BIR (Baseline Informatiebeveiliging Rijksdienst): verschil tussen versies
Naar navigatie springen
Naar zoeken springen
(tussenversie ivm formatbreuk) |
(BIR 2017) |
||
Regel 1: | Regel 1: | ||
{{#Element: | {{#Element: | ||
|Elementtype=Bron | |Elementtype=Bron | ||
|ID=BIR | |ID=BIR | ||
|Publicatiedatum= | |Publicatiedatum=2017/09/26 | ||
|Organisatie=BZK | |Organisatie=BZK | ||
|Externe verwijzing=[http://content.rp.rijksweb.nl/cis/content/media/rijksportaal/ | |Externe verwijzing=[http://content.rp.rijksweb.nl/cis/content/media/rijksportaal/bzk_1/organisatie_21/bzk_2/dg_overheids_organisatie__dgoo_/tab_kerntaken/beveiliging_2/bir_2017/FirstSpirit_1514994590729BIR2017_definitief.pdf BIR2017 op Rijksportaal (pdf)] | ||
|Toelichting=De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale ISO-standaard 27002. Het concretiseert een aantal normen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende veiligingseisen maken risicomanagement eenvoudiger. | |||
Per 1 januari 2018 is de BIR2017 van kracht voor alle nieuwe informatiesystemen binnen de Rijksdienst. Het is aan de ministeries zelf om te bepalen op welke wijze de overgang van de BIR:2012 naar de BIR2017 voor de bestaande systemen zal verlopen. De ministeries moeten uiterlijk per 1-1-2019 inzichtelijk hebben gemaakt wanneer ze voor welke informatiesystemen overstappen. Voor de informatiesystemen die de transitie nog niet hebben ondergaan, blijft de BIR:2012 van toepassing. Lees meer over de BIR 2017 en transitie op [http://portal.rp.rijksweb.nl/irj/portal/?NavigationTarget=HLPFS://cisrijksportaal/ciskerntaken/cisrijksbreed/cisorganisatieenbedrijfsvoering/cisbeveiligingsbeleid_1/cisbeleidskaders_beveiliging/cisinformatiebeveiliging_42/cisbaseline_informatiebeveiliging_rijk__bir__2017 Rijksportaal]. | |||
Als u geen toegang heeft tot het Rijksportaal kunt u de [https://www.earonline.nl/images/earpub/6/6f/BIR_TNK_1_0_definitief.pdf BIR 2012 bij de EAR] lezen, de BIR 2017 zal op termijn ook worden opgenomen in de [[EAR (EnterpriseArchitectuur Rijksdienst)]]. De begeleidende tekst bij BIR 2017 is overgenomen in het nieuwsbericht [[Nieuwe versie Baseline Informatiebeveiliging Rijksdienst]]. | |||
|Laag binnen vijflaagsmodel=1 | |Laag binnen vijflaagsmodel=1 | ||
|Status actualiteit=Actueel | |||
}} | }} |
Versie van 8 jan 2018 17:12
Eigenschappen
ID | BIR |
---|---|
Publicatiedatum | 2017/09/26 |
Organisatie | BZK |
Externe verwijzing | BIR2017 op Rijksportaal (pdf) |
Toelichting | De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale ISO-standaard 27002. Het concretiseert een aantal normen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende veiligingseisen maken risicomanagement eenvoudiger.
Per 1 januari 2018 is de BIR2017 van kracht voor alle nieuwe informatiesystemen binnen de Rijksdienst. Het is aan de ministeries zelf om te bepalen op welke wijze de overgang van de BIR:2012 naar de BIR2017 voor de bestaande systemen zal verlopen. De ministeries moeten uiterlijk per 1-1-2019 inzichtelijk hebben gemaakt wanneer ze voor welke informatiesystemen overstappen. Voor de informatiesystemen die de transitie nog niet hebben ondergaan, blijft de BIR:2012 van toepassing. Lees meer over de BIR 2017 en transitie op Rijksportaal. Als u geen toegang heeft tot het Rijksportaal kunt u de BIR 2012 bij de EAR lezen, de BIR 2017 zal op termijn ook worden opgenomen in de EAR (EnterpriseArchitectuur Rijksdienst). De begeleidende tekst bij BIR 2017 is overgenomen in het nieuwsbericht Nieuwe versie Baseline Informatiebeveiliging Rijksoverheid (BIR). |
Laag binnen vijflaagsmodel | 1 |
Status actualiteit | Actueel |
Relaties
Vertrekpunt | Relatie | Eindpunten |
---|
Afgeleide relaties
Vertrekpunt | Relatie | Eindpunt |
---|---|---|
Authenticatie (beheersmaatregel) () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Authenticatie van gebruikers plaats op basis van cryptografische techniek (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Authentificatieprocedures worden herhaald op basis van het hiervoor opgestelde beleid (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Automatisch aanmelden is niet toegestaan voor interactieve gebruikers (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Autorisatie (beheersmaatregel) () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Batch- en hashtotals (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Beheersing van verwerkingen () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Beheertaken verlopen zoveel mogelijk via een menusysteem en gestandaardiseerde werkwijzen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Behoudens de door de leverancier goedgekeurde updates worden er geen wijzigingen aangebracht in programmapakketten en infrastructurele programmatuur (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Beperking van ongebruikte functies (hardening) () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Beperking van systeemhulpmiddelen () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Bestandscontrole () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Bij het intern gebruik van IT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoorden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Controle en signalering () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Controle op communicatiegedrag () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Controle op gegevensuitwisseling () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Controles voor risicovolle bedrijfsprocessen () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Controletellingen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Controletellingen batchverwerking (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Correctiemogelijkheden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
De planning van reguliere batchprogramma’s is gebaseerd op de aangegeven tijdstippen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
De uitvoer van toepassingssystemen waarmee gevoelige informatie wordt verwerkt wordt alleen verzonden naar computerterminals en locaties met een autorisatie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Encryptie () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Er is antivirusprogrammatuur actief die e-mailberichten en webpagina’s met kwaadaardige code blokkeert (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Er is rekening gehouden met de beperkingen op de import en/of export van computerapparatuur en -programmatuur waar cryptografische functies aan kunnen worden toegevoegd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Er is rekening gehouden met de wettelijke beperkingen op het gebruik van versleutelingstechnieken (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Er worden vooraf gedefinieerde perioden (‘time slots’) gebruikt (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Er wordt een logbestand aangemaakt van de activiteiten die tijdens de verwerking plaatsvinden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Er zijn aparte zones voor Ontwikkeling; Test; Acceptatie en