMS (Information Security Management System) Vragenlijst van de minimale normen: Hulp bij de. Version control please always check if you are using the latest version. Doc. Ref. :v2015.073.vragenlijst - hulp bij de.nl.v2.0 Release Status Date Written by Edited by Approved by NL_2.0 Final 30/09/2015 Alain Houbaille Opmerking: In dit document werd rekening gehouden met de opmerkingen die geformuleerd werden door een werkgroep waaraan de volgende personen hebben deelgenomen: de heer Houbaille (KSZ), De Vuyst (KSZ), Petit (FBZ), Perot (RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Slaets (Smals).
INHOUDSOPGAVE Vragenlijst van de minimale normen: Hulp bij de 1. INLEIDING... 3 2. HULP BIJ DE EVALUATIE... 3 2.1. ALGEMEEN... 3 2.2. NORMEN... 3 3. EIGENAAR VAN HET DOCUMENT...14 4. REFERENTIES...14 P 2
1. Inleiding Dit document is een hulp bij de van de vragenlijst met betrekking tot de minimale veiligheidsnormen. Aangezien de bedoeling van de vragenlijst is om te evalueren en te bepalen of de getroffen veiligheidsmaatregelen beantwoorden aan de doelstellingen van de minimale veiligheidsnormen, kan het voor de instelling moeilijk zijn om bepaalde vragen adequaat te evalueren. Sommige vragen zijn immers vatbaar voor interpretatie doordat: de vraag met betrekking tot de betrokken norm zeer algemeen is; het toepassingsgebied van de norm zeer ruim is; de doelstelling van de norm moeilijk te evalueren is. De bedoeling van dit document is om mogelijke interpretaties tot een minimum te beperken en een objectieve toe te laten. Voor een beter begrip van de vraag wordt de uitleg ervan opgesplitst in 5 richtlijnen met betrekking de norm. De instelling kan ja antwoorden op de vraag indien ze aan drie van de vijf richtlijnen voldoet. Het is echter mogelijk dat er onder een norm slechts twee of drie richtlijnen opgesomd worden. In dat geval zal "ja" als antwoord kunnen gegeven worden indien aan deze richtlijnen voldaan wordt. Bij normen die zeer vanzelfsprekend zijn, werden uiteraard geen vragen toegevoegd. 2. Hulp bij de 2.1. Algemeen In de minimale normen vindt men regelmatig de uitdrukking de gepaste maatregelen treffen. Een maatregel is gepast indien zij het beoogde risico vermindert tot een door de organisatie aanvaard niveau. Men dient ervoor te zorgen dat de maatregelen ook gepast blijven. Voorzie daarom ook periodieke of incidentele s van de maatregelen in uw veiligheidsplan. 2.2. en 5.1 Beschikt de organisatie over een formeel, geactualiseerd en door de verantwoordelijke voor het dagelijks bestuur goedgekeurd beleid voor informatieveiligheid? Onder de norm 5.1 wordt verstaan dat de organisatie een information security policy (ISP) heeft opgesteld en goedgekeurd, dat minstens de volgende elementen bevat een definitie van informatieveiligheid binnen de organisatie, de voornaamste doelstellingen en de globale scope, een verklaring van de betrokkenheid van de directie van de organisatie, de algemene en specifieke verantwoordelijkheden inzake informatieveiligheidsbeheer (wie doet wat), een synthese van de veiligheidsprincipes, -normen en conformiteitsvereisten die van belang zijn voor de organisatie, verwijzingen naar de documentatie ter ondersteuning van deze policy. 6.1.1 Binnen de organisatie: is er een veiligheidsdienst onder leiding van een veiligheidsconsulent? is er een dienst belast met de informatieveiligheid die onder de directe, functionele leiding P 3
