ISMS (Information Security Management System) Logs à caractère sécuritaire dans les applications du réseau de la Sécurité Sociale. Version control please always check if you re using the latest version Doc. Ref.(BCSS) : isms.026.logs Release Date Author s Reason for change 1.0 26/03/2004 2.0 2.1 2.2. 2.3. 3.0. 3.1. 3.2. 3.3 3.4. 4.1. 4.2. 4.3. 4.4. 5.0. 6.0. 26/05/2004 15/06/2004 18/06/2004 15/09/2004 09/11/2004 12/01/2005 17/01/2005 10/02/2005 16/02/2005 16/03/2005 13/04/2005 13/09/2005 03/11/2005 10/11/2005 01/06/2006 1O years 10 years Application conformity Application Interne Remarque : ce document reprend les remarques d'un groupe de travail auquel ont participé Madame Minnaert (INASTI), Messieurs Bouamor (CIMIRe), Costrop (SMALS-MvM), De Ronne (ONVA), Gossiaux (BCSS), Petit (FMP), Symons (ONEM), Van Cutsem (ONSS-APL), Van den Heuvel (BCSS), Van Der Goten (INAMI), Vertongen (ONSS) Ce document est la propriété de la Banque Carrefour de la sécurité sociale. La publication de ce document ne préjudicie nullement aux droits de la Banque Carrefour de la sécurité sociale à l'égard de ce document. Le contenu de ce document peut être diffusé librement à des fins non commerciales à condition de mentionner la source (Banque Carrefour de la sécurité sociale, http://www.bcss.fgov.be). La diffusion éventuelle à des fins commerciales doit faire l objet d une autorisation écrite préalable de la part de la Banque Carrefour de la sécurité sociale. P 1
1. Portée. Ce document s inscrit dans le cadre de la politique de sécurité du réseau de la Sécurité Sociale énoncée dans le document Information Security Management System approuvée par le Comité Général de Coordination de la Banque Carrefour de la Sécurité Sociale. Son objectif est de préciser les règles à suivre dans le cadre du respect : de la norme minimale édictée par le groupe de travail sécurité de l information qui énonce dans le chapitre intitulé Sécurisation logique de l accès l obligation que: Chaque institution de Sécurité Sociale connectée au réseau de la Banque Carrefour doit implémenter un système de logging pour les données à caractère personnel nécessaires à l application et à l exécution de la Sécurité Sociale, de l article 16 2.2et 4 de la loi relative à la protection des données à caractère personnel du 8 décembre 1992. Un log à caractère sécuritaire a pour finalité l enregistrement d informations permettant de contrôler le traitement exécuté sur une donnée à caractère personnel. 2. Champ d application. Cette politique s adresse aux institutions membres du réseau de la Sécurité Sociale dans le cadre du traitement des données à caractère personnel et au maître d oeuvre qui participe à la conception, au développement, à la mise en place d une application contenant des données à caractère personnel. 3. Responsabilités. La responsabilité de l organisation de la protection des données à caractère personnel incombe toujours à l institution propriétaire de l application traitant l information. Cette responsabilité s étend à la nécessité, par le propriétaire de l application, de veiller à la mise en place d un processus organisé en matière de log à caractère sécuritaire. Lorsqu il s agit d une application à responsabilité partagée, chaque institution partenaire est co-responsable pour la mise en place de ce processus organisé. Si des missions sont confiées à un tiers, il appartient au donneur d ordre de définir les responsabilités et les obligations en la matière dans le cadre d un Service Level Agreement ou par contrat. P 2
4. Organisation. L organisation du processus de log à caractère sécuritaire doit garantir une traçabilité des données à caractère personnel utilisées. Quel que soit le point d accès à l information ou la localisation des données consultées, les logs à caractère sécuritaire doivent pouvoir garantir une complétude dans la traçabilité des applications utilisées, des actes posés, des informations utilisées. Le système doit garantir la relation entre l utilisateur et les logs à caractère sécuritaire. Dans les applications, la saisie et l enregistrement de la requête dans les logs à caractère sécuritaire doivent être effectués avant la présentation des informations à l utlisateur. L organisation concerne également la prise en charge de l ensemble des tâches qui garantissent une gestion pérenne durant un minimum de 10 ans (1) de l ensemble des logs à caractère sécuritaire. Une attention particulière sera accordée à des aspects tels que: la collecte sécurisée, la conservation et l archivage dans un format et des supports utilisables et minimalisant tout risque d altération, l alerte en cas de détection d évènements majeurs, tel que l impossibilité de traçage, le contrôle de l intégrité des mécanismes mis en place, les procédures d exploitation. 