BIO Thema Huisvesting Informatievoorziening - Verbindingsdocument
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
| ||||||||||
Context beveiliging Huisvesting-IV
Een gebouw van een willekeurig vrijstaand rekencentrum is doorgaans gepositioneerd op een terrein waarbij de toegang door middel van hekwerk is afgesloten voor publiek. Dit vormt de eerste barrière van fysieke beveiliging.
Personen zoals bezoekers moeten zich melden aan de toegangspoort alvorens ze naar binnen kunnen. Medewerkers kunnen direct naar binnen, gebruik makend hun toegangspas.
Eenmaal op het terrein, kunnen medewerkers alleen de ruimten waarvoor ze bevoegd zijn betreden met hun toegangspas. De informatiesystemen zelf zijn ondergebracht in afgeschermde, klimaat geconditioneerde ruimten, voorzien van een stabiele energievoorziening.
Goederen worden via een seperate laad-en los omgeving van- en naar de gebouwen en ruimten gebracht. Kabels voor nuts- en netwerkvoorzieningen worden extra beschermd en waar nodig dubbel uitgevoerd, zodat de continuïteit van informatievoorziening naar behoefte gegarandeerd is. Figuur 'Context Huisvesting Informatievoorziening' schetst enkele basiselementen voor de huisvesting van informatievoorzieningen (IV).
Figuur 'Essentiële objecten in het uitvoering domein' geeft laat van het uitvoeringsdomein een schematische invulling zien. Het beleidsdomein omvat de randvoorwaarden voor de uitvoering van Huisvesting Informatievoorziening. De beheersing wordt verzorgd door objecten vanuit het control domein, zoals beoordelingsrichtlijnen en Continuïteitsmanagement (BCM).
Huisvesting Informatievoorziening omvat een geheel van objecten voor het leveren van betrouwbare hosting diensten. De essentiële objecten van Huisvesting-IV, of groepen daarvan, zijn uitgelicht in onderstaande figuur.
Het uitvoeringsdomein bevat een scala aan componenten die grofweg onder te verdelen zijn in Terreinen, Gebouwen, Faciliteiten, Werkruimten en Voorzieningen. De gebouwen zijn gevestigd op een locatie.
- Terrein – de omheinde, beschermde locaties van de Huisvesting IV
- Gebouwen – Dit zijn aan de huisvesting georiënteerde objecten die zorgen voor het fysieke bestaan van een Huisvesting Informatievoorziening. Hieronder valt ook de fysieke zonering van gebouwen in ruimten.
- Voorzieningen – Voorzieningen zijn gerelateerd aan de fysiek georiënteerde objecten ten behoeve van de huisvesting. Dit is gericht op: Bedrijfsmiddelen en Nutsvoorzieningen (zoals gas, elektra, water maar ook brandblussers etc.).
- Faciliteiten - Middelen waarmee beveiligingsfuncties gerealiseerd worden, zoals toegangspoorten, brandmelders/blussers etc.
Er zijn bedrijfsmiddelen en specifieke IT-middelen ingezet waarmee Huisvesting Informatievoorziening diensten worden geleverd. Deze middelen zijn continu onderhevig aan veranderingen en vernieuwingen.
Voor een optimale dienstverlening moeten deze middelen onderhouden en/of gecontroleerd worden. M.a.w. dit zijn zowel fysieke als elektronisch en informatietechnologie gerelateerde objecten ten behoeve van de te leveren huisvesting van IV diensten.
Generieke objecten
Onderstaande tabel toont alle relevante items op een rij, die in samenhang de Huisvesting Informatievoorziening kunnen beveiligen.
| Nr | Bron: ISO/BIO of alternatief | Generieke objecten |
|---|---|---|
| 1. | 5.1.1. | Huisvestingsbeleid |
| 2. | 7.2.2. | Training en Awareness |
| 3. | 8.1.2. | Eigenaarschap |
| 4. | 18.1.1. | Wet en regelgeving |
| 5. | Uit SIVA analyse | Organisatie |
| 6. | Uit SIVA analyse | Architectuur |
| 7. | idem -> ITIL | Contractmanagement |
| 8. | idem -> ITIL | Servicelevelmanagement |
| 9. | idem -> NIST | Certificering |
| 10. | 8.1.1. | Bedrijfsmiddelen inventaris |
| 11. | 11.1.1. | Fysieke zonering |
| 12. | 11.1.2. | Fysieke toegangsbeveiliging |
| 13. | 11.1.3. | Beveiligingsfaciliteit |
| 14. | 11.1.4. | Interne en Externe bedreigingen |
| 15. | 11.1.5. | Richtlijnen gebieden en ruimten |
| 16. | 11.1.6. | Laad- en loslocatie |
| 17. | 11.2.1. | Apparatuur positionering |
| 18. | 11.2.2. | Nutsvoorzieningen |
| 19. | 11.2.3. | Bekabeling |
| 20. | 11.2.4. | Apparatuur onderhoud |
| 21. | 11.2.5. | Bedrijfsmiddelen verwijdering |
| 22. | 11.2.7. | Apparatuur verwijdering |
| 23. | 9.2.1. | Registratieprocedure |
| 24. | 9.2.4. | Beoordeling Fysieke toegangsrechten |
| 25. | Uit SIVA analyse | Controle richtlijn Huisvesting-IV |
| 26. | idem | Onderhoudsplan |
| 27. | idem | Huisvestingsbeheerorganisatie |
| 28. | idem -> ITIL | Continuïteitsmanagement |
Dergelijke items worden in de BIO- thema’s objecten genoemd. De meeste van deze objecten zijn in de vorm van een beheersmaatregel al van kracht in de ISO-27001.