staat van de verantwoordelijke voor het dagelijks bestuur van de organisatie? heeft de organisatie de informatieveiligheid toegekend aan een erkende gespecialiseerde veiligheidsdienst belast met de veiligheid? Nihil norm voldoende expliciet 6.1.1.a- 6.1.1.f a. Heeft de organisatie de identiteit van haar veiligheidsconsulent en diens eventuele adjuncten meegedeeld aan het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid of, wat de instellingen van het secundaire netwerk betreft, aan de verantwoordelijke instelling voor dit netwerk? b. Beschikt de organisatie over een door de verantwoordelijke voor het dagelijks bestuur goedgekeurd informatieveiligheidsplan? c. Beschikt de organisatie die aangesloten is op het netwerk van de Kruispuntbank over de nodige werkingskredieten die door de verantwoordelijke van de betrokken organisatie werden goedgekeurd, teneinde te kunnen voorzien in de uitvoering van haar veiligheidsplan en de uitvoering door de veiligheidsdienst van de haar opgedragen taken. d. Hoeveel uren kent de organisatie toe aan de veiligheidsconsulent en aan diens eventuele adjunct(en) voor de uitvoering van hun veiligheidstaken? Veiligheidsconsulent adjunct-veiligheidsconsulent(en) e. Beschikt de organisatie over procedures voor de mededeling van informatie aan de veiligheidsconsulent, zodat deze laatste over de nodige gegevens beschikt voor de uitvoering van zijn opdracht die hem toevertrouwd werd? f. Beschikt de organisatie over procedures voor de organisatie van het overleg tussen de verschillende betrokken partijen, zodat de veiligheidsconsulent meer bij de werkzaamheden van de organisatie betrokken wordt? uwd werd? Nihil norm voldoende expliciet 6.1.2 Beschikt de organisatie over een beslissingsplatform voor de validatie en de goedkeuring van de veiligheidsmaatregelen? Onder de norm 6.1.2 wordt verstaan dat: het management actief deelneemt aan dit platform, het beslissingsplatform kan worden gestructureerd in verschillende niveaus in functie van de bedrijfscultuur en de grootte van de organisatie, dit platform regelmatig samenkomt en hieruit acties voortvloeien. 6.1.3 Wisselt de beheersorganisatie van een «secundair netwerk» minstens één keer per semester relevante informatie uit met haar secundair netwerk door een vergadering van de subwerkgroep "Informatieveiligheid" te organiseren voor de organisaties die deel uitmaken van haar netwerk? Indien ja, gelieve onder «Opmerkingen» de data van de vergaderingen te vermelden die georganiseerd werden tijdens het geauditeerde jaar. Nihil norm voldoende expliciet 6.1.4 Beschikt de organisatie die aangesloten is op het netwerk van de Kruispuntbank over procedures voor de ontwikkeling van nieuwe systemen of belangrijke evoluties van bestaande systemen, zodat de projectverantwoordelijke rekening kan houden met de veiligheidsvereisten die in de minimale veiligheidsnormen beschreven worden? P 4
Ter informatie, deze norm veronderstelt dat de projectleider de impact van de minimale normen in het kader van zijn project onderzoekt. 6.2.1 Neemt de organisatie die aangesloten is op het netwerk van de Kruispuntbank de gepaste maatregelen, in functie van het toegangsmedium, voor de beveiliging van de onlinetoegang van buiten de instelling tot de persoonsgegevens van de instelling? Ter informatie, deze norm geldt voor elk type van toegang op afstand: telewerk, remote support door een externe firma, Onder de norm 6.2.1 wordt verstaan dat: de veiligheidsvereisten opgenomen worden in een veiligheidsbeleid op basis van een risicoanalyse, de infrastructuur ter ondersteuning van de toegang op afstand beantwoordt aan de veiligheidsvereisten van dit beleid, de procedures inzake toegangsbeheer voor de toegang op afstand gestandaardiseerd en geïmplementeerd zijn, elke toegang op afstand getraceerd wordt en elke netwerkanomalie gedetecteerd wordt, de gedragscode 1 ook de aspecten met betrekking tot de toegang op afstand omvat. 6.2.2 Neemt de organisatie die aangesloten is op het netwerk van de Kruispuntbank de gepaste maatregelen indien persoonsgegevens worden opgeslagen op mobiele dragers die de beveiligingsperimeter van de instelling kunnen verlaten? Onder norm 6.2.2 wordt verstaan dat: de organisatie een strikt beleid heeft opgesteld m.b.t. de overdracht van persoonsgegevens op mobiele dragers; en de gebruikers hierover heeft ingelicht. Bovendien dient de organisatie de gepaste veiligheidsmiddelen toe te passen bij de overdracht van persoonsgegevens op passieve mobiele dragers (CD, USB-stick, ); de organisatie een centraal veiligheidsbeheer geïmplementeerd heeft voor alle actieve mobiele dragers die ze levert in overeenstemming met het veiligheidsbeleid met betrekking tot het gebruik van mobiele devices dat van kracht is in de sociale zekerheid. 