IMPAKT: Richtsnoeren Vlaamse Overheid

Click here to load reader

  • date post

    15-Apr-2017
  • Category

    Internet

  • view

    108
  • download

    2

Embed Size (px)

Transcript of IMPAKT: Richtsnoeren Vlaamse Overheid

  • INFORMATIEVEILIGHEID

    OMDAT HET KAN

  • Informatie heeft waarde

    Waardevolle informatie moet we veilig stellen

    Informatie heeft vaak een bepaalde gevoeligheid

    Daarnaast moeten we ook de privacy beschermen

    We hebben dus een aanpak nodig om informatie te beschermen

    Kernvragen:

    Waarom hebben we informatiebeveiliging nodig?

    Wat is de waarde van informatie? Geldelijke waarde

    Aantrekkelijk voor anderen (insiders of outsiders met goede en kwade bedoelingen)

    Nut voor u en nuttig voor anderen

    Kwaliteit & tijdigheid zijn vaak van groot belang

    Tenslotte is er ook de (potentile) schade als gevolg van verkeerd gebruik of

    compromitteren van informatie

  • Basisstelling:

    Informatiebeveiliging is in essentie balans

    Er is een relatie tussen

    gebruiksgemak en beveiliging

    Als de beveiliging toeneemt,

    neemt het gebruiksgemak af

  • Informatieveiligheid organisatorisch kader

    Richtsnoeren informatiebeveiliging van persoonsgegevens v 3.0

    (oorsprong: oprichting KSZ met als toezichthouder POD-MI)

    Vandaag van toepassing bij verwerking vertrouwelijke persoonsgegevens binnen:

    1- sociale context (OCMW) als

    2- niet-sociale context (Gemeente)

    Toepassingsgebied?

    Steden en gemeenten

    Binnen instellingen die deel uitmaken van het netwerk dat

    beheerd wordt door de kruispuntbank van de sociale zekerheid

    Uiteraard ook bij integratie van gemeente en OCMW (inkanteling)

    De Richtsnoeren vormen een leidraad voor het implementeren van de

    ISMS-beheerscyclus (Information Security Management System) die de

    kwaliteit van het informatieveiligheidsproces op langere termijn beoogt

    te borgen en te verbeteren.

  • GEMEENTE - OCMW

    INFORMATIEVEILIGHEID

    In n bad?

  • Minimale veiligheidsmaatregelen

    gelden voor gemeente en OCMW?

    De OCMW behoren tot het netwerk van de

    sociale zekerheid en moeten voldoen aan

    de minimale veiligheidsmaatregelen die zijn

    opgelegd door de Kruispuntbank van de Sociale

    Zekerheid (KSZ). Daarnaast zijn door de

    KSZ richtlijnen opgesteld met door iedere

    instelling na te streven

    veiligheidsdoeleindenm.b.t. alle domeinen van

    de informatieveiligheid.

    http://www.ksz.fgov.be/binaries/documentation/nl/securite/minimale_veiligheidsnormen.pdfhttp://www.ksz.fgov.be/binaries/documentation/nl/securite/richtlijnen.pdf

  • Minimale veiligheidsmaatregelen

    gelden voor gemeente en OCMW?

    De gemeenten behoren niet tot het netwerk van de

    sociale zekerheid.

    Omdat de samenwerking tussen gemeente en OCMW

    steeds nauwer wordt, is het de bedoeling om het

    veiligheidsniveau van de gemeente op te tillen naar het

    niveau van het OCMW.

    Dergelijk proces vraagt tijd en inspanning.

    Eenvormige richtsnoeren informatieveiligheid die gelden

    voor zowel OCMW als gemeente in Vlaanderen,

    gebaseerd op de minimale veiligheidsnormen van de

    KSZ.

    http://vtc.corve.be/docs/VTC_Informatieveiligheid_Steden en gemeenten_v 2 0.docx

  • Gemeente en OCMW als n entiteit

    het lokaal bestuur?

    Gemeente en OCMW zijn afzonderlijke entiteiten

    en hebben elk hun specifieke finaliteiten.

    Daardoor worden zij door de wet van 8

    december 1992 tot bescherming van de

    persoonlijke levenssfeer ten opzichte van de

    verwerking van persoonsgegevens, beschouwd

    als verschillende verantwoordelijken voor de

    verwerking.

  • Gebruik en de machtigingen

    Privacy Wetgeving & ISO 2700X

    Kruispuntbank

    Sociale ZekerheidRijksregister

    Minimale Normen

    KSZ

    Richtsnoeren Informatieveiligheid

    POD-MI VTC

    OCMW Gemeente

    MachtigingMachtiging

    Consulent

    Cel

    Consulent

    Cel

  • Wie moet een

    informatieveiligheidsconsulent aanstellen?

    De verplichting tot het aanstellen ve

    veiligheidsconsulent wordt in artikel 9 van het

    decreet van 18 juli 2008 betreffende het

    elektronische bestuurlijke gegevensverkeer (e-

    Gov decreet), vastgelegd voor elke instantie die:

    - persoonsgegevens verwerkt,

    - authentieke gegevensbron beheert,

    - tussenkomt bij mededeling v persoonsgegevens,

    - ondersteunt bij gebruikers- en toegangsbeheer.

  • Welke zijn de opdrachten en de rol

    van een veiligheidsconsulent?

    Over het algemeen heeft de dienst belast met de

    informatieveiligheid een adviserende, stimulerende,

    documenterende en controlerende opdracht inzake

    informatieveiligheid.

