630 likes | 866 Vues
Informatie - veiligheidsbeleid binnen de CLB van het GO!. Wat moet een CLB medewerker weten?. Informatieveiligheidsbeleid. Wat is informatieveiligheid? Het charter In de praktijk. 28/09/2009. Verleijen Jacques. Informatiie veiligheidsbeleid.
E N D
Informatie-veiligheidsbeleidbinnen de CLB van het GO! Wat moet een CLB medewerker weten?
Informatieveiligheidsbeleid • Wat is informatieveiligheid? • Het charter • In de praktijk 28/09/2009 Verleijen Jacques Informatiie veiligheidsbeleid
Het GO! wil de nieuwe informatie- en communicatietechnologie toegankelijk en beschikbaar maken voor iedereen, met respect voor privacy, de specifieke wet- en regelgeving en conform haar pedagogisch project. Daarom moet de beschikbare informatie op een veilige manier behandeld worden. Informatieveiligheid is meer dan het implementeren van technische oplossingen; zij steunt vooral op het bewust maken van alle personeelsleden binnen het GO! zodat zij dit beleid begrijpen, steunen en toepassen. In die zin streeft het GO! naar een geïntegreerde systeemaanpak, met als resultaat dat de risico’s voor de confidentialiteit, de integriteit, authenticiteit en beschikbaarheid van de informatiebronnen en –systemen tot een minimum beperkt blijven. Het GO! zal zijn veiligheidsbeleid ontwikkelen in overeenstemming met de ISO27000 normen en de richtlijnen van de Vlaamse Gemeenschap. 1.Informatieveiligheidsbeleid Mission statement GO!
Wat we liefst niet in de pers zouden zien… Leerling vervalst punten in gegevensbank van school… Duizendenmedische gegevens van leerlingen gevonden op memorystick
Wat is informatieveiligheid? Het ontwerpen en implementeren van duidelijke regels, standaarden en procedures; die de kans op inbreuk op de authenticiteit, de integriteit, de confidentialiteit en de beschikbaarheid van informatiebronnen en informatiesystemen tot een minimum herleiden. • Confidentialiteit:enkel diegenen die recht hebben op de informatie moeten er toegang toe hebben • Integriteit:de informatie moet correct zijn, en moet beveiligd zijn tegen (on)vrijwillige wijzigingen of vernietiging • Authenticiteit: het moet ondubbelzinnig vaststaan van wie de informatie is(komt) • Beschikbaarheid: de informatie moet altijd kunnen gevonden en geraadpleegd worden.
Wat is het? Informatieveiligheid situeert zich op het snijvlak van: • het technische, • het juridische • het organisatorische. Er is dus geen ICT-focus, maar wel een focus waarin de ondersteuning van kritische bedrijfsprocessen centraal staat. De mens staat hier ook centraal: • Beroepsgeheim • Deontologie • Attitude om verantwoord om te gaan met informatiemiddelen !!! Is gekend bij een CLB medewerker
Informatieveiligheidsconsulent • Art.10 van de Rijksregisterwet vereist het aanstellen van een veiligheidsconsulent. • Vereisten: • Bekend zijn bij het CBPL • zijn/haar functie in alle onafhankelijkheid uitoefenen • De nodige opleiding gevolgd hebben • Beschikken over voldoende middelen om de functie uit te oefenen • Geen onverenigbare functies uitoefenen
De Informatieveiligheidsconsulent • Rol • Staat het management bij om een veiligheidsbeleid te implementeren binnen het GO! en de CLB’s van het GO! • Hij werkt een beschermingsbeleid uit, die goedgekeurd wordt door het management. • Zijn/haar functie in alle onafhankelijkheid vervullen • Taken • Uitwerken van een beleid • Informeren en adviseren • Stimuleren • Documenteren • Controleren en evalueren. • Organisatie • Onafhankelijke ondersteunende rol bij het management • Bijgestaan door lokale aanspreekpunten op lokaal vlak
Lokale aanspreekpunten • Waarom? • Ieder centrum heeft zijn eigen lokale eigenheden • Decentralisatie • Taken • Bewustmaking van personeel • Aanpassen van beleidslijnen aan de lokale situatie • Ondersteuning door IVC • Adviezen al dan niet ter plaatse • Centralisatie van incidenten
De informatieveiligheidsconsulent – Plaats binnen de CLB-GO!