7.1 beschikt de organisatie over een procedure die garandeert dat alle interne en externe medewerkers zich engageren om hun verplichtingen met betrekking tot vertrouwelijkheid en de veiligheid van de gegevens te respecteren? Onder de norm 7.1 wordt verstaan dat: elke nieuwe medewerker zich er bij de aanwerving toe verbindt de gedragscode inzake het gebruik van ICT-diensten na te leven, naargelang de vereisten van de functie er een vertrouwelijkheidsovereenkomst ( nondisclosure agreement ) tussen de instelling en de werknemer wordt aangegaan, de organisatie aan de medewerkers de policy s en interne procedures inzake informatieveiligheid ter beschikking stelt, de organisatie haar medewerkers informeert over de hoofdlijnen van de privacywet, de functiebeschrijving de verantwoordelijkheden op het vlak van informatieveiligheid omvat voor bepaalde specifieke functies. 7.2 Sensibiliseert de organisatie iedere medewerker met betrekking tot de informatieveiligheid? 1 Gebruik van ICT-diensten(Internet, ) P 5
Onder de norm 7.2 wordt verstaan dat: elke nieuwe medewerker bij zijn indiensttreding wordt gesensibiliseerd voor informatieveiligheid tijdens een informatiesessie over de veiligheid, de instelling het nodige doet om van sensibilisering een permanente actie te maken, elke medewerker wordt ingelicht over specifieke veiligheidsaspecten (bv. procedure van incident management, clean desk policy, ), elke informatiesysteembeheerder wordt gesensibiliseerd voor de rollen en verantwoordelijkheden van zijn functie en de risico s die eraan verbonden zijn (bv. misbruik), de instelling het niveau van sensibilisering van de medewerkers meet en kwantificeert. 8.1 Beschikt de organisatie over een voortdurend bijgewerkte inventaris wat betreft het informaticamateriaal? wat betreft de software? Nihil norm voldoende expliciet 8.2 Vergewist de organisatie zich ervan dat de dragers van de persoonsgegevens en de informaticasystemen die deze gegevens verwerken in geïdentificeerde en beveiligde lokalen geplaatst worden, overeenkomstig hun indeling en zijn deze lokalen enkel toegankelijk voor de gemachtigde personen tijdens de uren die voor hun functie gerechtvaardigd zijn? Onder de norm 8.2 wordt verstaan dat: er lokalen bestaan voor de opslag van de dragers en de systemen van gegevensverwerking, er fysieke maatregelen zijn om deze lokalen te beschermen tegen ongewenste toegang, deze maatregelen worden beheerd en gecontroleerd overeenkomstig een procedure. 8.3 Beschikt de organisatie over een gedragscode (of iets gelijkaardigs) voor internet- en e-mailgebruik? Onder de norm 8.3 wordt verstaan dat: er een gedragscode voor internet- en e-mailgebruik bestaat binnen de organisatie, elke medewerker hierover werd geïnformeerd, deze gedragscode minstens de volgende domeinen dekt: o de toepassing van de regels inzake bescherming van gevoelige gegevens, o ongepaste of illegale handelingen, o het downloaden en installeren van toepassingen zonder toelating. deze gedragscode bij voorkeur ook de volgende domeinen dekt: o het onderscheid tussen gebruik voor beroepsdoeleinden en voor privé-doeleinden o het naleven van de regels inzake gebruik van de communicatiemiddelen de instelling maatregelen heeft getroffen om het risico van misbruik of ongepaste handelingen tot een voor haar aanvaardbaar niveau te beperken. 8.4 Neemt de organisatie de nodige maatregelen om fysieke media, bijvoorbeeld backups die gevoelige gegevens bevatten, tijdens het transport te beschermen tegen niet geautoriseerde toegang? Onder de norm 8.4 wordt verstaan dat: er een gedocumenteerde procedure bestaat die het gegevenstransport op fysieke media beschrijft, de betrokken personen op de hoogte zijn van deze procedure, er gebruik gemaakt wordt van betrouwbare koeriers van wie de identiteit van tevoren werd bekend gemaakt en gecontroleerd, de media veilig verpakt zijn, P 6
