1 / 66

Veiligheidssessie

Veiligheidssessie. 2de semester 2013. Programmatorische Overheidsdienst Maatschappelijke Integratie,. PROGRAMMA. Voorstelling van de consulent Kort overzicht van de deontologische regels van de leden van de raad voor maatschappelijk welzijn

ondrea
Download Presentation

Veiligheidssessie

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Veiligheidssessie 2desemester 2013 Programmatorische Overheidsdienst Maatschappelijke Integratie,

  2. PROGRAMMA • Voorstelling van de consulent • Kort overzicht van de deontologische regels van de leden van de raad voor maatschappelijk welzijn • Verplichtingen die van kracht zijn in verband met de mailboxen van de leden van de raad voor maatschappelijk welzijn • Richtlijnen van de KSZ voor de clouds (nog niet officieel erkend door de veiligheidsgroep die hiervoor werd opgericht). • Windows 365: korte samenvatting. • Nieuwe methode voor het aanwijzen van de veiligheidsconsulent Programmatorische Overheidsdienst Maatschappelijke Integratie,

  3. Vragen of onderwerpen die moeten worden aangehaald Het is aan jullie!

  4. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 1 DE CONSULENTEN VOOR MAATSCHAPPELIJK WELZIJN WETEN NIET: • wat informatieveiligheid is; • wat een veiligheidsconsulent is; • wat zij moeten naleven om in orde te zijn met de minimumnormen. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  5. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT 2 Informatieveiligheid is: - de preventie en snelle en efficiënte herstelling van schade aan de sociale gegevens - en van de onwettige schendingen van het privéleven van de betrokkenen. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  6. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT3 De informatieveiligheidsdienst ziet toe op de naleving binnen de instelling van de veiligheidsvoorschriften opgelegd door of krachtens een wetsbepaling. KB 12/08/1993 Programmatorische Overheidsdienst Maatschappelijke Integratie,

  7. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT4 • De informatieveiligheidsdienstheefteen: • adviserende, • stimulerende, • documenterende, • controlerendetaak Programmatorische Overheidsdienst Maatschappelijke Integratie,

  8. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT5 De informatieveiligheidsdienst adviseert de verantwoordelijke voor het dagelijks bestuur (Secretaris) van zijn OCMW, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  9. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT6 Tenzij de risico’s niet voldoende ernstig zijn, wordt het advies schriftelijk en gemotiveerd uitgebracht. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  10. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT7 • Binnen de tijdspanne …. maximum drie maanden beslist de verantwoordelijke voor het dagelijks bestuur: • het advies al dan niet op te volgen en deelt hij de veiligheidsdienst de genomen beslissing mee. • in geval de beslissing van een schriftelijk advies afwijkt, dient de mededeling ervan op een schriftelijke en gemotiveerde wijze te geschieden. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  11. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT8 • De informatieveiligheidsdienst bevordert de naleving van de veiligheidsvoorschriften opgelegd door een bepaling ………en het aannemen van een veiligheidsgedrag bij de personen tewerkgesteld in het OCMW. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  12. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT9 • De informatieveiligheidsdienstlegt de nodigedocumentatieaan met betrekkingtot de informatieveiligheid. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  13. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT10 • De veiligheidsconsulentziettot op de naleving, binnenhetOCMW, van de veiligheidsvoorschriftenopgelegddooreenwetsbepaling … Allevastgesteldeinbreukenwordenschriftelijk en uitsluitendaan de verantwoordelijkevoorhetdagelijksbeheer van de instellingmeegedeeld, vergezeld van de nodigeadviezen om dergelijkeinbreuken in de toekomst te vermijden. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  14. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT11 • De veiligheidsconsulenten en hun eventuele adjuncten kunnen niet van deze functie worden ontheven wegens meningen die zij uiten of daden die zij stellen in het kader van de goede uitoefening van hun functie. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  15. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT12 • De informatidveiligheidsdienst werkt onder het rechtstreeks functioneel gezag van de verantwoordelijke voor het dagelijks bestuur van het OCMW. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  16. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT13 • Hij werkt nauw samen met de diensten waarin zijn tussenkomst is vereist of kan zijn, inzonderheid: • met de informaticadienst; • het CVGV. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  17. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT14 • De veiligheidsconsulentstelttenbehoeve van de verantwoordelijkevoorhetdagelijksbestuureenontwerp van veiligheidsplan op vooreentermijn van 3 jaar, met aanduiding van de middelen op jaarbasis die vereistzijn om het plan uit te voeren. Dit ontwerpwordtminstenseenmaal per jaarherzien en zonodigaangepast. Hetontwerp van veiligheidsplanwordtbeschouwdalseenadvies Programmatorische Overheidsdienst Maatschappelijke Integratie,