Beschermingsbeleid uitwerken – essentiële elementen • Strategisch: visie rond beschermingsbeleid (waarom – wat - wie) • Tactisch: Specifieke projecten en maatregelen voor de organisatie (prioriteiten –hoeveel) • Operationeel: Procedures en richtlijnen (hoe)
Beschermingsbeleid uitwerken - Strategisch • Mission Statement GO! • Veiligheidsbeleidstekst GO! • Veiligheidsbeleidstekst CLB-GO! • Conform het ICT veiligheidsbeleid van de Vlaamse overheid • Allen gebaseerd op de ISO 27000 normen: • ISO 27001: vereisten – hoe implementeren (standaard) • ISO 27002: praktische gids – checklist
Beschermingsbeleid uitwerken • ISO 27001: Beschrijft het proces om een beleid in te voeren en te onderhouden • Stappenplan: • Engagement van het management (mission statement) • Scopebepaling (beleidstekst) • Toepassingsgebied bepalen (prioriteiten) • Riscico-analyse • Projectplan(nen) • Ontwikkelen en uitvoeren van beveiligingsplan • Documenteren, monitoren • Evaluatie en bijsturing
Beschermingsbeleid uitwerken • ISO 27002: Checklist met aandachtpunten (11 rubrieken en 133 controle-items) • Rubrieken • Veiligheidsbeleid • Veiligheidsorganisatie • Beheer van informatiemiddelen(classificatie, inventarisatie) • Veiligheidseisen ten aanzien van het personeel • Fysiek beveiliging van gebouwen en lokalen • Communicatie- en operationele processen(hoe omgaan met…) • Logische toegangsbeveiliging (wachtwoorden, netwerken,…) • Verwerving, ontwikkeling en onderhoud van systemen • Veiligheidsincidenten (registratie en afhandeling) • Continuïteitsbeheer (reageren op incidenten) • Naleving en controle (respecteren van wetten, eigen regels,…)
Informatieveiligheidsbeleid • Er is een veiligheidsbeleid • Een neergeschreven beleidsplan • Formeel goedgekeurd • Gecommuniceerd en verspreid binnen de organisatie • Procedure voor herziening • Beslissingsplatform • Er is een veiligheidsorganisatie • Veiligheidsconsulent of –dienst • Budget voor uitvoering • Tijd om de taken uit te voeren • Communicatiekanalen en overlegorganen • Beheer van bedrijfsmiddelen • Permanent bijgewerkte inventaris • Classificatiesysteem wat betreft de informatie • veiligheidsmiddelen
Informatieveiligheidsbeleid • Veiligheidseisen t.a.v. personeel • Opleiding en sensibilisering van personeel • Deontologische code of arbeidsreglement • Rollen en verantwoordelijkheden zijn duidelijk en formeel goedgekeurd • Fysieke beveiliging • Toegangsbeveiliging • Brandbeveiliging, inbraakdetectie,… • Back-up systemen, UPS,… • Communicatie en operationele processen (hoe omgaan met informatie) • Verantwoordelijkheden en bevoegdheden • Richtlijnen, procedures en instructies
Veiligheidsbeleid • Logische toegangsbeveiliging • Beheer van de toegang tot systemen voor zowel gebruikers als applicaties • Need to know, defaultdeny • Gebruik van wachtwoorden • Verwijderbare media en telewerk • netwerkbeveiliging • Verwerving, ontwikkeling en onderhoud van systemen • Veiligheidsvereisten t.a.v. nieuwe en bestaande systemen • Procedures voor implementatie van nieuwe systemen • Validatie en correcte verwerking van informatie (al dan niet met versleuteling • Logging voor alles wat persoonsgegevens betreft
Veiligheidsbeleid • Beheer van veiligheidsincidenten • Procedures voor preventie, opsporing en behandeling • Crisisorganisatie • Up to date systemen tegen virussen, malware • Continuïteitsbeheer • Analyse, strategie, planning en uitvoering van testen • Naleving en controle • Conformiteit met de wet • Interne en externe auditsystemen
Beschermingsbeleid uitwerken • Een organisatie kan niet alle veiligheidsproblemen ineens aanpakken: • Prioriteiten bepalen • Volgorde bepalen • Kosten/baten analyse • Dit moet bepaald worden door het management na een risico-analyse • Rekening houden met “quick-wins”
Mogelijke bedreigingen Evolueren mee met de technologie en kunnen zware gevolgen hebben voor de werking van een CLB, denken we aan: • Niet geautoriseerde toegang tot informatie • Niet geautoriseerd gebruik van informatie • Niet geautoriseerde vrijgave van informatie • Niet geautoriseerde verspreiding van informatie • Niet geautoriseerde wijziging van informatie • Niet geautoriseerde vernietiging van informatie • Niet geautoriseerd kopiëren van informatie • Niet beschikbaar zijn van informatie
Mogelijke actoren Data Technologie Mensen Processen
Technologie Data • Servers • Firewalls • VPN • Antivirus software • Gebruikersbeheer • … • Netwerkschijven (NAS,…) • Backup- en restoremogelijkheden • Encryptie • Toegangsbeheer • … Dit zijn taken voor ICT coördinatoren, de veiligheidsconsulent, en diverse projecten