de verzending en de aflevering geregistreerd worden. 9.1 Beveiligt de organisatie die aangesloten is op het netwerk van de Kruispuntbank de toegang tot de gegevens nodig voor de toepassing en de uitvoering van de sociale zekerheid door middel van een identificatie-, authentificatie- en autorisatiesysteem? Onder de norm 9.1 wordt verstaan dat: er een beleid van beheer van de toegangen tot de toepassingen en tot de gegevens bestaat waarbij de volgende regel wordt toegepast: de gebruiker heeft slechts toegang tot de informatie die hij nodig heeft in het kader van zijn functie, er een procedure van gebruikersbeheer bestaat alsook van beheer van hun rechten, adequate mechanismen deze toegangs- en controleprincipes integreren, er een periodieke herziening van de toegangsrechten van de gebruikers plaatsvindt, de sessie afgesloten wordt na een vastgestelde periode van inactiviteit. 9.2 Vergewist de organisatie die aangesloten is op het netwerk van de Kruispuntbank zich van het bestaan van de nodige machtigingen van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid voor de toegang tot sociale gegevens die beheerd worden door een andere organisatie? Nihil norm voldoende expliciet. 9.3 Beperkt de organisatie de toegang tot de informaticasystemen tot de informatiebeheerders door middel van een identificatie-, authentificatie- en autorisatiesysteem? Onder de norm 9.3 wordt verstaan dat: het gebruik van standaard gecreëerde, generieke accounts uitzonderlijk is, het paswoord van deze standaard gecreëerde accounts gewijzigd moet worden, deze bevoorrechte generieke accounts permanent opgevolgd moeten worden, er steeds voorkeur dient gegeven te worden aan een sterke authenticatie, de bevoorrechte accounts getraceerd worden en de toegangen ertoe regelmatig gecontroleerd worden. 9.4 Neemt de organisatie de gepaste maatregelen opdat iedere persoon slechts toegang zou hebben tot de netwerkdiensten waar hij toelating voor heeft? Onder de norm 9.4 wordt verstaan dat: het netwerk van de instelling opgesplitst is in duidelijk afgebakende zones, er aangepaste mechanismen bestaan voor de authenticatie van de gebruikers en van de installaties, er toegangscontroles met betrekking tot de informatiediensten werden geïmplementeerd, de toegangsregels en de toegangen periodiek worden gecontroleerd, de veiligheidstracering op het netwerk effectief is. 9.5 Gebruikt de organisatie van het primaire netwerk die aangesloten is op het netwerk van de Kruispuntbank het extranet van de sociale zekerheid voor haar externe TCP/IP-verbindingen met de sociale zekerheid? Indien neen, heeft de organisatie een afwijking van deze norm verkregen van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid? Nihil- norm voldoende expliciet. P 7
9.6 Gebruikt de organisatie van het secundaire netwerk het Extranet van de sociale zekerheid voor haar externe TCP/IP-verbindingen met de sociale zekerheid? Indien neen: voert de organisatie de veiligheidsmaatregelen in die in overeenstemming zijn en blijven met de getroffen maatregelen op het niveau van het extranet van de sociale zekerheid? treft de beheersinstelling de veiligheidsvoorzieningen die in overeenstemming zijn en blijven met de getroffen voorzieningen op het niveau van het Extranet van de sociale zekerheid? Onder de norm 9.6 wordt verstaan dat: als alle connecties van de instelling van het secundaire netwerk met de buitenwereld via het Extranet passeren, het antwoord ja is; als de instelling van het secundaire netwerk connecties naar buiten heeft die niet via het Extranet verlopen, ze ervoor moet zorgen dat de getroffen veiligheidsmaatregelen gelijkwaardig zijn aan die van het Extranet (antwoord geleverd door de instelling van het secundaire netwerk), als de beheerinstelling van het secundaire netwerk aan dit secundaire netwerk connecties ter beschikking stelt buiten het Extranet, dan moet die beheerinstelling ervoor zorgen dat het veiligheidsniveau gelijkwaardig is aan dat van het Extranet (antwoord geleverd door de beheerinstelling van het secundaire netwerk). 