Document toolboxDocument toolbox

1.3.5.3. Relatie tussen maatregelen en informatieveiligheid

Deze pagina geeft een globaal overzicht van de maatregelen en  van het beoogde doel in verband met informatieveiligheid.

Voor alle doelstellingen in onderstaande tabel geldt dat de van toepassing zijnde maatregelen worden gedefinieerd, geïmplementeerd, uitgevoerd en gemonitord op effectiviteit. De uitvoering van bepaalde operationele activiteiten kunnen uitbesteed zijn aan externe dienstenleveranciers. Hier geldt dat de entiteit aansprakelijk blijft en er zorg voor dient te dragen dat er duidelijke afspraken zijn gemaakt met dienstenleveranciers betreffende informatieveiligheid en dat de entiteit toezicht uitoefent op deze leveranciers. Een dienstenleverancier is niet altijd een externe partij van buiten de Vo, maar kan ook een interne dienstverlener zijn, zoals Digitaal Vlaanderen is voor andere Vo entiteiten.

Onderwerp 

Doelstellingen 

Informatieveiligheidsbeleid 

Het verschaffen van directieaansturing van, en -steun voor, informatieveiligheid in overeenstemming met bedrijfseisen en relevante wet- en regelgeving. Dit omvat o.a. de opvolging en vertaling van het Vo-brede beleid (Informatieclassificatieraamwerk level 2) in concreet informatieveiligheidsbeleid op entiteitsniveau (level 3 en 4). Het volgende Vo organisatiedocument beschrijft de verschillende levels. 

Referentie:
1.2. Al wat je moet weten over informatieveiligheid (in het kader van ICR)
en 1.3.4. Basis van het ICR

Organisatie van informatieveiligheid 

Opzetten van een kader om de implementatie en uitvoering van informatieveiligheid binnen de entiteit te initiëren en te beheersen. Dit omvat o.a. het definiëren van de governance en rollen en verantwoordelijkheden voor informatieveiligheid binnen de entiteit. 

Veilig personeel 

Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en uitvoeren in relatie tot informatieveiligheid. Dit omvat o.a. screening, vertrouwelijkheidsclausule in contracten, bewustzijn campagnes, training en een disciplinaire procedure. 

Beheer van bedrijfsmiddelen en informatie 

Bedrijfsmiddelen van de organisatie identificeren, classificeren en beheren in lijn met het ICR. Dit omvat o.a. inventarisatie van de assets, vaststellen eigenaarschap, definiëren van aanvaardbaar gebruik, classificatie, labelen, veilige opslag en vernietiging van informatie. 

Toegangscontrole van informatie 

Toegang tot informatie en informatie verwerkende faciliteiten beperken tot alleen bevoegde gebruikers. Dit omvat o.a. voor iedere applicatie duidelijk beleid en eigenaarschap van toezicht op de toegang, een registratieproces, beheer van speciale rechten, veilige distributie van authenticatie-informatie, regelmatige beoordeling van rechten en veilige inlogprocedures. 

Verschillende activiteiten van toegangsbeheer kunnen uitbesteed zijn aan externe leveranciers of maken gebruik van centrale authenticatiediensten. De eigenaar binnen de Vo entiteit blijft echter verantwoordelijk voor het regelmatig beoordelen van de toegangslijst met actieve gebruikers van de applicatie(s) van de entiteit. 

Referentie: 4.8. Minimale maatregelen - Toegangsbeheer

Referentie:
5.1. Minimale maatregelen - Identity en Access Management (IAM)

Referentie:
5.4. Minimale maatregelen - Priviliged Access Management (PAM)

Versleuteling van informatie 

Het zorgen voor correct en doeltreffend gebruik van versleuteling om de vertrouwelijkheid, authenticiteit en integriteit van informatie te beschermen. Dit omvat o.a. cryptografisch beleid en sleutelbeheer in samenwerking met architectuurstandaarden en IT-afdeling(en). 

Referentie: 3.1. Minimale maatregelen - Cryptografie  

Fysieke beveiliging 

Het voorkomen van verlies, schade, diefstal, onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatie verwerkende faciliteiten van de entiteit. Dit omvat o.a. fysieke beveiligingsmaatregelen en toegangscontrole, speciale zones, clear desk beleid, bekabeling en bescherming van apparatuur binnen en buiten kantoren of bedrijfsterreinen. 

