Alle invalshoeken

Uit NORA Online
Versie door M.M.Vos (Overleg | bijdragen) op 9 apr 2018 om 16:05 (met tekstcorrecties Ruud)

(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken

De ISOR (Information Security Object Repository) bevat normenkaders waarin beveiligings- of privacyprincipes en onderliggende normen zijn beschreven. Deze zijn conform de SIVA-methode ingedeeld naar Beleid, Uitvoering of Control en geordend naar een van de volgende invalshoeken: Intentie, Functie, Gedrag, Structuur.

IFGS IntentieIFGS FunctieIFGS GedragIFGS Structuurrelaties tussen Intentie, Functie, Gedrag en Structuur zoals ook in de tekst is aangegeven.
Over deze afbeelding


Deze invalshoeken hebben onderling de volgende relatie:

  • 'Intentie' ('Doel') wordt geëffectueerd door 'Functie';
  • 'Functie' effectueert 'Intentie' en wordt geëffectueerd door 'Gedrag';
  • 'Gedrag' effectueert 'Functie' en wordt geëffectueerd door 'Structuur';
  • 'Structuur' effectueert 'Gedrag'.

Uitleg

De component inhoud is de tweede doorsnede van het onderzoeksgebied. Deze doorsnede wordt bereikt door middel van vier invalshoeken: intentie, functie, gedrag en structuur (IFGS). Vanuit elke IFGS-invalshoek wordt een specifieke verzameling basiselementen (objecten) geïdentificeerd. De invalshoeken houden het volgende in:

Intentie

Het waarom-aspect, ofwel de bestaansreden van een organisatie. Voorbeelden: organisatie, visie, doelstellingen, wetten en beleid, stakeholders en middelen.

Functie

Het wat-aspect, ofwel de organisatorische en technologische elementen die de intenties van de organisatie moeten realiseren. Voorbeelden: organisatorische en technische functies, processen, taken en taakvereisten.

Gedrag

Het hoe-aspect (gedragsaspect), ofwel de menselijke en technische resources en eigenschappen van de technische resources die voor de van organisatorische en technische functies moeten vormgeven. Voorbeelden: actor, object, interactie, toestand, eigenschap en historie;.

Structuur

Het hoe-aspect (vormaspect), ofwel de manier waarop een organisatorische en personele structuur is vormgegeven. Voorbeelden: business-organisatiestructuur, business- architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen., IT-architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. en business-IT-alignment.


De relaties tussen de objecten vanuit de IFGS-invalshoeken kunnen als volgt worden gelezen: de elementen uit de doel-invalshoek reguleren en/of worden bereikt door elementen uit de functie-invalshoek. De elementen uit de functie-invalshoek gebruiken of realiseren de elementen uit de gedrag-invalshoek die op hun beurt worden vormgegeven door elementen uit de structuur-invalshoek.

Invalshoeken niet gebruikt bij opstellen van de Privacy Baseline

De verdeling naar Intentie, Functie, Gedrag en Structuur betreft de kern van het SIVA-analysemodel en heeft tot doel lacunes te ontdekken in de objectanalyse die leidt tot normen. Deze indeling is voor de opzet van de Privacy Baseline niet gebruikt: het object is immers niet Privacy, maar de Privacywet. Het is niet de opzet geweest om de wet te toetsen op volledigheidBetekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld. en consistentie. De opzet van de Baseline is de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem een handzame en geannoteerde lijst van toetsbare criteria mee te geven die aan de wet is ontleend. Dat waar mogelijk toch een IFGS-kenmerk (invaslhoek) aan een principe wordt gehangen is gedaan vanwege de eenvormigheid binnen ISOR. Het kenmerk is er dan achteraf bij gezet, bij de objectenanalyse en de opbouw van de norm zelf hebben de invalshoeken geen rol gespeeld.