5. Contenu des logs à caractère sécuritaire. La qualité d un log à caractère sécuritaire est de pouvoir répondre d une manière adéquate à la conjonction des informations (QUI, QUAND, QUOI, COMMENT), afin de justifier l usage d une autorisation. La pertinence du contenu des logs à caractère sécuritaire est toujours de la responsabilité du propriétaire de l application. Au minimum les informations suivantes doivent être enregistrées : La date et l heure de la transaction, l identification de l utilisateur, l identification de la transaction, l identification de l objet de la requête, la description de l opération exécutée (création, modification, consultation, recherche, liste, ) (1) D une durée de 10 ans ou aussi longue que nécessaire. P 3
6. Policy général Toute mise en production d une application pour les professionnels de la Sécurité Sociale est conditionnée par l activation d un processus organisé en matière de logs à caractère sécuritaire. 7. Exigences. 7.1. Vis-à-vis des institutions de la Sécurité Sociale. Dans le cadre du réseau Banque-carrefour de la sécurité sociale. L institution propriétaire d une application utilisant des données à caractère personnel découlant de l utilisation du réseau de la Banque-carrefour de la sécurité sociale doit veiller à la mise en place d un processus organisé en matière de logs à caractère sécuritaire. Par processus organisé, on entend : la conception du système de log, la définition de la pertinence du contenu telle que énoncée au chapitre 5 de la présente policy, le contrôle du respect du processus et du contenu des logs, l admininistration, la sauvegarde, l archivage et à la suppression après dépassement de la période de conservation des logs à caractère sécuritaire, la décision d intégrer les données de log au plan de continuité de l organisation, l accès contrôlé aux données logs. Il appartient à l institution propriétaire de l application de veiller à l organisation, à la prise et à la conservation de logs à d'autres niveaux que les logs à caractère sécuritaire tels que le moniteur transactionnel, l operating système, le système de gestion des autorisations, l administration et les mises à jour des bases de données. Il appartient à chaque institution du réseau d organiser des contrôles périodiques afin de s assurer du respect des règles énoncées pour ce qui la concerne. Il appartient à chaque institution du réseau de veiller : à l activation du processus de log à caractère sécuritaire dans tous les environnements de son système d information qui ne sont pas limités aux seuls techniciens ou aux équipes opérationnelles en charge du développement, de la maintenance, du support et de l exploitation des applications (exemple :l environnement d acceptation), lors de toute défaillance dans les mécanismes de création, de conservation, d archivage ou de suppression des logs à caractère sécuritaire d organiser un processus visant à informer par écrit le service de sécurité de l institution ou par défaut le service de sécurité de la Banque-Carrefour de la Sécurité Sociale et à proposer des solutions afin d y remédier, P 4
