impakt: richtsnoeren vlaamse overheid
TRANSCRIPT
INFORMATIEVEILIGHEID
OMDAT HET KAN …
• Informatie heeft waarde
• Waardevolle informatie moet we veilig stellen
• Informatie heeft vaak een bepaalde gevoeligheid
• Daarnaast moeten we ook de privacy beschermen
• We hebben dus een aanpak nodig om informatie te beschermen
Kernvragen:
Waarom hebben we informatiebeveiliging nodig?
Wat is de waarde van informatie?• Geldelijke waarde
• Aantrekkelijk voor anderen (insiders of outsiders – met goede en kwade bedoelingen)
• Nut voor u en nuttig voor anderen
• Kwaliteit & tijdigheid zijn vaak van groot belang
• Tenslotte is er ook de (potentiële) schade als gevolg van verkeerd gebruik of
compromitteren van informatie
Basisstelling:
Informatiebeveiliging is ‘in essentie’ balans
• Er is een relatie tussen
gebruiksgemak en beveiliging
• Als de beveiliging toeneemt,
neemt het gebruiksgemak af
Informatieveiligheid – organisatorisch kader
‘Richtsnoeren’ informatiebeveiliging van persoonsgegevens v 3.0
(oorsprong: oprichting KSZ met als toezichthouder POD-MI)
Vandaag van toepassing bij verwerking vertrouwelijke persoonsgegevens binnen:
1- sociale context (OCMW) als
2- niet-sociale context (Gemeente)
Toepassingsgebied?
• Steden en gemeenten
• Binnen instellingen die deel uitmaken van het netwerk dat
beheerd wordt door de kruispuntbank van de sociale zekerheid
• Uiteraard ook bij integratie van gemeente en OCMW (inkanteling)
‘De Richtsnoeren’ vormen een leidraad voor het implementeren van de
ISMS-beheerscyclus (Information Security Management System) die de
kwaliteit van het informatieveiligheidsproces op langere termijn beoogt
te borgen en te verbeteren.
GEMEENTE - OCMW
INFORMATIEVEILIGHEID
In één bad? …
Minimale veiligheidsmaatregelen
gelden voor gemeente en OCMW?
• De OCMW behoren tot het netwerk van de
sociale zekerheid en moeten voldoen aan
de minimale veiligheidsmaatregelen die zijn
opgelegd door de Kruispuntbank van de Sociale
Zekerheid (KSZ). Daarnaast zijn door de
KSZ richtlijnen opgesteld met door iedere
instelling na te streven
veiligheidsdoeleindenm.b.t. alle domeinen van
de informatieveiligheid.
Minimale veiligheidsmaatregelen
gelden voor gemeente en OCMW?
• De gemeenten behoren niet tot het netwerk van de
sociale zekerheid.
• Omdat de samenwerking tussen gemeente en OCMW
steeds nauwer wordt, is het de bedoeling om het
veiligheidsniveau van de gemeente op te tillen naar het
niveau van het OCMW.
• Dergelijk proces vraagt tijd en inspanning.
• Eenvormige richtsnoeren informatieveiligheid die gelden
voor zowel OCMW als gemeente in Vlaanderen,
gebaseerd op de minimale veiligheidsnormen van de
KSZ.
Gemeente en OCMW als één entiteit
‘het lokaal bestuur’?
• Gemeente en OCMW zijn afzonderlijke entiteiten
en hebben elk hun specifieke finaliteiten.
Daardoor worden zij door de wet van 8
december 1992 tot bescherming van de
persoonlijke levenssfeer ten opzichte van de
verwerking van persoonsgegevens, beschouwd
als verschillende verantwoordelijken voor de
verwerking.
Gebruik en de machtigingen
Privacy Wetgeving & ISO 2700X
Kruispuntbank
Sociale ZekerheidRijksregister
Minimale Normen
KSZ
Richtsnoeren Informatieveiligheid
POD-MI VTC
OCMW Gemeente
MachtigingMachtiging
Consulent
Cel
Consulent
Cel
Wie moet een
informatieveiligheidsconsulent aanstellen?
• De verplichting tot het aanstellen ve
veiligheidsconsulent wordt in artikel 9 van het
decreet van 18 juli 2008 betreffende het
elektronische bestuurlijke gegevensverkeer (e-
Gov decreet), vastgelegd voor elke instantie die:
- persoonsgegevens verwerkt,
- authentieke gegevensbron beheert,
- tussenkomt bij mededeling v persoonsgegevens,
- ondersteunt bij gebruikers- en toegangsbeheer.
Welke zijn de opdrachten en de rol
van een veiligheidsconsulent?
• Over het algemeen heeft de dienst belast met de
informatieveiligheid een adviserende, stimulerende,
documenterende en controlerende opdracht inzake
informatieveiligheid.
• De veiligheidsconsulent adviseert de verantwoordelijke
voor het dagelijks bestuur van zijn instelling, op diens
verzoek of op eigen initiatief, omtrent alle aspecten van
de informatieveiligheid.