Productie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Er zijn in productiezones geen hulpmiddelen toegankelijk die het systeem van logische toegangsbeveiliging doorbreken of de integriteit van de productieverwerking kunnen aantasten (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Extra audit trail (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Functie- en processcheiding () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Geautoriseerde mobiele code () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Gebruikers hebben verschillende gebruiksprofielen voor operationele en proefsystemen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Gebruikers krijgen geen algemene commando-omgeving tot hun beschikking (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Geleidelijsten (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Geïnstalleerde poorten diensten en soortgelijke voorzieningen die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Handelingen op te nemen in de logging (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Handhaven technische functionaliteit () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Herstellen van verwerkingen (Beheersmaatregel) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Het vollopen van het opslagmedium voor de logbestanden wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven van het wachtwoord (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Identificatie (beheersmaatregel) () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Identificatie- authenticatie- en autorisatiemechanismen zijn ook voor systeemhulpmiddelen van toepassing (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
In een keten van zones binnen een organisatie wordt antivirusprogrammatuur van verschillende leveranciers toegepast (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
In een logregel weg te schrijven informatie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Initiële wachtwoorden en wachtwoorden die gereset zijn voldoen aan de wachtwoordconventie en daarbij wordt door het systeem afgedwongen dat bij het eerste gebruik dit wachtwoord wordt gewijzigd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Integriteitscontrole van het bericht () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Invoercontrole () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Nadat voor een gebruikersnaam 5 keer een foutief wachtwoord gegeven is wordt het account minimaal 10 minuten geblokkeerd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Netwerksessies worden na een vastgestelde periode van inactiviteit afgesloten (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Onderdelen voor verwerking van batches worden pas opgestart nadat voorafgaande verwerkingen succesvol zijn beëindigd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Onderscheid in invoeren wijzigen en verwijderen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Onnodige hulpprogramma’s en systeemprogrammatuur zijn verwijderd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Op alle werkstations en daarvoor in aanmerking komende servers is antivirusprogrammatuur resident actief (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Op het eindgebruikersplatform wordt gebruik gemaakt van schermbeveiligingsprogrammatuur (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Opgeslagen wachtwoorden worden altijd met een one-way hashfunctie versleuteld (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
PKI bij een onvertrouwd netwerk (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Rapportering () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Registratie (logging) () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Scheiding van systeemfuncties () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Signaleren invoer (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Situaties waarin encrypties dient te worden toegepast (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Sleutelbeheer () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Systeemhulpmiddelen en toepassingsprogrammatuur zijn gescheiden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Systeemklokken worden tijdens openstelling gesynchroniseerd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Toegangsbeveiliging is geïmplementeerd op alle middelen die gegevens bevatten of verwerken (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Toepassen logistiek model (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Uitvoercontrole () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Unieke identificatie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Validatie van gegevensverwerking () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Validatie/ bestaanbaarheid/ relatie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Vermeervoudiging van systeemfuncties () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Verwerkingsbeheersing () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Voor het inloggen vanuit een niet-vertrouwd netwerk wordt een maximumtijd van 10 minuten en een minimumtijd van 10 seconden vastgesteld (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Voordat een geslaagde aanmelding op een systeem heeft plaatsgevonden toont het systeem uitsluitend informatie die noodzakelijk is voor de aanmelding (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Voorspellen en signaleren van onderbrekingen () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Wachtwoordbestanden worden gescheiden opgeslagen van gegevens van de toepassing (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Wachtwoorden van gebruikersaccounts moeten minimaal elke 90 dagen gewijzigd worden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Wachtwoorden voldoen aan de wachtwoordconventie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Wachtwoorden worden versleuteld over een netwerk verzonden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Wederzijdse authenticatie () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Werkplek voor telewerken (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Werkstations die niet in gebruik zijn worden tegen onbevoegd gebruik beveiligd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Zodra een inlogproces succesvol is voltooid worden de datum en tijd van de voorgaande succesvolle login getoond (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
Zones kunnen worden onderscheiden door gebruikmaking van (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
BIG (Baseline Informatiebeveiliging Gemeenten) (Bron) | Is gerelateerd aan | BIR (Baseline Informatiebeveiliging Rijksdienst) |
BIO (Baseline Informatiebeveiliging Overheid) (Bron) | Is gerelateerd aan | BIR (Baseline Informatiebeveiliging Rijksdienst) |
BIWA (Baseline Informatiebeveiliging Waterschappen) (Bron) | Is gerelateerd aan | BIR (Baseline Informatiebeveiliging Rijksdienst) |
IBI (Interprovinciale Baseline Informatiebeveiliging) (Bron) | Is gerelateerd aan | BIR (Baseline Informatiebeveiliging Rijksdienst) |