Processen • Policy’s • Procedures • Richtlijnen • IKZ • …. Mensen = Bewustmaking
2. Charter “Verantwoord omgaan met informatie”
Historiek • 2008 - 2009: • Opmaken en goedkeuren beleidsverklaring CLB-GO! in verband met informatieveiligheid • Opstellen van enquête en checklist • Verwerking van de gegevens • 2009 - 2010 • Conclusies enquête meedelen aan RADI • Voorstellen project “bewustmaking” • Opstellen van het charter en bespreking binnen RADI • Goedkeuring door RADI • Onderhandeling met de representatieve vakbonden. • 2010 – 2011 • Implementatie in de centra
Doel van het charter • Bewustmaking van het personeel • Een aantal algemene richtlijnen en principes aangeven. • Deze principes kunnen in de toekomst geconcretiseerd worden: • Globaal: afspraken tussen centra (bv versturen van vertrouwelijke info via email) • Op centrumniveau: gebruik van wachtwoorden, internetgebruik, … • Formaliseren van “vanzelfsprekende” veronderstellingen Opbouw • Op basis van de 11 rubrieken van ISO 27002 • Een korte situering • Principes waaraan men zich dient te houden (zijn in het vet gedrukt in de tekst)
Het GO! wil de nieuwe informatie- en communicatietechnologie toegankelijk en beschikbaar maken voor iedereen, met respect voor privacy, de specifieke wet- en regelgeving en conform haar pedagogisch project. Daarom moet de beschikbare informatie op een veilige manier behandeld worden. Informatieveiligheid is meer dan het implementeren van technische oplossingen; zij steunt vooral op het bewust maken van alle personeelsleden binnen het GO! zodat zij dit beleid begrijpen, steunen en toepassen. In die zin streeft het GO! naar een geïntegreerde systeemaanpak, met als resultaat dat de risico’s voor de confidentialiteit, de integriteit, authenticiteit en beschikbaarheid van de informatiebronnen en –systemen tot een minimum beperkt blijven. Het GO! zal zijn veiligheidsbeleid ontwikkelen in overeenstemming met de ISO27000 normen en de richtlijnen van de Vlaamse Gemeenschap. In de praktijk… Aan de hand van de 11 ISO rubrieken
1. informatieveiligheidsbeleid • Mission Statement GO! • Zie vorige dia • Beleidsverklaring informatieveiligheid van de CLB –GO! • Oktober 2008 • Algemene principes • Staat op het extranet-POC: • Basis voor het charter • Informatieveiligheidsbeleid van het GO! • Goedgekeurd door de stuurgroep in augustus 2010 • Geldig voor alle geledingen van het GO! • Te vinden op GO! Plaza Je bent op de hoogte van het bestaan van deze teksten en je kan er naar verwijzen
2. Veiligheidsorganisatie • Informatieveiligheidsconsulent: • Implementatie veiligheidsbeleid • Adviezen aan RADI en directies • Stimuleren en documenteren • Evalueren • Lokaal aanspreekpunt • Sensibiliseren op lokaal niveau • Meldpunt voor lokale problemen • “Business Owner” • Eindverantwoordelijke van een informatiebron • Bepaald het veiligheidsbeleid voor deze bron, samen met de IVC. Je kent het lokaal aanspreekpunt van jouw centrum. Je kan steeds beroep doen op de IVC
3. Beheer en classificatie van informatie - Principes • Inventarisatie Elk informatiesysteem binnen het CLB is geïnventariseerd • Eigenaar van de informatie Elk informatiesysteem heeft een eigenaar De eigenaar beslist wie er toegang toe heeft en op welke manier • “Need to know” principe • Classificatie • Publiek • Weinig gevoelig • Zeer gevoelig • Uiterst gevoelig Kan wijzigen in tijd • Origineel – kopie (zie ook versiebeheer)
3. Beheer en classificatie van informatie - oefening Wie is eigenaar? wie heeft toegang? Wat is de classificatie van… • Personeelsdossier • Folder “bedplassen” • Leerlingdossier • Administrator wachtwoord van deserver • Personeelslijst van een school • Ontwerptekst nieuwe samenwerkingsovereenkomst Je respecteert de toegangsrechten, zoals bepaald door de eigenaar
4. Personeelsveiligheid - principes • Personeelsbeleid • Is opgenomen in de functieprofielen • Aandacht bij evaluatie- en functioneringsgesprekken • Verklaringen • Confidentialiteitsverklaring • Charter • Stagiairs/derden • Vorming en nascholing • Initiële vorming • Vorming voor directies • Aandacht op personeelsvergaderingen • Reageren op veiligheidsincidenten Verplicht te tekenen Meldt ieder incident aan uw aanspreekpunt
5. Fysieke veiligheid - principes • In samenwerking et de preventiedienst • Fysieke toegang - soorten lokalen: • Service lokalen • Niet publieke ruimtes • Publieke ruimtes • Onthaal • Diefstalpreventie Spreek niet begeleide bezoekers aan, als ze in niet publieke ruimtes zijn.
