Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document bezit. De inhoud van dit document mag vrij worden verspreid voor niet-commerciële doeleinden mits vermelding van de bron (Kruispuntbank van de Sociale Zekerheid, http://www.ksz.fgov.be). Eventuele verspreiding voor commerciële doeleinden dient het voorwerp uit te maken van de voorafgaande en schriftelijke toestemming vanwege de Kruispuntbank van de Sociale Zekerheid. i Hiërarchische relatie van de documenten met betrekking tot het informatieveiligheidsbeleid (Doc. Ref. : isms.004.hierar. ; Doc. Ref.(BCSS) : V2004.305.hierarch.v5.ivn) 1. INLEIDING De organisatie van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid is gebaseerd op de verplichte toepassing van de minimale veiligheidsnormen door haar partners, zoals bepaald in het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid. De minimale veiligheidsnormen zijn het resultaat van een organisatie en een benadering die erop gericht zijn, voor de instellingen van sociale zekerheid die op het netwerk van de Kruispuntbank van de Sociale Zekerheid aangesloten zijn, de nodige voorwaarden te scheppen voor een beveiligde uitvoering van hun opdrachten inzake informatieverwerking. Deze organisatie en benadering zijn gebaseerd op een aantal teksten. Het is voor de partners binnen de sociale zekerheid belangrijk de precieze hiërarchie en het onderlinge verband van deze verschillende documenten te kennen, zowel op het niveau van hun validatieprocedures als op het niveau van hun impact op de algemene organisatie van het informatieveiligheidsbeleid binnen ons netwerk en hun doel, met name het vaststellen van de minimale veiligheidsnormen. In dit opzicht dient de goedkeuring van het document ISMS Beleid inzake informatieveiligheid door het Algemeen Coördinatiecomité in juni 2003 als een belangrijke wending binnen deze organisatie beschouwd te worden (het ISMS werd als volgt door het Algemeen Coördinatiecomité goedgekeurd: Het betreft een basisdocument bestemd voor intern gebruik binnen de instellingen. Het bevat de na te leven krachtlijnen. Tussen de veiligheidsconsulent en het leidend personeel dient een permanent overleg georganiseerd te worden ). Tot dan was de organisatie van het informatieveiligheidsbeleid immers voornamelijk gericht op de minimale veiligheidsnormen en het uitwerken van richtlijnen die, in het raam van een meer gecentraliseerde informatica-organisatie van elke instelling, beantwoordden aan de eisen van onze instellingen. De juistheid van deze benadering is in het verleden voldoende gebleken. De evolutie van de technologieën inzake communicatie, toegankelijkheid, werkwijzen, ontwikkeling en architectuur bracht de werkgroep Informatieveiligheid ertoe zijn aanpak aan te passen aan deze snelle en complexe evolutie teneinde in de beste omstandigheden en zo snel mogelijk het minimale informatieveiligheidsbeleid, dat voor een beveiligd gemeenschappelijk netwerk nodig is, af te stemmen op deze evoluties. 1
Het ISMS (Information Security Management System) vormt de methodologische achtergrond van onze aanpak. Dit document geeft uitleg over de aanpak van de werkgroep Informatieveiligheid voor de realisatie van zijn taken. Situatie vóór juni 2003 Kruispuntbankwet 15/1/90 12/08/93 Sectoraal Comité van de Sociale Zekerheid Richtlijnen Minimale veiligheidsnormen Vragenlijst Situatie na juni 2003 Kruispuntbankwet 15/01/90 12/08/93 ISMS : METHODOLOGIE Sectoraal Comité van de Sociale Zekerheid ISP (Information Security Policy) Richtlijnen Minimale normen Vragenlijst Policy 2
2. DEFINITIES 2.1. Veiligheidsrichtlijnen voor de instellingen die deelnemen aan het door de Kruispuntbank van de Sociale Zekerheid beheerde netwerk De werkgroep Informatieveiligheid heeft, in het kader van zijn opdrachten en op vraag van de sociale partners in de Nationale Arbeidsraad, een reeks richtlijnen opgesteld voor de beveiliging van de gegevens van de socialezekerheidsinstellingen, in het bijzonder als deelnemers van het elektronisch gegevensuitwisselingsnetwerk dat door de Kruispuntbank van de Sociale Zekerheid beheerd wordt. Voor deze instellingen in het algemeen en voor de veiligheidsconsulenten in het bijzonder, zijn deze richtlijnen een werkinstrument waarop ze zich kunnen baseren bij de uitvoering van hun veiligheidsopdrachten. De toepassing van deze richtlijnen behoort echter tot de verantwoordelijkheid van iedere instelling. De informatieveiligheidsrichtlijnen voor de instellingen die deelnemen aan het door de Kruispuntbank beheerde netwerk, dienen beschouwd te worden als een middelenverbintenis en niet als een resultaatsverbintenis. Als basis voor de informatieveiligheid van het netwerk, werden ze goedgekeurd door het Algemeen Coördinatiecomité en het Beheerscomité van de Kruispuntbank en werden ze ter informatie meegedeeld aan het Sectoraal Comité van de Sociale Zekerheid. 2.2. Information Security Management System. Om tegemoet te komen aan de behoefte van de instellingen van het netwerk om te kunnen terugvallen op een gemeenschappelijk en gestructureerd informatieveiligheidsbeleid, heeft de werkgroep Informatieveiligheid het initiatief genomen voor de ontwikkeling van een ISMS gebaseerd op de ISO-norm 17799. De ISO-norm 17799 is een geheel van maatregelen die onderverdeeld zijn in verschillende hoofdstukken die de verschillende veiligheidsaspecten van een informatiesysteem behandelen. Deze verschillende hoofdstukken behandelen onder meer: v het informatieveiligheidsbeleid en de algemene principes ervan, v de organisatorische veiligheid, v de controle en classificatie van het patrimonium, v de veiligheid van het personeel, v de fysieke veiligheid en de veiligheid van de omgeving, v het beheer van de communicaties en de verrichtingen, v de (fysieke en logische) toegangscontrole, v het systeemonderhoud en de systeemontwikkeling, 3
