190 likes | 432 Views
Beveiliging van digitale informatie: enkele uitdagingen voor de overheid. Frank Robben Algemeen bestuurder Kruispuntbank Sociale Zekerheid Gedelegeerd bestuur Smals vzw Sint-Pieterssteenweg 375 B-1040 Brussel E-mail: Frank.Robben@ksz.fgov.be Website KSZ: www.ksz.fgov.be
E N D
Beveiliging van digitale informatie:enkele uitdagingen voor de overheid Frank Robben Algemeen bestuurder Kruispuntbank Sociale Zekerheid Gedelegeerd bestuur Smals vzw Sint-Pieterssteenweg 375 B-1040 Brussel E-mail: Frank.Robben@ksz.fgov.be Website KSZ: www.ksz.fgov.be Persoonlijke website: www.law.kuleuven.ac.be/icri/frobben Kruispuntbank Sociale Zekerheid
Viervoudige rol van de overheid • instelling van de gepaste organen • uitwerken van regelgeving inzake de digitale beveiliging van informatie • aanbieden van componenten en diensten ter ondersteuning van de beveiliging van digitale informatie • degelijke beveiliging van de digitale informatie verwerkt binnen de overheid
Instelling van gepaste organen • overheidsorganen zijn nodig voor • de bepaling van een overkoepelende strategie inzake de beveiliging van digitale informatie • de gecoördineerde uitwerking van relevante regelgeving • het voeren van een preventiebeleid • het gecoördineerd beheer van bepaalde ernstige incidenten inzake veiligheid van digitale informatie • adviesverstrekking • de behandeling van klachten • de machtiging van uitwisseling van persoonsgegevens tussen de overheidsdiensten • de vaststelling en vervolging van strafbare inbreuken op de regelgeving
Instelling van gepaste organen • er bestaan reeds talrijke overheidsorganen met taken inzake beveiliging van digitale informatie zoals • de Nationale Veiligheidsoverheid (NVO) • het Coördinatie-orgaan voor de Analyse van de Dreiging (OCAD) • het Overlegplatform voor Informatieveiligheid • Belnet • het Belgisch Instituut voor Postdiensten en Telecommunicatie (BIPT) • het Crisiscentrum van de FOD Binnenlandse Zaken • de Federal Computer Crime Unit (FCCU) van de federale politie • de FOD Economie • de FOD Informatie- en Communicatietechnologie • de Kruispuntbank van de Sociale Zekerheid (KSZ) en de erkende gespecialiseerde informatieveiligheidsdienst bij Smals vzw • de Commissie voor de Bescherming van de Persoonlijke Levenssfeer
Instelling van gepaste organen • er is nood aan • een duidelijke afbakening van de taken tussen de onderscheiden organen • een afdoende betrokkenheid van de relevante actoren bij de werking van de organen • een degelijke onderlinge coördinatie tussen de onderscheiden organen • voldoende middelen voor de onderscheiden organen, gebaseerd op een zero-based budgeting benadering • een werking van alle organen op basis van risico-analyse, zodat een goed evenwicht ontstaat tussen beveiliging en efficiëntie
Regelgeving inzake beveiliging vandigitale informatie • afstemming op inter- of supranationale regelgeving • onderling coherent, vertrekkend van globale visie op beveiliging van digitale informatie • technologieneutraal, met vooral doelstellingen en basisprincipes • aanvulbaar op bepaalde vlakken met gecontroleerde zelfregulering • themata • bescherming persoonlijke levenssfeer • classificatie van informatie • evaluatie, certificatie en homologatie van informatiesystemen • geheim van communicaties • computercriminaliteit • elektronische handtekening • deontologische regels voor beroepen inzake informatieveiligheid • …
Aanbod van ondersteunendecomponenten en diensten • bijvoorbeeld • organisatie van evaluatie, certificatie en homologatie van informatiesystemen • Computer Security Information Response Team (CSIRT) • basiscomponenten en -diensten voor degelijke, gedistribueerde organisatie van gebruikers- en toegangsbeheer • registratie van de identiteit • identificatie • authenticatie van de identiteit • registratie van bepaalde kenmerken en mandaten • verificatie van bepaalde hoedanigheden en mandaten
