Alle invalshoeken: verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
k (aanpassing niveau koppen en tekstuele aanpassing)
k (titel toegevoegd)
 
(3 tussenliggende versies door dezelfde gebruiker niet weergegeven)
Regel 3: Regel 3:
__TOC__
__TOC__
</includeonly>
</includeonly>
De [[ISOR (Information Security Object Repository)]] bevat [[Alle normenkaders|normenkaders]] waarin [[Beveiligingsprincipes|beveiligingsprincipes]] of [[privacyprincipes|privacyprincipes]] en onderliggende normen zijn beschreven. Deze zijn conform de [[SIVA-methode|SIVA-methodiek]] ingedeeld naar [[Beveiligingsaspect Beleid|Beleid]], [[Beveiligingsaspect Uitvoering|Uitvoering]] of [[Beveiligingsaspect Control|Control]] en geordend naar één van de volgende invalshoeken: [[IFGS Intentie|Intentie]], [[IFGS Functie|Functie]], [[IFGS Gedrag|Gedrag]] of [[IFGS Structuur|Structuur]]. Vanuit elke invalshoek wordt een specifieke verzameling objecten  geïdentificeerd.
De [[ISOR (Information Security Object Repository)]] bevat [[Alle normenkaders|normenkaders]] waarin [[Beveiligingsprincipes|beveiligingsprincipes]] of [[privacyprincipes|privacyprincipes]] en onderliggende [[Alle normen|normen]] zijn beschreven. Deze zijn conform de [[SIVA-methode|SIVA-methodiek]] ingedeeld naar [[Beveiligingsaspect Beleid|Beleid]], [[Beveiligingsaspect Uitvoering|Uitvoering]] of [[Beveiligingsaspect Control|Control]] en geordend naar één van de volgende invalshoeken: [[IFGS Intentie|Intentie]], [[IFGS Functie|Functie]], [[IFGS Gedrag|Gedrag]] of [[IFGS Structuur|Structuur]]. Vanuit elke invalshoek wordt een specifieke verzameling objecten  geïdentificeerd.


==Relaties tussen invalshoeken==
<imagemap>
<imagemap>
Bestand:Relaties_IFGS.png|Afbeelding onderlinge relaties Intentie, Functie, Gedrag en Structuur|alt=relaties tussen Intentie, Functie, Gedrag en Structuur zoals ook in de tekst is aangegeven.|300px
Bestand:Relaties_IFGS.png|Afbeelding onderlinge relaties Intentie, Functie, Gedrag en Structuur|alt=relaties tussen Intentie, Functie, Gedrag en Structuur zoals ook in de tekst is aangegeven.|300px
Regel 21: Regel 22:
* 'Gedrag' effectueert 'Functie'  en wordt geëffectueerd door 'Structuur'.
* 'Gedrag' effectueert 'Functie'  en wordt geëffectueerd door 'Structuur'.
* 'Structuur' effectueert 'Gedrag'.
* 'Structuur' effectueert 'Gedrag'.


==Uitleg invalshoeken==
==Uitleg invalshoeken==
Regel 27: Regel 27:


===Intentie===
===Intentie===
Het waarom-aspect, ofwel de bestaansreden van een organisatie.
Het waarom-aspect, ofwel de bestaansreden van een organisatie. Voorbeelden hiervan zijn: organisatie, visie, doelstellingen, wetten en beleid, stakeholders en middelen.
Voorbeelden: organisatie, visie, doelstellingen, wetten en beleid, stakeholders en middelen.


===Functie===
===Functie===
Het wat-aspect, ofwel de organisatorische en technologische elementen die de intenties van de organisatie moeten realiseren.
Het wat-aspect, ofwel de organisatorische en technologische elementen die de intenties van de organisatie moeten realiseren. Voorbeelden hiervan zijn: organisatorische en technische functies, processen, taken en taakvereisten.
Voorbeelden: organisatorische en technische functies, processen, taken en taakvereisten.


===Gedrag===
===Gedrag===
Het hoe-aspect (gedragsaspect), ofwel de menselijke en technische resources en eigenschappen van de technische resources die de organisatorische en technische functies moeten vormgeven.
Het hoe-aspect (gedragsaspect), ofwel de menselijke en technische resources en eigenschappen van de technische resources die de organisatorische en technische functies moeten vormgeven. Voorbeelden hiervan zijn: actor, object, interactie, toestand, eigenschap en historie.
Voorbeelden: actor, object, interactie, toestand, eigenschap en historie;.


===Structuur===
===Structuur===
Het hoe-aspect (vormaspect), ofwel de manier waarop een organisatorische en personele structuur is vormgegeven.
Het hoe-aspect (vormaspect), ofwel de manier waarop een organisatorische en personele structuur is vormgegeven. Voorbeelden hiervan zijn: business-organisatiestructuur, business- architectuur, IT-architectuur en business-IT-alignment.
Voorbeelden: business-organisatiestructuur, business- architectuur, IT-architectuur en business-IT-alignment.