Overzicht Principes naar invalshoek

InvalshoekIDPrincipe
FunctieAppO_C.05Compliance management
FunctieTVZ_U.11Fysieke toegangsbeveiliging
FunctieHuisv_U.09Bedrijfsmiddelen verwijdering
FunctieSERV_U.04Beheer van serverkwetsbaarheden
FunctieTVZ_U.05Wachtwoordbeheer
FunctiePRIV_C.03Meldplicht Datalekken
FunctieAppO_C.07Technische beoordeling van informatiesystemen na wijziging besturingsplatform
FunctieHuisv_U.03Fysieke zonering
FunctieHuisv_U.04Beveiligingsfaciliteiten ruimten
FunctieAppO_C.06Quality assurance
FunctieCommVZ_C.03Evalueren netwerkbeveiliging
FunctieAppO_C.02Versie Management
FunctieSERV_U.07Onderhoud van servers
FunctieTVZ_U.07Functiescheiding
FunctieSERV_U.05Patchmanagement
FunctieHuisv_B.06Service Levelmanagement
FunctiePRIV_U.03Kwaliteitsmanagement
FunctieCommVZ_U.06Zonering en filtering
FunctieCommVZ_B.02Overeenkomsten over informatietransport
FunctieAppO_U.04Analyse en specificatie van informatiesystemen
FunctieAppO_U.09Testen van systeembeveiliging
FunctieAppO_U.07Applicatie functionaliteiten
FunctieAppO_C.03Patchmanagement van externe programmacode
FunctieHuisv_C.03Continuiteitsmanagement
FunctieHuisv_U.05Nutsvoorzieningen
FunctieCommVZ_U.08Toepassingen via openbare netwerken
FunctieAppO_U.10Systeem acceptatietests
FunctieCommVZ_U.05Beveiliging netwerkdiensten
FunctieTVZ_U.04Autorisatieproces
FunctiePRIV_C.01Intern toezicht
FunctiePRIV_U.06Bewaren van persoonsgegevens
FunctieSERV_C.02Beoordeling technische serveromgeving
FunctieAppO_U.11Beschermen van testgegevens
FunctieSERV_U.08Veilig verwijderen of hergebruiken van serverapparatuur
FunctieCommVZ_U.03Netwerk beveiligingsbeheer
FunctieTVZ_U.06Speciale toegangsrechten beheer
FunctieHuisv_U.07Onderhoud Apparatuur
FunctieAppO_U.06Applicatie ontwerp
FunctieSERV_U.03Malwareprotectie
FunctieSERV_U.06Beheer op afstand
FunctieHuisv_B.05Contractmanagement
FunctieAppO_B.07Kwaliteitsmanagement systeem
FunctieAppO_U.05Analyse en specificatie van informatiebeveiligingseisen
FunctieCommVZ_U.07Elektronische berichten
FunctieHuisv_U.06Apparatuur positionering
FunctieAppO_U.08Applicatiebouw
FunctieCommVZ_U.04Vertrouwelijkheids- of geheimhoudingsovereenkomst
FunctieCommVZ_C.02Netwerk security compliancy checking
FunctieHuisv_B.07Interne en Externe bedreigingen
FunctieAppO_C.04(Software) configuratie management
… overige resultaten

