Richtlijnen met betrekking tot de
Download
Report
Transcript Richtlijnen met betrekking tot de
Richtlijnen met betrekking tot de
informatieveiligheidsaspecten binnen het
continuïteitsplan
Information Security Guidelines
Versie: 1.00
22 september 2014
ISMS
(Information Security Management System)
Richtlijnen
met
betrekking
tot
informatieveiligheidsaspecten
binnen
continuïteitsplan
de
het
Version control – please always check if you are using the latest version. :
Doc. Ref. :isms.052.security aspects of the bcm policy.nl.v1.0
Release
Status
Date
Written by
NL_1.0
Final
20/09/2014
Alain Houbaille
Edited by
Approved by
Opmerking: In dit document werd er rekening gehouden met de opmerkingen van een werkgroep waaraan de
volgende personen hebben deelgenomen: de heren Houbaille (KSZ), Bochart (KSZ), Costrop (Smals), Petit (FBZ), Perot
(RSZ), Quewet (FOD Volksgezondheid), Symons (RVA), Van der Goten (RIZIV) en mevrouw Glorieux (FAMIFED).
Richtlijnen
met
betrekking
tot
informatieveiligheidsaspecten
binnen
continuïteitsplan
Information Security Guidelines
Versie: 1.00
de
het
22 september 2014
INHOUDSOPGAVE
1.
INLEIDING ........................................................................................................................................................... 3
2.
REIKWIJDTE ......................................................................................................................................................... 3
3.
DOELGROEP ........................................................................................................................................................ 3
4.
POLICY INZAKE HET BEDRIJFSCONTINUÏTEITSBEHEER ......................................................................................... 3
4.1.
4.2.
5.
DOELSTELLINGEN ..................................................................................................................................................... 3
DEFINITIES .............................................................................................................................................................. 3
INFORMATIEVEILIGHEID IN HET ICT-CONTINUÏTEITSBEHEER ............................................................................... 4
5.1. HET PROCES INZAKE CONTINUÏTEITSBEHEER ................................................................................................................... 4
5.2. RICHTLIJNEN I.V.M. HET ASPECT INFORMATIEVEILIGHEID IN HET BCP .................................................................................. 4
5.2.1.
Strategie inzake de continuïteit van de informatieveiligheid...................................................................... 4
5.2.2.
Ontwikkeling van de continuïteit van de informatieveiligheid.................................................................... 5
5.2.3.
Controle, herziening en evaluatie van de continuïteit van de informatieveiligheid .................................... 5
5.3. REDUNDANTIES ....................................................................................................................................................... 5
6.
DOCUMENTEIGENAAR ........................................................................................................................................ 6
7.
REFERENTIES ....................................................................................................................................................... 6
8.
BIJLAGE A: VERBAND MET DE ISO-NORM 27002 ................................................................................................. 6
p. 2
Richtlijnen
met
betrekking
tot
informatieveiligheidsaspecten
binnen
continuïteitsplan
Information Security Guidelines
Versie: 1.00
de
het
22 september 2014
1. Inleiding
Dit document maakt deel uit van het veiligheidsbeleid binnen de sociale zekerheid en hangt samen met
verschillende andere policies en procedures. Dit document sluit aan bij de minimale veiligheidsnorm paragraaf 17
in verband met continuïteitsbeheer.
In dit document worden de belangrijke aspecten van informatieveiligheid beschreven waarmee hoofdzakelijk op
het vlak van digitale informatieverwerking rekening moet worden gehouden bij het beheer van de
bedrijfscontinuïteit.
2. Reikwijdte
De huidige policy omvat de richtlijnen betreffende het beheer van de veiligheidsaspecten van een
bedrijfscontinuïteitsplan.
3. Doelgroep
Deze policy is in de eerste plaats bedoeld voor de verantwoordelijken voor het continuïteitsplan van de sociale
zekerheidsinstelling en voor de informatieveiligheidsconsulent.
4. Policy inzake het bedrijfscontinuïteitsbeheer
4.1. Doelstellingen
De policy inzake het beheer van het bedrijfscontinuïteitsplan heeft als voornaamste doelstellingen:
•
•
waarborgen dat alle componenten die noodzakelijk zijn voor het beheer van een continuïteitsplan
ingevoerd zijn in de instellingen van de sociale zekerheid, zodat ze gepast kunnen reageren in geval
van een ramp,
een coherente en gemeenschappelijke aanpak hanteren voor de verwezenlijking van een ICTcontinuïteitsplan.