  18. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT15 • De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur van de instelling een jaarverslag op. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  19. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT16 • De vastgelegde opdrachten van de informatieveiligheidsdienst hebben ook betrekking op de bewaring, de verwerking of de uitwisseling van sociale gegevens van persoonlijke aard die voor rekening van het OCMW geschieden door derden (softwarehuizen, gemeentebestuur, enz.). Programmatorische Overheidsdienst Maatschappelijke Integratie,

  20. VOORSTELLING VAN DE VEILIGHEIDSCONSULENT17 Programmatorische Overheidsdienst Maatschappelijke Integratie,

  21. Korte samenvatting van de deontologische regels van de leden van de raad voor maatschappelijk welzijn • Het respect van het privéleven • A. Het geheim Binnen het OCMW is het respect van het beroepsgeheim een gebiedende sociale noodzaak. De verplichting tot het beroepsgeheim wordt eerst bevestigd door artikel 458 van het Strafwetboek, • Alle informatie die wordt ontvangen of vastgesteld bij de uitoefening van het beroep of van het mandaat valt onder het beroepsgeheim. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  22. Korte samenvatting van de deontologische regels van de leden van de raad voor maatschappelijk welzijn • De organieke OCMW-wet van 8 juli 1976 verduidelijkt bovendien dat: • de leden van de raad, alsmede alle andere personen, die krachtens de wet vergaderingen van de raad, het vast bureau en de bijzondere comités bijwonen, zijn tot geheimhouding verplicht (art. 36, al. 2); • deze bepalingen zijn mede van toepassing op de personeelsleden van het OCMW (art. 50). Programmatorische Overheidsdienst Maatschappelijke Integratie,

  23. Korte samenvatting van de deontologische regels van de leden van de raad voor maatschappelijk welzijn • Zo zijn, bij het OCMW, niet enkel de maatschappelijk werkers, maar alle personeelsleden (ook het ondersteunend personeel) en de mandaathouders tot geheimhouding verplicht. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  24. Korte samenvatting van de deontologische regels van de leden van de raad voor maatschappelijk welzijn • De leden van de raad en de personen die de vergadering mogen bijwonen mogen de inhoud van de besprekingen en deliberaties, de standpunten, opinies en stellingnames, noch de manier waarop de stemming verloopt, openbaar maken, zelfs niet aan de steunaanvragers. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  25. ADVIES • Eerst onderzoeken met uw Secretaris en Voorzitter: • het belang om te herinneren aan de regels, • De inhoud, • De manier (zeer didactisch, indien mogelijk, en zeer eenvoudig).