De relaties tussen de objecten vanuit de invalshoeken kunnen als volgt worden gelezen: de elementen uit de doel-invalshoek reguleren en/of worden bereikt door elementen uit de functie-invalshoek. De elementen uit de functie-invalshoek gebruiken of realiseren de elementen uit de gedrag-invalshoek die op hun beurt worden vormgegeven door elementen uit de structuur-invalshoek.
De relaties tussen de objecten vanuit de invalshoeken kunnen als volgt worden gelezen: de elementen uit de doel-invalshoek reguleren en/of worden bereikt door elementen uit de functie-invalshoek. De elementen uit de functie-invalshoek gebruiken of realiseren de elementen uit de gedrag-invalshoek die op hun beurt worden vormgegeven door elementen uit de structuur-invalshoek.
==Invalshoeken niet gebruikt bij De Privacy Baseline==
==Invalshoeken niet gebruikt bij De Privacy Baseline==
De verdeling naar Intentie, Functie, Gedrag en Structuur betreft de kern van het [[SIVA-methode|SIVA-methodiek]] en heeft tot doel lacunes te ontdekken in de objectanalyse die leidt tot normen. Deze indeling is voor de opzet van [[de Privacy Baseline]] niet gebruikt: het object is immers niet Privacy, maar de Privacy''wet.'' Het is niet de opzet geweest om de wet te toetsen op volledigheid en consistentie. De opzet van de Baseline is de gebruiker een handzame en geannoteerde lijst van toetsbare criteria mee te geven die aan de wet zijn ontleend. Omdat de invalshoeken bij het opstellen van de normen voor de Privacy Baseline geen rol hebben gespeeld, is bij de invalshoek "Onbekend" ingevuld.
De verdeling naar Intentie, Functie, Gedrag en Structuur betreft de kern van het [[SIVA-methode|SIVA-methodiek]] en heeft tot doel lacunes te ontdekken in de objectanalyse die leidt tot normen. Deze indeling is voor de opzet van [[de Privacy Baseline]] niet gebruikt: het object is immers niet Privacy, maar de Privacy''wet.'' Het is niet de opzet geweest om de wet te toetsen op volledigheid en consistentie. De opzet van de Baseline is de gebruiker een handzame en geannoteerde lijst van toetsbare criteria mee te geven die aan de wet zijn ontleend. Omdat de invalshoeken bij het opstellen van de normen voor de Privacy Baseline geen rol hebben gespeeld, is bij de invalshoek "Onbekend" ingevuld.
<noinclude>
<noinclude>
==Overzicht Principes naar invalshoek==
==Overzicht Principes naar invalshoek==
De onderstaande tabel geeft een overzicht van alle principes per invalshoek.
{{#ask:[[Categorie:Beveiligingsprincipes]]OR[[Categorie:Privacyprincipes]]
{{#ask:[[Categorie:Beveiligingsprincipes]]OR[[Categorie:Privacyprincipes]]
| ?Invalshoek
| ?Invalshoek
Regel 60: Regel 57:
}}
}}
==Overzicht Normen naar invalshoek==
==Overzicht Normen naar invalshoek==
De onderstaande tabel bevat alle normen per invalshoek.
{{#ask:[[Categorie:Normen]]
{{#ask:[[Categorie:Normen]]
| ?Invalshoek
| ?Invalshoek

Huidige versie van 15 nov 2021 om 14:11

De ISOR (Information Security Object Repository) bevat normenkaders waarin beveiligingsprincipes of privacyprincipes en onderliggende normen zijn beschreven. Deze zijn conform de SIVA-methodiek ingedeeld naar Beleid, Uitvoering of Control en geordend naar één van de volgende invalshoeken: Intentie, Functie, Gedrag of Structuur. Vanuit elke invalshoek wordt een specifieke verzameling objecten geïdentificeerd.

Relaties tussen invalshoeken[bewerken]

IFGS IntentieIFGS FunctieIFGS GedragIFGS Structuurrelaties tussen Intentie, Functie, Gedrag en Structuur zoals ook in de tekst is aangegeven.
Over deze afbeelding


Deze invalshoeken hebben onderling de volgende relatie:

  • 'Intentie' wordt geëffectueerd door 'Functie'.
  • 'Functie' effectueert 'Intentie' en wordt geëffectueerd door 'Gedrag'.
  • 'Gedrag' effectueert 'Functie' en wordt geëffectueerd door 'Structuur'.
  • 'Structuur' effectueert 'Gedrag'.

Uitleg invalshoeken[bewerken]

De component inhoud is de tweede doorsnede van het onderzoeksgebied. Deze doorsnede wordt bereikt door middel van vier invalshoeken: intentie, functie, gedrag en structuur.