De objecten zijn generiek gemaakt, om ze voor andere thema’s kunnen hergebruiken. Generieke objecten worden inclusief omschrijving opgeslagen in de objectenbibliotheek ISOR. Enkele van de objecten zijn uniek voor de overheid en daarom in de BIO ‘verplicht’ genormeerd zijn. Objecten, die aanvullend aan de ISO norm nodig geacht worden voor de beveiliging van een bepaald toepassingsgebied, zijn met behulp van de SIVA analyse bepaald en relateren daarbij zo mogelijk aan standaarden als ITIL, NIST, BSI of de Standard of Good Practice.
Positionering van objecten gerelateerd aan SIVA basiselementen
Figuur 'Objecten in hun B-U-C domein' zet de objecten uit de lijst van figuur 4 bij elkaar in de aandachtsgebieden Beleid, Uitvoering en Control, feitelijk een andere view op de inhoud van de vorige pagina. In totaal gaat het om Gebouwen en voorzieningen, wat alles is wat je nodig hebt om ICT te kunnen huisvesten, zoals infrastructuur: kabels, stroomvoorziening, koeling etc. inclusief de nodige procedures en beheervoorzieningen. In cursief-rood zijn de SIVA-basiselementen weergegeven. De “witte blokken” zijn de objecten die weliswaar niet genormeerd zijn in de ISO-norm, maar waarvan wel geacht wordt dat ze een onmisbare bijdrage leveren aan de weerbaarheid en de integrale beveiliging van de bedrijfsmiddelen, informatievoorzieningen en data.
Cross Reference naar praktijktoepassingen
Tenslotte een Cross-Reference van beveiligingsobjecten naar beproefde praktijkvoorbeelden. Doel is de overheden praktische handreikingen aan te bieden, in de vorm van richtlijnen en patronen; bij voorkeur gesorteerd op verschillende schaalgroottes met een bijbehorende uitvoeringscontext.
| Nr. | Bron:ISO… | Onderwerp | Referentie naar praktijktoepassing(Verwijzing naar brondocumenten) | |
| 1. | 5.1.1. | B | Huisvestingsbeleid | a):H2 en H3, b), c):met focus op “Te beschermen belangen” (TBB), e) |
| 2. | 7.2.2. | B | Training en Awareness | a):H4, h), j), i |
| 3. | 8.1.2. | B | Eigenaarschap | a):H2 (voor rijk), j), i) |
| 4. | 18.1.1. | B | Wet en regelgeving | i) |
| 5. | SIVA | B/U | Organisatie | a):H4 |
| 6. | SIVA | B/U | Architectuur | i), Richtlijnen - Rijks vastgoedbedrijf (RVB) |
| 7. | ITIL | B | Contractmanagement | a):H8, f) |
| 8. | ITIL | B | Servicelevelmanagement | f) |
| 9. | NIST | B | Certificering | g) |
| 10. | 8.1.1. | U/VZ | Bedrijfsmiddelen inventaris | i) |
| 11. | 11.1.1. | U/GB | Fysieke zonering | a): H6, c), e), i) |
| 12. | 11.1.2. | U/VZ | Fysieke toegangsbeveiliging | a): H6, b), c), i) |
| 13. | 11.1.3. | U/VZ | Beveiligingsfaciliteit | NKBR 5.4 voor sleutelplan |
| 14. | 11.1.4. | U | Interne en Externe bedreigingen | i), k) |
| 15. | 11.1.5. | U/GB | Richtlijnen gebieden en ruimten | a):geheel document, j), i), o) |
| 16. | 11.1.6. | U/GB | Laad- en loslocatie | a):H6 |
| 17. | 11.2.1. | U/VZ | Apparatuur positionering | a):H7 voor beveiligingsvoorzieningen, i), o) |
| 18. | 11.2.2. | U/VZ | Nutsvoorzieningen | i), Richtlijnen - RVB |
| 19. | 11.2.3. | U/VZ | Bekabeling | i), o), Richtlijnen - RVB |
| 20. | 11.2.4. | U/VZ | Apparatuur onderhoud | i), Richtlijnen - RVB |
| 21. | 11.2.5. | U/VZ | Bedrijfsmiddelen verwijdering | i) |
| 22. | 11.2.7. | U/VZ | Apparatuur verwijdering | i) |
| 23. | 9.2.1. | C | Registratieprocedure | i) |
| 24. | 9.2.4. | C | Beo. Fysieke toegangsrechten | i) |
| 25. | SIVA | C | Controle richtlijn Huisvesting-IV | ? Richtlijnen - RVB |
| 26. | SIVA | C | Onderhoudsplan | ? Richtlijnen - RVB |
| 27. | SIVA | C | Huisvestingsbeheerorganisatie | a):H4 |
| 28. | ITIL | C | Continuïteitsmanagement | i), l, m), o), ITIL documentatie |
Met deze voorbeelden kunnen overheden hun eigen omgeving toetsen en waar nodig (her)inrichten.
