Informatieveiligheid. Omdat het moet!? ShoptIT 8 mei 2014 Ivan Stuer

Informatieveiligheid Omdat het moet!? ShoptIT 8 mei 2014 Ivan Stuer

Omgevingsanalyse Cloudaanbieder failliet, hoe red ik mijn bedrijfsdata? Nirvanix s cloud service customers were apparently notified about a shutdown at the end of the month a little over a week ago, leaving them with very little time to migrate over to a new cloud storage service provider which is not exactly an easy task.

Omgevingsanalyse

Omgevingsanalyse lokale overheid

?

Maar ook op papier Waar eindigen al de papieren versies van (OCMW) raadsdocumenten? Staan printers in publiek toegankelijke ruimten?

En in de cloud

Waarneming Praktijk Verwarring bij gemeenten en OCMW s Geen toegang tot bepaalde bronnen Toegevoegde waarde van de Veiligheidsconsulent?

Informatieveiligheid

Informatieveiligheid Maak informatieveiligheid inzichtelijk voor het management en mandatarissen 3 grote domeinen voor lokale overheden: Technisch Privacy/persoonsgegevens Procedures

Informatieveiligheid Omdat het moet! Enkel omwille van wetgeving??

Informatieveiligheid: technisch Kennisdag informatieveiligheid V-ICT-OR 2012

Principes informatieveiligheid: CIA 14

Informatieveiligheid: technisch Gemeenten en OCMW hebben over het algemeen al de nodige technische maatregelen getroffen om hun infrastructuur en data te beschermen. Omdat het moet? -> geen alternatief Geen antivirus -> netwerk plat Geen backup > dataverlies Geen firewall -> hacking Geen spamfilter -> email onbruikbaar

Informatieveiligheid: technisch Geïmplementeerd door leverancier of eigen systeembeheerder op basis van eigenbelang, vakkennis of jobfierheid Redelijk eenvoudig. Voldoende aanbod, voldoende kennis bij leveranciers, Voldoende producten antivirus, firewall, proxy, intrusion detection, backups, noodgenerator, Ontdubbeling serverpark & opslag, redundantie, wachtwoordbeleid, loggings -> procedureel opgevolgd of vastgelegd?

Informatieveiligheid: privacy Bescherming van persoonsgegevens Omdat het moet? - corporate governance - afgedwongen door wetgeving

Wettelijk kader Belangrijkste spelers: KSZ (OCMW s) CBPL Privacycommissie VTC Vlaamse toezichtscommissie

Verschillende rollen Informatieveiligheid Bron: Informatieveiligheid bij de integratieoefening OCMW - gemeente Information Security Guidlines Versie : 1.00 21 december 2011 Wie Wat Wet / domein OCMW Informatieveiligheidsconsulent KSZ 15/1/93 Gem/OCMW Veiligheidsbeheerder Beheer ambtenarentoken Gemeente Veiligheidsconsulent CBPL Aanbeveling CBPL Gemeente OCMW OCMW Gem/OCMW Gem/OCMW Gem/OCMW Consulent informatieveiligeheid en bescherming privacy Verantwoordelijke Toegangen Entiteit (VTE) Lokale beheerder portaaltoepassingen sociale zekerheid / ehealth Informatiebeheerder Verantwoordelijke voor de verwerking Aangestelde voor de gegevensbescherming RR 8/8/83 Toegang toepassingen sociale zekerheid Verwerking persoonsgegevens 8/12/92 Verwerking persoonsgegevens 8/12/92

KSZ Minimale Veiligheidsnormen Veiligheidsconsulent Veiligheidsplan

Informatieveiligheid Volgen van reglementen en procedures Waarom? Garanties bieden aan burgers voor veilige verwerking van persoonsgegevens door de Vlaamse instanties 2 ledig - evenwicht: efficiënte en effectieve dienstverlening garanderen; bescherming persoonlijke levenssfeer. Vlaamse Toezichtcommissie 23

Informatieveiligheid De privacywet: wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP) http://vtc.corve.be/wetgeving.php Vlaamse Toezichtcommissie 24

Informatieveiligheid Definitie van persoonsgegeven: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon = zeer ruim = niet beperkt tot privacy/persoonlijke levenssfeer Vlaamse Toezichtcommissie 25

Informatieveiligheid Definitie van verantwoordelijke voor de verwerking Niet de IT-dienst Niet de personeelsleden WEL het management het hoofd van de entiteit = verantwoordelijk voor de naleving van de privacywet Vlaamse Toezichtcommissie 26

Informatieveiligheid HOE De principes van de privacywet naleven: Finaliteit Proportionaliteit Transparantie Veiligheid Vlaamse Toezichtcommissie 27

Informatieveiligheid Het e-govdecreet: Decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer http://vtc.corve.be/docs/egov_decreet.pdf Vlaamse Toezichtcommissie 28