  26. VRAGEN

  27. Mogelijkheden voor de mailboxen van de leden van de raad voor maatschappelijk welzijn 1 Het Besluit v/d Vlaamse Regering betreffende de inwerkingtreding van diverse bepalingen van het decreet van 29 juni 2012 tot wijziging v/h decreet van 19 dec 2008 betreffende de organisatie van de OCMW’s…..en overeenkomstig Afdeling 7 Wijziging in titel VII v/h OCMW-decreet in Art. 60 3° “14° de wijze waarop de leden v/h OCMW in kennis worden gesteld van de notulen van de vergaderingen v/d raad van bestuur en het orgaan van dagelijks bestuur…. Deze worden, indien een lid van de raad v/h OCMW dit wenst, in elk geval electronisch ter beschikking gesteld.” Programmatorische Overheidsdienst Maatschappelijke Integratie, 27

  28. Mogelijkheden voor de mailboxen van de leden van de raad voor maatschappelijk welzijn 2 Om een oplossing te bieden aan de raadplegingen van de agenda op afstand, gegeven, enerzijds digitaal aanleveren van de informatie en anderzijds respecteren van de privacy van de klanten (Privacywet & Minimale Normen) dient een informatica oplossing te worden aangeboden die voldoet aan de Minimale Normen van de KSZ en de Privacywet. Programmatorische Overheidsdienst Maatschappelijke Integratie, 28

  29. Verplichtingen die van kracht zijn in verband met de mailboxen op het netwerk van de leden van de raad voor maatschappelijk welzijn • Alle apparaten (draagbare pc’s, tablets) die gebruikt worden voor het OCMW moeten eigendom zijn van het OCMW en moeten geconfigureerd en beveiligd worden volgens de KSZ-normen: • Geen administrator-rechten, • Controle van de veiligheid: • er moet bijgewerkte antimalware beschikbaar, • bijgewerkte (OS) systemen, Programmatorische Overheidsdienst Maatschappelijke Integratie,

  30. Verplichtingen die van kracht zijn in verband met de mailboxen op het netwerk van de leden van de raad voor maatschappelijk welzijn (in afwachting van akkoord UVCW) • firewall moet gecontroleerd worden op het moment van de verbinding en sluiting van de toegang in de firewall aan het einde van de verbinding, • scanning van het apparaat (tablet, PC) door de antivirus van het netwerk om de update van de antimalware te controleren en andere veiligheidsfunctionaliteiten. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  31. Verplichtingen die van kracht zijn in verband met de mailboxen op het netwerk van de leden van de raad voor maatschappelijk welzijn (in afwachting van akkoord UVCW) • De verbinding aan het netwerk van het OCMW moet gebeuren via een VPN-verbinding (zie het VPN-veiligheidsbeleid van de KSZ hieromtrent) en voor zover alle regels van het veiligheidsbeleid van de KSZ worden nageleefd. • Automatische afmelding van het apparaat nadat het 10 min. niet meer werd gebruikt. • De leden van de raad hebben enkel toegang tot de dossiers en gegevens die behandeld worden tijdens de betrokken zitting van de raad. Na de raad, mogen zij geen toegang meer hebben tot deze gegevens. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  32. Verplichtingen die van krachtzijn in verband met de mailboxen van de leden van de raadvoormaatschappelijkwelzijn (in afwachting van akkoord UVCW) • Er kan eventueel ook in een mailbox voorzien worden, maar enkel via VPN of via Publilink of Publiwin. • De mailbox en de toegang voor het OCMW moeten overeenkomstig de veiligheidsnormen van de KSZ zijn. • Het afdrukken en opslaan van de gegevens is verboden (deontologische code). • Er mogen nooit persoonlijke gegevens via mail verstuurd worden. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  33. Mogelijkheden voor de mailboxen van de leden van de raad voor maatschappelijk welzijn 3 Enkele oplossingen voorhanden die kunnen voldoen aan deze voorwaarden: Bvb. viaCiport van Cipal (soort thuiswerkmodule) aanmelden op een afgeschermde map met de notulen of via beperkte toegansrechten in inzage in het dossier online (v/d Cipal Software) met beperkte rechten voor de Raadsleden; Een tweede en misschien betere oplossing gaat  via een afgeschermde website & documentenstructuur  (zie voorbeeld OCMW Boom hieronder) waarin de leden van de Raad, of het BCSD of nog het Vast Comité (afhankelijk wat van toepassing is) toegang krijgen tot een afgeschermde website module met beschermde documenten – via een PDF image -.  Enkele voorbeelden: OCMW Boom, De Pinte, Nazareth, Ronse, enz.  Programmatorische Overheidsdienst Maatschappelijke Integratie, 33