Brondocumenten
Onderstaande lijst van brondocumenten verwijst vrijwel grotendeels naar publiek- toegankelijke documenten. Er is minimaal gebruik gemaakt van links, om ‘dode’ verwijzingen te voorkomen. Via Rijksweb of overheids interne websites of Google-search kunnen de documenten gevonden worden.
| Nr. | Documentnaam | Versie + datum | Eigenaar | Toelichting |
| a) | Normenkader Beveiliging Rijkskantoren (NKBR) | 2.02-10-2015 | ICBRBzK | Normenkader voor beveiliging van rijkskantoren. Standaard voor inrichting van nieuwbouw en wijzigingenContent heeft vooralsnog de status van Departementaal Vertrouwelijk (Dep.V) |
| b) | Kader Rijkstoegangs-beleid | 1.0 van 11/5/10 | ICBR | Beleidskader, gericht op veiligheid van de in Rijksgebouwen werkzame personen, informatie en eigendommen; als onderdeel van ‘integrale beveiliging’ |
| c) | Zoneringsmodel rijkskantoren | 5-jul-11 | BzK | Modelmatig opdelen van gebouwen in zones, waarvoor verschillende beveiligingsregimes gelden. Bevat tevens huisvestingsbeleid: Te Beschermen Belangen (TBB) |
| d) | Richtlijnen Rijks Vastgoedbedrijf (RVB) | volgt | RVB | Nader te bepalen set van eisen in samenspraak met RVB |
| e) | NIST PE Physical and Environ-mental Protection (PE) | jun-10 | NIST | Ontwerp & toets-criteria voor facilitaire apparatuur voor Huis-vesting-IV en fysieke zonering |
| f) | NIST MA System Mainenance Policy and Procedures | jun-10 | NIST | Ontwerp & toets-criteria voor beheersingsprocedures |
| g) | NIST CA Security Assessment and Authorization Policy and Procedures | jun-10 | NIST | Ontwerp & toets-criteria voor Certificering van organisaties |
| h) | NIST AT Awaress and Training Policy and Procedures | jun-10 | NIST | Ontwerp & toets-criteria voor bewustwording en opleiding van medewerkers |
| i) | NIST CM Configuration Management Policy and Procedures | jun-10 | NIST | Ontwerp & toets-criteria voor configuratiebeheer, configuratiebeleid en - procedures |
| j) | Standard of Good Practice (SoGP) | Periodiek | ISF | Beschrijft zes aspecten van security, ieder daarvan gerelateerd aan bedrijfsmiddelen |
| k) | KWAS | Periodiek | NCSC | Beschrijft Kwetsbaarheden van IV, gerelateerd aan bedreigingen van buitenaf of van binnenuit |
| l) | NEN-ISO-22323 | 2012 | BzK | Societal security - Business continuity management systems - Guidance (ISO 22313:2012,IDT) beschrijft Bedrijfscontinuïteitsmanagement normatief |
| m) | NORA patronen voor bedrijfs-continuïteit / BCM | 2014 | BzK | https://www.noraonline.nl/wiki/Beveiliging/index In deze index van de NORA-wiki voor het thema beveiliging vindt u een reeks van patronen gericht op de Bedrijfscontinuïteit van IV. Daarbij staan ook huisvesting specifieke onderwerpen uitgewerkt |
| n) | BIR 1.0 | 2011 | BzK | BIR TNK, eerste versie, met voor het Rijk aangescherpte ISO-implementatierichtlijnen, die in een aantal gevallen relevant zijn voor Huisvesting-IV en die in sommige gevallen een relevante aanvulling vormen op de huidige set van implementatierichtlijnen van de ISO 2013 |
| o) | Telecommunication Infrastructure Standard for Data Centers (TIA-942) | Periodiek | ieee802.org /ANSI | Telecommunicatie-standaarden voor infrastructuur van datacenters. Vooral bedoeld voor Netwerken en Hosting, maar geeft ook richtlijnen voor bekabeling en de bescherming daarvanEr zijn diverse whitepapers over TIA-942 te downloaden via Internet |
Op NEN-ISO documenten rusten licentierechten.