Informatieveiligheid Artikel 6: verplichtingen Vlaamse Bestuursinstanties 1. De instanties zijn in ieder geval verplicht : 1 persoonsgegevens te verwerken overeenkomstig de privacywet; 2 bij iedere nieuwe toepassing van het elektronische bestuurlijke gegevensverkeer vooraf adequate technische en organisatorische maatregelen in te bouwen voor de naleving van de privacywet; 3 op elk moment te waken over de kwaliteit en de veiligheid van gegevens en alle maatregelen te treffen om een perfecte bewaring van persoonsgegevens te garanderen; 4 de toezichtcommissie te ondersteunen bij de vervulling van haar opdrachten; 5 de toezichtcommissie informatie te verstrekken en inzage in alle dossiers en informatieverwerkende systemen te verschaffen telkens als ze daarom vraagt. Vlaamse Toezichtcommissie 29

Informatieveiligheid Artikel 8: machtigingsverplichting De elektronische mededeling van persoonsgegevens door een instantie vereist een machtiging van de Toezichtcommissie[...] Vlaamse Toezichtcommissie 30

Informatieveiligheid Artikel 9: Veiligheidsconsulent Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. Vlaamse Toezichtcommissie 31

Informatieveiligheid Artikel 9: Veiligheidsconsulent advies en aanbevelingen omtrent de uitvoering van het veiligheidsbeleid; onder rechtstreeks gezag van verantwoordelijke voor dagelijks bestuur; kennis over informatieveiligheid en informaticaomgeving van de instantie; voldoende tijdsbesteding; geen onverenigbaarheid http://vtc.corve.be/docs/e_gov_decreet_bvr_veiligheid.pdf http://vtc.corve.be/docs/aanvraag_advies_aanstelling_veiligheidsconsulent.doc Vlaamse Toezichtcommissie 32

Informatieveiligheid Sancties: niet naleven privacywet is strafbaar verwerking/gegevensstroom kan worden stopgezet tuchtsancties/ontslag Schadeclaims Vertrouwen in de overheid krijgt een deuk Vlaamse Toezichtcommissie 33

Informatieveiligheid 34 Voorwaarden in machtigingen Veiligheidsconsulent Veiligheidsplan machtiging treedt pas in werking voor lokale besturen die voldoen aan voorwaarden Vlaamse Toezichtcommissie

Richtsnoeren informatieveiligheid

Wat? Geïntegreerd document met alle wet- en regelgeving Geënt op ISO27002 Beperkte subset Sterke focus op persoonsgegevens Goed begin informatieveiligheid voor lokale besturen

Juridische inslag! RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS IN STEDEN EN GEMEENTEN, IN INSTELLINGEN DIE DEEL UITMAKEN VAN HET NETWERK DAT BEHEERD WORDT DOOR DE KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID EN BIJ DE INTEGRATIE OCMW GEMEENTE Versie: 2.0

Informatieveiligheidstool Ontwikkeld door V-ICT-OR Leidt u door de richtsnoeren Zelfevaluatie van risico, impact, controle en maturiteit

Bevragingstool: Wat? 1. Richtsnoeren verwerkt in on-line vragenlijst 2. Met maturiteit & risico indicatie 3. Aangevuld met levend handboek 4. Veiligheidsplan als output!

Informatieveiligheid Hoe verankeren binnen de organisatie? Hoe krijgen we het gedragen?

Informatieveiligheid: procedureel Technische maatregelen treffen en een veiligheidsconsulent inhuren zijn GEEN voldoende garantie voor informatieveiligheid Er is procedurele verankering nodig binnen de organisatie Organisatiebeheersing Risicoanalyse en -beheersing in alle processen Behandelt per definitie informatieveiligheid binnen de organisatie (en dus ook technische maatregelen en bescherming van persoonsgegevens)

Organisatiebeheersing en informatieveiligheid 44 ICT-beveiliging is het geheel van maatregelen (voorschriften, processen, activiteiten, ) dat ervoor zorgt dat informatiesystemen (bedrijfs- en bestuursprocessen) een optimale bescherming genieten (rekening houdend met het kosten-baten principe) op het vlak van : Vertrouwelijkheid Privacy Integriteit Beschikbaarheid (BCM!) Vlaamse Toezichtcommissie

Bescherming van persoonsgegevens geldt in meeste domeinen organisatiebeheersing HR: personeelsgegevens Communicatie: klantengegevens, cookies, sociale media, Facilitair: gebouwinfrastructuur, toegang, bewaking Cultuur: deontologie, awareness, sociale media ICT: natuurlijk Organisatiebeheersing en informatieveiligheid Financiele dienst : betaalgegevens, boekhouding Archief,.. Vlaamse Toezichtcommissie 45

Management Informatieveiligheid en risicobeheersing is een essentieel onderdeel van vele management modellen of methodologieën ISO27002 (uiteraard) ITIL COBIT COSO PMI/Prince2 ISACA

ISO27001/2 ISO norm voor Informatieveiligheid Als basis voor regels VTC en KSZ (en dus ook de richtsnoeren) CIA & FP Confidentialiteit Integriteit Availability Finaliteit Proportionaliteit

ISO27001/2 Principes: Deming Circle: Plan, Do, Check, Act Security Controls Risk assessment Nieuwe versie legt ook de link naar andere management modellen!