Lars staat open Zoek de fouten… Brief ligt op bureau Lade niet gesloten toegangsbadge wachtwoord Dossier ligt open Smartphone ligt voor het grijpen
6. Communicatie en operationele processen – Bewaren van informatie • Capaciteitsplanning Gebruik de opslagcapaciteit niet voor persoonlijk gebruik • Backups Volg de richtlijnen van uw ICT-verantwoordelijke
6. Communicatie en operationele processen – Malware • Bescherming tegen kwaadaardige software • Virussen • Spyware • Hacking • Phising • Botnets Bij twijfel contacteer uw ICT verantwoorderdelijke of de veiligheidsconsulent
6. Communicatie en operationele processen – Wijzigen van informatie – Beheer van informatie • Versiebeheer • Wie heeft wat en wanneer gewijzigd? • Nummeren Maak gebruik van het afgesproken versiebeheer • Documentenbeheer • Afspraken over het plaatsen van documenten op een server • Vermijden van meerdere bewaarplaatsen van eenzelfde document • Gemakkelijk om documenten op te zoeken Respecteer de afgesproken procedures
6. Communicatie en operationele processen – Vernietigen van informatie - Archiveren • Permanent en onherstelbare vernietiging • Bestanden wissen is niet voldoende • Opletten bij vervanging van PC’s • Fysiek vernietigen van CD’/ DVD’s en memorysticks • Archivering • Wettelijke verplichting Vraag raad indien je informatie wil vernietigen
6. Communicatie en operationele processen – Uitwisselen van informatie • Gebruik van memorysticks/CD’s • Zijn tijdelijke opslagmedia • Doorgeven van bestanden • presentaties, • … • Beveilig het bestand voor vertrouwelijke gegevens (ww of encryptie) Dit zijn geen backup-media !!!!! • Gebruik van laptops en andere draagbare apparatuur • Voorzichtig zijn bij vervoer: • Niet op een zichtbare plaats in de wagen • Niet onbeheerd achterlaten • Voorzichtig zijn met het gebruik in het openbaar • Encryptie Volg de richtlijnen van uw centrum
6. Communicatie en operationele processen – Uitwisselen van informatie - Email • Er is nood aan afspraken • Wat kan er behandeld worden via email • Wanneer sturen we iets door en hoe? • Het gebruik van CC en BCC • Gebruik van attachments of verwijzen we naar documenten • Hoe kunnen we een bericht authentificeren (digitale handtekening) • Bewaren en archiveren van mail • Doorsturen van vertrouwelijke informatie In afwachting van concrete richtlijnen: Verstuur geen vertrouwelijke informatie via email.
6. Communicatie en operationele processen – Internet en privacy Neen Mag een werkgever(directeur) uw mails en internetgedrag controleren? • Wet op de privacy • Nochtans is dit mogelijk indien er afspraken zijn gemaakt: • CAO81 (privé) • Ambtenaren van Vlaamse Gemeenschap • CLB’s na overleg met de vakbonden
6. Communicatie en operationele processen – Internet en privacy - Controle • Kan om 4 redenen: • Voorkomen van lasterlijke feiten of gedrag, bvb • Bewust zoeken naar gegevens van personen waar men geen toegang toe heeft • Die de waardigheid van personen aantasten • De goede zeden schaden of aanzetten tot discriminatie • Bescherming van de belangen van het GO! • Het waarborgen van de IT veiligheid • Hacken • Vrijwaren van bandbreedte( extreem downloaden, lifestream audio en video,…) • Nagaan of de afgesproken regels rond email en het gebruik van internet gevolgd worden • Enkel op voorwaarde dat dit besproken werd met het personeel (wat ,hoe, doel,…)
6. Communicatie en operationele processen – Internet en privacy - Controle • Bij controle • De directie verstrekt zowel collectief als individueel informatie • Respect voor de privacy • Sanctionering: • In de eerste drie gevallen kunnen direct individuele sanctie gegeven worden • In het vierde geval: eerst algemene matregelen, en na verdere overtredingen individuele sancties • Enkele tips: • Hou privé en beroepsmatige emails gescheiden • Stuur belangrijke zakelijke mails door naar een collega bij afwezigheid • Surf met verstand…
6. Communicatie en operationele processen – Gevaar voor Social engineering • Informatiesystemen hacken is niet alleen een technische bezigheid. • Hackers zijn uit op menselijke zwakheden • Ken de organisatie(cultuur), ken het personeel zo vind je de zwakke plekken • De verzameling van deze technieken wordt “social engineering” genoemd.