• Het advies wordt schriftelijk en gemotiveerd uitgebracht,
tenzij de risico's niet voldoende ernstig zijn.
Gemeente en OCMW
één gemeenschappelijke netwerk?
• Gemeente en OCMW zijn 2 aparte entiteiten met elk hun specifieke
finaliteiten. Dit betekent dat zowel de gemeente als het OCMW elk
verantwoordelijk zijn voor hun eigen verwerkingen. Toch kunnen zij
een gemeenschappelijk netwerk delen, maar er moeten voldoende
veiligheidsmaatregelen genomen worden:
1. toegang d.m.v. paswoord;
2. een lijst van gemachtigden van de gemeente en een lijst van
gemachtigden van OCMW;
3. toegang voor de gemachtigden van de gemeente moet beperkt
worden tot de finaliteiten van de gemeente, toegang voor de
gemachtigde van het OCMW moet beperkt worden tot de finaliteiten
van het OCMW;
4. bijhouden van loggings.
• Als gemeente en OCMW ook een gemeenschappelijk ICT-beleid
willen uitbouwen, is een samenwerkingsakkoord tussen beiden
vereist.
Gemeente en OCMW
persoonsgegevens uitwisselen?
• Zij zijn dus elk verantwoordelijke voor de
verwerking van persoonsgegevens.
• Als zij onderling persoonsgegevens willen
uitwisselen, moet voor de elektronische
uitwisseling vooraf een machtiging worden
gevraagd.
Gemeente en OCMW eenzelfde
informatieveiligheidsconsulent?
• Ja. Deze persoon zal wel 2 verschillende
veiligheidsplannen moeten opmaken, een voor
de gemeente en een voor het OCMW.
• Meer informatie omtrent het optreden van een
veiligheidsconsulent voor gemeente en OCMW
vindt u op de website van de Kruispuntbank van
de Sociale Zekerheid (KSZ).
• Bijkomende informatie vindt u in de rubriek ‘FAQ
veiligheid en privacy’ op de website van de KSZ.
Managementsamenvatting
1. Wettelijke basis richtsnoeren• Bescherming persoonsgegevens, sociale en medische gegevens
• Privacy (uniek identificeerbaar)
– Verplichting informatieveiligheidsconsulent
• Meldingsplicht VTC / KSZ
– Collectieve informatieveiligheidsconsulent
• Ja dit kan maar …
2. De richtsnoeren (website VTC)
3. Veiligheidscel
– Minimale samenstelling
– Gewenst (zie dashboard)
4. Veiligheidsplan
– Risico analyse
– Actieplan / uitvoering
ISO 27002 – 2013 norm / Richtsnoeren v3
1. Risicobeoordeling
2. Algemeen beveiligingsbeleid (security policy)
3. Organisatie van informatieveiligheid
4. Personeelsbeleid
5. Beheer van bedrijfsmiddelen
6. Toegang tot Persoonsgegevens
7. Cryptografie
8. Fysieke beveiliging (beveiliging omgeving)
9. Operationele beveiliging (beveiliging bedrijfsactiviteiten)
10. Communicatie beveiliging (netwerk en informatietransport)
11. Beheer van informatiesystemen (verwerving, ontwikkeling, onderhoud)
12. Beheer van leveranciersrelaties
13. Informatiebeveiligingsincidenten (incident management)
14. Bedrijfscontinuïteit (calamiteiten)
15. Naleving (compliance)
Tool
https://www.privacycommission.be/sites/privacycommission/files/documents/Steden%20en%20gemeenten_v%203.0_0.pdf
v3 = 15 domeinen (controls)
Organisatie
Ingrediënten
informatie-
veiligheid
Machtigingen
Sociale
Gegevens
Wetgeving
Dagelijks
beleid
Persoons-
gegevens
Veiligheids-
consulent
Veiligheids-
plan
Interne
Veiligheids-
cel of Team
Informatie-
veiligheidscel
Verantw.
Toegangen
Informatie
Veiligheids-
consulent
Interne
Veiligheids-
cel of Team
Preventie-
adviseur
Dagelijks
Bestuur
ICT Verantwoordelijke
HRM Verantwoordelijke
…
Planning
Opvolging en controle
Veiligheidsplan
• Informatieveiligheidsplan
• Risico assessment
• Acties tav de richtsnoeren (meerjarenplanning)
• Jaarlijks verslag
• Externe audit (3 jaren)
Behoefte Aanbod
Regelgeving
(kader)Dreiging
Omgevingsanalyse …
Omgevingsanalyse …
Behoefte Aanbod
Dreiging
Regelgeving
Gemeente-
personeel
ISO 27002 – 2013 norm / Richtsnoeren v3
Strategisch
• Risicobeoordeling
• Beveiligingsbeleid
• Organisatie
Operationeel
• Personeel
• Bedrijfsmiddelen
• Persoonsgegevens
• Cryptografie
• Fysieke
• Operationeel
• Communicatie
• Informatiesystemen
• Leveranciersrelaties
Tactisch
• Incidenten
• Bedrijfscontinuïteit
• Naleving