  34. Mogelijkheden voor de mailboxen van de leden van de raad voor maatschappelijk welzijn 3 Als U gebruik maakt van een beveiligde documenten/website, dan kan men eenvoudigweg niet afprinten, opslaan of copiëren (i.p.v. de voorwaarde in punt 6 v/d VVSG zijnde “niet toegelaten”!) dan wordt er niet met een mailbox gewerkt (juist omdat er geen documenten kunnen doorgestuurd worden) dan heeft het geen zin om te werken met een toestel gekocht op kosten van het OCMW omdat men geen documenten en of virussen en of malware kan doorsturen naar het OCMW. Programmatorische Overheidsdienst Maatschappelijke Integratie, 34

  35. Mogelijkheden voor de mailboxen van de leden van de raad voor maatschappelijk welzijn 3 Programmatorische Overheidsdienst Maatschappelijke Integratie, 35

  36. Mogelijkheden voor de mailboxen van de leden van de raad voor maatschappelijk welzijn 3 Programmatorische Overheidsdienst Maatschappelijke Integratie, 36

  37. Mogelijkheden voor de mailboxen van de leden van de raad voor maatschappelijk welzijn 3 Programmatorische Overheidsdienst Maatschappelijke Integratie, 37

  38. VRAGEN

  39. Veiligheidsrichtlijnen in verband met de clouds: risico’s 1 • Het verlies van bestuurbaarheid over de behandeling. • Het verlies van auditeerbaarheid van de provider te wijten aan een gebrek aan beheer van de onderaannemers. • De technologische afhankelijkheid van het OCMW tegenover de leverancier van Cloud Computing = onmogelijkheid of moeilijkheid om van oplossing te veranderen (voor een andere leverancier of een interne oplossing) zonder gegevensverlies. Programmatorische Overheidsdienst Maatschappelijke Integratie,

  40. Veiligheidsrichtlijnen in verband met de clouds: risico’s2 Een lek bij het afzonderen van de gegevens, dat wil zeggen het risico dat de gegevens die op een (virtueel) systeem zijn gehost, niet meer afgezonderd zijn en gewijzigd kunnen worden of toegankelijk zijn voor niet-gemachtigde derden, naar aanleiding van een tekortkoming van de provider of een slecht beheer van de rol als hypervisor. Programmatorische Overheidsdienst Maatschappelijke Integratie, 40

  41. Veiligheidsrichtlijnen in verband met de clouds: risico’s3 De uitvoering van juridische vorderingen op basis van een buitenlands recht zonder overleg met de nationale instanties (voorbeeld: USA). http://usatoday30.usatoday.com/tech/news/story/2012-05-11/court-google-nsa-spy-china/54912902/1 http://webwereld.nl/beveiliging/78193-yahoo-krijgt-meer-datavorderingen-dan-google Programmatorische Overheidsdienst Maatschappelijke Integratie, 41

  42. Veiligheidsrichtlijnen in verband met de clouds: risico’s4 Google wil het aantal verzoeken van de NSA kunnen publiceren Woensdag 19 juni 2013 om 6.36 uur Programmatorische Overheidsdienst Maatschappelijke Integratie, 42

  43. Veiligheidsrichtlijnen in verband met de clouds: risico’s5 Een fout in de onderaannemingsketen, o.a. wanneer de leverancier zelf een beroep doet op derden om de dienst te leveren. Het niet-naleven van de regels van de instelling voor het bewaren en vernietigen van gegevens, o.a. door een ondoeltreffende of onbeveiligde vernietiging van de gegevens of een te lange bewaarduur. Programmatorische Overheidsdienst Maatschappelijke Integratie, 43