    De veiligheidsconsulent adviseert de verantwoordelijke

    voor het dagelijks bestuur van zijn instelling, op diens

    verzoek of op eigen initiatief, omtrent alle aspecten van

    de informatieveiligheid.

    Het advies wordt schriftelijk en gemotiveerd uitgebracht,

    tenzij de risico's niet voldoende ernstig zijn.

  • Gemeente en OCMW

    n gemeenschappelijke netwerk?

    Gemeente en OCMW zijn 2 aparte entiteiten met elk hun specifieke

    finaliteiten. Dit betekent dat zowel de gemeente als het OCMW elk

    verantwoordelijk zijn voor hun eigen verwerkingen. Toch kunnen zij

    een gemeenschappelijk netwerk delen, maar er moeten voldoende

    veiligheidsmaatregelen genomen worden:

    1. toegang d.m.v. paswoord;

    2. een lijst van gemachtigden van de gemeente en een lijst van

    gemachtigden van OCMW;

    3. toegang voor de gemachtigden van de gemeente moet beperkt

    worden tot de finaliteiten van de gemeente, toegang voor de

    gemachtigde van het OCMW moet beperkt worden tot de finaliteiten

    van het OCMW;

    4. bijhouden van loggings.

    Als gemeente en OCMW ook een gemeenschappelijk ICT-beleid

    willen uitbouwen, is een samenwerkingsakkoord tussen beiden

    vereist.

  • Gemeente en OCMW

    persoonsgegevens uitwisselen?

    Zij zijn dus elk verantwoordelijke voor de

    verwerking van persoonsgegevens.

    Als zij onderling persoonsgegevens willen

    uitwisselen, moet voor de elektronische

    uitwisseling vooraf een machtiging worden

    gevraagd.

  • Gemeente en OCMW eenzelfde

    informatieveiligheidsconsulent?

    Ja. Deze persoon zal wel 2 verschillende

    veiligheidsplannen moeten opmaken, een voor

    de gemeente en een voor het OCMW.

    Meer informatie omtrent het optreden van een

    veiligheidsconsulent voor gemeente en OCMW

    vindt u op de website van de Kruispuntbank van

    de Sociale Zekerheid (KSZ).

    Bijkomende informatie vindt u in de rubriek FAQ

    veiligheid en privacy op de website van de KSZ.

    http://www.ksz.fgov.be/nl/bcss/page/content/websites/belgium/security/security_07.html

  • Managementsamenvatting

    1. Wettelijke basis richtsnoeren Bescherming persoonsgegevens, sociale en medische gegevens

    Privacy (uniek identificeerbaar)

    Verplichting informatieveiligheidsconsulent

    Meldingsplicht VTC / KSZ

    Collectieve informatieveiligheidsconsulent

    Ja dit kan maar

    2. De richtsnoeren (website VTC)

    3. Veiligheidscel

    Minimale samenstelling

    Gewenst (zie dashboard)

    4. Veiligheidsplan

    Risico analyse

    Actieplan / uitvoering

  • ISO 27002 2013 norm / Richtsnoeren v3

    1. Risicobeoordeling

    2. Algemeen beveiligingsbeleid (security policy)

    3. Organisatie van informatieveiligheid

    4. Personeelsbeleid

    5. Beheer van bedrijfsmiddelen

    6. Toegang tot Persoonsgegevens

    7. Cryptografie

    8. Fysieke beveiliging (beveiliging omgeving)

    9. Operationele beveiliging (beveiliging bedrijfsactiviteiten)

    10. Communicatie beveiliging (netwerk en informatietransport)

    11. Beheer van informatiesystemen (verwerving, ontwikkeling, onderhoud)

    12. Beheer van leveranciersrelaties

    13. Informatiebeveiligingsincidenten (incident management)

    14. Bedrijfscontinuteit (calamiteiten)

    15. Naleving (compliance)

    Tool

    https://www.privacycommission.be/sites/privacycommission/files/documents/Steden%20en%20gemeenten_v%203.0_0.pdf

    v3 = 15 domeinen (controls)

  • Organisatie

    Ingredinten

    informatie-

    veiligheid

    Machtigingen

    Sociale

    Gegevens

    Wetgeving

    Dagelijks

    beleid

    Persoons-

    gegevens

    Veiligheids-

    consulent

    Veiligheids-

    plan

    Interne

    Veiligheids-

    cel of Team

  • Informatie-

    veiligheidscel

    Verantw.

    Toegangen

    Informatie

    Veiligheids-

    consulent

    Interne

    Veiligheids-

    cel of Team

    Preventie-

    adviseur

    Dagelijks

    Bestuur

    ICT Verantwoordelijke

    HRM Verantwoordelijke

    Planning

    Opvolging en controle

  • Veiligheidsplan

    Informatieveiligheidsplan

    Risico assessment

    Acties tav de richtsnoeren (meerjarenplanning)

    Jaarlijks verslag

    Externe audit (3 jaren)

  • Behoefte Aanbod

    Regelgeving

    (kader)Dreiging

    Omgevingsanalyse

  • Omgevingsanalyse

    Behoefte Aanbod

    Dreiging

    Regelgeving

  • Gemeente-

    personeel

  • ISO 27002 2013 norm / Richtsnoeren v3

    Strategisch

    Risicobeoordeling

    Beveiligingsbeleid

    Organisatie

    Operationeel

    Personeel

    Bedrijfsmiddelen

    Persoonsgegevens

    Cryptografie

    Fysieke

    Operationeel

    Communicatie

    Informatiesystemen

    Leveranciersrelatie