10.1 Cryptographie - Nihil 11.1 Beperkt de organisatie de toegang tot haar gebouwen en lokalen tot gemachtigde personen? Oefent de organisatie hiervoor een controle uit zowel tijdens als buiten de werkuren? Onder de norm 11.1 wordt verstaan dat: de fysieke toegang tot het gebouw beveiligd is, het gebouw ingedeeld is in zones met een verschillend veiligheidsniveau naargelang het belang van de resources die zich erin bevinden, de toegang tot de informaticazalen en de technische lokalen strikt beperkt is tot de bevoegde personen, er een beheer van de fysieke toegangen bestaat, inclusief een bezoekersbeheer, er registraties worden gemaakt en bewaard van de toegangen en dat die registraties enkel toegankelijk zijn voor de bevoegde personen. 11.2 Heeft de organisatie maatregelen genomen voor de preventie, de veiligheid, de detectie, het blussen en de interventie in geval van brand, inbraak of waterschade? Nihil- norm voldoende expliciet. 11.3 Beschikt de organisatie over een alternateve stroomvoorziening om de verwachte dienstverlening te waarborgen? Nihil- norm voldoende expliciet. 11.4 Treft de organisatie de nodige maatregelen opdat alle gegevens op opslagmedia gewist of ontoegankelijk gemaakt worden vóór verwijdering of hergebruik? Onder de norm 11.4 wordt verstaan dat: er een formele procedure bestaat voor de buitengebruikstelling van alle opslagmedia (NAS, MultiFunctionalPrinter, laptop, ), met inbegrip van hun onderhoud, herstelling en vervanging, P 8
deze procedure methodes vereist die de informatie ontoegankelijk maken, de technieken voor het verwijderen of vernietigen van de informatie voldoende onomkeerbaar moeten zijn; de keuze van de methode is hierbij evenredig met de gevoeligheid van de informatie, in geval van onderaanneming, leasing, extern onderhoud, enz. de naleving van deze norm in de overeenkomst moet worden opgenomen, deze operaties dienen geregistreerd te worden. 12.1 Neemt de organisatie de gepaste maatregelen opdat de productieomgeving gescheiden en verschillend is van de andere omgevingen? Onder de norm 12.1 wordt verstaan dat: de ontwikkelingssystemen afgezonderd moeten worden van de productieomgeving, zodat elke toegang en oneigenlijk gebruik van gevoelige gegevens wordt vermeden, editors, compilators of elke andere ontwikkelingstool uitgesloten worden van de productieomgevingen, de toegang in de productieomgeving voor gebruikersprofielen van het type «test» of «ontwikkelaar» wordt onderworpen aan een veiligheidsbeleid waarbij de toegang beperkt is, onder andere in de tijd, door een uitzonderingsprocedure, de toegangsrechten moeten afgestemd zijn op elke omgeving en afzonderlijk moeten worden beheerd, geen gevoelige gegevens uit de productieomgeving gebruikt mogen worden in minder beveiligde omgevingen, of mits anonimisering van toepassing is. 12.2 Beschikt de organisatie die aangesloten is op het netwerk van de Kruispuntbank over procedures voor de inproductiestelling van nieuwe toepassingen en voor het doorvoeren van wijzigingen aan de bestaande toepassingen om te vermijden dat eenzelfde persoon de controle van dit proces uitvoert? Onder de norm 12.2 wordt verstaan dat er een formele procedure wordt uitgevoerd voor elke inproductiestelling bestaande uit: een beheer van de softwareversies en de broncodes; de validatie van de testresultaten; de terbeschikkingstelling van de vereiste documentatie (operationeel dossier en gebruikershandleiding); de geteste roll-backprocedure in geval van problemen tijdens de inproductiestelling; de formele beslissing voor de inproductiestelling met inachtname van het vier-ogenprincipe. 