Referentie: 6.1. Minimale maatregelen - Fysische maatregelen  

Operationele beveiliging en communicatiebeveiliging 

Het waarborgen van correcte en veilige bediening van informatieverwerkende faciliteiten. Dit omvat verantwoordelijkheden zoals wijzigingsbeheer, capaciteitsbeheer, scheiding van test en productiesystemen, backups, maatregelen tegen malware en softwarekwetsbaarheden, logging, et cetera. 

Het waarborgen van de bescherming van informatie in netwerken en het handhaven van de beveiliging van informatie die wordt uitgewisseld. Dit omvat o.a. beheersmaatregelen voor netwerken zoals firewalls, inspectie van verkeer, veilige routeringsoplossingen, scheiding in netwerken en het versleutelen van elektronische berichtenverkeer. 

De uitvoering van operationele activiteiten kunnen uitbesteed zijn aan externe dienstenleveranciers. De entiteit blijft aansprakelijk voor de informatie en dient ervoor te zorgen dat er duidelijke afspraken zijn gemaakt met de externe partij betreffende informatieveiligheid. Daarnaast kunnen er transversale gestandaardiseerde beheerprocessen zijn waarmee applicaties op dezelfde uniforme manier beheerd worden. 

Referentie:
4.1. Minimale maatregelen - Asset- en configuratiebeheer

Referentie: 4.4. Minimale maatregelen - Beheer van wijzigingen  

Referentie: 3.3. Minimale maatregelen - Netwerken  

Veilige ontwikkeling van informatiesystemen 

Het waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de gehele levenscyclus en het bewerkstelligen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de ontwikkelingslevenscyclus (projecten) van informatiesystemen. Dit omvat o.a. opstellen van beveiligingseisen, beleid voor veilige softwareontwikkeling en ontwikkelomgeving, procedures voor wijzigingsbeheer en releases, systeemtesten, acceptatietesten en de bescherming van testgegevens. 

Referentie:
5.3. Minimale maatregelen - ontwikkeling en gebruik van toepassingen  

Referentie:
4.7. Minimale maatregelen - Release- en deploymentbeheer  

Referentie:5.6. Minimale maatregelen - Veiligheidtesten  

Veiligheidsafspraken met leveranciers 

Het waarborgen van de bescherming van bedrijfsmiddelen van de entiteit die toegankelijk zijn voor leveranciers en het handhaven van de overeengekomen informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten. Dit omvat o.a. inbedding van eisen in contracten, inzicht in de leveranciersketen, monitoren en beoordelen van de beveiligingsaspecten van de dienstverlening en het beheer van veranderingen in de externe dienstverlening. 

Informatieveiligheidsincidenten 

Het bewerkstelligen van een consistente en doeltreffende aanpak van het beheer van informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke plekken in de beveiliging. Dit omvat o.a. de beschrijving van rollen en verantwoordelijkheden, rapportering van gebeurtenissen en zwakke plekken, beoordeling en besluitvorming over gebeurtenissen, response op incidenten, lering trekken uit incidenten en het verzamelen van bewijsmateriaal. 

Referentie: 4.3. Minimale maatregelen - Beheer gebeurtenissen  

Referentie:4.5. Minimale maatregelen - Incidentbeheer  

Referentie: https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6375964724  

Bedrijfscontinuïteit 

De inbedding van continuïteit in de systemen van de entiteit en het bewerkstelligen van beschikbaarheid van informatieverwerkende faciliteiten. Dit omvat o.a. continuiteits- en disaster recovery plannen, high-availability oplossingen, het testen van de plannen en het evalueren en bijsturen van de plannen. 

Naleving van informatieveiligheidsbeleid 

Het voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen betreffende informatiebeveiliging en beveiligingseisen die van toepassing zijn op de entiteit. Dit omvat o.a. het identificeren van toepasselijke wetgeving en contractuele eisen, intellectuele-eigendomsrechten, beschermen van registraties, bescherming van persoonsgegevens en privacy en voorschriften voor gebruik van cryptografie (i.v.m. mogelijke juridische beperkingen). 

Ten slotte, het verzekeren dat informatiebeveiliging wordt geïmplementeerd en uitgevoerd in overeenstemming met het beleid van de Vlaamse overheid zoals vastgelegd in het Informatieclassificatieraamwerk.