Intentie[bewerken]

Het waarom-aspect, ofwel de bestaansreden van een organisatie. Voorbeelden hiervan zijn: organisatie, visie, doelstellingen, wetten en beleid, stakeholders en middelen.

Functie[bewerken]

Het wat-aspect, ofwel de organisatorische en technologische elementen die de intenties van de organisatie moeten realiseren. Voorbeelden hiervan zijn: organisatorische en technische functies, processen, taken en taakvereisten.

Gedrag[bewerken]

Het hoe-aspect (gedragsaspect), ofwel de menselijke en technische resources en eigenschappen van de technische resources die de organisatorische en technische functies moeten vormgeven. Voorbeelden hiervan zijn: actor, object, interactie, toestand, eigenschap en historie.

Structuur[bewerken]

Het hoe-aspect (vormaspect), ofwel de manier waarop een organisatorische en personele structuur is vormgegeven. Voorbeelden hiervan zijn: business-organisatiestructuur, business- architectuur, IT-architectuur en business-IT-alignment.


De relaties tussen de objecten vanuit de invalshoeken kunnen als volgt worden gelezen: de elementen uit de doel-invalshoek reguleren en/of worden bereikt door elementen uit de functie-invalshoek. De elementen uit de functie-invalshoek gebruiken of realiseren de elementen uit de gedrag-invalshoek die op hun beurt worden vormgegeven door elementen uit de structuur-invalshoek.

Invalshoeken niet gebruikt bij De Privacy Baseline[bewerken]

De verdeling naar Intentie, Functie, Gedrag en Structuur betreft de kern van het SIVA-methodiek en heeft tot doel lacunes te ontdekken in de objectanalyse die leidt tot normen. Deze indeling is voor de opzet van de Privacy Baseline niet gebruikt: het object is immers niet Privacy, maar de Privacywet. Het is niet de opzet geweest om de wet te toetsen op volledigheid en consistentie. De opzet van de Baseline is de gebruiker een handzame en geannoteerde lijst van toetsbare criteria mee te geven die aan de wet zijn ontleend. Omdat de invalshoeken bij het opstellen van de normen voor de Privacy Baseline geen rol hebben gespeeld, is bij de invalshoek "Onbekend" ingevuld.

Overzicht Principes naar invalshoek[bewerken]

De onderstaande tabel geeft een overzicht van alle principes per invalshoek.

InvalshoekIDPrincipe
FunctieSVP_U.08Verwijderen of hergebruiken serverapparatuur
FunctieTBV_U.11Fysieke toegangsbeveiliging
FunctieSVP_U.04Technische kwetsbaarhedenbeheer serverplatform
FunctieHVI_U.03Fysieke zonering
FunctieCLD_U.03Bedrijfscontinuïteitsservices
FunctieAPO_C.06Compliance-management
FunctieCLD_U.04Herstelfunctie voor data en clouddiensten
FunctieTBV_U.04Autorisatieproces
FunctieHVI_C.03Continuïteitsbeheer
FunctieCLD_C.04Technische kwetsbaarhedenbeheer clouddiensten
FunctieSVP_U.03Malwareprotectie serverplatform
FunctieHVI_U.05Nutsvoorzieningen
FunctieSVP_U.06Beheer op afstand
FunctieAPO_U.05Analyse en specificatie informatiebeveiligingseisen
FunctieAPO_U.08Applicatiebouw
FunctieMDW_U.02Rollen en verantwoordelijkheden middlewarefunctionaliteit
FunctieAPO_B.07Kwaliteitsmanagementsysteem
FunctieTBV_U.07Functiescheiding
FunctieHVI_U.08Apparatuur-verwijdering
FunctieAPO_C.02Versiebeheer applicatieontwikkkeling
FunctieSWP_U.04Input-/output-validatie
FunctieSWP_U.06Gegevensopslag
FunctieSWP_C.02Versiebeheer softwarepakketten
FunctieHVI_B.07In- en externe bedreigingen
FunctieCLD_U.06Dataretentie en gegevensvernietiging
FunctieCLD_U.07Datascheiding
FunctieHVI_U.07Apparatuur-onderhoud
FunctieSWP_B.04Bedrijfs- en beveiligingsfuncties
FunctieAPO_U.06Applicatie-ontwerp
FunctieTBV_U.06Speciale toegangsrechtenbeheer
FunctieCVZ_U.05Beveiliging netwerkdiensten
FunctieMDW_U.03Toegang tot middlewarefunctionaliteit​
FunctieAPO_U.09Testen systeembeveiliging
FunctieAPO_U.04Analyse en specificatie informatiesysteem
FunctieSWP_U.05Sessiebeheer
FunctieTBV_B.03Beveiligingsfunctie
FunctieSWP_C.03Patchmanagement softwarepakketten
FunctieHVI_B.05Contractmanagement
FunctieCVZ_U.03Netwerkbeveiligingsbeheer
FunctieCVZ_C.02Compliance-toets netwerkbeveiliging
FunctieHVI_B.06Service Level Management
FunctieMDW_U.04Hardening middlewarecomponenten​
FunctieHVI_U.06Apparatuur-positionering
FunctieCLD_B.07IT-functionaliteit
FunctieAPO_C.07Technische beoordeling informatiesystemen
FunctieSWP_U.07Communicatie
FunctieTBV_C.02Beoordeling toegangsrechten
FunctieSVP_U.07Server-onderhoud
FunctieAPO_C.04(Software)configuratiebeheer
FunctieCVZ_B.02Overeenkomst voor informatietransport
... meer resultaten