2 12.3 Beschikt de organisatie over geactualiseerde systemen ter bescherming (voorkoming, detectie en herstel) tegen malware? Onder de norm 12.3 wordt verstaan dat: de systemen van beveiliging tegen malware op de volledige ICT-infrastructuur van de organisatie werden geïmplementeerd, de systemen van beveiliging tegen malware op het niveau van het netwerk, de werkstations en de servers gesitueerd zijn, deze anti-malwaresystemen actief zijn en regelmatig geüpdatet worden, het beheer van deze beveiligingssystemen gecentraliseerd is zodat een monitoring en rapportering mogelijk is, er een formeel beleid bestaat waarbij het verboden is om niet-geautoriseerde software te 2 In deze context, bestaat het vierogenprincipe erin een akkoord te bereiken tussen de entiteit die de inproductiestelling (ontwikkeling) voorbereidt en de entiteit die deze uitvoert (handeling). P 9
implementeren, te installeren en te gebruiken. 12.4 Beschikt de organisatie over een beleid en strategie van backup in overeenstemming met het continuiteitsbeheer? Onder de norm 12.4 wordt verstaan dat: de gegevens en toepassingen die nodig zijn voor de uitvoering van de sociale zekerheid geïnventariseerd en gelokaliseerd zijn, de te nemen back-ups gedefinieerd zijn en indien nodig herzien worden, de nodige back-ups voorzien zijn in het werkschema en de uitvoering ervan systematisch gecontroleerd wordt, de media van de back-ups zich bevinden op of overgebracht worden naar een beveiligde en afgelegen plaats volgens een welbepaald rotatieplan, het herstel en de kwaliteit van de back-ups gecontroleerd wordt tijdens tests. 12.5 Heeft de organisatie een loggingsysteem geïmplementeerd voor de persoonsgegevens die nodig zijn voor de toepassing en uitvoering van de sociale zekerheid? Onder de norm 12.5 wordt verstaan dat: de organisatie een logging-strategie heeft gedefinieerd, de elementen van de logging toelaten te bepalen wie wat wanneer en hoe heeft gedaan, de loggings worden bewaard gedurende een adequate termijn, de loggings worden beveiligd tegen ongeoorloofde toegang, de raadpleging ervan slechts toegelaten is voor goedgekeurde doeleinden. 12.6 Is de traceerbaarheid van de identiteiten van begin tot het einde gewaarborgd bij het verzenden van gegevens via de Kruispuntbank? Nihil- norm voldoende expliciet. 12.7 Beschikt de organisatie over een systeem en formele, geactualiseerde procedures die toelaten om veiligheidsinbreuken te detecteren, op te volgen en te herstellen in verhouding met het technische/operationele risico? Onder de norm 12.7 wordt verstaan dat: de monitoring van veiligheidsgebeurtenissen werd gedefinieerd en geactiveerd voor de kritieke systemen, het systeem elke anomalie die niet aan de vastgestelde veiligheidscriteria beantwoordt, registreert en deze registraties gedurende de noodzakelijke termijn bewaart, deze registraties beveiligd zijn tegen wijziging en niet-geautoriseerde toegang, de klokken van de kritieke systemen op de seconde gesynchroniseerd worden met een gemeenschappelijke tijdsbron teneinde de chronologie van de verschillende gebeurtenissen te waarborgen, er een systeem van correlatie van de gebeurtenissen bestaat op basis waarvan alarmen volgens vooraf gedefinieerde schema s kunnen worden gegenereerd. 13.1.1 Controleert de organisatie dat de netwerken gepast beheerd en gecontroleerd worden zodanig dat ze beveiligd zijn tegen bedreigingen en de beveiliging afdoende garanderen van de systemen en toepassingen die het netwerk gebruiken? Onder de norm 13.1.1 wordt verstaan dat: er een netwerkarchitectuur omschreven, periodiek bijgewerkt en gedocumenteerd wordt rekening houdend met de veiligheidsaspecten, er een toegangspolicy voor het netwerk bestaat en het netwerk gesegmenteerd is volgens de P 10