Gebruikers- en toegangsbeheer • registratie van de identiteit • natuurlijke personen: gemeenten • ondernemingen: ondernemingsloketten • identificatie: uniek identificatienummer voor elke entiteit • natuurlijke personen: rijksregister- of (subsidiair) KSZ-nummer (samen identificatienummer sociale zekerheid (INSZ) genoemd) • ondernemingen: ondernemings- en vestigingsnummer • authenticatie van de identiteit van een natuurlijk persoon: in functie van het vereiste beveiligingsniveau • elektronische identiteitskaart • gebruikersnummer, paswoord en burgertoken • gebruikersnummer en paswoord
Gebruikers- en toegangsbeheer • registratie van bepaalde hoedanigheden en mandaten door daartoe goed uitgeruste overheidsdiensten, bijvoorbeeld • hoedanigheid van gezondheidszorgverstrekker door de FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu en het RIZIV in onderlinge samenwerking • mandaat om een onderneming te vertegenwoordigen door de RSZ en de ondernemingsloketten in onderlinge samenwerking • verificatie van hoedanigheden en mandaten: toegang tot gevalideerde authentieke bronnen • autorisatie tot gebruik van een toepassing: beheer door aanbieder van de toepassing • uitgebouwd via een generiek policy enforcement model
Policy Enforcement Model Actie op Actie toepassing op Policy GEWEIGERD toepassing Gebruiker Toepassing Toepassing TOEGESTAAN ( PEP ) Actie op toepassing Beslissings Beslissings aanvraag antwoord Informatie Vraag / Policy Ophalen Antwoord Policies Beslissing ( PDP ) Informatie Vraag / Antwoord Autorisatie Policy Administratie Policy Informatie Policy Informatie beheer ( PAP ) ( PIP ) ( PIP ) Beheerder Authentieke bron Authentieke bron Policy repository
Implementatie over sectoren heen Niet-sociale FOD’s (Fedict) Be-Health Sociale sector (KSZ) USER USER USER APPLICATIONS APPLICATIONS APPLICATIONS Authen - Authorisation Authen - Authorisation Authen - Authorisation tication tication tication PEP PEP PEP WebApp WebApp WebApp Role Role Role XYZ XYZ XYZ Mapper Mapper Mapper Role Role Role Mapper Mapper Mapper DB DB DB PDP Role PAP PDP PDP Role Role PAP PAP Provider Role Provider Provider ‘’Kephas’’ Role Role ‘’Kephas’’ ‘’Kephas’’ DB Provider DB DB Provider Provider PIP PIP PIP PIP PIP PIP PIP PIP PIP Attribute Attribute Attribute Attribute Attribute Attribute Attribute Attribute Attribute Provider Provider Provider Provider Provider Provider Provider Provider Provider Beheer Beheer DB DB Beheer Gerechts- deurwaar- ders DB DB DB DB DB RIZIV UMAF XYZ XYZ Mandaten XYZ GAB Mandaten XYZ GAB GAB
Beveiliging van (digitale) overheidsinformatie • via stapsgewijze verfijning wordt geleidelijk aan een overheids-instelling-overkoepelend informatieveiligheidsbeleid uitgewerkt op basis van risico-analyse en internationale standaarden, zoals de ISO-normenreeks 27000 • de veiligheid, de integriteit, de vertrouwelijkheid en de beschikbaarheid van de verwerkte informatie wordt gewaarborgd door een geïntegreerd geheel van maatregelen die het informatie-veiligheidsbeleid uitvoering geven • structurele • institutionele • organisatorische • ICT-technische • fysieke • personeelsgebonden
Beveiliging van (digitale) overheidsinformatie • persoonsgegevens worden enkel gebruikt voor doeleinden die verenigbaar zijn met de doeleinden waarvoor ze zijn ingezameld • persoonsgegevens zijn slechts toegankelijk voor daartoe gemachtigde gebruikers in functie van de bedrijfsbehoeften, de regelgeving of de toepassing van het beleid • persoonsgegevens worden niet centraal opgeslagen, maar volgens een afgesproken taakverdeling gedistribueerd bewaard in authentieke bronnen • de machtiging voor de toegang tot persoonsgegevens wordt, buiten de gevallen waarin ze wettelijk is toegestaan, verleend door een door het Parlement benoemd sectoraal comité van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer, nadat is vastgesteld dat aan de hoger vermelde voorwaarden is voldaan • de toegangsmachtigingen zijn publiek