4.2. Definities
•
•
•
RTO (Recovery Time Objective): hoogste toelaatbare duur van de onderbreking
RPO (Recovery Point Objective): maximaal toelaatbaar gegevensverlies
BCP: bedrijfscontinuïteitsplan
p. 3
Richtlijnen
met
betrekking
tot
informatieveiligheidsaspecten
binnen
continuïteitsplan
Information Security Guidelines
Versie: 1.00
de
het
22 september 2014
5. Informatieveiligheid in het ICT-continuïteitsbeheer
5.1. Het proces inzake continuïteitsbeheer
In het proces van bedrijfscontinuïteitsbeheer (business continuity management of BCM) worden de
bedreigingen voor een organisatie en haar entiteiten geïdentificeerd zodat de organisatie haar missie kan
blijven vervullen in geval van een ernstige gebeurtenis of een ramp. Bedrijfscontinuïteitsbeheer resulteert in het
opstellen, het actualiseren en, in geval van schade, het activeren van het bedrijfscontinuïteitsplan totdat de
normale toestand hersteld is. De organisatie kan zich baseren op de ISO-norm 22301 die de volgende
activiteiten omvat:
o
o
o
o
o
o
Het BCM-programma: deze fase legt de organisatiestructuur en de doelstellingen van het project
vast.
Het begrip van de organisatie: Door middel van een business impact- en risicoanalyse worden in
deze fase de gevolgen van een procesonderbreking voor de organisatie geëvalueerd en kunnen de
beschikbaarheidscriteria voor elk proces in de organisatie bepaald worden.
-> Veiligheidsdoelstelling: in deze analyse wordt rekening gehouden met de informatieveiligheid
Strategie van het bedrijfscontinuïteitsplan (Business Continuity Plan of BCP): Uitwerken van de
continuïteitsstrategie volgens de te bereiken doelstellingen
-> Veiligheidsdoelstelling: Definitie van de minimale veiligheidsnormen
Implementatie van het BCP: Opstellen van het continuïteitsplan
-> Veiligheidsdoelstelling: ervoor zorgen dat er rekening wordt gehouden met de
veiligheidsvereisten
Testen van het BCP: Door de plannen te testen kan geverifieerd worden dat de kritieke
bedrijfsactiviteiten hersteld kunnen worden binnen de vooropgestelde termijn
-> Veiligheidsdoelstelling: Nagaan of de veiligheidsvereisten operationeel zijn
Onderhoud en herziening van het BCP en opleiding van medewerkers in het kader van het BCP:
-> Veiligheidsdoelstelling : De BCP-documenten bijwerken
Het bedrijfscontinuïteitsplan impliceert het bestaan van een uniek document, bestaande uit vier stappen:
1
noodinterventies, crisis-, herstel - en hervattingsbeheer.
5.2. Richtlijnen inzake het aspect informatieveiligheid in het BCP
5.2.1.
•
•
•
Strategie inzake de continuïteit van de informatieveiligheid
De directie moet een kader bieden voor het vaststellen van de doelstellingen inzake de
bedrijfscontinuïteit; met inbegrip van de verbintenis om aan alle toepasselijke voorwaarden te voldoen,
om inherente verantwoordelijkheden toe te kennen en om tevens te werken aan de permanente
verbetering van het bedrijfscontinuïteitsplan.
Bedrijfscontinuïteit: is een interactief proces dat actief beheerd moet worden. Om te beginnen kan het
continuïteitsplan beheerd worden door middel van een aanpak voor projectbeheer. Dit plan moet
minstens één keer per jaar worden geactualiseerd.
Voor alle activa die als kritiek worden omschreven door de organisatie, moeten de
beschikbaarheidscriteria betreffende de hervatting van de activiteiten omschreven en gedocumenteerd
worden. De minimale beschikbaarheidscriteria zijn de volgende: RTO–RPO.
1
Herstelbeheer verwijst naar de herstelstrategieën voor informatiesystemen die de bedrijfscontinuïteit waarborgen
bij een verminderde beschikbaarheid.
p. 4
Richtlijnen
met
betrekking
tot
informatieveiligheidsaspecten
binnen
continuïteitsplan
Information Security Guidelines
Versie: 1.00
•
•
•
•
•
•
•
•
•
•
•
•
Ontwikkeling van de continuïteit van de informatieveiligheid
De organisatie verbindt zich ertoe om een permanent en formeel proces te implementeren voor het
beheer van de continuïteit van de informatieveiligheid, alsook de geschikte structuur om zich voor te
bereiden op een ongewenst voorval, het te beperken en erop te reageren.
In dit kader is er een incidentenbeheer operationeel in de organisatie (waar er rekening wordt gehouden
met veiligheidsincidenten).
Op basis van een bestaand continuïteitsplan of een business impactanalyse moet de organisatie het
toelaatbare veiligheidsniveau bij verminderde dienstverlening bepalen als ze haar activiteiten hervat na
een ramp.
Het vereiste minimale veiligheidsniveau bij verminderde dienstverlening wordt gedocumenteerd in de
continuïteitsplannen.
Er moet voor gezorgd worden dat de veiligheidsvereisten operationeel zijn in de back-up- en
herstelvoorzieningen.
5.2.3.