ISO27001 Domeinen Security policy Controleobjectieven Organization of information security En risicobeheersing Asset management Human resources security Physical and environmental security Communications and operations management Access control Information systems acquisition, development and maintenance Information security incident management Business continuity management Regulatory compliance

COSO 50

COSO COSO identificeert de relaties tussen de ondernemingsrisico s en het interne beheersingsysteem. COSO hanteert hierbij de gedachten dat interne beheersing een proces is dat gericht is op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën: bereiken van de strategische doelstellingen (Strategic) effectiviteit en efficiëntie van bedrijfsprocessen (Operations) betrouwbaarheid van de (financiële) informatieverzorging (Reporting) naleving van relevante wet- en regelgeving (Compliance) Overgenomen door overheid voor Interne Controle (Art 99 GD)

Gemeentedecreet

COSO 1. Controleomgeving is de basis integriteit, de ethische waarden en deskundigheid van het personeel, de managementstijl en zijn filosofie, de organisatiecultuur, het beleid rond delegatie van bevoegdheden en verantwoordelijkheden, het HRM-beleid,. 2. Risico analyse op omgeving 3. Beheer en controle activiteiten 4. Informatieveiligheid 5. Monitoring (interne & externe audit)

COBIT

Vlaamse Toezichtcommissie 55

ITIL V2 operationeel Incident mgmt Problem mgmt Wekelijkse operationele opvolging Change mgmt Release mgmt Capacity mgmt Vooral bij uitvoering veranderingen Availability mgmt Service continuity mgmt Security mgmt Afspraken en controle Service level mgmt Financial mgmt

Kwaliteit: EFQM/CAF/INK/A3

Project Management: PMI / PMBOK 10 knowledge area s Integraal beheer (integration mgmt) Beheer van het doel van het project (scope mgmt) Tijdsbeheer (Time mgmt) Kostbeheer (Cost mgmt) Kwaliteitsbeheer (Quality mgmt) Beheer van de risico s (Risk mgmt) Personeelsbeheer (HR mgmt) Communicatiebeheer (Comm mgmt) Aankoopbeheer (Procurement mgmt) Stakeholdermanagement (Nieuw in release 5)

Prince2 Thema s Business Case Organization Plans Progress Risk Quality Change (beter opgevolgd dan in PMI) Configuration

En alle mogelijke combinaties ISO & ITIL ITIL & Prince2 TQM & ISO & ITIL &.

En de juridische inslag! RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS IN STEDEN EN GEMEENTEN, IN INSTELLINGEN DIE DEEL UITMAKEN VAN HET NETWERK DAT BEHEERD WORDT DOOR DE KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID EN BIJ DE INTEGRATIE OCMW GEMEENTE Versie: 2.0

Hoe breien we dit aan elkaar? Stel een informatieveiligheidsmanagement systeem (ISMS) op, geënt op de ISO27002 controlepunten en management modellen & technieken eigen aan uw organisatie/managementstructuur Verwerk zeker de richtsnoeren in het systeem (kan adhv de V-ICT-OR tool) Veranker het ISMS in uw organisatiewerking

ISMS stappen 1. Inventariseer alle gebruikte modellen en verplichtingen in uw organisatie 2. Stel een informatieveiligheidsteam op met alle relevante deelnemers (IVT) 3. Bepaal samen met het IVT de scope van het ISMS 4. Maak een eerste policy waarin deze scope wordt afgelijnd 5. Breng deze voor goedkeuring op het hoogste beslissingsorgaan 6. Bepaal de risico evaluatie methodologie (zelfde taal)

ISMS stappen 7. Leg de criteria vast rond aanvaardbare risico s 8. Maak een inventaris van alle processen en middelen die relevant zijn voor de scope 9. Doe een eerste risicoanalyse met het IVT (apart en samen) 10. Bepaal voor elk risico de strategie (accepteren, vermijden, transfereren) 11. Bepaal de relevante controlepunten (incl richtsnoeren) 12. Koppel terug naar het management

ISMS beheer 1. Beslis met het IVT hoe de controlepunten worden opgevolgd (, VTE, processen, training) 2. Stel logging en rapportering op 3. Evalueer geregeld de scope en risico s 4. Toets aan de management modellen (integratie & verankering!) 5. Organiseer regelmatig ISMS audits (peer review) 6. Leg alle findings, policies en risico s op regelmatige basis terug voor aan het management

Organisaties ISACA ENISA CSA (cloud!) KSZ VTC ISO (27000,31000, )

V-ICT-OR Opleidingen worden georganiseerd in samenwerking met Escala

Vragen? security@v-ict-or.be

Bedankt voor uw aandacht