Beveiliging van (digitale) overheidsinformatie • elke concrete elektronische uitwisseling van persoonsgegevens wordt preventief getoetst op conformiteit met de geldende toegangsmachtigingen door een onafhankelijke “trusted third party”, zijnde een andere instantie dan degene die de informatie ter beschikking stelt of de informatie nodig heeft, die daartoe de wettelijke opdracht heeft gekregen (bvb. de KSZ) • elke elektronische uitwisseling van persoonsgegevens wordt door de “trusted third party” gelogd om eventueel oneigenlijk gebruik ex post te kunnen traceren • telkens de informatie wordt gebruikt voor een beslissing wordt aan de betrokkene de gebruikte informatie meegedeeld bij de mededeling van de beslissing • elke persoon heeft recht op toegang en, in geval de gegevens onjuist zijn, op verbetering van zijn eigen persoonsgegevens
Beveiliging van (digitale) overheidsinformatie • bij elke overheidsinstelling die informatie (elektronisch) verwerkt wordt een interne informatieveiligheidsdienst ingericht met een adviserende, stimulerende, documenterende en intern controlerende functie • de interne informatieveiligheidsdienst werkt een ontwerp van informatieveiligheidsplan en –budget uit, dat door het bevoegde beslissingsorgaan van de overheidsinstelling wordt goedgekeurd, en stelt ten behoeve van dat beslissingsorgaan een jaarlijks informatieveiligheidsrapport op • de verantwoordelijken voor de interne informatieveiligheidsdiensten werken samen in een werkgroep Informatieveiligheid met het oog op de nodige coördinatie op het vlak van • het vastleggen van het informatieveiligheidsbeleid • het uitvoeren van het informatieveiligheidsbeleid • het voorstellen van minimale normen inzake informatieveiligheid
Beveiliging van (digitale) overheidsinformatie • de minimale normen inzake informatieveiligheid worden goedgekeurd door (het bevoegde sectorale comité van) de Commissie voor de Bescherming van de Persoonlijke Levenssfeer • alle overheidsinstellingen worden jaarlijks bevraagd over de naleving van de minimale normen; bij niet-naleving worden gerichte verbeteringsmaatregelen afgesproken of opgelegd • de interne informatieveiligheidsdiensten worden bij hun werking ondersteund door een gespecialiseerde informatieveiligheidsdienst, die voldoet aan bepaalde erkenningsvoorwaarden inzake deskundigheid, onafhankelijkheid en werking aan kostprijs; de erkenning wordt verstrekt door de Regering op advies van (het bevoegde sectorale comité van) de Commissie voor de Bescherming van de Persoonlijke Levenssfeer
Beveiliging van (digitale) overheidsinformatie • de minimale veiligheidsnormen hebben betrekking op • risico-analyse en –beheer • informatieveiligheidspolicies • beheer en organisatie van de informatieveiligheid • inventarisering en classificatie van informatie • human resources veiligheid • fysieke beveiliging en beveiliging van de omgeving • beheer van dienstverlenende en communicatieprocessen • verwerking van persoonsgegevens • gebruikers- en toegangscontrole • verwerving, ontwikkeling en onderhoud van informatiesystemen • beheer van informatieveiligheidsincidenten • beschikbaarheids- en continuïteitsbeheer • compliance: interne en externe controle • communicatie van het beleid en de maatregelen inzake informatieveiligheid naar de stakeholders
Meer informatie • website Commissie voor de Bescherming van de Persoonlijke Levenssfeer • http://www.privacycommission.be/ • website Kruispuntbank van de Sociale Zekerheid • http://www.ksz.fgov.be • website Federale Overheidsdienst Informatie- en Communicatie-technologie (Fedict) • http://www.fedict.be • website Smals vzw (erkende gespecialiseerde informatieveiligheids-dienst) • http://www.smals.be • persoonlijke website van Frank Robben • http://www.law.kuleuven.ac.be/icri/frobben
D@nk u !Vragen ? Kruispuntbank Sociale Zekerheid Brussel, 10 december 2007