risicozones, de toegestane stromen tussen de segmenten omschreven en gevalideerd zijn, er een onafhankelijk controleproces is naast de ICT-dienst om de veiligheidscomponenten van het netwerk te controleren, er functiescheiding wordt toegepast tussen het netwerkbeheer en het computer- en opslagbeheer. 13.1.2 Heeft de organisatie de noodzakelijke, afdoende, doeltreffende en gepaste technische maatregelen geïmplementeerd om het hoogste niveau van beschikbaarheid voor de verbinding met het netwerk van de Kruispuntbank te waarborgen? Onder de norm 13.1.2 wordt verstaan dat: er een geactualiseerde technische documentatie bestaat met betrekking tot de ontdubbeling van de lijn, de fysieke veiligheid wordt gewaarborgd (toegang, voeding, brand, ), de lijnen fysiek verschillend zijn (toegangspunten, leveranciers, kabelgoten, ), de organisatie de beschikbaarheid van de lijnen test en bewaakt, er een incidentenrapport beschikbaar is. 13.2.1 Houdt de organisatie een geactualiseerde cartografie bij van de technische stromen die via het extranet van de sociale zekerheid geïmplementeerd zijn? Onder norm 13.2.1 wordt verstaan dat: de stromen op technisch vlak geïnventariseerd worden, de inventarisatie van de stromen de volgende elementen bevat: de bron, de bestemming en de betrokken dienst, de gerelateerde businessdoelstellingen voor elke open stroom gekend en gedocumenteerd zijn 13.2.2 Verwerkt de organisatie elke overdracht van sociale gegevens binnen het netwerk van de sociale zekerheid zo snel mogelijk door met name elke afwijking of lacune in de elektronische overdracht te melden? Onderneemt de organisatie zo snel mogelijk de gepaste en aangewezen acties na de verwerking van de opvolgingsberichten? Nihil- norm voldoende expliciet. 14.1 Beschikt de organisatie die aangesloten is op het netwerk van de Kruispuntbank over procedures voor de uitwerking van documentatie bij de ontwikkeling van nieuwe systemen en voor het onderhoud van bestaande toepassingen en systemen? Onder de norm 14.1 wordt verstaan dat er een procedure bestaat voor het opstellen van documenten in het kader van de ontwikkeling. Deze documenten zijn in de eerste plaats bedoeld voor de operationele teams, de eindgebruiker en de ontwikkelaar. 14.2 Hanteert de organisatie die aangesloten is op het netwerk van de Kruispuntbank een gestructureerde aanpak om de veilige ontwikkeling van systemen na te streven? Onder de norm 14.2 wordt verstaan dat: de ontwikkelaars over de nodige kennis inzake veiligheid in toepassingsontwikkeling beschikken, er met de functionele en technische veiligheidsvereisten wordt rekening gehouden vanaf de conceptuele fase, tussen elke fase van de ontwikkeling conformiteitstoetsen met de veiligheidsvereisten worden uitgevoerd, P 11
programmatierichtlijnen rekening houden met veiligheid, de broncodes op een veilige manier beheerd worden. 14.3 Waakt de organisatie erover dat, vooraleer nieuwe of belangrijke evoluties van bestaande systemen in productie genomen worden, de projectverantwoordelijke nagaat of aan de veiligheidsvereisten 3 voldaan werd die aan het begin van de ontwikkelingsfase of aankoopprocedure vastgesteld werden? Onder de norm 14.3 wordt verstaan dat de projectverantwoordelijke op de hoogte is van de inhoud van de minimale normen; de projectverantwoordelijke de veiligheidsmaatregelen voor elk project evalueert op het vlak van conformiteit, veiligheidscriteria (CIA) of business requirements; de projectverantwoordelijke nagaat of de voorgestelde oplossing (beproefde en betrouwbare) veiligheidscomponenten bevat in overeenstemming met de bestaande veiligheidsarchitectuur 4 ; de veiligheidsmaatregelen worden getest en gevalideerd vóór de inproductiestelling; de resultaten van de testen worden meegedeeld aan de informatieveiligheidsconsulent. 