•
•
22 september 2014
Het is ook noodzakelijk om bij de start van elk nieuw toepassingsproject of elk project betreffende een
business service reeds de informatieveiligheidsvereisten te vermelden in de voorafgaande analyse, in het
bijzonder de beschikbaarheidscriteria.
De waardering en de behandeling van de veiligheidsrisico's van de informatiesystemen dragen bij tot de
uitwerking van deze plannen, onder meer door het kritieke karakter van de activiteiten en de
informatiesystemen, de residuele risico's en de te integreren veiligheidsmaatregelen te omschrijven. De
veiligheidsconsulent die integraal deel uitmaakt van het risicobeheerproces, moet samenwerken met de
in het continuïteitsplan aangestelde verantwoordelijke voor de uitwerking van continuïteitsplannen.
Bij haar impactanalyse moet de organisatie tevens elke kritieke activiteit identificeren en overwegen
waarin zij afhankelijk is van leveranciers en andere derden en ervoor zorgen dat het aspect
informatieveiligheid opgenomen is in hun respectievelijke BCP’s.
5.2.2.
•
de
het
Controle, herziening en evaluatie van de continuïteit van de informatieveiligheid
Er wordt een jaarlijks testplan bepaald en goedgekeurd door de directie.
De veiligheidsconsulent gaat na of er bij de voorgestelde tests rekening wordt gehouden met de
continuïteit van de informatieveiligheid.
De organisatie voert regelmatig evaluaties uit van haar procedures en capaciteiten inzake
bedrijfscontinuïteit en zorgt ervoor dat het vastgestelde veiligheidsniveau nageleefd wordt bij
verminderde dienstverlening.
Aangezien de plannen regelmatig herzien worden, moet dit in het begin van het jaar gepland worden,
zodat de plannen tegen een vastgelegde datum geconsolideerd zijn.
De organisatie moet erover waken dat de continuïteitsplannen gepubliceerd en verdeeld worden onder
de betrokkenen, zodat deze plannen beschikbaar zijn in geval van een incident waarbij hun uitvoering
vereist is.
Bij elke herziening van de continuïteitsplannen voorziet de organisatie een sensibiliseringssessie m.b.t de
aanpassingen voor de betrokken actoren.
De informatieveiligheidsconsulent ziet regelmatig de continuïteitsplannen die hem aanbelangen, na. Hij
analyseert de testresultaten om lacunes en incoherenties op te sporen. Indien nodig, stelt hij relevante
verbeteringen voor.
5.3. Redundanties
Op basis van een impact- of risicoanalyse heeft de organisatie de businessvereisten geïdentificeerd inzake de
beschikbaarheid van informatiesystemen:
p. 5
Richtlijnen
met
betrekking
tot
informatieveiligheidsaspecten
binnen
continuïteitsplan
Information Security Guidelines
Versie: 1.00
•
•
•
de
het
22 september 2014
Indien de beschikbaarheid van de informatiesystemen niet kan gegarandeerd worden met de bestaande
infrastructuur, moet redundantie van de componenten of de architectuur overwogen worden.
Wanneer het van toepassing is, moet de redundantie van de informatiesystemen regelmatig getest
worden om ervoor te zorgen dat de omschakeling van de ene component naar de andere naar behoren
functioneert.
De implementatie van de redundantie kan nieuwe risico's met zich meebrengen op het vlak van de
integriteit en de vertrouwelijkheid van de informatiesystemen; hiermee moet rekening worden gehouden
tijdens het ontwerp van deze redundantie.
6. Documenteigenaar
Het handhaven, het opvolgen en het herzien van de huidige policy behoort tot de verantwoordelijkheid van de dienst
Informatieveiligheid van de KSZ.
7. Referenties
De gebruikte referenties zijn:
- de minimale veiligheidsnormen 2011 van de KSZ
- de ISO-norm 27002:2013
8. Bijlage A: Verband met de ISO-norm 27002
Hierna wijzen we op de voornaamste clausules van de ISO-norm 27002 die standaard verband houden met het
onderwerp van de huidige policy.
ISO-norm 27002:2013
Veiligheidspolicy
Ja
Organisatie van de informatieveiligheid.
Ja
Veilig personeel
Beheer van bedrijfsmiddelen
Toegangsbeveiliging
Cryptografie
Fysieke beveiliging en beveiliging van de
omgeving
Beveiliging bedrijfsvoering
Communicatiebeveiliging
Acquisitie, onderhoud en ontwikkeling van
informatiesystemen
Leveranciersrelaties
Beheer van veiligheidsincidenten
Ja
Informatiebeveiligingsaspecten van
bedrijfscontinuïteitsbeheer
Ja
Naleving
p. 6
Richtlijnen
met
betrekking
tot
informatieveiligheidsaspecten
binnen
continuïteitsplan
Information Security Guidelines
Versie: 1.00
p. 7
de
het
22 september 2014