Overzicht Normen naar invalshoek

InvalshoekIDNorm
FunctieTVZ_U.04.02Het verwerken van autorisaties wordt uitgevoerd op basis van een formele autorisatieopdracht
FunctieTVZ_U.11.03Medewerkers en contractanten en externen dragen zichtbare identificatie
FunctieHuisv_U.07.02Reparaties en onderhoudsbeurten aan apparatuur worden uitgevoerd door bevoegd onderhoudspersoneel
FunctieHuisv_U.08.01Voorgaand aan verwijdering of hergebruik wordt gecontroleerd of apparatuur opslag media bevat
FunctieHuisv_U.09.05Documentatie van ieders identiteit, rol en connectie die bedrijfsmiddelen hanteert of gebruikt
FunctieHuisv_B.07.01De organisatie heeft geïnventariseerd welke data en apparatuur bedrijf kritisch zijn
FunctieTVZ_U.07.03Een scheiding is aangebracht tussen beheertaken en gebruikstaken
FunctieHuisv_U.03.04Het dragen van identificatiemiddellen en het melden van personen zonder zichtbaar identificatiemiddel
FunctieHuisv_U.04.01Belangrijke faciliteiten moeten zo te worden gesitueerd dat ze niet voor iedereen toegankelijk zijn
FunctieHuisv_C.03.03Het opgestelde continuïteitsplan bevat activiteiten, rollen en verantwoordelijkheden en rapportages
FunctieTVZ_U.05.02Daar waar geen 2-factor authenticatie mogelijk is, wordt minimaal het wachtwoord halfjaarlijks vernieuwd
FunctieHuisv_B.05.01Het eisenpakket bij verwerving van Huisvestingsvoorzieningen bevat de gestelde eisen en specificaties
FunctieHuisv_U.09.02Identificatie van externe personen die bedrijfsmiddelen van de locatie mogen (laten) nemen
FunctieTVZ_U.04.03Alle autorisatie-activiteiten worden vastgelegd en gearchiveerd
FunctieTVZ_U.06.01Het toewijzen van speciale toegangsrechten vindt plaats op basis van risico afweging, richtlijnen en procedures
FunctieHuisv_U.03.05Elke fysieke toegang wordt gecontroleerd en in een logboek vastgelegd
FunctieHuisv_U.07.06Voorafgaand aan in bedrijfstelling wordt apparatuur op functioneren en knoeien geïnspecteerd
FunctieHuisv_C.03.06Gebruik van de uitwijkfaciliteit(en) en draaiboek worden periodiek getest
FunctieHuisv_U.09.01Het toestemmingstraject voor in- en afvoeren van bedrijfsmiddelen is in het beveiligingsbeleid geborgd
FunctieTVZ_U.07.05Onbedoelde en ongeautoriseerde toegang tot bedrijfsmiddelen worden waargenomen en voorkomen
FunctieHuisv_C.03.04De herstelprocessen en -procedures voor de Huisvesting-IV-dienst zijn gedocumenteerd
FunctieHuisv_B.07.02Tegen externe bedreigingen zijn beveiligingsmaatregelen genomen o.b.v. een expliciete risicoafweging
FunctieHuisv_U.04.04Sleutelbeheer is ingericht op basis van een sleutelplan
FunctieTVZ_U.06.02Gebruikers hebben toegang tot speciale toegangsrechten voor zover noodzakelijk voor de uitoefening van hun taken
FunctieHuisv_B.05.04Afspraken met en activiteiten van leveranciers zijn contractueel vastgelegd in SLA’s en DAP’s
FunctieHuisv_C.03.02Communicatie van de beoordelingsrapportage met kwetsbaarheden, zwakheden en verbetervoorstellen
FunctieTVZ_U.04.04Bij beëindigen van dienstverband worden de toegangsrechten ingetrokken
FunctieHuisv_B.06.03De aspecten waarop de Service Levels o.a. zijn gericht
FunctieHuisv_C.03.01Het BCMS is beschreven, goedgekeurd, toegekend en behandeld door het management
FunctieHuisv_U.03.03Informatieverwerkende faciliteiten zijn gescheiden van extern beheerde faciliteiten
FunctieHuisv_U.07.04Alle vermeende en daadwerkelijke fouten en elk preventieve en correctieve onderhoud wordt geregistreerd
FunctieHuisv_U.03.01Voor het inrichten van beveiligde zones wordt gebruik gemaakt van voorschriften
FunctieTVZ_U.11.02Aankomst- en vertrektijden van bezoekers worden geregistreerd
FunctieHuisv_U.06.02Apparatuur wordt beschermd tegen externe bedreigingen
FunctieHuisv_C.03.07Verantwoordelijkheid voor beheer, testen, en controleren van uitwijkvoorzieningen
FunctieHuisv_U.08.02Het verwijderen van apparatuur vindt plaats volgens vastgestelde procedurestappen
FunctieTVZ_U.06.03Uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld
FunctieHuisv_B.05.02Het verwerven van Huisvestingsvoorzieningen uitsluitend o.b.v. formele afspraak of overeenkomst
FunctieHuisv_U.07.03Reparatie en onderhoud van apparatuur vindt plaats op locatie en door bevoegd personeel
FunctieHuisv_U.05.03Aanwezigheid van noodschakelaars en -knoppen bij nooduitgangen of ruimten waar apparatuur aanwezig is
FunctieTVZ_U.04.05Verstrekte toegangsrechten tot fysieke en logische middelen corresponderen met wijzigingen in het dienstverband
FunctieHuisv_B.06.02De Service Levels zijn in lijn met het beveiligingsbeleid van de Huisvesting Informatievoorziening
FunctieHuisv_U.06.01Onbevoegden hebben geen toegang tot apparatuur, informatie verwerkende- en opslagfaciliteiten
FunctieTVZ_U.11.01Toegang tot beveiligingszones of gebouwen is slechts toegankelijk voor geautoriseerde personen
FunctieTVZ_U.11.04Personeel van externe partijen wordt beperkte toegang verleend tot beveiligde gebieden en faciliteiten
FunctieHuisv_C.03.05Realisatie van afdoende uitwijkfaciliteiten
FunctieHuisv_U.04.02Vertrouwelijke informatie en activiteiten zijn van buitenaf zichtbaar of hoorbaar
FunctieHuisv_U.04.03Adresboeken en telefoonboeken bevattende vertrouwelijke locaties zijn niet vrij toegankelijk
FunctieTVZ_U.07.01Functiescheiding en toekennen van toegangsrechten worden op basis van risicoafweging toegepast
FunctieHuisv_B.07.04De brandweer keurt de aanwezige brandblusapparatuur jaarlijks op geschiktheid
… overige resultaten