14.4 Neemt de organisatie de nodige maatregelen om de veiligheid van de toepassingen te garanderen door veiligheidskwetsbaarheden te vermijden? Onder de norm 14.4 wordt verstaan dat: er richtlijnen bestaan voor de ontwikkeling, onder meer de standaardisering van de codering om kwetsbaarheden te voorkomen, de personen die instaan voor de ontwikkeling van toepassingen vertrouwd zijn met de goede praktijken inzake veilige ontwikkeling, er een library van gevalideerde en gestandaardiseerde routines inzake veiligheid bestaat onder meer met betrekking tot de toegangscontrole en de veiligheidstracering, er validatiecontroles (input en/of output) toegepast worden, de inproductiestelling voorafgegaan wordt door een fase van controle van de codes. 15.1 Legt de organisatie de verplichtingen 5 van de onderaannemer betreffende de verwerking van persoonsgegevens in een contract vast? Onder de norm 15.1 wordt verstaan dat: het contract de verplichting bevat om de minimale normen van de sociale zekerheid na te leven, het wordt sterk aanbevolen hiervoor standaard clausules te gebruiken reeds vanaf de offerte aanvraag, in de overeenkomst met de verwerker de persoonsgegevens en de doeleinden uitdrukkelijk opgenomen worden zoals vereist in artikel 16 van de privacywet, er voldoende clausules bestaan met betrekking tot de aspecten van aansprakelijkheid, vertrouwelijkheid, beschikbaarheid en integriteit(zie ISMS 50), het contract voorziet in een gecoördineerd beheer van veiligheidsincidenten en wijzigingen, een conformiteitscontrole ten aanzien van de veiligheidsclausules verricht kan worden. 16.1 Waakt de organisatie die aangesloten is op het netwerk van de Kruispuntbank erover dat de dienst Informatieveiligheid door de verantwoordelijke dienst op de hoogte wordt gesteld van belangrijke incidenten die de informatieveiligheid in het gedrang kunnen brengen en van de maatregelen om deze incidenten op te lossen? 3 Cfr deel 12 Verwerving, ontwikkeling en onderhoud van systemen 4 De veiligheidsarchitectuur bevat met name de volgende elementen: back-upsystemen, systemen voor toegangsbeheer en toegang op afstand, anti-virussystemen,... ; 5 De organisatie blijft verantwoordelijk voor de veiligheid van de verwerking, ook als deze verwerking bij de onderaannemer plaatsvindt P 12
Nihil - norm voldoende expliciet de richtlijn m.b.t. het melden van veiligheidsincidenten beantwoordt aan deze norm. 17.1 Heeft de organisatie die aangesloten is op het netwerk van de Kruispuntbank: een continuïteitsplan uitgewerkt, getest en onderhouden dat gebaseerd is op een risicoanalyse om de opdracht van de instelling in het kader van de sociale zekerheid te kunnen waarborgen? Onder norm 17.1 wordt verstaan dat: de kritieke processen geïdentificeerd werden en er prioriteit aan verleend werd, de middelen 6 bepaald werden die noodzakelijk zijn voor de beschikbaarheid van de kritieke processen, de geïdentificeerde middelen geïmplementeerd worden, deze middelen regelmatig getest worden, het continuïteitsplan 7 geactualiseerd wordt. 17.2 Heeft de organisatie die aangesloten is op het netwerk van de Kruispuntbank in een informaticauitwijkcentrum voorzien in geval van een beperkte of totale ramp? Onder de norm 17.2 wordt verstaan dat de organisatie haar dienstverlening gedeeltelijk of geheel in een andere infrastructuur kan voortzetten (bv. container, onderling delen van gebouwen of ITinfrastructuur, volledige redundantie, bilaterale verbintenis). De middelen worden bepaald op basis van een risicoanalyse. 18.1 Heeft de organisatie periodiek een conformiteitsaudit uitgevoerd met betrekking tot de veiligheidssituatie zoals beschreven in de minimale normen? Nihil norm voldoende expliciet. 6 Middelen zijn alle elementen die noodzakelijk zijn voor het verloop van een proces 7 Het continuïteitsplan is niet beperkt tot het ICT-plan, maar omvat alle continuïteitsaspecten van een instelling, bv. het beschikken over een crisisbeheersplan. P 13
3. Eigenaar van het document Vragenlijst van de minimale normen: Hulp bij de Het onderhoud, de opvolging en de herziening van de huidige policy vallen onder de verantwoordelijkheid van de dienst Informatieveiligheid van de KSZ. 4. Referenties De gebruikte referenties zijn: de minimale normen van 2015 van de KSZ P 14