v het beheer en de continuïteit van de activiteiten, v de conformiteit. De ISO-norm 17799 dient opgevat te worden als een leidraad die ervoor zorgt dat niets over het hoofd gezien wordt bij de ontwikkeling van het informatieveiligheidsbeleid binnen het netwerk van de Kruispuntbank van de Sociale Zekerheid. De methodologie die gehanteerd wordt om een maximale informatieveiligheid te bereiken is een Information Security Management System (ISMS). Het betreft de gemeenschappelijke methodologie die de instellingen van het netwerk beslist hebben te volgen om een optimale informatieveiligheid na te streven. Het gemeenschappelijke ISMS werd als volgt goedgekeurd door het Algemeen Coördinatiecomité tijdens zijn vergadering van juni 2003: Het betreft een basisdocument bestemd voor intern gebruik binnen de instellingen. Dit document is gebaseerd op de ISO-norm 17799 en bevat de na te leven krachtlijnen. Tussen de veiligheidsconsulent en het leidend personeel dient een permanent overleg georganiseerd te worden. Het College van Administrateurs-generaal heeft beslist om met de relevante principes van het ISMS ook rekening te houden in de bestuursovereenkomsten van de verschillende instellingen. Voor de implementatie ervan, dient de informatieveiligheidsconsulent van iedere instelling een beslissing te verkrijgen van de persoon die belast is met het dagelijkse bestuur van de instelling. 2.3. Information Security Policy: informatieinformatieveiligheidsbeleid Het Beleid inzake informatieveiligheid of ISP is een belangrijk basisdocument in het kader van het ISMS. Hierin somt de instelling de fundamentele principes inzake informatieveiligheid op, zoals gedefinieerd in de ISO-norm 17799. Dit document zal periodiek herzien worden, onder andere na afloop van de evaluatie van het beleid naar aanleiding van belangrijke informatieveiligheidsincidenten, nieuwe kwetsbaarheden of veranderingen in de organisatorische of technische infrastructuur. Iedere instelling van sociale zekerheid die op het netwerk van de Kruispuntbank aangesloten is, kan zich voor de naleving van een bepaalde minimale norm inspireren op de in de ISP vermelde principes. De instellingen van sociale zekerheid dienen de ISP aan te passen aan hun specifieke situatie en aan de omvang van de werkingsmiddelen die beveiligd moeten worden. 4
2.4. Policy. De policy s zijn specifieke documenten die betrekking hebben op de verschillende aspecten van het informatieveiligheidsbeleid. Het betreft formele maatregelen, gevalideerd door de persoon die belast is met het dagelijkse bestuur van de instelling, met het oog op een optimale informatieveiligheid. De informatieveiligheid bereikt men immers door de implementatie van een reeks maatregelen of controles met betrekking tot de principes van het informatieveiligheidsbeleid. Deze maatregelen en controles dienen vastgesteld en gevalideerd te worden teneinde de informatieveiligheidsdoelstellingen van de organisatie te bereiken. De policy s die door de werkgroep Informatieveiligheid opgesteld worden, worden aangeboden aan alle instellingen van het netwerk voor een gemeenschappelijk gebruik in functie van hun specifieke behoeften. Indien de werkgroep Informatieveiligheid een policy door alle instellingen van het netwerk wil laten naleven, moet deze policy geïntegreerd worden in de minimale veiligheidsnormen. Het is de verantwoordelijkheid van de instellingen van sociale zekerheid om specifieke policy s voor hun organisatie op te stellen. 5
2.5. Minimale veiligheidsnormen Krachtens het koninklijk besluit van 12 augustus 1993 en meer bepaald artikel 14 ervan, werd de werkgroep Informatieveiligheid belast met de voorbereiding van de minimumnormen betreffende de fysieke en logische informatieveiligheid. De werkgroep werd tevens belast met de voorbereiding van een controlelijst voor de evaluatie van de naleving van deze minimumnormen. De instellingen van sociale zekerheid dienen de minimale normen verplicht na te leven indien ze toegang wensen tot het netwerk van de Kruispuntbank en deze toegang wensen te behouden. De minimale normen zijn dus bindend. Het is echter de verantwoordelijkheid van de instellingen van sociale zekerheid om geschikte informatieveiligheidsmaatregelen te treffen, in functie van hun specifieke situatie en de omvang van de werkingsmiddelen die beveiligd moeten worden. Deze minimale normen zijn herzienbaar en worden dus aangepast in functie van de evolutie van de wetgeving, de techniek of andere. De controle op de naleving van de minimale normen gebeurt op basis van een vragenlijst die de Kruispuntbank jaarlijks overmaakt en door de instellingen aangesloten op het netwerk wordt ingevuld. De antwoorden worden ter evaluatie meegedeeld aan het Sectoraal Comité van de Sociale Zekerheid. De minimale normen dienen bij hun vaststelling en periodieke aanpassing goedgekeurd te worden door het Algemeen Coördinatiecomité en het Beheerscomité van de Kruispuntbank en dienen vervolgens meegedeeld te worden aan het Sectoraal Comité van de Sociale Zekerheid. 6