  44. Veiligheidsrichtlijnen in verband met de clouds: risico’s6 Problemen bij het beheren van de toegangsrechten. Onbeschikbaarheid van de provider = onbeschikbaarheid van de dienst zelf, maar ook van de toegangsmiddelen tot de dienst (in het bijzonder netwerkproblemen). De sluiting van de dienst van de leverancier of de onvrijwillige verandering van provider door een derde. De niet-overeenstemming, op reglementair vlak, onder meer met betrekking tot de internationale transfers (van data). Programmatorische Overheidsdienst Maatschappelijke Integratie, 44

  45. Veiligheidsrichtlijnen in verband met de clouds: risico’s7 Opmerkingen (1) Alvorens een beroep te doen op de Cloud Computing, moet het OCMW dat verantwoordelijk is voor de verwerking duidelijk de gegevens, de verwerkingen of de diensten identificeren die in de Cloud zouden kunnen worden gehost. Ze moet tevens de return on investment bepalen rekening houdende met de toepassing van de veiligheidseisen. Programmatorische Overheidsdienst Maatschappelijke Integratie, 45

  46. Veiligheidsrichtlijnen in verband met de clouds: risico’s 8 Opmerkingen (2) Wanneer een soort gegeven aan een specifieke reglementering is onderworpen, moet de verantwoordelijke instelling de minimale voorwaarden of de beperkingen bij de overmaking ervan vastleggen. De meerprijs voor de toepassing van de vermoedelijke evoluties, onder meer wat de veiligheidseisen betreft, zal moeten worden geëvalueerd en becijferd. Programmatorische Overheidsdienst Maatschappelijke Integratie, 46

  47. Veiligheidsrichtlijnen in verband met de clouds: risico’s9 Opmerkingen (3) De implementatiemodellen zijn de volgende: “Publiek” wanneer een dienst gedeeld wordt met veel klanten (gratis of betalend); “Privé” wanneer de Cloud gereserveerd is voor een klant of voor enkele klanten; “Gemeenschappelijk” wanneer de Cloud gedeeld wordt door klanten met dezelfde (wettelijke, …) eisen; “Hybride” wanneer een dienst gedeeltelijk in een openbare Cloud en gedeeltelijk in een publieke Cloud is ondergebracht. Programmatorische Overheidsdienst Maatschappelijke Integratie, 47

  48. Veiligheidsrichtlijnen in verband met de clouds: risico’s10 Opmerkingen (4) Noch de openbare, noch de hybride cloud voldoen momenteel aan de vereiste veiligheidsverplichtingen. Het is noodzakelijk om zijn eigen veiligheidstechnische en juridische eisten te bepalen. De bedoeling van de Cloud is immers om de instelling van bepaalde operationele taken te ontlasten. Daarom moet de instelling zich ervan vergewissen dat de provider minstens even hoge eisen stelt als hetgeen gevraagd wordt door het OCMW (bijvoorbeeld: cloud Adehis). Programmatorische Overheidsdienst Maatschappelijke Integratie, 48

  49. Veiligheidsrichtlijnen in verband met de clouds: risico’s 11 Hoe verder de cloud, hoe hoger het risico. Het OCMW moet er zich van vergewissen dat de gegevens wel degelijk bewaard worden in de cloud en niet elders (er zijn tools die het mogelijk maken om de opslag plaats na te gaan). Het is essentieel om een geschikte risicoanalyse uit te voeren om de gepaste veiligheidsmaatregelen te bepalen en meer bepaald die van de provider worden geëist. Programmatorische Overheidsdienst Maatschappelijke Integratie, 49

  50. Veiligheidsrichtlijnen in verband met de clouds: risico’s 12 Programmatorische Overheidsdienst Maatschappelijke Integratie, 50

More Related