Tout utilisateur d une application du réseau de la Sécurité Sociale doit être informé de la prise de log à caractère sécuritaire et de leur finalité. Cette information doit être transmise à l utilisateur selon un processus organisé au sein de chaque institution partenaire du réseau de la Sécurité Sociale. Lorsqu il s agit d une application accessible via le Portail de la Sécurité Sociale, le règlement destiné aux utilisateurs devra décrire le mécanisme mis en place ainsi que sa finalité. En dehors du réseau de la Banque-carrefour de la sécurité sociale. Losqu il s agit d une application interne gérant des données appartenant à son organisation, il appartient à l institution de veiller à mettre tout en oeuvre pour garantir le respect de la loi relative à la protection des données à caractère personnel du 8 décembre 1992, particulièrement dans l application de son article 16 2.2, 3 et 4. 7.2. Vis-à-vis des utilisateurs, professionnels de la sécurité sociale. L utilisateur a l obligation de se conformer aux intructions et aux procédures en application au sein de son institution. 7.3. Vis-à-vis du maître d œuvre. Dans le cadre de la conduite d'un projet, le maître d'oeuvre est celui qui : organise la réalisation et la conçoit techniquement, coordonne la réalisation, contrôle le résultat, prépare l'exploitation. Le maître d œuvre doit solliciter l accord du propriétaire de l application sur les données pertinentes à conserver dans les fichiers logs. Lorsqu il s agit d une application à responsabilité partagée, le maître d oeuvre doit solliciter l accord de chaque institution partenaire et co-responsable. En accord avec le propriétaire de l application, le maître d œuvre est tenu d organiser et de conserver dans les fichiers logs les données pertinentes. Toute application concernée doit obligatoirement contenir dans sa documentation une liste des informations qui seront conservées dans les fichiers logs. La mise en place d un processus organisé en matière de logs à caractère sécuritaire ne dégage pas le maître d œuvre d autres responsabilités éventuelles qui lui sont confiées par le propriétaire de l application en matière de traçabilité complémentaire, notamment en ce qui concerne le moniteur transactionnel, le système d exploitation, le système de gestion des autorisations d accès, la gestion des incidents, l administration et les mises à jour des bases de données... P 5
7.4. Vis-à vis des techniciens ou des équipes opérationnelles en charge du développement, de la maintenance, du support et de l exploitation des applications. Dans le cadre de leurs missions ces collaborateurs doivent pouvoir accéder à des données à caractère personnel. Tenant compte des missions particulières confiées à ces acteurs essentiels de nos organisations, un code de bonne conduite des gestionnaires d information au sein du réseau de la Sécurité Sociale qui règle les différentes exigences de sécurités en la matière est publié. 7.5. Vis-à-vis des applications du Portail de la Sécurité Sociale Seul le service de base SecurityLog est qualifié comme service de base pour la génération des logs à caractère sécuritaire pour les systèmes hébergés en tout ou partie sur le Portail de la Sécurité Sociale. L utilisation de ce service de base est obligatoire. Toute demande d autorisation d utilisation d un processus alternatif au service de base SecurityLog doit faire l objet d une motivation et d une justification auprès du fonctionnaire dirigeant de la Banque-carrefour de la sécurité sociale. 8. Accès aux logs à caractère sécuritaire.. La consultation des logs à caractère sécuritaire est strictement limitée. L accès à cette consultation exige une authentification forte. En dehors des acteurs concernés par le chapitre 7.4 du présent règlement et sauf avis contraire de la personne chargée de la gestion journalière de l institution, seul le conseiller en sécurité de l institution ou son adjoint a accès aux données logs à caractère sécuritaire. Ces investigations sont réalisées à la demande explicite: du Comité sectoriel de la sécurité sociale, de la personne chargée de la gestion journalière de l institution de la Sécurité Sociale, du responsable des services d inspection dans le cadre des contrôles des missions des inspecteurs et contrôleurs sociaux, du conseiller en sécurité dans le cadre de contrôles ponctuels. L exploitation pour consultation des fichiers logs à caractère sécuritaire doit suivre un processus organisé par notamment : la mise à disposition de requêtes standard, un accès sécurisé à ces requêtes pour les seules personnes autorisées. Chaque institution doit veiller à conserver dans un format libre un historique des requêtes exécutées dans les fichiers logs à caractère sécuritaire. P 6
9. Maintenance, suivi et révision La maintenance, le suivi et la révision de cette POLICY est de la responsabilité du groupe de travail sécurité de l information. P 7