Overzicht Normen naar invalshoek[bewerken]

De onderstaande tabel bevat alle normen per invalshoek.

InvalshoekIDNorm
FunctieTBV_U.04.01Formeel proces voor verwerken van autorisaties
FunctieTBV_U.11.03Medewerkers en contractanten en externen dragen zichtbare identificatie
FunctieTBV_U.06.01Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures
FunctieHVI_B.06.03De aspecten waarop de Service Levels o.a. zijn gericht
FunctieHVI_B.06.02De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
FunctieHVI_B.07.03Bij huisvesting van bedrijfsmiddelen wordt rekening gehouden met de gevolgen van rampen
FunctieTBV_U.07.02Verantwoordelijkheden voor beheer en systeemfuncties zijn eenduidig toegewezen aan één specifieke beheerrol
FunctieHVI_B.05.01Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
FunctieHVI_B.05.04Afspraken contractueel vastgeleggen in SLA’s en DAP’s
FunctieHVI_B.05.02Verwerven huisvesting IV-voorzieningen met afspraak of overeenkomst
FunctieHVI_B.07.04De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
FunctieHVI_B.05.05Evalueren levering van voorzieningen
FunctieHVI_U.03.04Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
FunctieHVI_C.03.04De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
FunctieHVI_U.06.02Apparatuur wordt beschermd tegen externe bedreigingen
FunctieHVI_C.03.05Realisatie van afdoende uitwijkfaciliteiten
FunctieHVI_U.09.04Meenemen en terugkeer van bedrijfsmiddelen worden geregistreerd
FunctieHVI_U.08.01Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
FunctieHVI_U.07.06Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
FunctieHVI_U.03.03Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
FunctieHVI_U.06.01Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
FunctieHVI_U.09.03Tijdsgrenzen aan de afwezigheid ern terugbrengen van bedrijfsmiddelen worden geverifieerd
FunctieHVI_U.09.02Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
FunctieHVI_C.03.02De beoordelingsrapportage wordt gedeeld met systeemverantwoordelijken
FunctieHVI_U.07.03Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
FunctieHVI_U.05.02Noodverlichting en (nood)communicatiemiddelen moeten aanwezig zijn
FunctieHVI_U.07.05Er wordt voldaan aan alle onderhoudseisen die door verzekeringspolissen zijn opgelegd
FunctieHVI_U.04.01Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
FunctieHVI_B.07.02Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
FunctieHVI_C.03.07Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
FunctieHVI_U.04.02Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
FunctieHVI_U.03.02Locatie en sterkte beveiligingszone afhankelijk van risico en eisen bij bedrijfsmiddelen
FunctieHVI_U.09.05Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
FunctieHVI_C.03.06Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
FunctieHVI_U.07.04Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
FunctieHVI_U.05.03Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
FunctieHVI_U.07.01Apparatuur wordt op aanbevolen intervallen voor servicebeurten en voorschriften onderhouden
FunctieHVI_U.05.04Redundantie voor de netwerkverbinding via meerdere routes vanaf meer dan één aanbieder
FunctieHVI_C.03.03Het continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
FunctieHVI_U.04.04Sleutelbeheer is ingericht op basis van een sleutelplan
FunctieHVI_U.08.02Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
FunctieHVI_U.04.03Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
FunctieHVI_U.05.01De nutsvoorzieningen
FunctieHVI_B.07.01De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
FunctieHVI_U.09.01Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
FunctieHVI_U.03.01Voorschriften voor het inrichten van beveiligde zones
FunctieTBV_U.11.01Toegang tot beveiligingszones of gebouwen voor geautoriseerde personen
FunctieHVI_B.05.03Vastleggen betrokken rollen Contractmanagement en Service Level Management
FunctieTBV_U.04.02Formele autorisatieopdracht
FunctieTBV_U.04.03Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd
... meer resultaten

Een beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen.

Betekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Overgenomen van "https://www.noraonline.nl/index.php?title=Alle_invalshoeken&oldid=58275"