BIR (Baseline Informatiebeveiliging Rijksdienst): verschil tussen versies
Naar navigatie springen
Naar zoeken springen
k (is gerelateerd aan ingevoerd) |
(publieke link ipv Rijksportaal, tip Gert Kuivenhoven) |
||
| Regel 2: | Regel 2: | ||
|Elementtype=Beleidskader | |Elementtype=Beleidskader | ||
|Beschrijving=De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale norm [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO/IEC 27002]]. Het concretiseert een aantal eisen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende beveiligingseisen maken risicomanagement eenvoudiger. | |Beschrijving=De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale norm [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO/IEC 27002]]. Het concretiseert een aantal eisen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende beveiligingseisen maken risicomanagement eenvoudiger. | ||
|Externe verwijzing= | |Externe verwijzing=https://www.cip-overheid.nl/media/1151/20180210-bir2017-definitief.pdf | ||
|Organisatie=[[BZK (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties)|BZK]] | |Organisatie=[[BZK (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties)|BZK]] | ||
|Laag binnen vijflaagsmodel=1 | |Laag binnen vijflaagsmodel=1 | ||
|Status actualiteit=Vervangen | |Status actualiteit=Vervangen | ||
|Status toelichting=De BIR is vervangen door de [[BIO (Baseline Informatiebeveiliging Overheid)]] per 1 januari 2019 (gepubliceerd in staatscourant 23 mei 2019). | |Status toelichting=De BIR is vervangen door de [[BIO (Baseline Informatiebeveiliging Overheid)]] per 1 januari 2019 (gepubliceerd in staatscourant 23 mei 2019). | ||
|Is gerelateerd aan=BIG (Baseline Informatiebeveiliging Gemeenten), | |Is gerelateerd aan=BIG (Baseline Informatiebeveiliging Gemeenten), BIWA (Baseline Informatiebeveiliging Waterschappen), IBI (Interprovinciale Baseline Informatiebeveiliging), NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging) | ||
}} | }} | ||
[[Categorie:Bronnen]][[Categorie:ISOR]] | [[Categorie:Bronnen]][[Categorie:ISOR]] | ||
Versie van 26 apr 2022 16:11
- Onderdeel van
- Lijsten & Verwijzingen
- Contact
- NORA Beheer
- nora@ictu.nl
- Status
- Vervangen
- De BIR is vervangen door de BIO (Baseline Informatiebeveiliging Overheid) per 1 januari 2019 (gepubliceerd in staatscourant 23 mei 2019).
Eigenschappen
| Beschrijving | De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale norm ISO/IEC 27002. Het concretiseert een aantal eisen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende beveiligingseisen maken risicomanagement eenvoudiger. |
|---|---|
| Externe verwijzing | https://www.cip-overheid.nl/media/1151/20180210-bir2017-definitief.pdf |
| Organisatie | BZK |
| Laag binnen vijflaagsmodel | 1 |
| Status actualiteit | Vervangen |
| Status toelichting | De BIR is vervangen door de BIO (Baseline Informatiebeveiliging Overheid) per 1 januari 2019 (gepubliceerd in staatscourant 23 mei 2019). |
Relaties
| Vertrekpunt | Relatie | Eindpunten |
|---|---|---|
| BIR (Baseline Informatiebeveiliging Rijksdienst) | Is gerelateerd aan |
|
Afgeleide relaties
| Vertrekpunt | Relatie | Eindpunt |
|---|---|---|
| Authenticatie (beheersmaatregel) () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Authenticatie van gebruikers plaats op basis van cryptografische techniek (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Authentificatieprocedures worden herhaald op basis van het hiervoor opgestelde beleid (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Automatisch aanmelden is niet toegestaan voor interactieve gebruikers (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Autorisatie (beheersmaatregel) () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Batch- en hashtotals (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Beheersing van verwerkingen () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Beheertaken verlopen zoveel mogelijk via een menusysteem en gestandaardiseerde werkwijzen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Behoudens de door de leverancier goedgekeurde updates worden er geen wijzigingen aangebracht in programmapakketten en infrastructurele programmatuur (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Beperking van ongebruikte functies (hardening) () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Beperking van systeemhulpmiddelen () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Bestandscontrole () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Bij het intern gebruik van IT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoorden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Controle en signalering () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Controle op communicatiegedrag () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Controle op gegevensuitwisseling () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Controles voor risicovolle bedrijfsprocessen () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Controletellingen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Controletellingen batchverwerking (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Correctiemogelijkheden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Dataservers waarvoor een hoger beveiligingsniveau geldt dan het basisniveau kunnen in een eigen zone worden opgenomen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| De planning van reguliere batchprogramma’s is gebaseerd op de aangegeven tijdstippen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| De uitvoer van toepassingssystemen waarmee gevoelige informatie wordt verwerkt wordt alleen verzonden naar computerterminals en locaties met een autorisatie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Encryptie () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Er is antivirusprogrammatuur actief die e-mailberichten en webpagina’s met kwaadaardige code blokkeert (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Er is rekening gehouden met de beperkingen op de import en/of export van computerapparatuur en -programmatuur waar cryptografische functies aan kunnen worden toegevoegd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Er is rekening gehouden met de wettelijke beperkingen op het gebruik van versleutelingstechnieken (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Er worden vooraf gedefinieerde perioden (‘time slots’) gebruikt (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Er wordt een logbestand aangemaakt van de activiteiten die tijdens de verwerking plaatsvinden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Er zijn aparte zones voor Ontwikkeling; Test; Acceptatie en Productie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Er zijn in productiezones geen hulpmiddelen toegankelijk die het systeem van logische toegangsbeveiliging doorbreken of de integriteit van de productieverwerking kunnen aantasten (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Extra audit trail (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Functie- en processcheiding () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Geautoriseerde mobiele code () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Gebruikers hebben verschillende gebruiksprofielen voor operationele en proefsystemen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Gebruikers krijgen geen algemene commando-omgeving tot hun beschikking (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Geleidelijsten (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Geprogrammeerde controles af te stemmen met generieke IT-voorzieningen () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Geïnstalleerde poorten diensten en soortgelijke voorzieningen die niet speciaal vereist zijn voor de bedrijfsvoering worden uitgeschakeld of verwijderd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Handelingen op te nemen in de logging (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Handhaven technische functionaliteit () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Herstellen van verwerkingen (Beheersmaatregel) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Het vollopen van het opslagmedium voor de logbestanden wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven van het wachtwoord (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Identificatie (beheersmaatregel) () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Identificatie- authenticatie- en autorisatiemechanismen zijn ook voor systeemhulpmiddelen van toepassing (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| In een DMZ worden alleen openbare gegevens van een organisatie opgeslagen die in het uiterste geval verloren mogen gaan (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| In een keten van zones binnen een organisatie wordt antivirusprogrammatuur van verschillende leveranciers toegepast (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| In een logregel weg te schrijven informatie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Initiële wachtwoorden en wachtwoorden die gereset zijn voldoen aan de wachtwoordconventie en daarbij wordt door het systeem afgedwongen dat bij het eerste gebruik dit wachtwoord wordt gewijzigd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Integriteitscontrole van het bericht () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Invoercontrole () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Nadat voor een gebruikersnaam 5 keer een foutief wachtwoord gegeven is wordt het account minimaal 10 minuten geblokkeerd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Netwerksessies worden na een vastgestelde periode van inactiviteit afgesloten (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Onderdelen voor verwerking van batches worden pas opgestart nadat voorafgaande verwerkingen succesvol zijn beëindigd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Onderscheid in invoeren wijzigen en verwijderen (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Onnodige hulpprogramma’s en systeemprogrammatuur zijn verwijderd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Op alle werkstations en daarvoor in aanmerking komende servers is antivirusprogrammatuur resident actief (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Op het eindgebruikersplatform wordt gebruik gemaakt van schermbeveiligingsprogrammatuur (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Opgeslagen wachtwoorden worden altijd met een one-way hashfunctie versleuteld (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| PKI bij een onvertrouwd netwerk (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Rapportering () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Registratie (logging) () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Scheiding van systeemfuncties () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Signaleren invoer (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Situaties waarin encrypties dient te worden toegepast (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Sleutelbeheer () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Systeemhulpmiddelen en toepassingsprogrammatuur zijn gescheiden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Systeemklokken worden tijdens openstelling gesynchroniseerd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Toegangsbeveiliging is geïmplementeerd op alle middelen die gegevens bevatten of verwerken (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Toepassen logistiek model (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Uitvoercontrole () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Unieke identificatie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Validatie van gegevensverwerking () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Validatie/ bestaanbaarheid/ relatie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Vermeervoudiging van systeemfuncties () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Verwerkingsbeheersing () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Voor het inloggen vanuit een niet-vertrouwd netwerk wordt een maximumtijd van 10 minuten en een minimumtijd van 10 seconden vastgesteld (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Voordat een geslaagde aanmelding op een systeem heeft plaatsgevonden toont het systeem uitsluitend informatie die noodzakelijk is voor de aanmelding (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Voorspellen en signaleren van onderbrekingen () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Wachtwoordbestanden worden gescheiden opgeslagen van gegevens van de toepassing (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Wachtwoorden van gebruikersaccounts moeten minimaal elke 90 dagen gewijzigd worden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Wachtwoorden voldoen aan de wachtwoordconventie (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Wachtwoorden worden versleuteld over een netwerk verzonden (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Wederzijdse authenticatie () | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Werkplek voor telewerken (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Werkstations die niet in gebruik zijn worden tegen onbevoegd gebruik beveiligd (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Zodra een inlogproces succesvol is voltooid worden de datum en tijd van de voorgaande succesvolle login getoond (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| Zones kunnen worden onderscheiden door gebruikmaking van (Implementatierichtlijn) | Heeft bron | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| BIG (Baseline Informatiebeveiliging Gemeenten) (Bron) | Is gerelateerd aan | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| BIO (Baseline Informatiebeveiliging Overheid) (Bron) | Is gerelateerd aan | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| BIWA (Baseline Informatiebeveiliging Waterschappen) (Bron) | Is gerelateerd aan | BIR (Baseline Informatiebeveiliging Rijksdienst) |
| IBI (Interprovinciale Baseline Informatiebeveiliging) (Bron) | Is gerelateerd aan | BIR (Baseline Informatiebeveiliging Rijksdienst) |